Professional Documents
Culture Documents
Redatto:
Privacy IT Reply
Verificato:
Approvato:
Emanato:
Revisione:
Reply Corporate
1.3
Data di emissione:
Doc ID
Ottobre 2014
n.a.
Doc template
n.a
Note di riservatezza:
Uso interno
data
Novembre 2012
1.1
1.2
1.3
Giugno 2013
Febbraio 2014
Ottobre 2014
(approvato da)
Chief Executive Officer
Chief Operation Officer
HR&Sourcing Director
Regole mailing aziendale
Chief Operation Officer
Tempi retention caselle di posta
Chief Operation Officer
Evidenziazione delle norme specifiche Chief Operation Officer
per le societ italiane e requisito sui
Social Media
Allegati:
-
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
2/22
INTRODUZIONE ..................................................................................................... 4
1.1
1.2
1.3
1.4
SCOPO ................................................................................................................
DESTINATARI .........................................................................................................
RESPONSABILIT ....................................................................................................
GLOSSARIO ...........................................................................................................
4
4
4
5
PRINCIPI PER LA GESTIONE SICURA DEI LOCALI E DELLE RISORSE FISICHE ....... 7
Controllo sul rispetto delle modalit di utilizzo della Posta Elettronica .................. 20
Controllo sul rispetto delle modalit di utilizzo della rete ed Internet ................... 21
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
3/22
INTRODUZIONE
1.1
Scopo
Scopo del presente documento definire le norme e le linee guida che devono essere rispettate
da tutto il personale, ciascuno nei limiti delle proprie mansioni lavorative, al fine di garantire il
corretto e sicuro utilizzo delle risorse messe a disposizione dalle Societ del Gruppo Reply per lo
svolgimento dellattivit lavorativa. Pi precisamente, le regole riportate allinterno del presente
documento sono da applicarsi tanto con riferimento alle risorse fornite dalle singole Societ
quanto con riferimento a quelle fornite dalle aree di staff di Reply Spa (con particolare ma non
esclusivo riferimento a quelle garantite dallArea ICT Italy, nel seguito Area ICT).
Questo documento stato emesso da Reply Corporate. Ciascuna country del Gruppo ha il
compito di adottare e contestualizzare il documento allinterno della propria organizzazione,
considerando i requisiti normativi locali e le proprie specificit organizzative; ciascun
cambiamento al documento, legato a questo genere di specificit, deve essere sottoposto e
verificato dal Chief Operation Officer di Reply.
Allinterno del documento ogni sezione specifica per la Country, legata a requisiti normativi
locali o specificit organizzative, viene sottolineata in questo modo.
In assenza di indicazioni puntuali da parte dei Clienti, le regole di comportamento nel seguito
riportate sono da considerare valide, ove applicabili, anche alle attivit progettuali condotte al
di fuori delle sedi Reply ed ai casi di utilizzo e ricorso ad asset e strumentazioni di terze parti.
Alla luce di quanto sopra riportato, nel seguito del documento, ove non meglio specificato, con il
termine Societ verr fatto sinteticamente riferimento tanto alle Societ del Gruppo Reply
quanto alle Societ clienti.
1.2
Destinatari
1.3
Responsabilit
Dipendente
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
4/22
Chief Operation
Officer
1.4
Glossario
D. Lgs. 196/2003
D. Lgs. 231/2001
L. 633/1941
Dato personale
Dati identificativi
Dati sensibili
Dati giudiziari
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
5/22
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
6/22
Principi generali
I locali e tutte le risorse fisiche fornite dalle Societ
devono essere protetti con la massima diligenza e nel
al fine di prevenire danni conseguenti ad azioni
attenzione deve essere posta allidentificazione di
potenzialmente tali.
Norme di dettaglio
Per garantire la sicurezza delle informazioni contenute nelle aree, negli uffici e negli open space
allinterno dei quali si svolge lattivit lavorativa, dovranno essere rispettate le seguenti
disposizioni:
2.1. laccesso alle sedi consentito solo previa identificazione. Il badge di riconoscimento deve
essere tenuto in posizione ben visibile per lintero periodo di permanenza allinterno delle
sedi aziendali. Non in alcun caso consentito lo scambio o il prestito seppur temporaneo
del badge di riconoscimento assegnato;
2.2. i visitatori possono accedere alle sole aree coerenti rispetto alle ragioni della loro visita;
inoltre devono essere sempre accompagnati dal proprio referente interno, vale a dire dalla
persona o dalle persone cui sono stati annunciati al momento del loro arrivo;
2.3. il personale deve tempestivamente comunicare alle reception/segreterie di sede eventuali
anomalie connesse alla sicurezza fisica di aree e locali nei quali viene svolta lattivit
lavorativa e da cui pu potenzialmente derivare un danno per i dati e le informazioni
gestite. A titolo esemplificativo, rientra tra i doveri di ogni dipendente comunicare le
seguenti circostanze:
guasto o rottura dei sistemi di chiusura delle porte di accesso agli uffici/ delle
finestre;
smarrimento o furto di chiavi di accesso ai locali e/o agli archivi fisici (limitato ai
soli dipendenti che possiedono delle chiavi di accesso).
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
7/22
Principi generali
La documentazione cartacea deve essere utilizzata e conservata con la massima cura, in modo
da evitare che personale non autorizzato possa avervi accesso.
fisici
3.1.3. al termine della giornata lavorativa non siano lasciati incustoditi e facilmente accessibili
documenti di qualsiasi genere.
ad accedere ai dati trattati in una specifica area-ufficio tutti coloro che vi prestano
servizio o che hanno pertinenza con il tipo di attivit svolta;
ad effettuare trattamento di dati personali tutti coloro che hanno ricevuto specifiche
istruzioni in merito attraverso consegna di apposita lettera di incarico al trattamento
dei dati personali.
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
8/22
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
9/22
Principi generali
4.1. vietato compiere qualsiasi azione contraria alle norme di legge, con particolare ma non
esclusivo riferimento al D.lgs 196/2003 (Codice in materia di protezione dei dati
personali), al D.Lgs 231/2001 (responsabilit amministrativa degli enti), ed alla Legge
633/1941 (Diritto dautore); ci anche nel caso in cui lazione sia posta in essere per
conto e/o a favore di una o pi delle Societ del Gruppo Reply.
4.2. Deve essere garantito da parte di tutto il personale il rispetto del processo di
identificazione, autenticazione ed autorizzazione definito per laccesso alle risorse
informatiche.
4.3. Le strumentazioni di lavoro devono essere utilizzate dallutente a cui sono assegnate in
modo da prevenire il danneggiamento fisico delle medesime nonch il furto delle
informazioni gestite per il loro tramite.
4.4. Il comportamento degli utenti deve essere tale da non interferire con il corretto
funzionamento delle soluzioni software implementate per la tutela delle singole risorse
informatiche.
4.1
Norme di dettaglio
Nellambito delle pi generali attivit volte a prevenire la commissione di quelli che la normativa
definisce reati informatici, sono vietati i seguenti comportamenti, anche se posti in essere
nellinteresse e/o a vantaggio di una o pi delle Societ del Gruppo Reply:
4.1.1. introdursi abusivamente in un sistema informatico o telematico protetto da misure di
sicurezza ovvero mantenersi nel sistema stesso contro la volont espressa o tacita di chi ha
il diritto di escluderlo;
4.1.2. procurarsi, riprodurre, diffondere, comunicare o consegnare codici, parole chiave o altri
mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di
sicurezza, o comunque fornire indicazioni o istruzioni idonee al predetto scopo;
4.1.3. procurarsi, produrre, riprodurre, importare, diffondere, comunicare, consegnare o,
comunque, mettere a disposizione di altri apparecchiature, dispositivi o programmi
informatici al fine di danneggiare illecitamente un sistema informatico o telematico, le
informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero favorire
l'interruzione, totale o parziale, o l'alterazione del suo funzionamento;
4.1.4. intercettare comunicazioni relative ad un sistema informatico o telematico o
intercorrenti tra pi sistemi, ovvero impedire, interrompere o rilevare mediante qualsiasi
mezzo di informazione al pubblico in tutto o in parte il contenuto di tali comunicazioni;
4.1.5. installare apparecchiature atte ad intercettare, impedire o interrompere comunicazioni
relative ad un sistema informatico o telematico ovvero intercorrenti tra pi sistemi;
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
10/22
con specifico riferimento alla necessit di prevenire i c.d. reati informatici, tutto il
personale tenuto a prendere visione, ciascuno in funzione del ruolo e delle indicazioni
ricevute da parte della Societ, della documentazione e delle regole definite per il
recepimento del D.Lgs 231/2001 disciplinante la responsabilit amministrativa delle
persone giuridiche, delle societ e delle associazioni anche prive di personalit
giuridica.
4.2
Norme di dettaglio
Ogni utente, per accedere ai sistemi informatici aziendali deve essere preventivamente
identificato ed autenticato, attraverso la verifica delle proprie credenziali. Le credenziali sono
costituite da:
user-id;
password.
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
11/22
devono essere definite password non banali, vale a dire non facilmente riconducibili
alla sfera di vita della singola persona;
4.2.4. quando la password viene ricevuta dagli addetti ai lavori per consentire il primo accesso
al sistema deve essere immediatamente sostituita con una che rispetti i requisiti descritti
nei punti precedenti;
4.2.5. qualora il sistema non richieda automaticamente la sostituzione, la password deve
essere modificata almeno ogni sei mesi (tre mesi nel caso in cui lutente tratti dati
sensibili/giudiziari);
4.2.6. indipendentemente dalle scadenze riportate al punto precedente, la password deve
essere sostituita ogniqualvolta si tema che possa essere stata individuata, anche
fortuitamente, da qualcuno;
4.2.7. la password deve essere sostituita nei casi previsti nel successivo paragrafo 5.3;
4.2.8. la password non deve essere memorizzata su alcun tipo di supporto, magnetico o
cartaceo.
4.3
Norme di dettaglio
Gli strumenti di lavoro forniti dalle Societ, primi fra tutti i PC portatili e fissi sono di esclusiva
propriet delle stesse che ne possono disporre in qualsiasi momento; si ricorda che la
responsabilit dello strumento attribuita a chi ne fa direttamente uso.
A tutto il personale richiesto il rispetto delle seguenti norme:
4.3.a. gli strumenti di lavoro devono essere utilizzati con la massima diligenza possibile e per
finalit prevalenti di carattere lavorativo (in relazione alle mansioni assegnate);
4.3.b. non devono essere consumati cibi e bevande in prossimit delle strumentazioni stesse,
per ridurre i rischi di danneggiamento e/o malfunzionamento;
4.3.c. le postazioni di lavoro devono essere protette da accessi non autorizzati anche attraverso
il ricorso a screensaver attivati automaticamente dopo un predefinito periodo di inattivit
o attivabili quando lutente si allontana dalla propria postazione di lavoro e configurati per
richiedere lautenticazione per laccesso;
4.3.d. la documentazione di lavoro deve essere preferibilmente archiviata allinterno di cartelle
di rete ad accesso controllato e limitato; qualora non possibile lutente deve condurre
