TUTELA DELLA PRIVACY - D. LGS. 196/2003 - UTILIZZO DI INTERNET, POSTA ELETTRONICA E TELEFONI DA PARTE DEI
LAVORATORI - PREDISPOSIZIONE DI UN REGOLAMENTO
AZIENDALE
Alla luce del provvedimento
adottato il 1° marzo scorso dall’Autorità Garante per la protezione dei dati
personali (cfr. Not. n. 5/2007), e della necessità di contemperare da una parte
l’esigenza dei lavoratori di tutelare il proprio diritto alla riservatezza e
dall’altra quello dei datori di lavoro di operare controlli sull’utilizzo dei
mezzi informatici, anche al fine di garantire l’impresa medesima da eventuali
rischi di usi impropri di tali strumenti Confindustria, unitamente ad alcune
associazioni di categoria, tra le quali l’Ance, ha elaborato una bozza di
regolamento recante le modalità di utilizzo dei sistemi informatici.
Tale bozza rappresenta,
pertanto, un utile strumento per le imprese al fine di adottare misure che, in
linea con l’attuale normativa in materia di privacy e nel rispetto dei limiti
riconosciuti dall’ordinamento al potere di controllo dei datori si lavoro,
riescano a tutelare i datori stessi dalle conseguenze gravose soprattutto in
termini sanzionatori.
L’Autorità Garante, però,
interpellata per un parere tecnico sul documento, nonostante numerosi solleciti
non si è ad oggi ancora espressa.
Si ritiene tuttavia che,
nelle more, possa essere utile fornire il documento in parola alle imprese, sul
presupposto che lungi dall’essere vincolante, potrà essere discrezionalmente
adottato e utilizzato secondo le caratteristiche e le esigenze tecnico
produttive e organizzative proprie di ogni singola realtà aziendale.
(Il presente regolamento
è stato redatto tenendo conto delle linee Guida del Garante della Privacy
emanate con delibera n. 13 del 1° marzo 2007.
In quanto schema di
regolamento, ciascuna impresa interessata dovrà adattarlo alla propria
specifica realtà; le note, riportate in corsivo tra parentesi nel regolamento,
facilitano la comprensione delle varie parti dello stesso, ma nella versione
finale predisposta dall’impresa, per essere resa operativa al suo interno, non
dovranno ovviamente apparire).
Regolamento per
l’utilizzo dei sistemi informatici di …… (nome azienda)
(Si ricorda che il
regolamento ha lo scopo di informare gli interessati anche sulle eventuali
finalità e modalità del controllo e sulle specifiche tecnologie adottate per
effettuarlo. Particolare attenzione dovrà essere prestata all’attività di
controllo della navigazione internet qualora, mediante l’individuazione dei
contenuti dei siti visitati, si determini un trattamento di dati sensibili per
i quali va sempre rispettato il principio dell’indispensabilità (art. 26, 4°
comma Iett. c) del codice).
Indice.
Premessa.
1. Entrata in vigore del
regolamento e pubblicità.
2.
Campo di applicazione del regolamento.
3. Utilizzo del Personal
Computer.
4. Gestione ed assegnazione
delle credenziali di autenticazione.
5. Utilizzo della rete di ……………….
(nome azienda).
6. Utilizzo e conservazione
dei supporti rimovibili.
7. Utilizzo di PC
portatili.
8. Uso della posta
elettronica.
9. Navigazione in Internet.
10. Protezione antivirus.
11. Utilizzo dei telefoni,
fax e fotocopiatrici aziendali.
12. Osservanza delle
disposizioni in materia di Privacy.
13. Accesso ai dati
trattati dall’utente.
14. Sistema di controlli
graduali.
15. Sanzioni.
16 Aggiornamento e
revisione.
Premessa.
La progressiva diffusione
delle nuove tecnologie informatiche e, in particolare, il libero accesso alla
rete Internet dai Personal Computer, espone …………… (nome azienda) e gli utenti
(dipendenti e collaboratori della stessa) a rischi di natura patrimoniale,
oltre alle responsabilità penali conseguenti alla violazione di specifiche
disposizioni di legge (legge sul diritto d’autore e legge sulla privacy, fra
tutte), creando evidenti problemi alla sicurezza ed all’immagine dell’Azienda
stessa.
Premesso quindi che
l’utilizzo delle risorse informatiche e telematiche deve sempre ispirarsi al
principio della diligenza e correttezza, comportamenti che normalmente si
adottano nell’ambito dei rapporti di lavoro.
……………… (nome azienda) ha
adottato un Regolamento interno diretto ad evitate che comportamenti
inconsapevoli possano innescate problemi o minacce alla Sicurezza nel
trattamento dei dati.
Le prescrizioni di seguito
previste si aggiungono ed integrano le specifiche istruzioni già fornite a
tutti gli incaricati in attuazione del D.Lgs. 30 giugno 2003 n 196 e del
Disciplinare tecnico (Allegato B al citato decreto legislativo) contenente le
misure minime di sicurezza, nonché integrano le informazioni già fornite agli
interessati in ordine alle ragioni e alle modalità dei possibili controlli o
alle conseguenze di tipo disciplinare in caso di violazione delle stesse.
Considerato inoltre che
………… (nome azienda), nell’ottica di uno svolgimento proficuo e più agevole
della propria attività, ha da tempo deciso di mettere a disposizione dei propri
collaboratori che ne necessitassero per il tipo di finzioni svolte, telefoni e
mezzi di comunicazione efficienti (computer portatili, telefoni cellulari,
etc.), sono state inserite nel regolamento alcune clausole relative alle
modalità ed i doveri che ciascun collaboratore deve osservare nell‘utilizzo
ditale strumentazione.
1. Entrata in vigore del
regolamento e pubblicità
1.1 Il nuovo regolamento
entrerà in vigore il ……………… . Con l’entrata in vigore del presente regolamento
tutte le disposizioni in precedenza adottate in materia, in qualsiasi forma
comunicate, devono intendersi abrogate e sostituite dalle presenti.
1.2 Copia del regolamento,
oltre ad essere affisso nella bacheca aziendale, verrà consegnato a ciascun
dipendente.
(La consegna di una
copia a ciascun collaboratore è una scelta facoltativa del datore di lavoro: in
caso di consegna a mano, la premessa del presente regolamento può anche essere
riportata in un’eventuale lettera di accompagnamento. Sì ricorda infatti che ai
sensi dell’art. 7 Legge n. 300/1970 l’unico obbligo a carico del datore di
lavoro, ai fini dell’esercizio del potere disciplinare, è quello di dare
adeguata pubblicità delle norme mediante l’affissione in luogo accessibile a
tutti: per poter agire disciplinarmente nei confronti del dipendente, il
regolamento dovrà pertanto essere affisso in luogo accessibile a tutti.
Si rammenta che il
potere disciplinare non può comunque essere esercitato nei confronti dei
collaboratori coordinati e continuativi, dei collaboratori a progetto e dei
tirocinanti, mentre nei confronti dei lavoratori somministrati (ex interinali)
va esercitato per il tramite dell’agenzia di somministrazione).
2. Campo di applicazione
del regolamento
2.1 Il nuovo regolamento si
applica a tuffi i dipendenti, senza distinzione di ruolo e/o livello, nonché a
tutti i collaboratori dell’azienda a prescindere dal rapporto contrattuale con
la stessa intrattenuto (lavoratori somministrati, collaboratore a progetto, in stage,
ecc.).
2.2 Ai fini delle
disposizioni dettate per l’utilizzo delle risorse informatiche e telematiche,
per “utente” deve intendersi ogni dipendente e collaboratore (collaboratore a
progetto, in stage, agente, ecc) in possesso di specifiche credenziali di
autenticazione Tale figura potrà anche venir indicata quale “incaricato del
trattamento”.
3. Utilizzo del Personal
Computer
3.1 Il Personal Computer
affidato all’utente è uno strumento di lavoro. Ogni utilizzo non inerente
all’attività lavorativa è vietato perché può contribuire ad innescare
disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza. Il
personal computer deve essere custodito con cura evitando ogni possibile forma
di danneggiamento.
