CP_13_ Norme utilizzo posta elettronica ed internet
AL PERSONALE, AGLI STUDENTI E ALLE FAMIGLIE
CIRCOLARE PERMANENTE N°13
In materia di uso di Internet e di Posta Elettronica
Il Dirigente dispone quanto segue:
Norme Interne per l’uso di Internet e della posta elettronica
1. Premessa
L’uso degli strumenti informatici, della posta elettronica e l’accesso ad Internet da parte delle amministrazioni pubbliche si và sempre più diffondendo sotto l’impulso della nuova legislazione, con l’obiettivo di migliorare l’efficienza operativa, contenere i costi ed assicurare una maggiore qualità delle prestazioni.
I servizi informativi sono ormai diventati fondamentali anche per gli istituti scolastici che sempre più utilizzano strumenti come la posta elettronica ed Internet non solo per fornire servizi all’utenza e per migliorare la propria efficienza, ma anche per svolgere l’attività didattica.
In particolare, in seguito alle procedure di lavoro agile (c.d. smart working) adottate in seguito alla pandemia di COVID-19, l’utilizzo dei sistemi informatici da remoto tramite sistemi cloud è entrato a far parte delle modalità ordinarie di svolgimento del lavoro da parte dei dipendenti dell’amministrazione.
Pertanto è necessario che siano adottate adeguate ed opportune misure di sicurezza volte a proteggere la disponibilità e l’integrità delle risorse informative e a tutelare la riservatezza dei dati personali di tutti. A questo proposito si richiama quanto viene riportato anche nelle Linee Guida per la Sicurezza ICT delle Pubbliche Amministrazioni del CNIPA (Comitato Nazionale per l’Informatica nella Pubblica Amministrazione):
“Tutti i dipendenti dell’Amministrazione sono tenuti ad utilizzare i servizi di rete solo nell’ambito delle proprie mansioni di lavoro, secondo direttive circostanziate, essendo consapevoli che ogni accesso ad Internet può essere facilmente ricondotto alla persona che lo ha effettuato. Occorre quindi che i dipendenti si comportino con il massimo livello di professionalità quando operano in Internet, evitando eventi dannosi, anche al fine di non danneggiare l’immagine dell’ Amministrazione”.
Dall’esame di diversi reclami, segnalazioni e quesiti pervenuti, il Garante per la protezione dei dati personali ha preso atto dell’esigenza di prescrivere ai datori di lavoro pubblici e privati alcune misure, necessarie o opportune, per conformare alle vigenti disposizioni in materia di Privacy il trattamento di dati personali effettuato per verificare il corretto utilizzo, nel rapporto di lavoro, della Posta elettronica e di Internet.
A tale scopo è stato emanato il provvedimento generale pubblicato sul Bollettino n. 81 del Marzo 2007 e, successivamente, sulla Gazzetta Ufficiale – Serie generale n. 58 del 10.03.2007 (di seguito “il Provvedimento”).
Con il presente documento, si fornisce concreto riscontro alle prescrizioni del Garante e si conforma a quanto previsto nelle conclusioni del Provvedimento, al punto 2), lett. a).
2. Principi
Il presente documento viene predisposto nel rispetto della vigente disciplina in materia di Privacy, con riguardo, in particolare, alle norme del Reg. UE 679/2016 (GDPR) e del D. Lgs. 196/03 (Codice in materia di protezione dei dati personali) che disciplinano il trattamento effettuato dai soggetti pubblici.
L’Istituto Scolastico garantisce che il trattamento dei dati personali dei dipendenti relativo all’utilizzo da parte degli stessi di risorse informatiche proprie o dell’amministrazione, si conforma ai seguenti principi:
a) il principio di minimizzazione, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi in relazione alle finalità perseguite (art. 3 del Codice; par. 5.2 del Provvedimento);
b) il principio di trasparenza, secondo cui le caratteristiche dei trattamenti devono essere rese note agli interessati poiché le tecnologie dell’informazione, in modo più marcato rispetto ad apparecchiature tradizionali, permettono di svolgere trattamenti ulteriori rispetto a quelli connessi ordinariamente all’attività lavorativa, anche all’insaputa o, comunque, senza la piena consapevolezza dei lavoratori
3. Utenti autorizzati all’uso di Internet
Per quanto riguarda l’uso delle dotazioni informatiche e l’accesso ad internet si individuano 3 tipologie di utenti:
1) Personale amministrativo: autorizzato all’uso per lo svolgimento dell’attività amministrativa
2) Personale docente: autorizzato all’uso per qualunque attività educativa, didattica e formativa.
