Diritti interna

Doveri interna

ricerca avanzata

Protocollo informatico e protezione dei dati personali dei lavoratori

L'accesso alle informazioni relative ai dipendenti acquisiste nel protocollo informatico, il sistema in cui si registrano i documenti in entrata e in uscita di un'azienda o di una Pa, deve essere limitato al solo personale specificamente incaricato della gestione di determinati dati personali dei lavoratori

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
2097560
Data:
11/10/12
Argomenti:
Misure di sicurezza , Lavoro dipendente , Fascicolo personale , Sanzioni diciplinari
Tipologia:
Prescrizioni del Garante

[doc. web n. 2097560]

Protocollo informatico e protezione dei dati personali dei lavoratori - 11 ottobre 2012

Registro dei provvedimenti
n. 280 dell´11 ottobre del 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

ESAMINATE le risultanze istruttorie nonché gli esiti degli accertamenti in loco effettuati, in data 3 e 4 maggio 2012, presso la sede dell´Ente Nazionale per l´Aviazione Civile (Enac) presso l´Aeroporto di Malpensa 2000 e, in data 11 maggio 2012, presso la sede dell´Enac in Roma;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1.1. Con segnalazione del 19 maggio 2010, oggetto di integrazione il 22 novembre 2010, XY, dipendente dell´Ente Nazionale per l´Aviazione Civile (di seguito Enac), ed impiegata in qualità di KW presso la Direzione Aeroportuale Enac di Milano Malpensa (Aeroporto Malpensa 2000), ha lamentato che:

a. senza il proprio consenso, contestazioni disciplinari che la riguardavano sono state acquisite al protocollo generale dell´Enac;

b. in ragione della configurazione del protocollo elettronico ivi esistente, "tutto il personale in forza presso la direzione aeroportuale" sarebbe venuto a conoscenza del fatto che contestazioni disciplinari siano state elevate nei propri confronti nonché, in relazione ad una di esse (allegata alla segnalazione, identificata dal numero di protocollo Enac XX), ne sarebbe stato reso conoscibile ai colleghi il contenuto integrale (cfr. segnalazione 19.5.2010, p. 2 e all. 3). Più precisamente, la circostanza dell´esistenza di contestazioni disciplinari mosse alla segnalante risulterebbe dalla descrizione sintetica dell´oggetto delle comunicazioni inviatele ricavabile dal protocollo elettronico – identificate al prot. N. XX e n. YY con la dizione, rispettivamente, "osservanza disposizioni orario di lavoro" e "mancata osservanza disposizioni orario di lavoro s.ra XY" – nonché, in relazione alla contestazione dell´8 gennaio 2010, anche in ragione della possibilità di leggere il contenuto in formato elettronico della comunicazione inviatale aprendo il documento in formato "word" presente quale allegato nel protocollo medesimo (cfr. all. 3 segnalazione del 19 maggio 2010).

1.2. Tali circostanze sono state ribadite dalla segnalante in successive comunicazioni dirette all´Autorità, precisando che le contestazioni acquisite al protocollo sarebbero "visibili e leggibili indistintamente da tutto il personale in forza presso gli uffici amministrativi e operativi della direzione aeroportuale Enac di Malpensa", ivi compreso "il personale applicato ad altre e diverse mansioni non necessariamente collegate all´ufficio personale, protocollo e/o dirigenziale" (cfr. nota integrativa del 22.11.2010, p. 2 e doc. 7) e nelle quali si segnala una nuova annotazione sul protocollo generale relativa alla "reiterata mancata osservanza disposizioni orario di lavoro" (prot. n. 102740 del 6/9/2010).

2.1. A fronte della segnalazione, il 4 maggio 2011 l´Ufficio ha provveduto a richiedere chiarimenti all´Enac, interpellando sia la Direzione di Malpensa, sia la Direzione generale Enac.

2.2. A seguito di tale richiesta di informazioni, la Direzione Aeroportuale di Malpensa, nel confermare la previa attivazione di un procedimento disciplinare nei confronti della segnalante, con nota del 17 maggio 2011 ha rappresentato che:

a. le relative contestazioni sono state protocollate in adempimento delle prescrizioni contenute nel d.P.R. 28 dicembre 2000, n. 445;

b. i dati personali contenuti negli atti relativi al menzionato procedimento disciplinare "non sono stati né diffusi né divulgati, ma risiedono nel protocollo informatico interno all´Enac, mentre il loro accesso [...] è circoscritto ai soli dipendenti autorizzati".

