L'utilizzo dell'algoritmo per monitorare l'assenteismo dei dipendenti viola il Gdpr

MILANO - L'impiego di un algoritmo per profilare in modo automatizzato le assenze dei dipendenti viola la loro privacy ed espone il datore di lavoro alle sanzioni del Gdpr. Lo ha stabilito il Commissario per la protezione dei dati personali di Cipro, imponendo sanzioni per 82.000 euro a tre società che operano nel settore delle crociere.

A denunciare il fatto all'autorità di controllo erano stati i sindacati ciprioti (SEK), che avevano contestato alla direzione del personale delle tre aziende del Gruppo Louis l'utilizzo di una formula matematica per monitorare tramite un software i congedi per malattia degli 818 lavoratori, assegnando loro un punteggio negativo quando le defezioni non pianificate erano brevi ma ricorrenti, elemento che secondo un principio noto nella gestione delle risorse umane come "Bradford Factor" finisce per penalizzare maggiormente la produttività rispetto ad assenze più lunghe ma concentrate in unico periodo.

Come è emerso dall'indagine dell'autorità guidata da Irene Loizidou Nicolaidou, benché il datore di lavoro fosse legittimato a controllare la frequenza dei congedi per malattia dei dipendenti e la validità dei relativi certificati, tale potere avrebbe comunque dovuto essere applicato entro i limiti stabiliti dal pertinente quadro legislativo.

Le sanzioni 

Nonostante le società del Gruppo Louis avessero preventivamente effettuato una valutazione d'impatto, non sono però state in grado di dimostrare che tale trattamento automatizzato di dati sensibili relativi alla salute dei lavoratori fosse necessario per il perseguimento di un legittimo interesse del titolare ai sensi dell'art. 6 par. 1) lettera f) del Gdpr, circostanza in cui la condizione tassativa è che in ogni caso non vengano lesi gli interessi o i diritti e le libertà fondamentali dell'interessato.

Come ha sottolineato l'autorità, per un tale monitoraggio sistematico neppure una specifica autorizzazione da parte degli stessi lavoratori avrebbe potuto costituire una valida base giuridica, in quanto la posizione di potere che tipicamente riveste il datore di lavoro nei confronti dei dipendenti rende inapplicabile la previsione dell'art.7 del Regolamento europeo in cui è richiesto che il consenso debba essere liberamente prestato dell'interessato, mentre nella fattispecie non vi era per i lavoratori la facoltà di poter decidere se concederlo o negarlo a loro discrezione.

Così, al termine dell'indagine, che beneficiando di quanto previsto dall'art. 50 par.1 lettera g) del Gdpr ha visto i contributi di ben 25 autorità europee, il garante cipriota ha deciso di irrogare le sanzioni alle tre società del Gruppo Louis, rispettivamente per 70.000 euro alla LGS Handling, 10.000 euro alla Louis Travel per, e 2.000 euro alla Louis Aviation.

(Articolo di Nicola Bernardi, Presidente di Federprivacy)