DISCIPLINARE PER L UTILIZZO DI POSTA ELETTRONICA, INTERNET, TELEFONI E FAX ALL INTERNO DELL AZIENDA SANITARIA U.L.S.S. 3 DI BASSANO DEL GRAPPA

Transcript

1 DISCIPLINARE PER L UTILIZZO DI POSTA ELETTRONICA, INTERNET, TELEFONI E FAX ALL INTERNO DELL AZIENDA SANITARIA U.L.S.S. 3 DI BASSANO DEL GRAPPA Data emissione: 15 giugno 2010 Documento approvato dal Direttore Generale con delibera n. 516 del Revisione 00 Indice Premessa...2 Art. 1 - Finalità...3 Art. 2 - Entrata in vigore del disciplinare e pubblicità...3 Art. 3 - Campo di applicazione del disciplinare...3 Art. 4 - Principi generali...3 Art. 5 - Interessi e rischi del datore di lavoro e del lavoratore...4 Art. 6 - Gestione ed assegnazione delle credenziali di autenticazione...5 Art. 7 - Utilizzo del Personal Computer...7 Art. 8 - Utilizzo di PC portatili...8 Art. 9 - Stazioni di lavoro collegate ad attrezzature elettromedicali...8 Art Utilizzo della rete...8 Art Utilizzo e conservazione dei supporti rimovibili...11 Art Utilizzo della posta elettronica...11 Art Utilizzo di Internet...14 Art Utilizzo dei telefoni fissi sul posto di lavoro...15 Art Utilizzo dei telefoni cellulari...16 Art Utilizzo dei fax e fotocopiatrici aziendali...16 Art Priorità delle misure tecniche di protezione...16 Art Cessazione del servizio o trasferimento...16 Art Disposizioni aggiuntive per utenti esterni...17 Art Osservanza delle disposizioni in materia di Privacy...18 Art Accesso ai dati...18 Art Memorizzazione delle informazioni...19 Art Controlli...20 Art Sanzioni...21 Art Aggiornamento e revisione...21

2 Premessa L uso improprio degli strumenti informatici, oltre ad arrecare un danno in termini di perdita di tempo lavorato per l Azienda Sanitaria, può nuocere allo stesso da un punto di vista della reputazione e condurre a procedimenti legali. Poiché la sicurezza non dipende solo da aspetti tecnici, ma anche, se non principalmente, da quelli organizzativi e comportamentali, tutti i dipendenti devono considerarla una componente integrante dell attività quotidiana, finalizzata alla protezione delle informazioni e delle apparecchiature da manomissioni, uso improprio o distruzione. Il Decreto Legislativo 30 giugno 2003 n.196 Codice in materia di protezione di dati personali, di seguito indicato come Codice, impone comportamenti tali da assicurare a chiunque il diritto alla protezione dei dati personali che lo riguardano. Inoltre, il successivo Provvedimento del Garante del pubblicato sulla G. U. R.I. del , n. 58, ad oggetto Le linee guida del Garante per posta elettronica e internet raccomanda l adozione da parte dei datori di lavoro pubblici e privati, di un disciplinare interno in cui siano indicate le regole per l uso di Internet e della posta elettronica nel rispetto della Legge , n. 300 (Statuto dei lavoratori) e del Decreto Legislativo , n. 196 (Codice in materia di protezione dei dati personali). Occorre muovere da alcune premesse: a) compete ai datori di lavoro assicurare la funzionalità e il corretto impiego di tali mezzi da parte dei lavoratori, definendone le modalità d'uso nell'organizzazione dell'attività lavorativa, tenendo conto della disciplina in tema di diritti e relazioni sindacali; b) spetta ad essi adottare idonee misure di sicurezza per assicurare la disponibilità e l'integrità di sistemi informativi e di dati, anche per prevenire utilizzi indebiti che possono essere fonte di responsabilità (artt. 15, 31 ss., 167 e 169 del Codice); c) emerge l'esigenza di tutelare i lavoratori interessati anche perché l'utilizzazione dei predetti mezzi, già ampiamente diffusi nel contesto lavorativo, è destinata ad un rapido incremento in numerose attività svolte anche fuori della sede lavorativa; d) l'utilizzo di Internet da parte dei lavoratori può infatti risultare oggetto di analisi, profilazione e integrale ricostruzione mediante elaborazione di log file della navigazione web ottenuti, ad esempio, da un proxy server o da un altro strumento di registrazione delle informazioni. I servizi di posta elettronica sono parimenti Pag. 2 di 21

3 suscettibili (anche attraverso la tenuta di log file di traffico e l'archiviazione di messaggi) di controlli che possono giungere fino alla conoscenza da parte del datore di lavoro (titolare del trattamento) del contenuto della corrispondenza; e) le informazioni così trattate contengono dati personali anche sensibili riguardanti lavoratori o terzi, identificati o identificabili. Art. 1 - Finalità 1. Il presente documento disciplina il corretto utilizzo dei beni aziendali e il trattamento di dati personali effettuato dai dipendenti del U.L.S.S. n.3 di e intende inoltre contribuire alla massima diffusione della cultura della sicurezza, per evitare che comportamenti inconsapevoli possano innescare problemi o minacce alla riservatezza-sicurezza nel trattamento dei dati. 2. Il seguente disciplinare ha inoltre lo scopo di informare gli interessati sulle finalità di controllo e sulle specifiche tecnologie adottate per effettuarlo. 3. Si precisa che alla luce dell art. 4, comma 1, L.n. 300/1970, il presente disciplinare non ha finalità di controllo a distanza dei lavoratori da parte del datore di lavoro ma solo di permettere a quest ultimo di utilizzare sistemi informativi per fare fronte ad esigenze produttive od organizzative e di sicurezza nel trattamento dei dati personali. Art. 2 - Entrata in vigore del disciplinare e pubblicità 1. Con l entrata in vigore del presente disciplinare tutte le disposizioni in precedenza adottate in materia, in qualsiasi forma comunicate, devono intendersi abrogate e sostituite dalle presenti. 2. Copia del disciplinare è pubblicata sull Intranet aziendale. Art. 3 - Campo di applicazione del disciplinare Il presente Disciplinare si applica a tutti i lavoratori: 1. dipendenti e dirigenti, a qualsiasi titolo inseriti nell organizzazione aziendale, senza distinzioni di ruolo e/o livello; 2. collaboratori dell Amministrazione o utenti esterni afferenti a una ditta con le quali vi è un rapporto di collaborazione a prescindere dal rapporto contrattuale intrattenuto con la stessa. Art. 4 - Principi generali 1. I principi che sono a fondamento del presente Disciplinare sono gli stessi espressi nel D.Lgs.vo 196/03, e precisamente: Pag. 3 di 21

