La Tutela della Privacy in ORAS ai sensi del D. Lgs. n. 196/2003. Materiale informativo per dipendenti e collaboratori

Transcript

1 La Tutela della Privacy in ORAS ai sensi del D. Lgs. n. 196/2003 Materiale informativo per dipendenti e collaboratori

2

3 INDICE IL DECRETO LEGISLATIVO 196/ INTRODUZIONE PANORAMA NORMATIVO PRINCIPI E DEFINIZIONI Principio di finalità, art Principio di necessità, art Principali definizioni Trattamento di dati personali Dato personale MODALITÀ DI TRATTAMENTO RUOLO E RESPONSABILITÀ DEL TITOLARE RUOLO E COMPITI DEL RESPONSABILE RUOLO E RESPONSABILITÀ DEGLI INCARICATI INTERESSATO Diritti degli interessati AMMINISTRATORE DI SISTEMA Amministratore di sistema interno e compiti affidati Interventi di soggetti esterni IL GARANTE PRIVACY E GLI ADEMPIMENTI 1 IL GARANTE PRIVACY ADEMPIMENTI Informativa... 19

4 2.2 Consenso Notifica COMUNICAZIONE E DIFFUSIONE DEI DATI Diffusione di dati Comunicazione di dati MISURE DI SICUREZZA Misure idonee Misure minime REGOLAMENTO INTERNET VIDEOSORVEGLIANZA...30

5 IL DECRETO LEGISLATIVO 196/ INTRODUZIONE ORAS ha la forma giuridica di una società per Azioni a capitale misto pubblico-privato la cui direzione e coordinamento è soggetta al controllo dell Azienda ULSS 9 di Treviso. La quota di maggioranza pari al 75% è detenuta dalla Regione Veneto per il tramite della ULSS 9, il 23,19% è della Casa di Cura di Abano Terme e la restante quota del 1,81% è del Comune di Motta di Livenza. In ORAS, operano attualmente a vario titolo circa 450 soggetti, suddivisi tra dipendenti di ORAS spa, personale in comando distaccato dall Azienda ULSS 9 di Treviso, medici in regime di convenzione, medici e altri collaboratori in regime libero professionale. Con l'entrata in vigore della nuova legislazione sulla protezione dei dati personali, l ORAS ha sviluppato un proprio sistema organizzativo basato sulle specifiche esigenze determinate sia dalle dimensioni e dalle peculiarità delle attività, sia dai compiti svolti e, per ciascuno degli adempimenti previsti dal Codice ha provveduto ad emanare apposita documentazione. In un ottica di ulteriore miglioramento del sistema organizzativo privacy dal 1 agosto 2013 è stato nominato un Caposervizio Privacy e Banche dati, già coordinatore delle attività privacy dal 2009, che ha effettuato percorso di specializzazione professionale in materia di privacy riconosciuto dal TÜV Examination Institute. Il presente materiale informativo illustra i principi ispiratori della normativa sulla privacy oltre agli adempimenti che è necessario Pagina 3

6 porre in essere a tutela e protezione dei dati personali trattati dall Ospedale Riabilitativo di Alta Specializzazione di Motta di Livenza (TV). Pagina 4

7 IL CODICE DELLA PRIVACY IN SINTESI Figura 1 Pagina 5

8 2 PANORAMA NORMATIVO Dal 1 gennaio 2004 è entrato in vigore il nuovo codice della privacy, contenuto nel decreto legislativo 196/2003, pubblicato nella Gazzetta Ufficiale del 29 luglio 2003 Serie generale n La ratio del legislatore è stata da una parte la razionalizzazione delle norme esistenti sulla riservatezza dei dati personali, attraverso l abrogazione di 14 provvedimenti (tra cui la legge 675/96), facendo confluire tutta la disciplina sulla privacy in un unico testo di legge e dall altra di semplificare la normativa, prevedendo una riduzione degli adempimenti legati all applicazione della normativa stessa. Legge n. 675/96 D. Lgs. n. 196/03 D.P.R. n. 318/99 T.U. Codice in materia di dati personali Figura 2 Il Codice della privacy si compone di 186 articoli suddivisi in 3 parti: disposizioni generali; disposizioni per specifici settori (tra cui l ambito sanitario); tutela dell interessato e sanzioni; e di 3 allegati: Pagina 6

