Legittimo il trattamento di dati effettuato dall’INPS tramite il software di data mining Savio

Fonte: Cass. Civ. sez. I, 1 marzo 2023, n. 6177

31 Maggio 2023

La Corte di Cassazione con l'ordinanza in esame si è pronunciata su due differenti questioni: la sussistenza di un'idonea base giuridica per il trattamento dei dati dei lavoratori in assenza di uno specifico consenso e l'esistenza di un'attività di profilazione da parte dell'INPS che, nel regime normativo precedente all’applicabilità del regolamento (UE) n. 679/2016, avrebbe determinato un obbligo di notifica preventiva al Garante Privacy.

Massima

La tutela dei dati sensibili deve conoscere un coordinamento e un bilanciamento rispetto alle disposizioni a valenza costituzionale e tutelanti altri diritti, come l'interesse pubblico al buon funzionamento dell'attività amministrativa.

Il Caso

La pronuncia origina dall'opposizione all'ordinanza-ingiunzione per il pagamento di una sanzione amministrativa inflitta dal Garante per la Protezione dei Dati Personali (“Garante Privacy”) all'INPS, con riguardo alle dedotte violazioni degli artt. 13,20 e 27 d.lgs. n. 196/2003 (“Codice Privacy”), applicabile ratione temporis, nell'uso del software di data mining Savio.

Secondo il Garante Privacy, impiegando tale sistema, che attribuisce automaticamente uno score ai certificati medici prodotti dai lavoratori, indirizzando in modo mirato e più efficiente il sistema dei controlli medico-legali, l'INPS avrebbe effettuato un trattamento di dati sensibili senza avere rilasciato idonea informativa, un trattamento illecito di dati personali, anche relativi alla salute, in mancanza dei necessari presupposti, nonché una profilazione con i dati dei lavoratori, senza notificare preventivamente tale trattamento al Garante Privacy stesso. Il provvedimento del Garante Privacy era impugnato dall'INPS, ma il Tribunale di Roma respingeva il ricorso.

L'INPS presentava quindi ricorso per cassazione avverso la sentenza di merito, deducendo l'illegittimità della stessa e rilevando in particolare come l'attività di controllo svolta, fondandosi direttamente sulla legge, non avrebbe obbligato a rendere agli interessati la prevista informativa.

Quanto alla censurata attività di profilazione, l'INPS rilevava come la procedura informatizzata impiegata non individuasse un soggetto specifico e lo stesso non fosse inserito in determinate categorie o profili, considerando solo la domanda d'indennità di malattia del lavoratore.

La Questione

La questione su cui la Corte di Cassazione è stata chiamata a pronunciarsi attiene alla sussistenza di un’idonea base giuridica inerente al trattamento dei dati – anche relativi allo stato di salute – dei lavoratori, in assenza di uno specifico consenso dei lavoratori stessi, nonché sulla sussistenza nel caso di specie di un’attività di profilazione che, nel regime normativo precedente all’applicabilità del regolamento (UE) n. 679/2016 (il “GDPR”), avrebbe determinato in capo all’INPS un obbligo di notifica preventiva nei confronti del Garante Privacy.

Le soluzioni giuridiche

Secondo la Cassazione, l'INPS poteva adottare lo strumento informatico, poiché tra i compiti dell'ente è compreso il trattamento dei dati degli interessati in assenza di preventivo consenso e informativa. Infatti, l'informazione all'interessato delle finalità del trattamento non è dovuta se i dati sono trattati in base a un obbligo legale, ex art. 13, comma 5, lett. a) Codice Privacy, in vigore all'epoca dei fatti, e il consenso non è richiesto se il trattamento è necessario per adempiere a un obbligo legale, ex art. 24 Codice Privacy. Il certificato di malattia inviato dal lavoratore è una domanda di prestazione economica che, per essere istruita, richiede necessariamente il trattamento dei dati impiegando il software. Perciò, i dati ricevuti dall'INPS sono stati trasmessi dall'interessato stesso, così acconsentendo tacitamente al loro utilizzo. Peraltro, l'INPS deve effettuare i controlli per fini pubblici nel miglior modo possibile, secondo il principio di buon andamento della pubblica amministrazione, anche usando apposite procedure automatizzate.

