POLICY INTERNA SULL UTILIZZO DI INTERNET E DELLA POSTA ELETTRONICA

Transcript

1 ALLEGATO A) ALLA DELIBERAZIONE N. 518 DEL 7 Ottobre 2010 POLICY INTERNA SULL UTILIZZO DI INTERNET E DELLA POSTA ELETTRONICA 1/11

2 Premessa...3 Art. 1- Oggetto e Finalità Art. 2- Principi generali...3 Art. 3- Tutela del lavoratore...4 Art. 4- Utilizzo di internet Art. 5 - Utilizzo rete aziendale-...5 Art. 6 - Utilizzo della posta elettronica...6 Art. 7 Utilizzo di PC portatili-...7 Art. 8 Utilizzo di supporti magnetici...7 Art. 9 - Soluzioni per garantire la continuità lavorativa-...8 Art. 10 Teleassistenza...8 Art. 11 Memorizzazione file di log della navigazione internet...8 Art. 12 Controlli-...9 Art. 13 Modalità di uso personale di mezzi informatici Art. 14 Prescrizioni interne sulla sicurezza dei dati e dei sistemi Art. 15 Provvedimenti disciplinari Art. 16 Denuncia Autorità Giudiziaria Art. 17 Informativa ai sensi del d.lgs. 196/ Art. 18 Disposizioni finali /11

3 Premessa La presente policy integra il manuale operativo avente ad oggetto le Istruzioni Operative per Responsabili ed incaricati del trattamento di dati personali allegato al Documento Programmatico per la Sicurezza adottato con deliberazione n. 239 del e successivamente aggiornato con cadenza annuale entro il 31 marzo. La presente policy è attuativa di quanto stabilito in merito dal D.Lgs 196/03, dal Garante per la protezione dei dati personali con Provvedimento del 1 Marzo 2007 pubblicato sulla G.U. n. 58 del ad oggetto: Trattamento di dati personali relativo all utilizzo di, nonchè dal Ministro per la Pubblica Amministrazione e l Innovazione con direttiva n. 02/09 ad oggetto: Utilizzo di internet e della casella di posta elettronica istituzionale sul luogo di lavoro. Art. 1- Oggetto e Finalità - 1. La presente policy disciplina: a. le modalità di utilizzo della posta elettronica e della rete internet da parte dei lavoratori che hanno in dotazione o, comunque, accedono ad una stazione di lavoro di tipo personal computer, anche portatili (di seguito denominato PC) o di tipo terminale; b. le modalità con le quali l Azienda USL 3 di Pistoia (di seguito denominata AUSL3) effettua i controlli sui comportamenti degli utilizzatori di internet e della posta elettronica. 2. Le disposizioni contenute nella presente policy sono dirette a garantire la sicurezza, la disponibilità e l integrità dei sistemi informatici nel rispetto dei principi e delle misure di sicurezza di cui al D.Lgs. 196/03. Art. 2- Principi generali 1. I principi che sono a fondamento della presente policy sono i medesimi espressi nel D.Lgs 196/03: a. Principio di necessità per il quale l utilizzo dei dati personali, attraverso l impiego di sistemi informativi e di programmi informatici, deve essere ridotto al minimo tenuto conto delle finalità perseguite; 1 b. Principio di correttezza secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori; 2 c. Principio di pertinenza e non eccedenza per il quale i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime E riconosciuto all AUSL3 il potere di svolgere attività di monitoraggio, che nella fattispecie saranno svolte dalla U.O. Tecnologie e Procedure Informatiche, nonché dalla U.O. Sistema Informativo (ora: Sezione Aziendale Pistoia del Dipartimento Tecnologie e Sistemi Informativi ESTAV Centro, di seguito denominata SA/PT Dip. TSI) che, anche se in service, svolgono tali funzioni per l AUSL3. 1 Art.3 del D.lgs 196/03 2 Art. 11, comma 1, lettera a) del D.lgs 196/03 3 Art.11, comma 1, lettera b) del D.lgs 196/03 3/11

