MISURE TECNICHE ED ORGANIZZATIVE PER LA SICUREZZA DEL PATRIMONIO INFORMATIVO AZIENDALE E L’UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI DA PARTE DEL PERSONALE DIPENDENTE INCONTRO R.S.A. del 3 maggio 2004 Maggio 2004

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Indice / Contenuto 1. Obiettivi 2. Premesse normative Principi generali per il regolamento del monitoraggio sui sistemi informativi –3.1 Oggetto del monitoraggio in CRBZ –3.2 Finalità del monitoraggio in CRBZ 4. Sistemi di prevenzione e di monitoraggio 5. Procedimento in caso di illeciti e irregolarità

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Obiettivi: IDENTIFICARE - STRUMENTI TECNICO/ORGANIZZATIVI, - PROCEDIMENTI OPERATIVI, - CONDIZIONI GIURIDICO - CONTRATTUALI CONDIVISE E ATTE A SALVAGUARDARE: 1) IL PATRIMONIO INFORMATIVO AZIENDALE, in termini di tutela dalla divulgazione e/o utilizzo pregiudizievole delle informazioni e dati aziendali, in contrasto con gli obblighi di fedeltà (art c.c.) e l’osservanza del segreto d’ufficio (art. 30 CCNL ); 2) L’IMMAGINE AZIENDALE, in termini di prevenzione / sanzione degli utilizzi degli strumenti e delle informazioni aziendali per finalità illecite, immorali o comunque contrarie alla tutela di una positiva immagine della Banca, all’interno e all’esterno o alla sensibilità del personale e della clientela; 3) IL DIRITTO ALLA RISERVATEZZA di clienti e colleghi in merito a informazioni e dati personali e/o sensibili; 4) IL RISPETTO DELLE TUTELE NORMATIVE VERSO I LAVORATORI, in merito al divieto di indagini sulle opinioni e sul controllo a distanza dell'attività lavorativa da parte del datore di lavoro (artt. 4 e 8 L. 300/1970)

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Premesse normative e giurisprudenziali : 1) Artt “Statuto Lavoratori” L. 300/70, 2) D.Lgs 196/2003 (ex L. 675/1996) e successive modifiche - codice in materia di protezione dei dati personali 3) art. 15 Costituzione e artt c.p. - violazione, sottrazione e soppressione di corrispondenza 4) Opinion 8/ (applicazione L. 675 nel rapporto di lavoro) e (vigilanza sulle comunicazioni elettroniche sul posto di lavoro) del Gruppo Europeo per la tutela del trattamento dati (Data Protection Working Party) operante per il monitoraggio dell’applicazione normativa e operativa della Dir. 95/46/EC 5) Pareri dell'Autorità Garante per la Privacy 6) Giurisprudenza (non consolidata) e pareri esperti legali

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Premesse normative e giurisprudenziali (segue) : 1) L.300/70: ‘Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere installati soltanto previo accordo con le RSA … In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando le modalità per l’uso …’ ‘È fatto divieto al datore di lavoro, ai fini dell’assunzione come nel corso del rapporto di lavoro, di effettuare indagini sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore’. 2) D.Lgs. 196/2003 (ex L. 675/96): di particolare rilevanza ai fini del monitoraggio dati: art. 11 (ex 9) - Principio di pertinenza art. 13 (ex 10) - Obblighi di informativa art. 23 (ex 11) - Consenso (ove necessario) 3) Art. 15 Costituzione: Principio di inviolabilità e sicurezza della corrispondenza e ogni altra forma di comunicazione 616 c.p. Violazione, sottrazione e soppressione di corrispondenza 618 c.p. Rivelazioni del contenuto di corrispondenza

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Premesse normative e giurisprudenziali (segue) : 4) OPINION PRIVACY: “ non è un diritto assoluto, ma è da bilanciare con altri diritti / libertà e interessi legittimi”…. Il datore di lavoro deve, d’altra parte, trattare i dati nel rispetto di taluni principi essenziali, quali ad es. la finalità, la trasparenza, la legittimità, la proporzionalità, l’accuratezza e la conservazione, la sicurezza. 5) Pareri del Garante: Corrispondenza in linea e quella epistolare non possono essere considerate in modo differente (L. 547/93 - reati informatici e d.p.r. 513/97 - documenti elettronici); riconosce esistenza di interessi legittimi, dell’azienda, che è responsabile per l’informazione trattata dai dipendenti tramite indirizzi di propria pertinenza (es. informazioni illecite, contrarie alla morale, dannose per l’azienda o per terzi, ecc.); preferenza verso la prevenzione di abusi, rispetto alla sanzione 6) Tribunale di Milano - ordinanza : L’indirizzo e.mail assegnato in uso per motivi lavorativi al dipendente è “personale”, ma ciò non significa “privato” (“ la comparsa del nome dell’Azienda nella formulazione dell’indirizzo gli attribuisce valenza aziendale e quindi lo colloca nella disponibilità del datore di lavoro, che può accedervi direttamente o tramite la propria struttura” …. “ l’utilizzo privato dello strumento (cioè extra lavorativo), “ atteso che giammai un uso illecito (o al massimo semplicemente tollerato ma non certo favorito) di uno strumento di lavoro può far attribuire a chi questo illecito commette, diritti di sorta”. La giurisprudenza più recente si sta inoltre consolidando sulla tesi che, laddove il monitoraggio sia previsto per finalità di tutela del patrimonio aziendale (comprendente anche le informazioni, l’immagine interna ed esterna, la clientela etc.) e non il controllo dell'attività del lavoratore - intesa come prestazione lavorativa - esso non vada considerato quale forma di controllo a distanza ai sensi dell’art. 4 L.300/70.

