POLICY INFORMATICA AZIENDALE – G.D.P.R. 679/2016
- INTRODUZIONE
Premesso che:
a) L’Azienda pone a disposizione dei dipendenti le risorse informatiche idonee all’espletamento delle singole mansioni;
b) tali risorse informatiche sono di proprietà dell’Azienda e pertanto lo stesso è responsabile dell’idoneo utilizzo;
c) l’utilizzo delle risorse informatiche e telematiche dell’Azienda deve sempre ispirarsi ai principi di diligenza e correttezza, atteggiamenti questi destinati a sorreggere ogni atto o comportamento posto in essere nell’ambito del rapporto di lavoro;
d) un utilizzo conforme alle previsioni dell’Azienda consente di evitare rischi e vulnerabilità del sistema informatico;
e) la progressiva diffusione di nuove tecnologie informatiche espone l’Azienda rischi di coinvolgimento sia patrimoniale sia penale creando al contempo problemi di immagine e di sicurezza;
f) in data 1 marzo 2007 l’Autorità Garante per la protezione dei dati personali, ha emanato le linee guida in materia di utilizzo di posta elettronica e di internet nel rapporto di lavoro, indicando ai datori di lavoro l’adozione e la pubblicizzazione di un disciplinare interno in materia di utilizzo delle risorse informatiche;
g) con la pubblicazione nel numero 221 della Gazzetta Ufficiale del 23 settembre 2015 (Suppl. Ordinario n. 53), è entrato in vigore il Decreto Legislativo n. 151 del 14 settembre 2015, recante «Disposizioni di razionalizzazione e semplificazione delle procedure e degli adempimenti a carico di cittadini e imprese e altre disposizioni in materia di rapporto di lavoro e pari opportunità, in attuazione della legge 10 dicembre 2014 n. 183». L’articolo 23 del D.Lgs. n. 151/2015 modifica l’articolo 4 della Legge n. 300 del 1970 – anche nota come Statuto dei Lavoratori – e rimodula il divieto dei controlli a distanza, nella consapevolezza di dover tener conto, nell’attuale contesto produttivo, oltre agli impianti audiovisivi, anche degli altri strumenti «dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori» e di quelli «utilizzati dal lavoratore per rendere la prestazione lavorativa».
Pertanto il datore di lavoro secondo la vigente normativa può riservarsi di verificare (direttamente o attraverso la propria struttura) il corretto utilizzo degli strumenti di lavoro, in quanto può raccogliere informazioni mediante gli stessi strumenti di lavoro (pc, notebook, tablet, cellulare) messi a disposizione dei dipendenti o tramite sistemi di registrazione degli accessi e delle presenze, senza dover stipulare un accordo sindacale o autorizzazione amministrativa. Per gli impianti di sorveglianza fissi (es. videosorveglianza), continua invece ad essere necessario un accordo sindacale o l’autorizzazione della Direzione Territoriale del Lavoro e rimangono ammissibili per esigenze organizzative e produttive, per la sicurezza del lavoro, per la tutela del patrimonio dell’Azienda. Le informazioni raccolte, con entrambe le modalità di cui sopra, possono essere utilizzabili dall’Azienda, “per le sole finalità connesse al rapporto di lavoro” quindi senza escludere l’impiego anche per fini disciplinari;
h) è opportuno diffondere un regolamento informatico in grado di fornire informazioni ed orientamenti ai dipendenti in merito all’utilizzo idoneo della strumentazione. Il presente regolamento è stato redatto tenendo conto delle previsioni contenute nel:
• Regolamento (UE) 206/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 “GDPR 2016/679”;
• Decreto Legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”;
• Legge 20 maggio 1970 (Statuto dei Lavoratori);
• Legge 18 marzo 2008, n. 48 “Delitti informatici e trattamento illecito dei Dati” (Articoli 615 ter, 615 quater, 615 quinquies, 617 quater, 617 quinquies, 635 bis, 635 ter, 635 quater, 635 quinquies, 491 bis e 640 quinquies del Codice Penale);
• Modello di Organizzazione, Gestione e Controllo ex Decreto Legislativo 8 giugno 2001 n. 231;
• Decreto Legislativo n. 151 del 14 settembre 2015 Ai sensi del Decreto Legislativo n.196 del 2003.L’Azienda ha ritenuto opportuno redigere una Policy Informatica aziendale per i propri dipendenti.Ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, i dati personali sono identificati come le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.
Particolarmente importanti sono:
• i dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. – e i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa);
• i dati rientranti in particolari categorie: si tratta dei dati c.d. “sensibili”, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale;
• i dati relativi a condanne penali e reati: si tratta dei dati c.d. “giudiziari”, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.
Con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.
