Disciplinare per l’uso dei sistemi informativi nell’Unione Reno Galliera e nei comuni aderenti

Disciplinare per l’uso dei sistemi informativi nell’Unione Reno Galliera e nei comuni aderenti

Approvato con delibera di Giunta dell’Unione N.    del   

Parte I – Aspetti generali e comportamentali 2

Art. 1 - Finalità del presente documento 2

Art. 2 - Ambito di applicazione 2

Art. 3 - Definizioni 3

Art. 4 - Sicurezza fisica dei locali 4

Art. 5 - Accesso e utilizzo delle postazioni di lavoro 4

Art. 6 - Accesso dall’esterno 5

Art. 7 - Utilizzo delle postazioni di lavoro 5

Art. 7 Bis – Utilizzo e accesso ai server 6

Art. 8 - Utilizzo di dispositivi mobili – ok aggiornare – dispositivi personali 6

Art. 9 - Utilizzo del software 7

Art. 10 - Assegnazione delle caselle di posta elettronica 7

Art. 11 - Utilizzo e gestione della posta elettronica 7

Art. 12 - Navigazione internet e utilizzo social network 8

Art. 13 - Utilizzo di applicazioni internet 8

Art. 14 - Attività di supporto del servizio informatico 9

Art. 15 - Attività di supporto di software house e fornitori esterni – ok, aggiornato 9

Art. 16 - Accesso ai dati e alle risorse di rete 9

Art. 17 - Gestione dei registri degli accessi 10

Art. 18 - Tutela della Privacy 10

Art. 00 Xxx - Xxxxxxxx, modifica e cessazione delle credenziali 10

Art. 18 Ter Protezione di dati sensibili e giudiziari 11

Art. 18 Quater Formazione degli operatori 11

Parte II – Aspetti organizzativi ed economici 11

Art. 19 - Architettura complessiva dei sistemi informativi 11

Art. 20 - Acquisizione di nuovi sistemi informativi 12

Art. 21 - Rapporti tra Unione e Comuni 12

Parte III - Disposizioni finali e transitorie 13

Art. 22 - Strumenti di gestione delle richieste informatiche 13

Art. 23 - Membri del Comitato SIA, non scriviamo i nomi 13

Art. 24 - Modalità di diffusione del presente documento 13

Art. 25 - Disposizioni transitorie sugli acquisti informatici 14

Art. 25-bis Rapporti con soggetti esterni: ASP Pianuura Est 15

Parte I – Aspetti generali e comportamentali

Art. 1 - Finalità del presente documento

Il presente documento intende fornire indicazioni tecniche ed organizzative da applicare per garantire la sicurezza, l’integrità e la riservatezza dei dati trattati con strumentazioni informatiche e permettere una crescita tecnologica ed organizzativa dei sistemi informativi dei Comuni dell’Unione Reno Galliera in un’ottica di omogeneità tecnologica e di sviluppo al fine di estendere l’uso delle tecnologie sia nell’organizzazione degli enti che nel rapporto con cittadini, professionisti e imprese.

Il documento si propone l’obiettivo di rendere conformi le tecnologie adottate e il comportamento degli utilizzatori alla normativa vigente, in particolare al Regolamento Europeo in materia di protezione dei dati (General Data Protection Rule, UE 2016/179) e successive modificazioni e integrazioni.

A causa dell’interconnettività e dell’interdipendenza fra le componenti di un sistema informativo, i problemi di sicurezza su una postazione o su un punto della rete si propagano e incidono sul funzionamento di tutto il sistema. La sicurezza complessiva di un sistema risente delle criticità dei suoi punti più deboli; è quindi necessario innalzare il livello di sicurezza in particolare nei suoi punti più delicati. Tuttavia è utile ricordare che lo sforzo necessario non deve essere superiore al valore delle risorse che si intendono proteggere.