4 a) il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi in relazione alle finalità perseguite (art. 3 del Codice; par. 5.2 ); b) il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori (art. 11, comma 1, lett. a), del Codice). Le tecnologie dell'informazione permettono di svolgere trattamenti ulteriori rispetto a quelli connessi ordinariamente all'attività lavorativa. c) i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime (art. 11, comma 1, lett. b), del Codice: par. 4 e 5), osservando il principio di pertinenza e non eccedenza. Il datore di lavoro deve trattare i dati "nella misura meno invasiva possibile"; le attività di monitoraggio devono essere svolte solo da soggetti preposti ed essere "mirate sull'area di rischio, tenendo conto della normativa sulla protezione dei dati e, se pertinente, del principio di segretezza della corrispondenza". 2. In base al richiamato principio di correttezza, l'eventuale trattamento deve essere ispirato ad un canone di trasparenza, come prevede anche la disciplina di settore. 3. In applicazione del principio di necessità l U.L.S.S. n.3 di è chiamata a promuovere ogni opportuna misura, organizzativa e tecnologica volta a prevenire il rischio di utilizzi impropri e, comunque, a "minimizzare" l'uso di dati riferibili ai lavoratori. 4. Dal punto di vista organizzativo nella stesura del presente disciplinare si è ritenuto opportuno: valutare attentamente l'impatto sui diritti dei lavoratori; individuare preventivamente a quali lavoratori è accordato l'utilizzo della posta elettronica e l'accesso a Internet; determinare quale ubicazione è riservata alle postazioni di lavoro per ridurre il rischio di un loro impiego abusivo. Art. 5 - Interessi e rischi del datore di lavoro e del lavoratore 1. Le informazioni di carattere personale trattate possono riguardare, oltre all'attività lavorativa, la sfera personale e la vita privata di lavoratori e di terzi. La linea di confine tra questi ambiti, come affermato dalla Corte europea dei diritti dell'uomo, può essere tracciata a volte solo con difficoltà. Pag. 4 di 21

5 2. Il luogo di lavoro è una formazione sociale nella quale va assicurata la tutela dei diritti delle libertà fondamentali e della dignità dei lavoratori, in una cornice di reciproci diritti e doveri. 3. Le risorse informatiche e telematiche, messe a disposizione dall Amministrazione, devono essere utilizzate in modo responsabile e mediante principi di diligenza e correttezza. 4. L utilizzo improprio, da parte del lavoratore, di Posta Elettronica, Internet e telefoni aziendali, può pregiudicare il regolare funzionamento delle installazioni tecniche o altri beni o interessi meritevoli di tutela e/o giuridicamente protetti, fra cui: economie dei costi; la capacità di memoria utilizzabile dei server o l ampiezza di banda disponibile per il collegamento in rete; sicurezza delle applicazioni e di dati (disponibilità, integrità e confidenzialità); produttività sul lavoro; la reputazione o l immagine dell Amministrazione; responsabilità oggettiva dell Amministrazione, ex art c.c. per comportamenti illeciti dei propri dipendenti. 5. I rischi per il lavoratore, derivanti dall utilizzo di Posta Elettronica, Internet e telefoni aziendali riguardano: la protezione dei dati personali, propri e di terzi, poiché i predetti strumenti lasciano tracce del loro uso; la possibilità che l Amministrazione, in fase di eventuale legittimo controllo, venga a conoscenza di dati od opinioni personali del lavoratore; relativamente all uso di Posta Elettronica e di Internet, l introduzione di virus, worm, cavalli di troia o installazioni di programmi estranei nel computer utilizzato dal lavoratore, con conseguente perdita di tutti o parte dei file salvati sul medesimo computer. Art. 6 - Gestione ed assegnazione delle credenziali di autenticazione 1. L accesso alle postazioni di lavoro è possibile previa richiesta di abilitazione firmata, oltre che dal soggetto interessato, dal dirigente responsabile del servizio di appartenenza ed indirizzata al SSI. Ad ogni soggetto autorizzato viene creato un utente di dominio (active directory) e vengono assegnati uno username (nome utente) ed una password utilizzati come meccanismi di autenticazione, tale utente è codificato come un normale user senza alcun privilegio d installazione di software e servizi; vi possono essere delle eccezioni per attività lavorativa espressamente autorizzate dal SSI, che è Pag. 5 di 21

6 l unico abilitato ad apportare le modifiche in questione sul pc assegnato all utente, in ogni caso l utente non avrà i diritti di amministrazione della postazione di lavoro su cui sta operando. 2. Gli utenti devono proteggere con la massima cura la riservatezza delle password loro assegnate, evitando di condividerne il valore con altre persone e/o trascriverlo in chiaro su supporti (carta, file, posta elettronica ecc.) facilmente accessibili. 3. Gli utenti qualora sospettino che la riservatezza di una password loro assegnata possa essere stata compromessa, devono procedere all immediata sostituzione della stessa; in particolare i casi di sospetto furto/trafugamento devono essere immediatamente segnalati al SSI. 4. Gli utenti devono aggiornare periodicamente tutte le password loro assegnate entro un periodo massimo di tre mesi. Nei casi di scadenza automatica o password iniziale (funzionalità gestite a livello di sistema/applicazione) all utente verrà chiesto automaticamente di digitare il valore della nuova password. 5. I criteri per la corretta gestione della password sono i seguenti: dovrà essere lunga almeno 8 caratteri, si potranno utilizzare caratteri speciali; lettere, numeri e la scadenza sarà impostata per tutti a 90 giorni, con un messaggio di preavviso che inizierà a comparire 15 giorni prima della scadenza. Si raccomanda di cambiare la password prima dell ultimo giorno quando Vi sarà il blocco totale dell utente; non si potrà cambiare la password più di una volta al giorno; non si potrà riutilizzare una delle ultime 24 password. 6. Per modificare la password di sistema l utente dovrà: attivare l interfaccia di modifica password premendo contemporaneamente Ctrl-Alt- Canc ed attivare la funzione Cambio Password; digitare il valore della password attuale; digitare il valore della nuova password (applicando le regole succitate), ripetuta per conferma. 7. Si ribadisce che la password associata ad un utente non deve essere ceduta a terzi e deve rimanere segreta in quanto la responsabilità di eventuali violazioni normative con rischi civili e penali sono associate al titolare dell utente stesso, pertanto si raccomanda anche di non utilizzare parole di senso compiuto o nomi di familiari facilmente individuabili. Pag. 6 di 21