Ai sensi del Decreto Legislativo n. 196 del 2003 le informazioni dell’Azienda possono essere classificate come segue:
– Pubblica: informazione generale esplicitamente rivolta anche a comunicazione o diffusione indifferenziata all’esterno dell’Azienda;
– Comune: informazione generale che quindi è da ritenersi riservata dell’Azienda; può essere conosciuta anche da soggetti esterni purché indicati esplicitamente tra i destinatari.
– Riservata: informazione rivolta a specifici soggetti destinatari. Ciò premesso, occorre che ciascun dipendente si uniformi al rispetto delle successive regole ed alle indicazioni in materia di utilizzo delle risorse informatiche poste a disposizione, nel rispetto delle disposizioni legislative.
2. OBIETTIVO
Il presente regolamento indica l’ambito di applicazione, principi generali, ruoli e responsabilità per la tutela:
• delle risorse di Information Communication Technology (ICT) dell’Azienda;
• delle informazioni trattate e gestite tramite le citate risorse.
Il presente regolamento, definisce, inoltre, le attività relative alla sicurezza nell’utilizzo del Sistema ICT ed indica altresì la natura delle verifiche, effettuate dell’Azienda.
• I sistemi Informatici, le applicazioni, le procedure informatiche, i telefoni cellulari (utilizzati anche come supporti informatici). I software per qualsiasi dispositivo elettronico (computer, palmare, tablet, etc.), i telefoni fissi e cellulari;
• I componenti dei computer compresi gli accessori interni ed esterni (es. modem, schede di rete, chip di memoria, cavi, memorie di massa etc.);
• Il cablaggio usato per trasportare informazioni elettroniche (vocali e/o dati);
• Qualsiasi dispositivo di dati.
STRUMENTI ICT (Information Communication Technology)
Indica l’insieme delle tecnologie che consentono il trattamento e lo scambio delle informazioni in formato Digitale.
Ciascun componente presente in Azienda costituisce il Sistema ICT Aziendale.
SICUREZZA ICT E RELATIVI RISCHI
Tutte le azioni poste in essere a tutela del patrimonio informativo dell’Azienda contro rischi e/o violazioni che ne possano pregiudicare confidenzialità, integralità, disponibilità ed utilizzabilità, nonché, per estensione, l’insieme di comportamenti, norme, attività e strumenti volti a garantire tale tutela.
- PRINCIPI GENERALI
Al fine di evitare eventuali Rischi di Sicurezza (intendendosi rischio il prodotto tra la probabilità di accadimento di un incidente di Sicurezza e l’intensità del danno diretto o indiretto sul patrimonio dell’Azienda) per l’Azienda, nell’ambito dell’utilizzo e tutela del Sistema ICT è necessario pianificare e porre in essere adeguate misure di carattere tecnologico e organizzativo. Tali misure devono prevenire possibili azioni dannose (o quanto meno minimizzarne gli effetti), tenendo presente il principio che la sicurezza è un’esigenza dell’Azienda che comporta aspetti organizzativi, procedurali, tecnici, informatici e logistici. Le attività di seguito riportate sono volte ad evitare comportamenti, consapevoli o inconsapevoli, capaci di concretizzarsi in eventi dannosi.A tale proposito:L’Azienda verifica, nei limiti consentiti dalle norme legali e contrattuali e con modalità diffuse ed uniformi:
• L’integrità del proprio Sistema ICT;
• Il rispetto di quanto previsto nel seguito del presente regolamento.
Si evidenzia che l’Azienda non effettua registrazioni al solo scopo di controllo dell’attività lavorativa del proprio personale, ma principalmente interventi volti a salvaguardare la Sicurezza ICT ed il mantenimento dell’efficienza del Sistema ICT.
Le tecnologie utilizzate a tal fine sono compatibili con quanto disposto dalla normativa vigente in materia.
Gli Strumenti ICT costituiscono un mezzo di lavoro e devono essere utilizzati, di norma, per il perseguimento di fini strettamente connessi agli incarichi lavorativi secondo criteri di massima correttezza e professionalità, coerentemente al tipo di attività svolta ed in linea con le disposizioni normative vigenti.
In ogni caso l’utilizzo degli strumenti ICT non configura una titolarità, da parte dell’utente, delle informazioni trattate mediante tali strumenti a cui l’Azienda si riserva pertanto il diritto di accedere nei limiti consentiti dalle norme legali e contrattuali. La violazione delle previsioni di cui alla presente procedura potrà comportare l’applicazione delle sanzioni disciplinari contemplate dal Contratto Collettivo Nazionale di Lavoro applicabile, nel rispetto dei principi di gradualità e proporzionalità, nonché delle altre misure di tutela del caso.
