Codice Etico

“Ognuno vale quanto le cose a cui da importanza.”

Marco Aurelio

Introduzione

Il presente regolamento adottato da Genetica Group Srl (di seguito “Genetica”) è un insieme di principi e di regole la cui osservanza è di fondamentale importanza per il buon funzionamento e il miglioramento dell’affidabilità dell’azienda. Genetica è consapevole dell’importanza dei dati trattati e per questo motivo ha deciso di creare un documento attraverso cui l’azienda:

  • chiarisse le proprie responsabilità etiche e sociali versi i diversi portatori di interessi interni ed esterni;
  • definisse le modalità ed i principi adottati all’interno nel trattamento dei dati personali.

L’adozione del presente codice ha come obiettivo principale quello di definire in modo dettagliato il trattamento corretto delle informazioni con cui l’azienda viene in contatto e soddisfare le necessità e le aspettative dei vari interlocutori. Promuovendo un alto livello di professionalità, l’azienda vuole evitare quei comportamenti che si pongono in contrasto non solo con le disposizioni normative in materia di trattamento delle informazioni e dati personali, ma anche con i valori che l’azienda intende promuovere.

Il comportamento individuale e collettivo dei dipendenti e collaboratori di Genetica deve dunque essere in armonia con le politiche aziendali nonchènonché con i valori promossi. Tale comportamento si traduce concretamente in consapevolezza, responsabilità e rispetto dei principi caratterizzanti il trattamento delle informazioni raccolte e di dati personali. L’adozione di questo codice completa ed arricchisce le norme contenute nel regolamento aziendale, e più precisamente nel regolamento aziendale per l’utilizzo del sistema informatico.

DESTINATARI

Tale codice è diretto a tutti coloro che, dipendenti o collaboratori, instaurino con l’azienda rapporti anche su base temporanea. Genetica ritiene essenziale per il rapporto in essere con i destinatari del codice che esso venga rispettato e considera la violazione dei principi contenuti come una lesione di tale rapporto. La conoscenza di tale codice deve essere promossa e favorita da tutti i collaboratori. L’azienda auspica che i destinatari si riconoscano nei principi sui cui si fonda il codice etico, che li condividano e li applichino come base per un rapporto di fiducia reciproca.

Principi etici generali e missione dell’azienda

I principi su cui si basa il codice etico aziendale nel trattamento delle informazioni sono i seguenti:

  • comportamento eticamente corretto e conforme alle leggi vigenti dell’azienda e dei suoi diversi interlocutori;
  • affidabilità, lealtà dei dipendenti e collaboratori nei confronti dell’azienda;
  • correttezza, cortesia e rispetto nei rapporti fra colleghi;
  • sensibilizzazione dei dipendenti e collaboratori in ambito privacy e sicurezza delle informazioni.
  • professionalità e diligenza professionale;
  • rispetto dell’ambiente e della salute e sicurezza dei dipendenti e
  • collaboratori.

Compito dell’azienda sarà dare concretezza ai principi contenuti rafforzando la fiducia, la coesione e lo spirito aziendale sia verso l’interno che verso l’esterno. Si impegna perciò in azioni di formazione ed informazione finalizzate alla:

  • promozione e rafforzamento della cultura d’impresa in relazione ai valori enunciati;
  • divulgare le norme, le procedure e le prassi a cui attenersi;
  • sensibilizzazione dei soggetti che trattano informazioni aziendali.

Gli standard etici di comportamento che l’azienda intende perseguire sono i seguenti:

  • equità ed uguaglianza;
  • diligenza, trasparenza, onestà, riservatezza e imparzialità;
  • tutela della persona e dell’ambiente.

Verhaltensregeln und -standards

Genetica si impegna a garantire:

IMPARZIALITÀ

offrire pari opportunità di lavoro a tutti i dipendenti e collaboratori sulla base delle qualifiche professionali e delle capacità di rendimento, senza discriminazioni basate su etnia, religione, opinioni, nazionalità, sesso, età, condizioni fisiche e sociali;

PRIVACY

l’azienda nel normale svolgimento dei suoi servizi è portata a trattare numerosi dati personali riferiti sia a soggetti interni sia a soggetti esterni;

RESPONSABILITÀ

fornire la prestazione contrattualizzata, coerentemente con i compiti, gli obiettivi e le responsabilità assegnate, senza delegare ad altri dipendenti o collaboratori il compimento di attività o l’adozione di decisioni di propria spettanza;

DILIGENZA

se dipendenti, rispettare l’orario di lavoro, salvo giustificato motivo; limitare le assenze dal luogo di lavoro a quelle strettamente necessarie; dedicare le adeguate risorse, in termini di tempo e dedizione ai compiti assegnati per il perseguimento dei relativi obiettivi, se collaboratori;

RISPETTO

adottare un comportamento rispettoso e sensibile verso gli altri, evitando di prestare servizio sotto l’effetto di sostanze alcoliche, stupefacenti o di analogo effetto e di consumare o cedere a qualsiasi titolo sostanze siffatte durante la prestazione lavorativa;

CLIMA AZIENDALE

contribuire alla creazione di un clima professionale in cui tutti i colleghi si sentano coinvolti positivamente nel raggiungimento degli obiettivi aziendali;

ONESTÀ

impiegare i beni e le risorse messi a disposizione nel rispetto della loro destinazione aziendale d’uso ed in modo da tutelarne la conservazione e la funzionalità, in quanto ogni destinatario è considerato direttamente e personalmente responsabile della protezione e della conservazione dei beni e delle risorse a lui affidate per lo svolgimento delle proprie mansioni; pertanto i dipendenti si impegnino anche a non utilizzare le linee telefoniche dell’ufficio per esigenze personali, salvo casi di emergenza, e si attengano alle disposizioni impartite per l’utilizzo del sistema informatico per l’utilizzo di Internet e della posta elettronica; si impegnano inoltre a non utilizzare i veicoli aziendali per svolgimento di compiti personali e a non trasportare persone estranee all’azienda, salvo espressa autorizzazione della stessa;

Regolamento privacy

Regolamento riguardante il trattamento dei dati personali.