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Principi generali per il regolamento del monitoraggio sui sistemi informativi : 1) FINALITÀ DEL TRATTAMENTO : lecite o rispondenti a interessi legittimi o imposte da norme o necessarie allo svolgimento del rapporto lavorativo; 2) TRASPARENZA : informazione dei dipendenti su QUALI dati, COME, DA CHI e A QUALI FINI vengono raccolti e trattati i dati - ove possibile/opportuno CONSENSO “INFORMATO”; 3) LEGITTIMITÁ : trattamento deve avvenire nel rispetto dei diritti e delle libertà individuali; 4) PROPORZIONALITÁ fra FINALITÀ (monitoraggio rischi sostenuti dal datore) E TRATTAMENTO 5) ACCURATEZZA (correttezza e affidabilità degli strumenti utilizzati per raccolta e trattamento) E CONSERVAZIONE (sicurezza della conservazione dei dati) 6) PROFESSIONALITÁ E RISERVATEZZA del personale autorizzato a intervento e trattamento dati 1) UTILIZZO POSTA ELETTRONICA 2) ACCESSI INTERNET 3) ACCESSI ALLE PROCEDURE IMPIEGATE IN TUTTI I SISTEMI INFORMATIVI DELLA BANCA 3.1 Oggetto del monitoraggio in CRBZ :

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Finalità del monitoraggio in CRBZ : 1)GESTIONE DEL SERVIZIO I.T.: Predisposizione dell’infrastruttura tecnica per la posta elettronica e gli accessi Internet necessaria alla gestione di malfunzionamenti, al monitoraggio/ottimizzazione di carichi di linea, siti e struttura, al riparto dei costi e all’abilitazione e riconoscimento del dipendente autorizzato ad effettuare determinate transazioni, in relazione ai diversi livelli di responsabilità 2) FUNZIONI ISPETTIVE VOLTE ALLA PREVENZIONE DI RISCHI NELLA SICUREZZA DEI DATI E DEL TRATTAMENTO PREVENZIONE DI RISCHI: il monitoraggio degli accessi ed utilizzi è volto a prevenire, identificare e correggere situazioni anomale/illecite, valutare la portata, l’origine, destinazione di singole operazioni e, ove necessario, individuare l’autore di eventuali comportamenti contrari a norme di legge o interne alla Banca, in particolare: - invio tramite i sistemi informativi aziendali di con false impersonificazioni; - invio o raccolta tramite i sistemi informativi aziendali di o immagini contrari alle norme di legge, alla morale (es. a contenuto razzista, pornografico, eversivo…) o a vigenti regolamenti interni (es. raccolta/uso di programmi non autorizzati o rischiosi per l’integrità e funzionalità del sistema informativo della Banca)

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Finalità del monitoraggio in CRBZ (segue) : - tentativo di intrusione in sistemi interni o esterni - violazione di obblighi di legge o contrattuali (obblighi di fedeltà e di rispetto del segreto d’ufficio) o che implichino lo svolgimento di attività contrarie agli interessi dell’Azienda o la violazione del diritto alla riservatezza di clienti e dipendenti, l’interesse alla tutela dell’immagine aziendale. In nessun caso tali sistemi possono essere diretti ad attuare un controllo a distanza della prestazione lavorativa dei dipendenti ovvero altre forme di controllo occulto, ma saranno operati in modo finalizzato alla tutela del patrimonio informativo e della responsabilità/immagine aziendale, anche perché l’adibizione ai terminali rappresenta solo un aspetto della più ampia operatività richiesta al dipendente.

