Il servizio RPD-DPO, al fine di fornire supporto e assistenza al Titolare, ha predisposto:

- MODELLO di Regolamento per l'accesso e l'uso della rete informatica e telematica

Il modello viene pubblicato in calce e in allegato.

Il modello che viene pubblicato corrisponde alla verisione n. 1 e verrà costantemente aggiornato a cura del servizio di consulenza.

COMUNE DI XXX

REGOLAMENTO PER L’ACCESSO E L’USO DELLA RETE INFORMATICA E TELEMATICA

INDICE

Art. 1 - Definizioni

Art. 2 - Principi generali

Art. 3 - Oggetto e finalità

Art. 4 - Ambito di applicazione

Art. 5 - Amministrazione delle risorse informatiche

Art. 6 - Diritti e responsabilità

Art. 7 - Disponibilità della rete e dei servizi ad essa collegati

Art. 8 - Modalità di accesso alla rete e ai servizi/programmi per gli utenti interni

Art. 9 - Modalità di accesso alla rete e ai servizi/programmi per gli utenti esterni

Art. 10 - Utilizzo delle stampanti e dei materiali di consumo

Art. 11 - Attività non consentite nell’uso della rete

Art. 12 - Attività non consentite nell’uso di internet e della posta elettronica

Art. 13 - Disposizioni e procedure applicative

Art. 14 - Responsabilità e sanzioni

Art. 15 - Sicurezza e protezione dei dati personali

Art. 16 - Aggiornamento e revisione

Art. 1 - Definizioni

1. Ai fini del presente Regolamento valgono le seguenti definizioni:

• hardware = insieme delle componenti fisiche, non modificabili (alimentatori, elementi circuitali fissi, unità di memoria, ecc.), di un sistema di elaborazione dati;
• software = insieme delle procedure e delle istruzioni in un sistema di elaborazione dati; insieme di programmi;
• file = archivio/schedario;
• account = insieme di funzionalità, strumenti e contenuti attribuiti ad un nome utente;
• intranet = rete aziendale privata completamente isolata dalla rete esterna (internet);
• download = scaricamento dati da una rete telematica;
• GDPR = Regolamento generale sulla protezione dei dati

Art. 2 - Principi generali

1. Ai sensi dell’art. 5 del Regolamento generale sulla protezione dei dati (GDPR), i dati personali sono:

• trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);
• raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
• adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
• esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
• conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»);
• trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

2. Ai sensi dell’art. 6 GDPR il trattamento dei dati è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

• l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
• il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
• il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
• il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
• il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
• il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

Art. 3 - Oggetto e finalità

1. Il presente regolamento disciplina le modalità di accesso e di uso della Rete Informatica e telematica e dei servizi che, tramite la stessa Rete, è possibile ricevere o offrire all’interno e all’esterno dell’Amministrazione.

2. La Rete dell’Amministrazione è costituita dall’insieme delle Risorse informatiche, cioè dalle Risorse infrastrutturali e dal Patrimonio informativo digitale. Le Risorse infrastrutturali sono le componenti hardware/software e gli apparati elettronici collegati alla Rete Informatica comunale. Il Patrimonio informativo è l’insieme delle banche dati in formato digitale ed in generale tutti i documenti prodotti tramite l’utilizzo dei suddetti apparati.

3. L’Amministrazione promuove ogni opportuna misura, organizzativa e tecnologica, volta a prevenire il rischio di utilizzo improprio delle strumentazioni e delle banche dati di proprietà dell’Amministrazione.

Art. 4 - Ambito di applicazione

1. Il presente regolamento si applica a tutti gli utenti Interni ed Esterni che sono autorizzati ad accedere alla Rete comunale.

2. Per utenti Interni si intendono tutti gli Amministratori, i Dirigenti, i dipendenti a tempo indeterminato e a tempo determinato e i collaboratori occasionali.

3. Per utenti Esterni si intendono: le ditte fornitrici di software che effettuano attività di manutenzione limitatamente alle applicazioni di loro competenza, enti esterni autorizzati da apposite convenzioni all’accesso a specifiche banche dati con le modalità stabilite dalle stesse, collaboratori esterni.

