Uso dati strumenti informatici, Internet e della Posta Elettronica scuola. Esempio di Codice di condotta interno
Ciascuna scuola è dotata di un proprio “Codice di condotta interno relativo all’utilizzo dei dati” contenente le regole di condotta e gli obblighi dei responsabili e dei designati al trattamento dei dati personali, in relazione all’uso degli strumenti informatici, di Internet e della Posta Elettronica, redatto ai sensi del Regolamento Europeo 679/2016 e del D. Lgs. 193/03, così come integrato dal D. Lgs. 101 del 10 agosto 2018, comprensivo di alcune note per la gestione dei dati cartacei.
Quali informazioni gestisce la scuola?
L’ambito lavorativo – si legge nel puntualissimo “Codice di condotta interno…” predisposto dall’Istituto Comprensivo N.1 di Porto Torres diretto con eccellente abilità e perizia dal dirigente scolastico dott.ssa Annarita Pintadu, manager di doti riconosciute e apprezzate – porta l’organizzazione scolastica a gestire una serie di “informazioni”, proprie e di terzi, per poter erogare i servizi che le vengono contrattualmente richiesti.
Tali informazioni possono essere considerate, ai sensi del D. Lgs. 196/2003 e s.m.i., “dati personali” quando sono riferite a persone fisiche e, per la loro gestione (Trattamento), sia cartacea che digitale, è necessario che l’ente adotti una serie di misure minime ed idonee previste dalle norme.
Altre informazioni, pur non essendo “dati personali” ai sensi di legge, sono in tutto e per tutto “informazioni riservate”, ovvero informazioni tecniche, commerciali, contrattuali, di business o di altro genere per le quali l’organizzazione è chiamata a garantire la riservatezza, o per NDA, o per una più ampia tutela del patrimonio aziendale.
Insieme più ampio di informazioni di cui un dipendente o un collaboratore può venire a conoscenza
Ai fini di questo disciplinare si specifica, pertanto, che con il termine “dati” deve intendersi l’insieme più ampio di informazioni di cui un dipendente o un collaboratore può venire a conoscenza e di cui deve garantire la riservatezza e la segretezza e non solo i “dati personali” intesi a norma di legge.
Inoltre, nell’ambito della sua attività, l’ente tratta “dati cartacei” ovvero informazioni su supporto cartaceo e “dati digitali” ovvero informazioni che vengono memorizzate o semplicemente transitano attraverso apparecchiature digitali.
Il dato è sempre riservato
In linea generale, ogni dato di cui il designato viene a conoscenza, nell’ambito della propria attività lavorativa – riporta il “Codice di condotta interno…” disposto dall’Istituto Comprensivo N.1 di Porto Torres diretto dal dirigente scolastico dott.ssa Annarita Pintadu – è da considerarsi riservato e non deve essere comunicato o diffuso a nessuno (anche una volta interrotto il rapporto lavorativo con l’organizzazione stessa o qualora parte delle informazioni siano di pubblico dominio) salvo specifica autorizzazione esplicita dell’ente.
Le accortezze relative alla riservatezza
Anche tra colleghi, oppure tra dipendenti e collaboratori esterni, è necessario adottare la più ampia riservatezza nella comunicazione dei dati conosciuti, limitandosi solo a quei casi che si rendono necessari per espletare al meglio l’attività lavorativa richiesta.
La diffusione delle nuove tecnologie
La progressiva diffusione delle nuove tecnologie informatiche ed in particolare l’accesso alla rete internet dal computer aziendale espone l’ente a possibili rischi di un coinvolgimento di rilevanza sia civile, sia penale, sia amministrativa, creando problemi alla sicurezza e all’immagine dell’organizzazione stessa.
Premesso che i comportamenti che normalmente si adottano nell’ambito di un rapporto di lavoro, tra i quali rientrano l’utilizzo delle risorse informatiche e telematiche, devono sempre ispirarsi al principio di diligenza e correttezza, l’ente ha adottato il presente Disciplinare Interno diretto ad evitare che condotte inconsapevoli possano innescare problemi o minacce alla sicurezza dei dati o delle attrezzature aziendali.