Art. 2 - Ambito di applicazione

L’ambito di applicazione è esteso a tutti i soggetti che utilizzano postazioni di lavoro, utilizzano credenziali e operano sui dati e sulle informazioni contenute in elaboratori elettronici: dipendenti, collaboratori, amministratori, imprese che hanno rapporti contrattuali con l’Ente o altri soggetti che ne abbiano titolo. Sono tenuti all’applicazione anche gli utilizzatori di altri Enti che attraverso convenzioni o accordi utilizzino le infrastrutture tecnologiche dell’Unione. In tale ambito rientrano i dipendenti dell’ASP Pianura Est e dei Comuni esterni all’Unione Reno Galliera che accedono ai sistemi

dell’Unione. Sono tenuti al rispetto del presente disciplinare tutti i soggetti privati che in forza di rapporti contrattuali con l’Unione o i Comuni utilizzino le infrastrutture tecnologiche. L’applicazione del disciplinare non è estesa a cittadini o altri oggetti che utilizzino le infrastrutture o servizi pubblici di comunicazione anche se messi a disposizione dai comuni o dall’Unione.

Art. 3 - Definizioni

Di seguito vengono fornite alcune definizioni per rendere più comprensibile il documento.

Sistema Informativo: per sistema informativo si intende il complesso di strumentazioni hardware e sistemi software.

Servizio Informatico Associato (di seguito SIA): l’organizzazione all’interno dell’Unione Reno Galliera che, in base alle vigente convenzione, gestisce la funzione informatica dei Comuni dell’Unione.

Comitato SIA: è il tavolo, costituito ai sensi della Convenzione vigente, al quale partecipa un rappresentante per ogni comune. I membri del Comitato SIA mantengono i rapporti di comunicazione tra SIA e Comuni.

Referente del Comune: è il rappresentante del Comune nel comitato che cura i rapporti tra il Comune e il SIA. Di solito è una figura apicale del suo comune e nell’attività di comunicazione può essere supportato da altro dipendente con funzioni operative.

Rete sovracomunale interna (o rete interna): è la rete informatica accessibile dai locali dei Comuni e dell’Unione.

Rete esterna: la rete pubblica a cui si accedono ordinariamente cittadini, imprese e professionisti, in sostanza la rete Internet.

Firewall: sono i dispositivi fisici o logici che separano la rete esterna da quella interna ai fini di proteggere la rete interna.

Utilizzatori dei sistemi informativi: sono i dipendenti, i collaboratori stabili (stagisti, borse lavoro, contratti di lavoro temporaneo per un periodo superiore ai 2 mesi), gli amministratori (Sindaci e Assessori), i Consiglieri. Gli utilizzatori accedono con profili diversi al sistema in base alle funzioni svolte sia di tipo tecnico che politico.

Utilizzatori occasionali: sono soggetti che accedono occasionalmente alla rete interna, quali ad esempio fornitori.

Operatori del servizio informatico: sono i tecnici del servizio informatico che con profili diversi svolgono le funzioni di amministratore dei sistemi informatici: rete, server, database, ecc.

Postazione di lavoro (o postazione client): il computer fisso o mobile utilizzato per l’attività lavorativa. Postazione di lavoro virtuale: computer a cui non è associabile in modo diretto un sistema hardware accessibile fisicamente all’utilizzatore; la postazione di lavoro virtuale viene utilizzata solitamente con un collegamento di una postazione fisica e ha le stesse funzionalità della postazione di lavoro ordinaria.

Server: il computer utilizzato per fornire servizi a più utilizzatori della rete interna. Non prevede di solito la connessione diretta degli utilizzatori come avviene per le postazioni di lavoro fisiche o virtuali. Sistema di gestione Asset: Sistema informativo contenente informazioni su postazioni di lavoro, server, collegamenti, sedi, software, apparati di rete.

Art. 4 - Sicurezza fisica dei locali

L’accesso ai locali e alle postazioni di lavoro è riservato agli utilizzatori in base alle funzioni loro assegnate. L’accesso di personale esterno (quale ad esempio fornitori dell’Ente), che per necessità dovesse utilizzare in modo estemporaneo la postazione di lavoro dovrà essere concordato e autorizzato dal Servizio Informatico Associato ed avviene sotto la responsabilità dell’utilizzatore interno che ne richiede l’intervento. L’accesso ai locali tecnici che contengono infrastrutture di rete, server, impianti elettrici necessari al collegamento è riservato al personale del Servizio Informatico Associato o ai referenti dei comuni che accedono per la manutenzione dei locali e degli impianti. Tali locali sono di norma protetti con chiave o altri meccanismi che ne limitano l’accesso ai soggetti non addetti. I fornitori esterni accedono accompagnati o sotto la responsabilità di personale dei comuni o dell’Unione