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
12/22
4.3.1
PC portatili
Norme di dettaglio
Alle norme elencate per la gestione delle postazioni di lavoro si aggiungono le seguenti,
specifiche per i PC portatili:
4.3.1.1. il supporto tecnico garantito solo per i dispositivi forniti dalle Societ;
4.3.1.2. il PC portatile non deve mai essere lasciato incustodito durante gli spostamenti al di
fuori delle sedi aziendali; in particolare, non deve essere mai lasciato in automobile;
4.3.1.3. i PC portatili devono essere custoditi con la massima cura in modo da evitare incidenti
(cadute accidentali, danneggiamento dello schermo, sottrazione indebita ecc.);
4.3.1.4. in caso di viaggi aerei il PC deve essere sempre trasportato come bagaglio a mano e
sistemato in una custodia adeguata;
4.3.1.5. deve essere posta particolare attenzione allutilizzo di pc portatili in luoghi pubblici,
quali ad esempio locali, stazioni e mezzi di trasporto, al fine di prevenire la presa
visione di informazioni aziendali da parte di terzi non autorizzati;
4.3.1.6. il PC portatile uno strumento aziendale e come tale non deve essere concesso in uso
a terzi, neanche se utilizzato al di fuori della propria sede lavorativa;
4.3.1.7. poich possibile che il PC non sia costantemente connesso alla rete aziendale, deve
essere cura dellutente verificare che il software antivirus venga aggiornato al fine di
disporre dellultima release del file contenente la definizione dei virus (pattern file).
4.3.2
Norme di dettaglio
Le presenti norme comportamentali sono valide per tutti i dispositivi portatili (es. smartphone,
tablet, ecc.):
4.3.2.1. il supporto tecnico garantito solo per i dispositivi forniti dalle Societ;
4.3.2.2. nel caso in cui si utilizzi un PDA personale oppure, a vario titolo, quello di un cliente,
sul medesimo non devono essere memorizzati dati delle Societ del Gruppo Reply o
del cliente stesso o afferenti lambiente lavorativo (ad esempio attraverso la raccolta
di foto e video) se non nei limiti strettamente necessari per adempiere alle mansioni
attribuite;
4.3.2.3. il PDA non deve mai essere lasciato incustodito;
4.3.2.4. laccesso allo strumento deve essere subordinato, ove possibile, allinserimento di un
PIN di accesso;
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
13/22
4.3.3
Supporti di memorizzazione
Norme di dettaglio
Per garantire la sicurezza dei dati contenuti allinterno dei supporti di memorizzazione (ad
esempio CD, DVD, hard disk esterni, chiavette USB, ecc.) dovranno essere rispettate le
seguenti disposizioni:
4.3.3.1. i supporti di memorizzazione, quando mantenuti allinterno di una delle sedi aziendali,
devono essere custoditi in archivi ad accesso limitato al solo personale autorizzato;
durante gli spostamenti al di fuori delle sedi aziendali non devono mai essere lasciati
incustoditi;
4.3.3.2. in funzione della criticit dei contenuti occorre valutare ladozione di tecniche di
protezione dei dati (ad esempio inserimento di password di accesso oppure, per i dati
pi critici, utilizzo di tecniche crittografiche);
4.3.3.3. quanto contenuto nei supporti di memorizzazione deve essere cancellato prima della
dismissione del supporto stesso.
4.4
Norme di dettaglio
Le Societ del Gruppo Reply mettono a disposizione strumenti di lavoro personalizzati, in
termini di dotazione software, sulla base delle specifiche esigenze lavorative.
Per quanto riguarda lutilizzo e linstallazione di prodotti software, necessario attenersi alle
norme descritte nel seguito:
4.4.1. non consentito riprodurre (in modo permanente o temporaneo, totale o parziale),
tradurre, adattare, trasformare, distribuire software di propriet di terzi senza preventiva
autorizzazione;
4.4.2. vietato effettuare download/upload di software illegali (privi di regolare licenza);
4.4.3. vietato utilizzare o anche solo installare software illegali sugli elaboratori di propriet
delle Societ;
4.4.4. vietato installare software volti a consentire laccesso abusivo ad un sistema
informatico o ad arrecare danni ad uninfrastruttura informatica, fatta eccezione per i
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
14/22
4.5
Norme di dettaglio
La possibilit che si riescano a prevenire infezioni da virus informatico non dipende solo dalla
presenza di adeguati strumenti a ci dedicati e dalla loro corretta configurazione, ma anche e
soprattutto dalle modalit di utilizzo degli stessi da parte della generalit degli utenti.