3.2 Il personal computer
dato in affidamento all’utente permette l’accesso alla rete di ………………(nome
azienda) solo attraverso specifiche credenziali di autenticazione come meglio
descritto al successivo punto 4 del presente Regolamento.
3.3 ……………………. (nome
azienda) rende noto che il personale incaricato che opera presso il servizio
Information and Communication Tecnology
(nel seguito per brevità “Servizio ICT”) della stessa ………………… (nome azienda) (o
altra figura aziendale preposta alla gestione del sistema informatico
aziendale, indipendentemente da una sua nomina a Responsabile della privacy ai
sensi dell’axt. 29 del D.lgs. 196/2003. Nel caso la
gestione del sistema ICT (o di alcune fasi di esso) siano affidate a terzi,
saranno adottate idonee clausole contrattuali volte a formalizzare l’attribuzione
delle relative responsabilità) è stato autorizzato a compiere interventi
nel sistema informatico aziendale diretti a garantire la sicurezza e la
salvaguardia del sistema stesso, nonché per ulteriori motivi tecnici e/o
manutentivi (ad es aggiornamento/sostituzione/implementazione di programmi,
manutenzione hardware etc.) Detti interventi, in considerazione dei divieti di
cui ai successivi punti nn. 8.2 e 9 1, potranno anche comportare l’accesso in
qualunque momento, ai dati trattati da ciascuno, ivi compresi gli archivi di
posta elettronica, nonché alla verifica sui siti internet acceduti dagli utenti
abilitati alla navigazione esterna. La stessa facoltà, sempre ai tini della
sicurezza del sistema e per garantire la normale operatività dell’Azienda, si applica
anche in caso di assenza prolungata od impedimento dell’utente.
3.4 Il personale incaricato
del servizio ICT ha la facoltà di collegarsi e visualizzare in remoto il
desktop delle singole postazioni PC al fine di garantire l’assistenza tecnica e
la normale attività operativa nonché la massima sicurezza conto virus, spyware, malware, etc.,
L’intervento viene effettuato esclusivamente su chiamata dell’utente o, in caso
di oggettiva necessità, a seguito della rilevazione tecnica di problemi nel
sistema informatico e telematico. In quest’ultimo caso, e sempre che non si
pregiudichi la necessaria tempestività ed efficacia dell’intervento, verrà data
comunicazione della necessità dell’intervento stesso.
3.5 Non è consentito l’uso
di programmi diversi da quelli ufficialmente installati dal personale del
Servizio ICT per conto della …………… (nome azienda) né viene consentito agli
utenti di installare autonomamente programmi provenienti dall’esterno,
sussistendo infatti il grave pericolo di introdurre Virus informatici e/o di
alterare la funzionalità delle applicazioni software esistenti. L’inosservanza
della presente disposizione espone la stessa …………………. (nome azienda) a gravi
responsabilità civili; si evidenzia inoltre che le violazioni della normativa a
tutela dei diritti d’autore sul software che impone la presenza nel sistema di
software regolarmente licenziato, o comunque libero e quindi non protetto dal
diritto d’autore, vengono sanzionate anche penalmente.
3.6 Salvo preventiva
espressa autorizzazione del personale del Servizio ICT, non è consentito
all’utente modificare le caratteristiche impostate sul proprio PC né procedere
ad installare dispositivi di memorizzazione, comunicazione o altro (come ad
esempio masterizzatori, modem.
3.7 Ogni utente deve prestare
la massima attenzione ai supporti di origine esterna, avvertendo immediatamente
il personale del Servizio ICT nel caso in cui siano rilevati virus ed adottando
quanto previsto dal successivo punto 10 del presente Regolamento relativo alle
procedure di protezione antivirus.
3.8 Il Personal Computer
deve essere spento ogni sera prima di lasciare gli uffici o in caso di assenze
prolungate dall’ufficio o in caso di suo inutilizzo. In ogni caso, lasciare un
elaboratore incustodito connesso alla rete può essere causa di utilizzo da
parte di terzi senza che vi sia la possibilità di provarne in seguito
l’indebito uso (una modalità automatica che evita di lasciare incustodito il
pc, anche in caso di mancato spegnimento da parte
dell’utente è quello di adottare il savescreen a
tempo con obbligo di reintrodurre la password per l’accesso).
4. Gestione ed
assegnazione delle credenziali di autenticazione
4.1 Le credenziali di
autenticazione per l’accesso alla rete vengono assegnate dal personale dei
Servizio XCI, previa formale richiesta del Responsabile dell’ufficio/area
nell’ambito del quale verrà inserito ed andrà ad operare il nuovo utente. Nel
caso di collaboratori a progetto e coordinati e continuativi la preventiva
richiesta, se necessaria, verrà inoltrata direttamente dalla Direzione
aziendale (ovvero . dal Responsabile dell’ufficio/area con il quale il
collaboratore si coordina nell’espletamento del proprio incarico).
4.2 Le credenziali di
autenticazione consistono in un codice per l’identificazione dell’utente (user id), assegnato dal Servizio
ICT, associato ad una parola chiave (password) riservata che dovrà venir
custodita dall’incaricato con la massima diligenza e non divulgata. Non è
consentita l’attivazione della password di accensione (bios), senza preventiva
autorizzazione da parte del Servizio ICT.
4.3 La parola chiave,
formata da lettere (maiuscole o minuscole) e/o numeri, anche in combinazione
fra loro, deve essere composta da almeno otto caratteri e non deve contenere
riferimenti agevolmente riconducibili all’incaricato.
4.4 È necessario procedere
alla modifica della parola chiave a cura dell’utente, incaricato del
trattamento, al primo utilizzo e, successivamente, almeno ogni sei mesi (Ogni
tre mesi nel caso invece di trattamento di dati sensibili attraverso l’ausilio
di strumenti elettronici). (In molti sistemi la comunicazione di variazione
può essere “generata” dallo stesso sistema informatico all’ano della modifica,
con invio di e-mail automatica al custode; molti sistemi permettono di
“temporizzare” la validità delle password e, quindi, di bloccare l’accesso al
personale computer e/o al sistema, qualora non venga autonomamente variata
dall’incaricato entro i termini massimi: in questi casi, vanno adattate le
istruzioni contenute nel presente regolamento, eliminando, tra l’albo l’onere
di comunicazione della variazione al custode delle credenziali).
4.5 Qualora la parola
chiave dovesse venir sostituita, per decorso del termine sopra previsto e/o in
quanto abbia perduto la propria riservatezza, si procederà in tal senso
d’intesa con il personale del Servizio ICT.
4.6 Soggetto preposto alla
custodia delle credenziali di autenticazione è il personale incaricato del
Servizio ICT di …………………….(nome azienda).
5. Utilizzo della rete
di ………………. (nome azienda)
5.1 Per l’accesso alla rete
di ………………. (nome azienda) ciascun utente deve essere in possesso della
specifica credenziale di autenticazione.
5.2 È assolutamente
proibito entrare nella rete e nei programmi con un codice d’identificazione
utente diverso da quello assegnato. Le parola chiave d’ingresso alla rete ed ai
programmi sono segrete e vanno comunicate e gestite secondo le procedure
impartite.
5.3 Le cartelle utenti
presenti nei server di …………………. (nome azienda) sono aree di condivisione di
informazioni strettamente professionali e non possono in alcun modo essere
utilizzate per scopi diversi. Pertanto qualunque file che non sia legato
all’attività lavorativa non può essere dislocato, nemmeno per brevi periodi, in
queste unità. Su queste unità vengono svolte regolari attività di controllo,
amministrazione e back up da parte del personale del Servizio ICT. (Eventuale:
Si ricorda che tutti i dischi o altre unità di memorizzazione locali (es. disco
C interno PC) non sono soggette a salvataggio da parte del personale incaricato
del Servizio ICT. La responsabilità del salvataggio dei dati ivi contenuti è
pertanto a carico del singolo utente).
5.4 Il personale del
Servizio ICT può in qualunque momento procedere alla
rimozione di ogni file o applicazione che riterrà essere pericolosi per la
Sicurezza sia sui PC degli incaricati sia sulle unità di rete.
