Protocollo informatico e privacy
§ 1. Il fatto in punto di diritto
È qui in commento la deliberazione del Garante per la protezione dei dati personali 11 ottobre 2012, n. 280, “Protocollo informatico e protezione dei dati personali dei lavoratori”, con la quale è stato ribadito un concetto già assodato da tempo dalla dottrina e dalla giurisprudenza: per sua intrinseca natura, il protocollo informatico contiene perlopiù dati personali soggetti a tutela nei modi e nelle forme previste dal Testo unico sulla documentazione amministrativa (DPR 28 dicembre 2000, n. 445), dal Codice in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003, n. 196) e dal Codice dell’amministrazione digitale (D.Lgs. 7 marzo 2005, n. 82).
Non sorprende, dunque, il provvedimento in sé. Esso, tuttavia, merita di essere sottoposto ad attenta analisi soprattutto in considerazione della particolare durezza delle sanzioni comminate e comminande, per un caso che farà certamente discutere per le sue intersecazioni normative e per le implicazioni organizzative del lavoro di gestione dei documenti delle amministrazioni pubbliche.
Vediamo il caso.
Una dipendente dell’Ente nazionale di aviazione civile (ENAC) ha segnalato al Garante per la protezione dei dati personali che i dipendenti della direzione aeroportuale di Milano, in maniera indistinta, sono venuti a conoscenza di una contestazione disciplinare rivoltale. Ciò è potuto accadere attraverso alcune registrazioni di protocollo riportanti nell’oggetto, rispettivamente:
a) “osservanza disposizioni orario di lavoro”;
b) “mancata osservanza disposizioni orario di lavoro sig.ra XY”.
Inoltre, nel record di protocollo era presente in formato testuale (tipicamente un file Word) la stessa lettera di contestazione, leggibile da chiunque avesse accesso al protocollo informatico, indipendentemente dal ruolo ricoperto e non necessariamente inerente a quello dell’ufficio personale o al responsabile del procedimento disciplinare.
A fronte della richiesta di chiarimenti del Garante, ENAC si è difeso dichiarando di aver adempiuto a quanto previsto in materia di registrazione di documenti dal DPR 445/2000, rilevando che i dati oggetto di segnalazione non fossero comunque stati “né diffusi né divulgati”, semmai sottoposti a consultazione esclusiva dei dipendenti autorizzati e conservati nel database documentale.
La questione è sottesa, come è stato rilevato anche dalla memoria difensiva di ENAC, alla profilatura degli utenti. Essi, infatti, erano stati suddivisi per tutte le sedi sul territorio nazionale direttamente dalla sede centrale attraverso l’individuazione di ruoli trasversali e non per ruoli verticali, distinguendo, ad esempio, i “ruoli non operativi” da quelli di “ispettori”.
La profilatura della Access Control List (ACL) per ruoli verticali avrebbe dovuto permettere agli utenti la visualizzazione di documenti solo per le necessità legate all’appartenenza ad un ufficio o alla responsabilità di un procedimento amministrativo determinato (c.d. ruolo verticale), senza consentire di spaziare sul registro di protocollo in maniera indistinta attraverso una semplice ricerca testuale, come invece accade alla profilatura orizzontale.
Per queste ragioni, la difesa di ENAC non è stata ritenuta legittima dal Garante. Infatti, il modello di royalties adottato permetteva a dipendenti, pur in difetto di competenza, di venire a conoscenza di dati personali, talora anche sensibili – quali, ad esempio, i permessi per la legge 104/1992 sull’assistenza ai parenti disabili – in maniera indistinta e legata alla mera possibilità di consultazione del registro di protocollo che, in tal modo, avrebbe potuto avvenire in maniera indiscriminata su tutta la banca dati.
§ 2. Il quadro normativo di riferimento
Pressoché tutte le norme aventi ad oggetto l’utilizzo delle tecnologie informatiche per la produzione, gestione, trasmissione e conservazione dei documenti hanno correttamente evidenziato, tra gli altri, anche l’obbligo di adottare le misure di sicurezza – di tipo organizzativo, fisico e logico - finalizzate a garantire la riservatezza e il diritto alla protezione dei dati personali dei soggetti interessati.
Bene ha fatto, quindi, il Garante ad evidenziare non solo la violazione di alcuni obblighi previsti nella specifica normativa inerente al sistema di gestione informatica dei documenti – e, in particolar modo, delle prescrizioni contenute nell’articolo 7, comma 2, del DPCM 31 ottobre 2000 e nell’articolo 52, comma 1, lett. e nel titolo IV del DPR 445/2000) – ma anche la mancata attuazione di alcuni principi contenuti nel CAD che avrebbero dovuto costituire i presupposti per la corretta realizzazione del sistema di gestione informatica dei documenti.