2.3. La Direzione centrale di Enac ha inoltre precisato che:

a. quanto alla conoscibilità della documentazione oggetto di protocollazione presso Enac "se protocolla il responsabile la visibilità del documento nella Direzione è sua esclusiva; se protocolla un dipendente che è nel ruolo di segreteria la visibilità del documento viene estesa a tutti gli appartenenti al suo ruolo e al Direttore ma non ai dipendenti che si trovano nel ruolo di impiegato; se protocolla un dipendente che è nel ruolo di impiegato la visibilità del documento viene estesa a tutti gli appartenenti al suo ruolo, al ruolo di segreteria ed al Direttore" (cfr. nota del 30 maggio 2011);

b. tali "ruoli", come chiarito nel corso degli accertamenti successivi, "non hanno alcuna relazione con i profili amministrativi dei dipendenti di Enac e con le mansioni dagli stessi svolti" (cfr. verbale 11 maggio 2012, p. 2);

c. "la visibilità di un documento […] può essere effettuata ad un ruolo o ad un dipendente. Se si predispone un fascicolo la cui visibilità è estesa a tutto il personale della Direzione e ci si classifica un documento, quest´ultimo viene visto da tutti" (cfr. nota del 30 maggio 2011).

3. La segnalante, presa conoscenza degli elementi forniti da Enac, con nota del 17 giugno 2011, ha confermato le circostanze oggetto di segnalazione, ribadendo che altri colleghi avrebbero preso visione sia delle annotazioni sintetiche contenute nel protocollo informatico (alla voce "oggetto"), sia del contenuto integrale (in formato elettronico) della menzionata contestazione dell´8 gennaio 2010.

4.1. Al fine di verificare l´osservanza dei principi e delle disposizioni in materia di protezione dei dati personali relativi all´utilizzo del sistema di protocollazione – anche alla luce delle divergenze nella rappresentazione dei fatti oggetto di segnalazione – in data 3 e 4 maggio 2012 sono stati effettuati accertamenti in loco presso la sede Enac dell´Aeroporto di Malpensa (interloquendo con il dirigente dello stesso, la segnalante, nonché con parte del personale ispettivo e amministrativo ivi operante) e, quindi, l´11 maggio 2012, presso la Direzione generale dell´Enac in Roma.

4.2. Alla luce degli accertamenti effettuati presso l´Enac di Malpensa, mediante l´assunzione di informazioni e accesso al protocollo informatico effettuati ai sensi dell´art. 157 del Codice, è emerso che (cfr. verbale 3.5.2012):

a. il sistema di protocollazione elettronica (denominato Ge.Doc.) è comune per tutte le sedi dell´Enac e la sua configurazione è prestabilita dalla Direzione generale di Roma: "i dati che vengono registrati nel sistema sono contenuti in server della direzione centrale e anche gli interventi di impostazione, creazione di account e modifica dei profili di autorizzazione sono effettuati dalla sede centrale su segnalazione della Direzione aeroportuale" (cfr. verbale 3.5.2012, p. 2);

b. previa immissione di credenziali di autenticazione, i dipendenti della Direzione di Malpensa – ripartiti in "un´area di dipendenti cd. "non operativi" e [in] un´area di ispettori" – possono accedere al sistema di protocollazione mediante una web application;

c. "nell´ambito dell´area non operativa vi sono diversi impiegati, fra i quali [due] addetti alla Segreteria e [altro dipendente, operante con il ruolo di "impiegato"] addetto alla cura di taluni adempimenti relativi alla gestione del personale";

d. "tutti i dipendenti della Direzione possono registrare sul protocollo informatico gli atti in uscita dagli stessi formati. Il personale di Segreteria è addetto alla protocollazione degli atti in entrata", successivamente oggetto di assegnazione da parte del responsabile della Direzione;

e. a seguito di un accesso al protocollo informatico effettuato dalla postazione del dipendente addetto alla cura di taluni adempimenti relativi alla gestione del personale ed il cui livello d´accesso corrisponde, allo stato, al ruolo di "impiegato presso la Direzione aeroportuale" (come già indicato nella comunicazione della direzione centrale Enac del 30 maggio 2011), è risultato possibile visualizzare ricorrenze con il nominativo della segnalante nonché ricorrenze relative a vicende personali di altri dipendenti della Direzione quali, ad esempio, il rilascio di permessi connessi all´applicazione della legge n. 104/1992, di permessi parentali ovvero per ragioni di studio, o ancora, documentazione concernente sussidi per mense scolastiche o l´assegnazione di borse di studio (cfr. all. 6, 14 e 15, verbale 3 maggio 2012);

