DELIBERA DI G.C. N. 41 DEL 20.3.2007 2 In continuazione di seduta. LA GIUNTA COMUNALE Letta la seguente relazione del Servizio Infocittà in data 6.3.2007: " Visto il decreto legislativo 30 giugno 2003, n. 196, d'ora in poi denominato Codice, pubblicato nella G.U. del 29 luglio 2003, nel quale sono raccolte tutte le disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali ed alle attività connesse; Premesso che: - l'articolo 31 del D. Lgs. 196/2003 stabilisce che i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta ; - l'articolo 34, del codice stabilisce che il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell allegato B) del citato codice, le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell individuazione dell ambito del trattamento consentito ai singoli; e) incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; f) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; g) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; h) tenuta di un aggiornato documento programmatico sulla sicurezza; i) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati; idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari ; - l art. 35 del codice, dispone considerazioni simili a quelle sopra enunciate anche per i trattamenti di dati senza l ausilio di strumenti elettronici richiedendo la verifica periodica dei livelli di autorizzazione agli incaricati o alle U.O., delle procedure di custodia e di conservazione di particolari atti in archivi ad accesso selezionato e procedure atte ad identificare gli incaricati che vi accedono; Dato atto che l'articolo 19 del disciplinare tecnico Allegato B) del D.Lgs. n. 196/2003, stabilisce che entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza (DPS) contenente idonee informazioni riguardo:
DELIBERA DI G.C. N. 41 DEL 20.3.2007 3 19.1. l elenco dei trattamenti di dati personali; 19.2. la distribuzione dei compiti e delle responsabilità nell ambito delle strutture preposte al trattamento dei dati; 19.3. l analisi dei rischi che incombono sui dati; 19.4. le misure da adottare per garantire l integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; 19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento; 19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate. La formazione è programmata già al momento dell ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 19.7. la descrizione dei criteri da adottare per garantire l adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all esterno della struttura del titolare; 19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato; Considerato che l adozione delle misure minime di sicurezza è obbligatoria e che la sua mancata adozione è sanzionata nell articolo 169 del D.Lgs. n. 196/2003 con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro; Ritenuto opportuno di individuare tra il personale un gruppo di lavoro con il compito di coordinare i complessi adempimenti legati alla nuova normativa sulla privacy: REFERENTI SERVIZIO COMPITI Schiaroli Luciano Responsabile UOC CED/SIT Coordinamento aspetti di sicurezza informatica Braccioni Ennio Segretario generale Coordinamento aspetti giuridici Simoncelli Mirella Responsabile Servizio Politiche Sociali Attività di supporto ai Responsabili dei trattamenti dati Rinaldi Elisabetta Ufficio Sviluppo Organizzativo della Direzione Generale Attività formativa Considerato che il presente atto non comporta per sua natura alcun impegno di spesa; Ritenuto, pertanto, di procedere all approvazione del Documento Programmatico per l'adozione delle misure minime di sicurezza nel trattamento dei dati personali nell'ambito delle attività del Comune, ai sensi del D. Lgs. n. 196/2003 e del Regolamento interno trattamento dati e uso stazioni di lavoro; Tutto ciò premesso si invita la Giunta Comunale a voler deliberare:
DELIBERA DI G.C. N. 41 DEL 20.3.2007 4 1. l approvazione del Documento Programmatico sulla Sicurezza del Comune di Pesaro redatto in conformità al D.Lgs. 30 giugno 2003, n. 196, differendone l entrata in vigore dal 1 Aprile 2007; 2. l approvazione del Regolamento interno trattamento dati e uso stazioni di lavoro; 3. di disporre che del presente atto sia data la più ampia diffusione: all interno dell ente e nell'ambito della comunità locale attraverso la pubblicazione nel sito Internet/Intranet del Comune e attraverso gli strumenti più idonei allo scopo; 4. di demandare ai Responsabili del trattamento l aggiornamento dell elenco delle banche dati (Allegato A) e dell elenco degli incaricati (Allegato U) al Documento Programmatico sulla Sicurezza del Comune di Pesaro, utilizzando apposita procedura sulla Intranet; 5. di individuare tra il personale un gruppo di lavoro con il compito di coordinare i complessi adempimenti legati alla nuova normativa sulla privacy: REFERENTI SERVIZIO COMPITI Schiaroli Luciano Responsabile UOC CED/SIT Coordinamento aspetti di sicurezza informatica Braccioni Ennio Segretario generale Coordinamento aspetti giuridici Simoncelli Mirella Responsabile Servizio Politiche Sociali Attività di supporto ai Responsabili dei trattamenti dati Rinaldi Elisabetta Ufficio Sviluppo Organizzativo della Direzione Generale Attività formativa 6. il responsabile dell ufficio Personale dovrà comunicare al Responsabile della sicurezza ogni trasferimento di servizio, assenza prolungata, cessazione e quant altro comporti modifiche che influiscono sui regimi di autorizzazione; 7. di dare atto che il presente atto non comporta per sua natura alcun impegno di spesa; 8. di disporre che prima della data stabilita per la entrata in vigore del nuovo Documento Programmatico sulla Sicurezza, siano, comunque, adottati e predisposti tutti gli atti necessari affinchè dal 31 Marzo 2007 si possano dare piena attuazione alle misure ivi contenute. Ritenuto di provvedere in conformità; Visti: il D.Lgs. 267/2000 e successive modifiche ed integrazioni; il vigente Statuto comunale; i seguenti pareri espressi ai sensi dell art. 49, comma 1, del Testo Unico delle leggi sull ordinamento degli enti locali emanato con D.Lgs. 18.08.2000, n. 267: Responsabile del Servizio interessato: Si attesta la regolarità tecnica del presente atto ;