La progressiva diffusione delle nuove tecnologie informatiche e, in particolare, il libero accesso alla rete Internet dai Personal Computer, espone Genetica (di seguito anche “la società” o “l’ente”) e i collaboratori a rischi di natura patrimoniale, oltre alle responsabilità penali conseguenti alla violazione di specifiche disposizioni di legge, creando evidenti problemi alla sicurezza ed all’immagine dell’Azienda stessa.

Premesso quindi che l’utilizzo delle risorse informatiche e telematiche deve sempre ispirarsi al principio della diligenza e correttezza, comportamenti che normalmente si adottano nell’ambito dei rapporti di lavoro, Genetica ha adottato un Regolamento interno diretto ad evitare che comportamenti inconsapevoli possano innescare problemi o minacce alla Sicurezza nel trattamento dei dati.

All’inizio del rapporto lavorativo, l’azienda valuta la presenza dei presupposti per l’autorizzazione all’uso dei vari device aziendali, di internet e della posta elettronica da parte degli incaricati. Le eventuali esclusioni sono strettamente connesse al principio della natura aziendale e lavorativa degli strumenti informatici nonché al principio di necessità. Più specificatamente hanno diritto all’utilizzo degli strumenti e ai relativi accessi solo gli incaricati che, per funzioni lavorative, ne abbiano un effettivo e concreto bisogno.

Si informa che tali esclusioni sono divenute necessarie alla luce del Provvedimento del Garante 1° marzo 2007 [doc. web n. 1387522] (consultabile al https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb- display/docweb/1387522) che indica di ridurre a titolo cautelativo e preventivo l’utilizzo degli strumenti informatici in considerazione dei pericoli e delle minacce indicate in questo documento.

Genetica è esclusiva titolare e proprietaria dei device messi a disposizione degli incaricati ai soli fini dell’attività lavorativa e/o per specifiche autorizzazioni.

La società è l’unica esclusiva titolare e proprietaria di tutte le informazioni, le registrazioni ed i dati contenuti e/o trattati mediante i propri device digitali o archiviati in modo cartaceo nei propri locali.

L’incaricato non può presumere o ritenere che le informazioni, le registrazioni ed i dati da lui trattati o memorizzati nei device aziendali (inclusi i messaggi di posta elettronica e/o chat inviati o ricevuti, i file di immagini, i files di filmati o altre tipologie di files) siano privati o personali, né può presumere che dati cartacei in suo possesso possano essere da lui copiati, comunicati o diffusi senza l’autorizzazione dell’organizzazione. Senza preventiva autorizzazione del Titolare non è permesso realizzare nuovi ed autonomi archivi, né effettuare strutturazioni di dati personali e/o profilature e/o trattamenti automatizzati, con finalità diverse da quelle già previste.

DEFINIZIONI

a) GDPR (General Data Protection Regulation): regolamento dell’Unione europea 679/2016 in materia di trattamento dei dati personali e di privacy.

b) NDA: non-disclosure agreement, ovvero accordo di non divulgazione, è un negozio giuridico che designa informazioni confidenziali e con il quale le parti si impegnano a mantenerle segrete.

c) Dato personale: qualsiasi informazione riguardante una personafisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

d) Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali: la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

e) Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

f) Responsabile del trattamento: lapersona fisica o giuridica,l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

g) Incaricato: ogni dipendente ed ogni consulente esterno che, nell’ambito dell’attività assegnatagli, tratta dati (nell’accezione del capitolo seguente) riferiti alla società.

h) Dipendente: personale dell’ente assunto con qualsiasi tipo di forma contrattuale, anche in stage o tirocinio.

i) Rischio: effetto dell’incertezza sugli obiettivi (ISO/IEC 27000).

j) Asset (bene): qualsiasi cosa abbia valore per l’azienda (ISO/IEC 27000).

k) Minaccia: causa potenziale di un incidente, che può comportare danni ad un sistema o all’organizzazione (ISO/IEC 27000).

Il nuovo regolamento si applica a tutti i dipendenti, senza distinzione di ruolo e/o livello, nonché a tutti i collaboratori dell’azienda a prescindere dal rapporto contrattuale con la stessa intrattenuto.

I device consegnati sono uno strumento di lavoro che in quanto tale deve essere utilizzato per il solo fine lavorativo. Tali device non devono dunque essere utilizzati per finalità private e/o diverse da quelle aziendali, se non in casi prettamente eccezionali e previo accordo con il Titolare. Qualsiasi eventuale tolleranza da parte della società, apparente o effettiva, non legittima comportamenti contrari alle istruzioni contenute nel presente regolamento.

Ai fini delle disposizioni dettate per l’utilizzo delle risorse informatiche e telematiche, per “utente” deve intendersi ogni dipendente.