9 Allegato A Codici di deontologia professionale Allegato B Disciplinare tecnico in materia di misure minime di sicurezza Allegato C Trattamenti non occasionali effettuati o in ambito giudiziario o per fini di polizia Tra tutti gli allegati il più importante è l allegato B poiché detta tutte le misure minime che devono essere adottate da un punto di vista tecnico, logico ed organizzativo per il rispetto della privacy, sia che si trattino dati in formato cartaceo che elettronico. Oltre al Codice della privacy, la materia è disciplinata da vari Provvedimenti, linee guida/direttive/prescrizioni emanate dal Garante per la tutela dei dati personali (es. Provvedimento sull Amministratore di sistema). Di particolare interesse per le strutture sanitarie sono la Prescrizione del Garante del 5 novembre 2005 sul rispetto della dignità dei pazienti e altri provvedimenti inerenti la documentazione sanitaria in formato elettronico (referti, dossier, fascicolo). 3 PRINCIPI E DEFINIZIONI Di seguito vengono descritti i principi ispiratori della normativa e le principali definizioni. 3.1 PRINCIPIO DI FINALITÀ, ART. 2 Il codice garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell interessato, con particolare riferimento alla riservatezza, all identità personale e al diritto alla protezione dei dati personali; Pagina 7

10 ciò significa che non è escluso il trattamento di dati personali, l importante è che tale trattamento avvenga secondo determinati criteri che si esplicitano nel rispetto degli adempimenti e delle misure di sicurezza fissati dalla normativa. 3.2 PRINCIPIO DI NECESSITÀ, ART. 3 Il codice della privacy prescrive che i sistemi e i programmi informatici devono essere configurati in modo da ridurre al minimo l utilizzazione dei dati personali e identificativi. Il legislatore ha voluto precisare con tale articolo che laddove è possibile, è meglio utilizzare dati anonimi. 3.3 PRINCIPALI DEFINIZIONI TRATTAMENTO DI DATI PERSONALI L Art.4 definisce trattamento qualunque operazione o complesso di operazioni, effettuati anche senza l ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l organizzazione, la conservazione, la consultazione, l elaborazione, la modificazione, la selezione, l estrazione, il raffronto, l utilizzo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati anche se non ancora registrati in una banca dati DATO PERSONALE Si definisce dato personale qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Dato personale è pertanto un indirizzo, un codice fiscale, una fotografia, un certificato di malattia, un impronta digitale, una nota valutativa, certificato del casellario giudiziario. Pagina 8

11 Il D.lgs 196/03 distingue i dati personali in tre categorie: a. dati sensibili; b. dati giudiziari; c. dati di natura comune. a. Dati sensibili Rientrano nella categoria di dati sensibili taluni dati che toccano la sfera più intima e delicata della personalità: tali sono i dati idonei a rivelare lo stato di salute e la vita sessuale della persona (persone fisiche) e altri dati, correlati alla sfera privata di un individuo. Si tratta dei dati idonei a rivelare: l origine razziale o etnica; le convinzioni religiose, filosofiche o di altro genere; le opinioni politiche, l adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale. b. Dati giudiziari I dati personali idonei a rivelare provvedimenti di cui all art.3 co.1 del DPR n.313 / 2002 (casellario giudiziale, carichi pendenti, qualità di imputato o indagato, anagrafe sanzioni amministrative). c. Dati comuni I dati personali che non sono sensibili o giudiziari Oltre alle sopracitate tipologie di dati il Codice della privacy individua dei dati che presentano rischi specifici e per il trattamento dei quali sono prescritti particolari accorgimenti, tali dati sono definiti dalla dottrina quasi sensibili, (ad esempio dati economici) Pagina 9

