istruzioni per gli incaricati del trattamento dei dati personali
Transcript
istruzioni per gli incaricati del trattamento dei dati personali
REGOLAMENTO PER L’UTILIZZO DEGLI STRUMENTI ELETTRONICI NELL’AMBITO DEL RAPPORTO DI LAVORO 1. Oggetto Con il presente disciplinare l’Azienda Ospedaliera “S. Croce e Carle” di Cuneo regolamenta le condizioni di accesso e di utilizzo delle risorse informatiche di comunicazione messe a disposizione degli operatori per l’esecuzione delle funzioni di competenza, nel rispetto della Legge 20.05.1970, n. 300 (Statuto dei lavoratori), del Decreto Legislativo 30.06.2003, n. 196 (Codice Privacy) e, in particolare, della deliberazione del Garante per la protezione dei dati personali n. 13 dell’01.03.2007 ad oggetto “Lavoro: le linee guida del Garante per posta elettronica e internet” e della direttiva del Dipartimento della Funzione Pubblica n. 02/09 del 26/5/2009. Sono altresì disciplinate le modalità con le quali l’Azienda Ospedaliera può accertare e inibire le condotte illecite degli utilizzatori di Internet e della posta elettronica. Per “condotte illecite” si intendono le violazioni della legge, dei regolamenti dell’Azienda ed in particolare: a) la messa in pericolo e la lesione delle banche dati dell’Azienda Ospedaliera; b) la messa in pericolo e la lesione del patrimonio aziendale; c) comportamenti illeciti; d) l’utilizzo improprio e non attinente al servizio; e) ogni condotta che comporti l’esposizione dell’Azienda Ospedaliera a responsabilità civile verso terzi (ad es.: responsabilità per violazione di disposizioni del Garante Privacy). 2. Campo di applicazione Sono tenuti all’osservanza delle presenti disposizioni i Direttori/Responsabili di Struttura, individuati come “Responsabili del trattamento”, i Dipendenti “Incaricati del trattamento” dei dati personali ai sensi del Decreto Legislativo 30.06.2003, n. 196, i Responsabili ed Incaricati del trattamento “esterni” all’Azienda Ospedaliera, tutte le persone fisiche o giuridiche che comunque a vario titolo, (convenzione, consulenza, studio, tirocinio, appalto, stage, ecc.), prestano servizio o attività in Azienda. 2. Condizioni d’uso L’Azienda mette a disposizione dei lavoratori computer, servizi di posta elettronica ed internet, esclusivamente per lo svolgimento di compiti istituzionali o comunque correlati alla prestazione lavorativa. 3. Individuazione degli utilizzatori dei sistemi informatici L’accesso alla rete aziendale ed a quella Internet avviene esclusivamente tramite username e password personale. La richiesta di attivazione o cessazione di un codice identificativo personale (Utente di dominio) viene effettuata dal Direttore/Responsabile della struttura interessata tramite la compilazione di apposito modulo, presente sul sito Intranet, da inoltrare alla competente Struttura Complessa Sistema Informativo Direzionale. Con il citato modulo il Responsabile della struttura esprime la volontà di autorizzare al trattamento di dati le persone indicate per un determinato ruolo e chiedendo eventualmente che le stesse siano abilitate a fruire dei servizi di posta elettronica e/o Internet. Per quanto riguarda il grado di certezza dell'identità di chi utilizza il computer in dotazione, si precisa che l'accesso all'elaboratore è possibile solo tramite username e password assegnati nominativamente. Pagina 1 di 6 I codici identificativi personali sono disattivati in caso di smarrimento o di mancato utilizzo per un periodo superiore a sei mesi. L’accesso con le credenziali del soggetto autorizzato si presume effettuato dallo stesso che risponde a titolo personale della custodia in sicurezza del proprio sistema di accesso. In assenza di prova che tali dati siano anche a conoscenza di terzi (o perché abusivamente conosciuti o perché esplicitamente comunicati dall’assegnatario) si presume che le attività associate alla username e password siano state poste in essere dall'assegnatario stesso: in caso di accertata necessità (ad esempio per prolungata assenza di un dipendente) è possibile la comunicazione della password di appartenenza ad altro dipendente in forma scritta e vistata dal Responsabile di Struttura