Protocollo informatico e protezionedei dati personali dei lavoratori
PROVVEDIMENTO DEL 11 OTTOBRE 2012
Registro dei provvedimenti
n. 280 dell'11 ottobre del 2012
IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI
NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti,e del dott. Giuseppe Busia, segretario generale;
VISTOil d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei datipersonali);
ESAMINATEle risultanze istruttorie nonché gli esiti degli accertamenti in locoeffettuati, in data 3 e 4 maggio 2012, presso la sede dell'Ente Nazionale perl'Aviazione Civile (Enac) presso l'Aeroporto di Malpensa 2000 e, in data 11maggio 2012, presso la sede dell'Enac in Roma;
VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;
RELATOREla prof.ssa Licia Califano;
PREMESSO
1.1.Con segnalazione del 19 maggio 2010, oggetto di integrazione il 22 novembre2010, XY, dipendente dell'Ente Nazionale per l'Aviazione Civile (di seguitoEnac), ed impiegata in qualità di KW presso la Direzione Aeroportuale Enac diMilano Malpensa (Aeroporto Malpensa 2000), ha lamentato che:
a. senzail proprio consenso, contestazioni disciplinari che la riguardavano sono state acquisite alprotocollo generale dell'Enac;
b. inragione della configurazione delprotocollo elettronico ivi esistente, "tutto il personale in forzapresso la direzione aeroportuale" sarebbe venuto a conoscenza delfatto che contestazioni disciplinari siano state elevate nei propri confrontinonché, in relazione ad una di esse (allegata alla segnalazione, identificatadal numero di protocollo Enac XX), ne sarebbe stato reso conoscibile aicolleghi il contenuto integrale (cfr. segnalazione 19.5.2010, p. 2 e all. 3).Più precisamente, la circostanza dell'esistenza di contestazioni disciplinarimosse alla segnalante risulterebbe dalla descrizione sintetica dell'oggetto dellecomunicazioni inviatele ricavabile dal protocollo elettronico –identificate al prot. N. XX e n. YY con la dizione, rispettivamente, "osservanzadisposizioni orario di lavoro" e "mancata osservanzadisposizioni orario di lavoro s.ra XY" – nonché, in relazionealla contestazione dell'8 gennaio 2010, anche in ragione della possibilità dileggere il contenuto in formato elettronico della comunicazione inviataleaprendo il documento in formato "word" presente quale allegato nelprotocollo medesimo (cfr. all. 3 segnalazione del 19 maggio 2010).
1.2.Tali circostanze sono state ribadite dalla segnalante in successivecomunicazioni dirette all'Autorità, precisando che le contestazioni acquisiteal protocollo sarebbero "visibili e leggibili indistintamente da tuttoil personale in forza presso gli uffici amministrativi e operativi delladirezione aeroportuale Enac di Malpensa", ivi compreso "ilpersonale applicato ad altre e diverse mansioni non necessariamente collegateall'ufficio personale, protocollo e/o dirigenziale" (cfr. notaintegrativa del 22.11.2010, p. 2 e doc. 7) e nelle quali si segnala una nuovaannotazione sul protocollo generale relativa alla "reiterata mancataosservanza disposizioni orario di lavoro" (prot. n. 102740 del6/9/2010).
2.1.A fronte della segnalazione, il 4 maggio 2011 l'Ufficio ha provveduto arichiedere chiarimenti all'Enac, interpellando sia la Direzione di Malpensa,sia la Direzione generale Enac.
2.2.A seguito di tale richiesta di informazioni, la Direzione Aeroportuale diMalpensa, nel confermare la previa attivazione di un procedimento disciplinarenei confronti della segnalante, con nota del 17 maggio 2011 ha rappresentatoche:
a. lerelative contestazioni sono state protocollate in adempimento delleprescrizioni contenute nel d.P.R. 28 dicembre 2000, n. 445;
b. idati personali contenuti negli atti relativi al menzionato procedimentodisciplinare "non sono stati né diffusi né divulgati, ma risiedono nelprotocollo informatico interno all'Enac, mentre il loro accesso [...] ècircoscritto ai soli dipendenti autorizzati".