3) Alunni: autorizzato limitatamente all’attività educativa, didattica e formativa programmata dai docenti
4. Ubicazione postazioni di lavoro
Per quanto riguarda il personale amministrativo, ogni dipendente riceve indicazione della postazione di lavoro a lui assegnata al momento della presa di servizio, ovvero in caso di cambiamento della propria posizione. L’uso di tale postazione non è tuttavia da ritenersi esclusivo e ciascun dipendente a seconda delle necessità potrà operare su altro PC non direttamente assegnato usando sempre la propria credenziale di accesso personale (nome utente e password).
L’accesso ad Internet da parte del personale tecnico, docente e degli alunni potrà avvenire nelle classi, nei laboratori ed in qualunque altro luogo a tale attività destinato.
5. Sistema di autenticazione
Al fine di ridurre al minimo il rischio di impieghi abusivi, l’accesso alle postazioni destinate all’attività amministrativa è protetto tramite sistema di autenticazione che richiede l’immissione di un apposito codice utente e della relativa password. La gestione degli utenti è fatta in maniera centralizzata sul server di segreteria su cui è configurato un dominio in ambiente Windows server e nel quale potranno quindi essere conservate informazioni relative agli accessi dei singoli utenti.
6. Istruzione e formazione del personale
Il personale ha ricevuto specifiche istruzioni scritte in merito al comportamento da adottare nell’uso delle dotazioni informatiche come indicato nel Regolamento d’Istituto. In base alla criticità dei trattamenti effettuati da ciascuna componente, sono stati approntati specifici interventi di formazione.
7. Misure di tipo tecnologico connesse all’uso della posta elettronica
Ai fini dell’utilizzo corretto delle caselle di posta elettronica personali messe a disposizione del personale e degli alunni da parte dell’amministrazione, si mettono in evidenza i seguenti punti:
E’ consentito l’utilizzo del proprio account a fini privati e personali, purché tale utilizzo non sia causa, diretta o indiretta di disservizi dei sistemi elaborativi e dei servizi di posta elettronica dell’Amministrazione.
Gli utenti del servizio di posta elettronica sono tenuti ad usarlo in modo responsabile, cioè, rispettando le leggi, la presente e altre politiche e procedure della Scuola e del Ministero della Pubblica Istruzione e secondo normali standard di cortesia, correttezza, buona fede e diligenza professionale
E’ fatto divieto a tutti gli utenti di utilizzare il servizio di posta elettronica per inviare messaggi dannosi, di tipo offensivo o sconveniente, come ad esempio, a titolo non esaustivo, messaggi che riportino contenuti o commenti oltraggiosi su argomenti sessuali, razziali, religiosi, politici, ecc. e comunque ogni altra tipologia di messaggio che possa arrecare danno alla reputazione della Scuola o del Ministero della Pubblica Istruzione.
E’ vietato l’uso del servizio di posta elettronica a scopi commerciali o di profitto personale e per attività illegali.
L’Amministrazione registra e conserva, in forma anonima, i dati delle caselle di posta elettronica messe a disposizione dei propri utenti, tramite scrittura in appositi file di log, delle seguenti informazioni minime: mittente del messaggio; destinatario/i; giorno ed ora dell’invio; esito dell’invio. L’amministrazione, inoltre, potrà procedere alla cancellazione dell’account qualora l’esistenza dello stesso non sia più compatibile con le condizioni e le finalità per cui era stato originariamente attivato (ad es. il dipendente non è più in servizio, l’alunno termina la propria permanenza nell’istituto).
Per evitare ogni interferenza con la sfera privata del personale docente e ATA, qualunque comunicazione di interesse amministrativo o di lavoro dovrà avvenire per mezzo delle caselle istituzionali.
La consultazione della posta elettronica da parte dei dipendenti può quindi riguardare:
caselle personali
caselle istituzionali di lavoro
UTILIZZO DELLE CASELLE PERSONALI
Il personale può consultare in orario di servizio caselle personali per motivi legati alla propria attività lavorativa. La gestione deve essere effettuata tramite servizi di “webmail”: non è consentito
configurare su computer dell'Istituto appositi programmi per gestire le proprie caselle personali (anche per garantire al dipendente la dovuta riservatezza).
Nell’uso di caselle personali all'interno della scuola, al dipendente non è comunque consentito:
inviare messaggi dannosi, di tipo offensivo o sconveniente, come ad esempio, a titolo non esaustivo, messaggi che riportino contenuti o commenti oltraggiosi su argomenti sessuali, razziali, religiosi, politici, ecc. e comunque ogni altra tipologia di messaggio che possa arrecare danno alla reputazione della Scuola o del MIUR;
l’uso del servizio di posta elettronica a scopi commerciali o di profitto personale e per attività illegali;
utilizzare tecniche di “mail spamming” cioè di invio massiccio di comunicazioni a liste di distribuzione extra lavorative o azioni equivalenti.
UTILIZZO DELLE CASELLE ISTITUZIONALI DI LAVORO
Le caselle istituzionali sono gestite dagli incaricati in base ai compiti loro assegnati. In caso di assenza dell'incaricato abituale, questo potrà essere sostituito da altro personale, in base all'organizzazione interna del lavoro disposta da D.S. o D.S.G.A.: quindi tali caselle devono essere utilizzate solo a scopo lavorativo e NON devono essere utilizzate come caselle personali.
Oltre alle disposizioni impartite per l'utilizzo delle caselle personali, si aggiungono le seguenti disposizioni:
Evitare di aprire messaggi provenienti da mittenti sconosciuti e che contengono allegati sospetti (file con estensione .exe, .scr, .pif, .bat, .cmd,....). In caso di dubbio consultare un tecnico.
Nel caso in cui si debba inviare un documento all'esterno dell'Istituto, se non specificamente destinato alla modifica, è preferibile utilizzare il formato *.pdf.
Evitare che la diffusione incontrollata di "Catene di Sant'Antonio" (messaggi a diffusione capillare e moltiplicata) limiti l'efficienza del sistema di posta.
Evitare di inviare allegati di dimensioni eccessive (se necessario usare formati compressi come *.zip, *.rar,...)
L'iscrizione a "mailing list" esterne è concessa solo per motivi professionali, prima di iscriversi occorre verificare in anticipo se il sito è affidabile. In caso di dubbio, è necessario contattare preventivamente il DS, il DSGA o un suo delegato, che definiranno l’effettiva sicurezza della stessa, consultandosi, se necessario, con l’amministratore di sistema e/o l’RPD dell’istituto.
La casella di posta deve essere mantenuta in ordine.
8. Misure di tipo tecnologico connesse all’uso di Internet
L'Istituto Scolastico intende limitare nel maggior grado possibile i controlli sulla navigazione (che potrebbero determinare il trattamento di informazioni personali o sensibili anche non pertinenti l'amministrazione).
Per tale motivo è fondamentale il rispetto delle disposizioni elencate, che hanno il fine di ridurre il rischio di usi impropri della “navigazione”.
1. Al personale non è consentito, durante le ore di lavoro:
servirsi o dar modo ad altri di servirsi della stazione di accesso a internet per attività non istituzionali, per attività poste in essere in violazione del diritto d’autore o altri diritti tutelati dalla normativa vigente;
utilizzare sistemi Peer to Peer (P2P), di file sharing, podcasting, webcasting social network o similari (salvo specifiche attività espressamente autorizzate per le finalità istituzionali).
Utilizzare sistemi Social Network quali twitter, facebook, etc., salvo specifiche attività espressamente autorizzate per le finalità istituzionali.
2. Ogni utente deve tenere comportamenti tali da ridurre il rischio di attacco al sistema informatico mediante virus o mediante ogni altro software aggressivo (attenzione nell'aprire mail e relativi allegati, non navigare su siti poco professionali, ecc..)
3. Ogni utente è tenuto a controllare la presenza e il regolare funzionamento del software antivirus, segnalando ogni eventuale problema all'amministratore di sistema.
Si ricorda poi che scaricare file audio e video (o comunque grandi quantità di dati) è in grado di degradare le prestazioni offerte dal servizio agli altri utenti: per tale motivo ciò può avvenire solo se necessario e, possibilmente, al di fuori dei momenti “di punta” a livello di Istituto.
Per garantire la sicurezza informatica ed il controllo del corretto utilizzo dell’accesso ad Internet l’istituto si è dotato di strumenti specifici che consentono:
La protezione da accessi non autorizzati provenienti da Internet
Controlli antivirus centralizzati
configurazione di filtri che prevengono determinate operazioni non correlate all’attività lavorativa (quali a titolo esemplificativo e non esaustivo: l’accesso ai siti inseriti in black list individuati dall'Istituto, il download di file o software aventi particolari caratteristiche dimensionali o di tipologia di dato), anche in modo differenziato per le diverse postazioni o tipologie di accesso;
la determinazione di informazioni sulla navigazione Internet che consentono la conservazione di informazioni relative ad utente, PC, ora di accesso, pagine accedute, etc.
Si precisa che ulteriori tracce dell’operato di ciascun utente, lasciate sui PC, sui server e sui programmi impiegati, potranno essere utilizzate per l’individuazione e la sanzione di eventuali comportamenti anomali.
La conservazione nel tempo dei dati relativi all’uso degli strumenti informatici verrà fatta per il periodo strettamente limitato al perseguimento di finalità organizzative, produttive e di sicurezza ovvero in adempimento di obblighi previsti dalla legge;
9. Disposizioni per il lavoro da remoto (telelavoro)
Il personale che svolge la propria attività in modalità di lavoro agile deve attenersi alle raccomandazioni elaborate da Cert-PA di AgID per il rispetto delle misure minime di sicurezza informatica per le pubbliche amministrazioni fissate dalla circolare 17 marzo 2017, n. 1 che devono essere garantite anche dal personale che svolge la propria attività lavorativa da remoto e riportate di seguito:
1. seguire prioritariamente le policy e le raccomandazioni dettate dal Regolamento d’Istituto e dalle norme ad esso correlate;
2. utilizzare i sistemi operativi per i quali attualmente è garantito il supporto (non utilizzare, ad esempio, macchine con sistema operativo windows XP o windows 7 di cui Microsoft ha terminato il supporto);
3. effettuare costantemente gli aggiornamenti di sicurezza del sistema operativo;
4. assicurarsi che i software di protezione del sistema operativo (Firewall, Antivirus, ecc.) siano abilitati e costantemente aggiornati;
5. assicurarsi che gli accessi al sistema operativo siano protetti da una password sicura di almeno 8 caratteri contenente almeno una lettera maiuscola, un numero ed un carattere speciale;
6. non installare software proveniente da fonti/repository non ufficiali;
7. bloccare l’accesso al sistema e/o configurare la modalità di blocco automatico quando ci si allontana dalla postazione di lavoro;
8. non cliccare su link o allegati contenuti in email sospette;
9. utilizzare l’accesso a connessioni Wi-Fi adeguatamente protette;
10. collegare dispositivi mobili (pen-drive, hdd-esterno, etc) di cui conosci la provenienza (nuovi, già utilizzati, forniti dell’Istituto);
11. effettuare sempre il log-out dai servizi/portali utilizzati dopo che aver concluso la sessione lavorativa.
Si coglie l’occasione per dare le seguenti ulteriori disposizioni:
- Utilizzare esclusivamente servizi cloud certificati dall’amministrazione (tramite nomina a responsabile del trattamento) per il trattamento dei dati personali di cui l’amministrazione è titolare;
- nel caso di utilizzo di PC personale per svolgere l’attività lavorativa, prima del suo primo utilizzo, installare un buon antivirus e fare un’ accurata scansione preventiva per rimuovere qualunque software malevolo;
- non memorizzare sui dispositivi le password di accesso alle piattaforme ed ai sistemi utilizzati per il lavoro a distanza;
- non memorizzare sul client di posta elettronica le credenziali di accesso alle caselle istituzionali;
- accertarsi di aver impostato una password sicura sul router utilizzato per l’accesso ad Internet (accertati di non aver lasciato la password di default proposta dal costruttore e nota a qualunque malintenzionato);
- in caso si utilizzi una connessione wi-fi, accertarsi di adottare una password sicura per l’ accesso (mai lasciare accessi liberi alla rete wi-fi).
10. Trattamenti esclusi
L'Istituto Scolastico non effettua controlli prolungati, costanti o indiscriminati dell’uso di Internet e Posta elettronica da parte dei dipendenti.
L'Istituto Scolastico non effettua trattamenti di dati personali mediante sistemi hardware e software che mirano al controllo a distanza di lavoratori attraverso:
lettura e registrazione sistematica dei messaggi di posta elettronica personali dei dipendenti o dei relativi dati esteriori;
riproduzione ed eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;
lettura e registrazione dei caratteri inseriti dai lavoratori tramite la tastiera ovvero dispositivi analoghi a quello descritto;
11. Gradualità dei controlli
1. Nel caso in cui un evento dannoso o una situazione di pericolo non sia stato impedito con preventivi accorgimenti tecnici, il Dirigente Scolastico può adottare eventuali misure che consentano la verifica di comportamenti anomali.
2. Per quanto possibile, sarà preferito un controllo preliminare su dati aggregati, riferiti all'intera struttura lavorativa o a sue aree. Il controllo anonimo può concludersi con un avviso generalizzato relativo ad un rilevato utilizzo anomalo degli strumenti d'Istituto e con l'invito ad attenersi scrupolosamente a compiti assegnati e istruzioni impartite. L'avviso può essere circoscritto a dipendenti afferenti all'area o settore in cui è stata rilevata l'anomalia.
3. La presenza di successive anomalie potrà comportare controlli su base individuale.
4. La rilevazione delle anomalie e delle verifiche tecniche è a cura dell’Amministratore di Sistema che potrà anche intervenire su richiesta del Dirigente Scolastico per la verifica di situazioni anomale o sospette.
5. Responsabile dei successivi e consequenziali provvedimenti è il Dirigente Scolastico.
12. Sanzioni
1. È fatto obbligo a tutti i Lavoratori di osservare le disposizioni delle norme indicate nel presente documento e nel Regolamento di Istituto e qualunque altra disposizione comunicata in materia di sicurezza e gestione delle attrezzature informatiche.
2. Il mancato rispetto o la violazione delle regole contenute nel presente documento è perseguibile con tutte le azioni civili e penali previste dalla legge, nonché con i provvedimenti disciplinari, in conformità a quanto previsto dalle disposizioni normative e contrattuali vigenti per il personale o per l’area dirigenza del comparto Regioni ed Autonomie Locali. Rimane ferma ogni ulteriore forma di responsabilità civile e penale, quali ad es.:
o Violazioni di dati personali e della tutela dell'immagine;
o diffamazione;
o accesso abusivo ad un sistema informatico e telematico;
o violazione della legge sul copyright.
3. Il codice di comportamento ed il codice disciplinare sono consultabili nel sito internet dell’Istituto
13. Disposizioni ulteriori
1. I dati personali inerenti i Lavoratori non possono essere portati a conoscenza di terzi non autorizzati. I colleghi di lavoro della persona interessata sono considerati terzi.
2. L’Istituto, nell’ambito di procedimenti disciplinari e/o di procedimenti penali di cui all’art. 11 del presente documento e nel rispetto del principio di protezione dei dati personali e del divieto di controllo a distanza del Lavoratore, procede alla conservazione delle “registrazioni a giornale” (log file) relative all’utilizzazione di Internet e/o della Posta Elettronica e/o dei files delle telefonate e/o dei Fax e dei Fax mail, fino alla conclusione dei relativi procedimenti.
3. Il presente documento viene portato a conoscenza di tutti i Lavoratori, indicati all’art. 1, mediante pubblicazione nei sito internet.