- RUOLI E RESPONSABILITA’
Le responsabilità inerenti alla gestione e utilizzo degli Strumenti ICT comportano diversi aspetti di operatività a seconda che sia attribuita a:
• Responsabili ICT (ove nominato);
• Tutti gli altri utenti dell’Azienda (dipendenti, collaboratori, personale con contratto di somministrazione, personale di Aziende esterne fornitrici presenti in Azienda, consulenti, etc.), e comunque, tutti coloro che a qualunque titolo siano abilitati con proprio nome di log-on all’utilizzo del Sistema.RESPONSABILE ICT
Al fine di consentire il corretto utilizzo degli strumenti ICT e tutelare la sicurezza delle informazioni trattate nel Sistema ICT, eventualmente richiedendo la collaborazione delle opportune Unità Organizzative dell’Azienda ha la responsabilità di:
• limitare l’accesso logico al Sistema ICT esclusivamente a personale autorizzato ed in particolare impedire:
— a personale non autorizzato l’intrusione, dall’esterno o dall’interno, alla rete informatica e telefonica dell’Azienda;
— il collegamento alla rete dati o alle postazioni di lavoro di dispositivi di elaborazione o di memorizzazione non autorizzati;
— alterazione al Sistema ICT ed alle informazioni in esso gestite.
• impedire l’accesso a sistemi non autorizzati.Inoltre, il Responsabile ICT (ove nominato), ai fini della disponibilità delle informazioni trattate nel Sistema ICT, dovrà assicurare le seguenti misure tecniche organizzative:
• il salvataggio dei dati trattati attraverso opportune procedure di “back-up” e conservazione degli stessi in luoghi diversi da quelli in cui sono collocati i dispositivi di memorizzazione principali del Sistema ICT.
Il mantenimento dei dati salvati avviene in luoghi che presentano misure di protezione analoghe a quelle definite dalla normativa attuale per il trattamento degli specifici dati;
• la disponibilità del servizio erogato dal Sistema ICT attraverso:
– continuità elettrica: attivazione, in caso di interruzione della fornitura di elettricità, di misure atte a garantire il servizio per il tempo necessario ad espletare eventuali attività utente improcrastinabili, limitatamente alle attrezzature ed ai componenti del Sistema ICT individuati dall’Azienda come critici;
– continuità operativa: definizione ed attuazione di un piano di Disaster Recovery che consenta, dopo un’interruzione del servizio, il ripristino dell’operatività del Sistema ICT per quei processi e attività individuati dall’Azienda come critici.
Il Titolare del trattamento dei dati è CIOLLO SERVICE SRL con sede VIA XXI APRILE 1945, 20, BOLOGNA 40134 (BO) in persona del Titolare/Legale Rappresentante dell’Azienda, a seguito di un’attenta valutazione dei trattamenti informatici svolti presso la propria attività
DICHIARA
di agire in prima persona nella redazione del presente documento ed assumere la totale responsabilità per la gestione dei dati e dei sistemi informatici.
Va indicato inoltre che, LE RESPONSABILITÀ INDICATE NELLE DISPOSIZIONI CHESEGUONO SI APPLICANO NELLO STESSO MODO A TUTTI GLI UTENTI.
- DISPOSIZIONI
Utilizzo della strumentazione:
1. È fatto divieto installare sulla strumentazione in uso, hardware fisso o removibile (ad esempio modem) qualora ciò non risulti espressamente richiesto ed autorizzato dall’Azienda.
2.L’ Azienda si riserva di rimuovere qualsiasi elemento hardware la cui installazione non sia stata appositamente prevista e autorizzata.
3.Il Responsabile ICT (ove nominato) provvederà a pre-impostare le singole postazioni affinché trascorsi 10 minuti di inattività, si attivi automaticamente il salvaschermo protetto da password; è onere/dovere del dipendente non alterare alcuna impostazione di Sicurezza e segnalare, qualora la misura di protezione non sia attiva sul proprio pc, tale anomalia ai Sistemi Informativi i quali provvederanno al suo ripristino.
4.Sui PC dotati di scheda audio e/o di lettore CD non è consentito l’ascolto di programmi, file audio o musicali, se non a fini prettamente lavorativi.
5.Qualora si rendessero necessarie modifiche alle configurazioni impostate sul PC in uso, occorre farne richiesta al Titolare dell’azienda o al Responsabile ICT ove nominato.
6.Si ricorda al dipendente che è suo dovere conservare la strumentazione informatica in buono stato, segnalare prontamente guasti o anomalie che possano pregiudicarne il funzionamento e di spegnere il PC in uso al termine della giornata di lavoro. Inoltre rammentiamo il divieto di pubblicare su siti o portali online, foto e/o video ripresi all’interno dell’Azienda.
7.Qualora il dipendente disponesse di risorse informatiche non più necessarie per la propria postazione, deve darne avviso al Responsabile ICT (ove nominato) affinché le risorse siano riassegnate ad altre postazioni.
8.Qualsiasi spostamento della strumentazione ICT all’interno dell’Azienda deve essere preventivamente autorizzato dal Responsabili ICT (ove nominato), ove nominato, o direttamente dal Titolare della stessa.
