Diventa Autore per CoreTech | Scopri di più
06/08/20 Avvocato Dalla Riva Blog
dell’Avvocato Gianluca Dalla Riva
La sentenza del Tribunale Roma Sez. XVIII, del 03-03-2020 (Banca dati Pluris) prende in esame un caso interessante che sintetizza per certi versi il corretto approccio che bisogna avere nella creazione di un software che tratti dati personali, specie se di natura particolare.
Il software in questione riguarda un sistema che attribuisce in modo automatico un punteggio convenzionale ai certificati medici prodotti dai lavoratori, al fine di indirizzare in modo mirato e più efficiente il sistema dei controlli medico-legali.
Il Garante ha sollevato tre diverse contestazioni, sulla base della normativa in vigore prima del regolamento (UE) 2016/679 c.d. GDPR, che si possono sintetizzare in:
Nella sentenza sono state respinte tutte le difese dell’INPS, in particolare viene respinta la tesi che il software fosse giustificato dalla necessità di controllare la correttezza dei comportamenti dei dipendenti, perché “in questo giudizio non si tratta di analizzare in sé l'attività di controllo medico legale, quanto di valutare sotto il profilo delle regole della privacy una specifica operazione di raccolta di dati, prodromica al controllo ed indubbiamente funzionale ad una sua maggiore efficienza, ma che certamente non risulta dovuta per legge o necessitata”.
Quindi manca una norma giuridica che consenta tale trattamento e senza la quale il trattamento dei dati personali è illecito, quindi il problema si trova a monte dell’informativa, che deve essere predisposta indicando espressamente quale base giuridica giustifica il trattamento.
Nella sentenza si evidenzia poi che “D'altro canto non è sostenibile che attraverso una analisi della frequenza e durata delle malattie (tra i principali indicatori del software, come si legge nella nota INPS prodotta quale doc. 3 di parte ricorrente) non si pervenga ad una raccolta di informazioni relative allo stato di salute degli interessati, pur in assenza delle relative diagnosi”.
Si conferma quindi che sussiste un trattamento di dati sanitari e che con il software in questione si effettua una vera e propria profilazione (si veda la motivazione: “l'attività del sistema in contestazione non comporterebbe alcun tipo di profilazione, si deve ricordare che secondo le definizione comunemente accolta, ed oggi rinvenibile dal DGPR, per profilazione si intende qualsiasi forma di trattamento automatizzato dei dati personali, volta alla valutazione di alcuni aspetti personali relativi a persone fisiche (tra le quali a titolo esemplificativo, il rendimento professionale, la salute, l'affidabilità, qualifiche che come è intuitivo possono desumersi indirettamente dal tipo di raccolta, posto che uno degli indicatori è costituito dal numero di assenze per malattia e dalla loro durata, e che scopo del trattamento è indirizzare i controlli verso le certificazioni meno affidabili); non è poi sostenibile quanto affermato dal ricorrente, secondo cui la profilazione in esame avrebbe ad oggetto i singoli certificati di malattia e non i lavoratori cui si riferiscono”).
A questo punto viene confermata la sanzione relativa alla contestazione di non aver chiesto l’autorizzazione al Garante anche tramite la vecchia verifica preliminare ex art. 17 del codice della privacy ora abrogata.
Con il GDPR sarebbe stata necessaria una DPIA, cioè una valutazione di impatto protezione dei dati ex art. 35 del GDPR, che avrebbe dovuto analizzare tutte queste problematiche e quindi individuare le specifiche criticità sollevate dallo stesso Garante.
Il caso è molto attuale perché mi è capitato con una certa frequenza, ancora di più ora in sede di pandemia, di vedere ottimi informatici presentare software tra i più vari in cui evidenziano l’efficienza e velocità del servizio offerto, senza però rappresentare come sono state risolte le problematiche privacy sottese.
È chiaro che certe leggerezze possono costare caro, molto più che in passato, perché se il caso esaminato nell’articolo si verificasse oggi, si applicherebbero le sanzioni del regolamento GDPR che, come noto, sono molto severe.
Quindi se sei un informatico e realizzi un software poniti il problema della compliance privacy.