Sei sulla pagina 1di 11

LE REGOLE AZIENDALI PER LUTILIZZO DEI SISTEMI INFORMATICI E LE FORME DI CONTROLLO DEI LAVORATORI Le realt aziendali sono andate

caratterizzandosi in questi ultimi anni per lelevato uso delle tecnologie informatiche e telefoniche che se da un lato hanno consentito lintroduzione di innovative tecniche di gestione dellimpresa, dallaltro hanno anche dato origine a numerose problematiche relative allutilizzo degli strumenti informatici/telefonici forniti dallazienda ai propri collaboratori per lo svolgimento delle mansioni e compiti affidati. In questo senso, viene fortemente sentita dai datori di lavoro la necessit di porre in essere adeguati sistemi di controllo sullutilizzo di tali strumenti da parte dei dipendenti/collaboratori e di sanzionare conseguentemente quegli usi scorretti che, oltre ad esporre lazienda stessa a rischi tanto patrimoniali quanto penali, possono di per s considerarsi contrari ai doveri di diligenza e fedelt previsti dagli artt. 2104 e 2105 del Codice civile. I controlli sulluso degli strumenti informatici/telefonici tuttavia, devono garantire tanto il diritto del datore di lavoro di proteggere la propria organizzazione, essendo i computer ed i telefoni aziendali strumenti di lavoro la cui utilizzazione personale preclusa, quanto il diritto del lavoratore a non vedere invasa la propria sfera personale, e quindi il diritto alla riservatezza ed alla dignit come sanciti dallo Statuto dei lavoratori e dal Codice sulla privacy. Va peraltro segnalato che la giurisprudenza si pronunciata solo ultimamente ed in modo non sempre concorde in merito ai limiti di tale forma di controllo e sulle caratteristiche delle possibili azioni disciplinari esercitabili nei confronti del lavoratore che abbia utilizzato in modo non corretto la strumentazione aziendale: risultano ancora poco delineati per esempio, i profili relativi allapplicazione, in materia, di quanto previsto dalla L. n. 300/1970 (Statuto dei lavoratori), in particolare dallart. 4 sulle modalit di controllo a distanza della loro attivit lavorativa e dallart. 8 sui divieti di indagini sulle opinioni del lavoratore e sui fatti non rilevanti ai fini della valutazione dellattitudine professionale degli stessi. I regolamenti aziendali (quali quello proposto) ed in genere le policy aziendali che dettano le regole sulluso degli strumenti informatici e telematici, non sono comunque sostitutive della procedura prevista dal 2 comma dellart. 4 dello Statuto dei lavoratori in materia di controlli leciti, nei casi in cui questa procedura sia necessaria. Si evidenzia, inoltre, che laccesso da parte del datore di lavoro ai messaggi di posta elettronica presenti nella casella di posta assegnata ai singoli dipendenti potrebbe, potenzialmente, determinare violazione dellart. 616 del codice penale, che punisce la violazione, sottrazione e soppressione di corrispondenza anche telematica altrui. Tuttavia, proprio ladozione di un regolamento aziendale che evidenzi la natura non personale della casella di posta assegnata e ne definisca le modalit duso ed i possibili controlli, rappresenta un utile strumento per evitare la configurabilit di tale reato. Alla luce delle considerazioni sopra espresse e tenuto opportunamente conto delle Linee guida recentemente emanate dallAutorit garante per la protezione dei dati personali, con propria deliberazione n. 13 del 1 marzo 2007, sulla disciplina della navigazione in internet e sulla gestione della posta elettronica nei luoghi di lavoro, il Coordinamento legale delle associazioni industriali del triveneto, congiuntamente al Coordinamento dei servizi sindacali e con la collaborazione degli esperti delle Associazioni in materia di Information Technology, ha elaborato lallegato schema di regolamento utilizzabile dalle imprese proprio per disciplinare le condizioni per il corretto utilizzo degli strumenti informatici/telefonici da parte dei dipendenti e/o collaboratori. Il regolamento di seguito proposto, essendo rilevante ai fini delle eventuali azioni disciplinari attivabili dal datore di lavoro nei confronti del dipendente, stato redatto tenendo opportunamente conto da una parte delle disposizioni contenute nella Legge. n. 300/1970 in tema di provvedimenti disciplinari (art. 7), dallaltra delle indicazioni emerse nelle prime sentenze di merito e di legittimit pronunciatesi sullargomento. Vengono inoltre considerati gli specifici obblighi previsti dal Codice della privacy (D.Lgs. n. 196/2003 e successive modifiche ed integrazioni) e dallart. 29, 1comma del D.Lgs. n. 242/1996 (in tema di controlli operati mediante il sistema informatico aziendale), nonch gli obblighi previsti dal disciplinare tecnico sulle misure minime di sicurezza allegato allo stesso Codice. Con riferimento alle normativa in tema di protezione dei dati personali, si ricorda come il Codice della privacy stabilisca che lattivit di controllo debba essere rispettosa dei principi fondamentali di proporzionalit (art. 3), debba avvenire nel rispetto dei diritti e delle libert fondamentali, nonch della