Altresì, con precipuo riferimento all'attività di profilazione, la Corte ha ritenuto che, nel caso in oggetto, essa manchi, poiché il soggetto interessato non è mai inserito in determinate categorie, rilevando solo la domanda d'indennità di malattia quale prestazione previdenziale richiesta. A ogni domanda era stato, infatti, assegnato uno score, collegato a specifiche variabili, prescindenti da una profilazione soggettiva, ma collegate solo alla singola domanda di prestazione. Alle domande era quindi associato un indice relativo alla probabilità d'“insussistenza della malattia”, di “decorso più favorevole rispetto al dichiarato” e di “possibilità di verificare la conclusione della malattia”, per aiutare il personale medico a razionalizzare le visite di controllo. Il punteggio calcolato tramite Savio non era storicizzato, essendo associato alla domanda e non alle persone, a cui non era quindi mai abbinata una variabile atta a caratterizzarle e identificarle per includerle in qualche determinata categoria. Inoltre, il trattamento non era totalmente automatizzato, poiché le verifiche successive erano svolte da operatori umani. A tanto la Corte ha aggiunto che il comportamento umano dei lavoratori non era mai valutato dal software, perché esso non era in grado di delineare la personalità degli interessati.

Di qui la cassazione della sentenza di merito e il conseguente annullamento dell'ordinanza-ingiunzione del Garante Privacy, in considerazione della legittimità del trattamento operato dall'INPS, in quanto funzionale all'adempimento delle pubbliche funzioni a essa affidate e orientate a proteggere interessi collettivi.

Osservazioni

La sentenza s'incastona nel perdurante dibattito di politica economica sul fatto che le garanzie privacy potrebbero impedire o limitare i sistemi d'incrocio dei dati di archivi amministrativi, senza i quali le analisi dei dati, sviluppate da enti pubblici per migliorare le procedure di vigilanza, rischiano di essere rese meno efficienti.

La pronuncia conferma che il diritto alla protezione dei propri dati va coordinato e bilanciato con le disposizioni costituzionali tutelanti altri e prevalenti diritti. Perciò, le regole sulla gestione dei dati vanno interpretate bilanciando gli interessi dalle stesse tutelati con gli altri interessi costituzionalmente protetti, potenzialmente in conflitto.

In definitiva, la Cassazione ha ritenuto pertinente al caso di specie l'art. 97 Cost., che richiede di assicurare il buon andamento dell'amministrazione pubblica. Il software Savio, secondo la Corte, elevando il livello di digitalizzazione della pubblica amministrazione, costituisce uno strumento per migliorare la qualità dei servizi resi ed espletati. Ciò evidenzia l'utilità di tale modalità operativa nella gestione dei pubblici interessi. Tali programmi sono quindi posti dalla Cassazione nell'alveo del citato principio costituzionale.

Altresì, interessante è il contributo della pronuncia alla delimitazione del concetto di profilazione, attualmente definito dall'art. 4, punto 4 GDPR, secondo cui per profilazione dovrebbe intendersi qualsiasi forma di elaborazione automatizzata di dati, per fini valutativi o predittivi di taluni aspetti relativi all'interessato. Sul punto, va sottolineato che tra le variabili considerate da SAVIO non vi era la diagnosi, cioè la malattia da cui era affetto il lavoratore.

Va altresì ricordato che a suo tempo il Garante Privacy, nell'audizione del proprio presidente presso il Senato della Repubblica del 18 settembre 2018, aveva fornito delle indicazioni per contemperare le necessità di esecuzione delle attività antifrode da parte dell'INPS con le esigenze di protezione dei dati. In particolare, vanno adottate misure volte a ridurre i margini di errore inerenti a tali procedure di elaborazione statistica e quindi i rischi di giudizi prognostici errati, abusi, discriminazioni ingiustificate e violazione dei diritti degli interessati.

Del resto, la normativa privacy persegue anche l'obiettivo della libera circolazione dei dati, creando un clima di fiducia che consenta di promuovere lo sviluppo dell'economia digitale. La corretta individuazione delle operazioni di trattamento, dei tipi di dati trattati e delle finalità perseguite, unitamente allo sviluppo di sistemi di machine learning conformi al GDPR, è necessaria per disporre le misure di sicurezza atte a fronteggiare gli eventuali rischi per i diritti e le libertà degli interessati. Solo così potrà assistersi alla diffusione progressiva e sicura di tali sistemi.

Riferimenti

- F. Castagna, La “bocciatura” del sistema di data mining “SAVIO” utilizzato dall’INPS – Tribunale di Roma; sezione XVII civile; sentenza 3 aprile 2020, n. 4692, in Diritto di Internet, 3/2020

- L. Bolognini, Art. 4.4 GDPR, in L. Bolognini e E. Pelino (a cura di), Codice della disciplina privacy, Giuffrè Francis Lefebvre, Milano, 2019

- L. Bolognini, Follia Artificiale, Riflessioni per la resistenza dell’intelligenza umana, Rubbettino, Soveria Mannelli, 2018

- D. Poletti, Comprendere il Reg. UE 2016/679: un’introduzione, in A. Mantelero e D. Poletti (a cura di), Regolare la tecnologia: il Reg. UE 2016/679 e la protezione dei dati personali. Un dialogo fra Italia e Spagna, Pisa University Press, Pisa, 2018

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Cerca nel testo