(+39) 06.86.95.6900 info@microcredito.gov.it

Informativa al personale dipendente ed ai collaboratori esterni redatta sulla base delle linee guida del Garante della Privacy emanate con delibera n. 13 del 1° marzo 2007

INFORMATIVA PRIVACY
(D.Lgs. n. 196/2003 e successive modifiche ed integrazioni)

Informativa al personale dipendente ed ai collaboratori esterni redatta sulla base
delle linee guida del Garante della Privacy emanate con delibera n. 13 del 1° marzo

2007

Indice

  1. Premessa

  2. Definizioni

  3. Utilizzo del Personal Computer

  4. Gestione ed assegnazione delle credenziali di autenticazione

  5. Utilizzo della rete

  6. Utilizzo e conservazione dei supporti rimovibili

  7. Utilizzo di PC portatili

  8. Uso della posta elettronica

  9. Navigazione in Internet

  10. Protezione antivirus

  11. Utilizzo dei telefoni, fax e fotocopiatrici aziendali

  12. Osservanza delle disposizioni in materia di Privacy

  13. Accesso ai dati trattati dall’utente

  14. Sistema di controlli graduali

  15. Sanzioni

  16. Aggiornamento e revisione

Premessa

    1. L'utilizzo delle risorse informatiche e telematiche deve sempre ispirarsi al principio della diligenza e correttezza che normalmente si adottano nell’ambito dei rapporti di lavoro. La presente nota si propone di assicurare informazioni ed indicazioni utili ad evitare che comportamenti inconsapevoli possano innescare problemi o minacce alla Sicurezza nel trattamento dei dati.

    2. Le linee di comportamento di seguito previste si aggiungono ed integrano le specifiche istruzioni già fomite a tutti gli incaricati in attuazione del D.Lgs. 30 giugno 2003 n. 196 e del Disciplinare tecnico (Allegato B al citato decreto legislativo), contenente le misure minime di sicurezza; esse, inoltre, integrano le informazioni già fomite agli interessati in ordine alle ragioni e alle modalità dei possibili controlli o alle conseguenze di tipo disciplinare in caso di violazione delle stesse.

    3. Le norme di riferimento in materia di Privacy pongono in essere sistemi di controllo sull’utilizzo degli strumenti informati ci/telefoni ci da parte dei dipendenti/consulenti esterni e di sanzionare conseguentemente quegli usi scorretti che, oltre ad esporre l’Ente Nazionale per il Microcredito stesso a rischi tanto patrimoniali quanto penali, possono di per sé considerarsi contrari ai doveri di diligenza e fedeltà previsti dagli artt. 2104 e 2105 del Codice civile.

    4. I controlli sull’uso degli strumenti informatici/telefonici tuttavia, devono garantire tanto il diritto dell’Ente Nazionale per il Microcredito di proteggere il proprio patrimonio informativo, essendo i computer ed i telefoni strumenti di lavoro la cui utilizzazione personale è preclusa, quanto il diritto del dipendente/ e del collaboratore a non vedere invasa la propria sfera personale, e quindi il diritto alla riservatezza ed alla dignità come sanciti dallo Statuto dei lavoratori e dal Codice sulla Privacy.

    5. Alla luce delle considerazioni sopra espresse e tenuto opportunamente conto delle Linee guida recentemente emanate dall’Autorità Garante per la protezione dei dati personali, con propria deliberazione n. 13 del 1 marzo 2007, sulla disciplina della navigazione in internet e sulla gestione della posta elettronica nei luoghi di lavoro, di seguito si riportano alcune indicazioni applicative.

    6. Vengono inoltre considerati gli specifici obblighi previsti dal Codice della privacy (D.Lgs. n. 196/2003 e successive modifiche ed integrazioni) e dall’art. 29, l°comma del D.Lgs. n. 242/1996 (in tema di controlli operati mediante il sistema informatico), nonché gli obblighi previsti dal disciplinare tecnico sulle misure minime di sicurezza allegato allo stesso Codice.