Art. 5 - Accesso e utilizzo delle postazioni di lavoro

L’accesso alle postazioni di lavoro avviene con account (credenziali) personali e nominative. La parte riservata delle credenziali di accesso (password, pin o altro) viene modificata periodicamente in base alle disposizioni della normativa vigente. Ogni utilizzatore è responsabile della custodia delle password e delle altre credenziali personali di accesso ai sistemi. E’ fatto divieto di cedere i propri identificativi personali segreti a soggetti terzi, anche al personale del SIA.

Le postazioni di lavoro fornite sono fornite dall’Ente (comune di competenza o Unione). Gli utilizzatori non possono attivare postazioni di lavoro di proprietà nella rete interna, salvo specifica autorizzazione del Servizio Informatico Associato.

L’abilitazione alla rete interna permette l’utilizzo di tutte le postazioni di lavoro fisiche o virtuali. Le

autorizzazioni sono assegnate agli utenti e non alle postazioni che sono tendenzialmente intercambiabili. Il livello di abilitazioni assegnato non deve eccedere rispetto alle necessità lavorative in relazione alla funzione svolta e alle mansioni assegnate. Le utenze di amministrazione devono essere utilizzate unicamente per le funzioni in cui sono richieste; gli utenti del SIA dotati di tali utenze devono disporre anche di utenze ordinarie da utilizzare per le operazioni quotidiane. I fornitori dotati di credenziali amministrative devono poter accedere unicamente ai sistemi e alle funzioni attinenti i loro contratti. Le informazioni relative alle abilitazioni dei fornitori sono documentate nel sistema di gestione degli asset.

Art. 6 - Accesso dall’esterno

L’accesso dall’esterno alle applicazioni e ai dati avviene di norma con le stesse credenziali utilizzate per l’interno. L’accesso dall’esterno non è automatico, ma avviene a seguito di specifica abilitazione. Per gli amministratori, i dirigenti e i responsabili apicali l’abilitazione avviene a seguito di richiesta scritta da parte dell’interessato. Per i dipendenti che non abbiano funzioni apicali l’accesso avviene a seguito di richiesta scritta da parte del dirigente o del responsabile apicale dell’area di riferimento.

L’accesso dall’esterno può avvenire con postazioni di lavoro fornite dall’ente ovvero con postazioni di lavoro di proprietà dell’utilizzatore; in tal caso questi è tenuto a mantenere la postazione di lavoro nelle condizioni minime di sicurezza quale l’installazione di un antivirus. L’accesso dall’esterno può prevedere modalità di autenticazione con un livello di sicurezza più elevato ed essere soggetto a controlli e limiti orari.

Art. 7 - Utilizzo delle postazioni di lavoro

La proprietà delle postazioni di lavoro è dell’Amministrazione (Comune o Unione) e l’utilizzo è consentito unicamente per i fini lavorativi e istituzionali inerenti l’utilizzatore.

L’utilizzatore non vanta sulla postazione di lavoro alcun diritto e non può memorizzarvi dati personali che non abbiano attinenza con l’attività lavorativa o istituzionale, salvo specifica autorizzazione della direzione politica e tecnica dell’Amministrazione e previa comunicazione al SIA.

Gli utilizzatori salvano i dati nelle unità di rete, in quanto non è garantito il salvataggio dei dati memorizzati sulla postazione di lavoro locale. Specifiche politiche di salvataggio dei dati potranno essere attuate per operatori che utilizzano le postazioni di lavoro mobili in accordo con il servizio informatico.

Alla fine della sessione di lavoro gli utilizzatori, di norma, spengono la postazione oppure effettuano la

semplice disconnessione dalla rete, lasciando acceso il computer, nel caso sia necessario un intervento tecnico successivo concordato; è esclusa la possibilità di lasciare sessioni aperte che consentano accesso a postazioni non presidiate. In caso di momentaneo abbandono della postazioni di lavoro, gli utilizzatori sono tenuti a bloccare la postazione stessa in modo che altri soggetti per accedervi debbano inserire le credenziali. Potranno essere attivati meccanismi di blocco automatici di postazioni lasciate inattive e non presidiate dagli utilizzatori.

