REGOLAMENTO PRIVACY

LISA GROUP S.R.L.

Il presente Regolamento è stato adottato dal Consiglio di Amministrazione in data 19/06/2023
SOMMARIO

1.     Scopo. 4

2.     Definizioni 4

3.     Ruoli, compiti e nomina dei soggetti 5

1.   Titolare del Trattamento.. 5

2.   Contitolare del trattamento.. 5

3.   Responsabile del trattamento dati. 5

4.   Persona autorizzata al trattamento dei dati personali 5

5.   Amministratore di sistema. 6

4.     Organigramma. 6

5.     Registro del trattamento. 7

1)  Clienti 7

2)  Potenziali clienti 7

3)  Fornitori. 8

4)  Dipendenti. 9

5)  Utenti del sito web.. 10

6.     Asset informatici dell’azienda. 10

7.     Regolamento per il trattamento dei dati 11

1)  Principi 11

Art. 1 – Introduzione, definizioni e finalità. 11

Art. 2 – Ambito di applicazione. 11

Art. 3 – Integrazione del regolamento. 11

Art. 4 – Conservazione e tracciabilità della documentazione. 11

2)  Esercizio dei diritti dell’interessato.. 11

Art. 5 – Esercizio del diritto e ricezione della richiesta. 11

Art. 6 – Elaborazione della richiesta. 12

Art. 7 – Risposta all’Interessato. 12

Art. 8 – Conservazione delle richieste di esercizio dei diritti 12

Art. 9 – Costi 12

3)  Istruzioni operative per il data breach. 12

Art. 10 – Notifica. 12

Art. 11 – Valutazione del rischio e registro delle violazioni 13

4)  Informative e nomine. 13

Art. 12 – Informative clienti 13

Art. 13 – Informative potenziali clienti e utenti sito web. 13

Art. 14 – Informative fornitori 13

Art. 15 – Informative e nomine dipendenti 13

Art. 16 – Nomina responsabili esterni 14

Art. 17 – Nomina Amministratore di sistema. 14

Art. 18 – Nomina Responsabile del trattamento. 14

Art. 19 – Conservazione e archiviazione delle informative e nomine. 14

5)  Conservazione dei dati 14

Art. 20 – Criteri di conservazione dei dati. 14

Art. 21 – Distruzione dei dati 15

6)  Sanzioni e comunicazioni. 15

Art. 22 – Sanzioni 15

Art. 2 – Comunicazioni 15

8.     Regolamento informatico. 15

1)  Principi 15

Art. 1 – Introduzione, Definizioni e Finalità. 15

Art. 2 – Ambito di applicazione. 16

Art. 3 – Titolarità dei beni e delle risorse informatiche. 16

Art. 4 – Responsabilità personale dell’utente. 16

Art. 5 – Controlli 16

2)  Misure organizzative. 16

Art. 6 – responsabile dei sistemi informatici 16

Art. 7 – Assegnazione degli account e gestione delle password. 17

3)  Criteri di utilizzo degli strumenti informatici 18

Art. 8 – Dispositivi (devices): Desktop, Laptop, Tablet, Smartphone, etc. 18

Art. 9 – Software. 18

ART 10 – Dispositivi mobili di connessione (internet key). 19

Art. 11 – Dispositivi di memoria portatili 19

Art. 12 – Stampanti, fotocopiatrici e fax. 19

Art. 13 – Strumenti di telefonia mobile o di connettività in mobilità. 19

4)  Gestione delle comunicazioni telematiche. 20

Art. 14 – Gestione utilizzo della rete internet 20

Art. 15 – Gestione utilizzo della rete intranet 21

Art. 16 – Gestione e utilizzo della posta elettronica aziendale. 21

5)  Sanzioni, comunicazioni e approvazione. 22

Art. 17 – Sanzioni 22

Art. 18 – Informativa agli utenti ex art. 13 Regolamento (UE) 2016/679. 22

Art. 19 – Comunicazioni 23

1. Scopo

Scopo del presente Regolamento è rappresentare una guida per tutti coloro che operano nel contesto della Società (dipendenti, collaboratori, fornitori, clienti) in materia di trattamento dei dati personali di persone fisiche, in conformità alle previsioni del Reg. UE 679/2016. Il presente Regolamento include altresì: il registro del trattamento dei dati ai sensi dell’art. 30, Reg. UE 679/2016 nonché il Regolamento per il trattamento dei dati e il Regolamento Informatico.

1. Definizioni

General Data Protection Regulation (GDPR)

Il Regolamento generale per la protezione dei dati personali n. 2016/679 è la normativa europea in materia di protezione dei dati personali di persone fisiche. Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016 ma la sua attuazione è avvenuta a distanza di due anni, a partire dal 25 maggio 2018.

Trattandosi di un regolamento non necessita di recepimento da parte degli Stati dell’Unione per cui è attuato allo stesso modo in tutti gli Stati dell’Unione. Il suo scopo è, infatti, la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea.

 

Trattamento

Qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.

 

Dato personale

Qualsiasi informazione concernente una persona fisica identificata o identificabile (art. 4 GDPR), anche indirettamente, oppure informazioni (es. codice fiscale, impronta digitale, traffico telefonico, immagine, voce) riguardanti una persona la cui identità può comunque essere accertata mediante informazioni supplementari.

 

Dati particolari

I dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

 

Titolare

Il Titolare del trattamento (data controller) è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4. par. 1, n. 7 GDPR).

 

Responsabile del trattamento

Il responsabile del trattamento è la persona fisica, giuridica, pubblica amministrazione o Società che elabora i dati personali per conto del Titolare (art. 4, par. 1, n. 8 GDPR).

 

Sub responsabile

Il responsabile del trattamento può nominare responsabili di secondo livello a meno che non sia vietato dalle istruzioni del Titolare. È comunque il responsabile principale a rispondere di fronte al Titolare del trattamento dell’operato dei sub-responsabili. Al sub-responsabile devono essere fornite le istruzioni e deve operare nel rispetto degli obblighi imposti al responsabile del trattamento.

 

Persona autorizzata

Le persone fisiche autorizzate a compiere operazioni di trattamento dal Titolare o dal responsabile.

 

Interessato

La persona fisica a cui si riferiscono i dati personali.

 

Misure di sicurezza

Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che assicurano un livello di protezione adeguato dei dati personali.

 

Strumenti elettronici

Gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.

1. Ruoli, compiti e nomina dei soggetti
   1. 1. 1. 1. 1. 1. Titolare del Trattamento

Il Titolare del trattamento è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altra Società, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.

Il Titolare del trattamento, in relazione all’attività svolta, può individuare, nominare e incaricare per iscritto, se lo ritiene opportuno, uno o più Responsabili del trattamento dati che assicurino e garantiscano che vengano adottate le misure di sicurezza. Qualora il Titolare del trattamento ritenga di non nominare alcun Responsabile del trattamento dei dati ne assumerà tutte le responsabilità e funzioni.

1. 1. 1. 1. 1. 1. 1. Contitolare del trattamento

Soggetto che, unitamente ad altro Titolare del trattamento, determina i mezzi e le finalità dello stesso (art. 26 GDPR).

1. 1. 1. 1. 1. 1. 1. Responsabile del trattamento dati

Il responsabile del trattamento (data processor) è la persona fisica, giuridica, pubblica amministrazione o Società che elabora i dati personali per conto del Titolare del trattamento (art. 4, par. 1, n. 8 GDPR).

Si tratta di un soggetto, distinto dal Titolare, che deve essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato.

Il Titolare del trattamento risponde della gestione effettuata dal responsabile e verifica che le decisioni di quest’ultimo siano conformi alle disposizioni di Legge. Infatti il Titolare deve ricorrere a responsabili che presentino garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto le misure tecniche e organizzative che soddisfino i requisiti del Regolamento (Considerando 81 GDPR). Compito specifico del Titolare è, infatti, quello di valutare il rischio del trattamento che pone in essere tramite i responsabili. Il Titolare deve sempre poter sindacare le decisioni dei responsabili.

Il responsabile ha obblighi di trasparenza, occorre, infatti contrattualizzare il rapporto tra Titolare e responsabile specificando gli obblighi ed i limiti del trattamento dati. Il responsabile riceverà, tramite atto giuridico (cioè per iscritto), tutte le istruzioni in merito ai trattamenti operati per conto del Titolare, alle quali dovrà attenersi. Inoltre il responsabile del trattamento dovrà mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi che gli impone l’articolo 28 del Regolamento, e dovrà tenere il registro dei trattamenti svolti (ex art. 30, paragrafo 2, GDPR).

Il responsabile ha, poi, l’obbligo di garantire la sicurezza dei dati adottando tutte le misure di sicurezza adeguate al rischio (art. 32 GDPR), tra le quali anche le misure di attuazione dei principi di privacy by design e by default, garantendo la riservatezza dei dati, vincolando i dipendenti, informando il Titolare delle violazioni avvenute ed occupandosi della cancellazione dei dati alla fine del trattamento.

La nomina di ciascun Responsabile del trattamento dei dati personali deve essere effettuata dal Titolare del trattamento con una lettera di incarico in cui sono specificate le responsabilità che gli sono affidate e deve essere controfirmata dall’interessato per accettazione.

1. 1. 1. 1. 1. 1. 1. Persona autorizzata al trattamento dei dati personali

Gli Incaricati del trattamento sono le persone fisiche autorizzate a compiere operazioni di trattamento sui dati personali dal Responsabile del trattamento.

La nomina di ciascuna Persona autorizzata al trattamento dei dati personali deve essere effettuata dal Titolare o dal responsabile del trattamento con una lettera di incarico in cui sono specificati i compiti che gli sono stati affidati che deve essere controfirmata dall’interessato per presa visione.

