Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Istituto Nazionale Previdenza Sociale (INPS) - 29 novembre 2018 [9078812]

[doc. web n. 9078812]

Ordinanza ingiunzione nei confronti di Istituto Nazionale Previdenza Sociale (INPS) - 29 novembre 2018

Registro dei provvedimenti
n. 492 del 29 novembre 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

RILEVATO che l’Ufficio del Garante per la protezione dei dati personali (di seguito Garante), con la nota n. 13076/123765 del 4 maggio 2018, ha definito un procedimento amministrativo avviato dall’Autorità di iniziativa, accertando che l’Istituto Nazionale Previdenza Sociale (INPS) Cod. fisc.: 80078750587, con sede in Roma, via Ciro il Grande n. 21, in persona del legale rappresentante pro-tempore, ha trattato, dall’8 febbraio 2011 al mese di marzo 2018, i dati personali relativi a 12,6 milioni di lavoratori privati assenti per malattia attraverso l’utilizzo del software “Data Mining/Savio” che attribuisce uno “score di probabilità” al certificato medico riferito al lavoratore, effettuando così un trattamento automatizzato di dati personali, anche idonei a rivelare lo stato di salute, raffrontando le informazioni contenute nel predetto certificato con le altre contenute nell’archivio gestionale del VMC ed in ulteriori archivi amministrativi dell’Istituto. 

Tale trattamento, che non risulta essere stato sottoposto a verifica preliminare ai sensi dell’art. 17 del Codice, è stato effettuato in base a norme che, nonostante riconoscano l’obbligo di disporre delle visite domiciliari di controllo dei lavoratori assenti dal servizio per malattia e introducano la trasmissione telematica delle certificazioni di malattia sia per il settore pubblico che privato, non dispongono nulla in merito ai tipi di dati e alle operazioni eseguibili nell’ambito del trattamento automatizzato in argomento, quindi in violazione di quanto statuito dagli artt. 14 e 20 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196 – nel seguito, “Codice”).

Con la citata nota del 4 maggio 2018 risulta parimenti accertato che il trattamento di dati effettuato attraverso l’utilizzo del software “Data Mining/Savio”, configura una vera e propria profilazione dei dati a fronte della quale l’INPS non ha provveduto ad effettuare la notificazione al Garante ai sensi dell’art. 37 del Codice.
Inoltre, il trattamento in argomento, con specifico riferimento ai dati sensibili, è stato effettuato senza che venisse resa agli interessati, ai sensi dell’art. 22, comma 2 del Codice, la prescritta informativa in violazione dell’art. 13 del Codice;

VISTO il verbale n. 21274/123765 del 16 luglio 2018 con cui è stata contestata dall’Ufficio del Garante, all’INPS, in persona del legale rappresentante pro-tempore:

a) nella forma aggravata prevista dall’art. 164-bis, comma 3 del Codice, la violazione amministrativa prevista dall’art. 161, in relazione agli artt. 13 e 22, comma 2 (capo a) del dispositivo del verbale di contestazione;

b) nella forma aggravata prevista dall’art. 164-bis, comma 3 del Codice, la violazione amministrativa prevista dall’art. 162, comma 2-bis, del Codice, in relazione all’art. 20 (capo b) del dispositivo del verbale di contestazione;

c) la violazione amministrativa prevista dall’art. 163, in relazione all’art. 37 (capo c) del dispositivo del verbale di contestazione;

nformandolo, per tutti e tre i rilievi contestati, della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge n. 689/1981;

ESAMINATO il rapporto dell’Ufficio del Garante predisposto ai sensi dell’art. 17 della legge 24 novembre 1981, n. 689, dal quale non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo datato 1° agosto 2018 inviato ai sensi dell’art. 18 della legge n. 689/1981, con il quale l’INPS, richiamando la sentenza n. 78/1988  della Corte Costituzionale, ha rilevato come tale pronunciamento abbia “(…) indotto l’Istituto a ritenere di aver legittimamente adottato la procedura, (utilizzo del software “Data Mining/Savio”), (…) posto che operava in relazione a competenze espressamente attribuitegli dalla legge, così da escludere che in ordine alle stesse fosse necessario informare o acquisire ulteriori autorizzazioni o consensi da parte degli interessati, trattandosi di dati personali già acquisiti alla conoscenza dell’Ente per l’ottemperanza delle sue funzioni istituzionali e ricorrendo, quindi, nel caso di specie le ipotesi esonerative previste dal comma 5, lett. a, dell’art. 13 e dal già richiamato art. 24 del Codice”.

