Carica batteria industriali dal 1973

Privacy

Ai sensi dell'art. 13 del D.Lgs 196/03 ed in relazione ai dati personali di cui NewLogic Srl entrerà in possesso,la informiamo di quanto segue:

Sommario

1. TIPOLOGIA DI DATI TRATTATI 2

2. PRINCIPI PER IL TRATTAMENTO.. 2

3. DIRITTI DEGLI INTERESSATI 2

4. FINALITA’ E MODALITA’ DI TRATTAMENTO.. 2

5. LINEE GUIDA PER IL TRATTAMENTO DEI DATI PERSONALI 3

6. INDICAZIONI GENERALI 3

DESTINATARI 4

7. AUTO AZIENDALE. 4

8. DATI TRATTATI TRAMITE IL DISPOSITIVO TELEPASS E LE CARTE CARBURANTE. 4

9. ACCESSO AI DATI DALLA POSTAZIONE DI LAVORO.. 4

ARCHIVI CARTACEI 4

POSTAZIONE DI LAVORO.. 5

TRASMISSIONE E RIPRODUZIONE DEI DOCUMENTI 5

DUPLICAZIONE DI DOCUMENTI CON STAMPANTI, MACCHINE FOTOCOPIATRICI O ALTRE APPARECCHIATURE  5

UTILIZZO DEI TELEFONI AZIENDALI 6

9. MISURE DI SICUREZZA DA ADOTTARE PER LA PROTEZIONE DEI DATI DURANTE LE FASI DEL LORO TRATTAMENTO INFORMATICO.. 7

UTILIZZO STRUMENTI ELETTRONICI 7

UTILIZZO DI PROGRAMMI 7

UTILIZZO PERSONAL COMPUTER (PC). 8

UTILIZZO PERSONAL COMPUTER PORTATILI 8

UTILIZZO TABLET E SMARTPHONE. 9

FENOMENO DEL BYOD (BRING YOUR OWN DEVICE). 9

UTILIZZO DELLA RETE AZIENDALE. 10

USO DELLA POSTA ELETTRONICA.. 10

GESTIONE ED ASSEGNAZIONE DELLE CREDENZIALI DI AUTENTICAZIONE. 11

NAVIGAZIONE IN INTERNET. 12

GESTIONE DELLE PASSWORD.. 12

ANTIVIRUS. 13

UTILIZZO E CONSERVAZIONE DEI SUPPORTI RIMOVIBILI 13

SALVATAGGIO DEI DATI 14

11. SISTEMI DI CONTROLLI GRADUALI 14

12. CESSAZIONE O SOSPENSIONE DEL RAPPORTO DI LAVORO.. 14

13. SANZIONI E DIRITTO DI DIFESA.. 14

14. AGGIORNAMENTO E REVISIONE. 15

1. TIPOLOGIA DI DATI TRATTATI

Dal 25 maggio 2018 si applica, in tutta la Comunità Europea, il Reg. 679/2016 (c.d. GDPR: General Data Protection Regulation) in materia di Privacy, con riguardo alla protezione delle sole persone fisiche relativamente al trattamento dei loro dati.

Per dato personale s’intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile: si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Il Reg. 679/2016 distingue, all’interno delle informazioni veicolate nei dati personali, alcune “categorie particolari” di dati a cui deve essere associata una maggiore cautela e garanzia, in quanto soggetti, in caso di violazione, ad un rischio maggiore dei diritti e libertà fondamentali degli individui.

Si tratta di quei dati atti a rivelare l’origine razziale o etnica, le opinioni politiche, l’appartenenza sindacale e le convinzioni religiose o filosofiche di un individuo, insieme alle informazioni genetiche, ai dati biometrici, alle notizie in merito alla salute, alla vita o all’orientamento sessuale della persona e alle informazioni relative ai reati o alle condanne penali.

In particolare il regolamento definisce le seguenti “categorie particolari”:

  • Dati genetici: sono i dati relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, che forniscono informazioni univoche sulla sua fisiologia o sulla sua salute, e sono desumibili in particolare dall’analisi di un suo campione biologico.
  • Dati biometrici: sono i dati ottenuti da un trattamento tecnico specifico che forniscono informazioni relative alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, consentendone o confermandone l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.
  • Dati relativi alla salute: sono i dati attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
  • Dati relativi a condanne penali o reati: sono i dati relativi alle condanne penali, ai reati o a connesse misure di sicurezza.

2. PRINCIPI PER IL TRATTAMENTO

Il Regolamento afferma che ogni trattamento deve essere ispirato ai seguenti principi: liceità, correttezza e trasparenza. Pertanto i dati personali devono essere:

  • raccolti per finalità determinate, esplicite e legittime (limitazione delle finalità);
  • adeguati, pertinenti e limitati a quanto necessario per le finalità dichiarate e il loro trattamento deve essere sempre coerente con le medesime finalità (minimizzazione dei dati);
  • esatti e, quando opportuno, aggiornati, anche per mezzo dell’adozione di misure idonee a cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (esattezza);
  • conservati in una forma che consenta l’identificazione degli individui per un periodo di tempo non eccedente il conseguimento delle finalità per le quali sono trattati (limitazione della conservazione);
  • trattati in maniera da garantire, con misure tecniche e organizzative apposite, la loro sicurezza e un adeguato livello di protezione nei confronti di trattamenti non autorizzati o illeciti, di eventuali perdite o di distruzione di informazioni e/o possibili danni accidentali (integrità e riservatezza).

3. DIRITTI DEGLI INTERESSATI

Il Regolamento accresce gli obblighi di trasparenza ed informazione a favore degli interessati del trattamento dei dati. In particolare il regolamento prevede che a qualsiasi richiesta dell’interessato (compreso il diritto di accesso, cancellazione, rettifica, limitazione o opposizione al trattamento), debba essere data risposta o riscontro entro 1 mese dalla richiesta.

Ricordiamo pertanto che tutto il personale è chiamato a prestare particolare attenzione, alle richieste degli interessati, onde poter agevolare tale esercizio dei diritti, consentendo di adottare una pronta ed efficace misura di risposta, entro tale termine.

4. FINALITA’ E MODALITA’ DI TRATTAMENTO

Le finalità del trattamento dei dati personali dei lavoratori solitamente riguardano l’esecuzione del rapporto lavorativo, nonché specifiche esigenze organizzative, produttive e di sicurezza del lavoro, o anche per l’esercizio di un diritto in sede giudiziaria, ma possono essere anche di tipo diverso come sicurezza sul posto di lavoro, la formazione del lavoratore.

In base ai principi desumibili dagli artt. 4 e 8 dello Statuto dei lavoratori (legge n. 300/1970) i datori di lavoro non possono controllare la posta elettronica e la navigazione in internet dei dipendenti, se non in casi eccezionali.

Il Garante privacy, attraverso le sue Linee guida, fornisce concrete indicazioni in ordine all’uso dei computer sul luogo di lavoro e vieta la lettura e la registrazione sistematica delle email cosı` come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, in quanto riconducibile ad un controllo a distanza dell’attività lavorativa vietata dallo Statuto dei lavoratori.

In base a quanto disposto dalle Linee guida, i collaboratori vengono con la presente informati che il datore di lavoro può:

  • raccogliere e trattare i dati personali necessari per lo svolgimento del rapporto di lavoro e per prestazioni connesse;
  • promuovere ogni opportuna misura, organizzativa e tecnologica volta a prevenire il rischio di utilizzi impropri.

Si ricordano, inoltre, i principali riferimenti normativi che i lavoratori sono tenuti a rispettare:

  • obbligo di usare la diligenza richiesta dalla natura della prestazione dovuta e obbligo di osservare le disposizioni impartite dall’imprenditore e dai suoi collaboratori sia riguardo all’esecuzione della prestazione sia riguardo alla disciplina aziendale (art. 2104 c.c.);
  • divieto di trattare affari in conto proprio o di terzi in concorrenza con l’imprenditore e di divulgare notizie riguardo all’organizzazione e i metodi di produzione dell’impresa che possano arrecarle pregiudizio (art. 2105 c.c.);
  • principio della proporzionalità tra infrazione e sanzione (art. 2106 c.c.).

In caso di utilizzo illecito o improprio di posta elettronica e internet, dei dispositivi e delle attrezzature aziendali, il datore di lavoro si riserva di esercitare un potere disciplinare, di natura sanzionatoria, a fronte di comportamenti del lavoratore che costituiscano violazione degli obblighi contrattuali o posti a suo carico dalla legge.

5. LINEE GUIDA PER IL TRATTAMENTO DEI DATI PERSONALI

Di seguito vengono descritte le norme a cui gli incaricati devono attenersi nell’esecuzione dei compiti che implicano un trattamento di dati personali riferiti a persone fisiche.

Preliminarmente va evidenziato che, al fine di evitare che soggetti estranei possano venire a conoscenza dei dati personali oggetto del trattamento, l’Incaricato deve osservare le seguenti regole di ordinaria diligenza, nonché tutte le altre ulteriori misure ritenute necessarie per garantire il rispetto di quanto disposto dalla normativa in ambito privacy:

  • tutte le operazioni di trattamento devono essere effettuate in modo tale da garantire il rispetto delle misure di sicurezza, la massima riservatezza delle informazioni di cui si viene in possesso considerando tutti i dati confidenziali e, di norma, soggetti al segreto d’ufficio;
  • le singole fasi di lavoro e la condotta da osservare devono consentire di evitare che i dati siano soggetti a rischi di perdita o distruzione, che vi possano accedere persone non autorizzate, che vengano svolte operazioni di trattamento non consentite o non conformi ai fini per i quali i dati stessi sono stati raccolti;
  • in caso di allontanamento, anche temporaneo, dalla propria postazione di lavoro si devono porre in essere tutte le misure necessarie (es. blocco del pc) affinché soggetti terzi, anche se dipendenti, non possano accedere ai dati personali per i quali era in corso un qualunque tipo di trattamento, sia esso cartaceo che automatizzato;
  • non devono essere eseguite operazioni di trattamento per fini non previsti tra i compiti assegnati;
  • devono essere svolte le sole operazioni di trattamento necessarie per il raggiungimento dei fini per i quali i dati sono stati raccolti;
  • deve essere costantemente verificata l'esattezza dei dati trattati e la pertinenza rispetto alle finalità perseguite nei singoli casi.

Quanto sopra descritto impone, in altri termini, di operare con la massima attenzione in tutte le fasi di trattamento, dalla esatta acquisizione dei dati, al loro aggiornamento, alla conservazione ed eventuale distruzione.

6. INDICAZIONI GENERALI

Le finalità di questo documento sono:

  1. garantire e salvaguardare la sicurezza e la privacy dei dati personali trattati in azienda;
  2. stabilire una policy per la sicurezza e il rispetto della privacy nell’utilizzo delle risorse con riferimento in particolare alle misure di sicurezza imposte dalle normative per il trattamento di dati personali;
  3. fornire idonee indicazioni ed istruzioni agli utenti interessati dalle predette misure di sicurezza;
  1. regolamentare l’utilizzo delle risorse informatiche in modo che siano utilizzate in maniera efficace, produttiva e orientata al raggiungimento degli obiettivi dell’azienda;
  1. garantire la sicurezza e prevenire il danneggiamento delle risorse informatiche dell’azienda.

DESTINATARI

Le presenti informazioni si applicano a tutti i dipendenti a tempo pieno o parziale (senza alcuna distinzione di ruolo e/o livello), collaboratori, consulenti, in possesso di specifiche credenziali di autenticazione alla quale è consentito l’utilizzo dell’accesso alle risorse dell’azienda.

Inoltre a tutte le persone che funzionalmente svolgono operazioni di trattamento su dati di cui l’azienda ha la titolarità o la responsabilità, nonché prestano attività all’interno dell’azienda stessa a qualsiasi titolo, con o senza retribuzione, compresi stage o tirocini formativi, anche in convenzione con le scuole superiori o con le università, qualora in occasione della loro attività vengano a conoscenza di dati personali trattati dall’azienda sono designati, quali incaricati del trattamento dei dati, per cui devono prestare le medesime attenzioni che sono richieste al personale interno.

7. AUTO AZIENDALE

Per consentire gli spostamenti presso la clientela l’azienda ha messo a disposizione del proprio personale auto aziendali.

L’azienda, nella gestione della pratica autovettura, può venire a conoscenza delle infrazioni autostradali commesse dal personale e a cui sono state comminate le relative sanzioni amministrative. Per ragioni di legittimo interesse aziendale l’azienda si riserva di contestare e richiedere il pagamento dei relativi importi sanzionatori al diretto interessato.

Per ragioni amministrative e di sicurezza l’azienda, in quanto soggetto intestatario del rapporto di locazione o direttamente figurante come proprietaria del bene, affida il mezzo al personale per fini lavorativi, con un rapporto fiduciario di utilizzo secondo i principi della buona fede e di un corretto comportamento (quali ad es. rispetto del Codice della Strada, dare notizia di guasti, incidenti o furto, divieto di porsi alla guida in stato di alterazione provocato da droghe o alcolici), gestisce una serie di informazioni sull’autovettura, indirettamente riconducibili all’utilizzatore con conseguente trattamento di dati.

La dotazione di uno strumento come l’utilizzo di autovettura aziendale consente, all’azienda, di avere accesso a dati suscettibili di valutazione disciplinare. È pacifico che tali dati, posta la legittimità della dotazione, nel caso in cui l’azienda ravvisi anomalie negli importi, possono essere utilizzati per effettuare degli approfondimenti, per valutare la diligenza del lavoratore.

8. DATI TRATTATI TRAMITE IL DISPOSITIVO TELEPASS E LE CARTE CARBURANTE

Ogni autovettura aziendale è stata dotata di dispositivo telepass, utile strumento per rendere la prestazione lavorativa più agile e meno stressante per l’operatore, che negli spostamenti gli consente di evitare le code ai caselli autostradali, grazie al pagamento automatico dei pedaggi.

L'esecuzione del servizio "Telepass" mette l’azienda nella condizione di trattare dati indispensabili per la gestione amministrativa dei pagamenti dei pedaggi riferiti alla targa dell’autovettura con specifica della tratta di autostrada percorsa.

Con la carta carburante, sempre per ragioni amministrative legate ai pagamenti dei rifornimenti l’azienda viene a conoscere le spese sostenute dal personale.

I dati vengono utilizzati dall’azienda in modo aggregato, senza finalità di monitoraggio del lavoratore. In armonia con quanto dispone l’art. 4, comma 3 della legge n. 300/1970, l’azienda si riserva l’utilizzabilità delle informazioni raccolte in conseguenza della installazione o dotazione.

La dotazione di uno strumento come il telepass e le carte carburante, consentono di avere accesso a dati suscettibili di valutazione disciplinare: il luogo e il tempo della prestazione lavorativa, chilometraggi percorsi. È pacifico che tali dati, posta la legittimità della dotazione, nel caso in cui l’azienda ravvisi anomalie negli importi, possono essere utilizzati per effettuare degli approfondimenti, per valutare la diligenza del lavoratore.

9. ACCESSO AI DATI DALLA POSTAZIONE DI LAVORO

ARCHIVI CARTACEI

Tutto il materiale cartaceo contenente dati personali non deve essere lasciato incustodito e deve essere riposto in modo sicuro e non facilmente accessibile da terzi non autorizzati.

Occorre, quindi, che il personale si adoperi con perizia nello svolgimento delle normali e quotidiane operazioni di lavoro, per evitare che il materiale risulti facilmente visibile a persone terze o, comunque, ai non autorizzati al trattamento.

In caso di trattamento di dati particolarmente sensibili (condizione di salute, dati giudiziari, ecc.), tutta la documentazione cartacea deve poi essere conservata in armadi/cassetti chiusi a chiave o stanze chiuse a chiave in caso di allontanamento, anche temporaneo, dalla postazione di lavoro.

L’accesso a tutti i locali dell’azienda deve essere consentito solo a personale preventivamente autorizzato dal Titolare.

POSTAZIONE DI LAVORO

deve essere:

  • utilizzata solo per scopi legati alla propria attività lavorativa;
  • protetta, evitando che terzi possano accedere ai dati che si sta trattando.

Occorre, inoltre, precisare che è dovere dell'incaricato:

  • non utilizzare in azienda risorse informatiche private (PC, periferiche, token, ecc.);
  • non installare alcun software;
  • non lasciare sulla scrivania informazioni riservate su qualunque supporto esse siano archiviate (carta, CD, dischetti, ecc.);
  • richiamare le funzioni di sicurezza del sistema operativo (con la sequenza dei tasti CTRL+ALT+CANC) ed assicurarsi della attivazione della funzione Lock Workstation in caso di abbandono momentaneo del proprio PC
  • non disattivare lo screen saver;
  • non lasciare incustoditi cellulari e palmari aziendali;
  • non utilizzare fax e/o telefono per trasmettere informazioni riservate e personali se non si è assolutamente certi dell’identità dell’interlocutore o del destinatario e se esso non è legittimato a riceverle.

TRASMISSIONE E RIPRODUZIONE DEI DOCUMENTI

Al fine di prevenire eventuali accessi ai dati dell’azienda da parte di soggetti terzi non autorizzati, occorre adottare delle cautele nella trasmissione e riproduzione dei documenti contenenti dati personali. Quando le informazioni devono essere trasmesse telefonicamente occorre essere assolutamente certi dell’identità dell’interlocutore e verificare che esso sia legittimato ad ottenere quanto domandato. In particolare, nel caso di richieste da parte di terzi può essere necessario, a seconda della natura dei dati richiesti, procedere nel seguente modo:

  • chiedere il nome del chiamante e la motivazione della richiesta;
  • richiedere il numero di telefono da cui l’interlocutore sta effettuando la chiamata;
  • verificare che il numero dichiarato corrisponda a quello del chiamante;
  • procedere immediatamente a richiamare la persona che ha richiesto l’informazione, con ciò accertandosi della identità dichiarata in precedenza. Quando il dato deve essere inviato a mezzo fax, posta elettronica, SMS, ecc. e, in particolar modo, nel caso in cui vengano inviati documenti contenenti dati sensibili occorre:
    • prestare la massima attenzione affinché il numero telefonico o l’indirizzo e-mail immessi siano corretti;
    • verificare che non vi siano inceppamenti di carta o che dalla macchina non siano presi più fogli e attendere sempre il rapporto di trasmissione per un ulteriore verifica del numero del destinatario e della quantità di pagine inviate;
    • nel caso di documenti inviati per posta elettronica accertarsi, prima di confermare l’invio, di avere allegato il file giusto;
    • in caso di trasmissione di dati particolarmente delicati è opportuno anticipare l’invio chiamando il destinatario della comunicazione al fine di assicurare il ricevimento nelle mani del medesimo, evitando che terzi estranei o non autorizzati conoscano il contenuto della documentazione inviata.

DUPLICAZIONE DI DOCUMENTI CON STAMPANTI, MACCHINE FOTOCOPIATRICI O ALTRE APPARECCHIATURE

La stampa di documenti informatici dovrà essere limitata all’attività lavorativa e in ogni caso per documenti per cui esiste l’assoluta necessità di disporre della copia cartacea.

Per quanto concerne l’utilizzo delle stampanti, gli utenti sono tenuti a:

  • Stampare documenti ed atti solo se strettamente necessari per lo svolgimento delle proprie funzioni lavorative;
  • Stampare in bianco/nero e fronte/retro al fine di ridurre i costi, laddove possibile.

Le stampanti locali devono essere spente ogni sera prima di lasciare l’azienda o in caso di loro inutilizzo.

Qualora il dipendente dovesse stampare documenti contenenti dati o informazioni riservate, dovrà aver cura di monitorare la stampante e preservare, limitatamente alle oggettive possibilità, la conoscibilità di tali dati o informazioni da parte di terzi non autorizzati.

In caso di copia erronea o non leggibile correttamente, da cui potrebbero essere desunti dati personali, tali documenti devono essere immediatamente distrutti con qualunque mezzo che ne renda impossibile la ricostruzione in modo da escludere qualunque possibilità da parte di estranei di venire a conoscenza dei dati medesimi.

UTILIZZO DEI TELEFONI AZIENDALI

Indicazioni generali

Il telefono aziendale affidato all’utente è uno strumento di lavoro. Ne viene concesso l’uso esclusivamente per lo svolgimento dell’attività lavorativa, non essendo quindi consentite comunicazioni a carattere personale o comunque non strettamente inerenti l’attività lavorativa stessa. La ricezione o l’effettuazione di telefonate personali è consentito solo nel caso di comprovata necessità ed urgenza. In generale, i telefoni non possono essere ceduti né fatti utilizzare a terzi, eccetto colleghi, collaboratori, consulenti o soggetti identificati ed autorizzati.

I dati di traffico, acquisiti dal sistema di telefonia, sono utili per la validazione dei prospetti di consumo, che le compagnie telefoniche addebitano, sulla base dei tabulati telefonici da esse riscontrati. Pertanto, l’operazione di trattamento dei dati di traffico mira principalmente a verificare la sussistenza e la veridicità dei conti telefonici. Potrebbe emergere dall’analisi primaria un interesse ad approfondire la genesi dei costi ed eventualmente a verificare il corretto utilizzo dei telefoni aziendali.

Pertanto, è facoltà del Titolare effettuare controlli mirati all’individuazione di condotte illecite o vietate, ricorrendo sia ai tabulati telefonici, sia ai dati di traffico registrati dal sistema di telefonia interno, mediante operazioni di analisi, selezione e raffronto.

Agli operatori viene ricordato che aziendalmente è vietata la registrazione e la diffusione della conversazione, in quanto farla ascoltare a terzi o pubblicarla su internet costituisce un illecito punibile penalmente. Per la pubblicazione della conversazione è, infatti, necessario il consenso di tutti coloro che vi hanno partecipato. Le stesse regole appena elencate valgono per tutti i tipi di comunicazione, non solo quella telefonica, ma anche su Skype o altre conversazioni su chat come WhatsApp.

Cellulare aziendale

Qualora venisse assegnato un cellulare aziendale all’utente, quest’ultimo sarà responsabile del suo utilizzo e della sua custodia. Al cellulare aziendale si applicano le medesime regole sopra previste (indicazioni generali) per l’utilizzo del telefono aziendale, in particolare è vietato:

  • l’utilizzo del telefono cellulare messo a disposizione per inviare o ricevere SMS o MMS di natura personale o comunque non pertinenti rispetto allo svolgimento dell’attività lavorativa.

L’eventuale uso promiscuo (anche per fini personali) del telefono cellulare aziendale è possibile soltanto in presenza di preventiva autorizzazione scritta e in conformità delle istruzioni ricevute.

Quanto memorizzato sui supporti interni al telefono potrebbe essere oggetto di analisi, controllo e duplicazione, per migliorare l’affidabilità, la disponibilità e l’efficienza del dispositivo.

Qualora fossero individuate componenti hardware e/o software (programmi, documenti, dispositivi esterni, ecc.) non corrispondenti ai criteri di sicurezza e di operatività non esplicitamente autorizzati, tali componenti potrebbero essere rimossi e l’utilizzatore potrebbe essere coinvolto negli accertamenti e nelle verifiche del caso.

In particolare, in modo non esaustivo, si intende stigmatizzare i comportamenti relativi ai seguenti divieti:

  • non è consentito modificare le caratteristiche hardware e software impostate sul telefono,
  • non è consentita l’installazione di programmi diversi da quelli autorizzati,
  • non è consentita la riproduzione, la duplicazione, il salvataggio o lo scarico (download o file sharing) di programmi o file di ogni tipo (testo, immagini, video, audio, eseguibili) in violazione delle norme sul diritto d’autore, ai sensi delle Legge n. 128 del 21 maggio 2004,
  • non è consentita l’installazione di ulteriori dispositivi rispetto a quelli in dotazione,
  • non è consentito l’uso di qualsiasi dispositivo esterno collegabile al telefono, se non quelli aziendali o quelli autorizzati,
  • non è consentito utilizzare la fotocamera o videocamera del dispositivo per effettuare foto o video non pertinenti l’attività operativa e la loro divulgazione su social network o in internet, per qualsiasi finalità.

L’utilizzatore che abbia necessità di apportare modifiche software o hardware al telefono in dotazione, installando nuovi programmi o dispositivi, deve farne preventiva richiesta.

In caso di furto o smarrimento o danneggiamento dei telefoni, l’utilizzatore deve dare tempestiva comunicazione, rimanendo a disposizione nel caso sia necessario denunciare l’accaduto all’Autorità preposta.

9. MISURE DI SICUREZZA DA ADOTTARE PER LA PROTEZIONE DEI DATI DURANTE LE FASI DEL LORO TRATTAMENTO INFORMATICO

UTILIZZO STRUMENTI ELETTRONICI

Tutta la strumentazione elettronica e i relativi programmi e/o applicazioni affidati all’utente sono strumenti di lavoro.

Ogni utilizzo non inerente all'attività lavorativa può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza. La strumentazione elettronica deve essere custodita con cura evitando ogni possibile forma di danneggiamento.

Ogni utente è personalmente e direttamente responsabile dell’uso e della custodia dei dispositivi affidatogli, per cui deve:

  • custodirli in modo appropriato, non lasciandoli incustoditi;
  • proteggerli, sempre, con password e codici identificativi (si rimanda al punto di pertinenza);
  • utilizzarli solo per fini professionali e non anche per scopi personali, salvo esplicita deroga, tanto meno per scopi illeciti;
  • segnalare, prontamente, il loro furto, danneggiamento o smarrimento.

Salvo preventiva ed espressa autorizzazione non è consentito all'utente:

  • modificare le caratteristiche impostate sui dispositivi elettronici,
  • installare dispositivi di memorizzazione, comunicazione o altro (come ad es. masterizzatori, modem e dispositivi Bluetooth ecc.);
  • accedere contemporaneamente con lo stesso account da più PC;
  • collegarsi a siti a pagamento, salvo autorizzazione del Responsabile;
  • effettuare copie di backup su supporti esterni, salvo autorizzazione del Responsabile.

Gli strumenti elettronici con connessione ad internet dati in affidamento all’utente sono stati configurati in modo da consentire l’accesso alla rete aziendale solo attraverso specifiche credenziali di autenticazione come chiarito in seguito.

L’azienda può effettuare dei controlli mirati (direttamente o attraverso la propria struttura) al fine di verificare l'effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.).

Esigenze aziendali potranno anche comportare l’accesso, in un qualunque momento, ai dati trattati da ciascun “utente”, ivi compresi gli archivi di posta elettronica. In particolare il personale incaricato potrà eseguire controlli sui documenti presenti nei pc dei dipendenti, qualora sussista la necessità di:

  1. proseguire con l'attività aziendale in assenza del dipendente interessato;
  2. rilevare le cause di eventuali anomalie dei sistemi, presenza di virus informatici, esecuzione di manutenzioni, back up;
  3. verificare cause di abuso nell'utilizzo degli strumenti elettronici di cui l'azienda si è accorta.

UTILIZZO DI PROGRAMMI

Non è consentito l'uso di programmi diversi da quelli ufficialmente installati, per conto dell’azienda, né viene consentito agli utenti di installare autonomamente programmi provenienti dall'esterno, sussistendo infatti il grave pericolo di introdurre Virus informatici e/o di alterare la funzionalità delle applicazioni software esistenti. L’inosservanza di questa disposizione, oltre al rischio di provocare danneggiamenti del sistema per incompatibilità con il software esistente, può esporre l’azienda a gravi responsabilità civili ed anche penali in caso di violazione della normativa a tutela dei diritti d’autore sul software (D. Lgs. 518/92 sulla tutela giuridica del software e Legge a protezione del diritto d'autore e di altri diritti connessi al suo esercizio Legge 22 aprile 1941, n. 633 e successive modifiche fino al D. Lgs. 21 febbraio 2014, n. 22) che impone la presenza nel sistema di software regolarmente licenziato o comunque libero e quindi non protetto dal diritto d’autore.

In particolare non è consentito:

  • installare programmi non autorizzati;
  • utilizzare strumenti software e/o hardware atti ad intercettare, falsificare, alterare o sopprimere il contenuto di comunicazioni e/o documenti informatici;
  • modificare le configurazioni impostate sul proprio computer;
  • scaricare file contenuti in supporti magnetici, ottici e per drive USB non aventi alcuna attinenza con la propria prestazione lavorativa;
  • disinstallare i programmi di protezione: firewalls, antivirus ecc. installati;
  • disattivare o bloccare gli aggiornamenti al sistema operativo o antivirus o firewall;
  • memorizzare documenti informatici di natura oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica.

Tutti i file di provenienza incerta ma attinenti all'attività lavorativa, devono essere sottoposti al controllo e relativa autorizzazione di utilizzo.

UTILIZZO PERSONAL COMPUTER (PC)

Il PC, assegnato ad ogni utente, è uno strumento di lavoro aziendale.

In deroga a tale principio L’azienda autorizza un moderato e ragionevole utilizzo privato. Tale utilizzo deve essere limitato ed ispirato a criteri di buon senso e non dovrà ostacolare l’utilizzo professionale. Lo spazio della risorsa affidata, utilizzato a fini “privati” (ad esempio dislocazione di file dati, foto o filmati), dovrà perciò essere limitato e non dovrà precludere e limitare quello dedicato all’utilizzo Professionale, restando l’assoluto divieto di utilizzo per condotte illecite che possano integrare lesioni del patrimonio aziendale e/o dell’immagine e/o ingenerare delitti informatici e/o illeciti trattamenti dei dati.

Il Personal Computer deve essere:

  • disattivato e attivato lo screensaver con protezione in caso di allontanamento dalla postazione;
  • spento ogni sera prima di lasciare la propria postazione;
  • spento in caso di assenze prolungate dall'ufficio;
  • spento in caso di non utilizzo prolungato.

L’utente deve adottare le seguenti misure minime di protezione del dispositivo che vengono spiegate in questo documento:

  1. utilizzo di programmi;
  2. attivazione di credenziali di autentificazioni per l’accesso;
  3. uso di supporti esterni;
  4. uso della rete aziendale;
  5. uso della posta elettronica aziendali;
  6. navigazione in Internet;
  7. protezione con software antivirus, firewall ecc.

Lasciare un elaboratore incustodito connesso alla rete può essere causa di utilizzo da parte di terzi senza che vi sia la possibilità di provarne in seguito l'indebito uso.

Il personale incaricato ha la facoltà di collegarsi e visualizzare in remoto il desktop delle singole postazioni PC al fine di garantire l’assistenza tecnica e la normale attività operativa nonché la massima sicurezza contro virus, spyware, malware, etc. Tale tipologia di intervento viene effettuato esclusivamente su chiamata dell’utente o, in caso di oggettiva necessità, a seguito della rilevazione tecnica di problemi nel sistema informatico e telematico. In quest’ultimo caso, e sempre che non si pregiudichi la necessaria tempestività ed efficacia dell’intervento, si comunicherà la necessità dell’intervento.

UTILIZZO PERSONAL COMPUTER PORTATILI

L'utente è responsabile del PC portatile assegnatogli e deve custodirlo con diligenza sia durante gli spostamenti sia durante l'utilizzo nel luogo di lavoro.

Ai PC portatili si applicano le regole di utilizzo previste dal presente regolamento, con particolare attenzione alla rimozione dei file, elaborati prima della riconsegna del dispositivo.

I PC portatili utilizzati all'esterno, in caso di allontanamento, devono essere custoditi con diligenza, adottando tutti i provvedimenti che le circostanze rendono necessari per evitare danni o sottrazioni.

Si invitano gli utenti a non conservare, sui PC portatili o sui supporti esterni, dati aziendali che devono essere backuppati sul server aziendale entro la giornata lavorativa. Tali dati devono poi essere cancellati dal PC o dai supporti.

Il Personal Computer portatile deve essere:

  • disattivato e attivato lo screensaver con protezione in caso di allontanamento dalla postazione;
  • spento in caso di non utilizzo prolungato.

L’utente deve adottare le seguenti misure minime di protezione del dispositivo che vengono spiegate in questo documento:

  1. utilizzo di programmi;
  2. attivazione di credenziali di autentificazioni per l’accesso;
  3. uso di supporti esterni;
  4. uso della rete aziendale;
  5. uso della posta elettronica aziendali;
  6. navigazione in Internet;
  7. protezione con software antivirus, firewall.

UTILIZZO TABLET E SMARTPHONE

Tali dispositivi devono essere custoditi con diligenza, adottando tutti i provvedimenti che le circostanze rendono necessari per evitare danni o sottrazioni.

L’utente deve evitare:

  • di scaricare e installare mobile apps a pagamento e/o vietate dal Titolare o Responsabile Informatico aziendale o da market non autorizzati;
  • di collegarsi a siti web non attendibili;
  • di mettere in carica i dispositivi in docking station non affidabili;
  • qualsiasi intervento sul dispositivo con esecuzione del jailbreak che consente lo sblocco del root e la possibilità di modifica del bootloader, al fine di installare versioni alternative del sistema operativo e delle applicazioni;
  • di scaricare applicazioni provenienti da app store illecite, non sottoposte a revisioni e verifiche di sicurezza;
  • di utilizzare la modalità fotocamera per fini non lavorativi e non diffondere immagini di persone o dati sensibili se non su autorizzazione;
  • pubblicare su social network, su siti internet o altro documenti aziendali, foto e video attinenti alla propria attività lavorativa e/o pertinente l’azienda, se non su autorizzazione.

L’utente deve controllare sul dispositivo che al punto Impostazioni/Sistema/Info sul dispositivo/Aggiornamenti software sia spuntata la voce di aggiornamento della piattaforma.

L’utente nell’uso quotidiano deve:

  • bloccare il dispositivo quando non è in uso;
  • segnalare i casi di smarrimento o furto del dispositivo per disattivare i certificati e gli altri metodi di accesso a esso associati;
  • considerare le implicazioni per la privacy prima di abilitare servizi basati sulla localizzazione e limitare l'uso alle applicazioni non affidabili.

Si raccomanda inoltre all’utente di predisporre il blocco dei dispositivi mobili attraverso l’apposita configurazione software del terminale mobile che vincola l’utilizzo dello stesso alla presenza di specifiche carte SIM e di attivare il codice di blocco del terminale.

Il PIN (Personal Identity Number) è un codice che, se impostato come attivo, viene richiesto dal telefono al momento dell'accensione.

La mancata digitazione del PIN, o l'inserimento per tre volte consecutive del PIN errato, impedisce l'utilizzo della SIM Card non consentendo di telefonare, né di accedere alle funzioni della SIM stessa.

FENOMENO DEL BYOD (BRING YOUR OWN DEVICE)

Si intende la condizione in cui l’azienda si trova a dover gestire richieste provenienti dai dipendenti che chiedono di poter utilizzare i propri dispositivi mobili sul posto di lavoro per lo svolgimento delle mansioni assegnate.

Tale fenomeno si riferisce a tutte le tipologie di “lavoratori”, comprese le figure professionali rientranti all’interno delle varie forme di rapporto di lavoro parasubordinato (co.co.pro, contratti a progetto, etc.) o autonomo (lavoratori a progetto, consulenti, professionisti ecc.).

Gli utenti non possono scaricare dati sensibili o informazioni riservate dell’azienda o delle aziende clienti all’interno dei propri dispositivi personali, a meno che non siano stati previamente autorizzati.

Gli utenti devono notificare, entro la giornata, ogni effettivo o sospetto avvenimento di hacking e/o di rivelazione non autorizzata di dati contenuti all’interno del dispositivo mobile.

Gli utenti devono garantire un set di requisiti di sicurezza di base da adottare nella configurazione del proprio dispositivo mobile.

Per esempio, la configurazione del dispositivo dovrebbe proibire:

  • il back-up o il cloud storage automatico;
  • l’utilizzo del dispositivo personale come hotspot mobile;
  • l’installazione di alcune specifiche applicazioni particolarmente intrusive e/o illecite (es: jail-break).

L’utente deve effettuare una periodica copia di backup dei propri dati personali in modo tale che in caso di necessità per smarrimento del cellulare si possa provvedere alla cancellazione remota di tutti i dati, per garantire l'integrità delle informazioni.

L’utente disponga della licenza appropriata per il software di terze parti utilizzato per i dispositivi BYOD: es. il dipendente non può acquistare la versione "home" della licenza di un programma di elaborazione dati e poi usare il programma sul proprio laptop BYOD per svolgere le attività lavorative quotidiane.

Per i dispositivi BYOD l’utente garantisce che non saranno resi accessibili e utilizzati anche dai loro amici e familiari, onde evitare che persone terze possano potenzialmente accedere a tutte le informazioni aziendali archiviate su tali dispositivi.

Mantenere una netta e chiara separazione tra i dati personali trattati per conto dell’Azienda-Titolare del trattamento e quelli trattati per scopi puramente personali del proprietario del dispositivo.

I dati personali trattati attraverso dispositivi mobili non devono risiedere sul dispositivo personale dell’utente ma devono rispettare le procedure di back-up e sincronizzazione dei dati del dispositivo mobile sulla rete aziendale o sul cloud privato aziendale.

In caso di smaltimento o sostituzione di dispositivo l’utente deve assicurare e consentire di verificare che tutti i dati aziendali sensibili siano stati rimossi effettivamente e completamente dal dispositivo.

UTILIZZO DELLA RETE AZIENDALE

Le unità di rete sono aree di condivisione di informazioni strettamente professionali e non possono in alcun modo essere utilizzate per scopi diversi. Pertanto qualunque file che non sia legato all’attività lavorativa non può essere archiviato, nemmeno per brevi periodi, su queste unità. Si ricorda che per esigenze aziendali, legate a ragioni di salvaguardia e di operatività, sono sottoposte a regolari attività di controllo, amministrazione e backup.

Ciascun utente può accedere alla rete aziendale solo attraverso specifica credenziale di autenticazione personale. È assolutamente proibito entrare nella rete e nei programmi con altri nomi utente. In caso si venga a conoscenza di accessi alla rete non autorizzati, l’utente deve immediatamente avvisare il Titolare o il Responsabile Informatico. Sarà cura aziendale verificare la cosa per bloccare gli accessi non autorizzati ed intraprendere le misure di difesa della rete e del patrimonio aziendale.

È assolutamente proibito entrare nella rete e nei programmi con un codice d’identificazione utente diverso da quello assegnato. Le parole chiave d'ingresso alla rete ed ai programmi sono segrete e vanno comunicate e gestite secondo le procedure impartite.

La responsabilità del salvataggio dei dati è a carico del singolo utente.

Il Titolare o Responsabile Informatico aziendale può in qualunque momento procedere alla rimozione di ogni file o applicazione che riterrà essere pericolosi per la Sicurezza sia sui PC degli utenti che sulle unità di rete.

Costituisce buona regola la periodica (almeno ogni tre mesi) pulizia degli archivi, con cancellazione dei file obsoleti o inutili. Particolare attenzione deve essere prestata alla duplicazione dei dati, essendo infatti necessario evitare un'archiviazione ridondante.

È severamente vietato collegarsi alla rete aziendale utilizzando mezzi propri come, ad esempio, computer portatili, senza esplicita autorizzazione.

USO DELLA POSTA ELETTRONICA

La casella di posta elettronica assegnata all'utente è uno strumento di lavoro. Le persone assegnatarie delle caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse.

È fatto divieto di utilizzare le caselle di posta elettronica (es. nome.cognome@azienda.it ) per motivi diversi da quelli strettamente legati all'attività lavorativa.

Agli utenti addetti al medesimo ufficio/servizio viene assegnata una casella di posta elettronica condivisa e contrassegnata dal seguente indirizzo (ufficio/area/reparto@azienda.it ).

In questo senso, a titolo puramente esemplificativo, l’utente non potrà utilizzare tale posta elettronica per:

  • l’invio e/o il ricevimento di allegati contenenti filmati o brani musicali (es. mp3) se non legati all’attività lavorativa;
  • l’invio e/o il ricevimento di messaggi personali o per la partecipazione a dibattiti, aste on line, concorsi, forum o mailing-list, se non per ragioni lavorative;
  • la partecipazione a catene telematiche (cosiddette catene di Sant'Antonio). Se si dovessero peraltro ricevere messaggi di tale tipo, si deve comunicarlo immediatamente. Non si dovrà in alcun caso procedere all’apertura degli allegati a tali messaggi;
  • lo svolgimento di azioni non attinenti alle mansioni assegnate; i responsabili sono tenuti a controllare la posta in arrivo almeno una volta al giorno e devono delegare una persona di fiducia che possa farlo in caso di propria assenza;
  • inviare, anche all’interno della rete aziendale, materiale a contenuto violento, sessuale o comunque offensivo dei principi di dignità personale, di libertà religiosa, di libertà sessuale o di manifestazione del pensiero, anche politico.
  • inviare messaggi di POSTA ELETTRONICA, anche all’interno della rete aziendale, che abbiano contenuti contrari a norme di legge ed a norme di tutela dell’ordine pubblico, rilevanti ai fini della realizzazione di una fattispecie di reato, o che siano in qualche modo discriminatori della razza, dell’origine etnica, del colore della pelle, della fede religiosa, dell’età, del sesso, della cittadinanza, dello stato civile, degli handicap. Qualora il dipendente riceva messaggi aventi tali contenuti, è tenuto a cancellarli immediatamente e a darne comunicazione tempestiva.

Tutte le caselle di posta elettronica sono oggetto di salvataggio automatico sia per le comunicazioni in ingresso che in uscita.

La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili, non pertinenti all’attività lavorativa e soprattutto allegati ingombranti.

La documentazione elettronica che costituisce per l’azienda “know how” aziendale tecnico o commerciale protetto e che, quindi, viene contraddistinta da diciture od avvertenze dirette ad evidenziarne il carattere riservato o segreto a tutela del patrimonio dell’impresa, non può essere comunicata all’esterno senza preventiva autorizzazione della Direzione.

L’azienda consente per ragioni di operabilità di visualizzare le e-mail aziendali anche su supporti personali. L’utente deve però attenersi alle medesime indicazioni comportamentali e alle misure di tutela previste nel caso dell’utilizzazione di strumentazione aziendale.

Ogni comunicazione inviata o ricevuta che abbia contenuti rilevanti o contenga impegni contrattuali o precontrattuali per l’azienda ovvero contenga documenti da considerarsi riservati in quanto contraddistinti dalla dicitura "strettamente riservati" o da analoga dicitura, deve essere visionata od autorizzata e salvata sul server aziendale.

È consigliato utilizzare la ricevuta di ritorno per avere la conferma dell'avvenuta lettura del messaggio da parte del destinatario. Si evidenzia però che le comunicazioni ufficiali, da inviarsi mediante gli strumenti tradizionali (fax, posta, PEC …), devono essere autorizzati e/o firmati dalla Direzione Generale e/o dai Responsabili di ufficio, a seconda del loro contenuto e dei destinatari delle stesse.

È obbligatorio porre la massima attenzione nell’aprire i file allegati di posta elettronica prima del loro utilizzo (non eseguire download di file eseguibili o documenti da siti Web o Ftp non conosciuti).

Al fine di garantire la funzionalità del servizio di posta elettronica aziendale e di ridurre al minimo l’accesso ai dati, nel rispetto del principio di necessità e di proporzionalità, il sistema, in caso di assenze programmate (ad es. per ferie o attività di lavoro fuori sede dell’assegnatario della casella) invierà automaticamente messaggi di risposta contenenti le "coordinate" di posta elettronica di un altro soggetto o altre utili modalità di contatto della struttura. In tal caso, la funzionalità deve essere attivata dall’utente.

In caso di assenza non programmata (ad es. per malattia) la procedura - qualora non possa essere attivata dal lavoratore avvalendosi del servizio webmail entro due giorni - verrà attivata a cura dell’azienda.

Sarà comunque consentito al superiore gerarchico dell’utente visionare tramite persona delegata (denominato fiduciario) la casella di posta elettronica per verificare il contenuto dei messaggi ed inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativa. Di tale attività viene redatto verbale che sarà sottoposto al lavoratore interessato alla prima occasione utile.

Successivamente alla cessazione del rapporto di lavoro la casella di posta elettronica sarà disattivata. Sarà inoltre predisposto temporaneamente un sistema di risposta automatica per informare il mittente dell’avvenuta disattivazione dell’account di posta elettronica e dare indicazione del nuovo referente aziendale.

Il contenuto degli account di posta elettronica disattivati sarà registrato in un file di backup. Successivamente alla cessazione del rapporto di lavoro, la Società potrà liberamente accedere al contenuto del file di backup, del personal computer nonché alla casella di posta elettronica assegnata al lavoratore durante il rapporto di lavoro per ragioni di continuità dell’attività della Società, per finalità di sicurezza del sistema informatico, nonché quando ciò sia necessario.

GESTIONE ED ASSEGNAZIONE DELLE CREDENZIALI DI AUTENTICAZIONE

Le credenziali di autenticazione per l’avvio dei dispositivi aziendali sono assegnate, previa formale richiesta del Titolare che cura l’inserimento del nuovo utente. Nel caso di collaboratori a progetto e coordinati e continuativi la preventiva richiesta, se necessaria, deve essere inoltrata direttamente dal Responsabile dell’ufficio/area con il quale il collaboratore si coordina per l’espletamento del proprio incarico.

Al primo utilizzo sarà cura dell’utente, incaricato del trattamento, procedere alla modifica della parola chiave e, successivamente, almeno ogni 6 mesi.

La parola chiave (password), formata da lettere (maiuscole o minuscole) e/o numeri, anche in combinazione fra loro, deve essere composta da almeno 10 (dieci) caratteri.

La password non deve contenere riferimenti agevolmente riconducibili all'incaricato (pertanto non si devono utilizzare nome e cognome o date particolari).

La password dovrà essere custodita in modo tale da:

  • evitare accessi ai contenuti del pc da parte di lavoratori non autorizzati al trattamento di dati o informazioni di competenza del titolare della password;
  • evitare accessi ai contenuti del pc da parte di soggetti terzi estranei alla struttura.

L’utente dovrà inoltre osservare le seguenti indicazioni:

  • non scrivere le password su post-it affissi al pc;
  • non comunicare la password via telefono o via mail in caso di mancanza di assoluta certezza circa l'identità della controparte;
  • attivare lo Screen Saver protetto da Password;
  • predisporre attivazione dello Screen Saver dopo un certo numero di minuti di inutilizzo del computer.

Qualora l’utente venga a conoscenza delle password di altro utente, è tenuto a darne immediata notizia.

PC FISSI

Divieto assoluto di comunicare o diffondere la propria password di accesso al pc.

Comunicazione al Titolare o Responsabile Informatico aziendale della sostituzione di password ogni qualvolta questa sia stato necessario divulgarla per esigenze aziendali a personale dell’azienda.

PC PORTATILI

Per gli utenti che dispongono di PC portatile o altro dispositivo mobile (es. smartphone, tablet ecc.) il titolare del trattamento dei dati richiede una particolare attenzione nella custodia dello strumento informatico, nello specifico:

  • sostituzione e/o immissione della password al primo avvio del dispositivo;
  • sostituzione password di avvio del dispositivo ogni 3 mesi ;
  • comunicazione lo smarrimento o perdita del dispositivo.

NAVIGAZIONE IN INTERNET

l