DETERMINAZIONE DEL DIRETTORE GENERALE CENTRALE ORGANIZZAZIONE, PERSONALE, SISTEMI INFORMATIVI E TELEMATICA 17 gennaio 2008, n. 283
Disciplinare tecnico su modalita' e procedure relative alle verifiche di sicurezza sul sistema informativo, ai controlli sull'utilizzo dei beni messi a disposizione dall'Ente per l'attivita' lavorativa con particolare riferimento alle strumentazioni informatiche e telefoniche ed esemplificazioni di comportamenti per il corretto utilizzo di tali beni, da applicare nella Giunta e nell'Assemblea legislativa della Regione Emilia-Romagna
IL DIRETTORE GENERALE
visto il DLgs n. 196 del 30 giugno 2003 "Codice in materia di
protezione dei dati personali", di seguito denominato Codice;
viste:
- l'Appendice 5 della deliberazione di Giunta regionale n. 450 del 3
aprile 2007 ed in particolare il paragrafo 3.2, lettera b), che
attribuisce al Direttore generale competente in materia di
Organizzazione l'adozione di un Disciplinare Tecnico relativo alle
modalita' e alle procedure per l'effettuazione dei controlli
sull'utilizzo delle strumentazioni informatiche;
- la deliberazione dell'Ufficio di Presidenza n. 173 del 24 luglio
2007 ed in particolare il paragrafo 3 che affida al Direttore generale
dell'Assemblea legislativa i compiti per l'applicazione uniforme degli
adempimenti previsti dalla normativa;
viste inoltre:
- la deliberazione di Giunta regionale n. 1264 dell'1 agosto 2005
"Linee guida della Giunta della Regione Emilia-Romagna in materia di
protezione dei dati personali";
- la deliberazione dell'Ufficio di Presidenza dell'Assemblea
legislativa n. 197 del 18 ottobre 2006 "Direttiva e Linee guida
dell'Assemblea legislativa della Regione Emilia-Romagna in materia di
protezione dei dati personali, con particolare riferimento alla
ripartizione di competenze tra i soggetti che effettuano il
trattamento. - Modifica ed integrazione della deliberazione n. 45/2003
e n. 1/2005",
di seguito denominate Linee guida;
visti gli articoli delle suddette Linee guida denominati
rispettivamente:
- con la lettera - G per la Giunta regionale;
- con le lettere - AL per l'Assemblea legislativa
ed in particolare:
- l'articolo 2 (G e AL) "Processo di gestione della sicurezza", il
quale prevede, al comma 2 lettera c), che siano effettuati controlli
per verificare l'efficienza e la corretta applicazione delle misure di
sicurezza adottate;
- l'articolo 11 (G) e l'articolo 10 (AL) "Uso delle strumentazioni
informatiche", che dispone, al comma 3, che le regole tecniche in
materia di utilizzo delle strumentazioni informatiche siano definite
ai sensi dell'art. 16 (G) e dell'art. 15 (AL) delle stesse Linee
guida, vale a dire con apposito Disciplinare Tecnico;
- l'articolo 13 (G) e l'articolo 12 (AL) "Controlli di sicurezza", che
dispone che la Giunta e l'Assemblea legislativa possano effettuare i
controlli ritenuti opportuni per la verifica della corretta
applicazione e dell'efficienza delle misure di sicurezza adottate per
la protezione dei dati personali e che le modalita' di tali controlli
devono essere preventivamente comunicate e adottate con i Disciplinari
Tecnici previsti all'articolo 16 (G) e all'art. 15 (AL) delle stesse
Linee Guida;
vista altresi' la propria determinazione n. 2653/2007 e la
determinazione del Direttore generale dell'Assemblea legislativa
479/07, rispettivamente "Disciplinare tecnico per utenti sull'utilizzo
dei sistemi informativi nella Giunta della Regione Emilia-Romagna" e
"Disciplinare tecnico per utenti sull'utilizzo dei sistemi informativi
nell'Assemblea legislativa della Regione Emilia-Romagna" ed in
particolare:
- il paragrafo 4.5 "Verifiche di sicurezza", che prevede che siano
effettuate verifiche per garantire l'efficienza, la disponibilita' ed
il rispetto di leggi e regolamenti ed in particolare dei requisiti
minimi di sicurezza dei sistemi informativi regionali, demandando ad
altro specifico Disciplinare Tecnico ulteriori verifiche finalizzate
ad accertare la correttezza e la legalita' dell'utilizzo delle
strumentazioni fornite dall'amministrazione regionale e strumentali
all'attivita' lavorativa;
- il paragrafo 7 "Protezione delle reti e delle comunicazioni", che
dispone alcune regole comportamentali cui si devono conformare gli
utenti dei sistemi informativi (ed in particolare i soggetti di cui al