Art. 5 - Amministrazione delle risorse informatiche

1. Il Dirigente di area competente individua i soggetti a cui, su indicazione del medesimo, compete la responsabilità di:

• Gestire hardware/software di tutte le strutture tecniche informatiche di appartenenza dell’Amministrazione, collegate in rete o meno.

• Gestire esecutivamente (creazione, attivazione, disattivazione e tutte le relative attività amministrative) gli account di rete e i relativi privilegi di accesso alle risorse, assegnati agli utenti della Rete Informatica comunale secondo quanto stabilito da ogni Dirigenti.

• Monitorare o utilizzare qualunque tipo di sistema informatico o elettronico per controllare il corretto utilizzo delle risorse di rete, dei computer e degli applicativi, solo se rientrante nelle normali attività di manutenzione, gestione della sicurezza e della protezione dei dati e nel pieno rispetto di quanto previsto riguardo ai diritti dei lavoratori.

• Creare, modificare, rimuovere o utilizzare qualunque account o privilegio, solo se rientrante nelle normali attività di manutenzione, gestione della sicurezza e della protezione dei dati e nel pieno rispetto di quanto previsto riguardo ai diritti dei lavoratori.

• Rimuovere programmi software dalle risorse informatiche assegnate agli utenti, solo se rientrante nelle normali attività di manutenzione, gestione della sicurezza e della protezione dei dati e nel pieno rispetto di quanto previsto riguardo ai diritti dei lavoratori.

• Rimuovere componenti hardware dalle risorse informatiche assegnate agli utenti, solo se rientrante nelle normali attività di manutenzione, gestione della sicurezza e della protezione dei dati e nel pieno rispetto di quanto previsto riguardo ai diritti dei lavoratori.

• Utilizzare le credenziali di accesso di amministrazione del sistema, o l’account di un utente tramite reinizializzazione della relativa password, per accedere ai dati o alle applicazioni presenti su una risorsa informatica assegnata ad un utente in caso di prolungata assenza, irrintracciabilità o impedimento dello stesso. Tale utilizzo deve essere esplicitamente richiesto dal Dirigente di struttura dell’utente assente o impedito e deve essere limitato al tempo strettamente necessario al compimento delle attività indifferibili per cui è stato richiesto.

Art. 6 - Diritti e responsabilità

1. L’Amministrazione promuove l’utilizzo della Rete Informatica e Telematica, di Internet e della Posta Elettronica quali strumenti utili a perseguire le proprie finalità istituzionali.

2. Ogni utente è responsabile civilmente e penalmente del corretto uso delle Risorse informatiche, dei Servizi/programmi ai quali ha accesso e dei propri dati.

3. Per motivi di sicurezza e protezione dei dati, ogni attività compiuta nella Rete Informatica è sottoposta a registrazione in appositi file e riconducibili ad un account di rete. Detti file possono essere soggetti a trattamento solo per fini istituzionali, per attività di monitoraggio e controllo e possono essere messi a disposizione dell’autorità giudiziaria in caso di accertata violazione della normativa vigente. La riservatezza delle informazioni in essi contenute è soggetta a quanto dettato dal D.Lgs. n. 196/2003.

4. Il Dirigente di Area competente cura l’attuazione del presente regolamento attraverso la predisposizione di Procedure Operative.

5. Le procedure devono essere comunicate ai Dirigenti per garantirne la diffusione a tutti i dipendenti. Tali procedure devono essere rese facilmente e continuativamente disponibili per consultazione sul Portale Intranet dell’Amministrazione.

Art. 7 - Disponibilità della rete e dei servizi ad essa collegati

1. L’accesso alla rete dell’Amministrazione è assicurato compatibilmente con le potenzialità delle risorse disponibili, con la possibilità di regolamentare gli accessi quando questo fosse richiesto da ragioni tecniche.

