8 ottobre 2018

Profilazione dei lavoratori in malattia e tutela della privacy: la strada in salita per l’integrazione tra GDPR e normativa nazionale

Antonella Mauro


ADAPT - Scuola di alta formazione sulle relazioni industriali e di lavoro
Per iscriverti al Bollettino ADAPT clicca qui
Per entrare nella Scuola di ADAPT e nel progetto Fabbrica dei talenti scrivi a: selezione@adapt.it

L’audizione del Presidente dell’Autorità Garante per la privacy alla Commissione Lavoro del Senato dello scorso 18 settembre ha avuto ad oggetto le valutazioni dell’Autorità in merito alla conformità con la nuova disciplina in materia di protezione dei dati personali di un sistema di data mining (c.d. SAVIO) – adottato dall’Inps per prevedere la propensione di ciascun lavoratore ad assenza per malattia ingiustificata, programmare le visite fiscali in modo da individuare tali tipologie di assenza e prevenire comportamenti fraudolenti – nonché di una proposta normativa elaborata dall’Inps per legittimare il ricorso a tali sistemi di monitoraggio e previsione su base statistica.

 

Le considerazioni dell’Autorità rese in questa sede sono utili da un duplice punto di vista. Consentono, infatti, da un lato di capire quali siano le difficoltà in termini di integrazione della normativa comunitaria da parte di leggi speciali nazionali in materia giuslavoristica (possibilità prevista dall’art. 88 del GDPR a cui è stato dato seguito in maniera debole con l’art. 111 del D. Lgs. 101 del 2018) e, dall’altro, quale sia il livello di maturazione degli operatori (in questo caso pubblici) rispetto ai punti salienti della normativa e alle tecniche regolamentari adottate.

 

Il sistema SAVIO e i rilievi del Garante

 

Il sistema SAVIO è stato utilizzato dall’Inps negli ultimi anni per effettuare attività di profilazione dei lavoratori prendendo in considerazione la frequenza e la durata dei singoli episodi morbosi, il numero delle precedenti idoneità alle visite di controllo, la qualifica del lavoratore, la tipologia di rapporto si lavoro, la retribuzione, il settore e la dimensione aziendale.

Il Garante, riconoscendo la meritevolezza degli interessi pubblici sottostanti l’adozione del sistema di profilazione esaminato, ha ritenuto innanzitutto che il dato trattato sia sensibile per il semplice fatto di essere attinente ad una assenza per malattia, indipendentemente dal fatto che nell’ambito della profilazione, la diagnosi fosse irrilevante. Inoltre, rileva che non sono state attuatemisure di informazione dei lavoratori né altre volte a minimizzare il rischio derivante da errori nella raccolta dei dati o nella logica algoritmica del software predittivo che possano avere ripercussioni sulle posizioni individuali.

 

Anche con riferimento alla proposta di legge presentata dall’Inps il Garante è categorico: non soddisfa i requisiti richiesti dalla normativa europea per la tutela dei dati personali.

 

Il generale il regolamento appronta una serie di tutele volte ad arginare i rischi connessi alla profilazione e all’utilizzo di processi decisionali automatizzati.

 

Ai sensi dell’art. 22 del Regolamento, il trattamento di dati sensibili (rectius, particolari categorie di dati ex art. 9 del Regolamento), segnatamente quelli relativi alla salute, nell’ambito di processi decisionali automatizzati, deve avvenire a fronte di un interesse pubblico rilevante ed è necessaria una legislazione specifica che, anche eventualmente integrata da atti normativi secondari delegati dalla fonte primaria, preveda «misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato» e, segnatamente:

 

  • modalità di informazione degli interessati circa le modalità e le finalità del trattamento;
  • strumenti di esercizio, da parte dei soggetti interessati, del diritto di accesso e di rettifica di informazioni errate;
  • misure tecniche e organizzative idonee a limitare errori nel processo che possano determinare conseguenze negative ingiustificate nei confronti dei soggetti profilati;
  • valutazione periodica della pertinenza e della qualità delle informazioni;
  • configurazione degli algoritmi in modo da minimizzare errori o distorsioni;
  • misure di minimizzazione dei dati;
  • definizione di tempi di conservazione proporzionati.

 

Infine, l’Autorità precisa anche la necessità da parte del Titolare del trattamento di effettuare una valutazione di impatto.

 

La proposta normativa dell’Inps, invece, si limita a delineare un quadro di interessi pubblici generali legittimanti la procedura attuata dall’Istituto, senza individuare né finalità e obiettivi specifici, né le necessarie misure di tutela per i soggetti interessati.

 

Conclusioni

 

Il caso esaminato offre più spunti di riflessione.

 

In prima istanza, il sistema SAVIO è stato oggetto di indagine ora, ma il suo impiego risale a prima dell’adozione del GDPR (almeno 5 anni). Le violazioni evidenziate dal Garante erano quindi probabilmente riferibili non solo alla nuova normativa europea, ma già a quella preesistente.

Questo elemento è un sintomo di quanto il tema della tutela dei dati personali sia stato nel tempo sottovalutato.

Verrebbe pensare che non sia solo necessario un cambio di approccio nella valutazione e gestione del “rischio privacy”, ma che ce ne si debba addirittura occupare per la prima volta in alcuni casi.

 

Inoltre, tale necessario cambio di visione nella valutazione e gestione dei rischi connessi a trattamenti di dati personali, alla luce del caso esaminato, non può riguardare solo gli attori del mondo imprenditoriale, ma assume una primaria rilevanza anche sul fronte delle tecniche legislative e regolamentari.

Le carenze rilavate dal Garante relativamente alla proposta normativa dell’Inps sono sintomatiche di un generale disorientamento circa i contenuti e le tecniche legislative o di regolamentazione delle procedure e dei metodi di trattamento dei dati personali (in questo caso dei lavoratori) alla luce dei nuovi standard introdotti dal Regolamento 679/2016.

Non giova a dirimere le incertezze la scelta del legislatore nazionale di non intervenire con una disciplina giuslavoristica specifica (non cogliendo così l’opportunità offertagli dal legislatore comunitario con la delega ex art. 88 del GDPR). L’art. 111 del D.lgs. 101 del 2018 prevede esclusivamente – in tema di trattamenti nell’ambito del rapporto di lavoro – un’azione di promozione, ancora da parte del Garante, dell’adozione di codici deontologici.

L’unico attore pubblico attivamente coinvolto in questo processo è, quindi, attualmente il Garante per la protezione dei dati personali. E con poteri che, ricordiamo, non sono di natura legislativa né giurisdizionale.

 

Ampliando la riflessione in una prospettiva sistematica generale, l’incertezza del diritto non consente agli operatori – in questo caso, principalmente le imprese – un’agevole pianificazione delle loro azioni, anche in termini di investimenti, per la cui propulsione non bastano esclusivamente misure di incentivo fiscale, ma è necessaria anche la definizione di un quadro di regole del gioco quanto più possibile chiaro e non contingente.

 

Antonella Mauro

Scuola di dottorato in Formazione della persona e mercato del lavoro

Università degli Studi di Bergamo

@a_mauro89

 

Scarica il PDF 

 




PinIt