(+39) 06.86.95.6900 info@microcredito.gov.it

LETTERA DI DESIGNAZIONE AMMINISTRATORE DI SISTEMA

LETTERA DI DESIGNAZIONE AMMINISTRATORE DI SISTEMA

ART. 28 DEL GDPR

 

L’Ente Nazionale per il Microcredito, con sede legale a Roma (RM), via Vittoria Colonna, n. 1, C.F. 97538720588, di seguito, per brevità, anche indicato come “ENM”, in qualità di Titolare del trattamento ai sensi del Regolamento (UE) 2016/679 (General Data Protection Regulation, “GDPR”)

PREMESSO CHE

- nell’ambito della propria attività il Titolare tratta dati personali, avvalendosi di strumenti elettronici;

- tale trattamento è soggetto alle disposizioni del GDPR, della normativa italiana di armonizzazione (decreto legislativo 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati personali”), nonché ai Provvedimenti dell’Autorità Garante per la protezione dei dati personali (complessivamente “Normativa privacy”); 

- in forza del provvedimento del 27 novembre 2008, l’Autorità Garante per la protezione dei dati personali ha prescritto ai soggetti pubblici e privati l'adeguamento delle misure di sicurezza già in uso con l’adozione di altre e ulteriori finalizzate al corretto svolgimento delle funzioni degli amministratori di sistema;

- l’attribuzione delle funzioni di amministratore di sistema deve avvenire, previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato secondo le prescrizioni dell’Autorità Garante;

- il Titolare ha individuato nell’ambito della propria struttura i soggetti che svolgono le attività tipiche dell’amministratore di sistema sui dati e sistemi di cui si avvale il Titolare nell’ambito della propria attività di trattamento;

- la presente designazione, potrà essere modificata o revocata qualora le condizioni che ne giustificano la formalizzazione cambino oppure vengano meno. 

Tanto premesso e considerato, il Titolare del trattamento, come in epigrafe individuato e rappresentato, con la presente la designa Amministratore di Sistema (di seguito, “ADS”).

L’ ADS con la presente designazione assume il dovere di compiere quanto si renderà necessario ai fini del rispetto e della corretta applicazione della Normativa privacy, specialmente sotto il profilo della sicurezza dei dati trattati, anche incidentalmente ed indirettamente, nell’esercizio delle sue funzioni di amministratore di sistema. 

Nello specifico, le funzioni che riguardano l’ADS attengono alla gestione, sotto il profilo degli aspetti di sicurezza, dei sistemi deputati al trattamento dati gestiti dall’amministratore di sistema per conto del Titolare e secondo indicazione di quest’ultimo.

Specificamente, con riferimento alla gestione dei sistemi informativi utilizzati dall’Ente Nazionale per il Microcredito, l’ADS sarà tenuto a:

-    agire nell’ambito di operatività consentito in base al profilo di autorizzazione assegnato, potendo effettuare le operazioni necessarie a garantire il corretto funzionamento nonché la sicurezza di tali sistemi. Nello svolgimento delle funzioni assegnate, l’ADS prende atto che non è autorizzato a svolgere attività di trattamento ulteriori rispetto a quelle necessarie per la messa in sicurezza e per la manutenzione;

-    gestire, attenendosi alle disposizioni impartite dal Titolare, il sistema informatico nel quale risiedono le banche dati personali, in osservanza della Normativa privacy;

-    accedere alle banche dati attendendosi alle disposizioni impartite dal Titolare;

-    non creare banche dati nuove senza espressa autorizzazione del Titolare;

-    mantenere l’assoluto riserbo sui dati personali di cui viene a conoscenza, anche incidentalmente o per caso fortuito, in ragione dell'esercizio delle funzioni/mansioni assegnate; 

-    evitare di asportare supporti di qualsivoglia natura contenenti dati personali senza autorizzazione del Titolare;

-    rispettare scrupolosamente tutte le misure di sicurezza già adottate o che verranno adottate in seguito dal Titolare;

-    individuare misure di sicurezza ulteriori a quelle già in uso, che dovessero ritenersi necessarie per garantire congruo livello di protezione dei dati personali;

-    limitatamente alla titolarità tecnica dei sistemi operativi in uso, effettuare l’aggiornamento dei medesimi nel rispetto delle disposizioni comunque impartite dall’Ente Nazionale per il Microcredito, al fine di evitare accessi non consentiti ovvero trattamenti illeciti e la perdita dei dati; 

-    mantenere segrete le credenziali di autenticazione assegnate per l’accesso alla rete del Titolare;

-    in caso di problematiche concernenti la sicurezza dei dati e dei sistemi, è fatto obbligo all’ADS di segnalarle senza ritardo al Titolare, indicando tutti gli aspetti necessari a circoscrivere la vulnerabilità, fornendo poi tutto il supporto possibile per apportare i correttivi necessari.

-    generare, sostituire ed invalidare, in relazione agli strumenti ed alle applicazioni informatiche utilizzate, gli account (quindi le parole chiave ed i Codici identificativi personali) da assegnare alle persone autorizzate al trattamento dei dati dal Titolare, svolgendo anche la funzione di custode delle copie delle credenziali;

-    adottare i programmi antivirus, firewall ed altri strumenti software o hardware indicati dal Titolare atti a garantire la massima misura di sicurezza nel rispetto di quanto dettato dal GDPR;

-    adottare tutti i provvedimenti necessari ad evitare la perdita o la distruzione, anche solo accidentale, dei dati personali e provvedere al ricovero periodico degli stessi con copie di back-up, vigilando sulle procedure adottate dal Titolare;

-    assicurarsi della qualità delle copie di back-up dei dati e della loro conservazione in luogo adatto e sicuro;

-    provvedere alla distruzione e smaltimento dei supporti informatici di memorizzazione logica o alla cancellazione dei dati per il loro reimpiego, alla luce del Provvedimento del Garante per la Protezione dei Dati personali del 13 ottobre 2008 in materia di smaltimento degli strumenti elettronici;

-    vigilare sugli interventi informatici diretti al sistema informatico della società effettuati da operatori esterni. In caso di anomalie, segnalarle direttamente al Responsabile ADS e/o al Titolare;

-    rispettare le istruzioni ricevute dal Titolare anche contenute nei documenti che disciplinano l’uso della strumentazione elettronica e informatica, le misure di sicurezza e le relative procedure applicate.

L’ADS è fin d’ora reso edotto del fatto che il suo operato sarà oggetto di loggatura e registrazione e che, con cadenza almeno annuale, il suo profilo sarà oggetto di attività di monitoraggio al fine di verificare la rispondenza alle misure organizzative, tecniche e di sicurezza predisposte per l’esercizio delle funzioni dell’amministratore di sistema. Ciò conformemente al punto 4.4 del Provvedimento del 27 novembre 2008.

È fatto presente che la presente designazione potrà essere liberamente revocata in qualunque momento dal Titolare.

Roma, lì ____________________

Ente Nazionale per il Microcredito                                                                                                      



L’Amministratore di Sistema

                                               

                                Luogo e Data

Informativa al personale dipendente ed ai collaboratori esterni redatta sulla base delle linee guida del Garante della Privacy emanate con delibera n. 13 del 1° marzo 2007

INFORMATIVA PRIVACY
(D.Lgs. n. 196/2003 e successive modifiche ed integrazioni)

Informativa al personale dipendente ed ai collaboratori esterni redatta sulla base
delle linee guida del Garante della Privacy emanate con delibera n. 13 del 1° marzo

2007

Indice

  1. Premessa

  2. Definizioni

  3. Utilizzo del Personal Computer

  4. Gestione ed assegnazione delle credenziali di autenticazione

  5. Utilizzo della rete

  6. Utilizzo e conservazione dei supporti rimovibili

  7. Utilizzo di PC portatili

  8. Uso della posta elettronica

  9. Navigazione in Internet

  10. Protezione antivirus

  11. Utilizzo dei telefoni, fax e fotocopiatrici aziendali

  12. Osservanza delle disposizioni in materia di Privacy

  13. Accesso ai dati trattati dall’utente

  14. Sistema di controlli graduali

  15. Sanzioni

  16. Aggiornamento e revisione

Premessa

    1. L'utilizzo delle risorse informatiche e telematiche deve sempre ispirarsi al principio della diligenza e correttezza che normalmente si adottano nell’ambito dei rapporti di lavoro. La presente nota si propone di assicurare informazioni ed indicazioni utili ad evitare che comportamenti inconsapevoli possano innescare problemi o minacce alla Sicurezza nel trattamento dei dati.

    2. Le linee di comportamento di seguito previste si aggiungono ed integrano le specifiche istruzioni già fomite a tutti gli incaricati in attuazione del D.Lgs. 30 giugno 2003 n. 196 e del Disciplinare tecnico (Allegato B al citato decreto legislativo), contenente le misure minime di sicurezza; esse, inoltre, integrano le informazioni già fomite agli interessati in ordine alle ragioni e alle modalità dei possibili controlli o alle conseguenze di tipo disciplinare in caso di violazione delle stesse.

    3. Le norme di riferimento in materia di Privacy pongono in essere sistemi di controllo sull’utilizzo degli strumenti informati ci/telefoni ci da parte dei dipendenti/consulenti esterni e di sanzionare conseguentemente quegli usi scorretti che, oltre ad esporre l’Ente Nazionale per il Microcredito stesso a rischi tanto patrimoniali quanto penali, possono di per sé considerarsi contrari ai doveri di diligenza e fedeltà previsti dagli artt. 2104 e 2105 del Codice civile.

    4. I controlli sull’uso degli strumenti informatici/telefonici tuttavia, devono garantire tanto il diritto dell’Ente Nazionale per il Microcredito di proteggere il proprio patrimonio informativo, essendo i computer ed i telefoni strumenti di lavoro la cui utilizzazione personale è preclusa, quanto il diritto del dipendente/ e del collaboratore a non vedere invasa la propria sfera personale, e quindi il diritto alla riservatezza ed alla dignità come sanciti dallo Statuto dei lavoratori e dal Codice sulla Privacy.

    5. Alla luce delle considerazioni sopra espresse e tenuto opportunamente conto delle Linee guida recentemente emanate dall’Autorità Garante per la protezione dei dati personali, con propria deliberazione n. 13 del 1 marzo 2007, sulla disciplina della navigazione in internet e sulla gestione della posta elettronica nei luoghi di lavoro, di seguito si riportano alcune indicazioni applicative.

    6. Vengono inoltre considerati gli specifici obblighi previsti dal Codice della privacy (D.Lgs. n. 196/2003 e successive modifiche ed integrazioni) e dall’art. 29, l°comma del D.Lgs. n. 242/1996 (in tema di controlli operati mediante il sistema informatico), nonché gli obblighi previsti dal disciplinare tecnico sulle misure minime di sicurezza allegato allo stesso Codice.

