In merito all' utilizzo servizi cloud gratuiti e device personali, al fine di aumentare la sicurezza informatica, è lecito bloccare tali servizi e l’utilizzo di device personali, al fine di proteggere dai vari pericoli informatici il patrimonio informativo comunale, e è lecito invitare i colleghi ad utilizzare esclusivamente gli strumenti messi a disposizione dell’Ente?
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Dalla formulazione del quesito e dalle premesse di fatto, si deduce, in diritto, quanto segue:
La materia oggetto del quesito risulta disciplinata dalle seguenti fonti normative e/o regolamentari:
- Misure minime di Sicurezza AGID
- "Modulo di implementazione" allegato alla Circolare 18 aprile 2017, n. 2/2017;
- Codice dell'Amministrazione Digitale decreto legislativo 7 marzo 2005, n. 82
- il Regolamento Europeo 679/16 “General Data Protection Regulation” (d’ora in avanti Reg. 679/16 o GDPR); in particolare viene garantito al singolo lavoratore il controllo sui propri dati personali secondo quanto previsto dagli articoli 15-16-17-18-20-21-77 del Reg. 2016/679;
- le “Linee guida del Garante per posta elettronica e internet” in Gazzetta Ufficiale n. 58 del 10 marzo 2007;
- l’articolo 23 del D.lgs. n. 151/2015 (c.d. Jobs Act) che modifica e rimodula la fattispecie integrante il divieto dei controlli a distanza, nella consapevolezza di dover tener conto, nell’attuale contesto produttivo, oltre agli impianti audiovisivi, anche degli altri strumenti «dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori» e di quelli «utilizzati dal lavoratore per rendere la prestazione lavorativa».
- la Legge 20.5.1970, n. 300, recante “Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e dell’attività sindacale nei luoghi di lavoro e norme sul collocamento”; in particolare l’art. 4, comma 1, della Legge 300/1970, secondo cui la regolamentazione dell’uso degli strumenti informatici non è finalizzata all’esercizio di un controllo a distanza dei lavoratori da parte del datore di lavoro ma solo a permettere a quest’ultimo di utilizzare sistemi informativi per fare fronte ad esigenze produttive od organizzative e di sicurezza nel trattamento dei dati personali;
Dal quadro normativo in precedenza delineato si ricava, nel merito, quanto segue.
Il Garante per la protezione dei dati personali raccomanda, innanzitutto, l’adozione da parte dei datori di lavoro pubblici (e privati) di un regolamento interno, definito con il coinvolgimento delle rappresentanze sindacali e nel rispetto della Legge 20.05.1970, n. 300 (Statuto dei lavoratori), del Regolamento (UE) n. 2016/679 (GDPR) e del Decreto Legislativo 30.06.2003, n. 196 (Codice in materia di protezione dei dati personali come modificato dal D.Lgs 101/2018).Nel regolamento è necessario specificare che tutti gli strumenti utilizzati dal lavoratore, quali PC, notebook, tablet, smartphone, e-mail ed altri strumenti (di seguito più semplicemente “strumenti informatici”), sono messi a disposizione dall’Ente unicamente per svolgere la propria attività lavorativa.Nell’utilizzare gli strumenti informatici messi a disposizione dall’ente il dipendente è tenuto ad usare la massima diligenza, nel rispetto degli obblighi di cui agli articoli 2104 e 2105 del codice civile, utilizzandoli esclusivamente per ragioni di servizio. Comportamenti difformi possono causare gravi rischi alla sicurezza ed all’integrità dei sistemi aziendali e possono essere oggetto di valutazione da un punto di vista disciplinare oltre che da un punto di vista penale.La diligenza è estesa anche alla attuazione delle misure minime di sicurezza AGID che, con riferimento ai comportamenti descritti nel quesito, determinano quanto segue. L'accesso alla rete messa a disposizione dall'Ente non può essere utilizzata per l'esame delle e-mail personali tramite webmail (gmail, outlook.com, libero mail, tiscali mail ecc..), in quanto ciò comporta rischi per la sicurezza dei dati trattati dall'Ente (e i recenti e sempre più frequenti attacchi hacker con ransomware ne sono un esempio). Non devono essere utilizzati servizi cloud storage come google drive, dropbox, onedrive ecc. se non creati direttamente dall'Ente e da questi controllati e gestiti (solo cloud certificato da AGID e presente nel market place di AGID);Non devono essere utilizzati notebook personali e pendrive personali per l'accesso alla rete dell'Ente, come indicato nelle misure ABSCID 1 e 2 della Misure Minime di sicurezza AGID. Al riguardo, si ricorda che sussiste l'obbligo di adeguamento alle misure minime a cura del responsabile della struttura per l'organizzazione, l'innovazione e le tecnologie, come indicato nel CAD (art. 17 ) o, in sua assenza, del dirigente designato. Il dirigente responsabile dell'attuazione deve compilare e firmare digitalmente il "Modulo di implementazione" allegato alla Circolare 18 aprile 2017, n. 2/2017.