2.3.La Direzione centrale di Enac ha inoltre precisato che:
a.quanto alla conoscibilità della documentazione oggetto di protocollazionepresso Enac "se protocolla il responsabile la visibilità del documentonella Direzione è sua esclusiva; se protocolla un dipendente che è nel ruolo disegreteria la visibilità del documento viene estesa a tutti gli appartenenti alsuo ruolo e al Direttore ma non ai dipendenti che si trovano nel ruolo diimpiegato; se protocolla un dipendente che è nel ruolo di impiegato lavisibilità del documento viene estesa a tutti gli appartenenti al suo ruolo, alruolo di segreteria ed al Direttore" (cfr. nota del 30 maggio 2011);
b. tali"ruoli", come chiarito nel corso degli accertamenti successivi,"non hanno alcuna relazione con i profili amministrativi dei dipendenti diEnac e con le mansioni dagli stessi svolti" (cfr. verbale 11 maggio2012, p. 2);
c. "lavisibilità di un documento [Š] può essere effettuata ad un ruolo o ad undipendente. Se si predispone un fascicolo la cui visibilità è estesa a tutto ilpersonale della Direzione e ci si classifica un documento, quest'ultimo vienevisto da tutti" (cfr. nota del 30 maggio 2011).
3.La segnalante, presa conoscenza degli elementi forniti da Enac, con nota del 17giugno 2011, ha confermato le circostanze oggetto di segnalazione, ribadendoche altri colleghi avrebbero preso visione sia delle annotazioni sintetichecontenute nel protocollo informatico (alla voce "oggetto"), sia delcontenuto integrale (in formato elettronico) della menzionata contestazionedell'8 gennaio 2010.
4.1.Al fine di verificare l'osservanza dei principi e delle disposizioni in materiadi protezione dei dati personali relativi all'utilizzo del sistema diprotocollazione – anche alla luce delle divergenze nella rappresentazionedei fatti oggetto di segnalazione – in data 3 e 4 maggio 2012 sono statieffettuati accertamenti in loco presso la sede Enac dell'Aeroporto di Malpensa(interloquendo con il dirigente dello stesso, la segnalante, nonché con partedel personale ispettivo e amministrativo ivi operante) e, quindi, l'11 maggio2012, presso la Direzione generale dell'Enac in Roma.
4.2.Alla luce degli accertamenti effettuati presso l'Enac di Malpensa, mediantel'assunzione di informazioni e accesso al protocollo informatico effettuati aisensi dell'art. 157 del Codice, è emerso che (cfr. verbale 3.5.2012):
a. ilsistema di protocollazione elettronica (denominato Ge.Doc.) è comune per tuttele sedi dell'Enac e la sua configurazione è prestabilita dalla Direzionegenerale di Roma: "i dati che vengono registrati nel sistema sonocontenuti in server della direzione centrale e anche gli interventi diimpostazione, creazione di account e modifica dei profili di autorizzazionesono effettuati dalla sede centrale su segnalazione della Direzioneaeroportuale" (cfr. verbale 3.5.2012, p. 2);
b.previa immissione di credenziali di autenticazione, i dipendenti dellaDirezione di Malpensa – ripartiti in "un'area di dipendenti cd."non operativi" e [in] un'area di ispettori" –possono accedere al sistema di protocollazione mediante una web application;
c. "nell'ambitodell'area non operativa vi sono diversi impiegati, fra i quali [due] addettialla Segreteria e [altro dipendente, operante con il ruolo di"impiegato"] addetto alla cura di taluni adempimenti relativi allagestione del personale";
d. "tuttii dipendenti della Direzione possono registrare sul protocollo informatico gliatti in uscita dagli stessi formati. Il personale di Segreteria è addetto allaprotocollazione degli atti in entrata", successivamente oggetto diassegnazione da parte del responsabile della Direzione;
e. aseguito di un accesso al protocollo informatico effettuato dalla postazione deldipendente addetto alla cura di taluni adempimenti relativi alla gestione delpersonale ed il cui livello d'accesso corrisponde, allo stato, al ruolo di "impiegatopresso la Direzione aeroportuale" (come già indicato nellacomunicazione della direzione centrale Enac del 30 maggio 2011), è risultatopossibile visualizzare ricorrenze con il nominativo della segnalante nonchéricorrenze relative a vicende personali di altri dipendenti della Direzionequali, ad esempio, il rilascio di permessi connessi all'applicazione dellalegge n. 104/1992, di permessi parentali ovvero per ragioni di studio, oancora, documentazione concernente sussidi per mense scolastiche ol'assegnazione di borse di studio (cfr. all. 6, 14 e 15, verbale 3 maggio2012);
f. conriferimento a talune delle ricorrenze concernenti la segnalante è risultato chedalle informazioni sintetiche riportate nella voce "oggetto" delprotocollo è desumibile sia la circostanza delle avvenute contestazionidisciplinari, sia le ragioni poste a fondamento delle stesse (v. all. 9 alverbale del 3 maggio 2012 nonché all. 2 al verbale del 4 maggio 2012, inrelazione alle comunicazioni dell'8 gennaio e 16 febbraio 2010), ma che nessunfile (dal quale risultasse possibile conoscere integralmente il contenuto deldocumento inviato alla segnalante) era associato a tale record;
g. comegià precisato dalla Direzione centrale Enac nella comunicazione del 30 maggio2011, i documenti oggetto di protocollazione nonché, ove presente, il file dalquale è possibile ricavare il contenuto degli stessi, risultano visibili atutti gli appartenenti al medesimo ruolo di chi effettua la protocollazione.Ove, quindi, in ragione della configurazione del sistema di protocollazione,quest'ultima sia effettuata da un appartenente al ruolo "impiegati"(tale è, allo stato, la qualifica nella quale opera il dipendente addettopresso la sede di Malpensa al trattamento di dati personali relativi aidipendenti), il documento risulterà visibile a tutti i soggetti che rivestono,ai fini dell'accesso al protocollo, il ruolo "impiegati" (vale a diretutti gli ispettori, nonché il personale "non operativo" operantepresso la Direzione di Malpensa), oltre che al responsabile e agli addetti disegreteria (come risulta in atti, rispetto al documento prot. n. XXprotocollato, con il ruolo di "impiegato", dall'impiegato addettoalla trattamento di dati del personale e visibile al personale di segreterianonché a tutti gli appartenenti al ruolo "impiegati: cfr. all. 21-26 alverbale del 3 maggio 2012);
h. idocumenti protocollati dagli addetti di segreteria sono invece visibili solo aquelli operanti presso la segreteria e al responsabile della Direzione;
i. trale funzionalità del sistema di protocollazione elettronica, in occasionedell'apertura di ciascun record è possibile attivare una funzione denominata"visibilità documento" che evidenzia quali soggetti possono accedereal documento. Anche mediante tale funzione è stato possibile verificare chedocumentazione oggetto di protocollazione da parte dell'addetto alla gestionedel personale che utilizza il profilo di "impiegato", relativa allafruizione di congedi parentali di taluni dipendenti, risulta visibile a tuttoil personale appartenente al ruolo "impiegato";
j.l'apertura di ciascun record consente inoltre di attivare una funzione delsistema di protocollazione denominata "storia del documento", dallaquale l'utente può evincere non solo l'identità e il "ruolo" di chiha formato, ma anche di chi, in tempi successivi, ha acquisito o visualizzatoil documento, nonché la data e l'ora in cui ciascuna di tali azioni ha avutoluogo (cfr. all. 8, al verbale del 3 maggio 2012);
k.effettuata la ricerca della documentazione relativa alla segnalante dallapostazione informatica del Direttore aeroportuale, essa ha restituito, oltre airecord in precedenza visualizzati presso la postazione dell'addetto altrattamento dei dati riferiti al personale (con il livello di"impiegato"), anche il documento relativo all'"osservanzadisposizioni orario di lavoro" dell'8 gennaio 2010, oggetto anch'essodella segnalazione presentata al Garante e, allo stato, non visibile alpersonale del ruolo "impiegati". Detto record, formato dal predettodipendente addetto al trattamento dei dati del personale, al tempo però nelladiversa qualità di appartenente al ruolo "segreteria", è risultatoprovvisto del relativo documento in formato "doc".
