Trattamento dei dati personali e buon andamento della PA: legittimo l’uso di un software per automatizzare le verifiche antifrode [Cass. Civ., Sez. I., Ord. 1 marzo 2023, n. 6177]

di Ernesto Belisario

USO DEGLI ALGORITMI NEL PROCEDIMENTO AMMINISTRATIVO

Uso degli algoritmi nel procedimento amministrativo – Procedimento automatizzato – Dati personali del dipendente pubblico – Particolari categorie di dati (“dati sensibili”) – Attività di controllo prevista dalla legge – Illiceità – Esclusione

(Cost., artt. 2 e 97; D.lgs. n. 196 del 2003, artt. 13, 20, 22, 24 e 37;  D.l. n. 463 del 1983, art. 5)

La Corte di cassazione si è pronunciata sulla liceità del trattamento dei dati personali dei dipendenti pubblici effettuato dall’INPS attraverso il software denominato «data mining Savio». La procedura automatizzata in questione, comportante il trattamento dei dati contenuti nel certificato medico inviato dal dipendente per la liquidazione dell’indennità di malattia, è stata utilizzata dall’INPS al fine di rendere più efficiente l’attività antifrode connessa alle visite mediche di controllo dello stato di malattia del lavoratori, svolte ai sensi dell’art. 5, comma 10, del D.l. n. 463 del 1983 (conv. con mod. dalla Legge n. 638 del 1983).

La Suprema corte, con l’ordinanza n. 6177 del 2023, ha annullato il provvedimento del Garante della protezione dei dati personali con cui era stata comminata una sanzione nei confronti dell’Istituto, per aver violato le disposizioni del decreto legislativo n. 196 del 2003 (recante “Codice in materia di protezione dei dati personali”, d’ora in avanti anche solo “Codice”), nella versione vigente anteriormente all’entrata in vigore del Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati, in breve “GDPR”) e del decreto legislativo n. 101 del 2018 di adeguamento al citato Regolamento.

In particolare, con il provvedimento sanzionatorio il Garante aveva ritenuto accertata la violazione da parte dell’INPS delle seguenti disposizioni del Codice: a) art. 13, per aver l’INPS effettuato un trattamento dei dati sensibili senza avere rilasciato idonea informativa  (ex art. 22, comma 2, del Codice); b) art. 20, per aver effettuato, in mancanza dei necessari presupposti, un trattamento illecito di dati personali, anche idonei a rivelare lo stato di salute; c) art. 37, per aver effettuato attività di profilazione con i dati personali dei lavoratori, anche idonei a rivelare lo stato di salute, senza notificare preventivamente tale trattamento all’autorità.

La Suprema Corte, in accoglimento delle doglianze dell’amministrazione ricorrente, ha ricordato, innanzitutto, che il diritto ad esigere una corretta gestione dei propri dati personali, pur se rientrante nei diritti fondamentali di cui alla Cost., art. 2, non è un “tiranno” o un “totem”, al quale debbano sempre sacrificarsi altri diritti altrettanto rilevanti sul piano costituzionale. Al contrario, afferma la Corte, «le regole sulla tutela dei dati sensibili vanno coordinate e bilanciate con le disposizioni costituzionali che tutelano altri e prevalenti diritti, per quanto ora rileva l’interesse pubblico alla celerità, trasparenza ed efficacia dell’attività amministrativa». Nella specie, la Suprema Corte ha ritenuto che l’adempimento degli obblighi di legge da parte della pubblica amministrazione è un interesse positivizzato come prevalente e che il sistema software utilizzato dall’INPS «si inquadra perfettamente nel novero delle tecniche all’epoca ammesse e richieste secondo il buon andamento della p.a.».

In tal senso, la Sezione ha richiamato l’orientamento della giurisprudenza amministrativa (Cons. Stato, sent. 13 dicembre 2019, n. 8472), secondo cui il principio del buon andamento, di cui all’art. 97 Cost., esige l’utilizzo da parte della pubblica amministrazione delle procedure informatiche, idonee ad incrementare celerità, efficienza, trasparenza, imparzialità e neutralità dell’attività amministrativa.

Pertanto, afferma la Corte, nel caso di specie «il ricorso all’algoritmo va correttamente inquadrato in termini di modulo organizzativo, interamente svolto all’epoca in forza della legislazione attributiva del potere e delle finalità assegnate all’organo pubblico titolare del potere».

L’attività di controllo da parte dell’INPS, rileva la Corte, trova diretto fondamento nella legge (l. n. 638 del 1983, artt. 5, comma 10), con la conseguente legittima adozione della procedura informatica, attesi i compiti istituzionali assegnati all’ente, tali da escludere all’uopo la necessità di informare o acquisire autorizzazioni o consensi da parte degli interessati, essendo i dati personali già acquisiti ex lege alla conoscenza dell’ente per adempiere alle proprie funzioni istituzionali, e che vengono al medesimo trasmessi tramite il certificato di malattia per volontà del lavoratore stesso.

Rileva la Corte, infine, che nel caso di specie l’attività svolta dall’INPS con l’ausilio dell’algoritmo non integra una fattispecie di “profilazione”, poiché i lavoratori non sono stati inquadrati in categorie profilate e neppure è stata valutata in alcun modo la personalità dei singoli lavoratori, ma solo elementi afferenti le certificazioni mediche inviate. Neppure, aggiunge la Corte, vi è stato un provvedimento amministrativo che implicasse una valutazione del comportamento umano fondato unicamente su un trattamento automatizzato di dati personali, volto a definire il profilo o la personalità dell’interessato.