La conservazione digitale non può prescindere dalla privacy: lo dice anche il Garante

di avv. Graziano Garrisi – Digital&Law Department 

Il Garante per la protezione dei dati personali, con il provvedimento n. 280 dell’11 ottobre 2012, ha evidenziato come un processo di gestione e conservazione di documenti informatici non possa prescindere da un corretto trattamento dei dati personali. In tale provvedimento il Garante ha affermato, infatti, che l’adempimento degli obblighi derivanti dall’art. 44 comma 1 bis1  del d.lgs. 82/2005 (Codice dell’Amministrazione Digitale) – il quale prevede che il sistema di conservazione sia gestito da un responsabile che opera d’intesa con il responsabile del trattamento dei dati personali e il responsabile del servizio per la tenuta del protocollo informatico – avrebbe potuto contribuire all’implementazione di corrette modalità di utilizzo del complessivo sistema di gestione documentale esistente, tali da coniugare il legittimo (e doveroso) trattamento dei dati personali – ivi compresi quelli […] riferiti ai dipendenti – nel rispetto del diritto alla protezione dei dati personali riconosciuto agli interessati, sfruttandone le peraltro già esistenti funzionalità.

Vediamo, pertanto, le circostanze che hanno portato il Garante a richiamare la disciplina del CAD e, in particolare, quella del sistema di conservazione.
Il caso è quello di una dipendente dell’ENAC (Ente Nazionale per l’Aviazione Civile), impiegata presso la Direzione Aeroportuale ENAC di Malpensa, la quale si è rivolta al Garante per lamentare il fatto che, in ragione della configurazione del protocollo elettronico utilizzato, tutto il personale della direzione aeroportuale era venuto a conoscenza di alcune contestazioni disciplinari che le erano state elevate e, addirittura, di una di esse era stato reso conoscibile ai colleghi il contenuto integrale.
In effetti, dagli accertamenti effettuati dall’Autorità Garante è emerso che ricorrenze relative a vicende personali di alcuni dipendenti, e non solo della segnalante, potevano essere visualizzate attraverso l’accesso al protocollo.
Il problema sorgeva dal fatto che, seppure tra le funzionalità del sistema di protocollazione elettronica risultava possibile attivare una funzione denominata “visibilità documento” e, quindi, evidenziare quali soggetti potevano accedere a un determinato documento, questa funzione non veniva correttamente adoperata dall’addetto incaricato alla gestione del personale (si utilizzava, quindi, un’impostazione di default). Ciò implicava che la documentazione che lo stesso protocollava risultava visibile a tutto il personale appartenente al suo stesso ruolo, quello di impiegato, oltre che al responsabile e agli addetti di segreteria.
A tal proposito l’Autorità Garante ha evidenziato che le modalità di impiego del sistema di gestione documentale dei dati concernenti vicende personali dei dipendenti dell’ente (e non solo relativi alla segnalante), presentavano alcuni profili di violazione della disciplina di protezione dei dati personali.

Le disposizioni del Codice Privacy che sono state violate sono innanzitutto quelle in materia di misure minime di sicurezza e, in particolare, quelle di cui all’art. 34, comma 1, lett. c) e d), del Codice: nell’ambito dei trattamenti di dati effettuati con strumenti elettronici, infatti, si richiede l’adozione di specifiche misure minime tra le quali rientrano l’utilizzazione di un sistema di autorizzazione e l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati. Risultano violate anche le norme del “Disciplinare tecnico in materia di misure minime di sicurezza, relative al sistema di autorizzazione” di cui all’Allegato B del Codice Privacy, violazioni dovute soprattutto alla mancanza di una corretta scelta organizzativa in ambito privacy. È stata riscontrata, inoltre, una non conformità anche in relazione all’art. 7, comma 2, del DPCM 31 ottobre 2000 (Regole tecniche per il protocollo informatico di cui al decreto del Presidente della Repubblica 20 ottobre 1998, n. 428) secondo il quale “il sistema di protocollo informatico deve consentire il controllo differenziato dell’accesso alle risorse del sistema per ciascun utente o gruppo di utenti”.
Nel provvedimento si rammenta, infine, che le norme violate sono peraltro richiamate dalla specifica disciplina di settore contenuta nel CAD (art. 2 – comma 5 e art. 44 – comma 1, lett. d) e nel D.P.R. n. 445 del 28 dicembre 2000 “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa” (art. 52 – comma 1, lett. e).

In ragione di ciò è stato prescritto all’ENAC:
di effettuare attività formativa indirizzata a tutto il personale della sede di Malpensa che utilizza il sistema di gestione documentale (quindi anche a coloro che ricoprono il ruolo di “impiegato”), illustrandone compiutamente le funzionalità e le possibili implicazioni in relazione all’applicazione della disciplina di protezione dei dati personali. Ciò perché, se il personale fosse stato in grado di farlo, avrebbe potuto adottare opportuni accorgimenti (come il sistema permetteva di fare) tali da consentire il corretto trattamento dei dati personali, evitando il verificarsi di situazioni di indiscriminata consultabilità dei dati immessi nel sistema di gestione documentale.
di dare attuazione, con riguardo al complessivo funzionamento del sistema gestionale di documentazione, alla disposizione di cui all’art. 44, comma 1-bis, d.lgs. n. 82/2005 (un confronto tra responsabile del protocollo e responsabile del trattamento, infatti, avrebbe potuto contribuire all’implementazione di corrette modalità di utilizzo del complessivo sistema di gestione documentale esistente e scongiurare così il trattamento dei dati personali da parte di persone non autorizzate, in rispetto del principio di necessità di cui all’art. 3 del Codice Privacy).

La portata innovativa di questo provvedimento, pertanto, si rinviene nel fatto che l’Autorità Garante, oltre a rimarcare il fatto che l’attività formativa diretta al personale in ambito privacy è essenziale in quanto rientra tra le misure minime di sicurezza, fa un riferimento preciso al sistema di conservazione previsto dal CAD, richiamando in particolare la previsione contenuta all’art. 44 (Requisiti per la conservazione dei documenti informatici) in base al quale il sistema di conservazione dei documenti informatici deve garantire il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico pubblicato in Allegato B a tale decreto (oltre a garantire l’identificazione certa del soggetto che ha formato il documento, l’integrità del documento e la leggibilità e l’agevole reperibilità dei documenti e delle informazioni identificative, inclusi i dati di registrazione e di classificazione originari).
In effetti, per gestire elettronicamente dati e documenti e avviare processi di conservazione digitale in linea con la normativa italiana attualmente in vigore, si presuppone innanzitutto lo sviluppo all’interno di qualsiasi realtà (pubblica e privata che sia) di procedure che consentano il corretto trattamento dei dati personali in primis, e la corretta gestione dei flussi documentali, rispettando non solo le complesse regole tecniche di conservazione e tutte le norme e i princìpi in materia di trasparenza delle operazioni, ma anche una serie di misure di sicurezza e organizzative, regolamentate nel Codice Privacy e nei vari provvedimenti dell’Autorità Garante in materia (compito questo evidentemente non facile, che necessita di svariate figure, con diverse funzioni, all’interno di un preciso e definito organigramma aziendale).

Inoltre, è importante considerare che tale esigenza di protezione dei dati è particolarmente avvertita laddove, come nel caso di specie, il servizio di gestione documentale e archiviazione avvenga su piattaforme telematiche alle quali possano accedere più soggetti, mediante credenziali di autenticazione.
Tirando le fila del discorso, pertanto, possiamo certamente affermare che il provvedimento in esame per la prima volta affronta l’argomento relativo alla collaborazione e confronto necessari tra responsabili del trattamento, responsabili del protocollo e responsabili della conservazione, la cui sinergia è stata dal nostro legislatore auspicata e fortemente voluta in considerazione delle problematicità insite nei processi di digitalizzazione; ciò quasi a voler realizzare quel coordinamento funzionale tra responsabili che nei prossimi anni avranno il difficile compito di guidare e garantire il corretto utilizzo e la sicurezza dei dati e delle informazioni, preservandone al contempo la riservatezza.
Sarà onere dell’amministrazione, ora, comunicare all’Autorità Garante (entro 30 giorni) sia le misure adottate sia la creazione di una idonea privacy policy che realizzi nel concreto (con riguardo al complessivo funzionamento del sistema gestionale di documentazione) le finalità della disposizione di cui all’art. 44, comma 1-bis, del d.lgs. n. 82/2005, al fine di evitare sanzioni molto pesanti in conseguenza dell’applicabilità al caso di specie dell’art. 162, comma 2-ter del Codice Privacy (sanzione da 30.000,00 a 180.000,00 euro).

1 Il comma 1 bis dell’art. 44 del CAD, rubricato “Requisiti per la conservazione dei documenti informatici”, stabilisce che “il sistema di conservazione dei documenti informatici è gestito da un responsabile che opera d’intesa con il responsabile del trattamento dei dati personali di cui all’articolo 29 del decreto legislativo 30 giugno 2003, n. 196, e, ove previsto, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi di cui all’articolo 61 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, nella definizione e gestione delle attività di rispettiva competenza”