    7. Con riferimento alle normative in tema di protezione dei dati personali, si ricorda come il Codice della privacy stabilisca che l’attività di controllo debba essere rispettosa dei principi fondamentali di “proporzionalità” (art. 3), debba avvenire nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato (art. 2) e soprattutto, che di tale attività, debba essere fornita adeguata e preventiva informativa (art. 13).

Definizioni

    1. La presente nota è rivolta a tutti i dipendenti, senza distinzione di ruolo e/o livello, nonché a tutti i collaboratori Ente Nazionale per il Microcredito.

    2. Ai fini delle disposizioni dettate per l’utilizzo delle risorse informatiche e telematiche, per “incaricato del trattamento dei dati” deve intendersi ogni dipendente o collaboratore (consulente, collaboratore a progetto, stagista, ecc.) in possesso di specifiche credenziali di autenticazione per l’accesso ai dati aziendali.

Utilizzo del Personal Computer

    1. Il Personal Computer affidato all’incaricato del trattamento dei dati (dipendenti, collaboratori, stagisti etc..), è uno strumento di lavoro. Ogni utilizzo non inerente all'attività lavorativa è vietato perché può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza. Il personal computer deve essere custodito con cura evitando ogni possibile forma di danneggiamento.

    2. Il personal computer dato in affidamento all’utente permette l’accesso alla rete Ente Nazionale per il Microcredito solo attraverso specifiche credenziali di autenticazione come meglio descritto al successivo punto 4.

    3. Ente Nazionale per il Microcredito rende noto che l’amministratore del sistema informativo è stato autorizzato a compiere interventi nel sistema informatico, diretti a garantire la sicurezza e la salvaguardia del sistema stesso, nonché per ulteriori motivi tecnici e/o manutentivi (ad es. aggiomamento/sostituzione/implementazione di programmi, manutenzione hardware etc.). Detti interventi, in considerazione dei divieti di cui ai successivi punti nn. 8.2 e 9.1, potranno anche comportare l’accesso, in qualunque momento, ai dati trattati da ciascuno, ivi compresi gli archivi di posta elettronica aziendale con suffisso ipres.it, nonché alla verifica sui siti internet acceduti dagli utenti abilitati alla navigazione esterna. La stessa facoltà, sempre ai fini della sicurezza del sistema e per garantire la normale operatività dell’Ente Nazionale per il Microcredito, si applica anche in caso di assenza prolungata od impedimento dell’ incaricato del trattamento dati.

    4. L’ Amministratore di sistema ha la facoltà di collegarsi e visualizzare in remoto il desktop delle singole postazioni PC al fine di garantire l’assistenza tecnica e la normale attività operativa nonché la massima sicurezza contro virus, Spyware, malware, etc. L’intervento viene effettuato esclusivamente su chiamata dell’utente o, in caso di oggettiva necessità, a seguito della rilevazione tecnica di problemi nel sistema informatico e telematico. In quest’ultimo caso, e sempre che non si pregiudichi la necessaria tempestività ed efficacia dell’intervento, verrà data comunicazione della necessità dell’intervento stesso.

    5. Non è consentito l'uso di programmi diversi da quelli ufficialmente installati per conto dell’Ente Nazionale per il Microcredito, né viene consentito agli utenti di installare autonomamente programmi provenienti dall'esterno, sussistendo infatti il grave pericolo di introdurre virus informatici e/o di alterare la funzionalità delle applicazioni software esistenti. L’inosservanza della presente disposizione espone a gravi responsabilità civili; si evidenzia inoltre che le violazioni della normativa a tutela dei diritti d’autore sul software che impone la presenza nel sistema di software regolarmente licenziato, o comunque libero e quindi non protetto dal diritto d’autore, vengono sanzionate anche penalmente.

    6. Salvo preventiva espressa autorizzazione del personale incaricato, non è consentito all'utente modificare le caratteristiche impostate sul proprio PC né procedere ad installare dispositivi di memorizzazione, comunicazione o altro (come ad esempio modem, schede audio, etc ... ).

    7. Ogni utente deve prestare la massima attenzione ai supporti di origine esterna, avvertendo immediatamente 1’Amministratore di sistema, nel caso in cui siano rilevati virus ed adottando quanto previsto dalla presente nota relativamente alle procedure di protezione antivirus.

