Bur n. 109 del 30 ottobre 2018

Materia: Informatica

Deliberazione della Giunta Regionale n. 1480 del 16 ottobre 2018

Approvazione del documento "Regole per l'uso delle risorse ICT e dei dispositivi di telefonia mobile" in sostituzione delle norme comportamentali già approvate con DGR n. 1677 del 26/10/2016.

Il Vicepresidente Gianluca Forcolin riferisce quanto segue.

Il D.Lgs. n. 196 del 30/06/2003 (c.d. Codice Privacy), adeguato al Regolamento 2016/679/UE con D.Lgs. n. 101 del 10/08/2018, impone all'Amministrazione Regionale una serie di obblighi a tutela dei dati personali, trattati e detenuti per lo svolgimento dei compiti e delle attività istituzionali.

La Regione del Veneto, in ossequio ai principi introdotti dal predetto GDPR (in particolare al principio di "responsabilizzazione"), ha dato ad oggi attuazione allo stesso con DGR n. 167 del 20/02/2018, con DGR n. 473 del 10/04/2018 e con DGR n. 596 del 08/05/2018.

Si fa presente altresì che le risorse ICT dell'Amministrazione regionale costituiscono un bene di valore, da utilizzare e proteggere accuratamente. Esse sono composte da: 1) patrimonio informativo detenuto dall'Amministrazione in formato elettronico; 2) servizi informatici erogati dall'Amministrazione; 3) postazioni di lavoro "fisse" (PC desktop e simili) e "mobili" (PC portatili e simili); 4) dispositivi cellulari (smartphone); 5) software di comunicazione (tipo "messenger" e simili); 6) server, apparecchiature e tutto il materiale hardware in generale.

Giova sottolineare che lo sviluppo e la diffusione delle nuove tecnologie hanno cambiato in profondità il modo di comunicare, creando interconnessioni un tempo inimmaginabili. Una delle sfide più importanti che discende da tali cambiamenti è il rapporto tra tecnologia, nuovi diritti e strategie di prevenzione, il quale dev’essere ripensato e adattato al contesto normativo. In particolare, la protezione del predetto patrimonio risulta articolata e complessa, richiedendo un'analisi “globale” dei sistemi tecnologici adottati, del contesto operativo, dei comportamenti delle persone e delle prassi dell'Amministrazione, al fine di valutare i rischi e definire adeguate misure di sicurezza, sia dal punto di vista organizzativo che tecnico.

Ciò premesso, risulta di tutta evidenza che nessuna misura di sicurezza di tipo fisico, logico ovvero organizzativo può risultare efficace senza il coinvolgimento attivo e la sensibilizzazione degli utenti, i quali nell'uso della strumentazione messa a loro disposizione e dei dati/informazioni impiegati nello svolgimento della propria attività, sono tenuti ad osservare norme di condotta corrette, evitando qualsiasi azione che possa pregiudicare la sicurezza delle risorse o dei dati trattati.

A tal riguardo, la succitata deliberazione n. 596/2018 ha nello specifico delegato il Direttore della Direzione ICT e Agenda Digitale all’adozione, gestione e implementazione delle soluzioni tecnico-informatiche atte a prevenire e contrastare i rischi connessi alla sicurezza informatica (cd. cyber-security) correlati alla protezione dei dati personali, attribuendo al medesimo funzioni gestionali ed operative.

Alla luce di quanto sopra, risulta allo stato opportuno disporre una ridefinizione delle misure organizzative, tecniche e comportamentali connesse alle regole per l'uso corretto e sicuro delle risorse ICT (Information and Communications Technology) dell'Amministrazione regionale oltre che dei dispositivi di telefonia mobile, sostituendo le precedenti "Norme Comportamentali" approvate con DGR n. 1677 del 26/10/2016.

Si propone, pertanto, l'approvazione del documento denominato “Regole per l'uso delle risorse ICT e dei dispositivi di telefonia mobile” costituente parte integrante e sostanziale del presente provvedimento (Allegato A), del quale si dispone la più ampia diffusione presso gli utenti.  