    7. Con riferimento alle normative in tema di protezione dei dati personali, si ricorda come il Codice della privacy stabilisca che l’attività di controllo debba essere rispettosa dei principi fondamentali di “proporzionalità” (art. 3), debba avvenire nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato (art. 2) e soprattutto, che di tale attività, debba essere fornita adeguata e preventiva informativa (art. 13).

Definizioni

    1. La presente nota è rivolta a tutti i dipendenti, senza distinzione di ruolo e/o livello, nonché a tutti i collaboratori Ente Nazionale per il Microcredito.

    2. Ai fini delle disposizioni dettate per l’utilizzo delle risorse informatiche e telematiche, per “incaricato del trattamento dei dati” deve intendersi ogni dipendente o collaboratore (consulente, collaboratore a progetto, stagista, ecc.) in possesso di specifiche credenziali di autenticazione per l’accesso ai dati aziendali.

Utilizzo del Personal Computer

    1. Il Personal Computer affidato all’incaricato del trattamento dei dati (dipendenti, collaboratori, stagisti etc..), è uno strumento di lavoro. Ogni utilizzo non inerente all'attività lavorativa è vietato perché può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza. Il personal computer deve essere custodito con cura evitando ogni possibile forma di danneggiamento.

    2. Il personal computer dato in affidamento all’utente permette l’accesso alla rete Ente Nazionale per il Microcredito solo attraverso specifiche credenziali di autenticazione come meglio descritto al successivo punto 4.

    3. Ente Nazionale per il Microcredito rende noto che l’amministratore del sistema informativo è stato autorizzato a compiere interventi nel sistema informatico, diretti a garantire la sicurezza e la salvaguardia del sistema stesso, nonché per ulteriori motivi tecnici e/o manutentivi (ad es. aggiomamento/sostituzione/implementazione di programmi, manutenzione hardware etc.). Detti interventi, in considerazione dei divieti di cui ai successivi punti nn. 8.2 e 9.1, potranno anche comportare l’accesso, in qualunque momento, ai dati trattati da ciascuno, ivi compresi gli archivi di posta elettronica aziendale con suffisso ipres.it, nonché alla verifica sui siti internet acceduti dagli utenti abilitati alla navigazione esterna. La stessa facoltà, sempre ai fini della sicurezza del sistema e per garantire la normale operatività dell’Ente Nazionale per il Microcredito, si applica anche in caso di assenza prolungata od impedimento dell’ incaricato del trattamento dati.

    4. L’ Amministratore di sistema ha la facoltà di collegarsi e visualizzare in remoto il desktop delle singole postazioni PC al fine di garantire l’assistenza tecnica e la normale attività operativa nonché la massima sicurezza contro virus, Spyware, malware, etc. L’intervento viene effettuato esclusivamente su chiamata dell’utente o, in caso di oggettiva necessità, a seguito della rilevazione tecnica di problemi nel sistema informatico e telematico. In quest’ultimo caso, e sempre che non si pregiudichi la necessaria tempestività ed efficacia dell’intervento, verrà data comunicazione della necessità dell’intervento stesso.

    5. Non è consentito l'uso di programmi diversi da quelli ufficialmente installati per conto dell’Ente Nazionale per il Microcredito, né viene consentito agli utenti di installare autonomamente programmi provenienti dall'esterno, sussistendo infatti il grave pericolo di introdurre virus informatici e/o di alterare la funzionalità delle applicazioni software esistenti. L’inosservanza della presente disposizione espone a gravi responsabilità civili; si evidenzia inoltre che le violazioni della normativa a tutela dei diritti d’autore sul software che impone la presenza nel sistema di software regolarmente licenziato, o comunque libero e quindi non protetto dal diritto d’autore, vengono sanzionate anche penalmente.

    6. Salvo preventiva espressa autorizzazione del personale incaricato, non è consentito all'utente modificare le caratteristiche impostate sul proprio PC né procedere ad installare dispositivi di memorizzazione, comunicazione o altro (come ad esempio modem, schede audio, etc ... ).

    7. Ogni utente deve prestare la massima attenzione ai supporti di origine esterna, avvertendo immediatamente 1’Amministratore di sistema, nel caso in cui siano rilevati virus ed adottando quanto previsto dalla presente nota relativamente alle procedure di protezione antivirus.

    8. Il Personal Computer deve essere spento ogni sera prima di lasciare gli uffici o in caso di assenze prolungate dall'ufficio o in caso di suo inutilizzo. In ogni caso è necessario considerare che lasciare un elaboratore incustodito, connesso alla Rete, può essere causa di utilizzo da parte di terzi, senza che vi sia la possibilità di provarne in seguito l'indebito uso.

Gestione ed assegnazione delle credenziali di autenticazione

  1. Le credenziali di autenticazione per l’accesso alla Rete vengono inizialmente assegnate dall’Amministratore di sistema e successivamente resettate dall’ incaricato stesso secondo criteri prestabiliti.

  2. Le credenziali di autenticazione consistono in un codice per l’identificazione dell’utente (user id) associato ad una parola chiave (password) riservata e creata dall’incaricato che dovrà essere custodita con la massima diligenza e non divulgata. Non è consentita l'attivazione della password di accensione (bios) senza preventiva autorizzazione da parte dell’Amministratore di sistema.

  3. La parola chiave, formata da lettere (maiuscole o minuscole) e numeri, anche in combinazione fra loro, deve essere composta da almeno otto caratteri e non deve contenere riferimenti agevolmente riconducibili all’interessato.

  4. La password di accesso di ciascun incaricato sarà automaticamente resettata ogni sei mesi. In base a tale procedura automatica, l’incaricato, mediante avviso a video, dovrà inserire ogni sei mesi una password nuova, diversa dalla precedente, in ottemperanza alla Legge Privacy.