1. 1. 1. 1. 1. 1. 1. Amministratore di sistema

Il Regolamento europeo (GDPR) non prevede espressamente la figura dell'amministratore di sistema, la cui definizione si riscontra, invece, nei provvedimenti del Garante italiano.

 

Il Garante (Provvedimento del 27 novembre 2008) definisce l’amministratore di sistema, in ambito informatico, la figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, facendo però rientrare in essa anche le altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.

L'amministratore di sistema era originariamente previsto nel Codice del 2003, poi rimosso ma recuperato dal provvedimento del Garante del 2008. Nel nuovo Regolamento europeo sulla protezione dei dati personali non c'è un riferimento a tale figura, tuttavia al titolare del trattamento (e all'eventuale responsabile) spetta (art. 32) il compito di mettere in atto le misure tecniche adeguate per garantire la sicurezza dei dati (adeguata al rischio). In tale ottica molti commentatori ritengono che la figura dell'amministratore di sistema sia implicitamente richiamata, mentre altri fanno rientrare tale figura nell'ambito degli autorizzati al trattamento (ovviamente sarà un autorizzato con istruzioni specifiche per il suo ruolo).

 

1. Organigramma

Si rimanda all’organigramma privacy nella sua versione più aggiornata che costituisce parte integrante al presente regolamento (All. 01). Si riporta di seguito legenda esplicativa delle figure indicate in organigramma.

 

Legenda: 

RLV: Rappresentante dei lavoratori videosorveglianza

AD: Amministratore Delegato

AF: Amministrazione & Finanza

CN: Contabilità

DC: Direttore Cantiere

OM: Operational Manager

PM: Projects Manager

RSI: Responsabile Sistemi informatici

APM: Assistente Project Manager

 

Ruolo

Soggetto nominato

Titolare del trattamento

LISA GROUP S.R.L.

Responsabile del trattamento

     Non nominato.

Responsabili esterni

Responsabili esterni come da relativo atto di nomina (es. commercialista, consulente del lavoro, agenzie pratiche per immatricolazione, agenzie pratiche per agevolazioni fiscali, medico del lavoro, agenti e altri professionisti o collaboratori ecc.). 

Autorizzati al trattamento

I singoli responsabili di funzione, come da atto di nomina (AD; AF) e gli addetti dei relativi uffici.

Amministratore di sistema

Non nominato.

D.P.O.

Non nominato.

 

1. Registro del trattamento

1. Clienti

Tipo di dati personali

Dati identificativi (ad es. dati anagrafici), dati di contatto (ad es. indirizzo, indirizzo e-mail, numero di telefono), professione e i dati di identificazione dell’imbarcazione relativi al contratto ed in ogni ulteriore contratto riferito ad esso, trattati insieme ai dati contrattuali, ai dati dell’imbarcazione.

 

Immagini videosorveglianza.

Processo di trattamento

Raccolta, registrazione, organizzazione, strutturazione, conservazione, consultazione, elaborazione selezione, estrazione, confronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione.

Base giuridica del trattamento 

• Adozione misure precontrattuali ed esecuzione del contratto
• Adempimento obblighi di legge
• Consenso (ove necessario per il tipo di trattamento)
• Legittimo interesse del Titolare

Finalità del trattamento

• Formulazione del preventivo
• Conclusione del contratto
• Esecuzione del contratto
• Adempimenti fiscali e legali connessi e successivi alla conclusione del contratto
• Attività promozionale e di marketing
• Esecuzione di ricerche di mercato e indagini di consumo
• Tutela del patrimonio aziendale
• Esercizio o tutela di un diritto derivante dal contratto in sede giudiziaria.

Informativa

Si, in fase di formulazione del preventivo, redazione dell’ordine di acquisto e relativa accettazione.

Conservazione

• Regola: 10 anni dal termine del contratto.
• Nel caso l’interessato abbia fornito consenso per scopi di marketing, i dati personali saranno conservati per questi scopi per 3 anni dopo l’ultimo contatto con la Società.
• I dati trattati per finalità di tutela del patrimonio aziendale mediante sistema di videosorveglianza saranno conservati per 48 ore dal momento della raccolta.

Categorie di destinatari

Responsabili esterni nominati, incaricati al trattamento autorizzati, banche, assicurazioni ed eventualmente Autorità competente o pubblico ufficiale, qualora sia richiesto in conformità alle norme di legge.

Modalità trattamento

Mista: cartacea e digitale.

Trasferimento dati paesi terzi

Non previsto.

1. Potenziali clienti

Tipo di dati personali

Dati identificativi (ad es. dati anagrafici), i dati di contatto (ad es. indirizzo, indirizzo e-mail, numero di telefono).

 

Immagini videosorveglianza.

Processo di trattamento

Raccolta, registrazione, organizzazione, strutturazione, conservazione, consultazione, elaborazione selezione, estrazione, confronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione.

Base giuridica del trattamento 

• Adozione misure precontrattuali ed esecuzione del contratto
• Adempimento obblighi di legge
• Consenso (ove necessario per il tipo di trattamento)
• Legittimo interesse del Titolare
• Esercizio o tutela di un diritto derivante dal contratto in sede giudiziaria

Finalità del trattamento

• Formulazione del preventivo
• Attività promozionale e di marketing
• Esecuzione di ricerche di mercato e indagini di consumo
• Tutela del patrimonio aziendale.

Informativa

Si, in fase di primo contatto.

Conservazione

• Nel caso l’interessato abbia fornito consenso per scopi di marketing, i dati personali saranno conservati per questi scopi per 3 anni dopo l’ultimo contatto con la Società.
• I dati trattati per finalità di tutela del patrimonio aziendale mediante sistema di videosorveglianza saranno conservati per 48 ore dal momento della raccolta.

Categorie di destinatari

Responsabili esterni nominati, incaricati al trattamento autorizzati, banche, assicurazioni ed eventualmente Autorità competente o pubblico ufficiale, qualora sia richiesto in conformità alle norme di legge.

Modalità trattamento

Mista: cartacea e digitale.

Trasferimento dati paesi terzi

Non previsto

1. Fornitori

Tipo di dati personali

Nome e cognome, indirizzo di residenza e/o domicilio o altri elementi di identificazione personale; codice fiscale, Partita I.V.A. ed altri numeri di identificazione fiscale. Dati di contatto (numero di telefono, e-mail, ecc.). In caso di contratto stipulato da parte di persona giuridica i dati trattati saranno quelli del legale rappresentante o di soggetto delegato alla conclusione del contratto nonché del personale dipendente che gestisce l’ordine.

 

Immagini videosorveglianza

Processo di trattamento

Raccolta, registrazione, organizzazione, strutturazione, conservazione, consultazione, elaborazione selezione, estrazione, confronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione.

Base giuridica del trattamento 

• Adozione misure precontrattuali ed esecuzione del contratto
• Adempimento obblighi di legge
• Legittimo interesse del Titolare

Finalità del trattamento

• Corretta esecuzione e gestione del contratto
• Adempimento obblighi di legge
• Esercizio o tutela di un diritto derivante dal contratto in sede giudiziaria
• Tutela del patrimonio aziendale

Informativa

Si, al momento della conclusione del contratto.

Conservazione

• 10 anni dalla conclusione del contratto.
• 24 ore per le immagini riprese dai sistemi di videosorveglianza, dal momento della raccolta.

Categorie di destinatari

Responsabili esterni nominati, incaricati al trattamento autorizzati, banche, assicurazioni ed eventualmente Autorità competente o pubblico ufficiale, qualora sia richiesto in conformità alle norme di legge.

Modalità trattamento

Mista: cartacea e digitale.

Trasferimento dati paesi terzi

Non previsto.

1. Dipendenti

Tipo di dati personali

Dati anagrafici, quali, nome, cognome, codice fiscale e altri dati di identificazione personale, indirizzo di residenza e email, numero di telefono, data e luogo di nascita, sesso, origini raziali, etniche, convinzioni religione ed adesione a organizzazioni religiose, adesione a sindacati e organizzazioni sindacali, dati relativi alla famiglia, numero di telefono, coordinate bancarie, dati relativi all’idoneità al lavoro, dati relativi a condanne penali e reati, stato di salute, istruzione e cultura, dati patrimoniali, dati relativi alla tipologia di contratto, qualifica, retribuzione, immagini; immagini e videoriprese.

Processo di trattamento

Raccolta, registrazione, organizzazione, strutturazione, conservazione, consultazione, elaborazione selezione, estrazione, confronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione.

Base giuridica del trattamento 

• Esecuzione del contratto
• Adempimento obbligo di legge
• Consenso (ove necessario per il tipo di trattamento)
• Legittimo interesse del Titolare

Finalità del trattamento

Esecuzione del contratto.

Informativa

Si, al momento dell’assunzione.

Conservazione

• 10 anni dall’ultima operazione di trattamento.
• 48 ore per le immagini riprese dai sistemi di videosorveglianza, dal momento della raccolta.

Categorie di destinatari

Responsabili esterni nominati, incaricati al trattamento autorizzati, banche, assicurazioni ed eventualmente Autorità competente o pubblico ufficiale, qualora sia richiesto in conformità alle norme di legge.

Modalità trattamento

Mista: cartacea e digitale.

Trasferimento dati paesi terzi

Non previsto.

1. Utenti del sito web

Tipo di dati personali

1. 1. 1. 1. 1. 1. 1. Dati relativi alle pagine visitate, al solo fine di fornire le informazioni ed i servizi richiesti, in mancanza di specifico consenso al trattamento per ulteriori finalità;
                  2. Indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti per accedere ai siti e applicazione della società; il tipo e la versione del browser, i tipi e le versioni dei plug-in del browser, l’identificativo del dispositivo mobile (IDFA o AndroidID) ed altri parametri relativi al sistema operativo e all’ambiente informatico, gli URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, la dimensione del file ottenuto  in risposta ed il codice numerico indicante lo stato della risposta data dal server.

