Illegittimo l'uso dei dati contenuti nei certificati di malattia dei lavoratori

È illegittimo l’uso dei dati contenuti nei certificati di malattia dei lavoratori per alimentare un software predittivo delle assenze ingiustificate per malattia

Pier Paolo Muià Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Avv. Pier Paolo Muiá – Dott.ssa Maria Muià

Garante per la protezione dei dati personali: provvedimento n.492 del 29 Novembre 2018

Precedenti giurisprudenziale: Corte Cost. n.78/1988

Fatto

Il Garante per la protezione dei dati personali aveva avviato un procedimento amministrativo nei confronti dell’Istituto nazionale della previdenza sociale, reo di aver trattato dati personali di circa 12,6 milioni di lavoratori privati, assenti per malattia, attraverso l’utilizzo di un software, in grado di attribuire alle certificazioni di malattia un punteggio di maggiore o minore affidabilità su base statistica del giudizio prognostico di idoneità alla ripresa del lavoro o di assenza ingiustificata.

Con l’introduzione di un siffatto sistema informatico, l’Inps mirava ad individuare preventivamente possibili assenze ingiustificate dal lavoro per malattia predisponendo così per quei soggetti delle visite fiscali.

Secondo quanto osservato preliminarmente dal Garante il trattamento dei dati effettuato dall’Istituto si configurava come un trattamento automatizzato di dati personali idonei a rivelare lo stato di salute dei lavoratori, attraverso la combinazione delle informazioni contenute nel certificato medico con le altre informazioni contenute nell’archivio gestionale dell’Istituto stesso. Inoltre il Garante aveva osservato che il trattamento posto in essere dall’Inps, attraverso l’utilizzo del software, era stato effettuato in base a norme che prevedevano l’obbligo di disporre visite fiscali dei lavoratori assenti per malattia, senza disporre nulla in merito ai tipi di dati e alle operazioni eseguibili nell’ambito del trattamento automatizzato, in violazione delle norme in materia di privacy.

Raggiunto dal procedimento amministrativo, l’Inps aveva offerto al Garante le proprie giustificazioni ponendo l’accento sulla buona fede della sua condotta. L’Istituto aveva, infatti, dichiarato di essere stato tratto in inganno da una pronuncia della Corte Costituzionale, che lo aveva indotto a ritenere legittima la procedura messa in piedi in quanto eseguita in relazione a competenze espressamente attribuite all’Istituto dalla legge.

L’Inps, trovando nella pronuncia della Corte Costituzionale una fonte di legittimità, si era persuasa che per le finalità del trattamento che poneva in essere mediante il software non era necessario informare o acquisire ulteriori autorizzazioni o consensi da parte degli interessati, trattandosi di dati personali già acquisiti alla conoscenza dell’Ente per l’ottemperanza delle sue funzioni istituzionali e ricorrendo nel caso di specie le ipotesi esonerative previste dalla normativa in materia di privacy. L’Istituto aveva poi specificato che l’utilizzo da esso fatto dei dati non poteva essere considerato come una profilazione dei dati degli interessati, in quanto la procedura informatica, oltre a non produrre alcun atto o provvedimento giudiziario o amministrativo che implicava una valutazione del comportamento umano, non delineava alcun profilo soggettivo definitorio della personalità dell’interessato. Si limitava ad individuare una situazione di fatto rientrante nell’obbiettivo delle visite di controllo disposte dalla legge. Non emergeva alcun profilo soggettivo o comportamentale del cittadino.

La decisione del Garante

Il Garante valutate le argomentazioni addotte dall’Istituto nazionale della previdenza sociale ha riconosciuto la responsabilità di quest’ultimo per aver trattato i dati personali di 12,6 milioni di lavoratori in violazione delle norme adottate in materia di protezione dei dati personali. Il Garante nonostante le specificazioni presentate dall’Istituto ha ribadito che il trattamento dei dati effettuato mediante il software adottato dall’Istituto configurava una profilazione dei dati, a fronte della quale l’Istituto avrebbe dovuto effettuare la notificazione al Garante. Trattandosi poi di dati sensibili (secondo la normativa vigente all’epoca in cui si erano verificati i fatti oggetto di esame del Garante nel procedimento nel quale è stata presa  la decisione in commento) avrebbe, inoltre, dovuto rendere agli interessati la prescritta informativa.

In merito all’errata convinzione della bontà della condotta tenuta in virtù della pronuncia della Corte Costituzionale, il Garante ha ritenuto che nel caso di specie non si rinviene alcuno degli elementi costitutivi dell’errore scusabile comunemente definibile come buona fede, atteso che tale scriminante può rilevare come causa di esclusione della responsabilità solo quando risulti incolpevole. Perché l’errore risulti incolpevole occorre un elemento positivo idoneo ad indurre ad un errore non ovviabile dall’interessato con l’ordinaria diligenza ed il Garante ha ritenuto che, nel caso in esame, tale situazione non fosse rinvenibile.

Volume consigliato

Come applicare il regolamento europeo sulla privacy (GDPR) negli studi e nelle aziende

Come applicare il regolamento europeo sulla privacy (GDPR) negli studi e nelle aziende

Roberta Rapicavoli, 2018, Maggioli Editore

Dal 25 maggio 2018 trova piena applicazione il Regolamento generale sulla protezione dei dati personali: si tratta del Regolamento europeo 2016/679, noto anche come GDPR – General Data Protection Regulation, direttamente applicabile negli Stati membri UE. A partire dalla predetta data...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it