7 Art. 7 - Utilizzo del Personal Computer 1. Il Personal Computer affidato all utente è uno strumento di lavoro. Ogni utilizzo non inerente all'attività lavorativa è vietato perché può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza. Il personal computer deve essere custodito con cura evitando ogni possibile forma di danneggiamento. 2. L utilizzo delle postazioni di lavoro di proprietà dell Azienda Sanitaria, da parte degli utenti interni/esterni, può avvenire esclusivamente per ragioni di lavoro e per conto della medesima Azienda. 3. In particolare, è severamente vietato a tutti gli utenti condurre attività commerciali di qualsiasi tipo a proprio beneficio e/o di altri. Nel caso di specie, l Azienda si riserva di adottare adeguati provvedimenti sanzionatori e/o azioni legali (civili e penali). Non è ammesso l utilizzo di postazioni di lavoro, collegate alla rete interna dell Azienda, che non siano di proprietà della stessa a meno che ciò non sia stato preventivamente autorizzato dal Servizio per il sistema informatico (nel seguito per brevità SSI ). 4. Il personal computer dato in affidamento all utente permette l accesso alla rete di U.L.S.S. n.3 di solo attraverso specifiche credenziali di autenticazione. 5. La corretta gestione delle postazioni di lavoro, in base al Decreto Legislativo n. 196 del 2003 Allegato B, prevede che: gli utenti non possono lasciare incustodite le postazioni di lavoro correntemente utilizzate senza aver prima eseguito il log-out delle sessioni attive o, quantomeno, bloccato l accesso, premendo contemporaneamente Ctrl-Alt-Canc ed attivando la funzione di lock computer. Per salvaguardia dell utente stesso il Servizio per il Sistema Informatico ha impostato una policy di sicurezza a livello di dominio aziendale per cui dopo un congruo periodo di inattività la sessione sulla postazione di lavoro viene bloccata e può essere sbloccata solo dall utente stesso o dall amministratore della postazione di lavoro; inoltre, nel caso in cui la stazione di lavoro debba rimanere inutilizzata per lungo tempo e/o al termine dell orario di lavoro, salvo particolari eccezioni, l Utente deve procedere al suo spegnimento, premendo contemporaneamente Ctrl-Alt-Canc ed attivando la funzione shutdown; è proibita la modifica della configurazione (hardware/software) corrente delle stazioni di lavoro utilizzate dagli utenti, a meno che ciò non avvenga su espressa richiesta e supervisione del SSI; è proibita l installazione/utilizzo da parte degli utenti di prodotti hardware/software diversi da quelli installati a cura del SSI, con particolare riferimento a software privi Pag. 7 di 21

8 di licenza o dispositivi hardware diversi da quelli forniti dal SSI. In particolare, è proibito l utilizzo di modem direttamente collegati in remoto/dial-up con Internet. 6. Si precisa che il SSI procederà all immediata rimozione dei prodotti hardware/software arbitrariamente installati a bordo dei sistemi/stazioni di lavoro di proprietà dell Azienda ripristinando le configurazioni iniziali. Inoltre, l Azienda Sanitaria si riserva di adottare provvedimenti sanzionatori configurabili nel caso di specie. 7. Sarà cura del SSI provvedere al costante aggiornamento del sistema operativo installato sulle postazioni di lavoro e di installare l antivirus aziendale, al momento McAfee, con l aggiornamento quotidiano delle firme al fine di proteggere l utente da eventuali bug di sistema, virus, worm, cavalli di troia, ecc. e salvaguardare l integrità dei dati e la loro riservatezza. Art. 8 - Utilizzo di PC portatili 1. L'utente è responsabile del PC portatile assegnatogli dal SSI e deve custodirlo con diligenza sia durante gli spostamenti sia durante l'utilizzo nel luogo di lavoro. 2. Ai PC portatili si applicano le regole di utilizzo previste dal presente disciplinare, con particolare attenzione alla rimozione di eventuali file elaborati prima della riconsegna. 3. I PC portatili utilizzati all'esterno, in caso di allontanamento, devono essere custoditi con diligenza, adottando tutti i provvedimenti che le circostanze rendono necessari per evitare danni o sottrazioni. 4. Tali disposizioni si applicano anche nei confronti di incaricati esterni. Art. 9 - Stazioni di lavoro collegate ad attrezzature elettromedicali 1. Si distinguono due tipologie di stazioni collegate ad attrezzature biomedicali: a) PC utilizzati per scarico dati e successiva elaborazione ed archiviazione; b) PC parte integrante del sistema biomedicale. Nel primo caso il software che elabora i dati provenienti dall apparecchiatura biomedicale può essere dispositivo medico (secondo la direttiva 47/2007) oppure no (casi non contemplati dalla citata direttiva), in entrambe le situazioni l hardware del PC (ovvero la stessa stazione di elaborazione nel suo complesso) non è un dispositivo medico e rientra nella categoria dei PC ad uso amministrativo e valgono pertanto le regole citate negli altri relativi articoli di questo disciplinare. Nel secondo caso anche l hardware del PC (ovvero la stessa stazione di elaborazione nel suo complesso) è da considerarsi parte del dispositivo medico, pertanto va considerato a sua volta come vera e propria attrezzatura elettromedicale. Pag. 8 di 21