12 4 MODALITÀ DI TRATTAMENTO Il trattamento dei dati, relativamente alle finalità dichiarate nell'informativa, deve essere: a. lecito b. corretto c. pertinente d. non eccedente. a. LECITO Lecito è il trattamento permesso e consentito dalla legge. b. CORRETTO Il trattamento corretto è quello che avviene secondo i dettami normativi. c. PERTINENTE I dati raccolti e trattati devono essere consoni e utili per le finalità dichiarate. d. NON ECCEDENTE Il trattamento non deve eccedere le finalità per le quali viene svolto, ovvero non possono essere trattati e raccolti più dati di quelli che servono per il trattamento effettuato. Pagina 10

13 I SOGGETTI 1 RUOLO E RESPONSABILITÀ DEL TITOLARE Titolare Responsabili Incaricati Figura 3 Ai sensi dell art. 4, comma 1, lettera f), il titolare del trattamento è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Titolare del trattamento è quindi l entità nel suo complesso (persona giuridica) ovverosia l Ospedale Riabilitativo di Alta Specializzazione di Motta di Livenza (TV) il cui rappresentante legale pro tempore sarà eventualmente chiamato a rispondere delle violazioni per le quali la legge prevede sanzioni di carattere civile e/o penale. Come indicato dall art. 28 del Codice della privacy, al titolare del trattamento competono i poteri e i doveri di carattere generale Pagina 11

14 relativi all'adozione delle scelte necessarie, strategiche e organizzative, in ordine ai dati da trattare e alle misure di sicurezza da adottare. Il titolare gestisce la nomina dei responsabili del trattamento tra i soggetti che per esperienza, capacità e affidabilità forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento e delle istruzioni impartite. 2 RUOLO E COMPITI DEL RESPONSABILE Titolare Responsabili Incaricati Figura 4 I Responsabili del trattamento, sono, secondo la definizione dell art. 4, comma 1, lettera g), del D.lgs 196/2003 le persone fisiche, le persone giuridiche, le pubbliche amministrazioni e qualsiasi altro ente, associazione od organismo preposti dal Titolare al trattamento di dati personali. Ai sensi dell art. 29 del D.lgs 196/2003, ogni Responsabile, attenendosi alle disposizioni impartite dal Titolare, ha il controllo e la responsabilità sui trattamenti svolti nella propria area di competenza. Pagina 12

15 A tal proposito ORAS ha individuato, quali soggetti da nominare internamente, come Responsabili pro tempore i Direttori, i responsabili delle Unità Operative e Servizi e l Amministratore dei sistemi informativi Nel caso di trattamenti effettuati da soggetti esterni (ad es. nel caso di fornitori di servizi informatici oppure di società per la gestione di contratti di assistenza per gli applicativi gestiti a livello informatico) in nome e per conto del Titolare, questi sono stati individuati e nominati da ORAS Responsabili esterni di trattamento e devono garantire livelli di sicurezza analoghi a quelli indicati per i trattamenti effettuati da ORAS. 3 RUOLO E RESPONSABILITÀ DEGLI INCARICATI Titolare Responsabili Incaricati Figura 5 Ai sensi dell art. 30, gli Incaricati del trattamento sono le persone fisiche incaricate per iscritto del trattamento dei dati. In particolare, gli Incaricati sono indicati dal Titolare e ricevono una formale lettera di incarico. Hanno il dovere di svolgere le loro mansioni nel rispetto delle modalità indicate e hanno l'obbligo di attenersi alle disposizioni loro impartite per garantire la sicurezza dei dati ai quali hanno accesso. Pagina 13

16 ORAS provvede a nominare incaricati del trattamento tutti quei dipendenti che nell adempimento dei propri compiti svolgono operazioni che comprendono il trattamento di dati personali sensibili e/o giudiziari; allegata alla lettera di nomina vengono fornite le istruzioni operative. Le Istruzioni operative per gli incaricati contengono: le regole di ordinaria diligenza che gli Incaricati del trattamento sono tenuti ad osservare nel corso della loro prestazione lavorativa; le misure di sicurezza da applicare per la protezine dei dati personali come discendenti dagli art del Codice della Privacy; le regole comportamentali che i dipendenti debbono seguire per l uso degli strumenti di comunicazione elettronica. 4 INTERESSATO L interessato è la persona fisica, a cui si riferiscono i dati oggetto di trattamento. 4.1 DIRITTI DEGLI INTERESSATI L'interessato, attraverso l'informativa ha il diritto di sapere come verranno utilizzati i propri dati ed eventualmente esprimere il proprio consenso o meno all'utilizzo. L'interessato può anche esercitare: il diritto di accesso ai dati, ovvero può esaminare i dati che lo riguardano per verificare che questi siano corretti, in linea Pagina 14