4 Art. 3- Tutela del lavoratore 4 1. La regolamentazione della materia indicata all art.1, ai sensi dell art.4, comma 1, della L.300/70, non è finalizzata ad un controllo a distanza dei lavoratori da parte dell AUSL3, ma solo a permettere a quest ultima di utilizzare sistemi informativi per far fronte ad esigenze produttive ed organizzative, nonché per esigenze di sicurezza nel trattamento dei dati personali. 2. E garantito al singolo lavoratore il diritto di accesso ai dati personali che lo riguardano con le modalità previste dalle disposizioni normative e regolamentari vigenti in materia. Art. 4- Utilizzo di internet - 1. L utilizzo di internet è consentito esclusivamente per lo svolgimento delle proprie funzioni istituzionali. 2. L utente è tenuto a scollegarsi dal sistema o a bloccare il PC con la password di uno screen saver, ogni qualvolta sia costretto ad assentarsi dal locale nel quale è ubicata la stazione di lavoro (PC) o nel caso ritenga di non essere in grado di presidiare l accesso alla medesima; lasciare un PC incustodito connesso alla rete può essere causa di utilizzo da parte di terzi senza che vi sia la possibilità di provarne in seguito l indebito uso. In difetto il comportamento dell utente si configura come negligente, inescusabile e gravemente colposo La vasta gamma di attività istituzionali non permette la possibilità di definire un elenco di siti aziendali autorizzati, sono, comunque, utilizzati sistemi di filtraggio mediante i quali può essere bloccata la navigazione su categorie di siti i cui contenuti sono stati classificati come palesemente estranei agli interessi ed alle attività istituzionali Il divieto di accesso ad un sito appartenente alle categorie inibite viene visualizzato di norma e per certe categorie di siti, esplicitamente a video. Il divieto riguarda, comunque, l accesso a qualunque altro sito che, pur consentito dal sistema, non sia collegato o collegabile all attività istituzionale dell operatore. 5. Non è consentito lo scarico di software (vietato effettuare il download ed installare programmi dalla rete internet), file musicali o video da siti internet, se non espressamente autorizzato dal proprio responsabile e dalla SA/PT Dip. TSI E vietata ogni forma di registrazione a siti i cui contenuti non siano correlati all attività lavorativa. 7. Non è permessa la partecipazione, per motivi non professionali, a forum, né l utilizzo di chat line, di bacheche elettroniche nonché le registrazioni in guest book anche utilizzando pseudonimi (o nickname). 8. E vietato utilizzare servizi di comunicazione e condivisione file (condivisione P2P peer-to peer ) 4 Paragrafo 1.2 del provvedimento Garante privacy del Trattamento di dati personali relativo all utilizzo di 5 Le disposizioni di cui al presente comma 2 sono da intendersi ad integrazione del paragrafo 3 Sicurezza Logica del manuale operativo Istruzioni Operative per responsabili ed incaricati del trattamento di dati personali allegato al DPS dell AUSL3. 6 Punto 1. della Direttiva n.02/09 del Dipartimento Funzione Pubblica. Utilizzo di internet e della casella di posta elettronica istituzionale sul luogo di lavoro. 7 Paragrafo 5.2 del provvedimento Garante privacy del Trattamento di dati personali relativo all utilizzo di 8 Paragrafo 3.2 del provvedimento Garante privacy del Trattamento di dati personali relativo all utilizzo di strumenti elettronici da parte dei lavoratori 4/11

5 9. Non è consentito l utilizzo delle risorse dei server aziendali per la memorizzazione di materiale privato, personale o non attinente all attività lavorativa. 10. Non è consentita la memorizzazione di documenti informatici di natura oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza politica. 11. Non è consentito utilizzare strumenti software e/o hardware atti ad intercettare, falsificare, alterare o sopprimere il contenuto di comunicazioni e/o documenti informatici. 12. E vietata l effettuazione di ogni genere di transazione finanziaria ivi comprese le operazioni di remote banking, acquisti on line e simili, salvo i casi direttamente autorizzati dalla Direzione Generale. 