Art. 7 Bis – Utilizzo e accesso ai server

L’accesso ai server è limitato agli operatori dotati di credenziali personali di amministrazione in base alle funzioni assegnate e ai fornitori in relazione ai rispettivi contratti. Gli accessi ai server sono assegnati in applicazione di un principio di non eccedenza ossia le password sono conosciute solo a chi deve effettivamente utilizzarle e soggette a cambiamenti quando ci sono modifiche organizzative e contrattuali. Gli accessi ai server sono documentati tramite il sistema di gestione degli asset e registrate.

Art. 8 - Utilizzo di dispositivi mobili – dispositivi personali

L’utilizzo delle postazioni di lavoro portatili (notebook o netbook) o di dispositivi mobili (smartphone, palmari) richiede maggiori precauzioni rispetto alle postazioni fisse in ordine ai seguenti elementi:

- attenzione rispetto al furto o allo smarrimento delle stesse;

- attenzione rispetto a virus o codici maligni tramite reti wireless;

Le postazioni di lavoro mobili vengono assegnate per esigenze di lavoro specifiche in cui l’utilizzatore ha necessità di frequenti spostamenti. L’assegnazione delle postazioni mobili viene concordata tra la direzione dei singoli comuni e il Servizio Informatico Associato in base alle indicazioni degli organi politici. E’ compito del Servizio Informatico attuare una politica omogenea di assegnazione dei dispositivi portatili, in particolare di quelli acquisiti nel patrimonio dell’Unione. Sulle postazioni mobili possono essere attivati meccanismi di crittografia dei dati e cancellazione automatica in caso di furto. Sulle postazioni di lavoro mobili e su dispositivi dell’Amministrazione quali smartphone e tablet potranno essere utilizzate informazioni proprie del singolo utilizzatore nel caso in cui queste siano funzionali all’attività lavorativa o istituzionale e non pregiudichino le funzioni dell’apparato o gli strumenti messi a disposizione dell’Unione Reno Galliera. Tali operazioni vanno concordate con il SIA e la responsabilità per il salvataggio è in capo all’utilizzatore. A titolo esemplificativo non esaustivo, su uno smartphone potranno essere memorizzate le credenziali ‘google’ (utili per accedere allo store),

ma la gestione di queste credenziali è in capo all’utilizzatore.

Art. 9 - Utilizzo del software

Ogni necessità di software sulla postazione di lavoro deve essere comunicata al Servizio Informatico Associato.

L’utilizzo del software avviene nel rispetto del diritto d’autore. Chi richiede l’installazione di un software deve avere acquisito la licenza d’uso ove prevista.

Vige il divieto assoluto di installazione di software da parte degli utilizzatori. Tale attività è riservata agli operatori del servizio informatico che ne verificano preventivamente la compatibilità con i sistemi esistenti. Gli utilizzatori non hanno, di norma, le funzioni di amministratore della macchine che è riservata agli operatori del SIA.

Art. 10 - Assegnazione delle caselle di posta elettronica

I dipendenti e i collaboratori che utilizzano le postazioni di lavoro della rete interna utilizzano una casella di posta elettronica personale o d’ufficio in base ai criteri organizzativi definiti dall’Ente. A tutti i dipendenti, assessori e consiglieri che ne facciano richiesta può essere fornita una casella di posta elettronica personale. La casella di posta elettronica assegnata, personale o relativa all’ufficio, contiene nella parte relativa al dominio il riferimento all’ente di appartenenza.

L’utilizzo della casella assegnata avviene, di norma, per fini istituzionali. I dipendenti sono tenuti ad utilizzare la posta personale fornita per le comunicazioni con l’Ente preferendola rispetto ad altre caselle fornite da soggetti esterni (ad esempio per le comunicazione con l’ufficio personale).