Partiamo da quest’ultimi. In particolare, dagli articoli 2, comma 5 e 44, comma 1-bis, del D.Lgs. 82/2005.
Il primo, dopo aver precisato che le disposizioni del CAD si applicano nel rispetto delle disposizioni del Codice in materia di protezione dei dati personali, precisa che i cittadini – evidentemente anche nel ruolo di dipendenti – hanno il diritto ad ottenere che il trattamento dei loro dati personali effettuato mediante l’uso di tecnologie informatiche sia conformato al rispetto dei loro diritti e delle libertà fondamentali, nonché della loro dignità.
Il secondo prevede che il sistema di conservazione dei documenti informatici sia gestito da un responsabile che deve operare d’intesa con il responsabile del trattamento dei dati personali descritto all’articolo 29 del Decreto Legislativo 196/2003 e con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi, come previsto dall’articolo 61 del DPR 445/2000, nella definizione e gestione delle attività di rispettiva competenza.
È opportuno ricordare che un simile modello organizzativo era già stato previsto nel nostro ordinamento laddove, tra i compiti del responsabile del servizio del protocollo informatico, era stato previsto anche quello di “predisporre il piano per la sicurezza informatica relativo alla formazione, alla gestione, alla trasmissione, all’interscambio, all’accesso, alla conservazione dei documenti informatici d’intesa con il responsabile dei sistemi informativi automatizzati e con il responsabile della sicurezza dei dati personali di cui alla legge 31 dicembre 1996, n. 675, e successive modificazioni ed integrazioni, e nel rispetto delle misure minime di sicurezza previste dal regolamento di attuazione emanato con decreto del Presidente della Repubblica 28 luglio 1999, n. 318, in attuazione dell’articolo 15, comma 2, della citata legge n. 675/1996” [1].
Si tratta di due disposizioni fondamentali che nessun soggetto pubblico può disattendere. Grazie a queste si evidenzia con estrema chiarezza l’impossibilità di passare dalla carta al digitale semplicemente acquistando e installando un software e, al tempo stesso, come risulti imprescindibile adottare adeguate scelte organizzative in grado di assicurare le condizioni di sicurezza delle informazioni previste dalle disposizioni in materia di protezione dei dati personali. Tutto ciò, giova ricordarlo, deve avvenire a valle di un’accurata attività di monitoraggio delle tipologie documentali gestite e di analisi dei relativi flussi documentali.
§ 3. Gli obblighi in materia di misure minime di sicurezza previsti dal D.Lgs. 196/2003
Prima di esaminare le misure minime di sicurezza previste dal Codice privacy, è opportuno ricordare che l’articolo 1 dello stesso ha introdotto nel nostro ordinamento, a partire dal 1° gennaio 2004, il diritto di chiunque alla protezione dei dati personali che lo riguardano. Si tratta, come è stato più volte evidenziato sia in dottrina che in giurisprudenza, di un nuovo diritto – più forte e autonomo rispetto al generale diritto alla riservatezza introdotto con la precedente legge 675/1996 – appartenente alla sfera dei diritti fondamentali della persona.
È anche per questa ragione, tra l’altro, che il successivo articolo 15 del Codice privacy ha qualificato l’attività di trattamento dei dati personali come un’attività pericolosa alla quale si applica, nel giudizio di responsabilità civile, l’articolo 2050 c.c. Tale applicazione, come è noto, prevede in capo al soggetto che esercita un’attività pericolosa l’onere di provare di avere adottato tutte le necessarie misure idonee a evitare il danno.
Il diritto alla protezione dei dati personali - nato in un contesto storico, dominato dall’uso delle tecnologie digitali, dove il patrimonio informativo di ciascuna persona è tendenzialmente destinato ad essere utilizzato da parte di altri soggetti per le finalità più varie - può essere definito come il diritto di ognuno di pretendere che i propri dati personali siano trattati nel rispetto dei principi, delle modalità e delle misure di sicurezza previste nel Codice privacy.
Con riferimento a queste ultime, è opportuno ricordare che tutti i soggetti, pubblici o privati, che legittimamente hanno la necessità di trattare con strumenti informatici i dati personali di terzi nell’ambito delle loro attività gestionali devono – nel quadro dei più generali obblighi di sicurezza previsti dall’articolo 31 del Codice privacy – comunque adottare le cosiddette misure minime di sicurezza previste nel successivo articolo 34.
Tra queste vi sono anche le due misure di sicurezza la cui violazione da parte di ENAC ha costituito il presupposto per l’adozione del provvedimento del Garante in commento.
Si tratta delle misure di sicurezza previste dall’articolo 34, comma 1, lettere c) e d) del Codice privacy, così come dettagliate dai punti da 12 a 15 del disciplinare tecnico descritto nell’allegato B allo stesso. Esse sono relative rispettivamente all’utilizzo di un sistema di autorizzazione e all’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati.