13. E vietato l utilizzo di abbonamenti privati (connessioni analogiche e non) per effettuare la connessione a internet tranne in casi del tutto eccezionali e previa autorizzazione della Direzione Generale. Art. 5 - Utilizzo rete aziendale- 1. La rete informatica aziendale è protetta da un sistema di firewall perimetrale e da un sistema di antivirus centralizzato che aggiorna quotidianamente le postazioni collegate alla rete. 2. E comunque obbligo degli utenti mettere in essere tutte le procedure per garantirne il perfetto funzionamento e protezione della stessa. 3. Le unità di rete sono aree di condivisione di informazioni strettamente professionali e non possono, in alcun modo, essere utilizzate per scopi diversi. Pertanto, qualunque file che non sia correlato all attività lavorativa non può essere dislocato, nemmeno per brevi periodi, in queste unità. 4. Non è consentita la condivisione di archivi(data-base) se non espressamente autorizzata dalla SA/PT Dip. TSI. 5. Le password di ingresso alla rete, ai programmi ed alle risorse condivise sono personali e segrete. La scelta delle password da parte dell utente deve essere ponderata in quanto un utilizzo improprio della stessa è il modo più facile per un accesso illecito da parte di terzi alla rete e/o all applicazione, e di conseguenza ai dati in essi custoditi a tutti gli effetti risultando con l identità di un altro utente. Nella gestione delle password è necessario osservare le seguenti indicazioni: 9 a. Non comunicare ad alcuno le proprie password. Ricordare che nessuno è autorizzato a richiedere le password, nemmeno il personale tecnico di supporto; b. Non scrivere le proprie password su supporti facilmente rintracciabili e soprattutto in prossimità della postazione di lavoro utilizzata; c. Non scegliere password corrispondenti a parole presenti in un dizionario, sia della lingua italiana che di lingue straniere. Non utilizzare nemmeno parole del dizionario in senso inverso; d. Non usare parole che possano essere facilmente riconducibili all identità dell utente come, ad esempio, il codice fiscale, il nome del coniuge o dei figli, la data di nascita, il numero di telefono, la targa della propria auto, il nome della via in cui si abita, il proprio numero di matricola o addirittura la stessa ID etc; e. Non usare come password parole ottenute da una combinazione di tasti vicini alla tastiera o sequenze di caratteri; f. Non usare la stessa password per l accesso a sistemi ed applicativi differenti; 9 In merito si veda anche il paragrafo 4.2 Trattamenti con l ausilio di mezzi elettronici del manuale operativo Istruzioni Operative per responsabili ed incaricati del trattamento di dati personali allegato al DPS dell AUSL3 5/11

6 g. Non comunicare password vecchie e non più in uso quando potrebbe essere possibile ricavare da questi dati regole empiriche o personali che l utente utilizza per generare le proprie password; h. Cambiare le password, almeno ogni sei mesi, e comunque dentro i limiti previsti dalle misure minime di sicurezza; i. Le password di accesso alle procedure informatiche che trattano dati sensibili e/o giudiziari devono essere sostituite, da parte del singolo utente, almeno ogni tre mesi; j. Utilizzare password lunghe almeno otto caratteri od il massimo consentito dal sistema utilizzando un misto di lettere, numeri e segni di interpunzione (ad esempio: ;!.); k. Nel digitare la password accertarsi che non ci sia nessuno che osservi e sia in grado di vedere od intuire i caratteri digitati sulla tastiera 6. E assolutamente proibito entrare nella rete e nei programmi con altri nomi utente. 7. L AUSL3 si riserva la facoltà di procedere alla rimozione di ogni file o applicazione che riterrà pericolosi per la sicurezza del sistema informatico, ovvero acquisiti o installati in violazione della presente policy. A tal fine vengono svolte attività di controllo da parte della SA/PT Dip. TSI con le modalità previste dal successivo art.12. La rimozione è preceduta da una comunicazione all utente interessato, fatta salva la possibilità di rimozione diretta in caso di immediato pericolo per la sicurezza del sistema informatico, dandone successivamente comunicazione all utente interessato. 