DETERMINAZIONE DEL DIRETTORE GENERALE CENTRALE ORGANIZZAZIONE, PERSONALE, SISTEMI INFORMATIVI E TELEMATICA 21 luglio 2009, n. 6928
Disciplinare tecnico su modalita' e procedure per verifiche di sicurezza sui Sistemi informativi, per controlli sull'utilizzo dei beni messi a disposizione dall'Ente per attivita' lavorativa con riferimento alle strumentazioni informatiche e telefoniche ed esemplificazioni di comportamenti per il corretto utilizzo dei beni, da applicare nella Giunta e nell'Assemblea legislativa della Regione Emilia-Romagna
IL DIRETTORE
Visto il DLgs n. 196 del 30 giugno 2003 "Codice in materia di
protezione dei dati personali", di seguito denominato Codice;
viste:
- l'Appendice 5 della deliberazione di Giunta regionale 2416/08 ed in
particolare il paragrafo 3.2, lettera b), che attribuisce al Direttore
generale competente in materia di organizzazione l'adozione di un
Disciplinare tecnico relativo alle modalita' e alle procedure per
l'effettuazione dei controlli sull'utilizzo delle strumentazioni
informatiche;
- la deliberazione dell'Ufficio di Presidenza n. 173 del 24 luglio
2007 ed in particolare il paragrafo 3 che affida al Direttore generale
dell'Assemblea legislativa i compiti per l'applicazione uniforme degli
adempimenti previsti dalla normativa;
viste inoltre:
- la deliberazione di Giunta regionale n. 1264 dell'1 agosto 2005
"Linee guida della Giunta della Regione Emilia-Romagna in materia di
protezione dei dati personali";
- la deliberazione dell'Ufficio di Presidenza dell'Assemblea
legislativa n. 197 del 18 ottobre 2006 "Direttiva e Linee guida
dell'Assemblea legislativa della Regione Emilia-Romagna in materia di
protezione dei dati personali, con particolare riferimento alla
ripartizione di competenze tra i soggetti che effettuano il
trattamento - Modifica ed integrazione della deliberazione 45/03 e
1/05";
di seguito denominate Linee guida;
visti gli articoli delle suddette Linee guida denominati
rispettivamente:
- con la lettera - G per la Giunta regionale;
- con le lettere - AL per l'Assemblea legislativa;
ed in particolare:
- l'articolo 2 (G e AL) "Processo di gestione della sicurezza", il
quale prevede, al comma 2 lettera c), che siano effettuati controlli
per verificare l'efficienza e la corretta applicazione delle misure di
sicurezza adottate;
- l'articolo 11 (G) e l'articolo 10 (AL) "Uso delle strumentazioni
informatiche", che dispone, al comma 3, che le regole tecniche in
materia di utilizzo delle strumentazioni informatiche siano definite
ai sensi dell'art. 16 (G) e dell'15 (AL) delle stesse Linee guida,
vale a dire con apposito disciplinare tecnico;
- l'articolo 13 (G) e l'articolo 12 (AL) "Controlli di sicurezza", che
dispone che la Giunta e l'Assemblea legislativa possano effettuare i
controlli ritenuti opportuni per la verifica della corretta
applicazione e dell'efficienza delle misure di sicurezza adottate per
la protezione dei dati personali e che le modalita' di tali controlli
devono essere preventivamente comunicate e adottate con i disciplinari
tecnici previsti all'articolo 16 (G) e all'art. 15 (AL) delle stesse
Linee guida;
vista altresi' la propria determinazione 2653/07 e la determinazione
del Direttore generale dell'Assemblea legislativa 479/07,
rispettivamente "Disciplinare tecnico per utenti sull'utilizzo dei
sistemi informativi nella Giunta della Regione Emilia-Romagna" e
"Disciplinare tecnico per utenti sull'utilizzo dei sistemi informativi
nell'Assemblea legislativa della Regione Emilia-Romagna" ed in
particolare:
- il paragrafo 4.5 "Verifiche di sicurezza", che prevede che siano
effettuate verifiche per garantire l'efficienza, la disponibilita' ed
il rispetto di leggi e regolamenti ed in particolare dei requisiti
minimi di sicurezza dei sistemi informativi regionali, demandando ad
altro specifico disciplinare tecnico ulteriori verifiche finalizzate
ad accertare la correttezza e la legalita' dell'utilizzo delle
strumentazioni fornite dall'Amministrazione regionale e strumentali
all'attivita' lavorativa;
- il paragrafo 7 "Protezione delle reti e delle comunicazioni", che
dispone alcune regole comportamentali cui si devono conformare gli
