Pasticceria Gelateria Bar Macera

REGOLAMENTO AZIENDALE PER L’UTILIZZO DI INTERNET E DELLA POSTA ELETTRONICA ED ISTRUZIONI OPERATIVE AGLI INCARICATI DEL TRATTAMENTO DEI DATI

Applicazione GDPR 679/2016 e smi

8 novembre 2020

BAR PASTICCERIA MACERA

Via A. Grilli, 13 – 16041 Borzonasca (GE)

INDICE

1 PRINCIPI GENERALI - FINALITA’ 2

2 CAMPO DI APPLICAZIONE.. 2

3 RIFERIMENTI NORMATIVI E DEFINIZIONI: GDPR 679/2016 - d.lgs. 101/2018. 2

4 LINEE GUIDA.. 4

4.1 ACCESSO AI DATI DALLA POSTAZIONE DI LAVORO.. 5

4.2 GESTIONE DELLE PASSWORD.. 6

4.3 ANTIVIRUS. 6

4.4 SALVATAGGIO DEI DATI 6

4.5 PROTEZIONE DEI PC PORTATILI 6

4.6 INTERNET E POSTA ELETTRONICA.. 7

4.6.1 PARTICOLARI CAUTELE NELLA PREDISPOSIZIONE DEI MESSAGGI DI POSTA ELETTRONICA. 8

4.6.2 RICHIESTE DATI TRAMITE TELEFONO.. 9

4.6.3 CASI DI ESCLUSIONE DI UTILIZZO DEGLI STRUMENTI INFORMATICI 10

4.7 TRASMISSIONE E RIPRODUZIONE DEI DOCUMENTI 10

4.8 ARCHIVI CARTACEI 11

5 ACCESSO AI DATI DELL’INCARICATO.. 11

6 CONTROLLI DA PARTE DELLA TITOLARITA’ 12

7 RESPONSABILITÀ E SANZIONI 13

8 INFORMAZIONE ED ILLUSTRAZIONE DEL PRESENTE REGOLAMENTO.. 14

1 PRINCIPI GENERALI - FINALITA’

Il presente documento ha l’obiettivo di regolamentare l’utilizzo di internet e posta elettronica per gli incaricati di tali servizi nell’ambito della struttura aziendale della BAR PASTICCERIA MACERA.

Con il presente regolamento si intende fornire a ciascun dipendente le norme di “buon funzionamento” che l’Azienda ritiene opportuno vengano rispettate al fine di garantire la sicurezza e il miglior funzionamento di ciascuno dei mezzi e degli strumenti messi a disposizione per lo svolgimento dell’attività lavorativa.

È obiettivo dell’Azienda portare a conoscenza di ciascun dipendente e collaboratore, in modo chiaro e inequivoco, i divieti e le limitazioni che devono essere rigorosamente osservati nell’utilizzo della strumentazione aziendale per garantire la perfetta efficienza della stessa e per non arrecare danni all’Azienda.

Le presenti regole di sicurezza hanno valenza per l’Azienda si pongono l’obiettivo di fornire agli incaricati idonee misure di sicurezza e linee di comportamento adeguate per utilizzare in modo conforme e non rischioso la posta elettronica aziendale e la navigazione in internet. Il Regolamento è adottato in conformità al Provvedimento del Garante per la tutela dei dati personali del 1° marzo 2007 e al GDPR 679/2016 e smi. A tal proposito, allo scopo di rappresentare agli incaricati il quadro normativo di riferimento si specifica che le principali fonti normative in materia sono le seguenti:

- Decreto Legislativo n.196 del 30/06/2003 c.d. Codice della Privacy integrato e modificato dal Dlgs 101/2018 (di seguito “Codice”);

- GDPR 79/2016 Regolamento (Ue) 2016/679 Del Parlamento Europeo e del Consiglio del 27 aprile 2016

- Provvedimento del “Garante della Privacy” n. 13 del 01/03/2007 (di seguito “Provvedimento”).

Copia del presente Regolamento viene:

pubblicata sul sito internet aziendale nella sezione “Privacy Policy”

pubblicata sulla bacheca aziendale

consegnata a ciascun dipendente all’atto dell’assunzione ed a ciascun collaboratore ad inizio attività.

consegnata a ciascun dipendente ed a ciascun collaboratore quale aggiornamento delle condizioni del rapporto di lavoro.

L’inosservanza delle norme sulla privacy può comportare sanzioni di natura civile e penale per l’incaricato e per l’azienda per cui si raccomanda di prestare la massima attenzione nella lettura delle disposizioni di seguito riportate.

Le unità di rete sono aree di condivisione di informazioni strettamente professionali e non possono essere in alcun modo utilizzate per scopi diversi.