dignit dell'interessato (art. 2) e soprattutto, che di tale attivit, debba essere fornita adeguata e preventiva informativa (art. 13). Lo schema di regolamento ha lo scopo di informare gli interessati sulle finalit del controllo e sulle specifiche tecnologie adottate per effettuarlo. Particolare attenzione dovr comunque venir prestata allattivit di controllo della navigazione internet qualora, mediante lindividuazione dei contenuti dei siti visitati, si determini un trattamento di dati sensibili per i quali deve sempre essere rispettato il principio dellindispensabilit (art. 26, 4comma lett. c) del Codice). Il regolamento, inoltre, oltre a dettare una disciplina per lutilizzo degli strumenti informatici/telefonici aziendali, vuole costituire un utile strumento per sensibilizzare il personale su altri aspetti altrettanto importanti nella gestione dei sistemi informatici aziendali, quali il rispetto della normativa sulla tutela legale del software (e quindi il controllo sulla regolarit del software presente nello stesso sistema informatico), e quella sulla tutela del know-how aziendale, quando queste importanti informazioni di propriet dellimpresa sono custodite nel sistema informatico. Tra laltro, se correttamente applicato e fatto rispettare, il regolamento pu risultare anche un efficace strumento per limitare il rischio di insorgenza della responsabilit amministrativa a carico della societ, prevista dal D.Lgs. n.231/ 2001: si ricorda infatti che, alla luce di tale normativa, il datore di lavoro pu essere soggetto allapplicazione di sanzioni pecuniarie ed interdittive, nel caso di commissione da parte di un dipendente di specifici reati - anche se commessi tramite lutilizzo di internet - dai quali la societ stessa ne abbia tratto un vantaggio, seppur in modo indiretto. _______________________________________________________________________________________

(Il presente regolamento stato redatto tenendo conto delle linee guida del Garante della Privacy emanate con delibera n. 13 del 1 marzo 2007. In quanto schema di regolamento, ciascuna impresa interessata dovr adattarlo alla propria specifica realt; le note riportate nel regolamento facilitano la comprensione delle varie parti dello stesso, ma nella versione finale predisposta dallimpresa, per essere resa operativa al suo interno, non dovranno ovviamente apparire.) Regolamento per l'utilizzo dei sistemi informatici di ............... (nome azienda) 1 Indice Premessa 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. Entrata in vigore del regolamento e pubblicit Campo di applicazione del regolamento Utilizzo del Personal Computer Gestione ed assegnazione delle credenziali di autenticazione Utilizzo della rete di ............... (nome azienda) Utilizzo e conservazione dei supporti rimovibili Utilizzo di PC portatili Uso della posta elettronica Navigazione in Internet Protezione antivirus Utilizzo dei telefoni, fax e fotocopiatrici aziendali Osservanza delle disposizioni in materia di Privacy Accesso ai dati trattati dallutente Sistema di controlli graduali Sanzioni Aggiornamento e revisione

Premessa La progressiva diffusione delle nuove tecnologie informatiche e, in particolare, il libero accesso alla rete Internet dai Personal Computer, espone ............... (nome azienda) e gli utenti (dipendenti e collaboratori della stessa) a rischi di natura patrimoniale, oltre alle responsabilit penali conseguenti alla violazione di specifiche disposizioni di legge (legge sul diritto dautore e legge sulla privacy, fra tutte), creando evidenti problemi alla sicurezza ed all'immagine dellAzienda stessa. Premesso quindi che l'utilizzo delle risorse informatiche e telematiche deve sempre ispirarsi al principio della diligenza e correttezza, comportamenti che normalmente si adottano nell'ambito dei rapporti di lavoro,

Si ricorda che il regolamento ha lo scopo di informare gli interessati anche sulle eventuali finalit e modalit del controllo e sulle specifiche tecnologie adottate per effettuarlo. Particolare attenzione dovr essere prestata allattivit di controllo della navigazione internet qualora, mediante lindividuazione dei contenuti dei siti visitati, si determini un trattamento di dati sensibili per i quali va sempre rispettato il principio dellindispensabilit (art. 26, 4 comma lett. c) del codice).

............... (nome azienda) ha adottato un Regolamento interno diretto ad evitare che comportamenti inconsapevoli possano innescare problemi o minacce alla Sicurezza nel trattamento dei dati. Le prescrizioni di seguito previste si aggiungono ed integrano le specifiche istruzioni gi fornite a tutti gli incaricati in attuazione del D.Lgs. 30 giugno 2003 n. 196 e del Disciplinare tecnico (Allegato B al citato decreto legislativo) contenente le misure minime di sicurezza, nonch integrano le informazioni gi fornite agli interessati in ordine alle ragioni e alle modalit dei possibili controlli o alle conseguenze di tipo disciplinare in caso di violazione delle stesse. Considerato inoltre che ............... (nome azienda), nellottica di uno svolgimento proficuo e pi agevole della propria attivit, ha da tempo deciso di mettere a disposizione dei propri collaboratori che ne necessitassero per il tipo di funzioni svolte, telefoni e mezzi di comunicazione efficienti (computer portatili, telefoni cellulari, etc.), sono state inserite nel regolamento alcune clausole relative alle modalit ed i doveri che ciascun collaboratore deve osservare nellutilizzo di tale strumentazione.

1. Entrata in vigore del regolamento e pubblicit 1.1 Il nuovo regolamento entrer in vigore il Con lentrata in vigore del presente regolamento tutte le disposizioni in precedenza adottate in materia, in qualsiasi forma comunicate, devono intendersi abrogate e sostituite dalle presenti. Copia del regolamento, oltre ad essere affisso nella bacheca aziendale, verr consegnato a ciascun dipendente. 2

1.2

2. Campo di applicazione del regolamento 2.1 Il nuovo regolamento si applica a tutti i dipendenti, senza distinzione di ruolo e/o livello, nonch a tutti i collaboratori dellazienda a prescindere dal rapporto contrattuale con la stessa intrattenuto (lavoratori somministrati, collaboratore a progetto, in stage, ecc.). Ai fini delle disposizioni dettate per lutilizzo delle risorse informatiche e telematiche, per utente deve intendersi ogni dipendente e collaboratore (collaboratore a progetto, in stage, agente, ecc.) in possesso di specifiche credenziali di autenticazione. Tale figura potr anche venir indicata quale incaricato del trattamento.

2.2

3. Utilizzo del Personal Computer 3.1 Il Personal Computer affidato allutente uno strumento di lavoro. Ogni utilizzo non inerente all'attivit lavorativa vietato perch pu contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza. Il personal computer deve essere custodito con cura evitando ogni possibile forma di danneggiamento.

La consegna di una copia a ciascun collaboratore una scelta facoltativa del datore di lavoro: in caso di consegna a mano, la premessa del presente regolamento pu anche essere riportata in uneventuale lettera di accompagnamento. Si ricorda infatti che ai sensi dellart. 7 Legge n. 300/1970 lunico obbligo a carico del datore di lavoro, ai fini dellesercizio del potere disciplinare, quello di dare adeguata pubblicit delle norme mediante laffissione in luogo accessibile a tutti: per poter agire disciplinarmente nei confronti del dipendente, il regolamento dovr pertanto essere affisso in luogo accessibile a tutti. Si rammenta che il potere disciplinare non pu comunque essere esercitato nei confronti dei collaboratori coordinati e continuativi, dei collaboratori a progetto e dei tirocinanti, mentre nei confronti dei lavoratori somministrati (ex interinali) va esercitato per il tramite dellagenzia di somministrazione.

3.2

Il personal computer dato in affidamento allutente permette laccesso alla rete di ............... (nome azienda) solo attraverso specifiche credenziali di autenticazione come meglio descritto al successivo punto 4 del presente Regolamento. (nome azienda) rende noto che il personale incaricato che opera presso il servizio Information and Communication Tecnology3 (nel seguito per brevit Servizio ICT) della stessa (nome azienda) stato autorizzato a compiere interventi nel sistema informatico aziendale diretti a garantire la sicurezza e la salvaguardia del sistema stesso, nonch per ulteriori motivi tecnici e/o manutentivi (ad es. aggiornamento/sostituzione/implementazione di programmi, manutenzione hardware etc.). Detti interventi, in considerazione dei divieti di cui ai successivi punti nn. 8.2 e 9.1, potranno anche comportare laccesso in qualunque momento, ai dati trattati da ciascuno, ivi compresi gli archivi di posta elettronica, nonch alla verifica sui siti internet acceduti dagli utenti abilitati alla navigazione esterna. La stessa facolt, sempre ai fini della sicurezza del sistema e per garantire la normale operativit dellAzienda, si applica anche in caso di assenza prolungata od impedimento dellutente. Il personale incaricato del servizio ICT ha la facolt di collegarsi e visualizzare in remoto il desktop delle singole postazioni PC al fine di garantire lassistenza tecnica e la normale attivit operativa nonch la massima sicurezza contro virus, spyware, malware, etc. Lintervento viene effettuato esclusivamente su chiamata dellutente o, in caso di oggettiva necessit, a seguito della rilevazione tecnica di problemi nel sistema informatico e telematico. In questultimo caso, e sempre che non si pregiudichi la necessaria tempestivit ed efficacia dellintervento, verr data comunicazione della necessit dellintervento stesso. Non consentito l'uso di programmi diversi da quelli ufficialmente installati dal personale del Servizio ICT per conto della ............... (nome azienda) n viene consentito agli utenti di installare autonomamente programmi provenienti dall'esterno, sussistendo infatti il grave pericolo di introdurre Virus informatici e/o di alterare la funzionalit delle applicazioni software esistenti. Linosservanza della presente disposizione espone la stessa ............... (nome azienda) a gravi responsabilit civili; si evidenzia inoltre che le violazioni della normativa a tutela dei diritti dautore sul software che impone la presenza nel sistema di software regolarmente licenziato, o comunque libero e quindi non protetto dal diritto dautore, vengono sanzionate anche penalmente. Salvo preventiva espressa autorizzazione del personale del Servizio ICT, non consentito all'utente modificare le caratteristiche impostate sul proprio PC n procedere ad installare dispositivi di memorizzazione, comunicazione o altro (come ad esempio masterizzatori, modem, ).

3.3

3.4

3.5

3.6

3.7 Ogni utente deve prestare la massima attenzione ai supporti di origine esterna, avvertendo immediatamente il personale del Servizio ICT nel caso in cui siano rilevati virus ed adottando quanto previsto dal successivo punto 10 del presente Regolamento relativo alle procedure di protezione antivirus. 3.8 Il Personal Computer deve essere spento ogni sera prima di lasciare gli uffici o in caso di assenze prolungate dall'ufficio o in caso di suo inutilizzo. In ogni caso, lasciare un elaboratore incustodito connesso alla rete pu essere causa di utilizzo da parte di terzi senza che vi sia la possibilit di provarne in seguito l'indebito uso4.

O altra figura aziendale preposta alla gestione del sistema informatico aziendale, indipendentemente da una sua nomina a Responsabile della privacy ai sensi dellart. 29 del D.lgs. 196/2003. Nel caso la gestione del sistema ICT (o di alcune fasi di esso) siano affidate a terzi, saranno adottate idonee clausole contrattuali volte a formalizzare lattribuzione delle relative responsabilit. 4 Una modalit automatica che evita di lasciare incustodito il pc, anche in caso di mancato spegnimento da parte dellutente quello di adottare il savescreen a tempo con obbligo di reintrodurre la password per laccesso.

4. Gestione ed assegnazione delle credenziali di autenticazione 4.1 Le credenziali di autenticazione per laccesso alla rete vengono assegnate dal personale del Servizio ICT, previa formale richiesta del Responsabile dellufficio/area nellambito del quale verr inserito ed andr ad operare il nuovo utente. Nel caso di collaboratori a progetto e coordinati e continuativi la preventiva richiesta, se necessaria, verr inoltrata direttamente dalla Direzione aziendale (ovvero ... dal Responsabile dellufficio/area con il quale il collaboratore si coordina nellespletamento del proprio incarico). Le credenziali di autenticazione consistono in un codice per lidentificazione dellutente (user id), assegnato dal Servizio ICT, associato ad una parola chiave (password) riservata che dovr venir custodita dall'incaricato con la massima diligenza e non divulgata. Non consentita l'attivazione della password di accensione (bios), senza preventiva autorizzazione da parte del Servizio ICT. La parola chiave, formata da lettere (maiuscole o minuscole) e/o numeri, anche in combinazione fra loro, deve essere composta da almeno otto caratteri e non deve contenere riferimenti agevolmente riconducibili allincaricato. necessario procedere alla modifica della parola chiave a cura dellutente, incaricato del trattamento, al primo utilizzo e, successivamente, almeno ogni sei mesi (Ogni tre mesi nel caso invece di trattamento di dati sensibili attraverso lausilio di strumenti elettronici).5 Qualora la parola chiave dovesse venir sostituita, per decorso del termine sopra previsto e/o in quanto abbia perduto la propria riservatezza, si proceder in tal senso dintesa con il personale del Servizio ICT. Soggetto preposto alla custodia delle credenziali di autenticazione il personale incaricato del Servizio ICT di ............... (nome azienda).

4.2

4.3

4.4

4.5

4.6

5. Utilizzo della rete di ............... (nome azienda) 5.1 5.2 Per laccesso alla rete di ............... (nome azienda) ciascun utente deve essere in possesso della specifica credenziale di autenticazione. assolutamente proibito entrare nella rete e nei programmi con un codice didentificazione utente diverso da quello assegnato. Le parola chiave d'ingresso alla rete ed ai programmi sono segrete e vanno comunicate e gestite secondo le procedure impartite. Le cartelle utenti presenti nei server di ............... (nome azienda) sono aree di condivisione di informazioni strettamente professionali e non possono in alcun modo essere utilizzate per scopi diversi. Pertanto qualunque file che non sia legato all'attivit lavorativa non pu essere dislocato, nemmeno per brevi periodi, in queste unit. Su queste unit vengono svolte regolari attivit di controllo, amministrazione e back up da parte del personale del Servizio ICT. (Eventuale: Si ricorda che tutti i dischi o altre unit di memorizzazione locali (es. disco C: interno PC) non sono soggette a salvataggio da parte del personale incaricato del Servizio ICT. La responsabilit del salvataggio dei dati ivi contenuti pertanto a carico del singolo utente).

5.3

In molti sistemi la comunicazione di variazione pu essere generata dallo stesso sistema informatico allatto della modifica, con invio di e-mail automatica al custode; molti sistemi permettono di temporizzare la validit delle password e, quindi, di bloccare laccesso al personale computer e/o al sistema, qualora non venga autonomamente variata dallincaricato entro i termini massimi: in questi casi, vanno adattate le istruzioni contenute nel presente regolamento, eliminando, tra laltro lonere di comunicazione della variazione al custode delle credenziali.

5.4

Il personale del Servizio ICT pu in qualunque momento procedere alla rimozione di ogni file o applicazione che riterr essere pericolosi per la Sicurezza sia sui PC degli incaricati sia sulle unit di rete. Risulta opportuno che, con regolare periodicit (almeno ogni tre mesi), ciascun utente provveda alla pulizia degli archivi, con cancellazione dei file obsoleti o inutili. Particolare attenzione deve essere prestata alla duplicazione dei dati, essendo infatti necessario evitare un'archiviazione ridondante.

5.5

6. Utilizzo e conservazione dei supporti rimovibili 6.1 Tutti i supporti magnetici rimovibili (dischetti, CD e DVD riscrivibili, supporti USB, ecc.), contenenti dati sensibili nonch informazioni costituenti know-how aziendale, devono essere trattati con particolare cautela onde evitare che il loro contenuto possa essere trafugato o alterato e/o distrutto o, successivamente alla cancellazione, recuperato. Al fine di assicurare la distruzione e/o inutilizzabilit di supporti magnetici rimovibili contenenti dati sensibili, ciascun utente dovr contattare il personale del Servizio ICT e seguire le istruzioni da questo impartite. In ogni caso, i supporti magnetici contenenti dati sensibili devono essere dagli utenti adeguatamente custoditi in armadi chiusi. E vietato lutilizzo di supporti rimovibili personali. Lutente responsabile della custodia dei supporti e dei dati aziendali in essi contenuti.

6.2

6.3 6.4 6.5

7. Utilizzo di PC portatili 7.1 7.2 7.3 7.4 L'utente responsabile del PC portatile assegnatogli dal Servizio ICT e deve custodirlo con diligenza sia durante gli spostamenti sia durante l'utilizzo nel luogo di lavoro. Ai PC portatili si applicano le regole di utilizzo previste dal presente regolamento, con particolare attenzione alla rimozione di eventuali file elaborati prima della riconsegna. I PC portatili utilizzati all'esterno, in caso di allontanamento, devono essere custoditi con diligenza, adottando tutti i provvedimenti che le circostanze rendono necessari per evitare danni o sottrazioni. Tali disposizioni si applicano anche nei confronti di incaricati esterni quali agenti, forza vendita, ecc.

8. Uso della posta elettronica 8.1 8.2 La casella di posta elettronica assegnata all'utente uno strumento di lavoro. Le persone assegnatarie delle caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse. fatto divieto di utilizzare le caselle di posta elettronica nomecognome@nomeazienda.it 6 per motivi diversi da quelli strettamente legati all'attivit lavorativa. In questo senso, a titolo puramente esemplificativo, lutente non potr utilizzare la posta elettronica per: - linvio e/o il ricevimento di allegati contenenti filmati o brani musicali (es.mp3) non legati allattivit lavorativa;

Ovvero potr essere realizzato un sistema di indirizzi di posta elettronica condivisi tra pi utenti (ad es. ufficiovendite@nomeazienda.it, ufficioreclami@nomeazienda.it al posto di un sistema basato sullidentit personale).

- linvio e/o il ricevimento di messaggi personali o per la partecipazione a dibattiti, aste on line, concorsi, forum o mailing-list; - la partecipazione a catene telematiche (o di Sant'Antonio). Se si dovessero peraltro ricevere messaggi di tale tipo, si deve comunicarlo immediatamente al personale del Servizio ICT. Non si dovr in alcun caso procedere allapertura degli allegati a tali messaggi. 8.3 8.4 La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili e soprattutto allegati ingombranti.7 Ogni comunicazione inviata o ricevuta che abbia contenuti rilevanti o contenga impegni contrattuali o precontrattuali per ............... (nome azienda) ovvero contenga documenti da considerarsi riservati in quanto contraddistinti dalla dicitura "strettamente riservati" o da analoga dicitura, deve essere visionata od autorizzata dal Responsabile dufficio. possibile utilizzare la ricevuta di ritorno per avere la conferma dell'avvenuta lettura del messaggio da parte del destinatario. Si evidenzia per che le comunicazioni ufficiali, da inviarsi mediante gli strumenti tradizionali (fax, posta, ), devono essere autorizzate e firmate dalla Direzione Generale e/o dai Responsabili di ufficio, a seconda del loro contenuto e dei destinatari delle stesse. obbligatorio porre la massima attenzione nellaprire i file attachements di posta elettronica prima del loro utilizzo (non eseguire download di file eseguibili o documenti da siti Web o Ftp non conosciuti). Al fine di garantire la funzionalit del servizio di posta elettronica aziendale e di ridurre al minimo laccesso ai dati, nel rispetto del principio di necessit e di proporzionalit, il sistema, in caso di assenze programmate (ad es. per ferie o attivit di lavoro fuori sede dellassegnatario della casella) invier automaticamente messaggi di risposta contenenti le "coordinate" di posta elettronica di un altro soggetto o altre utili modalit di contatto della struttura. In tal caso, la funzionalit deve essere attivata dallutente. In caso di assenza non programmata (ad es. per malattia) la procedura - qualora non possa essere attivata dal lavoratore avvalendosi del servizio webmail entro due giorni - verr attivata a cura dellazienda. Sar comunque consentito al superiore gerarchico dellutente o, comunque, sentito lutente, a persona individuata dallazienda, accedere alla casella di posta elettronica dellutente per ogni ipotesi in cui si renda necessario (ad es.: mancata attivazione della funzionalit di cui al punto 8.7; assenza non programmata ed impossibilit di attendere i due giorni di cui al punto 8.8).

8.5

8.6 8.7

8.8

8.9

8.10 Il personale del servizio ICT, nellimpossibilit di procedere come sopra indicato e nella necessit di non pregiudicare la necessaria tempestivit ed efficacia dellintervento, potr accedere alla casella di posta elettronica per le sole finalit indicate al punto 3.3. 8 8.11 Al fine di ribadire agli interlocutori la natura esclusivamente aziendale della casella di posta elettronica, i messaggi devono contenere un avvertimento standardizzato nel quale sia dichiarata la natura non personale dei messaggi stessi precisando che, pertanto, il personale debitamente incaricato della .. potr accedere al contenuto del messaggio inviato alla stessa casella secondo le regole fissate nella propria policy aziendale.

7 8

Sarebbe opportuno introdurre un limite massimo della dimensione del database di posta: ad es. 200 MB. Laccesso ai contenuti della corrispondenza nella casella di posta elettronica avviene esclusivamente in caso di assenza prolungata od impedimento dellutente secondo quanto prescritto dal punto 10 del disciplinare tecnico legato al codice.

9. Navigazione in Internet 9.1. Il PC assegnato al singolo utente ed abilitato alla navigazione in Internet costituisce uno strumento aziendale utilizzabile esclusivamente per lo svolgimento della propria attivit lavorativa. quindi assolutamente proibita la navigazione in Internet per motivi diversi da quelli strettamente legati all'attivit lavorativa. 9.2 In questo senso, a titolo puramente esemplificativo, lutente non potr utilizzare internet per: - lupload o il download di software gratuiti (freeware) e shareware, nonch lutilizzo di documenti provenienti da siti web o http, se non strettamente attinenti allattivit lavorativa (filmati e musica) e previa verifica dellattendibilit dei siti in questione (nel caso di dubbio, dovr venir a tal fine contattato il personale del Servizio ICT); - l'effettuazione di ogni genere di transazione finanziaria ivi comprese le operazioni di remote banking, acquisti on-line e simili, fatti salvi i casi direttamente autorizzati dalla Direzione Generale (o eventualmente dal Responsabile dufficio e/o del Servizio ICT) e comunque nel rispetto delle normali procedure di acquisto; - ogni forma di registrazione a siti i cui contenuti non siano strettamente legati all'attivit lavorativa; - la partecipazione a Forum non professionali, l'utilizzo di chat line (esclusi gli strumenti autorizzati), di bacheche elettroniche e le registrazioni in guest books anche utilizzando pseudonimi (o nicknames) se non espressamente autorizzati dal Responsabile dufficio; - laccesso, tramite internet, a caselle webmail di posta elettronica personale.9 Al fine di evitare la navigazione in siti non pertinenti allattivit lavorativa, ............... (nome azienda) rende peraltro nota ladozione di uno specifico sistema di blocco o filtro automatico che prevengano determinate operazioni quali lupload o laccesso a determinati siti inseriti in una black list.10 Gli eventuali controlli, compiuti dal personale incaricato del Servizio ICT ai sensi del precedente punto 3.3, potranno avvenire mediante un sistema di controllo dei contenuti (Proxy server) o mediante file di log della navigazione svolta. Il controllo sui file di log non continuativo ed i file stessi vengono conservati non oltre 11, ossia il tempo indispensabile per il corretto perseguimento delle finalit organizzative e di sicurezza dellazienda.

9.3

9.4

10. Protezione antivirus 10.1 Il sistema informatico di ............... (nome azienda) protetto da software antivirus aggiornato quotidianamente. Ogni utente deve comunque tenere comportamenti tali da ridurre il rischio di attacco al sistema informatico aziendale mediante virus o mediante ogni altro software aggressivo. 10.2 Nel caso il software antivirus rilevi la presenza di un virus, l'utente dovr immediatamente sospendere ogni elaborazione in corso senza spegnere il computer nonch segnalare prontamente l'accaduto al personale del Servizio ICT.
(ovvero, in alternativa, se viene prevista dallazienda la possibilit di accedere a caselle webmail di posta elettronica personale al di fuori dellorario di lavoro si potr dire: - accesso, tramite internet, a caselle webmail di posta elettronica personale durante lorario di lavoro, venendo pertanto consentito allutente di accedervi nelle ore extralavorative. Nel qual caso, lutente dovr comunque porre la massima attenzione nellaprire i file attachements di posta elettronica prima del loro utilizzo). 10 Indicare eventualmente in modo pi dettagliato il sistema a tal fine utilizzato. Si evidenzia, comunque, che lutilizzo di sistemi automatizzati preventivi diretti a filtrare laccesso bloccando determinate categorie di siti potrebbe a volte non rivelarsi del tutto idoneo alla piena ed efficace fruizione del sistema informatico e delle modalit di navigazione, rallentandone in modo rilevante la funzionalit: in questa ipotesi pertanto, si renderebbero necessari controlli successivi allattivit di navigazione diretti a tutelare lazienda ed i suoi responsabili da responsabilit anche penali connesse a reati commessi con modalit informatiche e telematiche. 11 Deve essere definita una durata massima di conservazione che, in base al principio di pertinenza temporale del trattamento (art. 11 del Codice) sia effettivamente congrua e giustificabile alla luce delle esigenze tecniche di gestione del sistema informatico.
9

10.3 Ogni dispositivo magnetico di provenienza esterna all'Azienda dovr essere verificato mediante il programma antivirus prima del suo utilizzo e, nel caso venga rilevato un virus, dovr essere prontamente consegnato al personale del Servizio ICT.

11. Utilizzo dei telefoni, fax e fotocopiatrici aziendali 11.1 Il telefono aziendale affidato allutente uno strumento di lavoro. Ne viene concesso luso esclusivamente per lo svolgimento dellattivit lavorativa, non essendo quindi consentite comunicazioni a carattere personale o comunque non strettamente inerenti lattivit lavorativa stessa. La ricezione o leffettuazione di telefonate personali consentito solo nel caso di comprovata necessit ed urgenza, mediante il telefono fisso aziendale a disposizione (indicare lufficio, il reparto in cui collocato il telefono). 11.2 Qualora venisse assegnato un cellulare aziendale allutente, questultimo sar responsabile del suo utilizzo e della sua custodia. Al cellulare aziendale si applicano le medesime regole sopra previste per lutilizzo del telefono aziendale: in particolare vietato lutilizzo del telefono cellulare messo a disposizione per inviare o ricevere SMS o MMS di natura personale o comunque non pertinenti rispetto allo svolgimento dellattivit lavorativa. Leventuale uso promiscuo (anche per fini personali) del telefono cellulare aziendale possibile soltanto in presenza di preventiva autorizzazione scritta e in conformit delle istruzioni al riguardo impartite dal personale del Servizio ICT. 11.3 vietato lutilizzo dei fax aziendali per fini personali, tanto per spedire quanto per ricevere documentazione, salva diversa esplicita autorizzazione da parte del Responsabile di ufficio. 11.4 vietato lutilizzo delle fotocopiatrici aziendali per fini personali, salvo preventiva ed esplicita autorizzazione da parte del Responsabile di ufficio.

12. Osservanza delle disposizioni in materia di Privacy 12.1 obbligatorio attenersi alle disposizioni in materia di Privacy e di misure minime di sicurezza, come indicato nella lettera di designazione ad incaricato del trattamento dei dati ai sensi del Disciplinare tecnico allegato al D.Lgs. n. 196/2003.

13. Accesso ai dati trattati dallutente 13.1 Oltre che per motivi di sicurezza del sistema informatico, anche per motivi tecnici e/o manutentivi (ad esempio, aggiornamento/sostituzione/implementazione di programmi, manutenzione hardware, etc.) o per finalit di controllo e programmazione dei costi aziendali (ad esempio, verifica costi di connessione ad internet, traffico telefonico, etc.), comunque estranei a qualsiasi finalit di controllo dellattivit lavorativa, facolt della Direzione Aziendale, tramite il personale del Servizio ICT o addetti alla manutenzione, accedere direttamente, nel rispetto della normativa sulla privacy, a tutti gli strumenti informatici aziendali e ai documenti ivi contenuti, nonch ai tabulati del traffico telefonico.

14. Sistemi di controlli graduali 14.1 In caso di anomalie, il personale incaricato del servizio ICT effettuer controlli anonimi che si concluderanno con un avvisi generalizzati diretti ai dipendenti dellarea o del settore in cui stata rilevata lanomalia, nei quali si evidenzier lutilizzo irregolare degli strumenti aziendali e si inviteranno gli interessati ad attenersi scrupolosamente ai compiti assegnati e alle istruzioni impartite. Controlli su base individuale potranno essere computi solo in caso di successive ulteriori anomalie.

14.2 In alcun caso verranno compiuti controlli prolungati, costanti o indiscriminati.

15. Sanzioni 15.1 fatto obbligo a tutti gli utenti di osservare le disposizioni portate a conoscenza con il presente regolamento. Il mancato rispetto o la violazione delle regole sopra ricordate perseguibile nei confronti del personale dipendente con provvedimenti disciplinari e risarcitori previsti dal vigente CCNL (indicare contratto collettivo applicato), nonch con tutte le azioni civili e penali consentite.12

16. Aggiornamento e revisione 16.1 Tutti gli utenti possono proporre, quando ritenuto necessario, integrazioni motivate al presente Regolamento. Le proposte verranno esaminate dalla Direzione Generale. 16.2 Il presente Regolamento soggetto a revisione con frequenza annuale.

data

La Direzione

Si rammenta che il potere disciplinare non pu comunque essere esercitato nei confronti dei collaboratori coordinati e continuativi, dei collaboratori a progetto e dei tirocinanti, mentre nei confronti dei lavoratori somministrati (ex interinali) va esercitato per il tramite dellagenzia di somministrazione. Con riferimento ai collaboratori, qualora questi per lespletamento del loro incarico si servissero degli strumenti aziendali considerati dal Regolamento, si propone di prevedere nellambito del contratto a progetto lobbligo per il collaboratore di rispettare il Regolamento in questione, con diritto della Committente, nei casi di violazione di particolare gravit, di risolvere il contratto stesso.

12