Il commissario per la protezione dei dati personali di Cipro ha vietato l’impiego di uno strumento aziendale utilizzato per segnare le assenze per malattia dei dipendenti e ha conseguentemente multato la LGS Handling Ltd, Louis Travel Ltd e Louis Aviation Ltd (Louis Group of Companies) per un importo totale di 82.000,00 euro.
Lo strumento, chiamato Bradford Factor, individuava le date e la frequenza dei congedi per malattia assegnando a ciascun dipendente un punteggio relativo alla sua “affidabilità”. Il sistema di valutazione di Bradford Factor si basa sull’assunto per cui assenze brevi, frequenti e non pianificate portano a una maggiore disorganizzazione della società , piuttosto che assenze più lunghe.
Il commissario ha avviato un’indagine dopo che il sindacato dei dipendenti ha presentato una denuncia.
La memorizzazione delle date e della frequenza di un congedo per malattia relative a un individuo, nella misura in cui la sua identità viene divulgata direttamente o indirettamente, comporta il trattamento di “categorie speciali di dati personali”, come definito all’articolo 9, paragrafo 1, del GDPR. Il conferimento di dati personali a un sistema automatizzato, il calcolo del punteggio tramite il “Bradford Factor” e la profilazione di individui in base ai risultati, sono considerati a tutti gli effetti elaborazione di dati personali, pertanto tale operazione di trattamento deve essere in linea con i principi definiti nel GDPR.
Il responsabile del trattamento ha effettuato una valutazione d’impatto dell’operazione di trattamento che ha presentato al Commissario durante l’inchiesta. Il Commissario ha tuttavia stabilito che il responsabile del trattamento non fosse riuscito a dimostrare, attraverso la valutazione d’impatto, che l’interesse legittimo della società prevaleva sugli interessi, i diritti e le libertà dei suoi dipendenti.
Nel corso dell’indagine, il Garante di Cipro ha utilizzato la possibilità di richiedere il parere alle Authority degli altri paesi europei attraverso la cosiddetta procedura di assistenza giudiziaria e ha ricevuto contributi da 25 Garanti della protezione dei dati. Le risposte ricevute hanno convalidato l’assenza di base giuridica del trattamento e hanno evidenziato la necessità di regolare tali questioni con regole specifiche in linea con l’articolo 88 del GDPR.
Dopo aver valutato tutti gli elementi raccolti ai fini dell’indagine, il Commissario ha dunque stabilito l’illiceità del trattamento effettuato tramite Bradfor Factor.
Fermo restando che il responsabile del trattamento, così come il datore di lavoro, è autorizzato a controllare la frequenza dei congedi per malattia e la validità dei certificati per malattia, questa concessione deve essere sfruttata entro i limiti stabiliti dal pertinente quadro legislativo.
Avendo stabilito il comportamento illecito, il Commissario ha ordinato al responsabile del trattamento di interrompere il trattamento ed eliminare tutti i dati raccolti. Inoltre, è stata inflitta un’ammenda di € 70.000 a LGS Handling Ltd, un’ammenda di € 10.000 a Louis Travel Ltd e un’ammenda di € 2.000 a Louis Aviation Ltd, in relazione alle violazioni degli articoli 6 (1) e 9 del GDPR.
Al momento di decidere in merito all’importo delle ammende amministrative, è stato tenuto debitamente conto del numero di interessati (818 dipendenti in totale), della natura e della durata delle infrazioni e del relativo fatturato delle società.