  5. Qualora la parola chiave dovesse venir sostituita, per decorso del termine sopra previsto e/o in quanto abbia perduto la propria riservatezza, si procederà in tal senso d’intesa con l’Amministratore di sistema.

Utilizzo della Rete

  1. Per l’accesso alla rete Ente Nazionale per il Microcredito ciascun utente deve essere in possesso della specifica credenziale di autenticazione.

  2. È assolutamente proibito entrare nella rete e nei programmi con un codice d’identificazione utente di un altro operatore. Le parola chiave d'ingresso alla rete ed ai programmi sono segrete e vanno comunicate e gestite secondo le procedure impartite.

  3. I documenti di lavoro di ciascun incaricato del trattamento dati, dovranno essere tutti memorizzati nella cartella “Nome e Cognome” presente sul desktop del proprio Pc (come icona di collegamento). Tutti i files relativi a tali documenti sono sottoposti alle necessarie attività di controllo, amministrazione e back up da parte dell’Amministratore del sistema informativo e ne restano esclusi tutti quelli depositati su altri dischi o altre unità di memorizzazione locali (cdrom, chiavi usb etc..). La responsabilità del salvataggio dei dati eventualmente contenutisi questi ultimi (altri dischi ed altre unità locali) rimane a carico del singolo utente-incaricato.

  4. L’Amministratore di sistema può in qualunque momento procedere alla rimozione di ogni file o applicazione che riterrà essere pericolosi per la Sicurezza sia sui PC degli incaricati, sia sulle unità di rete, dandone avviso agli interessati.

  5. Risulta opportuno che, con regolare periodicità (almeno ogni 3 mesi), ciascun utente provveda alla pulizia degli archivi, con cancellazione dei file obsoleti o inutili. Particolare attenzione deve essere prestata alla duplicazione dei dati, essendo necessario evitare un'archiviazione ridondante. È fatto divieto salvare files musicali, video e similari sul Pc in dotazione.

Utilizzo e conservazione dei supporti rimovibili

  1. Tutti i supporti magnetici rimovibili (dischetti, CD e DVD riscrivibili, supporti USB, ecc.), contenenti dati costituenti know-how aziendale, devono essere trattati con particolare cautela onde evitare che il loro contenuto possa essere trafugato o alterato e/o distrutto o, successivamente alla cancellazione, recuperato.

  2. Al fine di assicurare la distruzione e/o inutilizzabilità di supporti magnetici rimovibili contenenti dati sensibili, ciascun utente dovrà contattare l’Amministratore del sistema informativo e seguire le istruzioni da questo impartite.

  3. In ogni caso, i supporti magnetici contenenti dati sensibili devono essere dagli incaricati adeguatamente custoditi in armadi chiusi.

Utilizzo di PC portatili

  1. L’ incaricato è responsabile del PC portatile assegnatogli e deve custodirlo con diligenza sia durante gli spostamenti sia durante l'utilizzo nei luoghi di lavoro.

  2. Agli eventuali PC portatili si applicano le regole di utilizzo previste dalla presente informativa, con particolare attenzione alla rimozione di eventuali file elaborati prima della riconsegna.

  3. I PC portatili utilizzati all'esterno, in caso di allontanamento, devono essere custoditi con diligenza, adottando tutti i provvedimenti che le circostanze rendono necessari per evitare danni o sottrazioni.

  4. Tali norme di comportamento si applicano anche nei confronti di incaricati esterni.

Uso della posta elettronica

  1. La casella di posta elettronica assegnata all' incaricato è uno strumento di lavoro. Le persone assegnatane delle caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse.

  2. È fatto divieto di utilizzare le caselle di posta elettronica con la desinenza @microcredito.gov.it per motivi diversi da quelli strettamente legati all'attività lavorativa. In questo senso, a titolo puramente esemplificativo, l’incaricato non potrà utilizzare la posta elettronica per:

l’invio e/o il ricevimento di allegati contenenti filmati o brani musicali (es.mp3) non legati all’attività lavorativa;

l’invio e/o il ricevimento di messaggi personali o per la partecipazione a dibattiti, aste on line, concorsi, forum o mailing-list;

la partecipazione a catene telematiche (o di Sant'Antonio). Se si dovessero peraltro ricevere messaggi di tale tipo, si deve comunicarlo immediatamente al personale incaricato e non si dovrà in alcun caso procedere all’apertura degli allegati a tali messaggi.

  1. La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili e soprattutto allegati ingombranti.

  2. È obbligatorio porre la massima attenzione nell’aprire i file allegati alle email (attachements) prima del loro utilizzo (non eseguire download di file eseguibili o documenti da siti Web o Ftp non conosciuti).

  3. È comunque consentito al Responsabile del Trattamento Dati, sentito l’utente, di accedere alle caselle di posta elettronica per ogni ipotesi in cui si renda necessario (ad es.: mancata attivazione della funzionalità di cui al punto 8.6).

  4. II personale incaricato nell’impossibilità di procedere come sopra indicato e nella necessità di non pregiudicare la necessaria tempestività ed efficacia dell’intervento, potrà accedere alla casella di posta elettronica per le sole finalità indicate al punto 3.3.

Navigazione in Internet

9.1. Il PC assegnato al dipendente/collaboratore ed abilitato alla navigazione in Internet costituisce uno strumento utilizzabile esclusivamente per lo svolgimento della propria attività lavorativa. È quindi assolutamente proibita la navigazione in Internet per motivi diversi da quelli strettamente legati all'attività lavorativa.