4.3.Nel corso degli accertamenti effettuati in data 4 maggio 2012, la segnalante,nel confermare il contenuto delle missive inviate all'Autorità, ha precisatoche il solo testo risultato integralmente visibile dalla propria postazione dilavoro è la comunicazione inviatale l'8 gennaio 2010 che la stessa non solo haconsultato, ma ha stampato (in formato "doc", successivamenteallegato alla segnalazione presentata al Garante) e, quindi, provveduto ascaricare nel pc assegnatole in uso. A seguito di un accesso alla postazionedella segnalante (con l'ausilio della stessa) è stata acquisita la stampa delleschermate relative alle proprietà del file "ZZ.doc", scaricato dalprotocollo informatico nell'archivio locale della postazione della segnalanteed il cui contenuto corrisponde alla versione elettronica del documento dell'8gennaio 2010; dalle predette proprietà risulta che tale file è stato scaricatoil 3 gennaio 2011, alle ore 16:43:55 (documento acquisito agli atti, unitamentealle proprietà del file ricavate dal sistema: cfr. all. 1 verb. 4.5.2012).
Lasegnalante ha altresì puntualizzato che, "al fine di verificare se ilpredetto documento fosse visibile anche dalle postazioni di altri colleghi, harichiesto [ad una ispettrice] del settore security di effettuare la stessaricerca precedentemente da lei operata", all'esito della quale "anchedalla postazione [di tale collega] è stato possibile visualizzare il documentoin formato "doc"". Tale circostanza è stata confermata dallamedesima – che ha dichiarato di aver "visualizzato, su richiestadella [segnalante], una copia della nota n. XX dell'8 gennaio 2010 avente adoggetto "osservanza disposizioni orario di lavoro" eindirizzata" alla segnalante –, essa pure operante presso laDirezione in qualità di KW ed il cui livello di accesso è (da sempre) quello di"impiegato". La stessa ha altresì dichiarato "di aver ripetutotale operazione in altra circostanza nel mese di marzo o aprile 2010: anche intale circostanza il documento è risultato visualizzabile".
Laricerca dello stesso documento nel corso degli accertamenti ispettivi ha datoesito negativo.
Lasegnalante ha dichiarato di aver visualizzato dal protocollo la contestazione"qualche giorno dopo la notifica formale della nota dell'8 gennaio2010" e, pur non ricordandone con esattezza la data, "comunque primadell'invio della segnalazione al Garante del 19 maggio 2010", come risultada "copia delle stampe dalla stessa effettuate all'esito di ricerchepresso il protocollo informatico operate in data 22 febbraio 2010" (giàallegata alla segnalazione e nuovamente acquisita agli atti).