17 con quanto indicato nell'informativa autorizzato con il suo consenso; e quanto egli ha diritto di rettifica, ovvero può chiedere che i propri dati siano aggiornati o cancellati dal trattamento (in rari casi non è possibile come nelle cartelle cliniche che sono atti pubblici). L'interessato può far valere i suoi diritti mediante semplice richiesta (verbale, via fax, mail, lettera, ecc...) al titolare o al responsabile che ha 15 giorni per rispondere, altrimenti l'interessato può adire al Garante. 5 AMMINISTRATORE DI SISTEMA Il Provvedimento del Garante del 27 novembre 2008 Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema prevede l espressa individuazione di uno o più soggetti interni o esterni alla struttura aziendale che ricoprano la figura di Amministratore di sistema. Le attività di una struttura sanitaria quale l ORAS spa, possono comportare elevate criticità rispetto alla protezione dei dati, per cui risulta fondamentale individuare tale soggetto e le sue mansioni e andarne a verificare con cadenza annuale la rispondenza. L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Spetta al Titolare individuare i criteri adottati nella scelta di tali figure, la registrazione degli access log ai sistemi di elaborazione e agli archivi elettronici, anche ai fini della verifica annuale. Pagina 15

18 Il titolare deve infatti: adottare sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici; verificare almeno annualmente la rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali. L amministratore di sistema predispone annualmente una relazione sul proprio operato e sugli interventi di soggetti esterni sul sistema informatico di ORAS (nominati AdS esterni). 5.1 AMMINISTRATORE DI SISTEMA INTERNO E COMPITI AFFIDATI RUOLO RICOPERTO AMMINISTRATORE DI SISTEMA ATTIVITÀ SVOLTE Primo livello di intervento sull hardware, per la risoluzione di problemi legati al sistema informatico, prima di inoltrare eventuale richiesta di intervento all azienda incaricata. Risoluzione di problemi legati al sistema informatico Analisi dei dati aziendali, attraverso elaborazione di query e filtri, al fine di esportarli Estrapolazione e controllo dei dati che poi vengono girati ai responsabili Backup dei dati aziendali Gestione dei software aziendali Pagina 16

19 RUOLO RICOPERTO AMMINISTRATORE DI SISTEMA ATTIVITÀ SVOLTE Controllo del corretto funzionamento del sistema di gestione delle credenziali di autenticazione ed autorizzazione, per qualsiasi tipo di accesso. Su esplicita richiesta, può verificare la posta elettronica di un incaricato, al fine di recuperare mail andate perse ( archivi consultabili fino ai 3 mesi precedenti). Predisposizione del blocco della navigazione di alcuni siti internet Tabella INTERVENTI DI SOGGETTI ESTERNI Gli interventi da parte di soggetti esterni e gli accessi remoti degli esterni possono avvenire solamente tramite preventiva richiesta da parte di un utente dell azienda, ed esclusivamente su consenso ed autorizzazione da parte dell Amministratore di Sistema. Viene tenuta traccia degli accessi. Le informazioni richieste possono essere anche inoltrate all Amministratore di Sistema, ad intervento effettuato, via mail o tramite apposito modulo d intervento intestato alla società (fax). Pagina 17

20 IL GARANTE PRIVACY E GLI ADEMPIMENTI 1 IL GARANTE PRIVACY Il Garante per la protezione dei dati personali è un organo collegiale formato da 4 membri, nominati dal Parlamento, che ha il compito di controllare la corretta applicazione della legge sulla privacy. Principali funzioni: costituire il registro delle notificazioni (trattamenti particolari) formazione ed educazione dei cittadini in materia di privacy sorveglianza sull attività di tutti coloro che trattano dati personali, con poteri di ispezione e controllo e sanzionatori (sanzioni amministrative). Ogni cittadino ha diritto di rivolgersi al Garante per far valere i propri diritti in tema di privacy ed il garante è tenuto a pronunciarsi su qualsiasi ricorso entro 20 giorni. 2 ADEMPIMENTI Gli adempimenti previsti dalla normativa sono: l informativa, il consenso, la notifica. Adempimenti Formali Informativa Consenso Notifica Figura 6 Pagina 18

21 2.1 INFORMATIVA L informativa va sempre fornita prima di qualsiasi trattamento di dati personali e può essere resa oralmente o per iscritto. In ambito sanitario, la normativa prevede espressamente che l informativa possa essere data una tantum per una pluralità di trattamenti e con modalità semplificate, ovvero anche tramite l affissione di poster. L informativa deve contenere: Finalità e Modalità del trattamento Natura obbligatoria o facoltativa del conferimento dei dati Conseguenze di un eventuale rifiuto I soggetti a cui i dati possono essere comunicati I diritti dell interessato Il titolare e almeno un responsabile. L informativa va data a tutti gli interessati di cui si trattano dati, a titolo esemplificativo: ai dipendenti ai fornitori agli utenti. 2.2 CONSENSO La raccolta del consenso, a differenza dell informativa, non sempre è richiesta dalla normativa soprattutto in ambito pubblico o se i dati sono raccolti per adempiere ad un contratto. In ambito sanitario invece è obbligatorio raccogliere il consenso prima dell effettuazioni delle prestazioni; in casi di necessità ed Pagina 19

22 urgenza, qualora l interessato non sia in grado di intendere e volere, il consenso può essere dato anche successivamente. Anche per la raccolta del consenso, in ambito sanitario, sono previste modalità semplificate: il consenso può essere raccolto per un pluralità di prestazioni il consenso può essere manifestato anche oralmente, documentandolo, anziché con atto scritto dell interessato, con annotazione dell esercente la professione sanitario o dell organismo sanitario 2.3 NOTIFICA Vi è una generale assenza dell obbligo di notifica che, con il nuovo codice della privacy, deve essere fatta solo in presenza di alcuni trattamenti. Tra i trattamenti oggetto di notifica vi sono: dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante rete di comunicazione elettronica; Dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, indagini epidemiologiche, Il Decreto semplificazioni DECRETO-LEGGE 9 febbraio 2012, n. 5 ha soppresso l'obbligo di predisporre ed aggiornare Il Documento programmatico sulla sicurezza dei dati personali. Il decreto citato non ha però abolito l obbligo di adottare tutte le misure di sicurezza obbligatorie e i provvedimenti del Garante che Pagina 20

23 hanno effetto di legge e che se non rispettati espongono a pesanti sanzioni. Tuttavia, nonostante non vi sia obbligo di redigere e aggiornare annualmente un documento programmatico in materia di sicurezza del trattamento dei dati personali, la normativa impone in ogni caso al Titolare l evidenza di tutti gli adempimenti privacy che veniva soddisfatta proprio grazie all aggiornamento annuale del DPS. 3 COMUNICAZIONE E DIFFUSIONE DEI DATI 3.1 DIFFUSIONE DI DATI Per diffusione, si intende il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. La diffusione di dati in ambito sanitario è sempre vietata a meno che non si tratti di dati anonimi. 3.2 COMUNICAZIONE DI DATI La comunicazione di dati consiste nel dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. In ambito sanitario la comunicazione dei dati deve avvenire direttamente all'interessato per il tramite di un medico o di un esercente la professione sanitaria, che può essere individuato anche dal titolare. Tale comunicazione può avvenire anche nei confronti di un delegato munito di delega scritta con gli estremi identificativi del Pagina 21

24 delegato e del delegante. In caso di ricovero l'interessato deve essere messo in grado di comunicare al personale sanitario a chi vuole o meno siano comunicati i dati sul suo stato di salute. Diverso è il caso della comunicazione della presenza dell'interessato all'interno di una struttura sanitaria, in questo caso: di norma è possibile comunicare la presenza dell'interessato nella struttura, a meno che questi manifesti una volontà contraria è possibile riferire per telefono se una persona è presso un Pronto Soccorso, senza dare informazioni sullo stato di salute non vanno mai affisse liste di pazienti fuori dai reparti o dagli ambulatori non vanno messe cartelle cliniche visibili e facilmente accessibili ai piedi del letto i pazienti non andrebbero chiamati per nome fuori dagli ambulatori. 4 MISURE DI SICUREZZA Le misure di sicurezza possono essere divise in misure idonee e misure minime. Il livello di protezione, e quindi il tipo di misura di sicurezza che deve essere adottato, per tutelare i dati personali aumenta in considerazione della particolarità e delicatezza dei dati e secondo che essi siano in formato cartaceo o digitale. Pagina 22

25 comuni sensibili giudiziari sanitari genetici Figura MISURE IDONEE Le misure idonee non possono essere determinabili a priori ma devono rapportarsi a specifici elementi che rendono variabili, a seconda dei contesti, le misure da adottare. Nell'applicazione concreta delle misure idonee, ovvero ogni soluzione organizzativa, tecnica e logica che il titolare può adottare, si deve tener conto delle caratteristiche della propria struttura, delle modalità dei trattamenti effettuati e del contesto generale in cui si svolgono. Gli elementi per determinare in concreto le misure idonee sono: le conoscenze acquisite in base al progresso tecnico la natura dei dati le specifiche caratteristiche del trattamento. Nello specifico le misure idonee devono impedire che si verifichi: la distruzione o perdita, anche accidentale, dei dati l'accesso non autorizzato ai dati Pagina 23

26 un trattamento di dati non consentito o non conforme alle finalità per cui i dati sono stati raccolti. 4.2 MISURE MINIME Le misure minime sono il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali che configurano il livello minimo di protezione e si differenziano a seconda che il trattamento avvenga con o senza l ausilio di strumenti elettronici. Le misure minime di sicurezza sono contenute nel Disciplinare Tecnico (allegato B al Codice della privacy) e ciascun Titolare del Trattamento è tenuto ad adottarle per garantire la sicurezza dei dati personali trattati, che di seguito vengono esplicitate: sistema di autorizzazione e profilazione degli utenti credenziali di autenticazione antivirus e firewall back up dei dati supporti di memorizzazione regole nei contratti con le terze parti regole per l accesso ad archivi cartacei. Pagina 24

27 LE MISURE DI SICUREZZA MISURE DI SICUREZZA SISTEMA DI AUTORIZZAZIONE E PROFILAZIONE DEGLI UTENTI CREDENZIALI DI AUTENTICAZIONE DESCRIZIONE MISURA Il titolare deve impostare un sistema di autorizzazione che stabilisca per ogni incaricato o classi omogenee di incaricati quali sono i dati cui l incaricato può accedere e quali sono i trattamenti consentiti. All interno della stessa categoria di incaricati si possono poi decidere privilegi di accesso diversi, ovvero chi ha accesso in sola lettura, chi può modificare, ecc Tutti questi aspetti devono essere riportati nelle specifiche istruzioni scritte, che devono essere consegnate agli incaricati, e vanno verificati periodicamente. Per essere certi che il soggetto che accede ai dati sia autorizzato, è necessario identificare l incaricato mediante credenziali di autenticazione. Le credenziali di autenticazione sono composte: da una parte nota (codice identificativo) da una parte necessariamente segreta nota solo all incaricato che può essere la password, oppure una smart card o un sistema biometrico. Le password: devono essere consegnate all incaricato e cambiate dopo il primo utilizzo; devono essere di almeno 8 caratteri; vanno cambiate almeno ogni 3 mesi se si trattano dati sensibili; in casi di emergenza, deve essere accessibile anche al responsabile (consegnata in busta chiusa); vanno disabilitate/sospese in caso di assenza prolungata. Pagina 25

28 MISURE DI SICUREZZA ANTIVIRUS E FIREWALL DESCRIZIONE MISURA È necessario installare programmi antivirus, che vanno sempre aggiornati per evitare intrusioni o perdita di dati. Vanno sempre fatte copie dei dati da conservare in zone sicure, possibilmente separate da quelle in cui si trovano i PC/server, per evitare perdita dei dati. BACK UP DEI DATI Tali copie andrebbero fatte almeno settimanalmente. Bisogna sempre essere in grado di ripristinare i dati, in caso di danneggiamento dei sistemi informatici, entro 7 giorni. SUPPORTI DI MEMORIZZAZIONE REGOLE NEI CONTRATTI CON LE TERZE PARTI I supporti di memorizzazione vanno custoditi in maniera sicura per evitare accessi non autorizzati e vanno distrutti se non più utilizzati. Se vi sono interventi sui dati/trattamenti o sistemi da parte di soggetti esterni, bisogna farsi fare una descrizione scritta dell intervento effettuato che attesta la sua conformità alle misure di sicurezza. I documenti cartacei vanno conservati in armadi o locali chiusi a chiave ed accessibili solo alle persone autorizzate (accesso controllato e selezionato). REGOLE PER L ACCESSO AD ARCHIVI CARTACEI Se i documenti sono affidati agli incaricati per svolgere operazioni di trattamento (sono portati fuori dall archivio), tali documenti devono essere controllati e custoditi dagli incaricati fino alla loro restituzione in modo tale da evitare che persone non autorizzati possano accedervi (leggerli o fotocopiarli). tabella 2 Pagina 26

29 5 REGOLAMENTO INTERNET L ORAS ha predisposto un regolamento per l utilizzo degli strumenti informatici, come prescritto dal Garante. Il regolamento, che è stato condiviso con le organizzazioni sindacali, fornisce le istruzioni descritte in dettaglio nella seguente tabella. ISTRUZIONI REGOLAMENTO INTERNET UTILIZZO POSTAZIONI INFORMATICHE/PC PORTATILI CREDENZIALI DI AUTENTICAZIONE UTILIZZO RETE ORAS UTILIZZO E CONSERVAZIONE SUPPORTI RIMOVIBILI (CD, CHIAVETTA USB.) DESCRIZIONE Utilizzate solo per scopi leciti e legati alla propria attività; custodite in modo appropriato; mettere in atto tutte le precauzioni per evitare l accesso da parte di soggetti non autorizzati; configurate esclusivamente con software forniti/approvati da ORAS spa. Vanno cambiate al primo accesso; modificare la password almeno ogni tre mesi; non trascriverla su fogli, agendine, post-it facilmente accessibili a terzi; non includere la password in alcun processo di connessione automatica. L accesso alla rete è consentito solo alle persone autorizzate in possesso delle specifiche credenziali. Il riutilizzo di supporti informatici contenenti dati personali sensibili può avvenire solo dopo aver cancellato i dati e le informazioni in essi contenute; quando la procedura di cancellazione dei dati risulta inapplicabile i supporti di memorizzazione devono essere distrutti al termine delle operazioni di trattamento; Pagina 27

30 ISTRUZIONI REGOLAMENTO INTERNET UTILIZZO E CONSERVAZIONE SUPPORTI RIMOVIBILI (CD, CHIAVETTA USB.) UTILIZZO DELLA POSTA ELETTRONICA NAVIGAZIONE IN INTERNET DESCRIZIONE contattare l Amministratore dei sistemi informativi qualora si riscontrassero delle difficoltà nel corretto smaltimento dei supporti rimovibili; l utente è responsabile della custodia dei supporti e dei dati aziendali in essi contenuti. Evitare di utilizzare le caselle di posta elettronica nomecognome@ospedalemotta.it per motivi diversi da quelli strettamente legati all'attività lavorativa. vietato utilizzare l indirizzo di posta elettronica per la partecipazione a dibattiti, forum o mailing-list, su Internet, per motivi non legati alle mansioni ricoperte; vietato effettuare ogni genere di comunicazione finanziaria salvo diversa ed esplicita autorizzazione da parte del diretto superiore gerarchico; vietato inoltrare messaggi, comunicazioni o circolari non aventi contenuti di interesse per la Società utilizzando le liste di distribuzione interna; vietato aprire allegati di posta elettronica ambigui o di incerta provenienza che contengono come mittente o come oggetto elementi di dubbia chiarezza; vietato inviare e/o ricevere allegati contenenti filmati o brani musicali (es.mp3) non legati all attività lavorativa. Evitare di: Effettuare ogni genere di transazione salvo diversa ed esplicita autorizzazione; partecipare, per motivi non professionali, a Forum, chat line, bacheche elettroniche, blog nonché Pagina 28