Per questo motivo, nessun file che non sia collegato all’attività lavorativa, può essere dislocato, nemmeno per brevi periodi, sulle unità di rete. L’Azienda si riserva la facoltà di procedere alla rimozione di ogni file o applicazione che riterrà non essere attinenti all’attività lavorativa ovvero essere pericolosi ovvero acquisiti o installati in violazione del presente regolamento sulle unità di rete;

2 CAMPO DI APPLICAZIONE

Le presenti Istruzioni si applicano:

- a tutti i lavoratori dipendenti e a tutti i collaboratori della BAR PASTICCERIA MACERA a prescindere dal rapporto contrattuale, senza distinzione di ruolo e/o di livello, con la stessa intrattenuto (lavoratori somministrati, collaboratori a progetto, agenti, stagisti, consulenti, ecc.) che si trovano ad operare sui dati personali di cui la BAR PASTICCERIA MACERA stessa è Titolare (di seguito “incaricato/i trattamento dati”);

- a tutte le attività o comportamenti comunque connessi all’utilizzo della rete Internet e della posta elettronica, mediante strumentazione aziendale o di terze parti autorizzate all’uso dell’infrastruttura aziendale.

3 RIFERIMENTI NORMATIVI E DEFINIZIONI: GDPR 679/2016 - d.lgs. 101/2018

Ai fini del presente regolamento s'intende per:

1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro;

4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;

5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

6) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

7) «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;

8) «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

9) «destinatario»: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

10) «terzo»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile;

11) «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento; (... omissis)

12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;

x1) Incaricato (dlgs 101/2018): e) all’articolo 126, comma 4, le parole «ad incaricati del trattamento che operano ai sensi dell’articolo 30,» sono sostituite dalle seguenti: «a persone autorizzate al trattamento, ai sensi dell’articolo 2 - quaterdecies, che operano» e le parole «dell’incaricato» sono sostituite dalle seguenti: «della persona autorizzata»; gli Incaricati sono le persone fisiche autorizzate a compiere le operazioni di trattamento dal Titolare o dal Responsabile del trattamento.

X2) per “ICT”, acronimo di Information and Communication Technology, (cioè Tecnologia dell'Informazione e della Comunicazione), si intende l'insieme di progettazione, sviluppo, implementazione, supporto e gestione dei sistemi informativi computerizzati e dei canali telematici di trasmissione utilizzati.

Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento: Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri: le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del Titolare o del Responsabile, attenendosi alle istruzioni impartite.

La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito.

È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

a) l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1;

b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato;

c) il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;

d) il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato;

e) il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;

f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;

h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;

i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale;

I dati personali e quelli “sensibili” sono soggetti all’obbligo di riservatezza da parte dell’incaricato, è vietata la diffusione e l’uso senza specifica autorizzazione.

4 LINEE GUIDA

Di seguito vengono descritte le norme a cui gli Incaricati devono attenersi nell’esecuzione dei compiti che implicano un trattamento di dati personali riferiti sia a persone fisiche che giuridiche.

Preliminarmente va evidenziato che, al fine di evitare che soggetti estranei possano venire a conoscenza dei dati personali oggetto del trattamento, l’Incaricato deve osservare le seguenti regole di ordinaria diligenza, nonché tutte le altre ulteriori misure ritenute necessarie per garantire il rispetto di quanto disposto dalla normativa in ambito della protezione dei dati personali:

· tutte le operazioni di trattamento devono essere effettuate in modo tale da garantire il rispetto delle misure di sicurezza, la massima riservatezza delle informazioni di cui si viene in possesso considerando tutti i dati confidenziali e, di norma, soggetti al segreto d’ufficio;

· le singole fasi di lavoro e la condotta da osservare devono consentire di evitare che i dati siano soggetti a rischi di perdita o distruzione, che vi possano accedere persone non autorizzate, che vengano svolte operazioni di trattamento non consentite o non conformi ai fini per i quali i dati stessi sono stati raccolti;

· in caso di allontanamento, anche temporaneo, dalla propria postazione di lavoro si devono porre in essere tutte le misure necessarie (es. blocco del pc o altro sistema) affinché soggetti terzi, anche se dipendenti, non possano accedere ai dati personali per i quali era in corso un qualunque tipo di trattamento, sia esso cartaceo che automatizzato;

· non devono essere eseguite operazioni di trattamento per fini non previsti tra i compiti assegnati dal diretto responsabile;

· devono essere svolte le sole operazioni di trattamento necessarie per il raggiungimento dei fini per i quali i dati sono stati raccolti;

· deve essere costantemente verificata l'esattezza dei dati trattati e la pertinenza rispetto alle finalità perseguite nei singoli casi.

Quanto sopra descritto impone, in altri termini, di operare con la massima attenzione in tutte le fasi di trattamento, dalla esatta acquisizione dei dati, al loro aggiornamento, alla conservazione ed eventuale distruzione.

Inoltre si rammenta che deve essere sempre rispettata la posizione ergonomica e corretta della propria postazione al vdt secondo quanto appreso nei corsi di formazione ex art 37 dlgs 81/2008 e smi.

Nei successivi paragrafi si riportano le norme che gli Incaricati devono adottare sia che trattino dati in formato elettronico che cartaceo.

4.1 ACCESSO AI DATI DALLA POSTAZIONE DI LAVORO

La casella di posta, assegnata all’utente DIPENDENTE, è uno strumento di lavoro. Le persone assegnatarie delle caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse.

È fatto divieto di utilizzare le caselle di posta elettronica per l’invio di messaggi personali o per la partecipazione a dibattiti, forum o mail-list salvo diversa ed esplicita autorizzazione da parte del Titolare del trattamento.

