Protocollo informatico e privacy dei dipendenti

Ho avuto occasione di leggere di recente un provvedimento del Garante per la protezione dei dati personali (Registro provvedimenti: n. 280 dell’11.10.2012), con il quale l’Autorità,  a seguito delle segnalazioni e contestazioni ricevute da un dipendente di un Ente, inerenti le modalità di utilizzo del sistema di gestione documentale, ha rilevato che lo stesso, a causa di improprie scelte organizzative, presenta alcuni profili di violazione della disciplina in materia di  protezione dei dati personali.

In sintesi, nonostante le funzionalità native del sistema lo consentissero, non sono stati correttamente individuati e configurati i profili di autorizzazione dei diversi incaricati in modo da limitare l’accesso ai dati relativi ai dipendenti (ad esempio informazioni sui procedimenti disciplinari) al solo personale incaricato di tale tipologia di trattamento; ciò ha permesso anche ad altri di venire a conoscenza, già solo in ragione dell’oggetto, di informazioni personali riferite ad altri lavoratori.

In particolare, risultano violate le disposizioni di cui all’art. 34, comma 1, lett. c) e d), del Codice  sulla privacy – relative all’utilizzo di un sistema di autorizzazione e all’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati. Risultano altresì violate le regole 13, 14 e 15 dell’Allegato B allo stesso Codice (Disciplinare tecnico in materia di misure minime di sicurezza, relative al sistema di autorizzazione),  le quali sono richiamate anche dal CAD (art.  2, comma 5 e art. 44, comma 1, lett. d) e dal DPR 445/2000 [art. 52 (R), comma 1, lett. e) ].

Inoltre,  le modalità adottate non sono conformi alla previsione contenuta nell’art. 7, comma 2 del  DPCM 31 ottobre 2000, in base al quale il sistema di protocollo informatico deve consentire il controllo differenziato dell’accesso alle risorse del sistema per ciascun utente o gruppo di utenti.

E’ stato giudicato, infine,  irrilevante che presso il suddetto Ente abbia trovato attuazione l’art. 44, comma 1-bis, del D.Lgs. 82/2005, il quale dispone che “il sistema di conservazione dei documenti informatici è gestito da un responsabile che opera d’intesa con il responsabile del trattamento dei dati personali di cui all’articolo 29 del decreto legislativo 30 giugno 2003, n. 196, e, ove previsto, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi di cui all’articolo 61 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, nella definizione e gestione delle attività di rispettiva competenza”, in quanto tale circostanza non ha contribuito all’implementazione di corrette modalità di utilizzo del sistema di gestione documentale, come avrebbe dovuto, al fine di segmentare la visibilità dei documenti e dei fascicoli, consentendo ai soli soggetti incaricati del trattamento dei dati riferiti al personale di prendere conoscenza degli stessi.

Dopo le dovute verifiche, il Garante ha disposto la trasmissione della documentazione di pertinenza e di copia del citato provvedimento all’autorità giudiziaria per le valutazioni di competenza ed ha prescritto all’Ente:  

–  ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice sul trattamento dei dati personali, di effettuare un’attività formativa attinente indirizzata a tutto il  personale che utilizza il sistema di gestione documentale;

–  di dare attuazione con riguardo al funzionamento complessivo del sistema di gestione dei documenti alla disposizione di cui all’art. 44, comma 1-bis del D.Lgs. 82/2005 (punti 5.2 e 5.3);

– di comunicare all’ Autorità, ai sensi dell’art. 157 del Codice sulla privacy, entro trenta giorni dal ricevimento del provvedimento in argomento, le misure adottate per conformarsi alle prescrizioni impartite.

Precedente A proposito di diritto all'oblio ... Successivo Open data day italiano: materiali e recensione