UTILIZZO PERSONAL COMPUTER

Il Personal Computer affidato al collaboratore è uno strumento di lavoro. Ogni utilizzo non inerente all’attività lavorativa è vietato perché può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza. Il Personal Computer deve essere custodito con cura evitando ogni possibile forma di danneggiamento. Il computer consegnato è uno strumento di lavoro e contiene tutti i software necessari a svolgere le attività affidate. Per necessità aziendali, gli amministratori di sistema utilizzando la propria login con privilegi di amministratore e la password dell’amministratore, potranno accedere, con le regole indicate nel presente documento, sia alle memoria di massa locali di rete (repository e backup) che ai server aziendali nonché, previa comunicazione al dipendente, accedere al computer, anche in remoto.

Il Personal Computer dato in affidamento al collaboratore permette l’accesso alla rete di Genetica Group solo attraverso specifiche credenziali di autenticazione come meglio descritto successivamente nel presente Regolamento.

Genetica rende noto che il personale incaricato che opera presso il servizio Information and Communication Technology (nel seguito per brevità “Servizio ICT”) della stessa è stato autorizzato a compiere interventi nel sistema informatico aziendale diretti a garantire la sicurezza e la salvaguardia del sistema stesso, nonché per ulteriori motivi tecnici e/o manutentivi (ad es. aggiornamento/sostituzione/implementazione di programmi, manutenzione hardware etc.). Detti interventi, in considerazione dei divieti posti da Genetica potranno anche comportare l’accesso in qualunque momento, ai dati trattati da ciascuno, ivi compresi gli archivi di posta elettronica, nonché alla verifica sui siti internet acceduti dagli utenti abilitati alla navigazione esterna. La stessa facoltà, sempre ai fini della sicurezza del sistema e per garantire la normale operatività dell’Azienda, si applica anche in caso di assenza prolungata o impedimento del collaboratore.

Il personale incaricato del Servizio ICT ha la facoltà di collegarsi e visualizzare

in remoto il desktop delle singole postazioni PC al fine di garantire l’assistenza tecnica e la normale attività operativa nonché la massima sicurezza contro virus, spyware, malware, etc. L’intervento viene effettuato esclusivamente su chiamata dell’utente o, in caso di oggettiva necessità, a seguito della rilevazione tecnica di problemi nel sistema informatico e telematico. In quest’ultimo caso, e sempre che non si pregiudichi la necessaria tempestività ed efficacia dell’intervento, verrà data comunicazione della necessità dell’intervento stesso.

Non è consentito l’uso di programmi diversi da quelli ufficialmente installati dal personale del Servizio ICT per conto di Genetica né viene consentito ai collaboratori di installare autonomamente programmi provenienti dall’esterno, sussistendo infatti il grave pericolo di introdurre Virus informatici e/o di alterare la funzionalità delle applicazioni software esistenti. L’inosservanza della presente disposizione espone la stessa Genetica a gravi responsabilità civili; si evidenzia inoltre che le violazioni della normativa a tutela dei diritti d’autore sul software che impone la presenza nel sistema di software regolarmente licenziato, o comunque libero e quindi non protetto dal diritto d’autore, vengono sanzionate, anche penalmente. Salvo preventiva espressa autorizzazione del personale del Servizio ICT, non è consentito all’utente modificare le caratteristiche impostate sul proprio PC né procedere ad installare dispositivi di memorizzazione, comunicazione o altro (come ad esempio masterizzatori, modem, … ).

Ogni collaboratore deve prestare la massima attenzione ai supporti di origine esterna, avvertendo immediatamente il personale del Servizio ICT nel caso in cui siano rilevati virus ed adottando quanto previsto successivamente nel presente Regolamento.

Il Personal Computer deve essere spento ogni sera prima di lasciare gli uffici o in caso di assenze prolungate dall’ufficio o in caso di suo inutilizzo. In ogni caso, lasciare un elaboratore incustodito connesso alla rete può essere causa di utilizzo da parte di terzi senza che vi sia la possibilità di provarne in seguito l’indebito uso.

Il “Login” è l’operazione attraverso la quale l’incaricato si connette al sistema informativo aziendale o ad una sola parte di esso. Dichiarando le proprie credenziali (Username e Password), il dipendente apre una sessione di lavoro. Il “Logout” è l’operazione con cui viene chiusa la sessione di lavoro. Al termine della giornata lavorativa, l’incaricato deve accertarsi di aver chiuso tutte le applicazioni secondo le regole previste dall’applicazione stessa. La non corretta chiusura può provocare una perdita di dati o l’accesso agli stessi da parte di persone non autorizzate. Il “blocco del computer” è l’operazione con cui viene impedito l’accesso alla sessione di lavoro (tastiera e schermo disattivati) senza chiuderla L’utilizzo dei dispositivi fisici e la gestione dei dati ivi contenuti devono svolgersi nel rispetto della sicurezza e dell’integrità del patrimonio dati aziendale.

L’incaricato deve quindi eseguire le operazioni seguenti:

1. Se si allontana dalla propria postazione dovrà mettere in protezione il suo device affinché persone non autorizzate non abbiano accesso ai dati protetti.

2. Bloccare il suo device prima delle pause e, in generale, ogni qualvolta abbia bisogno di allontanarsi dalla propria postazione;

3. Chiudere la sessione (Logout) a fine giornata;

4. Spegnere il PC dopo il Logout;

5. Controllare sempre che non vi siano persone non autorizzate alle sue spalle che possano prendere visione delle schermate del suo device.

