Annullata sanzione Garante a carico dell’INPS in Cassazione

Con sentenza n. 6177 del 1/3/2023 la prima sezione civile della Corte di Cassazione ha riformato una sentenza che confermava l’ordinanza ingiunzione comminata dal Garante per la protezione dei dati personali ai danni dell’INPS, accogliendo due dei cinque motivi di ricorso presentati dall’Istituto.

Indice

1. Il provvedimento


Con provvedimento n. 492 del 29 novembre 2018, infatti, il Garante per la protezione dei dati personali aveva irrogato una sanzione amministrativa pecuniaria da € 40.000 all’Istituto nazionale della previdenza sociale, ritenendo che lo stesso avesse trattato illecitamente i dati di 12,6 milioni di lavoratori privati assenti per malattia, nel periodo compreso dal febbraio 2011 al marzo 2018. L’illecito, secondo l’Autorità, consisteva nell’utilizzo di un software che attribuiva uno “score di probabilità” al certificato medico riferito al lavoratore così da indirizzare in modo mirato e più efficiente il sistema dei controlli medico-legali «effettuando così un trattamento automatizzato di dati personali, anche idonei a rivelare lo stato di salute, raffrontando le informazioni contenute nel predetto certificato con le altre contenute […] in ulteriori archivi amministrativi dell’Istituto.»
Secondo il Garante privacy, tale trattamento:

  • era stato effettuato in violazione di quanto statuito dal Codice in materia di protezione dei dati personali (violazione avvenuta ante GDPR);
  • configurava una vera e propria profilazione, a fronte della quale l’INPS non aveva provveduto ad effettuare la notificazione al Garante ai sensi dell’art. 37 del Codice (ante obbligo di valutazione di impatto);
  • era stato effettuato senza che venisse resa agli interessati, ai sensi dell’art. 22, comma 2 del Codice, la prescritta informativa in violazione dell’art. 13 del Codice, con riferimento ai dati sensibili (oggi categorie particolari ex art. 9 GDPR, e informativa ex art. 13 GDPR).

Avverso la sanzione, l’Istituto ha proposto opposizione all’Autorità Giudiziaria ordinaria, ma il Tribunale ha ritenuto provate le condotte illecite sanzionate col provvedimento dal Garante, respingendo il ricorso e confermando in toto la sanzione.
Non volendosi arrendere, l’INPS ha presentato ricorso per Cassazione, sulla base di cinque motivi, ottenendo l’accoglimento di due doglianze.


Potrebbero interessarti anche:

2. La sentenza Cassazione civile sez. I, 01/03/2023, n. 6177


Il primo motivo di ricorso accolto riguarda l’omessa informativa agli interessati e la mancata richiesta di autorizzazione preventiva al Garante circa il trattamento dei dati.
Secondo i giudici di legittimità, l’attività di controllo da parte dell’INPS trova fondamento nella legge, che rende superflua la raccolta del consenso al trattamento dell’interessato «con la conseguente legittima adozione della procedura informatica, attesi i compiti istituzionali assegnati all’ente, tali da escludere all’uopo la necessità di informare o acquisire autorizzazioni o consensi da parte degli interessati: si tratta, infatti, di dati personali già acquisiti ex lege alla conoscenza dell’ente per adempiere alle proprie funzioni istituzionali, e che vengono al medesimo trasmessi tramite il certificato di malattia per volontà del lavoratore stesso».
Di conseguenza, secondo la Suprema Corte, essendo un trattamento funzionale rispetto ai compiti istituzionali propri dell’ente, il Tribunale ha sbagliato nel ritenere che l’attività di raccolta dei dati in questione, pur prodromica ai controlli di malattia, non risultasse dovuta per legge o necessitata.
L’informativa, infatti, continua la Corte, non è dovuta, se i dati sono trattati in base ad un obbligo previsto dalla legge. E anche l’art. 24 d.lgs. n. 196 del 2003 ribadisce che il consenso non è richiesto, quando il trattamento sia necessario per adempiere ad un obbligo previsto dalla legge. D’altra parte  l’attività antifrode, connessa alle visite di controllo «non sarebbe efficiente ove ancorata ad una scelta solo casuale, laddove, per evitare abusi e indebite erogazioni con sottrazione di risorse pubbliche, occorre operare mediante una razionale distribuzione dei controlli: il certificato di malattia, presentato dal lavoratore, costituisce una domanda di prestazione economica [la liquidazione dell’indennità di malattia], la quale, per essere istruita, richiede necessariamente il trattamento dei dati – come la durata della prognosi, la qualifica del lavoratore o il settore di attività (ma non la diagnosi)». Trattamento sul quale, appunto, opera la procedura software “incriminata”.
In conclusione, secondo la Corte, non si può sostenere che solo ove l’INPS si serva di procedimenti automatizzati debba ottenere il consenso dell’interessato considerato che, se l’ente ha per legge il potere di effettuare i controlli a fini pubblici, «deve poterlo fare nel miglior modo possibile, secondo il principio di buon andamento della p.a.».
Il secondo motivo di ricorso accolto riguarda l’asserita attività di profilazione individuata dal Garante privacy, chiarendo la nozione stessa di “profilazione” contenuta nell’art. 14 d.lgs. n. 196 del 2003, allora vigente, secondo cui nessun atto o provvedimento giudiziario o amministrativo che implicasse una valutazione del comportamento umano poteva essere fondato unicamente su un trattamento automatizzato di dati personali, volto a definire il profilo o la personalità dell’interessato.
La sentenza rileva l’insussistenza degli elementi costitutivi della profilazione: il lavoratore del quale non si conosce la diagnosi, infatti, «non [veniva] mai individuato o inserito in determinate categorie o “profili”, rilevando soltanto la domanda di indennità di malattia quale prestazione previdenziale richiesta, né, quindi, era predisposta qualsiasi variabile da utilizzare per individuare un singolo lavoratore da sottoporre a controllo».
In sostanza le candidature alla visita medica di controllo ogni volta erano individuate da zero, considerando l’insieme dei certificati in quel momento presenti.
I Giudici di legittimità hanno quindi sottolineato come la procedura automatizzata mediante il software permettesse di assegnare alla domanda di prestazione previdenziale da malattia un indice, scollegato da qualsiasi profilazione soggettiva, ma connesso ad alcune variabili come la durata della prognosi, il luogo di provenienza del certificato, il numero di questi, il settore produttivo, l’età, il genere, la qualifica, la retribuzione, la dimensione dell’azienda, il rapporto di lavoro part-time e a tempo determinato, ecc… Essendo svincolate da qualsiasi profilazione soggettiva, ad esempio, due domande presentate dallo stesso lavoratore presentavano indici diversi che venivano calcolati ogni giorno e mai storicizzati, essendo associati, appunto, alla domanda e non alle persone.
Ogni domanda di prestazione, dunque, riceveva una valutazione del tutto svincolata dalle precedenti.
Associare alle domande di prestazione questo indice poteva costituire un aiuto per il personale medico che avrebbe successivamente dovuto decidere quali controlli effettuare per poi programmare ed effettuare le visite di controllo: oggetto dell’indagine erano le domande di prestazione previdenziale e non i lavoratori.
Di conseguenza, secondo la Suprema Corte, difettava anche la caratteristica del trattamento «unicamente» automatizzato, in quanto gli operatori effettuavano poi tutte le ulteriori verifiche in modo, appunto, non automatizzato, secondo parametri suggeriti dal sistema.
I Giudici di legittimità, poi, esortano a non demonizzare l’utilizzo di procedure informatiche idonee ad incrementare i “beni” della celerità, efficienza, trasparenza, imparzialità e neutralità della p.a., e dunque il «buon andamento», anzi, la pubblica amministrazione deve poter sfruttare le rilevanti potenzialità della c.d. rivoluzione digitale: «la piena ammissibilità di tali strumenti risponde ai canoni di efficienza ed economicità dell’azione amministrativa, i quali, secondo il principio costituzionale di buon andamento dell’azione amministrativa (art. 97 Cost.), impongono all’amministrazione il conseguimento dei propri fini con il minor dispendio di mezzi e risorse e attraverso lo snellimento e l’accelerazione dell’iter procedimentale».
In terzo luogo, non si trattava di valutazione di un «comportamento umano», perché la personalità dei singoli interessati non veniva mai delineata dal sistema, ma solo elementi afferenti alle certificazioni mediche inviate.
Per questi motivi la descritta attività, secondo la Cassazione, non poteva definirsi “profilazione” secondo la nozione conosciuta dall’ordinamento giuridico all’epoca dei fatti di causa.

3. Il principio di diritto enunciato dalla Corte di Cassazione


Sulla base di quanto esposto, ha concluso dunque la Corte che la condotta tenuta dall’ente, nello svolgimento dei propri compiti, anche facendo ricorso al software informatico in questione, non era illecita, ma rientrante nel novero delle condotte ammesse al fine dell’adempimento delle pubbliche funzioni ad esso affidate.
Per tutti questi motivi ha cassato la sentenza impugnata in relazione ai motivi accolti, e, decidendo la causa nel merito, ha accolto l’opposizione e annullato, per l’effetto, l’ordinanza- ingiunzione comminata dal Garante privacy e compensato tra le parti le spese dell’intero giudizio.
Da tutto quanto sopra enunciato possiamo desumere il principio secondo cui le regole sulla tutela dei dati, anche sensibili, vanno coordinate e bilanciate con le disposizioni costituzionali che tutelano altri e prevalenti diritti, tra cui vi è l’interesse pubblico a celerità, trasparenza ed efficacia dell’attività amministrativa.

Volume consigliato


Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa.

FORMATO CARTACEO

I ricorsi al Garante della privacy

Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.

Michele Iaselli | Maggioli Editore 2022

Avv. Luisa Di Giacomo

Marina Mirabella

Scrivi un commento

Accedi per poter inserire un commento