Pertanto a questi ultimi viene chiesto di:
4.5.1. verificare che sia installato un software antivirus sulla propria postazione; in caso non
fosse presente, occorre segnalare tale mancanza allArea ICT;
4.5.2. accertarsi che il sistema antivirus presente sulla propria postazione di lavoro risulti
sempre aggiornato, verificando in particolare che non compaiano avvisi e segnalazioni di
malfunzionamento/mancato aggiornamento. In condizioni di normale funzionamento gli
aggiornamenti sono automatici e trasparenti allutente ed avvengono durante il
collegamento del PC alla rete aziendale;
4.5.3. non modificare la configurazione n disabilitare, per qualsiasi motivo il sistema antivirus.
Qualora specifici applicativi richiedessero lassenza di programmi antivirus per un
corretto funzionamento necessario valutare, con il supporto dellArea ICT, il loro
utilizzo.
4.5.4. non utilizzare prodotti antivirus diversi da quelli forniti dalle Societ;
4.5.5. segnalare tempestivamente allArea ICT eventuali malfunzionamenti del sistema
antivirus; a tal proposito necessario porre particolare attenzione a tutte quelle
situazioni sintomatiche di possibili infezioni informatiche (perdita o modifica di dati o
files, rallentamento delle prestazioni, cambiamenti di nome dei dischi, presenza di
programmi non installati dallutente ecc.);
4.5.6. segnalare tempestivamente allArea ICT la presenza di virus riconosciuti dal sistema
antivirus e non autonomamente rimossi dal sistema stesso.
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
15/22
Norme di dettaglio
Le Societ del Gruppo Reply, per permettere il regolare svolgimento dellattivit lavorativa
mettono a disposizione di tutti i dipendenti numerosi servizi centrali, primi fra tutti la posta
elettronica e la navigazione Internet.
La casella di posta elettronica e laccesso ad Internet sono attivati dallArea ICT nel momento in
cui si instaura un rapporto di lavoro con una delle Societ del Gruppo Reply.
Di seguito sono riportate le norme alle quali tutti coloro che risultano dotati di una casella di
posta aziendale e di una connessione alla rete Internet dovranno attenersi.
5.1
Norme di dettaglio
La casella di Posta Elettronica aziendale (@reply.it), assegnata dalla Societ datrice di lavoro
allutente, uno strumento di lavoro. Lutente assegnatario della casella di posta elettronica
responsabile del corretto utilizzo della stessa.
Tutte le comunicazioni tramite email inerenti le attivit lavorative devono essere
inviate/ricevute utilizzando il dominio @reply.it, a meno di autorizzazione esplicita da parte
dellAzienda.
Utilizzando lindirizzo di posta elettronica aziendale, il dipendente a conoscenza e consapevole
che:
tutti i messaggi in entrata ed in uscita dagli indirizzi di posta elettronica aziendale sono
di propriet della Societ datrice di lavoro; la Societ si riserva pertanto il diritto, per
improrogabili necessit legate allattivit lavorativa, di accedere alla casella in caso di
assenza dellutente assegnatario in accordo con le procedure aziendali, come meglio
descritto nel successivo paragrafo 5.3.
il contenuto dei messaggi di posta deve essere tale da non ledere i diritti della Societ
ed in ogni caso non deve in alcun modo rappresentare una minaccia per limmagine e
la reputazione della stessa;
5.1.2.
agli utenti consentito accedere alle proprie eventuali caselle di posta elettronica
personali tramite Internet. La facolt di utilizzo di tali caselle consentita solo a
condizione che questa non interferisca con gli obblighi di lavoro del dipendente e che
non pregiudichi le attivit della Societ datrice di lavoro e/o delle Societ del Gruppo
Reply;
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
16/22
5.1.4.
5.1.5.
5.1.6.
non aprire i link presenti nei messaggi ricevuti da e-mail non sicure o da mittenti
sconosciuti. I phisher possono utilizzare questi collegamenti per reindirizzare l'utente
su un sito clone di quello desiderato. E preferibile, in caso di necessit, digitare LURL
del sito nell'apposita barra;
5.1.7.
5.1.8.
in caso di assenza programmata (ad esempio per ferie o attivit di lavoro fuori sede
che pregiudichino la visibilit della posta elettronica) opportuno impostare allinterno
del client di posta elettronica messaggi di risposta automatici per permettere ai mittenti
delle mail di essere consapevoli dellassenza dallazienda nonch di ricevere indicazioni
in merito a possibili referenti alternativi;
5.1.9.
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
17/22
5.2
Norme di dettaglio
Devono essere mantenuti comportamenti corretti nellambito della navigazione in Internet. In
particolare:
5.2.1.
consentito solo a patto che ci non interferisca con gli obblighi di lavoro e che non
pregiudichi le attivit della Societ datrice di lavoro e/o delle Societ del Gruppo Reply;
5.2.2.
5.2.3.
5.2.4.
non devono essere condotte attivit dolose a danno di qualsiasi indirizzo internet
visitato (ad esempio tentativi di intrusione);
5.2.5.
5.3
Qualora fosse necessario, urgente e indifferibile laccesso ai dati ovvero richiesto da esigenze
operative/di sicurezza e contestualmente il dipendente risulti assente o indisponibile per un
periodo prolungato di tempo, le Societ possono adottare procedure di emergenza per accedere
ai dati necessari al fine di garantire la normale prosecuzione delle attivit.
Laccesso pu avvenire dunque solo a condizione che:
vi sia una reale esigenza di accesso a specifici dati ed informazioni e gli stessi non siano
in alcun modo recuperabili in modo alternativo (ad esempio rivolgendosi ad un collega
della persona assente, ad un partner di business o utilizzando le copie presenti su una
cartella di lavoro condivisa);
sia eseguito nel rispetto delle procedure aziendali definite a tale scopo.
In particolare la richiesta di accesso ai dati pu essere eseguita solo dal Partner responsabile
della persona assente e, ove possibile, garantendo preventivamente allo stesso comunicazione
in merito allazione che occorre porre in essere. La richiesta del Partner deve essere inoltrata
direttamente al Responsabile dellArea ICT cui spetta il compito, anche per il tramite di suoi
diretti riporti, di eseguire lestrazione dei dati dellutente secondo modalit operative definite in
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
18/22
richiesta avanzata dalla persona che non lavora pi alle dipendenze della Societ
interessata tali richieste non sono ammesse e pertanto, una volta cessato il rapporto di
lavoro, non pi possibile accedere ai dati associati alle proprie utenze.
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
19/22
Dal momento che la violazione delle norme riportate nel presente documento potrebbe esporre
le Societ del Gruppo al rischio di danneggiamento o malfunzionamento del sistema
informativo, le Societ stesse si riservano espressamente il diritto di esercitare dei controlli
generici, in forma anonima e aggregata, sul rispetto dello stesso da parte degli utenti, e di
procedere con indagini pi puntuali in presenza di comportamenti anomali.
I controlli posti in essere dalle Societ del Gruppo Reply vengono svolti nel rispetto delle norme
di legge e di contratto che tutelano lo svolgimento del rapporto di lavoro, la dignit e la privacy
degli utenti e non vengono condotti in modo sistematico. Gli eventuali controlli vengono
effettuati con gradualit. In prima battuta vengono effettuate verifiche in forma aggregata, in
modo da individuare l'area da richiamare all'osservanza delle regole. Solo successivamente, al
ripetersi dell'anomalia, si potrebbe passare a controlli su base individuale.