9.E’ inoltre assolutamente vietato utilizzare in Azienda strumenti ICT personali (PC, periferiche, dispositivi di memorizzazione, tablet, etc.) se non preventivamente autorizzati dal Titolare dell’Azienda.6. ACCESSO ED USO DEI SISTEMI
1. Qualsiasi creazione o modifica di Account informatici dovrà essere richiesta al Titolare / Legale Rappresentante dell’Azienda. Tale richiesta darà l’avvio ad un iter autorizzativo che coinvolgerà sia il Titolare / Legale Rappresentante dell’Azienda che il Responsabile ICT (ove nominato).
2.Le unità disco (locali o di rete) sono aree di condivisione di informazioni strettamente professionali e non possono in alcun modo essere utilizzate per scopi diversi. Pertanto qualunque file che non sia connesso all’attività lavorativa non può essere dislocato, nemmeno per brevi periodi, in queste unità.
3.Il dipendente si connette alla rete tramite autenticazione univoca personale, che gestisce in autonomia e con piena responsabilità delle proprie password. In nessun caso devono essere annotate password in chiaro sia su supporto cartaceo (es.post-it) che informatico (es. fogli excel, word, notepad, etc.).
4.I requisiti minimi di complessità delle password come espressamente richieste dal legislatore sono:
• redazione con caratteri maiuscoli e/o minuscoli;
• possibilità di includere simboli, numeri, punteggiatura e lettere;
• utilizzo di almeno 8 caratteri nella composizione della password (sono esclusi da tale obbligo i sistemi operativi che non supportano tali requisiti);
• divieto di composizione di password basate su informazioni personali, riferimenti familiari o comunque dati inerenti direttamente il soggetto titolare della password stessa (a titolo meramente esemplificativo: evitare di utilizzare nominativi personali o familiari, date di nascita, codici fiscali o comunque informazioni personali facilmente rintracciabili).
5.Il dipendente titolare della password è tenuto a non rivelare ad alcuno la password dovendone avere la massima diligenza e preservandone la segretezza anche durante il momento della digitazione.
6.Qualora il dipendente ritenga che un soggetto non autorizzato può aver visionato la digitazione o essere comunque a conoscenza della password, deve immediatamente cambiarla.
7.Qualora al dipendente sia richiesto di riferire in qualunque forma la password (telefonicamente, via e-mail, localmente) il dipendente è obbligato a rifiutarsi; contemporaneamente deve dare immediata comunicazione dell’accaduto al Titolare/ Legale Rappresentante dell’Azienda o al Responsabile ICT (ove nominato).
8.Per motivi di sicurezza, quando si accede a caselle di web-mail dell’Azienda, è fatto divieto di salvare la password di accesso utilizzando le opzioni di compilazione automatica di cui sono dotati i browser.
9.Al dipendente sarà richiesto con cadenza trimestrale, di reinserire una nuova password.
10.Ciascun dipendente deve fare un uso conforme dei dati secondo le credenziali di autenticazione fornitegli per i vari livello di accesso. La conoscenza di particolari modalità di accesso che vadano oltre quanto consentito al dipendente secondo il proprio ruolo, non deve mai giustificare una consultazione di dati diversa rispetto a quella originariamente stabilita dall’Azienda.
- INSTALLAZIONE E PROGRAMMI
1. Sul pc in uso, è assolutamente vietato installare programmi che non siano ufficialmente forniti dall’Azienda per il tramite dei soggetti appositamente incaricati all’installazione.
2. L’Azienda ricorda al dipendente che costituiscono illecito penale le condotte consistenti nella illecita duplicazione o riproduzione di software e file multimediali ai sensi della legge sul diritto d’autore n. 633/41.
3. Per qualunque tipo di modifica al sistema informatico il dipendente è tenuto a presentare opportuna richiesta di assistenza al Responsabile ICT (ove nominato), la richiesta sarà analizzata che procederà, qualora la richiesta sia stata autorizzata dal Titolare / Legale Rappresentante dell’Azienda, ad apportare la modifica richiesta. Il Responsabile ICT è autorizzato a provvedere a tali variazioni solo e soltanto in presenza di una richiesta scritta di Assistenza. - GESTIONE DEL SITO INTERNET
1. È fatto obbligo al dipendente conservare, custodire e controllare i supporti informatici removibili contenenti dati, informazioni, notizie anche in forma cartacea o immagini di attinenza dell’Azienda, affinché nessun soggetto terzo ne prenda visione o possesso.