Perché un disciplinare?
Il Disciplinare si applica – riporta il “Codice di condotta interno…” disposto dall’Istituto Comprensivo N.1 di Porto Torres diretto dal DS prof.ssa Annarita Pintadu – agli incaricati che si trovino ad operare con dati dell’ente. Una gestione dei dati cartacei, un uso dei COMPUTER e di altre attrezzature elettroniche (di seguito DISPOSITIVI) nonché dei servizi di internet e della posta elettronica difforme dalle regole contenute nel presente Disciplinare potrebbe esporre l’organizzazione ad aumentare la minaccia di accessi non autorizzati ai dati e/o al sistema informatico aziendale, furti o divulgazioni di informazioni riservate nonché furti o danneggiamenti del sistema informatico e/o malfunzionamenti in generale dell’intero sistema informatico.
Le informazioni contenute nel Disciplinare devono essere rilasciate ai sensi dell’art. 13 del Codice sulla Privacy e costituiscono, quindi, parte integrante dell’informativa rilasciata agli Incaricati.
Le definizioni utilizzate
Autorizzazione
Il provvedimento adottato dal Garante con cui il titolare del trattamento (ente pubblico, impresa, libero professionista) viene autorizzato a trattare determinati dati “sensibili” o giudiziari, ovvero a trasferire dati personali all’estero.
Comunicazione
Far conoscere dati personali a uno o più soggetti determinati (che non siano l’interessato, il responsabile o il designato), in qualunque forma, anche attraverso la loro messa a disposizione o consultazione (vedi anche diffusione)
Consenso
La libera manifestazione di volontà dell’interessato con cui questi accetta espressamente un determinato trattamento dei suoi dati personali, del quale è stato preventivamente informato da chi ha un potere decisionale sul trattamento (vedi titolare).
D.Lgs. 196/2003
Decreto Legislativo 196 del 30 giugno 2003 e sue successive modifiche ed integrazioni.
D.Lgs. 101/2018
Decreto Legislativo 101 del 10 agosto 2018, recante «Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)».
Dato personale
Qualsiasi informazione che riguardi persone fisiche identificate o che possono essere identificate anche attraverso altre informazioni, ad esempio, attraverso un numero o un codice identificativo. Sono, ad esempio, dati personali: il nome e cognome o denominazione; l’indirizzo, il codice fiscale; ma anche un’immagine, la registrazione della voce di una persona, la sua impronta digitale, i dati sanitari, i dati bancari, ecc.
Dato sensibile
Un dato personale che, per la sua natura, richiede particolari cautele: sono dati sensibili quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose o di altra natura, le opinioni politiche, l’adesione a partiti, sindacati o associazioni, lo stato di salute e la vita sessuale delle persone.
Dato giudiziario
I dati personali che rivelano l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (quali, ad es., i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione). Rientrano in questa categoria anche la qualità di imputato o di indagato.
Designato
Ogni dipendente, come sotto identificato, ed ogni consulente esterno che, nell’ambito dell’attività assegnatagli, tratta dati (nell’accezione precedente) riferiti all’ente.
Diffusione
Divulgare dati personali al pubblico o, comunque, ad un numero indeterminato di soggetti (ad esempio, è diffusione la pubblicazione di dati personali su un quotidiano o su una pagina web).
Dipendente
Personale dell’ente assunto con qualsiasi tipo di forma contrattuale, anche in stage o tirocinio.
GDPR General Data Protection Regulation
Regolamento Generale sulla Protezione dei Dati – UE 2016/679) è un Regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell’Unione Europea e dei residenti nell’Unione Europea, sia all’interno che all’esterno dei confini dell’Unione europea (UE). Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018.