f. con riferimento a talune delle ricorrenze concernenti la segnalante è risultato che dalle informazioni sintetiche riportate nella voce "oggetto" del protocollo è desumibile sia la circostanza delle avvenute contestazioni disciplinari, sia le ragioni poste a fondamento delle stesse (v. all. 9 al verbale del 3 maggio 2012 nonché all. 2 al verbale del 4 maggio 2012, in relazione alle comunicazioni dell´8 gennaio e 16 febbraio 2010), ma che nessun file (dal quale risultasse possibile conoscere integralmente il contenuto del documento inviato alla segnalante) era associato a tale record;

g. come già precisato dalla Direzione centrale Enac nella comunicazione del 30 maggio 2011, i documenti oggetto di protocollazione nonché, ove presente, il file dal quale è possibile ricavare il contenuto degli stessi, risultano visibili a tutti gli appartenenti al medesimo ruolo di chi effettua la protocollazione. Ove, quindi, in ragione della configurazione del sistema di protocollazione, quest´ultima sia effettuata da un appartenente al ruolo "impiegati" (tale è, allo stato, la qualifica nella quale opera il dipendente addetto presso la sede di Malpensa al trattamento di dati personali relativi ai dipendenti), il documento risulterà visibile a tutti i soggetti che rivestono, ai fini dell´accesso al protocollo, il ruolo "impiegati" (vale a dire tutti gli ispettori, nonché il personale "non operativo" operante presso la Direzione di Malpensa), oltre che al responsabile e agli addetti di segreteria (come risulta in atti, rispetto al documento prot. n. XX protocollato, con il ruolo di "impiegato", dall´impiegato addetto alla trattamento di dati del personale e visibile al personale di segreteria nonché a tutti gli appartenenti al ruolo "impiegati: cfr. all. 21-26 al verbale del 3 maggio 2012);

h. i documenti protocollati dagli addetti di segreteria sono invece visibili solo a quelli operanti presso la segreteria e al responsabile della Direzione;

i. tra le funzionalità del sistema di protocollazione elettronica, in occasione dell´apertura di ciascun record è possibile attivare una funzione denominata "visibilità documento" che evidenzia quali soggetti possono accedere al documento. Anche mediante tale funzione è stato possibile verificare che documentazione oggetto di protocollazione da parte dell´addetto alla gestione del personale che utilizza il profilo di "impiegato", relativa alla fruizione di congedi parentali di taluni dipendenti, risulta visibile a tutto il personale appartenente al ruolo "impiegato";

j. l´apertura di ciascun record consente inoltre di attivare una funzione del sistema di protocollazione denominata "storia del documento", dalla quale l´utente può evincere non solo l´identità e il "ruolo" di chi ha formato, ma anche di chi, in tempi successivi, ha acquisito o visualizzato il documento, nonché la data e l´ora in cui ciascuna di tali azioni ha avuto luogo (cfr. all. 8, al verbale del 3 maggio 2012);

k. effettuata la ricerca della documentazione relativa alla segnalante dalla postazione informatica del Direttore aeroportuale, essa ha restituito, oltre ai record in precedenza visualizzati presso la postazione dell´addetto al trattamento dei dati riferiti al personale (con il livello di "impiegato"), anche il documento relativo all´"osservanza disposizioni orario di lavoro" dell´8 gennaio 2010, oggetto anch´esso della segnalazione presentata al Garante e, allo stato, non visibile al personale del ruolo "impiegati". Detto record, formato dal predetto dipendente addetto al trattamento dei dati del personale, al tempo però nella diversa qualità di appartenente al ruolo "segreteria", è risultato provvisto del relativo documento in formato "doc".

