START A PROJECT START A PROJECT START A PROJECT

Policy in materia di sicurezza delle informazioni aziendali e dei dati personali

  1.  INTRODUZIONE

La Società Art Cosmetics S.r.l. a socio unico soggetta a direzione e coordinamento di AC Holding S.r.l., con sede legale in via G. Marconi 18-20, 24040 Fornovo San Giovanni (BG), P.I. 02027370168, (di seguito “Società” o “Azienda”) in qualità di Titolare del Trattamento, elabora la seguente politica aziendale.

Il presente documento ha l’obiettivo di fornire indicazioni relative alla produzione, gestione, trasmissione e conservazione delle informazioni aziendali e dei dati personali con particolare attenzione al Regolamento UE 2016/679 (Regolamento Generale sulla protezione dei Dati, di seguito “GDPR”), recante la normativa in materia di trattamento dei dati personali.

Il presente documento è destinato ai dipendenti, collaboratori, stagisti o altre forme similari di collaborazione (di seguito “Utenti”) che utilizzano strumenti informatici o che sono interessati al trattamento. In generale i contenuti devono essere noti a tutti coloro che gestiscono informazioni appartenenti alla Società o di terzi (es. clienti e fornitori) che intrattengono rapporti con la Società.

Per qualsiasi dubbio relativo all’applicazione pratica o all’interpretazione della presente Policy, è possibile rivolgersi al servizio Helpdesk. Le funzioni incaricate a gestire la richiesta saranno IT, Security e HR per quanto di competenza.

  •  DEFINIZIONI:

DATI PERSONALI

Sono dati personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.

Le tre tipologie di dato personale da trattare sono le seguenti:

  • i dati identificativi: quelli che permettono l’identificazione diretta, come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc…
  • i dati particolari (Art. 9 GDPR): quelli che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona
  • i dati giudiziari (Art. 10 GDPR): quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.

TRATTAMENTO DEI DATI PERSONALI

Per trattamento dei dati si intende “qualunque operazione o complesso di operazioni concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati”.

In tale ottica è indifferente che le operazioni vengano svolte con o senza l’ausilio di mezzi elettronici, o comunque automatizzati, per cui anche i trattamenti effettuati su supporto cartaceo sono assoggettati alla normativa del GDPR.

TITOLARE DEL TRATTAMENTO

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri

RESPONSABILE DEL TRATTAMENTO

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento

D.P.O.

Il Data Protection Officer (D.P.O.) è un consulente esperto che va ad affiancare il titolare nella gestione delle problematiche del trattamento dei dati personali

INTERESSATI

Persone fisiche i cui dati sono oggetto di trattamento

DESTINATARI DEI DATI

La persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento

FUNZIONE IT

Personale incaricato alla sorveglianza, gestione e manutenzione dei sistemi informatici, strumenti e reti aziendali; contattabile tramite servizio Helpdesk

AMMINISTRATORE DI SISTEMA

Figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali

FUNZIONE SECURITY

Personale preposto alla tutela degli assets fisici ed informatici aziendali

FUNZIONE HR

Personale incaricato della gestione risorse umane

DATA BREACH

Violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Può coinvolgere sia archivi cartacei che digitali.

  •  PRINCIPI GENERALI

Tutti i trattamenti devono avvenire nel rispetto dei principi generali di cui all’Art. 5 GDPR. I trattamenti devono essere effettuati in modo lecito, corretto, trasparente e devono essere utilizzati solo i dati necessari e proporzionati alla finalità perseguita (principi di liceità, trasparenza, correttezza, necessità e proporzionalità).

Per tale motivo, è proibito utilizzare il sistema informatico in violazione alla legislazione vigente in quanto tale trattamento sarebbe illecito.

Per prevenire eventuali utilizzi illeciti, la Società, attraverso le funzioni aziendali responsabili dei sistemi informativi (c.d. “Funzione IT”, “Funzione Security” e/o “Amministratore di sistema”), si riserva la facoltà di effettuare saltuariamente dei controlli a campione circa l’utilizzo di tali apparecchiature fatto da ciascun Utente. Per le specifiche attività di controllo si rimanda al successivo punto 13 – Attività di controllo. 

