Policy sull utilizzo delle attrezzature informatiche, della posta elettronica aziendale e Internet

Transcript

1

2 Sommario PREMESSA FINALITÀ E AMBITO DI APPLICAZIONE REGOLE GENERALI, DESTINATARI E CLASSIFICAZIONE DELLA POLICY GLOSSARIO NORMATIVA DI RIFERIMENTO....7 POLICY SULL UTILIZZO DELLE ATTREZZATURE INFORMATICHE, DELLA POSTA ELETTRONICA AZIENDALE E INTERNET OBBLIGHI PER LA SOCIETÀ OBBLIGHI PER I LAVORATORI UTILIZZO DEL PERSONAL COMPUTER CONTINUITÀ DELL ATTIVITÀ LAVORATIVA IN CASO DI ASSENZA DEL LAVORATORE GESTIONE DELLE PASSWORD UTILIZZO DELLA RETE TELEMATICA INTERNA AZIENDALE UTILIZZO DEL SISTEMA DI TELEFONIA VOIP (VOICE OVER IP) USO DELLA POSTA ELETTRONICA AZIENDALE CONTINUITÀ NELL USO DELLA CASELLA DI POSTA ELETTRONICA IN CASO DI FERIE E/O ASSENZA DEL LAVORATORE CONTINUITÀ NELL USO DELLA CASELLA DI POSTA ELETTRONICA IN CASO DI FERIE DEL LAVORATORE DELEGATO USO DELLA RETE INTERNET E DEI RELATIVI SERVIZI PROTEZIONE ANTIVIRUS UTILIZZO DI APPARATI PER LA TELEFONIA MOBILE MONITORAGGIO E CONTROLLI MONITORAGGIO E CONTROLLO DELLE ATTIVITÀ DEGLI AMMINISTRATORI DEL SISTEMA GRADUAZIONE DEI CONTROLLI NON OSSERVANZA DELLA NORMATIVA AZIENDALE

3 ALLEGATO A ALLEGATO B ALLEGATO C ALLEGATO D

4 PREMESSA Il presente documento riassume le principali norme comportamentali ed integra le principali normative nazionali in essere relative all utilizzo delle risorse informatiche e telematiche a cui ciascun dipendente di (di seguito, la Società ) si dovrà attenere. L utilizzo delle strumentazioni informatiche e telematiche dovrà sempre ispirarsi al principio di diligenza e correttezza, comportamenti questi che sono alla base di un corretto rapporto di lavoro. La progressiva e capillare diffusione delle tecnologie informatiche e in particolare dell accesso alla rete Internet, infatti, può esporre la Società a numerosi rischi, sia di carattere strettamente patrimoniale che penale, creando problemi alla sicurezza interna delle informazioni sensibili per il core business aziendale e alla sua immagine pubblica. La Società si riserva la facoltà di apportare, in qualsiasi momento, modifiche al presente documento, dandone comunicazione a tutti i lavoratori interessati con le modalità che riterrà opportune. Dopo aver letto attentamente tutti i contenuti della policy, ogni lavoratore dovrà restituire all Ufficio Risorse Umane di Sito l attestazione di presa visione (Vd Allegato A). 1.0 FINALITÀ E AMBITO DI APPLICAZIONE. Lo scopo del presente documento (di seguito anche, la Policy ) è quello di fornire un quadro d insieme sulle condizioni minime richieste dalla Società per il corretto utilizzo da parte di ciascun dipendente degli strumenti informatici, della posta elettronica aziendale e della navigazione sulla rete Internet. La Società inoltre, in qualità di Titolare del trattamento dei dati personali (di seguito, il Titolare ), ritiene opportuno dotarsi di questa Policy allo scopo di adempiere gli obblighi fissati dal D.lgs. 196/2003, Codice in materia di protezione dei dati personali (di seguito, il Codice o Codice Privacy ), dal suo Disciplinare Tecnico Allegato B, e dalle Linee guida del Garante per posta elettronica e internet 10 marzo 2007 (di seguito, il Provvedimento ) emanato dal Garante per la protezione dei dati personali (di seguito, il Garante ), nonché per rispettare gli standard internazionali in materia di sicurezza informatica e delle informazioni. La presente Policy è stata predisposta a uso esclusivamente interno della Società e, pertanto, non potrà essere riprodotta, divulgata, copiata, utilizzata e/o altrimenti resa pubblica o essere diffusa a 4

5 terzi in assenza di una previa approvazione scritta, né potrà costituire base informativa e/o valutativa per finalità diverse da quelle per le quali è stata predisposta. La presente Policy, che si basa esclusivamente sulle norme del diritto italiano, si applica a tutte le sedi della Società che siano state dotate e utilizzino qualsiasi sistema informatico o telematico. 1.1 REGOLE GENERALI, DESTINATARI E CLASSIFICAZIONE DELLA POLICY. Il presente documento si applica ai dipendenti della Società e a tutti coloro che, in virtù di un rapporto di lavoro o fornitura (per esempio, consulenti, collaboratori, fornitori, business partner, ecc.), trattano informazioni ovvero utilizzano sistemi informativi o apparecchiature elettroniche di proprietà di. La presente Policy abroga e sostituisce tutte le disposizioni in precedenza adottate in materia, in qualsiasi forma comunicate. Copia della disposizione, oltre ad essere pubblicata sul portale aziendale, verrà consegnata al momento dell assunzione a ciascun dipendente che utilizzi sistemi informativi o apparecchiature elettronica di proprietà di Dayco Europe Srl. È dovere di ogni dipendente applicare il complesso di regole stabilite da questa Policy e dalle normative qui referenziate, al fine di contribuire personalmente alla tutela del patrimonio delle informazioni aziendali e alla sicurezza dei suoi sistemi informatici. La mancata applicazione delle norme contenute in questa Policy costituisce un inadempienza contrattuale e, pertanto, potrà essere perseguita nei modi e nei termini stabiliti dai contratti e dalle opportune leggi di settore. Il rispetto della presente Policy e delle altre disposizioni in materia di sistemi o apparati elettronici non esonera ciascun dipendente anche dal rispetto di tutte le altre disposizioni, provvedimenti, circolari, regolamenti, ecc., emanati dalla Società per regolare gli ulteriori aspetti dell attività lavorativa (come, ad esempio, le regole in materia di salute e sicurezza sui luoghi di lavoro, quelle sulla security, ecc.). Qualunque soggetto, anche non dipendente, a qualsiasi titolo abilitato all utilizzo dei sistemi e/o degli apparati elettronici della Società è tenuto alla massima riservatezza in merito alle loro caratteristiche, al loro metodo di funzionamento, ovvero alle misure di sicurezza adottate per la loro protezione. La presente Policy viene classificata dal Proprietario delle informazioni con il livello: USO INTERNO I Destinatari delle informazioni ivi contenute sono: 5

6 Tutti i dipendenti di e tutti coloro che, in virtù di un rapporto di lavoro o fornitura (per esempio, consulenti, collaboratori, fornitori, business partner, ecc.) utilizzano sistemi informativi o apparecchiature elettroniche di proprietà di. I Destinatari sono tenuti a trattare le presenti informazioni per le sole finalità e con le modalità connesse alle proprie responsabilità e mansioni lavorative, nonché a non diffondere in alcun caso le stesse oltre la cerchia dei soggetti sopra riportata. E fatto obbligo, infine, di conservare correttamente la presente Policy in ragione del livello di classificazione assegnato. 1.2 GLOSSARIO. Amministratore di sistema: la figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, ivi compresi gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi; Autenticazione informatica: l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità; Banca dati: qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti; Credenziali di autenticazione: i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica; Dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; Dati identificativi: i dati personali che permettono l identificazione diretta dell interessato; Dati personali: qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; Dati sensibili: i dati personali idonei a rivelare l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; 6

7 Incaricati del trattamento: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; Interessato: la persona fisica cui si riferiscono i dati personali; Privatedocs utente: la cartella, creata dall IT, ad utilizzo ed esclusivo accesso dell utente, all interno della quale ogni dipendente può salvare e conservare una limitata quantità di dati e informazioni personali non inerenti l attività lavorativa; Responsabile del trattamento: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; Strumenti elettronici: gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento; Titolare del trattamento: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; Trattamento: qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; Violazione di dati personali: violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico. 1.3 NORMATIVA DI RIFERIMENTO. [1] D.lgs. 196/2003 Codice in materia di protezione dei dati personali ; [2] Garante per la protezione dei dati personali Linee guida del Garante per posta elettronica e internet 10 marzo 2007 ; [3] L. 20 maggio 1970, n. 300, denominata Statuto dei lavoratori. 7

8 POLICY SULL UTILIZZO DELLE ATTREZZATURE INFORMATICHE, DELLA POSTA ELETTRONICA AZIENDALE E INTERNET 2.0 OBBLIGHI PER LA SOCIETÀ. I trattamenti effettuati dalla Società rispettano le garanzie poste in essere dal legislatore in materia di protezione dei dati e si svolgono nell osservanza dei seguenti principi: a. il principio di necessità, secondo cui, in relazione alle finalità perseguite, i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l utilizzazione di dati personali e di dati identificativi; b. il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori, in modo da scongiurare l eventuale svolgimento di trattamenti ulteriori rispetto a quelli connessi ordinariamente all attività lavorativa ed effettuati all insaputa o senza la piena consapevolezza dei lavoratori; c. il principio del trattamento per finalità determinate, esplicite e legittime, osservando il principio di pertinenza e non eccedenza. In quest ottica, la Società tratta i dati dei lavoratori nella misura meno invasiva possibile, affidando eventuali attività di monitoraggio esclusivamente a quei soggetti opportunamente preposti ed effettuando eventuali controlli esclusivamente in maniera mirata sull area di rischio, tenuta in debito conto la normativa sulla protezione dei dati e, se pertinente, il principio di segretezza della corrispondenza. In base al richiamato principio di correttezza, l eventuale trattamento deve essere ispirato a un canone di trasparenza. Grava quindi sul datore di lavoro l onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli. La presente Policy ha l intento di adempiere quest obbligo. La Società, inoltre, ha predisposto tutte le accortezze necessarie affinché i dati personali contenuti nelle postazioni di lavoro informatiche siano protetti contro il rischio d intrusione tanto dall esterno (Internet) che dall interno (rete locale) e dall azione di programmi di cui all art. 615 quinquies del codice penale, attraverso l utilizzazione di idonei strumenti elettronici, mantenuti costantemente aggiornati. Anche i programmi della postazione di lavoro sono mantenuti costantemente aggiornati, come per legge, al fine di prevenire le vulnerabilità degli strumenti elettronici e a correggerne i difetti (i c.d. bug). Sono state predisposte, altresì, le opportune istruzioni organizzative e tecniche volte a prevedere il salvataggio dei dati con frequenza almeno settimanale e sono state previste e adottate le opportune 8

9 procedure volte a garantire il ripristino dell accesso alle informazioni o agli strumenti elettronici danneggiati in un arco di tempo non superiore ai 7 (sette) giorni. 3.0 OBBLIGHI PER I LAVORATORI. Di seguito vengono specificati gli obblighi e le norme di condotta obbligatorie per ciascun lavoratore e per tutti coloro che, in virtù di un rapporto di lavoro o fornitura, trattano informazioni ovvero utilizzano sistemi informativi o apparecchiature elettroniche di proprietà di. 3.1 UTILIZZO DEL PERSONAL COMPUTER. Il personal computer (PC) adoperato da ciascun lavoratore è uno strumento di lavoro. Ogni suo utilizzo improprio può contribuire a creare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza delle informazioni sensibili per il core business aziendale e all immagine pubblica della Società. Ogni dipendente, pertanto, è responsabile dell utilizzo e della custodia degli strumenti informatici ricevuti in dotazione. Alla luce di ciò, a ciascun lavoratore è fatto esplicito divieto di: modificare qualsiasi caratteristica hardware e software impostata sul proprio personal computer, salvo preventiva autorizzazione scritta da parte del Responsabile del settore IT; installare e/o eseguire qualsiasi tipologia di programmi informatici diversi da quelli autorizzati dalla Società, anche nel caso in cui si tratti di software opportunamente licenziato, di software in prova (c.d. shareware ), ovvero di software gratuito e liberamente scaricabile da Internet (c.d. freeware ); prelevare da Internet, copiare e/o archiviare sul personal computer qualsiasi genere d informazioni (come, a mero titolo esemplificativo e non esaustivo, file audio, video, eseguibili, ecc.) non necessarie all attività lavorativa; utilizzare qualsiasi tipologia di supporti di archiviazione removibile o di tecnologia di comunicazione per la memorizzazione o l invio verso l esterno di informazioni inerenti il rapporto di lavoro, se non a fronte di comprovate esigenze di servizio; lasciare incustodito e accessibile, ovvero cedere a soggetti non autorizzati il proprio personal computer, soprattutto successivamente al superamento della fase di autenticazione; eliminare la richiesta di password per il salvaschermo (screensaver), impostata automaticamente in caso di prolungata inattività da parte del lavoratore sulla sua postazione di lavoro, al fine di evitarne un utilizzo improprio in caso di assenza anche temporanea. Fatte salve particolari esigenze tecniche o lavorative, le postazioni di lavoro, inoltre, devono essere spente al termine della giornata lavorativa. 9

10 L utente è responsabile, altresì, del personal computer portatile eventualmente assegnatogli dalla Società e deve custodirlo pertanto con diligenza, sia durante gli spostamenti che nel corso del normale utilizzo. Ai personal computer portatili si applicano tutte le regole di utilizzo e i divieti in precedenza previsti. In particolare si ricorda che, a maggior ragione durante il loro utilizzo all esterno delle nostre strutture, il computer portatile non deve mai essere lasciato incustodito e deve essere adeguatamente preservato nei luoghi e con i mezzi più idonei per la sua ottimale protezione. Al suo interno, inoltre, devono essere immagazzinate le informazioni strettamente necessarie all attività che si svolge al di fuori delle nostre strutture, onde limitare la perdita di informazioni aziendali in caso di danno, smarrimento o furto. In caso di furto o smarrimento, l utente assegnatario del personal computer ha l obbligo d informare tempestivamente il proprio diretto Responsabile e il Responsabile del settore IT, nonché di denunciare tempestivamente l accaduto alle Forze dell Ordine, fornendo alla Società, la copia dell atto di denuncia. Qualora il dipendente, in deroga a quanto previsto nel presente paragrafo, abbia necessità di salvare e conservare una limitata quantità di dati e informazioni personali non inerenti l attività lavorativa, deve provvedere a salvare tali dati nella cartella denominata Privatedocs utente (cfr paragrafo 1.2 Glossario ). Tale cartella è di utilizzo e accesso esclusivo dell utente. La società, pertanto, non si ritiene responsabile del suo contenuto e del salvataggio dei dati presenti nella stessa. La quantità di dati conservati in questa cartella non può comunque mai superare i 300 MB. In caso di cessazione del rapporto di lavoro, per qualsivoglia ragione, il dipendente, prima di lasciare il posto di lavoro, deve provvedere alla rimozione di detta cartella dal proprio personal computer aziendale, sia fisso che portatile. In mancanza sarà il Responsabile IT o l Amministratore del Sistema ad effettuare alla prima occasione utile questa operazione. In caso di cessazione del rapporto di lavoro, per qualsivoglia ragione, il Responsabile IT o l Amministratore del Sistema, che non hanno accesso ai contenuti della cartella Privatedocs utente, provvederanno ad effettuare direttamente l eliminazione della stessa. La Società, infine, si riserva il diritto di controllare attraverso idonei sistemi tecnologici la coerenza dei programmi installati sul profilo utente del personal computer dato in dotazione. Il Responsabile del settore IT può, in qualunque momento e anche senza preavviso, procedere alla rimozione dell applicazione che si dovesse ritenere pericolosa per la sicurezza del patrimonio informativo aziendale o che, ad ogni modo, alteri la configurazione originaria della postazione di lavoro dell utente. 10

11 3.1.1 CONTINUITÀ DELL ATTIVITÀ LAVORATIVA IN CASO DI ASSENZA DEL LAVORATORE. Nessuno, neppure il Titolare del trattamento, può accedere alla postazione di lavoro elettronica utilizzando le credenziali di autenticazione del lavoratore. Un eccezione a questa regola occorre solo nel caso in cui si verifichino congiuntamente le seguenti condizioni: prolungata assenza o impedimento dell Incaricato; l intervento risulti essere indispensabile e indifferibile; vi siano concrete necessità di operatività e di sicurezza del sistema. A tale fine, in caso di prolungata assenza o d impedimento, i lavoratori dovranno: - predisporre una copia della parola chiave, trascrivendola su un foglio e ponendola in una busta chiusa affinché l informazione resti comunque segreta; - consegnare tale copia al Custode delle Password 1, previamente incaricato della loro custodia. Solo al verificarsi delle condizioni sopra esposte, il Titolare o un Responsabile del trattamento potranno richiedere al Custode delle Password la busta chiusa contente la parola chiave (password). Rientrano tra i compiti del Custode: a. conservare in luogo sicuro e chiuso a chiave le buste contenenti le password; b. provvedere ad informare, tempestivamente e per iscritto, l Incaricato cui appartiene la parola chiave dell accesso effettuato. 3.2 GESTIONE DELLE PASSWORD. L accesso ad ogni postazione di lavoro informatica è governato da un sistema d identificazione personale basato sull utilizzo di credenziali di accesso (consistenti in una o più accoppiate di username e password), che ne permettono l utilizzo nei modi e nelle forme definite da ciascun profilo aziendale esclusivamente al lavoratore autorizzato. Le credenziali di accesso sono e devono essere conosciute esclusivamente dal soggetto per il quale sono state predisposte. E altresì lecito che dette credenziali possano essere contenute in un dispositivo di autenticazione in possesso e uso esclusivo del lavoratore, eventualmente associato anche a un codice identificativo o a una parola chiave, dei quali il soggetto è da considerarsi sempre responsabile sia sotto il profilo della segretezza (username/password), che sotto quello della custodia (dispositivo di autenticazione). La parola chiave (password), così come previsto dalla legge, deve essere composta da almeno 8 (otto) caratteri alfanumerici (lettere minuscole, maiuscole e numeri), meglio se con l aggiunta anche di caratteri speciali. Non deve contenere, inoltre, riferimenti direttamente riconducibili al lavoratore e deve essere obbligatoriamente rimpiazzata al suo primo utilizzo e, successivamente, almeno ogni 3 (tre) mesi. 1 In allegato D l elenco per ogni sito del Custode delle password 11

12 L utente è tenuto a conservare nella massima segretezza la parola di accesso e/o qualsiasi altra informazione legata al processo di autenticazione/autorizzazione e a modificare immediatamente la password, dandone comunicazione al Custode delle Password, nel caso in cui sospetti che la stessa abbia perso il suo carattere di segretezza. Il codice di autenticazione è univoco e non sarà assegnato nemmeno in tempi diversi a soggetti differenti, il cui account, anzi, sarà prontamente disattivato qualora non venga utilizzato perlomeno nell arco di 6 (sei) mesi. Unica eccezione a questa regola è prevista nel caso in cui l account sia stato creato per soli scopi di gestione tecnica e il prolungamento della sua durata oltre il termine legale stabilito dal Codice Privacy sia stato preventivamente autorizzato. Le credenziali saranno comunque prontamente disattivate in caso di perdita della qualità che consente al lavoratore l accesso ai dati aziendali e/o personali. Il datore di lavoro ha previsto, altresì, l utilizzazione di un sistema di autorizzazione nei casi in cui un lavoratore abbia la necessità di accedere a più tipologie di dati differenti e/o a trattamenti eterogenei, al fine di rendere più agevole, non solo a livello organizzativo, l individuazione dei dati a cui il dipendente può accedere e dei trattamenti che gli sono consentiti. Periodicamente, e comunque almeno annualmente, sarà compito del datore di lavoro verificare la sussistenza delle condizioni per la conservazione dei suddetti profili di autorizzazione. Di qualsiasi azione o attività svolta utilizzando il codice identificativo e/o la password assegnata è responsabile l utente assegnatario del codice, che ne risponde nei confronti della Società ed eventualmente dell Internet Provider e/o dei terzi. 3.3 UTILIZZO DELLA RETE TELEMATICA INTERNA AZIENDALE. La rete telematica aziendale è l insieme delle tecnologie apparati e programmi mediante le quali si realizza la connettività interna tra i vari componenti del sistema informatico aziendale. La perfetta e continuativa disponibilità della stessa è quindi fattore strategico per il funzionamento operativo della Società. Le unità di rete sono aree di condivisione di informazioni strettamente professionali e non possono in alcun modo essere utilizzate per scopi diversi da quelli per cui sono state predisposte. Pertanto, qualunque applicazione o file ad essa correlato che non sia legato all attività lavorativa non può essere dislocato, nemmeno per brevi periodi, in dette unità di rete. Su di esse, inoltre, vengono regolarmente svolte attività di controllo, amministrazione e backup da parte dell Amministratore del Sistema. La Società effettua il backup dei dati in modo automatico, prevedendo per gli utenti esclusivamente la copia di sicurezza della cartella Documenti di Windows. Ciascun file di lavoro salvato all esterno della suddetta cartella non verrà salvato e, in caso di malfunzionamenti, potrebbe essere irrimediabilmente perso. Perciò, è fatto specifico obbligo a ciascun dipendente di salvare i file inerenti le attività di lavoro esclusivamente nella cartella Documenti di Windows. 12

13 Le password d ingresso alla rete e ai programmi di rete sono segrete e vanno comunicate e gestite secondo le procedure in precedenza impartite. E fatto assoluto divieto di entrare nella rete interna e nei programmi utilizzando credenziali di autenticazione di qualsiasi altro utente. L Amministratore del Sistema può in qualunque momento procedere alla rimozione di ogni applicazione che dovesse ritenere pericolosa per la sicurezza, sia sui PC degli incaricati che sulle unità di rete. E cura del lavoratore effettuare la stampa dei dati solo se strettamente necessaria alle esigenze di lavoro e di ritirarla prontamente dai vassoi delle stampanti di rete messe in comune. Nel caso si debbano stampare informazioni riservate, è fatto obbligo di presidiare personalmente l area ove avviene la stampa. Per quanto attiene la cura degli strumenti di stampa, il lavoratore è tenuto a segnalare prontamente qualsiasi malfunzionamento direttamente al Responsabile del settore IT. E buona regola, infine, evitare di stampare su stampanti comuni documenti o file non adatti. In caso di necessità, la stampa in corso può essere cancellata. Alla luce di ciò, è fatto esplicito divieto di: utilizzare la rete interna aziendale per fini non espressamente previsti e/o autorizzati; connettere in rete locale apparecchiature elettroniche (PC, stampanti, ecc.) o altri qualsiasi altro genere di apparato (router, switch, ecc.) che possa alterare la configurazione della rete interna e/o danneggiare le applicazioni. La Società si riserva il diritto di rimuovere, senza alcun preavviso, qualsiasi tipologia di apparecchiatura elettronica o di software installato sulla rete interna aziendale e che non sia stato in precedenza autorizzato UTILIZZO DEL SISTEMA DI TELEFONIA VOIP (VOICE OVER IP). La Società utilizza un sistema di telefonia VoIP (Voice over IP) per gestire le conversazioni telefoniche sia all interno dell azienda che verso la rete telefonica tradizionale e cellulare. L utilizzo del sistema è autorizzato esclusivamente per soli scopi lavorativi, anche se un modestissimo e oculato utilizzo per scopi personali è comunque tollerato. La società si riserva il diritto di utilizzare sistemi elettronici volti a verificare il livello di spesa delle utenze telefoniche assegnate e l analisi delle direttrici di chiamata, senza però svolgere un attività di monitoraggio dei numeri chiamati e della durata delle conversazioni, in ottemperanza a quanto previsto dall art. 4 della Legge n. 300/1970 (Statuto dei lavoratori). Salvo i casi in cui la conservazione dei dati sia oggetto di contestazione e la Società sia chiamata a tutelare i propri diritti in sede giudiziaria, a norma dei principi di pertinenza e non eccedenza del Codice Privacy, le informazioni relative ai livelli di spesa delle singole utenze telefoniche VoIP 13

14 assegnate e delle direttrici di chiamata saranno conservati per un periodo non superiore ai 3 (tre) mesi. 3.4 USO DELLA POSTA ELETTRONICA AZIENDALE. La casella di posta elettronica assegnata dalla Società a ciascun utente è uno strumento di lavoro. Coloro i quali sono assegnatari di una o più caselle di posta elettronica, pertanto, sono responsabili del loro corretto utilizzo. La Società, pur proteggendo con gli opportuni software i sistemi di gestione delle caselle da messaggi potenzialmente pericolosi, fa comunque esplicito divieto a tutti gli utenti di: utilizzare le caselle di posta elettronica aziendale (nome.cognome@dayco.com) per l invio di messaggi personali o per la partecipazione a dibattiti, forum o mailing list, ecc., salvo diversa ed esplicita autorizzazione; utilizzare le caselle di posta elettronica aziendale per l invio di messaggi completamente estranei al rapporto di lavoro o alle interrelazioni lavorative tra colleghi; aprire e/o soprattutto gli allegati provenienti da mittenti sconosciuti o che abbiano anche solo un contenuto insolito; in caso di dubbio è fatto obbligo di avvisare preventivamente il Responsabile del settore IT, che darà istruzioni in merito; inviare o dar corso a catene telematiche di messaggi (anche dette Catene di Sant Antonio ). La Società, inoltre, fa obbligo a tutti gli utenti di: utilizzare le apposite funzionalità di sistema che, in caso di assenza (ad es., per ferie o attività di lavoro fuori sede), consentono di inviare automaticamente messaggi di risposta contenenti le coordinate (elettroniche e/o telefoniche) di un altro lavoratore, ovvero delle modalità utili a contattare la Società. Questo al fine di evitare e/o limitare il più possibile, in caso di necessità, l apertura della posta elettronica del lavoratore; inserire all interno dei messaggi di posta elettronica un avviso ai destinatari nel quale si dichiari l eventuale natura non personale dei messaggi stessi e sia specificato se le risposte potranno essere conosciute nell organizzazione di appartenenza del mittente. La casella di posta elettronica, infine, deve essere mantenuta in ordine, archiviando documenti superflui, ridondanti o non attivi e, soprattutto, allegati ingombranti non più utili ai fini lavorativi, così come regolato dalla guida Outlook 2010 Manuale per l utente, della quale ciascun utente è già stato reso edotto da parte della Società. La capienza massima dell archivio di posta on line è comunque di 1 GB per ciascun utente. Qualora il dipendente, in deroga a quanto previsto nel presente paragrafo, utilizzi la casella di posta elettronica aziendale per fini privati e personali, i relativi messaggi devono essere immediatamente rimossi dalla cartella Posta in arrivo e Posta inviata, come pure dal Cestino. 14