GESTIONE CREDENZIALI DI AUTENTICAZIONE

Le credenziali di autenticazione per l’accesso alla rete vengono assegnate dal personale del Servizio ICT, previa formale richiesta del Responsabile dell’ufficio/area nell’ambito del quale verrà inserito ed andrà ad operare il nuovo utente. Nel caso di collaboratori a progetto e coordinati e continuativi la preventiva richiesta, se necessaria, verrà inoltrata direttamente dal Responsabile dell’ufficio/area con il quale il collaboratore si coordina nell’espletamento del proprio incarico.

Le credenziali di autenticazione consistono in un codice per l’identificazione dell’utente (user id), assegnato dal Servizio ICT, associato ad una parola chiave (password) riservata che dovrà venir custodita dall’incaricato con la massima diligenza e non divulgata. Non è consentita l’attivazione della password di accensione (bios), senza preventiva autorizzazione da parte del Servizio ICT.

La parola chiave, formata da lettere (maiuscole o minuscole) e/o numeri, anche in combinazione fra loro, deve essere composta da almeno otto caratteri e non deve contenere riferimenti agevolmente riconducibili all’incaricato.

È necessario procedere alla modifica della parola chiave a cura dell’utente, incaricato del trattamento, al primo utilizzo e, successivamente, almeno ogni sei mesi (Ogni tre mesi nel caso invece di trattamento di dati sensibili attraverso l’ausilio di strumenti elettronici).

Qualora la parola chiave dovesse venir sostituita, per decorso del termine sopra previsto e/o in quanto abbia perduto la propria riservatezza, si procederà in tal senso d’intesa con il personale del Servizio ICT.

UTILIZZO DELLA RETE GENETICA GROUP

Per l’accesso alla rete di Genetica ciascun utente deve essere in possesso della specifica credenziale di autenticazione.

È assolutamente proibito entrare nella rete e nei programmi con un codice d’identificazione utente diverso da quello assegnato. Le parole chiavi d’ingresso alla rete ed ai programmi sono segrete e vanno comunicate e gestite secondo le procedure impartite.

Le cartelle utenti presenti nei server di Genetica sono aree di condivisione di informazioni strettamente professionali e non possono in alcun modo essere utilizzate per scopi diversi.

Pertanto, qualunque file che non sia legato all’attività lavorativa non può essere dislocato, nemmeno per brevi periodi, in queste unità. Su queste unità vengono svolte regolari attività di controllo, amministrazione e back up da parte del personale del Servizio ICT. Si ricorda che tutti i dischi o altre unità di memorizzazione locali (es. disco C: interno PC) non sono soggette a salvataggio da parte del personale incaricato del Servizio ICT. La responsabilità del salvataggio dei dati ivi contenuti è pertanto a carico del singolo utente.Il personale del Servizio ICT può in qualunque momento procedere alla rimozione di ogni file o applicazione che riterrà essere pericolosi per la sicurezza sia sui PC degli incaricati sia sulle unità di rete.

Risulta opportuno che, con regolare periodicità (almeno ogni tre mesi), ciascun utente provveda alla pulizia degli archivi, con cancellazione dei file obsoleti o inutili. Particolare attenzione deve essere prestata alla duplicazione dei dati, essendo infatti necessario evitare un’archiviazione ridondante.

UTILIZZO E CONSERVAZIONI DEI SUPPORTI REMOVIBILI

Tutti i supporti magnetici rimovibili (dischetti, CD e DVD riscrivibili, supporti USB, ecc.), contenenti dati sensibili nonché informazioni costituenti know-how aziendale, devono essere trattati con particolare cautela onde evitare che il loro contenuto possa essere trafugato o alterato e/o distrutto o, successivamente alla cancellazione, recuperato.

Al fine di assicurare la distruzione e/o inutilizzabilità di supporti magnetici rimovibili contenenti dati sensibili, ciascun utente dovrà contattare il personale del Servizio ICT e seguire le istruzioni da questo impartite.

In ogni caso, i supporti magnetici contenenti dati sensibili devono essere dagli utenti adeguatamente custoditi in armadi chiusi.

È vietato l’utilizzo di supporti rimovibili personali.

L’utente è responsabile della custodia dei supporti e dei dati aziendali in essi contenuti.

