Protocollo informatico e protezione dei dati personali dei lavoratori: la parola del Garante
Lo spunto per la discussione arriva dal provvedimento n. 280 dell’11 Ottobre 2012, ultima tappa di un lungo iter conoscitivo al termine del quale il Garante si è pronunciato in merito alla spinosa questione del rapporto tra il processo di gestione e conservazione di documenti informatici e il corretto trattamento dei dati personali. 
La vicenda trae origine dalla segnalazione di una dipendente dell’Ente Nazionale per l’Aviazione Civile (ENAC), impiegata presso la Direzione Aeroportuale di Milano, la quale, nel maggio 2010, rivolgendosi al Garante, lamentava che, a causa della configurazione del protocollo elettronico impiegato, tutto il personale della direzione aeroportuale fosse venuto a conoscenza di alcune contestazioni disciplinari che la riguardavano. La segnalante precisava, altresì, che le contestazioni acquisite al protocollo erano visibili e leggibili indistintamente anche dal personale applicato ad altre e diverse mansioni non necessariamente collegate all’ufficio personale, protocollo e/o dirigenziale.
Gli accertamenti dell’Autorità Garante evidenziavano, quindi, le carenze di una gestione poco ponderata dei documenti aziendali. Probabilmente dovuta anche alle scelte operate dall’ENAC.
A seguito delle indagini condotte dall’Autorità viene confermato che, nell’ordine:
1) il sistema di protocollazione elettronica adottato dall’Ente è comune per tutte le sedi e la sua configurazione è prestabilita dalla Direzione generale di Roma;
2) i dati che vengono registrati nel sistema sono contenuti nel server centrale e anche gli interventi di impostazione, creazione di account e modifica dei profili di autorizzazione sono effettuati dalla sede centrale su segnalazione della Direzione aeroportuale;
3) tutti i dipendenti della Direzione possono registrare sul protocollo informatico gli atti in uscita dagli stessi formati. Il personale di Segreteria è addetto alla protocollazione degli atti in entrata, successivamente oggetto di assegnazione da parte del Responsabile della Direzione;
4) i dipendenti della Direzione appartenenti allo stesso ruolo di chi effettua la protocollazione (e il suolo sovraordinato ad essi) possono visualizzare i documenti che ne sono oggetto, nonché, ove presente, il file dal quale è possibile ricavare il contenuto degli stessi;
5) le operazioni di accesso al protocollo e i successivi eventi di trattamento sono registrati nello storico del documento scelto in visualizzazione attraverso i possibili criteri di ricerca;
Le violazioni rilevate dall’Autorità Garante riguardano le disposizioni di cui all’art. 34, comma 1, lett. c) e d), del Codice – relative, rispettivamente, all’utilizzazione di un sistema di autorizzazione, nonché all’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati – nonché, nello specifico, le regole 13, 14 e 15 dell’Allegato B al Codice (Disciplinare tecnico in materia di misure minime di sicurezza, relative al sistema di autorizzazione).
E non solo. L’Autorità evidenzia che le misure di protezione e i sistemi di controllo, nelle modalità descritte, devono caratterizzare non solo i trattamenti, ma anche le funzioni dei soggetti preposti e delle risorse impiegate per la gestione informatica dei documenti e per la tenuta del protocollo informatico e per la gestione dei flussi documentali, di cui al D.lgs. n. 82/2005 e s.m.i. (Codice dell’Amministrazione digitale) e del D.P.R. n. 445/2000 (Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa).
L’esistenza di un manuale, meramente operativo, a disposizione dei dipendenti Direzione aeroportuale, sottoposta a controllo, non pare sufficiente all’Autorità per colmare le lacune rilevate e la distanza tra il modello organizzativo dell’Ente e le disposizioni violate. Né si è dimostrato utile sostituire la pluralità di registri di protocollo, gestiti dal medesimo sistema, con un unico registro a servizio dell’intera area organizzativa omogenea corrispondente all’ENAC, se non a considerare l’attesa di un “ravvedimento operoso” da parte dell’Ente.
Il modello organizzativo adottato nella specie è suscettibile di considerazioni che vanno ben oltre quelle che hanno portato l’Autorità Garante a metterne in luce i pericoli per la riservatezza e la protezione dei dati personali coinvolti nel trattamento. Il modello medesimo denuncia lo stato dell’arte della normativa richiamata e i limiti, umani e tecnologici, alla sua puntuale applicazione.
Il fine del legislatore è quello di sostituire con gradualità la gestione tradizionale dei documenti cartacei con quella basata su strumenti informatici, con la garanzia di mantenere il valore legale degli stessi, anche nel tempo, la corretta conservazione, la sicurezza e la qualità degli strumenti elettronici adottati per la nuova gestione.
Il passaggio avviene prevedendo il censimento dei documenti da dematerializzare, degli uffici assegnatari e le esigenze di comunicazione e di conoscenza degli stessi in base alla loro essenza e finalità. Il tutto si completa con quella che viene definita gestione dei flussi documentali di cui il protocollo informatico e la gestione informatica dei documenti sono una parte rilevante.
Il modello organizzativo, quindi, pur dovendo coniugare i vari presupposti e le diverse esigenze non deve unificarle e trattarle in maniera indiscriminata. Nella convinzione sbagliata della semplificazione dei procedimenti che organizza.
Proprio in funzione dei procedimenti gestiti con i nuovi strumenti il modello non può prescindere dai rischi che questi comportano e dalla necessaria protezione degli stessi da accessi non autorizzati, organizzando le risorse logiche e fisiche poste a presidio dei distinti procedimenti e dei relativi trattamenti. Le misure di sicurezza poi devono confrontarsi con le altre garanzie richieste dal sistema dei gestione di ultima generazione, ovvero quelle di inalterabilità, conservazione e non ripudio. Gli strumenti idonei sarebbero, in tal caso, quelli di cui usufruisce il processo di conservazione sostitutiva garantito, ad oggi, dalla Delibera Cnipa n. 11/2004, o anche la firma digitale e altri dispositivi tecnologici di pari efficacia.
Le garanzie e le misure acquistano, altresì, diversa intensità secondo il livello di fruizione dei documenti e del sistema in cui sono archiviati.
Il sistema, quindi, dovrebbe garantire (secondo “I Quaderni Cnipa del febbraio 2006”):
1) di associare un livello differenziato di riservatezza per ogni tipo di documento trattato dall’amministrazione. I documenti non dovrebbero essere mai visualizzati dagli utenti privi di diritto di accesso neanche a fronte di una ricerca generale nell’archivio;
2) consentire il controllo differenziato dell’accesso alle risorse del sistema da parte dell’utente o gruppi di utenti. I livelli di autorizzazione per l’accesso alle funzioni del sistema di gestione informatica dei documenti devono distinguersi in consultazione, abilitazione all’inserimento, abilitazione alla cancellazione e alla modifica delle informazioni.
Per quanto riguarda l’accesso al registro di protocollo, questa deve essere regolata consentendo agli utenti che ne sono specificamente deputati la visibilità completa sul registro medesimo.
L’utente assegnatario dei documenti protocollati invece potrebbe ottenere ulteriori e diversi privilegi direttamente incidenti sul documento protocollato, ottenuti in ragione delle mansioni affidategli. E così via, fino agli utenti sprovvisti di autorizzazioni peculiari i quali hanno diritto di accedere ai soli dati di registrazione (che nel loro contenuto obbligatorio corrispondono a: numero e data di protocollo, oggetto, mittente e destinatario e impronta del documento se inviato in modalità telematica).
I livelli si differenziano in base alle varie fasi del procedimento gestito dal sistema informatico, ma anche in relazione alla tipologia e alla natura dei documenti per cui sovvengono inevitabilmente i principi sanciti dal D.lgs n. 196/2003 e s.m.i. (Codice Privacy), ovvero, in primis, quelli di necessità e pertinenza.
Principi che trovano puntuale applicazione quando il trattamento, come è in specie, coinvolge dati sensibili (e anche giudiziari) nel qual caso il legislatore prevede cautele specifiche che rendano gli stessi conoscibili solo agli incaricati autorizzati. E raccomanda, per esempio, che essi si mantengano cifrati o generici nelle registrazioni di protocollo visibili a chiunque, per tutto il periodo in cui si renderà necessaria la loro consultazione.
Una precisazione sul tempo di conservazione per le registrazioni di protocollo. Per i dati di registrazione è previsto che il sistema informatico adottato garantisca la loro estrapolazione per il giorno di riferimento e così conservati con la garanzia della loro inalterabilità e immodificabilità.
L’architettura del sistema, delineata appena in questa disamina, prevede figure chiave dell’intero processo.
Il primo è il responsabile del servizio. L’art. 61 del D.P.R. n. 445/2000 prevede che ciascuna amministrazione istituisca un servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi in ciascuna delle grandi aree organizzative omogenee. Il servizio dovrebbe essere posto alle dirette dipendenze della stessa area organizzativa omogenea, e ad esso dovrebbe essere preposto un responsabile, in genere un dirigente che risponda a particolari requisiti professionali.
Gli altri soggetti sono (secondo l’attuale art. 44 – 1 bis del Codice dell’Amministrazione Digitale) il responsabile della conservazione dei documenti informatici (dai dati di registrazione del protocollo ai documenti veicolati dal sistema di gestione informatica secondo la direzione del flusso prevista per il particolare procedimento, cui essi si riferiscono); il responsabile del trattamento dei dati personali designati ex art. 29 del Codice Privacy che opera di intesa con il primo per il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del Codice Privacy. E non manca neanche il responsabile dei sistemi informativi, più volte richiamato, nel suo ruolo centrale per la gestione e il controllo delle autorizzazioni concesse ai diversi incaricati, dal D.P.R. n. 445/2000 e s.m.i. Controllo che si spinge fino alla tenuta dei registri di log a traccia degli eventi più significativi legati quantomeno alle registrazioni di protocollo.
Ad oggi subiamo ancora gli effetti di una applicazione approssimativa della normativa in parola. Ma forse la decisione del Garante darà nuovo lustro alle prerogative del sistema finora descritto, allorchè l’ENAC provveda a migliorare il processo sottoposto a sindacato, non tralasciando le sue inevitabili implicazioni in ordine all’intera gestione dei flussi documentali.
E allora ci uniamo all’Autorità nel chiedere “quale misura opportuna di dare attuazione con riguardo al complessivo funzionamento del sistema gestionale di documentazione alla disposizione di cui all’art. 44, comma 1 bis, del D.lgs.n. 82/2005 e s.m.i.”. Ma non solo all’Ente Nazionale per l’Aviazione Civile.