L’Istituto ha rilevato, inoltre, come “(…) un dettagliato esame delle operazioni di raffronto dei dati effettivamente utilizzati dalla procedura (utilizzo del software “Data Mining/Savio”) evidenzia quanto sia ad essa estraneo l’effetto di profilazione denunciato (…)”. Ciò in quanto “(…) la predetta procedura informatica, oltre a non produrre alcun atto o provvedimento giudiziario o amministrativo che implichi una valutazione del comportamento umano (condizione necessaria perché ricorra l’ipotesi vietata dall’art. 14 e nella cui assenza non può configurarsi alcun illecito amministrativo) non ha neppure delineato alcun profilo soggettivo definitorio della personalità dell’interessato, ma ha semplicemente individuato una contingente situazione di fatto rientrante nell’obbiettivo delle visite di controllo disposte dalla legge. Risultato a cui la procedura informatica perviene  senza che alcun operatore fosse mai posto in condizioni di potere risalire da esso ad un profilo soggettivo o comportamentale del cittadino. Ne consegue che deve del tutto escludersi che, (…) possa ricorrere l’ipotesi di cui all’art. 37 lett. d del Codice, la cui violazione è stata tuttavia contestata (…)”. Peraltro, tali argomentazioni nulla devono pregiudicare rispetto alla ricorrenza, sempre con specifico riferimento alla violazione di cui all’art. 37 del Codice, della prescrizione quinquennale disciplinata dall’art. 28 della legge n. 689/1981.

L’Istituto ha poi argomentato le ragioni per le quali, a differenza di quanto accertato nel verbale di contestazione che ci occupa nel quale sono state applicate le ipotesi aggravate di cui all’art. 164-bis, comma 3 del Codice, ricorrano i presupposti applicativi dell’art. 164-bis, comma 1 del Codice;

VISTO il verbale dell’audizione della parte redatto in data 7 novembre 2018, ai sensi dell’art. 18 della legge n. 689/1981, nel quale l’INPS ha prodotto una memoria difensiva integrativa datata 6 novembre 2018 con cui, “(…) senza alcuna rinuncia o pregiudizio alla facoltà di estinzione del procedimento sanzionatorio mediante il pagamento nella misura ridotta indicata dall’art. 18 della legge n. 101/18 (…)”, ha approfondito ulteriormente gli argomenti difensivi già esposti nella memoria difensiva datata 1° agosto 2018 evidenziando come, in relazione a quanto già argomentato circa l’esimente della buona fede in relazione all’errore scusabile, debba essere considerato quanto statuito dalla Corte Costituzionale nella sentenza n. 364/1988;

CONSIDERATO che le argomentazioni addotte non permettono di escludere la responsabilità dell’INPS in relazione alle violazioni oggetto di accertamento e di successiva contestazione. L’Istituto, pur esplicitando ulteriori dettagli e spunti di approfondimento circa la natura e le modalità del trattamento di dati riconducibili al software “Data Mining/Savio, non ha fornito alcun elemento di rilievo in ordine alla ricorrenza delle fattispecie sanzionatorie contestate. Infatti quanto argomentato nelle memorie difensive datate 1° agosto 2018 e 6 novembre 2018 nonché quanto rappresentato nel verbale di audizione, non evidenzia alcun elemento di valutazione aggiuntivo rispetto a quelli presi in considerazione nell’ambito dell’attività istruttoria definita con la nota n. 13076/123765 del 4 maggio 2018, con la quale sono stati accertati i rilievi sanzionatori che ci occupano. Inoltre, deve rilevarsi che, diversamente da quanto ritenuto dall’Istituto, nel caso di specie, anche tenendo conto di quanto statuito nella richiamata sentenza della Corte Costituzionale n. 364/1988, non si rinviene alcuno degli elementi costitutivi dell’errore scusabile comunemente definibile come buona fede di cui all’art. 3 della legge n. 689/1981, atteso che tale scriminante può rilevare come causa di esclusione della responsabilità solo quando risulti incolpevole. A tal fine occorre, cioè, un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dall'interessato con l’ordinaria diligenza, elemento che non è riscontrabile nel caso di specie (Cass. Civ. sez. I del 21 febbraio 1995 n. 1873; Cass. Civ. sez II del 13 marzo 2006, n. 5426).

Relativamente a quanto osservato circa la ricorrenza, nella vicenda che ci occupa, dei casi di minore gravità di cui al comma 1 dell’art. 164-bis del Codice invece che delle ipotesi aggravate di cui al comma 3 del citato articolo del Codice (con riferimento alle violazioni di cui agli artt. 13 e 22, comma 2 nonché all’art. 20 del Codice), deve essere tenuto in considerazione il fatto che anche in tale ambito l’Istituto non ha fornito alcun elemento ulteriore rispetto a quelli già valutati relativamente alla ricorrenza delle ipotesi aggravate di cui al citato comma 3. Sul punto si deve pertanto ribadire, come puntualmente accertato, che le violazioni di cui ai capi a) e b) del verbale di contestazione coinvolgono numerosi interessati (12,6 milioni  di lavoratori privati assenti per malattia) rendendo pertanto applicabile la ricorrenza della “maggiore gravità” espressamente prevista dall’art. 164-bis, comma 3 del Codice. D’altro canto, l’invocata ricorrenza dei casi di minore gravità previsti dal comma 1 dell’art. 164-bis del Codice, non può essere ravvisabile con riferimento al rilievo di cui all’art. 161 e al rilievo di cui all’art. 162, comma 2-bis del Codice, considerato che risultano oggetto di trattamento illegittimo i dati personali di numerosi interessati (12,6 milioni di lavoratori) che risultano anche idonei a rivelarne lo stato di salute.

Giova infine puntualizzare come, con riferimento alla possibilità di essere ammessi all’estinzione del procedimento sanzionatorio mediante il pagamento nella misura ridotta indicata dall’art. 18 del d.lgs. n. 101/18, tale facoltà possa essere esercitata solo qualora i contravventori abbiano ricevuto l’atto con il quale sono stati notificati gli estremi della violazione (o l’atto di contestazione immediata) di cui all’art. 14 della legge 24 novembre 1981, n. 689, relativamente ai procedimenti sanzionatori riguardanti le violazioni di cui, tra gli altri, agli artt. 161,162 e 163 del Codice, entro la data del 25 maggio 2018, così  come peraltro esplicitato nelle faq predisposte dall’Autorita nel sito istituzionale (https://www.gpdp.it/home/faq/definizione-agevolata-delle-violazioni-in-materia-di-protezione-dei-dati-personali#1). Nel caso in questione, l’avvio del procedimento sanzionatorio è avvenuto all’esito della notifica della contestazione amministrativa in argomento ovvero in data 16 luglio 2018;

RILEVATO, pertanto, che l’INPS, ha trattato, dall’8 febbraio 2011 al mese di marzo 2018, i dati personali relativi a 12,6 milioni di lavoratori privati assenti per malattia attraverso l’utilizzo del software “Data Mining/Savio” che attribuisce uno “score di probabilità” al certificato medico riferito al lavoratore, effettuando così un trattamento automatizzato di dati personali, anche idonei a rivelare lo stato di salute, raffrontando le informazioni contenute nel predetto certificato con le altre contenute nell’archivio gestionale del VMC ed in ulteriori archivi amministrativi dell’Istituto. Tale trattamento, è stato effettuato in base a norme che non dispongono nulla in merito ai tipi di dati e alle operazioni eseguibili nell’ambito del trattamento automatizzato in argomento, quindi in violazione di quanto statuito dagli artt. 14 e 20 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196 – nel seguito, “Codice”). Il trattamento di dati effettuato attraverso l’utilizzo del software “Data Mining/Savio”, configura una vera e propria profilazione dei dati a fronte della quale l’INPS non ha provveduto ad effettuare la notificazione al Garante ai sensi dell’art. 37 del Codice. Inoltre, il trattamento in argomento, con specifico riferimento ai dati sensibili, è stato effettuato senza che venisse resa agli interessati, ai sensi dell’art. 22, comma 2 del Codice, la prescritta informativa in violazione dell’art. 13 del Codice;

RILEVATO, altresì, che l’INPS ha tempestivamente informato l’Autorità di aver sospeso l’uso del software “Data Mining/Savio”;

VISTO l’art. 161 del Codice che punisce la violazione delle disposizioni di cui all’art. 13, in relazione alla mancata informativa per il trattamento di dati sensibili così come previsto dall’art. 22, comma 2, con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l’art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell’art. 167 del Codice, tra le quali quelle di cui all’art. 20, del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l’art. 163 del Codice che punisce la violazione delle disposizioni di cui agli artt. 37 e 38 con la sanzione da ventimila a centoventimila euro;

CONSIDERATO che, in base a quanto rilevato nel verbale di contestazione di che trattasi, devono considerarsi sussistenti, con riferimento al rilievo di cui all’art. 161 e al rilievo di cui all’art. 162, comma 2-bis, i presupposti applicativi delle ipotesi aggravate di cui all’art. 164-bis, comma 3 del Codice in considerazione del coinvolgimento di numerosi interessati (12,6 milioni di lavoratori);

RITENUTO che, con riferimento al rilievo di cui all’art. 163 del Codice, ricorrono le condizioni per applicare l'art. 164-bis, comma 1, del Codice medesimo, ai sensi del quale “se taluna delle violazioni di cui agli art. 161, 162, 162-ter, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti”;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto:

- l’ammontare della sanzione pecuniaria per la violazione di cui all’art. 161 del Codice deve essere quantificato, in applicazione del citato art. 164-bis, comma 3 del Codice, nella misura di euro 12.000,00 (dodicimila);

- l’ammontare della sanzione pecuniaria per la violazione di cui all’art. 162, comma 2-bis del Codice deve essere quantificato, in applicazione del citato art. 164-bis, comma 3 del Codice, nella misura di euro 20.000,00 (ventimila);

- l’ammontare della sanzione pecuniaria per la violazione di cui all’art. 163 del Codice deve essere quantificato nella misura minima di euro 8.000,00 (ottomila),
per un importo complessivo pari a euro 40.000,00 (quarantamila);

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

all’Istituto Nazionale Previdenza Sociale (INPS) Cod. fisc.: 80078750587, con sede in Roma, via Ciro il Grande n. 21, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 40.000,00 (quarantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni degli artt. 161,162, comma 2-bis e 163 indicate in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 40.000,00 (quarantamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 novembre 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia