Il software “Savio” consentiva all’INPS di concentrare la propria attenzione sulle prognosi “sospette”. Adottato dall’Istituto dal 2012 sino al 25 marzo 2018, operava non solo all’insaputa dei lavoratori interessati, ma anche in assenza di precauzioni e garanzie specifiche. L’Autorità Garante riscontrava in tale utilizzo la violazione del vecchio Codice Privacy. L’INPS, nel mentre sospendeva l’utilizzo del software, impugnava l’ordinanza–ingiunzione presso il Tribunale di Roma.
Tra l’altro, l’INPS affermava che la procedura sotto inchiesta costituisse “attuazione di un obbligo di legge per il soddisfacimento di un interesse pubblico”. Il Tribunale sottolineava che non fosse certo al vaglio giudiziario l’attività di controllo delle assenze dal lavoro per malattia posta in essere dall’Istituto di previdenza bensì “una specifica operazione di raccolta di dati”. Questa era sì collegata funzionalmente all’attività richiesta per legge ma non era in sé legislativamente dovuta. In questi termini essa esondava dalla copertura legislativa dell’articolo 24 del “vecchio” codice Privacy.
Inoltre, l’Istituto provava a difendersi sostenendo che il software predittivo prendeva in considerazione soltanto alcuni dati, non profilando i singoli soggetti e non trattando i dati relativi alle diagnosi. Il Tribunale di Roma stabiliva, invece, che si trattasse una vera e propria profilazione dei lavoratori interessati. Con sentenza del 03 marzo 2020, condannava l’Istituto e confermava il provvedimento ingiunzionale.
Ad oggi, con la vigenza del GDPR (articolo 6, comma tre) e del nuovo Codice Privacy (articolo 2-sexies), il quadro normativo è profondamente cambiato.
Il GDPR impone che la base giuridica per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri sia una norma di legge, norma poi che deve specificare i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Il tema è certamente importante, anche considerando gli atti dell’11ª Commissione permanente (Lavoro pubblico e privato, previdenza sociale) del Senato che, all’indomani dell’emanazione del D. Lgs. 101/2018, occupandosi del tema convocava sia il Presidente dell’INPS (06 settembre 2018) che il Presidente dell’Autorità Garante (18 settembre 2018).
Nel corso dell’audizione, il Presidente dell’Istituto indicava che il mancato utilizzo del software SAVIO comporterebbe la perdita per le casse dell’INPS di circa 335.000 euro al mese, 4 milioni di euro su base annua (stimando solo i costi diretti). Ecco perché, auspicando il pronto intervento Legislativo, il Presidente consegnava alla Commissione una bozza di norma di legge.
Audito il Presidente Soro, lo stesso ricordava che “l’introduzione di un sistema di programmazione mirata delle visite fiscali … costituisce indubbiamente un obiettivo di interesse generale”.
D’altra parte, sottolineava che la proposta normativa elaborata dall’INPS non appariva idonea, trattandosi di “una norma … che non soddisfa i requisiti richiesti dal diritto europeo”. In particolare, il Presidente Soro ricordava come dovrebbero essere previste le modalità con cui informare gli interessati dell’esistenza di una profilazione, dei criteri utilizzati, nonché delle conseguenze derivanti dall’attribuzione di un determinato profilo, nonché individuate le misure tecniche e organizzative appropriate, i tempi di conservazione dei dati. Il tutto minimizzando la raccolta dei dati, fornendo strumenti agli interessati per far valere i propri diritti.
In assenza di tali disposizioni normative, le visite mediche non potranno essere gestite tramite l’ausilio di software di profilazione.