Scopo

Il presente documento ha lo scopo di definire i criteri per la gestione del posto di lavoro dell’Università degli Studi di Udine in base a quanto previsto dal Decreto Legislativo 196 del 30/06/2003 – "Codice in materia di protezione dei dati personali" (d’ora in poi denominato Codice).

Le disposizioni contenute nel presente documento sono dirette a tutto il personale dipendente a tempo indeterminato, determinato, a contratto ed ai collaboratori dell’Università ed integra il documento denominato “Modalità e limiti di utilizzo della rete telematica dell’Università degli Studi di Udine”.

Accesso alle aree di trattamento di dati personali

L’accesso alle aree dove vengono trattati i dati personali è consentito esclusivamente al personale dipendente o al personale collaboratore al quale è stato attribuito specifico incarico.

L’accesso da parte di estranei è ammesso sotto il controllo e la responsabilità dei dipendenti e collaboratori incaricati.

Le chiavi di accesso agli uffici ed ai fabbricati sono gestite e custodite dal Titolare o da un suo delegato. Previa istanza e conseguente autorizzazione esse possono essere affidate in copia al richiedente. Il consegnatario deve custodire le chiavi con la massima diligenza e non le può cedere ad altri anche temporaneamente. E' inoltre vietato contrassegnare in modo riconoscibile le chiavi medesime e i portachiavi con l'indicazione circa il loro uso. In caso di smarrimento l'affidatario ha l'obbligo di segnalare immediatamente l'accaduto al responsabile per le necessarie valutazioni circa l'opportunità di procedere alla sostituzione delle serrature interessate.

Gestione e utilizzo del posto di lavoro e dei luoghi di archiviazione

Gli addetti devono gestire la documentazione di lavoro nel rispetto di norme di sicurezza al fine di minimizzare i rischi inerenti la perdita e/o la visione da parte di estranei.

Sulle scrivanie devono essere posizionate esclusivamente le pratiche contenenti dati personali in uso corrente. Conclusa la pratica, essa deve essere riposta negli appositi contenitori. Particolare attenzione va posta durante l’abbandono, anche momentaneo, del posto di lavoro. In tal caso la documentazione va celata in modo tale da non consentirne la visione da parte di chi non sia non autorizzato.

A fine giornata qualsiasi documento contenente dati personali deve essere riposto ordinatamente negli appositi contenitori o in luoghi non accessibili agli estranei.
In deroga a quanto sopra, e solo per motivi di forza maggiore e/o di urgenza, è possibile astenersi dal riporre la documentazione, a condizione che i locali vengano chiusi a chiave e che l'ufficio interessato sia frequentato solo da altro personale addetto a mansioni analoghe.

Il personale è tenuto alla riservatezza sul contenuto delle pratiche curate di persona e da parte dei colleghi, ed è tenuto inoltre ad accertare il motivo della presenza di personale non appartenente al proprio ufficio e di estranei.

In caso di ingresso di estranei all'Università l'addetto ha l'obbligo di celare ogni informazione personale presente su materiale cartaceo o sullo schermo del proprio elaboratore.

Le stampe vanno immediatamente recuperate dalla stampante. Dove possibile, ed in caso di stampanti condivise, ogni stampa deve essere preceduta da apposito separatore indicante il soggetto o l'elaboratore richiedente. Stampanti, apparecchi fax ed apparecchiature corrispondenti devono essere collocate in luoghi in cui ne sia agevole la sorveglianza. Eventuali stampe e fotocopie non più necessarie contenenti dati personali vanno eliminate mediante l’uso di apposite apparecchiature distruggi documenti.

Particolare attenzione va posta durante la digitazione dei codici di accesso (username e password). L’addetto, prima di digitare sulla tastiera i codici sopra citati, deve assicurarsi che nessuno possa prendere visione e conoscenza di quanto immesso.
Ogni addetto è inoltre posto a conoscenza e tenuto a rispettare quanto contenuto nel documento denominato “Modalità e limiti di utilizzo della rete telematica dell’Università degli Studi di Udine”.

Particolarità gestionali per i dati personali

Gli uffici, gli archivi, gli armadi, le cassettiere ecc.. contenenti dati personali sono dotati di serratura con chiusura a chiave o altra idonea apparecchiatura.

È vietato il trattamento e la visione di dati sensibili al personale non appositamente autorizzato da parte del Titolare o dal responsabile dei trattamenti.
Ferme restando le disposizioni del precedente paragrafo, il personale deve gestire le pratiche contenenti dati sensibili con particolare diligenza: sulla propria scrivania devono essere posizionate esclusivamente le pratiche in uso corrente e deve essere prestata la massima attenzione affinché nessuno possa venire a conoscenza delle informazioni ivi contenute. Conclusa la pratica, essa deve essere immediatamente riposta negli appositi scaffali, armadi e cassetti chiusi a chiave.
Corre inoltre obbligo al Personale di informare il titolare o il responsabile del trattamento di ogni evenienza direttamente o indirettamente idonea a compromettere la riservatezza dei dati personali.
Al termine della giornata lavorativa il personale incaricato del trattamento di dati sensibili si accerta che tutti gli armadi, cassettiere e contenitori analoghi siano chiusi a chiave.
Particolare attenzione va posta durante l’abbandono momentaneo del posto di lavoro. In tal caso la documentazione va celata in modo tale da non consentire la visione o l’asportazione della stessa da parte di personale non autorizzato.

L’accesso agli archivi e uffici contenenti dati sensibili è controllato. Le persone ammesse a qualunque titolo dopo l’orario di chiusura vengono identificate e registrate. L’autorizzazione viene data dal titolare o responsabile del trattamento.

Il trasporto delle pratiche contenenti dati sensibili è concesso su specifica autorizzazione e/o per particolari esigenze che non possano essere soddisfatte altrimenti. In tal caso il materiale cartaceo è inserito all’interno di raccoglitori, cassetti, armadi ecc.. non trasparenti e opportunamente chiusi, in modo da rendere impossibile la perdita del materiale. Se ritenuto opportuno potrà essere redatto verbale nel quale vengono individuati, mediante codici, quantitativi, descrizioni sommarie, i contenitori oggetto del trasporto.

Il Titolare, attraverso i responsabili dei trattamenti, individua per iscritto i soggetti incaricati del trattamento dei dati, specificandone gli ambiti di trattamento. Tale elenco viene aggiornato una volta l'anno.

Gestione dei sistemi di elaborazione delle informazioni

Gli elaboratori devono essere costantemente sorvegliati dall’utilizzatore. In caso di allontanamento dal proprio posto di lavoro l’utilizzatore deve provvedere ad attivare tutte le cautele necessarie ad impedire l'accesso di estranei alle informazioni, secondo le istruzioni di seguito specificate:

- Nel caso di allontanamento dal posto di lavoro e dal sistema di elaborazione in uso per un periodo presumibilmente superiore ai sessanta minuti il computer deve venire spento;
- Per periodi inferiori l'utilizzatore deve bloccare l’accesso al computer mediante le apposite funzioni del sistema operativo, della rete o degli applicativi (per esempio facendo il log-out dal sistema o dall’applicativo utilizzato). Ove non disponibili idonee funzioni deve venire utilizzato almeno un salvaschermo protetto da password.
- In mancanza di specifica autorizzazione da parte del Titolare o suo delegato non possono essere spostati e/o portati all’esterno dell’Università dispositivi contenenti dati personali.

Gestione dell’autenticazione informatica

L’accesso ai sistemi informatici è consentito previa autorizzazione rilasciata dal responsabile del trattamento. Quest’ultimo, contestualmente all’autorizzazione, consegna al richiedente, che ne rilascia ricevuta, copia del presente documento e del documento denominato “Modalità e limiti di utilizzo della rete telematica dell’Università degli Studi di Udine”.
Le credenziali di autenticazione sono composte dal nome utente (username) e da una password.
Lo username è attribuito e gestito dall’amministratore del sistema;
La password viene inizialmente assegnata dall’amministratore del sistema, e deve essere immediatamente cambiata dall’utente dopo il primo accesso.

La password:

• Deve essere di lunghezza non inferiore ad 8 caratteri oppure, nel caso in cui ciò non sia possibile, da un numero di caratteri pari al massimo consentito
• Non deve contenere riferimenti agevolmente riconducibili all’incaricato o ad ambiti noti;
• Deve essere obbligatoriamente cambiata dopo il primo utilizzo e successivamente almeno ogni 3 mesi nel caso di trattamento di dati sensibili e giudiziari, ed almeno ogni sei mesi negli altri casi.
• Deve essere diversa da quelle precedentemente utilizzate;
• E’ nota esclusivamente all’utilizzatore e non può essere assegnata e/o comunicata ad altri utenti; Non deve essere basata su nomi di persone, date di nascita, animali, oggetti o parole ricavabili dal dizionario (anche straniere), tratta da informazioni personali;
• Non deve presentare una sequenza di caratteri identici o in gruppi di caratteri ripetuti;
• Deve essere composta da caratteri maiuscoli e minuscoli e da numeri (per esempio E21s3tHi).
• Non deve essere memorizzata in funzioni di log-in automatico, in un tasto funzionale o nel browser utilizzato per la navigazione internet.
• Può essere annullata e sostituita con una nuova prima della scadenza per motivate necessità e previa informazione all’utente, da parte degli amministratori di sistema o loro delegati. In questo caso essa dovrà essere nuovamente modificata al primo accesso da parte dell’utente.