2. Il dipendente non deve creare/scaricare/salvare file estranei all’attività lavorativa, sul pc in uso.
3. Qualora il dipendente abbia incertezze sulla provenienza di un file, deve prontamente rivolgersi al Responsabili ICT (ove nominato) il quale effettuerà le opportune verifiche sulla sussistenza di eventuali rischi di sicurezza connessi a quel file. - UTILIZZO RETE INTERNA (INTRANET DELL’AZIENDA)
1. La rete interna, istituita appositamente per permettere collegamenti funzionali tra i dipendenti, non può esser utilizzata per scopi diversi da quelli di tipo dell’Azienda.
2. Qualora nella rete interna debbano circolare dati, notizie ed informazioni dell’Azienda, deve essere premura di ciascun dipendente preservare gli stessi dalla conoscibilità di terzi soggetti non espressamente autorizzati ad aver notizia di tali dati. È assolutamente vietata l’introduzione di dati e/o documenti classificati in rete.
3. Si comunica che qualora il dipendente non si autentichi alla rete dell’Azienda per un periodo superiore a 20 giorni consecutivi, il Responsabile ICT (ove nominato) ne darà comunicazione al Titolare/Legale Rappresentante dell’Azienda al fine di verificare eventuali disattivazioni delle credenziali assegnate. Qualora il Responsabile ICT non fosse nominato, provvederà da subito il Titolare/Legale Rappresentante dall’Azienda a valutare la situazione e d eventualmente verificare eventuali disattivazioni delle credenziali assegnate.
4. È assolutamente vietato:
• falsificare documenti informatici pubblici o privati aventi efficacia probatoria (art. 491 bis c.p.);
• accedere abusivamente ad un sistema informatico o telematico (art. 615 ter c.p.);
• detenere o diffondere abusivamente codici di accesso a sistemi informatici o telematici (art. 615 quater c.p.);
• diffondere programmi diretti o danneggiare o interrompere un servizio telematico (art. 615 quinquies);
• intercettare, impedire o interrompere illecitamente comunicazioni informatiche o telematiche (art. 617 quater c.p.);
• installare apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche (art. 617 quinquies);
• danneggiare informazioni dati e programmi informatici privati o utilizzati dallo Stato o da altro Ente Pubblico o di pubblica utilità (art. 635 bis e art. 635 ter c.p.);
• danneggiare sistemi informatici o telematici privati di pubblica utilità (art.635 quater e art. 635 uinquies c.p.);
• violare, da parte del soggetto che presta servizi di certificazione di firma elettronica, gli obblighi previsti dalla Legge per il rilascio di un certificato qualificato (art. 640 quinquies c.p.).10. UTILIZZO RETE ESTERNA (INTERNET)
Gli utenti ai quali è accordato l’accesso ad Internet, vengono individuati dall’Azienda, e relativa necessità segnalata dal Responsabile ICT (ove nominato) o direttamente dal Titolare/Legale Rappresentante.
L’utente deve accedere ad Internet allo scopo di svolgere le attività correlate al proprio lavoro, e comunque per gli usi indicati e nel rispetto delle regole di seguito descritte.
1. È assolutamente vietato scaricare/salvare dalla rete Internet documenti, file o dati comunque non attinenti le mansioni assegnate al singolo dipendente. In particolare è vietato:
– navigare in siti non attinenti allo svolgimento delle mansioni assegnate e su social network (es. Facebook, Twitter, etc.);
– effettuare transazioni finanziaria ivi comprese le operazioni di remote banking,acquisti on-line e simili;
– scaricare software di ogni e qualsivoglia natura;
– effettuare registrazioni a siti i cui contenuti non siano legati all’attività lavorativa;
– partecipare, per motivi non professionali, a Forum, l’utilizzo di chat on line, di bacheche elettroniche e le registrazioni in guest book anche utilizzando pseudonimi (o nicknames).
2. Qualsiasi dato non attinente all’attività lavorativa rilevato sui pc in uso agli utenti, sarà cancellato.
11. UTILIZZO POSTA ELETTRONICA
Per adempiere agli adempimenti privacy, vi consigliamo di inserire una delle seguenti dicitura alla fine delle mail aziendali che vengono inviate:
“In ottemperanza con il nuovo Regolamento Europeo GDPR n. 679/2016, le informazioni contenute in questo messaggio sono riservate e confidenziali. Il loro utilizzo è consentito esclusivamente al destinatario del messaggio, per le finalità indicate nel messaggio stesso. Se la presente e-mail, e suoi allegati, fosse stata ricevuta per errore da persona diversa
dal destinatario siete pregati di distruggere tutto quanto ricevuto e di informare il mittente con lo stesso mezzo.”
Oppure
“Il testo e gli eventuali documenti trasmessi contengono informazioni riservate al destinatario indicato. La seguente e-mail è confidenziale e la sua riservatezza è tutelata legalmente dal Reg.UE 2016/679. La lettura, copia o altro uso non autorizzato o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente, ai numeri qui indicati e/o all’indirizzo dello stesso, e di provvedere immediatamente alla sua distruzione. Qualora non desideriate ricevere più informazioni di questo genere, Vi preghiamo di inviarci una email citando CANCELLAZIONE nell’Oggetto.”