paragrafo 2 del medesimo disciplinare), con particolare riferimento
alla navigazione in Internet e all'utilizzo della posta elettronica;
viste inoltre le deliberazioni di Giunta regionale 2199/05 e
dell'Ufficio di Presidenza dell'Assemblea legislativa 183/05, che
hanno approvato il Codice di comportamento per la Regione
Emilia-Romagna ed in particolare l'articolo 8 "Utilizzo dei beni della
Regione" che dispone, tra l'altro, al comma 3 che la Regione si
impegna ad effettuare controlli sull'utilizzo dei beni adottando
criteri oggettivi preventivamente comunicati;
vista la Legge n. 300 del 20 maggio 1970 "Norme sulla tutela della
liberta' e dignita' dei lavoratori, della liberta' sindacale e
dell'attivita' sindacale nei luoghi di lavoro e norme sul
collocamento" ed in particolare l'art. 4 comma 2, che prevede che gli
impianti e le apparecchiature di controllo a distanza possono essere
installati previo accordo con le rappresentanze sindacali aziendali e
l'art. 8, che dispone il divieto, per il datore di lavoro, di
effettuare indagini sulle opinioni politiche, religiose o sindacali
del lavoratore, nonché su fatti non rilevanti ai fini della
valutazione dell'attitudine professionale del lavoratore;
considerato che le verifiche e i controlli di seguito specificati
devono essere normati ed attuati nell'assoluto rispetto dei principi e
dei diritti sanciti dalla Legge 300/70, con particolare riferimento
agli articoli sopra richiamati e comunque nel rispetto della dignita'
e liberta' personale dei lavoratori;
valutato quindi di dover disciplinare e conseguentemente applicare
tipologie e modalita' di controllo tali da garantire il massimo
rispetto dei suddetti diritti, prevedendo, in accordo con le
organizzazioni sindacali, tutte le precauzioni possibili a tal fine;
valutato inoltre che le suddette tipologie e modalita' di controllo
devono essere specificate con criteri e regole oggettive e
dettagliatamente predeterminate al fine di assicurarne l'imparzialita'
e la necessaria preventiva conoscenza nei confronti di tutti i
soggetti potenzialmente coinvolti nei controlli stessi;
considerato che la normativa richiamata in premessa fa riferimento a
due tipologie di controlli, aventi diversa finalita', di seguito
ulteriormente specificate:
A) verifiche di sicurezza, previste in particolare dall'articolo 2,
comma 2 lettera c) e dall'articolo 13 (G) e dall'art. 12 (AL) delle
Linee guida, con la finalita' di verificare l'efficienza e la corretta
applicazione delle misure di sicurezza adottate per la protezione dei
dati personali;
B) controlli sull'utilizzo dei beni che l'amministrazione regionale
mette a disposizione per lo svolgimento dell'attivita' lavorativa (con
particolare riferimento agli strumenti informatici e di telefonia),
previsti in particolare dall'articolo 8, comma 3 del Codice di
comportamento della Regione Emilia-Romagna, con la finalita' di
effettuare, verificando il corretto utilizzo di tali beni, un
controllo sulla spesa pubblica per raggiungere un contenimento e una
razionalizzazione della stessa e garantire maggiore efficienza ed
economicita' dell'azione amministrativa;
considerato, inoltre, che le due diverse tipologie di controlli sono
entrambe necessarie, in quanto:
A) le verifiche di sicurezza consentono di monitorare la concreta
attuazione delle misure di sicurezza adottate dall'Amministrazione e
di effettuare un loro costante aggiornamento e adeguamento; cio'
risponde all'obbligo, posto in capo a ciascun titolare di trattamenti
di dati personali, di mettere in atto sia le misure minime previste
dagli articoli 33-36 e dall'Allegato B del Codice, sia le misure
idonee di cui agli articoli 15 e 31 del Codice, in modo da ridurre al
minimo i rischi di distruzione e di perdita, anche accidentale, dei
dati personali, di accesso non autorizzato o di trattamento non
consentito o non conforme alle finalita' della raccolta e pertanto
costituiscono esse stesse una misura di sicurezza, che e', in quanto
tale, obbligatoria per l'Amministrazione regionale, titolare di dati
personali;
B) i controlli sull'utilizzo dei beni che l'amministrazione regionale
mette a disposizione per lo svolgimento dell'attivita' lavorativa (con
particolare riferimento agli strumenti informatici e alla telefonia,
sia fissa sia mobile):
- consentono di monitorare e mirano a ridurre la spesa pubblica, sia
rilevando eventuali danni patrimoniali gia' posti in essere, sia
agendo quale deterrente rispetto a comportamenti impropri e
potenzialmente dannosi, per cui la loro omissione potrebbe comportare
responsabilita' patrimoniali dirette a carico dell'amministrazione
regionale;
- possono evitare o comunque ridurre i rischi di coinvolgimento civile
e penale, per concorso di reato, dell'Amministrazione, nel caso di
illeciti nei confronti di terzi, commessi mediante un utilizzo
improprio dei beni messi a disposizione dall'Amministrazione stessa;
- possono concorrere a tutelare l'immagine dell'amministrazione e di
coloro che vi prestano la propria attivita';
- concorrono ad approfondire elementi che emergono in seguito a
segnalazioni di incidenti di sicurezza, in modo da evidenziare
eventuali rischi al fine di una successiva attivita' di prevenzione;
considerato quindi che in particolare i controlli sull'utilizzo degli
strumenti informatici sono in alcuni casi strettamente connessi e
conseguenti alle verifiche di sicurezza di cui alla lettera A;
preso atto che le verifiche di sicurezza di cui alla lettera A sono in
parte disciplinate al gia' richiamato punto 4.5 dei citati
Disciplinari Tecnici per utenti sull'utilizzo dei sistemi
informativi;
valutato che sia opportuno che tali verifiche di sicurezza siano
maggiormente e dettagliatamente disciplinate, con particolare
riferimento alle modalita' e alle procedure delle stesse, anche per
garantire la necessaria e preventiva informazione a tutti i soggetti
potenzialmente coinvolti in tali verifiche;
viste le Direttive del Dipartimento della Funzione Pubblica dell'11
aprile 1997, del 25 settembre 1998 e del 30 ottobre 2001, che
rappresentano, per le Regioni, uno schema di riferimento da tenere in
considerazione nel disciplinare i propri sistemi di telefonia e che
prevedono l'obbligo di effettuare controlli a campione sull'utilizzo
delle utenze telefoniche ai fini di contenimento della spesa
pubblica;
valutato quindi di disciplinare quanto sopra esposto negli Allegati A
e B al presente atto, quali parti integranti e sostanziali dello
stesso, con la seguente ripartizione:
A) Allegato A: modalita' e procedure relative alle verifiche di
sicurezza, previste dall'articolo 2, comma 2 lettera c) e
dall'articolo 13 (G) e dall'art. 12 (AL) delle Linee guida;
B) Allegato B: modalita' e procedure relative ai controlli
sull'utilizzazione dei beni messi a disposizione dall'Amministrazione
per lo svolgimento dell'attivita' lavorativa, con particolare
riferimento all'utilizzazione delle strumentazioni informatiche e
della telefonia sia fissa sia mobile;
visto il provvedimento del Garante per la protezione dei dati
personali "Lavoro: le linee guida del Garante per posta elettronica e
internet", adottato con deliberazione n. 13 dell'1 marzo 2007;
considerato di aver disciplinato gli allegati al presente atto nel
rispetto dei principi contenuti nel provvedimento del Garante sopra
richiamato;
valutato inoltre che sia opportuno, anche al fine di evitare usi
impropri derivanti da conoscenza non adeguata o incompleta, definire
in via esemplificativa nell'Allegato C al presente atto, parte
integrante e sostanziale dello stesso, i comportamenti da tenere
nell'utilizzo delle strumentazioni informatiche e di telefonia messe a
disposizione per lo svolgimento dell'attivita' lavorativa, come
previsto dall'articolo 11 (G) e dall'art. 10 (AL), comma 3 delle Linee
guida, con la precisazione che comunque tale Allegato C non e'
integrativo del Codice di comportamento gia' citato, contenendo un
richiamo e una mera esemplificazione, in particolare, di quanto gia'
previsto nel Codice di comportamento e nei Disciplinari Tecnici per
utenti sull'utilizzo dei sistemi informativi;
considerato di dover dare la massima diffusione del contenuto degli
Allegati A, B e C a tutti i soggetti potenzialmente interessati e
coinvolti dalle disposizioni contenute negli stessi Allegati;
dato atto dell'accordo raggiunto con le rappresentanze sindacali in
data 18 dicembre 2007;
acquisito il parere favorevole espresso dal Direttore generale
dell'Assemblea legislativa, dott. Luigi Benedetti, con nota prot. n.
643 dell'11 gennaio 2008;
sentito il parere del Comitato di Direzione nella seduta del
14/1/2008;
dato atto del parere di regolarita' amministrativa del Responsabile
del Servizio Sistema informativo - Informatico regionale, ai sensi
della deliberazione di Giunta regionale 450/07;
determina:
1) di approvare l'Allegato A "Modalita' e procedure relative alle
verifiche di sicurezza, previste dall'articolo 2, comma 2 lettera c) e
dall'articolo 13 (G) e dall'art. 12 (AL) delle Linee guida in materia
di protezione dei dati personali della Giunta e dell'Assemblea
legislativa della Regione Emilia-Romagna" e i relativi modelli di cui
agli allegati A.l e A.2;
2) di approvare l'Allegato B "Modalita' e procedure relative ai
controlli sull'utilizzazione dei beni messi a disposizione
dall'amministrazione per lo svolgimento dell'attivita' lavorativa, con
particolare riferimento all'utilizzazione delle strumentazioni
informatiche e della telefonia sia mobile sia fissa" e il relativo
modello di cui all'allegato B.l;
3) di approvare l'informativa prevista dall'art. 13 del Codice per la
protezione dei dati personali, allegata al presente atto e relativa ai
trattamenti di dati personali conseguenti alle attivita' previste
negli Allegati A e B;
4) di approvare l'Allegato C, "Comportamenti per un corretto utilizzo
degli strumenti informatici e di telefonia messi a disposizione
dall'Ente per lo svolgimento dell'attivita' lavorativa";
5) di disporre che i suddetti Allegati siano portati a conoscenza di
tutti gli incaricati, con modalita' tali da garantire la ricezione da
parte degli stessi e quindi di procedere alla diffusione del contenuto
degli Allegati A, B e C a partire dalla data di adozione del presente
atto, fornendo contestualmente l'informativa prevista all'art. 13 del
Codice per la protezione dei dati personali relativamente ai
trattamenti di dati personali conseguenti alle disposizioni di tali
Allegati; tale diffusione sara' effettuata tramite pubblicazione del
presente atto, comprensivo degli Allegati, nel Bollettino Ufficiale
della Regione Emilia-Romagna, contestualmente alla sua messa a
disposizione nei siti Web regionali; successivamente, entro i tre mesi
previsti al punto 7, sara' effettuata una distribuzione capillare a
tutti i soggetti potenzialmente interessati all'applicazione degli
Allegati A, B e C, con particolare riferimento ai dipendenti
regionali;
6) di pubblicare, quindi, il presente atto integralmente nel
Bollettino Ufficiale della Regione Emilia-Romagna, compresi gli
Allegati A, B e C, parti integranti del medesimo atto;
7) di applicare gli Allegati A e B trascorsi tre mesi dall'adozione
del presente atto, durante i quali deve essere attuato quanto disposto
al punto 5); da tale momento l'applicazione degli Allegati sara'
attuata in via sperimentale per la durata di un anno; trascorso tale
periodo, gli Allegati saranno confermati o modificati sulla base degli
esiti della sperimentazione.
IL DIRETTORE GENERALE
Gaudenzio Garavini
(segue allegato fotografato)
