Inps condannato per il software automatizzato usato nei controlli delle assenze per malattie. Il tribunale di Roma (sentenza 4609/2020) ha confermato l’ingiunzione 492 del 29/11/2018, con cui il Garante privacy aveva ordinato all’ente il pagamento di 40 mila euro. Il giudice ha respinto l’opposizione dell’Inps contro l’ingiunzione, accertando che lo stesso ha commesso plurime violazioni del Codice della privacy.
In dettaglio, dall’8 febbraio 2011 al mese di marzo 2018, seppure per scovare in maniera più efficace gli assenteisti, l’istituto ha utilizzato l’applicativo «Data Mining/Savio» che attribuiva un punteggio «di probabilità» al certificato medico riferito al lavoratore.
Così facendo, secondo il Garante, ha trattato in maniera automatizzata i dati sensibili di 12,6 milioni di lavoratori privati assenti per malattia. Tutto ciò senza una verifica preliminare presso il Garante della privacy e senza informare gli interessati. Ovviamente la questione non è se la privacy sia d’impaccio alla lotta all’assenteismo. Il problema è stabilire a quali condizioni siano utilizzabili strumenti automatizzati (macchine o robot o simili), che sulla base di algoritmi, etichettano (profilano) le persone e si spingono a predire come si comporteranno.
Tra l’altro si tratta di sistemi che hanno bisogno di raccogliere enormi quantità di dati e che non sempre sono così imparziali e neutrali come ci si aspetterebbe. Possono, dunque, essere utilizzati senza un vaglio delle possibili ricadute negative sulla libertà degli individui? Possono essere utilizzati senza che gli interessati abbiamo la possibilità di sapere come funzionano?
A queste risposte il Garante ha risposto negativamente e ha sanzionato l’Inps. Nell’opporsi alla sanzione, l ‘Inps ha messo in evidenza che il controllo sulle assenze per malattia è un obbligo di legge, per cui non è necessario il preventivo consenso dell’interessato e che il sistema Data Mining non ha comportato alcuna attività di profilazione degli interessati. Il tribunale di Roma ha respinto le difese dell’istituto. Quanto al problema del consenso, la sentenza ribatte che anche per le attività di interesse pubblico si devono osservare precauzioni e tutele a protezione dei dati degli interessati.
La sentenza, poi, afferma che nel caso concreto si è verificata una profilazione degli interessati (che obbligava a verifiche preliminari e a una informativa specifica). Sul punto il giudice richiama la definizione di profilazione inserita nel regolamento Ue sulla protezione dei dati n. 2016/679 (trattamento automatizzato volto alla valutazione del comportamento delle persone fisiche), in cui rientra anche l’elaborazione dal numero di assenze per malattia e dalla loro durata.
In mancanza di una normativa che autorizzava a monte l’uso del software, l’Inps avrebbe dovuto richiedere al Garante una specifica autorizzazione (allora previsto dall’art. 17 del codice della privacy) e informare gli interessi, ma non lo ha fatto, meritando, secondo il Tribunale, la sanzione pecuniaria.
di Antonio Ciccia Messina (Italia Oggi del 3 settembre 2020)