4.3. Nel corso degli accertamenti effettuati in data 4 maggio 2012, la segnalante, nel confermare il contenuto delle missive inviate all´Autorità, ha precisato che il solo testo risultato integralmente visibile dalla propria postazione di lavoro è la comunicazione inviatale l´8 gennaio 2010 che la stessa non solo ha consultato, ma ha stampato (in formato "doc", successivamente allegato alla segnalazione presentata al Garante) e, quindi, provveduto a scaricare nel pc assegnatole in uso. A seguito di un accesso alla postazione della segnalante (con l´ausilio della stessa) è stata acquisita la stampa delle schermate relative alle proprietà del file "ZZ.doc", scaricato dal protocollo informatico nell´archivio locale della postazione della segnalante ed il cui contenuto corrisponde alla versione elettronica del documento dell´8 gennaio 2010; dalle predette proprietà risulta che tale file è stato scaricato il 3 gennaio 2011, alle ore 16:43:55 (documento acquisito agli atti, unitamente alle proprietà del file ricavate dal sistema: cfr. all. 1 verb. 4.5.2012).

La segnalante ha altresì puntualizzato che, "al fine di verificare se il predetto documento fosse visibile anche dalle postazioni di altri colleghi, ha richiesto [ad una ispettrice] del settore security di effettuare la stessa ricerca precedentemente da lei operata", all´esito della quale "anche dalla postazione [di tale collega] è stato possibile visualizzare il documento in formato "doc"". Tale circostanza è stata confermata dalla medesima – che ha dichiarato di aver "visualizzato, su richiesta della [segnalante], una copia della nota n. XX dell´8 gennaio 2010 avente ad oggetto "osservanza disposizioni orario di lavoro" e indirizzata" alla segnalante –, essa pure operante presso la Direzione in qualità di KW ed il cui livello di accesso è (da sempre) quello di "impiegato". La stessa ha altresì dichiarato "di aver ripetuto tale operazione in altra circostanza nel mese di marzo o aprile 2010: anche in tale circostanza il documento è risultato visualizzabile".

La ricerca dello stesso documento nel corso degli accertamenti ispettivi ha dato esito negativo.

La segnalante ha dichiarato di aver visualizzato dal protocollo la contestazione "qualche giorno dopo la notifica formale della nota dell´8 gennaio 2010" e, pur non ricordandone con esattezza la data, "comunque prima dell´invio della segnalazione al Garante del 19 maggio 2010", come risulta da "copia delle stampe dalla stessa effettuate all´esito di ricerche presso il protocollo informatico operate in data 22 febbraio 2010" (già allegata alla segnalazione e nuovamente acquisita agli atti).

4.4. Con riguardo al profilo del trattamento delle stesse informazioni per il tramite del sistema di protocollazione, è stato precisato dall´incaricato del trattamento dei dati relativi alla gestione del rapporto di lavoro dei dipendenti della sede di Malpensa, che allo stato opera sul sistema con il profilo di "segreteria", di non aver ricevuto, nell´ambito di un corso di formazione relativo al funzionamento del sistema di protocollazione, "documentazione specifica" essendo disponibile nella intranet, "per tutti gli utilizzatori, […] una versione del manuale di istruzioni, attivabile mediante l´apposita funzione "help"". Gli accertamenti effettuati, peraltro, hanno consentito di appurare che attività formative concernenti il sistema di gestione documentale non hanno interessato il personale operante con il profilo "impiegato" (che pure il sistema è tenuto ad utilizzare), né (nel caso di specie) il dipendente che si occupa del trattamento dei dati personali connessi alla gestione del rapporto di lavoro (cfr. documentazione allegata al verbale del 4.5.2012 relativa "ai fabbisogni formativi 2009-2010").

Alla luce delle precedenti considerazioni, ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, si prescrive all´Enac, quale misura opportuna, di effettuare un´attività formativa indirizzata al personale della sede di Malpensa che utilizza il sistema di gestione documentale anche con il ruolo "impiegato", illustrandone compiutamente le funzionalità e le possibili implicazioni in relazione all´applicazione della disciplina di protezione dei dati personali. Al riguardo, dovrà altresì essere data comunicazione all´Autorità, senza ritardo, e comunque entro e non oltre trenta giorni dal ricevimento del presente provvedimento delle misure adottate.

4.5. È stato infine puntualizzato che "i dipendenti della Direzione aeroportuale di Malpensa non possono effettuare cancellazioni di record del protocollo informatico. Tale operazione non può essere effettuata nemmeno dai dipendenti con profilo di "Segreteria"; […] i dipendenti non hanno la possibilità di eliminare documenti in formato elettronico allegati ai record del protocollo informatico. Possono tuttavia aggiungere ulteriori versioni dei documenti già allegati. Nel caso in cui un documento sia erroneamente registrato nel protocollo informatico, la cancellazione può essere effettuata solamente dalla Direzione centrale di Roma. […] Il protocollo mantiene comunque un´evidenza di tale operazione presentando il record o i file cancellati sbarrati da una linea di cancellazione" (cfr. verbale 4.5.2012, p. 3).