Risulta evidente come la loro corretta adozione non possa prescindere da un’attenta analisi delle attività svolte da ciascuna unità organizzativa e al conseguente censimento dei trattamenti dei dati personali effettuati nell’ambito delle attività di competenza delle stesse.
Il censimento dei trattamenti, come è facilmente intuibile, rappresenta una base informativa indispensabile non solo per la corretta definizione, da parte del titolare o del responsabile, dell’ambito del trattamento consentito ai singoli incaricati[2] - o, nel caso di organizzazioni complesse, a ciascuna classe omogenea di incaricati - ma anche per la puntuale redazione degli atti di designazione degli stessi. Sarebbe opportuno che quest’ultimi contenessero, oltre alle istruzioni impartite, anche l’elenco dei trattamenti consentiti e i livelli di accesso alle diverse banche dati.
Strettamente legato al tema dell’individuazione dell’ambito del trattamento per singolo incaricato, o per classi omogenee di incaricati, è quello inerente ai profili di autorizzazione quando le operazioni di trattamento vengono effettuate in ambiente digitale. A questo proposito, va ricordato che l’articolo 34, comma 1, lett. c) del Codice privacy stabilisce che il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se è adottato, nei modi previsti dai punti 12 e 13 del disciplinare tecnico contenuto nell’allegato B), un sistema di autorizzazione che, quando vi sono diversi utenti, preveda per ogni incaricato o per classi omogenee di incaricati il relativo profilo di autorizzazione inteso come l’insieme delle informazioni, univocamente associate a una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti a essa consentiti.
È opportuno ricordare, inoltre, che l’articolo 34, comma 1, lett. d) del Codice privacy prevede che l’ambito del trattamento per singolo incaricato, o per classi omogenee di incaricati, debba essere aggiornato periodicamente. Tale aggiornamento, come precisato nel punto 14 del disciplinare tecnico allegato B) al Codice privacy, deve avvenire almeno una volta all’anno e comunque ogniqualvolta cambino le mansioni dell’incaricato.
Sul piano della responsabilità va inoltre ricordato che - ferma restando l’eventualità di un possibile risarcimento da parte del titolare, ai sensi del già ricordato articolo 15 del Codice privacy, dei danni subiti dall’interessato come conseguenza del trattamento dei dati personali - la mancata adozione delle misure minime di sicurezza rappresenta contestualmente, secondo quanto previsto nella Parte III, Titolo III del Codice privacy, una violazione amministrativa[3] e un illecito penale[4].
Ed è proprio in attuazione di queste disposizioni a carattere sanzionatorio che il Garante per la protezione dei dati personali nel provvedimento in commento, con il quale ha prescritto all’ENAC alcune misure ritenute necessarie a garantire un più corretto funzionamento del sistema di protocollo informatico in uso, ha precisato non solo che resta salvo, sussistendone i presupposti, il diritto della segnalante a far valere eventuali pretese risarcitorie avanti all’Autorità giudiziaria ordinaria, ma anche che provvederà, con separati procedimenti, a trasmettere gli atti relativi agli accertamenti effettuati all’Autorità giudiziaria competente, nonché a contestare la connessa violazione amministrativa.
§ 4. Obblighi e prescrizioni in materia di protocollo informatico e la profilatura degli utenti
A leggere attentamente le censure del Garante, sembrerebbe che ENAC abbia violato anche l’articolo 61, comma 3, lett. a) del DPR 445/2000, laddove ordina che sia il servizio di protocollo informatico ad attribuire “il livello di autorizzazione per l’accesso alle funzioni della procedura, distinguendo tra abilitazioni alla consultazione e abilitazioni all’inserimento e alla modifica delle informazioni”.
In primo luogo, in ENAC la profilatura dell’ACL era effettuata direttamente dalla sede centrale e non, più correttamente, dalle singole sedi periferiche. Così è previsto anche dall’articolo 58, comma 1, del DPR 445/2000, in virtù del quale era stato disposto che “L’accesso al sistema da parte degli utenti appartenenti all’amministrazione, nonché la ricerca, la visualizzazione e la stampa di tutte le informazioni relative alla gestione dei documenti sono disciplinati dai criteri di abilitazione stabiliti dal responsabile della tenuta del servizio di cui all’articolo 61”.
In seconda battuta, il livello di autorizzazione alla procedura di protocollo era effettuato in maniera indistinta. In pratica, era il ruolo lavorativo a prevalere e non il modello delle competenze distinto per unità organizzative responsabili, a mente dell’articolo 4 della legge 241/1990.
Un’altra ipotesi di violazione del DPR 445/2000 da parte di ENAC è, nella fattispecie, riconducibile all’articolo 52, comma 1, lett. e), che dispone che il sistema di protocollo informatico deve “consentire, in condizioni di sicurezza, l’accesso alle informazioni del sistema da parte dei soggetti interessati, nel rispetto delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”.
Sulla stessa linea si è coordinato anche il DPCM 31 ottobre 2000, articolo 7, comma 2, che prevede: “Il sistema di protocollo informatico deve consentire il controllo differenziato dell’accesso alle risorse del sistema per ciascun utente o gruppo di utenti”. In buona sostanza, pare imprescindibile l’adozione di un insieme di regole e di procedure idonee ad evitare il rischio di una ricerca indiscriminata sul registro di protocollo.
Alcuni enti pubblici, nel loro “Manuale di gestione”, documento descrittivo-prescrittivo previsto dagli artt.3 e 5 dello stesso DPCM 31 ottobre 2000, hanno prudentemente previsto questo tipo di attività. Ad esempio, il Manuale di gestione delle università italiane, uno dei primi, se non il primo Manuale reso pubblico agli inizi del 2001 e aggiornato nel 2005, presenta addirittura un Capitolo 14. - Profili utente e responsabilità, che recita: “L’Archivio Generale di Ateneo riceve dai responsabili delle UOR che afferiscono al protocollo richiesta scritta di abilitazione per ciascun utente, concordando caso per caso le tipologie di abilitazione”[5].
Molti enti pubblici, inoltre, hanno adottato, al fine di garantire una corretta e normalizzata attività di inserimento delle anagrafiche dei corrispondenti e dell’oggetto dei documenti in fase di registrazione di protocollo, le raccomandazioni prodotte nell’ambito del progetto Aurora[6].
Tra queste è utile qui ricordare quella che suggerisce di redigere l’oggetto di un documento tenendo conto delle disposizioni in materia di protezione dei dati personali e in particolare dei principi di pertinenza, non eccedenza e indispensabilità. L’adozione di questa raccomandazione da parte di ENAC, ferme restando le violazioni evidenziate dal Garante degli obblighi previsti nella specifica normativa in materia di gestione informatica dei documenti, avrebbe evitato l’inserimento nel campo oggetto del nome e del cognome della dipendente, raccomandando l’utilizzo delle iniziali o di un codice identificativo, cioè la c.d. “cifratura dei dati oggettivi”.
§ 5. Conclusioni
Le sanzioni irrogate dal Garante sono significative.
Innanzitutto, viene ordinata la configurazione dell’accesso al registro di protocollo informatico in modo da differenziare la visualizzazione dei documenti e dei fascicoli inerenti al personale ai soli dipendenti incaricati del trattamento dei dati o di procedimenti amministrativi per i quali il trattamento sia previsto o indispensabile. ENAC, inoltre, dovrà svolgere un’attività di formazione rivolta al personale abilitato al protocollo informatico, illustrandone compiutamente le funzionalità e le implicazioni in materia di protezione dei dati personali.
Il provvedimento è stato trasmesso anche alla magistratura per le valutazioni di competenza in ordine alla violazione della disciplina di protezione dei dati personali relativa alle misure minime di sicurezza.
In conclusione, a mente dell’articolo 44-bis del CAD e delle sue intersecazioni con la normativa in materia di documentazione amministrativa e di protezione dei dati personali, il protocollo informatico o, meglio, il “sistema informatico di gestione dei flussi documentali e degli archivi”, assume ancora una volta un ruolo centrale nell’agire delle amministrazioni pubbliche. Le sue delicatissime implicazioni di tipo giuridico e organizzativo non possono, dunque, più essere sottovalutate da funzionari e dirigenti pubblici.
[1] DPCM 31 ottobre 2000, art. 4, comma 1, lett. c).
[2] L’art. 30, comma 2, del D.Lgs. 196/2003, infatti, stabilisce che la designazione degli incaricati deve essere effettuata per iscritto e deve individuare puntualmente l’ambito del trattamento consentito, ovvero quali dati possono essere trattati e quali operazioni, tra tutte quelle che rientrano nella definizione di trattamento, possono essere effettuate.
[3] L’art. 162, comma 2-bis, del Codice privacy prevede che in caso di trattamento di dati personali, effettuato in violazione delle misure minime di sicurazza, è applicata, in sede amministrativa, la sanzione del pagamento di una somma da 10.000 a 120.000 euro.
[4] L’art. 169, comma 1, del Codice privacy prevede che chiunque essendovi tenuto, omette di adottare le misure minime di sicurezza, è punito con l’arresto sino a due anni.
[5] In questa sede rinviamo a quello dell’Università degli Studi di Pavia: http://www.unipv.eu/site/home/ateneo/amministrazione/area--gestione-sistemi-ambiente-e-sicurezza-/servizio-sistemi-archivistici-di-ateneo/protocollo-e-archivi-di-deposito/articolo759.html
[6] Le raccomandazioni di Aurora sono reperibili al link http://www.unipd.it/archivio/progetti/aurora
§ 1. Il fatto in punto di diritto
È qui in commento la deliberazione del Garante per la protezione dei dati personali 11 ottobre 2012, n. 280, “Protocollo informatico e protezione dei dati personali dei lavoratori”, con la quale è stato ribadito un concetto già assodato da tempo dalla dottrina e dalla giurisprudenza: per sua intrinseca natura, il protocollo informatico contiene perlopiù dati personali soggetti a tutela nei modi e nelle forme previste dal Testo unico sulla documentazione amministrativa (DPR 28 dicembre 2000, n. 445), dal Codice in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003, n. 196) e dal Codice dell’amministrazione digitale (D.Lgs. 7 marzo 2005, n. 82).
Non sorprende, dunque, il provvedimento in sé. Esso, tuttavia, merita di essere sottoposto ad attenta analisi soprattutto in considerazione della particolare durezza delle sanzioni comminate e comminande, per un caso che farà certamente discutere per le sue intersecazioni normative e per le implicazioni organizzative del lavoro di gestione dei documenti delle amministrazioni pubbliche.
Vediamo il caso.
Una dipendente dell’Ente nazionale di aviazione civile (ENAC) ha segnalato al Garante per la protezione dei dati personali che i dipendenti della direzione aeroportuale di Milano, in maniera indistinta, sono venuti a conoscenza di una contestazione disciplinare rivoltale. Ciò è potuto accadere attraverso alcune registrazioni di protocollo riportanti nell’oggetto, rispettivamente:
a) “osservanza disposizioni orario di lavoro”;
b) “mancata osservanza disposizioni orario di lavoro sig.ra XY”.
Inoltre, nel record di protocollo era presente in formato testuale (tipicamente un file Word) la stessa lettera di contestazione, leggibile da chiunque avesse accesso al protocollo informatico, indipendentemente dal ruolo ricoperto e non necessariamente inerente a quello dell’ufficio personale o al responsabile del procedimento disciplinare.
A fronte della richiesta di chiarimenti del Garante, ENAC si è difeso dichiarando di aver adempiuto a quanto previsto in materia di registrazione di documenti dal DPR 445/2000, rilevando che i dati oggetto di segnalazione non fossero comunque stati “né diffusi né divulgati”, semmai sottoposti a consultazione esclusiva dei dipendenti autorizzati e conservati nel database documentale.
La questione è sottesa, come è stato rilevato anche dalla memoria difensiva di ENAC, alla profilatura degli utenti. Essi, infatti, erano stati suddivisi per tutte le sedi sul territorio nazionale direttamente dalla sede centrale attraverso l’individuazione di ruoli trasversali e non per ruoli verticali, distinguendo, ad esempio, i “ruoli non operativi” da quelli di “ispettori”.
La profilatura della Access Control List (ACL) per ruoli verticali avrebbe dovuto permettere agli utenti la visualizzazione di documenti solo per le necessità legate all’appartenenza ad un ufficio o alla responsabilità di un procedimento amministrativo determinato (c.d. ruolo verticale), senza consentire di spaziare sul registro di protocollo in maniera indistinta attraverso una semplice ricerca testuale, come invece accade alla profilatura orizzontale.
Per queste ragioni, la difesa di ENAC non è stata ritenuta legittima dal Garante. Infatti, il modello di royalties adottato permetteva a dipendenti, pur in difetto di competenza, di venire a conoscenza di dati personali, talora anche sensibili – quali, ad esempio, i permessi per la legge 104/1992 sull’assistenza ai parenti disabili – in maniera indistinta e legata alla mera possibilità di consultazione del registro di protocollo che, in tal modo, avrebbe potuto avvenire in maniera indiscriminata su tutta la banca dati.
§ 2. Il quadro normativo di riferimento
Pressoché tutte le norme aventi ad oggetto l’utilizzo delle tecnologie informatiche per la produzione, gestione, trasmissione e conservazione dei documenti hanno correttamente evidenziato, tra gli altri, anche l’obbligo di adottare le misure di sicurezza – di tipo organizzativo, fisico e logico - finalizzate a garantire la riservatezza e il diritto alla protezione dei dati personali dei soggetti interessati.
Bene ha fatto, quindi, il Garante ad evidenziare non solo la violazione di alcuni obblighi previsti nella specifica normativa inerente al sistema di gestione informatica dei documenti – e, in particolar modo, delle prescrizioni contenute nell’articolo 7, comma 2, del DPCM 31 ottobre 2000 e nell’articolo 52, comma 1, lett. e nel titolo IV del DPR 445/2000) – ma anche la mancata attuazione di alcuni principi contenuti nel CAD che avrebbero dovuto costituire i presupposti per la corretta realizzazione del sistema di gestione informatica dei documenti.
