Contatta il reparto vendite 800 13.40.41 | Richiedi il Supporto Partner EN flag

Articoli

Icona delle News




Garante contro Inps: software di controllo dei certificati medico-legali

06/08/20 Avvocato Dalla Riva Blog

dell’Avvocato Gianluca Dalla Riva

 

La sentenza del Tribunale Roma Sez. XVIII, del 03-03-2020 (Banca dati Pluris) prende in esame un caso interessante che sintetizza per certi versi il corretto approccio che bisogna avere nella creazione di un software che tratti dati personali, specie se di natura particolare.

Il software in questione riguarda un sistema che attribuisce in modo automatico un punteggio convenzionale ai certificati medici prodotti dai lavoratori, al fine di indirizzare in modo mirato e più efficiente il sistema dei controlli medico-legali.

Il Garante ha sollevato tre diverse contestazioni, sulla base della normativa in vigore prima del regolamento (UE) 2016/679 c.d. GDPR, che si possono sintetizzare in:

  1. mancata di informativa agli interessati
  2. trattamento di dati personali nella specie sanitari in assenza di una base giuridica di liceità
  3. aver effettuato attività di profilazione con i dati personali dei lavoratori, anche idonei a rivelare lo stato di salute, senza notificare preventivamente tale trattamento all'Autorità”.

Nella sentenza sono state respinte tutte le difese dell’INPS, in particolare viene respinta la tesi che il software fosse giustificato dalla necessità di controllare la correttezza dei comportamenti dei dipendenti, perché “in questo giudizio non si tratta di analizzare in sé l'attività di controllo medico legale, quanto di valutare sotto il profilo delle regole della privacy una specifica operazione di raccolta di dati, prodromica al controllo ed indubbiamente funzionale ad una sua maggiore efficienza, ma che certamente non risulta dovuta per legge o necessitata”.

Quindi manca una norma giuridica che consenta tale trattamento e senza la quale il trattamento dei dati personali è illecito, quindi il problema si trova a monte dell’informativa, che deve essere predisposta indicando espressamente quale base giuridica giustifica il trattamento.

Nella sentenza si evidenzia poi che “D'altro canto non è sostenibile che attraverso una analisi della frequenza e durata delle malattie (tra i principali indicatori del software, come si legge nella nota INPS prodotta quale doc. 3 di parte ricorrente) non si pervenga ad una raccolta di informazioni relative allo stato di salute degli interessati, pur in assenza delle relative diagnosi”.

Si conferma quindi che sussiste un trattamento di dati sanitari e che con il software in questione si effettua una vera e propria profilazione (si veda la motivazione: “l'attività del sistema in contestazione non comporterebbe alcun tipo di profilazione, si deve ricordare che secondo le definizione comunemente accolta, ed oggi rinvenibile dal DGPR, per profilazione si intende qualsiasi forma di trattamento automatizzato dei dati personali, volta alla valutazione di alcuni aspetti personali relativi a persone fisiche (tra le quali a titolo esemplificativo, il rendimento professionale, la salute, l'affidabilità, qualifiche che come è intuitivo possono desumersi indirettamente dal tipo di raccolta, posto che uno degli indicatori è costituito dal numero di assenze per malattia e dalla loro durata, e che scopo del trattamento è indirizzare i controlli verso le certificazioni meno affidabili); non è poi sostenibile quanto affermato dal ricorrente, secondo cui la profilazione in esame avrebbe ad oggetto i singoli certificati di malattia e non i lavoratori cui si riferiscono”).

Banner

A questo punto viene confermata la sanzione relativa alla contestazione di non aver chiesto l’autorizzazione al Garante anche tramite la vecchia verifica preliminare ex art. 17 del codice della privacy ora abrogata.

Con il GDPR sarebbe stata necessaria una DPIA, cioè una valutazione di impatto protezione dei dati ex art. 35 del GDPR, che avrebbe dovuto analizzare tutte queste problematiche e quindi individuare le specifiche criticità sollevate dallo stesso Garante.

Il caso è molto attuale perché mi è capitato con una certa frequenza, ancora di più ora in sede di pandemia, di vedere ottimi informatici presentare software tra i più vari in cui evidenziano l’efficienza e velocità del servizio offerto, senza però rappresentare come sono state risolte le problematiche privacy sottese.

È chiaro che certe leggerezze possono costare caro, molto più che in passato, perché se il caso esaminato nell’articolo si verificasse oggi, si applicherebbero le sanzioni del regolamento GDPR che, come noto, sono molto severe.

Quindi se sei un informatico e realizzi un software poniti il problema della compliance privacy.


Articoli su GDPR

Il corso generale sul regolamento GDPR, disponibile dal 21 Giugno 2021!In arrivo il corso generale sul regolamento GDPRNuovo Corso GDPRTalk: Compliance Privacy e aspetti pratici: da dove cominciare?Corso Online GDPR e Privacy!Video corso Data Breach - Sai cosa gestirne uno?Gdpr - Privacy Multa del garante di 600 mila euro ad una banca a seguito di un Data Breach.Come avvicinarsi alla Privacy con il metodo SocraticoGarante contro Inps: software di controllo dei certificati medico-legaliCrowdfunding e regolamento GDPR: niente soldi senza Compliance PrivacyGestione Data Breach: non buttare via i dati compromessiRuoli Privacy: MSP quale responsabile del trattamentoMSP (Managed Service Provider) e DPA (Data Processing Agreement): Uno, Nessuno, CentomilaGDPR – PRIVACY Analisi e gestione del rischio: quale regola tecnica scegliere?Obbligo di formazione Privacy anche sulla gestione dei Data BreachAttacchi Social Engineering e MSP: la procedura di riconoscimentoLa nuova frontiera della consulenza: la PrivacyPrivacy Shield: cos’è e perché l’Ue lo annullaGDPR – PRIVACY: una multa di 80 mila euro per la mancata risposta ad una lettera all’interessatoAvvocato Dalla Riva - MSP e gestione dei Data Breach. Quale approccio? | Summit LiveCoreTech partecipa a DATA TALK 2018 - Sicurezza informa e GDPRStrumenti Tecnici per GDPR versione 1.0Perché Sygma costa così poco?Il GDPR con Sygma è più facile!Bollettino Cloud - Marzo 2018GDPR che pa..e!Dati al sicuro e GDPR compliance? Semplice…. 1Backup!GDPR e la sicurezza dei dati, nuovi obblighi

Video Premium su GDPR

Corsi Premium - GDPR
Ripe Ncc Member
vmware
CloudLinux
Plesk
HP
Microsoft