Il protocollo informatico e la protezione dei dati

09/11/2015
di Leonardo

L’ufficio protocollo, visto per il passato nelle opinioni di molti come poco più di un semplice generatore di timbri e numerazioni per i documenti inviati o spediti da un ente, assume un valore cruciale nel processo di digitalizzazione dei flussi documentali della PA.

Protocollo informatico cos’è e perché la privacy lo riguarda

Protocollo informaticoIn particolare, le recenti regole tecniche del DPCM 3 dicembre 2013, derivate dal codice dell’amministrazione digitale ed entrate in vigore ad Ottobre 2015, sono state molto discusse in numerosi articoli rispetto a problematiche come la trasmissione del registro giornaliero di protocollo in formato elettronico dal sistema di gestione documentale a quello di conservazione, la stesura del manuale di gestione documentale e la figura del responsabile della gestione documentale.

Dal punto di vista della protezione dei dati, intesa sia come confidenzialità che preservazione degli stessi, si potrebbe dire che il protocollo di un ente è un punto nevralgico.

Anzitutto al protocollo di un ente transitano tutti i documenti comunque trattati e ciò è più che sufficiente, già solo nel caso della ricezione di documenti cartacei dall’utenza esterna, a suggerire un’attenta analisi delle unità di personale da assegnare a tale ufficio che sono a tutti gli effetti da considerare “incaricati” del trattamento dei dati personali ai sensi del D.Lgs. 196/2003 art. 4. Essi vanno, pertanto, esplicitamente autorizzati dai dirigenti o funzionari che, a loro volta, andrebbero opportunamente nominati “responsabili” del trattamento ai sensi dello stesso articolo del codice della privacy.

L’evoluzione nell’era full digital

Mentre precedentemente il protocollo era semplicemente un registro cartaceo con i metadati dei documenti ricevuti ed inviati, oggi in buona parte degli enti pubblici si procede a scansire il documento cartaceo ed immettere il file così ottenuto – cd copia per immagine nella terminologia del CAD – nel sistema di gestione documentale. In sostanza, pur non permanendo il documento agli atti dell’ufficio, ne resta disponibile il suo contenuto che prima rimaneva solo nel ricordo dell’operatore che aveva provveduto alla registrazione.

Pur rimarcando la non obbligatorietà della scansione della documentazione cartacea, ai sensi del DPR 445/00 è inutile negare che la stessa è un ausilio fondamentale per l’automazione dei processi. Va ricordato che alcuni enti, particolarmente all’avanguardia, scelgono, all’atto della registrazione di protocollo della documentazione cartacea ricevuta, di non inoltrare il cartaceo agli uffici competenti, ma di creare copie per immagine autenticate, con sistemi di firma anche massiva, e di smistare le stesse in modo da avere un approccio full digital.

L’attribuzione delle autorizzazioni di lettura e scrittura delle registrazioni di protocollo diventa cruciale insieme alle modalità di tracciamento delle modifiche, richieste dal DPR 445/2000 e dalle regole tecniche. Tale compito è a capo del responsabile della gestione documentale, figura ampiamente trattata nella normativa vigente, e la policy di assegnazione delle autorizzazioni insieme alla descrizione dei profili va accuratamente descritta all’interno del manuale di gestione.

Leggi anche l’intervento del Garante nel caso ENAC

In questo senso si può dire che il protocollo informatico è un ottimo esempio di applicazione delle regole dell’allegato B e degli articoli da 33 a 36 del D.Lgs. 196/2003.

