regolamento protezione dati e strumenti informatici
Introduzione
La Fondazione Arezzo Intour, di seguito denominata FONDAZIONE, nell’espletamento della sua attività istituzionale e commerciale opera prestando la massima attenzione alla sicurezza delle informazioni, perseguendo elevati livelli di sicurezza fisica e logica del proprio sistema informativo e adottando idonee misure organizzative e tecniche volte sia a prevenire il rischio di utilizzi impropri delle strumentazioni sia proteggere le informazioni gestite nelle banche dati del sistema informativo. Il presente documento definisce le regole e le condizioni per il trattamento dei dati personali e l’utilizzo degli strumenti informatici della FONDAZIONE da parte dei dipendenti e di tutti coloro che, in virtù di un rapporto di lavoro a qualsiasi titolo (collaboratori, consulenti, stagisti, fornitori, etc.), trattano dati e/o utilizzano strumenti informatici della FONDAZIONE, nel seguito denominati Utenti.
Finalità
Il presente documento definisce e detta agli Utenti specifiche regole e condizioni nel trattamento dei dati personali e utilizzo degli strumenti informatici aziendali attraverso:
Definizione di regole e procedure a cui attenersi;
Definizione dell’ambito, delle modalità e dei limiti del monitoraggio e dei controlli attuabili dalla FONDAZIONE nel rispetto della normativa vigente e in particolare dello Statuto dei Lavoratori (L. n.300/1970 s.m.i);
Individuazione delle responsabilità degli Utenti in caso di inosservanza di regole e prescrizioni.
Gli eventuali controlli ivi previsti escludono finalità di monitoraggio diretto ed intenzionale dell'attività lavorativa e sono disposti sulla base della vigente normativa, con particolare riferimento all’articolo 4 della Legge n. 300/1970 (c.d. Statuto dei Lavoratori).
Contesto normativo
Il presente regolamento è redatto sulla base dei seguenti e principali riferimenti normativi:
Codice Civile, con particolare riferimento ai doveri di diligenza e fedeltà (artt. 2014 e 2015 c.c.);
Codice Penale, con particolare riferimento ai reati informatici;
D. Lgs. 196/2003 e s.m.i (Codice in materia di protezione dei dati personali);
Provvedimenti del Garante per la protezione dei dati personali applicabili al contesto oggetto del presente documento, fra cui le “Linee guida per posta elettronica e Internet” di cui alla deliberazione n. 13/2007;
Regolamento (UE) 2016/679 (General Data Protection Regulation, di seguito GDPR);
Linee Guida European Data Protection Board;
AGID: Misure minime di sicurezza ICT.
Glossario e Definizioni
Amministratore di sistema: figura professionale finalizzata alla gestione e alla manutenzione di un sistema di elaborazione o di sue componenti o figure equiparabili, quali gli amministratori di basi dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi, individuate in conformità al Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008, come modificato dal provvedimento del 25 giugno 2009.
Applicazioni aziendali: si considerano applicazioni aziendali:
Programmi messi a disposizione dalla FONDAZIONE ;
Applicazioni e servizi sviluppati dalla FONDAZIONE;
Dispositivi mobili: apparecchi di telecomunicazione portatili (tablet, smartphone, notebook, etc.);
File di log: registrazioni sequenziali e cronologiche delle operazioni effettuate da un sistema informativo, necessarie per la risoluzione di problemi ed errori; tali operazioni possono essere effettuate da un Utente oppure avvenire in modo totalmente automatizzato;
Postazione di lavoro (PdL): La scrivania e gli strumenti informatici (es. notebook) presso la sede di Arezzo, Via Albergotti, 13 -52100 Arezzo;
Strumenti informatici: personal computer fissi o portatili, stampanti locali o di rete, programmi e prodotti software;
Utenti: personale dipendente, collaboratori, amministratori, consulenti, tirocinanti, stagisti, fornitori esterni e coloro che, in virtù di un rapporto di lavoro in essere a qualsiasi titolo con la FONDAZIONE, trattino dati personali e siano autorizzati all’utilizzo degli strumenti informatici messi a disposizione dalla FONDAZIONE.
Principi Generali
Gli strumenti informatici sono assegnati agli Utenti per lo svolgimento dell’attività lavorativa e devono essere utilizzati con modalità adeguate ai compiti assegnati e alle responsabilità connesse, nel rispetto del presente Regolamento e della normativa vigente. Nell’esecuzione della propria attività lavorativa, gli Utenti sono tenuti ad attenersi alle seguenti istruzioni generali:
Effettuare la propria attività uniformandosi alle disposizioni della FONDAZIONE e alle istruzioni ricevute dall’ADS;
Custodire con diligenza gli strumenti informatici affidati;
Non utilizzare strumenti privati per svolgere l’attività lavorativa;
Non installare software della FONDAZIONE su strumenti privati;
Mantenere la riservatezza sulle informazioni e sui dati personali di cui siano venuti a conoscenza durante lo svolgimento della propria attività;
Sia durante il rapporto di lavoro che dopo la cessazione dello stesso, astenersi dalla diffusione e/o comunicazione a terzi di informazioni, dati e documenti acquisiti durante lo svolgimento della propria attività;
adottare ogni misura di sicurezza idonea a scongiurare rischi di perdita o distruzione (anche accidentale) o diffusione dei dati;
E’ assolutamente vietato l’utilizzo di strumenti di messagistica istantanea, compreso e-mail, che non facciano parte della suite google workplace.
Regole per l’utilizzo dei sistemi informatici
Credenziali di autenticazione
Le credenziali di autenticazione consentono l'autenticazione dell'utilizzatore e di conseguenza disciplinano l'accesso alle risorse informatiche aziendali. La gestione di tali credenziali segue quanto sotto espressamente previsto:
Le credenziali sono associate univocamente alla persona assegnataria;
Al momento dell’attivazione l’Utente è tenuto a modificare la password di default, attenendosi a criteri di complessità seguendo le istruzioni aziendali. In particolare:
Le password di qualunque tipo e uso devono rispettare i seguenti criteri obbligatori:
Lunghezza 14 caratteri;
Scadono ogni 6 mesi;
NON possono essere riutilizzate.
Criteri facoltativi sono:
Uso ove possibile della F2A;
Uso di almeno una maiuscola, una minuscola un numero ed un simbolo nella password.
Si ricorda che l’ADS, o in sua mancanza, la Direzione Aziendale, hanno la facoltà al solo fine di garantire l’operatività e la sicurezza del sistema, nonché il costante e corretto svolgimento dell’attività aziendale, di accedere ai dati trattati da ciascuno ed archiviati nel personal computer di lavoro. In caso di interruzione del rapporto di lavoro, le credenziali di autenticazione alla rete della FONDAZIONE verranno disabilitate alla data di cessazione o nei giorni immediatamente successivi. L’Ufficio Amministrativo della FONDAZIONE comunica tempestivamente all’ADS i nominativi dei dipendenti per la cessazione dell’account. Tutti i documenti creati dall’Utente in uscita sono a disposizione del responsabile di riferimento per un breve periodo di tempo e cancellati al termine dello stesso qualora non di interesse aziendale.
Strumenti di lavoro
Per strumenti di lavoro si intendono gli strumenti informatici concessi dalla Società in utilizzo all'Utente. L'assegnatario di tali strumenti ha il compito di farne un uso compatibile con i principi di diligenza sanciti nel codice civile. Gli strumenti di lavoro:
Sono di esclusiva proprietà della FONDAZIONE, e sono concessi all’Utente per lo svolgimento delle proprie mansioni lavorative e comunque per finalità strettamente attinenti l'attività svolta;
Devono essere custoditi con cura e diligenza;
Sono dotati del software approvato dalla FONDAZIONE. Ulteriori necessità lavorative potranno essere rappresentate al proprio responsabile di riferimento, che valuterà l’ammissibilità delle richieste;
Sonno vietati i software di cui all’Allegato “A”;
Sono assegnati all’utente per l’esclusivo svolgimento della propria attività lavorativa e non devono essere collegati a strumenti informatici di proprietà privata dello stesso;
Devono essere utilizzati solo dall’utente e inaccessibili a soggetti non autorizzati;
Quando vengono utilizzati in luoghi pubblici è opportuno utilizzarli avendo cura di garantire la riservatezza delle informazioni in essi contenute;
Quando si utilizza lo smartphone in luogo pubblico fare attenzione a tenere un timbro di voce adeguato al contesto avendo cura di evitare di pronunciare nomi, cognomi e ragioni sociali;
Il personal computer/notebook anche al fine di evitare l’indebito utilizzo dello stesso da parte di terzi, deve essere spento quando non utilizzato, sia in ufficio, che a casa (in caso di smartworking);
Poiché l’accesso alla rete è protetto da password, la stessa deve essere custodita con la massima diligenza dall’assegnatario, il quale non può divulgarla. Si ricorda che gli estremi delle password assegnate o successivamente modificate vanno comunicate e sono custodite dall’ADS e manutenute nel sistema EKM Keeper zero-trust.
Chiavette USB
L’uso delle chiavette USB non cifrate è vietato, in quanto causa di virus e ransomware. Occorre utilizzare solo ed esclusivamente gli strumenti di condivisione di Google Workplace ed inviare i link ai file stessi per posta elettronica o messaggistica. Si evidenzia che gli strumenti di lavoro portatili, potendo essere utilizzati al di fuori dei locali della FONDAZIONE, sono maggiormente esposti a rischi di sicurezza, quali danneggiamenti conseguenti agli spostamenti, furti e violazione della riservatezza delle informazioni contenute. Tutti gli Utenti, pertanto, devono custodire con particolare cura e diligenza gli strumenti assegnati (a titolo esemplificativo e non esaustivo non lasciare il notebook o smartphone incustodito in auto).
Postazioni di lavoro
Le postazioni di lavoro presso la sede di Arezzo, Via Albergotti, 13, e le altre sedi vanno trattate con accuratezza e si devono segnalare all’ADS eventuali problematiche tecniche o il cattivo funzionamento delle apparecchiature. La FONDAZIONE si riserva la facoltà di rimuovere qualsiasi elemento hardware la cui installazione non sia stata appositamente e preventivamente prevista o autorizzata.
Navigazione in Internet
La navigazione in Internet è messa a disposizione del personale come fonte di informazione per le finalità di documentazione, ricerca e studio, utili per lo svolgimento della prestazione lavorativa. Ogni Utente è tenuto a osservare le seguenti regole comportamentali:
utilizzare Internet per fini leciti, astenendosi da qualsiasi comportamento che possa avere natura oltraggiosa e/o discriminatoria verso terzi;
scaricare sul proprio PC solo file da siti web verificati e affidabili, tenendo presente che quando si scarica materiale da Internet occorre prestare la massima attenzione al fine di non incorrere in violazioni di diritti di proprietà intellettuale;
non utilizzare social network, forum, chat e simili per scambiare informazioni riservate o lesive dell’immagine della FONDAZIONE e/o dei colleghi;
E’ vietato accedere a siti i cui contenuti non siano adeguati all’immagine e al buon nome della FONDAZIONE (a titolo esemplificativo e non esaustivo siti pornografici, di incitamento all’odio razziale, di discriminazione di genere, ecc.).
Posta elettronica
A tutti i dipendenti è fornita una casella di posta elettronica personale aziendale (casella di posta tipo: nome.cognome@arezzointour.it )che dovrà essere utilizzata esclusivamente per finalità lavorative. È vietato qualsiasi uso privato della posta elettronica personale aziendale. L’Utente è tenuto ad osservare le seguenti prescrizioni:
E’ vietato trasmettere a soggetti esterni alla FONDAZIONE informazioni riservate o comunque documenti aziendali, se non nel caso in cui ciò sia necessario in ragione delle mansioni svolte, per l’adempimento di un obbligo di legge o di un contratto di cui sia parte la FONDAZIONE o al fine di difendere un diritto della FONDAZIONE;
È vietato inviare messaggi idonei a ledere la reputazione della FONDAZIONE;
È vietato inviare, ricevere e/o archiviare (ad esempio nella casella “Bozze”) messaggi di posta elettronica aventi natura oltraggiosa, discriminatoria, pornografica, ecc. ;
È vietato inviare e/o ricevere allegati contenenti filmati o brani musicali (es.mp4, mp3) non pertinenti l’attività lavorativa o altro materiale coperto da copyright;
È vietato inviare e/o ricevere messaggi aventi contenuto privato;
È vietato partecipare a dibattiti, aste on line, concorsi, catene telematiche (c.d. catene di S.Antonio);
È vietato alterare, modificare o creare messaggi non veritieri;
Non si deve cliccare sui link contenuti nelle email se non si è certi dell’affidabilità del sito a cui si è rimandati. In questo caso una semplice precauzione è quella di passare il mouse sul link stesso senza cliccarlo e verificare, nel riquadro che apparirà, l’URL (cioè l’indirizzo web) reale al quale si potrebbe essere indirizzati. Questi link potrebbero essere collegati a sistemi che tentano truffe telematiche e furti di identità, ma anche aprire la strada a software spia o virus informatici. In questi casi si deve effettuare la segnalazione all’ADS;
Non si deve rispondere a messaggi di “spam”. E’ attivo un sistema automatico di classificazione dei messaggi ricevuti (spam o posta indesiderata), in cui confluiscono tutti i messaggi non reputati leciti dall’algoritmo anti-spamming.
Fare attenzione qualora si intenda inviare una email generica a diversi destinatari a non rendere visibili gli indirizzi dei vari contatti. A tale fine usare la funzione CCN (destinatario in copia conoscenza nascosta);
Non si devono aprire allegati di tipo eseguibile (in particolare file con estensione .exe, .scr, .pif, .bat, .cmd, ecc.) e, se non si è sicuri del mittente ed evitare di scaricare, anche, le immagini eventualmente contenute nel corpo del messaggio;
Vanno cancellati immediatamente i messaggi aventi natura privata, anche in caso di ricezione accidentale, e ciò al fine di evitare la memorizzazione e il salvataggio nei sistemi aziendali degli stessi;
Si deve verificare periodicamente la presenza in calce ai messaggi indirizzati all’esterno del disclaimer privacy;
Si deve mantenere in ordine la casella di posta cancellando documenti inutili o superati e soprattutto allegati ingombranti;
Attivare il sistema di risposta automatica impostando un messaggio di “Out of office” sulla propria casella di posta in caso di assenza programmata ed indicare, se opportuno, nel messaggio un indirizzo aziendale alternativo a cui scrivere;
In caso di assenza non programmata (es. malattia), qualora la suindicata procedura non possa essere attivata dal dipendente, la FONDAZIONE, potrà disporre, per esigenze di continuità lavorativa, l’attivazione di un analogo accorgimento attraverso l’ADS e informando non appena possibile l’interessato.
E’ fatto divieto di inviare e condividere PASSWORD di qualunque tipo e complessità tramite posta elettronica o altri sistemi, come SMS e Social Network ed applicazioni di messaggistica istantanea, non criptati. Per la condivisione di password occorre usare la funzionalità OTP presente nel sistema EKM Keeper zero-trust, unico che garantisce il necessario livello di discrezionalità;
In previsione della possibilità che, in caso di assenza improvvisa o prolungata e per improrogabili necessità legate all’attività lavorativa, la FONDAZIONE debba conoscere il contenuto dei messaggi di posta elettronica (personale), metterà l’interessato nelle condizioni di delegare un altro collega (c.d. fiduciario) a verificare il contenuto di messaggi e ad inoltrare alle funzioni aziendali interessate quelli ritenuti rilevanti per lo svolgimento dell'attività lavorativa. In questo caso la FONDAZIONE darà atto di tale attività attraverso la redazione di un apposito verbale e provvederà ad informare il lavoratore interessato alla prima occasione utile.
In caso di dimissioni o altra cessazione del rapporto di lavoro la casella di posta sarà chiusa immediatamente o comunque dopo pochi giorni inserendo temporaneamente un messaggio automatico volto ad informare della variazione e a fornire indirizzi alternativi a cui rivolgersi.
Controlli e monitoraggio
In caso di anomalie, l’ADS effettuerà controlli preliminari su dati aggregati, riferiti all'intera struttura lavorativa o a sue aree che si concluderanno con avvisi generalizzati diretti ai dipendenti di detta struttura o aree in cui sia stata rilevata l’anomalia, nei quali si evidenzia l’utilizzo irregolare degli strumenti aziendali e si inviteranno gli interessati ad attenersi scrupolosamente ai compiti assegnati e alle istruzioni impartite. Controlli su base individuale potranno essere compiuti solo in caso di successive ulteriori anomalie (come previsto dal p. 6.1 del Provvedimento dell’Autorità Garante per la protezione dei dati personali del 1° marzo 2007 “Lavoro: le linee guida del Garante per posta elettronica e internet”). Gli utenti devono anche essere consapevoli del fatto che l’ADS ha il diritto di accedere su tutti i sistemi, i computer e le apparecchiature aziendali e che l’azienda può raccogliere i “log” di tutte le transazioni, per gestire la qualità dei servizi informativi, per assicurare la rete aziendale, per garantire la sicurezza delle comunicazioni e dei dati nonché la conformità alle normative, ai fini statistici e anche per controllare l’utilizzo delle risorse informative aziendali e il rispetto delle normative aziendali. Tutti i controlli preventivi e generalizzati effettuati dalla FONDAZIONE rispettano i principi di cui all’art. 4 dello Statuto dei Lavoratori.
Rispetto delle normative aziendali e leggi vigenti
È obbligo di tutto il personale dipendente attenersi al presente regolamento e alle disposizioni di legge in materia di trattamento dati personali.
Responsabilità e sanzioni
Il mancato rispetto o la violazione delle regole contenute nel presente Regolamento è perseguibile con le sanzioni disciplinari previste dalla contrattazione collettiva. Resta ferma la responsabilità civile e penale di ogni Utente per fatti illeciti e/o danni derivanti da usi non consentiti della Rete o degli strumenti informatici messi a disposizione dalla FONDAZIONE anche alla luce delle prescrizioni contenute nel presente regolamento.
Allegati:
Allegato A: Software NON Consentiti:
Tor/tor browser e similari VPN per il deep web;
Bittorrent o simili (condivisione files in rete);
Videogames a meno che siano per attività promozionali della Fondazione;
Software per il crack delle password degli applicativi commerciali;
Virus/malware/adware, anche solo per test.
Uso di piattaforme diverse da google workspace per le comunicazioni aziendali (a titolo meramente indicativo e non esaustivo WhatsApp, Telegram, Signal, ecc.)
E’ vietato l’uso dei suindicati software nelle postazioni di lavoro/PdL ed in altri device aziendali, come smartphone e tablet: