7_Vademecum_Discipli..
Transcript
7_Vademecum_Discipli..
Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy VADEMECUM/DISCIPLINARE AZIENDALE SULL’UTILIZZO DELLE RISORSE INFORMATICHE, INTERNET E POSTA ELETTRONICA DA PARTE DEI DIPENDENTI E/O COLLABORATORI ALLEGATO ALLA DELIBERA N.3843 DEL 30.11.2011 Premessa 1 - - - a) b) L’uso crescente delle tecnologie informatiche nelle aziende pubbliche, comprese le aziende sanitarie territoriali, ha consentito l’introduzione di innovative tecniche di gestione, ma ha anche generato significativi problemi relativi all’utilizzo degli strumenti informatici da parte dei dipendenti per lo svolgimento dei compiti loro affidati. Si possono infatti verificare dei casi di abuso da parte dei dipendenti sia della posta elettronica (per scopi personali o peggio ancora per inviare notizie o documenti riservati) che della rete internet (attraverso cui, ad esempio, si può accedere a siti illegali o commettere reati). Occorre pertanto informare che questi comportamenti sono contrari ai doveri di diligenza e fedeltà previsti dagli artt. 2104 e 2105 del c.c., punibili fino al licenziamento. Da qui è nata l’esigenza di prevedere adeguati e proporzionati sistemi di controllo sull’utilizzo degli strumenti informatici da parte dei dipendenti e di sanzionarne gli usi scorretti. Ma, accanto al diritto dell’ASP di Cosenza di garantire l’integrità e l’efficienza della propria organizzazione, anche attraverso l’esercizio del proprio potere direttivo, di controllo e disciplinare, esiste anche il sacrosanto diritto del lavoratore a non vedere invasa la propria sfera personale, il diritto cioè alla riservatezza ed alla dignità personale. Per questo secondo aspetto i riferimenti normativi sono: l’art. 15 della Costituzione che afferma:“La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. La loro limitazione può avvenire soltanto per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge”; l’ Art. 616 c.p. che prevede il reato di violazione, sottrazione e soppressione di corrispondenza, compresa quella informatica o telematica; l’ Art. 4 della legge 20.5.1970, n. 300, recante “Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e dell’attività sindacale nei luoghi di lavoro e norme sul collocamento”(Statuto dei lavoratori) secondo il quale è vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori; il Decreto Legislativo n. 196 del 23 giugno 2003, recante “Codice in materia di protezione dei dati personali” che prevede che il trattamento dei dati personali possa essere effettuato solo nel rispetto dei principi di finalità, necessità, proporzionalità e indispensabilità. Alla luce di queste considerazioni e in relazione al Provvedimento del Garante per la Protezione dei Dati Personali, del 01 marzo 2007, recante “Lavoro: le linee guida del Garante per posta elettronica e internet”, l’Azienda Sanitaria Provinciale di Cosenza ha predisposto il seguente Vademecum/Disciplinare aziendale sull’utilizzo delle risorse informatiche, internet e posta elettronica da parte dei dipendenti e/o collaboratori. Il disciplinare è stato redatto tenendo conto: delle disposizioni contenute nella Legge. n. 300/1970 in tema di provvedimenti disciplinari (art. 7); degli specifici obblighi previsti dal Codice della privacy, dal Disciplinare tecnico sulle misure minime di sicurezza ad esso allegato e dall’art. 29, 1°comma del D.Lgs. n. 242/1996 (in tema di controlli operati mediante il sistema informatico aziendale). Il Disciplinare inoltre verrà sottoposto ad aggiornamento periodico, a seconda delle novità organizzative dell’azienda e in relazione ai crescenti sviluppi tecnologici dell’informatica e della telematica. Sono tenuti all’osservanza delle presenti disposizioni i Direttori/Responsabili di Struttura, i Dipendenti, nonché gli “esterni” all’Azienda, nei casi relativi a collaborazione di persone fisiche o giuridiche (convenzioni, consulenze, tirocini, ecc.). Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy *Il Vademecum è stato redatto dal Responsabile dell’Ufficio Privacy, Dr.ssa Maria Francesca Lucanto, in collaborazione con l’Ing. Vincenzo Ciminelli e sottoposto al vaglio del Direttore del SISA, delle RSU aziendali e del Direttore dell’ U.O.C. Risorse Umane che lo hanno ritenuto valevole. VADEMECUM/DISCIPLINARE AZIENDALE SULL’UTILIZZO DELLE RISORSE INFORMATICHE, INTERNET E POSTA ELETTRONICA DA PARTE DEI DIPENDENTI E/O COLLABORATORI 2 1. FINALITÀ E PRINCIPI Il presente vademecum/disciplinare intende prevenire gli usi illegittimi degli strumenti informatici aziendali e nello stesso tempo preservare la riservatezza dei dipendenti e/o collaboratori dell’ASP di Cosenza in caso di controlli sull’uso di detti strumenti da parte degli stessi. Si prescrive che l'utilizzo delle risorse informatiche e telematiche si ispiri sempre al principio della diligenza e correttezza, onde evitare che comportamenti anche inconsapevoli possano attivare problemi o minacce alla sicurezza informatica e al trattamento dei dati. Dall’altro versante, per quanto riguarda la tutela della privacy dei dipendenti e/o collaboratori, i principi che sono a fondamento del presente Vademecum/Disciplinare sono gli stessi espressi nel D.Lgs.vo 196/03, e, precisamente: - il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi in relazione alle finalità perseguite; - il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti attraverso le tecnologie dell'informazione che permettono di svolgere trattamenti ulteriori rispetto a quelli connessi ordinariamente all'attività lavorativa devono essere rese note ai lavoratori; - il principio per cui i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime, osservando il principio di pertinenza e non eccedenza per cui si devono trattare i dati "nella misura meno invasiva possibile", le attività di monitoraggio devono essere svolte solo da soggetti preposti ed essere "mirate sull'area di rischio, tenendo conto della normativa sulla protezione dei dati e, se pertinente, del principio di segretezza della corrispondenza" . E’ riconosciuto comunque all’ASP di Cosenza di potere svolgere attività di monitoraggio sull’uso degli strumenti informatici, attività che saranno svolte solo dal personale del SISA a ciò incaricato, sempre nel rispetto della normativa privacy. Le norme di seguito previste si aggiungono ed integrano le specifiche istruzioni già fornite a tutti gli Incaricati ed i Responsabili del Trattamento dei dati, in attuazione del D.Lgs. 30 giugno 2003 n. 196 “Codice in materia di protezione dei dati personali”e del Disciplinare tecnico (Allegato B al citato decreto legislativo) contenente le misure minime e idonee di sicurezza. Esse contengono anche le informazioni ai dipendenti e/o collaboratori dell’ASP di Cosenza sulle ragioni e sulle modalità dei possibili controlli e sulle conseguenze di tipo disciplinare in caso di violazione delle previste prescrizioni. 2. DEFINIZIONI - - Ai fini delle disposizioni dettate per l’utilizzo delle risorse informatiche e telematiche, deve intendersi per: “utente” ogni dipendente e/o collaboratore (a progetto, in stage, volontario, tirocinante ecc.) in possesso di specifiche credenziali di autenticazione. Tale figura potrà anche venir indicata quale “Incaricato del trattamento”; SISA : Servizio Informativo Statistico Aziendale; ASP di Cosenza: Azienda Sanitaria Provinciale di Cosenza; 3. CAMPO DI APPLICAZIONE E DIFFUSIONE DEL VADEMECUM/DISCIPLINARE Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy Il Vademecum/Disciplinare è rivolto a tutti i dipendenti, senza distinzione di ruolo e/o livello, e a tutti i collaboratori dell’ASP di Cosenza a prescindere dal rapporto contrattuale con la stessa intrattenuto (collaboratore a progetto, in stage, consulenti, tirocinanti ecc.). Copia del Vademecum/Disciplinare, oltre ad essere consegnato a ciascun servizio e affisso nelle bacheche aziendali, verrà diffuso capillarmente tra i dipendenti e/o collaboratori accompagnandolo alla prima busta paga susseguente alla sua stesura. 3 4. TUTELA DEL DIPENDENTE E/O COLLABORATORE La tutela del dipendente e/o collaboratore è assicurata dall’osservanza dell’art. 4, comma 1 della Legge n. 300/1970. Quanto disposto in questo Vademecum/Disciplinare non è infatti finalizzato all’esercizio di un controllo a distanza dei lavoratori da parte dell’ASP di Cosenza, ma solo a permettere a quest’ultimo di utilizzare correttamente i sistemi informativi fornendo le prescrizioni a ciò indirizzate, e prevenendo in tal modo usi illegittimi soggetti a provvedimenti disciplinari. E’ garantito al singolo dipendente e/o collaboratore il diritto di accesso ai dati personali che lo riguardano, giusto articolo 7 del Decreto legislativo 196/93. 5. UTILIZZO DEL PERSONAL COMPUTER Il Personal computer è fornito all’utente quale strumento di lavoro. E’ pertanto vietato ogni suo utilizzo non inerente all'attività lavorativa che possa provocare inefficienze, ulteriori costi di manutenzione e, soprattutto, minacce alla sicurezza. Il personal computer affidato all’utente permette l’accesso alla rete aziendale solo attraverso specifiche credenziali di autenticazione. L’ASP di Cosenza rende noto che il personale incaricato che opera presso il SISA è stato autorizzato a compiere interventi nel sistema informatico aziendale: - per garantirne la sicurezza e la salvaguardia; - per motivi tecnici e/o manutentivi. Gli interventi vengono effettuati su chiamata dell’utente o, in caso di oggettiva necessità, a seguito della rilevazione tecnica di problemi nel sistema informatico e telematico. In quest’ultimo caso, e qualora non si pregiudichi la tempestività dell’intervento, verrà data comunicazione della necessità dell’intervento stesso. Non è consentito l'uso di programmi diversi da quelli ufficialmente installati dal personale del SISA per conto dell’ASP di Cosenza, né è consentito installare autonomamente programmi provenienti dall'esterno. Il Personal Computer deve essere spento prima di lasciare gli uffici o in caso di assenze prolungate dall'ufficio o in caso di suo inutilizzo. E’ vietato lasciare un elaboratore incustodito connesso alla rete, che può essere causa di utilizzo da parte di terzi, senza che vi sia la possibilità di provarne in seguito l'indebito uso. Per evitare di lasciare incustodito il PC, anche in caso di mancato spegnimento da parte dell’utente, è fortemente consigliato adottare il savescreen a tempo, con obbligo di reintrodurre la password per l’accesso. 6. GESTIONE ED ASSEGNAZIONE DELLE CREDENZIALI DI AUTENTICAZIONE Le credenziali di autenticazione per l’accesso al PC sono assegnate all’utente dal personale del SISA, previa formale richiesta del Direttore dell’unità operativa dove l’utente è inserito ed opera. Le credenziali di autenticazione consistono in un codice per l’identificazione dell’utente (user id), associato ad una parola chiave (password) riservata che dovrà venir diligentemente custodita dall' utente e non divulgata. La parola chiave, formata da lettere maiuscole o minuscole e/o numeri, anche in combinazione fra loro, deve essere composta da almeno otto caratteri e non deve contenere riferimenti agevolmente riconducibili all’utente. Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy È necessario che l’utente proceda alla modifica della parola chiave al primo utilizzo e, successivamente, almeno ogni sei mesi (ogni tre mesi nel caso invece di trattamento di dati sensibili). E’ opportuno che almeno ogni tre mesi ciascun utente provveda alla pulizia degli archivi, con cancellazione dei file obsoleti o inutili, così come sono da evitare le copie ridondanti dei documenti. 7. UTILIZZO E CONSERVAZIONE DEI SUPPORTI RIMOVIBILI Tutti i supporti magnetici rimovibili (dischetti, CD e DVD riscrivibili, supporti USB, ecc.), contenenti dati sensibili nonché informazioni costituenti know-how aziendale, devono essere trattati in modo tale da evitare che il loro contenuto possa essere trafugato o alterato e/o distrutto o, successivamente alla cancellazione, recuperato. I supporti magnetici contenenti dati sensibili devono essere dagli utenti adeguatamente custoditi in armadi chiusi. 4 8. UTILIZZO DI PC PORTATILI L'utente è responsabile del PC portatile assegnatogli dal SISA e deve custodirlo con diligenza sia durante gli spostamenti sia durante l'utilizzo nel luogo di lavoro. Ai PC portatili si applicano le stesse regole di utilizzo previste dal presente Vedemecum/Disciplinare, con particolare attenzione alla rimozione di eventuali file elaborati prima della riconsegna. 9. GESTIONE DEL SERVIZIO a) b) c) d) Della gestione delle risorse informatiche così come dell’abilitazione per la connessione ad internet e del servizio di posta elettronica è responsabile il SISA. Il SISA è tenuto a: adottare le misure più idonee a garantire continuità, disponibilità e sicurezza del servizio; gestire i dati degli utenti nel rispetto della vigente normativa sulla tutela dei dati personali; Informare tempestivamente gli utenti con anticipo di eventuali fermi o interruzioni di servizio che si rendessero necessari per manutenzione o per cause di forza maggiore; garantire la funzionalità tecnica delle strutture informatiche e telematiche. In particolare il SISA cura: o l’attribuzione e la revoca di account e di password e la gestione dei livelli di accesso; o l’individuazione delle risorse informatiche e software relativamente agli acquisti ed il collaudo di tutte le attrezzature informatiche, telematiche e software; o la configurazione e l’amministrazione delle risorse informatiche e delle reti; o la revoca dell'accesso temporaneo alla risorsa Informatica e di rete, sentito il Dirigente preposto, qualora questo sia utilizzato impropriamente o in violazione delle leggi vigenti; l’ interruzione temporanea della prestazione del servizio in presenza di motivati problemi di sicurezza, riservatezza o guasto tecnico, dandone tempestiva comunicazione all'utente; o l’attivazione e/o disattivazione della casella di Posta Elettronica personale del Direttore Generale, del Direttore Amministrativo e del Direttore Sanitario; o l’attivazione/disattivazione di una casella di posta elettronica nominale per il dipendente, autorizzato dal dirigente di riferimento; o l’attivazione/disattivazione della casella di Posta Elettronica per i collaboratori, previa richiesta del dirigente della struttura di afferenza; o l’attivazione/disattivazione della casella di Posta Elettronica del servizio/struttura a seguito di modifica organizzativa dell’Azienda (adozione, per esempio, di nuovo atto aziendale). Ai fini degli adempimenti di cui sopra il Direttore del Servizio Risorse Umane, provvede periodicamente a comunicare al SISA l’elenco del personale assunto/cessato. Il SISA può accedere in qualsiasi momento, anche senza preavviso, ai locali e alle risorse informatiche dell’ Azienda sia in caso di emergenza, sia per effettuare gli interventi di assistenza, verifica e supporto. Il SISA è autorizzato ad effettuare misure di controllo, censura, modifica, cancellazione di messaggi sui server di posta elettronica : Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy - 5 per esigenze tecniche o di sicurezza del tutto particolari; considerata l’ indispensabilità del dato rispetto all'esercizio o alla difesa di un diritto in sede giudiziaria; - dato l’obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell'autorità giudiziaria o della polizia giudiziaria. Dall’altro versante è fatto assoluto divieto al personale del SISA di effettuare controlli attraverso la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail; E’ vietata altresì al SISA la riproduzione e l'eventuale memorizzazione sistematica delle pagine web visualizzate dall’utente, la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo, l'analisi occulta di computer portatili affidati in uso. 10. ACCESSO A INTERNET E USO DI RETE AZIENDALE La navigazione in internet e l’utilizzo del sistema di posta elettronica sono consentiti esclusivamente per gli scopi attinenti al proprio lavoro e per il conseguimento dei fini istituzionali dell’Azienda. Per l’accesso alla rete ciascun utente deve essere in possesso della specifica credenziale di autenticazione (ID utente) e una parola chiave segreta (password). È assolutamente proibito entrare nella rete e nei programmi con un codice d’identificazione utente diverso da quello assegnato. Le parola chiave d'ingresso alla rete ed ai programmi sono segrete e vanno comunicate e gestite secondo le procedure impartite. Tutti gli utenti cui è assegnata una postazione di lavoro possono utilizzare internet, su autorizzazione del Direttore del Servizio, compatibilmente con le bande a disposizione e limitatamente ai siti istituzionali importanti per lo svolgimento dell’attività lavorativa. Al fine di prevenire il rischio di utilizzi impropri della rete, l’Azienda utilizza un sistema di filtri che impediscono l’accesso diretto a siti che non hanno natura istituzionale. Il divieto di accesso ad un sito appartenente alle categorie inibite viene visualizzato esplicitamente a video. La lista, invece, dei siti permessi (white list) viene implementata nel tempo. Durante la navigazione in Internet non è consentito inoltre: l’utilizzo di modem personali; navigare o registrarsi in siti non attinenti allo svolgimento delle mansioni assegnate; l’effettuazione di ogni genere di transazione finanziaria ivi comprese le operazioni di remote Bancking, acquisti on line e simili, salvo casi espressamente autorizzati dalla Direzione Aziendale; lo scarico di software gratuiti e shareware prelevati da siti internet, salvo casi espressamente autorizzati dalla Direzione Aziendale; la partecipazione, per motivi non professionali a Forum, l’utilizzo di Chat line, di bacheche elettroniche e le registrazioni in guest book anche utilizzando pseudonimi (nickname); la memorizzazione di documenti informatici di natura oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, condizioni di salute, opinione e appartenenza sindacale e/o politica; l’uso e la navigazione su siti di tipo Xrated, Casinò virtuali, Webchat basare su java, siti Warez e similari; scaricare/scambiare materiale coperto da diritto d’autore; eseguire o favorire pratiche di Spamming. 11. USO DELLA POSTA ELETTRONICA La casella di posta elettronica, assegnata all'utente è uno strumento di lavoro. Pertanto i dipendenti e/o collaboratori, assegnatari delle caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse. Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy 6 La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili e soprattutto allegati ingombranti. L'accesso alla posta elettronica è personale e vi si passa tramite nome utente e password di identificazione. L’accesso non può essere condiviso o ceduto. I Direttori che intendono avvalersi di personale di segreteria per l’apertura della propria posta elettronica, devono comunicare al SISA le generalità dell’ addetto con il quale viene condivisa la password. La diffusione massiva di messaggi di posta elettronica deve essere effettuata esclusivamente per motivi inerenti il servizio, possibilmente su autorizzazione del Dirigente responsabile competente. Per evitare che le eventuali risposte siano inoltrate a tutti, generando traffico eccessivo ed indesiderato, i destinatari dovranno essere messi in copia nascosta (Bcc o Ccn). Non e` consentito diffondere messaggi del tipo ”catena di s. Antonio” o di tipologia simile anche se il contenuto sembra meritevole di attenzione; in particolare gli appelli di solidarietà e i messaggi che informano dell'esistenza di nuovi virus. Ciascun operatore può, anche da postazioni esterne all'azienda, utilizzare specifiche funzionalità di posta elettronica per inviare automaticamente, in caso di assenza, messaggi di risposta che informino il mittente della propria indisponibilità, e funzioni di inoltro automatico dei messaggi ricevuti verso indirizzi di altro personale dipendente. Nel caso in cui un dipendente si assenti senza aver provveduto ad attivare i suddetti sistemi di inoltro automatico, un fiduciario, da lui preventivamente nominato, o, in sua assenza, il Direttore della Struttura Operativa, potrà accedere alla casella di posta al fine di garantire la continuità dell'attività lavorativa. La nomina del fiduciario deve essere redatta in forma scritta, riportare la sottoscrizione del fiduciante e del fiduciario e consegnata al responsabile del servizio. E’ consentito utilizzare, anche per ragioni personali, servizi di posta elettronica o di rete, anche solo da determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail, fuori dall’orario di servizio o durante le pause in modo moderato. Non è consentito altresì: utilizzare l’indirizzo di posta elettronica aziendale per motivi non attinenti allo svolgimento delle mansioni assegnate; usare il servizio per scopi illegali, per inviare e ricevere materiale pornografico, osceno, volgare, diffamatorio, oltraggioso, discriminatorio, abusivo, pericoloso; utilizzare l’indirizzo di posta elettronica per la partecipazione a dibattiti, Forum o mailing-list, su internet per motivi non professionali; effettuare ogni genere di comunicazione finanziaria ivi comprese le operazioni di remote Banking, acquisti on line e simili, salvo diversa ed esplicita autorizzazione aziendale; simulare l’identità di un altro utente, ovvero utilizzare credenziali di posta, non proprie, per l’invio di messaggi; prendere visione della posta altrui; aprire allegati di posta elettronica ambigui o di incerta provenienza ( gli allegati possono, infatti, contenere virus o codici nascosti di natura dolosa che possono comportare la divulgazione di password o il danneggiamento di dati); modificare la configurazione hardware e software della propria macchina; né utilizzare sistemi client di posta elettronica non conformi a quelli accettati dall’azienda; l’utilizzo di critto sistemi o di qualsiasi altro programma di sicurezza e/o crittografia non previsto esplicitamente dal servizio informatico aziendale; l’invio di informazioni o documentazioni ad Istituti, Enti pubblici o privati, Associazioni, Comuni, Regioni senza previa autorizzazione della Direzione Aziendale; la trasmissione a mezzo posta elettronica di dati sensibili, personali e/o commerciali di alcun genere se non nel rispetto delle norme sulla disciplina del trattamento e della protezione dei dati. In caso di violazione o inadempimento di quanto riportato il SISA procederà al distacco dell'utente dal collegamento ad internet e ne darà comunicazione al Servizio Risorse Umane per l'eventuale accertamento di responsabilità disciplinari del personale dipendente. 12. PROTEZIONE ANTIVIRUS Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy 7 Il sistema informatico dell’azienda è protetto da software antivirus aggiornato quotidianamente. Ogni utente deve comunque tenere comportamenti tali da ridurre il rischio di attacco al sistema informatico aziendale mediante virus o mediante ogni altro software aggressivo. Nel caso il software antivirus rilevi la presenza di un virus, l'utente dovrà immediatamente sospendere ogni elaborazione in corso senza spegnere il computer nonché segnalare prontamente l'accaduto al personale del SISA. Ogni dispositivo magnetico di provenienza esterna all'Azienda dovrà essere verificato mediante il programma antivirus prima del suo utilizzo e, nel caso venga rilevato un virus, dovrà essere prontamente consegnato al personale del SISA. 13. COMPITI E RESPONSABILITÀ L’utente è responsabile della propria postazione informatica e della sua casella di Posta Elettronica Personale. L’utente è responsabile della segretezza del proprio user ID e relativa Password. È anche responsabile del contenuto dei messaggi inviati dalla propria casella elettronica. I responsabili delle Unità Operative e/o Servizi Aziendali dovranno adottare misure idonee per un corretto utilizzo delle risorse informatiche messe a disposizione della loro struttura, esercitando una funzione di istruzione, indirizzo e controllo sugli utenti incaricati ed individuando con precisione le responsabilità per la gestione dei dati, dei salvataggi e delle risorse stesse. In caso di cessazione del rapporto di lavoro, trasferimento ad altro servizio, o comunque di non necessità di utilizzo da parte di utenti già autorizzati, sarà data tempestiva comunicazione scritta, per gli applicativi da esso gestiti, al SISA che provvederà alla disattivazione delle credenziali di autenticazione ovvero alla loro modifica per ogni diversa esigenza. Il SISA è responsabile della sicurezza, della funzionalità e del corretto impiego delle risorse informatiche centralizzate e della rete aziendale. Non rientrano nelle proprie competenze la gestione e l’assistenza tecnica delle apparecchiature elettromedicali. Per le postazioni personal computer “stand alone”, ossia non collegate in rete, la responsabilità nell’applicazione delle misure minime di sicurezza è demandata all’utente finale ed al direttore dell’Unità Operativa/Sevizio che le ha in dotazione. 16. GESTIONE DEGLI INDIRIZZI Gli indirizzi di posta elettronica per le strutture aziendali, condivisi da più operatori assegnati a ciascuna di esse sono attivati con la seguente immodificabile nomenclatura [email protected]. Per le caselle personali gli indirizzi di posta elettronica, fatto salvi i casi di omonimia o esigenze particolari, hanno la seguente immodificabile nomenclatura: “[email protected]”. La “personalizzazione” dell’indirizzo non comporta la sua “privatezza”, in quanto trattasi di strumenti di esclusiva proprietà aziendale, messi a disposizione del dipendente al solo fine dello svolgimento delle proprie mansioni lavorative. Nei messaggi inviati tramite posta elettronica aziendale (di servizio e/o nominative) verrà accluso il seguente testo: “Si segnala che il presente messaggio e le risposte allo stesso potranno essere conosciute dall’organizzazione lavorativa di appartenenza del mittente secondo le modalità previste dal Disciplinare Aziendale adottato in materia. Se per un disguido avete ricevuto questa e-mail senza esserne i destinatari vogliate cortesemente distruggerla e darne informazione all’indirizzo mittente”. 17. CONTROLLI I controlli, anche saltuari o occasionali, saranno svolti in conformità alla legge: - per eseguire verifiche sulla funzionalità e sicurezza del sistema; - per verificare il corretto utilizzo da parte dei propri dipendenti tanto della rete internet che della posta elettronica. Nell’esercizio del potere di controllo l’ASP di Cosenza si atterrà al principio generale di proporzionalità e non eccedenza delle attività di controllo, rispettando le procedure di informazione/consultazione delle Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy 8 rappresentanze dei lavoratori previste dai contratti collettivi e informerà preventivamente i lavoratori dell’esistenza di dispositivi di controllo atti a raccogliere i dati personali. L’ASP di Cosenza adegua le sue prescrizioni di controllo a quanto affermato dalla Corte europea dei diritti dell'uomo “Il luogo di lavoro è una formazione sociale nella quale va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità degli interessati garantendo che, in una cornice di reciproci diritti e doveri, sia assicurata l'esplicazione della personalità del lavoratore e una ragionevole protezione della sua sfera di riservatezza nelle relazioni personali e professionali” I controlli si svolgeranno in forma graduata: 1. In via preliminare l’azienda provvederà ad eseguire dei controlli su dati aggregati, riferiti all’intera struttura lavorativa ovvero a sue aree e dunque ad un controllo anonimo che può concludersi con un avviso generalizzato relativo ad un rilevato utilizzo anomalo degli strumenti aziendali e con l'invito ad attenersi scrupolosamente a compiti assegnati e istruzioni impartite. L'avviso può essere circoscritto a dipendenti afferenti all'area o settore in cui è stata rilevata l'anomalia; 2. In assenza di successive anomalie non si effettueranno controlli su base individuale; 3. Nel perdurare delle anomalie si procederà a controlli su base individuale o per postazioni di lavoro e in caso di abusi singoli e reiterati si eseguiranno controlli nominativi o su singoli dispositivi e/o postazioni di lavoro (indicando le ragioni legittime, specifiche e non generiche, per cui i controlli verrebbero effettuati anche per verifiche sulla funzionalità e sicurezza del sistema - e le relative modalità - inoltrando preventivi avvisi collettivi o individuali); 4. In caso in cui la posta elettronica e la rete Internet siano utilizzate indebitamente o di riscontrato e ripetuto uso non conforme delle risorse informatiche, il SISA, che effettua i controlli, segnalerà il comportamento al responsabile della struttura di appartenenza del dipendente il quale attiverà il procedimento disciplinare nelle forme e con le modalità previste dal C.C.N.L. del comparto sanità. 5. Per il personale dirigente il comportamento andrà segnalato alla Direzione Aziendale ed al competente Ufficio per i procedimenti disciplinari per l’adozione degli atti di rispettiva competenza. 6. Per il personale non dipendente cui non è applicabile il C.C.N.L. il comportamento andrà segnalato alla Direzione Aziendale per l’adozione degli atti di specifica competenza. 18. INTERRUZIONE E CESSAZIONE D’UFFICIO DEL SERVIZIO Eventuali interruzioni del servizio sono comunicate agli utenti. Ai sensi del presente regolamento, l’utilizzo del servizio di accesso ad internet e di utilizzo di posta elettronica cessa d’ufficio nei seguenti casi: - se non sussiste più la condizione di dipendente o collaboratore autorizzato o non è confermata l’autorizzazione all’uso; - se è accertato un uso non corretto del servizio da parte dell’utente o comunque un uso estraneo ai suoi compiti professionali; - se vengono sospettate manomissioni e/o interventi sul hardware e/o sul software dell’utente impiegati per la connessione compiuti eventualmente da personale non autorizzato; - in caso di diffusione o comunicazione imputabili direttamente o indirettamente all’utente, di password, procedure di connessione, indirizzo I.P. ed altre informazioni tecniche riservate; - in caso di accesso doloso dell’utente a directory, a siti e/o file e/o servizi da chiunque resi disponibili non rientranti fra quelli per lui autorizzati e in ogni caso qualora l’attività dell’utente comporti danno, anche solo potenziale al sito contattato; - in caso di concessione di accesso ad internet diretta o indiretta a qualsiasi titolo da parte dell’utente a terzi. 19. DICHIARAZIONE DI ASSUNZIONE DI RESPONSABILITÀ PER L’ ACCESSO A INTERNET DALLE POSTAZIONI AZIENDALI Qualora l’utente acceda a Internet tramite la rete dell’Azienda, è tenuto a sottoscrivere la seguente dichiarazione di assunzione di responsabilità e acquisisce lo status di responsabile per la gestione e l'utilizzo della risorsa stessa; Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy DICHIARAZIONE DI ASSUNZIONE DI RESPONSABILITÀ PER L’ ACCESSO A INTERNET DALLE POSTAZIONI AZIENDALI (da sottoscrivere e trasmettere al Settore Informatico) 9 Il sottoscritto, firmando il presente documento, riconosce di aver letto, compreso ed accettato integralmente le politiche e le regole della ASP di Cosenza, riguardo l'utilizzo e l'accesso a Internet; il sottoscritto si assume inoltre la piena responsabilità in caso di violazione delle leggi e dei regolamenti riconducibili al suo accesso personale. Nome e Cognome : ………………………………………………………………………….. Settore : ………………………………………………………………………….. Firma : ..………………………………………………………………………….. 20. INFORMATIVA AI SENSI DELL’ART. 13 D.L.VO 196/03 AL DIPENDENTE E/O COLLABORATORE RELATIVA AL TRATTAMENTO DEI DATI PERSONALI IN CASO DI CONTROLLO SULL’USO DEGLI STRUMENTI INFORMATICI L’ ASP di Cosenza è TITOLARE del trattamento dei dati personali relativo all’utilizzo di strumenti elettronici da parte dei lavoratori. FINALITA’ del trattamento è la verifica del corretto utilizzo delle risorse informatiche, della posta elettronica e della rete Internet nel rapporto di lavoro. MODALITA’ del trattamento: gli operatori del SISA all’uopo incaricati dalla Direzione Aziendale effettueranno il trattamento dei dati con strumenti informatici. COMUNICAZIONE DEI DATI: Il trattamento di verifica è effettuato con gradualità e per aree aggregate per cui i dati non vengono comunicati con riferimento al trattamento del singolo lavoratore; la comunicazione, nel caso in cui si accerti un uso indebito della singola postazione, sarà data al Direttore della Struttura Operativa alla quale appartiene il dipendente per la valutazione del caso sotto il profilo disciplinare. DIRITTI DELL’INTERESSATO: Il dipendente potrà far valere i diritti di cui all’art. 7 del D.Lgs. 196/03 facendo pervenire richiesta scritta al responsabile del Trattamento dati che è il Direttore apicale della Struttura nella quale opera. 21. OSSERVANZA DELLE DISPOSIZIONI IN MATERIA DI PRIVACY È obbligatorio attenersi alle disposizioni in materia di Privacy e di misure minime di sicurezza, come indicato della lettera di designazione ad Incaricato del trattamento dei dati ai sensi del Disciplinare tecnico allegato al D.Lgs. n. 196/2003. 