Strumento automatizzato delle assenze per malattia: multata azienda cipriota

La decisione del Commissario per la protezione dei dati personali a seguito di una approfondita indagine

Il Commissario per la protezione dei dati personali cipriota (Cypriot SA) ha vietato alla LGS Handling Ltd, Louis Travel Ltd e Louis Aviation Ltd del Gruppo Louis (che fornisce servizi di movimentazione passeggeri e supervisione di rampa) il trattamento di uno strumento automatizzato utilizzato per ottenere il punteggio delle assenze per malattia dei dipendenti. Oltre al divieto è stata inflitta anche una multa di 82 mila euro a causa della mancanza della base giuridica del cosiddetto “Fattore Bradford”.

L’indagine del commissario è stata avviata a seguito di una denuncia presentata dai sindacati dei dipendenti.

Secondo il ragionamento posto alla base del sistema automatizzato “Fattore Bradford” per la valutazione del congedo per malattia dei dipendenti, le assenze brevi, frequenti e non pianificate, portano in genere a una maggiore disorganizzazione dell’azienda. Data e frequenza di un congedo per malattia di un individuo, nella misura in cui la sua identità viene divulgata direttamente o indirettamente, comportano il trattamento di “categorie speciali di dati personali”, così come viene  definito all’articolo 9, paragrafo 1, del GDPR.

Considerato che il conferimento di dati personali a un sistema automatizzato, il calcolo del punteggio tramite il Fattore Bradford e la profilazione di individui in base ai risultati, sono considerati come l’elaborazione di dati personali, tale operazione di trattamento deve essere in linea con i principi definiti dallo stesso GDPR. 

Secondo il Commissario, il responsabile del trattamento non è riuscito a dimostrare, attraverso la valutazione d’impatto, che il suo interesse legittimo prevaleva sugli interessi, i diritti e le libertà dei suoi dipendenti e, di conseguenza, la limitazione dei rischi era inadeguata.

Le indagini svolte hanno confermato l’assenza di una base giuridica del trattamento dei dati. Non è stato stabilito, infatti, che l’interesse legittimo del responsabile del trattamento prevalga sugli interessi, i diritti e le libertà dei suoi dipendenti, il che consentirebbe al responsabile del trattamento di fare affidamento sull’articolo 6 (1) (f) del GDPR.

Allo stesso modo, nessuna delle disposizioni dell’articolo 9, paragrafo 2, del GDPR si applicherebbe in questo caso, consentendo al responsabile del trattamento di elaborare i dati sanitari dei dipendenti. Al responsabile del trattamento, in quanto datore di lavoro, spettava il controllo della frequenza dei congedi per malattia e la validità dei certificati per malattia. Avendo stabilito tale comportamento illecito, il Commissario ha ordinato al responsabile del trattamento di interrompere il trattamento ed eliminare tutti i dati raccolti. Inoltre, è stata inflitta un’ammenda di 70 mila euro a LGS Handling Ltd, un’ammenda di 10 mila euro a Louis Travel Ltd e un’ammenda di 2 mila euro a Louis Aviation Ltd, in relazione alle violazioni degli articoli 6 (1) e 9 del GDPR.

FONTE:
edpb.europa.eu