Disciplinare di comportamento degli autorizzati e degli altri dipendenti

coinvolti in modo diretto o indiretto nell’esecuzione dei trattamenti svolti per conto del Titolare o del Responsabile del trattamento

I – NORME COMPORTAMENTALI

Gli  autorizzati al trattamento dei dati (in seguito anche “Incaricati”), così come tutti i dipendenti coinvolti in modo diretto o indiretto nell’esecuzione di trattamenti per conto di Fondazione Sistema Toscana, nello svolgimento delle operazioni di trattamento di dati personali devono attenersi:

  • ai riferimenti normativi dettati dal Regolamento UE 679/2016 e dal D.lgs. 196/2003 e ss.mm.ii. in materia di protezione e trattamento dei dati personali
  • alle regole di ordinaria diligenza
  • alle misure di sicurezza per gli archivi elettronici/cartacei da adottare per la protezione dei dati personali.

Si impegnano quindi a:

  • collaborare con il Titolare e/o con il Responsabile del trattamento;
  • utilizzare i dati solo per gli scopi istituzionali, nello spirito della legge e secondo le eventuali ulteriori istruzioni ricevute dal Titolare o dal Responsabile;
  • rispettare il segreto di ufficio e professionale, oltre che i requisiti di riservatezza e sicurezza durante l’uso dei dati personali.

Fondazione Sistema Toscana provvede alla necessaria formazione e formalizza gli incarichi degli autorizzati quando non già implicito nel proprio ruolo lavorativo. 

II – REGOLE DI ORDINARIA DILIGENZA  

Nell’esecuzione dei compiti assegnati, l’Autorizzato (o anche  “Incaricato”)  deve attenersi ad alcune regole di ordinaria diligenza al fine di evitare che soggetti estranei possano venire a conoscenza dei dati personali oggetto del trattamento. Per queste ragioni l’Incaricato, nello svolgimento delle proprie mansioni deve prestare particolare attenzione nel:

  • non divulgare a terzi estranei le informazioni di cui viene a conoscenza;
  • adoperarsi affinché terzi fraudolentemente non entrino in possesso di dati deliberatamente comunicati;
  • non fare copie, per uso personale, dei dati su cui si svolgono operazioni di ufficio;
  • attenersi scrupolosamente alle eventuali ulteriori istruzioni impartite dal Titolare o dal Responsabile del trattamento;
  • osservare dei criteri di riservatezza;
  • trattare i dati in modo lecito e secondo correttezza;
  • trattare i dati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti o successivamente trattati;
  • comportarsi nel pieno rispetto delle misure minime di sicurezza, custodendo e controllando i dati oggetto di trattamento in modo da evitare i rischi, anche accidentali, di distruzione o perdita, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Qualora l’Incaricato abbandoni temporaneamente la propria postazione di lavoro, tanto che si trovi presso la propria sede di lavoro che in lavoro esterno o che stia svolgendo la prestazione lavorativa in lavoro agile, deve in ogni caso provvedere a:

  • non fare accedere terzi estranei al trattamento ad informazioni riservate o dati personali;
  • riporre in cassetti o armadi la documentazione cartacea contenente dati personali;
  • attivare il salva schermo del dispositivo utilizzato, protetto da password;
  • non rivelare, o far digitare, le password a terzi, se non agli eventuali amministratori di sistema (in seguito anche “AdS”) autorizzati;
  • segnalare eventuali sospetti od anomalie al Responsabile del trattamento, al Responsabile della Protezione dei dati e al Responsabile IT.

III – NORME PER L’UTILIZZO DEGLI STRUMENTI ELETTRONICI ED I SERVIZI DI RETE

Norma base

Tutti gli strumenti e/o servizi utilizzati per trattare dati personali per conto di Fondazione Sistema Toscana, siano essi propri o in dotazione aziendale, devono essere usati nel rispetto delle norme vigenti per la protezione dei dati personali (Regolamento UE 679/2016 e Dlgs 196/03 e ss.mm.ii.) al fine di garantire il rispetto della riservatezza delle persone, e la tutela dei dati personali di cui Fondazione Sistema Toscana è o verrà in possesso come Titolare, o come Responsabile nominata da altro Titolare.

Norme specifiche

Le seguenti norme disciplinano l’uso degli strumenti e dei servizi elettronici utilizzati dai dipendenti per trattare dati personali per conto di Fondazione Sistema Toscana, siano essi propri o in dotazione aziendale. Le norme seguenti sono congrue con la policy di security e privacy di Fondazione Sistema Toscana.

  1. PC / Portatile

Ogni dipendente che utilizzi una workstation, un portatile o altro strumento elettronico, siano essi propri o in dotazione aziendale, per trattare dati personali per conto di Fondazione Sistema Toscana, dovrà per ciascun dispositivo:

  • Utilizzare lo strumento per i soli fini lavorativi, o in caso di utilizzo di un proprio dispositivo porre in essere le necessarie misure affinché gli ambiti, lavorativo e non, possano essere distinti e i dati personali trattati, per conto di Fondazione, non accessibili a terzi non autorizzati al trattamento
  • Averne l’uso esclusivo se non in casi di assoluta necessità
  • Curarne la protezione fisica e da furti o accessi di terzi
  • Attivare un salvaschermo con blocco automatico dopo 5 – 10 minuti
  • Provvedere ad un back-up periodico dei dati, secondo le modalità definite con l’IT, per conservare i dati trattati per conto di Fondazione Sistema Toscana.
  • Proteggerlo con password, con complessità definita secondo le indicazioni degli AdS.

Tutte le workstation ed i portatili devono essere dotati di software, firewall e antivirus, ad aggiornamento automatico.

  1. Dispositivi mobili (telefoni cellulari, smartphone, ecc.)

I dipendenti dotati di uno, o più, dispositivi mobili aziendali per ciascun dispositivo dovranno:

  • Utilizzarlo per i soli fini lavorativi
  • Non prestarlo se non a colleghi ed in caso di assoluta necessità
  • Proteggere l’accesso ai dati con un codice od una modalità di sicurezza, secondo le modalità definite con l’IT

I dipendenti che utilizzano un proprio dispositivo mobile per trattare dati personali per conto di Fondazione Sistema Toscana dovranno, per ciascun dispositivo:

  • Porre in essere le necessarie misure affinché gli ambiti, lavorativo e non, possano essere distinti e i dati personali, trattati per conto di Fondazione, non accessibili a terzi non autorizzati al trattamento
  • Proteggere l’accesso ai dati con un codice od una modalità di sicurezza, secondo le modalità definite con l’IT
  1. E-Mail e altri servizi elettronici

Ogni dipendente che utilizzi l’e-mail, o altri servizi messi a disposizione da Fondazione Sistema Toscana, per trattare dati personali per conto di Fondazione, dovrà:

  • Utilizzare l’e-mail e gli altri servizi elettronici aziendali per i soli fini lavorativi
  • In caso di accesso all’e-mail, o ad altri servizi aziendali, da un proprio dispositivo porre in essere le necessarie misure affinché gli ambiti, lavorativo e non, possano essere distinti e i dati personali trattati, per conto di Fondazione, non accessibili a terzi non autorizzati al trattamento
  • Disconnettersi dall’e-mail e dagli altri servizi aziendali una volta terminata l’attività lavorativa
  • Averne l’uso esclusivo
  • Curarne la protezione da accessi di terzi
  • Proteggerli con password, con complessità definita secondo le indicazioni degli AdS.
  • Visualizzare e-mail e documenti in preview ed evitare di aprire allegati o link senza le opportune attenzioni
  • Comunicare possibili criticità agli amministratori di sistema o al responsabile IT

Periodicamente ogni dipendente deve provvedere a verificare lo stato dei propri messaggi e-mail e documenti eventualmente archiviando quanto non più immediatamente necessario.

  1. Internet e reti interne

L’accesso a internet è consentito dalle workstation, dai portatili e da altri strumenti elettronici aziendali alle seguenti condizioni:

  • Ai dipendenti, siano o meno autorizzati allo svolgimento di operazioni di trattamento di dati personali, è fatto divieto di accedere, utilizzando workstation, portatili o altri strumenti elettronici aziendali, a siti di contenuto improprio o comunque non inerente l’attività lavorativa.
  • Ai dipendenti, siano o meno autorizzati allo svolgimento di operazioni di trattamento di dati personali, è fatto divieto di accedere, durante l’attività lavorativa, anche utilizzando workstation, portatili o altri strumenti elettronici propri, a siti di contenuto improprio o comunque non inerente l’attività lavorativa.

I dipendenti avranno inoltre la massima cura nell’evitare e segnalare possibili attività a carattere illecito o fraudolento.

La rete interna di Fondazione Sistema Toscana, con accesso protetto, è fruibile ai soli fini aziendali, non sono ammessi usi impropri.

  1. Freeware e software scaricato da internet

Sulle workstation, i portatili e gli altri strumenti elettronici aziendali:

  • È fatto divieto di scaricare ed utilizzare software freeware in genere da internet
  • In caso di effettiva necessità ai fini aziendali, il dipendente potrà fare richiesta al Responsabile dell’Area e al Direttore, che con il supporto dell’area IT valuterà l’effettiva necessità ed opportunità e provvederà nel caso ad autorizzare l’eventuale installazione.

Sulle workstation, i portatili e gli altri strumenti elettronici propri, se utilizzati per lo svolgimento di attività lavorativa :

  • È fatto divieto di utilizzare software freeware in genere da internet per lo svolgimento di attività lavorativa
  • In caso di effettiva necessità ai fini aziendali, il dipendente potrà fare richiesta al Direttore che con il supporto dell’area IT valuterà l’effettiva necessità ed opportunità e provvederà nel caso ad autorizzare l’eventuale utilizzo.
  • L’installazione di software freeware, in particolare se di incerta provenienza, rimane in ogni caso sconsigliata, in particolare sui dispositivi utilizzati per lo svolgimento di operazioni di trattamento di dati personali. Il dipendente ha comunque il dovere di garantire il rispetto della riservatezza delle persone, e la tutela dei dati personali di cui Fondazione Sistema Toscana è o verrà in possesso come Titolare, o come Responsabile nominata da altro Titolare.

Data di aggiornamento: 16 Novembre 2022