Partiamo da quest’ultimi. In particolare, dagli articoli 2, comma 5 e 44, comma 1-bis, del D.Lgs. 82/2005.
Il primo, dopo aver precisato che le disposizioni del CAD si applicano nel rispetto delle disposizioni del Codice in materia di protezione dei dati personali, precisa che i cittadini – evidentemente anche nel ruolo di dipendenti – hanno il diritto ad ottenere che il trattamento dei loro dati personali effettuato mediante l’uso di tecnologie informatiche sia conformato al rispetto dei loro diritti e delle libertà fondamentali, nonché della loro dignità.
Il secondo prevede che il sistema di conservazione dei documenti informatici sia gestito da un responsabile che deve operare d’intesa con il responsabile del trattamento dei dati personali descritto all’articolo 29 del Decreto Legislativo 196/2003 e con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi, come previsto dall’articolo 61 del DPR 445/2000, nella definizione e gestione delle attività di rispettiva competenza.
È opportuno ricordare che un simile modello organizzativo era già stato previsto nel nostro ordinamento laddove, tra i compiti del responsabile del servizio del protocollo informatico, era stato previsto anche quello di “predisporre il piano per la sicurezza informatica relativo alla formazione, alla gestione, alla trasmissione, all’interscambio, all’accesso, alla conservazione dei documenti informatici d’intesa con il responsabile dei sistemi informativi automatizzati e con il responsabile della sicurezza dei dati personali di cui alla legge 31 dicembre 1996, n. 675, e successive modificazioni ed integrazioni, e nel rispetto delle misure minime di sicurezza previste dal regolamento di attuazione emanato con decreto del Presidente della Repubblica 28 luglio 1999, n. 318, in attuazione dell’articolo 15, comma 2, della citata legge n. 675/1996” [1].
Si tratta di due disposizioni fondamentali che nessun soggetto pubblico può disattendere. Grazie a queste si evidenzia con estrema chiarezza l’impossibilità di passare dalla carta al digitale semplicemente acquistando e installando un software e, al tempo stesso, come risulti imprescindibile adottare adeguate scelte organizzative in grado di assicurare le condizioni di sicurezza delle informazioni previste dalle disposizioni in materia di protezione dei dati personali. Tutto ciò, giova ricordarlo, deve avvenire a valle di un’accurata attività di monitoraggio delle tipologie documentali gestite e di analisi dei relativi flussi documentali.
§ 3. Gli obblighi in materia di misure minime di sicurezza previsti dal D.Lgs. 196/2003
Prima di esaminare le misure minime di sicurezza previste dal Codice privacy, è opportuno ricordare che l’articolo 1 dello stesso ha introdotto nel nostro ordinamento, a partire dal 1° gennaio 2004, il diritto di chiunque alla protezione dei dati personali che lo riguardano. Si tratta, come è stato più volte evidenziato sia in dottrina che in giurisprudenza, di un nuovo diritto – più forte e autonomo rispetto al generale diritto alla riservatezza introdotto con la precedente legge 675/1996 – appartenente alla sfera dei diritti fondamentali della persona.
È anche per questa ragione, tra l’altro, che il successivo articolo 15 del Codice privacy ha qualificato l’attività di trattamento dei dati personali come un’attività pericolosa alla quale si applica, nel giudizio di responsabilità civile, l’articolo 2050 c.c. Tale applicazione, come è noto, prevede in capo al soggetto che esercita un’attività pericolosa l’onere di provare di avere adottato tutte le necessarie misure idonee a evitare il danno.
Il diritto alla protezione dei dati personali - nato in un contesto storico, dominato dall’uso delle tecnologie digitali, dove il patrimonio informativo di ciascuna persona è tendenzialmente destinato ad essere utilizzato da parte di altri soggetti per le finalità più varie - può essere definito come il diritto di ognuno di pretendere che i propri dati personali siano trattati nel rispetto dei principi, delle modalità e delle misure di sicurezza previste nel Codice privacy.
Con riferimento a queste ultime, è opportuno ricordare che tutti i soggetti, pubblici o privati, che legittimamente hanno la necessità di trattare con strumenti informatici i dati personali di terzi nell’ambito delle loro attività gestionali devono – nel quadro dei più generali obblighi di sicurezza previsti dall’articolo 31 del Codice privacy – comunque adottare le cosiddette misure minime di sicurezza previste nel successivo articolo 34.
Tra queste vi sono anche le due misure di sicurezza la cui violazione da parte di ENAC ha costituito il presupposto per l’adozione del provvedimento del Garante in commento.
Si tratta delle misure di sicurezza previste dall’articolo 34, comma 1, lettere c) e d) del Codice privacy, così come dettagliate dai punti da 12 a 15 del disciplinare tecnico descritto nell’allegato B allo stesso. Esse sono relative rispettivamente all’utilizzo di un sistema di autorizzazione e all’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati.