Art. 8 - Modalità di accesso alla rete e ai servizi/programmi per gli utenti interni

1. Per essere autorizzati all’uso delle risorse informatiche e dei relativi servizi, è necessario che gli utenti Interni presentino richiesta scritta e firmata al Dirigente di Area competente.

2. A tal proposito l’Amministrazione predispone il modello “Richiesta di accesso alla rete ed ai servizi/programmi”, il quale viene adottato e modificato con atto del Dirigente di Area competente ed è disponibile sul Portale Intranet comunale. Tale modello prevede la richiesta di accesso per l’utilizzo della Rete Informatica comunale, per l’uso della posta elettronica e per l’uso di servizi/programmi specifici.

3. Nel caso sia evidenziata dal Dirigente la necessità per l’utente di accedere ai dati di competenza di un altro servizio, la richiesta di accesso deve essere approvata e sottoscritta anche dal Dirigente del servizio responsabile del trattamento dei dati.

4. L’Amministrazione provvede ad assegnare ad ogni utente un Account di rete e un Account per ogni servizio/programma autorizzato. Ogni Account è costituito dall’accoppiamento di un Codice personale o Username con una Parola chiave o Password. Per ogni servizio/programma vengono abilitate all’utente solo le funzioni per le quali è stato autorizzato.

Art. 9 - Modalità di accesso alla rete e ai servizi/programmi per gli utenti esterni

1. Per essere autorizzati all’uso delle risorse informatiche e dei relativi servizi, è necessario che gli utenti Esterni stipulino un’apposita convenzione con l’Amministrazione.

2. L’Amministrazione provvede alla creazione di un account per l’accesso alla rete con i privilegi minimi necessari per l’attività che deve essere svolta.

Art. 10 - Utilizzo delle stampanti e dei materiali di consumo

1. L’utilizzo delle stampanti e dei materiali di consumo in genere (carta, inchiostro, toner, floppy disk, supporti digitali come CD e DVD) è riservato esclusivamente ai compiti di natura strettamente istituzionale. Devono essere evitati in ogni modo sprechi dei suddetti materiali o utilizzi eccessivi.

Art. 11 - Attività non consentite nell’uso della rete

1. Nell’uso della Rete Informatica non sono consentite le seguenti attività:

• Utilizzare la Rete in modo difforme da quanto previsto dal presente regolamento.

• Utilizzare la Rete per scopi incompatibili con l’attività istituzionale dell’Amministrazione.

• Comunicare ad altri, o comunque rendere disponibili ad altri, i dati relativi al proprio account di rete (username e password). La password è segreta, strettamente personale, non deve essere divulgata e deve essere debitamente conservata.

• Conseguire l’accesso non autorizzato a risorse di rete interne alla Rete comunale.

• Conseguire l’accesso non autorizzato a risorse di rete esterne alla Rete comunale, tramite la stessa Rete Informatica comunale.

• Agire deliberatamente con attività che influenzino negativamente la regolare operatività della Rete e ne restringano l’utilizzabilità e le prestazioni per altri utenti.

• Effettuare trasferimenti non autorizzati di informazioni (software, dati, ecc).

• Installare, eseguire o diffondere su qualunque computer e sulla rete, programmi destinati a danneggiare o sovraccaricare i sistemi o la rete (ad es. virus, cavalli di troia, worms, spamming della posta elettronica).

• Installare o eseguire programmi software non autorizzati o non compatibili con l’attività istituzionale.

• Cancellare, copiare o asportare programmi software per scopi personali.

• Installare componenti hardware non compatibili con l’attività istituzionale.

• Installare componenti hardware non acquistati dall’Amministrazione e non di proprietà della stessa non autorizzati.

• Rimuovere, danneggiare o asportare componenti hardware.

• Utilizzare qualunque tipo di sistema informatico o elettronico per controllare le attività di altri utenti, per leggere, copiare o cancellare file e software di altri utenti.

• Utilizzare software visualizzatori di pacchetti TCP/IP (sniffer), software di intercettazione di tastiera (keygrabber), software di decodifica password (cracker) e più in generale software rivolti alla violazione della sicurezza del sistema e della privacy.

• Usare l’anonimato o servirsi di risorse che consentano di restare anonimi.

• Inserire password locali alle risorse informatiche assegnate (come ad esempio password che non rendano accessibile il computer agli amministratori di rete), se non espressamente autorizzati.

• Abbandonare il posto di lavoro lasciandolo senza protezione da accessi non autorizzati.

Art. 12 - Attività non consentite nell’uso di internet e della posta elettronica

1. Nell’uso di Internet e della Posta Elettronica non sono consentite le seguenti attività:

• L’uso di Internet per motivi personali.

• L’accesso a siti inappropriati (esempio siti pornografici, di intrattenimento, ecc.).

• Lo scaricamento (download) di software e di file non necessari all’attività istituzionale.

• Utilizzare programmi per la condivisione e lo scambio di file in modalità peer to peer (Napster, Emule, Winmx, e-Donkey, ecc.).

• Accedere a flussi in streaming audio/video da Internet per scopi non istituzionali (ad esempio ascoltare la radio o guardare video o filmati utilizzando le risorse Internet).

• La trasmissione a mezzo di posta elettronica di dati sensibili, confidenziali e personali di alcun genere, salvo i casi espressamente previsti dalla normativa vigente in materia di protezione dei dati personali (D.lgs. 196 del 30/6/2003).

• Un uso che possa in qualche modo recare qualsiasi danno all’Amministrazione o a terzi.

• L’apertura di allegati ai messaggi di posta elettronica senza il previo accertamento dell’identità del mittente.

• Inviare tramite posta elettronica user-id, password, configurazioni della rete interna, indirizzi e nomi dei sistemi informatici.

• Inoltrare “catene” di posta elettronica (catene di S.Antonio e simili), anche se afferenti a presunti problemi di sicurezza.

• Inoltrare messaggi di posta elettronica all’interno dell’Amministrazione contenenti allegati di notevole dimensione (ad esempio di dimensioni superiori a 2 Mbyte).

Art. 13 - Disposizioni e procedure applicative

1. Al Dirigente di area competente spetta, nel rispetto delle prescrizioni del presente regolamento, l’eventuale emanazione di disposizioni di dettaglio e l’individuazione delle procedure operative per il conseguimento degli obiettivi e la realizzazione delle attività di cui agli articoli precedenti.

2. Le disposizioni di dettaglio e le procedure operative di cui al precedente comma devono equilibrare in modo adeguato e sistematico l’istanza di sicurezza della rete dell’Amministrazione con le esigenze di usabilità, fruibilità, flessibilità e continua evoluzione delle risorse informatiche, assicurandone l’interoperabiltà e la migliore dinamica innovativa.

3. Al Dirigente di area competente compete, all’occorrenza, l’emanazione di ulteriori disposizioni rispetto a quelle contenute nel presente regolamento atte a consentire una più efficace, efficiente e sicura operatività della rete e delle connesse risorse.

Art. 14 - Responsabilità e sanzioni

1. La contravvenzione alle regole contenute nel presente Regolamento comporta la revoca delle autorizzazioni ad accedere alle risorse informatiche dell’Amministrazione, fatte salve le ulteriori conseguenze di natura penale, civile, amministrativa e disciplinare previste dall’ordinamento esistente.

2. Le spese derivanti da eventuali danni causati da un uso improprio delle apparecchiature sono a carico dell'utente.

Art. 15 - Sicurezza e protezione dei dati personali

1. In materia di misure di sicurezza per la protezione dei dati personali si applicano le disposizioni di cui al Decreto legislativo 30 giugno 2003, n. 196 e s.m.i.

Art. 16 - Aggiornamento e revisione

1. Tutti gli utenti possono proporre, quando ritenuto necessario, integrazioni al presente Regolamento. Le proposte verranno esaminate dall’Amministrazione.

2. Il presente Regolamento è soggetto a revisione con frequenza annuale.

All Privacy Entionline - Servizio online, in cloud e con tecnologia ICT, GDPR e DPO