CAPO I – PRINCIPI
Art. 1 – Introduzione, Definizioni e Finalità
Il presente regolamento ha l’obiettivo di definire l’ambito di applicazione, le modalità e le norme sull’utilizzo della strumentazione da parte degli utenti assegnatari (dipendenti, collaboratori ecc.) al fine di tutelare i beni aziendali ed evitare condotte inconsapevoli o scorrette che potrebbero esporre la società a problematiche di sicurezza, di immagine e patrimoniali per eventuali danni cagionati anche a terzi.
L’insieme delle norme comportamentali da adottare è ispirato ai principi di diligenza, informazione, correttezza nell’ambito dei rapporti di lavoro e inoltre finalizzato a prevenire eventuali comportamenti illeciti dei dipendenti e collaboratori, pur nel rispetto dei diritti a essi attribuiti dall’ordinamento giuridico italiano.
A tale proposito si rileva che gli eventuali controlli previsti escludono finalità di monitoraggio diretto e intenzionale dell’attività lavorativa e sono disposti sulla base della vigente normativa, con particolare riferimento al Regolamento (UE) 2016/679, alla legge n. 300/1970 (Statuto dei lavoratori) e ai provvedimenti emanati dall’Autorità Garante (in particolare Provvedimento del 1 marzo 2007).
Art. 2 – Ambito di applicazione
Il presente regolamento si applica a ogni utente assegnatario di beni e risorse informatiche aziendali ovvero utilizzatore di servizi e risorse informative della società.
Per utente pertanto si intende, a titolo esemplificativo e non esaustivo, ogni dipendente, collaboratore, consulente, fornitore o altro che in modo continuativo non occasionale operi all’interno della struttura aziendale utilizzandone beni e servizi informatici.
Per ente si intende, invece, la società, l’organizzazione e in generale il titolare dei beni e delle risorse informatiche ivi disciplinate, il quale opererà per mezzo dei soggetti che ne possiedono la rappresentanza.
Art. 3 – Titolarità dei beni e delle risorse informatiche
I beni e le risorse informatiche, i servizi ICT e le reti informative costituiscono beni aziendali rientranti nel patrimonio sociale e sono da considerarsi di esclusiva proprietà dell’ente.
Ciò considerato, il loro utilizzo è consentito solo per finalità di adempimento delle mansioni lavorative affidate a ciascun utente in base al rapporto in essere, ovvero per gli scopi professionali afferenti l’attività svolta per l’ente, e comunque per l’esclusivo perseguimento degli obiettivi aziendali.
A tal fine si precisa sin d’ora che qualsivoglia dato o informazione trattato per mezzo dei beni e delle risorse informatiche di proprietà dell’ente sarà dallo stesso considerato come avente natura aziendale e non riservata.
Art. 4 – Responsabilità personale dell’utente
Ogni utente è personalmente responsabile dell’utilizzo dei beni e delle risorse informatiche affidatigli dall’ente nonché dei relativi dati trattati per finalità aziendali.
A tal fine ogni utente, nel rispetto dei principi di diligenza sottesi al rapporto instaurato con l’ente e per quanto di propria competenza, è tenuto a tutelare il patrimonio aziendale da utilizzi impropri o non autorizzati, danni o abusi anche derivanti da negligenza, imprudenza o imperizia. L’obiettivo è e rimane sempre quello di preservare l’integrità e la riservatezza dei beni, delle informazioni e delle risorse aziendali.
Ogni utente è tenuto a operare a tutela della sicurezza informatica aziendale, in relazione al proprio ruolo e alle mansioni in concreto svolte, riportando al proprio responsabile organizzativo diretto e senza ritardo eventuali rischi di cui è a conoscenza ovvero violazioni del presente regolamento. Sono vietati comportamenti che possano creare un qualsiasi danno, anche di immagine, all’ente.
Art. 5 – Controlli
L’ente esclude la configurabilità di forme di controllo aziendali aventi direttamente a oggetto l’attività lavorativa dell’utente, in linea con quanto prescritto dall’ordinamento giuridico italiano (art. 4, statuto dei lavoratori).
Ciononostante non si esclude che si possano utilizzare sistemi informatici, impianti o apparecchiature dai quali derivi la possibilità di controllo a distanza dell’attività dei lavoratori per ragioni organizzative e produttive ovvero per esigenze dettate dalla sicurezza del lavoro. Per tali evenienze, eventualmente, sarà onere dell’ente sottoporre tali forme di controllo all’accordo con le rappresentanze sindacali aziendali. In difetto di accordo e su istanza dell’ente sarà l’ispettorato del lavoro a indicare le modalità per l’uso di tali impianti.
I controlli posti in essere saranno sempre tali da evitare ingiustificate interferenze con i diritti e le libertà fondamentali dei lavoratori e non saranno costanti, prolungati e indiscriminati.
L’ente, riservandosi il diritto di procedere a tali controlli sull’effettivo adempimento della prestazione lavorativa nonché sull’utilizzo da parte degli utenti dei beni e dei servizi informatici aziendali (artt. 2086, 2087 e 2104 c.c.), agirà in base al principio della gradualità. In attuazione di tale principio:
- I controlli saranno effettuati inizialmente solo su dati aggregati riferiti all’intera struttura aziendale ovvero a singole aree lavorative;
- Nel caso in cui si dovessero riscontrare violazioni del presente regolamento, indizi di commissione di gravi abusi o illeciti o attività contrarie ai doveri di fedeltà e diligenza, verrà diffuso un avviso generalizzato o circoscritto all’area o struttura lavorativa interessata, relativo all’uso anomalo degli strumenti informatici aziendali, con conseguente invito ad attenersi scrupolosamente alle istruzioni ivi impartite;
- In caso siano rilevate ulteriori violazioni, si potrà procedere con verifiche più specifiche e puntuali, anche su base individuale.
L’ente titolare non può in alcun caso utilizzare sistemi da cui derivino forme di controllo a distanza dell’attività lavorativa che permettano di ricostruire l’attività del lavoratore.