4.6. Nel corso degli accertamenti effettuati l´11 maggio 2012 presso la Direzione centrale Enac in Roma è altresì emerso che:

a. "fino all´aprile 2010, erano in uso diversi registri di protocollo, gestiti con il medesimo sistema Ge.Doc. Attualmente è presente un unico registro di protocollo a servizio dell´intera area organizzativa omogenea corrispondente all´Enac" (cfr. verbale 11.5.2012, p. 2);

b. "nella configurazione di default del sistema, l´attività di protocollazione è consentita solamente al ruolo di "Segreteria". Su richiesta, la Direzione dei sistemi informativi provvede ad abilitare dipendenti appartenenti al ruolo "Responsabile" e/o "Impiegati" alla funzione di protocollazione. Pertanto, la circostanza che la direzione aeroportuale di Malpensa consenta ai propri dipendenti del ruolo "Impiegati" di svolgere attività di protocollazione, con conseguente visibilità dei documenti protocollati estesa a tutti i dipendenti appartenenti al medesimo ruolo del protocollatore e al ruolo sovraordinato, dipende esclusivamente da una specifica richiesta in tal senso della medesima direzione aeroportuale rispetto alla quale la Direzione dei sistemi informativi ha provveduto a dare esecuzione" (cfr. verbale 11.5.2012, p. 2);

c.  nell´ambito delle attività formative curate da Enac concernenti il funzionamento del sistema di gestione documentale – di "taglio prevalentemente operativo" e dirette "al solo personale individuato dai responsabili delle relative unità organizzative""sono state sempre esplicitate agli operatori le caratteristiche del sistema con riferimento alla visibilità dei documenti" (cfr. verbale 11.5.2012, p. 3);

d. l´attività manutentiva del sistema di gestione documentale è stata (inizialmente) affidata alla società Value Team S.p.A. che "non è stata designata responsabile del trattamento" (cfr. verbale 11.5.2012, p. 3);

e. è risultato confermato, dall´analisi della "storia del documento", che il file "ZZ.doc" (il cui contenuto corrisponde alla versione elettronica del documento dell´8 gennaio 2010), è stato scaricato per la prima volta dal protocollo informatico nell´archivio locale della postazione della segnalante il 3 gennaio 2011, alle ore 16:43:55 (cfr. all. 1, p. 5 al verb. 11.5.2012); non risulta invece dalla "storia del documento" che lo stesso sia stato visualizzato dalla posizione della sopra menzionata collega;

f.  inoltre, con riguardo alla versione elettronica del menzionato documento dell´8 gennaio 2010, all´esito delle verifiche condotte dalla società "NTT Data ex Value Team, che ha realizzato e manutiene il sistema di protocollazione […] in merito ad eventuali operazioni di storicizzazione e/o rimozione delle annotazioni relative alla storia dei documenti (riferite al protocollo n. 157/2010)" è emerso che "non risultano attività di visualizzazione tracciata tra il giorno 8/1/2010 e il giorno 03/1/2011 come indicato nella interfaccia utente" (cfr. verbale intervento on site allegato a nota Enac del 30 maggio 2012).

