|
ASCOLTA ARTICOLO
|
Articolo pubblicato su diritto.it
Con il DPR nr. 81 del 13.06.2023 si aggiorna il codice di comportamento dei dipendenti pubblici (DPR n. 62 del 16.04.2013), con l’inserimento di norme riguardanti l’utilizzo delle tecnologie informatiche, dei mezzi di informazione e dei social media.
Premessa
Il DPR nr. 81 del 13.06.2023, entrato in vigore lo scorso 14 luglio, aggiorna il Regolamento recante il codice di comportamento dei dipendenti pubblici ricomprendendo al suo interno norme per l’utilizzo delle tecnologie informatiche e dei social media, attraverso l’aggiunta degli artt. 11 bis e 11 ter.
Vengono introdotte norme di comportamento che tutti i dipendenti devono osservare, peraltro già sussumibili dall’applicazione delle norme di carattere generale, oggi (si direbbe finalmente) acquisite all’interno del codice di comportamento anche se, come si dirà, per divenire effettive e non lasciare spazio ad interpretazioni più o meno estensive, dovranno essere a loro volta recepite dalle Amministrazioni mediante l’aggiornamento (o l’adozione) di un atto organizzativo (ad es. regolamento sull’utilizzo degli strumenti informatici).
1. Utilizzo delle tecnologie informatiche.
L’art. 11 bis impone alle Amministrazioni, attraverso i propri responsabili di struttura, di svolgere gli accertamenti necessari e adottare ogni misura atta a garantire la sicurezza e la protezione dei sistemi informatici, delle informazioni e dei dati.
Ad una attenta lettura del dettato normativo, non sfuggirà che quella di svolgere gli accertamenti necessari.. viene qualificata dalla norma in commento come una mera facoltà.
Ebbene, tale previsione appare frutto di una leggerezza del legislatore, il quale dimentica come garantire la sicurezza e la protezione dei sistemi informatici, delle informazioni e dei dati sia in realtà adempimento obbligatorio sancito dal Regolamento europeo 679/2016 “gdpr”, norma di rango primario, la cui finalità è quella di proteggere le persone fisiche con riguardo al trattamento dei dati personali, nonché la libera circolazione di tali dati.
La “facoltà” prevista dalla norma in commento andrebbe invece letta come un vero e proprio obbligo, la cui violazione ha come conseguenza, a far data dal 25.05.2018, l’applicazione di pesanti sanzioni amministrative (cfr. art. 83 gdpr).
Individuati per tale compito sono i “responsabili di struttura” i quali ben potrebbero essere assimilati a quei dipendenti già delegati dal Titolare del trattamento per svolgere uno o più compiti connessi al trattamento, ai sensi dell’articolo 2-quaterdecies del Codice della privacy e all’uopo specificatamente formati.
La previsione dell’art. 11 bis DPR 81/23 secondo cui “le modalità di svolgimento di tali accertamenti sono stabilite mediante linee guida adottate dall’Agenzia per l’Italia Digitale, sentito il Garante per la protezione dei dati personali” non possono costituire deterrente all’applicazione immediata dei summenzionati principi, stante la cogenza dei medesimi.
Il secondo comma dell’art. 11 bis, chiarisce che l’utilizzo di account istituzionali è consentito per i soli fini connessi all’attività lavorativa o ad essa riconducibili e non può in alcun modo compromettere la sicurezza o la reputazione dell’amministrazione.
Si tratta di una norma di comportamento ovvia nella misura in cui richiama i dipendenti all’utilizzo della casella di posta elettronica istituzionale solo per comunicazioni d’Ufficio.
È “di norma evitato” (leggasi vietato) “l’utilizzo di caselle di posta elettroniche personali (…) per attività o comunicazioni afferenti il servizio, salvi i casi di forza maggiore dovuti a circostanze in cui il dipendente, per qualsiasi ragione, non possa accedere all’account istituzionale”.
Andrà posta, poi, particolare attenzione al contenuto della medesima, perché vale il principio secondo cui delle dichiarazioni ivi contenute ne risponde, in primo luogo, l’Amministrazione: “il dipendente è responsabile del contenuto dei messaggi inviati”.
Novità importante è il richiamo, per i dipendenti, ad uniformarsi alle modalità di firma dei messaggi di posta elettronica di servizio individuate dall’amministrazione di appartenenza.
Ciascun messaggio in uscita, infatti, deve consentire l’identificazione del mittente e deve indicare un recapito istituzionale al quale il medesimo è reperibile.
Se ne deduce la necessità per le Amministrazioni, di prevedere un contenuto minimo ed uniformato di “firma” delle email per tutti i dipendenti e, considerata l’importanza dell’utilizzo dello strumento della posta elettronica e dell’impiego massivo che ne viene fatto, (istituire o) modificare il regolamento per l’uso degli strumenti informatici, prevedendo delle apposite sessioni formative.
Importante sottolineare, infatti, come proprio un uso non consapevole della posta elettronica porti con sé un rischio non trascurabile di comunicazione di informazioni riservate (leggasi data breach).
Novità di una certa rilevanza è il riconoscimento al dipendente della possibilità di utilizzare gli strumenti informatici forniti dall’Amministrazione per assolvere alle incombenze personali senza doversi allontanare dalla sede di servizio, purché l’attività sia contenuta in tempi ristretti e senza alcun pregiudizio per i compiti istituzionali.
Sebbene la norma faccia espresso riferimento all’utilizzo degli strumenti informatici per l’assolvimento di incombenze personali, più in generale sembrerebbe configurarsi una generica apertura ad un uso (modico) degli strumenti informatici più genericamente per finalità personali. Potrebbe essere utile per le Amministrazioni, oltre che fare riferimento al buon senso dei dipendenti, chiarire ogni dubbio interpretativo attraverso l’indicazione delle fasce orarie nelle quali è consentito l’uso degli strumenti informatici dell’Amministrazione per uso personale.
Quest’ultimo, in ogni caso, non può in alcun modo compromettere la sicurezza o la reputazione dell’amministrazione (comma 5 art. 11 bis).
2. Utilizzo dei mezzi di informazione e dei social media
L’art. 11 ter regolamenta l’utilizzo dei social media e stabilisce che nel proprio account personale, il dipendente utilizza ogni cautela affinché le proprie opinioni o i propri giudizi su eventi, cose o persone, non siano in alcun modo attribuibili direttamente alla pubblica amministrazione di appartenenza. In ogni caso, il dipendente è tenuto ad astenersi da qualsiasi intervento o commento che possa nuocere al prestigio, al decoro o all’immagine dell’amministrazione di appartenenza o della pubblica amministrazione in generale.
È evidente come tale norma non faccia altro che richiamare il dipendente ad un uso consapevole dei propri social network, che quindi potrà essere ancor più facilmente che in passato chiamato a rispondere dal proprio datore di lavoro di eventuali affermazioni (o commenti, like o interazioni in generale) che possano nuocere all’immagine dell’Amministrazione di appartenenza.
Sebbene ad una prima lettura potrebbe apparire ovvio il summenzionato richiamo al rispetto di principi di buon senso nell’uso dei social network, l’elemento di novità è da rinvenirsi nell’aver equiparato, con una norma di legge, il dovere del dipendente di rispettare il prestigio, il decoro e l’immagine dell’amministrazione di appartenenza o della pubblica amministrazione in generale, sui social network come nella vita reale.
Sempre a proposito dell’utilizzo dei social media, il comma 3 dell’art. 11 ter della norma in commento chiarisce che “al fine di garantirne i necessari profili di riservatezza le comunicazioni, afferenti direttamente o indirettamente il servizio non si svolgono, di norma, attraverso conversazioni pubbliche mediante l’utilizzo di piattaforme digitali o social media. Sono escluse da tale limitazione le attività o le comunicazioni per le quali l’utilizzo dei social media risponde ad una esigenza di carattere istituzionale”.
Anche questo intervento era molto atteso per frenare l’uso dilagante dei social network (spesso preferiti rispetto alla posta elettronica) per lo scambio di comunicazioni relative al servizio. Il riferimento è all’uso dei social media come whatsapp che viene utilizzato troppo spesso in maniera impropria per lo scambio di informazioni relative al servizio.
Il successivo comma 4 incoraggia l’adozione di un documento interno all’Amministrazione che chiarisca regole di comportamento dei dipendenti sui social media e allo stesso tempo possa stabilire sanzioni per l’uso difforme alle indicazioni ivi contenute per ciascuna piattaforma.
Nei codici di comportamento adottati dalle singole amministrazioni, infatti, queste ultime si possono dotare di una “social media policy” per ciascuna tipologia di piattaforma digitale, al fine di adeguare alle proprie specificità le disposizioni di cui al presente articolo.
In particolare, la “social media policy” deve individuare, graduandole in base al livello gerarchico e di responsabilità del dipendente, le condotte che possono danneggiare la reputazione delle amministrazioni.
Il concetto di social media policy è ripreso dal mondo delle aziende private che già la utilizzano come parte di un codice di condotta che indica ai dipendenti come dovrebbero rappresentare se stessi e il marchio sui social media. Solitamente includono linee guida per proteggere la sicurezza, la privacy e gli interessi legali del marchio.
Il comma 5 sancisce il divieto per i dipendenti di divulgare o diffondere per ragioni estranee al loro rapporto di lavoro con l’amministrazione e in difformità alle disposizioni di cui al decreto legislativo 13 marzo 2013, n. 33, e alla legge 7 agosto 1990, n. 241, documenti, anche istruttori, e informazioni di cui essi abbiano la disponibilità.
Conclusioni
Non si può che plaudere all’inserimento nel codice di comportamento dei dipendenti di regole per l’uso degli strumenti informatici e dei social media. È evidente infatti la presa di coscienza, forse con un po’ di ritardo, del legislatore che invita le Amministrazioni a voler garantire la sicurezza e la protezione dei sistemi informatici, delle informazioni e dei dati (attraverso la nomina di “responsabili di struttura”), che nell’ottica di rendere più trasparente il rapporto con il cittadino, impone nell’uso della posta elettronica l’utilizzo di una “firma” che consenta al ricevente di poter identificare il mittente ed il suo recapito istituzionale al quale il medesimo è reperibile.
Oltre a ciò la norma in commento riconosce ai dipendenti la possibilità di utilizzare gli strumenti informatici forniti dall’amministrazione per assolvere alle incombenze personali senza doversi allontanare dalla sede di servizio, purché l’attività sia contenuta in tempi ristretti e senza alcun pregiudizio per i compiti istituzionali.
L’aspetto più innovativo della norma in commento, tuttavia, è quella relativa all’uso dei social media, sancendo il principio per cui occorre tutelare il prestigio, il decoro e l’immagine dell’amministrazione di appartenenza o della pubblica amministrazione, anche in rete.