9 2. L installazione e l uso di altro software (posta elettronica, collegamento internet) sulle stazioni di lavoro di tipo a) non è vietato a priori, se viene verificata la non incompatibilità con lo specifico applicativo di scarico ed elaborazione dei dati provenienti dall apparecchiature biomedicale (tale verifica viene scolta dall ufficio ingegneria clinica sentito il produttore/costruttore del software biomedicale ). Nel caso delle postazioni di tipo b), esse devono essere utilizzate ad uso esclusivo del software di gestione delle suddette attrezzature e sono normalmente configurate, per motivi di sicurezza, su reti ad hoc chiamate VLAN; pertanto se non è espressamente consentito e previsto dal produttore/costruttore, non è possibile ad esempio avere servizi di posta elettronica e collegamenti ad internet. 3. L archiviazione e il back-up dei dati deve essere svolta con regolarità in modo da non esaurire la memoria dell hard-disk interno e degradare le prestazioni della postazione di lavoro, secondo le modalità previste dal produttore/costruttore (mediamente attraverso registrazione/masterizzazione di CD e/o DVD non riscrivibili). Non è consentito per motivi di sicurezza e garanzia di integrità dei dati, l uso di dispositivi riscrivibili di registrazione di massa esterni (pennette USB, hard-disk esterni). 4. Ai dati sensibili archiviati su media (CD e/o DVD) devono essere applicate le stesse regole di sicurezza e di corretta conservazione di quelli registrati sulla postazione di lavoro secondo quanto disciplinato dal Decreto Legislativo n. 196 del 2003 Allegato B. 5. Valgono, peraltro, anche per queste stazioni le prescrizioni riportate di seguito. 6. La corretta gestione delle postazioni di lavoro, in base al Decreto Legislativo n. 196 del 2003 Allegato B, prevede che: gli utenti non possono lasciare incustodite le postazioni di lavoro correntemente utilizzate senza aver prima eseguito il log-out delle sessioni attive o, quantomeno, bloccato l accesso, premendo contemporaneamente Ctrl-Alt-Canc ed attivando la funzione di lock computer; inoltre, nel caso in cui la stazione di lavoro debba rimanere inutilizzata per lungo tempo e/o al termine dell orario di lavoro, salvo particolari eccezioni, l Utente deve procedere al suo spegnimento, premendo contemporaneamente Ctrl-Alt-Canc ed attivando la funzione shutdown; è proibita la modifica della configurazione (hardware/software) corrente delle stazioni di lavoro utilizzate dagli utenti, a meno che ciò non avvenga su espressa richiesta e supervisione dell Ufficio per l Ingegneria Clinica; Pag. 9 di 21

10 è proibita l installazione/utilizzo da parte degli utenti di prodotti hardware/software diversi da quelli verificati dall Ufficio per l Ingegneria Clinica, con particolare riferimento a software privi di licenza o dispositivi hardware diversi da quelli forniti dall Ufficio per l Ingegneria Clinica. In particolare, è proibito l utilizzo di modem direttamente collegati in remoto/dial-up con Internet; gli utenti devono proteggere con la massima cura la riservatezza delle password loro assegnate, evitando di condividerne il valore con altre persone e/o trascriverlo in chiaro su supporti (carta, file, posta elettronica ecc.) facilmente accessibili; gli utenti qualora sospettino che la riservatezza di una password loro assegnata possa essere stata compromessa, devono procedere all immediata sostituzione della stessa; in particolare i casi di sospetto furto/trafugamento devono essere immediatamente segnalati all Ufficio Ingegneria Clinica; gli utenti devono aggiornare periodicamente tutte le password loro assegnate entro un periodo massimo di tre mesi; nel caso di cessazione o trasferimento di un utente ad altro servizio si deve procedere alla sua immediata disabilitazione dall accesso al sistema elettromedicale. Art Utilizzo della rete 1. Per l accesso alla rete di U.L.S.S. n.3 di ciascun utente deve essere in possesso della specifica credenziale di autenticazione. 2. È assolutamente proibito entrare nella rete e nei programmi con un codice d identificazione utente diverso da quello assegnato. Le parola chiave d'ingresso alla rete ed ai programmi sono segrete e vanno comunicate e gestite secondo le procedure impartite. 3. Le cartelle utenti presenti nei server di U.L.S.S. n.3 di sono aree di condivisione di informazioni strettamente professionali e non possono in alcun modo essere utilizzate per scopi diversi. Pertanto qualunque file che non sia legato all'attività lavorativa non può essere dislocato, nemmeno per brevi periodi, in queste unità. Su queste unità vengono svolte regolari attività di controllo, amministrazione e back up da parte del personale del SSI. 4. Si ricorda che tutti i dischi o altre unità di memorizzazione locali (es. disco C: interno PC) non sono soggette a salvataggio da parte del personale incaricato del SSI. La responsabilità del salvataggio dei dati ivi contenuti è pertanto a carico del singolo utente. Pag. 10 di 21

11 5. Il personale del SSI può in qualunque momento procedere alla rimozione di ogni file o applicazione che riterrà essere pericolosi per la Sicurezza sia sui PC degli incaricati sia sulle unità di rete. 6. Risulta opportuno che, con regolare periodicità (almeno ogni tre mesi), ciascun utente provveda alla pulizia degli archivi, con cancellazione dei file obsoleti o inutili. Particolare attenzione deve essere prestata alla duplicazione dei dati, essendo infatti necessario evitare un'archiviazione ridondante. Art Utilizzo e conservazione dei supporti rimovibili 1. E tassativamente vietato l utilizzo di supporti rimovibili personali. 2. Tutti i supporti magnetici rimovibili (dischetti, CD e DVD riscrivibili, supporti USB, HD esterni, ecc.), contenenti dati sensibili nonché informazioni costituenti know-how aziendale, devono essere trattati con particolare cautela onde evitare che il loro contenuto possa essere trafugato o alterato e/o distrutto o, successivamente alla cancellazione, recuperato. 3. Al fine di assicurare la distruzione e/o inutilizzabilità di supporti magnetici rimovibili contenenti dati sensibili, ciascun utente dovrà contattare il personale del SSI e seguire le istruzioni da questo impartite. 4. In ogni caso, i supporti magnetici contenenti dati sensibili devono essere dagli utenti adeguatamente custoditi in armadi chiusi. 5. L utente è responsabile della custodia dei supporti e dei dati aziendali in essi contenuti. Art Utilizzo della posta elettronica Il contenuto dei messaggi di posta elettronica, come pure i dati esteriori delle comunicazioni e i file allegati, riguardano forme di corrispondenza assistite da garanzie di segretezza. Tuttavia, con specifico riferimento all'impiego della posta elettronica nel contesto lavorativo, può risultare dubbio se il lavoratore, in qualità di destinatario o mittente, utilizzi la posta elettronica operando quale espressione dell'organizzazione o ne faccia un uso personale pur operando in una struttura lavorativa. É quindi particolarmente opportuno che si adottino accorgimenti anche per prevenire eventuali trattamenti in violazione dei principi di pertinenza e non eccedenza. Si tratta di soluzioni che possono risultare utili per contemperare le esigenze di ordinato svolgimento dell'attività lavorativa con la prevenzione di inutili intrusioni nella sfera personale dei Pag. 11 di 21