di appartenenza. In tutte le applicazioni che operano nell’ambito del sistema informatico dell’Azienda Ospedaliera è stato predisposto un sistema di autorizzazione basato sul meccanismo dei ruoli. Quando un utente si è autenticato per l’uso di un’applicazione che prevede il trattamento di dati personali, l’applicazione stessa provvede ad inserire l’utente in un determinato gruppo di lavoro. Per ciascun gruppo è definita una “vista” della base di dati contenente dati personali e/o sensibili, cioè il più piccolo sottoinsieme di dati sufficienti all’utente per poter espletare la propria funzione nell’ambito aziendale. Ogni incaricato al trattamento dei dati è tenuto ad accedere ai soli dati di propria competenza. Il Responsabile del trattamento deve comunicare tempestivamente alla S. C. S.I.D. il cambio di mansioni o il trasferimento ad altra struttura dell’incaricato mediante la modulistica presente sul sito Intranet. 4. Gestione delle password e delle credenziali di autenticazione Tutto ciò che consente l’accesso a un elaboratore o ad un’applicazione va tenuto assolutamente riservato. E’ vietato comunicare a terzi il proprio codice utente e/o la propria password, che devono essere conservati nella massima segretezza, in modo da impedirne la cognizione, anche accidentale, da parte di terzi. La password ha una lunghezza minima di otto caratteri e non deve contenere riferimenti all’utente (ad esempio: data di nascita, parti di codice fiscale, nomi di parenti, ecc.); deve essere modificata al primo utilizzo e successivamente ogni tre mesi. Se l’incaricato sospetta che la propria password sia nota a terzi, deve immediatamente cambiarla e comunicarlo al S.I.D. 5. Lo strumento informatico ad uso del dipendente Il personal computer (PC) affidato al dipendente - sia esso un portatile, una postazione statica, un palmare o altro strumento di telecomunicazione - è un bene di proprietà aziendale nonché uno strumento di lavoro di cui egli è responsabile. L’installazione in rete aziendale dei computer è consentita solo per apparecchiature di proprietà dell’Azienda salvo autorizzazione anche temporanea da parte della S.C. S.I.D. I PC devono essere collegati in rete da operatori autorizzati dalla Struttura Complessa S.I.D., seguendo procedure standard di configurazione che garantiscono la sicurezza degli accessi e la protezione da virus. Non è consentito all’utente modificare le caratteristiche hardware e software impostate sul proprio PC, salvo autorizzazione da parte della S. C. S.I.D. Non è permessa l’installazione di programmi diversi da quelli autorizzati dal S.I.D., né é consentita la riproduzione o la duplicazione di programmi informatici ai sensi della Legge 21.05.2004, n. 128. Pagina 2 di 6 Non si possono installare in modo autonomo alcun tipo di software. Qualora se ne presenti la necessità, deve essere inviata una richiesta alla S. C. S.I.D. che ne valuterà la congruità. Non bisogna lasciare incustodita la propria postazione di lavoro, ma occorre bloccare l’accesso anche in caso di allontanamento temporaneo, Il riutilizzo di supporti riscrivibili è consentito solo previa verifica dell’avvenuta cancellazione di eventuali dati personali ivi contenuti. E’ vietato consegnare a terzi i supporti di memorizzazione contenenti dati personali non soggetti a regime di pubblicità. I supporti destinati a non essere più utilizzati devono essere distrutti. 6. Collegamento e servizi Internet L’uso di Internet per la navigazione è consentito esclusivamente per fini professionali in relazione alle specifiche mansioni attribuite all’interno dell’Azienda e le relative informazioni (log di firewall, proxy server) sono proprietà esclusiva dell’Azienda. Su queste informazioni l’Amministrazione può effettuare controlli difensivi nel rispetto dei diritti dei lavoratori e, in particolare, di quanto stabilito dagli artt. 4, 8 e 28 della Legge n. 300/70, dalla disciplina sul trattamento dei dati personali di cui al D. L.vo n. 196/03 e dagli articoli seguenti. L’Azienda Ospedaliera è dotata di strumenti di “filtro” che prevengono gli accessi a siti “impropri”, (black list, download di file musicali o multimediali, ecc.), che possono essere illegali e puniti dalla legge penale oltre ad essere in contrasto con i doveri del lavoratore. E’ comunque vietato e considerato violazione disciplinare, fatte salve le eventuali responsabilità civili e penali, accedere a contenuti illeciti o che ledano, in qualsiasi modo, l’immagine aziendale e causino un decadimento delle prestazioni dell'infrastruttura di rete o una saturazione anche non completa della banda. 