Risulta evidente come la loro corretta adozione non possa prescindere da un’attenta analisi delle attività svolte da ciascuna unità organizzativa e al conseguente censimento dei trattamenti dei dati personali effettuati nell’ambito delle attività di competenza delle stesse.
Il censimento dei trattamenti, come è facilmente intuibile, rappresenta una base informativa indispensabile non solo per la corretta definizione, da parte del titolare o del responsabile, dell’ambito del trattamento consentito ai singoli incaricati[2] - o, nel caso di organizzazioni complesse, a ciascuna classe omogenea di incaricati - ma anche per la puntuale redazione degli atti di designazione degli stessi. Sarebbe opportuno che quest’ultimi contenessero, oltre alle istruzioni impartite, anche l’elenco dei trattamenti consentiti e i livelli di accesso alle diverse banche dati.
Strettamente legato al tema dell’individuazione dell’ambito del trattamento per singolo incaricato, o per classi omogenee di incaricati, è quello inerente ai profili di autorizzazione quando le operazioni di trattamento vengono effettuate in ambiente digitale. A questo proposito, va ricordato che l’articolo 34, comma 1, lett. c) del Codice privacy stabilisce che il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se è adottato, nei modi previsti dai punti 12 e 13 del disciplinare tecnico contenuto nell’allegato B), un sistema di autorizzazione che, quando vi sono diversi utenti, preveda per ogni incaricato o per classi omogenee di incaricati il relativo profilo di autorizzazione inteso come l’insieme delle informazioni, univocamente associate a una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti a essa consentiti.
È opportuno ricordare, inoltre, che l’articolo 34, comma 1, lett. d) del Codice privacy prevede che l’ambito del trattamento per singolo incaricato, o per classi omogenee di incaricati, debba essere aggiornato periodicamente. Tale aggiornamento, come precisato nel punto 14 del disciplinare tecnico allegato B) al Codice privacy, deve avvenire almeno una volta all’anno e comunque ogniqualvolta cambino le mansioni dell’incaricato.
Sul piano della responsabilità va inoltre ricordato che - ferma restando l’eventualità di un possibile risarcimento da parte del titolare, ai sensi del già ricordato articolo 15 del Codice privacy, dei danni subiti dall’interessato come conseguenza del trattamento dei dati personali - la mancata adozione delle misure minime di sicurezza rappresenta contestualmente, secondo quanto previsto nella Parte III, Titolo III del Codice privacy, una violazione amministrativa[3] e un illecito penale[4].
Ed è proprio in attuazione di queste disposizioni a carattere sanzionatorio che il Garante per la protezione dei dati personali nel provvedimento in commento, con il quale ha prescritto all’ENAC alcune misure ritenute necessarie a garantire un più corretto funzionamento del sistema di protocollo informatico in uso, ha precisato non solo che resta salvo, sussistendone i presupposti, il diritto della segnalante a far valere eventuali pretese risarcitorie avanti all’Autorità giudiziaria ordinaria, ma anche che provvederà, con separati procedimenti, a trasmettere gli atti relativi agli accertamenti effettuati all’Autorità giudiziaria competente, nonché a contestare la connessa violazione amministrativa.
§ 4. Obblighi e prescrizioni in materia di protocollo informatico e la profilatura degli utenti
A leggere attentamente le censure del Garante, sembrerebbe che ENAC abbia violato anche l’articolo 61, comma 3, lett. a) del DPR 445/2000, laddove ordina che sia il servizio di protocollo informatico ad attribuire “il livello di autorizzazione per l’accesso alle funzioni della procedura, distinguendo tra abilitazioni alla consultazione e abilitazioni all’inserimento e alla modifica delle informazioni”.
In primo luogo, in ENAC la profilatura dell’ACL era effettuata direttamente dalla sede centrale e non, più correttamente, dalle singole sedi periferiche. Così è previsto anche dall’articolo 58, comma 1, del DPR 445/2000, in virtù del quale era stato disposto che “L’accesso al sistema da parte degli utenti appartenenti all’amministrazione, nonché la ricerca, la visualizzazione e la stampa di tutte le informazioni relative alla gestione dei documenti sono disciplinati dai criteri di abilitazione stabiliti dal responsabile della tenuta del servizio di cui all’articolo 61”.
In seconda battuta, il livello di autorizzazione alla procedura di protocollo era effettuato in maniera indistinta. In pratica, era il ruolo lavorativo a prevalere e non il modello delle competenze distinto per unità organizzative responsabili, a mente dell’articolo 4 della legge 241/1990.
Un’altra ipotesi di violazione del DPR 445/2000 da parte di ENAC è, nella fattispecie, riconducibile all’articolo 52, comma 1, lett. e), che dispone che il sistema di protocollo informatico deve “consentire, in condizioni di sicurezza, l’accesso alle informazioni del sistema da parte dei soggetti interessati, nel rispetto delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”.
