Allegato 3 - Linee guide per l`utilizzo degli apparati elettronici in CGIL

Linee guida per l’utilizzo di strumenti elettronici da parte dei dipendenti e collaboratori dei
titolari del trattamneto
SEZIONE I – UTILIZZO STRUMENTI DA PARTE DEL LAVORATORE
Art. 1
Condizioni d’uso (computer, posta elettronica e internet)
1. Il titolare del trattamento mette a disposizione dei dipendenti e collaboratori computer, servizi di
posta elettronica e internet, esclusivamente per lo svolgimento di compiti istituzionali. La scelta del
dipendente o del collaboratore al quale attribuire un indirizzo di posta elettronica compete
esclusivamente al titolare, non sussistendo un diritto degli stessi ad ottenere tale attribuzione.
2. Non è consentito ai dipendenti e collaboratori utilizzare per ragioni personali, estranee al
servizio, gli strumenti di cui sopra, salvo quanto previsto nelle norme che seguono
3. Il titolare della casella provvede affinché sia automaticamente inserita nei messaggi di posta
elettronica la seguente avvertenza, anche a tutela della riservatezza di terzi: “Si informa che la
presente casella di posta è destinata esclusivamente a comunicazioni interne o comunque di
natura sindacale e che eventuali messaggi di risposta potranno essere conosciuti nell’ambito del
sindacato. Le informazioni contenute in questa comunicazione sono riservate e destinate
esclusivamente alla/e persona/e o all'ente sopra indicati. E' vietato ai soggetti diversi dai
destinatari qualsiasi uso-copia-diffusione di quanto in esso contenuto sia ai sensi dell'art. 616 c.p.
sia ai sensi del DL n.196/03. Se questa comunicazione Vi è pervenuta per errore, Vi preghiamo di
rispondere a questa e-mail e successivamente cancellarla dal Vostro sistema”
5. I lavoratori che hanno in carico indirizzi di posta elettronica sono tenuti a mantenere negli stessi
l’avvertenza di che sopra e rispondono di eventuali contestazioni da parte di terzi derivanti dalla
mancata avvertenza.
Art. 2
Organizzazione del servizio di posta elettronica: indirizzi di singoli lavoratori.
La eventuale attribuzione di indirizzi di posta elettronica ai dipendenti/collaboratori deve essere
autorizzata dal Responsabile. E' fatto divieto, senza autorizzazioe preventiva da parte del
Responsabile, fornire l'indirizzario della CGIL a soggetti terzi a qualsiasi titolo.
Art. 3
Posta elettronica. Indirizzi di singoli lavoratori. Disciplina.
1. I dipendenti e collaboratori titolari di indirizzo di posta elettronica assicurano la presa in carico
delle comunicazioni elettroniche e la gestione delle stesse, garantendone la continuità, e sono
tenuti ad utilizzare l'indirizzo di posta elettronica esclusivamente per le attività di ufficio.
2. Il titolare mette a disposizione dei lavoratori titolari di indirizzo di posta elettronica apposita
funzionalità per l’invio automatico, in caso di assenza programmata, di messaggio di risposta
contenente le coordinate per contattare altro incaricato dal titolare.
3. I titolari di indirizzo di posta elettronica hanno l’obbligo di attivare tale funzionalità in occasione di
assenze programmate e rispondono di eventuali conseguenze pregiudizievoli – disfunzioni che
possano derivare dalla mancata attivazione.
4. Al fine di fare fronte a improrogabili esigenze di servizio, in caso di assenza non programmata,
superiore a 3 giorni, il Responsabile può disporre l’attivazione della suddetta funzionalità, tramite
personale appositamente incaricato, dandone immediata informazione al personale interessato,
anche a mezzo di posta elettronica.
5. L'amministratore di sistema può accedere al contenuto dei messaggi di posta elettronica al fine
di far fronte a esigenze di servizio che lo rendano necessario. Inoltre il dipendente titolare di
indirizzo di posta elettronica può delegare, ad altro dipendente/collaboratore della Struttura di
appartenenza, l'accesso alla casella di posta per la lettura dei messaggi.