10 Art. 6 - Utilizzo della posta elettronica 1. Sono attivati indirizzi di posta elettronica per le strutture aziendali, condivisi dagli operatori assegnati a ciascuna di esse. Al singolo utente può essere assegnato un indirizzo personale. La personalizzazione dell indirizzo non comporta la sua privatezza in quanto trattasi di strumenti di esclusiva proprietà aziendale messi a disposizione del lavoratore al solo fine dello svolgimento delle proprie funzioni lavorative. 2. Gli utenti assegnatari delle caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse. 3. E fatto divieto di utilizzare le caselle di posta elettronica aziendale del dominio usl3.toscana.it per l invio di messaggi personali o per la partecipazione a dibattiti, forum o mailing-list salvo diversa ed esplicita autorizzazione della Direzione Generale. 4. E obbligatorio controllare gli allegati di posta elettronica prima del loro utilizzo (non eseguire download di files eseguibili o documenti da siti Web o Ftp non conosciuti). Tale comportamento previene l introduzione di virus o similari nel proprio PC e nella rete aziendale. 5. Non diffondere messaggi di posta elettronica di provenienza dubbia. 6. E vietato partecipare a catene telematiche (cosiddette di Sant Antonio ) Se si dovessero ricevere messaggi di tale natura, si deve dare comunicazione tempestiva alla SA/PT Dip. TSI. Non si devono in alcun caso attivare gli allegati di tali messaggi. 7. Non è consentito inviare o memorizzare messaggi (interni ed esterni) di natura oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica. 10 Parere del garante su schema di regolamento interno per l utilizzo della posta elettronica e della rete internet del Ministero dell ambiente e della tutela del territorio e del mare. 6/11

7 8. La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili e soprattutto allegati ingombranti. Gli utenti sono tenuti a svuotare periodicamente la casella di posta elettronica loro assegnata, onde evitare inutili occupazioni di spazio sul server gestore del sistema di posta. 9. E vietata la configurazione sul PC di account di posta elettronica che non facciano riferimento al dominio aziendale. 10. La diffusione massiva di messaggi di posta elettronica deve essere effettuata esclusivamente per motivi inerenti il servizio, su autorizzazione del Responsabile della struttura organizzativa. Per evitare che le eventuali risposte siano inoltrate a tutti, generando traffico eccessivo ed indesiderato, i destinatari dovranno essere messi in copia nascosta (Ccn). 11. Nei messaggi inviati tramite posta elettronica aziendale verrà accluso il testo Si segnala che il presente messaggio e le risposte allo stesso potranno essere conosciute dall organizzazione lavorativa di appartenenza del mittente secondo le modalità previste dalle disposizioni aziendali adottate in materia. Se per un disguido avete ricevuto questa senza esserne i destinatari vogliate distruggerla e darne informazione all indirizzo mittente Non è ammesso l utilizzo di sistemi di webmail personali e private. 13. E obbligatorio l utilizzo della posta elettronica ordinaria e certificata per fini istituzionali nel rispetto delle norme vigenti in materia. 14. E obbligatorio utilizzare la posta elettronica, ove possibile, per le comunicazioni tra l Azienda USL3 di Pistoia e i dipendenti nel rispetto delle norme vigenti in materia, in particolare, delle norme in materia di protezione dei dati personali. 15. Nei casi normativamente previsti deve essere utilizzata la posta elettronica certificata per le comunicazioni ai dipendenti se dotati di idonea casella di posta. Art. 7 Utilizzo di PC portatili- 1. L utente è responsabile del PC portatile assegnatogli dall AUSL3 e deve custodirlo con diligenza sia durante gli spostamenti sia durante l utilizzo sul luogo di lavoro. 