Privacy policy

1) Principi Generali
Il presente documento ha l’obiettivo di regolamentare l’utilizzo di internet e posta elettronica per gli utenti di tali servizi nell’ambito della struttura aziendale della Daltours srl Le presenti regole di sicurezza hanno valenza per l’Azienda e si pongono l’obiettivo di fornire agli utenti idonee misure di sicurezza e linee di comportamento adeguate a utilizzare in modo conforme e non rischioso la posta elettronica aziendale e la navigazione in internet. Il Regolamento è adottato in conformità al Provvedimento del Garante per la tutela dei dati personali del 1° marzo 2007. A tal proposito, allo scopo di rappresentare agli utenti il quadro normativo di riferimento si specifica che le principali fonti normative in materia sono le seguenti:
- Decreto Legislativo n.196 del 30/06/2003 c.d. Codice della Privacy (di seguito “Codice”);
- Provvedimento del “Garante della Privacy” n. 13 del 01/03/2007 (di seguito “Provvedimento”).
- REG.UE 679/2016 (di seguito DGPR)
Copia del presente Regolamento viene consegnata a ciascun dipendente all’atto dell’assunzione ed a ciascun collaboratore ad inizio attività.
L’inosservanza delle norme sulla privacy può comportare sanzioni di natura civile e penale per l’incaricato e per l’azienda per cui si raccomanda di prestare la massima attenzione nella lettura delle disposizioni di seguito riportate.

2) Campo di applicazione
Le presenti Istruzioni si applicano:
• A tutti i lavoratori dipendenti e a tutti i collaboratori. a prescindere dal rapporto contrattuale con la stessa intrattenuto (lavoratori somministrati, collaboratori a progetto, agenti, stagisti, consulenti, ecc.) che si trovano ad operare sui dati personali di cui la Daltours srl stessa è Titolare (di seguito “utenti”);
• A tutte le attività o comportamenti comunque connessi all’utilizzo della rete Internet e della posta elettronica, mediante strumentazione aziendale o di terze parti autorizzate all’uso dell’infrastruttura aziendale.

3) Riferimenti normativi
Gli Incaricati sono le persone fisiche autorizzate a compiere le operazioni di trattamento dal Titolare o dal Responsabile
In particolare, ai sensi del GDPR, le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del Titolare o del Responsabile, attenendosi alle istruzioni impartite.
La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito.

Internet e Posta elettronica
Gli strumenti di comunicazione telematica (Internet e Posta elettronica) devono essere utilizzati solo ed esclusivamente per finalità lavorative. Sono vietati comportamenti che possano arrecare danno all'Azienda.
In particolare, l’utente dovrà osservare le seguenti regole:

• è consentita la navigazione internet solo in siti attinenti e necessari per lo svolgimento delle mansioni assegnate;
• non è consentito scaricare software gratuiti (freeware o shareware) prelevati da siti Internet;
• non è consentita la registrazione a siti internet o partecipare a Forum di discussione se questo non è strettamente necessario per lo svolgimento della propria attività lavorativa;
• non è consentito l’utilizzo funzioni di instant messaging a meno che autorizzate dall’ Area IT;
• è vietato aprire e-mail e file allegati di origine sconosciuta o che presentino degli aspetti anomali (quali ad esempio, un soggetto non chiaro);
• non è consentito rispondere a messaggi provenienti da un mittente sconosciuto o di dubbio contenuto in quanto tale atto assicura al mittente l’esistenza del destinatario;
• è vietato l’utilizzo della posta elettronica per comunicare informazioni riservate, dati personali o dati critici, senza garantirne l’opportuna protezione;
• occorre sempre accertarsi che i destinatari della corrispondenza per posta elettronica siano autorizzati ad entrare in possesso dei dati che ci si appresta ad inviare;
• occorre sempre essere consapevoli che posta elettronica e navigazione Internet sono veicoli per l’introduzione sulla propria macchina (e quindi in azienda) di virus e altri elementi potenzialmente dannosi;
• è consentito solo l’utilizzo dei programmi ufficialmente installati dall’Area IT;
• è vietato installare autonomamente programmi, sussistendo infatti il grave pericolo di introdurre virus informatici e/o di alterare la funzionalità delle applicazioni software esistenti, di violare la legge sul diritto d’autore non disponendo delle apposite licenze d’uso acquistate dall’Azienda;
• è vietato modificare le caratteristiche impostate sulle dotazioni od installare dispositivi di memorizzazione, comunicazione o altro (ad esempio masterizzatori, modem, wi-fi o connect card), collegare alla rete aziendale qualsiasi apparecchiatura (ad es. switch, hub, apparati di memorizzazione di rete, ecc), effettuare collegamenti verso l’esterno di qualsiasi tipo (ad es. tramite modem o connect card ecc.) utilizzando un pc che sia contemporaneamente collegato alla rete aziendale (creando così un collegamento tra la rete aziendale interna e la rete esterna);
• al fine di ottimizzare le risorse a disposizione della posta elettronica aziendale e migliorare le prestazioni del sistema si evidenzia che la casella di posta deve essere “tenuta in ordine” cancellando periodicamente o comunque se sono superati i limiti di spazio concessi, documenti inutili o allegati ingombranti.
• va sempre prestata la massima attenzione nell’utilizzo dei supporti di origine esterna (per es. chiavi USB, dischi esterni ecc.), avvertendo immediatamente l’Amministratore di sistema nel caso in cui siano rilevati virus.

L’utente, in caso di assenza programmata (ad esempio per ferie o attività di lavoro fuori sede) - di almeno 5 giornate lavorative - deve attivare l’apposita funzionalità di sistema (cd. “Fuori Sede”) che consente di inviare automaticamente ai mittenti un messaggio di risposta contenente le “coordinate” (anche elettroniche o telefoniche) di un altro utente o altre modalità utili di contatto della struttura.
L’azienda, in caso di assenza improvvisa o prolungata dell’utente o comunque non programmata e per improrogabili necessità di sicurezza o di operatività del sistema, si riserva, per mezzo dell’Amministratore di Sistema e Responsabile sistemi ICT, di accedere alla casella di posta elettronica dell’utente assente: per i dettagli si rimanda al paragrafo 5 “Accesso ai dati dell’utente”.

Particolari cautele nella predisposizione dei messaggi di posta elettronica.
Nell’utilizzo della posta elettronica ciascun utente deve tenere in debito conto che i soggetti esterni possono attribuire carattere istituzionale alla corrispondenza ricevuta da dipendenti aziendali. Pertanto, si deve prestare particolare attenzione agli eventuali impegni contrattuali e precontrattuali contenuti nei messaggi.
La formulazione dei messaggi deve pertanto far uso di un linguaggio appropriato, corretto e rispettoso che tuteli la dignità delle persone, l’immagine e la reputazione dell’Azienda.
L’Azienda formula inoltre le seguenti regole di comportamento a cui gli utenti devono attenersi:

a) conservare le comunicazioni inviate o ricevute, in particolare quelle dalle quali si possano desumere impegni e/o indicazioni operative provenienti dalla Committenza pubblica;
b) b. prestare attenzione ai messaggi di posta elettronica ed ai file, programmi e oggetti allegati, ricevuti da mittenti sconosciuti, con testo del messaggio non comprensibile o comunque avulso dal proprio contesto lavorativo. In tali casi gli utenti devono in particolare: - visualizzare preventivamente il contenuto tramite utilizzo della funzione “Riquadro di lettura” (o preview) e, nel caso si riscontri un contenuto sospetto, non aprire il messaggio, - una volta aperto il messaggio, evitare di aprire gli allegati o cliccare sui “link” eventualmente presenti, - cancellare il messaggio e svuotare il “cestino” della posta, - segnalare l’accaduto all’Amministratore di Sistema
c) evitare di cliccare sui collegamenti ipertestuali dubbi presenti nei messaggi di posta: in caso di necessità, accedere ai siti segnalati digitando il nome del sito da visitare direttamente nella barra degli indirizzi nei consueti strumenti di navigazione;
d) d. in caso di iscrizione a servizi informativi accessibili via internet ovvero a servizi di editoria on line, veicolati attraverso lo strumento di posta elettronica:
adoperare estrema cautela ed essere selettivi nella scelta della società che fornisce il servizio; in particolare l’adesione dovrà avvenire in funzione dell’attinenza del servizio con la propria attività lavorativa,
utilizzare il servizio solo per acquisire informazioni inerenti finalità aziendali, facendo attenzione alle informazioni fornite a terzi in modo da prevenire attacchi di social engineering,
in caso di appesantimento dovuto ad un eccessivo traffico di messaggi scambiati attraverso la lista di distribuzione, revocare l’adesione alla stessa. Si raccomanda, in proposito, di approfondire al momento dell’iscrizione le modalità per richiederne la revoca.
e) e. in caso di errore nella spedizione o ricezione, contattare rispettivamente il destinatario cui è stata trasmessa per errore la comunicazione o il mittente che, per errore, l’ha spedita, eliminando quanto ricevuto (compresi allegati) senza effettuare copia;
f) f. evitare di predisporre messaggi che contengano materiali che violino la legge sul diritto d’autore, o altri diritti di proprietà intellettuale o industriale.

Accesso ai dati dell'utente
L’Amministratore di Sistema può accedere ai dati trattati dall’utente tramite posta elettronica o navigazione in rete esclusivamente per motivi di sicurezza e protezione del sistema informatico (ad es., contrasto virus, malware, intrusioni telematiche, fenomeni quali spamming, phishing, spyware, etc.), ovvero per motivi tecnici e/o manutentivi e/o di regolare svolgimento dell’attività lavorativa (ad esempio, aggiornamento/sostituzione/implementazione di programmi, manutenzione hardware). Fatta eccezione per gli interventi urgenti che si rendano necessari per affrontare situazioni di emergenza e massima sicurezza, il personale incaricato accederà ai dati su richiesta dell’utente e/o previo avviso al medesimo. Ove sia necessario per garantire la sicurezza, l’assistenza tecnica e la normale attività operativa, il personale incaricato avrà anche la facoltà di collegarsi e visualizzare in remoto il desktop delle singole postazioni.
Lo stesso Amministratore di Sistema può, nei casi suindicati, procedere a tutte le operazioni di configurazione e gestione necessarie a garantire la corretta funzionalità del sistema informatico aziendale (ad es. rimozione di file o applicazioni pericolosi).
L’Amministratore di Sistema, in caso di assenza improvvisa o prolungata dell’utente o comunque non programmata e per improrogabili necessità di sicurezza o di operatività del sistema è abilitato ad accedere alla posta elettronica dell’utente per le strette necessità operative. Di tale avvenuto accesso dovrà comunque essere data tempestiva comunicazione all’utente.
L’Amministratore di Sistema può procedere a controlli sulla navigazione finalizzati a garantire l’operatività e la sicurezza del sistema, nonché il necessario svolgimento delle attività lavorative, es. mediante un sistema di controllo dei contenuti (Proxy server) o mediante “file di log” della navigazione svolta.
L’eventuale controllo sui file di log da parte dell’Amministratore di Sistema non è comunque continuativo ed è limitato ad alcune informazioni (es. Posta elettronica: l’indirizzo del mittente e del destinatario, la data e l’ora dell’invio e della ricezione e l’oggetto – Navigazione Internet: il nome dell’utente, l’identificativo della postazione di lavoro, indirizzo IP, la data e ora di navigazione, il sito visitato e il totale degli accessi effettuati) ed i file stessi vengono conservati per il periodo strettamente necessario per il perseguimento delle finalità organizzative, produttive e di sicurezza dell’azienda, e comunque non oltre 12 mesi, fatti salvi in ogni caso specifici obblighi di legge.
Il sistema di registrazione dei log è configurato per cancellare periodicamente ed automaticamente (attraverso procedure di sovra registrazione) i dati personali degli utenti relativi agli accessi internet e al traffico telematico. L’Amministratore di Sistema è altresì abilitato ad accedere ai dati contenuti negli strumenti informatici restituiti dall’utente all’azienda per cessazione del rapporto, sostituzione delle apparecchiature, etc.
Sarà cura dell’utente la cancellazione preventiva di tutti gli eventuali dati personali eventualmente ivi contenuti. In ogni caso, la Daltours srl garantisce la non effettuazione di alcun trattamento mediante sistemi hardware e software specificatamente preordinati al controllo a distanza, quali, a titolo esemplificativo:

• lettura e registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori (log) al di là di quanto tecnicamente necessario per svolgere il servizio e-mail;
• riproduzione ed eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;
• lettura e registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo.

Controlli da parte della titolarità
Con il presente capitolo portiamo all’attenzione degli incaricati la possibilità di questa Azienda di effettuare controlli sulle proprie apparecchiature tecnologiche al fine di preservare la sicurezza informatica dei dati personali in esse contenuti.
A tale proposito si sottolinea che la strumentazione tecnologica/informatica e quanto con essa creato è di proprietà dell’Azienda in quanto mezzo di lavoro. È pertanto fatto divieto di utilizzo del mezzo tecnologico/informatico e delle trasmissioni interne ed esterne con esso effettuate per fini ed interessi non strettamente coincidenti con quelli dell’Azienda stessa.
Nel rispetto dei principi di pertinenza e non eccedenza, le verifiche sugli strumenti informatici saranno realizzati dall’Azienda nel pieno rispetto dei diritti e delle libertà fondamentali degli utenti e del presente Regolamento.
In caso di anomalie, l’Azienda, per quanto possibile, privilegerà preliminari controlli anonimi e quindi riferiti a dati aggregati nell’ambito di intere strutture lavorative o di sue aree nelle quali si è verificata l’anomalia.
In tali casi, il controllo si concluderà con un avviso al Responsabile della struttura dell’Area aziendale interessata in cui è stato rilevato l’utilizzo anomalo degli strumenti aziendali affinché lo stesso inviti le strutture da lui dipendenti ad attenersi scrupolosamente ai compiti assegnati e alle istruzioni impartite.
In caso di successive, perduranti anomalie, ovvero ravvisandone comunque la necessità, l’Azienda si riserva di effettuare verifiche anche su base individuale, comunque finalizzate esclusivamente alla individuazione di eventuali condotte illecite.
In nessun caso verranno realizzate verifiche prolungate, costanti o indiscriminate, fatte salve le verifiche atte a tutelare gli interessi aziendali.

4) Responsabilità e sanzioni
L’utente, al fine di non esporre sé stesso e l’Azienda a rischi sanzionatori, è tenuto ad adottare comportamenti puntualmente conformi alla normativa vigente ed alla regolamentazione aziendale.
Gli utenti sono responsabili del corretto utilizzo dei servizi di Internet e Posta Elettronica. Pertanto, sono responsabili per i danni cagionati al patrimonio, alla reputazione e alla Committenza.
Tutti gli utenti sono pertanto tenuti ad osservare e a far osservare le disposizioni contenute nel presente Regolamento il cui mancato rispetto o la cui violazione, costituendo inadempimento contrattuale potrà comportare:
- per il personale dipendente oltre che l’adozione di provvedimenti di natura disciplinare previsti dal Contratto Collettivo Nazionale di Lavoro tempo per tempo vigente, le azioni civili e penali stabilite dalle leggi tempo per tempo vigenti;
- per i collaboratori esterni oltre che la risoluzione del contratto le azioni civili e penali stabilite dalle leggi tempo per tempo vigenti.

Il presente Documento è stato predisposto dal titolare del Trattamento dei dati Daltours srl rappresentata da
David Stephen Morris