Tale documento è stato condiviso con il “Gruppo di Lavoro GDPR” nominato con DGR n. 596/2018, come può evincersi dal verbale della relativa seduta del 21/09/2018 (agli atti).

Si evidenzia che la definizione, la conoscenza e quindi l'osservanza delle misure contemplate nel citato documento rappresentano un’asse portante della sicurezza informatica regionale, sia sotto il profilo del rispetto degli obblighi previsti dalla normativa vigente in tema di privacy, sia sotto il profilo più sostanziale dell'accrescimento della consapevolezza negli Utenti circa il valore dei beni messi a disposizione dall'Amministrazione. Costituisce infatti regola elementare (condivisa in letteratura e riscontrabile quotidianamente nell'esperienza di chi opera nel settore) che la formazione, educazione e sensibilizzazione degli Utenti consenta di ridurre significativamente i rischi insistenti su un patrimonio tecnologico o di informazioni (anche personali), con un'efficacia maggiore rispetto ad un mero apprestamento di misure fisiche/logiche.

Le “Regole per l'uso delle risorse ICT e dei dispositivi di telefonia mobile” di cui all'Allegato A arricchiscono altresì il quadro regolamentare che l'Amministrazione Regionale si è data nel tempo circa l'uso delle proprie apparecchiature tecnologiche, il cui più importante tassello è costituito dal "Disciplinare per l'utilizzo di: Posta Elettronica, Internet, Telefoni e Fax, all'interno di Regione del Veneto" già approvato con DGR n. 863 del 31/03/2009.

Si precisa, infine, che la presente deliberazione non comporta spesa a carico del Bilancio regionale.

Il relatore conclude la propria relazione e propone all'approvazione della Giunta regionale il seguente provvedimento.

LA GIUNTA REGIONALE

UDITO il relatore, il quale dà atto che la struttura competente ha attestato l'avvenuta regolare istruttoria della pratica, anche in ordine alla compatibilità con la vigente legislazione statale e regionale, e che successivamente alla definizione di detta istruttoria non sono pervenute osservazioni in grado di pregiudicare l'approvazione del presente atto;

• RICHIAMATE le DGR n. 584 del 05/03/2004, n. 888 del 28/03/2006, n. 540 del 11/03/2008, n. 863 del 31/03/2009, n. 240 del 15/03/2011, n. 199 del 27/02/2014, n. 1677 del 26/10/2016, n. 473 del 10/04/2018 e n. 596 del 08/05/2018;
• VISTO il Regolamento Regionale n. 1 del 31/05/2016;
• RICHIAMATO il Regolamento 2016/679/UE del Parlamento Europeo e del Consiglio del 27/04/2016, noto anche come General Data Protection Regulation (GDPR);
• RICHIAMATO il D.Lgs. n. 196 del 30/06/2003 (c.d. Codice Privacy), adeguato al predetto Regolamento 2016/679/UE con D.Lgs. n. 101 del 10/08/2018;
• VISTO il verbale del Gruppo di Lavoro GDPR relativo alla seduta del 21/09/2018, agli atti;
• VISTA la Legge Regionale n. 54 del 31/12/2012.

delibera

1. di approvare, per le ragioni espresse in premessa, il documento “Regole per l'uso delle risorse ICT e dei dispositivi di telefonia mobile”, costituente parte sostanziale ed integrante del presente provvedimento (Allegato A);
2. di dare atto che le “Regole per l'uso delle risorse ICT e dei dispositivi di telefonia mobile” di cui all’Allegato A sostituiscono il documento "Norme Comportamentali"  già approvato con DGR n. 1677 del 26/10/2016;
3. di disporre la massima diffusione e l'applicazione rigorosa da parte degli utenti di quanto previsto dal documento in Allegato A;
4. di incaricare la Direzione ICT e Agenda Digitale dell’esecuzione del presente provvedimento;
5. di dare atto che la presente deliberazione non comporta spesa a carico del Bilancio regionale;
6. di pubblicare integralmente il presente atto nel Bollettino ufficiale della Regione.

(seguono allegati)

Torna indietro