Informativa
Le informazioni che il titolare del trattamento deve fornire ad ogni interessato, verbalmente o per iscritto quando i dati sono raccolti presso l’interessato stesso, oppure presso terzi. L’informativa – riporta il “Codice di condotta interno…” disposto dall’Istituto Comprensivo N.1 di Porto Torres – deve precisare sinteticamente e in modo colloquiale quali sono gli scopi e le modalità del trattamento; se l’interessato è obbligato o no a fornire i dati; quali sono le conseguenze se i dati non vengono forniti; a chi possono essere comunicati o diffusi i dati; quali sono i diritti riconosciuti all’interessato; chi sono il titolare e l’eventuale responsabile del trattamento e dove sono raggiungibili (indirizzo, telefono, fax, ecc.).
Misure di sicurezza
Sono tutti gli accorgimenti tecnici ed organizzativi, i dispositivi elettronici o i programmi informatici utilizzati per garantire che i dati non vadano distrutti o persi anche in modo accidentale, che solo le persone autorizzate possano avere accesso ai dati e che non siano effettuati trattamenti contrari alle norme di legge o diversi da quelli per cui i dati erano stati raccolti.
NDA
Non-disclosure agreement, ovvero accordo di non divulgazione, è un negozio giuridico di natura sinallagmatica che designa informazioni confidenziali e con il quale le parti si impegnano a mantenerle segrete, pena la violazione dell’accordo stesso e il decorso di specifiche clausole penali in esso contenute.
Responsabile del trattamento
La persona, la società, l’ente, l’associazione o l’organismo cui il titolare affida, anche all’esterno, per la particolare esperienza o capacità, compiti di gestione e controllo del trattamento dei dati.
Titolare del trattamento
La persona fisica, l’impresa, l’ente, l’associazione, ecc. cui fa capo effettivamente il trattamento di dati personali e spetta assumere le decisioni fondamentali sugli scopi e sulle modalità del trattamento medesimo (comprese le misure di sicurezza).
Nei casi in cui il trattamento sia svolto da una società o da una pubblica amministrazione per titolare va intesa l’entità nel suo complesso e non l’individuo o l’organo che l’amministra o la rappresenta (presidente, amministratore delegato, sindaco, ministro, direttore generale, ecc.).
Trattamento di dati personali
Un’operazione o un complesso di operazioni che hanno per oggetto dati personali.
Esclusione all’uso degli strumenti informatici
All’inizio del rapporto lavorativo o di consulenza, l’ente valuta la presenza dei presupposti per l’autorizzazione all’uso dei vari dispositivi aziendali, di internet e della posta elettronica da parte degli incaricati. Successivamente e periodicamente l’ente valuta la permanenza dei presupposti per l’utilizzo dei dispositivi aziendali, di internet e della posta elettronica. È fatto esplicito divieto ai soggetti non autorizzati di accedere agli strumenti informatici aziendali.
I casi di esclusione
I casi di esclusione possono riguardare:
- L’utilizzo del computer o di altri dispositivi.
- L’utilizzo della posta elettronica.
- L’accesso a internet.
Le eventuali esclusioni sono strettamente connesse al principio della natura aziendale e lavorativa degli strumenti informatici nonché al principio di necessità di cui al Codice Privacy. Più specificatamente, hanno diritto all’utilizzo degli strumenti e ai relativi accessi solo gli incaricati che, per funzioni lavorative, ne abbiano un effettivo e concreto bisogno.
I casi in cui le esclusioni dovranno risultare operative in forza di tali motivazioni verranno comunicati individualmente e potranno riguardare sia tutti i casi sopra descritti, sia solo uno o due degli stessi. Si informa che tali esclusioni sono divenute necessarie alla luce del Provvedimento del Garante 1° marzo 2007 che indica di ridurre a titolo cautelativo e preventivo l’utilizzo degli strumenti informatici in considerazione dei pericoli e delle minacce indicate in questo documento.
Titolarità dei dispositivi e dei dati
L’organizzazione – riporta il “Codice di condotta interno…” disposto dall’Istituto Comprensivo N.1 di Porto Torres – è esclusiva titolare e proprietaria dei dispositivi messi a disposizione degli Incaricati ai soli fini dell’attività lavorativa. L’ente è l’unica esclusiva titolare e proprietaria di tutte le informazioni, le registrazioni ed i dati contenuti e/o trattati mediante i propri dispositivi digitali o archiviati in modo cartaceo nei propri locali.
Il designato non può presumere o ritenere che le informazioni, le registrazioni ed i dati da lui trattati o memorizzati nei dispositivi aziendali (inclusi i messaggi di posta elettronica e/o chat inviati o ricevuti, i file di immagini, i files di filmati o altre tipologie di files) siano privati o personali, né può presumere che dati cartacei in suo possesso possano essere da lui copiati, comunicati o diffusi senza l’autorizzazione dell’organizzazione.
Finalità nell’utilizzo dei dispositivi
I dispositivi assegnati sono uno strumento lavorativo nelle disponibilità del Designato esclusivamente per un fine di carattere lavorativo. I dispositivi, quindi, non devono essere utilizzati per finalità private e diverse da quelle aziendali, se non eccezionalmente e nei limiti evidenziati dal presente Disciplinare.
Qualsiasi eventuale tolleranza da parte di questo ente, apparente o effettiva, non potrà, comunque, legittimare comportamenti contrari alle istruzioni contenute nel presente Disciplinare.
Restituzione dei dispositivi
A seguito di una cessazione del rapporto lavorativo o di consulenza del Designato con l’organizzazione o, comunque, al venir meno, ad insindacabile giudizio dell’ente, della permanenza dei presupposti per l’utilizzo dei dispositivi aziendali, gli incaricati hanno i seguenti obblighi:
Procedere immediatamente alla restituzione dei dispositivi in uso.
Divieto assoluto di formattare o alterare o manomettere o distruggere i dispositivi assegnati o rendere inintelligibili i dati in essi contenuti tramite qualsiasi processo.
Restituzione dei dati cartacei
A seguito di una cessazione del rapporto lavorativo o di consulenza del Designato con l’organizzazione o, comunque, al venir meno, ad insindacabile giudizio dell’ente, della permanenza dei presupposti per l’utilizzo di dati cartacei aziendali, gli incaricati hanno i seguenti obblighi:
- Procedere immediatamente alla restituzione dei dati cartacei in loro possesso.
- Divieto assoluto di alterare o manomettere o distruggere i dati cartacei assegnati o renderli inintelligibili tramite qualsiasi processo.
Conseguenze delle infrazioni disciplinari
Le infrazioni disciplinari alle norme del Disciplinare Interno – riporta il “Codice di condotta interno…” disposto dall’Istituto Comprensivo N.1 di Porto Torres diretto dal dirigente scolastico dott.ssa Annarita Pintadu – potranno essere punite, a seconda della gravità delle mancanze, in conformità alle disposizioni di legge e/o del Contratto Collettivo Nazionale del Lavoro applicato, tra cui:
- Il biasimo inflitto verbalmente.
- Lettera di richiamo inflitto per iscritto.
- Multa.
- La sospensione dalla retribuzione e dal servizio.
- Il licenziamento disciplinare e con le altre conseguenze di ragioni e di legge.
Per i dirigenti valgono le vigenti norme di legge e/o di contrattazione collettiva, fermo restando che, per le violazioni di maggior gravità l’ente potrà procedere al licenziamento del dirigente autore dell’infrazione.
Modalità di Esercizio dei diritti
Il lavoratore interessato del trattamento dei dati effettuato mediante strumenti informatici ha diritto di accedere, ai sensi dell’art. 7 del GDPR, alle informazioni che lo riguardano, scrivendo al Titolare dell’organizzazione.
CODICE DI-CONDOTTA INTERNO RELATIVO ALLUTILIZZO-DEI-DATI