22. CONSERVAZIONE DEI DATI In applicazione ai principi di diritto di accesso, legittimità, proporzionalità, sicurezza ed accuratezza e conservazione dei dati, le informazioni relative all’accesso ad Internet ed al traffico telematico la cui conservazione non sia necessaria, saranno cancellati entro tre mesi dalla loro produzione. In casi eccezionali (ad es.: per esigenze tecniche o di sicurezza; o per l’indispensabilità del dati rispetto all’esercizio o alla difesa di un diritto in sede giudiziaria o, infine, all’obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell’autorità giudiziaria o della polizia giudiziaria) è consentito il prolungamento dei tempi di conservazione limitatamente al soddisfacimento delle esigenze sopra esplicitate. L’ASP di Cosenza si impegna ad assumere le misure di sicurezza nel trattamento e nella conservazione di tale tipologia di dati alla luce di quanto stabilito dal Legislatore. 23. DISPOSIZIONI FINALI – FORMAZIONE E COINVOLGIMENTO DEGLI UTENTI Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy L’ASP di Cosenza, ai fini di un corretto utilizzo degli strumenti informatici e telematici, promuove la formazione interna degli utenti su due livelli: le nozioni basi dell’informatica e l’ approfondimento sulle tecnologie più all’avanguardia. Tutti gli utenti possono proporre, quando ritenuto necessario, integrazioni motivate al presente Vademecum/Disciplinare. Le proposte verranno esaminate dalla Direzione Generale. 10 Regione Calabria - Azienda Sanitaria Provinciale di Cosenza - U.O.C. Affari Generali - Ufficio Privacy ALLEGATO 1 LEGGE 20 maggio 1970, n. 300 (Statuto dei lavoratori) Norme sulla tutela della libertà e dignità del lavoratori, della libertà sindacale e dell'attività sindacale nel luoghi di lavoro e norme sul collocamento. ART. 4 - Impianti audiovisivi. 11 È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l'Ispettorato del lavoro, dettando, ove occorra, le modalità per l'uso di tali impianti. Per gli impianti e le apparecchiature esistenti, che rispondano alle caratteristiche di cui al secondo comma del presente articolo, in mancanza di accordo con le rappresentanze sindacali aziendali o con la commissione interna, l'Ispettorato del lavoro provvede entro un anno dall'entrata in vigore della presente legge, dettando all'occorrenza le prescrizioni per l'adeguamento e le modalità di uso degli impianti suddetti. Contro i provvedimenti dell'Ispettorato del lavoro, di cui ai precedenti secondo e terzo comma, il datore di lavoro, le rappresentanze sindacali aziendali o, in mancanza di queste, la commissione interna, oppure i sindacati dei lavoratori di cui al successivo art. 19 possono ricorrere, entro 30 giorni dalla comunicazione del provvedimento, al Ministro per il lavoro e la previdenza sociale. ART. 7. - Sanzioni disciplinari. Le norme disciplinari relative alle sanzioni, alle infrazioni in relazione alle quali ciascuna di esse può essere applicata ed alle procedure di contestazione delle stesse, devono essere portate a conoscenza dei lavoratori mediante affissione in luogo accessibile a tutti. Esse devono applicare quanto in materia è stabilito da accordi e contratti di lavoro ove esistano. Il datore di lavoro non può adottare alcun provvedimento disciplinare nei confronti del lavoratore senza avergli preventivamente contestato l'addebito e senza averlo sentito a sua difesa . Il lavoratore potrà farsi assistere da un rappresentante dell'associazione sindacale cui aderisce o conferisce mandato. Fermo restando quanto disposto dalla legge 15 luglio 1966, n. 604, non possono essere disposte sanzioni disciplinari che comportino mutamenti definitivi del rapporto di lavoro; inoltre la multa non può essere disposta per un importo superiore a quattro ore della retribuzione base e la sospensione dal servizio e dalla retribuzione per più di dieci giorni. In ogni caso, i provvedimenti disciplinari più gravi del rimprovero verbale non possono essere applicati prima che siano trascorsi cinque giorni dalla contestazione per iscritto del fatto che vi ha dato causa. Salvo analoghe procedure previste dai contratti collettivi di lavoro e ferma restando la facoltà di adire l'autorità giudiziaria, il lavoratore al quale sia stata applicata una sanzione disciplinare può promuovere, nei venti giorni successivi, anche per mezzo dell'associazione alla quale sia iscritto ovvero conferisca mandato, la costituzione, tramite l'ufficio provinciale del lavoro e della massima occupazione, di un collegio di conciliazione ed arbitrato, composto da un rappresentante di ciascuna delle parti e da un terzo membro scelto di comune accordo o, in difetto di accordo, nominato dal direttore dell'ufficio del lavoro. La sanzione disciplinare resta sospesa fino alla pronuncia da parte del collegio. Qualora il datore di lavoro non provveda, entro dieci giorni dall'invito rivoltogli dall'ufficio del lavoro, a nominare il proprio rappresentante in seno al collegio di cui al comma precedente, la sanzione disciplinare non ha effetto. Se il datore di lavoro adisce l'autorità giudiziaria, la sanzione disciplinare resta sospesa fino alla definizione del giudizio. Non può tenersi conto ad alcun effetto delle sanzioni disciplinari decorsi due anni dalla loro applicazione.