utenti dei sistemi informativi (ed in particolare i soggetti di cui al
paragrafo 2 del medesimo disciplinare), con particolare riferimento
alla navigazione in Internet e all'utilizzo della posta elettronica;
visti altresi' i seguenti disciplinari tecnici:
- disciplinare tecnico per Amministratori di sistema della Giunta e
dell'Assemblea legislativa di cui alla determinazione n. 1416 del 2
marzo 2009;
- disciplinare tecnico per la gestione degli incidenti di sicurezza
informatica della Giunta e dell'Assemblea legislativa della Regione
Emilia-Romagna di cui alla determinazione n. 1703 del 9 marzo 2009;
viste inoltre le deliberazioni di Giunta regionale 2199/05 e
dell'Ufficio di Presidenza dell'Assemblea legislativa 183/05, che
hanno approvato il Codice di comportamento per la Regione
Emilia-Romagna ed in particolare l'articolo 8 "Utilizzo dei beni della
Regione" che dispone, tra l'altro, al comma 3 che la Regione si
impegna ad effettuare controlli sull'utilizzo dei beni adottando
criteri oggettivi preventivamente comunicati;
vista la Legge n. 300 del 20 maggio 1970 "Norme sulla tutela della
liberta' e dignita' dei lavoratori, della liberta' sindacale e
dell'attivita' sindacale nei luoghi di lavoro e norme sul
collocamento" ed in particolare l'art. 4 comma 2, che prevede che gli
impianti e le apparecchiature di controllo a distanza possono essere
installati previo accordo con le rappresentanze sindacali aziendali e
l'art. 8, che dispone il divieto, per il datore di lavoro, di
effettuare indagini sulle opinioni politiche, religiose o sindacali
del lavoratore, nonche' su fatti non rilevanti ai fini della
valutazione dell'attitudine professionale del lavoratore;
considerato che le verifiche e i controlli di seguito specificati
devono essere normati ed attuati nell'assoluto rispetto dei principi e
dei diritti sanciti dalla Legge 300/70, con particolare riferimento
agli articoli sopra richiamati e comunque nel rispetto della dignita'
e liberta' personale dei lavoratori;
valutato quindi di dover disciplinare e conseguentemente applicare
tipologie e modalita' di controllo tali da garantire il massimo
rispetto dei suddetti diritti, prevedendo, in accordo con le
organizzazioni sindacali, tutte le precauzioni possibili a tal fine;
valutato inoltre che le suddette tipologie e modalita' di controllo
devono essere specificate con criteri e regole oggettive e
dettagliatamente predeterminate al fine di assicurarne l'imparzialita'
e la necessaria preventiva conoscenza nei confronti di tutti i
soggetti potenzialmente coinvolti nei controlli stessi;
considerato che la normativa richiamata in premessa fa riferimento a
due tipologie di controlli, aventi diversa finalita', di seguito
ulteriormente specificate:
A) verifiche di sicurezza, previste in particolare dall'articolo 2,
comma 2 lettera c) e dall'articolo 13 (G) e dall'art. 12 (AL) delle
Linee guida, con la finalita' di verificare l'efficienza e la corretta
applicazione delle misure di sicurezza adottate per la protezione dei
dati personali;
B) controlli sull'utilizzo dei beni che l'Amministrazione regionale
mette a disposizione per lo svolgimento dell'attivita' lavorativa (con
particolare riferimento agli strumenti informatici e di telefonia),
previsti in particolare dall'articolo 8, comma 3 del Codice di
comportamento della Regione Emilia-Romagna, con la finalita' di
effettuare, verificando il corretto utilizzo di tali beni, un
controllo sulla spesa pubblica per raggiungere un contenimento e una
razionalizzazione della stessa e garantire maggiore efficienza ed
economicita' dell'azione amministrativa;
considerato, inoltre, che le due diverse tipologie di controlli sono
entrambe necessarie, in quanto:
A) le verifiche di sicurezza consentono di monitorare la concreta
attuazione delle misure di sicurezza adottate dall'Amministrazione e
di effettuare un loro costante aggiornamento e adeguamento; cio'
risponde all'obbligo, posto in capo a ciascun titolare di trattamenti
di dati personali, di mettere in atto sia le misure minime previste
dagli articoli 33 - 36 e dall'Allegato B del Codice, sia le misure
idonee di cui agli articoli 15 e 31 del Codice, in modo da ridurre al
minimo i rischi di distruzione e di perdita, anche accidentale, dei
dati personali, di accesso non autorizzato o di trattamento non
consentito o non conforme alle finalita' della raccolta e pertanto
costituiscono esse stesse una misura di sicurezza, che e', in quanto
tale, obbligatoria per l'Amministrazione regionale, titolare di dati
personali;
B) i controlli sull'utilizzo dei beni che l'Amministrazione regionale
mette a disposizione per lo svolgimento dell'attivita' lavorativa (con
particolare riferimento agli strumenti informatici e alla telefonia,
sia fissa sia mobile):
- consentono di monitorare e mirano a ridurre la spesa pubblica, sia
rilevando eventuali danni patrimoniali gia' posti in essere, sia
agendo quale strumento di dissuasione rispetto a comportamenti
impropri e potenzialmente dannosi, per cui la loro omissione potrebbe
comportare responsabilita' patrimoniali dirette a carico
dell'Amministrazione regionale;
- possono evitare o comunque ridurre i rischi di coinvolgimento civile
e penale, per concorso di reato, dell'Amministrazione, nel caso di
illeciti nei confronti di terzi, commessi mediante un utilizzo
improprio dei beni messi a disposizione dall'Amministrazione stessa;
- possono concorrere a tutelare l'immagine dell'Amministrazione e di
coloro che vi prestano la propria attivita';
- concorrono ad approfondire elementi che emergono in seguito a
segnalazioni di incidenti di sicurezza, in modo da evidenziare
eventuali rischi al fine di una successiva attivita' di prevenzione;
considerato quindi che i controlli sull'utilizzo degli strumenti
informatici sono in alcuni casi strettamente connessi e conseguenti
alle verifiche di sicurezza di cui alla lettera A;
preso atto che le verifiche di sicurezza di cui alla lettera A sono in
parte disciplinate al gia' richiamato punto 4.5 dei citati
Disciplinari tecnici per utenti sull'utilizzo dei sistemi
informativi;
valutato che sia opportuno che tali verifiche di sicurezza siano
maggiormente e dettagliatamente disciplinate, con particolare
riferimento alle modalita' e alle procedure delle stesse, anche per
garantire la necessaria e preventiva informazione a tutti i soggetti
potenzialmente coinvolti in tali verifiche;
visto il comma 595 dell'art. 2 della Legge 244/07, che prevede che le
pubbliche Amministrazioni, nell'adottare i piani triennali per la
razionalizzazione dell'utilizzo anche delle dotazioni strumentali
previsti al comma 594, devono indicare le misure dirette a
circoscrivere l'assegnazione delle apparecchiature di telefonia mobile
e individuare, nel rispetto della normativa sulla protezione dei dati
personali, forme di verifica anche a campione circa il corretto
utilizzo delle relative utenze;
viste inoltre le Direttive del Dipartimento della Funzione pubblica
dell'11 aprile 1997, del 25 settembre 1998 e del 30 ottobre 2001, che
rappresentano, per le Regioni, uno schema di riferimento da tenere in
considerazione nel disciplinare i propri sistemi di telefonia e che
prevedono l'obbligo di effettuare controlli a campione sull'utilizzo
delle utenze telefoniche ai fini di contenimento della spesa
pubblica;
dato atto che gli Allegati A e B di cui alla propria precedente
determinazione 283/08 sono stati applicati in via sperimentale a
partire dal 17 aprile 2008 e che, a seguito della sperimentazione,
sono state apportate le necessarie modifiche e integrazioni ai
suddetti allegati;
valutato quindi di disciplinare i sopra esposti controlli e verifiche
negli Allegati A e B al presente atto, quali parti integranti e
sostanziali dello stesso, con la seguente ripartizione:
A) Allegato A: modalita' e procedure relative alle verifiche di
sicurezza, previste dall'articolo 2, comma 2 lettera c) e
dall'articolo 13 (G) e dall'art. 12 (AL) delle Linee guida;
B) Allegato B: modalita' e procedure relative ai controlli
sull'utilizzazione dei beni messi a disposizione dall'Amministrazione
per lo svolgimento dell'attivita' lavorativa, con particolare
riferimento all'utilizzazione delle strumentazioni informatiche e
della telefonia sia fissa sia mobile;
visto il provvedimento del Garante per la protezione dei dati
personali "Lavoro: le linee guida del Garante per posta elettronica e
internet", adottato con deliberazione n. 13 dell'1 marzo 2007;
considerato di aver disciplinato gli allegati al presente atto nel
rispetto dei principi contenuti nel provvedimento del Garante sopra
richiamato;
valutato inoltre che sia opportuno, anche al fine di evitare usi
impropri derivanti da conoscenza non adeguata o incompleta, definire
in via esemplificativa nell'Allegato C al presente atto, parte
integrante e sostanziale dello stesso, i comportamenti da tenere
nell'utilizzo delle strumentazioni informatiche e di telefonia messe a
disposizione per lo svolgimento dell'attivita' lavorativa, come
previsto dall'articolo 11 (G) e dall'art. 10 (AL), comma 3 delle Linee
guida, con la precisazione che comunque tale Allegato C non e'
integrativo del Codice di comportamento gia' citato, contenendo un
richiamo e una mera esemplificazione, in particolare, di quanto gia'
previsto nel Codice di comportamento e nei disciplinari tecnici per
utenti sull'utilizzo dei sistemi informativi;
considerato di dover dare la massima diffusione del contenuto degli
Allegati A, B e C a tutti i soggetti potenzialmente interessati e
coinvolti dalle disposizioni contenute negli stessi Allegati;
dato atto dell'accordo raggiunto con le rappresentanze sindacali in
data 18 giugno 2009;
acquisito il parere favorevole espresso dal Direttore generale
dell'Assemblea legislativa, dott. Luigi Benedetti, con nota prot. n.
20744 del 16/7/2009;
dato atto dei pareri allegati;
determina:
1) di approvare l'Allegato A "Modalita' e procedure relative alle
verifiche di sicurezza, previste dall'articolo 2, comma 2 lettera c) e
dall'articolo 13 (G) e dall'art. 12 (AL) delle Linee guida in materia
di protezione dei dati personali della Giunta e dell'Assemblea
legislativa della Regione Emilia-Romagna" e i relativi modelli di cui
agli Allegati A.1 e A.2;
2) di approvare l'Allegato B, "Modalita' e procedure relative ai
controlli sull'utilizzazione dei beni messi a disposizione
dall'Amministrazione per lo svolgimento dell'attivita' lavorativa, con
particolare riferimento all'utilizzazione delle strumentazioni
informatiche e della telefonia sia mobile sia fissa" e il relativo
modello di cui all'Allegato B.1;
3) di approvare l'informativa prevista dall'art. 13 del Codice per la
protezione dei dati personali, allegata al presente atto e relativa ai
trattamenti di dati personali conseguenti alle attivita' previste
negli Allegati A e B;
4) di approvare l'Allegato C, "Comportamenti per un corretto utilizzo
degli strumenti informatici e di telefonia messi a disposizione
dall'Ente per lo svolgimento dell'attivita' lavorativa";
5) di disporre che i suddetti Allegati siano portati a conoscenza di
tutti gli utenti del sistema regionale, con modalita' tali da
garantire la ricezione da parte degli stessi e quindi di procedere
alla diffusione del contenuto degli Allegati A, B e C a partire dalla
data di adozione del presente atto, fornendo contestualmente
l'informativa prevista all'art. 13 del Codice per la protezione dei
dati personali relativamente ai trattamenti di dati personali
conseguenti alle disposizioni di tali allegati; tale diffusione sara'
effettuata tramite pubblicazione del presente atto, comprensivo degli
allegati, nel Bollettino Ufficiale della Regione Emilia-Romagna,
contestualmente alla sua messa a disposizione nei siti Web regionali;
successivamente, entro il periodo previsto al punto 7, sara'
effettuata una distribuzione capillare a tutti i soggetti
potenzialmente interessati all'applicazione degli Allegati A, B e C,
con particolare riferimento ai dipendenti regionali;
6) di pubblicare, quindi, il presente atto integralmente nel
Bollettino Ufficiale della Regione Emilia-Romagna, compresi gli
Allegati A, B e C, parti integranti del medesimo atto;
7) di applicare gli Allegati A e B trascorsi due mesi dall'adozione
del presente atto, durante i quali deve essere attuato quanto disposto
al punto 5.
IL DIRETTORE GENERALE
Gaudenzio Garavini
(segue allegato fotografato)