2. Al PC portatile si applicano le stesse regole di utilizzo previste per i PC fissi connessi in rete, con particolare attenzione alla rimozione di eventuali file che non devono essere salvati o archiviati. 3. I PC portatili utilizzati all esterno (convegni, corsi, eventi vari etc ), in caso di allontanamento devono essere custoditi in un luogo protetto. 4. Il portatile non deve essere mai lasciato incustodito e sul disco devono essere conservati solo i files strettamente necessari. 5. Nel caso di accesso a Internet tramite la rete aziendale: a. Utilizzare l accesso in forma esclusivamente personale; b. Utilizzare la password in modo rigoroso; c. Disconnettersi dalla rete aziendale al termine della sessione lavoro. 6. Collegarsi periodicamente alla rete interna per consentire l aggiornamento dell antivirus. 7. Non utilizzare abbonamenti internet privati per collegamenti alla rete. Art. 8 Utilizzo di supporti magnetici 11 Paragrafo 5.2 del provvedimento Garante privacy del Trattamento di dati personali relativo all utilizzo di 7/11

8 1. L utilizzo di supporti magnetici (cd, dvd, usb etc.) è consentito prestando la dovuta attenzione, custodendo con diligenza gli stessi e conservandoli nel rispetto delle misure di sicurezza in luogo sicuro ed accesso controllato. 2. Ai supporti magnetici si applicano le stesse regole di utilizzo previste per gli strumenti elettronici in quanto applicabili. 3. Ogni dispositivo magnetico di provenienza esterna all AUSL3 dovrà essere verificato mediante sistema antivirus prima del suo utilizzo e, nel caso venga rilevato un virus dovrà essere consegnato alla SA/PT Dip. TSI. 4. Tutti i supporti magnetici riutilizzabili contenenti dati personali, in particolare se sensibili e/o giudiziari devono essere trattati con particolare cautela onde evitare che il loro contenuto possa essere recuperato. Art. 9 - Soluzioni per garantire la continuità lavorativa Ciascun operatore può, anche da postazioni esterne all Azienda, utilizzare specifiche funzionalità di posta elettronica per inviare automaticamente, in caso di assenza, messaggi di risposta che informino il mittente della propria indisponibilità, e che contengano le coordinate (anche elettroniche o telefoniche) di un altro soggetto o altre utili modalità di contatto della struttura organizzativa interessata. 2. Nel caso in cui un dipendente si assenti senza aver potuto provvedere ad attivare la suddetta procedura, un fiduciario, dallo stesso dipendente preventivamente nominato,o, in sua assenza, il relativo Responsabile della struttura organizzativa, potrà accedere alla casella di posta al fine di garantire la continuità dell attività lavorativa. La nomina del fiduciario deve essere redatta in forma scritta, riportare la sottoscrizione del fiduciario e del fiduciante e consegnata al Responsabile della struttura organizzativa. 3. Il Responsabile della struttura organizzativa può prevedere una procedura interna di tracciabilità delle password, nel massimo rispetto della segretezza delle stesse, da attivare esclusivamente in circostanze di estrema eccezionalità legate ad una dimostrabile ed oggettiva situazione di emergenza. 4. Qualora siano attivate le procedure di cui ai precedenti commi 2 e 3, il Responsabile della struttura organizzativa deve redigere apposito verbale ed informare il lavoratore interessato alla prima occasione utile. Art. 10 Teleassistenza- 1. Relativamente all attività di manutenzione remota su P.C. connessi alla rete aziendale il personale della SA/PT Dip. TSI o personale esterno autorizzato potrà utilizzare specifici software. Tali programmi vengono utilizzati per assistere l utente durante la normale attività informatica ovvero per svolgere manutenzione su applicativi e su hardware. L attività di assistenza e manutenzione avviene previa autorizzazione telefonica da parte dell utente interessato. La configurazione del software prevede un indicatore visivo sul monitor dell utente che segnala quando il tecnico è connesso al P.C.. Viene fornita, su richiesta, una comunicazione informativa sullo strumento utilizzato, nonché le modalità del suo utilizzo per tutti gli utenti aziendali interessati. Art. 11 Memorizzazione file di log della navigazione internet Paragrafo 5.2 del provvedimento Garante privacy del Trattamento di dati personali relativo all utilizzo di 8/11

9 1. Al fine di verificare la funzionalità, la sicurezza del sistema ed il suo corretto utilizzo, le apparecchiature di rete preposte al collegamento verso internet, memorizzano un giornale (file di log) contenente le informazioni relative ai siti che i P.C. aziendali hanno visitato. Tale archivio memorizza l indirizzo fisico delle postazioni di lavoro e non i riferimenti dell utente, garantendo in tal modo il suo anonimato. 2. L accesso a questi dati è effettuato dal personale della SA/PT Dip. TSI ed eventualmente da personale tecnico esterno autorizzato dal Responsabile della SA/PT Dip. TSI a ciò espressamente autorizzato anche sotto il profilo privacy. 3. I sistemi software sono programmati e configurati in modo da conservare per 48 ore i dati relativi agli accessi ad Internet e al traffico telematico. 4. L eventuale prolungamento dei suddetti tempi di conservazione è eccezionale e può avere luogo solo in relazione ad esigenze tecniche o di sicurezza del tutto particolari, all indispensabilità del dato rispetto all esercizio o alla difesa di un diritto in sede giudiziaria oppure all obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell Autorità Giudiziaria. Art. 12 Controlli Qualora le misure tecniche preventive non fossero sufficienti ad evitare eventi dannosi o situazioni di pericolo, l AUSL3 effettua con gradualità, nel rispetto dei principi di pertinenza e non eccedenza, le verifiche di eventuali situazioni anomale attraverso le seguenti fasi: a. analisi aggregata del traffico di rete riferito all intera struttura lavorativa o a sue aree (U.O. U.F. Uffici etc ) e rilevazione della tipologia di utilizzo ( , file audio, accesso a risorse estranee alle finalità istituzionali); b. emanazione di un avviso generalizzato relativo ad un riscontrato utilizzo anomalo degli strumenti aziendali, con l invito ad attenersi scrupolosamente ai compiti assegnati ed alle istruzioni impartite; il richiamo all osservanza delle regole può essere circoscritto agli operatori afferenti alla struttura organizzativa in cui è stata rilevata l anomalia; c. in caso di successivo permanere di una situazione non conforme, è possibile effettuare controlli circoscritti su singole postazioni di lavoro. 2. Con la stessa gradualità vengono effettuati controlli sull occupazione dello spazio di memorizzazione sul server aziendali attraverso le seguenti fasi: a. analisi aggregata dei dati memorizzati sui server a livello di intera struttura lavorativa o a sue aree (U.O. U.F. Uffici etc ) e rilevazione della tipologia di utilizzo (file audio, file video, immagini, software non autorizzato); b. emanazione di un avviso generalizzato relativo ad un riscontrato utilizzo anomalo degli strumenti aziendali, con l invito ad attenersi scrupolosamente ai compiti assegnati ed alle istruzioni impartite; il richiamo all osservanza delle regole può essere circoscritto agli operatori afferenti alla struttura organizzativa in cui è stata rilevata l anomalia; 13 Paragrafo 6.2 del provvedimento Garante privacy del Trattamento di dati personali relativo all utilizzo di 14 Paragrafo 6 del provvedimento Garante privacy del Trattamento di dati personali relativo all utilizzo di 9/11

