TUTELA DEI DATI PERSONALI
Corte di Cassazione: il software INPS di gestione dei certificati di malattia non viola le norme data protection.
La pronuncia trae origine dall'opposizione all'ordinanza-ingiunzione per il pagamento di una sanzione amministrativa inflitta dal Garante per la protezione dei dati personali all'INPS, con riguardo alle dedotte violazioni degli artt. 13,20 e 27 del D.Lgs. n. 196/2003 (applicabile ratione temporis) nell'utilizzo del software “data mining Savio”.
Ad avviso del Garante, con l'impiego di tale sistema – che attribuisce in modo automatico un punteggio convenzionale ai certificati medici prodotti dai lavoratori, così da indirizzare in modo mirato e più efficiente il sistema dei controlli medico-legali – l'Istituto di previdenza avrebbe effettuato: i) un trattamento di dati sensibili senza aver rilasciato idonea informativa; ii) in mancanza dei necessari presupposti, un trattamento illecito di dati personali, anche idonei a rivelare lo stato di salute; iii) attività di profilazione con i dati personali dei lavoratori, senza notificare preventivamente tale trattamento all'Autorità.
Il provvedimento del Garante veniva impugnato dall'INPS, ma il Tribunale respingeva il ricorso. L'Istituto di previdenza presentava, quindi, ricorso per cassazione, deducendo l'illegittimità della decisione di merito sulla base di cinque motivi.
In particolare, l'Istituto rilevava come l'attività di controllo svolta, trovando diretto fondamento nella legge, non avrebbe comportato l'obbligo di rendere agli interessati la prevista informativa.
Quanto alla censurata attività di profilazione, l'Ente ricorrente rilevava come la procedura informatizzata impiegata non individuasse un soggetto specifico e lo stesso non venisse inserito in determinate categorie o profili, prendendo in considerazione soltanto la domanda di indennità di malattia presentata dal lavoratore.
Il ricorso viene accolto dalla Suprema Corte sotto questi due specifici profili.
Corte di Cassazione, sez. I Civile, ordinanza (ud. 24 febbraio 2023) 1° marzo 2023, n. 6177
Ad avviso del Garante, con l'impiego di tale sistema – che attribuisce in modo automatico un punteggio convenzionale ai certificati medici prodotti dai lavoratori, così da indirizzare in modo mirato e più efficiente il sistema dei controlli medico-legali – l'Istituto di previdenza avrebbe effettuato: i) un trattamento di dati sensibili senza aver rilasciato idonea informativa; ii) in mancanza dei necessari presupposti, un trattamento illecito di dati personali, anche idonei a rivelare lo stato di salute; iii) attività di profilazione con i dati personali dei lavoratori, senza notificare preventivamente tale trattamento all'Autorità.
Il provvedimento del Garante veniva impugnato dall'INPS, ma il Tribunale respingeva il ricorso. L'Istituto di previdenza presentava, quindi, ricorso per cassazione, deducendo l'illegittimità della decisione di merito sulla base di cinque motivi.
In particolare, l'Istituto rilevava come l'attività di controllo svolta, trovando diretto fondamento nella legge, non avrebbe comportato l'obbligo di rendere agli interessati la prevista informativa.
Quanto alla censurata attività di profilazione, l'Ente ricorrente rilevava come la procedura informatizzata impiegata non individuasse un soggetto specifico e lo stesso non venisse inserito in determinate categorie o profili, prendendo in considerazione soltanto la domanda di indennità di malattia presentata dal lavoratore.
Il ricorso viene accolto dalla Suprema Corte sotto questi due specifici profili.
Corte di Cassazione, sez. I Civile, ordinanza (ud. 24 febbraio 2023) 1° marzo 2023, n. 6177