4.4.Con riguardo al profilo del trattamento delle stesse informazioni per iltramite del sistema di protocollazione, è stato precisato dall'incaricato deltrattamento dei dati relativi alla gestione del rapporto di lavoro deidipendenti della sede di Malpensa, che allo stato opera sul sistema con ilprofilo di "segreteria", di non aver ricevuto, nell'ambito di uncorso di formazione relativo al funzionamento del sistema di protocollazione,"documentazione specifica" essendo disponibile nella intranet,"per tutti gli utilizzatori, [Š] una versione del manuale di istruzioni,attivabile mediante l'apposita funzione "help"". Gliaccertamenti effettuati, peraltro, hanno consentito di appurare che attivitàformative concernenti il sistema di gestione documentale non hanno interessatoil personale operante con il profilo "impiegato" (che pure il sistemaè tenuto ad utilizzare), né (nel caso di specie) il dipendente che si occupadel trattamento dei dati personali connessi alla gestione del rapporto dilavoro (cfr. documentazione allegata al verbale del 4.5.2012 relativa "aifabbisogni formativi 2009-2010").
Allaluce delle precedenti considerazioni, ai sensi degli artt. 143, comma 1, lett.b), e 154, comma 1, lett. c), del Codice, si prescrive all'Enac, quale misuraopportuna, di effettuare un'attività formativa indirizzata al personale dellasede di Malpensa che utilizza il sistema di gestione documentale anche con ilruolo "impiegato", illustrandone compiutamente le funzionalità e lepossibili implicazioni in relazione all'applicazione della disciplina diprotezione dei dati personali. Al riguardo, dovrà altresì essere data comunicazioneall'Autorità, senza ritardo, e comunque entro e non oltre trenta giorni dalricevimento del presente provvedimento delle misure adottate.
4.5.È stato infine puntualizzato che "i dipendenti della Direzioneaeroportuale di Malpensa non possono effettuare cancellazioni di record delprotocollo informatico. Tale operazione non può essere effettuata nemmeno daidipendenti con profilo di "Segreteria"; [Š] i dipendenti non hanno lapossibilità di eliminare documenti in formato elettronico allegati ai recorddel protocollo informatico. Possono tuttavia aggiungere ulteriori versioni deidocumenti già allegati. Nel caso in cui un documento sia erroneamenteregistrato nel protocollo informatico, la cancellazione può essere effettuatasolamente dalla Direzione centrale di Roma. [Š] Il protocollo mantiene comunqueun'evidenza di tale operazione presentando il record o i file cancellatisbarrati da una linea di cancellazione" (cfr. verbale 4.5.2012, p. 3).
4.6.Nel corso degli accertamenti effettuati l'11 maggio 2012 presso la Direzionecentrale Enac in Roma è altresì emerso che:
a."fino all'aprile 2010, erano in uso diversi registri di protocollo,gestiti con il medesimo sistema Ge.Doc. Attualmente è presente un unicoregistro di protocollo a servizio dell'intera area organizzativa omogeneacorrispondente all'Enac" (cfr. verbale 11.5.2012, p. 2);
b."nella configurazione di default del sistema, l'attività diprotocollazione è consentita solamente al ruolo di "Segreteria". Surichiesta, la Direzione dei sistemi informativi provvede ad abilitaredipendenti appartenenti al ruolo "Responsabile" e/o"Impiegati" alla funzione di protocollazione. Pertanto, lacircostanza che la direzione aeroportuale di Malpensa consenta ai propridipendenti del ruolo "Impiegati" di svolgere attività diprotocollazione, con conseguente visibilità dei documenti protocollati estesa atutti i dipendenti appartenenti al medesimo ruolo del protocollatore e al ruolosovraordinato, dipende esclusivamente da una specifica richiesta in tal sensodella medesima direzione aeroportuale rispetto alla quale la Direzione deisistemi informativi ha provveduto a dare esecuzione" (cfr. verbale11.5.2012, p. 2);