6. Il dipendente/collaboratore delegato assume la gestione dei messaggi di posta elettronica
secondo le regole definite dal responsabile dell’Unità Operativa ed è tenuto a darne lui stesso
informazione al delegante.
7. Il dipendente/collaboratore ha a disposizione una casella di posta della dimensione di 2 GB , ed
è tenuto a cancellare periodicamente i messaggi di posta al fine di evitare il riempimento della
casella di posta, salvo diverse e specifiche disposizioni del dipartimento organizzazione della Cdl
di Reggio Emilia.
1
8. Le caselle di posta intestate a dipendenti/collaboratori saranno disattivate d’ufficio entro 30
giorni dalla data di interruzione del rapporto di lavoro/collaborazione, salvo diverse e specifiche
disposizioni del dipartimento organizzazione della Cdl di Reggio Emilia.
Art. 4
Internet. Abilitazioni e utilizzo.
1. L’abilitazione dei singoli dipendenti/collaboratori all’accesso ad Internet è autorizzata dal
Responsabile e può essere eventualmente limitata a uno o più siti specifici indicati dal
responsabile medesimo, il quale può anche disporre che venga impedito l’accesso ai siti
classificati, secondo criteri internazionali di catalogazione, nelle seguenti categorie: pornografia,
giochi on line, giochi d’azzardo, terrorismo, violenza, droghe e alcool, investimenti on line, spam.
2. Il Responsabile, a tale fine, valuta discrezionalmente l’utilità dello strumento rispetto alle
mansioni dei singoli lavoratori.
3. Il lavoratore è tenuto all'utilizzo della rete esclusivamente per i compiti di ufficio.
4. Il titolare utilizza sistemi che prevengono l’accesso a siti ritenuti non pertinenti (black list)
secondo i criteri di cui al comma 1.Tali sistemi sono gestiti dall’amministratore di sistema e
generano un messaggio automatico che avvisa il dipendente dell’avvenuta rilevazione di un uso
non autorizzato della rete.
5. Il dipendente/collaboratore può essere autorizzato/abilitato all’accesso da remoto al proprio
indirizzo di posta nei casi e nel rispetto delle modalità impartire dal Responsabile o, su delega di
quest’ultimo, dell’amministratore di sistema.; solo in caso di abilitazione alla suddetta funzione il
computer può rimanere acceso durante la notte o i giorni festivi
6. Il dipendente/collaboratore è autorizzato al download di file per uso esclusivo professionale, non
sono consentiti download di file musicali e video in assenza di adeguati filtri di protezione da virus
o di intrusione nel sistema interno. Non è consentito download software salvo approvazione
preventiva da parte del Responsabile o dell’amministratore di sistema. Non è altresì consentito
l’utilizzo di software di download peer to peer quali ad esempio e-mule, Shareaza, Grokster,
BitTorrent, MobileMule, Direct Connect in assenza di adeguati filtri di protezione da virus o di
intrusione nel sistema interno.
Art. 5
Computer
1. Relativamente al computer in dotazione di singoli dipendenti/collaboratori, si applicano i principi
di cui all’Art. 4 e precisamente il dipendente/collaboratore è tenuto a delegare all’amministratore di
rete l’accesso al proprio computer, il quale può delegare l’accesso ad altra persona solo se
autorizzato dal titolare dei dati
2. Quanto sopra per poter far fronte, in caso di assenza, ad improrogabili esigenze di servizio che
rendano necessario l’accesso al computer.
Art. 6
Apparecchi telefonici. Condizioni d’uso.
1. I telefoni di servizio, siano essi apparecchi fissi posti presso la sede del datore di lavoro o
comunque telefoni mobili consegnati al personale, sono messi a disposizione dei
dipendenti/collaboratori per lo svolgimento dei compiti istituzionali e di servizio, nei limiti e
modalita' definite dalla CDLT di Reggio Emilia anche per ragioni personali.
SEZIONE II – TRATTAMENTO DATI. DISCIPLINA INTERNA.
Art. 7
Trattamento dei dati. Scopo.
1. Il titolare tratta dati connessi all’utilizzo degli strumenti elettronici, anche riferibili ai
dipendenti/collaboratori, per lo svolgimento di proprie funzioni istituzionali e precisamente per
garantire la sicurezza e la funzionalità del sistema nonché la continuità dei servizi.