Di seguito sono riportate le modalit di gestione e controllo messe in atto dalle Societ al fine di
garantire il corretto utilizzo degli strumenti informatici a disposizione dei propri dipendenti ed il
rispetto delle regole di comportamento riportate allinterno del presente documento.
6.1.1
Le Societ del Gruppo Reply applicano le seguenti modalit di gestione e controllo delle caselle
di posta elettronica aziendali:
le Societ non effettuano controlli sistematici sulle caselle di posta degli utenti; laccesso
alla casella di un utente pu avvenire solo nei casi eccezionali descritti al paragrafo 5.3 o
in caso di necessit, su richiesta dellutente stesso, per finalit di manutenzione;
non sono effettuate analisi sui log di posta; laccesso ai log consentito solo agli addetti
dellArea ICT su richiesta del Responsabile dellArea stessa ed in solo caso di comprovate
esigenze di indagini interne/esterne. Le richieste di accesso devono essere
opportunamente documentate;
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
20/22
6.1.2
le caselle di posta degli utenti cessati vengono disattivate e mantenute sul server per un
periodo di circa 6 mesi (in caso di disputa o per comprovate necessit di indagine le
Societ si riservano la facolt di allungare i predetti periodi di conservazione). Laccesso
a tali caselle pu avvenire solo nelle modalit riportate al paragrafo 5.3.
Le Societ del Gruppo Reply applicano le seguenti modalit di gestione e controllo della
navigazione Internet:
non sono effettuate analisi sui log di navigazione; laccesso ai log consentito solo agli
addetti dellArea ICT su richiesta del Responsabile dellArea stessa ed in solo caso di
comprovate esigenze di indagini interne/esterne;
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
21/22
La violazione delle disposizioni e/o dei principi sanciti nel presente regolamento (anche a
prescindere dal verificarsi di eventuali danni al patrimonio delle Societ del Gruppo Reply),
potranno essere sanzionati con:
adozione di provvedimenti disciplinari nei confronti del dipendente che si sia reso
responsabile di eventuali violazioni, nel rispetto delle norme legislative, contrattuali
collettive e regolamentari applicabili in materia.
Nel rispetto del principio di gradualit e proporzionalit delle sanzioni in relazione alla gravit
della violazione, la tipologia e lentit di ciascuna sanzione verr determinata in relazione ai
seguenti criteri generali:
a. intenzionalit del comportamento, grado di negligenza, imprudenza o imperizia
dimostrate, tenuto conto anche della prevedibilit dellevento;
b. rilevanza degli obblighi violati;
c. responsabilit connesse alla posizione di lavoro occupata;
d. rilevanza del danno o grado di pericolo arrecato alle Societ del Gruppo Reply, ai clienti
o a terzi e del disservizio determinatosi;
e. sussistenza di circostanze aggravanti o attenuanti;
f.
I criteri generali sopra riportati non costituiscono un elenco esaustivo: ogni situazione specifica
verr analizzata di volta in volta sulla base di quanto avvenuto e dei criteri identificati.
Ladozione di eventuali sanzioni disciplinari nei confronti dei dipendenti che abbiano violato le
diposizioni riportate allinterno del presente documento non esclude il diritto e la facolt delle
Societ del Gruppo Reply di provvedere alla tutela dei propri diritti ed interessi nelle sedi
amministrative e/o giudiziarie competenti e/o il diritto/dovere di segnalare eventuali
infrazioni/violazioni alle pubbliche autorit.
Redatto:
Privacy IT Reply
Emanato:
Reply Corporate
Note di riservatezza: Uso interno
Verificato:
Data di emissione:
Ottobre 2014
Approvato:
Revisione
Pag.
CEO
COO
HR&Sourcing Director
1.3
22/22