5.5
Risulta opportuno che, con regolare periodicità (almeno ogni tre mesi), ciascun
utente provveda alla pulizia degli archivi, con cancellazione dei file obsoleti
o inutili. Particolare attenzione deve essere prestata alla duplicazione dei
dati, essendo infatti necessario evitate un’archiviazione ridondante.
6. Utilizzo e
conservazione dei supporti rimovibili
6.1 Tutti i supporti
magnetici rimovibili (dischetti, CD e DVD
riscrivibili, supporti USB, ecc), contenenti dati sensibili nonché informazioni
costituenti know-how aziendale, devono essere trattati con particolare cautela
onde evitare che il loro contenuto possa essere trafugato o alterato e/o
distrutto o, successivamente alla cancellazione, recuperato.
6.2 Al fine di assicurare
la distruzione e/o inutilizzabilità di supporti magnetici rimovibili contenenti
dati sensibili, ciascun utente dovrà contattare il personale del Servizio ICT e
seguire le istruzioni da questo impartite.
6.3 In ogni caso, i
supporti magnetici contenenti dati sensibili devono essere dagli utenti
adeguatamente custoditi in armadi chiusi.
6.4 E’ vietato l’utilizzo
di supporti rimovibili personali.
6.5 L’utente è responsabile
della custodia dei supporti e dei dati aziendali in essi contenuti.
7. Utilizzo di PC
portatili
7.1 L’utente è responsabile
del PC portatile assegnatogli dal Servizio ICT e deve custodirlo con diligenza
sia durante gli spostamenti sia durante l’utilizzo nel luogo di lavoro.
7.2 Ai PC portatili si
applicano le regole di utilizzo previste dal presente regolamento, con
particolare attenzione alla rimozione di eventuali file elaborati prima della
riconsegna.
7.3 I PC portatili
utilizzati all’esterno, in caso di allontanamento, devono essere custoditi con
diligenza, adottando tutti i provvedimenti che le circostanze rendono necessari
per evitare danni o sottrazioni.
7.4 Tali disposizioni si
applicano anche nei confronti di incaricati esterni quali agenti, forza
vendita, ecc..
8. Uso della posta
elettronica
8.1 La casella di posta
elettronica assegnata all’utente è uno strumento di lavoro. Le persone
assegnatarie delle caselle di posta elettronica sono responsabili del corretto
utilizzo delle stesse.
8.2 È fatto divieto di
utilizzare le caselle di posta elettronica nomecognome@nomeazienda.it (ovvero
potrà essere realizzato un sistema di indirizzi di posta elettronica condivisi
tra più utenti (esempio: ufficiovendite@nomeazienda.it,
ufficiotecnico@nomeazienda.it al posto di un sistema basato sull’identità
personale) per motivi diversi da quelli strettamente legati all’attività
lavorativa. In questo senso, a titolo puramente esemplificativo, l’utente non
potrà utilizzare la posta elettronica per:
- l’invio e/o il
ricevimento di allegati contenenti filmati o brani musicali (es.mp3) non legati
all’attività lavorativa;
- l’invio e/o il
ricevimento di messaggi personali o per la partecipazione a dibattiti, aste on
line, concorsi, forum o mailing-list;
- la partecipazione a
catene telematiche (o di Sant’Antonio). Se si dovessero peraltro ricevere
messaggi di tale tipo, si deve comunicai lo immediatamente al personale del
Servizio ICT. Non si dovrà in alcun caso procedere all’apertura degli allegati
a tali messaggi.
8.3 La casella di posta deve
essere mantenuta in ordine, cancellando documenti inutili e soprattutto
allegati ingombranti (sarebbe opportuno introdurre un limite massimo della
dimensione del database di posta: ad es 200 MB).
8.4 Ogni comunicazione
inviata o ricevuta che abbia contenuti rilevanti o contenga impegni
contrattuali o precontrattuali per ………… (nome azienda) ovvero contenga
documenti da considerarsi riservati in quanto contraddistinti dalla dicitura
“strettamente riservati” o da analoga dicitura, deve essere visionata od autorizzata
dal Responsabile d’ufficio.