2. In questi casi, qualora i sistemi possano determinare in via incidentale ed indiretta un controllo a
distanza sull’uso degli strumenti elettronici da parte dei lavoratori, devono essere rispettate le
2
procedure e le garanzie di cui all’art. 4 L.300/70, il provvedimento del Garante per la protezione dei
dati personali del 1.3.2007, nonché le disposizioni di cui al D.Lgs.196/2003 ed il presente atto.
3. E’ comunque escluso il trattamento di dati personali mediante sistemi hardware e software
finalizzati al controllo a distanza dei lavoratori, svolti, in particolare, mediante:
•la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei dati esteriori,
al di là di quanto tecnicamente necessario per svolgere il servizio e-mail;
•la riproduzione e l’eventuale memorizzazione sistematica delle pagine web visualizzate dal
lavoratore;
•la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;
•l’analisi occulta di computer affidati in uso;
4. Può essere effettuato, da parte degli amministratori di sistema, l’accesso da remoto alle
postazioni PC in caso di malfunzione della postazione. Il lavoratore che utilizza la postazione è
avvertito dell’accesso remoto a cura dell’amministratore di sistema o del Responsabile.
5. Il titolare procede, tramite l'amministratore di sistema, alla tracciatura di tutte le connessioni
effettuate alla rete informatica interna e verso internet che comunque verranno conservate in forma
aggregata.
6. Il titolare si riserva pertanto il diritto di controllare i dati aggregati raccolti e conservati ai sensi del
comma precedente al fine di inserire i siti visitati e ai quali non è consentito l’accesso nella lista dei
siti inibiti previsti dall’art. 5.
7.Solo in caso di accesso a siti internet che costituisca reato, o di trattamento di dati che
costituisca reato, il titolare si riserva il diritto di proporre denuncia o querela e quindi di trasmettere
i dati aggregati, anche ai fini della ricerca del responsabile, all’autorità giudiziaria, ponendo altresì
in essere ogni attività opportuna per la ricerca dell’effettivo responsabile.
8.Nel caso in cui dal controllo eseguito ai sensi del comma 6 emergano condotte illegittime da
parte dei dipendenti e/o dei collaboratori il titolare provvederà a darne comunicazione a tutti gli
incaricati con avviso impersonale e generalizzato, rammentando gli obblighi connessi alla qualità
rivestita e ai divieti nascenti dal presente disciplinare e che laddove la condotta persista si
procederà ad una indagine diretta ad individuare il responsabile. Laddove, in seguito a successivi
controlli ai sensi del comma 8 persistano le condotte illegittime di cui al primo periodo, il titolare
procederà all'individuazione dell'incaricato responsabile al fine dell'esercizio del potere
disciplinare.
Art. 8
Trattamento dati. Soggetti preposti.
1. Il Responsabile del trattamento si attiene alle disposizioni di cui al presente atto, specie per ciò
che concerne il divieto di cui all’art. 7, la conservazione dei dati e le modalità dei controlli.
2. In analogia ad altri trattamenti sono incaricati del trattamento tutti gli operatori della categoria o
della singola articolazione. Sono predisposte dall’amministratore di sistema specifiche istruzioni
operative inerenti tali trattamenti, anche e soprattutto al fine di garantire quanto prescritto all’art. 8
ed ai successivi artt. 10 e 11.
3. L’accesso a tali dati è consentito all’amministratore di sistema al fine della verifica delle
anomalie tecniche e di traffico usando accortezze che consentano nella maggior parte dei casi
l’oscuramento dei dati identificativi individuali.
4. Nel caso in cui siano affidate a terzi prestazioni, quali interventi di manutenzione, gli atti
contrattuali devono prevedere la nomina dell’organismo terzo quale responsabile esterno del
trattamento ed il vincolo al rispetto delle istruzioni operative impartite dall’azienda.
5. Al Responsabile del trattamento sono applicate per analogia le disposizioni di cui ai commi
precedenti.
Art. 9
Controlli. Modalità
1. Fatto salvo quanto precisato all’art. 8, il controllo indiretto sull’uso degli strumenti elettronici da
parte dei lavoratori si attiene ai principi di pertinenza e non eccedenza; sono quindi escluse
interferenze ingiustificate e controlli costanti o indiscriminati.