È fatto divieto di utilizzare le caselle di posta elettronica di altri utenti.

La postazione di lavoro deve essere:

· utilizzata solo per scopi legati alla propria attività lavorativa;

· utilizzata in modo esclusivo da un solo incaricato;

· protetta, evitando che terzi possano accedere ai dati che si sta trattando.

Occorre, inoltre, precisare che è dovere dell'Incaricato:

· non utilizzare in Azienda risorse informatiche private (PC, periferiche, token, ecc…);

· non installare alcun software se non specificamente autorizzato dalla direzione aziendale

· non lasciare sulla scrivania informazioni riservate su qualunque supporto esse siano archiviate (carta, CD, chiavette usb, memorie esterne, ecc.);

· richiamare le funzioni di sicurezza del sistema operativo in dotazione

· non lasciare il computer portatile incustodito sul posto di lavoro (al termine dell’orario lavorativo, durante le pause di lavoro, o durante riunioni lontane dalla propria postazione);

· non lasciare incustoditi cellulari e palmari;

· non utilizzare fax e/o telefono per trasmettere informazioni riservate e personali se non si è assolutamente certi dell’identità dell’interlocutore o del destinatario e se esso non è legittimato a riceverle4.2 GESTIONE DELLE PASSWORD

Modalità d’utilizzo del PC

Il PC che viene consegnato al dipendente contiene tutti i SOFTWARE necessari a svolgere le mansioni affidate. L’accesso al SOFTWARE installato sul proprio PC è regolato mediante l’inserimento di una PASSWORD.

La PASSWORD posta a protezione del PC è strettamente riservata, e deve essere ben protetta.

Per una corretta gestione delle password, ciascun Incaricato deve aver cura di:

· non trascriverla su supporti (es. fogli, post-it) facilmente accessibili a terzi, né lasciarla memorizzata sul proprio PC;

· cambiarla secondo le disposizioni aziendali (es: ogni 90 gg.)

· mantenerla riservata e non divulgarla a terzi;

· comporla utilizzando almeno 8 caratteri o, nel caso in cui lo strumento elettronico non lo consenta, con un numero di caratteri pari al massimo consentito;

· mantenerla riservata e non divulgarla a terzi;

· non permettere ad altri incaricati (es. colleghi) di operare con il proprio identificativo incaricato trattamento dati;

· non comunicarla mai per telefono, via sms, via email o altri sistemi salvo gravi necessità.

4.3 ANTIVIRUS

I Personal Computer (PC) in dotazione agli incaricati, pur protetti contro gli attacchi dei virus informatici mediante appositi programmi, rimangono potenzialmente esposti ad aggressioni di virus non conosciuti.

· Per ridurre le probabilità del verificarsi di tali attacchi è necessario che vengano osservate le seguenti regole:

· controllare che il programma antivirus installato sia aggiornato periodicamente e sia attivo;

· chiudere correttamente i programmi in uso;

· non aprire, se si lavora in rete, files sospetti e di dubbia provenienza;

· non scaricare o installare applicazioni/software che non siano state preventivamente approvate e autorizzate;

· verificare con l’ausilio del programma antivirus in dotazione ogni supporto magnetico contenente dati (chiavette USB o CD-Rom), prima dell'esecuzione dei file in esso contenuti;

· non utilizzare CD-Rom, chiavette USB o altri supporti elettronici di provenienza incerta;

· porre la necessaria attenzione sui risultati delle elaborazioni effettuate e sulle eventuali segnalazioni anomale inviate dal PC;

· usare correttamente e solo per esigenze di lavoro i servizi di posta elettronica e di Internet;

· non modificare le configurazioni impostate sul proprio PC;

· spegnere il PC al termine della giornata di lavoro;

Alla verifica di un malfunzionamento del PC, che può far sospettare la presenza di un virus, è bene che l’Incaricato:

a. sospenda ogni operazione sul PC evitando di lavorare con il sistema infetto;

b. contatti immediatamente il titolare del trattamento dati o il suo rappresentante se presente;

c. chiuda il sistema e le relative applicazioni.

4.4 SALVATAGGIO DEI DATI

Tutti i dati al termine della giornata lavorativa vanno salvati sul server aziendale e/o altro sistema in dotazione di backup.

4.5 PROTEZIONE DEI PC PORTATILI

Le presenti disposizioni sono riservate a chi dovesse avere in dotazione un personal computer portatile.Un computer portatile presenta maggiori vulnerabilità rispetto ad una postazione di lavoro fissa. Fatte salve tutte le disposizioni dei paragrafi precedenti, di seguito vengono illustrate le ulteriori precauzioni da adottare nell’uso dei dispositivi portatili:

• conservare lo strumento in un luogo sicuro alla fine della giornata lavorativa;

• non lasciare mai incustodito l’elaboratore in caso di utilizzo in ambito esterno all’azienda;

• avvertire tempestivamente l’Area IT, che darà le opportune indicazioni, in caso di furto di un PC portatile;

• essere sempre ben consapevole delle informazioni archiviate sul portatile il quale è maggiormente soggetto a furto e smarrimento rispetto alla postazione fissa;

• operare sempre nella massima riservatezza quando si utilizza il PC portatile in pubblico: i dati, ed in particolare le password, potrebbero essere intercettati da osservatori indiscreti.