12 lavoratori, nonché violazioni della disciplina sull'eventuale segretezza della corrispondenza. In questo quadro l Azienda Sanitaria ha ritenuto opportuno fissare le seguenti regole: 1. La Posta Elettronica che l Amministrazione mette a disposizione deve essere utilizzata in modo pertinente allo svolgimento dell attività lavorativa, secondo un utilizzo appropriato, efficiente, corretto e razionale nel rispetto del principio di riservatezza. I lavoratori assegnatari delle caselle di Posta Elettronica sono responsabili del coretto utilizzo delle stesse. 2. L abilitazione al servizio di Posta Elettronica deve essere chiesto dal lavoratore, già titolare di un account di dominio, al Servizio per il Sistema Informatico e controfirmato dal responsabile del servizio di appartenenza. L indirizzo può essere esclusivamente nominale (nome.cognome@dominio) non sono ammessi indirizzi generici ma solo gruppi di distribuzione in modo da permettere a più utenti nominali, associati allo stesso servizio, di ricevere il medesimo messaggio. Nessun messaggio può essere inviato dal dominio aslbassano.it senza essere ricondotto ad un utente nominale. 3. I lavoratori sono tenuti, in un contesto di correttezza ed uso responsabile degli strumenti, a contribuire alla riduzione del fenomeno dello spam (trasmissione su larga scala e in grandi volumi di non sollecitati): evitando di rispondere e/o inviare ad altri destinatari eventuali messaggi del tipo catene di Sant Antonio, non sollecitati, che siano stati ricevuti, ed evitando di comunicare ad altri destinatari, in modo indiscriminato, il proprio indirizzo di posta elettronica o quello di colleghi. 4. Gli utenti devono evitare di contribuire alla diffusione dei virus informatici: verificando il costante aggiornamento del prodotto antivirus e mantenendo attivata la funzione di verifica delle ; cancellando immediatamente eventuali messaggi ricevuti da mittenti sconosciuti e/o sospetti e soprattutto, non aprendo né eseguendo mai eventuali attachment allegati; verificando il contenuto dei messaggi sollecitati ricevuti e/o trasmessi, soprattutto se contenti attachment di varia natura; evitando di inviare ad altri utenti (forward) i messaggi ricevuti, senza averne verificato il contenuto; 5. Gli utenti devono salvaguardare la confidenzialità e l integrità dei dati condivisi via e- mail pertanto si deve valutare attentamente l opportunità che le informazioni trasmesse possano/debbano essere condivise con i destinatari, anche quelli inclusi nelle eventuali liste di distribuzione; Pag. 12 di 21

13 6. E fatto divieto di utilizzare le caselle di Posta Elettronica del dominio dell Azienda (aslbassano.it) per motivi diversi da quelli strettamente legati all attività lavorativa. I lavoratori non devono condurre attività commerciali di qualsiasi tipo a beneficio proprio e/o di terzi servendosi della Posta Elettronica aziendale. 7. E fatto divieto di trasmettere a chiunque a mezzo Posta Elettronica materiale pedofilo/pornografico, materiale fraudolento/illegale, gioco d azzardo, materiale blasfemo o molesto/osceno. Il predetto divieto riguarda tanto il contenuto quanto gli allegati dei messaggi di Posta. 8. Nel caso di specie l Amministrazione si riserva di adottare adeguati provvedimenti sanzionatori e/o azioni legali (civili/penali). 9. Ad ogni lavoratore è assegnato uno spazio congruo prestabilito su un server aziendale per la conservazione della posta elettronica. I lavoratori sono tenuti a mantenere in ordine la casella di posta assegnata eliminando i documenti e gli allegati obsoleti e/o inutili. In alternativa, il lavoratore può chiedere al SSI lo spostamento del salvataggio della propria posta elettronica su una postazione di lavoro, in tal caso risulta impossibile garantire il recupero dei messaggi in caso di un grave guasto alla postazione di lavoro e grava sull utente stesso la realizzazione delle copie di backup della Posta Elettronica. 10. Nel caso in cui la Posta Elettronica sia conservata su server l accesso è possibile da una qualsiasi postazione aziendale in rete mediante il servizio OWA, nel caso in cui la posta venga salvata su una postazione il lavoratore potrà utilizzare una qualsiasi postazione per inviare la posta, sempre utilizzando il servizio OWA, ma non potrà accedere alle ricevute se non per quelle giunte nella sua casella dopo l ultimo spegnimento della postazione su cui risulta configurata la propria Posta Elettronica. 11. In calce a tutti i messaggi di posta elettronica che vengono inviati dall Azienda Sanitaria si consiglia di inserire la seguente informativa: INFORMATIVA PRIVACY - Decreto Legislativo 30 giugno 2003 n Le informazioni contenute nella presente comunicazione e relativi allegati possono essere riservate e sono, comunque, destinate esclusivamente alle persone o all'azienda Sanitaria sopraindicati. La diffusione, distribuzione e/o copiatura del documento trasmesso da parte di qualsiasi soggetto diverso dal destinatario è proibita ai sensi dell'art.616 c.p. sia ai sensi del D.Lgs. 196/03. Se avete ricevuto questo messaggio per errore, vi preghiamo di distruggerlo e di informare immediatamente il mittente. Pag. 13 di 21

