Disciplinare in merito all accesso ai servizi Internet, posta elettronica, attrezzature informatiche e telefoniche 1 Definizioni ACCOUNT DOWNLOAD

Transcript

1 Disciplinare in merito all accesso ai servizi Internet, posta elettronica, attrezzature informatiche e telefoniche (in attuazione della deliberazione del Garante per la protezione dei dati personali n. 13 del 1 marzo 2007 e della deliberazione della G.P. n del 7 maggio 2010) versione15 marzo Definizioni Nel presente testo il termine: ACCOUNT: costituisce quell insieme di funzionalità, strumenti e contenuti attribuiti ad un utente in determinati contesti operativi. In informatica, attraverso il meccanismo dell account, il sistema mette a disposizione dell utente un ambiente con contenuti e funzionalità personalizzabili, oltre ad un conveniente grado di isolamento dalle altre utenze parallele. DOWNLOAD:significa trasferire programmi o dati da un unità connessa al proprio computer ad un personal computer. BACK UP: copia di sicurezza o copia di riserva, indica l operazione tesa a duplicare su differenti supporti di memoria le informazioni (dati o programmi) presenti sui dischi di stazione di lavoro, o di un server. Normalmente viene svolta con una periodicità stabilita. BYTE: è l unità elementare di memorizzazione composta da 8 bit. Di solito un byte rappresenta un singolo carattere, come un numero, una lettera o un simbolo. BLACK LIST: consiste in un elenco di siti non accessibili da nessun utente. BLACKBERRY: connettività wireless (dall inglese senza fili sistemi di comunicazione tra dispositivi elettronici, che non fanno uso di cavi), che consente di restare collegati con i propri contatti anche quando si è lontani dall'ufficio. CLIENT: è una componente che accede ai servizi o alle risorse di un altra componente, detta server. In questo contesto si può quindi parlare di client riferendosi all hardware o al software. CHIAVE USB (o penna USB, o pendrive) è una memoria di massa portatile di dimensioni molto contenute (qualche centimetro in lunghezza e intorno al centimetro in larghezza) che si collega al computer mediante la comune porta USB. DIRECTORY: è una specifica entità del file system che elenca altre entità, tipicamente file e altre directory, e che permette di organizzarle in una struttura ad albero. indica la funzione di posta elettronica per lo scambio di messaggi e di documenti (con protocollo SMTP\POP3 in modalità client). FILE: è un contenitore di informazione digitalizzata. Le informazioni codificate al suo interno sono leggibili solo da software. FIREWALL: apparato di rete hardware o software che filtra tutti i pacchetti entranti ed uscenti, da e verso una rete o un computer, applicando regole che contribuiscono alla sicurezza della stessa. FLOPPY DISK: è supporto di memorizzazione che contiene all interno di un contenitore quadrato o rettangolare di plastica un disco sottile e flessibile (in inglese floppy ) su cui vengono memorizzati magneticamente i dati. GPRS: (General Packet Radio Service): è uno standard per comunicazioni cellulari che consente trasmissioni fino a 150 Kb al secondo. Rappresenta una soluzione particolarmente adatta alla spedizione e ricezione di posta elettronica o alla navigazione web con terminali cellulari.

2 HARD DISK: indica una tipologia di dispositivo di memoria di massa che utilizza uno o più dischi magnetici per l archiviazione dei dati. HARDWARE: è la parte fisica del computer, ovvero di tutte quelle parti magnetiche, ottiche, meccaniche ed elettroniche che lo compongono; HOSTING: designa il servizio di gestione di un sito Web ospitato su un elaboratore aziendale. INPUT: insieme di elementi in entrata, per realizzare o produrre qualcosa. NTERNET PROVIDER: è l azienda che fornisce alla APSS il canale di accesso alla rete Internet. IP: un Indirizzo IP è un numero che identifica univocamente un dispositivo collegato a una rete informatica che comunica utilizzando lo standard IP (protocollo informatico), ossia un protocollo di rete a pacchetto, non connesso. LOG: registrazione cronologica delle operazioni e il file su cui tali registrazioni sono memorizzate. MAIL-LIST: lista di utenti interessati allo scambio di informazioni su un argomento comune, utilizzando la posta elettronica. MODALITÀ CLIENT: è un accesso ai servizi che attribuisce all utente un ruolo passivo cioè la possibilità di inviare e ricevere informazioni e di utilizzare le informazioni presenti in rete ma non di pubblicarle né di presentarsi con proprie forme editoriali. OUTPUT: informazioni o segnali provenienti dal computer e diretti verso una periferica esterna ad esso; l'output consiste generalmente in dati stampati su carta, visualizzati sul monitor. PEER TO PEER: si intende una rete di computer o qualsiasi rete informatica che non possiede nodi gerarchizzati come client o server fissi (clienti e serventi), ma un numero di nodi equivalenti (in inglese peer) che fungono sia da cliente che da servente verso altri nodi della rete. PORTA: è una connessione attraverso cui vengono mandati e ricevuti dati. POSTAZIONE di LAVORO: è il personal computer collegato alla rete aziendale in una delle sue varie forme (LAN, WAN, Rete di accesso commutata), tramite il quale l utente accede ai servizi di rete. PROXY: programma che si interpone tra un client ed un server, inoltrando le richieste e le risposte dall uno all altro; RESET: ripristino delle situazioni iniziali di un sistema di elaborazione. RESPONSABILI del trattamento: sono le figure formalmente preposte al trattamento di dati personali dal Direttore Generale (in qualità di legale rappresentante dell APSS titolare); l elenco è disponibile nell Intranet aziendale. ROAMING: il roaming (Rintracciabilità nel territorio), identifica nelle reti telematiche e di telecomunicazione un insieme di normative e di apparecchiature che permettono di mettere in comunicazione due o più reti distinte. Il roaming viene utilizzato dagli operatori telefonici di telefonia cellulare per permettere agli utenti di collegarsi utilizzando una rete non di loro proprietà. Ciò può accadere quando l'utente si trova all'estero e l'operatore telefonico non ha una rete propria, oppure quando l'utente si trova nel paese di origine dell'operatore telefonico ma questo non ha una copertura totale della nazione, (in questo caso l'operatore si appoggia sulle reti telefoniche di altri operatori). Attraverso il roaming, quindi, l'operatore consente all'utente la possibilità di utilizzare il servizio in tutta la nazione. RINGING: suono della chiamata del telefono, in attesa di risposta. SCREEN SAVER: è un applicazione per computer che provoca l oscuramento dello schermo o la comparsa di un animazione o di una serie di immagini in successione sullo stesso dopo un periodo programmato di inattività del mouse e della tastiera (non dell elaboratore in sé), impostabile attraverso un timer.

3 SERVER: designa il o i computer utilizzati dalla APSS per fornire i servizi di cui al presente contratto. SITO: è l insieme dei file realizzati secondo lo standard HTML destinati ad essere installati su un server web. SOFTPHONE: in informatica un softphone è un programma software per effettuare chiamate telefoniche su internet utilizzando un computer di uso generale, piuttosto che utilizzare hardware dedicato. Spesso un softphone è stato progettato per comportarsi come un telefono tradizionale, a volte appare come l immagine di un telefono cellulare, con un pannello del display e pulsanti con i quali l utente può interagire. Un softphone di solito è usato con un auricolare collegato alla scheda audio del PC, o con un telefono USB. SOFTWARE: termine generico che indica l insieme dei programmi che permettono di far eseguire al computer specifiche istruzioni. SPAM: indica la proliferazione di traffico indebito della posta elettronica aziendale TITOLARE del trattamento: è il soggetto (persona fisica o giuridica) cui competono le decisioni in ordine alle finalità, modalità, strumenti utilizzati e adozione misure di sicurezza nel trattamento di dati personali. UMTS: Terza generazione di trasmissione di testo, voce, video, multimedia e dati a banda larga basata sulla trasmissione a pacchetti. Il trasferimento dei dati avviene ad una velocità di 2 megabits al secondo e si basa sullo standard GSM Global System for Mobile. WAP: Wireless Application Protocol. Tecnologia per il collegamento di telefoni cellulari a sistemi di posta elettronica o a siti Internet appositamente realizzati (solo testo). WEB: un insieme vastissimo di contenuti multimediali, e di servizi, di Internet, contenuti e servizi che possono essere resi disponibili dagli stessi utenti di Internet. WHITE LIST: elenco di siti direttamente e immediatamente accessibili da tutti gli utenti internet. 2 Premessa Questo documento ha per oggetto la disciplina relativa al servizio di accesso alla rete Internet, alla posta elettronica, alle attrezzature informatiche e al servizio di telefonia fissa e mobile il cui utilizzo è consentito esclusivamente ai dipendenti dell Azienda Provinciale per i Servizi Sanitari (APSS) autorizzati, al personale che opera per conto della stessa APSS, a sua volta espressamente autorizzato ed ai collaboratori esterni appositamente autorizzati. Il servizio di accesso alla rete Internet, alla posta elettronica, alle attrezzature informatiche e al servizio di telefonia fissa e mobile, tenuto conto della deliberazione della Giunta provinciale n del 7 maggio 2010 in merito all Utilizzo della rete internet, della posta elettronica, delle attrezzature informatiche e telefoniche - Approvazione Disciplinare è regolato, oltre che dal presente disciplinare, dalla deliberazione del Direttore Generale n. 1349/2005 di data con la quale è stata definita la procedura di nomina di incaricato del trattamento dei dati personali e individuate preventivamente le categorie di utenti alle quali è accordato automaticamente l utilizzo della posta elettronica, prevedendo, per gli altri casi, una specifica richiesta di abilitazione, di norma tramite procedura GRU, validazione del responsabile di servizio e autorizzazione del responsabile del trattamento; I servizi di cui sopra, offerti gratuitamente per motivi di servizio dall APSS, consistono nel poter accedere ad Internet in modalità client, di poter inviare e ricevere posta elettronica da Internet di utilizzare le apparecchiature informatiche e telefoniche fisse o mobili messe a disposizione da APSS; Per nessuna ragione i dati contenuti e gestiti nel sistema informativo aziendale e quelli relativi alla telefonia fissa e mobile saranno utilizzati per il controllo a distanza dei lavoratori né tanto meno ai fini della valutazione quantitativa e qualitativa della prestazione del lavoratore o

4 dell accertamento del rispetto degli obblighi di comportamento del lavoratore nell esecuzione del contratto di lavoro estranei all ambito di regolazione del presente disciplinare e sempre che il comportamento non costituisca diverso illecito civile, penale o amministrativo. (artt. 113, 114 e 184, comma 3, del Codice; artt. 2 e 8 legge 20 maggio 1970, n. 300 Statuto dei lavoratori ) 3 Identificazione dell utente del servizio Internet e posta elettronica Per accedere al servizio, l'utente dovrà fornire i propri dati identificativi e attenersi al presente disciplinare. L accesso avviene mediante un codice di identificazione personale (UserId) ed una parola chiave segreta (password), tipicamente quella utilizzata per l accesso alla rete aziendale. L'utente si impegna a non cedere l uso della propria stazione terminale per l accesso ad Internet ed alla posta elettronica a persone non autorizzate. Qualsiasi azione svolta sotto l autorizzazione offerta dalla coppia UserID e Password sarà assegnata in termini di responsabilità all utente assegnatario del codice UserId. Non sono previsti accessi anonimi. L utente si impegna a comunicare immediatamente al Servizio Sistemi Informativi l eventuale furto, smarrimento, perdita o appropriazione a qualsiasi titolo da parte di terzi della password. 4 Finalità della registrazione di attività e dati personali e graduazione dei controlli Al fine di garantire la tutela del patrimonio informativo aziendale e di razionalizzare e contenere i costi per la capacità di memoria e l ampiezza di banda di collegamento in rete, l APSS, nell ambito dell attività di vigilanza e prevenzione, registra puntualmente ed automaticamente in forma elettronica le attività inerenti l uso del servizio di accesso ad Internet e connessi, quali la posta elettronica. L attività di registrazione avviene attraverso i Log di sistema a cura del Servizio Sistemi Informativi che ne garantisce la custodia. Tutti gli accessi ad Internet vengono registrati sul sistema di sicurezza aziendale in appositi file di log; tali log tengono traccia dei seguenti dati per ogni accesso: UserId, indirizzo IP del PC da cui l utente si è collegato, data e ora, riferimento al sito visitato (URL); tali Log sono indispensabili al SSI ( Servizio Sistemi Informativi dell APSS) per poter costantemente monitorare il corretto funzionamento del sistema e per poter effettuare statistiche periodiche sull uso del sistema; Il sistema di posta elettronica tiene traccia, con modalità analoghe a quelle previste per gli accessi Internet, di tutte le mail inviate/ricevute con le seguenti informazioni: data e ora, UserId, indirizzo IP del sistema che ha inviato il messaggio, indirizzo di posta del mittente e del destinatario. Il contenuto del Log è assolutamente riservato. Il Responsabile del trattamento dei dati e gli incaricati a svolgere funzioni tecniche di gestione e manutenzione s impegnano a non trattare dati personali relativi all'utente e/o alle sue attività e/o ai contenuti che egli mette in rete, se non ai fini previsti dalla legge o in relazione alle disposizioni del Titolare del trattamento. In ogni caso il Responsabile del trattamento dei dati - in ottemperanza alle disposizioni del D.Lgs.196/ gestisce i LOG delle connessioni, in quanto necessari al monitoraggio della qualità del servizio erogato, alla sicurezza e all integrità dei sistemi. Tali registrazioni verranno mantenute per tutto il tempo ritenuto necessario e comunque non inferiore ad un anno non superiore a due e potranno essere a disposizione in qualsiasi momento, anche in forma non anonima, a fronte di motivata richiesta delle autorità di pubblica sicurezza, dell autorità giudiziaria e della direzione generale aziendale. In caso di riscontro di anomalie

5 o criticità (es. presenza di virus, comportamenti scorretti che costituiscono una minaccia all operatività del sistema, installazione di programmi pericolosi, spamming) emerse nei controlli di sicurezza, che vengono attivati in forma non nominativa e aggregata, possono essere attivati controlli specifici previo avviso preventivo generalizzato agli utenti da parte del Responsabile del trattamento relativo al rilevato utilizzo anomalo degli strumenti aziendali con l invito al rispetto delle disposizioni aziendali; in generale tutte le verifiche dovranno rispettare i criteri di pertinenza e non eccedenza rispetto al fine di controllo tecnico amministrativo proprio dell Azienda. Ove successivamente al predetto avviso vengano nuovamente riscontati utilizzi impropri l Azienda è autorizzata ad effettuare controlli puntuali e individuali. Qualora le verifiche portino all accertamento della violazione delle presenti regole o più in generale all accertamento di utilizzi impropri l Azienda si riserva di adottare le opportune misure disciplinari di cui al vigente CCPL dell area di appartenenza, con le modalità previste dal Regolamento aziendale per i procedimenti disciplinari o, nel caso si tratti di personale non dipendente, dalla normativa specifica applicabile, salvo l obbligo, ove emergano ipotesi di reato, di segnalare il fatto alla competente autorità giudiziaria. L'utente garantisce che i dati personali forniti al momento dell'attivazione del servizio siano veritieri. L APSS si fa garante della custodia dei dati personali forniti dall'utente e si impegna a non rivelarli a terzi, se non a fronte di legittima richiesta delle autorità di pubblica sicurezza e dell autorità giudiziaria. 5 Modalità di utilizzo dell accesso e delle funzionalità di rete All utente è consentito utilizzare il servizio solo per ragioni professionali connesse alla propria attività, in modo individuale. E' consentito l'uso dell'accesso ad internet e della posta elettronica anche per motivi personali purché tale utilizzo sia occasionale, limitato nel tempo, confinato all'esterno dell'orario di lavoro, non pregiudizievole dell'uso dei sistemi da parte degli altri utenti né della efficienza ed efficacia della prestazione lavorativa, né della sicurezza del sistema informativo aziendale e comunque per finalità lecite. Tenuto conto di quanto previsto dai nuovi CCPL, gli utenti individuati quali dirigenti sindacali dalle rispettive Organizzazioni Sindacali di categoria rappresentative ovvero i componenti dell Assemblea RSU possono utilizzare, al di fuori dell'attività di servizio, gli strumenti informatici aziendali, allo scopo servendosi della propria postazione di lavoro informatica o, in mancanza, di una postazione all'interno della unità operativa di appartenenza e purché detto utilizzo non comporti alcun disagio organizzativo o aggravio di spesa per l Azienda. L APSS favorisce l utilizzo di indirizzi condivisi tra più utenti mediante l adozione di gruppi di indirizzi (mailing list). L APSS non fornisce indirizzi di posta elettronica aziendale per usi di tipo personale, ma non vieta la consultazione del contenuto di indirizzi di tipo personale, anche dall interno dell APSS, qualora la modalità di consultazione sia compatibile con i vincoli di sicurezza del sistema aziendale e avvenga in misura non eccessiva e pregiudizievole degli obblighi dell utente nei confronti dell APSS. L APSS mette a disposizione dell utente sistemi di avviso in caso di assenza prolungata dell utente che sfruttano le peculiarità del sistema di posta elettronica e possono fornire coordinate di altri riferimenti all interno dell APSS tali da garantire il corretto funzionamento dei servizi; l attivazione è a cura dell utente con le modalità indicate in apposito documento accessibile nella pagina dedicata alla privacy, nell area intranet aziendale. (verificare)

6 L'utente è direttamente e totalmente responsabile dell uso del servizio di accesso ad Internet, dei contenuti che vi ricerca, dei siti che contatta, delle informazioni che vi immette e delle modalità con cui opera. L'accesso è consentito immettendo un codice d identificazione utente (UserId) e una parola chiave (Password), tipicamente nel momento di connessione alla rete aziendale. L'utente deve conservare la password nella massima riservatezza e con la massima diligenza; a tutti gli utenti del dominio di sicurezza aziendale apss viene chiesto automaticamente ogni tre mesi il cambio della parola chiave; tuttavia, qualora si ritenga che la stessa non sia più sicura, è possibile sostituirla anche prima; qualora si utilizzino sistemi che non sono in grado di richiedere automaticamente il cambio di password è indispensabile che l utente autonomamente provveda a cambiarla ogni tre mesi per gli utenti del dominio aziendale apss è previsto un sistema di salvataggio dei files centralizzato (documenti lavoro), all interno di file servers; i documenti gestiti all interno dei file servers sono tutelati da perdite mediante accurate procedure di salvataggio; è fatto divieto di memorizzare in locale sulle stazioni di lavoro dati sensibili, che vanno salvati sui file servers; nel caso l utente memorizzi anche solo per brevi periodo dati in locale sulla stazione di lavoro deve procedere con cadenza almeno settimanale all effettuazione di copie di sicurezza e riporre i supporti di salvataggio in un contenitore sicuro al quale possano accedere esclusivamente soggetti autorizzati, le modalità operative di questo servizio sono indicate in apposito documento accessibile nella pagina dedicata alla privacy, nell area intranet aziendale. L utente è informato del fatto che la conoscenza della password da parte di terzi consente a questi ultimi l accesso alla rete aziendale e l utilizzo dei relativi servizi in nome dell utente e l accesso ai dati cui il medesimo è abilitato, con le conseguenze che la cosa può comportare quali ad esempio la visualizzazione di informazioni riservate, la distruzione o la modifica di dati, la lettura della propria posta elettronica, l uso indebito di servizi ecc. L utente è informato che i posti di lavoro informatici aziendali vengono classificati in tre categorie in base al tempo di non utilizzo del PC (10-Standard, 60-Medio e 300-Max minuti) dopo il quale il PC viene disattivato tramite il meccanismo dello "screen saver" che comporta per la ripartenza la ridigitazione dell identificativo dell'utente e della password. Tutti i posti di lavoro aziendali vengono impostati a 10 minuti, come previsto nel DPS (Documento Programmatico sulla Sicurezza aziendale). Al fine di cambiare il parametro del tempo dello "screen saver" è disponibile sul sistema GRU una funzione che permette al Responsabile di U.O. o ad un Dirigente - Capo Sala - Capo Tecnico, di attivare la funzione gestione screen saver del GRU che modificherà automaticamente l'impostazione del tempo del PC (numero ASP) che viene naturalmente attivata con la prima riaccensione del PC. L utente prende atto che è vietato servirsi o dar modo ad altri di servirsi della rete aziendale e dei servizi da essa messi a disposizione per utilizzi illeciti che violino o trasgrediscano diritti d autore, marchi di fabbrica, brevetti, comunicazioni private o altri diritti tutelati dalla normativa corrente, per utilizzi contro la morale e l ordine pubblico, per recare molestia alla quiete pubblica o privata, per recare offesa o danno diretto o indiretto a chicchessia. L'utente è civilmente responsabile, sia nei confronti di terzi che dell APSS, dei fatti illeciti propri e di quelli commessi da chiunque utilizzi il suo codice identificativo, con particolare riferimento all immissione in rete di contenuti critici o contrari all ordine pubblico o al buon costume così come definiti dalla giurisprudenza corrente della Corte di Cassazione. Per ragioni di sicurezza non è concesso scaricare software dalla rete. Eventuali necessità dovranno essere appositamente richieste al Servizio Sistemi Informativi che provvederà ad eseguire fisicamente lo scarico da una stazione protetta e ad applicare le misure antivirus relative. Il software scaricato sarà poi consegnato al richiedente. Lo scarico di immagini, di file audio o musicali, di file video e in ogni caso di grandi quantità di dati in grado di degradare le prestazioni offerte dal servizio agli altri utenti deve essere

7 autorizzato espressamente e possibilmente programmato in orario notturno o comunque di basso utilizzo del canale Internet. L APSS si riserva di filtrare l accesso a siti che risultino non in relazione con le attività istituzionali; il filtraggio verrà attuato mediante l inserimento del sito in una cosiddetta Black list ; la lista dei siti inaccessibili potrà essere chiesta alla direzione del SSI aziendale da chiunque e in caso di motivate ragioni potrà essere autorizzata la navigazione e il sito potrà essere rimosso dalla lista di esclusione; l esclusione dei siti verrà operata periodicamente in base all analisi di dati aggregati. Tutta la posta elettronica in transito sul sistema aziendale viene controllata da un sistema antivirus che, oltre al blocco delle contenenti virus, effettua i seguenti controlli: blocco delle con allegati potenzialmente pericolosi (file con estensioni EXE,.COM,.VBS,.PIF,.SCR,.SYS,.BIN,.OVL,.DRV,.OVY,.LNK; blocco delle con dimensioni complessive (messaggio di posta + allegati) superiori a 15 Mb; blocco delle con più di 50 allegati e/o più di 50 destinatari; in particolari situazioni, ad esempio massicce ricezioni di infette, il SSI si riserva di bloccare e cancellare le che contengano particolari allegati o che abbiano nell oggetto o nel corpo del messaggio particolari parole e/o frasi. Al fine di garantire il corretto funzionamento della posta elettronica aziendale e di evitare la proliferazione del traffico indebito che in termine tecnico viene chiamato SPAM l APSS ha in uso un sistema AntiSPAM che filtra tutta la posta gestita. Il sistema AntiSPAM utilizza regole euristiche per decidere l inoltro o meno di un messaggio. Le regole di filtraggio possono causare il passaggio di SPAM qualora non sufficientemente selettive o il mancato inoltro di posta elettronica erroneamente giudicata dal sistema come SPAM. Per le ragioni sopra indicate si vieta l utilizzo della posta elettronica di materiali in copie uniche o comunque per l invio di comunicazioni di cui debba essere garantito l inoltro al destinatario. Il sistema di posta elettronica in uso e concesso in utilizzo non è un sistema di posta certificata: non vi è pertanto garanzia né della consegna o della ricezione dei messaggi di posta, né di privatezza relativamente ai messaggi inviati in quanto non usa alcuna tecnica di crittografia dei contenuti o di protezione delle autenticazioni. E pertanto fatto divieto di inviare materiali che non siano compatibili con tali caratteristiche del servizio; E vietato inoltre l utilizzo di tecniche di mail spamming cioè di invio massivo di comunicazioni a liste di distribuzione extra aziendali o di azioni equivalenti; di norma è consentito l invio di un messaggio ad un numero non superiore a 50 destinatari. E vietato l accesso ad Internet tramite Internet provider diversi da quello scelto ufficialmente dall APSS e la connessione di stazioni di lavoro aziendali alle reti di detti provider, anche con abbonamenti privati. L utente è informato del potenziale rischio per la sicurezza dell intero sistema informativo aziendale connesso alla realizzazione di collegamenti con tali Internet provider. L utente, oltre ad incorrere in eventuali responsabilità di carattere disciplinare e/o penale, sarà civilmente responsabile di qualsiasi danno arrecato all Azienda, all Internet provider e/o a terzi in dipendenza della mancata osservanza di quanto sopra. 6 Pubblicazione di contenuti e realizzazione di siti personali E' vietato utilizzare il sito aziendale per la pubblicazione di dati personali, per la produzione e pubblicazione di propri siti WEB. E fatto assoluto divieto di realizzare funzioni di Hosting. Ogni eventuale necessità di realizzare siti Web personali o di struttura dovrà essere espressamente autorizzata dal Responsabile del trattamento dei dati. L'utente si obbliga a manlevare e tenere indenne l APSS da eventuali perdite, danni, responsabilità, costi, oneri e spese, ivi comprese le spese legali, che dovessero essere subite o

8 sostenute quali conseguenze di qualsiasi inadempimento da parte dell'utente agli obblighi e garanzie previste nel presente articolo e comunque connesse alla immissione delle informazioni in Internet, anche in ipotesi di risarcimento danni pretesi da terzi a qualunque titolo. 7 Requisiti hardware e software Le stazioni di lavoro utente vengono predisposte e configurate per il corretto uso dell accesso ad Internet dal Servizio Sistemi Informativi. Deve essere cura dell'utente il mantenimento della corretta configurazione del proprio computer e la garanzia che non vengano alterate le componenti hardware e software predisposte allo scopo, fermo restando l opportunità di usufruire, qualora necessario, del servizio di assistenza tecnica. 8 Modalità di prestazione del servizio L APSS si impegna a fornire continuità al servizio erogato, riservandosi la possibilità di interromperlo per le manutenzioni ordinarie. Nei limiti del possibile le interruzioni saranno preventivamente comunicate agli utenti. Per migliorare la qualità o la sicurezza dei servizi informatici attualmente predisposti, l APSS valuterà con attenzione eventuali osservazioni, suggerimenti ed indicazioni che gli utenti faranno pervenire al Servizio Sistemi Informativi. L APSS declina ogni responsabilità per danni derivanti da difetti o malfunzionamenti imputabili ad uso non corretto da parte dell'utente di hardware e software ad esso assegnato. L APSS garantisce la riservatezza delle comunicazioni effettuate attraverso il proprio servizio di posta elettronica interno. Il contenuto di tali comunicazioni non può in nessun caso essere oggetto di alcuna forma di verifica, controllo (salvo l eventuale controllo specifico giustificato dall esigenza di accertare le cause di anomalie registrate dai report di sicurezza nell ambito dell attività di vigilanza e prevenzione disciplinata dal punto 4 della presente direttiva ovvero di condotte illecite del lavoratore) o censura da parte dell APSS, dell Internet provider o da parte di altri soggetti. Per contro, nulla è garantito sul servizio di posta elettronico pubblico (Internet), ovvero qualora la comunicazione lasci l ambito aziendale (Intranet). 9 Cessazione d ufficio del servizio Ai sensi della presente direttiva, l'utilizzo del servizio di accesso ad Internet e alla posta elettronica aziendale cesserà d'ufficio nei seguenti casi: qualora l utente non cambi la password entro tre mesi e/o non acceda al servizio da oltre tre mesi; qualora non sussista più la condizione di dipendente o collaboratore autorizzato o non fosse confermata l autorizzazione all uso fornita dal Responsabile; qualora venga accertato un uso non corretto del servizio da parte dell utente o comunque un uso estraneo ai suoi compiti professionali; qualora si sospettino manomissioni e/o interventi su hardware e/o software dell' utente compiuti eventualmente da persone non autorizzate, se dal fatto derivano malfunzionamenti, interruzioni parziali o totali del funzionamento del servizio o il suo deterioramento; in caso di diffusione o comunicazione imputabili direttamente o indirettamente all'utente, di password, procedure di connessione, indirizzo I.P. ed altre informazioni tecniche riservate;

9 in caso di accesso doloso dell'utente a directory, a siti e/o file e/o servizi da chiunque resi disponibili non rientranti fra quelli per lui autorizzati e in ogni caso qualora l attività dell utente comporti danno, anche solo potenziale al sito contattato; in caso di concessione diretta o indiretta a qualsiasi titolo da parte dell'utente a terzi diversi dagli utenti dei servizi di accesso ad Internet; Oltre ai casi di cessazione d ufficio sopraindicati, in caso di violazione e/o inadempimento imputabile all'utente di quanto stabilito nel punto 8 - modalità di prestazione dei servizi, il Responsabile del trattamento dei dati personali si riserva comunque la facoltà di sospendere a propria discrezione l accesso al servizio qualora sussistano ragionevoli evidenze di una violazione degli obblighi dell utente. 10 Utilizzo telefonia Il telefono ed i mezzi di comunicazione vocali assimilabili (es. telefax) sono strumenti di lavoro e vanno utilizzati nel rispetto delle regole generali e specifiche del proprio Servizio / Unità Operativa. Il consegnatario è responsabile del corretto utilizzo degli stessi. Per i cellulari, il consegnatario è la persona fisica a cui il cellulare è assegnato in uso esclusivo. Nel caso in cui un apparecchio sia in uso a più utilizzatori il consegnatario è individuato nel dirigente o responsabile del Servizio / Unità Operativa Utilizzo linee fisse I dipendenti utilizzano le linee telefoniche fisse dell ufficio unicamente per esigenze di servizio. Sono ammesse brevi e limitate comunicazioni telefoniche personali solo in casi eccezionali e urgenti. La ricezione di telefonate personali è limitata al minimo indispensabile. Il numero di apparecchi e le relative funzionalità vengono definite dal dirigente del Servizio/Unità Operativa, secondo le regole determinate dal Servizio Gestione Alberghiera e Logistica Utilizzo telefoni cellulari aziendali L assegnazione del telefono cellulare aziendale è effettuata a seguito di richiesta motivata, secondo le regole determinate dal Servizio Gestione Alberghiera e Logistica. Durante l orario di lavoro, la ricezione di telefonate personali è limitata al minimo indispensabile. L uso privato del telefono cellulare può avvenire solo in caso di contratto di dual billing (doppia fatturazione), introducendo il codice che permette di addebitare i costi per l uso privato sul conto corrente personale del titolare dell utenza. E vietato l invio dei cosiddetti SMS solidali (per le donazioni) e degli SMS premium con i quali è possibile sottoscrivere un abbonamento ad un servizio che, a sua volta, prevede l invio periodico e automatico di messaggi a pagamento contenenti suonerie, oroscopo, ecc.

10 Per ragioni di sicurezza l accensione del telefono cellulare va eseguita utilizzando il codice PIN: detto codice è personale e va tenuto segreto. In caso di furto o smarrimento degli apparati e schede sim, occorre immediatamente bloccare l utenza chiamando il Servizio Gestione Alberghiera e Logistica Settore telefonia e, quindi, presentare denuncia alle autorità di pubblica sicurezza indicando il numero telefonico ed il codice IMEI dell apparecchio (visibile sotto la batteria, sulla scatola di imballaggio oppure digitando sul cellulare *#06#). La denuncia deve essere consegnata al Servizio Gestione Alberghiera e Logistica per il reintegro dell apparecchio e della SIM Registrazione e monitoraggio dei dati telefonici APSS, in rispetto della normativa sulla tutela della riservatezza dei dati personali, registra puntualmente ed automaticamente in forma elettronica i dati relativi al traffico di telefonia fissa. Rientra tra le responsabilità del dirigente del Servizio / Unità Operativa il monitoraggio dell andamento dei costi relativi al traffico telefonico, imputati in contabilità analitica ai singoli centri di costo / di responsabilità Conservazione dei dati telefonici I dati di traffico telefonico vengono conservati per 24 mesi. Gli stessi dati sono trattati da parte di un numero strettamente necessario di addetti, vincolati ad obbligo di riservatezza Controlli sui dati telefonici I controlli sui dati telefonici possono essere: a) in forma anonima, anche a campione e automatici, sui telefoni fissi: il Responsabile del Servizio Gestione Alberghiera e Logistica trasmette, in caso di particolari scostamenti rispetto all andamento medio della spesa, segnalazione ai responsabili dei centri di responsabilità b) in forma non anonima c.d. controllo specifico e mirato - sui telefoni fissi e sui cellulari di servizio, in base a tabulati analitici e in relazione: - al caso in cui l integrità delle linee telefoniche sia minata da un problema di sicurezza; - alla prevenzione e all accertamento, in presenza di indizi, di illeciti civili, penali e amministrativi; - a fatturazioni che laddove dettagliate perché sospette - evidenzino un utilizzo improprio del cellulare di servizio (es.: loghi e suonerie, da concorsi e sondaggi, utilizzo in giorni o orari non lavorativi, etc.); in questo caso l identificazione dell utente è coessenziale al controllo che, pertanto, sarà sempre e solo in forma non anonima; - all indispensabilità dei dati di log rispetto all esercizio o alla difesa di un diritto in sede giudiziaria; - all obbligo di rispondere ad una specifica richiesta dell autorità giudiziaria o della polizia giudiziaria; - al caso di persistente utilizzo anomalo degli strumenti da parte degli utenti di una specifica struttura/area (rilevabile esclusivamente dai dati aggregati), nonostante precedente segnalazione.

11 16 Informativa ai sensi dell art. 13 del D.Lgs. 196/2003 Il Titolare del trattamento dei dati personali della presente direttiva è l Azienda Provinciale per i Servizi Sanitari della Provincia Autonoma di Trento. Il Responsabile del trattamento dei dati personali è il Dirigente responsabile del Servizio Sistemi Informativi per la parte riguardante Internet, posta elettronica, attrezzature informatiche. Il Responsabile del trattamento dei dati personali è il Dirigente responsabile del Servizio Gestione Alberghiera e Logistica, per la parte riguardante la telefonia, fissa e mobile. I diritti previsti dall art. 7 D.Lgs. 196/2003 e in particolare il diritto di conoscere i dati che riguardano l utente, il diritto di aggiornarli e il diritto di cancellare i dati eventualmente trattati in violazione di legge potranno essere esercitati rivolgendosi al Servizio Sistemi Informativi. Firma