  •  PROPRIETÀ INTELLETTUALE E TUTELA DEL SEGRETO AZIENDALE

Le informazioni riservate aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, sono segrete e oggetto di specifica tutela, oltre che nel GDPR (Regolamento UE 2016/679), nel Codice Privacy (D.Lgs. 196/2003 e s.m.i.: D.Lgs. 101/2018), anche nel Codice della Proprietà Industriale (D.Lgs. 30/2005); esse rappresentano un valore economico e, come tali, sono sottoposte a misure di sicurezza adeguate a mantenerle segrete.

La Società è titolare dei:

  • diritti morali e di sfruttamento economico legati ai prodotti, alle formule ed ai metodi di fabbricazione;
  • diritti di proprietà intellettuale e di sfruttamento economico (compreso il diritto di poter richiedere brevetti) su tutte le invenzioni sviluppate (ivi comprese formule e metodi di fabbricazione), realizzate e prodotte nell’esecuzione dell’attività lavorativa degli Utenti.

Tali informazioni sono da considerarsi “riservate” e non accessibili salvo specifica autorizzazione, pertanto su di esse vige il più assoluto vincolo di segretezza e confidenzialità.

È fatto assoluto divieto di utilizzo di dispositivi e tecnologie o altri sistemi, al fine di sottrarre, copiare, alterare dati o qualsiasi altra informazione appartenente alla Società.

Si considera violazione del segreto aziendale anche la sottrazione di prodotti.

Specifici controlli saranno attuati dalle Funzioni IT e Security al fine di evitare violazioni del segreto industriale e/o azioni di spionaggio industriale da parte degli Utenti in danno alla Società.

Per le specifiche attività di controllo si rimanda al successivo punto 13 – Attività di controllo.

  •  GESTIONE DELLE CREDENZIALI DI ACCESSO

Le credenziali di accesso sono composte da una coppia (nome utente e password/codice univoco), che identificano uno specifico Utente, il quale sarà ritenuto responsabile di ogni operazione effettuata attraverso il loro uso, anche da parte di terzi. È quindi cura di ogni Utente garantire la riservatezza delle credenziali assegnate.

L’accesso al personal computer e ai sistemi dev’essere sempre protetto con le credenziali di accesso che devono essere custodite dall’Utente con la massima diligenza e che per nessuna ragione devono essere divulgate

Costruzione delle parole chiave (password)

Le password devono avere una lunghezza minima di 8 caratteri alfanumerici, con minimo 1 lettera maiuscola, minimo 1 lettera minuscola, minimo 1 numero. Non devono essere basate su informazioni personali, come nomi di membri della famiglia, animali domestici e simili. Sono inoltre da scartare parole o sequenze numeriche del tipo aaaaa, bbb, 1212121, 1234567, ecc. Sono da scartare parole come sopra, digitate alla rovescia.

È da scartare una qualsiasi delle parole chiave precedentemente indicata, preceduta o seguita da una cifra, come ad esempio giovanni1, oppure 1giovanni

Modifica delle password

Le parole chiave attribuite ai singoli Utenti (ad esempio per accedere al proprio computer o alla propria casella e-mail) devono essere cambiate al primo utilizzo e successivamente ogni qual volta si ritenga che qualcuno sia venuto a conoscenza delle stesse o qualora il sistema informatico lo richieda

Protezione delle password

La parola chiave prescelta non dev’essere condivisa con alcun soggetto, interno o esterno alla Società, ivi inclusi i superiori, a qualsiasi livello. Tutte le parole chiave che sono state generate da una persona autorizzata, devono essere trattate come informazione strettamente riservata. A titolo meramente esemplificativo e non esaustivo, di seguito un elenco delle cose che non bisogna fare:

