Iscriviti al sito e alla newsletter di Filodiritto.

Welcome kit in omaggio

La pubblicazione di contributi, approfondimenti, articoli e in genere di tutte le opere dottrinarie e di commento (ivi comprese le news) presenti su Filodiritto è stata concessa (e richiesta) dai rispettivi autori, titolari di tutti i diritti morali e patrimoniali ai sensi della legge sul diritto d'autore e sui diritti connessi (Legge 633/1941). La riproduzione ed ogni altra forma di diffusione al pubblico delle predette opere (anche in parte), in difetto di autorizzazione dell'autore, è punita a norma degli articoli 171, 171-bis, 171-ter, 174-bis e 174-ter della menzionata Legge 633/1941. È consentito scaricare, prendere visione, estrarre copia o stampare i documenti pubblicati su Filodiritto nella sezione Dottrina per ragioni esclusivamente personali, a scopo informativo-culturale e non commerciale, esclusa ogni modifica o alterazione. Sono parimenti consentite le citazioni a titolo di cronaca, studio, critica o recensione, purché accompagnate dal nome dell'autore dell'articolo e dall'indicazione della fonte, ad esempio: Luca Martini, La discrezionalità del sanitario nella qualificazione di reato perseguibile d'ufficio ai fini dell'obbligo di referto ex. art 365 cod. pen., in "Filodiritto" (https://www.filodiritto.com), con relativo collegamento ipertestuale. Se l'autore non è altrimenti indicato i diritti sono di Inforomatica S.r.l. e la riproduzione è vietata senza il consenso esplicito della stessa. È sempre gradita la comunicazione del testo, telematico o cartaceo, ove è avvenuta la citazione.

Protocollo informatico e privacy

Commento alla deliberazione del Garante per la protezione dei dati personali 11 ottobre 2012, n. 280 20 gennaio 2013 -

§ 1. Il fatto in punto di diritto

È qui in commento la deliberazione del Garante per la protezione dei dati personali 11 ottobre 2012, n. 280, “Protocollo informatico e protezione dei dati personali dei lavoratori”, con la quale è stato ribadito un concetto già assodato da tempo dalla dottrina e dalla giurisprudenza: per sua intrinseca natura, il protocollo informatico contiene perlopiù dati personali soggetti a tutela nei modi e nelle forme previste dal Testo unico sulla documentazione amministrativa (DPR 28 dicembre 2000, n. 445), dal Codice in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003, n. 196) e dal Codice dell’amministrazione digitale (D.Lgs. 7 marzo 2005, n. 82).

Non sorprende, dunque, il provvedimento in sé. Esso, tuttavia, merita di essere sottoposto ad attenta analisi soprattutto in considerazione della particolare durezza delle sanzioni comminate e comminande, per un caso che farà certamente discutere per le sue intersecazioni normative e per le implicazioni organizzative del lavoro di gestione dei documenti delle amministrazioni pubbliche.

Vediamo il caso.

Una dipendente dell’Ente nazionale di aviazione civile (ENAC) ha segnalato al Garante per la protezione dei dati personali che i dipendenti della direzione aeroportuale di Milano, in maniera indistinta, sono venuti a conoscenza di una contestazione disciplinare rivoltale. Ciò è potuto accadere attraverso alcune registrazioni di protocollo riportanti nell’oggetto, rispettivamente:

a) “osservanza disposizioni orario di lavoro”;

b) “mancata osservanza disposizioni orario di lavoro sig.ra XY”.

Inoltre, nel record di protocollo era presente in formato testuale (tipicamente un file Word) la stessa lettera di contestazione, leggibile da chiunque avesse accesso al protocollo informatico, indipendentemente dal ruolo ricoperto e non necessariamente inerente a quello dell’ufficio personale o al responsabile del procedimento disciplinare.

A fronte della richiesta di chiarimenti del Garante, ENAC si è difeso dichiarando di aver adempiuto a quanto previsto in materia di registrazione di documenti dal DPR 445/2000, rilevando che i dati oggetto di segnalazione non fossero comunque stati “né diffusi né divulgati”, semmai sottoposti a consultazione esclusiva dei dipendenti autorizzati e conservati nel database documentale.

La questione è sottesa, come è stato rilevato anche dalla memoria difensiva di ENAC, alla profilatura degli utenti. Essi, infatti, erano stati suddivisi per tutte le sedi sul territorio nazionale direttamente dalla sede centrale attraverso l’individuazione di ruoli trasversali e non per ruoli verticali, distinguendo, ad esempio, i “ruoli non operativi” da quelli di “ispettori”.

La profilatura della Access Control List (ACL) per ruoli verticali avrebbe dovuto permettere agli utenti la visualizzazione di documenti solo per le necessità legate all’appartenenza ad un ufficio o alla responsabilità di un procedimento amministrativo determinato (c.d. ruolo verticale), senza consentire di spaziare sul registro di protocollo in maniera indistinta attraverso una semplice ricerca testuale, come invece accade alla profilatura orizzontale.

Per queste ragioni, la difesa di ENAC non è stata ritenuta legittima dal Garante. Infatti, il modello di royalties adottato permetteva a dipendenti, pur in difetto di competenza, di venire a conoscenza di dati personali, talora anche sensibili – quali, ad esempio, i permessi per la legge 104/1992 sull’assistenza ai parenti disabili – in maniera indistinta e legata alla mera possibilità di consultazione del registro di protocollo che, in tal modo, avrebbe potuto avvenire in maniera indiscriminata su tutta la banca dati.

§ 2. Il quadro normativo di riferimento

Pressoché tutte le norme aventi ad oggetto l’utilizzo delle tecnologie informatiche per la produzione, gestione, trasmissione e conservazione dei documenti hanno correttamente evidenziato, tra gli altri, anche l’obbligo di adottare le misure di sicurezza – di tipo organizzativo, fisico e logico - finalizzate a garantire la riservatezza e il diritto alla protezione dei dati personali dei soggetti interessati.



About

  • Contatti
  • Redazione
  • Pubblicità
  • Avvertenze
  • Privacy
  • Cookie

Newsletter

Rimani aggiornato sulle novità e gli articoli più interessanti della redazione di Filodiritto, inserisci la tua mail:

Iscriviti alla newsletter

© Filodiritto 2001-2018

Filodiritto è un marchio di InFOROmatica S.r.l.
P.Iva 02575961202
Capitale sociale: 10.000,00 i.v.
Direttore responsabile: Antonio Zama
Tribunale Bologna 24.07.2007,
n.7770 - ISSN 2239-7752

Sempre aggiornato

Scrivi la tua mail per ricevere le ultime novità, gli articoli e le informazioni su eventi e iniziative selezionati dalla redazione di Filodiritto.

*  Email:

Leggi l'informativa sulla privacy

Sede legale e amministrativa InFOROmatica S.r.l. - Via Castiglione 81, 40124 - Bologna
Tel. 051.98.43.125 - Fax 051.98.43.529

Credits webit.it