DELIBERA DI G.C. N. 41 DEL 20.3.2007 5 Responsabile del Servizio Finanziario: Visto per la regolarità contabile ; con voti unanimi espressi nei modi di legge; D E L I B E R A 1. l approvazione del Documento Programmatico sulla Sicurezza del Comune di Pesaro redatto in conformità al D.Lgs. 30 giugno 2003, n. 196, differendone l entrata in vigore dal 1 Aprile 2007 e allegato agli atti; 2. l approvazione del Regolamento interno trattamento dati e uso stazioni di lavoro (Allegato R) allegato parte integrante del presente atto; 3. di disporre che del presente atto sia data la più ampia diffusione all interno dell ente e nell'ambito della comunità locale attraverso la pubblicazione nel sito Internet/Intranet del Comune e attraverso gli strumenti più idonei allo scopo; 4. di demandare ai Responsabili del trattamento l aggiornamento dell elenco delle banche dati (Allegato A) e dell elenco degli incaricati (Allegato U) al Documento Programmatico sulla Sicurezza del Comune di Pesaro, utilizzando apposita procedura sulla Intranet; 5. di individuare tra il personale un gruppo di lavoro con il compito di coordinare i complessi adempimenti legati alla nuova normativa sulla privacy: REFERENTI SERVIZIO COMPITI Schiaroli Luciano Responsabile UOC CED/SIT Coordinamento aspetti di sicurezza informatica Braccioni Ennio Segretario generale Coordinamento aspetti giuridici Simoncelli Mirella Responsabile Servizio Politiche Sociali Attività di supporto ai Responsabili dei trattamenti dati Rinaldi Elisabetta Ufficio Sviluppo Organizzativo della Direzione Generale Attività formativa 6. il responsabile dell ufficio Personale dovrà comunicare al Responsabile della sicurezza ogni trasferimento di servizio, assenza prolungata, cessazione e quant altro comporti modifiche che influiscono sui regimi di autorizzazione; 7. di dare atto che il presente atto non comporta per sua natura alcun impegno di spesa; 8. di disporre che prima della data stabilita per la entrata in vigore del nuovo Documento Programmatico sulla Sicurezza, siano, comunque, adottati e predisposti tutti gli atti necessari affinchè dal 31 Marzo 2007 si possano dare piena attuazione alle misure ivi contenute. INOLTRE, all unanimità;
DELIBERA DI G.C. N. 41 DEL 20.3.2007 6 D E L I B E R A di dichiarare il presente atto immediatamente eseguibile a norma dell art. 134, comma 4, del T.U.E.L. emanato con D.Lgs. 18.08.2000, n. 267. /ld
DELIBERA DI G.C. N. 41 DEL 20.3.2007 7 COMUNE di PESARO Regolamento interno per il corretto e sicuro trattamento dei dati e per l utilizzo degli strumenti informatici. ALLEGATO R Premessa La progressiva diffusione delle nuove tecnologie informatiche, ed in particolare il libero accesso alla rete Internet attraverso i PC, espongono il nostro Ente ai rischi di un coinvolgimento sia patrimoniale sia penale, creando problemi alla sicurezza e all immagine aziendale esterna. Inoltre il D.Lgs. 30 giugno 2003, n. 196 recante il Codice in materia di protezione dei dati personali (in seguito denominato Codice ), impone che i dati trattati dal nostro Ente siano adeguatamente protetti e controllati, in maniera tale da evitare i rischi di loro perdita o distruzione o di accesso non consentito. Premesso quindi che l'utilizzo delle risorse informatiche e telematiche e, più in generale, il trattamento dei dati, devono sempre ispirarsi al principio della diligenza e correttezza (comportamenti che sono doverosi nell'ambito di qualunque rapporto di lavoro), abbiamo adottato il presente Regolamento interno, diretto ad evitare che comportamenti inconsapevoli possano innescare problemi o minacce alla sicurezza nel trattamento dei dati e delle informazioni. Vogliamo in particolare richiamare la Sua attenzione sul fatto che, nello svolgimento del Suo lavoro quotidiano, Lei tratta dei dati personali, secondo le definizioni contenute nell art. 4, del D.Lgs. n. 196/03 (in seguito denominato Codice ), poiché la legge considera trattamento di dati personali qualunque operazione effettuata sui dati, compresa la loro semplice consultazione o conservazione ed anche la loro cancellazione o distruzione fisica Il Codice, considera il trattamento di dati personali un attività pericolosa (vale a dire un attività che, in base all art. 2050 c.c., determina una responsabilità civile per chiunque cagiona dei danni ad altri) e lo svolgimento di tale attività fa sì che il Titolare del trattamento, cioè il Comune di Pesaro, sia tenuto a risarcire gli eventuali danni patrimoniali e non patrimoniali causati dal trattamento stesso, se non riesce a provare di avere fatto tutto il possibile per evitarli, avendo adottato delle misure idonee di sicurezza. Inoltre, il Codice sanziona penalmente la mancata adozione delle misure minime di sicurezza, cioè di quelle misure che sono obbligatorie per legge per effettuare il trattamento dei dati personali. Quindi, è assolutamente necessario che Lei rispetti alcune semplici e basilari regole, che servono per garantire un trattamento dei dati personali corretto e sicuro, evitando che il Comune di Pesaro, Suo datore di lavoro, possa incorrere nelle suddette responsabilità civili o penali.
DELIBERA DI G.C. N. 41 DEL 20.3.2007 8 Come a Lei noto, il nostro Ente si è dotato delle necessarie misure minime di sicurezza per il trattamento dei dati personali e quindi si aspetta da ciascun lavoratore, sia esso un dipendente od un collaboratore, (ovvero si aspetta da ogni Incaricato del trattamento, come lo definisce il Codice), un comportamento corretto e rispettoso delle semplici norme di sicurezza che vengono di seguito precisate, con particolare riguardo a quelle relative alla gestione della rete informatica aziendale. L art. 30 del Codice, prevede che le operazioni di trattamento dei dati personali possono essere effettuate solamente da persone incaricate per iscritto di compiere tali operazioni, e che tali persone, appositamente nominate, devono attenersi alle istruzioni del Titolare del trattamento o dei Responsabili del trattamento che eventualmente sono stati designati dal Titolare stesso. Ciò premesso, nel presente documento Le sono impartite le istruzioni per un trattamento corretto e sicuro dei dati personali, nonché per l utilizzo degli strumenti informatici che Le sono messi a disposizione dall Ente. Pertanto, nello svolgimento della Sua attività lavorativa nell ambito del nostro Ente, La invitiamo ad osservare scrupolosamente queste disposizioni. 1. INDICAZIONI DI CARATTERE GENERALE Si premettono alle istruzioni comportamentali alcuni cenni di carattere generale sulla normativa contenuta nel Codice della privacy, invitandola per gli approfondimenti a: consultare il materiale informativo sulla normativa per la tutela della privacy pubblicato sulla Intranet dell Ente; rivolgersi, nei casi di incertezza, al Responsabile del trattamento al quale Lei fa riferimento, per ricevere le opportune istruzioni del caso; 1.1 CHE COSA SONO I DATI PERSONALI Il Codice della privacy definisce il dato personale come qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (art. 4, comma 1, lett. b, D.Lgs. 196/03). I dati personali possono essere di tre tipi: dati sensibili, di cui il Codice contiene la definizione; dati giudiziari, di cui il Codice contiene la definizione; dati comuni, di cui il Codice non contiene la definizione, ma che sono tutti quei dati personali che non appartengono alle categorie dei dati sensibili o giudiziari. Si sottolinea l importanza che Lei comprenda bene quando un dato è considerato sensibile oppure giudiziario, perché a questi particolari dati la legge garantisce una tutela più intensa, e quindi vi sono maggiori obblighi ed oneri, sia per effettuare il loro trattamento, sia per la loro custodia da parte degli Incaricati del trattamento appositamente nominati. Le definizioni di dato sensibile e di dato giudiziario sono contenute nell art. 4 del Codice ed hanno carattere tassativo, cioè sono solo quei tipi di dati personali
DELIBERA DI G.C. N. 41 DEL 20.3.2007 9 espressamente indicati nelle rispettive definizioni, pertanto Lei non si deve preoccupare di valutare se altri dati rispetto a quelli indicati dalla legge siano dati sensibili o dati giudiziari, perché, come già detto, tutti i dati che non rientrano espressamente nelle definizioni date dall art. 4, si considerano dati comuni ai fini della normativa sulla tutela della privacy. 1.1.2 I dati sensibili Sono i dati personali idonei a rivelare l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale (art. 4, comma 1, lett. d). 1.1.3 I dati giudiziari Sono i dati personali idonei a rivelare i provvedimenti giudiziari iscritti nel casellario giudiziale, o nell anagrafe delle sanzioni amministrative dipendenti da reato, e dei relativi carichi pendenti, o la qualità di imputato o di indagato, ai sensi del codice di procedura penale (art. 4, comma 1, lett. e). 1.2 QUALI DATI SONO TRATTATI NELL AMBITO DELLA NOSTRA REALTÀ Com è evidente, i dati personali trattati dal personale del nostro Ente sono prevalentemente dati comuni (vale a dire né dati sensibili, né dati giudiziari), il cui trattamento, pertanto, non necessita di particolari cautele, salva l applicazione delle misure di sicurezza per il loro trattamento effettuato mediante la rete informatica interna. Solamente alcuni particolari dati personali trattati da alcuni servizi del nostro Ente assumono il carattere di dati sensibili o di dati giudiziari e, come tali, necessitano di maggiori cautele (cioè di misure di sicurezza più rigide) per il loro corretto e sicuro trattamento. 1.3 QUALI SONO I RISCHI AI QUALI SONO SOGGETTI I DATI TRATTATI I rischi a cui possono essere soggetti, anche accidentalmente, tutti i dati che sono trattati dagli Incaricati del trattamento, sono la perdita o la distruzione dei dati, l accesso ad essi da parte di persone non autorizzate, il trattamento non consentito (cioè il trattamento illecito) ed il trattamento non conforme alle finalità per le quali i dati sono stati originariamente raccolti. 1.4 LA NOMINA DEI RESPONSABILI E DEGLI INCARICATI DEL TRATTAMENTO Per garantire un trattamento corretto, lecito e sicuro dei dati personali, si è provveduto innanzitutto a definire i compiti e le responsabilità di tutte le persone, nostri dipendenti o collaboratori, che trattano i dati personali. Per tale motivo a Lei, così come a ciascun altro addetto nominato Incaricato del trattamento, è stata consegnata una specifica lettera d incarico individuale, contenente delle semplici istruzioni alle quali Lei è stato invitato ad attenersi scrupolosamente nell esecuzione delle operazioni di trattamento di dati che Le sono state affidate dall Ente. Sono anche stati nominati alcuni Responsabili del trattamento, i quali potranno fornire istruzioni specifiche agli Incaricati del trattamento che fanno diretto
DELIBERA DI G.C. N. 41 DEL 20.3.2007 10 riferimento a ciascuno di essi e dovranno vigilare sul loro operato ed in particolare sul rispetto delle misure di sicurezza previste nell ambito della nostra organizzazione. Nella Sua lettera d incarico individuale è stato precisato il nome del Responsabile del trattamento al quale dovrà fare riferimento per qualunque Sua necessità relativa ai trattamenti di dati personali a Lei affidati. 1.5 LE MISURE DI SICUREZZA PER IL TRATTAMENTO DEI DATI Per il trattamento dei dati sensibili (cioè di quei dati più delicati che sono stati sopra specificati), abbiamo previsto delle specifiche misure di sicurezza da adottare nel caso in cui essi siano trattati in forma cartacea (cioè manualmente, vale a dire senza l ausilio di strumenti elettronici); mentre per il trattamento di tali dati effettuato con l ausilio di elaboratori e di altri strumenti elettronici, abbiamo previsto delle misure di sicurezza più severe e di carattere generale, che riguardano sia i dati sensibili, sia i dati comuni che sono trattati nell ambito della nostra realtà. Nella Sua lettera individuale di nomina ad Incaricato del trattamento, sono stati indicati gli eventuali dati sensibili che Lei è autorizzato a trattare, in relazione allo svolgimento delle Sue specifiche mansioni. Qualora, nello svolgimento della Sua attività lavorativa, Lei dovesse venire in possesso di informazioni aventi carattere di dato sensibile che esulano dall autorizzazione al trattamento che è contenuta nella Sua lettera di incarico individuale, è invitato a rivolgersi tempestivamente al Responsabile del trattamento al quale Lei fa riferimento, per ricevere le istruzioni del caso. 1.6 IN CHE COSA CONSISTE IL TRATTAMENTO DEI DATI PERSONALI Il Codice definisce il trattamento dei dati personali come qualunque operazione o complesso di operazioni concernenti la raccolta, la registrazione, l organizzazione, la conservazione, l elaborazione, la modificazione, la selezione, l estrazione, il raffronto, l utilizzo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati (art. 4, comma 1, lett. a). Ai fini della normativa sulla tutela della privacy è indifferente che tali operazioni siano svolte con o senza l ausilio di mezzi elettronici, o comunque automatizzati; perciò, anche i trattamenti effettuati manualmente, semplicemente utilizzando dei supporti cartacei, sono comunque assoggettati al Codice della privacy. In termini generali, si può affermare che le tutte operazioni di trattamento dei dati personali possono essere raggruppate in tre tipologie, a seconda che il loro fine sia: il reperimento delle informazioni, il trattamento interno delle informazioni, l uso delle informazioni nei rapporti con l esterno. 1.6.1 Il reperimento delle informazioni Questa tipologia di trattamento, tecnicamente definita raccolta di dati, riguarda l acquisizione delle informazioni, in qualunque modo essa avvenga: ad esempio, acquisendole direttamente dalla persona interessata (cioè dal soggetto stesso al quale le informazioni si riferiscono), ovvero reperendole presso soggetti terzi rispetto al soggetto
DELIBERA DI G.C. N. 41 DEL 20.3.2007 11 a cui si riferiscono i dati, o, ancora, ricavandole dalla consultazione di elenchi, atti o documenti di qualunque tipo. 1.6.2 Il trattamento interno delle informazioni Questa tipologia di trattamento comprende le varie operazioni poste in essere da chi raccoglie le informazioni (cioè dagli Incaricati del trattamento), per organizzare le informazioni stesse e renderle agevolmente usufruibili da se stessi o da altri. Tali operazioni sono: la registrazione dei dati, cioè il loro inserimento in supporti, informatici o cartacei, al fine di rendere i dati disponibili, automaticamente o manualmente, per i successivi trattamenti; l organizzazione dei dati in senso stretto, cioè il processo di trattamento che ne favorisce la fruibilità, attraverso l aggregazione o la disaggregazione dei dati, l accorpamento, la catalogazione, eccetera; l elaborazione dei dati, cioè le operazioni che attribuiscono significatività ai dati in relazione allo scopo per il quale essi sono stati raccolti; la selezione, l estrazione ed il raffronto dei dati, che sono operazioni specifiche che rientrano nella categoria più generale dell elaborazione; la modificazione dei dati registrati, in relazione a variazioni o a nuove acquisizioni di dati; l interconnessione, cioè la messa in relazione di banche dati diverse e distinte tra loro, al fine di compiere ulteriori processi di elaborazione, selezione, estrazione o raffronto; il blocco, ovvero la conservazione dei dati con sospensione temporanea di ogni tipo di trattamento su di essi; la conservazione dei dati, cioè la loro semplice detenzione, che però è un operazione di trattamento alla quale la legge dedica particolare attenzione sotto il profilo della sicurezza; la cancellazione e la distruzione (in senso fisico) dei dati, che sono operazioni di carattere definitivo (poiché comportano la soppressione dei dati), il cui compimento fa sorgere l obbligo di effettuare taluni specifici adempimenti. 1.6.3 L uso delle informazioni nei rapporti con l esterno Questa tipologia di trattamento comprende una serie di trattamenti più delicati, perché è con essi che si può concretamente ledere la sfera della privacy altrui. Tali trattamenti sono genericamente definiti come utilizzo, cioè la realizzazione dello scopo per cui si è provveduto alla raccolta ed ai trattamenti interni dei dati personali. L utilizzo delle informazioni può avvenire in maniera diretta, cioè instaurando un rapporto con la persona fisica o giuridica sul conto della quale si sono raccolte le informazioni (cioè con l interessato al quale si riferiscono i dati personali raccolti), ovvero può consistere nel mettere a disposizione di terzi le informazioni raccolte (utilizzo indiretto). Le operazioni di utilizzo alle quali la legge dedica le maggiori attenzioni (poiché si tratta di quelle potenzialmente più lesive della privacy degli interessati), sono quelle con cui si mettono a disposizione di terzi i dati personali raccolti. Tali operazioni sono:
DELIBERA DI G.C. N. 41 DEL 20.3.2007 12 la comunicazione, cioè il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; la diffusione, cioè il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione (esempi tipici di diffusione si hanno quando i dati personali di un soggetto sono inseriti in un elenco conoscibile da chiunque, ovvero in un sito Internet, in un avviso al pubblico, in un manifesto, in un depliant, eccetera). 1.6.4 Le implicazioni operative Data la delicatezza delle operazioni di trattamento con cui si mettono a disposizione di terzi i dati personali raccolti, nel presente Regolamento è posto un particolare accento sui dati che Lei, in relazione allo svolgimento delle Sue specifiche mansioni, è autorizzato a comunicare a soggetti terzi esterni alla nostra realtà, ovvero a diffondere all esterno. Qualora, nello svolgimento della Sua attività lavorativa, Lei si trovasse nella situazione di dovere procedere alla comunicazione di dati a soggetti terzi, estranei alla nostra organizzazione, ovvero alla loro diffusione, oltre i limiti previsti nella Sua specifica lettera di incarico, è invitato a rivolgersi subito al Responsabile del trattamento al quale Lei fa riferimento, per ricevere le specifiche istruzioni del caso. 2. PRESCRIZIONI GENERALI SU COME DEVE AVVENIRE IL TRATTAMENTO DEI DATI Nello svolgimento delle mansioni che Le sono affidate, Lei dovrà avere cura dei dati personali del cui trattamento è stato incaricato, e in particolare dovrà osservare le specifiche disposizioni per il trattamento che sono contenute nella Sua lettera individuale di incarico, oltre alle istruzioni di carattere generale che sono contenute nel presente Regolamento. In particolare: Se Lei è incaricato del trattamento manuale di dati sensibili contenuti su supporti cartacei, al termine del loro trattamento dovrà riporre i documenti che contengono tali dati negli archivi (costituiti da armadi, cassettiere od altri contenitori muniti di serratura) situati nel Suo ufficio o nell archivio dell Ufficio al quale Lei appartiene; per la consultazione e per effettuare ogni altro trattamento dei dati sensibili contenuti su supporti cartacei, al di fuori del normale orario di lavoro, Lei dovrà essere autorizzato espressamente dal Responsabile del trattamento al quale Lei fa riferimento, che dovrà consegnarle l apposito Registro degli accessi all archivio controllato, effettuati nell archivio contenente dati sensibili fuori dell orario normale di lavoro, che Lei dovrà compilare, secondo quanto indicato nel successivo paragrafo 4; al termine dell orario di lavoro Lei dovrà spegnere la luce del Suo ufficio e spegnere il Suo computer, compreso il video e la stampante, per evitare il rischio di incendio dovuto a surriscaldamento della macchina; Lei non dovrà assolutamente comunicare la Sua password di rete a nessuno; i dati personali oggetto di trattamento da parte Sua dovranno essere: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi;
DELIBERA DI G.C. N. 41 DEL 20.3.2007 13 c) utilizzati in altre operazioni di trattamento in termini non incompatibili con scopi determinati, espliciti e legittimi e comunque solo nei limiti in cui il trattamento sia necessario per il funzionamento della nostra organizzazione; d) esatti e, se necessario, aggiornati; e) pertinenti, completi e non eccedenti rispetto alle finalità per le quali i dati sono stati raccolti o successivamente trattati; f) conservati in una forma che consenta l identificazione dell interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali i dati sono stati raccolti o successivamente trattati, ferma restando la conservazione dei dati per tutto il tempo indicato da specifiche norme di legge o di regolamento (ad es. in materia fiscale o previdenziale); inoltre, sarà Sua cura effettuare le operazioni di trattamento che Le sono affidate nel rispetto delle disposizioni di legge, verificando in particolare, tramite il Responsabile del trattamento al quale Lei fa riferimento, che ai soggetti interessati (cioè ai soggetti ai quali si riferiscono i dati personali che sono trattati) sia stata data la preventiva informativa e ne sia stato ottenuto, ove fosse necessario, il consenso espresso; nell ambito della prescrizione di carattere generale secondo la quale il trattamento dei dati personali deve avvenire secondo correttezza, richiamiamo la Sua attenzione sulla necessità di dare prontamente soddisfazione alle eventuali richieste che i soggetti interessati dovessero rivolgerle direttamente, conformemente a quanto prescritto dall art. 7 (Diritto di accesso ai dati personali ed altri diritti) e dall art. 10 (Riscontro all interessato) del D.Lgs.196/03, segnalando, inoltre, tempestivamente tali richieste al Responsabile del trattamento al quale Lei fa riferimento, per ricevere le istruzioni del caso, qualora il loro soddisfacimento esuli dai Suoi compiti specifici. 3. DESCRIZIONE DEGLI INCARICHI AFFIDATI In relazione alle Sue mansioni lavorative, Le è stato affidato l incarico di trattare i dati personali e le banche dati che sono specificati nella Sua lettera di nomina ad Incaricato del trattamento ; tali dati, come già detto, sono prevalentemente di natura comune e consistono in informazioni di carattere anagrafico ed in altre notizie relative ai clienti, ai fornitori (ed eventualmente ai dipendenti) del nostro Ente, il cui trattamento è necessario in relazione allo svolgimento della Sua specifica attività lavorativa. Tali dati potranno da Lei essere comunicati al di fuori della nostra realtà esclusivamente nei casi in ciò cui sia indispensabile in relazione al trattamento al quale Lei è autorizzato e secondo le istruzioni che Lei ha ricevuto o riceverà dal Responsabile del trattamento al quale Lei fa riferimento. Per il trattamento dei dati ai quali Lei è autorizzato ad accedere, Lei potrà utilizzare gli strumenti di trattamento indicati nella Sua lettera di incarico e su tali dati personali Lei potrà effettuare unicamente i trattamenti espressamente specificati nella medesima lettera. 4. MISURE FISICHE DI CUSTODIA DEI DATI
DELIBERA DI G.C. N. 41 DEL 20.3.2007 14 I dati comuni su supporto cartaceo o magnetico, necessari per lo svolgimento delle Sue mansioni lavorative, sono custoditi negli archivi dell Ufficio nel quale Lei presta servizio, cioè negli armadi, negli scaffali, nelle cassettiere e nei classificatori che si trovano negli uffici nei quali Lei esplica normalmente la Sua attività lavorativa. Tali archivi sono ad accesso selezionato, perciò Lei potrà accedervi nei limiti in cui ciò sia strettamente necessario per prelevare e riporre i documenti cartacei e gli eventuali supporti informatici rimovibili, necessari per lo svolgimento delle Sue mansioni lavorative. Durante i periodi di Sua temporanea assenza ed al termine della giornata lavorativa, i documenti cartacei ed i supporti informatici rimovibili contenenti dati personali, dovranno preferibilmente essere da Lei riposti nei cassetti di cui è dotata la Sua scrivania, ovvero negli armadi chiusi a chiave dell archivio dell Ufficio al quale Lei appartiene. Una volta terminato il lavoro per svolgere il quale Lei ha dovuto utilizzare i documenti cartacei o i supporti rimovibili contenenti dati personali, Lei dovrà rimetterli nell archivio dal quale li ha prelevati. Gli eventuali dati sensibili, necessari per lo svolgimento delle Sue mansioni lavorative, devono essere sempre custoditi con particolare cura nell archivio dell Ufficio nel quale Lei presta servizio. L archivio è costituito dagli armadi e/o schedari muniti di serratura ed è ad accesso controllato, perciò Lei potrà accedervi solo previo utilizzo delle chiavi, che durante l orario lavorativo possono rimanere inserite nelle serrature, mentre dopo l orario di lavoro devono essere custodite dal Responsabile del trattamento al quale Lei fa riferimento, ovvero dall Incaricato della custodia dell archivio ad accesso controllato, che è stato da noi appositamente nominato. Qualora, in relazione alle Sue mansioni, Lei avesse la necessità di accedere all archivio contenente dati sensibili dopo il Suo orario di lavoro, dovrà rivolgersi al Responsabile del trattamento al quale Lei fa riferimento, ovvero all Incaricato della custodia dell archivio ad accesso controllato, per chiedere le chiavi per accedere all archivio ed ottenere il Registro degli accessi all archivio controllato, nel quale Lei dovrà: indicare la data e l ora dell accesso, descrivere sinteticamente le ragioni dell accesso ed apporre la Sua firma in caratteri leggibili. Lei dovrà controllare e custodire i documenti contenenti informazioni di carattere sensibile che Le sono necessarie per lo svolgimento del Suo lavoro, fino alla loro restituzione all archivio nel quale Lei li ha prelevati, in modo che ad essi non accedano persone prive di autorizzazione. Una volta terminato il lavoro, per svolgere il quale si è reso necessario utilizzare tali documenti, Lei dovrà riporli nell archivio dal quale li ha prelevati. 5. MISURE LOGICHE DI PROTEZIONE DEI DATI Per garantire l operatività del sistema informatico del nostro Ente abbiamo provveduto a nominare un Amministratore del sistema e cioè (dott. Luciano Schiaroli), il quale
DELIBERA DI G.C. N. 41 DEL 20.3.2007 15 ha provveduto a fornirle le Sue credenziali di autenticazione per l accesso all elaboratore elettronico che Le è stato assegnato. Tali credenziali sono costituite da un codice identificativo personale (user-id) associato ad una parola chiave (password) segreta che è necessaria per l accesso alla nostra rete locale. Il predetto Amministratore del sistema ha provveduto anche ad approntare il Suo profilo di autorizzazione, sulla base delle indicazioni avute dal Responsabile del trattamento al quale Lei fa riferimento, abilitandola ad accedere unicamente alle cartelle del Server nelle quali si trovano i dati necessari per lo svolgimento delle Sue specifiche mansioni lavorative. Al fine di consentire la protezione logica dei dati da Lei trattati, sarà Sua cura: provvedere all immediata sostituzione della password assegnatale dall Amministratore del sistema al primo utilizzo del Suo PC e, successivamente con la cadenza richiestale dal sistema informatico; mantenere sempre segreta la Sua password; La informiamo che saranno possibili controlli casuali sulle Sue vecchie password, al fine di verificare il rispetto da parte Sua delle prescrizioni in materia indicate nel successivo paragrafo 6.2: lunghezza minima della password, periodicità di sostituzione della password, non utilizzo di password precedentemente usate, non utilizzo di password semplici e banali. Qualora si rendesse necessario, il Responsabile del trattamento al quale Lei fa riferimento, Le fornirà l autorizzazione per accedere ai dati sensibili che Le occorrono per lo svolgimento delle Sue mansioni lavorative: sarà Sua cura mantenere il massimo riserbo su tali dati sensibili, che dovranno essere da Lei utilizzati nei limiti strettamente necessari per lo svolgimento della Sua specifica attività lavorativa. 6. MISURE PER IL CORRETTO UTILIZZO DEGLI STRUMENTI INFORMATICI Provvediamo qui di seguito a fornirle alcune norme procedurali e comportamentali di carattere generale, alle quali Lei dovrà scrupolosamente attenersi qualora ricorra uno dei casi indicati, in modo da assicurare un adeguata protezione dei dati personali che Lei è autorizzato a trattare nell ambito della nostra realtà aziendale. In particolare, La invitiamo ad osservare le disposizioni riportate qui di seguito per il corretto utilizzo degli strumenti informatici che Le abbiamo messo a disposizione per lo svolgimento delle Sue mansioni lavorative, in maniera tale da rispettare gli obblighi previsti dal D.Lgs.196/03 relativi all'adozione delle misure minime di sicurezza per il trattamento dei dati personali. 6.1 UTILIZZO DEL PERSONAL COMPUTER Si ricorda che il PC affidato all Incaricato del trattamento è uno strumento di lavoro e che ogni utilizzo non inerente all attività lavorativa può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza del sistema informativo e dei dati trattati con esso.
DELIBERA DI G.C. N. 41 DEL 20.3.2007 16 L accesso ad ogni PC è protetto da password che deve essere custodita da ciascun utente Incaricato del trattamento con la massima diligenza e non deve essere divulgata. Le password devono essere utilizzate per l'accesso alla rete, per l accesso a qualsiasi applicazione che lo preveda (come ad es. i programmi gestionali), per lo screen saver ed, eventualmente, anche per il collegamento a Internet. Non è consentita l attivazione della password di accensione (bios) da parte dell utente, senza una preventiva autorizzazione da parte dell Amministratore del sistema. L Amministratore del sistema, per l espletamento delle funzioni assegnategli, ha la facoltà di accedere, in qualunque momento, ai dati trattati da ciascun utente Incaricato del trattamento, ivi compresi gli archivi di posta elettronica. Non è consentito installare autonomamente programmi provenienti dall'esterno senza la preventiva autorizzazione dell'amministratore del sistema e senza una richiesta scritta da parte dell Incaricato del trattamento. Nel caso di necessità di acquisto o di dotazione di software applicativi e/o programmi pertinenti esclusivamente alcune postazioni di lavoro, deve essere comunque richiesta preventivamente dall Incaricato del trattamento un autorizzazione all Amministratore del sistema, in modo da garantire la compatibilità funzionale-tecnica ed il mantenimento dell efficienza operativa dei sistemi operativi e delle reti. Sussiste, infatti, il grave pericolo di introdurre involontariamente virus informatici o di alterare la stabilità delle applicazioni degli elaboratori e dei sistemi operativi. Non è consentito l uso di programmi diversi da quelli distribuiti ufficialmente dall Ente (per non incorrere in violazioni del D.Lgs. n. 518/1992 sulla tutela giuridica del software e della L. n. 248/2000 contenente le nuove norme di tutela del diritto d autore). Non è consentito all utente nominato Incaricato del trattamento modificare le caratteristiche impostate sul PC assegnatogli, né i punti rete di accesso, né le configurazioni della rete LAN presente nella sede, salvo espressa autorizzazione dell'amministratore del sistema. E responsabilità dell Amministratore del sistema verificare il coerente utilizzo delle risorse assegnate agli Incaricati del trattamento ed evitarne l uso improprio, come pure evitare l accesso alle risorse informatiche da parte di personale non autorizzato, compreso l utilizzo da parte di terzi di punti rete in luoghi non presidiati. Il PC deve essere spento ogni sera prima di lasciare gli uffici o in caso di assenze prolungate dall ufficio. In ogni caso lasciare un elaboratore incustodito connesso alla rete può essere causa di utilizzo da parte di terzi senza che vi sia la possibilità di provarne in seguito l indebito uso; pertanto deve essere sempre custodito utilizzando contemporaneamente i tasti Alt+Ctrl+Canc e ciccando poi su Blocca computer al fine di richiedere la password per un nuovo accesso. Non è consentita l installazione sul proprio PC o il collegamento sulla rete LAN di nessun dispositivo di memorizzazione, comunicazione o altro (come ad esempio masterizzatori, modem, PC portatili ed apparati in genere), se non con l autorizzazione espressa dell Amministratore del sistema, previa richiesta scritta dell Incaricato del trattamento.
DELIBERA DI G.C. N. 41 DEL 20.3.2007 17 Agli Incaricati del trattamento dei dati sensibili mediante elaboratori elettronici è vietato accedere contemporaneamente con lo stesso account (user-id + password) da più PC. Gli Incaricati del trattamento dei dati sensibili devono distruggere eventuali copie di sicurezza o supporti di tipo removibile (floppy, cd rom, nastri) contenenti i dati sensibili, se non è possibile rendere irrecuperabili i dati in essi contenuti. Ogni utente Incaricato del trattamento deve prestare la massima attenzione ai supporti informatici di origine esterna, avvertendo immediatamente l Amministratore del sistema nel caso in cui siano rilevati virus ed adottando quanto previsto dal successivo punto 6.7 relativo alle procedure di protezione antivirus. Non è consentita la memorizzazione nel PC di documenti informatici di natura oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica. Non è consentita l installazione e la duplicazione di software non coperto da regolare licenza fornita dal Settore/Servizio di appartenenza o dall Amministratore del Sistema; Non è consentita l installazione di software libero non soggetto a licenza d uso, non autorizzato dal Settore/Servizio di appartenenza o dall Amministratore del Sistema; Non è consentita l installazione di software non autorizzato, finalizzato ad alterare la funzionalità del collegamento in rete della stazione di lavoro; onde evitare il grave pericolo di introdurre virus informatici, nonché di alterare la stabilità delle applicazioni dell elaboratore, è consentito installare programmi provenienti dall esterno solo se espressamente autorizzati dalla Direzione e/o dall Amministratore del Sistema; Non è consentita l alterazione degli indirizzi e dei protocolli di rete assegnati dall Amministratore del Sistema; Non è consentito utilizzare strumenti software e/o hardware atti ad intercettare, falsificare, alterare o sopprimere il contenuto di comunicazioni e/o documenti informatici; Non è consentito modificare le configurazioni impostate sul proprio PC; Non è consentita l inibizione o la sospensione, anche temporanea, del funzionamento del software ANTIVIRUS installato dall Amministratore del Sistema; Non è consentita l utilizzazione di funzioni e tecniche di condivisione dei propri archivi senza la contemporanea adozione di opportune parole chiave di accesso da fornire ai colleghi che ne debbano fare uso; Non è consentita l apertura di canali informativi telematici non autorizzati, da e verso l esterno alla Amministrazione Comunale in qualsiasi forma (trasferimento dischetti, modem, Internet, ecc.). Non è consentito da parte degli incaricati cedere ad altri l utilizzo del personal computer portatile.
DELIBERA DI G.C. N. 41 DEL 20.3.2007 18 Sui PC dotati di scheda audio e/o di lettore CD non è consentito l ascolto di programmi, files audio o musicali, se non a fini prettamente lavorativi. Non è consentito rimuovere, danneggiare o asportare componenti hardware. Non è consentito utilizzare qualunque tipo di sistema informatico o elettronico per controllare le attività di altri utenti, per leggere, copiare o cancellare files e software di altri utenti. Non è consentito utilizzare software visualizzatori di pacchetti TCP/IP (sniffer), software di intercettazione di tastiera (keygrabber), software di decodifica password (cracker) e più in generale software rivolti alla violazione della sicurezza del sistema e della privacy. Non è consentito usare l anonimato o servirsi di risorse che consentano di restare anonimi. Non è consentito effettuare trasferimenti non autorizzati di informazioni (software, dati, ecc). E obbligatoria l utilizzazione di tutte le cautele riguardanti l uso di software del quale non si conoscano appieno le potenzialità; E obbligatoria la denuncia degli archivi informatici presenti sulla propria stazione di lavoro, ai sensi del D.Lgs n. 196 del 30.6.2003, nonché l applicazione di tutte le norme conseguenti alla gestione e mantenimento di tali informazioni regolarmente autorizzata; E obbligatoria la comunicazione al Settore/Servizio di appartenenza dell insorgere di condizioni anomale che possono comportare una non perfetta aderenza alle norme di comportamento indicate nelle presenti disposizioni. UTILIZZO DELLE STAMPANTI E DEI MATERIALI DI CONSUMO L utilizzo delle stampanti e dei materiali di consumo in genere (carta, inchiostro, toner, floppy disk, supporti digitali come CD e DVD) è riservato esclusivamente ai compiti di natura strettamente istituzionale. Devono essere evitati in ogni modo sprechi dei suddetti materiali o utilizzi eccessivi. I documenti stampati devono essere subito ritirati dall utente che ha emesso la stampa. Per quanto concerne le stampanti di rete, che generalmente non risiedono in luoghi custoditi, è ancor più necessario un presidio al momento della stampa, vista la possibilità che il documento possa essere ritirato da persone non incaricate del trattamento effettuato. SCANNER I soggetti che provvedano all acquisizione in formato digitale della documentazione cartacea (utilizzando ad esempio uno scanner) devono verificare che l operazione avvenga correttamente e che il contenuto del documento oggetto di scansione sia correttamente leggibile; qualora vi siano errori di acquisizione ovvero si verifichino anomalie di processo, occorrerà procedere alla ripetizione delle operazioni; evitare di lasciare i documenti sul piano dello strumento.
DELIBERA DI G.C. N. 41 DEL 20.3.2007 19 6.2 UTILIZZO DELLA RETE INFORMATICA LOCALE (LAN) Le unità di rete (server) sono aree di condivisione di informazioni strettamente professionali e non possono in alcun modo essere utilizzate per scopi diversi. Pertanto qualunque file che non sia legato all attività lavorativa non può essere dislocato, nemmeno per brevi periodi, in queste unità. Su queste unità, potranno essere svolte regolari attività di controllo, amministrazione e backup da parte dell Amministratore del sistema. Al fine di garantire la corretta gestione delle politiche di sicurezza delle informazioni è vietato replicare sui dischi locali dei PC dati, banche dati e documenti senza esplicita autorizzazione dell Amministratore del sistema e senza l adozione di adeguate politiche di sicurezza. Al fine di non compromettere la continuità operativa del sistema l utente Incaricato del trattamento non deve eseguire installazioni di alcun tipo di software su proprio PC (compresi gli screen saver che si possono scaricare gratuitamente da Internet), senza avere prima consultato l Amministratore del sistema, in modo da impedire possibili conflitti con le applicazioni esistenti e per prevenire l attacco del sistema da parte di virus informatici. Per garantire la sicurezza informatica l Amministratore del sistema potrà effettuare controlli a campione, per verificare che nessun software non autorizzato sia stato installato sulle postazioni collegate alla rete LAN. Le password d ingresso alla rete ed ai programmi sono segrete e vanno comunicate e gestite dall Incaricato del trattamento secondo le procedure impartite. E assolutamente proibito entrare nella rete e nei programmi con nomi utente diversi dal proprio (o dai propri nel caso di accesso consentito su più punti della rete). L Amministratore del sistema può in qualunque momento procedere alla rimozione di ogni file o applicazione che riterrà essere pericolosi per la sicurezza, sia sui PC degli Incaricati del trattamento sia sulle unità di rete. Costituisce buona regola la periodica pulizia degli archivi (almeno ogni sei mesi), con cancellazione dei file obsoleti o inutili. Particolare attenzione deve essere prestata alla duplicazione dei dati. E, infatti, assolutamente da evitare un archiviazione ridondante. Ogni utente Incaricato del trattamento dispone nel server della rete LAN di una cartella corrispondente al proprio nome oppure di cartelle condivise di lavoro. Tale cartelle devono essere utilizzate sia per le normali operazioni di backup dei documenti elaborati, che per uso personale dell Incaricato del trattamento. La cartella personale collocata nel server garantisce la riservatezza, poiché solo l utente proprietario può accedervi e garantisce anche la sicurezza dei dati, grazie al sistema di salvataggio automatico sul server di rete. E cura dell utente Incaricato del trattamento effettuare la stampa dei dati solo se strettamente necessaria e ritirarla prontamente dai vassoi delle stampanti condivise. E buona regola per l Incaricato del trattamento evitare di stampare documenti o file non adatti (documenti molto lunghi o pesanti, come ad esempio quelli in formato.pdf
DELIBERA DI G.C. N. 41 DEL 20.3.2007 20 o file di contenuto grafico) sulle stampanti condivise. In caso di necessità della risorsa, la stampa in corso può essere cancellata dall Amministratore del sistema. Non è consentito collegare PC portatili od altri dispositivi alla rete LAN senza la preventiva autorizzazione dell Amministratore del sistema ed una verifica della conformità agli standard tecnici presenti nella rete. MODALITÀ DI ACCESSO ALLA RETE E AI SERVIZI/PROGRAMMI PER GLI UTENTI INTERNI Per essere autorizzati all uso delle risorse informatiche e dei relativi servizi, è necessario che gli utenti Interni, in accordo col proprio dirigente, presentino richiesta al CED. Nel caso fosse evidenziata dal Dirigente la necessità per l utente di accedere ai dati di competenza di un altro servizio, la richiesta di accesso dovrà essere approvata anche dal Dirigente del servizio responsabile del trattamento dei dati. Il CED provvede ad assegnare ad ogni utente un Account di rete e un Account per ogni servizio/programma autorizzato. Ogni Account è costituito dall accoppiamento di un Codice personale o Username con una Parola chiave o Password. Le modalità di uso e gestione degli Account sono definite da apposito regolamento. Per ogni servizio/programma vengono abilitate all utente solo le funzioni per le quali è stato autorizzato. MODALITÀ DI ACCESSO ALLA RETE E AI SERVIZI/PROGRAMMI PER GLI UTENTI ESTERNI Per essere autorizzati all uso delle risorse informatiche e dei relativi servizi, è necessario che gli utenti Esterni stipulino un apposita convenzione con il Comune di Pesaro. Il CED provvederà alla creazione di un account per l accesso alla rete con i privilegi minimi necessari per l attività che deve essere svolta. 6.3 GESTIONE DELLE PASSWORD Le password di ingresso alla rete, di accesso ai programmi e dello screen saver, sono configurate ed attribuite dall Amministratore del sistema. E consentita comunque l autonoma sostituzione da parte degli Incaricati del trattamento. Le password devono essere lunghe almeno 8 caratteri (salvo impedimenti tecnici delle applicazioni), e devono essere formate da lettere maiuscole e minuscole, numeri e, preferibilmente, caratteri speciali quali: &, %, #, $,, ~, ricordando che lettere maiuscole e minuscole hanno significati diversi per i sistemi ed evitando ovviamente di utilizzare password di senso logico immediato che sono facilmente individuabili (per es. nomi, date di nascita e simili). Le password utilizzate dagli Incaricati del trattamento per legge hanno una durata massima di 6 mesi, trascorsi i quali le password devono essere sostituite. In caso di un eventuale trattamento di dati sensibili la password deve, invece, essere modificata almeno ogni 3 mesi. E assolutamente vietato riutilizzare le password già utilizzate in precedenza. Nel caso si sospetti che la password abbia perso la segretezza, essa deve essere immediatamente sostituita.
DELIBERA DI G.C. N. 41 DEL 20.3.2007 21 Qualora l'utente Incaricato del trattamento venisse a conoscenza delle password di un altro utente, è tenuto a darne immediata notizia all Amministratore del sistema. Eventuali cambi di mansione che comportino modifiche o revoche di autorizzazioni all accesso delle risorse informatiche, devono essere tempestivamente comunicate all Amministratore del sistema, al fine di rendere possibili le modifiche dei profili di accesso alle risorse e la sostituzione delle password ove necessario. 6.4 UTILIZZO DEI SUPPORTI MAGNETICI RIMOVIBILI Tutti i supporti magnetici riutilizzabili (dischetti, cd, cassette, cartucce) contenenti dati devono essere trattati con particolare cautela, onde evitare che il loro contenuto possa essere recuperato; infatti, una persona esperta potrebbe recuperare i dati in essi memorizzati anche dopo la loro cancellazione. I supporti magnetici contenenti dati sensibili devono essere custoditi dagli Incaricati del trattamento in archivi o in cassetti chiusi a chiave. Al termine dell utilizzo dei supporti magnetici contenenti dati sensibili e prima di un eventuale loro riutilizzo, l Incaricato del trattamento deve ripulirli da ogni informazione in essi contenuta, adottando, se possibile, le procedure necessarie per cancellare tutti i dati che si trovano in tali supporti e se ciò non fosse possibile, dovrà provvedere alla distruzione fisica dei supporti. E vietato scaricare file contenuti in supporti magnetici e/o ottici non aventi alcun attinenza con la propria mansione lavorativa. Tutti i file di provenienza incerta, ancorché potenzialmente attinenti all'attività lavorativa, non devono essere utilizzati, né installati, né testati. Nel caso di effettiva necessità di un loro impiego devono essere sottoposti ad un preventivo controllo ed alla relativa autorizzazione all'utilizzo da parte dell Amministratore del sistema. 6.5 UTILIZZO DEI PC PORTATILI L utente Incaricato del trattamento è responsabile del PC portatile che eventualmente gli fosse assegnato temporaneamente dal Titolare del trattamento e/o dall Amministratore del sistema e deve custodirlo con diligenza, sia durante gli spostamenti, sia durante l utilizzo nel luogo di lavoro. Ai PC portatili si applicano tutte le regole di utilizzo previste per i PC connessi in rete. L utente Incaricato del trattamento al quale è stato assegnato temporaneamente un PC portatile, deve prestare particolare attenzione a provvedere alla rimozione di eventuali file elaborati sul portatile prima della sua riconsegna. I PC portatili utilizzati all'esterno della sede (in occasione di fiere, convegni, riunioni, eccetera), in caso di allontanamento dell utente, devono essere custoditi in un luogo protetto. Eventuali configurazioni di accesso remoto, dirette verso la rete LAN dell Ente o attraverso Internet, devono essere autorizzate esclusivamente a cura dell Amministratore del sistema.