14 12. Al fine di garantire la funzionalità del servizio di posta elettronica aziendale e di ridurre al minimo l accesso ai dati, nel rispetto del principio di necessità e di proporzionalità, l utente, in caso di assenze programmate (ad es. per ferie o attività di lavoro fuori sede dell assegnatario della casella) potrà attivare la funzione di invio di messaggi di risposta automatica contenenti le "coordinate" di posta elettronica di un altro soggetto o altre utili modalità di contatto della struttura. 13. In caso di assenza non programmata (ad es. per malattia) la procedura - qualora non possa essere attivata dal lavoratore avvalendosi del servizio webmail entro due giorni potrà essere attivata a cura dell azienda. 14. Sarà comunque consentito al superiore gerarchico dell utente o, comunque, sentito l utente, a persona individuata dall azienda, accedere alla casella di posta elettronica dell utente per ogni ipotesi in cui si renda necessario (ad es.: mancata attivazione della funzionalità o assenza non programmata di cui ai punti precedenti). 15. Il personale del SSI, nell impossibilità di procedere come sopra indicato e nella necessità di non pregiudicare la necessaria tempestività ed efficacia dell intervento, potrà accedere alla casella di posta elettronica per le sole finalità indicate nell Art Al fine di ribadire agli interlocutori la natura esclusivamente aziendale della casella di posta elettronica, i messaggi devono contenere un avvertimento standardizzato nel quale sia dichiarata la natura non personale dei messaggi stessi precisando che, pertanto, il personale debitamente incaricato potrà accedere al contenuto del messaggio inviato alla stessa casella secondo le regole fissate nella propria policy aziendale. 17. L accesso ai contenuti della corrispondenza nella casella di posta elettronica avviene esclusivamente in caso di assenza prolungata od impedimento dell utente secondo quanto prescritto dal punto 10 del Disciplinare Tecnico legato al Codice. Art Utilizzo di Internet 1. Considerato che Internet oggi è uno strumento di lavoro di utilità per l Azienda Sanitaria, oltreché per la crescita professionale del singolo lavoratore, l accesso ad Internet deve essere utilizzato in modo strettamente pertinente allo svolgimento dell attività lavorativa, secondo un utilizzo appropriato, efficiente, corretto e razionale. 2. L abilitazione al servizio Internet deve essere richiesta dal lavoratore, già titolare di un account di dominio, al Direttore Generale dell Azienda Sanitaria, e controfirmata dal Pag. 14 di 21

15 responsabile del servizio di appartenenza. Contestualmente al modulo di richiesta verrà consegnato all utente anche il regolamento di utilizzo del servizio. 3. E fatto divieto di navigare in Internet per motivi diversi da quelli legati all attività lavorativa. In questo senso, a titolo puramente esemplificativo, l utente non potrà utilizzare internet per: utilizzare l accesso ad Internet per condurre attività commerciali di qualsiasi tipo, a proprio beneficio e/o di altri; accedere a siti web contenenti materiale pedofilo/pornografico, materiale fraudolento/illegale, materiale blasfemo o molesto/osceno; tentare di violare o aggirare i sistemi di autenticazione e di sicurezza, posti dall Azienda Sanitaria a protezione contro le minacce provenienti da Internet, installare e/o utilizzare in modo fraudolento strumenti concepiti per compromettere la sicurezza dei sistemi (ad esempio strumenti di password cracking, network proibing, ecc.); appesantire il traffico della rete con collegamenti particolarmente lunghi e complessi (es. download di file, connessioni a stazioni radio on line, applicazioni peer to peer, chat, skype o similari ecc.) quando ciò non sia collegato all attività lavorativa. 4. Solo in caso di necessità e urgenza i lavoratori possono navigare in Internet per motivi personali e comunque non in modo ripetuto o per periodi di tempo prolungati. 5. I lavoratori possono accedere liberamente alle pagine della rete Intranet regionale per le quali non necessitano di alcuna abilitazione una volta creato l utente di dominio. 6. Il Servizio per il Sistema Informatico si riserva di utilizzare sistemi e soluzioni tecnologiche in grado di bloccare l accesso a specifici siti Internet e/o conservare informazioni relative al traffico di rete, al fine di verificare il rispetto delle procedure e norme di sicurezza previste. Art Utilizzo dei telefoni fissi sul posto di lavoro 1. Il telefono fisso aziendale affidato all utente è uno strumento di lavoro. Ne viene concesso l uso esclusivamente per lo svolgimento dell attività lavorativa, non essendo quindi consentite comunicazioni a carattere personale o comunque non strettamente inerenti l attività lavorativa stessa. 2. Solo in caso di necessità e urgenza, i lavoratori possono utilizzare tali beni per motivi non attinenti l attività lavorativa e comunque non in modo ripetuto o per periodi di tempo prolungati. E comunque preferibile, laddove possibile, che i lavoratori optino per una soluzione diversa. Pag. 15 di 21

