istruzioni per gli incaricati del trattamento dei dati personali

REGOLAMENTO PER L’UTILIZZO DEGLI STRUMENTI ELETTRONICI
NELL’AMBITO DEL RAPPORTO DI LAVORO
1. Oggetto
Con il presente disciplinare l’Azienda Ospedaliera “S. Croce e Carle” di Cuneo
regolamenta le condizioni di accesso e di utilizzo delle risorse informatiche di
comunicazione messe a disposizione degli operatori per l’esecuzione delle funzioni di
competenza, nel rispetto della Legge 20.05.1970, n. 300 (Statuto dei lavoratori), del
Decreto Legislativo 30.06.2003, n. 196 (Codice Privacy) e, in particolare, della
deliberazione del Garante per la protezione dei dati personali n. 13 dell’01.03.2007 ad
oggetto “Lavoro: le linee guida del Garante per posta elettronica e internet” e della direttiva
del Dipartimento della Funzione Pubblica n. 02/09 del 26/5/2009.
Sono altresì disciplinate le modalità con le quali l’Azienda Ospedaliera può accertare e
inibire le condotte illecite degli utilizzatori di Internet e della posta elettronica.
Per “condotte illecite” si intendono le violazioni della legge, dei regolamenti dell’Azienda ed
in particolare:
a) la messa in pericolo e la lesione delle banche dati dell’Azienda Ospedaliera;
b) la messa in pericolo e la lesione del patrimonio aziendale;
c) comportamenti illeciti;
d) l’utilizzo improprio e non attinente al servizio;
e) ogni condotta che comporti l’esposizione dell’Azienda Ospedaliera a responsabilità
civile verso terzi (ad es.: responsabilità per violazione di disposizioni del Garante
Privacy).
2. Campo di applicazione
Sono tenuti all’osservanza delle presenti disposizioni i Direttori/Responsabili di Struttura,
individuati come “Responsabili del trattamento”, i Dipendenti “Incaricati del trattamento”
dei dati personali ai sensi del Decreto Legislativo 30.06.2003, n. 196, i Responsabili ed
Incaricati del trattamento “esterni” all’Azienda Ospedaliera, tutte le persone fisiche o
giuridiche che comunque a vario titolo, (convenzione, consulenza, studio, tirocinio,
appalto, stage, ecc.), prestano servizio o attività in Azienda.
2. Condizioni d’uso
L’Azienda mette a disposizione dei lavoratori computer, servizi di posta elettronica ed
internet, esclusivamente per lo svolgimento di compiti istituzionali o comunque correlati
alla prestazione lavorativa.
3. Individuazione degli utilizzatori dei sistemi informatici
L’accesso alla rete aziendale ed a quella Internet avviene esclusivamente tramite
username e password personale.
La richiesta di attivazione o cessazione di un codice identificativo personale (Utente di
dominio) viene effettuata dal Direttore/Responsabile della struttura interessata tramite la
compilazione di apposito modulo, presente sul sito Intranet, da inoltrare alla competente
Struttura Complessa Sistema Informativo Direzionale.
Con il citato modulo il Responsabile della struttura esprime la volontà di autorizzare al
trattamento di dati le persone indicate per un determinato ruolo e chiedendo
eventualmente che le stesse siano abilitate a fruire dei servizi di posta elettronica e/o
Internet.
Per quanto riguarda il grado di certezza dell'identità di chi utilizza il computer in dotazione,
si precisa che l'accesso all'elaboratore è possibile solo tramite username e password
assegnati nominativamente.
Pagina 1 di 6
I codici identificativi personali sono disattivati in caso di smarrimento o di mancato utilizzo
per un periodo superiore a sei mesi.
L’accesso con le credenziali del soggetto autorizzato si presume effettuato dallo stesso
che risponde a titolo personale della custodia in sicurezza del proprio sistema di accesso.
In assenza di prova che tali dati siano anche a conoscenza di terzi (o perché
abusivamente conosciuti o perché esplicitamente comunicati dall’assegnatario) si presume
che le attività associate alla username e password siano state poste in essere
dall'assegnatario stesso: in caso di accertata necessità (ad esempio per prolungata
assenza di un dipendente) è possibile la comunicazione della password di appartenenza
ad altro dipendente in forma scritta e vistata dal Responsabile di Struttura di
appartenenza.
In tutte le applicazioni che operano nell’ambito del sistema informatico dell’Azienda
Ospedaliera è stato predisposto un sistema di autorizzazione basato sul meccanismo dei
ruoli.
Quando un utente si è autenticato per l’uso di un’applicazione che prevede il trattamento
di dati personali, l’applicazione stessa provvede ad inserire l’utente in un determinato
gruppo di lavoro.
Per ciascun gruppo è definita una “vista” della base di dati contenente dati personali e/o
sensibili, cioè il più piccolo sottoinsieme di dati sufficienti all’utente per poter espletare la
propria funzione nell’ambito aziendale. Ogni incaricato al trattamento dei dati è tenuto ad
accedere ai soli dati di propria competenza.
Il Responsabile del trattamento deve comunicare tempestivamente alla S. C. S.I.D. il
cambio di mansioni o il trasferimento ad altra struttura dell’incaricato mediante la
modulistica presente sul sito Intranet.
4. Gestione delle password e delle credenziali di autenticazione
Tutto ciò che consente l’accesso a un elaboratore o ad un’applicazione va tenuto
assolutamente riservato.
E’ vietato comunicare a terzi il proprio codice utente e/o la propria password, che devono
essere conservati nella massima segretezza, in modo da impedirne la cognizione, anche
accidentale, da parte di terzi.
La password ha una lunghezza minima di otto caratteri e non deve contenere riferimenti
all’utente (ad esempio: data di nascita, parti di codice fiscale, nomi di parenti, ecc.); deve
essere modificata al primo utilizzo e successivamente ogni tre mesi.
Se l’incaricato sospetta che la propria password sia nota a terzi, deve immediatamente
cambiarla e comunicarlo al S.I.D.
5. Lo strumento informatico ad uso del dipendente
Il personal computer (PC) affidato al dipendente - sia esso un portatile, una postazione
statica, un palmare o altro strumento di telecomunicazione - è un bene di proprietà
aziendale nonché uno strumento di lavoro di cui egli è responsabile.
L’installazione in rete aziendale dei computer è consentita solo per apparecchiature di
proprietà dell’Azienda salvo autorizzazione anche temporanea da parte della S.C. S.I.D.
I PC devono essere collegati in rete da operatori autorizzati dalla Struttura Complessa
S.I.D., seguendo procedure standard di configurazione che garantiscono la sicurezza degli
accessi e la protezione da virus.
Non è consentito all’utente modificare le caratteristiche hardware e software impostate sul
proprio PC, salvo autorizzazione da parte della S. C. S.I.D.
Non è permessa l’installazione di programmi diversi da quelli autorizzati dal S.I.D., né é
consentita la riproduzione o la duplicazione di programmi informatici ai sensi della Legge
21.05.2004, n. 128.
Pagina 2 di 6
Non si possono installare in modo autonomo alcun tipo di software. Qualora se ne presenti
la necessità, deve essere inviata una richiesta alla S. C. S.I.D. che ne valuterà la
congruità.
Non bisogna lasciare incustodita la propria postazione di lavoro, ma occorre bloccare
l’accesso anche in caso di allontanamento temporaneo,
Il riutilizzo di supporti riscrivibili è consentito solo previa verifica dell’avvenuta
cancellazione di eventuali dati personali ivi contenuti.
E’ vietato consegnare a terzi i supporti di memorizzazione contenenti dati personali non
soggetti a regime di pubblicità.
I supporti destinati a non essere più utilizzati devono essere distrutti.
6. Collegamento e servizi Internet
L’uso di Internet per la navigazione è consentito esclusivamente per fini professionali in
relazione alle specifiche mansioni attribuite all’interno dell’Azienda e le relative
informazioni (log di firewall, proxy server) sono proprietà esclusiva dell’Azienda.
Su queste informazioni l’Amministrazione può effettuare controlli difensivi nel rispetto dei
diritti dei lavoratori e, in particolare, di quanto stabilito dagli artt. 4, 8 e 28 della Legge n.
300/70, dalla disciplina sul trattamento dei dati personali di cui al D. L.vo n. 196/03 e dagli
articoli seguenti.
L’Azienda Ospedaliera è dotata di strumenti di “filtro” che prevengono gli accessi a siti
“impropri”, (black list, download di file musicali o multimediali, ecc.), che possono essere
illegali e puniti dalla legge penale oltre ad essere in contrasto con i doveri del lavoratore.
E’ comunque vietato e considerato violazione disciplinare, fatte salve le eventuali
responsabilità civili e penali, accedere a contenuti illeciti o che ledano, in qualsiasi modo,
l’immagine aziendale e causino un decadimento delle prestazioni dell'infrastruttura di rete
o una saturazione anche non completa della banda.
7. Misure di sicurezza
L’Azienda, in occasione dell’aggiornamento annuale del documento programmatico sulla
sicurezza ex art. 34, comma 1, lett. g) del citato D. L.vo n. 196/03, definisce le misure di
sicurezza informatiche previste dall’allegato B al Codice Privacy, al fine di tutelare i dati
personali trattati, il patrimonio aziendale e la sicurezza dei lavoratori anche sotto il profilo
delle responsabilità derivanti dal trattamento dei dati personali mediante l’uso della
strumentazione elettronica. Il documento programmatico sulla sicurezza (DPS), aggiornato
annualmente, secondo quanto previsto D. L.vo sopra citato, è presente sulla rete intranet
aziendale.
Conseguentemente, l’Azienda effettua controlli, per quanto possibile in modalità anonima
alla fonte, per accertare l’integrità del sistema informatico e per la manutenzione dello
stesso.
In particolare, si verificano i livelli di prestazione dell’infrastruttura (carico di banda) e le
condizioni di sicurezza dell’infrastruttura (firewall, antivirus, audit).
In nessun modo tali verifiche hanno lo scopo di monitorare l’attività degli operatori,
essendo esclusivamente dirette all’adempimento di obblighi di legge (adozione di misure
di sicurezza), alla protezione dei beni aziendali (ivi compresi dati, informazioni e
programmi), manutenzione e controllo del sistema informatico ed alla cooperazione con
l’Autorità Giudiziaria.
Oggetto di verifica sono:
a) natura del traffico (posta, navigazione, chat, download, upload, streaming, ecc.),
b) distribuzione temporale dell’uso delle risorse,
c) distribuzione geografica dell’uso delle risorse,
d) carico di banda generato,
e) tipologia dei contenuti reperiti,
Pagina 3 di 6
f) segnalazioni generate automaticamente dai sistemi di sicurezza,
g) richiesta dell’Autorità Giudiziaria in forza di specifico provvedimento,
h) situazione di danno o di pericolo che non sia stato impedito con preventivi
accorgimenti tecnici.
8. Divieto di controllo a distanza dei lavoratori
E’ vietato il trattamento di dati personali mediante sistemi hardware e software che mirano
al controllo a distanza dei lavoratori, svolti in particolare mediante:
a) la lettura e la registrazione sistematica dei messaggi di posta elettronica al di là di
quanto tecnicamente necessario per svolgere il servizio e-mail;
b) la riproduzione e la memorizzazione sistematica delle pagine web visualizzate dal
lavoratore al di là di quanto tecnicamente necessario per svolgere il servizio;
c) la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo
dispositivo;
d) l’analisi occulta di computer affidati in uso.
9. Graduazione dei controlli sull’uso degli strumenti elettronici
Qualora le misure tecniche preventive non fossero sufficienti ad evitare eventi dannosi o
situazioni di pericolo, il Responsabile della Struttura chiede alla Direzione Generale che
siano effettuate, nel rispetto dei principi di gradualità, pertinenza e non eccedenza, le
verifiche di eventuali comportamenti anomali attraverso le seguenti fasi:
a) analisi aggregata del traffico di rete riferito all’intera struttura lavorativa o a sue aree
(reparto, servizio, ecc.) e rilevazione della tipologia di utilizzo (e-mail, file audio,
accesso a risorse estranee alle mansioni);
b) emanazione di un avviso generalizzato relativo ad un riscontrato utilizzo anomalo
degli strumenti aziendali, con l’invito ad attenersi scrupolosamente ai compiti
assegnati ed alle istruzioni impartite; il richiamo all’osservanza delle regole deve
essere circoscritto agli operatori afferenti il settore in cui è stata rilevata l’anomalia;
c) in caso di successivo permanere di una situazione non conforme, é possibile
effettuare controlli individuali.
10. Abuso di utilizzo di Internet
Qualora, ad esito di controllo, l’Azienda rilevi delle anomalie sull’utilizzo di Internet che
possano essere configurate quali abusi, si provvederà ad informare il Responsabile della
Struttura, il quale a sua volta ne informerà il dipendente interessato, affinchè si possa dare
eventualmente l’avvio al procedimento disciplinare nei confronti dello stesso.
Qualora l’utilizzatore sia un dirigente sindacale, dovrà essere inviata comunicazione in
forma riservata al rispettivo Responsabile regionale dell’organizzazione sindacale di
appartenenza il quale a sua volta ne informerà il dipendente interessato.
A seguito dell’accertamento della condotta illecita e, quindi, dell’adozione del
provvedimento disciplinare, l’Azienda procederà altresì a segnalare l’abuso all’Autorità
competente.
Costituiscono “abusi di utilizzo di Internet” e, come tali, attività non consentite:
a) qualunque condotta avente rilevanza penale, anche se non contemplata fra i reati
contro la Pubblica Amministrazione;
b) azioni commesse con dolo o colpa grave che mettano a repentaglio la sicurezza e
l’integrità del sistema informatico aziendale e dei dati personali trattati;
c) visita di siti web non riconducibili al proprio servizio, attuata con modalità e tempi
tali da incidere negativamente sull’attività di servizio;
d) prelevare da Internet e/o archiviare sul proprio elaboratore ovvero sulle risorse di
rete condivise, documenti informatici di natura oltraggiosa, discriminatoria per
Pagina 4 di 6
origine etnica, religione, disabilità, orientamento sessuale, appartenenza sindacale
o politica o che comunque possano risultare offensivi della dignità umana;
e) diffondere materiale commerciale o pubblicitario;
f) scaricare software senza una preventiva autorizzazione della S. C. S.I.D.;
g) azioni in frode alle misure di sicurezza adottate nel Documento Programmatico
della Sicurezza aziendale.
11. Posta elettronica in uso ai dipendenti
Le disposizioni del presente disciplinare inerenti il controllo dell’utilizzo di Internet sono
estese, in quanto applicabili, al controllo dell’utilizzo della posta elettronica con le
precisazioni di cui agli articoli seguenti.
12. Caselle di posta elettronica
Sono attivati indirizzi di posta elettronica per le strutture aziendali, condivisi dagli operatori
assegnati a ciascuna di esse (es.: [email protected]).
Al singolo lavoratore dipendente può essere assegnato un indirizzo e-mail del tipo:
[email protected].
La “personalizzazione” dell’indirizzo non comporta la sua “privatezza”, in quanto trattasi di
strumenti di esclusiva proprietà aziendale, messi a disposizione del dipendente al solo fine
dello svolgimento delle proprie mansioni lavorative.
E’ possibile attivare per ciascun operatore apposite funzionalità di sistema che consentono
di inviare automaticamente, in caso di assenze programmate, messaggi di risposta che
contengono le informazioni sull’assenza.
In conseguenza di quanto sopra, l’Azienda Ospedaliera si riserva il diritto di accedere ai
propri dati.
Qualora si rendesse necessario compiere questa operazione, il Responsabile della
Struttura o suo delegato chiederà all’interessato la password per accedere ai dati.
In caso di irreperibilità del dipendente, si procederà comunque ad accedere alla mailbox
interessata informandone successivamente lo stesso
Ai sensi del punto 10 dell’Allegato B del Codice della Privacy, in relazione all’accesso alla
casella e-mail ed a qualunque strumento elettronico, l’Azienda Ospedaliera assicura la
disponibilità dei dati e/o strumenti elettronici, in caso di assenza improvvisa o prolungata
dell’incaricato che renda indispensabile e indifferibile intervenire per necessità di
operatività e di sicurezza del sistema.
Sono fatti salvi tutti i diritti dell’Azienda per il risarcimento di eventuali danni derivanti dal
mancato accesso alla mailbox del dipendente per fatto doloso o colposo di quest’ultimo, ai
sensi dell’art. 2043 del Codice Civile.
13. Controllo sulle caselle di posta elettronica
L’Azienda ha facoltà di esercitare i controlli difensivi sulle caselle di posta elettronica
istituzionali rese disponibili dall’azienda (di struttura o individuali).
Costituiscono “abusi di utilizzo della posta elettronica personale” e, come tali, attività non
consentite:
a) qualunque condotta avente rilevanza penale, anche se non contemplata fra i reati
contro la Pubblica Amministrazione;
b) nel caso di iscrizione a mailing list per motivi non riconducibili al proprio servizio
attuata con modalità e tempi tali da incidere negativamente sull’attività di servizio;
c) diffusione di software o file di proprietà dell’Azienda o di terzi;
d) diffusione di banche dati di cui l’Azienda sia titolare;
e) utilizzo della posta elettronica per scopi puramente privati;
f) utilizzo della posta elettronica che possa tradursi in un danno o semplicemente in
un disturbo a terzi, ad esempio invio indiscriminato e volontario di messaggi
Pagina 5 di 6
indirizzati ad un medesimo soggetto, diffusione via e mail di materiale commerciale
o pubblicitario non richiesto, ecc.;
g) inviare e/o archiviare documenti informatici di natura oltraggiosa, discriminatoria per
origine etnica, religione, disabilità, orientamento sessuale, appartenenza sindacale
o politica o che comunque possano risultare offensivi della dignità umana;
h) azioni in frode alle misure di sicurezza adottate nel D. P. S. aziendale.
14. Utilizzo della crittografia per i messaggi di posta all’esterno dell’Azienda
I dati sensibili possono essere trasmessi tramite posta elettronica solo dopo averli resi
anonimi e, se impossibile, devono essere inviati in forma cifrata mediante l’utilizzo di
appositi sistemi crittografici.
15. Ulteriori regole di comportamento
Al fine di eliminare, o comunque ridurre,i casi di infezione da virus, contagio da trojan
horse, infestazione da worm, con le relative conseguenze in termini responsabilità per
l’Azienda e per il soggetto interessato, è necessario conformarsi alle seguenti indicazioni:
1) disattivare il lancio automatico degli allegati (attachment),
2) assicurarsi che l’antivirus sia sempre presente e aggiornato,
3) evitare di rispondere a messaggi provenienti da soggetti non legati all’attività lavorativa,
4) evitare di visitare siti indicati in messaggi di posta elettronica ricevuti senza averli
sollecitati,
5) diffidare di messaggi provenienti da persone sconosciute, scritti magari in lingua
straniera o che chiedono di eseguire programmi (“fare clic su qualche cosa”),
6) evitare di inviare all’esterno dell’Azienda Ospedaliera file in formato Office,
privilegiando il formato pdf o, meglio, rtf e zip,
7) evitare di partecipare a community virtuali (forum di discussioni, chat, newsgroup o
mailing list) impiegando l’indirizzo aziendale.
16. Conservazione dei dati relativi all’uso degli strumenti elettronici
I sistemi software sono programmati e configurati in modo da cancellare periodicamente i
dati personali relativi agli accessi ad Internet ed al traffico telematico, la cui conservazione
non é necessaria. Sono conservati i file di log del server di posta e del server WEB. Per
esigenze tecniche e motivi di sicurezza la conservazione temporanea dei citati dati é
fissata in dodici mesi. L’accesso a questi file è comunque vietata, è consentito l’utilizzo e
l’analisi dei dari solo per motivate richieste da parte dei responsabili di struttura e validate
dalla commissione privacy.
L’eventuale prolungamento dei tempi di conservazione é eccezionale e può avere luogo
solo in relazione all’indispensabilità del dato rispetto all’esercizio o alla difesa di un diritto
in sede giudiziaria oppure all’obbligo di custodire o consegnare i dati per ottemperare ad
una specifica richiesta dell’Autorità Giudiziaria.
17. Amministratori di sistema e referente Privacy
L’elenco delle funzioni attribuite e gli estremi identificativi delle persone fisiche
Amministratori di Sistema è disponibile presso la S.C. S.I.D.
18. Pubblicizzazione ed aggiornamento del disciplinare
Il presente disciplinare é reso noto agli operatori dell’Azienda Ospedaliera mediante
pubblicazione nella rete Intranet dell’Ente ed affissione in luoghi accessibili a tutti i
lavoratori.
Il disciplinare é periodicamente aggiornato alla luce dell’esperienza e dell’innovazione
tecnologica, previo accordo con le Organizzazioni Sindacali aziendali.
Pagina 6 di 6