7. Misure di sicurezza L’Azienda, in occasione dell’aggiornamento annuale del documento programmatico sulla sicurezza ex art. 34, comma 1, lett. g) del citato D. L.vo n. 196/03, definisce le misure di sicurezza informatiche previste dall’allegato B al Codice Privacy, al fine di tutelare i dati personali trattati, il patrimonio aziendale e la sicurezza dei lavoratori anche sotto il profilo delle responsabilità derivanti dal trattamento dei dati personali mediante l’uso della strumentazione elettronica. Il documento programmatico sulla sicurezza (DPS), aggiornato annualmente, secondo quanto previsto D. L.vo sopra citato, è presente sulla rete intranet aziendale. Conseguentemente, l’Azienda effettua controlli, per quanto possibile in modalità anonima alla fonte, per accertare l’integrità del sistema informatico e per la manutenzione dello stesso. In particolare, si verificano i livelli di prestazione dell’infrastruttura (carico di banda) e le condizioni di sicurezza dell’infrastruttura (firewall, antivirus, audit). In nessun modo tali verifiche hanno lo scopo di monitorare l’attività degli operatori, essendo esclusivamente dirette all’adempimento di obblighi di legge (adozione di misure di sicurezza), alla protezione dei beni aziendali (ivi compresi dati, informazioni e programmi), manutenzione e controllo del sistema informatico ed alla cooperazione con l’Autorità Giudiziaria. Oggetto di verifica sono: a) natura del traffico (posta, navigazione, chat, download, upload, streaming, ecc.), b) distribuzione temporale dell’uso delle risorse, c) distribuzione geografica dell’uso delle risorse, d) carico di banda generato, e) tipologia dei contenuti reperiti, Pagina 3 di 6 f) segnalazioni generate automaticamente dai sistemi di sicurezza, g) richiesta dell’Autorità Giudiziaria in forza di specifico provvedimento, h) situazione di danno o di pericolo che non sia stato impedito con preventivi accorgimenti tecnici. 8. Divieto di controllo a distanza dei lavoratori E’ vietato il trattamento di dati personali mediante sistemi hardware e software che mirano al controllo a distanza dei lavoratori, svolti in particolare mediante: a) la lettura e la registrazione sistematica dei messaggi di posta elettronica al di là di quanto tecnicamente necessario per svolgere il servizio e-mail; b) la riproduzione e la memorizzazione sistematica delle pagine web visualizzate dal lavoratore al di là di quanto tecnicamente necessario per svolgere il servizio; c) la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo; d) l’analisi occulta di computer affidati in uso. 9. Graduazione dei controlli sull’uso degli strumenti elettronici Qualora le misure tecniche preventive non fossero sufficienti ad evitare eventi dannosi o situazioni di pericolo, il Responsabile della Struttura chiede alla Direzione Generale che siano effettuate, nel rispetto dei principi di gradualità, pertinenza e non eccedenza, le verifiche di eventuali comportamenti anomali attraverso le seguenti fasi: a) analisi aggregata del traffico di rete riferito all’intera struttura lavorativa o a sue aree (reparto, servizio, ecc.) e rilevazione della tipologia di utilizzo (e-mail, file audio, accesso a risorse estranee alle mansioni); b) emanazione di un avviso generalizzato relativo ad un riscontrato utilizzo anomalo degli strumenti aziendali, con l’invito ad attenersi scrupolosamente ai compiti assegnati ed alle istruzioni impartite; il richiamo all’osservanza delle regole deve essere circoscritto agli operatori afferenti il settore in cui è stata rilevata l’anomalia; c) in caso di successivo permanere di una situazione non conforme, é possibile effettuare controlli individuali. 10. Abuso di utilizzo di Internet Qualora, ad esito di controllo, l’Azienda rilevi delle anomalie sull’utilizzo di Internet che possano essere configurate quali abusi, si provvederà ad informare il Responsabile della Struttura, il quale a sua volta ne informerà il dipendente interessato, affinchè si possa dare eventualmente l’avvio al procedimento disciplinare nei confronti dello stesso. Qualora l’utilizzatore sia un dirigente sindacale, dovrà essere inviata comunicazione in forma riservata al rispettivo Responsabile regionale dell’organizzazione sindacale di appartenenza il quale a sua volta ne informerà il dipendente interessato. A seguito dell’accertamento della condotta illecita e, quindi, dell’adozione del provvedimento disciplinare, l’Azienda procederà altresì a segnalare l’abuso all’Autorità competente. Costituiscono “abusi di utilizzo di Internet” e, come tali, attività non consentite: a) qualunque condotta avente rilevanza penale, anche se non contemplata fra i reati contro la Pubblica Amministrazione; b) azioni commesse con dolo o colpa grave che mettano a repentaglio la sicurezza e l’integrità del sistema informatico aziendale e dei dati personali trattati; c) visita di siti web non riconducibili al proprio servizio, attuata con modalità e tempi tali da incidere negativamente sull’attività di servizio; d) prelevare da Internet e/o archiviare sul proprio elaboratore ovvero sulle risorse di rete condivise, documenti informatici di natura oltraggiosa, discriminatoria per Pagina 4 di 6 origine etnica, religione, disabilità, orientamento sessuale, appartenenza sindacale o politica o che comunque possano risultare offensivi della dignità umana; e) diffondere materiale commerciale o pubblicitario; f) scaricare software senza una preventiva autorizzazione della S. C. S.I.D.; g) azioni in frode alle misure di sicurezza adottate nel Documento Programmatico della Sicurezza aziendale. 11. Posta elettronica in uso ai dipendenti Le disposizioni del presente disciplinare inerenti il controllo dell’utilizzo di Internet sono estese, in quanto applicabili, al controllo dell’utilizzo della posta elettronica con le precisazioni di cui agli articoli seguenti. 12. Caselle di posta elettronica Sono attivati indirizzi di posta elettronica per le strutture aziendali, condivisi dagli operatori assegnati a ciascuna di esse (es.: [email protected]). Al singolo lavoratore dipendente può essere assegnato un indirizzo e-mail del tipo: [email protected]. La “personalizzazione” dell’indirizzo non comporta la sua “privatezza”, in quanto trattasi di strumenti di esclusiva proprietà aziendale, messi a disposizione del dipendente al solo fine dello svolgimento delle proprie mansioni lavorative. E’ possibile attivare per ciascun operatore apposite funzionalità di sistema che consentono di inviare automaticamente, in caso di assenze programmate, messaggi di risposta che contengono le informazioni sull’assenza. In conseguenza di quanto sopra, l’Azienda Ospedaliera si riserva il diritto di accedere ai propri dati. Qualora si rendesse necessario compiere questa operazione, il Responsabile della Struttura o suo delegato chiederà all’interessato la password per accedere ai dati. In caso di irreperibilità del dipendente, si procederà comunque ad accedere alla mailbox interessata informandone successivamente lo stesso Ai sensi del punto 10 dell’Allegato B del Codice della Privacy, in relazione all’accesso alla casella e-mail ed a qualunque strumento elettronico, l’Azienda Ospedaliera assicura la disponibilità dei dati e/o strumenti elettronici, in caso di assenza improvvisa o prolungata dell’incaricato che renda indispensabile e indifferibile intervenire per necessità di operatività e di sicurezza del sistema. Sono fatti salvi tutti i diritti dell’Azienda per il risarcimento di eventuali danni derivanti dal mancato accesso alla mailbox del dipendente per fatto doloso o colposo di quest’ultimo, ai sensi dell’art. 2043 del Codice Civile. 13. Controllo sulle caselle di posta elettronica L’Azienda ha facoltà di esercitare i controlli difensivi sulle caselle di posta elettronica istituzionali rese disponibili dall’azienda (di struttura o individuali). Costituiscono “abusi di utilizzo della posta elettronica personale” e, come tali, attività non consentite: a) qualunque condotta avente rilevanza penale, anche se non contemplata fra i reati contro la Pubblica Amministrazione; b) nel caso di iscrizione a mailing list per motivi non riconducibili al proprio servizio attuata con modalità e tempi tali da incidere negativamente sull’attività di servizio; c) diffusione di software o file di proprietà dell’Azienda o di terzi; d) diffusione di banche dati di cui l’Azienda sia titolare; e) utilizzo della posta elettronica per scopi puramente privati; f) utilizzo della posta elettronica che possa tradursi in un danno o semplicemente in un disturbo a terzi, ad esempio invio indiscriminato e volontario di messaggi Pagina 5 di 6 indirizzati ad un medesimo soggetto, diffusione via e mail di materiale commerciale o pubblicitario non richiesto, ecc.; g) inviare e/o archiviare documenti informatici di natura oltraggiosa, discriminatoria per origine etnica, religione, disabilità, orientamento sessuale, appartenenza sindacale o politica o che comunque possano risultare offensivi della dignità umana; h) azioni in frode alle misure di sicurezza adottate nel D. P. S. aziendale. 14. Utilizzo della crittografia per i messaggi di posta all’esterno dell’Azienda I dati sensibili possono essere trasmessi tramite posta elettronica solo dopo averli resi anonimi e, se impossibile, devono essere inviati in forma cifrata mediante l’utilizzo di appositi sistemi crittografici. 15. Ulteriori regole di comportamento Al fine di eliminare, o comunque ridurre,i casi di infezione da virus, contagio da trojan horse, infestazione da worm, con le relative conseguenze in termini responsabilità per l’Azienda e per il soggetto interessato, è necessario conformarsi alle seguenti indicazioni: 1) disattivare il lancio automatico degli allegati (attachment), 2) assicurarsi che l’antivirus sia sempre presente e aggiornato, 3) evitare di rispondere a messaggi provenienti da soggetti non legati all’attività lavorativa, 4) evitare di visitare siti indicati in messaggi di posta elettronica ricevuti senza averli sollecitati, 5) diffidare di messaggi provenienti da persone sconosciute, scritti magari in lingua straniera o che chiedono di eseguire programmi (“fare clic su qualche cosa”), 6) evitare di inviare all’esterno dell’Azienda Ospedaliera file in formato Office, privilegiando il formato pdf o, meglio, rtf e zip, 7) evitare di partecipare a community virtuali (forum di discussioni, chat, newsgroup o mailing list) impiegando l’indirizzo aziendale. 16. Conservazione dei dati relativi all’uso degli strumenti elettronici I sistemi software sono programmati e configurati in modo da cancellare periodicamente i dati personali relativi agli accessi ad Internet ed al traffico telematico, la cui conservazione non é necessaria. Sono conservati i file di log del server di posta e del server WEB. Per esigenze tecniche e motivi di sicurezza la conservazione temporanea dei citati dati é fissata in dodici mesi. L’accesso a questi file è comunque vietata, è consentito l’utilizzo e l’analisi dei dari solo per motivate richieste da parte dei responsabili di struttura e validate dalla commissione privacy. L’eventuale prolungamento dei tempi di conservazione é eccezionale e può avere luogo solo in relazione all’indispensabilità del dato rispetto all’esercizio o alla difesa di un diritto in sede giudiziaria oppure all’obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell’Autorità Giudiziaria. 17. Amministratori di sistema e referente Privacy L’elenco delle funzioni attribuite e gli estremi identificativi delle persone fisiche Amministratori di Sistema è disponibile presso la S.C. S.I.D. 18. Pubblicizzazione ed aggiornamento del disciplinare Il presente disciplinare é reso noto agli operatori dell’Azienda Ospedaliera mediante pubblicazione nella rete Intranet dell’Ente ed affissione in luoghi accessibili a tutti i lavoratori. Il disciplinare é periodicamente aggiornato alla luce dell’esperienza e dell’innovazione tecnologica, previo accordo con le Organizzazioni Sindacali aziendali. Pagina 6 di 6