Il protocollo informatico e la protezione dei dati
L’ufficio protocollo, visto per il passato nelle opinioni di molti come poco più di un semplice generatore di timbri e numerazioni per i documenti inviati o spediti da un ente, assume un valore cruciale nel processo di digitalizzazione dei flussi documentali della PA.
Protocollo informatico cos’è e perché la privacy lo riguarda
In particolare, le recenti regole tecniche del DPCM 3 dicembre 2013, derivate dal codice dell’amministrazione digitale ed entrate in vigore ad Ottobre 2015, sono state molto discusse in numerosi articoli rispetto a problematiche come la trasmissione del registro giornaliero di protocollo in formato elettronico dal sistema di gestione documentale a quello di conservazione, la stesura del manuale di gestione documentale e la figura del responsabile della gestione documentale.
Dal punto di vista della protezione dei dati, intesa sia come confidenzialità che preservazione degli stessi, si potrebbe dire che il protocollo di un ente è un punto nevralgico.
Anzitutto al protocollo di un ente transitano tutti i documenti comunque trattati e ciò è più che sufficiente, già solo nel caso della ricezione di documenti cartacei dall’utenza esterna, a suggerire un’attenta analisi delle unità di personale da assegnare a tale ufficio che sono a tutti gli effetti da considerare “incaricati” del trattamento dei dati personali ai sensi del D.Lgs. 196/2003 art. 4. Essi vanno, pertanto, esplicitamente autorizzati dai dirigenti o funzionari che, a loro volta, andrebbero opportunamente nominati “responsabili” del trattamento ai sensi dello stesso articolo del codice della privacy.
L’evoluzione nell’era full digital
Mentre precedentemente il protocollo era semplicemente un registro cartaceo con i metadati dei documenti ricevuti ed inviati, oggi in buona parte degli enti pubblici si procede a scansire il documento cartaceo ed immettere il file così ottenuto – cd copia per immagine nella terminologia del CAD – nel sistema di gestione documentale. In sostanza, pur non permanendo il documento agli atti dell’ufficio, ne resta disponibile il suo contenuto che prima rimaneva solo nel ricordo dell’operatore che aveva provveduto alla registrazione.
Pur rimarcando la non obbligatorietà della scansione della documentazione cartacea, ai sensi del DPR 445/00 è inutile negare che la stessa è un ausilio fondamentale per l’automazione dei processi. Va ricordato che alcuni enti, particolarmente all’avanguardia, scelgono, all’atto della registrazione di protocollo della documentazione cartacea ricevuta, di non inoltrare il cartaceo agli uffici competenti, ma di creare copie per immagine autenticate, con sistemi di firma anche massiva, e di smistare le stesse in modo da avere un approccio full digital.
L’attribuzione delle autorizzazioni di lettura e scrittura delle registrazioni di protocollo diventa cruciale insieme alle modalità di tracciamento delle modifiche, richieste dal DPR 445/2000 e dalle regole tecniche. Tale compito è a capo del responsabile della gestione documentale, figura ampiamente trattata nella normativa vigente, e la policy di assegnazione delle autorizzazioni insieme alla descrizione dei profili va accuratamente descritta all’interno del manuale di gestione.
| Leggi anche l’intervento del Garante nel caso ENAC |
In questo senso si può dire che il protocollo informatico è un ottimo esempio di applicazione delle regole dell’allegato B e degli articoli da 33 a 36 del D.Lgs. 196/2003.
Ricordiamo, a tal proposito, che le regole tecniche dispongono di predisporre il piano di sicurezza dei documenti, integrato nel manuale di gestione documentale e già presente nell’ormai abrogato DPCM 31 ottobre 2000 relativo alla formazione, alla gestione, alla trasmissione, all’interscambio, all’accesso e alla conservazione dei documenti informatici nel rispetto delle misure minime di sicurezza previste nel disciplinare tecnico pubblicato in allegato B del D.Lgs. 196/2003
Trattamento nei documenti cartacei e non: casi e garanzie
Sempre a proposito dei documenti cartacei altro aspetto non trascurabile riguarda la necessità di dettagliare, all’interno del manuale di gestione del protocollo informatico, il trattamento di tutti quei casi di corrispondenza ricevuta e non immediatamente riferibile ad un ente. C’è una profonda differenza nello scrivere il nome del destinatario su un plico chiuso nei seguenti modi:
|
“Al funzionario Mario Rossi Ente xx via xx” |
“Mario Rossi ℅ Ente xx via xx” |
Nel primo caso è chiaramente denotata la funzione istituzionale del destinatario, per cui è presumibile che il contenuto sia di interesse istituzionale, mentre nel secondo potrebbe trattarsi di una comunicazione personale.
Aggiungiamo a ciò i casi in cui su un plico viene apposta la dicitura “personale”, “confidenziale”, “S.P.M.” per non parlare degli atti giudiziari che spesso anche quando sono di natura personale vengono indirizzati sul luogo di lavoro dell’interessato.
Altro caso ancora sono le lettere anonime che a dispetto di ciò che viene scritto in vari manuali di gestione del protocollo informatico vanno protocollate ai sensi dell’articolo 53 comma 5 del DPR 445/00 che identifica ben pochi casi nei quali la registrazione di protocollo non è obbligatoria.
La letteratura sul protocollo, paradossalmente, descrive l’operatore di questo come un soggetto avalutativo per cui all’interno del manuale di gestione documentale deve essere ben descritta la procedura di trattamento dei casi sopra elencati evidenziando anche le responsabilità annesse.
Nel caso dei documenti ricevuti direttamente in digitale, bisogna dire che per questi in un sistema di gestione documentale sono anche molto più facilmente implementabili ricerche basate sul contenuto dei documenti cosa non immediata nel caso di scansioni di cartacei che implicherebbe anche l’uso di software OCR.
Occorre, pertanto, tra i diritti di un operatore nel sistema anche differenziare le tipologie di ricerca effettuabili.
Altra caratteristica dei documenti informatici ed aspetto da considerare per la protezione dei dati è la loro predisposizione ad essere oggetto di protocollazione “automatizzata”. E’ il caso delle fatture elettroniche ricevute da SDI per il quale molti enti optano per soluzioni di protocollazione senza intervento dell’operatore.
A favore dei documenti informatici c’è da dire che la normativa prevede la memorizzazione nel registro di protocollo dell’impronta dei documenti registrati. Ciò è, senz’altro, una misura di protezione delle informazioni importantissima che non è riportabile al caso cartaceo.
E’ importante notare come il requisito di trasmissione del registro giornaliero di protocollo al sistema di conservazione entro la giornata successiva cui è riferito venga trattato all’articolo 7 delle regole tecniche a proposito delle misure di sicurezza. Ciò è giustificabile se si pensa che esso, oltre ad essere una valida misura di backup dei dati che risiedono nel sistema di gestione documentale (per quanto quest’ultimo possa essere protetto), è anche un documento avente pubblica fede per cui il suo trasferimento in un sistema di conservazione fornisce una garanzia ulteriore.
Alfonso Pisani
Service Responsible for Digital Protocol and Electronic Document Archiving System – Provincia di Salerno e autore di ebook sulla materia.
