L’INPS, ricorrente, ha impugnato l’ordinanza ingiunzione emessa nei suoi confronti dal Garante per la protezione dei dati personali, che gli ha comminato la sanzione amministrativa di E 40.000,00 per violazione delle disposizioni degli artt. 13,20 e 37 del Codice della privacy nell’impiego del software c.d. Data Mining/Savio.
Si tratta di un sistema che attribuisce in modo automatico un punteggio convenzionale ai certificati medici prodotti dai lavoratori al fine di indirizzare in modo mirato e più efficiente il sistema dei controlli medico legali.
A fronte dell’avvio di una interlocuzione da parte del Garante, e delle contestazioni da questi elevate con atto del luglio 2018, l’INPS ha sospeso l’utilizzo del sistema; non è stato pertanto emesso alcun provvedimento prescrittivo o inibitorio, ma è stato dato corso al procedimento sanzionatorio, concluso con l’emissione dell’ordinanza impugnatain questo giudizio.
Il Garante ha sanzionato le seguenti condotte (riferite al sistema normativo previgente all’entrata in vigore del d.lvo 101/98):
– violazione delle disposizioni dell’art. 13 d.lgs. n. 196/2003(Codice in materia di protezione dei dati personali), sanzionata dall’art. 161 del Codice, per aver effettuato un trattamento dei dati sensibili, senza aver rilasciato idonea informativa, ai sensi dell’art. 22, comma 2 del Codice nella misura di euro 12.000,00;
– violazione delle disposizioni di cui all’art. 20, sanzionata dall’art. 162, comma 2-bis del Codice, per aver effettuato un trattamento illecito di dati personali, anche idonei a rivelare lo stato di salute in mancanza dei necessari presupposti, nella misura di euro 20.000,00, con applicazione dell’art. 164-bis, comma 3 del Codice;
– violazione delle disposizioni di cui all’art. 37, sanzionata dall’art. 163 del Codice per aver effettuato attività di profilazione con i dati personali dei lavoratori, anche idonei a rivelare lo stato di salute, senza notificare preventivamente tale trattamento all’Autorità, quantificato in E 8.000 (ovvero nella misura minima).
Nell’opporsi a tale sanzione, in estrema sintesi, l ‘INPS osserva quanto segue:
1) la violazione amministrativa non è stata contestata nel termine di cui all’art. 14 l. 689/81, in quanto mai contestata la violazione all’autore materiale del fatto ma unicamente all’ente civilmente responsabile in solido (attività che non escluderebbe la decadenza a parere dell’INPS);
2) la violazione di cui all’art. 37 del Codice risulta prescritta, giacché riferita ad adempimento che avrebbe dovuto essere effettuato prima dell’8 marzo 2011;
3) la procedura in contestazione non implica la raccolta di dati sensibili attinenti allo stato di salute degli interessati, ed in ogni caso l’attività svolta dall’Istituto costituisce attuazione di un obbligo di legge, per il soddisfacimento di un interesse pubblico, e deve ritenersi dunque ai sensi dell’art. 24 lettera a) del Codice non soggetta all’obbligo del preventivo consenso dell’interessato;
4) il sistema Data Mining non comporta alcuna attività di profilazione degli interessati e non viola dunque l’art., 37.
5) All’Istituto andava concessa la facoltà di accedere al pagamento in misura ridotta in quanto il procedimento non era stato ancora definito alla data di entrata in vigore del GDPR (come previsto dall’art. 18 l.lvo 101/18);
Preliminarmente deve essere respinta l’eccezione di inammissibilità sollevata dalla parte resistente, per non avere l’INPS impugnato autonomamente la nota 13074/18 del Garante, che costituisce una fase prodromica del procedimento, destinata ad ulteriore interlocuzione con l’Istituto e priva di efficacia dispositiva.
Con riguardo ai motivi di impugnazione sopra sintetizzati, in riferimento al punto 1) è sufficiente richiamare la pronuncia di recente resa dalle Sezioni Unite della Cassazione, secondo cui In tema di sanzioni amministrative, la solidarietà prevista dall’art. 6 della l. n. 689 del 1981 non si limita ad assolvere una funzione di garanzia, ma persegue anche uno scopo pubblicistico di deterrenza generale nei confronti di quanti, persone fisiche o enti, abbiano interagito con il trasgressorerendendo possibile la violazione, sicché l’obbligazione del corresponsabile solidale è autonoma rispetto a quella dell’obbligato in via principale e, pertanto, non viene meno nell’ipotesi in cui quest’ultima, ai sensi dell’art. 14, ultimo comma, della detta l. n. 689 del 1981, si estingua per mancata tempestiva notificazione, con l’ulteriore conseguenza che l’obbligato solidale che abbia pagato la sanzione conserva l’azione di regresso per l’intero verso l’autore della violazione, il quale non può eccepire, all’interno di tale ultimo rapporto, che è invece di sola rilevanza privatistica, l’estinzione del suo obbligo verso l’Amministrazione. (Sez. U – , Sentenza n. 22082 del 22/09/2017). La pronuncia supera dunque le ragioni spese dalla parte ricorrente a sostegno della propria lettura dell’art. 14 della l.689/81(fondate sulla iniquità di una soluzione che potrebbe in astratto portare il coobbligato a perdere l’azione di regresso); per il resto si deve convenire con la difesa del Garante laddove sottolinea come ai sensi dell’art. 28 del Codice“Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da qualsiasi altro ente, associazione od organismo, titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza”.