Processo di trattamento

Raccolta, registrazione, organizzazione, strutturazione, conservazione, consultazione, elaborazione selezione, estrazione, confronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione.

Base giuridica del trattamento 

• Esecuzione misure precontrattuali
• Consenso (ove necessario per il tipo di trattamento)
• Legittimo interesse del Titolare

Finalità del trattamento

• Finalità promozionale e di marketing
• Obblighi di legge (ove previsto)
• Ricerca di mercato

Informativa

Informativa cookie fornita tramite apposito cookie wall.

Conservazione

• 12 mesi dalla data di ricezione della richiesta
• Fino alla revoca del consenso per finalità per le quali è richiesto.

Categorie di destinatari

Responsabili esterni nominati, incaricati al trattamento autorizzati, banche, assicurazioni ed eventualmente Autorità competente o pubblico ufficiale, qualora sia richiesto in conformità alle norme di legge.

Modalità trattamento

Digitale.

Trasferimento dati paesi terzi

Non previsto.

1. Asset informatici dell’azienda

Gli asset sono tutti gli strumenti utilizzati dall’organizzazione per trattare e conservare i dati; per una disamina esaustiva degli stessi si rimanda ad apposito allegato nella sua versione più aggiornata (All. 02).

 

* * *

1. Regolamento per il trattamento dei dati
   1. Principi

Art. 1 – Introduzione, definizioni e finalità

Il Regolamento Generale per la Protezione dei Dati (Regolamento EU 2016/679) (di seguito anche “Regolamento” o “GDPR”) attribuisce agli interessati l’esercizio dei seguenti diritti nei confronti del Titolare del trattamento:

1. Diritto di accesso (art. 15 GDPR): al fine di chiedere conferma che sia o meno in essere un trattamento di dati personali;
2. Diritto di rettifica (art. 16 GDPR): per chiedere di rettificare o integrare i dati forniti, qualora inesatti;
3. Diritto alla cancellazione (art. 17 GDPR): per chiedere che i dati trattati vengano cancellati (ad esempio qualora non siano più necessari per le finalità per i quali sono stati raccolti; oppure in caso di revoca del consenso; o ancora in caso il trattamento sia illecito);
4. Diritto di limitazione di trattamento (art. 18 GDPR): affinché i dati trattati dal Titolare vengano contrassegnati in modo da limitarne il loro trattamento in futuro;
5. Diritto alla portabilità dei dati (art. 20 GDPR): al fine di ottenere la ricezione di dati personali, o la trasmissione dei dati ad altro titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico;
6. Diritto di opposizione (art. 21 GDPR): per opporsi in qualunque momento al trattamento dei dati, salvo che vi siano motivi legittimi per procedere al trattamento che siano prevalenti (per esempio per l’esercizio o la difesa in sede giudiziaria).

Con il presente regolamento, la Società si propone di disciplinare: la gestione delle richieste degli interessati aventi ad oggetto i diritti di cui al Capo III del GDPR (“Diritti degli Interessati”); i ruoli e le responsabilità dei soggetti coinvolti nella procedura; i requisiti normativi ed i limiti all’esercizio dei diversi diritti previsti dal GDPR; le specifiche modalità di riscontro all’interessato che abbia esercitato uno dei diritti previsti dal GDPR.

Art. 2 – Ambito di applicazione

Il presente regolamento si applica a tutti i dipendenti, collaboratori, consulenti, fornitori o altri che in modo continuativo, non occasionale, operino all’interno della struttura aziendale della Società e che, in ragione del proprio ruolo, trattino i dati degli interessati. Lo stesso è pertanto applicabile ai responsabili esterni nominati ed agli eventuali sub-responsabili a cui deve essere portato a conoscenza.

Art. 3 – Integrazione del regolamento

Il presente regolamento si intende integrato dalle previsioni di cui al Reg. UE 679/2016, dal D.Lgs. 196/2003 e ss.mm.ii. nonché dall’ulteriore normativa vigente in materia di trattamento dei dati personali, ivi incluse circolari, note e pareri del Garante per la protezione dei dati personali.

Lo stesso risulta altresì integrato dalle disposizioni dettate da altri soggetti rispetto al quale la Società costituisca responsabile esterno del trattamento o contitolare del trattamento in forza di contratto o altro formale atto di nomina.

Art. 4 – Conservazione e tracciabilità della documentazione

Tutta la documentazione predisposta o raccolta in relazione alla previsione del presente regolamento, debitamente datata e sottoscritta dal soggetto interessato/nominato/incaricato (ove previsto per il tipo di documento di cui trattasi), deve essere conservata in maniera ordinata presso la sede della Società. Nello specifico, se trattasi di documento informatico lo stesso andrà conservato all’interno del sistema informatico, evitando, ove possibile la stampa. Se trattasi di documento cartaceo la stessa sarà archiviata previa digitalizzazione. La copia digitale è conservata all’interno del sistema informatico.

La suddetta documentazione deve restare a disposizione per le verifiche e i controlli del caso.

1. 1. Esercizio dei diritti dell’interessato

Art. 5 – Esercizio del diritto e ricezione della richiesta

Gli Interessati possono esercitare i propri diritti nei confronti del Titolare in maniera totalmente gratuita, anche tramite un terzo autorizzato dall’interessato, munito di apposita delega/mandato debitamente sottoscritto. La Società accetta richieste inviate tramite posta raccomandata, posta elettronica o PEC.

La Società mette a disposizione degli interessati che vogliano esercitare i propri diritti i moduli predisposti dal garante della Privacy (MOD. 01 – Modello per l’esercizio dei diritti).

CN o RT, qualora nominato, se riceve la richiesta dell’interessato informa tempestivamente il Titolare il quale la gestisce tramite RSI. RSI a sua volta può incaricare dell’incombenza CN o RT, qualora nominato. Una volta ricevuta la richiesta, questi verifica se la richiesta si riferisce all’esercizio dei diritti relativi ai dati personali o meno, verifica l’identità dell’interessato e, in caso di dubbi ragionevoli, chiede ulteriori informazioni a RSI.

Art. 6 – Elaborazione della richiesta

Se l’identità del richiedente non può essere verificata o la richiesta è palesemente infondata o eccessiva, CN o RT, qualora nominato, informa il richiedente senza ritardo e, comunque, entro un mese dalla ricezione della richiesta, che la richiesta è stata rifiutata e i motivi del rifiuto.

Se, invece, la richiesta è legittima, CN o RT, qualora nominato, dovrà gestire la risposta ed assicurarsi che il richiedente riceva un’adeguata risposta senza ritardo.

Art. 7 – Risposta all’Interessato

La Società, in qualità di Titolare, deve rispondere alle richieste dell’Interessato senza ingiustificato ritardo e, comunque, al più tardi entro un mese. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste formulate dall’Interessato; in tal caso il Titolare, nella persona di CN o RT, qualora nominato, informa l’Interessato in merito alla necessità di proroga e dei motivi posti a fondamento della stessa.

In base al diverso diritto azionato, viene dato riscontro all’interessato mediante mezzi elettronici, qualora l’interessato abbia esercitato i propri diritti mediante tali mezzi, salvo diversa indicazione dello stesso. In tale ultima evenienza potrà esser utilizzata la raccomandata A.R., ovvero altra modalità compatibile con il diritto esercitato.

Il Titolare del trattamento, nella persona di CN o di RT, qualora nominato, può inoltre non ottemperare alla richiesta avanzata dall’Interessato:

1. se dimostra di non essere in grado di identificare l’Interessato (art. 12.2 GDPR);
2. se la richiesta è manifestamente infondata o eccessiva (es. per il suo carattere ripetitivo e pretestuoso) (art. 12.5 GDPR). In tal caso, incombe sul Titolare l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

Qualora decida di respingere la richiesta, il Titolare del trattamento, nella persona di CN o RT, qualora nominato, informa l’Interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, indicandogli i motivi del rifiuto, comunicandogli la possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.

Ai sensi dell’art. 12.5 GDPR se le richieste risultino essere manifestamente infondate o eccessive il Titolare del trattamento potrà addebitare un contributo spese ragionevole, tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o le comunicazioni o intraprendere l’azione richiesta. CN o RT, qualora nominato, procede in tal senso previa autorizzazione del RSI.

Art. 8 – Conservazione delle richieste di esercizio dei diritti

Al fine di garantire una gestione efficiente delle richieste di esercizio dei diritti, CN tiene aggiornato il Registro delle richieste di esercizio dei diritti degli interessati (MOD. 02 – Registro delle richieste di esercizio dei diritti degli interessati).

Tale registro include: il nome del soggetto richiedente, la tipologia di richiesta, la data in cui la richiesta è stata ricevuta dalla Società, la data in cui la Società ha fornito riscontro all’interessato, le informazioni relative alle attività che sono state effettuate per portare a termine la richiesta.

Art. 9 – Costi

Fatto salvo quanto previsto dall’art. 7, ultimo comma, qualsiasi comunicazione e azione relativa alla richiesta di esercizio dei diritti da parte dell’interessato deve avvenire in forma gratuita.

1. 1. Istruzioni operative per il data breach

Art. 10 – Notifica

Il Titolare del trattamento, nella persona del RSI, notifica all’autorità di controllo la violazione di dati personali (data breach) entro 72 ore dal momento in cui ne viene a conoscenza. Il Titolare cura che sia determinabile il momento della scoperta dell’incidente.

L’obbligo di notifica scatta se la violazione, ragionevolmente, comporta un rischio per i diritti e le libertà delle persone fisiche, qualora, poi, il rischio fosse elevato, allora, oltre alla notifica, lo stesso ne dà comunicazione all’interessato senza indugio. Allo stesso modo il responsabile esterno del trattamento, quando viene a conoscenza di una violazione, è tenuto ad informare senza ingiustificato ritardo, il Titolare.

Per violazione di dati si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. La violazione può consistere in una o più delle seguenti ipotesi: (i) violazione di riservatezza, ovvero quando si verifica una divulgazione o un accesso a dati personali non autorizzato o accidentale; (ii) violazione di integrità, ovvero quando si verifica un’alterazione di dati personali non autorizzata o accidentale; (iii) violazione di disponibilità, ovvero quando si verifica perdita, inaccessibilità, o distruzione, accidentale o non autorizzata, di dati personali.

Nel caso in cui non sia possibile avere informazioni precise in merito alla violazione, la stessa viene in ogni caso notificata nei termini di cui al comma 1, salvo fornire integrazione di informazioni non appena le stesse, anche a seguito degli opportuni approfondimenti tecnici, sono state raccolte.

Per la notifica della violazione e la comunicazione al Garante, CN o RT, qualora nominato, compilerà gli appositi moduli messi a disposizione dal garante (MOD. 03 – notifica e comunicazione data breach).

Art. 11 – Valutazione del rischio e registro delle violazioni

Per comprendere quando notificare la violazione il Titolare, nella persona del RSI, eventualmente coadiuvato da CN o RT, qualora nominato, effettua una valutazione dell’entità dei rischi per i diritti e le libertà delle persone fisiche. Nello specifico se: il rischio è: (i) assente, la notifica al Garante non è obbligatoria; (ii) presente, è necessaria la notifica al Garante; (iii) elevato, è necessaria la comunicazione agli interessati.

I rischi per i diritti e le libertà degli interessati possono essere considerati elevati quando la violazione può, a titolo di esempio: coinvolgere un rilevante quantitativo di dati personali e/o di soggetti interessati; riguardare categorie particolari di dati personali; comprendere dati che possono accrescere ulteriormente i potenziali rischi (es. dati di localizzazione, finanziari, relativi alle abitudini e preferenze); comportare rischi imminenti e con un’elevata probabilità di accadimento (es. rischio di perdita finanziaria in caso di furto di dati relativi a carte di credito); impattare su soggetti che possono essere considerati vulnerabili per le loro condizioni (es. minori).

CN o RT, qualora nominato, cura la tenuta e l’aggiornamento del registro delle violazioni (MOD. 04 – Registro data breach).

1. 1. Informative e nomine

Art. 12 – Informative clienti

Il PM personalmente o tramite proprio incaricato, al momento della predisposizione dell’ordine di acquisto al cliente chiede la sottoscrizione della relativa informativa privacy (MOD. 05 – Informativa cliente). Contestualmente il cliente viene censito ed inserito in gestionale. Confermato l’ordine di acquisto, il PM formulano al cliente il relativo preventivo che verrà eventualmente confermato dal medesimo cliente via mail. È pertanto richiesta la sottoscrizione della relativa informativa. Alla sottoscrizione del preventivo è sottoscritta infine l’informativa ivi allegata (MOD. 06 – Informativa privacy allegata al preventivo).

 

Art. 13 – Informative potenziali clienti e utenti sito web

Al momento di acquisizione di un contatto di un potenziale cliente è fornita l’opportuna informativa.

Nell specifico, in occasione di fiere o altri eventi promozionali, gli interessati prendono visione della relativa informativa quando viene loro somministrata la liberatoria per la pubblicazione di foto/video (MOD. 16 - Liberatoria) ed eventualmente esprimono il consenso ove necessario. La somministrazione dell’informativa, la raccolta dei consensi e l’archiviazione è di competenza di CN, il quale vi provvede anche tramite proprio incaricato.

In occasione, invece, degli eventi “Open day” organizzati dalla Società, gli interessati prendono visione della relativa informativa e liberatoria per la pubblicazione di foto/video (MOD. 18 – Informativa Open day) al momento della registrazione nella Piattaforma denominata MailApp  ed esprimendo eventualmente mediante point and click, in apposito modulo compilato mediante tablet/ smartphone.

L’informativa degli utenti del sito web è fornita mediante apposita pagina internet (MOD. 07 – Informativa utente sito web); laddove previsto, l’utente del sito esprime il proprio consenso mediante apposite finestre con caselle flaggabili in ragione della finalità perseguita dal trattamento. Il consenso al trattamento dei dati mediante cookie è fornito tramite l’apposito cookie wall.

Art. 14 – Informative fornitori

Al momento di acquisizione di un nuovo fornitore è trasmessa la relativa informativa a mezzo e-mail da parte di APM, il quale cura la conservazione della prova di invio (MOD. 08 – Informativa privacy fornitori).

Art. 15 – Informative e nomine dipendenti

Al momento dell’assunzione di un nuovo dipendente CN consegna e fa sottoscrivere allo stesso la relativa informativa privacy (MOD. 09 – Informativa dipendenti).

Qualora il dipendente, in ragione del proprio ruolo, provveda al trattamento di dati personali, CN consegna e fa sottoscrivere la nomina di incaricato al trattamento dei dati (utilizzando il MOD. 10 – Nomina incaricato trattamento dati responsabile di funzione, qualora si tratti di responsabile di funzione e il MOD. 11 – Nomina incaricato trattamento dati addetto, qualora si tratti di un addetto sottoposto alla supervisione di responsabile di funzione).

Art. 16 – Nomina responsabili esterni

In tutti i casi in cui la Società affidi ad un soggetto esterno all’organizzazione aziendale (non dipendente) il trattamento dei dati personali degli interessati per suo conto, ai sensi dell’art. 28 GDPR, cura che lo stesso sia disciplinato da apposito atto di nomina.

L’organo dirigente, gli amministratori delegati o i singoli responsabili di funzione informano tempestivamente CN circa la conclusione di un contratto che comporti la necessità di nominare un responsabile esterno al trattamento. CN cura la predisposizione dell’atto di nomina (MOD. 12 – Nomina responsabile esterno) accertandosi che lo stesso contenga, oltre alle previsioni previste per legge, l’oggetto dell’incarico affidato al responsabile esterno e tutti i dati necessari alla sua identificazione.  La predisposizione dell’atto di nomina e la richiesta di sottoscrizione da parte del responsabile esterno sono di competenza di CN, il quale vi provvede anche tramite proprio incaricato. CN archivia e conserva l’atto di nomina unitamente al contratto o alla lettera di incarico con il quale è stato formalizzato il rapporto contrattuale con il responsabile esterno.

Art. 17 – Nomina Amministratore di sistema

Il Titolare del trattamento, al fine di adempiere all’art. 32 GDPR, può avvalersi di un amministratore di sistema, ove nominato, che lo assista nel mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. In questo caso CN predispone e fa sottoscrivere per accettazione formale atto di nomina dell’amministratore di sistema (MOD. 13 – Nomina amministratore di sistema) da conservarsi unitamente al contratto o altro documento con cui ne è stato formalizzato l’incarico.

 

Art. 18 – Nomina Responsabile del trattamento

Il Titolare del trattamento, al fine di adempiere all’art. 32 GDPR, può avvalersi di un Responsabile del trattamento che lo assista nel mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. In questo caso CN predispone e fa sottoscrivere per accettazione formale atto di nomina del Responsabile del trattamento (MOD. 17 – Nomina Responsabile del trattamento) da conservarsi unitamente al contratto o altro documento con cui ne è stato formalizzato l’incarico.

Art. 19 – Conservazione e archiviazione delle informative e nomine

Tutte le informative e le nomine sottoscritte dagli interessati per espressione del consenso, per presa visione o per accettazione sono archiviate ordinatamente in formato: (i) cartaceo da CN presso il proprio ufficio; (ii) digitale in apposita cartellina intranet sempre da CN.

Si applicano, in quanto compatibili, le previsioni dell’art. 4.

1. 1. Conservazione dei dati

Art. 20 – Criteri di conservazione dei dati

La Società conserva i dati personali:

1. 1. per il periodo richiesto dalle normative amministrativa, fiscale, contrattuale, giuslavoristica vigenti;
   2. per il tempo strettamente necessario al conseguimento delle finalità per cui i dati personali sono stati raccolti;
   3. per la corretta gestione del business;
   4. oltre i termini previsti dai criteri di cui sopra, limitatamente ad alcune fattispecie di dati, al fine di tutelare gli interessi della Società, preservare prove documentali e/o tracciabilità informatica in caso di controversie legali, tutela della proprietà intellettuale e, in generale, garantire la conformità della Società alle buone pratiche commerciali;
   5. tenendo conto dei tempi di prescrizione per la proposizione di azioni giudiziarie (difesa in giudizio) in relazione alle categorie di atti passibili di una più consistente probabilità di coinvolgimento in procedure di contenzioso;
   6. Non conserva i dati personali per periodi superiori a quelli necessari al raggiungimento delle legittime finalità di business o al tempo richiesto dalla normativa applicabile.

La Società ha definito il periodo di conservazione dei dati nelle singole informative, prevedendo altresì che, in mancanza di una tale indicazione, il periodo di conservazione si debba individuare nel tempo di 10 anni dalla data dell’ultima operazione di trattamento. 

I criteri e i periodi di conservazione andranno costantemente aggiornati nel Registro dei trattamenti (ex art. 30 GDPR) e in ogni caso nelle informative a cura di CN.

Art. 21 – Distruzione dei dati

La Società, nella persona del RSI, anche tramite proprio incaricato, provvede su base regolare a riesaminare tutti i dati, siano essi detenuti elettronicamente sul loro dispositivo o su carta, per decidere se distruggere o cancellare qualsiasi dato una volta che lo scopo, per cui tali documenti sono stati creati, non è più rilevante.

