Pag. 1 di 6 Oggetto: D.Lgs. 196/2003 "Codice in materia di protezione dei dati personali" - TRATTAMENTO DI DATI PERSONALI E NORME DI SICUREZZA delle informazioni L'entrata in vigore del D. Lgs. 196/2003 "Codice in materia di protezione dei dati personali", ed in particolare l'avvicinarsi delle ultime scadenze da esso previste, ci ha imposto una serie di attività di riorganizzazione delle nostre procedure interne, in conseguenza delle quali abbiamo ravvisato la necessità di inviarle la presente lettera per amministrare nel dettaglio la materia in esame e metterla in condizioni di effettuare correttamente i trattamenti di dati personali svolti per conto della Sua Azienda. Ciò ha costituito valida occasione per richiamare e raccogliere i principi e le norme di comportamento già oggetto di passate circolari. L'Art. 4 del D.Lgs. 196/2003 (di seguito denominato "Codice") definisce, infatti, "INCARICATI" le "persone fisiche autorizzate a compiere operazioni di trattamento dal Titolare o dal Responsabile". Il comma 1 dell'art.30 del Codice detta il principio generale, per cui gli incaricati del trattamento devono elaborare i dati personali ai quali hanno accesso attenendosi alle istruzioni del titolare o dei responsabili eventualmente designati. Il comma 2 dello stesso articolo prevede che gli "incaricati" debbano essere designati individuando l'ambito del trattamento consentito e considera valida designazione la documentata preposizione della persona fisica ad una unità per la quale è individuato l'ambito del trattamento consentito agli addetti all'unità medesima. Ciò premesso, il personale che, per lo svolgimento delle proprie mansioni tratta dati e informazioni, è riconosciuto dalla Legge come "incaricato" indipendentemente dal numero e dalle caratteristiche dei trattamenti effettuati per conto dell'azienda, ed è pertanto tenuto ad osservare le norme di comportamento descritte nel presente documento in cui vengono fornite le opportune indicazioni, e chiarite le conseguenti responsabilità. REGOLE GENERALI E NORME DI COMPORTAMENTO Premesso che tutte le informazioni relative alle procedure interne, alle misure di sicurezza adottate, alle caratteristiche tecnico-funzionali delle attrezzature utilizzate per effettuare i trattamenti sono sottoposte alle stesse cautele valide per i dati sensibili nell'espletamento dei suoi incarichi Lei dovrà attenersi alle seguenti norme: operare nell'assoluto rispetto della riservatezza di qualsiasi dato o informazione ovvero quant'altro venga a conoscenza per effetto delle attività svolte nell ambito delle proprie competenze attenendosi pedissequamente alle misure di sicurezza, norme di comportamento e regolamenti interni predisposti e periodicamente aggiornati dall'azienda, che Le verranno comunicati, evitando di: - parlarne al di fuori degli uffici destinati alla loro trattazione o in presenza di persone non autorizzate a conoscere i dati oggetto della conversazione; - farne oggetto di conversazione con chiunque non sia autorizzato. Comportamento al telefono Comunicazioni Verbali: Dati personali comuni e sensibili relativi a dipendenti, Utenti, visitatori, collaboratori esterni etc. non possono essere trattati telefonicamente tranne che nei seguenti casi: - l interlocutore è una persona autorizzata ad accedere ai dati richiesti e non vi sono dubbi circa la sua identità, - In particolare, nella gestione dei servizi che comportano il trattamento via telefono di dati personali relativi a soggetti (sia persone fisiche che persone giuridiche) che hanno rapporti con NIKON Instruments S.p.A., l interlocutore telefonico povrà essere identificato con la richiesta di dati che lo riguardano già presenti nelle banche dati della NIKON Instruments S.p.A. che solo l interessato può avere prontamente disponibili. - la comunicazione è necessaria per salvaguardare l incolumità fisica dell interessato o di terzi Ovviamente durante la conversazione non devono essere presenti persone non autorizzate a conoscere i dati eventualmente comunicati.
Pag. 2 di 6 Nel caso sia necessario trattare verbalmente dati personali in situazioni di promiscuità con terzi estranei al trattamento stesso, dovranno essere adottate cautele atte ad evitare l'indebito ascolto della conversazione, ad esempio usando toni di voce adeguati o evitando di ripetere a voce alta dati identificativi degli interessati. Documenti cartacei contenenti dati personali: Devono essere opportunamente custoditi in modo da evitare che persone non autorizzate li possano visionare. A tal proposito i consegnatari dei documenti: - avranno cura di non applicare alle chiavi degli archivi targhette identificatrici - saranno responsabili della loro corretta conservazione Quando contengono dati sensibili: - Non devono essere assolutamente riprodotti (anche solo in parte), se non previa autorizzazione dell Ufficio originatore o del Responsabile competente. - Non devono essere portati a riunioni, a meno che non sia strettamente necessario o non vi sia alternativa. - Non possono essere portati all'esterno dello stabilimento senza autorizzazione del RTD. Possono essere consultati solamente dal personale che, per ragioni inerenti il proprio incarico, ne ha effettiva necessità. Non possono essere dati in consegna ad alcuno se non previa autorizzazione dell Ufficio originatore o del Responsabile. Non possono mai essere lasciati incustoditi e devono essere sempre opportunamente riposti prima di lasciare l'area di lavoro. Inoltre, al termine della giornata lavorativa tutte le minute, veline, residui di carta in genere, usati per trattare i dati, non possono essere normalmente gettati tra i rifiuti ma devono essere distrutti Trattamento di dati personali mediante strumenti elettronici L'accesso ai dati è permesso utilizzando l apposito codice identificativo personale (nome utente o user-id) a Lei eventualmenteassegnato, associato ad una parola chiave (password). Gli incaricati non devono tenere traccia scritta identificabile delle password. La Password di lavoro: - è strettamente personale. Non è cedibile a terzi per nessun motivo; - non deve contenere riferimenti agevolmente riconducibili all incaricato; - la sua lunghezza non può essere inferiore agli 8 caratteri; - deve essere autonomamente modificata al primo utilizzo e, in seguito, almeno ogni 90 giorni. Vi è la possibilità che alcuni sistemi elettronici aziendali siano accessibili solamente con la password impostata dall'utente stesso, (es.: computer palmare, computers portatili, files di "microsoft office"), nell'utilizzo di tali attrezzature l'assegnatario ha l'obbligo: - di effettuare un salvataggio dei dati almeno settimanale sull'area di rete a lui assegnata, - di aggiornare il software antivirus con I sistemi indicati dal Responsabile Information Technology (RIT) ALMENO UNA VOLTA AL MESE. - di comunicare di volta in volta al RIT o alla persona da questi indicata la password impostata secondo i regolamenti aziendali. La comunicazione deve avvenire su supporto cartaceo chiuso in busta sigillata su cui l'incaricato appone la propria firma a garanzia da eventuali manomissioni. Sulla busta dovrà essere riportata la dizione: <<password per l'accesso al in dotazione al >>. Il RIT, fatta salva la possibilità di accesso ai dati personali, può esimere da tale obbligo Ogni qual volta gli incaricati devono abbandonare il proprio ufficio o posto di lavoro, anche per breve tempo, devono aver cura di: - verificare che persone non autorizzate non possano accedere ai dati personali, eventualmente uscendo dall'ambiente di lavoro in modo che sia necessaria la password per iniziare nuovamente le operazioni; - non lasciare supporti per la memorizzazione dei dati (Hard disk removibili, cd, floppy, etc.) incustoditi sopra la scrivania. Gestione e conservazione dei supporti per la memorizzazione dei dati - supporti, magnetici e non, contenenti dati personali:
Pag. 3 di 6 - vanno custoditi con le stesse modalità valide per i documenti cartacei - non possono essere reimpiegati per altri scopi - in caso di malfunzionamenti, devono essere fisicamente distrutti - quando contengono dati sensibili devono essere etichettati in modo che siano immediatamente identificabili: - il tipo di contenuto del supporto - il nome dell Incaricato cui è delegata la gestione del supporto stesso E' fatto obbligo di: - impostare lo screen saver con password - denunciare o comunicare immediatamente ai responsabili smarrimenti compromissioni o alterazioni indebite su dati personali - controllare a vista e non abbandonare mai (compatibilmente con le esigenze) il personale esterno presente nelle aree sensibili. E importante ricordare che il Responsabile delle risorse informatiche (RIT) è in condizioni di garantire la recuperabilità ed un adeguato livello di sicurezza solo per i file memorizzati su dischi di rete, che sono sottoposti a salvataggio periodico; Ne deriva che è essenziale salvare sulla rete i file importanti, confidenziali o contenenti dati personali. E' tassativamente vietato: - l'utilizzo della casella di posta elettronica per effettuare trattamenti di dati personali sensibili o giudiziari senza l'espressa autorizzazione del Responsabile delle risorse informatiche - eseguire qualunque attività installativa o manutentiva sui sistemi elaborazione dati, periferiche comprese, senza autorizzazione del Responsabile delle risorse informatiche - l'impianto di qualsiasi opera, software, sistema o servizio accessorio agli apparati e relative periferiche, senza l'autorizzazione scritta del Responsabile delle risorse informatiche - limitare in alcun modo l accesso da parte del Responsabile delle risorse informatiche o di suoi incaricati alle postazioni di lavoro - creare nuove banche dati senza l'autorizzazione del Responsabile delle risorse informatiche o della Direzione di riferimento. - l'utilizzo sui sistemi aziendali di supporti esterni per l'archiviazione dei dati senza l'esplicita autorizzazione del Responsabile Utilizzo della casella di posta elettronica aziendale La casella postale e la rete sono di proprietà dell Azienda e sono resi disponibili esclusivamente per ragioni di lavoro. Non sono, quindi, previste ipotesi di utilizzo della casella postale a fini personali. Purtuttavia non è possibile escludere a priori una sia pur improbabile ed incidentale presenza di informazioni non attinenti all'attività lavorativa contenute in comunicazioni ricevute dall'esterno, che devono essere immediatamente cancellate. In riferimento a tali informazioni si fa comunque presente che il sistema (server e pc locale) per default ne tiene traccia ed effettua una copia di backup, accessibile per questioni tecniche dal system manager, che ha istruzione di cancellare, previo avviso all interessato, tutti i dati non attinenti alle attività lavorative ogni qual volta li rilevi, salvo che non costituiscano prova di illeciti perpetrati dal personale che devono essere obbligatoriamente segnalati alle Autorità competenti. Dovranno essere evitate e-mail oltraggiose e offensive e si dovranno usare tutte le cautele necessarie al fine di scongiurare l intercettazione della corrispondenza riservata È espressamente vietato l utilizzo di posta elettronica per la partecipazione a dibattiti, forum, maillist e chat, salvo diversa ed esplicita autorizzazione È altresì vietato utilizzare caselle postali personali tramite gli accessi derivanti dai pc aziendali. In caso di Sua assenza dal lavoro, la Società potrà accedere alla casella di posta elettronica assegnata alla Sua posizione per garantire continuità ed efficienza nell'attività lavorativa. Inoltre, la manutenzione periodica della rete, potrebbe comportare l esigenza di accesso alle caselle di posta elettronica. In quanto strumento di lavoro, la casella di posta elettronica può essere utilizzata dalla Società per mandare all assegnatario della casella stessa comunicazioni confidenziali, è
Pag. 4 di 6 pertanto proibito abilitare altro personale o terze persone all apertura della propria casella di posta elettronica Trasmissione dei dati: è categoricamente proibito l utilizzo di sistemi di interconnessione diversi da quelli autorizzati ed installati dal Responsabile delle risorse informatiche nel caso fosse necessario trasmettere dati personali sensibili, i files dovranno essere protetti con un sistema di cifratura scelto dal Responsabile delle risorse informatiche Servizio Internet: Anche il servizio Internet è disponibile esclusivamente per esigenze di lavoro e, conseguentemente, l azienda non è responsabile per eventuali diversi utilizzi che restano, comunque, vietati. L accesso al servizio, salvo diverse e documentate autorizzazioni, deve avvenire esclusivamente con le modalità stabilite dall Azienda. Collegamenti diversi saranno contestati agli interessati. In relazione ad un razionale utilizzo di Internet, l azienda comunica che potranno essere visitati solo i siti collegati agli scopi aziendali. Non potranno indicativamente essere effettuate operazioni di trading on line, remote banking, shopping virtuale, lo scarico di software gratuiti a meno che non vi sia una preventiva autorizzazione in tal senso. I lavoratori non potranno registrare siti non legati all attività lavorativa, finalizzati per esempio alla partecipazione a chat, forum, bacheche elettroniche, neppure utilizzando pseudonimi. I collegamenti ad Internet e lo svolgimento di tutte le attività tramite le apparecchiature informatiche dovranno durare il minor tempo possibile tenuto conto della mansione affidata. Anche in questo caso è importante far presente che i sistemi tengono traccia dei siti visitati e delle operazioni effettuate su internet associate al ciascun profilo utente. Tale traccia è accessibile per questioni tecniche al system manager, che ha istruzione: - di segnalare tutti gli elementi che creano danno all Azienda o pregiudizio per la sicurezza dei sistemi e, conseguentemente, per i dati su di essi gestiti - di cancellare tutti i dati non attinenti alle attività lavorative ogni qual volta li rilevi, salvo che non costituiscano prova di illeciti perpetrati dal personale che devono essere obbligatoriamente segnalati alle Autorità competenti. In ogni caso la Società periodicamente provvederà, richiamate le garanzie della privacy previste dal D.Lgs. 196/2003, anche ad un controllo quantitativo dell utilizzo della rete, per verificarne un uso equilibrato e coerente con l attività aziendale.
Pag. 5 di 6 NOZIONI generali I dati personali La legge definisce dato personale qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. I dati sensibili Sono i dati personali idonei a rivelare l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Gli "interessati" Il Codice definisce "interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali Cosa è il trattamento dei dati personali La legge definisce trattamento dei dati personali qualunque operazione o complesso di operazioni,..., concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. Le responsabilità previste dal Codice Il Decreto Lgs. 196/2003 nella Parte III - Titolo III "sanzioni", di seguito riportato in stralcio, prevede pesanti sanzioni sia amministrative sia penali (es.: arresto sino a due anni o ammenda da 10000,00 a 50000,00per mancata applicazione delle misure minime di sicurezza). Oltre alle sanzioni penali ed amministrative già accennate al precedente punto, a tutela degli interessati l Art.15 D.Lgs. 196/2003 prevede per chiunque effettui un trattamento illecito di dati personali l obbligo di risarcimento, ai sensi dell art. 2050 c.c., degli eventuali danni patiti dall interessato a causa del trattamento stesso. Le responsabilità civili, amministrative e penali sopra descritte ricadono in prima istanza sul Titolare del trattamento, sul responsabile nell'ambito della delega ricevuta dal Titolare, sugli incaricati al trattamento che non si attengono alle istruzioni, ai mansionari, alle procedure aziendali ricevute dal proprio responsabile di riferimento e/o nell'ambito delle attività di formazione.
Pag. 6 di 6 DECRETO LEGISLATIVO 30 giugno 2003, n.196 "CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI." (Gazzetta Ufficiale N. 174 del 29 Luglio 2003) TITOLO III "SANZIONI" - CAPO I "VIOLAZIONI AMMINISTRATIVE" art. 162 (Altre fattispecie) 1. La cessione dei dati in violazione di quanto previsto dall'articolo 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali è punita con la sanzione amministrativa del pagamento di una somma da cinquemila euro a trentamila euro. CAPO II ILLECITI PENALI art. 167 (Trattamento illecito di dati) 1. Salvo che il fatto costituisca piu' grave reato, chiunque, al fine di trarne per s è o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che il fatto costituisca piu' grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni. art. 168 (Falsità nelle dichiarazioni e notificazioni al Garante) 1. Chiunque, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca piu' grave reato, con la reclusione da sei mesi a tre anni. art. 169 (Misure di sicurezza) 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro. 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessit à o per l'oggettiva difficolt à dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili. art. 170 (Inosservanza di provvedimenti del Garante) 1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.