Ricordiamo, a tal proposito, che le regole tecniche dispongono di predisporre il piano di sicurezza dei documenti, integrato nel manuale di gestione documentale e già presente nell’ormai abrogato DPCM 31 ottobre 2000 relativo alla formazione, alla gestione, alla trasmissione, all’interscambio, all’accesso e alla conservazione dei documenti informatici nel rispetto delle misure minime di sicurezza previste nel disciplinare tecnico pubblicato in allegato B del D.Lgs. 196/2003

Trattamento nei documenti cartacei e non: casi e garanzie

Data securitySempre a proposito dei documenti cartacei altro aspetto non trascurabile riguarda la necessità di dettagliare, all’interno del manuale di gestione del protocollo informatico, il trattamento di tutti quei casi di corrispondenza ricevuta e non immediatamente riferibile ad un ente. C’è una profonda differenza nello scrivere il nome del destinatario su un plico chiuso nei seguenti modi:

“Al funzionario Mario Rossi

Ente xx via xx”

“Mario Rossi ℅ Ente xx via xx”

Nel primo caso è chiaramente denotata la funzione istituzionale del destinatario, per cui è presumibile che il contenuto sia di interesse istituzionale, mentre nel secondo potrebbe trattarsi di una comunicazione personale.

Aggiungiamo a ciò i casi in cui su un plico viene apposta la dicitura “personale”, “confidenziale”, “S.P.M.” per non parlare degli atti giudiziari che spesso anche quando sono di natura personale vengono indirizzati sul luogo di lavoro dell’interessato.

Altro caso ancora sono le lettere anonime che a dispetto di ciò che viene scritto in vari manuali di gestione del protocollo informatico vanno protocollate ai sensi dell’articolo 53 comma 5 del DPR 445/00 che identifica ben pochi casi nei quali la registrazione di protocollo non è obbligatoria.

La letteratura sul protocollo, paradossalmente, descrive l’operatore di questo come un soggetto avalutativo per cui all’interno del manuale di gestione documentale deve essere ben descritta la procedura di trattamento dei casi sopra elencati evidenziando anche le responsabilità annesse.

Nel caso dei documenti ricevuti direttamente in digitale, bisogna dire che per questi in un sistema di gestione documentale sono anche molto più facilmente implementabili ricerche basate sul contenuto dei documenti cosa non immediata nel caso di scansioni di cartacei che implicherebbe anche l’uso di software OCR.

Occorre, pertanto, tra i diritti di un operatore nel sistema anche differenziare le tipologie di ricerca effettuabili.

Altra caratteristica dei documenti informatici ed aspetto da considerare per la protezione dei dati è la loro predisposizione ad essere oggetto di protocollazione “automatizzata”. E’ il caso delle fatture elettroniche ricevute da SDI per il quale molti enti optano per soluzioni di protocollazione senza intervento dell’operatore.

A favore dei documenti informatici c’è da dire che la normativa prevede la memorizzazione nel registro di protocollo dell’impronta dei documenti registrati. Ciò è, senz’altro, una misura di protezione delle informazioni importantissima che non è riportabile al caso cartaceo.

E’ importante notare come il requisito di trasmissione del registro giornaliero di protocollo al sistema di conservazione entro la giornata successiva cui è riferito venga trattato all’articolo 7 delle regole tecniche a proposito delle misure di sicurezza. Ciò è giustificabile se si pensa che esso, oltre ad essere una valida misura di backup dei dati che risiedono nel sistema di gestione documentale (per quanto quest’ultimo possa essere protetto), è anche un documento avente pubblica fede per cui il suo trasferimento in un sistema di conservazione fornisce una garanzia ulteriore.

Alfonso Pisani
Service Responsible for Digital Protocol and Electronic Document Archiving System – Provincia di Salerno e autore di ebook sulla materia.

Riproduzione riservata ©

ALTRE NEWS

L’approvazione “virtuale” delle clausole vessatorie tra presente e futuro prossimo

Lo spunto per questa breve riflessione proviene dall’ordinanza del Tribunale di Catanzaro del 30 aprile scorso che ha avuto una grande risonanza tra gli operatori,… Leggi Tutto

Webinar – Smartworking: Quali gli aspetti legali?

Alla luce dei recenti sviluppi e dell’attivazione su tutto il territorio nazionale del DPCM 10 marzo 2020, le aziende hanno provveduto o potranno provvedere ad… Leggi Tutto

Software di file sharing sul pc aziendale: no al licenziamento del dipendente

Con la sentenza 26379/2013 la Sezione Lavoro della Corte di Cassazione ha assolto un dipendente che aveva installato un software di file sharing sul PC… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.