8.5 È possibile utilizzare
la ricevuta di ritorno per avere la conferma dell’avvenuta lettura del
messaggio da parte del destinatario, Si evidenzia però che le comunicazioni
ufficiali, da inviarsi mediante gli strumenti tradizionali (fax, posta ….),
devono essere autorizzate e firmate dalla Direzione Generale e/o dai
Responsabili di ufficio, a seconda del loro contenuto e dei destinatari delle
stesse.
8.6 È obbligatorio porre la
massima attenzione nell’aprire i file attachements di
posta elettronica prima del loro utilizzo (non eseguire download di file
eseguibili o documenti da siti Web o Ftp non conosciuti).
8.7 Al fine di garantire la
funzionalità del servizio di posta elettronica aziendale e di ridurre al minimo
l’accesso ai dati, nel rispetto del principio di necessità e di
proporzionalità, il sistema, in caso di assenze programmate (ad es. per ferie o
attività di lavoro fuori sede dell’assegnatario della casella) invierà
automaticamente messaggi di risposta contenenti le “coordinate” di posta
elettronica di un altro soggetto o altre utili modalità di contatto della
struttura. In tal caso, la funzionalità deve essere attivata dall’utente.
8.8 In caso di assenza non
programmata (ad es. per malattia) la procedura - qualora non possa essere
attivata dal lavoratore avvalendosi del servizio webmail entro due giorni -
verrà attivata a cura dell’azienda.
8.9 Sarà comunque
consentito al superiore gerarchico dell’utente o, comunque, sentito l’utente, a
persona individuata dall’azienda, accedere alla casella di posta elettronica
dell’utente per’ ogni ipotesi in cui si renda necessario (ad es.: mancata
attivazione della funzionalità di cui al punto 8.7; assenza non programmata ed
impossibilità di attendere i due giorni di cui al punto 8.8).
8.10 Il personale del
servizio ICT, nell’impossibilità di procedere come sopra indicato e nella
necessità di non pregiudicare la necessaria tempestività ed efficacia
dell’intervento, potrà accedere alla casella di posta elettronica per le sole
finalità indicate al punto 3.3 (l’accesso ai contenuti della corrispondenza
nella casella di posta elettronica avviene esclusivamente in caso di assenza
prolungata od impedimento dell’utente secondo quanto prescritto dal punto 10
del disciplinare tecnico legato al codice).
8.11 Il Al fine di ribadire
agli interlocutori la natura esclusivamente aziendale della casella di posta
elettronica, i messaggi devono contenere un avvertimento standardizzato nel
quale sia dichiarata la natura non personale dei messaggi stessi precisando
che, pertanto, il personale debitamente incaricato della ……………… potrà accedere
al contenuto del messaggio inviato alla stessa casella secondo le regole
fissate nella propria policy aziendale.
9. Navigazione in
Internet
9.1. Il PC assegnato al
singolo utente ed abilitato alla navigazione in Internet costituisce uno
strumento aziendale utilizzabile esclusivamente per lo svolgimento della
propria attività lavorativa. E’ quindi assolutamente proibita la navigazione in
Internet per motivi diversi da quelli strettamente legati all’attività
lavorativa.
9.2 In questo senso, a
titolo puramente esemplificativo, l’utente non potrà utilizzare internet per:
- l’upload o il download di
software gratuiti (freeware) e shareware, nonché l’utilizzo di documenti
provenienti da siti web o http, se non strettamente attinenti all’attività
lavorativa (fumati e musica) e previa verifica dell’attendibilità dei siti in
questione (nel caso di dubbio, dovrà venir a tal fine contattato il personale
del Servizio ICT);
- l’effettuazione di ogni
genere di transazione finanziaria ivi comprese le operazioni di remote banking,
acquisti on-line e simili, fatti salvi i casi direttamente autorizzati dalla
Direzione Generale (o eventualmente dal Responsabile d’ufficio e/o del Servizio
ICT) e comunque nel rispetto delle normali procedure di acquisto;
- ogni forma di
registrazione a siti i cui contenuti non siano strettamente legati all’attività
lavorativa;
- la partecipazione a Forum
non professionali, l’utilizzo di chat line (esclusi gli strumenti autorizzati),
di bacheche elettroniche e le registrazioni in guest books anche utilizzando pseudonimi (o nicknames)
se non espressamente autorizzati dal Responsabile d’ufficio;
- l’accesso, tramite
internet, a caselle webmail di posta elettronica personale (ovvero, in
alternativa, se viene prevista dall’azienda la possibilità di accedere a
caselle webmail di posta elettronica personale al di fuori dell’orario di
lavoro si potrà dire. - accesso, tramite internet, a caselle webmail di posta
elettronica personale durante l’orario di lavoro, venendo pertanto consentito
all’utente di accedervi nelle ore extralavorative. Nel qual caso, l’utente
dovrà comunque porre la massima attenzione nell’aprire i file attachements di posta elettronica prima del loro utilizzo).