2. Di norma i controlli si attivano a seguito di difetti di funzionamento, di eventi di danno o di
situazioni di pericolo, anche al fine di verificare eventuali comportamenti anomali.
3
3. Il controllo ha per oggetto dati generali e, qualora siano riscontrati utilizzi anomali degli strumenti
aziendali, il responsabile del trattamento avvisa il responsabile del settore competente che
provvederà a richiamare i lavoratori al rispetto delle istruzioni operative impartite.
4. A fronte del ripetersi di anomalie nel medesimo settore, il Responsabile del trattamento è
autorizzato ad effettuare controlli su base individuale, eventualmente anche tramite
l’amministratore di sistema.
5. In casi di particolare gravità (sotto il profilo del danno o del pericolo) il Responsabile del
trattamento, previa autorizzazione del legale rappresentante, può effettuare controlli individuali a
prescindere dalla suddetta recidiva.
6. Qualora comportamenti anomali (es. download di materiale non attinente l’utilizzo professionali)
determinino un inquinamento della postazione con conseguente malfunzione della stessa il
responsabile del trattamento e/o l’amministratore di sistema provvedono al ritiro della postazione e
alla rimessa in funzione della stessa dopo un periodo di quarantena non inferiore a 20 giorni. La
postazione può essere sostituita con un’altra solo ed esclusivamente se necessaria a garantire la
continuità operativa di servizi di emergenza o di sportello.
Art. 10
Conservazione dei dati.
1. Sono conservati i dati inerenti il traffico internet (log di navigazione) per un periodo non
superiore a 1 mese, tali dati non sono oggetto di archiviazione di backup.
2. Sono conservati i messaggi di posta elettronica ,fino al raggiungimento del riempimento degli
archivi del server; tali archivi sono oggetto di backup giornaliero ma non hanno archivio storico
collegato. Nei casi di cui al primo periodo del presente comma, laddove sia necessario provvedere
alla cancellazione dei messaggi di posta elettronica, il titolare è tenuto a darne preavviso
all’interessato con almeno 7 giorni di anticipo.
3. Il periodo di conservazione di cui ai commi precedenti può essere superato in caso di richiesta
dell’autorità giudiziaria o di polizia giudiziaria per indagini in corso, nonché, in via eccezionale, a
fronte di fatti illeciti già accaduti.
Art. 11
Comunicazione e diffusione
1. I dati inerenti il traffico Internet e la posta elettronica non sono in alcun modo oggetto di
diffusione. Sono eventualmente oggetto di comunicazione su richiesta dell’autorità giudiziaria e/o
qualora necessari a difesa dell’azienda in ambito giudiziale.
Art. 12
Informativa art.13 D.lgs. 196/2003
1. L’informativa fornita al dipendente ai sensi dell’art.13 D.lgs. 196/2003 in ordine al complesso dei
trattamenti dati collegati alla gestione del rapporto di lavoro contiene anche le opportune
informazioni inerenti il trattamento dei dati riguardanti la navigazione internet e la posta elettronica.
L’informativa è comunicata ai dipendenti/collaboratori periodicamente a mezzo posta elettronica e
consegnata al momento dell’assunzione o alla sottoscrizione del contratto di collaborazione
Art. 13
Accesso ai dati
1. L’accesso ,da remoto, ai dati analitici (contenenti riferimenti individuali) è consentito ai
dipendenti/collaboratori interessati su richiesta e con la mediazione tecnica di un operatore
autorizzato dell’amministratore di sistema. L’istanza di accesso è autorizzata dal Responsabile del
trattamento.
Art. 14
Utilizzo indebito degli strumenti elettronici. Responsabilità
I dipendenti/collaboratori della CGIL Reggio Emilia rispondono ai sensi di legge in sede civile,
penale e disciplinare per l’illecito utilizzo degli strumenti elettronici messi disposizione
dall’organizzazione.
Art. 15
Disposizioni finali
4
1. Prima dell’attivazione dell’indirizzo di posta elettronica il (lavoratore) dipendente/collaboratore
sottoscrive per ricevuta e presa visione il presente disciplinare.
5