    8. Il Personal Computer deve essere spento ogni sera prima di lasciare gli uffici o in caso di assenze prolungate dall'ufficio o in caso di suo inutilizzo. In ogni caso è necessario considerare che lasciare un elaboratore incustodito, connesso alla Rete, può essere causa di utilizzo da parte di terzi, senza che vi sia la possibilità di provarne in seguito l'indebito uso.

Gestione ed assegnazione delle credenziali di autenticazione

  1. Le credenziali di autenticazione per l’accesso alla Rete vengono inizialmente assegnate dall’Amministratore di sistema e successivamente resettate dall’ incaricato stesso secondo criteri prestabiliti.

  2. Le credenziali di autenticazione consistono in un codice per l’identificazione dell’utente (user id) associato ad una parola chiave (password) riservata e creata dall’incaricato che dovrà essere custodita con la massima diligenza e non divulgata. Non è consentita l'attivazione della password di accensione (bios) senza preventiva autorizzazione da parte dell’Amministratore di sistema.

  3. La parola chiave, formata da lettere (maiuscole o minuscole) e numeri, anche in combinazione fra loro, deve essere composta da almeno otto caratteri e non deve contenere riferimenti agevolmente riconducibili all’interessato.

  4. La password di accesso di ciascun incaricato sarà automaticamente resettata ogni sei mesi. In base a tale procedura automatica, l’incaricato, mediante avviso a video, dovrà inserire ogni sei mesi una password nuova, diversa dalla precedente, in ottemperanza alla Legge Privacy.

  5. Qualora la parola chiave dovesse venir sostituita, per decorso del termine sopra previsto e/o in quanto abbia perduto la propria riservatezza, si procederà in tal senso d’intesa con l’Amministratore di sistema.

Utilizzo della Rete

  1. Per l’accesso alla rete Ente Nazionale per il Microcredito ciascun utente deve essere in possesso della specifica credenziale di autenticazione.

  2. È assolutamente proibito entrare nella rete e nei programmi con un codice d’identificazione utente di un altro operatore. Le parola chiave d'ingresso alla rete ed ai programmi sono segrete e vanno comunicate e gestite secondo le procedure impartite.

  3. I documenti di lavoro di ciascun incaricato del trattamento dati, dovranno essere tutti memorizzati nella cartella “Nome e Cognome” presente sul desktop del proprio Pc (come icona di collegamento). Tutti i files relativi a tali documenti sono sottoposti alle necessarie attività di controllo, amministrazione e back up da parte dell’Amministratore del sistema informativo e ne restano esclusi tutti quelli depositati su altri dischi o altre unità di memorizzazione locali (cdrom, chiavi usb etc..). La responsabilità del salvataggio dei dati eventualmente contenutisi questi ultimi (altri dischi ed altre unità locali) rimane a carico del singolo utente-incaricato.

  4. L’Amministratore di sistema può in qualunque momento procedere alla rimozione di ogni file o applicazione che riterrà essere pericolosi per la Sicurezza sia sui PC degli incaricati, sia sulle unità di rete, dandone avviso agli interessati.

  5. Risulta opportuno che, con regolare periodicità (almeno ogni 3 mesi), ciascun utente provveda alla pulizia degli archivi, con cancellazione dei file obsoleti o inutili. Particolare attenzione deve essere prestata alla duplicazione dei dati, essendo necessario evitare un'archiviazione ridondante. È fatto divieto salvare files musicali, video e similari sul Pc in dotazione.

Utilizzo e conservazione dei supporti rimovibili

  1. Tutti i supporti magnetici rimovibili (dischetti, CD e DVD riscrivibili, supporti USB, ecc.), contenenti dati costituenti know-how aziendale, devono essere trattati con particolare cautela onde evitare che il loro contenuto possa essere trafugato o alterato e/o distrutto o, successivamente alla cancellazione, recuperato.

  2. Al fine di assicurare la distruzione e/o inutilizzabilità di supporti magnetici rimovibili contenenti dati sensibili, ciascun utente dovrà contattare l’Amministratore del sistema informativo e seguire le istruzioni da questo impartite.