9.3 Al fine di evitare la
navigazione in siti non pertinenti all’attività lavorativa ……………(nome azienda)
rende peraltro nota l’adozione di uno specifico sistema di blocco o filtro
automatico che prevengano determinate operazioni quali l’upload o l’accesso a
determinati siti inseriti in una black list (indicare eventualmente in modo più
dettagliato il sistema a tal fine utilizzato. Si evidenzia, comunque, che
l’utilizzo di sistemi automatizzati preventivi diretti a filtrare l’accesso
bloccando determinate categorie di siti potrebbe a volte non rivelarsi del
tutto idoneo alla piena ed efficace fruizione del sistema informatico e delle
modalità di navigazione, rallentandone in modo rilevante la funzionalità: in
questa ipotesi pertanto, si renderebbero necessari controlli successìyi all’attività di navigazione diretti a tutelare
l’azienda ed i suoi responsabili da responsabilità anche penali connesse a
reati commessi con modalità informatiche e telematiche).
9.4 Gli eventuali
controlli, compiuti dal personale incaricato del Servizio ICT ai sensi del
precedente punto 3 3, potranno avvenire mediante un
sistema di controllo dei contenuti (Proxy server) o mediante “file di log”
della navigazione svolta. Il controllo sui file di log non è continuativo ed i
file stessi vengono conservati non oltre ………. (deve
essere definita una durata massima di conservazione che, in base al principio
di pertinenza temporale del trattamento (art. 11 del Codice) sia effettivamente
congrua e giustificabile alla luce delle esigenze tecniche di gestione del
sistema informatico) ossia il tempo indispensabile per il corretto
perseguimento delle finalità organizzative e di sicurezza dell’azienda.
10. Protezione antivirus
10.1 Il sistema informatico
di ………………. (nome azienda) è protetto da software antivirus aggiornato
quotidianamente. Ogni utente deve comunque tenere comportamenti tali da ridurre
il rischio di attacco al sistema informatico aziendale mediante virus o
mediante ogni altro software aggressivo.
10.2 Nel caso il software
antivirus rilevi la presenza di un virus, l’utente dovrà immediatamente
sospendere ogni elaborazione in corso senza spegnere il computer nonché
segnalare prontamente l’accaduto al personale del Servizio ICT.
10.3 Ogni dispositivo
magnetico di provenienza esterna all’Azienda dovrà essere verificato mediante
il programma antivirus prima de! suo utilizzo e, nel caso venga rilevato un
virus, dovrà essere prontamente consegnato al personale del Servizio ICT.
11. Utilizzo dei
telefoni, fax e fotocopiatrici aziendali
11.1 Il telefono aziendale
affidato all’utente è uno strumento di lavoro. Ne viene concesso l’uso
esclusivamente per lo svolgimento dell’attività lavorativa, non essendo quindi
consentite comunicazioni a carattere personale o comunque non strettamente
inerenti l’attività lavorativa stessa. La ricezione o l’effettuazione di
telefonate personali è consentito solo nel caso di comprovata necessità ed
urgenza, mediante il telefono fisso aziendale a disposizione (indicare
l’ufficio, il reparto in cui è collocato il telefono).