PUNTO 1
Le caselle di posta elettronica date in uso al dipendente sono destinate ad un utilizzo tassativamente ed esclusivamente inerente all’attività lavorativa. Si precisa che:
• è assolutamente vietato inviare o memorizzare messaggi di natura oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica;
• è assolutamente vietato l’utilizzo dell’indirizzo di posta elettronica dell’Azienda per la partecipazione a dibattiti, Forum, newsletter o mail-list,non attinenti la propria mansione.
• è assolutamente vietato lo scambio di messaggi sotto mentite spoglie, ossia impersonando un mittente diverso da quello reale, in quanto comportamento illecito;
• è assolutamente vietato inviare messaggi di posta (con o senza allegato) contenenti:
o dati riservati dell’Azienda (company confidential) o classificati;
o immagini, filmati, e qualunque tipo di file dai contenuti illegali, violenti e/o pornografici;
o file soggetti a diritto d’autore (file musicali, video o eseguibili di programma, ad es.:mp3, divx, avi, exe etc.);
o link a siti con contenuti illegali, violenti e/o pornografici;
o password e/o codici di accesso a programmi soggetti a diritto d’autore.
Non è consentito aprire messaggi di posta con allegati contenenti file “eseguibili”, salvo caso di certezza assoluta del mittente.
Per quanto riguarda l’origine dei messaggi di posta, si deve considerare che è facile impersonare un mittente diverso da quello reale, soprattutto per i generatori di messaggi malevoli;
• è assolutamente vietato rispondere a messaggi di posta elettronica che:
o contengono un messaggio generico di richiesta informazioni personali per motivi non ben specificati (ad. es. scadenza, smarrimento, problemi tecnici);
o fanno uso di toni “intimidatori”, quali ad esempio la minaccia del blocco della carta di credito o del conto corrente in caso di mancata risposta dell’utente. Le Banche e gli Istituti di Credito, infatti, non richiedono mai per posta elettronica informazioni attinenti il conto personale o depositi. Le suddette precauzioni hanno lo scopo di evitare che sia “rubata l’identità” e che siano eseguite operazioni ad insaputa dell’utente vittima.
Inoltre, ogni singolo utente ha l’obbligo di:
• limitare la dimensione del messaggio inviato, soprattutto nei casi in cui vi siano più destinatari. Un allegato di dimensioni eccessive potrebbe impedire l’arrivo del messaggio o richiedere un uso eccessivo delle risorse; a tal fine la dimensione massima consigliata, per gli allegati, non deve superare i 10 Mbyte.
• Gestire la casella di posta elettronica, la cui dimensione è stabilita in funzione delle necessità operative, in modo opportuno, eliminando i messaggi non necessari, contenendo la dimensione degli stessi e dei relativi allegati. Ciò al fine di conseguire un più efficace impiego del servizio di posta elettronica e nel contempo non sovraccaricare i relativi sistemi di sicurezza.
PUNTO 2
L’ Azienda comunica che, in caso di assenza improvvisa e/o prolungata, ricorrano improrogabili necessità legate all’attività lavorativa per cui si debba conoscere il contenuto dei messaggi di posta elettronica, come indicato dalle Linee guida del Garante per la protezione dei dati personali per l’utilizzo della posta elettronica nel rapporto di lavoro del 1 Marzo 2007, il Responsabile ICT (ove nominato) o il Titolare/Legale Rappresentante può richiedere al fiduciario del lavoratore (se nominato per iscritto dall’interessato) di verificare il contenuto di messaggi ed a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativa, in caso di assenza di nomina del fiduciario, il Responsabile ICT (ove nominato) o il Titolare/Legale Rappresentante in quanto “Custode delle credenziali”, può accedere alla casella di posta dell’utente stesso, tramite l’apertura della busta contenente la password del lavoratore.
In entrambi i casi, di tale attività deve essere redatto, a cura del suddetto Responsabile, apposito verbale e deve essere informato l’utente interessato, preventivamente o, ove ciò non sia possibile, alla prima occasione utile.
PUNTO 3
In caso di licenziamento o dimissioni o trasferimento di un dipendente, il titolare del trattamento comunicherà al Responsabile ICT (ove nominato) o al Titolare/Legale Rappresentante di chiudere immediatamente l’email dell’Azienda del dipendente (es. nome@CIOLLO SERVICE SRL.it) e di attivare un sistema automatizzato per comunicare ad eventuali terzi la chiusura dell’indirizzo email, segnalando un account dell’Azienda alternativo al contatto utilizzato fino a quel momento.