9.2 In questo senso, a titolo puramente esemplificativo, l’utente non potrà utilizzare internet per:

l’upload o il download di software gratuiti (freeware) e shareware, nonché l’utilizzo di documenti provenienti da siti web o http, se non strettamente attinenti all’attività lavorativa (filmati e musica) e previa verifica dell’attendibilità dei siti in questione;

l'effettuazione di ogni genere di transazione finanziaria ivi comprese le operazioni di remote banking, acquisti on-line e simili, fatti salvi i casi direttamente autorizzati dal Responsabile del Trattamento Dati e comunque nel rispetto delle normali procedure di acquisto;

ogni forma di registrazione a siti i cui contenuti non siano strettamente legati all'attività lavorativa;

la partecipazione a Forum non professionali, l'utilizzo di chat line (esclusi gli strumenti autorizzati), di bacheche elettroniche e le registrazioni in guest books anche utilizzando pseudonimi (o nicknames) se non espressamente autorizzati.

  1. Gli eventuali controlli, compiuti dall’ Amministratore di sistema, ai sensi del precedente punto 3.3, potranno avvenire mediante un sistema di controllo dei contenuti (Proxy server) o mediante “file di log” della navigazione svolta. Il controllo sui file di log non è continuativo ed i file stessi vengono conservati non oltre 1 mese, ossia il tempo indispensabile per il corretto perseguimento delle finalità organizzative e di sicurezza Ente Nazionale per il Microcredito.

Protezione antivirus

  1. II sistema informatico Ente Nazionale per il Microcredito è protetto da software antivirus aggiornato settimanalmente. Ogni utente deve comunque tenere comportamenti tali da ridurre il rischio di attacco al sistema informatico mediante virus o mediante ogni altro software aggressivo.

  2. Nel caso il software antivirus rilevi la presenza di un virus, l'utente dovrà immediatamente sospendere ogni elaborazione in corso senza spegnere il computer nonché segnalare prontamente l'accaduto al personale incaricato.

  3. Ogni dispositivo magnetico di provenienza esterna all'IPRES dovrà essere verificato mediante il programma antivirus prima del suo utilizzo e, nel caso venga rilevato un virus, dovrà essere prontamente consegnato al personale incaricato.

Utilizzo dei telefoni, fax e fotocopiatrici

  1. II telefono eventualmente affidato all’utente è uno strumento di lavoro. Ne viene concesso l’uso esclusivamente per lo svolgimento dell’attività lavorativa, non essendo quindi consentite comunicazioni a carattere personale o comunque non strettamente inerenti l’attività lavorativa stessa. La ricezione o l’effettuazione di telefonate personali è consentito solo nel caso di comprovata necessità ed urgenza.

  2. Qualora venisse assegnato un cellulare aziendale al dipendente/collaboratore, quest’ultimo sarà responsabile del suo utilizzo e della sua custodia. Al cellulare si applicano le medesime regole sopra previste per l’utilizzo del telefono aziendale; inoltre è vietato l’utilizzo del telefono cellulare messo a disposizione per inviare o ricevere SMS o MMS di natura personale o comunque non pertinenti rispetto allo svolgimento dell’attività lavorativa.

  3. È vietato l’utilizzo dei fax per fini personali, tanto per spedire quanto per ricevere documentazione.

  4. È vietato l’utilizzo delle fotocopiatrici per fini personali.

Osservanza delle disposizioni in materia di Privacy

  1. È obbligatorio attenersi alle disposizioni in materia di Privacy e di misure minime di sicurezza, come indicato nella lettera di designazione ad incaricato del trattamento dei dati ai sensi del Disciplinare tecnico allegato al D.Lgs. n. 196/2003.

Accesso ai dati trattati dall’utente

  1. Oltre che per motivi di sicurezza del sistema informatico, anche per motivi tecnici e/o manutentivi (ad esempio, aggiomamento/sostituzione/implementazione di programmi, manutenzione hardware, etc.) o per finalità di controllo e programmazione dei costi (ad esempio, verifica costi di connessione ad internet, traffico telefonico, etc.), comunque estranei a qualsiasi finalità di controllo dell’attività lavorativa, è facoltà della Direzione accedere, nel rispetto della normativa sulla privacy, a tutti gli strumenti informatici aziendali e ai documenti ivi contenuti, nonché ai tabulati del traffico telematico.

Sistemi di controlli graduali

  1. In caso di anomalie, sarà possibile effettuare controlli anonimi che si concluderanno con avvisi generalizzati diretti ai dipendenti, nei quali si evidenzierà l’utilizzo irregolare degli strumenti informatici e si inviteranno gli interessati ad attenersi scrupolosamente ai compiti assegnati e alle istruzioni impartite. Controlli su base individuale potranno essere compiuti solo in caso di successive ulteriori anomalie.

  2. In alcun caso verranno compiuti controlli prolungati, costanti o indiscriminati.

Sanzioni

  1. E fatto obbligo a tutti i dipendenti e collaboratori di osservare le norme comportamentali portate a conoscenza con la presente informativa. Nei casi di mancato rispetto o di violazione delle stesse si dovrà dare corso ai provvedimenti disciplinari e risarcitoli previsti dal vigente normativa, nonché a tutte le azioni civili e penali previste dall’ordinamento giuridico.

Informativa per il trattamento dei dati personali ex art. 13 del Regolamento (UE) 2016/679 resa ai dipendenti dell’Ente Nazionale per il Microcredito.

Informativa per il trattamento dei dati personali ex art. 13 del Regolamento (UE) 2016/679 resa ai dipendenti dell’Ente Nazionale per il Microcredito.

L’Ente Nazionale per il Microcredito, con sede legale a Roma (RM), via Vittoria Colonna, n. 1, C.F. 97538720588 (di seguito, “ENM” o “Titolare”), in qualità di Titolare del trattamento dei dati personali (di seguito “Ente” o “Titolare”), in conformità alle disposizioni del Regolamento (UE) 2016/679 (di seguito “GDPR”), della normativa italiana di armonizzazione e dei provvedimenti adottati dall'Autorità Garante per la protezione dei dati personali (di seguito, complessivamente la “Normativa vigente”), La informa di quanto segue.

 

  • Tipologia di dati trattati.

 

I dati personali, forniti per l’instaurazione del rapporto lavorativo, saranno trattati, da parte del Titolare del trattamento, adottando le misure di tipo tecnico ed organizzativo adeguate al rischio del trattamento nel rispetto della normativa privacy ed in particolare dell’art. 32 del GDPR.

In particolare, il trattamento potrà riguardare i dati personali di cui all’art. 4, punto 1 del GDPR e dati appartenenti a particolari categorie ai sensi dell’articolo 9 del GDPR, necessari per l’instaurazione e la gestione del rapporto di lavoro, quali:

  1. dati anagrafici (nome, cognome, codice fiscale, luogo di nascita e di residenza, documento di identità);
  2. dati di contatto (telefono ed e-mail);
  3. dati curriculari;
  4. dati fiscali (Iban);
  5. categorie particolari di dati personali, ai sensi dell’articolo 9 del GDPR:

 

  1. dati relativi allo stato di salute, in riferimento a certificazioni di malattia, infortunio, maternità, puerperio, malattia professionale, esposizione a fattori di rischio, appartenenza a categorie protette, idoneità psicofisica allo svolgimento di determinare mansioni, e simili;
  2. dati che rivelino l’origine razziale ed etnica, le convinzioni religiose o filosofiche ovvero l’adesione ad associazioni od organizzazioni a carattere religioso o filosofico, quali, a titolo esemplificativo, la fruizione di permessi per festività aventi tale carattere;
  3. opinioni politiche o adesioni a partiti, sindacati o ad associazioni od organizzazioni a carattere politico o sindacale, derivanti da fruizioni di permessi o periodi di aspettativa riconosciuti da leggi o contratti, attività o incarichi sindacali o relativi allo svolgimento di funzioni pubbliche, gestione di trattenute o conteggi per il versamento di quote associative o sindacali o politiche, organizzazione di iniziative pubbliche, destinazione di somme a partiti, associazioni, fondazioni, ecc.

 

  • Finalità del trattamento e relative basi giuridiche.

 

I Suoi dati personali verranno trattati per:

    1. la gestione del rapporto di lavoro (gestione contratto e trattamento economico dei dipendenti), in virtù dell’esecuzione del contratto di cui l’interessato è parte;
    2. la pubblicazione della Sua immagine sul portale interno aziendale a fini di comunicazione interna, sulla base del consenso da Lei eventualmente espresso.

 

 

  • Natura della comunicazione dei Dati e conseguenze dell’eventuale rifiuto.

 

Per il perseguimento della predetta finalità, la comunicazione dei Suoi dati personali è necessaria per l’instaurazione e la gestione del rapporto di lavoro.

L’eventuale parziale o totale rifiuto a fornirli potrebbe comportare la mancata instaurazione o continuazione del rapporto di lavoro.

 

  • Comunicazione e diffusione dei Dati

 

I Suoi Dati potranno essere comunicati a società o studi professionali che prestano attività di assistenza e consulenza alla Società nel settore dell’elaborazione paghe e contributi, nonché consulenti fiscali e legali.

Tali soggetti potranno agire in qualità di autonomi Titolari del trattamento o di Responsabili del trattamento. In quest’ultima ipotesi, i terzi verranno contrattualizzati dall’ENM quali Responsabili del trattamento ex art. 28 del GDPR.

La lista dei Responsabili del trattamento è disponibile presso la sede del Titolare.

Al di fuori delle suindicate ipotesi, i Suoi dati non saranno oggetto di comunicazione se non nei confronti di soggetti, enti o Autorità verso cui la comunicazione sia obbligatoria in forza di disposizioni di legge. 

 

  • Modalità di trattamento.

 

Il trattamento dei Dati avverrà con il supporto di mezzi cartacei e informatici atti a garantire la sicurezza e riservatezza degli stessi.

Per le finalità di cui alla presente informativa, i Suoi Dati potranno essere trattati da personale dell’ENM all’uopo autorizzato e istruito al trattamento degli stessi.

 

  • Trasferimento dei dati personali.

 

I Suoi Dati non saranno trasferiti a Paesi Terzi o Organizzazioni Internazionali.

 

  • Periodo di conservazione dei dati personali.

 

I Suoi Dati verranno trattati per il tempo strettamente necessario al raggiungimento delle finalità di cui al paragrafo 3) e successivamente conservati per un termine di dieci (10) anni, al fine di poter gestire un eventuale contenzioso.

 

  • Diritti dell’interessato. 

 

Lei potrà esercitare i diritti previsti dagli articoli da 15 a 22 del GDPR applicabili, consistenti nel:

  • diritto di ottenere dal Titolare la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso ai dati personali e alle informazioni di cui all’art. 15 del GDPR;
  • diritto di rettifica dei dati personali inesatti che La riguardano e di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa, ex art. 16 del GDPR;
  • diritto di ottenere dal Titolare la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo, ove ricorrano uno dei motivi di cui all’art. 17 del GDPR;
  • diritto di ottenere dal Titolare la limitazione del trattamento quando ricorre una delle ipotesi previste dall’art. 18 del GDPR. 

Tali diritti potranno essere esercitati inviando un’e-mail all’indirizzo di posta elettronica privacy@microcredito.gov.it, all’attenzione del Data Protection Officer dell’ENM.

Inoltre, il Titolare Le ricorda che Lei potrà sempre esercitare un diritto di reclamo nei confronti dell’Autorità Garante per la protezione dei dati personali.

 

  • Responsabile della Protezione dei Dati personali (RPD).

 

Il Titolare ha nominato un Responsabile della Protezione dei Dati nella persona della dottoressa Emma Evangelista, il cui indirizzo e-mail è privacy@microcredito.gov.it.

 

 

Consenso al trattamento dei dati personali

Preso atto dell’informativa sopra riportata, presto il mio consenso al trattamento del mio dato “immagine” ai fini di pubblicazione della stessa sul portale interno aziendale (finalità 2.b della predetta informativa).

Acconsento                                                                                      Non acconsento

Informativa privacy dipendenti

Vedi anche :Informativa al personale dipendente ed ai collaboratori esterni redatta sulla base delle linee guida del Garante della Privacy emanate con delibera n. 13 del 1° marzo 2007

 

Informativa privacy dipendenti

Informativa privacy per il personale dipendente ai sensi dell’art. 13 del Regolamento Europeo n. 679/2016

Titolare del trattamento dei Dati Personali

L’Ente Nazionale per il Microcredito, con sede legale a Roma (RM), via Vittoria Colonna, n. 1, C.F. 97538720588 (di seguito, “ENM” o “Titolare”), in qualità di Titolare del trattamento dei dati personali (di seguito “Ente” o “Titolare”), in conformità alle disposizioni del Regolamento (UE) 2016/679 (di seguito “GDPR”), della normativa italiana di armonizzazione e dei provvedimenti adottati dall'Autorità Garante per la protezione dei dati personali (di seguito, complessivamente la “Normativa vigente”), La informa di quanto segue.

Responsabile della Protezione dei dati personali (RPD)

Il Titolare ha nominato un Responsabile della Protezione dei Dati nella persona della dottoressa Emma Evangelista che può essere contattato al seguente indirizzo e-mail: privacy@microcredito.gov.it.

A tale riguardo, prima di comunicare qualsiasi dato personale, il Titolare La invita a leggere con attenzione la presente informativa (nel seguito, “Informativa”), poiché contiene informazioni importanti sulla tutela dei dati personali e sulle misure di sicurezza adottate per garantirne la riservatezza nel pieno rispetto del RGPD.

La presente informativa si intende resa nei confronti dei dipendenti/collaboratori dell’Ente Nazionale per il Microcredito.

  

2. TIPOLOGIA DI DATI OGGETTO DEL TRATTAMENTO

Il Titolare tratterà i Suoi dati personali raccolti in fase di sigla del rapporto contrattuale di lavoro. Oggetto del trattamento saranno i seguenti dati:

  1. Dati personali, quali: nome, cognome, numero di telefono indirizzo e-mail 

  2. CV

  3. Dati fiscali (codice fiscale, Iban, documento d’identità) 

3. FINALITA’ DEL TRATTAMENTO E BASE GIURIDICA

I Suoi dati personali verranno trattati per le seguenti finalità di tempo in tempo applicabili:

a)            Gestire tutti gli aspetti di un rapporto di lavoro, della formazione e sviluppo, del monitoraggio e della sicurezza, delle procedure disciplinari e di contestazione ed altri processi generali amministrativi e relativi alle risorse umane;

b)            assicurare un corretto impiego degli strumenti informatici aziendali riducendo al minimo il rischio di accessi non autorizzati e introduzione di virus nonché per verificare l’identità, il cv o il profilo dei soggetti autorizzati al momento dell’accesso agli strumenti informatici;

c)            svolgimento di attività funzionali al business del Titolare, all’organizzazione dei processi interni e alle politiche del personale;

d)            provvedere agli adempimenti prescritti dalla legge civile, fiscale, assicurativa, di salute e sicurezza del lavoro e per l’esecuzione a favore del dipendente delle prestazioni cui ha diritto;

e)            assegnare il badge di riconoscimento utile all’accesso agli stabili;

h)            tutelare la salute e sicurezza del personale e dei beni aziendali;

i)             pubblicare la Sua immagine sul portale interno aziendale a fini di comunicazione interna

j)             cessare rapporti di lavoro, fornire e mantenere referenze; e

k)            ottemperare alla normativa vigente, inclusi provvedimenti amministrativi e giudiziari riguardanti singoli dipendenti 

Il trattamento dei Suoi dati per le suddette finalità trova la sua base giuridica nell' art. 6 (b), (c) e (f) del RGPD, ai sensi dei quali:

•             il trattamento è necessario all'esecuzione di un contratto di cui l’interessato è parte;

•             il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

•             il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi.

Per quanto riguarda le “categorie particolari” dei dati di cui all’'art. 9 del RGPD, essi potranno essere trattati nell'ambito dell’attività del Titolare, per le finalità di seguito indicate:

a)            i dati idonei a rivelare lo stato di salute potranno essere raccolti ed utilizzati sia attraverso l’acquisizione di documentazione medica (in particolare, di certificati), sia direttamente dall’interessato anche in occasione di comunicazioni di assenze per malattia, maternità, infortuni, potranno essere acquisiti per stabilire l’idoneità a determinate mansioni e lavori, nonché per la sorveglianza e gli accertamenti sanitari periodici previsti dalla legge (D.Lgs. 81/08);

b)            i dati riguardanti l’adesione a sindacati potranno essere utilizzati, ove richiesto, sia per effettuare le trattenute ed i versamenti delle quote dell’associazione, sia in relazione all’eventuale assunzione di cariche sindacali;

c)            i dati relativi alle opinioni politiche ed all’adesione a partiti politici potranno essere oggetto di trattamento con riferimento alla richiesta di permessi e/o di aspettative per cariche pubbliche elettive;

d)            i dati idonei a rivelare le convinzioni religiose potranno essere utilizzati per la richiesta di fruizione di festività religiose prevista dalla legge.

Il trattamento dei Suoi dati per le suddette finalità trova la sua base giuridica nell' art. 9 (b) del RGPD, ai sensi del quale:

•             il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.

Il conferimento dei Suoi dati personali è facoltativo ma necessario per la corretta istaurazione ed esecuzione del rapporto di lavoro e per consentire al Titolare l’adempimento dei connessi obblighi di legge. Un eventuale rifiuto di fornire i suddetti dati comporterebbe l'impossibilità per il Titolare di costituire con Lei un qualsiasi rapporto di lavoro o di dare corretta esecuzione allo stesso.

Per quanto riguarda le “categorie particolari” dei dati di cui all’art. 9 del RGPD, un suo eventuale rifiuto al conferimento degli stessi potrebbe impedire al Titolare di concederle determinati benefici previsti dalla legge o dal contratto di lavoro, potrebbe impedire la soddisfazione di eventuali Sue richieste legalmente motivate (ad esempio, anticipazione del trattamento di fine rapporto), o potrebbe comportare l’impossibilità per Lei di godere di diritti previsti dal nostro ordinamento (quali il diritto ad aderire a sindacati e partiti politici, partecipando all’attività degli stessi ed effettuando versamenti agli stessi, il diritto di ottenere permessi ed aspettative per cariche politiche o sindacali, ecc.).

Con particolare riferimento ai dati personali dei Suoi familiari da Lei forniti, si impegna a garantire sin da ora – assumendosene ogni connessa responsabilità – che tale particolare ipotesi di trattamento si fonda su un’idonea base giuridica ai sensi dell’art. 6 del RGPD che legittima il trattamento delle informazioni in questione.

4. DESTINATARI E TRASFERIMENTO DI DATI PERSONALI

I Suoi dati personali potranno essere condivisi con:

a)            soggetti delegati e/o incaricati dal Titolare – i.e. società o studi professionali che prestano attività di assistenza e consulenza alla Società nel settore dell’elaborazione paghe e contributi e per il perseguimento di finalità inerenti al rapporto di lavoro, nonché consulenti fiscali e legali -  di svolgere attività strettamente correlate al perseguimento delle finalità sopra indicate, giustamente nominati responsabili del trattamento;

b)            persone autorizzate dall’Ente Nazionale per il Microcredito al trattamento di dati personali che si sono impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

d)            clienti, fornitori, limitatamente al perseguimento di finalità inerenti allo svolgimento di attività funzionali al business della società;

e)            soggetti, enti od autorità a cui la comunicazione dei Suoi dati personali sia obbligatoria in forza di disposizioni di legge o di regolamento o di ordini delle autorità.

Al di fuori delle suindicate ipotesi, i Suoi dati non saranno oggetto di comunicazione se non nei confronti di soggetti, enti o Autorità verso cui la comunicazione sia obbligatoria in forza di disposizioni di legge o di regolamento.

MODALITÀ DEL TRATTAMENTO

La informiamo che i dati personali verranno trattati manualmente e/o con il supporto di mezzi informatici o telematici da persone autorizzate al trattamento dal titolare. Inoltre, i Suoi dati personali potranno essere trattati dalla società addetta al servizio di reception, in qualità di Responsabile del trattamento ai sensi dell’articolo 28 del GDPR. 

TRASFERIMENTO DEI DATI PERSONALI

I Suoi dati personali non saranno trasferiti all’estero.

PERIODO DI CONSERVAZIONE DEI DATI PERSONALI

I Suoi dati Personali, anche appartenenti a "categorie particolari" di dati, saranno trattati con strumenti automatizzati e non, e saranno conservati per il tempo necessario al perseguimento delle finalità concretamente perseguite e in relazione al rapporto di lavoro e, comunque, per un periodo non superiore a dieci anni successivi alla cessazione del rapporto di lavoro.

DIRITTI DELL’INTERESSATO

Lei potrà esercitare i diritti previsti dagli articoli da 15 a 22 del GDPR applicabili, consistenti nel:

-    diritto di ottenere dal Titolare la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso ai dati personali e alle informazioni di cui all’art. 15 del GDPR;

-    diritto di rettifica dei dati personali inesatti che La riguardano e di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa, ex art. 16 del GDPR;

-    diritto di ottenere dal Titolare la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo, ove ricorrano uno dei motivi di cui all’art. 17 del GDPR;

-    diritto di ottenere dal Titolare la limitazione del trattamento quando ricorre una delle ipotesi previste dall’art. 18 del GDPR. 

Tali diritti potranno essere esercitati inviando un’e-mail all’indirizzo di posta elettronica privacy@microcredito.gov.it, all’attenzione del Data Protection Officer dell’ENM.

Inoltre, il Titolare Le ricorda che Lei potrà sempre esercitare un diritto di reclamo nei confronti dell’Autorità Garante per la protezione dei dati personali.