Aggiornamenti
NOTIZIE E SENTENZE
Il Tribunale di Roma conferma la sazione del Garante privacy nei confronti dell'INPS per l'utilizzo illegittimo del software "Data Mining/Savio"
Il Tribunale di Roma, con sentenza del 3 marzo 2020, ha confermato la decisione del Garante per la protezione dei dati personali con la quale l’INPS è stato sanzionato con una multa da € 40.000 per aver trattato di dati relativi alle assenze per malattia relativi a più dodici milioni e mezzo di lavoratori ai fini dell’attività di controllo medico-legale, oltre i limiti consentitegli dalla legge (che ne costituisce la base giuridica e quindi la legittimità del trattamento), per il periodo dall’8 febbraio 2011 al marzo 2018.
Ciò in quanto l’Istituto, al fine di indirizzare i controlli verso le certificazioni meno “affidabili” e ottimizzare così i risultati dell’attività di controllo medico-legale, ha adottato processi di profilazione dei lavoratori tramite un software denominato “Data Mining/Savio”. Tale programma attraverso degli algoritmi incrociava i dati relativi alla frequenza e alla durata delle malattie insieme ad altri variabili quali il numero delle precedenti inidoneità alla visite mediche di controllo, alla qualifica del lavoratore, al tipo di rapporto di lavoro, alla retribuzione, al settore e alle a dimensione aziendale.
In tal modo, secondo il Garante per la protezione dei dati personali, l’INPS effettuava una vera e propria profilazione nella misura in cui, sulla base di inferenze statistiche, realizzava prognosi comportamentali fondate su un calcolo probabilistico e che, in quanto tali, sono sempre soggette a un margine di errore e per questo necessitano di garanzie adeguate per evitare false attribuzioni e valutazione erronee dei comportamenti individuali.
Il trattamento dei dati sensibili sullo stato di malattia dei lavoratori è avvenuto da parte dell'INPS senza una base giuridica: la legge non autorizzava infatti tale tipo di analisi dei dati, senza informare i lavoratori del tipo automatizzato di trattamento, senza richiedere la verifica preliminare ai sensi dell’art. 17 del Codice in materia di protezione dei dati personali e senza adottare alcuna misura a garanzia dei diritti dei lavoratori.
(Tribunale di Roma 3 marzo 2020)
(Intervento Garante privacy al Senato del giorno 18 settembre 2018)
Parole chiave: Lavoro e salute , Lavoro e vita privata , persone e dignità , Previdenza e assistenza , privacy
Assistenza legale specializzata in Diritto del Lavoro, in tutta Italia.
Duriniquattro srl - c.so XXII Marzo, 40 - 20135 Milano - P.IVA 10953420154