5.1. Considerati i profili di violazione oggetto di segnalazione ed in base ad una complessiva valutazione degli elementi sopra indicati, deve ritenersi che, con particolare riferimento al trattamento dei dati personali riferiti alla segnalante, segnatamente quelli aventi ad oggetto contestazioni disciplinari, nonché, più in generale, rispetto a dati concernenti vicende personali dei dipendenti della sede Enac operanti presso la sede di Malpensa, in ragione delle prescelte modalità di impiego del descritto sistema di gestione documentale, lo stesso presenti alcuni profili di violazione della disciplina di protezione dei dati personali. Ciò, in ragione delle modalità di utilizzo del suddetto sistema, in concreto avvenuto con funzionalità tali da consentire ad un novero ampio di dipendenti della sede di Malpensa di venire a conoscenza di dati personali, anche inerenti all´esecuzione della prestazione lavorativa (nel caso di specie, contestazioni disciplinari indirizzate alla segnalante), ma pure, come si è detto, di altri dati personali concernenti altri dipendenti. Informazioni personali rese accessibili, indipendentemente dalle mansioni in concreto svolte (e non correlate alla gestione di dati personali dei dipendenti), a tutto il personale operante presso la sede di Malpensa con il ruolo di "impiegato", in violazione da parte di Enac di talune disposizioni del Codice in materia di misure minime di sicurezza. In particolare risultano violate le disposizioni di cui all´art. 34, comma 1, lett. c) e d), del Codice – relative, rispettivamente, all´utilizzazione di un sistema di autorizzazione, nonché all´aggiornamento periodico dell´individuazione dell´ambito del trattamento consentito ai singoli incaricati – nonché le regole 13, 14 e 15 dell´Allegato B al Codice (Disciplinare tecnico in materia di misure minime di sicurezza, relative al sistema di autorizzazione), peraltro richiamate anche dalla disciplina di settore (cfr. articoli 2, comma 5, nonché 44, comma 1, lett. d), d.lg. 7 marzo 2005, n. 82, Codice dell´amministrazione digitale, nonché dall´art. 52 (R), comma 1, lett. e), d.P.R. 28 dicembre 2000, n. 445, Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa).

Tali violazioni sono state rese possibili in ragione delle scelte organizzative in concreto adottate presso la sede di Malpensa nella quale, come è stato possibile accertare:

a. non sono stati correttamente individuati e configurati i profili di autorizzazione dei diversi incaricati ivi operanti in modo la limitare l´accesso ai dati concernenti i dipendenti (quali, ad esempio, le informazioni concernenti le contestazioni disciplinari) al solo personale incaricato di tale tipologia di trattamento;

b. il dipendente cui in concreto sono state rimesse le mansioni correlate alla gestione dei dati del personale (originariamente assegnatario del "ruolo" di "segreteria", con una conseguente più limitata visibilità dei documenti dallo stesso protocollati) è risultato successivamente assegnatario del ruolo "impiegato", con la conseguente più estesa visibilità della documentazione che dallo stesso continuava ad essere protocollata (ivi compresa quella riferita al personale);

c. in ragione di tale qualità, nel protocollare documenti concernenti altri dipendenti operanti presso la stessa sede, il sistema di protocollazione ha messo in condizione i colleghi – che per scelte organizzative della sede di Malpensa possono autonomamente protocollare la documentazione di rispettiva competenza e che, pertanto, pure appartengono al ruolo "impiegati" – di venire a conoscenza, già solo in ragione dell´oggetto delle comunicazioni individuali riportato nel sistema di documentazione, di informazioni personali riferite ad altri lavoratori (e, nel caso di specie, alla segnalante).

Tali scelte, inoltre non solo si pongono in violazione della richiamata disciplina sulle misure minime di sicurezza, ma pure non si sono conformate alla previsione contenuta nell´art. 7, comma 2, DPCM 31 ottobre 2000 (Regole tecniche per il protocollo informatico di cui al decreto del Presidente della Repubblica 20 ottobre 1998, n. 428) secondo il quale "il sistema di protocollo informatico deve consentire il controllo differenziato dell´accesso alle risorse del sistema per ciascun utente o gruppo di utenti".

5.2. Non consta poi che presso Enac abbia trovato attuazione la disposizione di cui all´art. 44, comma 1-bis, d.lg. n. 82/2005, in forza della quale "il sistema di conservazione dei documenti informatici è gestito da un responsabile che opera d´intesa con il responsabile del trattamento dei dati personali di cui all´articolo 29 del decreto legislativo 30 giugno 2003, n. 196, e, ove previsto, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi di cui all´articolo 61 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, nella definizione e gestione delle attività di rispettiva competenza", circostanza che avrebbe potuto contribuire all´implementazione di corrette modalità di utilizzo del complessivo sistema di gestione documentale esistente presso Enac, tali da coniugare il legittimo (e doveroso) trattamento dei dati personali – ivi compresi quelli, qui considerati, riferiti ai dipendenti – nel rispetto del diritto alla protezione dei dati personali riconosciuto agli interessati, sfruttandone le peraltro già esistenti funzionalità.

