7_Vademecum_Discipli..

Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy
VADEMECUM/DISCIPLINARE AZIENDALE SULL’UTILIZZO DELLE RISORSE INFORMATICHE, INTERNET E POSTA
ELETTRONICA DA PARTE DEI DIPENDENTI E/O COLLABORATORI
ALLEGATO ALLA DELIBERA N.3843 DEL 30.11.2011
Premessa
1
-
-
-
a)
b)
L’uso crescente delle tecnologie informatiche nelle aziende
pubbliche, comprese le aziende sanitarie territoriali, ha
consentito l’introduzione di innovative tecniche di gestione,
ma ha anche generato significativi problemi relativi all’utilizzo
degli strumenti informatici da parte dei dipendenti per lo svolgimento dei compiti loro affidati.
Si possono infatti verificare dei casi di abuso da parte dei dipendenti sia della posta elettronica (per scopi
personali o peggio ancora per inviare notizie o documenti riservati) che della rete internet (attraverso cui,
ad esempio, si può accedere a siti illegali o commettere reati).
Occorre pertanto informare che questi comportamenti sono contrari ai doveri di diligenza e fedeltà previsti
dagli artt. 2104 e 2105 del c.c., punibili fino al licenziamento.
Da qui è nata l’esigenza di prevedere adeguati e proporzionati sistemi di controllo sull’utilizzo degli
strumenti informatici da parte dei dipendenti e di sanzionarne gli usi scorretti.
Ma, accanto al diritto dell’ASP di Cosenza di garantire l’integrità e l’efficienza della propria organizzazione,
anche attraverso l’esercizio del proprio potere direttivo, di controllo e disciplinare, esiste anche il
sacrosanto diritto del lavoratore a non vedere invasa la propria sfera personale, il diritto cioè alla
riservatezza ed alla dignità personale.
Per questo secondo aspetto i riferimenti normativi sono:
l’art. 15 della Costituzione che afferma:“La libertà e la segretezza della corrispondenza e di ogni altra forma
di comunicazione sono inviolabili. La loro limitazione può avvenire soltanto per atto motivato dell’autorità
giudiziaria con le garanzie stabilite dalla legge”;
l’ Art. 616 c.p. che prevede il reato di violazione, sottrazione e soppressione di corrispondenza, compresa
quella informatica o telematica;
l’ Art. 4 della legge 20.5.1970, n. 300, recante “Norme sulla tutela della libertà e dignità dei lavoratori, della
libertà sindacale e dell’attività sindacale nei luoghi di lavoro e norme sul collocamento”(Statuto dei
lavoratori) secondo il quale è vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di
controllo a distanza dell’attività dei lavoratori;
il Decreto Legislativo n. 196 del 23 giugno 2003, recante “Codice in materia di protezione dei dati personali”
che prevede che il trattamento dei dati personali possa essere effettuato solo nel rispetto dei principi di
finalità, necessità, proporzionalità e indispensabilità.
Alla luce di queste considerazioni e in relazione al Provvedimento del Garante per la Protezione dei Dati
Personali, del 01 marzo 2007, recante “Lavoro: le linee guida del Garante per posta elettronica e internet”,
l’Azienda Sanitaria Provinciale di Cosenza ha predisposto il seguente Vademecum/Disciplinare aziendale
sull’utilizzo delle risorse informatiche, internet e posta elettronica da parte dei dipendenti e/o
collaboratori.
Il disciplinare è stato redatto tenendo conto:
delle disposizioni contenute nella Legge. n. 300/1970 in tema di provvedimenti disciplinari (art. 7);
degli specifici obblighi previsti dal Codice della privacy, dal Disciplinare tecnico sulle misure minime di
sicurezza ad esso allegato e dall’art. 29, 1°comma del D.Lgs. n. 242/1996 (in tema di controlli operati
mediante il sistema informatico aziendale).
Il Disciplinare inoltre verrà sottoposto ad aggiornamento periodico, a seconda delle novità organizzative
dell’azienda e in relazione ai crescenti sviluppi tecnologici dell’informatica e della telematica.
Sono tenuti all’osservanza delle presenti disposizioni i Direttori/Responsabili di Struttura, i Dipendenti,
nonché gli “esterni” all’Azienda, nei casi relativi a collaborazione di persone fisiche o giuridiche
(convenzioni, consulenze, tirocini, ecc.).
Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy
*Il Vademecum è stato redatto dal Responsabile dell’Ufficio Privacy, Dr.ssa Maria Francesca Lucanto, in
collaborazione con l’Ing. Vincenzo Ciminelli e sottoposto al vaglio del Direttore del SISA, delle RSU aziendali
e del Direttore dell’ U.O.C. Risorse Umane che lo hanno ritenuto valevole.
VADEMECUM/DISCIPLINARE AZIENDALE SULL’UTILIZZO DELLE RISORSE INFORMATICHE, INTERNET E POSTA
ELETTRONICA DA PARTE DEI DIPENDENTI E/O COLLABORATORI
2
1. FINALITÀ E PRINCIPI
Il presente vademecum/disciplinare intende prevenire gli usi illegittimi degli strumenti informatici aziendali
e nello stesso tempo preservare la riservatezza dei dipendenti e/o collaboratori dell’ASP di Cosenza in caso
di controlli sull’uso di detti strumenti da parte degli stessi.
Si prescrive che l'utilizzo delle risorse informatiche e telematiche si ispiri sempre al principio della diligenza
e correttezza, onde evitare che comportamenti anche inconsapevoli possano attivare problemi o minacce
alla sicurezza informatica e al trattamento dei dati.
Dall’altro versante, per quanto riguarda la tutela della privacy dei dipendenti e/o collaboratori, i principi
che sono a fondamento del presente Vademecum/Disciplinare sono gli stessi espressi nel D.Lgs.vo 196/03,
e, precisamente:
- il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere
configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi in relazione
alle finalità perseguite;
- il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti attraverso le
tecnologie dell'informazione che permettono di svolgere trattamenti ulteriori rispetto a quelli
connessi ordinariamente all'attività lavorativa devono essere rese note ai lavoratori;
- il principio per cui i trattamenti devono essere effettuati per finalità determinate, esplicite e
legittime, osservando il principio di pertinenza e non eccedenza per cui si devono trattare i dati
"nella misura meno invasiva possibile", le attività di monitoraggio devono essere svolte solo da
soggetti preposti ed essere "mirate sull'area di rischio, tenendo conto della normativa sulla
protezione dei dati e, se pertinente, del principio di segretezza della corrispondenza" .
E’ riconosciuto comunque all’ASP di Cosenza di potere svolgere attività di monitoraggio sull’uso degli
strumenti informatici, attività che saranno svolte solo dal personale del SISA a ciò incaricato, sempre nel
rispetto della normativa privacy.
Le norme di seguito previste si aggiungono ed integrano le specifiche istruzioni già fornite a tutti gli
Incaricati ed i Responsabili del Trattamento dei dati, in attuazione del D.Lgs. 30 giugno 2003 n. 196 “Codice
in materia di protezione dei dati personali”e del Disciplinare tecnico (Allegato B al citato decreto legislativo)
contenente le misure minime e idonee di sicurezza.
Esse contengono anche le informazioni ai dipendenti e/o collaboratori dell’ASP di Cosenza sulle ragioni e
sulle modalità dei possibili controlli e sulle conseguenze di tipo disciplinare in caso di violazione delle
previste prescrizioni.
2. DEFINIZIONI
-
-
Ai fini delle disposizioni dettate per l’utilizzo delle risorse informatiche e telematiche, deve intendersi per:
“utente” ogni dipendente e/o collaboratore (a progetto, in stage, volontario, tirocinante ecc.) in possesso
di specifiche credenziali di autenticazione. Tale figura potrà anche venir indicata quale “Incaricato del
trattamento”;
SISA : Servizio Informativo Statistico Aziendale;
ASP di Cosenza: Azienda Sanitaria Provinciale di Cosenza;
3. CAMPO DI APPLICAZIONE E DIFFUSIONE DEL VADEMECUM/DISCIPLINARE
Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy
Il Vademecum/Disciplinare è rivolto a tutti i dipendenti, senza distinzione di ruolo e/o livello, e a tutti i
collaboratori dell’ASP di Cosenza a prescindere dal rapporto contrattuale con la stessa intrattenuto
(collaboratore a progetto, in stage, consulenti, tirocinanti ecc.).
Copia del Vademecum/Disciplinare, oltre ad essere consegnato a ciascun servizio e affisso nelle bacheche
aziendali, verrà diffuso capillarmente tra i dipendenti e/o collaboratori accompagnandolo alla prima busta
paga susseguente alla sua stesura.
3
4. TUTELA DEL DIPENDENTE E/O COLLABORATORE
La tutela del dipendente e/o collaboratore è assicurata dall’osservanza dell’art. 4, comma 1 della Legge n.
300/1970.
Quanto disposto in questo Vademecum/Disciplinare non è infatti finalizzato all’esercizio di un controllo a
distanza dei lavoratori da parte dell’ASP di Cosenza, ma solo a permettere a quest’ultimo di utilizzare
correttamente i sistemi informativi fornendo le prescrizioni a ciò indirizzate, e prevenendo in tal modo usi
illegittimi soggetti a provvedimenti disciplinari.
E’ garantito al singolo dipendente e/o collaboratore il diritto di accesso ai dati personali che lo riguardano,
giusto articolo 7 del Decreto legislativo 196/93.
5. UTILIZZO DEL PERSONAL COMPUTER
Il Personal computer è fornito all’utente quale strumento di lavoro.
E’ pertanto vietato ogni suo utilizzo non inerente all'attività lavorativa che possa provocare inefficienze,
ulteriori costi di manutenzione e, soprattutto, minacce alla sicurezza.
Il personal computer affidato all’utente permette l’accesso alla rete aziendale solo attraverso specifiche
credenziali di autenticazione.
L’ASP di Cosenza rende noto che il personale incaricato che opera presso il SISA è stato autorizzato a
compiere interventi nel sistema informatico aziendale:
- per garantirne la sicurezza e la salvaguardia;
- per motivi tecnici e/o manutentivi.
Gli interventi vengono effettuati su chiamata dell’utente o, in caso di oggettiva necessità, a seguito della
rilevazione tecnica di problemi nel sistema informatico e telematico.
In quest’ultimo caso, e qualora non si pregiudichi la tempestività dell’intervento, verrà data comunicazione
della necessità dell’intervento stesso.
Non è consentito l'uso di programmi diversi da quelli ufficialmente installati dal personale del SISA per
conto dell’ASP di Cosenza, né è consentito installare autonomamente programmi provenienti dall'esterno.
Il Personal Computer deve essere spento prima di lasciare gli uffici o in caso di assenze prolungate
dall'ufficio o in caso di suo inutilizzo.
E’ vietato lasciare un elaboratore incustodito connesso alla rete, che può essere causa di utilizzo da parte
di terzi, senza che vi sia la possibilità di provarne in seguito l'indebito uso.
Per evitare di lasciare incustodito il PC, anche in caso di mancato spegnimento da parte dell’utente, è
fortemente consigliato adottare il savescreen a tempo, con obbligo di reintrodurre la password per
l’accesso.
6. GESTIONE ED ASSEGNAZIONE DELLE CREDENZIALI DI AUTENTICAZIONE
Le credenziali di autenticazione per l’accesso al PC sono assegnate all’utente dal personale del SISA, previa
formale richiesta del Direttore dell’unità operativa dove l’utente è inserito ed opera.
Le credenziali di autenticazione consistono in un codice per l’identificazione dell’utente (user id), associato
ad una parola chiave (password) riservata che dovrà venir diligentemente custodita dall' utente e non
divulgata.
La parola chiave, formata da lettere maiuscole o minuscole e/o numeri, anche in combinazione fra loro,
deve essere composta da almeno otto caratteri e non deve contenere riferimenti agevolmente riconducibili
all’utente.
Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy
È necessario che l’utente proceda alla modifica della parola chiave al primo utilizzo e, successivamente,
almeno ogni sei mesi (ogni tre mesi nel caso invece di trattamento di dati sensibili).
E’ opportuno che almeno ogni tre mesi ciascun utente provveda alla pulizia degli archivi, con cancellazione
dei file obsoleti o inutili, così come sono da evitare le copie ridondanti dei documenti.
7. UTILIZZO E CONSERVAZIONE DEI SUPPORTI RIMOVIBILI
Tutti i supporti magnetici rimovibili (dischetti, CD e DVD riscrivibili, supporti USB, ecc.), contenenti dati
sensibili nonché informazioni costituenti know-how aziendale, devono essere trattati in modo tale da
evitare che il loro contenuto possa essere trafugato o alterato e/o distrutto o, successivamente alla
cancellazione, recuperato.
I supporti magnetici contenenti dati sensibili devono essere dagli utenti adeguatamente custoditi in armadi
chiusi.
4
8. UTILIZZO DI PC PORTATILI
L'utente è responsabile del PC portatile assegnatogli dal SISA e deve custodirlo con diligenza sia durante gli
spostamenti sia durante l'utilizzo nel luogo di lavoro.
Ai PC portatili si applicano le stesse regole di utilizzo previste dal presente Vedemecum/Disciplinare, con
particolare attenzione alla rimozione di eventuali file elaborati prima della riconsegna.
9. GESTIONE DEL SERVIZIO
a)
b)
c)
d)
Della gestione delle risorse informatiche così come dell’abilitazione per la connessione ad internet e del
servizio di posta elettronica è responsabile il SISA.
Il SISA è tenuto a:
adottare le misure più idonee a garantire continuità, disponibilità e sicurezza del servizio;
gestire i dati degli utenti nel rispetto della vigente normativa sulla tutela dei dati personali;
Informare tempestivamente gli utenti con anticipo di eventuali fermi o interruzioni di servizio che si
rendessero necessari per manutenzione o per cause di forza maggiore;
garantire la funzionalità tecnica delle strutture informatiche e telematiche.
In particolare il SISA cura:
o l’attribuzione e la revoca di account e di password e la gestione dei livelli di accesso;
o l’individuazione delle risorse informatiche e software relativamente agli acquisti ed il
collaudo di tutte le attrezzature informatiche, telematiche e software;
o la configurazione e l’amministrazione delle risorse informatiche e delle reti;
o la revoca dell'accesso temporaneo alla risorsa Informatica e di rete, sentito il Dirigente
preposto, qualora questo sia utilizzato impropriamente o in violazione delle leggi vigenti; l’
interruzione temporanea della prestazione del servizio in presenza di motivati problemi di
sicurezza, riservatezza o guasto tecnico, dandone tempestiva comunicazione all'utente;
o l’attivazione e/o disattivazione della casella di Posta Elettronica personale del Direttore
Generale, del Direttore Amministrativo e del Direttore Sanitario;
o l’attivazione/disattivazione di una casella di posta elettronica nominale per il dipendente,
autorizzato dal dirigente di riferimento;
o l’attivazione/disattivazione della casella di Posta Elettronica per i collaboratori, previa
richiesta del dirigente della struttura di afferenza;
o l’attivazione/disattivazione della casella di Posta Elettronica del servizio/struttura a seguito
di modifica organizzativa dell’Azienda (adozione, per esempio, di nuovo atto aziendale).
Ai fini degli adempimenti di cui sopra il Direttore del Servizio Risorse Umane, provvede periodicamente a
comunicare al SISA l’elenco del personale assunto/cessato.
Il SISA può accedere in qualsiasi momento, anche senza preavviso, ai locali e alle risorse informatiche dell’
Azienda sia in caso di emergenza, sia per effettuare gli interventi di assistenza, verifica e supporto.
Il SISA è autorizzato ad effettuare misure di controllo, censura, modifica, cancellazione di messaggi sui
server di posta elettronica :
Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy
-
5
per esigenze tecniche o di sicurezza del tutto particolari;
considerata l’ indispensabilità del dato rispetto all'esercizio o alla difesa di un diritto in sede
giudiziaria;
- dato l’obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta
dell'autorità giudiziaria o della polizia giudiziaria.
Dall’altro versante è fatto assoluto divieto al personale del SISA di effettuare controlli attraverso la lettura e
la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di
quanto tecnicamente necessario per svolgere il servizio e-mail;
E’ vietata altresì al SISA la riproduzione e l'eventuale memorizzazione sistematica delle pagine web
visualizzate dall’utente, la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo
dispositivo, l'analisi occulta di computer portatili affidati in uso.
10. ACCESSO A INTERNET E USO DI RETE AZIENDALE
La navigazione in internet e l’utilizzo del sistema di posta elettronica sono consentiti esclusivamente per gli
scopi attinenti al proprio lavoro e per il conseguimento dei fini istituzionali dell’Azienda.
Per l’accesso alla rete ciascun utente deve essere in possesso della specifica credenziale di autenticazione
(ID utente) e una parola chiave segreta (password).
È assolutamente proibito entrare nella rete e nei programmi con un codice d’identificazione utente diverso
da quello assegnato.
Le parola chiave d'ingresso alla rete ed ai programmi sono segrete e vanno comunicate e gestite secondo le
procedure impartite.
Tutti gli utenti cui è assegnata una postazione di lavoro possono utilizzare internet, su autorizzazione del
Direttore del Servizio, compatibilmente con le bande a disposizione e limitatamente ai siti istituzionali
importanti per lo svolgimento dell’attività lavorativa.
Al fine di prevenire il rischio di utilizzi impropri della rete, l’Azienda utilizza un sistema di filtri che
impediscono l’accesso diretto a siti che non hanno natura istituzionale.
Il divieto di accesso ad un sito appartenente alle categorie inibite viene visualizzato esplicitamente a video.
La lista, invece, dei siti permessi (white list) viene implementata nel tempo.
Durante la navigazione in Internet non è consentito inoltre:
 l’utilizzo di modem personali;
 navigare o registrarsi in siti non attinenti allo svolgimento delle mansioni assegnate;
 l’effettuazione di ogni genere di transazione finanziaria ivi comprese le operazioni di remote
Bancking, acquisti on line e simili, salvo casi espressamente autorizzati dalla Direzione Aziendale;
 lo scarico di software gratuiti e shareware prelevati da siti internet, salvo casi espressamente
autorizzati dalla Direzione Aziendale;
 la partecipazione, per motivi non professionali a Forum, l’utilizzo di Chat line, di bacheche
elettroniche e le registrazioni in guest book anche utilizzando pseudonimi (nickname);
 la memorizzazione di documenti informatici di natura oltraggiosa e/o discriminatoria per sesso,
lingua, religione, razza, origine etnica, condizioni di salute, opinione e appartenenza sindacale e/o
politica;
 l’uso e la navigazione su siti di tipo Xrated, Casinò virtuali, Webchat basare su java, siti Warez e
similari;
 scaricare/scambiare materiale coperto da diritto d’autore;
 eseguire o favorire pratiche di Spamming.
11. USO DELLA POSTA ELETTRONICA
La casella di posta elettronica, assegnata all'utente è uno strumento di lavoro.
Pertanto i dipendenti e/o collaboratori, assegnatari delle caselle di posta elettronica sono responsabili del
corretto utilizzo delle stesse.
Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy
6
La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili e soprattutto allegati
ingombranti.
L'accesso alla posta elettronica è personale e vi si passa tramite nome utente e password di identificazione.
L’accesso non può essere condiviso o ceduto.
I Direttori che intendono avvalersi di personale di segreteria per l’apertura della propria posta elettronica,
devono comunicare al SISA le generalità dell’ addetto con il quale viene condivisa la password.
La diffusione massiva di messaggi di posta elettronica deve essere effettuata esclusivamente per motivi
inerenti il servizio, possibilmente su autorizzazione del Dirigente responsabile competente.
Per evitare che le eventuali risposte siano inoltrate a tutti, generando traffico eccessivo ed
indesiderato, i destinatari dovranno essere messi in copia nascosta (Bcc o Ccn).
Non e` consentito diffondere messaggi del tipo ”catena di s. Antonio” o di tipologia simile anche se il
contenuto sembra meritevole di attenzione; in particolare gli appelli di solidarietà e i messaggi che
informano dell'esistenza di nuovi virus.
Ciascun operatore può, anche da postazioni esterne all'azienda, utilizzare specifiche funzionalità di posta
elettronica per inviare automaticamente, in caso di assenza, messaggi di risposta che informino il mittente
della propria indisponibilità, e funzioni di inoltro automatico dei messaggi ricevuti verso indirizzi di altro
personale dipendente.
Nel caso in cui un dipendente si assenti senza aver provveduto ad attivare i suddetti sistemi di inoltro
automatico, un fiduciario, da lui preventivamente nominato, o, in sua assenza, il Direttore della Struttura
Operativa, potrà accedere alla casella di posta al fine di garantire la continuità dell'attività lavorativa.
La nomina del fiduciario deve essere redatta in forma scritta, riportare la sottoscrizione del fiduciante e del
fiduciario e consegnata al responsabile del servizio.
E’ consentito utilizzare, anche per ragioni personali, servizi di posta elettronica o di rete, anche solo da
determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail, fuori dall’orario di
servizio o durante le pause in modo moderato.
Non è consentito altresì:
 utilizzare l’indirizzo di posta elettronica aziendale per motivi non attinenti allo svolgimento delle
mansioni assegnate;
 usare il servizio per scopi illegali, per inviare e ricevere materiale pornografico, osceno, volgare,
diffamatorio, oltraggioso, discriminatorio, abusivo, pericoloso;
 utilizzare l’indirizzo di posta elettronica per la partecipazione a dibattiti, Forum o mailing-list, su
internet per motivi non professionali;
 effettuare ogni genere di comunicazione finanziaria ivi comprese le operazioni di remote Banking,
acquisti on line e simili, salvo diversa ed esplicita autorizzazione aziendale;
 simulare l’identità di un altro utente, ovvero utilizzare credenziali di posta, non proprie, per l’invio
di messaggi;
 prendere visione della posta altrui;
 aprire allegati di posta elettronica ambigui o di incerta provenienza ( gli allegati possono, infatti,
contenere virus o codici nascosti di natura dolosa che possono comportare la divulgazione di
password o il danneggiamento di dati);
 modificare la configurazione hardware e software della propria macchina; né utilizzare sistemi
client di posta elettronica non conformi a quelli accettati dall’azienda;
 l’utilizzo di critto sistemi o di qualsiasi altro programma di sicurezza e/o crittografia non previsto
esplicitamente dal servizio informatico aziendale;
 l’invio di informazioni o documentazioni ad Istituti, Enti pubblici o privati, Associazioni, Comuni,
Regioni senza previa autorizzazione della Direzione Aziendale;
 la trasmissione a mezzo posta elettronica di dati sensibili, personali e/o commerciali di alcun
genere se non nel rispetto delle norme sulla disciplina del trattamento e della protezione dei dati.
In caso di violazione o inadempimento di quanto riportato il SISA procederà al distacco dell'utente dal
collegamento ad internet e ne darà comunicazione al Servizio Risorse Umane per l'eventuale accertamento
di responsabilità disciplinari del personale dipendente.
12. PROTEZIONE ANTIVIRUS
Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy
7
Il sistema informatico dell’azienda è protetto da software antivirus aggiornato quotidianamente. Ogni
utente deve comunque tenere comportamenti tali da ridurre il rischio di attacco al sistema informatico
aziendale mediante virus o mediante ogni altro software aggressivo.
Nel caso il software antivirus rilevi la presenza di un virus, l'utente dovrà immediatamente sospendere ogni
elaborazione in corso senza spegnere il computer nonché segnalare prontamente l'accaduto al personale
del SISA.
Ogni dispositivo magnetico di provenienza esterna all'Azienda dovrà essere verificato mediante il
programma antivirus prima del suo utilizzo e, nel caso venga rilevato un virus, dovrà essere prontamente
consegnato al personale del SISA.
13. COMPITI E RESPONSABILITÀ
L’utente è responsabile della propria postazione informatica e della sua casella di Posta Elettronica
Personale.
L’utente è responsabile della segretezza del proprio user ID e relativa Password. È anche responsabile del
contenuto dei messaggi inviati dalla propria casella elettronica.
I responsabili delle Unità Operative e/o Servizi Aziendali dovranno adottare misure idonee per un corretto
utilizzo delle risorse informatiche messe a disposizione della loro struttura, esercitando una funzione di
istruzione, indirizzo e controllo sugli utenti incaricati ed individuando con precisione le responsabilità per la
gestione dei dati, dei salvataggi e delle risorse stesse.
In caso di cessazione del rapporto di lavoro, trasferimento ad altro servizio, o comunque di non necessità di
utilizzo da parte di utenti già autorizzati, sarà data tempestiva comunicazione scritta, per gli applicativi da
esso gestiti, al SISA che provvederà alla disattivazione delle credenziali di autenticazione ovvero alla loro
modifica per ogni diversa esigenza.
Il SISA è responsabile della sicurezza, della funzionalità e del corretto impiego delle risorse informatiche
centralizzate e della rete aziendale. Non rientrano nelle proprie competenze la gestione e l’assistenza
tecnica delle apparecchiature elettromedicali.
Per le postazioni personal computer “stand alone”, ossia non collegate in rete, la responsabilità
nell’applicazione delle misure minime di sicurezza è demandata all’utente finale ed al direttore dell’Unità
Operativa/Sevizio che le ha in dotazione.
16. GESTIONE DEGLI INDIRIZZI
Gli indirizzi di posta elettronica per le strutture aziendali, condivisi da più operatori assegnati a ciascuna di
esse sono attivati con la seguente immodificabile nomenclatura [email protected].
Per le caselle personali gli indirizzi di posta elettronica, fatto salvi i casi di omonimia o esigenze particolari,
hanno la seguente immodificabile nomenclatura: “[email protected]”.
La “personalizzazione” dell’indirizzo non comporta la sua “privatezza”, in quanto trattasi di strumenti di
esclusiva proprietà aziendale, messi a disposizione del dipendente al solo fine dello svolgimento delle
proprie mansioni lavorative.
Nei messaggi inviati tramite posta elettronica aziendale (di servizio e/o nominative) verrà accluso il
seguente testo: “Si segnala che il presente messaggio e le risposte allo stesso potranno essere conosciute
dall’organizzazione lavorativa di appartenenza del mittente secondo le modalità previste dal Disciplinare
Aziendale adottato in materia. Se per un disguido avete ricevuto questa e-mail senza esserne i destinatari
vogliate cortesemente distruggerla e darne informazione all’indirizzo mittente”.
17. CONTROLLI
I controlli, anche saltuari o occasionali, saranno svolti in conformità alla legge:
- per eseguire verifiche sulla funzionalità e sicurezza del sistema;
- per verificare il corretto utilizzo da parte dei propri dipendenti tanto della rete internet che della
posta elettronica.
Nell’esercizio del potere di controllo l’ASP di Cosenza si atterrà al principio generale di proporzionalità e
non eccedenza delle attività di controllo, rispettando le procedure di informazione/consultazione delle
Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy
8
rappresentanze dei lavoratori previste dai contratti collettivi e informerà preventivamente i lavoratori
dell’esistenza di dispositivi di controllo atti a raccogliere i dati personali.
L’ASP di Cosenza adegua le sue prescrizioni di controllo a quanto affermato dalla Corte europea dei diritti
dell'uomo “Il luogo di lavoro è una formazione sociale nella quale va assicurata la tutela dei diritti, delle
libertà fondamentali e della dignità degli interessati garantendo che, in una cornice di reciproci diritti e
doveri, sia assicurata l'esplicazione della personalità del lavoratore e una ragionevole protezione della sua
sfera di riservatezza nelle relazioni personali e professionali”
I controlli si svolgeranno in forma graduata:
1. In via preliminare l’azienda provvederà ad eseguire dei controlli su dati aggregati, riferiti all’intera
struttura lavorativa ovvero a sue aree e dunque ad un controllo anonimo che può concludersi con un avviso
generalizzato relativo ad un rilevato utilizzo anomalo degli strumenti aziendali e con l'invito ad attenersi
scrupolosamente a compiti assegnati e istruzioni impartite.
L'avviso può essere circoscritto a dipendenti afferenti all'area o settore in cui è stata rilevata l'anomalia;
2. In assenza di successive anomalie non si effettueranno controlli su base individuale;
3. Nel perdurare delle anomalie si procederà a controlli su base individuale o per postazioni di lavoro e in
caso di abusi singoli e reiterati si eseguiranno controlli nominativi o su singoli dispositivi e/o postazioni di
lavoro (indicando le ragioni legittime, specifiche e non generiche, per cui i controlli verrebbero effettuati anche per verifiche sulla funzionalità e sicurezza del sistema - e le relative modalità - inoltrando preventivi
avvisi collettivi o individuali);
4. In caso in cui la posta elettronica e la rete Internet siano utilizzate indebitamente o di riscontrato e
ripetuto uso non conforme delle risorse informatiche, il SISA, che effettua i controlli, segnalerà il
comportamento al responsabile della struttura di appartenenza del dipendente il quale attiverà il
procedimento disciplinare nelle forme e con le modalità previste dal C.C.N.L. del comparto sanità.
5. Per il personale dirigente il comportamento andrà segnalato alla Direzione Aziendale ed al competente
Ufficio per i procedimenti disciplinari per l’adozione degli atti di rispettiva competenza.
6. Per il personale non dipendente cui non è applicabile il C.C.N.L. il comportamento andrà segnalato alla
Direzione Aziendale per l’adozione degli atti di specifica competenza.
18. INTERRUZIONE E CESSAZIONE D’UFFICIO DEL SERVIZIO
Eventuali interruzioni del servizio sono comunicate agli utenti.
Ai sensi del presente regolamento, l’utilizzo del servizio di accesso ad internet e di utilizzo di posta
elettronica cessa d’ufficio nei seguenti casi:
- se non sussiste più la condizione di dipendente o collaboratore autorizzato o non è confermata
l’autorizzazione all’uso;
- se è accertato un uso non corretto del servizio da parte dell’utente o comunque un uso estraneo ai suoi
compiti professionali;
- se vengono sospettate manomissioni e/o interventi sul hardware e/o sul software dell’utente impiegati
per la connessione compiuti eventualmente da personale non autorizzato;
- in caso di diffusione o comunicazione imputabili direttamente o indirettamente all’utente, di password,
procedure di connessione, indirizzo I.P. ed altre informazioni tecniche riservate;
- in caso di accesso doloso dell’utente a directory, a siti e/o file e/o servizi da chiunque resi disponibili non
rientranti fra quelli per lui autorizzati e in ogni caso qualora l’attività dell’utente comporti danno, anche
solo potenziale al sito contattato;
- in caso di concessione di accesso ad internet diretta o indiretta a qualsiasi titolo da parte dell’utente a
terzi.
19. DICHIARAZIONE DI ASSUNZIONE DI RESPONSABILITÀ PER L’ ACCESSO A INTERNET DALLE POSTAZIONI
AZIENDALI
Qualora l’utente acceda a Internet tramite la rete dell’Azienda, è tenuto a sottoscrivere la seguente
dichiarazione di assunzione di responsabilità e acquisisce lo status di responsabile per la gestione e l'utilizzo
della risorsa stessa;
Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy
DICHIARAZIONE DI ASSUNZIONE DI RESPONSABILITÀ PER L’ ACCESSO A INTERNET DALLE POSTAZIONI
AZIENDALI (da sottoscrivere e trasmettere al Settore Informatico)
9
Il sottoscritto, firmando il presente documento, riconosce di aver letto, compreso ed accettato
integralmente le politiche e le regole della ASP di Cosenza, riguardo l'utilizzo e l'accesso a Internet;
il sottoscritto si assume inoltre la piena responsabilità in caso di violazione delle leggi e dei regolamenti
riconducibili al suo accesso personale.
Nome e Cognome :
…………………………………………………………………………..
Settore :
…………………………………………………………………………..
Firma :
..…………………………………………………………………………..
20. INFORMATIVA AI SENSI DELL’ART. 13 D.L.VO 196/03 AL DIPENDENTE E/O COLLABORATORE RELATIVA
AL TRATTAMENTO DEI DATI PERSONALI IN CASO DI CONTROLLO SULL’USO DEGLI STRUMENTI INFORMATICI
L’ ASP di Cosenza è TITOLARE del trattamento dei dati personali relativo all’utilizzo di strumenti elettronici
da parte dei lavoratori.
FINALITA’ del trattamento è la verifica del corretto utilizzo delle risorse informatiche, della posta elettronica
e della rete Internet nel rapporto di lavoro.
MODALITA’ del trattamento: gli operatori del SISA all’uopo incaricati dalla Direzione Aziendale
effettueranno il trattamento dei dati con strumenti informatici.
COMUNICAZIONE DEI DATI: Il trattamento di verifica è effettuato con gradualità e per aree aggregate per
cui i dati non vengono comunicati con riferimento al trattamento del singolo lavoratore; la comunicazione,
nel caso in cui si accerti un uso indebito della singola postazione, sarà data al Direttore della Struttura
Operativa alla quale appartiene il dipendente per la valutazione del caso sotto il profilo disciplinare.
DIRITTI DELL’INTERESSATO: Il dipendente potrà far valere i diritti di cui all’art. 7 del D.Lgs. 196/03 facendo
pervenire richiesta scritta al responsabile del Trattamento dati che è il Direttore apicale della Struttura nella
quale opera.
21. OSSERVANZA DELLE DISPOSIZIONI IN MATERIA DI PRIVACY
È obbligatorio attenersi alle disposizioni in materia di Privacy e di misure minime di sicurezza, come indicato
della lettera di designazione ad Incaricato del trattamento dei dati ai sensi del Disciplinare tecnico allegato
al D.Lgs. n. 196/2003.
22. CONSERVAZIONE DEI DATI
In applicazione ai principi di diritto di accesso, legittimità, proporzionalità, sicurezza ed accuratezza e
conservazione dei dati, le informazioni relative all’accesso ad Internet ed al traffico telematico la cui
conservazione non sia necessaria, saranno cancellati entro tre mesi dalla loro produzione.
In casi eccezionali (ad es.: per esigenze tecniche o di sicurezza; o per l’indispensabilità del dati rispetto
all’esercizio o alla difesa di un diritto in sede giudiziaria o, infine, all’obbligo di custodire o consegnare i dati
per ottemperare ad una specifica richiesta dell’autorità giudiziaria o della polizia giudiziaria) è consentito il
prolungamento dei tempi di conservazione limitatamente al soddisfacimento delle esigenze sopra
esplicitate.
L’ASP di Cosenza si impegna ad assumere le misure di sicurezza nel trattamento e nella conservazione di
tale tipologia di dati alla luce di quanto stabilito dal Legislatore.
23. DISPOSIZIONI FINALI – FORMAZIONE E COINVOLGIMENTO DEGLI UTENTI
Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy
L’ASP di Cosenza, ai fini di un corretto utilizzo degli strumenti informatici e telematici, promuove la
formazione interna degli utenti su due livelli: le nozioni basi dell’informatica e l’ approfondimento sulle
tecnologie più all’avanguardia.
Tutti gli utenti possono proporre, quando ritenuto necessario, integrazioni motivate al presente
Vademecum/Disciplinare. Le proposte verranno esaminate dalla Direzione Generale.
10
Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy
ALLEGATO 1
LEGGE 20 maggio 1970, n. 300 (Statuto dei lavoratori) Norme sulla tutela della libertà e dignità del
lavoratori, della libertà sindacale e dell'attività sindacale nel luoghi di lavoro e norme sul collocamento.
ART. 4 - Impianti audiovisivi.
11
È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza
dell'attività dei lavoratori.
Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive
ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell'attività
dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali,
oppure, in mancanza di queste, con la commissione interna.
In difetto di accordo, su istanza del datore di lavoro, provvede l'Ispettorato del lavoro, dettando, ove
occorra, le modalità per l'uso di tali impianti.
Per gli impianti e le apparecchiature esistenti, che rispondano alle caratteristiche di cui al secondo comma
del presente articolo, in mancanza di accordo con le rappresentanze sindacali aziendali o con la
commissione interna, l'Ispettorato del lavoro provvede entro un anno dall'entrata in vigore della presente
legge, dettando all'occorrenza le prescrizioni per l'adeguamento e le modalità di uso degli impianti
suddetti.
Contro i provvedimenti dell'Ispettorato del lavoro, di cui ai precedenti secondo e terzo comma, il datore di
lavoro, le rappresentanze sindacali aziendali o, in mancanza di queste, la commissione interna, oppure i
sindacati dei lavoratori di cui al successivo art. 19 possono ricorrere, entro 30 giorni dalla comunicazione
del provvedimento, al Ministro per il lavoro e la previdenza sociale.
ART. 7. - Sanzioni disciplinari.
Le norme disciplinari relative alle sanzioni, alle infrazioni in relazione alle quali ciascuna di esse può essere
applicata ed alle procedure di contestazione delle stesse, devono essere portate a conoscenza dei
lavoratori mediante affissione in luogo accessibile a tutti.
Esse devono applicare quanto in materia è stabilito da accordi e contratti di lavoro ove esistano.
Il datore di lavoro non può adottare alcun provvedimento disciplinare nei confronti del lavoratore senza
avergli preventivamente contestato l'addebito e senza averlo sentito a sua difesa .
Il lavoratore potrà farsi assistere da un rappresentante dell'associazione sindacale cui aderisce o conferisce
mandato.
Fermo restando quanto disposto dalla legge 15 luglio 1966, n. 604, non possono essere disposte sanzioni
disciplinari che comportino mutamenti definitivi del rapporto di lavoro; inoltre la multa non può essere
disposta per un importo superiore a quattro ore della retribuzione base e la sospensione dal servizio e dalla
retribuzione per più di dieci giorni.
In ogni caso, i provvedimenti disciplinari più gravi del rimprovero verbale non possono essere applicati
prima che siano trascorsi cinque giorni dalla contestazione per iscritto del fatto che vi ha dato causa.
Salvo analoghe procedure previste dai contratti collettivi di lavoro e ferma restando la facoltà di adire
l'autorità giudiziaria, il lavoratore al quale sia stata applicata una sanzione disciplinare può promuovere, nei
venti giorni successivi, anche per mezzo dell'associazione alla quale sia iscritto ovvero conferisca mandato,
la costituzione, tramite l'ufficio provinciale del lavoro e della massima occupazione, di un collegio di
conciliazione ed arbitrato, composto da un rappresentante di ciascuna delle parti e da un terzo membro
scelto di comune accordo o, in difetto di accordo, nominato dal direttore dell'ufficio del lavoro.
La sanzione disciplinare resta sospesa fino alla pronuncia da parte del collegio.
Qualora il datore di lavoro non provveda, entro dieci giorni dall'invito rivoltogli dall'ufficio del lavoro, a
nominare il proprio rappresentante in seno al collegio di cui al comma precedente, la sanzione disciplinare
non ha effetto.
Se il datore di lavoro adisce l'autorità giudiziaria, la sanzione disciplinare resta sospesa fino alla definizione
del giudizio.
Non può tenersi conto ad alcun effetto delle sanzioni disciplinari decorsi due anni dalla loro applicazione.