11 2 Qualora venisse
assegnato un cellulare aziendale all’utente, quest’ultimo sarà responsabile del
suo utilizzo e della sua custodia Al cellulare aziendale si applicano le
medesime regole sopra previste per l’utilizzo del telefono aziendale: in
particolare è vietato l’utilizzo dei telefono cellulare messo a disposizione
per inviare o ricevere SMS o MMS di natura personale o comunque non pertinenti
rispetto allo svolgimento dell’attività lavorativa. L’eventuale uso promiscuo
(anche per fini personali) del telefono cellulare aziendale è possibile
soltanto in presenza di preventiva autorizzazione scritta e in conformità delle
istruzioni al riguardo impartite dal personale del Servizio ICT.
11.3 È vietato l’utilizzo
dei fax aziendali per fini personali, tanto per spedire quanto per ricevere
documentazione, salva diversa esplicita autorizzazione da parte del
Responsabile di ufficio.
11.4 È vietato l’utilizzo
delle fotocopiatrici aziendali per tini personali, salvo preventiva ed
esplicita autorizzazione da parte del Responsabile di ufficio.
12. Osservanza delle
disposizioni in materia di Privacy
12.1 È obbligatorio
attenersi alle disposizioni in materia di Privacy e di misure minime di
sicurezza, come indicato nella lettera di designazione ad incaricato del
trattamento dei dati ai sensi del Disciplinare tecnico allegato al D.Lgs. n.
196/2003.
13. Accesso ai dati
trattati dall’utente
13.1 Oltre che per motivi
di sicurezza del sistema informatico, anche per motivi tecnici e/o manutentivi
(ad esempio, aggiornamento/sostituzione/implementazione di programmi,
manutenzione hardware, etc….) o per finalità di controllo e programmazione dei
costi aziendali (ad esempio, verifica costi di connessione ad internet,
traffico telefonico, etc), comunque estranei a
qualsiasi finalità di controllo dell’attività lavorativa, è facoltà della
Direzione Aziendale, tramite il personale del Servizio ICT o addetti alla
manutenzione, accedere direttamente, nel rispetto della normativa sulla
privacy, a tutti gli strumenti informatici aziendali e ai documenti ivi
contenuti, nonché ai tabulati del traffico telefonico.
14. Sistemi di controlli
graduali
14.1 In caso di anomalie,
il personale incaricato del servizio ICT effettuerà controlli anonimi che si
concluderanno con un avvisi generalizzati diretti ai dipendenti dell’area o del
settore in cui è stata rilevata l’anomalia, nei quali si evidenzierà l’utilizzo
irregolare degli strumenti aziendali e si inviteranno gli interessati ad
attenersi scrupolosamente ai compiti assegnati e alle istruzioni impartite.
Controlli su base individuale potranno essere computi solo in caso di successive
ulteriori anomalie.
14.2 In alcun caso verranno
compiuti controlli prolungati, costanti o indiscriminati.
15. Sanzioni
15.1 È fatto obbligo a
tutti gli utenti di osservare le disposizioni portate a conoscenza con il
presente rego1amento Il mancato rispetto o la violazione delle regole sopra
ricordate è perseguibile nei confronti del personale dipendente con
provvedimenti disciplinari e risarcitori previsti dal vigente CCNL ………. (indicare il contratto collettivo applicato), nonché
con tutte le azioni civili e penali consentite. (Si rammenta che il potere
disciplinare non può comunque essere esercitato nei confronti dei collaboratori
coordinati e continuativi, dei collaboratori a progetto e dei tirocinanti,
mentre nei confronti dei lavoratori somministrati (ex interinali) va esercitato
per il tramite dell’agenzia di somministrazione. Con riferimento ai
collaboratori, qualora questi per l’espletamento del loro incarico si
servissero degli strumenti aziendali considerati dal Regolamento, si propone di
prevedere nell’ambito del contratto a progetto l’obbligo per il collaboratore
di rispettare il Regolamento in questione, con diritto della Committente, nei
casi di violazione di particolare gravità, di risolvere il contratto stesso).
16. Aggiornamento e
revisione
16.1 Tutti gli utenti
possono propone, quando ritenuto necessario, integrazioni motivate al presente
Regolamento Le proposte verranno esaminate dalla Direzione Generale.
16.2 Il presente
Regolamento è soggetto a revisione con frequenza annuale.
data …………….
La Direzione.