A quest´ultimo proposito, infatti, si desume dalla documentazione in atti (in particolare dal Manuale Amministratore del sistema allegato alla comunicazione del 30 maggio 2012) che il corretto utilizzo, anche congiunto, di una pluralità di funzionalità native del sistema di gestione documentale già permette di configurare opportunamente tale sistema al fine di segmentare la visibilità dei documenti e dei fascicoli, consentendo, nel caso in esame, ai soli soggetti incaricati del trattamento dei dati riferiti al personale di prendere conoscenza degli stessi. L´adozione di detti opportuni accorgimenti, tali da consentire (ove attuati) il corretto trattamento (anche alla luce del principio di necessità enunciato all´art. 3 del Codice), avrebbe evitato la lamentata consultabilità indiscriminata dei dati immessi nel sistema di gestione documentale anche nei confronti dei colleghi cui è stato attribuito, dal punto di vista dell´accessibilità al sistema (ed indipendentemente dalle mansioni espletate), un pari livello gerarchico. In particolare, dal menzionato Manuale è dato desumere che le funzionalità native del sistema prevedono la possibilità, tra l´altro, di:

a. definire multipli ruoli (quali dirigente, responsabile, segretario, assistente, funzionario, impiegato: cfr. p. 26) e relativi livelli gerarchici;

b. attribuire specifiche visibilità del ruolo sui nodi e/o su tutti i sotto-nodi di titolario (cfr. pp. 62, 75 e 79);

c. attribuire, per ogni ruolo, specifiche visibilità sui tipi documento (p. 105) e sui tipi di fascicolo (p. 125);

d. creare tipi di documento (p. 107) e tipi di fascicolo di tipo privato (p. 126).

5.3. Alla luce delle precedenti considerazioni in ordine alla rilevata inosservanza delle misure minime di sicurezza, l´Autorità, con separati procedimenti, provvederà a trasmettere gli atti all´Autorità giudiziaria competente nonché a contestare le connesse violazioni amministrative.

Deve inoltre essere prescritto ad Enac, quale misura opportuna, di dare attuazione, con riguardo al complessivo funzionamento del sistema gestionale di documentazione, alla menzionata disposizione di cui all´art. 44, comma 1-bis, d.lg. n. 82/2005, dando comunicazione all´Autorità, senza ritardo, e comunque entro e non oltre trenta giorni dal ricevimento del presente provvedimento delle misure adottate.

5.4. Diversamente dalla prospettazione fornita dalla segnalante – che lamentava l´assenza del proprio consenso in relazione all´avvenuta protocollazione delle note di contestazione nel sistema di gestione documentale (cfr. sopra punto 1.1.a) – non risulta invece illecito tale trattamento, dovendo lo stesso essere effettuato dall´Enac, nello svolgimento delle proprie funzioni istituzionali (cfr. artt. 18 ss. del Codice), in base a precisi obblighi normativi (cfr. l´art. 53 (R), d.P.R. 28 dicembre 2000, n. 445, nonché gli artt. 2 e 40-bis, d.lg. n. 82/2005), dai quali è altresì dato evincere quali dati personali formino oggetto di registrazione di protocollo.

6. Resta salvo, sussistendone i presupposti, il diritto della segnalante a far valere eventuali pretese risarcitorie avanti all´Autorità giudiziaria ordinaria.

TUTTO CIÒ PREMESSO IL GARANTE

1. dispone la trasmissione degli atti e di copia del presente provvedimento all´autorità giudiziaria per le valutazioni di competenza in ordine alla rilevata inosservanza delle misure minime di sicurezza (punto 5.3);

2. ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, prescrive all´Ente Nazionale per l´Aviazione Civile:

a. quale misura opportuna, di effettuare un´attività formativa indirizzata al personale della sede di Malpensa che utilizza il sistema di gestione documentale anche con il ruolo "impiegato", illustrandone compiutamente le funzionalità e le possibili implicazioni in relazione all´applicazione della disciplina di protezione dei dati personali (punto 4.4);

b. quale misura opportuna, di dare attuazione con riguardo al complessivo funzionamento del sistema gestionale di documentazione alla disposizione, richiamata in motivazione, di cui all´art. 44, comma 1-bis, d.lg. n. 82/2005 (punti 5.2 e 5.3);

c. ai sensi dell´art. 157 del Codice, di dare comunicazione a questa Autorità, senza ritardo, e comunque entro e non oltre trenta giorni dal ricevimento del presente provvedimento delle misure adottate per conformarsi alle prescrizioni impartite con lo stesso.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 11 ottobre 2012

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia