Seleziona una pagina
Regolamento sull’uso degli strumenti informatici aziendali: ecco come redigerlo a norma GDPR

Regolamento sull’uso degli strumenti informatici aziendali: ecco come redigerlo a norma GDPR

È importante che le aziende adottino un regolamento interno sull’uso degli strumenti informatici utilizzati dai lavoratori e il cui scopo è quello di dettare le procedure per una corretta e adeguata gestione del patrimonio informativo aziendale. Ecco i consigli per redarlo nel rispetto delle normative vigenti!

Il regolamento sull’uso degli strumenti informatici aziendali ha lo scopo di dettare la procedura per una corretta e adeguata gestione delle informazioni. Detto regolamento va illustrato e spiegato ai dipendenti nonché a tutti coloro che sono incaricati a trattare i dati.

Anche il Garante per la protezione dei dati personali raccomanda l’adozione da parte dei datori di lavoro pubblici e privati di un regolamento interno, definito con il coinvolgimento delle rappresentanze sindacali e nel rispetto della Legge 20.05.1970, n. 300 (Statuto dei lavoratori), del Regolamento (UE) n. 2016/679 (GDPR) e del Decreto Legislativo 30.06.2003, n. 196 (Codice in materia di protezione dei dati personali).

Nel regolamento è necessario specificare che tutti gli strumenti utilizzati dal lavoratore, quali PC, notebook, tablet, smartphone, e-mail ed altri strumenti (di seguito più semplicemente “strumenti informatici”), sono messi a disposizione dall’Ente unicamente per svolgere la propria attività lavorativa.

Nell’utilizzare gli strumenti informatici messi a disposizione dall’azienda il dipendente è tenuto ad usare la massima diligenza, nel rispetto degli obblighi di cui agli articoli 2104 e 2105 del codice civile, utilizzandoli esclusivamente per ragioni di servizio.

Comportamenti difformi possono causare gravi rischi alla sicurezza ed all’integrità dei sistemi aziendali e possono essere oggetto di valutazione da un punto di vista disciplinare oltre che da un punto di vista penale.

L’azienda è tenuta a garantire a tutti i soggetti autorizzati a trattare i dati un’adeguata e continuativa formazione in merito ai rischi e alle problematiche relative alla sicurezza in materia di trattamento dei dati tramite l’utilizzo degli strumenti informatici.

Occorre lasciare sempre traccia di tutto quello che si va a fare tenendo un registro in cui si annotano, di volta in volta, le attività oggetto di formazione e di informazione.

Occorre poi fornire agli incaricati copia del regolamento e/o pubblicarlo sulla bacheca aziendale se presente. Ogni dipendente e collaboratore è tenuto a rispettare il regolamento sull’uso degli strumenti informatici aziendali e deve sottoscriverlo per accettazione di ogni norma in esso contenuta.

Occorre, infine, precisare che non sono installati o configurati sui sistemi informatici in uso agli utenti apparati hardware o strumenti software aventi come scopo il controllo a distanza dell’attività dei lavoratori o se questi controlli vengono effettuati indicare le modalità con cui verranno svolti in modo che i dipendenti siano sempre informati.

Indice degli argomenti

Regolamento sull’uso degli strumenti informatici aziendali: il contenuto

In primis occorre fare riferimento alle norme nonché ai provvedimenti principali in tema di strumenti informatici quali:

  1. la Legge 20.5.1970, n. 300, recante “Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e dell’attività sindacale nei luoghi di lavoro e norme sul collocamento”; in particolare l’art. 4, comma 1, della Legge 300/1970, secondo cui la regolamentazione dell’uso degli strumenti informatici non è finalizzata all’esercizio di un controllo a distanza dei lavoratori da parte del datore di lavoro ma solo a permettere a quest’ultimo di utilizzare sistemi informativi per fare fronte ad esigenze produttive od organizzative e di sicurezza nel trattamento dei dati personali;
  2. il Regolamento Europeo 679/16 “General Data Protection Regulation” (d’ora in avanti Reg. 679/16 o GDPR); in particolare viene garantito al singolo lavoratore il controllo sui propri dati personali secondo quanto previsto dagli articoli 15-16-17-18-20-21-77 del Reg. 2016/679;
  3. le “Linee guida del Garante per posta elettronica e internet” in Gazzetta Ufficiale n. 58 del 10 marzo 2007;
  4. l’articolo 23 del D.lgs. n. 151/2015 (c.d. Jobs Act) che modifica e rimodula la fattispecie integrante il divieto dei controlli a distanza, nella consapevolezza di dover tener conto, nell’attuale contesto produttivo, oltre agli impianti audiovisivi, anche degli altri strumenti «dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori» e di quelli «utilizzati dal lavoratore per rendere la prestazione lavorativa».

