L’ordinanza n. 6177 della Prima Sezione Civile della Suprema Corte di Cassazione, emessa il 24 febbraio e pubblicata il 1° marzo 2023, ribalta la sentenza n. 4609/2020 del Tribunale di Roma – che aveva confermato il provvedimento sanzionatorio del Garante per la protezione dei dati personali (“Garante”) - e legittima l’utilizzo del software di data mining (estrazione dei dati) “SAVIO”, utilizzato dall’Istituto Nazionale di Previdenza Sociale (“INPS”) e che attribuiva, in modo automatico, un punteggio ai certificati medici prodotti dai lavoratori, ottimizzando, così, il sistema dei controlli medico-legali .
Il Tribunale capitolino aveva confermato la sanzione amministrativa di 40.000 euro che era stata inflitta, nel novembre del 2018, dal Garante all’INPS per l’utilizzo del suddetto software. Le violazioni per le quali l’autorità era intervenuta consistevano nel trattamento dei dati sensibili (compresi quelli sanitari) senza un’idonea informativa e nel trattamento dei predetti dati mediante profilazione, in assenza di preventiva notifica all’autorità.
Il legittimo trattamento dei dati da parte dell’INPS
La Corte di Cassazione, tuttavia, ha affermato che l’INPS poteva adottare lo strumento informatico, in quanto tra i compiti dell’Istituto previdenziale è compreso il trattamento dei dati personali degli interessati in assenza di preventivo consenso e informativa: in particolare, le informazioni in esame erano state ottenute dall’Ente nell’adempimento delle proprie funzioni, che rinvengono il loro fondamento in previsioni normative, senza considerare la circostanza che è il lavoratore stesso a trasmettere il certificato di malattia. L’informazione all’interessato delle finalità del trattamento non è infatti dovuta se i dati sono trattati in base a un obbligo previsto dalla legge (art. 13 co. 5 lett. a) d. lgs. 196/2003, cd. “Codice Privacy”, in vigore all’epoca dei fatti) e il consenso non è richiesto se il trattamento è necessario per adempiere a un obbligo di legge (art. 24 Codice Privacy). Il certificato di malattia presentato dal lavoratore costituisce una domanda di prestazione economica che, per essere istruita, richiede necessariamente il trattamento dei dati mediante l’impiego del software. Di conseguenza, i dati ricevuti dall’INPS sono stati trasmessi dall’interessato stesso, che rilascia, quindi, un tacito consenso al loro utilizzo. Per di più, dovendo l’Istituto effettuare i controlli per fini pubblici, deve poterlo fare nel miglior modo possibile, secondo il principio di buon andamento della pubblica amministrazione, anche mediante l’utilizzo di apposite procedure automatizzate.
Richiamando la precedente giurisprudenza (precisamente i principi di diritto statuiti dalla medesima Corte, sez. III, nella sentenza 20 maggio 2015, n. 10280), gli Ermellini hanno ribadito che le regole sulla tutela dei dati personali vanno adeguatamente bilanciate con le disposizioni costituzionali che proteggono altri diritti, tra cui l’efficacia, la trasparenza e l’imparzialità dell’attività amministrativa. Interpretando tali principi, la Corte di Giustizia dell’Unione Europea ha più volte affermato che la deroga al divieto di trattamento di dati personali senza il consenso dell’interessato è legittima se finalizzata a perseguire interessi pubblici proporzionati e necessari (ex multis, in tal senso, sentenza della Corte di Giustizia dell’Unione Europea, 20 maggio 2003, C-465/00, Rechnungshof). In questo caso, l’adempimento degli obblighi di legge da parte della P.A. è un interesse considerato prevalente. Inoltre, nel contesto di procedimenti amministrativi, anche il Consiglio di Stato si è espresso in modo favorevole all’utilizzo di procedure informatiche che, tramite algoritmi, conducano gli enti amministrativi all’assunzione di decisioni finali (sentenze n. 2270/2019, sez. VI e n. 8472/2019, sez. VI).
L’utilizzo del software ha determinato la profilazione dei lavoratori?
Con precipuo riferimento all’attività di profilazione, il Garante, basandosi sull’art. 14 del Codice Privacy, aveva sanzionato l’ente, in quanto nessun atto o provvedimento che implichi una valutazione del comportamento umano può essere fondato unicamente su un trattamento automatizzato di dati personali. La Corte ha, tuttavia, valutato la fattispecie in esame in maniera radicalmente diversa. In primo luogo, i giudici hanno ritenuto che, nel caso in oggetto, manchi la profilazione, poiché il soggetto interessato non viene mai inserito in determinate categorie, rilevando soltanto la domanda di indennità di malattia quale prestazione previdenziale richiesta. Ad ogni domanda era stato, infatti, assegnato uno score, collegato a specifiche variabili quali durata della prognosi, età, genere, retribuzione, settore produttivo, tipologia del rapporto di lavoro, prescindenti da una qualsivoglia profilazione soggettiva, ma collegate unicamente alla singola domanda di prestazione. Alle domande veniva, quindi, associato un indice relativo alla probabilità di “insussistenza della malattia”, di “decorso più favorevole rispetto al dichiarato” e “possibilità di verificare la conclusione della malattia”, nella prospettiva di aiutare il personale medico a programmare e concentrare le visite di controllo in maniera razionale. Il punteggio calcolato tramite il software in questione non veniva storicizzato, essendo associato alla domanda e non alle persone: in altri termini, al lavoratore non veniva mai associata una variabile idonea a caratterizzarlo e indentificarlo con il fine di includerlo in qualche determinata categoria. Inoltre, il trattamento non veniva effettuato unicamente secondo modalità automatizzate, dal momento che le verifiche successive erano svolte da operatori umani. A tanto la Corte ha aggiunto che il comportamento umano – dei lavoratori, nello specifico – non costituiva mai oggetto di valutazione da parte del software, perché esso non era in grado, in alcun modo di delineare la personalità degli interessati.
Secondo i giudici di legittimità, pertanto, emerge tale attività non può rientrare nella nozione di profilazione (né in quella contenuta nell’art. 14 del Codice Privacy, né in quella stabilita dall’art. 4 del Regolamento UE 2016/679), perché essa richiede un’attività di preordinazione di profili e di categorie, tali da consentire l’individuazione delle caratteristiche comuni delle persone fisiche per ciascuna di esse e la successiva applicazione di un “profilo”, così disegnato, ad una determinata persona fisica. Elementi che, secondo la Corte, non ricorrono per il caso di specie. Di qui la cassazione della sentenza del Tribunale di Roma ed il conseguente annullamento dell’ordinanza-ingiunzione del Garante, in considerazione della legittimità del trattamento operato dall’INPS, in quanto funzionale all’adempimento delle pubbliche funzioni ad esso affidate ed orientate a proteggere gli interessi della collettività.
Avv. Rossella Bucca e Dott. Lapo Lucani