16 3. Nella categoria dei telefoni fissi di cui al punto 1 sono compresi anche i dispositivi voice over ip (telefoni wipt) Art Utilizzo dei telefoni cellulari 1. Qualora venisse assegnato un cellulare aziendale all utente, quest ultimo sarà responsabile del suo utilizzo e della sua custodia. 2. Al cellulare aziendale si applicano le medesime regole sopra previste per l utilizzo del telefono aziendale: in particolare è vietato l utilizzo del telefono cellulare messo a disposizione per inviare o ricevere SMS o MMS di natura personale o comunque non pertinenti rispetto allo svolgimento dell attività lavorativa. 3. L eventuale uso promiscuo (anche per fini personali) del telefono cellulare aziendale è possibile soltanto in presenza di preventiva autorizzazione scritta e in conformità delle istruzioni al riguardo impartite dal personale del SSI. Art Utilizzo dei fax e fotocopiatrici aziendali 1. È vietato l utilizzo dei fax aziendali per fini personali, tanto per spedire quanto per ricevere documentazione, salva diversa esplicita autorizzazione da parte del Responsabile di ufficio. 2. È vietato l utilizzo delle fotocopiatrici aziendali per fini personali, salvo preventiva ed esplicita autorizzazione da parte del Responsabile di ufficio. Art Priorità delle misure tecniche di protezione 1. L Amministrazione si impegna ad attuare misure tecniche di protezione contro l utilizzazione abusiva e i guasti tecnici. Tali misure sono regolarmente adeguate allo stato più recente della tecnica. L adeguamento avviene anche dopo ogni problema tecnico. 2. L Amministrazione in nessun caso utilizza programmi spia o effettua controlli prolungati, costanti o indiscriminati. 3. Il SSI utilizza programmi di accesso a distanza sulle postazioni in sua gestione esclusivamente per sporadiche attività di manutenzione e solo su autorizzazione dell utente che ne ha richiesto l assistenza. Art Cessazione del servizio o trasferimento 1. In caso di cessazione del rapporto di lavoro, una volta ricevuta la comunicazione dal Servizio Personale, il SSI provvede alla immediata disabilitazione dell account di Pag. 16 di 21

17 dominio ed al conseguente blocco della casella di Posta Elettronica, mentre il servizio Internet viene definitivamente cancellato. 2. I mittenti di inviate all indirizzo bloccato vengono automaticamente informati che l indirizzo del destinatario è estinto al momento della cancellazione dell account. 3. Nel caso di trasferimento di servizio di un utente è in capo al precedente dirigente responsabile la comunicazione su apposito modulo cartaceo al SSI, che provvede all immediata disabilitazione di tutti i servizi, che saranno riabilitati conformemente alle successive richieste che perverranno dal nuovo dirigente responsabile. Art Disposizioni aggiuntive per utenti esterni 1. I partner privati legati all Azienda Sanitaria da rapporti di lavoro/collaborazione, devono far riferimento al dirigente responsabile dell erogazione del loro servizio per richiedere le abilitazioni di Posta Elettronica ed Internet ed oltre alle precedenti norme comportamentali sono tenuti ad applicare scrupolosamente le norme aggiuntive di seguito elencate. 2. Ogni partner deve indicare il nominativo della persona che sarà considerata dall Azienda Sanitaria quale unico responsabile di riferimento per tutti gli aspetti normativi, contrattuali ed operativi inerenti alla sicurezza, incluso il comportamento tenuto dai propri dipendenti. 3. Le stazioni di lavoro di proprietà dei partner privati non possono essere collegate alla rete dati dell Azienda Sanitaria, se non previa richiesta al SSI che, eventualmente valutata l opportunità, provvederà alla predisposizione di una VLAN (rete virtuale) isolata dalla rete aziendale ove verranno collegate le suddette apparecchiature ed i cui costi saranno totalmente a carico dell azienda partner. In ogni caso non saranno messi a disposizione i servizi di Posta Elettronica ed Internet dell Azienda Sanitaria ma potrà essere concesso ai partner la predisposizione di eventuali collegamenti propri i cui costi infrastrutturali e gestionali (es. router, contratto ADSL) saranno totalmente a carico del partner. 4. E severamente vietato utilizzare la linea telefonica attraverso una connessione via modem per utilizzare la rete Internet. 5. La gestione delle suddette postazioni di lavoro è totalmente in carico ai partner privati (es. antivirus, patch di sicurezza ecc.) compresa la verifica che il software installato sulle suddette postazioni sia in regola con le licenze d uso emesse dal produttore. Pag. 17 di 21

18 6. L utilizzo delle linee telefoniche dell Azienda Sanitaria da parte dei partner privati deve essere approvato da parte dall Azienda. 7. Gli utenti Partner per cui, su richiesta dei dirigenti responsabili di riferimento, vengono concessi i servizi di Posta Elettronica ed Internet, possono usufruirne solo utilizzando postazioni di lavoro dell Azienda Sanitaria. Essi sono soggetti a tutte le norme previste nel presente disciplinare. 8. Le stazioni di lavoro eventualmente fornite in comodato d uso o utilizzate dagli utenti partner vengono preventivamente configurate dal SSI, che ne conserva l utente amministratore, e non devono essere modificate in alcun modo nella loro configurazione hardware e software. 9. L Azienda Sanitaria si riserva di verificare in qualsiasi momento che le stazioni di lavoro utilizzate dai partner fornite in comodato d uso, siano impiegate in modo conforme a quanto sopra indicato. A fronte di un mancato rispetto delle norme l Azienda si riserva di revocare l autorizzazione ad utilizzare le stazioni di lavoro 10. L Azienda Sanitaria riterrà responsabile l Azienda partner di eventuali danni conseguenti all utilizzo improprio, fraudolento o illegale delle stazioni di lavoro da parte degli utenti partner, oltre che dalle mancate osservanze delle norme previste nel presente Disciplinare. In tal caso, l Azienda Sanitaria si riserva di intraprendere le azioni legali che riterrà più opportune. Art Osservanza delle disposizioni in materia di Privacy È obbligatorio attenersi alle disposizioni in materia di Privacy e di misure minime di sicurezza, come indicato nella lettera di designazione ad incaricato del trattamento dei dati ai sensi del Disciplinare tecnico allegato al D.Lgs. n. 196/2003. Art Accesso ai dati 1. L U.L.S.S. n.3 di rende noto che il personale incaricato che opera presso il SSI della stessa è stato autorizzato a compiere interventi nel sistema informatico aziendale diretti a garantire la sicurezza e la salvaguardia del sistema stesso, nonché per ulteriori motivi tecnici e/o manutentivi (ad es. aggiornamento/sostituzione/implementazione di programmi, manutenzione hardware etc.). 2. Detti interventi, potranno anche comportare l accesso in qualunque momento, ai dati trattati da ciascuno, ivi compresi gli archivi di posta elettronica, nonché alla verifica sui siti internet acceduti dagli utenti abilitati alla navigazione esterna. La stessa facoltà, Pag. 18 di 21