Una volta presa la decisione di smaltirli, i dati dovranno essere cancellati, triturati o altrimenti distrutti in misura equivalente al loro valore e al loro livello di riservatezza.

Il metodo di smaltimento varia e dipende dalla natura del documento:

1. I documenti contenenti informazioni di massima sicurezza e riservatezza e quelli che includono dati personali devono essere smaltiti come rifiuti riservati (distrutti con un trita-carte e inceneriti) e devono essere sottoposti a cancellazione elettronica sicura. Lo smaltimento dei documenti deve includere la prova della distruzione.
2. I documenti che contengono informazioni riservate (nomi, firme e indirizzi delle parti) o che potrebbero essere utilizzati da terzi per commettere frodi, ma che non contengono dati personali, devono essere triturati e quindi collocati in bidoni dell’immondizia chiusi per essere raccolti da una ditta di smaltimento autorizzata, mentre i documenti elettronici saranno soggetti a cancellazione elettronica sicura.
3. I documenti che non contengono informazioni riservate o dati personali e sono documenti aziendali pubblicati devono essere eliminati tramite una Società di riciclaggio e includono, tra le altre cose, pubblicità, cataloghi, volantini e newsletter.
   1. Sanzioni e comunicazioni

Art. 22 – Sanzioni

La violazione di quanto previsto dal presente regolamento, rilevante anche ai sensi degli artt. 2104 e 2105 c.c., potrà comportare l’applicazione di sanzioni disciplinari in base a quanto previsto dall’art. 7 (sanzioni disciplinari) della Legge 20 maggio 1970 n. 300 (Statuto dei Lavoratori).

Nel caso venga commesso un reato tramite l’utilizzo illecito o non conforme dei beni e degli strumenti informatici aziendali o la commissione sia ritenuta probabile o solo sospettata, la Società avrà cura di informare senza ritardo, e senza necessità di preventive contestazioni o addebiti formali, le autorità competenti.

Art. 23 – Comunicazioni

Contestualmente all’assunzione del dipendente il presente regolamento è messo a disposizione degli utenti per la consultazione presso l’ufficio di CN, nella sua versione più aggiornata.

Per ogni aggiornamento del presente regolamento sarà data comunicazione sulle bacheche aziendali e tramite l’invio di specifico messaggio e-mail e tutti gli utenti sono tenuti a conformarsi alla versione più aggiornata.

Le richieste di autorizzazione o concessione previste dal presente regolamento possono essere inoltrate alla Società per mezzo di qualsiasi strumento che ne garantisca la tracciabilità, ad esempio tramite e-mail, a cui è riconosciuto il valore di forma scritta in modo del tutto analogo rispetto a quella cartacea.

1. Regolamento informatico

1. Principi

Art. 1 – Introduzione, Definizioni e Finalità

Il presente regolamento ha l’obiettivo di definire l’ambito di applicazione, le modalità e le norme sull’utilizzo della strumentazione da parte degli utenti assegnatari (dipendenti, collaboratori ecc.) al fine di tutelare i beni aziendali ed evitare condotte inconsapevoli o scorrette che potrebbero esporre la Società a problematiche di sicurezza, di immagine e patrimoniali per eventuali danni cagionati anche a terzi. L’insieme delle norme comportamentali da adottare è ispirato ai principi di diligenza, informazione, correttezza nell’ambito dei rapporti di lavoro e inoltre finalizzato a prevenire eventuali comportamenti illeciti dei dipendenti, pur nel rispetto dei diritti a essi attribuiti dall’ordinamento giuridico italiano. A tale proposito si rileva che gli eventuali controlli previsti escludono finalità di monitoraggio diretto e intenzionale dell’attività lavorativa e sono disposti sulla base della vigente normativa, con particolare riferimento al Regolamento (UE) 2016/679, alla legge n. 300/1970 (Statuto dei lavoratori) e ai provvedimenti emanati dall’Autorità Garante (in particolare Provvedimento del 1° marzo 2007).

Art. 2 – Ambito di applicazione

Il presente regolamento si applica a ogni utente assegnatario di beni e risorse informatiche aziendali ovvero utilizzatore di servizi e risorse informative della Società. Per utente pertanto si intende, a titolo esemplificativo e non esaustivo, ogni dipendente, collaboratore, consulente, fornitore o altro che in modo continuativo non occasionale operi all’interno della struttura aziendale utilizzandone beni e servizi informatici.

Art. 3 – Titolarità dei beni e delle risorse informatiche

I beni e le risorse informatiche, i servizi informatici e le reti informative costituiscono beni aziendali rientranti nel patrimonio sociale e sono da considerarsi di esclusiva proprietà della Società. Ciò considerato, il loro utilizzo è consentito solo per finalità di adempimento delle mansioni lavorative affidate a ciascun utente in base al rapporto in essere, ovvero per gli scopi professionali afferenti all’attività svolta per la Società, e comunque per l’esclusivo perseguimento degli obiettivi aziendali. A tal fine si precisa sin d’ora che qualsivoglia dato o informazione trattato per mezzo dei beni e delle risorse informatiche di proprietà della Società sarà dallo stesso considerato come avente natura aziendale e non riservata.

Art. 4 – Responsabilità personale dell’utente

Ogni utente è personalmente responsabile dell’utilizzo dei beni e delle risorse informatiche affidatigli dalla Società nonché dei relativi dati trattati per finalità aziendali. A tal fine ogni utente, nel rispetto dei principi di diligenza sottesi al rapporto instaurato con la Società e per quanto di propria competenza, è tenuto a tutelare il patrimonio aziendale da utilizzi impropri o non autorizzati, danni o abusi anche derivanti da negligenza, imprudenza o imperizia. L’obiettivo è e rimane sempre quello di preservare l’integrità e la riservatezza dei beni, delle informazioni e delle risorse aziendali. Ogni utente è tenuto a operare a tutela della sicurezza informatica aziendale, in relazione al proprio ruolo e alle mansioni in concreto svolte, riportando al proprio responsabile organizzativo diretto e senza ritardo eventuali rischi di cui è a conoscenza ovvero violazioni del presente regolamento. Sono vietati comportamenti che possano creare un qualsiasi danno, anche di immagine, alla Società.

Art. 5 – Controlli

La Società esclude la configurabilità di forme di controllo aziendali aventi direttamente a oggetto l’attività lavorativa dell’utente, in linea con quanto prescritto dall’ordinamento giuridico italiano (art. 4. Statuto dei lavoratori). Ciononostante non si esclude che si possano utilizzare sistemi informatici, impianti o apparecchiature dai quali derivi la possibilità di controllo a distanza dell’attività dei lavoratori per ragioni organizzative e produttive ovvero per esigenze dettate dalla sicurezza del lavoro. Per tali evenienze, eventualmente, sarà onere della Società sottoporre tali forme di controllo all’accordo con le rappresentanze sindacali aziendali. In difetto di accordo e su istanza della Società sarà l’Ispettorato del lavoro a indicare le modalità per l’uso di tali impianti. I controlli posti in essere saranno sempre tali da evitare ingiustificate interferenze con i diritti e le libertà fondamentali dei lavoratori e non saranno costanti, prolungati e indiscriminati. La Società, riservandosi il diritto di procedere a tali controlli sull’effettivo adempimento della prestazione lavorativa nonché sull’utilizzo da parte degli utenti dei beni e dei servizi informatici aziendali (artt. 2086, 2087 e 2104 c.c.), agirà in base al principio della gradualità. In attuazione di tale principio:

1. I controlli saranno effettuati inizialmente solo su dati aggregati riferiti all’intera struttura aziendale ovvero a singole aree lavorative;
2. Nel caso in cui si dovessero riscontrare violazioni del presente regolamento, indizi di commissione di gravi abusi o illeciti o attività contrarie ai doveri di fedeltà e diligenza, verrà diffuso un avviso generalizzato o circoscritto all’area o struttura lavorativa interessata, relativo all’uso anomalo degli strumenti informatici aziendali, con conseguente invito ad attenersi scrupolosamente alle istruzioni ivi impartite;
3. In caso siano rilevate ulteriori violazioni, si potrà procedere con verifiche più specifiche e puntuali, anche su base individuale.

1. Misure organizzative

Art. 6 – responsabile dei sistemi informatici

La Società conferisce al RSI il compito di sovrintendere ai beni e alle risorse informatiche aziendali. È compito di RSI:

1. gestire l’hardware e il software di tutta la strumentazione informatica di appartenenza della Società;
2. gestire la creazione, l’attivazione, la disattivazione, e tutte le relative attività amministrative degli account di rete e dei relativi privilegi di accesso alle risorse, previamente assegnati agli utenti;
3. monitorare il corretto utilizzo delle risorse di rete, dei computer e degli applicativi affidati agli utenti, purché attività rientranti nelle normali attività di manutenzione, gestione della sicurezza e della protezione dei dati;
4. creare, modificare, rimuovere o utilizzare qualunque account o privilegio purché attività rientranti nelle normali attività di manutenzione, gestione della sicurezza e della protezione dei dati;
5. rimuovere software e/o componenti hardware dalle risorse informatiche assegnate agli utenti, purché attività rientranti nelle normali attività di manutenzione, gestione della sicurezza e della protezione dei dati;
6. provvedere alla sicurezza informatica dei sistemi informativi aziendali;
7. utilizzare le proprie credenziali di accesso per accedere, anche da remoto, ai dati o alle applicazioni presenti su una risorsa informatica assegnata a un utente in caso di prolungata assenza, non rintracciabilità o impedimento dello stesso.

Tale ultima attività deve essere limitata al tempo strettamente necessario al compimento delle attività indifferibili per cui è stato richiesto.