  3. In ogni caso, i supporti magnetici contenenti dati sensibili devono essere dagli incaricati adeguatamente custoditi in armadi chiusi.

Utilizzo di PC portatili

  1. L’ incaricato è responsabile del PC portatile assegnatogli e deve custodirlo con diligenza sia durante gli spostamenti sia durante l'utilizzo nei luoghi di lavoro.

  2. Agli eventuali PC portatili si applicano le regole di utilizzo previste dalla presente informativa, con particolare attenzione alla rimozione di eventuali file elaborati prima della riconsegna.

  3. I PC portatili utilizzati all'esterno, in caso di allontanamento, devono essere custoditi con diligenza, adottando tutti i provvedimenti che le circostanze rendono necessari per evitare danni o sottrazioni.

  4. Tali norme di comportamento si applicano anche nei confronti di incaricati esterni.

Uso della posta elettronica

  1. La casella di posta elettronica assegnata all' incaricato è uno strumento di lavoro. Le persone assegnatane delle caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse.

  2. È fatto divieto di utilizzare le caselle di posta elettronica con la desinenza @microcredito.gov.it per motivi diversi da quelli strettamente legati all'attività lavorativa. In questo senso, a titolo puramente esemplificativo, l’incaricato non potrà utilizzare la posta elettronica per:

l’invio e/o il ricevimento di allegati contenenti filmati o brani musicali (es.mp3) non legati all’attività lavorativa;

l’invio e/o il ricevimento di messaggi personali o per la partecipazione a dibattiti, aste on line, concorsi, forum o mailing-list;

la partecipazione a catene telematiche (o di Sant'Antonio). Se si dovessero peraltro ricevere messaggi di tale tipo, si deve comunicarlo immediatamente al personale incaricato e non si dovrà in alcun caso procedere all’apertura degli allegati a tali messaggi.

  1. La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili e soprattutto allegati ingombranti.

  2. È obbligatorio porre la massima attenzione nell’aprire i file allegati alle email (attachements) prima del loro utilizzo (non eseguire download di file eseguibili o documenti da siti Web o Ftp non conosciuti).

  3. È comunque consentito al Responsabile del Trattamento Dati, sentito l’utente, di accedere alle caselle di posta elettronica per ogni ipotesi in cui si renda necessario (ad es.: mancata attivazione della funzionalità di cui al punto 8.6).

  4. II personale incaricato nell’impossibilità di procedere come sopra indicato e nella necessità di non pregiudicare la necessaria tempestività ed efficacia dell’intervento, potrà accedere alla casella di posta elettronica per le sole finalità indicate al punto 3.3.

Navigazione in Internet

9.1. Il PC assegnato al dipendente/collaboratore ed abilitato alla navigazione in Internet costituisce uno strumento utilizzabile esclusivamente per lo svolgimento della propria attività lavorativa. È quindi assolutamente proibita la navigazione in Internet per motivi diversi da quelli strettamente legati all'attività lavorativa.

9.2 In questo senso, a titolo puramente esemplificativo, l’utente non potrà utilizzare internet per:

l’upload o il download di software gratuiti (freeware) e shareware, nonché l’utilizzo di documenti provenienti da siti web o http, se non strettamente attinenti all’attività lavorativa (filmati e musica) e previa verifica dell’attendibilità dei siti in questione;

l'effettuazione di ogni genere di transazione finanziaria ivi comprese le operazioni di remote banking, acquisti on-line e simili, fatti salvi i casi direttamente autorizzati dal Responsabile del Trattamento Dati e comunque nel rispetto delle normali procedure di acquisto;

ogni forma di registrazione a siti i cui contenuti non siano strettamente legati all'attività lavorativa;

la partecipazione a Forum non professionali, l'utilizzo di chat line (esclusi gli strumenti autorizzati), di bacheche elettroniche e le registrazioni in guest books anche utilizzando pseudonimi (o nicknames) se non espressamente autorizzati.

