Italia
L’accesso alle informazioni relative ai dipendenti acquisiste nel protocollo informatico, il sistema in cui si registrano i documenti in entrata e in uscita di un’azienda o di una Pa, deve essere limitato al solo personale specificamente incaricato della gestione di determinati dati personali dei lavoratori. Lo ha affermato il Garante per la protezione dei dati pesonali in un provvedimento con il quale ha prescritto all’Ente nazionale per l’aviazione civile (Enac) alcune misure per la messa in sicurezza dei dati personali contenuti nel proprio protocollo informatico.
Dagli accertamenti svolti dall’Autorità, anche presso le sedi di Roma e Milano, è emerso che in ragione delle modalità di utilizzo del protocollo elettronico così come configurato dall’Enac, a seguito di scelte organizzative adottate presso la sede di Malpensa, un ampio numero di dipendenti poteva venire a conoscenza di dati personali, anche relativi all’esecuzione della prestazione lavorativa (permessi per la legge 104/92, permessi studio, documentazione riguardante sussidi per l’accesso a mense scolastiche o borse di studio, contestazioni disciplinari), riferiti a propri colleghi, indipendentemente dalle mansioni svolte. L’intervento dell’Autorità, avviato su segnalazione di una dipendente, ha consentito di accertare la violazione di alcune disposizioni della norma in materia di misure minime di sicurezza del sistema di gestione documentale, poiché non erano stati individuati e configurati i profili di autorizzazione dei diversi incaricati, così da limitare l’accesso ai dati relativi ai dipendenti al solo personale assegnato a questo compito.
L’Autorità ha quindi prescritto all’Enac di conformarsi alla normativa configurando opportunamente il protocollo informatico in modo da segmentare la visibilità dei documenti e dei fascicoli relativi al personale ai soli dipendenti incaricati del trattamento dei dati. L’Enac inoltre, dovrà svolgere un’attività formativa indirizzata al personale della sede di Malpensa che utilizza il sistema di gestione documentale, illustrandone compiutamente le funzionalità e le implicazioni in materia di protezione dei dati. Copia del provvedimento è stata inviata alla magistratura per le valutazioni di competenza in ordine alla violazione della disciplina di protezione dei dati personali relativa alle misure minime di sicurezza.