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Sistemi di prevenzione e di monitoraggio : PREVENZIONE DI ABUSI: in sintonia con l’orientamento normativo alla prevenzione degli abusi rispetto alla sanzione, la Cassa ha provveduto alle seguenti misure: informativa ai dipendenti dell’obbligo di utilizzo degli strumenti di posta elettronica e accesso Internet per esclusive finalità di lavoro, in quanto strumenti di proprietà dell’Azienda (L.C. 74/2002); la Cassa ha provveduto ad ascrivere a se stessa la titolarità degli indirizzi di posta elettronica (dominio Internet) sistemi di informazione/avviso dell’utente in merito ai rischi sull’uso di posta elettronica esterna via Internet - rilevamento accesso/tentativo di accesso a siti Internet e identificabilità degli abusi abilitazione all’accesso a siti Internet a postazioni di lavoro autorizzate e/o a siti di interesse aziendale in corso di implementazione filtraggio di siti Web indesiderati (‘websense’)

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Sistemi di prevenzione e di monitoraggio : (segue) MONITORAGGIO DEL TRATTAMENTO: l a sola prevenzione può non garantire sempre la sicurezza del sistema; il controllo di determinati rischi può richiedere una precisa procedura di monitoraggio / Audit che tenga conto delle vigenti disposizioni di legge, di contratto e della necessaria trasparenza nei confronti dei dipendenti. I sistemi informativi utilizzati in Cassa sono generalmente dotati di procedure di Logging, che consentono la registrazione e archiviazione di alcune informazioni, in molti casi storicizzate e disponibili per eventuale recupero dati in caso di malfunzionamenti del sistema ovvero per necessità di conservazione di informazioni nel tempo o per adempimenti di legge. A titolo di esempio: per gli accessi a Internetper gli utilizzi della posta elettronica data e orario accessodata e orario invio user-id connessoindirizzi mittente e destinatario tempo di connessione dimensione del messaggio indirizzo del sito visitatooggetto della missiva Per finalità di accertamento e repressione dei reati i dati relativi agli accessi Internet sono archiviati per mesi (rif. L. 45/2004 che modifica l’art. 132 del D.Lgs. 196/03), decorsi i quali sono automaticamente distrutti dal sistema; L’ACCESSO AI DATI DI LOG È CONSENTITO SOLO AGLI AMMINISTRATORI DI SISTEMA (ex DPR 318/99) formalmente incaricati dell’amministrazione delle risorse di un sistema operativo o base dati.

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Procedimento in caso di illeciti e irregolarità : Ai fini del monitoraggio ed eliminazione di abusi si prevede il seguente procedimento per il recupero dei dati storicizzati dai files di log, per compiere analisi specifiche: 1) Al prefigurarsi del fondato sospetto di un utilizzo illecito/irregolare/contrario a interessi legittimi di strumenti e dati aziendali, convalidato da seri e circoscritti indizi, previa richiesta scritta del Servizio Revisione Interna indirizzata al Servizio Organizzazione/IT/Sicurezza saranno estratte - sempre dagli Amministratori di Sistema, affiancati da addetti del S. Revisione Interna e dell’Ufficio Sicurezza - le informazioni suddette relative al caso in esame, al fine di una specifica analisi delle stesse ad opera del S. Revisione. 2) Informativa di avvio dell’analisi è preventivamente fornita dal S.Revisione Interna a: - S. Legale e contenzioso che, nel caso di presumibili illeciti penali (es. pedofilia), valuterà l’invio immediato di un esposto alle Autorità giudiziarie ; - Direzione Generale, nel caso di presumibili illeciti relativi alla sfera aziendale, che valuterà - ove siano perseguibili anche civilmente o penalmente - di incaricare il S.Legale dei necessari adempimenti informativi verso le Autorità competenti; - S. Personale e Relazioni Sindacali che provvederà a valutare di volta in volta gli eventuali aspetti contrattuali/ disciplinari coinvolti e il necessario preventivo coinvolgimento delle RSA. Il controllo dei dati così organizzati si limita all’entità dello scambio di corrispondenza e al tipo e alla durata delle connessioni/sessioni.

Cassa di Risparmio di Bolzano S.p.A. - Sicurezza del patrimonio informativo aziendale e trattamento dei dati - aprile Procedimento in caso di illeciti e irregolarità : 3) Laddove l’analisi delle informazioni registrate lasci presumere la fondatezza di suddetti sospetti, l’Azienda potrà richiedere di motivare tali anomalie al/i lavoratore/i interessato/i, tramite formale richiesta di chiarimenti. Questo/i, se lo riterrà/nno opportuno, potrà/nno farsi assistere da un rappresentante dell’associazione sindacale cui aderisce/aderiscono o conferisce/conferiscono mandato. 4) Laddove tali chiarimenti non costituiscano sufficienti e valide motivazioni, l’Azienda valuterà di aprire formale contestazione disciplinare verso il dipendente ai sensi art. 7 L. 300/70. DI TALI SISTEMI E PROCEDURE DI MONITORAGGIO SARÁ DATA PREVENTIVA E OPPORTUNA INFORMAZIONE A TUTTI I DIPENDENTI.