ATTENZIONE: è consentito ai dipendenti portare con sé il personal computer portatile solo ed esclusivamente in caso di trasferte o missioni di lavoro: lo stesso deve essere custodito con diligenza, adottando tutti i provvedimenti che le circostanze rendono necessari per evitare danni o sottrazioni.

4.6 INTERNET E POSTA ELETTRONICA

Gli strumenti di comunicazione telematica (Internet e Posta elettronica) devono essere utilizzati solo ed esclusivamente per finalità lavorative. Sono vietati comportamenti che possano arrecare danno all'Azienda.

Ogni utilizzo non inerente all’attività lavorativa, infatti, può contribuire a causare disservizi, costi di manutenzione e, soprattutto, problemi di sicurezza.

In particolare, l’incaricato dovrà osservare le seguenti regole:

· è consentita la navigazione internet solo in siti attinenti e necessari per lo svolgimento delle mansioni assegnate;

· non è consentito scaricare software gratuiti (freeware o shareware) prelevati da siti Internet;

· non è consentito l’uso e/o l’installazione di programmi non distribuiti ufficialmente dall’Azienda o comunque dall’Azienda non autorizzati, in quanto sussiste il grave pericolo di importare virus informatici e di alterare la stabilità delle applicazioni dell’elaboratore ed in ogni caso di esporre l’Azienda a gravi responsabilità civili e penali in caso di violazione della normativa in tema di diritto d’autore sul software;

· non è consentita la registrazione a siti internet o partecipare a Forum di discussione se questo non è strettamente necessario per lo svolgimento della propria attività lavorativa;

· non è consentito l’utilizzo funzioni di instant messaging a meno che autorizzate da Titolare del Trattamento o dal suo Rappresentante se eletto;

· è vietato aprire e-mail e file allegati di origine sconosciuta o che presentino degli aspetti anomali (quali ad esempio, un soggetto non chiaro);

· non è consentito rispondere a messaggi provenienti da un mittente sconosciuto o di dubbio contenuto in quanto tale atto assicura al mittente l’esistenza del destinatario;

· è vietato l’utilizzo della posta elettronica per comunicare informazioni riservate, dati personali o dati critici, senza garantirne l’opportuna protezione;

· occorre sempre accertarsi che i destinatari della corrispondenza per posta elettronica siano autorizzati ad entrare in possesso dei dati che ci si appresta ad inviare;

· occorre sempre essere consapevoli che posta elettronica e navigazione internet sono veicoli per l’introduzione sulla propria macchina (e quindi in azienda) di virus e altri elementi potenzialmente dannosi; · è consentito solo l’utilizzo dei programmi ufficialmente installati dalla direzione aziendale e approvati dal titolare del trattamento;

· è vietato installare autonomamente programmi, sussistendo infatti il grave pericolo di introdurre virus informatici e/o di alterare la funzionalità delle applicazioni software esistenti, di violare la legge sul diritto d’autore non disponendo delle apposite licenze d’uso acquistate dall’Azienda; non è consentito quindi installare files o applicazioni non inerenti all’attività lavorativa o potenzialmente pericolosi per la sicurezza del sistema: l’Azienda pertanto si riserva la facoltà di procedere in ogni momento alla rimozione dei files o applicazioni presenti sui personal computer che riterrà non essere attinenti l’attività lavorativa ovvero essere pericolosi per la sicurezza del sistema ovvero acquisiti o installati in violazione del presente regolamento;

· è vietato modificare le caratteristiche impostate sulle dotazioni od installare dispositivi di memorizzazione, comunicazione o altro (ad esempio masterizzatori, modem, wi-fi o connect card), collegare alla rete aziendale qualsiasi apparecchiatura (ad es. switch, hub, apparati di memorizzazione di rete, ecc…), effettuare collegamenti verso l’esterno di qualsiasi tipo (ad es. tramite modem o connect card ecc.) utilizzando un pc che sia contemporaneamente collegato alla rete aziendale (creando così un collegamento tra la rete aziendale interna e la rete esterna);

· al fine di ottimizzare le risorse a disposizione della posta elettronica aziendale e migliorare le prestazioni del sistema si evidenzia che la casella di posta deve essere “tenuta in ordine” cancellando periodicamente o comunque se sono superati i limiti di spazio concessi, documenti inutili o allegati ingombranti.

· va sempre prestata la massima attenzione nell’utilizzo dei supporti di origine esterna (per es. chiavi USB, dischi esterni ecc.), avvertendo immediatamente il Titolare del trattamento e/o il Responsabile del trattamento, e/o All’amministratore di sistema se presente nel caso in cui siano rilevati virus.

Altre disposizioni

L’incaricato, in caso di assenza programmata (ad esempio per ferie o attività di lavoro fuori sede) deve attivare l’apposita funzionalità di sistema (cd. “Fuori Sede”) che consente di inviare automaticamente ai mittenti un messaggio di risposta contenente le “coordinate” (anche elettroniche o telefoniche) di un altro incaricato o altre modalità utili di contatto della struttura.