c. nell'ambito delle attività formative curate da Enac concernenti ilfunzionamento del sistema di gestione documentale – di "taglioprevalentemente operativo" e dirette "al solo personaleindividuato dai responsabili delle relative unità organizzative" –"sono state sempre esplicitate agli operatori le caratteristiche delsistema con riferimento alla visibilità dei documenti" (cfr. verbale11.5.2012, p. 3);
d.l'attività manutentiva del sistema di gestione documentale è stata(inizialmente) affidata alla società Value Team S.p.A. che "non è statadesignata responsabile del trattamento" (cfr. verbale 11.5.2012, p. 3);
e. èrisultato confermato, dall'analisi della "storia del documento", cheil file "ZZ.doc" (il cui contenuto corrisponde alla versioneelettronica del documento dell'8 gennaio 2010), è stato scaricato per la primavolta dal protocollo informatico nell'archivio locale della postazione dellasegnalante il 3 gennaio 2011, alle ore 16:43:55 (cfr. all. 1, p. 5 al verb.11.5.2012); non risulta invece dalla "storia del documento" che lostesso sia stato visualizzato dalla posizione della sopra menzionata collega;
f. inoltre, con riguardo alla versione elettronica del menzionato documento dell'8gennaio 2010, all'esito delle verifiche condotte dalla società "NTTData ex Value Team, che ha realizzato e manutiene il sistema di protocollazione[Š] in merito ad eventuali operazioni di storicizzazione e/o rimozione delleannotazioni relative alla storia dei documenti (riferite al protocollo n.157/2010)" è emerso che "non risultano attività divisualizzazione tracciata tra il giorno 8/1/2010 e il giorno 03/1/2011 comeindicato nella interfaccia utente" (cfr. verbale intervento on siteallegato a nota Enac del 30 maggio 2012).
5.1.Considerati i profili di violazione oggetto di segnalazione ed in base ad unacomplessiva valutazione degli elementi sopra indicati, deve ritenersi che, conparticolare riferimento al trattamento dei dati personali riferiti allasegnalante, segnatamente quelli aventi ad oggetto contestazioni disciplinari,nonché, più in generale, rispetto a dati concernenti vicende personali deidipendenti della sede Enac operanti presso la sede di Malpensa, in ragionedelle prescelte modalità di impiego del descritto sistema di gestionedocumentale, lo stesso presenti alcuni profili di violazione della disciplinadi protezione dei dati personali. Ciò, in ragione delle modalità di utilizzodel suddetto sistema, in concreto avvenuto con funzionalità tali da consentiread un novero ampio di dipendenti della sede di Malpensa di venire a conoscenzadi dati personali, anche inerenti all'esecuzione della prestazione lavorativa(nel caso di specie, contestazioni disciplinari indirizzate alla segnalante),ma pure, come si è detto, di altri dati personali concernenti altri dipendenti.Informazioni personali rese accessibili, indipendentemente dalle mansioni inconcreto svolte (e non correlate alla gestione di dati personali deidipendenti), a tutto il personale operante presso la sede di Malpensa con ilruolo di "impiegato", in violazione da parte di Enac di talunedisposizioni del Codice in materia di misure minime di sicurezza. Inparticolare risultano violate le disposizioni di cui all'art. 34, comma 1,lett. c) e d), del Codice – relative, rispettivamente, all'utilizzazionedi un sistema di autorizzazione, nonché all'aggiornamento periodicodell'individuazione dell'ambito del trattamento consentito ai singoliincaricati – nonché le regole 13, 14 e 15 dell'Allegato B al Codice (Disciplinaretecnico in materia di misure minime di sicurezza, relative al sistema diautorizzazione), peraltro richiamate anche dalla disciplina di settore (cfr.articoli 2, comma 5, nonché 44, comma 1, lett. d), d.lg. 7 marzo 2005, n. 82,Codice dell'amministrazione digitale, nonché dall'art. 52 (R), comma 1, lett.e), d.P.R. 28 dicembre 2000, n. 445, Testo unico delle disposizioni legislativee regolamentari in materia di documentazione amministrativa).
Taliviolazioni sono state rese possibili in ragione delle scelte organizzative inconcreto adottate presso la sede di Malpensa nella quale, come è statopossibile accertare:
a. nonsono stati correttamente individuati e configurati i profili di autorizzazionedei diversi incaricati ivi operanti in modo la limitare l'accesso ai daticoncernenti i dipendenti (quali, ad esempio, le informazioni concernenti lecontestazioni disciplinari) al solo personale incaricato di tale tipologia ditrattamento;
b. ildipendente cui in concreto sono state rimesse le mansioni correlate allagestione dei dati del personale (originariamente assegnatario del"ruolo" di "segreteria", con una conseguente più limitatavisibilità dei documenti dallo stesso protocollati) è risultato successivamenteassegnatario del ruolo "impiegato", con la conseguente più estesavisibilità della documentazione che dallo stesso continuava ad essereprotocollata (ivi compresa quella riferita al personale);
c. inragione di tale qualità, nel protocollare documenti concernenti altridipendenti operanti presso la stessa sede, il sistema di protocollazione hamesso in condizione i colleghi – che per scelte organizzative della sededi Malpensa possono autonomamente protocollare la documentazione di rispettivacompetenza e che, pertanto, pure appartengono al ruolo "impiegati" –di venire a conoscenza, già solo in ragione dell'oggetto delle comunicazioniindividuali riportato nel sistema di documentazione, di informazioni personaliriferite ad altri lavoratori (e, nel caso di specie, alla segnalante).
Taliscelte, inoltre non solo si pongono in violazione della richiamata disciplinasulle misure minime di sicurezza, ma pure non si sono conformate allaprevisione contenuta nell'art. 7, comma 2, DPCM 31 ottobre 2000 (Regoletecniche per il protocollo informatico di cui al decreto del Presidente dellaRepubblica 20 ottobre 1998, n. 428) secondo il quale "il sistema diprotocollo informatico deve consentire il controllo differenziato dell'accessoalle risorse del sistema per ciascun utente o gruppo di utenti".
5.2.Non consta poi che presso Enac abbia trovato attuazione la disposizione di cuiall'art. 44, comma 1-bis, d.lg. n. 82/2005, in forza della quale "ilsistema di conservazione dei documenti informatici è gestito da un responsabileche opera d'intesa con il responsabile del trattamento dei dati personali dicui all'articolo 29 del decreto legislativo 30 giugno 2003, n. 196, e, oveprevisto, con il responsabile del servizio per la tenuta del protocolloinformatico, della gestione dei flussi documentali e degli archivi di cuiall'articolo 61 del decreto del Presidente della Repubblica 28 dicembre 2000,n. 445, nella definizione e gestione delle attività di rispettivacompetenza", circostanza che avrebbe potuto contribuireall'implementazione di corrette modalità di utilizzo del complessivo sistema digestione documentale esistente presso Enac, tali da coniugare il legittimo (edoveroso) trattamento dei dati personali – ivi compresi quelli, quiconsiderati, riferiti ai dipendenti – nel rispetto del diritto alla protezionedei dati personali riconosciuto agli interessati, sfruttandone le peraltro giàesistenti funzionalità.
Aquest'ultimo proposito, infatti, si desume dalla documentazione in atti (inparticolare dal Manuale Amministratore del sistema allegato alla comunicazionedel 30 maggio 2012) che il corretto utilizzo, anche congiunto, di una pluralitàdi funzionalità native del sistema di gestione documentale già permette diconfigurare opportunamente tale sistema al fine di segmentare la visibilità deidocumenti e dei fascicoli, consentendo, nel caso in esame, ai soli soggettiincaricati del trattamento dei dati riferiti al personale di prendereconoscenza degli stessi. L'adozione di detti opportuni accorgimenti, tali daconsentire (ove attuati) il corretto trattamento (anche alla luce del principiodi necessità enunciato all'art. 3 del Codice), avrebbe evitato la lamentataconsultabilità indiscriminata dei dati immessi nel sistema di gestionedocumentale anche nei confronti dei colleghi cui è stato attribuito, dal puntodi vista dell'accessibilità al sistema (ed indipendentemente dalle mansioniespletate), un pari livello gerarchico. In particolare, dal menzionato Manuale èdato desumere che le funzionalità native del sistema prevedono la possibilità,tra l'altro, di:
a.definire multipli ruoli (quali dirigente, responsabile, segretario, assistente,funzionario, impiegato: cfr. p. 26) e relativi livelli gerarchici;
b.attribuire specifiche visibilità del ruolo sui nodi e/o su tutti i sotto-nodidi titolario (cfr. pp. 62, 75 e 79);
c.attribuire, per ogni ruolo, specifiche visibilità sui tipi documento (p. 105) esui tipi di fascicolo (p. 125);
d.creare tipi di documento (p. 107) e tipi di fascicolo di tipo privato (p. 126).