31 ISTRUZIONI REGOLAMENTO INTERNET NAVIGAZIONE IN INTERNET PROTEZIONE ANTIVIRUS DESCRIZIONE registrarsi in guest book anche utilizzando pseudonimi (o nicknames); scaricare software prelevato da siti Internet, per motivi non professionali e comunque non autorizzati precedentemente; scaricare documenti informatici di natura oltraggiosa o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione o appartenenza sindacale o politica; scaricare programmi per la condivisione e/o l uso di file musicali o altro; accedere, tramite internet, a caselle webmail di posta elettronica personale; effettuare ogni forma di registrazione a siti i cui contenuti non siano strettamente legati all'attività lavorativa. Evitare di introdurre applicazioni/software non preventivamente approvate da ORAS; controllare che il programma sia sempre funzionante. verificare, con l antivirus, ogni supporto magnetico contenente dati (floppy disk, cd-rom, chiavi USB), prima dell'esecuzione dei file in esso contenuti; prestare sempre debita attenzione agli eventuali messaggi di segnalazione di virus; evitare di rispondere a mail che richiedono una conferma di lettura o che invitano a cancellarsi da mailing list; segnalare tempestivamente all Amministratore dei sistemi informativi i casi di spamming; Pagina 29

32 ISTRUZIONI REGOLAMENTO INTERNET PROTEZIONE ANTIVIRUS UTILIZZO DI TELEFONI, FAX E FOTOCOPIATORI AZIENDALI DESCRIZIONE Sospendere ogni elaborazione in corso senza spegnere il computer e avvisare prontamente il personale dei sistemi informativi nel caso il software antivirus rilevi la presenza di un virus. L uso è consentito esclusivamente per lo svolgimento dell attività lavorativa. Tabella 3 6 VIDEOSORVEGLIANZA Il sistema di videosorveglianza in uso presso ORAS spa gestisce a livello centralizzato varie tipologie di telecamere, posizionate sia internamente che nelle aree esterne alla struttura. Le riprese sono tali da consentire visioni panoramiche evitando immagini particolareggiate e invasive della riservatezza delle persone. La zona di ripresa è segnalata mediante cartelli che informano della presenza dell impianto. Nessuna telecamera riprende in modo stabile le postazioni di lavoro nel rispetto dei limiti stabiliti dallo Statuto dei Lavoratori. In osservanza a quanto stabilito dall art. 4 dello Statuto dei lavoratori è stato siglato un accordo con le rappresentanze sindacali relativamente alla presenza delle telecamere presso la struttura installate per ragioni di sicurezza. Pagina 30

33 Ospedale Riabilitativo di Alta Specializzazione Via Padre Leonardo Bello 3/C Motta di Livenza (TV) Telefono centralino: Web: EDIZIONE DICEMBRE 2011-MODMI0002REV.01/2015 Carmen Cibin, Mariella Stella Questo documento è di proprietà dell Ospedale Riabilitativo di Alta Specializzazione di Motta di Livenza ed è pubblicato sulla rete intranet e sul sito internet aziendale in versione aggiornata. La riproduzione totale o parziale è illegale. Le riproduzioni effettuate per finalità di carattere professionale economico o commerciale o comunque diverso da quello personale possono essere effettuate a seguito di specifica autorizzazione rilasciata dall ORAS S.p.A. Pagina 31

34

35

36 MI REV.01/2015