- PROTEZIONE DEGLI APPARATI / ELABORATORI PORTATILI
Tutte le indicazioni riportate ai punti precedenti sono adottate anche per i computer portatili, per tutti gli elaboratori portatili (palmari, tablet, blackberry, etc.) , per gli smartphone e tablet per i quali è tuttavia necessario aggiungere ulteriori precauzioni, ponendo particolare attenzione nel caso di utilizzo dell’apparato in ambito esterno all’Azienda.
In particolare l’utente deve:
• proteggere il dispositivo elettronico portatile tramite apposito dispositivo di ancoraggio in caso di utilizzo all’interno dell’Azienda;
• conservare in un luogo sicuro il dispositivo elettronico (es.: PC, tablet, palmari, smartphone ecc.) a fine giornata lavorativa;
• custodire il dispositivo elettronico in caso di trasporto e/o utilizzo in ambito esterno all’Azienda;
• avvertire tempestivamente, in caso di furto di un dispositivo elettronico, il Titolare / Legale Rappresentante dell’Azienda che darà le opportune indicazioni.Inoltre, in caso di utilizzo del dispositivo elettronico in ambito esterno all’ Azienda, l’utente deve adottare le misure idonee a garantire la protezione delle informazioni. A tale scopo il Responsabile ICT (ove nominato) o il Titolare/Legale Rappresentante renderà disponibili appositi sistemi di criptatura delle informazioni memorizzate sul dispositivo elettronico e sistemi sicuri di accesso remoto: è responsabilità dell’utente che deve operare in ambito esterno all’Azienda fare richiesta dei necessari strumenti di protezione, previa approvazione del datore di lavoro.
Tutta la gestione degli Strumenti ICT, incluse le modifiche alla configurazione dei sistemi desktop e portatili, deve essere effettuata unicamente dal Responsabile ICT (ove nominato) o il Titolare/Legale Rappresentante. Gli utenti non sono autorizzati a modificare il Sistema ICT, neppure se si tratta della postazione di lavoro che hanno ricevuto in assegnazione dall’Istituto.A titolo esemplificativo, ma non esaustivo, si enunciano attività che sono considerate modifiche del Sistema ICT:
1. spostare o separare i componenti dalla postazione di lavoro;
2. modificare i collegamenti di rete esistenti;
3. usare dispositivi removibili (CD, DVD, Hard Disk, penne USB….) per alterare la procedura di avvio del dispositivo ed in particolare per effettuare l’avvio di un sistema operativo diverso da quello fornito dall’Azienda;
4. aprire la struttura esterna del dispositivo elettronico e procedere alla modifica (eliminazione o aggiunta) dei componenti dello stesso;
5. installare un qualsiasi software, inclusi quelli scaricati da Internet o comunque alterare la configurazione del PC ricevuta in assegnazione.13. PC NON COLLEGATI ALLA RETE DELL’AZIENDA
È fatto obbligo al dipendente, di preservare l’integrità del sistema non alterandone in alcun modo le peculiarità soprattutto quando tali pc costituiscono ambienti di sviluppo software.
Inoltre, anche per pc costituenti ambienti di sviluppo, come già riportato per i notebook, è auspicabile l’utilizzo di sistemi di criptatura dati messi a disposizione dai Sistemi Informativi dell’Azienda in quanto in essi possono essere salvati dati sensibili.14. CUSTODIA, CONSERVAZIONE E CONTROLLO DOCUMENTI CARTACEI
1. È fatto obbligo al dipendente di custodire il materiale cartaceo derivante da file affinché nessuno ne prenda visione, possa manipolarlo o riprodurlo.
2. È fatto divieto lasciare qualsiasi documento incustodito presso la propria postazione qualora sia previsto un allontanamento per un lasso di tempo tale da consentirne eventualmente la visione da parte di terzi.
3. È fatto divieto lasciare qualsiasi documento in locali estranei alla propria postazione, prestando particolare attenzione a non lasciarli presso la fotocopiatrice.15. GESTIONE DEI DATI INFORMATICI
È fatto divieto di applicare sistemi di scrittura segreta o in codice ai dati se non espressamente autorizzati per iscritto dal Titolare/Legale Rappresentante dell’Azienda e/o dal Responsabile ICT (ove nominato).16. ATTIVITA’ DI VERIFICA
Come sopra evidenziato l’Azienda per prevenire o correggere malfunzionamenti del proprio Sistema ICT nonché garantire l’efficienza dello stesso, effettua registrazioni delle componenti di traffico riferiti a:
• POSTA ELETTRONICA
Le informazioni relative ai messaggi di posta elettronica sono analizzate in forma aggregata. Esse vengono mantenute integralmente in linea e sono direttamente consultabili dai soggetti individuati per 30 giorni; oltre tale data le informazioni vengono salvate su un’area di disco e successivamente periodicamente) vengono memorizzate su supporti ottici non riscrivibili conservati in apposita cassaforte ignifuga. Viene mantenuto lo storico degli ultimi 12 mesi, mentre per i log anteriori si provvede alla distruzione fisica. Alle informazioni raccolte possono accedere le sole persone, espressamente autorizzate dal Titolare/Legale Rappresentante dell’Azienda alla gestione del servizio di Posta Elettronica.