  1. Gli eventuali controlli, compiuti dall’ Amministratore di sistema, ai sensi del precedente punto 3.3, potranno avvenire mediante un sistema di controllo dei contenuti (Proxy server) o mediante “file di log” della navigazione svolta. Il controllo sui file di log non è continuativo ed i file stessi vengono conservati non oltre 1 mese, ossia il tempo indispensabile per il corretto perseguimento delle finalità organizzative e di sicurezza Ente Nazionale per il Microcredito.

Protezione antivirus

  1. II sistema informatico Ente Nazionale per il Microcredito è protetto da software antivirus aggiornato settimanalmente. Ogni utente deve comunque tenere comportamenti tali da ridurre il rischio di attacco al sistema informatico mediante virus o mediante ogni altro software aggressivo.

  2. Nel caso il software antivirus rilevi la presenza di un virus, l'utente dovrà immediatamente sospendere ogni elaborazione in corso senza spegnere il computer nonché segnalare prontamente l'accaduto al personale incaricato.

  3. Ogni dispositivo magnetico di provenienza esterna all'IPRES dovrà essere verificato mediante il programma antivirus prima del suo utilizzo e, nel caso venga rilevato un virus, dovrà essere prontamente consegnato al personale incaricato.

Utilizzo dei telefoni, fax e fotocopiatrici

  1. II telefono eventualmente affidato all’utente è uno strumento di lavoro. Ne viene concesso l’uso esclusivamente per lo svolgimento dell’attività lavorativa, non essendo quindi consentite comunicazioni a carattere personale o comunque non strettamente inerenti l’attività lavorativa stessa. La ricezione o l’effettuazione di telefonate personali è consentito solo nel caso di comprovata necessità ed urgenza.

  2. Qualora venisse assegnato un cellulare aziendale al dipendente/collaboratore, quest’ultimo sarà responsabile del suo utilizzo e della sua custodia. Al cellulare si applicano le medesime regole sopra previste per l’utilizzo del telefono aziendale; inoltre è vietato l’utilizzo del telefono cellulare messo a disposizione per inviare o ricevere SMS o MMS di natura personale o comunque non pertinenti rispetto allo svolgimento dell’attività lavorativa.

  3. È vietato l’utilizzo dei fax per fini personali, tanto per spedire quanto per ricevere documentazione.

  4. È vietato l’utilizzo delle fotocopiatrici per fini personali.

Osservanza delle disposizioni in materia di Privacy

  1. È obbligatorio attenersi alle disposizioni in materia di Privacy e di misure minime di sicurezza, come indicato nella lettera di designazione ad incaricato del trattamento dei dati ai sensi del Disciplinare tecnico allegato al D.Lgs. n. 196/2003.

Accesso ai dati trattati dall’utente

  1. Oltre che per motivi di sicurezza del sistema informatico, anche per motivi tecnici e/o manutentivi (ad esempio, aggiomamento/sostituzione/implementazione di programmi, manutenzione hardware, etc.) o per finalità di controllo e programmazione dei costi (ad esempio, verifica costi di connessione ad internet, traffico telefonico, etc.), comunque estranei a qualsiasi finalità di controllo dell’attività lavorativa, è facoltà della Direzione accedere, nel rispetto della normativa sulla privacy, a tutti gli strumenti informatici aziendali e ai documenti ivi contenuti, nonché ai tabulati del traffico telematico.

Sistemi di controlli graduali

  1. In caso di anomalie, sarà possibile effettuare controlli anonimi che si concluderanno con avvisi generalizzati diretti ai dipendenti, nei quali si evidenzierà l’utilizzo irregolare degli strumenti informatici e si inviteranno gli interessati ad attenersi scrupolosamente ai compiti assegnati e alle istruzioni impartite. Controlli su base individuale potranno essere compiuti solo in caso di successive ulteriori anomalie.

  2. In alcun caso verranno compiuti controlli prolungati, costanti o indiscriminati.

Sanzioni

  1. E fatto obbligo a tutti i dipendenti e collaboratori di osservare le norme comportamentali portate a conoscenza con la presente informativa. Nei casi di mancato rispetto o di violazione delle stesse si dovrà dare corso ai provvedimenti disciplinari e risarcitoli previsti dal vigente normativa, nonché a tutte le azioni civili e penali previste dall’ordinamento giuridico.