Riguardo al punto 2), relativo all’eccezione di prescrizione dell’illecito di cui all’art. 37, occorre valutare se la condotta omissiva sanzionata(= l’omesso avviso al Garante dell’avvio di una attività di trattamento di dati rientranti in alcune delle categorie contemplate dalla norma) abbia carattere istantaneo (come affermato dall’INPS) o permanente, come sostenuto dal Garante; ora, secondo la giurisprudenza, in tema di sanzioni amministrative, la permanenza dell’illecito omissivo è configurabile con riferimento a quelle condotte che l’autore avrebbe potuto porre in essere utilmente anche dopo la prima omissione(v. Cass. sez. 2, sent. n. 15025 del 31/05/2019), situazione che certamente si attaglia al caso presente, giacché anche dopo l’avvio del sistema di raccolta dati per cui è causa l’Istituto avrebbe potuto in ogni momento procedere ad informare il Garante del tipo di trattamento avviato, e del fatto che intendesse procedervi- secondo la dizione dell’art. 37 – anche per il futuro. Dunque la prescrizione non può dirsi decorsa.
Con riferimento al punto 3), è del tutto evidente che l’attività di controllo demandata all’INPS riguardo alle assenze dal lavoro per malattia costituisca adempimento di un obbligo di legge, non soggetto a consenso ai sensi dell’art. 24 del codice; tuttavia in questo giudizio non si tratta di analizzare in sé l’attività di controllo medico legale, quanto di valutare sotto il profilo delle regole della privacy una specifica operazione di raccolta di dati, prodromica al controllo ed indubbiamente funzionale ad una sua maggiore efficienza, ma che certamente non risulta dovuta per legge o necessitata; è da escludere dunque che possa trovare applicazione l’art. 24 del Codice.D’altro canto non è sostenibile che attraverso una analisi della frequenza e durata delle malattie(tra i principali indicatori del software, come si legge nella nota INPS prodotta quale doc. 3 di parte ricorrente) non si pervenga ad una raccolta di informazioni relative allo stato di salute degli interessati, pur in assenza delle relative diagnosi.
In merito al punto 4) dell’opposizione, secondo cui l’attività del sistema in contestazione non comporterebbe alcun tipo di profilazione, si deve ricordare che secondo le definizione comunemente accolta, ed oggi rinvenibile dal GDPR, per profilazione si intende qualsiasi forma di trattamento automatizzato dei dati personali, volta alla valutazione di alcuni aspetti personali relativi a persone fisiche (tra le quali a titolo esemplificativo, il rendimento professionale, la salute, l’affidabilità, qualifiche che come è intuitivo possono desumersi indirettamente dal tipo di raccolta, posto che uno degli indicatori è costituito dal numero di assenze per malattia e dalla loro durata, e che scopo del trattamento è indirizzare i controlli verso le certificazioni meno affidabili); non è poi sostenibile quanto affermato dal ricorrente, secondo cui la profilazione in esame avrebbe ad oggetto i singoli certificati di malattia e non i lavoratori cui si riferiscono; pertanto, correttamente il Garante ha ritenuto che in presenza di una profilazione avente ad oggetto dati sensibili, l’Istituto avrebbe dovuto – in mancanza di una normativa che autorizzava a monte il tipo di trattamento in questione – richiedere al garante una specifica autorizzazione come previsto dall’art 20 ultimo comma del codice medesimo,o comunque sottoporre la procedura a verifica ai sensi dell’art. 17.
Del resto l’art. 37 oggetto delle considerazioni di cui al punto 2) dispone al comma 1, lett. d) che:
“Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: … d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronicacon esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti e nel caso presente si è di fronte ad una raccolta di dati idonei a definire un profilo dell’interessato, trattati con strumenti elettronici, attraverso una procedura funzionale ma non indispensabile alla realizzazione degli scopi dell’Ente che la ha adottata.Appare dunque ragionevole alla luce della normativa sulla protezione dei dati personali, la richiesta che venisse preventivamente avviata una concertazione con l’AG volta a meglio definire in contorni dell’operazione e predisporre adeguate garanzie.
In ordine al punto 5) lamenta la parte ricorrente che non le sia stato dato accesso alla definizione agevolata di cui all’art. 18 del d.lgs. n. 101/18, secondo cui per i procedimenti sanzionatori riguardanti le violazioni di cui agli articoli 161, 162, 162-bis, 162-ter, 163, 164, 164-bis, comma 2, del Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, e le violazioni delle misure di cui all’articolo 33 e 162, comma 2-bis, del medesimo Codice, che, alla data di applicazione del Regolamento, risultino non ancora definiti con l’adozione dell’ordinanza – ingiunzione, è ammesso il pagamento in misura ridotta di un somma pari a due quinti del minimo edittale.
Ebbene tale agevolazione ha ad oggetto i procedimenti sanzionatori pendenti alla data di applicazione del regolamento UE 2016/679, ed appare chiaro che la stessa non possa trovare applicazione laddove la contestazione della violazione con indicazione delle norme violate e delle sanzioni previste, sia intervenuta successivamente alla data di applicazione del regolamento,ovvero alla data del 25 maggio 2018. E nella specie la contestazione della violazione reca la data del 16 luglio 2018, successiva dunque alla data di applicazione del GDPR, mentre prima di tale momento non è individuabile la pendenza di un vero e proprio procedimento sanzionatorio, ma unicamente l’avvio di una attività di interlocuzione con l’Autorità Garante, come già sopra chiarito.Il ricorso deve pertanto essere respinto e le spese
Tribunale Roma sez. XVIII, 03/03/2020, (ud. 02/03/2020, dep. 03/03/2020), n.4609
Photo by Dayne Topkin on Unsplash