L’azienda, in caso di assenza improvvisa o prolungata dell’incaricato o comunque non programmata e per improrogabili necessità di sicurezza o di operatività del sistema, si riserva, per mezzo del Titolare del trattamento e dell’Amministratore di Sistema e Responsabile sistemi ICT ove presente, di accedere alla casella di posta elettronica dell’incaricato assente: per i dettagli si rimanda al paragrafo 5 “Accesso ai dati dell’incaricato”.

4.6.1 PARTICOLARI CAUTELE NELLA PREDISPOSIZIONE DEI MESSAGGI DI POSTA ELETTRONICA.

Gli incaricati sono invitati a leggere quotidianamente la posta elettronica e a rispondere in tempi ragionevoli alle e-mail ricevute.

Gli incaricati sono invitati a scrivere i propri messaggi di posta elettronica nel formato usualmente utilizzato, qualora non si siano previamente accertati che il destinatario è provvisto di un client di posta in grado di supportare la lettura di altri formati.

Nell’utilizzo della posta elettronica ciascun incaricato deve tenere in debito conto che i soggetti esterni possono attribuire carattere istituzionale alla corrispondenza ricevuta da dipendenti aziendali.

Pertanto si deve prestare particolare attenzione agli eventuali impegni contrattuali e precontrattuali contenuti nei messaggi.

La formulazione dei messaggi deve pertanto far uso di un linguaggio appropriato, corretto e rispettoso che tuteli la dignità delle persone, l’immagine e la reputazione dell’Azienda.

L’Azienda formula inoltre le seguenti regole di comportamento a cui gli incaricati devono attenersi:

a) conservare le comunicazioni inviate o ricevute, in particolare quelle dalle quali si possano desumere impegni e/o indicazioni operative provenienti dalla Committenza pubblica;

b) prestare attenzione ai messaggi di posta elettronica ed ai file, programmi e oggetti allegati, ricevuti da mittenti sconosciuti, con testo del messaggio non comprensibile o comunque avulso dal proprio contesto lavorativo. In tali casi gli incaricati devono in particolare:

- visualizzare preventivamente il contenuto tramite utilizzo della funzione “Riquadro di lettura” (o preview) e, nel caso si riscontri un contenuto sospetto, non aprire il messaggio,

- una volta aperto il messaggio, evitare di aprire gli allegati o cliccare sui “link” eventualmente presenti,

- cancellare il messaggio e svuotare il “cestino” della posta,

- segnalare l’accaduto al titolare del Trattamento e se presente al Responsabile del trattamento e/o all’Amministratore di Sistema

c) evitare di cliccare sui collegamenti ipertestuali dubbi presenti nei messaggi di posta: in caso di necessità, accedere ai siti segnalati digitando il nome del sito da visitare direttamente nella barra degli indirizzi nei consueti strumenti di navigazione;

d) in caso di iscrizione a servizi informativi accessibili via internet ovvero a servizi di editoria on line, veicolati attraverso lo strumento di posta elettronica:

- adoperare estrema cautela ed essere selettivi nella scelta della società che fornisce il servizio; in particolare l’adesione dovrà avvenire in funzione dell’attinenza del servizio con la propria attività lavorativa,

- utilizzare il servizio solo per acquisire informazioni inerenti finalità aziendali, facendo attenzione alle informazioni fornite a terzi in modo da prevenire attacchi di social engineering,

- in caso di appesantimento dovuto ad un eccessivo traffico di messaggi scambiati attraverso la lista di distribuzione, revocare l’adesione alla stessa. Si raccomanda, in proposito, di approfondire al momento dell’iscrizione le modalità per richiederne la revoca.

e) in caso di errore nella spedizione o ricezione, contattare rispettivamente il destinatario cui è stata trasmessa per errore la comunicazione o il mittente che, per errore, l’ha spedita, eliminando quanto ricevuto (compresi allegati) senza effettuare copia;

f) evitare di predisporre messaggi che contengano materiali che violino la legge sul diritto d’autore, o altri diritti di proprietà intellettuale o industriale.

g) Di regola non utilizzare posta elettronica e/o fax per l’invio di documenti in chiaro contenenti dati sensibili e/o giudiziari.

Distruzione delle copie cartacee non più occorrenti

Gli incaricati preposti alla duplicazione di documentazione devono procedere alla distruzione controllata delle copie superflue, non più occorrenti o che presentino una forma non corretta. E’ necessario che evitino di gettare la documentazione nel cestino della carta straccia senza aver previamente provveduto a rendere inintelligibili i dati impressi sul supporto.

Contenuto dei messaggi

Gli incaricati devono assicurarsi che nei loro messaggi elettronici non siano inserite inconsapevolmente informazioni su User e Password utilizzate per accedere ad altre applicazioni.

In particolare va usata la massima cautela nell’invio a mezzo posta elettronica di pagine internet che potrebbero contenere nell’indirizzo informazioni utili a risalire alla User/Password utilizzata.

Gli incaricati sono invitati a nominare correttamente i nomi dei file allegati alle e-mail, specificando, nel caso si procedesse ad inviare documenti soggetti a modifiche e revisioni, la versione corrente del file con dei numeri progressivi.

E’ esplicitamente vietato l’invio di messaggi in risposta a richieste di adesione a programmi di catene di email, indipendentemente dalle finalità presunte.

Gli incaricati sono invitati a prestare attenzione nell’utilizzo della funzione “Rispondi” e “Rispondi a tutti” nel caso il messaggio originario sia stato inviato ad un numero elevato di destinatari.

Per la trasmissione di file all’interno è possibile utilizzare la posta elettronica, prestando attenzione alla dimensione degli allegati. È obbligatorio controllare i file attachements di posta elettronica prima del loro utilizzo (non eseguire download di file eseguibili o documenti da siti Web o Ftp non conosciuti).

È vietato inviare catene telematiche (o di Sant’Antonio). Se si dovessero ricevere messaggi di tale tipo, si deve comunicarlo immediatamente al responsabile. Non si devono in alcun caso attivare gli allegati di tali messaggi.

È vietato rispondere ad e-mail di spam, in quanto una eventuale risposta conferma, a specifici programmi, l'esistenza della casella e-mail a ricevere posta, quindi altro spam.

4.6.2 RICHIESTE DATI TRAMITE TELEFONO

Nel caso di richieste di dati personali tramite telefono è necessario prestare attenzione a:

o verificare l’identità del richiedente (ad esempio formulando una serie di quesiti a mezzo di intervista guidata oppure attribuendo all’interessato un codice identificativo che quest’ultimo gli comunicherà previamente ad ogni comunicazione impersonale).

o chiedere il numero di telefono dal quale è effettuata la chiamata.

o controllare che il dato richiesto sia stato comunicato all’interessato fedelmente.

o È cura dell'utente effettuare la stampa dei dati solo se strettamente necessaria e di ritirarla prontamente dai vassoi delle stampanti.

È buona regola evitare di stampare documenti o file non adatti, o molto lunghi, su stampanti condivise o Nel caso in cui gli incaricati procedano ad acquisire in formato digitale della documentazione cartacea tramite scanner devono verificare che il contenuto del documento oggetto di scansione sia correttamente leggibile.

o Nel caso il file venga salvato, verificare che il file prodotto, venga salvato correttamente nella directory prescelta. Le misure di sicurezza applicate alle copie o alle riproduzioni dei documenti contenenti dati personali devono essere identiche a quelle applicate agli originali.

4.6.3 CASI DI ESCLUSIONE DI UTILIZZO DEGLI STRUMENTI INFORMATICI

Hanno diritto all’utilizzo degli strumenti informatici e ai relativi accessi solo i dipendenti che per funzioni lavorative svolgano una specifica attività lavorativa, come da incarichi in essere, oltre a personale esterno specificatamente autorizzato. Le esclusioni dall’utilizzo degli strumenti informatici sono strettamente connesse alla destinazione aziendale lavorativa degli strumenti stessi nonché al principio di necessità di cui al GDPR679/2016.

I casi di esclusione possono riguardare:

o utilizzo del PC

o utilizzo della posta elettronica

o accesso ad internet.

Eventuali casi di esclusione saranno comunicati individualmente e potranno riguardare uno o più dei casi sopra descritti. Tali esclusioni hanno la finalità di ridurre, a titolo cautelativo e preventivo, i pericoli e le minacce esposti nell’allegato 1, in ottemperanza con quanto previsto dal Provvedimento del Garante 1° marzo 2007 con il quale il datore di lavoro è chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori.

4.7 TRASMISSIONE E RIPRODUZIONE DEI DOCUMENTI

Al fine di prevenire eventuali accessi ai dati aziendali da parte di soggetti terzi non autorizzati, occorre adottare delle cautele nella trasmissione e riproduzione dei documenti contenenti dati personali. Quando le informazioni devono essere trasmesse telefonicamente occorre essere assolutamente certi dell’identità dell’interlocutore e verificare che esso sia legittimato ad ottenere quanto domandato. In particolare, nel caso di richieste da parte di terzi può essere necessario, a seconda della natura dei dati richiesti, procedere nel seguente modo:

• chiedere il nome del chiamante e la motivazione della richiesta;

• richiedere il numero di telefono da cui l’interlocutore sta effettuando la chiamata;

• verificare che il numero dichiarato corrisponda a quello del chiamante;

• procedere immediatamente a richiamare la persona che ha richiesto l’informazione, con ciò accertandosi della identità dichiarata in precedenza.

Quando il dato deve essere inviato a mezzo fax, posta elettronica, SMS, ecc. e, in particolar modo, nel caso in cui vengano inviati documenti contenenti dati sensibili occorre:

• prestare la massima attenzione affinché il numero telefonico o l’indirizzo e-mail immessi siano corretti;

• verificare che non vi siano inceppamenti di carta o che dalla macchina non siano presi più fogli e attendere sempre il rapporto di trasmissione per un ulteriore verifica del numero del destinatario e della quantità di pagine inviate;

• nel caso di documenti inviati per posta elettronica accertarsi, prima di confermare l’invio, di avere allegato il file giusto;

• in caso di trasmissione di dati particolarmente delicati è opportuno anticipare l’invio chiamando il destinatario della comunicazione al fine di assicurare il ricevimento nelle mani del medesimo, evitando che terzi estranei o non autorizzati conoscano il contenuto della documentazione inviata.

Tutti coloro che provvedono alla duplicazione di documenti con stampanti, macchine fotocopiatrici o altre apparecchiature, in caso di copia erronea o non leggibile correttamente, da cui potrebbero essere desunti dati personali, sono tenuti a distruggere il documento mediante apposita macchina “distruggi documenti” o con qualunque altro mezzo che ne renda impossibile la ricostruzione in modo da escludere qualunque possibilità da parte di estranei di venire a conoscenza dei dati medesimi.

4.8 ARCHIVI CARTACEI

Tutto il materiale cartaceo contenente dati personali non deve essere lasciato incustodito sulle scrivanie e, a fine lavoro, deve essere riposto in un luogo sicuro. Inoltre, occorre usare la medesima perizia nello svolgimento delle normali quotidiane operazioni di lavoro, per evitare che il materiale risulti facilmente visibile a persone terze o, comunque, ai non autorizzati al trattamento. In caso di trattamento di dati particolarmente sensibili (condizione di salute, dati giudiziari, ecc.), tutta la documentazione cartacea deve essere conservata in armadi/cassetti chiusi a chiave o stanze chiuse a chiave in caso di allontanamento, anche temporaneo, dalla postazione di lavoro.

L’accesso a tutti i locali aziendali deve essere consentito solo a personale preventivamente autorizzato dalla Titolarità.

La documentazione è conservata in appositi archivi dedicati: l’accesso è riservato al solo personale autorizzato. Nel caso in cui se la stampante non si trova in prossimità della scrivania occorre recarsi quanto prima a ritirare le stampe.

I dati sensibili eventualmente presenti sono conservati in locale dedicato chiuso a chiave, a disposizione del solo personale incaricato; nel caso in cui si utilizzi invece un armadio una cassettiera, anche questa chiusa a chiave a disposizione del solo personale incaricato.

5 ACCESSO AI DATI DELL’INCARICATO

Il Titolare del trattamento dati e/o L’Amministratore di Sistema qualora presente, può accedere ai dati trattati dall’incaricato tramite posta elettronica o navigazione in rete esclusivamente per motivi di sicurezza e protezione del sistema informatico (ad es., contrasto virus, malware, intrusioni telematiche, fenomeni quali spamming, phishing, spyware, etc.), ovvero per motivi tecnici e/o incaricativi e/o di regolare svolgimento dell’attività lavorativa (ad esempio, aggiornamento/sostituzione/implementazione di programmi, manutenzione hardware).

Fatta eccezione per gli interventi urgenti che si rendano necessari per affrontare situazioni di emergenza e massima sicurezza, il personale incaricato accederà ai dati su richiesta dell’incaricato e/o previo avviso al medesimo. Ove sia necessario per garantire la sicurezza, l’assistenza tecnica e la normale attività operativa, il personale incaricato avrà anche la facoltà di collegarsi e visualizzare in remoto il desktop delle singole postazioni. Lo stesso Titolare del trattamento dati e/o Amministratore di Sistema può, nei casi suindicati, procedere a tutte le operazioni di configurazione e gestione necessarie a garantire la corretta funzionalità del sistema informatico aziendale (ad es. rimozione di file o applicazioni pericolosi). Il Titolare del trattamento dati e/o l’Amministratore di Sistema se presente, in caso di assenza improvvisa o prolungata dell’incaricato o comunque non programmata e per improrogabili necessità di sicurezza o di operatività del sistema è abilitato ad accedere alla posta elettronica dell’incaricato per le strette necessità operative.

Di tale avvenuto accesso dovrà comunque essere data tempestiva comunicazione all’incaricato. Il Titolare del trattamento e/o L’Amministratore di Sistema può procedere a controlli sulla navigazione finalizzati a garantire l’operatività e la sicurezza del sistema, nonché il necessario svolgimento delle attività lavorative, es. mediante un sistema di controllo dei contenuti (es: Proxy server) o mediante “file di log” della navigazione svolta. L’eventuale controllo sui file di log da parte Titolare del trattamento e/o dell’Amministratore di Sistema non è comunque continuativo ed è limitato ad alcune informazioni (es. Posta elettronica: l’indirizzo del mittente e del destinatario, la data e l’ora dell’invio e della ricezione e l’oggetto - Navigazione internet: il nome dell’incaricato, l’identificativo della postazione di lavoro, indirizzo IP, la data e ora di navigazione, il sito visitato e il totale degli accessi effettuati) ed i file stessi vengono conservati per il periodo strettamente necessario per il perseguimento delle finalità organizzative, produttive e di sicurezza dell’azienda, e comunque non oltre 12 mesi, fatti salvi in ogni caso specifici obblighi di legge.

Il Titolare del trattamento dati e/o L’Amministratore di Sistema se presente, è altresì abilitato ad accedere ai dati contenuti negli strumenti informatici restituiti dall’incaricato all’azienda per cessazione del rapporto, sostituzione delle apparecchiature, etc. Sarà cura dell’incaricato la cancellazione preventiva di tutti gli eventuali dati personali eventualmente ivi contenuti. In ogni caso, la BAR PASTICCERIA MACERA garantisce la non effettuazione di alcun trattamento mediante sistemi hardware e software specificatamente preordinati al controllo a distanza, quali, a titolo esemplificativo:• lettura e registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori (log) al di là di quanto tecnicamente necessario per svolgere il servizio e-mail;

• riproduzione ed eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;

• lettura e registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo.

Il titolare del trattamento dei dati potrà autorizzare il responsabile dei sistemi informatici ad accedere alla casella di posta elettronica dell'utente, anche senza sua autorizzazione, per motivi tecnici (es. configurazione nuova casella di posta, aggiunta di nuove caselle, riconfigurazione...)

6 CONTROLLI DA PARTE DELLA TITOLARITA’

Con il presente capitolo portiamo all’attenzione degli incaricati la possibilità di questa Azienda di effettuare controlli sulle proprie apparecchiature tecnologiche al fine di preservare la sicurezza informatica dei dati personali in esse contenuti.

A tale proposito si sottolinea che la strumentazione tecnologica/informatica e quanto con essa creato è di proprietà dell’Azienda in quanto mezzo di lavoro.

È pertanto fatto divieto di utilizzo del mezzo tecnologico/informatico e delle trasmissioni interne ed esterne con esso effettuate per fini ed interessi non strettamente coincidenti con quelli dell’Azienda stessa, secondo l’incarico ricevuto. Nel rispetto dei principi di pertinenza e non eccedenza, le verifiche sugli strumenti informatici saranno realizzati dall’Azienda nel pieno rispetto dei diritti e delle libertà fondamentali degli incaricati e del presente Regolamento. In caso di anomalie, l’Azienda, per quanto possibile, privilegerà preliminari controlli anonimi e quindi riferiti a dati aggregati nell’ambito di intere strutture lavorative o di sue aree nelle quali si è verificata l’anomalia. In tali casi, il controllo si concluderà con un avviso al Titolare del trattamento e/o Responsabile della struttura dell’Area aziendale interessata in cui è stato rilevato l’utilizzo anomalo degli strumenti aziendali affinché lo stesso inviti le strutture da lui dipendenti ad attenersi scrupolosamente ai compiti assegnati e alle istruzioni impartite.

In caso di successive, perduranti anomalie, ovvero ravvisandone comunque la necessità, l’Azienda si riserva di effettuare verifiche anche su base individuale, comunque finalizzate esclusivamente alla individuazione di eventuali condotte illecite.

In nessun caso verranno realizzate verifiche prolungate, costanti o indiscriminate, fatte salve le verifiche atte a tutelare gli interessi aziendali.

I presupposti per il legittimo interesse

Articolo 6 gdpr 679/2016 e smi Liceità del trattamento 1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

Il primo presupposto per il “legittimo interesse” è il suo essere extrema ratio. Ossia, qualora l’interesse perseguito dal titolare possa essere raggiunto (anche se in maniera più difficoltosa) tramite un’altra base di liceità, il “legittimo interesse” non avrebbe luogo.

Il secondo presupposto è il seguente: qualora il mancato trattamento di dati personali causerebbe un forte pregiudizio al titolare e, come detto, non vi fossero altre possibili basi di liceità cui far riferimento. I casi in tal senso individuati dalla normativa sono: la prevenzione delle frodi, i trasferimenti di dati all’interno di un gruppo di imprese per fini amministrativi, la sicurezza delle reti informatiche.

Considerando 47 che afferma: “Costituisce […]. Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l'interessato e il titolare del trattamento, ad esempio quando l'interessato è un cliente o è alle dipendenze del titolare del trattamento, … costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali strettamente necessari a fini di prevenzione delle frodi”.

Considerando 49 “Costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell’informazione, vale a dire la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comunicazione elettronica e fornitori di tecnologie e servizi di sicurezza. Ciò potrebbe, ad esempio, includere misure atte a impedire l’accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da «blocco di servizio» e ai danni ai sistemi informatici e di comunicazione elettronica”.

7 RESPONSABILITÀ E SANZIONI

L’incaricato, al fine di non esporre sé stesso e l’Azienda a rischi sanzionatori, è tenuto ad adottare comportamenti puntualmente conformi alla normativa vigente ed alla regolamentazione aziendale. Gli incaricati sono responsabili del corretto utilizzo dei servizi di Internet e Posta Elettronica.

Pertanto, sono responsabili per i danni cagionati al patrimonio, alla reputazione e alla Committenza.

Tutti gli incaricati sono pertanto tenuti ad osservare e a far osservare le disposizioni contenute nel presente Regolamento il cui mancato rispetto o la cui violazione, costituendo inadempimento contrattuale potrà comportare:

- per il personale dipendente oltre che l’adozione di provvedimenti di natura disciplinare previsti dal Contratto Collettivo Nazionale di Lavoro tempo per tempo vigente, le azioni civili e penali stabilite dalle leggi tempo per tempo vigenti;

- per i collaboratori esterni oltre che la risoluzione del contratto le azioni civili e penali stabilite dalle leggi tempo per tempo vigenti.

Il presente Documento è stato predisposto dal Titolare del trattamento dei dati ed approvato dalla direzione BAR PASTICCERIA MACERA .