  • rivelare una parola chiave attraverso il telefono a chicchessia;
  • scrivere una parola chiave in un messaggio di posta elettronica;
  • rivelare la password al vostro superiore;
  • parlare delle password davanti a terzi;
  • dare indicazioni in merito al formato e alla lunghezza della password utilizzata;
  • rivelare la password a membri della famiglia;
  • rivelate la password ad un vostro collega di lavoro, anche in caso di Vostra assenza;
  • scrivere la password su un qualsiasi documento (cartaceo o digitale);
  • lasciare la password in evidenza (etichette o post-it su monitor, tastiere, ecc.…)
  •  UTILIZZO DEGLI STRUMENTI AZIENDALI

La presente sezione riguarda il comportamento a cui sono tenuti i dipendenti con riferimento al trattamento dei dati personali mediante gli strumenti aziendali informatici ed elettronici. La presente sezione fa riferimento agli strumenti forniti dall’Azienda (es. computer, tablet, smartphone, ecc.), affidati all’Utente come strumenti di lavoro ed in quanto tali non utilizzabili per scopi personali (fatto salvo quanto riportato al punto 7 – Benefits). Ogni utilizzo non inerente all’attività lavorativa può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza.

I dispositivi portatili, intesi come tutti i dispositivi che sono o che possono essere spostati con facilità al di fuori dei locali della Società per esigenze lavorative quali laptop, tablet, smartphone, ecc., devono essere custoditi con diligenza, adottando tutti i provvedimenti che le circostanze rendono necessari per evitare danni o sottrazioni. La caratteristica della portabilità, infatti, rappresenta allo stesso tempo il punto di forza e di debolezza in quanto, seppur di piccole dimensioni, questi moderni dispositivi possono contenere quantità rilevanti di informazioni aziendali.

I dispositivi contenenti dati particolari ai sensi dell’Art. 9 GDPR e in particolar modo i dispositivi portatili, devono essere sottoposti ad adeguate misure di sicurezza e prevenzione (es. crittografia del dispositivo).

Per le specifiche attività di controllo si rimanda al successivo punto 13 – Attività di controllo.

Il telefono, il cellulare aziendale, il fax, gli scanner e le fotocopiatrici devono essere utilizzati per scopi esclusivamente attinenti alle attività aziendali.

  •  BENEFITS

Con il termine Benefits si fa riferimento agli strumenti e ai dispositivi forniti dall’Azienda ma che possono essere utilizzati anche per scopi personali. Fanno parte di questa categoria ad esempio smartphone, tablet, notebook.

Le autorizzazioni, limitazioni, revoche di utilizzo saranno comunicate agli utenti in forma scritta.

Per le specifiche attività di controllo si rimanda al successivo punto 13 – Attività di controllo.

  •  CONSEGNA, REVOCA, SMARRIMENTO, DANNEGGIAMENTO DEI DISPOSITIVI AZIENDALI (COMPRESI I BENEFITS)

La consegna dei dispositivi aziendali agli Utenti viene accompagnata da un apposito modulo denominato “Verbale di consegna dispositivi aziendali”, nel quale vengono indicate sia le informazioni ai sensi dell’Art. 13 GDPR sia le istruzioni che l’Utente dovrà osservare per l’utilizzo e la custodia dei dispositivi. In caso di eventuale smarrimento e/o furto del dispositivo, l’Utente deve darne immediata segnalazione tramite servizio Helpdesk interno all’Azienda.

  •  VEICOLI AZIENDALI

I veicoli aziendali, siano essi benefits o di pool, possono essere dotati di dispositivo GPS, navigatore satellitare e strumenti interfacciabili con smartphone (USB, memory card, SIM, Bluetooth, Android Auto, Apple CarPlay o sistemi similari). L’Azienda non effettua monitoraggio né tracciamento dei veicoli e non ha accesso alle informazioni di sistema; resta comunque a carico degli utenti l’onere di cancellare i dati, compresi quelli di navigazione, eventualmente presenti nel sistema multimediale dei veicoli.

  1.  DISPOSITIVI PERSONALI

La Società vieta agli Utenti di utilizzare dispositivi personali (cellulari, computer, tablet, ecc..) per scopi lavorativi.