10 c. in caso di successivo permanere di una situazione non conforme, è possibile procedere con un analisi puntuale ed una eventuale eliminazione del materiale non conforme anche sulle singole postazioni di lavoro. 3. L AUSL3 si riserva la possibilità di un intervento di controllo diretto qualora si verifichino situazioni di particolare pericolosità nell utilizzo di strumenti elettronici che minacciano la sicurezza del sistema informativo. Tale situazione di estremo danno giustifica la mancata possibilità di procedere ad un avviso come evidenziato nei precedenti commi 1 e Il Responsabile della struttura organizzativa a cui afferisce l utente che sia trovato in situazione di utilizzo indebito degli strumenti informatici, può chiedere una analisi del traffico di rete con rilevazione della tipologia di utilizzo, nonché una analisi dei dati memorizzati sul server, alla SA/PT Dip. TSI dandone contestuale informazione all utente stesso. Art. 13 Modalità di uso personale di mezzi informatici Non sono previste modalità di uso personale di mezzi informatici dell Azienda con pagamento o fatturazione a carico dell interessato. Art. 14 Prescrizioni interne sulla sicurezza dei dati e dei sistemi- 1. Per quanto riguarda le misure di sicurezza si rimanda al DPS adottato con deliberazione n-239/2005 e aggiornato con cadenza annuale mediante atto deliberativo pubblicato sul sito aziendale nello specifico link. Art. 15 Provvedimenti disciplinari- 1. Qualora, ad esito di controllo o nell effettuazione di attività di manutenzione, nel rispetto delle procedure di cui al precedente articolo 12, la SA/PT Dip. TSI rilevi delle anomalie sull utilizzo degli strumenti informatici che possano essere configurate quali attività non conformi, provvederà ad informare il competente titolare dell azione disciplinare della struttura organizzativa presso la quale il dipendente presta la propria attività lavorativa, per i conseguenti adempimenti. 2. Il suddetto titolare, procederà a tutti i successivi adempimenti nel rispetto delle disposizioni normative, contrattuali e regolamentari vigenti in materia. 3. L Azienda procederà altresì a segnalare, eventualmente, l evento alle Autorità competenti, anche al fine di una potenziale valutazione del danno erariale. Art. 16 Denuncia Autorità Giudiziaria- 1. L AUSL3, qualora la tipologia, la quantità o la modalità di utilizzo improprio degli strumenti informatici siano tali da essere rilevanti ai fini del codice penale, provvederà obbligatoriamente ad effettuare specifica denuncia all Autorità Giudiziaria. 15 Paragrafo 3.2 del provvedimento Garante privacy del Trattamento di dati personali relativo all utilizzo di 10/11

11 Art. 17 Informativa ai sensi del d.lgs. 196/ L AUSL3 è titolare del trattamento dei dati personali relativo all utilizzo di strumenti informatici da parte dei lavoratori. 2. La finalità del trattamento è la verifica del corretto utilizzo della posta elettronica, della rete Internet nel rapporto di lavoro. 3. Il trattamento è effettuato con strumenti informatici da parte di Responsabili e/o incaricati del trattamento dei dati. 4. Il trattamento di verifica è effettuato con gradualità e per aree aggregate per cui i dati non vengono comunicati con riferimento al trattamento del singolo lavoratore; la comunicazione, nel caso in cui si accerti un uso indebito della singola postazione sarà data al Direttore della struttura organizzativa di appartenenza del dipendente per i conseguenti adempimenti. 5. L elenco dei Responsabili e degli incaricati del trattamento dei dati è consultabile sul sito aziendale Intranet- Privacy Intranet. 6. Il lavoratore potrà far valere i diritti di cui all art. 7 del D.Lgs 196/03 provvedendo ad effettuare formale richiesta utilizzando lo specifico modulo scaricabile sul sito aziendale Intranet- Privacy Intranet. Art. 18 Disposizioni finali- 1. Per quanto non espressamente previsto nella presente policy sarà fatto riferimento alla normativa vigente in materia. 2. La presente policy sarà pubblicata sul sito aziendale, dandone contestuale informazione a tutti gli utenti interni della rete. 3. E fatto obbligo di adeguare i propri comportamenti alle disposizioni previste nella presente policy ed a chiunque competa di osservarla. SF/SC * * * 16 Paragrafo 3.3 del provvedimento Garante privacy del Trattamento di dati personali relativo all utilizzo di 11/11