Art. 7 – Assegnazione degli account e gestione delle password

7.1 – Creazione e Gestione degli Account

Un account utente permette l’autenticazione dell’utilizzatore e di conseguenza ne disciplina l’accesso alle risorse informatiche aziendali per singola postazione lavorativa. L’accesso a tutti gli strumenti aziendali è sottoposto a procedure di identificazione personale (log-in) di tipo manuale, attraverso la digitazione di un identificativo univoco (User ID) e di una parola segreta (Password) necessari al riconoscimento della identità dei destinatari da parte del sistema installato sugli strumenti aziendali e/o dell’applicazione in uso. Le credenziali di autenticazione sono comunicate all’utente da RSI che le genera con modalità tali da garantirne la segretezza.

Gli account utenti vengono creati da RSI e sono personali, cioè associati univocamente alla persona assegnataria e, pertanto, non cedibili. Inoltre, le credenziali di autenticazione costituiscono dati aziendali da mantenere strettamente riservati e non è consentito comunicarne gli estremi a terzi, anche a soggetti in posizione apicale all’interno della Società.

Ogni utente è responsabile dell’utilizzo del proprio account utente. È comunque vietato ai destinatari utilizzare credenziali di accesso diverse da quelle ricevute e successivamente aggiornate, in quanto strettamente personali ed assegnate in virtù del ruolo ricoperto.

I destinatari sono inoltre tenuti a scollegarsi (log–off) al termine della sessione di lavoro e/o in caso di assenze dall’ufficio per un lungo periodo di tempo.

Se l’utente ha il sospetto che le proprie credenziali di autenticazione siano state identificate da qualcuno, o il sospetto di un utilizzo non autorizzato del proprio account e delle risorse a questo associate, è tenuto a darne immediatamente comunicazione a RSI affinché provveda all’assegnazione di nuove credenziali. 

In caso di assenza improvvisa o prolungata del lavoratore e per improrogabili necessità legate all’attività lavorativa, per le esigenze produttive aziendali o per la sicurezza e operatività delle risorse informatiche, la Società si riserva la facoltà di accedere a qualsiasi dotazione o apparato assegnato in uso all’utente per mezzo dell’intervento dell’amministratore di sistema.

I beni e la strumentazione informatica oggetto del presente regolamento rimangono di esclusivo dominio della Società, che in conseguenza dei rapporti instaurati con gli utenti ne disciplina l’assegnazione.

7.2 – Gestione e Utilizzo delle Password

A seguito della prima comunicazione delle credenziali di autenticazione da parte di RSI, l’utente ha il compito di modificare al primo utilizzo la propria password procedendo allo stesso modo ogni 6 mesi.

L’utente, nel definire il valore della password, deve rispettare le seguenti regole:

1. utilizzare almeno 8 caratteri alfanumerici, inclusi i caratteri speciali (#, %, ecc.), di cui almeno uno numerico;
2. la password deve contenere almeno un carattere maiuscolo, un carattere minuscolo, un numero o un carattere non alfanumerico tipo “@#$£$%...”;
3. evitare di includere parti del nome, cognome o comunque elementi a lui agevolmente riconducibili;
4. evitare l’utilizzo di password comuni o prevedibili;
5. proteggere con la massima cura la riservatezza della password ed utilizzarla entro i limiti di autorizzazione concessi.

Scrivere la password su post-it o altri supporti non è conforme alla normativa, compromette in maniera pressoché totale le misure di sicurezza previste, costituisce violazione del presente regolamento e comporta l’applicazione di sanzioni.

Qualora l’utente venisse a conoscenza delle password di altro utente, è tenuto a darne immediata notizia al RSI, il quale provvederà all’attribuzione di una nuova password. 

RSI potrà accedere agli strumenti informatici degli utenti, protetti da password, esclusivamente per permettere all’azienda, Titolare del trattamento, di garantire l’operatività, la sicurezza del sistema ed il normale svolgimento dell’attività aziendale nei casi in cui si renda indispensabile ed indifferibile l’intervento, ad esempio, in caso di prolungata assenza o impedimento dell’incaricato, informando tempestivamente l’incaricato dell’intervento di accesso realizzato.

Per motivi di manutenzione o per nuove installazioni in cui si rendano necessarie configurazioni sul profilo utente, RSI può reimpostare la password del destinatario, previo suo assenso, ed entrare con le sue credenziali. Al termine dell’attività di manutenzione, il destinatario dovrà cambiare la propria password.

Su motivata richiesta del Titolare, che provvederà ad avvisare il destinatario, (es. accesso urgente a dati aziendali in caso di assenza del destinatario) il RSI può reimpostare la password del destinatario, e consentire al Titolare l’accesso al profilo del destinatario con le nuove credenziali. Al termine dell’attività il Titolare darà comunicazione al destinatario di quanto avvenuto e il destinatario dovrà cambiare la propria password.

7.3 – Cessazione Degli Account

In caso di interruzione del rapporto di lavoro con l’utente, le credenziali di autenticazione verranno disabilitate entro un periodo massimo di 30 (trenta) giorni da quella data; entro 90 (novanta) giorni, invece, si disporrà la definitiva e totale cancellazione dell’account utente.

1. Criteri di utilizzo degli strumenti informatici

Art. 8 – Dispositivi (devices): Desktop, Laptop, Tablet, Smartphone, etc.

Per l’espletamento delle proprie mansioni gli utenti utilizzano dispositivi (devices) di proprietà della Società e sono tenuti al rispetto delle seguenti regole:

 

1. non è consentito modificare la configurazione hardware e software del proprio dispositivo (device), se non previa esplicita autorizzazione del RSI (per le modalità operative fare riferimento a quanto riportato all’art. 19 – Comunicazioni);
2. non è consentito rimuovere, danneggiare o asportare componenti hardware;
3. non è consentito installare autonomamente programmi informatici, applicativi e ogni altro software non autorizzato espressamente dalla Società. Qualora sia riscontrata l’esigenza di utilizzare programmi diversi, la richiesta di installazione del relativo programma dovrà essere inoltrata al RSI il quale si esprimerà adottando le determinazioni conseguenti. Solo in caso di sua autorizzazione sarà possibile procedere all’installazione del programma;
4. è onere dell’utente, in relazione alle sue competenze lavorative, eseguire richieste di aggiornamento sulla propria postazione di lavoro derivanti da software antivirus, nonché sospendere ogni attività in caso di minacce virus o altri malfunzionamenti, segnalando prontamente l’accaduto a RSI;
5. è onere dell’utente spegnere il proprio PC al termine del lavoro. Per quanto concerne la gestione dei computer e degli altri dispositivi portatili, l’utente ha l’obbligo di custodirli con diligenza e in luogo protetto durante gli spostamenti, rimuovendo gli eventuali files elaborati prima della loro riconsegna; in ogni caso deve essere attivato lo screen saver e la relativa password;
6. non è consentito all’utente caricare o inserire all’interno del computer o di altri dispositivi portatili qualsiasi dato personale non attinente con l’attività lavorativa svolta.

In ogni caso, al fine di evitare o almeno ridurre al minimo la possibile circolazione di dati personali sul medesimo apparecchio, gli utenti devono cancellare tutti quelli eventualmente presenti prima di consegnare il dispositivo agli uffici competenti per la restituzione o la riparazione.

Art. 9 – Software

Premesso che l’installazione di software privi di regolare licenza non è consentita in nessun caso, gli utenti dovranno ottenere espressa autorizzazione della Società (per le modalità operative fare riferimento a quanto riportato all’art. 19 – Comunicazioni) per installare o comunque utilizzare qualsiasi programma o software dotato di licenza non proprietaria, ad esempio freeware o shareware.

Il personale deve prestare attenzione ad alcuni aspetti fondamentali che ciascun utente è tenuto a osservare per un corretto utilizzo del software in azienda:

1. le licenze d’uso del software sono acquistate da vari fornitori esterni. L’utente è pertanto soggetto a limitazioni nell’utilizzo di tali programmi e della relativa documentazione e non ha il diritto di riprodurlo in deroga ai diritti concessigli. Tutti gli utenti sono quindi tenuti a utilizzare il software entro i limiti specificati nei rispettivi contratti di licenza;
2. non è consentito eseguire il download o l’upload di software non autorizzato;
3. considerato quanto disposto dalle normative a tutela della proprietà intellettuale e del diritto d’autore, le persone coinvolte nella riproduzione illegale del software sono responsabili sia civilmente che penalmente e quindi soggette alle sanzioni previste dalla legge che comprendono il risarcimento del danno, il pagamento di multe e anche la reclusione;
4. la duplicazione illegale del software non è giustificabile e non è tollerata, costituisce violazione del presente regolamento ed espone alle sanzioni disciplinari previste.

 

ART 10 – Dispositivi mobili di connessione (internet key)

Agli assegnatari di computer o dispositivi portatili può essere concessa in dotazione anche una chiavetta per la connessione alla rete aziendale per consentire lo svolgimento delle mansioni lavorative anche da remoto.

I suddetti dispositivi mobili di connessione devono essere utilizzati esclusivamente sui computer forniti in dotazione dall’Società e non è consentito concederne l’utilizzo a soggetti terzi né utilizzarli su altri computer sia personali che di terzi.

Le specifiche relative ai limiti entro cui l’utente potrà utilizzare il servizio offerto tramite la chiavetta sono riportate nella scheda tecnica consegnata all’utente unitamente al dispositivo.

L’utente dovrà attenersi ai suddetti limiti; in caso contrario potrà essere richiesto il rimborso dei costi sostenuti per il loro superamento.

Art. 11 – Dispositivi di memoria portatili

Per dispositivi di memoria portatili si intendono tutti quei dispositivi che consentono di copiare o archiviare dati, files, o documenti esternamente al computer: cd-rom, dvd, pen-drive USB, riproduttori musicali mp3, fotocamere digitali, dischi rigidi esterni, ecc.

L’utilizzo di tali supporti risponde alle direttive di seguito riportate:

1. non è consentito utilizzare supporti rimovibili personali, se non preventivamente autorizzati per iscritto dalla Società (per le modalità operative fare riferimento a quanto riportato all’art. 19 – Comunicazioni);
2. è onere dell’utente custodire i supporti contenenti categorie particolari di dati (art. 9 GDPR) o dati relativi a condanne penali e a reati (art. 10 GDPR) in armadi chiusi a chiave, onde evitare che il loro contenuto possa essere trafugato o alterato o distrutto;

Se autorizzati in base alle procedure previste, una volta connessi all’infrastruttura informatica della Società, i dispositivi saranno soggetti (ove ciò sia compatibile) al presente regolamento.

Art. 12 – Stampanti, fotocopiatrici e fax

L’utilizzo di tali strumenti deve avvenire sempre per scopi professionali. Non è consentito un utilizzo per fini diversi o privati, salvo una specifica autorizzazione da parte della Società.

Quando si inviano documenti contenenti dati personali o informazioni riservate su una stampante condivisa è richiesta una particolare attenzione; ciò al fine di evitare che persone non autorizzate possano venire a conoscenza del contenuto della stampa. Bisogna evitare quindi di lasciare le stampe incustodite e ritirare immediatamente le copie appena stampate.

L’utilizzo di fax per l’invio di documenti che hanno natura strettamente confidenziale è generalmente da evitare. In caso ciò sia necessario si deve preventivamente avvisare il destinatario in modo da ridurre il rischio che persone non autorizzate possano venire a conoscenza del contenuto della comunicazione e successivamente chiedere la conferma telefonica di avvenuta ricezione.

Art. 13 – Strumenti di telefonia mobile o di connettività in mobilità

A seconda del ruolo o della funzione del singolo utente, la Società rende disponibili impianti di telefonia fissa e mobile e inoltre dispositivi quali smartphone e tablet che consentono di usufruire sia della navigazione in internet tramite rete dati che del servizio di telefonia tramite rete mobile.

Le specifiche relative ai limiti entro cui l’utente potrà utilizzare tali strumenti sono comunicate al momento della consegna. L’utente dovrà attenersi ai suddetti limiti e in caso contrario potrà essere richiesto il rimborso dei costi sostenuti per il loro superamento.

Come per qualsiasi altra dotazione aziendale, il dispositivo mobile rappresenta un bene aziendale concesso in uso per scopi esclusivamente lavorativi. È tuttavia permesso un utilizzo personale sporadico e moderato dei telefoni aziendali utilizzando la “diligenza del buon padre di famiglia” prevista dalla normativa e comunque tale da non ledere il rapporto fiduciario instaurato con il proprio datore di lavoro.

Al fine del controllo del corretto utilizzo dei servizi di telefonia aziendale la Società può esercitare i diritti di cui all’art. 124 D.Lgs. 196/2003 (fatturazione dettagliata) richiedendo ai provider di telefonia i dettagli necessari agli accertamenti sull’uso e relativo costo del traffico effettuato nel tempo.

I controlli saranno eseguiti secondo criteri e modalità descritte all’art. 5 del presente regolamento. Qualora dall’esame del traffico di una singola utenza si rilevi uno scostamento significativo rispetto alla media del consumo sarà richiesto il tabulato analitico delle chiamate effettuate dalla SIM attribuita all’utente per il periodo interessato.

L’utilizzo dei dispositivi mobili risponde alle seguenti regole:

1. ciascun utente assegnatario del dispositivo è responsabile dell’uso appropriato dello stesso, e conseguentemente, anche della sua diligente conservazione;
   1. 1. i dispositivi devono essere dotati di password di sicurezza, per esempio codice PIN del dispositivo, che ne impedisca l’utilizzo da parte di altri soggetti. A tal fine si precisa che:
      2. il codice PIN dovrà essere composto da quattro o cinque cifre numeriche, altri codici di accesso dovranno garantire analoga protezione;
      3. il codice PIN o altri codici di accesso dovranno essere modificati dall’assegnatario con cadenza al massimo semestrale;
      4. ogni utente deve adottare le necessarie e dovute cautele per assicurare la segretezza della password e, qualora ritenga che un soggetto non autorizzato possa esserne venuto a conoscenza, dovrà provvedere immediatamente a cambiarla dandone comunque comunicazione alla Società.
2. In caso di furto, danneggiamento o smarrimento del dispositivo mobile l’utente assegnatario dovrà darne immediato avviso alla Società; se tali eventi siano riconducibili a un comportamento negligente o imprudente dell’utente stesso o comunque a sua colpa nella custodia del bene, lo stesso sarà ritenuto unico responsabile dei danni derivanti;
3. In caso di furto o smarrimento la Società si riserva la facoltà di attuare la procedura di cancellazione da remoto di tutti i dati sul dispositivo, rendendo il dispositivo stesso inutilizzabile e i dati in esso contenuti del tutto irrecuperabili;
4. Non è consentito all’utente caricare o inserire all’interno del dispositivo o SIM qualsiasi dato personale non attinente con l’attività lavorativa svolta. In ogni caso, al fine di evitare o almeno ridurre la circolazione di dati personali sull’apparecchio, è obbligatorio cancellare tutti i dati eventualmente presenti prima di consegnare il dispositivo agli uffici competenti per la restituzione o la riparazione;
5. Non è consentito all’utente effettuare riprese, fotografie, registrazioni di suoni con qualsiasi tipologia di apparecchiatura elettronica adatta a tali scopi a meno che non siano strettamente connesse con il proprio compito lavorativo e siano preventivamente autorizzate dalla Società;
6. L’installazione di applicazioni, gratuite o a pagamento, su smartphone e tablet deve essere espressamente autorizzata, rimanendo in caso contrario a carico dell’utente le responsabilità derivanti dall’installazione non autorizzata che costituisce violazione del presente regolamento;
7. Salvo diversi specifici accordi derivanti da esigenze di servizio, al momento della consegna di tablet o smartphone l’utente è tenuto a verificare la disattivazione del sistema di geolocalizzazione potenzialmente attivabile sugli smartphone e tablet, consapevole che in caso contrario la Società potrebbe venire a conoscenza, seppur incidentalmente, dei dati relativi alla posizione del dispositivo stesso e del suo assegnatario.

1. Gestione delle comunicazioni telematiche

Art. 14 – Gestione utilizzo della rete internet

Ciascun utente potrà essere abilitato alla navigazione Internet e pertanto si richiamano tutti gli utenti a una particolare attenzione al suo utilizzo consapevole così come dei servizi collegati, in quanto ogni operazione posta in essere è associata all’“Indirizzo Internet Pubblico” assegnato alla Società.

La connessione a Internet, in quanto strumento a disposizione degli utenti per uso professionale, deve essere utilizzata in maniera appropriata, tenendo presente che ogni sito web può essere governato da leggi diverse da quelle vigenti in Italia; ciò deve essere tenuto in considerazione in modo da prendere ogni precauzione conseguente.

Le norme di comportamento da osservare nell’utilizzo delle connessioni ad Internet sono le seguenti:

1. L’utilizzo è consentito esclusivamente per scopi aziendali e, pertanto, non è consentito navigare in siti non attinenti allo svolgimento delle proprie mansioni lavorative;
2. Non è consentita l’effettuazione di ogni genere di transazione finanziaria, ivi comprese le operazioni di remote banking, acquisti on-line e simili, salvo casi espressamente consentiti per i singoli soggetti autorizzati dalla Società; 
3. È vietata ogni forma di registrazione a siti i cui contenuti non siano legati all’attività lavorativa;
4. Non sono permesse, se non per motivi professionali, la partecipazione a forum, l’utilizzo di chat-line o di bacheche elettroniche e le registrazioni in guest-book, anche utilizzando pseudonimi (o nicknames);
5. Non è consentita la navigazione in siti e la memorizzazione di documenti informatici di natura oltraggiosa, pornografica, pedopornografica o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale o politica;
6. È consentito l’utilizzo di soluzioni di Instant Messanger o chat esclusivamente per scopi professionali e attraverso strumenti e software messi a disposizione dalla Società;
7. Non è consentito l’utilizzo di sistemi di social networking sul luogo di lavoro o durante l’orario lavorativo;
8. Non è consentito lo scambio o la condivisione di materiale audiovisivo, cinematografico, fotografico, informatico o altro anche se non protetto da copyright utilizzando sistemi Peer-to-Peer, a qualsiasi titolo e anche se non a scopo di lucro.
9. Non è consentito sfruttare i marchi registrati, i segni distintivi e ogni altro bene immateriale di proprietà della Società in una qualsiasi pagina web o pubblicandoli su Internet, a meno che tale azione non sia stata preventivamente ed espressamente approvata.

È altresì proibito rigorosamente qualsiasi uso del Web che non trasmetta un’immagine positiva o che possa essere in qualunque modo nocivo all’immagine della Società.

Per mezzo del RSI e al fine di facilitare il rispetto delle predette regole la Società si riserva la facoltà di configurare specifici filtri che inibiscono l’accesso ai contenuti non consentiti, con esclusione dei siti istituzionali, e che prevengono operazioni non correlate all’attività lavorativa: a titolo esemplificativo e non esaustivo upload, restrizione nella navigazione, download di file o software.

È fatto divieto all’utente lo scarico di software gratuito (freeware) e shareware prelevato da siti Internet, se non espressamente autorizzato dal RSI.

L’accesso da parte di soggetti esterni alla rete internet aziendale deve avvenire tramite apposita Rete Guest la cui password è generata e modificata periodicamente da RSI il quale cura la divulgazione della stessa al fine di rendere possibile l’utilizzo del Wi-fi da parte di soggetti esterni.

Art. 15 – Gestione utilizzo della rete intranet

Le unità di rete sono aree di condivisione di informazioni strettamente professionali e non possono in alcun modo essere utilizzate per scopi diversi. Qualunque file che non sia legato all’attività lavorativa non può essere dislocato, nemmeno per brevi periodi, in queste unità. Su queste unità, vengono svolte regolari attività di controllo, amministrazione e backup da parte di RSI e di ADS, ove nominato.

L’accesso remoto alla rete aziendale deve avvenire esclusivamente attraverso l’uso di strumenti aziendali forniti dalla Società, attenendosi rigorosamente alle norme comportamentali espresse in questo Regolamento.

Le password d’ingresso alla rete ed ai programmi sono segrete e vanno comunicate e gestite secondo le procedure impartite. È assolutamente proibito entrare nella rete e nei programmi con altri nomi utente.

Il RSI, anche tramite l’ADS ove nominato, può in qualunque momento procedere alla rimozione di ogni file o applicazione che riterrà essere pericolosi per la Sicurezza sia sui PC degli incaricati sia sulle unità di rete.

Ogni sei mesi, RSI anche tramite propri incaricati provvede alla pulizia degli archivi, con cancellazione dei file obsoleti o inutili. Particolare attenzione deve essere prestata alla duplicazione dei dati, gli utenti devono pertanto evitare un’archiviazione ridondante.

È cura dell’utente effettuare la stampa dei dati solo se strettamente necessaria e di ritirarla prontamente dai vassoi della stampante (o delle stampanti comuni). In caso di necessità la stampa in corso può essere cancellata.

Art. 16 – Gestione e utilizzo della posta elettronica aziendale

16.1 – Principi Guida

Per ciascun utente titolare di un account, la Società provvede ad assegnare una casella di posta elettronica individuale.

I servizi di posta elettronica devono essere utilizzati a scopo professionale: l’account e-mail è uno strumento di proprietà della Società ed è conferito in uso per l’esclusivo svolgimento delle mansioni lavorative affidate.

Attraverso le caselle e-mail aziendali gli utenti rappresentano pubblicamente la Società e per questo motivo viene richiesto di utilizzare tale sistema in modo lecito, professionale e comunque tale da riflettere positivamente l’immagine aziendale.

Gli utenti sono responsabili del corretto utilizzo delle caselle di posta elettronica aziendale conformemente alle presenti regole. Gli stessi devono:

1. conservare la password nella massima riservatezza e con la massima diligenza;
2. mantenere la casella in ordine, cancellando documenti inutili e allegati ingombranti;
3. utilizzare la ricevuta di ritorno per avere la conferma dell’avvenuta lettura del messaggio da parte del destinatario;
4. prestare attenzione alla dimensione degli allegati per la trasmissione di file all’interno della struttura nonché alla posta ricevuta. Gli allegati provenienti da mittenti sconosciuti non devono essere aperti in quanto possono essere utilizzati come veicolo per introdurre programmi dannosi (agenti di alterazione, ad esempio virus);
5. controllare i file allegati di posta elettronica prima del loro utilizzo (non eseguire download di file eseguibili o documenti da siti Web o Ftp non conosciuti).
6. inviare preferibilmente files in formato PDF;
7. accertarsi dell’identità del mittente e controllare a mezzo di software antivirus i files attachment di posta elettronica prima del loro utilizzo;
8. rispondere alle e-mail pervenute solo da emittenti conosciuti e cancellare preventivamente le altre;
9. collegarsi a siti internet contenuti all’interno di messaggi solo per motivate ragioni e quando vi sia comprovata sicurezza sul contenuto degli stessi.

Inoltre, non è consentito agli utenti:

1. utilizzare la casella di posta elettronica aziendale per inviare, ricevere o scaricare allegati contenenti video, brani musicali, ecc., salvo che questo non sia funzionale all’attività prestata in favore della Società, per esempio presentazioni o materiali video aziendali.
2. di utilizzare le caselle di posta elettronica aziendale per l’invio di messaggi personali o per la partecipazione a dibattiti, forum o mail-list salvo diversa ed esplicita autorizzazione di RSI.

Salvo l’utilizzo di appositi strumenti di cifratura i sistemi di posta elettronica non possono garantire la riservatezza delle informazioni trasmesse. Pertanto si richiede agli utenti di valutare con attenzione l’invio di informazioni classificabili quali “riservate” o aventi comunque carattere “strettamente confidenziale”. Ciascun utente inerisce nella firma della propria mail apposito disclaimer (MOD. 15 – disclaimer sulla privacy) avente lo scopo di avvertire il destinatario della natura personale e riservata delle informazioni, nonché di informarlo delle leggi vigenti in materia di privacy e di violazione della corrispondenza, al fine di esortare il medesimo ad evitare qualsiasi uso, riproduzione o divulgazione del contenuto del messaggio non autorizzata.

Nei casi in cui la Società si doti di posta elettronica certificata si applicheranno, ove compatibili, le presenti disposizioni.

Ogni comunicazione inviata o ricevuta che abbia contenuti rilevanti o contenga impegni contrattuali o precontrattuali per la Società deve essere visionata od autorizzata dal responsabile di funzione competente o in ogni modo è opportuno fare riferimento alle procedure in essere per la corrispondenza ordinaria.

È possibile utilizzare la ricevuta di ritorno per avere la conferma dell’avvenuta lettura del messaggio da parte del destinatario, ma di norma per la comunicazione ufficiale è obbligatorio avvalersi degli strumenti tradizionali (PEC, fax, posta raccomandata con ricevuta A/R).

16.2 – Accesso alla casella di posta elettronica del lavoratore assente

Saranno messe a disposizione di ciascun utente, con modalità di agevole esecuzione, apposite funzionalità del sistema di posta elettronica che in caso di assenze programmate consentano di inviare automaticamente messaggi di risposta contenenti le coordinate di altro soggetto cui trasmettere le comunicazioni e-mail di contenuto lavorativo o altre utili modalità di contatto in caso di assenza del lavoratore.

In caso di assenze non programmate, ad esempio per malattia, qualora il lavoratore non possa attivare la procedura descritta anche avvalendosi di servizi webmail da remoto e perdurando l’assenza oltre il limite temporale di 7 (sette) giorni la Società disporrà, lecitamente e mediante personale appositamente incaricato (RSI oppure un suo incaricato), l’attivazione di un analogo accorgimento (risposta automatica o re-indirizzamento), avvertendo l’assente.

Nel caso in cui la Società necessiti di conoscere il contenuto dei messaggi di posta elettronica dell’utente resosi assente per cause improvvise o per improrogabili necessità legate all’attività lavorativa, si procederà come segue:

1. la verifica del contenuto dei messaggi sarà effettuata per il tramite di idoneo “fiduciario”, da intendersi quale lavoratore previamente nominato e/o incaricato per iscritto dall’utente assente;
2. di tale attività sarà informato l’utente interessato alla prima occasione utile.

16.3 – Cessazione dell’indirizzo di Posta Elettronica Aziendale

In caso di interruzione del rapporto di lavoro con l’utente, l’indirizzo di posta elettronica verrà disabilitato entro un periodo massimo di 30 (trenta) giorni da quella data ed entro 90 (novanta) giorni si disporrà la definitiva e totale cancellazione dello stesso. In ogni caso, la Società si riserva il diritto di conservare i messaggi di posta elettronica ritenuti rilevanti per le proprie attività.

1. Sanzioni, comunicazioni e approvazione

Art. 17 – Sanzioni

La violazione di quanto previsto dal presente regolamento, rilevante anche ai sensi degli artt. 2104 e 2105 c.c., potrà comportare l’applicazione di sanzioni disciplinari in base a quanto previsto dall’art. 7 (sanzioni disciplinari) della Legge 20 maggio 1970 n. 300 (Statuto dei Lavoratori).

Nel caso venga commesso un reato o la cui commissione sia ritenuta probabile o solo sospettata la Società avrà cura di informare senza ritardo, e senza necessità di preventive contestazioni o addebiti formali, le autorità competenti dell’utilizzo illecito o non conforme dei beni e degli strumenti informatici aziendali

In caso di violazione accertata delle regole e degli obblighi esposti in questo regolamento da parte degli utenti la Società si riserva la facoltà di sospendere, bloccare o limitare gli accessi di un account, quando appare ragionevolmente necessario per proteggere l’integrità, la sicurezza o la funzionalità dei propri beni e strumenti informatici e inoltre per impedire il reitero di tale violazione.

Art. 18 – Informativa agli utenti ex art. 13 Regolamento (UE) 2016/679

Il presente regolamento, nella parte in cui contiene le regole per l’utilizzo dei beni e degli strumenti informatici aziendali e relativamente al trattamento di dati personali svolti dalla Società finalizzato all’effettuazione di controlli leciti, così come definiti nell’art. 5, vale quale informativa ex art. 13 del Regolamento (UE) 2016/679.

Art. 19 – Comunicazioni

Contestualmente all’assegnazione di un account il presente regolamento è messo a disposizione degli utenti per la consultazione. La versione più aggiornata dello stesso è pubblicata presso ufficio di CN.

Per ogni aggiornamento del presente regolamento sarà data comunicazione sulle bacheche aziendali e tramite l’invio di specifico messaggio e-mail e tutti gli utenti sono tenuti a conformarsi alla versione più aggiornata.

Le richieste di autorizzazione o concessione previste dal presente regolamento possono essere inoltrate alla Società per mezzo di qualsiasi strumento che ne garantisca la tracciabilità, ad esempio tramite e-mail, a cui è riconosciuto il valore di forma scritta in modo del tutto analogo rispetto a quella cartacea.