5.3.Alla luce delle precedenti considerazioni in ordine alla rilevata inosservanzadelle misure minime di sicurezza, l'Autorità, con separati procedimenti,provvederà a trasmettere gli atti all'Autorità giudiziaria competente nonché acontestare le connesse violazioni amministrative.
Deveinoltre essere prescritto ad Enac, quale misura opportuna, di dare attuazione,con riguardo al complessivo funzionamento del sistema gestionale didocumentazione, alla menzionata disposizione di cui all'art. 44, comma 1-bis,d.lg. n. 82/2005, dando comunicazione all'Autorità, senza ritardo, e comunqueentro e non oltre trenta giorni dal ricevimento del presente provvedimentodelle misure adottate.
5.4.Diversamente dalla prospettazione fornita dalla segnalante – chelamentava l'assenza del proprio consenso in relazione all'avvenutaprotocollazione delle note di contestazione nel sistema di gestione documentale(cfr. sopra punto 1.1.a) – non risulta invece illecito tale trattamento,dovendo lo stesso essere effettuato dall'Enac, nello svolgimento delle propriefunzioni istituzionali (cfr. artt. 18 ss. del Codice), in base a precisiobblighi normativi (cfr. l'art. 53 (R), d.P.R. 28 dicembre 2000, n. 445, nonchégli artt. 2 e 40-bis, d.lg. n. 82/2005), dai quali è altresì dato evincerequali dati personali formino oggetto di registrazione di protocollo.
6.Resta salvo, sussistendone i presupposti, il diritto della segnalante a farvalere eventuali pretese risarcitorie avanti all'Autorità giudiziariaordinaria.
TUTTO CIÒ PREMESSO IL GARANTE
1.dispone la trasmissione degli atti e di copia del presente provvedimentoall'autorità giudiziaria per le valutazioni di competenza in ordine allarilevata inosservanza delle misure minime di sicurezza (punto 5.3);
2. aisensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice,prescrive all'Ente Nazionale per l'Aviazione Civile:
a. qualemisura opportuna, di effettuare un'attività formativa indirizzata al personaledella sede di Malpensa che utilizza il sistema di gestione documentale anchecon il ruolo "impiegato", illustrandone compiutamente le funzionalitàe le possibili implicazioni in relazione all'applicazione della disciplina diprotezione dei dati personali (punto 4.4);
b. qualemisura opportuna, di dare attuazione con riguardo al complessivo funzionamentodel sistema gestionale di documentazione alla disposizione, richiamata inmotivazione, di cui all'art. 44, comma 1-bis, d.lg. n. 82/2005 (punti 5.2 e5.3);
c. aisensi dell'art. 157 del Codice, di dare comunicazione a questa Autorità, senzaritardo, e comunque entro e non oltre trenta giorni dal ricevimento delpresente provvedimento delle misure adottate per conformarsi alle prescrizioniimpartite con lo stesso.
Ai sensidegli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.
Roma, 11 ottobre 2012
Il presidente
Soro
Il relatore
Califano
Il segretario generale
Busia