Sulla stessa linea si è coordinato anche il DPCM 31 ottobre 2000, articolo 7, comma 2, che prevede: “Il sistema di protocollo informatico deve consentire il controllo differenziato dell’accesso alle risorse del sistema per ciascun utente o gruppo di utenti”. In buona sostanza, pare imprescindibile l’adozione di un insieme di regole e di procedure idonee ad evitare il rischio di una ricerca indiscriminata sul registro di protocollo.
Alcuni enti pubblici, nel loro “Manuale di gestione”, documento descrittivo-prescrittivo previsto dagli artt.3 e 5 dello stesso DPCM 31 ottobre 2000, hanno prudentemente previsto questo tipo di attività. Ad esempio, il Manuale di gestione delle università italiane, uno dei primi, se non il primo Manuale reso pubblico agli inizi del 2001 e aggiornato nel 2005, presenta addirittura un Capitolo 14. - Profili utente e responsabilità, che recita: “L’Archivio Generale di Ateneo riceve dai responsabili delle UOR che afferiscono al protocollo richiesta scritta di abilitazione per ciascun utente, concordando caso per caso le tipologie di abilitazione”[5].
Molti enti pubblici, inoltre, hanno adottato, al fine di garantire una corretta e normalizzata attività di inserimento delle anagrafiche dei corrispondenti e dell’oggetto dei documenti in fase di registrazione di protocollo, le raccomandazioni prodotte nell’ambito del progetto Aurora[6].
Tra queste è utile qui ricordare quella che suggerisce di redigere l’oggetto di un documento tenendo conto delle disposizioni in materia di protezione dei dati personali e in particolare dei principi di pertinenza, non eccedenza e indispensabilità. L’adozione di questa raccomandazione da parte di ENAC, ferme restando le violazioni evidenziate dal Garante degli obblighi previsti nella specifica normativa in materia di gestione informatica dei documenti, avrebbe evitato l’inserimento nel campo oggetto del nome e del cognome della dipendente, raccomandando l’utilizzo delle iniziali o di un codice identificativo, cioè la c.d. “cifratura dei dati oggettivi”.
§ 5. Conclusioni
Le sanzioni irrogate dal Garante sono significative.
Innanzitutto, viene ordinata la configurazione dell’accesso al registro di protocollo informatico in modo da differenziare la visualizzazione dei documenti e dei fascicoli inerenti al personale ai soli dipendenti incaricati del trattamento dei dati o di procedimenti amministrativi per i quali il trattamento sia previsto o indispensabile. ENAC, inoltre, dovrà svolgere un’attività di formazione rivolta al personale abilitato al protocollo informatico, illustrandone compiutamente le funzionalità e le implicazioni in materia di protezione dei dati personali.
Il provvedimento è stato trasmesso anche alla magistratura per le valutazioni di competenza in ordine alla violazione della disciplina di protezione dei dati personali relativa alle misure minime di sicurezza.
In conclusione, a mente dell’articolo 44-bis del CAD e delle sue intersecazioni con la normativa in materia di documentazione amministrativa e di protezione dei dati personali, il protocollo informatico o, meglio, il “sistema informatico di gestione dei flussi documentali e degli archivi”, assume ancora una volta un ruolo centrale nell’agire delle amministrazioni pubbliche. Le sue delicatissime implicazioni di tipo giuridico e organizzativo non possono, dunque, più essere sottovalutate da funzionari e dirigenti pubblici.
[1] DPCM 31 ottobre 2000, art. 4, comma 1, lett. c).
[2] L’art. 30, comma 2, del D.Lgs. 196/2003, infatti, stabilisce che la designazione degli incaricati deve essere effettuata per iscritto e deve individuare puntualmente l’ambito del trattamento consentito, ovvero quali dati possono essere trattati e quali operazioni, tra tutte quelle che rientrano nella definizione di trattamento, possono essere effettuate.
[3] L’art. 162, comma 2-bis, del Codice privacy prevede che in caso di trattamento di dati personali, effettuato in violazione delle misure minime di sicurazza, è applicata, in sede amministrativa, la sanzione del pagamento di una somma da 10.000 a 120.000 euro.
[4] L’art. 169, comma 1, del Codice privacy prevede che chiunque essendovi tenuto, omette di adottare le misure minime di sicurezza, è punito con l’arresto sino a due anni.
[5] In questa sede rinviamo a quello dell’Università degli Studi di Pavia: http://www.unipv.eu/site/home/ateneo/amministrazione/area--gestione-sistemi-ambiente-e-sicurezza-/servizio-sistemi-archivistici-di-ateneo/protocollo-e-archivi-di-deposito/articolo759.html
[6] Le raccomandazioni di Aurora sono reperibili al link http://www.unipd.it/archivio/progetti/aurora