Ai fini delle presente policy si intende per “scopi lavorativi”:

  • invio/ricezione mail e messaggi (Es.: SMS, WhatsApp, ecc..) aventi contenuti (testo, immagini, video, allegati, ecc..) relativi ai rapporti giuridici e commerciali tra la Società e propri clienti/fornitori o altri dipendenti
  • comunicazioni riguardanti attività aziendali comprese nell’oggetto sociale
  • installazione/configurazione di software o applicazioni inerenti connesse allo svolgimento dell’attività aziendale

Sono vietate le configurazioni di account aziendali (e-mail, app, software, ecc..) sui dispositivi personali degli utenti. Tali dispositivi potrebbero non rispettare i requisiti minimi di sicurezza e riservatezza imposti da questa politica aziendale.

I dispositivi personali potranno essere autorizzati esclusivamente per quanto specificato al punto 12 -Gestione documentale digitalizzata.

  1.  GESTIONE DOCUMENTI E ARCHIVI CARTACEI

L’accesso agli archivi e ai documenti è consentito solo se previamente autorizzato dal Titolare del trattamento e deve riguardare i soli dati personali la cui conoscenza sia strettamente necessaria per adempiere i compiti assegnati.

A tal fine si precisa che:

  • è fatto divieto di lasciare documenti incustoditi presso le stampanti multifunzione; 
  • i documenti cartacei non più necessari non dovranno essere semplicemente cestinati ma dovranno essere tritati mediante gli appositi dispositivi distruggi documenti installati in Azienda;
  • i documenti cartacei devono essere prelevati dagli archivi per il tempo strettamente necessario allo svolgimento delle mansioni;

Nel caso vengano trovati documenti incustoditi, gli stessi dovranno essere consegnati alla Funzione IT o Security che, tramite l’apposito codice univoco (filigrana) presente su ogni foglio stampato, provvederà a identificare il proprietario della stampa.

  1.  GESTIONE DOCUMENTALE DIGITALIZZATA

La Società ha deciso di adottare una politica di digitalizzazione dei processi aziendali, che si colloca nel più ampio processo di digitalizzazione dell’attuale contesto economico e sociale, per soddisfare le esigenze della business continuity aziendale in relazione ai processi di digitalizzazione attuati da parte sia della Pubblica Amministrazione sia delle aziende private.

  1.  ATTIVITÀ DI CONTROLLO

Le seguenti attività di controllo possono essere svolte su tutti gli strumenti aziendali, compresi i “benefits”.

Le funzioni aziendali responsabili dei sistemi informativi (IT e Security) hanno la facoltà in qualunque momento di accedere agli strumenti informatici utilizzati da ciascun Utente, ivi compresi gli archivi di posta elettronica, esclusivamente per permettere al Titolare del Trattamento di verificare che i dati vengano trattati con le modalità stabilite dal Titolare stesso e al solo fine di garantire l’operatività, la sicurezza del sistema ed il normale svolgimento dell’attività lavorativa aziendale.

A tale scopo su ogni dispositivo è installato un “agent” che consente il monitoraggio di tutti i log di sistema.

In caso di necessità, le Funzioni IT e Security, per garantire la piena sicurezza della Rete, per motivi di manutenzione, o per garantire la continuità aziendale, sono autorizzati a superare ogni accesso e limitazione predisposta (ad esempio password).

Le Funzioni IT e Security non sono a conoscenza delle password degli utenti ma possono utilizzare specifici strumenti di reset o di accesso diretto ai sistemi.

La Società può attivare infatti sistemi di monitoraggio della navigazione aziendale in conformità ai provvedimenti del Garante per la Protezione dei Dati, effettuando un monitoraggio generalizzato ed anonimo dei log di connessione (che consiste, ad esempio, nella verifica della connessione a internet durante l’orario di lavoro e della relativa durata, senza entrare nello specifico delle pagine web visitate).

Registrazione, conservazione e analisi dei log

Si rende noto che la Società (in qualità di titolare del trattamento e in ottemperanza alle disposizioni contenute nel Provvedimento del Garante della Privacy del 27 Novembre 2008 recante “Misure e accorgimenti, prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di Amministratore di Sistema” e successive modificazioni) può attivare meccanismi di controllo delle attività della funzione IT, in modo da controllare la rispondenza della sua attività alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti. In particolare, viene verificato e documentato (con cadenza almeno annuale) mediante un audit interno e apposita relazione scritta, che le attività svolte dalla Funzione IT siano conformi alle mansioni attribuite mediante lettera di nomina e alle misure organizzative e di sicurezza adottate dalla Società.

A tal fine, la Società utilizza un sistema di registrazione degli accessi logici (autenticazione informatica), sistemi di elaborazione (client, server, apparati di sicurezza, apparati di rete ecc.) e archivi elettronici (file, database, posta elettronica, gestionali, ERP, log, ecc.) mediante un software denominato “Legal Logger” con lo scopo di individuare potenziali Data Breach.

Nel dettaglio il sistema è composto dai seguenti moduli:

  • Analisi degli accessi: registrazione dei Log inerenti agli accessi ai sistemi
    • Log Amministratori di Sistema: collezione di tutti gli accessi ai sistemi effettuati dagli Amministratori di Sistema
    • Log dei software: collezione dei log eventi prodotti dagli applicativi installati
    • Log eventi: registrazione sistematica dei log degli eventi
    • Log management: gestione avanzata del ciclo di vita di tutti i log archiviati
    • Archiviazione dei Log: archiviazione sicura di tutti i log registrati
    • Marcatura temporale: applicazione di una marca temporale sui log prodotti per garantire la data certa dell’evento
    • Reporting: esposizione dei log collezionati tramite una dashboard grafica e un sistema di reporting evoluto
  1.  UTILIZZO DELLA POSTA ELETTRONICA

La casella di posta, assegnata dalla Società all’Utente, è uno strumento esclusivamente di lavoro.

L’account assegnato non è personale (ad uso esclusivo dell’assegnatario), ma unicamente personalizzato (ad uso aziendale e identificativo dell’assegnatario), di conseguenza si tratta di un bene di proprietà della Società. Le persone assegnatarie delle caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse.

Le caselle di posta elettronica date in uso all’Utente, pertanto non potranno essere utilizzate per l’iscrizione/accesso a social network (es.: Linkedin, Instagram, Facebook, ecc.…), siti eCommerce o altri portali né utilizzate per comunicazioni personali (es.: scolastiche, fidelity card, viaggi, comunicazioni sanitarie, ecc..) salvo specifica autorizzazione da parte della Società (es. profili social aziendali e/o acquisti per l’Azienda).

Stante il divieto assoluto di archiviare informazioni personali nella mail aziendale, quest’ultima potrà essere conservata per un periodo di 6 mesi dopo l’interruzione del rapporto lavorativo con la Società al fine di utilizzare le informazioni ivi archiviate per garantire la business continuity e consentirne la consultazione all’interno dell’Azienda. Successivamente, nel caso si tratti di informazioni indispensabili per la continuazione dell’attività aziendale (a titolo esemplificativo: informazioni commerciali, amministrative, tecniche, ecc..) la casella verrà disattivata e il contenuto conservato in un archivio digitale separato, protetto e ad accesso esclusivo dell’Amministratore di sistema. Tali informazioni verranno utilizzate qualora risultino indispensabili per la produttività aziendale e/o necessarie per garantire l’esercizio del diritto di difesa dell’Azienda in caso di contenzioso.

Ogni Utente, in caso di assenza per qualsiasi motivo (ferie, allontanamento temporaneo dal posto di lavoro, malattia, ecc…) e al fine di non interrompere né rallentare i processi produttivi e/o lavorativi, è invitato ad inserire nel proprio account di posta elettronica la funzione di risposta automatica, contenente eventualmente le coordinate di altri utenti a cui rivolgersi in sua sostituzione; il sostituto potrà in questo modo ricevere i messaggi di posta elettronica indirizzati all’Utente assente.

In caso di assenza prolungata o di interruzione del rapporto lavorativo con la Società, quest’ultima imposterà una risposta automatica con i riferimenti del sostituto.

Condivisione cartelle mail tra utenti:

Per garantire la business continuity, anche alla luce dei provvedimenti volti ad agevolare il lavoro agile, potrebbe essere necessario condividere cartelle e-mail presenti in un account tra utenti diversi. Ogni utente può richiedere la condivisione delle cartelle esclusivamente tramite il servizio Helpdesk i cui addetti valuteranno, insieme alla Funzione Security, la titolarità e la finalità della richiesta, comunicandone poi l’esito al richiedente.

Client di posta:

La Società utilizza e mette a disposizione degli utenti, gli strumenti di lavoro Microsoft, incluso il client di posta elettronica Outlook installato sui dispositivi; quest’ultimo, insieme ad altri strumenti del pacchetto Office365 di Microsoft, consente di condividere il proprio “stato presenza” (es. disponibile, al telefono, in riunione, ecc.) e lo rende consultabile agli altri utenti del dominio Art Cosmetics. Lo “stato presenza” visualizzato con Office365 di Microsoft non è in alcun modo utilizzato dalla Società per effettuare attività di controllo e/o monitoraggio degli Utenti.

La funzione, messa a disposizione da parte di Microsoft, serve esclusivamente a facilitare gli scambi di mail e messaggi, organizzare riunioni e condividere documenti; ogni Utente può modificare o disattivare manualmente lo stato presenza in totale autonomia.

  1.  UTILIZZO DELLA RETE

La rete aziendale (intranet, extranet, sia via cavo sia tramite Wi-Fi e la connessione ad Internet) rappresenta una risorsa fondamentale per le attività della Società e il suo utilizzo da parte degli Utenti è essenziale per il corretto svolgimento di tali attività.

Allo stesso tempo, però, tale risorsa può rappresentare anche una minaccia per la sicurezza delle informazioni della Società o dei suoi clienti; infatti, si possono incontrare facilmente (tramite la semplice navigazione o il download di file) minacce che possono compromettere la riservatezza e la disponibilità delle informazioni aziendali (si parla di Malware in generale, ma anche di pagine web infette come veicolo di tale software malevolo).

Il dispositivo abilitato alla navigazione in Internet costituisce uno strumento aziendale necessario allo svolgimento della propria attività lavorativa; pertanto, è assolutamente proibita la navigazione in Internet per motivi diversi da quelli strettamente legati all’attività lavorativa stessa.

È fatto anche divieto all’Utente di scaricare software, contenuti musicali e multimediali da internet.

Si avvisa l’Utente che, al fine di verificare la funzionalità, la sicurezza del sistema e il suo corretto utilizzo, le apparecchiature di rete preposte al collegamento verso internet, generano un registro (log file) contenente le informazioni relative ai siti che i singoli dispositivi hanno visitato.

La Società, al fine di prevenire determinate operazioni non consentite, ha implementato misure di sicurezza che puntano a mitigare i rischi sopra esposti; ma la prima e più efficace misura di sicurezza è rappresentata dalla consapevolezza dell’Utente”. Comunque, nel caso in cui un evento dannoso o una situazione di pericolo non siano stati impediti con preventivi accorgimenti tecnici, la Società adotterà eventuali misure che consentano la verifica di comportamenti anomali (rif. Punto 13 – Attività di controllo).

La rete aziendale è protetta da Firewall/Proxy in modo da filtrare e/o bloccare contenuti non autorizzati e inappropriati.

Smart Working:

Per lo svolgimento dell’attività di smart working la Società consegna agli utenti i propri dispositivi aziendali che, essendo configurati tramite rete VPN, consente un “accesso dedicato e sicuro” alla rete aziendale tramite connessione a Internet. L’utilizzo del collegamento in VPN garantisce le stesse autorizzazioni d’accesso alla rete aziendale e lo stesso livello di riservatezza assicurati mediante il collegamento in Azienda. Per il corretto uso dei dispositivi si fa rifermento ai punti 6, 7, 10.

  1.  UTILIZZO DI SUPPORTI REMOVIBILI E MODALITÀ DI TRASFERIMENTO DEI FILES

Si richiamano espressamente gli obblighi di cui al precedente Punto 4 – Proprietà intellettuale e tutela del segreto aziendale

Supporti removibili:

È assolutamente vietato utilizzare supporti removibili personali (es. chiavette USB, memorie esterne, ecc.). Qualora fosse necessario l’utilizzo di supporti per scopi lavorativi, deve esserne fatta richiesta all’Helpdesk aziendale che valuterà, insieme alla Funzione Security, la titolarità e la finalità della richiesta, comunicandone poi l’esito al richiedente.

I dispositivi forniti dall’Helpdesk devono essere custoditi e utilizzati in modo tale da impedire accessi non autorizzati (furti inclusi) e trattamenti non consentiti: in particolare, essi devono essere conservati in cassetti chiusi a chiave durante il loro utilizzo, e successivamente riconsegnati, quando è cessato lo scopo per cui i dati sono stati memorizzati su di essi. In nessun caso i dispositivi removibili devono essere spediti (es.: posta, corriere, similari).

Trasferimento file:

La Società ha attivato sui propri server un servizio per trasferire in sicurezza file all’esterno. Il servizio è denominato “Nextcloud” ed è a disposizione degli utenti che dovranno richiederne le credenziali d’accesso all’Helpdesk. In alternativa i file fino a 10 MB possono essere inviati tramite il proprio account e-mail aziendale; i file di dimensione superiore devono essere obbligatoriamente inviati tramite servizio Nextcloud.

  1.  MISURE DI ACCESSO E PROTEZIONE DELLE AREE E DEI LOCALI

La Società ha adottato misure atte ad impedire gli accessi non autorizzati agli edifici ed ai locali nei quali si svolge l’attività lavorativa e si effettua il trattamento dei dati.

Il trattamento dei dati necessari per consentire l’accesso in Azienda avviene conformemente alla Normativa GDPR con particolare riferimento al rilascio dell’apposita informativa e all’adozione delle misure di sicurezza.

Accesso ai siti aziendali

Gli utenti dotati di badge o tag di controllo accessi, potranno utilizzarli per accedere in autonomia ai locali secondo i permessi di accesso abilitati dalla Funzione Security.

Gli ospiti e in generale tutti coloro che non siano dotati di badge o tag, dovranno registrarsi presso la Guardiola (ove presente) oppure presso la Reception che autorizzerà l’ingresso tramite rilascio di un badge provvisorio.

Locali ad accesso limitato

Nei siti aziendali possono essere presenti locali o aree ad accesso limitato. A tali aree possono accedere esclusivamente gli utenti abilitati ed autorizzati dalla Funzione Security. Per verificare tali autorizzazioni potrebbero essere richieste autenticazioni avanzate come ad esempio dati biometrici; in questo caso tutti i dati saranno trattati nel rispetto del GDPR.

Utilizzo del parcheggio interno (ove presente)

Per accedere al parcheggio interno è necessario fornire alla Funzione HR il numero di targa dei veicoli personali secondo quanto riportato nella specifica informativa rilasciata anche ai sensi dell’art.13 del GDPR.

Sistema di videosorveglianza

Le sedi aziendali sono dotate di sistema di videosorveglianza interna ed esterna, nel rispetto sia della vigente normativa del GDPR sia dello Statuto dei lavoratori (legge 300 del 1970). In adempimento a quest’ultima normativa, l’impianto di videosorveglianza è stato autorizzato ed installato, secondo quanto previsto da apposito accordo sindacale.

Le immagini possono essere visionate in tempo reale da personale autorizzato (Funzione Security e Istituti di Vigilanza).

  1.  PROTEZIONE DEI DATI PERSONALI (REGOLAMENTO EUROPEO 2016/679)

Nel trattamento dei dati le persone autorizzate devono scrupolosamente attenersi alle seguenti istruzioni:

  • trattare i dati in modo lecito e secondo correttezza;
  • raccogliere i dati e registrarli per gli scopi inerenti all’attività svolta;
  • verificare, ove possibile, che i dati siano esatti e, se necessario, aggiornarli;
  • verificare che i dati siano pertinenti, completi e non eccedenti le finalità per le quali sono stati raccolti o successivamente trattati, secondo le indicazioni ricevute dal Titolare o dal Responsabile del trattamento;
  • mantenere la massima riservatezza sui dati di cui si effettua il trattamento;
  • utilizzare gli strumenti aziendali forniti (es. computer, e-mail, ecc.) esclusivamente per le finalità contrattuali e per gli incarichi richiesti;
  • non utilizzare, comunicare o diffondere alcuno dei dati predetti se non previamente autorizzato dal Titolare o dal Responsabile del trattamento;
  • adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso e uso dell’incaricato;
  • in caso di allontanamento, anche temporaneo, dal posto di lavoro, l’incaricato dovrà verificare che non vi sia possibilità, da parte di terzi, di accedere a dati personali per i quali sia in corso un qualunque tipo di trattamento, sia cartaceo che informatizzato.
  1. DATA BREACH (Violazione dei dati)

Per la segnalazione di un “sospetto data breach” la Società mette a disposizione un modulo compilabile aprendo il link “Modulo data breach” disponibile in rete all’indirizzo:

https://www.artcosmetics.it/data-breach/

L’utente deve effettuare il login con le proprie credenziali Microsoft e compilare il modulo in tutte le sue parti.

Al termine della compilazione il modulo verrà automaticamente condiviso con l’Amministratore di Sistema e il Responsabile della Security.

In caso di necessità, l’Helpdesk è a disposizione al numero 0363.547888 per dare supporto nella compilazione.

  •  FORMAZIONE

La prima misura di sicurezza per la protezione delle informazioni aziendali è indubbiamente la preparazione e consapevolezza degli Utenti nello svolgere il proprio lavoro in modo sicuro.

Consapevolezza e preparazione sono aspetti che fanno parte del background dell’Utente ma che possono essere sviluppati anche attraverso specifica formazione nelle varie fasi della vita lavorativa.

Anche in adempimento agli obblighi di legge, l’Azienda eroga corsi di formazione specifici, per singole funzioni e singole tematiche, tramite personale interno ed esterno.

La trasmissione dei dati dei dipendenti per la formazione al personale esterno avviene nel rispetto delle misure di sicurezza adeguate secondo la Normativa vigente del GDPR.

  •  MANCATA OSSERVANZA DELLA POLICY

Il mancato rispetto e/o la violazione delle regole contenute nella presente policy sono perseguibili con provvedimenti disciplinari nonché, nei casi più gravi, con azioni civili e penali.

Nei casi di accertata violazione delle norme di comportamento fissate nel presente documento, o comunque portate a conoscenza degli Utenti, è prevista l’applicazione dei provvedimenti disciplinari individuati nel CCNL vigente con le modalità ivi previste per il personale dipendente o equiparato e l’applicazione delle sanzioni previste nelle clausole contrattuali per i soggetti non dipendenti.

Si precisa inoltre che, ai fini disciplinari, le presenti disposizioni e procedure operative interne, sono rese accessibili a tutti (rete aziendale) e sono state distribuite ad ogni Utente, ai sensi dell’art. 7 della Legge 20 maggio 1970 n. 300.

Gli Utenti, qualora venissero a conoscenza di violazioni della presente policy, hanno l’obbligo di segnalare l’accaduto all’Helpdesk.

  •  AGGIORNAMENTI E REVISIONI

Il presente regolamento è soggetto a revisione con frequenza annuale ovvero può essere modificato in base all’entrata in vigore di nuove prescrizioni di legge in ambito comunitario o nazionale.

Le eventuali modifiche alla presente policy entreranno in vigore previa comunicazione a tutti i destinatari.