Credenziali di autenticazione per l’accesso alternativo

Ai sensi del punto 10 dell’allegato B del Codice ciascun responsabile dei trattamenti stabilisce idonee procedure per l’accesso ai dati personali in caso di prolungata assenza o impedimento dell’incaricato. Tale accesso deve avvenire esclusivamente per urgenti ed indifferibili necessità, anche connesse con la manutenzione tecnica e non deve comunque comportare l’utilizzo delle credenziali di autenticazione dell’incaricato. Dell’accesso alternativo ai dati e delle eventuali operazioni effettuate deve essere data tempestiva comunicazione all’incaricato al suo rientro.

Custodia e salvataggio dei dati personali

Le seguenti disposizioni si riferiscono ai casi in cui la gestione dei sistemi informatici contenenti dati personali, siano essi server o computer client, venga effettuata direttamente dalla struttura in cui si trova l’apparecchiatura.
Ai sensi del punto 18 dell’Allegato B del Codice è fatto obbligo di effettuare una copia di riserva dei dati (c.d. backup) al minimo ogni sette giorni. E’ fatto inoltre obbligo di porre i supporti di memorizzazione contenenti il backup di dati personali in luogo chiuso ed accessibile al solo personale autorizzato, possibilmente in locale diverso da quello in cui si trova l’elaboratore. E’ consigliabile prevedere almeno due insiemi di supporti di memorizzazione (preferibilmente CDR – CDRW, DVD, nastro magnetico) da alternarsi in occasione delle operazioni di salvataggio. I supporti in disuso devono essere resi illeggibili o distrutti.

Protezione dei sistemi da virus ed altri agenti dannosi

E’ fatto obbligo ad ogni utilizzatore di elaboratori di provvedere all’aggiornamento quotidiano dei programmi antivirus, del sistema operativo e dei programmi in dotazione (ad esempio word processor, browser), possibilmente come prima operazione all’accensione del computer. E’ inoltre consigliabile provvedere all’attivazione, ove disponibili, delle procedure di aggiornamento automatico on-line sia dell’antivirus che del sistema operativo e dei programmi di cui è dotato l’elaboratore. I programmi di protezione e supporto alla sicurezza (quali ad esempio gli antivirus, antispyware, firewall ecc..) non devono per nessun motivo essere anche temporaneamente disattivati o disinstallati.

E’ inoltre consigliabile provvedere periodicamente, al minimo ogni quindici giorni, preferibilmente in periodi di inattività della macchina, all’operazione di scansione antivirus. Anche in questo caso è consigliabile utilizzare la funzione di periodica attivazione automatica.
E’ fatto inoltre obbligo di segnalare ai servizi a ciò dedicati (CSIT, Help Desk Informatico di Ateneo) ogni anomalia che possa essere riconducibile all’aggressione di un agente dannoso (reindirizzamento di pagine web, messaggi indesiderati, blocco di programmi, rallentamenti, ecc..).

Protezione degli apparati fisici di rete

Gli apparati fisici utilizzati per la rete dell’Università degli Studi di Udine ed il cablaggio di rete devono garantire il trasporto delle informazioni, la continuità dei servizi di connettività, la fruibilità delle informazioni dalle postazioni di lavoro nel rispetto dei sistemi di autenticazione ed autorizzazione.


I collegamenti fisici alla rete vengono assicurati da cavi fissati al muro o al pavimento e protetti da apposite canaline protette o con cavi murati.
Gli apparati di rete quali hub, switch, bridge, router, gatway ed eventuali firewall sono posti in opportuni spazi custoditi o chiusi.

Accesso e utilizzo di internet e della posta elettronica

L’utilizzo di Internet, la navigazione in rete e l’utilizzo della posta elettronica è consentita a tutto il personale a seguito di apposita autorizzazione.

Lista di distribuzione

Tutti gli utenti dei sistemi dell’ Università degli Studi di Udine