È quindi importante evidenziare le regole per l’utilizzo degli strumenti elettronici (in particolare l’uso dei PC e della posta elettronica).

 

Il primo concetto da far passare (in modo chiaro, preciso e puntuale) è che tutti gli strumenti informatici affidati ai dipendenti, compreso il PC, sono strumenti di lavoro. Ogni utilizzo non inerente all’attività lavorativa può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza.

Occorre che il dipendente/incaricato sia ben consapevole che gli Strumenti forniti sono di proprietà dell’Ente e devono essere utilizzati esclusivamente per rendere la prestazione lavorativa.

Le regole da indicare (senza pretesa di esaustività) possono essere le seguenti:

  1. non è consentito installare autonomamente programmi provenienti dall’esterno salvo previa autorizzazione esplicita dell’amministratore di sistema, in quanto sussiste il grave pericolo di portare virus e di creare rischi seri per la sicurezza informatica.
  2. non è consentito l’uso di programmi diversi da quelli distribuiti ed installati ufficialmente dal responsabile dei sistemi informatici. L’inosservanza di questa disposizione, infatti, oltre al rischio di danneggiamenti del sistema per incompatibilità con il software esistente, può esporre l’azienda a gravi responsabilità civili ed anche penali in caso di violazione della normativa a tutela dei diritti d’autore sul software.
  3. non è consentito all’utente modificare le caratteristiche impostate sul proprio PC, salvo previa autorizzazione esplicita dell’amministratore di sistema. Il personal computer, inoltre, deve essere spento ogni sera prima di lasciare gli uffici o in caso di assenze prolungate dall’ufficio.
  4. non è consentita l’installazione sul proprio PC di nessun dispositivo di memorizzazione, comunicazione o altro (come ad esempio masterizzatori, modem, ecc…), se non con l’autorizzazione espressa dell’amministratore di sistema. A tal proposito sarebbe altamente consigliato per l’azienda impedire la possibilità per i dipendenti /incaricati di poter salvare i dati e portarli all’esterno bloccando, per esempio, gli accessi alle usb o adottando procedure analoghe.
  5. l’accesso agli strumenti è protetto da password; per l’accesso devono essere utilizzati Username e password assegnate dall’Amministratore di Sistema. A tal proposito si rammenta che essi sono strettamente personali e l’utente è tenuto a conservarli nella massima segretezza. Certamente non con post-it attaccati al PC. A tal proposito è bene responsabilizzare i dipendenti sulle conseguenze di detto comportamento “apparentemente innocuo” e sulle responsabilità che ne derivano.

Occorre ben specificare che i log relativi all’utilizzo di strumenti, reperibili nella memoria degli Strumenti stessi ovvero sui server o sui router, nonché i file con essi trattati sono registrati e possono essere oggetto di controllo da parte del titolare del trattamento, attraverso l’amministratore di sistema, per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio.

I controlli potranno avvenire secondo le modalità previste dal regolamento ed andranno ben illustrati ai dipendenti/incaricati.

Regolamento sull’uso degli strumenti informatici aziendali: la posta elettronica

Ciascun dipendente/collaboratore si deve attenere alle regole di utilizzo dell’indirizzo di posta elettronica previste dal regolamento sull’uso degli strumenti informatici aziendali.

Occorre precisare che la casella di posta, assegnata dall’azienda all’utente, è uno strumento di lavoro. Le persone assegnatarie delle caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse. Ad ogni utente viene fornito un account e-mail nominativo quale nome.cognome@dominio dell’azienda.

L’utilizzo dell’e-mail deve essere limitato esclusivamente per scopi lavorativi, ed è assolutamente vietato ogni utilizzo di tipo privato. L’utente a cui è assegnata una casella di posta elettronica è responsabile del corretto utilizzo della stessa.

È preferibile che l’azienda fornisca caselle di posta elettronica associate a gruppi di lavoro e/o unità operative invece che mail nominative. Questo per evitare che i singoli soggetti mantengano l’esclusività su dati.

In ogni caso sarebbe bene precisare che la “personalizzazione” dell’indirizzo non comporta il suo carattere “privato”, in quanto trattasi di strumenti di esclusiva proprietà aziendale, messi a disposizione del dipendente al solo fine dello svolgimento delle proprie mansioni lavorative.

Nei messaggi inviati tramite posta elettronica aziendale (di servizio e/o nominative) verrà accluso il seguente testo: “Si segnala che il presente messaggio e le risposte allo stesso potranno essere conosciute dall’organizzazione lavorativa di appartenenza del mittente secondo le modalità previste dal regolamento Aziendale adottato in materia. Se per un disguido avete ricevuto questa e-mail senza esserne i destinatari vogliate cortesemente distruggerla e darne informazione all’indirizzo mittente”.

È bene insistere sul divieto di utilizzare la caselle di posta elettronica aziendale per l’invio di messaggi personali o per la partecipazione a dibattiti, forum o mail-list salvo diversa ed esplicita autorizzazione.

È buona norma evitare messaggi completamente estranei al rapporto di lavoro o alle relazioni tra colleghi. La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili e soprattutto allegati ingombranti.

È obbligatorio controllare i file allegati di posta elettronica prima del loro utilizzo. In particolare, si deve evitare, secondo le regole di buona diligenza, l’apertura e la lettura di messaggi di posta elettronica in arrivo provenienti da mittenti di cui non si conosce con certezza l’identità o che contengano allegati del tipo .exe, .com, .vbs, .htm, .scr, .bat, .js, .pif.

È vietato inviare catene telematiche (dette di Sant’Antonio). Se si ricevono messaggi di tale tipo, occorre comunicarlo tempestivamente all’amministratore di sistema. Non si devono in alcun caso attivare gli allegati di tali messaggi.

L’iscrizione a mailing-list o newsletter esterne con l’indirizzo ricevuto è concessa esclusivamente per motivi professionali. Prima di iscriversi occorre verificare anticipatamente l’affidabilità del sito che offre il servizio.

Nel caso in cui fosse necessario inviare a destinatari esterni messaggi contenenti allegati con dati personali o dati personali particolari è obbligatorio che questi allegati vengano preventivamente resi illeggibili attraverso la criptografia con apposito software (archiviazione e compressione con password). La password di cifratura deve essere comunicata al destinatario attraverso un canale diverso dalla mail (ad esempio per lettera o per telefono) e mai assieme ai dati criptati. Tutte le informazioni, i dati personali e/o sensibili di competenza possono essere inviati soltanto a destinatari – persone o Enti – qualificati e competenti.

Non è consentito l’invio automatico di e-mail all’indirizzo e-mail privato (attivando per esempio un “inoltro” automatico delle e-mail entranti), anche durante i periodi di assenza (es. ferie, malattia, infortunio ecc.). In questa ultima ipotesi, occorrerà prevedere l’utilizzazione di un messaggio “Out of Office” facendo menzione di chi, all’interno dell’Ente, assumerà le mansioni durante l’assenza, oppure indicando un indirizzo di mail alternativo preferibilmente di tipo collettivo, tipo ufficio…@DominioAzienda.

In caso di assenza improvvisa o prolungata di un dipendente e per improrogabili necessità legate all’attività lavorativa sarebbe auspicabile prevedere che il titolare della casella di posta designi un altro dipendente (fiduciario) per verificare il contenuto di messaggi e per inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativa. Sarà compito del responsabile di settore e/o reparto assicurarsi che sia redatto un verbale attestante quanto avvenuto e che si sia informato il lavoratore interessato alla prima occasione utile.

È bene, altresì, vietare l’invio di messaggi di posta elettronica in nome e per conto di un altro utente, salvo sua espressa autorizzazione.

Occorrerà informare che, ai sensi del Codice civile e della normativa in materia fiscale, l’azienda è tenuta a conservare per dieci anni sui propri server di posta elettronica tutti i messaggi e-mail a contenuto e rilevanza giuridica e commerciale provenienti da e diretti a domini della stessa.

Tuttavia, in caso di assenza improvvisa o prolungata del dipendente ovvero per imprescindibili esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio le ovvero per motivi di sicurezza del sistema informatico, l’azienda per il tramite dell’amministratore di sistema potrà, solo se previsto specificatamente nel regolamento e sulla base delle norme indicate, accedere all’account di posta elettronica, prendendo visione dei messaggi, salvando o cancellando file.

Si dovranno informare i dipendenti che, in caso di cessazione del rapporto lavorativo, la mail affidata all’incaricato verrà disattivata immediatamente. Il sistema in ogni caso genererà una risposta automatica al mittente, informando che la casella di posta elettronica è stata disattivata.

Tutte le informazioni eventualmente raccolte saranno utilizzate a tutti i fini connessi al rapporto di lavoro, compresa la verifica del rispetto del presente Regolamento, che costituisce adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli ai sensi del Regolamento Europeo 2016/679.

Conclusioni

Il titolare del trattamento deve prestare molta attenzione nella redazione del regolamento sull’uso degli strumenti informatici aziendali e nell’inserimento di clausole che possono tutelarlo nel caso di contestazioni da parte dei propri dipendenti.

Sarà sempre bene formare i dipendenti, istruirli e vigilare costantemente in modo da evitare conseguenze spiacevoli da parte degli stessi.

Quanto ai controlli che possono essere svolti nei confronti dei dipendenti, essendo il tema molto interessante ma anche estremamente delicato si rinvierà ad un articolo ad hoc l’approfondimento del tema.

 

Avv. Clementina Baroni

Leggi l’articolo qui.

Tutelati con semplicità: l’Avv. Clementina Baroni nel suo libro spiega come tutelare sé stessi e i propri clienti.

Tutelati con semplicità: l’Avv. Clementina Baroni nel suo libro spiega come tutelare sé stessi e i propri clienti.

Please accept preferences, statistics, marketing cookies to watch this video.

“Sono passati alcuni mesi dall’uscita del mio libro e quando parlo con le persone il concetto principale che mi viene trasmesso è quello della facilità di lettura e della immediatezza nella comprensione.

E questo mi fa enormemente piacere!

Del resto questo è stato, fin dai primi tempi, l’obiettivo del libro.
Quello appunto di poter essere letto da tutti, compreso da tutti e soprattutto per far comprendere i comportamenti sbagliati che poniamo in essere quasi senza accorgerci ma che rischiano di compromettere seriamente i nostri dati personali e i dati delle altre persone con cui entriamo in contatto.
Questo libro è per tutti! Per imprenditori, per chi ha dipendenti o collaboratori, per l’utente singolo o per chi gestisce e tratta i dati anche in forma più complessa.
Attraverso la lettura del libro si possono ripercorrere casi comuni che capitano ogni giorno e che magari neanche vediamo.
Faccio un esempio. Due giorni fa mi chiama una cliente alla quale hanno rotto il vetro della macchina e prelevato due p.c che erano sul sedile posteriore.
La prima preoccupazione è stata quella di fare querela dato che trattavasi di furto oltre al fatto concreto del danno materiale subito.
Nessuno ha pensato ai dati personali e non solo contenuti in quei p.c.
Appena ho posto l’attenzione su quel punto anche la cliente si è illuminata ammettendo che mai ci aveva pensato e che quello era l’ultimo dei suoi problemi.
Ecco questo è l’obiettivo del mio libro e il motivo per cui ho scelto di scriverlo.
Fare in modo che tutti considerino i dati personali come qualcosa di importante, che capiscano dove vengono messi questi dati e che quindi li proteggano adeguatamente per evitare che, in caso di smarrimento o furto, questi vadano persi o divulgati illecitamente.
In un evento come quello descritto i nostri dati possono essere venduti o divulgati con evidente danno per la nostra riservatezza e per la nostra privacy.
E questo vale non solo per i dati presenti su p.c. ma anche per quelli che trasmettiamo via mail, che mettiamo su un cellulare o che divulghiamo tramite social o, ancora, per quelli che trasportiamo in forma cartacea o in forma digitale (tramite USB o hard disk).
Non conta il dispositivo informatico che utilizziamo ma contano le misure di sicurezza che applichiamo su questi dispositivi per tutelare i nostri dati.
Il libro quindi non fa altro che analizzata un problema. Un qualsiasi problema che si potrebbe verificare ogni giorno.
Lo analizza e individua i soggetti coinvolti. Sono formati questi soggetti? Sono istruiti? Sono sensibilizzati su come trattare i dati? Sanno che se un p.c aziendale viene smarrito devono avvisare immediatamente il loro datore di lavoro (e non dopo 10 giorni)?
Se i soggetti che operano sui dati in azienda sono formati e istruiti l’imprenditore avrà meno pensieri e preoccupazioni. Al contrario se nessuno, o pochi, hanno ricevuto le informazioni adeguate questo potrebbe costituire un serio problema e aumentare il rischio in modo considerevole.
E dopo aver individuato i soggetti coinvolti il libro prosegue analizzando come si sarebbe potuto evitare il problema (prevenzione) e come invece si può risolvere.
L’analisi viene fatta a 360° ponendo, tuttavia, l’attenzione alle persone coinvolte.
Nelle nostre aziende le persone sono tutto!!
Investi nelle persone del tuo staff e queste ti faranno progredire. Ometti di istruirle, di formarle e di sensibilizzarle e potranno rivelarsi una fonte di pericolo notevole per te e per gli altri. E questo vale per i dati personali ma anche per altre questioni presenti in azienda.
Questo libro vuole fornirti uno strumento per crescere ed evolverti.
A te la scelta di leggerlo e seguire i consigli in esso contenuti.
Buona lettura!”
Video dell’intervento dell’Avv. Clementina Baroni durante la presentazione del libro “Azienda + DPO e Privacy”:
Per vedere il video completo dell’evento clicca qui!