UTILIZZO PC PORTATILI

Il computer portatile, il tablet e il cellulare (di seguito generalizzati in “device mobile”) possono venire concessi in uso dall’organizzazione agli incaricati che durante gli spostamenti necessitino di disporre di archivi elettronici, supporti di automazione e/o di connessione alla rete dell’organizzazione. L’incaricato è responsabile dei device mobili assegnati e deve custodirli con diligenza sia durante gli spostamenti sia durante l’utilizzo nel luogo di lavoro. Ai device mobili si applicano le regole di utilizzo previste per i computer connessi in rete, con particolare attenzione alla rimozione di eventuali file elaborati sullo stesso prima della riconsegna. In particolare, i file creati o modificati sui device mobili devono essere trasferiti sulle memorie di massa aziendali al primo rientro in ufficio e cancellati in modo definitivo dai device mobili (Wiping).Sui device mobili è vietato installare applicazioni (anche gratuite) se non espressamente autorizzate dall’ente. I device mobili utilizzati all’esterno (convegni, visite in azienda, ecc…), in caso di allontanamento, devono essere custoditi in un luogo protetto. In caso di perdita o furto dei device mobili deve far seguito la denuncia alle autorità competenti. Allo scopo si deve avvisare immediatamente l’ente che provvederà – se del caso – ad occuparsi delle procedure connesse alla privacy. Anche di giorno, durante l’orario di lavoro, all’Incaricato non è consentito lasciare incustoditi i device mobili. All’incaricato è vietato lasciare i device mobili incustoditi e a vista dentro l’auto o in una stanza d’albergo o nell’atrio dell’albergo o nelle sale d’attesa delle stazioni ferroviarie e aeroportuali. I device mobili che permettono l’attivazione di una procedura di protezione (PIN) devono sempre essere abilitabili solo con la digitazione del PIN stesso e non possono essere lasciati privi di PIN. Laddove il device mobile sia accompagnato da un’utenza, l’Incaricato è chiamato ad informarsi preventivamente dei vincoli ad essa associati (es. numero minuti massimo, totale gigabyte dati, …) e a rispettarli. Qualora esigenze lavorative richiedessero requirements differenti l’Incaricato è tenuto ad informare tempestivamente e preventivamente l’ente. In relazione alle utenze mobili, salvo autorizzazione dell’organizzazione, è espressamente vietato ogni utilizzo all’esterno e anche in caso di autorizzazione dell’organizzazione, gli utilizzi all’esterno devono essere preventivamente comunicati all’organizzazione per permettere l’attivazione di opportuni contratti di copertura con l’operatore mobile di riferimento.

USO DELLA POSTA ELETTRONICA

La casella di posta elettronica assegnata all’utente è uno strumento di lavoro. Le persone assegnatarie delle caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse.

Solo in casi eccezionali, comunque sempre applicando il buon senso, è consentito utilizzare, le caselle di posta elettronica per motivi diversi da quelli strettamente legati all’attività lavorativa. In questo senso, a titolo puramente esemplificativo, l’utente non potrà utilizzare la posta elettronica per:

L’invio e/o il ricevimento di allegati contenenti filmati o brani musicali (es.mp3) non legati all’attività lavorativa;

L’invio e/o il ricevimento di messaggi personali o per la partecipazione a dibattiti, aste on-line, concorsi, forum o mailing-list;

La partecipazione a catene telematiche. Se si dovessero peraltro ricevere messaggi di tale tipo, lo si deve comunicar immediatamente al personale del Servizio ICT. Non si dovrà in alcun caso procedere all’apertura degli allegati a tali messaggi.

La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili e soprattutto allegati ingombranti. Ogni comunicazione inviata o ricevuta che abbia contenuti rilevanti o contenga impegni contrattuali o precontrattuali per la Genetica Group ovvero contenga documenti da considerarsi riservati in quanto contraddistinti dalla dicitura “strettamente riservati” o da analoga dicitura, deve essere visionata od autorizzata dal Responsabile d’ufficio.

È obbligatorio porre la massima attenzione nell’aprire i file allegati di posta elettronica prima del loro utilizzo (non eseguire scarichi di file eseguibili o documenti da siti Web o Ftp non conosciuti).

Al fine di garantire la funzionalità del servizio di posta elettronica aziendale e di ridurre al minimo l’accesso ai dati, nel rispetto del principio di necessità e di proporzionalità, il sistema, in caso di assenze programmate (ad es. per ferie o attività di lavoro fuori sede dell’assegnatario della casella) invierà automaticamente messaggi di risposta contenenti le “coordinate” di posta elettronica di un altro soggetto o altre utili modalità di contatto della struttura. In tal caso, la funzionalità deve essere attivata dall’utente.

In caso di assenza non programmata (ad es. per malattia) la procedura – qualora non possa essere attivata dal lavoratore avvalendosi del servizio webmail entro due giorni – verrà attivata, in caso di oggettiva necessità, a cura dell’azienda. Sarà comunque consentito al superiore gerarchico dell’utente o, comunque, sentito l’utente, a persona individuata dall’azienda, accedere alla casella di posta elettronica dell’utente per ogni ipotesi in cui si renda necessario.

Il personale del servizio ICT, nell’impossibilità di procedere come sopra indicato e nella necessità di non pregiudicare la necessaria tempestività ed efficacia dell’intervento, potrà accedere alla casella di posta elettronica per le sole finalità indicate precedentemente.

NAVIGAZIONE INTERNET

Il PC assegnato al singolo utente ed abilitato alla navigazione in Internet costituisce uno strumento aziendale utilizzabile esclusivamente per lo svolgimento della propria attività lavorativa.

È quindi assolutamente proibita la navigazione in Internet per motivi diversi da quelli strettamente legati all’attività lavorativa.In questo senso, a titolo puramente esemplificativo, l’utente non potrà utilizzare internet per:

l’upload o il download di software gratuiti (freeware) e shareware, nonché l’utilizzo di documenti provenienti da siti web o http, se non strettamente attinenti all’attività lavorativa (filmati e musica) e previa verifica dell’attendibilità dei siti in questione (nel caso di dubbio, dovrà venir a tal fine contattato il personale del Servizio ICT);

l’effettuazione di ogni genere di transazione finanziaria, ivi comprese le operazioni di remote banking, acquisti on-line e simili, fatti salvi i casi direttamente autorizzati dalla Direzione Generale (o eventualmente dal Responsabile d’ufficio e/o del Servizio ICT) e comunque nel rispetto delle normali procedure di acquisto;

ogni forma di registrazione a siti i cui contenuti non siano strettamente legati all’attività lavorativa;

la partecipazione a Forum non professionali, l’utilizzo di chat line (esclusi gli strumenti autorizzati), di bacheche elettroniche e le registrazioni in guest books anche utilizzando pseudonimi (o nicknames) se non espressamente autorizzati dal Responsabile d’ufficio;

è vietata la navigazione nei siti che possono rivelare le opinioni politiche religiose,

sindacali e di salute dell’Incaricato poiché potenzialmente idonea a rivelare dati sensibili ai sensi della normativa vigente in ambito privacy.

è vietata la memorizzazione di documenti informatici di natura oltraggiosa, diffamatoria e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica.

Ogni eventuale navigazione di questo tipo, comportando un illegittimo utilizzo di Internet, nonché un possibile illecito trattamento di dati personali e sensibili è posta sotto la personale responsabilità dell’Incaricato inadempiente.

Al fine di evitare la navigazione in siti non pertinenti all’attività lavorativa, Genetica Group rende peraltro nota l’adozione di uno specifico sistema di blocco o filtro automatico che prevengano determinate operazioni quali l’upload o l’accesso a determinati siti inseriti in una black-list. È vietato accedere ad alcuni siti internet manomettendo i filtri, sabotando o comunque superando o tentando di superare o disabilitando i sistemi adottati dall’azienda per bloccare accessi non conformi all’attività lavorativa.È vietato utilizzare l’accesso ad internet in violazione delle norme in vigore nell’ordinamento giuridico italiano a tutela del diritto d’autore (es. legge 22 aprile 1941, n. 633 e successive modificazioni, d.lgs. 6 maggio 1999, n. 169 e legge 18 agosto 2000, n. 248). In particolare, è vietato il download di materiale soggetto a copyright (testi, immagini, musica, filmati, file in genere, …) se non espressamente autorizzato dall’organizzazione. (salvo che non avvenga in maniera lecita, previa autorizzazione dell’organizzazione stessa.)

Gli eventuali controlli, compiuti dal personale incaricato del Servizio ICT, potranno avvenire mediante un sistema di controllo dei contenuti (Proxy server) o mediante “file di log” della navigazione svolta. Il controllo sui file di log non è continuativo.

PROTEZIONE ANTIVIRUS

Il sistema informatico d Genetica è protetto da software antivirus aggiornato settimanalmente. Ogni utente deve comunque tenere comportamenti tali da ridurre il rischio di attacco al sistema informatico aziendale mediante virus o mediante ogni altro software aggressivo.

Nel caso il software antivirus rilevi la presenza di un virus, l’utente dovrà immediatamente sospendere ogni elaborazione in corso senza spegnere il computer nonché segnalare prontamente l’accaduto al personale del Servizio ICT.

I virus possono essere trasmessi tramite scambio di file via internet, via mail, scambio di supporti rimovibili, filesharing, chat, via mail. La società impone su tutte le postazioni di lavoro l’utilizzo di un sistema antivirus correttamente installato, attivato continuamente e aggiornato automaticamente con frequenza almeno quotidiana.

L’incaricato, da parte sua, deve impegnarsi a controllare il corretto funzionamento e aggiornamento del sistema antivirus installato sul proprio computer, e, in particolare, deve rispettare le regole seguenti:

Comunicareall’aziendaognianomaliaomalfunzionamentodelsistema antivirus;

Comunicare all’azienda eventuali segnalazioni di presenza di virus o file sospetti.

Inoltre, all’incaricato:

a. È vietato accedere alla rete aziendale senza servizio antivirus attivo e aggiornato sulla propria postazione;

b. È vietato ostacolare l’azione dell’antivirus aziendale;

c. È vietato disattivare l’antivirus senza l’autorizzazione espressa dell’ente anche e soprattutto nel caso sia richiesto per l’installazione di software sul computer;

d. È vietato aprire allegati di mail provenienti da mittenti sconosciuti o di dubbia provenienza o allegati di mail di persone conosciute ma con testi inspiegabili o in qualche modo strani.

Oltre che per motivi di sicurezza del sistema informatico, anche per motivi tecnici e/o manutentivi (ad esempio, aggiornamento/sostituzione/implementazione di programmi, manutenzione hardware, etc.) o per finalità di controllo e programmazione dei costi aziendali (ad esempio, verifica costi di connessione ad internet, traffico telefonico, etc.), comunque estranei a qualsiasi finalità di controllo dell’attività lavorativa, è facoltà della Direzione Aziendale, tramite il personale del Servizio ICT o addetti alla manutenzione, accedere direttamente, nel rispetto della normativa sulla privacy, a tutti gli strumenti informatici aziendali e ai documenti ivi contenuti, nonché ai tabulati del traffico telefonico.

SISTEMI DI CONTROLLI GRADUALI

In caso di anomalie, il personale incaricato del servizio ICT effettuerà controlli anonimi che si concluderanno con avvisi generalizzati diretti ai dipendenti dell’area o del settore in cui è stata rilevata l’anomalia, nei quali si evidenzierà l’utilizzo irregolare degli strumenti aziendali e si inviteranno gli interessati ad attenersi scrupolosamente ai compiti assegnati e alle istruzioni impartite. Controlli su base individuale potranno essere compiuti solo in caso di successive ulteriori anomalie.

Le attività di controllo potranno avvenire anche con audit e vulnerability assessment del sistema informatico. Per tali controlli l’organizzazione si riserva di avvalersi di soggetti esterni.

Si precisa, in ogni caso, che l’organizzazione non adotta “apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori” (ex art. 4, primo comma, l. n. 300/1970), tra cui sono certamente comprese le strumentazioni hardware e software mirate al controllo dell’utente.

SISTEMI IN CLOUD

In informatica con il termine inglese cloud computing (in italiano nuvola informatica) si indica un paradigma di erogazione di risorse informatiche, come l’archiviazione, l’elaborazione o la trasmissione di dati, caratterizzato dalla disponibilità on demand attraverso Internet a partire da un insieme di risorse preesistenti e configurabili.Le risorse non vengono pienamente configurate e messe in opera dal fornitore apposta per l’utente, ma gli sono assegnate, rapidamente e convenientemente, grazie a procedure automatizzate, a partire da un insieme di risorse condivise con altri utenti lasciando all’utente parte dell’onere della configurazione. Quando l’utente rilascia la risorsa, essa viene similmente riconfigurata nello stato iniziale e rimessa a disposizione nel pool condiviso delle risorse, con altrettanta velocità ed economia per il fornitore.

Utilizzare un servizio di cloud computing per memorizzare dati personali o sensibili, espone l’ente a potenziali problemi di violazione della privacy. I dati personali vengono memorizzati nelle server farms di aziende che spesso risiedono in uno stato diverso da quello dell’azienda. Il cloud provider, in caso di comportamento scorretto o malevolo, potrebbe accedere ai dati personali per eseguire ricerche di mercato e profilazione degli utenti.

Con i collegamenti wireless, il rischio sicurezza aumenta e si è maggiormente esposti ai casi di pirateria informatica a causa della minore sicurezza offerta dalle reti senza fili. In presenza di atti illegali, come appropriazione indebita o illegale di dati personali, il danno potrebbe essere molto grave per l’ente, con difficoltà di raggiungere soluzioni giuridiche e/o rimborsi se il fornitore risiede in uno stato diverso da paese dell’utente.

Nel caso di industrie o aziende, tutti i dati memorizzati nelle memorie esterne sono seriamente esposti a eventuali casi di spionaggio industriale.

È vietato agli incaricati l’utilizzo di sistemi cloud non espressamente approvati dall’ente. Per essere approvati, i sistemi cloud devono rispondere ad almeno i seguenti requisiti:

1. Essere sistemi cloud esclusivi e non condivisi;

2. Essere sistemi cloud posizionati fisicamente in Italia o in paesi ritenuti sicuri;

3. L’azienda che fornisce il sistema in cloud deve essere preventivamente nominata Responsabile al Trattamento dei dati da parte dell’ente;

4. L’azienda che fornisce il sistema in cloud deve comunicare all’ente, almeno una volta all’anno, i nominativi degli amministratori di sistema utilizzati.

5. Dovrannoessereverificatetutteleindicazionieprescrizioniprevistedal Garante della Privacy nei suoi provvedimenti sugli Amministratori di Sistema e sul cloud.

GESTIONE DATI CARTACEI

Gli Incaricati sono responsabili del controllo e della custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Gli Incaricati sono invitati dall’organizzazione ad adottare una “politica della scrivania pulita”. Ovvero si richiede agli incaricati di trattare dati cartacei solo se necessario, privilegiando, ove possibile, l’utilizzo degli strumenti digitali messi a disposizione dell’ente.

I principali benefici di una politica della scrivania pulita sono:

1. Una buona impressione a clienti e fornitori che visitano la nostra organizzazione;

2. La riduzione della possibilità che informazioni confidenziali possano essere viste da persone non abilitate a conoscerle;

3. La riduzione che documenti confidenziali possano essere sottratti all’organizzazione.

In particolare, si invita a non lasciare in vista sulla propria scrivania dati cartacei quando ci si allontana dalla stessa oppure quando è previsto un incontro con un soggetto non abilitato alla conoscenza dei dati in essi contenuti.

Prima di lasciare la propria postazione (per esempio per la pausa pranzo o per una riunione) sarà cura degli Incaricati riporre in luogo sicuro (armadio, cassettiera, archivio,) i dati cartacei ad esso affidati, affinché gli stessi non possano essere visti da terzi non autorizzati (es. addetti alle pulizie) o da terzi (visitatori) presenti nell’azienda.

A fine giornata deve essere previsto il riordino della scrivania e la corretta archiviazione di tutte le pratiche d’ufficio, in modo da lasciare la scrivania completamente sgombra.

Ove possibile, si invita ad evitare la stampa di documenti digitali, anche ai fini di ridurre l’inquinamento ed il consumo delle risorse in ottica ecologica.

Ove possibile, si invita ad effettuare la scansione dei documenti cartacei ed archiviarli digitalmente. È necessario rimuovere immediatamente ogni foglio stampato da una stampante o da un’apparecchiatura fax, per evitare che siano prelevati o visionati da soggetti non autorizzati. Ove possibile, è buona norma eliminare i documenti cartacei attraverso apparecchiature trita documenti.

VALUTAZIONE DEL RISCHIO

Nell’offerta dei servizi proposti dalla nostra azienda ai nostri clienti, appartenenti a diversi settori di mercato, pubblico e privato, trattiamo dati riservati, anonimi e personali. Data la potenziale criticità dei dati trattati, in qualunque formato (informatico e non), è fondamentale che sia loro garantita la massima sicurezza e riservatezza. Questo si traduce nella salvaguardia della loro riservatezza, integrità e disponibilità (RID).

I livelli di sicurezza da garantire alle informazioni devono essere tali da rispettare le clausole contrattuali e la normativa vigente, attenendosi ai principi cardine qui elencati:

1. Le informazioni devono essere accessibili solo a coloro che ne hanno necessità e nei tempi stabiliti

2. Il personale deve essere opportunamente formato in materia di sicurezza delle informazioni e deve seguire i principi etici e comportamenti prescritti

3. I fornitori devono essere opportunamente tenuti sotto controllo attraverso misure da stabilire a seconda dei casi

4. Per i servizi erogati, è necessario considerare i requisiti di sicurezza sin dalla contrattazione con il cliente

La responsabilità finale della sicurezza delle informazioni ricade sulla Direzione che ha delegato i responsabili delle divisioni interne, attraverso lettere di mansionamento, ad attuare quanto necessario.

Si è visto necessario riportare una breve introduzione alla valutazione del rischio. Una situazione di rischio può portare ad effetti negativi per l’azienda come ad esempio:

1. Danno di immagine

2. Perdita di competitività

3. Rallentamenti della produzione

4. Perdite economiche, ecc..

Per comprendere un rischio, è opportuno stabilirne il livello in base alle conseguenze che ci possono essere e alla loro verosimiglianza, ovvero, l’importanza del danno in base alla probabilità del verificarsi di un determinato evento [rischio (r) = probabilità (p) x impatto (i)]. Per questo motivo si è voluto procedere con una valutazione del rischio che prende in considerazione i vari trattamenti dei dati effettuato (individuati nel Registro del Trattamento) prendendo in considerazione le informazioni, gli asset e le minacce correlati.

Si è deciso per una valutazione del rischio di tipo qualitativo in cui in base al trattamento dati, al valore delle informazioni e agli asset utilizzati per il trattamento sono state individuate le effettive vulnerabilità e possibili minacce. La valutazione del rischio e le misure di sicurezza adottate sono conservate all’interno del Registro del trattamento.

APPLICAZIONE E CONTROLLO

L’ente, in qualità di Titolare degli strumenti informatici, dei dati ivi contenuti e/o trattati, si riserva la facoltà di effettuare i controlli che ritiene opportuni per le seguenti finalità:

1. Tutelare la sicurezza e preservare l’integrità degli strumenti informatici e dei dati.

2. Evitare la commissione di illeciti o per esigenze di carattere difensivo anche preventivo.

3. Verificare la funzionalità del sistema e degli strumenti informatici.

Le attività di controllo potranno avvenire anche con audit e vulnerability assessment del sistema informatico. Per tali controlli l’organizzazione si riserva anche la possibilità di avvalersi di soggetti esterni.

Si precisa, in ogni caso, che l’organizzazione non adotta “apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori” (ex art. 4, primo comma, l. n. 300/1970), tra cui sono certamente comprese le strumentazioni hardware e software mirate al controllo dell’utente.

MODALITÀ DI VERIFICA

In applicazione di una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità, l’organizzazione promuove ogni opportuna misura, organizzativa e tecnologica volta a prevenire il rischio di utilizzi impropri e, comunque, a “minimizzare” l’uso di dati riferibili agli Incaricati e allo scopo ha adottato ogni possibile strumento tecnico, organizzativo e fisico, volto a prevenire trattamenti illeciti sui dati trattati con strumenti informatici.

L’ente informa di non adottare sistemi che determinano interferenza ingiustificata sui diritti e sulle libertà fondamentali di lavoratori, come pure di soggetti esterni che ricevono o inviano comunicazioni elettroniche di natura personale o privata.

In particolare, eventuali sistemi atti a monitorare eventuali violazioni di legge o comportamenti anomali da parte degli Incaricati avvengono nel rispetto del principio di pertinenza e non eccedenza, con esclusione di registrazioni o verifiche con modalità sistematiche.

Qualora nell’ambito di tali verifiche si dovesse rilevare un evento dannoso, una situazione di pericolo o qualche altra modalità non conforme all’attività lavorativa (es. scarico di files pirata, navigazioni da cui sia derivato il download di virus informatici, ecc.) si effettuerà un avvertimento in modo generalizzato con l’invito ad attenersi scrupolosamente ai compiti assegnati e alle istruzioni impartite.

MODALITÀ DI CONSERVAZIONE

I sistemi software sono stati programmati e configurati in modo da cancellare periodicamente ed automaticamente i dati personali relativi agli accessi ad Internet e al traffico telematico, la cui conservazione non sia necessaria.

Un eventuale prolungamento dei tempi di conservazione viene valutato come eccezionale e deve aver luogo solo in relazione:

Ad esigenze tecniche o di sicurezza del tutto particolari;

All’indispensabilità del dato rispetto all’esercizio o alla difesa di un

diritto in sede giudiziaria;

All’obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell’autorità giudiziaria o della polizia giudiziaria.

In questi casi, il trattamento dei dati personali è limitato alle sole informazioni indispensabili per perseguire finalità preventivamente determinate ed essere effettuato con logiche e forme di organizzazione strettamente correlate agli obblighi, compiti e finalità già esplicitati.