19 sempre ai fini della sicurezza del sistema e per garantire la normale operatività dell Azienda, si applica anche in caso di assenza prolungata od impedimento dell utente. 3. Oltre che per motivi di sicurezza del sistema informatico, anche per motivi tecnici e/o manutentivi (ad esempio, aggiornamento/sostituzione/implementazione di programmi, manutenzione hardware, etc.) o per finalità di controllo e programmazione dei costi aziendali (ad esempio, verifica costi di connessione ad internet, traffico telefonico, etc.), comunque estranei a qualsiasi finalità di controllo dell attività lavorativa, è facoltà dell Azienda Sanitaria, tramite il personale del SSI o addetti alla manutenzione, accedere direttamente, nel rispetto della normativa sulla privacy, a tutti gli strumenti informatici aziendali e ai documenti ivi contenuti, nonché ai tabulati del traffico telefonico. 4. L Azienda Sanitaria può fare richiesta, motivata da esigenze di servizio, al SSI, di attuare delle politiche di restrizione di accesso ad Internet o semplicemente inibire la navigazione a specifici utenti. 5. Nel caso di eventuali interventi per esigenze di manutenzione del sistema, sono state impartite opportune istruzioni affinché sia posta opportuna cura nel prevenire l'accesso a dati personali presenti in cartelle o spazi di memoria assegnati a dipendenti. 6. Sono state individuate regole di condotta dei soggetti che operano quali amministratori di sistema o figure analoghe cui siano rimesse operazioni connesse al regolare funzionamento dei sistemi ed è stata svolta un'attività formativa sui profili tecnicogestionali e di sicurezza delle reti, sui principi di protezione dei dati personali e sul segreto nelle comunicazioni. L eventuale controllo a distanza delle postazioni di lavoro per rilevare anomalie o manutenzione, deve sempre essere effettuato previo consenso del lavoratore. 7. Resta fermo l'obbligo dei soggetti preposti al connesso trattamento dei dati (in particolare, gli incaricati della manutenzione) di svolgere solo operazioni strettamente necessarie al perseguimento delle relative finalità. Art Memorizzazione delle informazioni 1. Sono temporaneamente memorizzate alcune informazioni relative alla navigazione Internet (file di log) di seguito elencate a cui possono accedere solo l Amministratore e, su richiesta, l Autorità Giudiziaria: indirizzi IP del computer che ha navigato Pag. 19 di 21

20 login del navigatore URL del sito navigato data e ora di inizio e fine navigazione 2. I dati suddetti sono conservati per un periodo non inferiore ai 6 mesi. 3. La conservazione dei suddetti dati è strettamente limitata al perseguimento di finalità organizzative, produttive e di sicurezza secondo le normative vigenti. 4. In attuazione del Provvedimento del Garante del 27 novembre 2008, relativo a "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema", pubblicato sulla G.U. n. 300 del 24 dicembre 2008 e del Provvedimento del garante del 12 febbraio 2009 di Proroga delle misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema pubblicato sulla G.U. n. 45 del 24 febbraio 2009, l Azienda Sanitaria registra, inoltre, gli accessi logici ai sistemi di elaborazione e agli archivi elettronici da parte degli Amministratori di Sistema. Art Controlli 1. L Azienda U.L.S.S. n.3 di nella sua qualità di datore di lavoro si riserva ampia facoltà di effettuare controlli in conformità alla legge, anche saltuari o occasionali, per le finalità indicate all Art I controlli, compiuti dal personale incaricato del SSI potranno avvenire mediante un sistema di controllo dei contenuti (Proxy server) o mediante file di log della navigazione svolta. Il controllo sui file di log non è continuativo ed i file stessi vengono conservati il tempo indispensabile per il corretto perseguimento delle finalità organizzative e di sicurezza dell Azienda Sanitaria. 3. I predetti controlli si svolgeranno in forma graduata: In via preliminare l azienda provvederà ad eseguire dei controlli su dati aggregati, riferiti all intera struttura lavorativa ovvero a sue aree. In caso di anomalie, il personale incaricato del SSI effettuerà controlli anonimi che si concluderanno con un avvisi generalizzati diretti ai dipendenti dell area o del settore in cui è stata rilevata l anomalia, nei quali si evidenzierà l utilizzo irregolare degli strumenti aziendali e si inviteranno gli interessati ad attenersi scrupolosamente ai compiti assegnati e alle istruzioni impartite. Pag. 20 di 21

21 Nel perdurare delle anomalie si procederà a controlli su base individuale o per postazioni di lavoro. In assenza di successive anomalie non si effettueranno controlli su base individuale. 4. In caso di riscontrato e reiterato uso non conforme delle risorse informatiche il SSI, che effettua i controlli, segnalerà il comportamento al responsabile della struttura di appartenenza del dipendente il quale attiverà il procedimento disciplinare nelle forme e con le modalità previste dal C.C.N.L. del comparto sanità. 5. Per il personale dirigente il comportamento andrà segnalato alla Direzione Aziendale ed al competente Ufficio per i procedimenti disciplinari per l adozione degli atti di rispettiva competenza. 6. Per il personale non dipendente cui non è applicabile il C.C.N.L. il comportamento andrà segnalato alla Direzione Aziendale per l adozione degli atti di specifica competenza. 7. In alcun caso verranno compiuti controlli prolungati, costanti o indiscriminati. Art Sanzioni 1. È fatto obbligo a tutti gli utenti di osservare le disposizioni portate a conoscenza con il presente disciplinare. Il mancato rispetto o la violazione delle regole sopra ricordate è perseguibile nei confronti del personale dipendente con provvedimenti disciplinari e risarcitori previsti dai vigenti CCNL (per il comparto: CCNL , art. 13; per la dirigenza sanitaria, professionale, tecnica ed amministrativa: CCNL , art. 8; per la dirigenza medica e veterinaria: CCNL , art. 8), nonché con tutte le azioni civili e penali consentite. Art Aggiornamento e revisione 1. Tutti gli utenti possono proporre, quando ritenuto necessario, integrazioni motivate al presente Disciplinare. Le proposte verranno esaminate dall Azienda Sanitaria. 2. Il presente Disciplinare potrà essere soggetto a revisioni., 15 giugno 2010 Pag. 21 di 21