Le informazioni raccolte, senza che sia necessario un accordo con le rappresentanze sindacali o con la Direzione Territoriale del Lavoro, potranno essere utilizzabili a tutti i fini connessi al rapporto di lavoro, quindi senza escludere l’impiego anche per fini disciplinari, come indicato dall’ articolo 23 del D.Lgs. n.151/2015.
• RETE ESTERNA (INTERNET)
Le informazioni relative ai servizi Internet sono raccolte, conservate ed analizzate secondo le modalità sopra descritte per il servizio di Posta Elettronica. Alle informazioni raccolte possano accedere le sole persone, espressamente autorizzate dal Titolare/Legale Rappresentante dell’Azienda alla gestione del servizio Internet.
• RETE INTERNA (INTRANET)
Le informazioni relative ai servizi Intranet sono raccolte, conservate ed analizzate secondo le modalità sopra descritte per il servizio di Posta Elettronica. Alle informazioni raccolte possano accedere le sole persone, espressamente autorizzate dal Titolare/Legale Rappresentante dell’Azienda alla gestione del servizio Internet.
• TELEFONIA (FISSA E MOBILE)
Le informazioni relative ai servizi di telefonia sono raccolte, conservate ed analizzate secondo le modalità sopra descritte per il servizio di Posta Elettronica. Alle informazioni raccolte possano accedere le sole persone, espressamente autorizzate dal titolare della Istituto alla gestione del servizio di telefonia. Le informazioni raccolte, senza che sia necessario un accordo con le rappresentanze sindacali o con la Direzione Territoriale del Lavoro, potranno essere utilizzabili a tutti i fini connessi al rapporto di lavoro, quindi senza escludere l’impiego anche per fini disciplinari, come indicato dall’ articolo 23 del D.Lgs. n. 151/2015.
• VIDEOSORVEGLIANZA
Le immagini raccolte dal sistema di videosorveglianza installato nella sede dell’Azienda sono utilizzate esclusivamente per garantire la sorveglianza dei locali, delle merci e delle attrezzature presenti e sono state regolarmente denunciate ed autorizzate; tali immagini non sono raccolte al fine del controllo dei lavoratori e la presenza delle telecamere è regolarmente segnalata, come previsto dalla normativa.
• SISTEMI DI REGISTRAZIONE DEGLI ACCESSI E DELLE PERSONE
Le informazioni raccolte, senza che sia necessario un accordo con le rappresentanze sindacali o con la Direzione Territoriale del Lavoro, potranno essere utilizzabili a tutti i fini connessi al rapporto di lavoro con i dipendenti, nonché alla verifica degli accessi e delle presenze di lavoratori e visitatori anche al fine della gestione della sicurezza delle stesse allorchè sono presenti all’interno dell’azienda.17. APPLICAZIONE ED INTERPRETAZIONE
Per qualsiasi chiarimento relativo all’applicazione pratica o all’interpretazione del presente regolamento, il dipendente può rivolgersi al Responsabile ICT (ove nominato) o il Titolare/Legale Rappresentante.18. DISCIPLINA DEROGHE E MODIFICHE
1. Nel caso in cui al presente regolamento l’Azienda intenda apporre modifiche, queste saranno applicate dandone conoscenza immediata al dipendente.
2. Deroghe o modifiche di uno o più punti del presente regolamento, non rendono invalidi gli altri punti. Qualora due o più clausole siano evidentemente incompatibili tra loro, prevarrà la clausola temporalmente più recente.19. RESPONSABILITA’
1. La violazione di una qualsiasi delle clausole di cui al presente regolamento può generare un richiamo disciplinare del dipendente.
2. Qualora l’Azienda venga a conoscenza di una violazione del presente regolamento
che costituisca illecito civile o penale, provvederà immediatamente a darne avviso
alla Competente Autorità.
3. Si ricorda che secondo le specifiche previsioni di cui al presente regolamento,l’Azienda verificherà, nei limiti consentiti dalle norme di legge e contrattuali (tramite controlli di tipo “difensivo” che derivano, in specie, dal diritto, riconosciuto al datore di lavoro dall’art. 2104 c.c., di impartire disposizioni per l’esecuzione e la disciplina del lavoro), il rispetto delle regole e l’integrità del proprio sistema informatico.
FIRME PER PRESA VISIONE DELLA POLICY INFORMATICA AZIENDALE:
Con l’apposizione della firma i lavoratori dichiarano di aver preso visione delle presenti procedure informatiche, di averne recepito i contenuti e le istruzioni, e di averne ricevuto una copia personale.