Art. 11 - Utilizzo e gestione della posta elettronica

Nell’invio della posta elettronica gli utenti devono includere tra i destinatari solo gli indirizzi strettamente necessari e cercare di limitare la diffusione di indirizzi di posta elettronica di colleghi o terzi, in quanto tale operazione favorisce la diffusione dello spamming (mail spazzatura). Per lo stesso motivo e per l’inutile occupazione di spazio sui server sono vietate le cosiddette “Catene di Sant’Xxxxxxx” ovvero l’inoltro a varie persone di messaggi che contengono informazioni apparentemente utili e relative a lodevoli iniziative che si rivelano di solito come bufale.

Il SIA definisce le policy per la conservazione e l’archiviazione dei messaggi di posta elettronica in modo da permetterne la corretta fruizione da parte degli utilizzatori nel rispetto dell’equilibrio complessivo e dimensionamento dei sistemi. La posta elettronica può essere affidata a soggetti

esterni nel rispetto delle normative sulla memorizzazione dei dati; in tal caso sono adottate le politiche di backup e conservazione dei fornitori in base agi standard di mercato. Nel caso fornitori o personale del SIA accedano alle caselle di posta elettronica per motivi di amministrazione, tali operazioni sono loggate, rintracciabili e ove possibile notificate agli interessati.

La posta elettronica è un sistema di comunicazione e non di archiviazione delle informazioni, pertanto gli utilizzatori devono, al fine di un migliore utilizzo globale, limitare la crescita della dimensione complessiva della casella.

Il SIA attiva funzioni di controllo antispam e antivirus sui messaggi di posta elettronica sia in entrata che in uscita.

Art. 12 - Navigazione internet e utilizzo social network

La navigazione in internet è utile per l’attività lavorativa e a tale fine deve essere, di norma, utilizzata. Il SIA predispone un servizio di filtro automatico dei contenuti (content filtering) finalizzato ad indirizzare la navigazione verso fini istituzionali. Il sistema di content filtering non esaurisce l’elenco dei siti sconsigliati, ma intende solo fornire una indicazione di massima. Si lascia alla responsabilità dei singoli utilizzatori l’individuazione dei siti corretti sui quali navigare.

L’utilizzo di social network durante l’orario lavorativo è consentito agli utilizzatori solo per le finalità previste nell’ambito dell’attività svolta. Possono essere attivati meccanismi che limitano o impediscono l’utilizzo dei social network a gruppi di utenti. La definizione dei dipendenti abilitati all’uso dei social network è stabilita dai dirigenti e responsabili apicali per il personale sotto la propria responsabilità ovvero dagli organi politici in relazione ai propri compiti istituzionali.

L’uso dei social network e di internet da parte dei dipendenti e collaboratori dell’Amministrazione al di fuori dell’orario è previsto in conformità con le linee guida eventualmente definite dall’Amministrazione (per l’Unione Delibera di Giunta 80 del 26/10/2017) e con il Codice di comportamento (delibera di Giunta 2 del 14/01/2014 e successive modificazioni) a cui si rinvia.

Art. 13 - Utilizzo di applicazioni internet

È scoraggiato l’utilizzo di programmi ludici e di intrattenimento tramite Internet (giochi, chat, social network e simili) in quanto tali sistemi, a prescindere dall’impatto sull’attività lavorativa, possono diminuire la sicurezza complessiva dei sistemi informativi.

È vietato l’utilizzo di programmi di streaming multimediale tramite internet e in particolare l’ascolto di

radio, la visualizzazione di tv digitali, filmati e altri strumenti assimilabili in quanto generano una richiesta dati continua che rallenta la rete dati e il funzionamento complessivo dei sistemi informativi.

Chi avesse necessità di utilizzare tali sistemi per fini istituzionali e didattici dovrà concordarne preventivamente l’utilizzo con il SIA.

Art. 14 - Attività di supporto del servizio informatico

Il Servizio informatico effettua, tramite personale proprio o fornitori di fiducia, l’attività di supporto nell’utilizzo dei sistemi informativi. Le richieste di assistenza vengono attivate tramite i seguenti strumenti:

- richieste tramite sistema automatizzato di help desk;

- richieste telefoniche;

- richieste email;

Per effettuare assistenza gli operatori del SIA utilizzano sistemi di accesso e controllo remoto delle postazioni di lavoro. L’accesso remoto alle postazioni di lavoro avviene sempre di comune accordo tra l’utilizzatore della postazione e l’operatore del SIA.

Art. 15 - Attività di supporto di software house e fornitori esterni

I fornitori di software possono fornire assistenza anche tramite collegamenti da remoto secondo le modalità concordate con il SIA. Di norma, il collegamento avviene in modo presidiato a seguito di specifica autorizzazione degli operatori del SIA. Nel caso in cui l’accesso avvenga in modo diretto l’identificazione deve avvenire in modo personalizzato.

Qualora i fornitori o altri soggetti esterni debbano effettuare attività sulle postazioni di lavoro degli utilizzatori o sui server per installazioni e configurazioni, tali attività dovranno essere concordate preventivamente con il SIA. L’accesso da parte dei fornitori avviene in coerenza con i contratti in essere.

Art. 16 - Accesso ai dati e alle risorse di rete

Le attivazione di nuovi utenti e le impostazioni per l’accesso ai dati vengono effettuate dal personale del servizio informatico. Tale attività non può mai essere effettuata su iniziativa del SIA, ma sempre a seguito di richiesta scritta da parte del responsabile del settore di riferimento quale responsabile del trattamento secondo quanto previsto dall’art. 18-bis.

L’abilitazione alle applicazioni e l’assegnazione di funzioni all’interno dell’applicazione vengono

effettuate, di norma, dall’ufficio responsabile del trattamento a cui l’applicazione si riferisce. Tale attività può essere fatta in via straordinaria dagli operatori del SIA a seguito di specifici accordi al fine di avere una migliore organizzazione complessiva.

I comuni (tramite il referente o altro responsabile) comunica gli utilizzatori che devono essere disabilitate o le cui funzioni devono essere modificate in seguito alla cessazione o mutazione del rapporto lavorativo o istituzionale.

Art. 17 - Gestione dei registri degli accessi

L’accesso ai sistemi, le operazioni di navigazione, l’invio dei messaggi di posta elettronica (non il testo stesso) vengono registrati nei log (registri) di sistema che sono conservati in base alle normative vigenti. Tali log non sono utilizzati per controllo specifico dagli operatori da parte del SIA, ma possono essere utilizzati per statistiche generali finalizzate al miglior funzionamento complessivo del sistema. I log di sistema sono disponibili per le richieste dell’autorità giudiziaria.

Art. 18 - Tutela della Privacy

Ogni operazione di trattamento dei dati avviene solo tramite archivi attinenti al proprio lavoro, nel rispetto della normativa vigente in materia di privacy e alle indicazioni del responsabile del trattamento. Si richiede particolare precauzione nelle memorizzazione di informazioni contenenti dati personali e/o sensibili e nell’uso di cartelle ad accesso condiviso.

Art. 00 Xxx - Xxxxxxxx, modifica e cessazione delle credenziali

Il rilascio, la modifica e la cessazione delle credenziali avviene a seguito di specifica richiesta scritta del responsabile apicale del soggetto interessato nel caso in cui questo corrisponda con il responsabile del trattamento. Nel caso sia necessaria l’abilitazione a banche dati in cui il responsabile apicale non corrisponde con il responsabile del trattamento, quest’ultimo deve fornire specifica autorizzazione scritta a seguito della richiesta del primo. La comunicazione delle credenziali avviene in modalità riservata con verifica dell’identità della persona.

In caso di cessazione o modifica del rapporto di lavoro o di collaborazione con l’Amministrazione, il responsabile apicale del soggetto interessato è tenuto alla comunicazione della modifica o cessazione delle credenziali e in caso non provveda risponde delle conseguenze di eventuali accessi illeciti.

Il Servizio Informatico Associato, con il supporto informativo dell’Ufficio Unico del Personale, effettua

controlli a campione e periodici sulle abilitazioni attive evidenziando in base a criteri di esperienza e fatti notori situazioni di abilitazioni non corrette ed eccedenti e ne dà immediata comunicazione al responsabile del trattamento. Nel caso in cui sussistano gravi motivi di rischio rispetto alla riservatezza di dati può provvedere in via cautelare alla disabilitazione del soggetto interessato.

Le abilitazioni dei dipendenti a tempo indeterminato sono effettuate con scadenza illimitata. In tutti gli altri casi con scadenza limitata, in particolare per i dipendenti a tempo determinato in base, per i collaboratori la scadenza coincide con la durata del contratto, mentre per gli amministratori con la durata del mandato politico.

Art. 18 Ter Protezione di dati sensibili e giudiziari

I dati sensibili o giudiziari possono seguire procedure di salvataggio o memorizzazione speciali, concordate caso per caso con i responsabili del trattamento. In tal caso i dati possono essere salvati localmente su postazioni ad hoc opportunamente individuate e gestiti da operatori addestrati in modo specifico.

Art. 18 Quater Formazione degli operatori

Il servizio informatico associato prevede momenti di formazione sull’evoluzione tecnologica e la sicurezza informaticia. Gli operatori sono tenuti a seguire le iniziative di formazione e le istruzioni per consentire l’aggiornamento delle postazioni di lavoro. È responsabilità dei singoli dipendenti cogliere tutte le occasioni possibili per aumentare le proprie conoscenze in ambito ICT.

Parte II – Aspetti organizzativi ed economici

Art. 19 - Architettura complessiva dei sistemi informativi

L’architettura tecnologica dei sistemi informativi è definita dal servizio informatico associato in base alle indirizzi forniti dalle direttive europee nazionali e Regionali (tra cui a titolo non esaustivo si ricordano: Agenda Digitale, Piano Triennale ICT nella PA, Codice dell’Amministrazione Digitale, Norme sulla Trasparenza e l’anticorruzione) e degli organi politici.

L’Unione Reno Galliera e i comuni associati favoriscono l’utilizzo di formati aperti anche nei rapporti con i cittadini e, dove tecnicamente possibile e conveniente, la diffusione di sistemi open source e il riuso del software sia tra i comuni dell’Unione che in ambiti territoriali più ampi (ad esempio Provincia, Regione, altre Unioni). In particolare per la predisposizione di atti amministrativi e documenti per

l’esterno si utilizza il formato PDF, in quanto formato aperto preferendolo ai formati proprietari, nella versione PDF/A per la conservazione futura dei documenti e la firma PDF (PAdES) che consente l’accesso ai documenti firmati senza l’ausilio di software aggiuntivi.

L’Unione Reno Galliera e i comuni associati prediligono l’installazione centralizzata dei software e l’utilizzo di postazioni di lavoro leggere (thin client) e applicativi web. Le applicazioni utilizzano, quando tecnicamente possibile, un unico sistema di autenticazione, in modo che gli utilizzatori possano servirsi delle stesse credenziali per accedere ai vari sistemi seppure con profili distinti in base alle funzioni attribuite.

Al fine di razionalizzare i costi e gli spazi, nonché per una migliore organizzazione, sono preferibili stampanti di rete per uffici e gruppi di lavoro omogenei; è sconsigliato l’utilizzo di stampanti direttamente connesse alla postazione di lavoro.

Art. 20 - Acquisizione di nuovi sistemi informativi

Gli investimenti sui nuovi software vengono finanziati in base alle vigenti convenzioni e agli indirizzi della Giunta dell’Unione.

La decisione per l’acquisizione di nuovi software deve essere concordata tra SIA e responsabili dei servizi interessati.

L’acquisizione di nuovi software e hardware deve essere fatta seguendo principi di omogeneizzazione e standardizzazione.

Al fine di mantenere omogeneità e contenere la spesa corrente inerente i contratti di manutenzione, gli acquisti di natura informatica, in particolare quelli che si riferiscono a nuovi software gestionali, sono autorizzati per iscritto dal Responsabile del SIA a seguito di specifica richiesta del Comune interessato che ne evidenzia i vantaggi derivanti dalla sua implementazione. Tale autorizzazione è necessaria anche per i software finanziati dai comuni.

La spesa corrente informatica relativa a canoni di assistenza e manutenzione di software è tendenzialmente in carico all’Unione. Al fine di attuare corrette previsioni di bilancio i comuni comunicano al Responsabile del SIA entro il 15 settembre di ogni anno gli importi dei canoni previsti per l’anno successivo in seguito all’acquisto di nuovi software avvenuta nel corso dell’anno.

Art. 21 - Rapporti tra Unione e Comuni

Le priorità di sviluppo dei sistemi informativi, il monitoraggio delle attività e il rapporto tra Comuni e Unioni sono svolti attraverso il Tavolo degli Assessori all’Innovazione e Comitato SIA. Il Tavolo degli

Assessori è uno strumento informale e snello, coordinato dal Sindaco delegato all’informatica con il supporto del Responsabile del SIA che svolge un ruolo propositivo e istruttorio rispetto alla Giunta dell’Unione.

Il Comitato Servizio Informatico Associato è il tavolo composto dal Responsabile del SIA, da un rappresentante di ogni comune e da un rappresentante di ogni area dell’Unione. Il Comitato è quindi la sede naturale per lo scambio di comunicazioni tra il SIA, i servizi associati e i comuni. Il rappresentante del Comune può partecipare direttamente oppure tramite soggetto delegato. Il Comitato viene convocato dal Responsabile del SIA ovvero su richiesta di almeno un comune.

Parte III - Disposizioni finali e transitorie

Art. 22 - Strumenti di gestione delle richieste informatiche

Le richieste di assistenza avvengono preferibilmente tramite sistema di ticketing web personalizzato e accessibile a tutti gli utenti attraverso le credenziali di accesso alla rete. In via subordinata le richieste possono avvenire tramite email o nei casi di estrema urgenza tramite telefono. La richiesta di abilitazioni deve seguire i principi stabiliti dalle norme in materia di privacy e sicurezza e potrà essere effettuata tramite specifiche modulistiche atte a garantire la corretta tracciabilità delle stesse. Le postazioni di lavoro, le stampanti, gli apparati di rete, i server, i punti wifi e le connessioni sono memorizzate nel sistema di gestione degli asset che può essere utilizzato per attestare le consistenze dei singoli comuni anche ai fini del riparto dei costi.

Il servizio informatico associato potrà stabilire dei livelli di servizio a cui attenersi sul servizio svolto quali (a titolo indicativo) percentuale massima di telefonate perse, tempo di risposta delle telefonate sul numero di help desk, tempo di presa in carico dei ticket, percentuale di ticket risolti su questioni bloccanti con elevato livello di priorità, tempo di attivazione delle credenziali, tempo di sostituzione delle postazioni di lavoro in caso di guasto.

Art. 23 - Membri del Comitato SIA, non scriviamo i nomi

Fanno parte del Comitato SIA una persona per ogni comune e una persona per ogni area dell’Unione. Al fine di affrontare specifiche tematiche possono essere convocati tavoli a cui partecipano responsabili o referenti di specifiche aree applicative.

Art. 24 - Modalità di diffusione del presente documento

Il presente documento viene portato a conoscenza di tutti gli utilizzatori dei sistemi informativi e viene accompagnata da un vademecum riassuntivo che evidenzia in modo sintetico i punti più rilevanti.

Nel rispetto e nei limiti del presente documento, ulteriori elementi di dettaglio potranno essere emanati dal Responsabile del Servizio Informatico Associato.

Art. 25 - Disposizioni transitorie sugli acquisti informatici

Per l’anno 2018 e fatte salve diverse disposizioni della Giunta dell’Unione sono in vigore I seguenti accordi:

Acquisti di beni e contratti in carico al SIA dell’Unione:

- personal computer;

- stampanti per piccoli gruppi di lavoro;

- software di base (Sistema Operativo) e licenze Office;

- canoni di manutenzione e assistenza per software e hardware;

- canoni telefonici e per multifunzione riferiti a servizi dell’Unione;

- software e sistemi da destinare a tutti comuni attinenti a progetti approvati dalla Giunta dell’Unione

- software e sistemi attinenti a servizi conferiti in Unione.

Acquisti in carico ai comuni:

- materiali di consumo;

- canoni di multifunzione relativi ai comuni;

- contratti relativi a servizi di telefonia dei comuni (centralino, linee telefoniche, fax);

- contratti di assistenza per software acquistati dai comuni non concordati e non comunicati al SIA;

- apparati di rete, cablaggi, impianti elettrici, gruppi di continuità;

- altro hardware non specificato nella sezione precedente (scanner, stampanti di grandi dimensioni, plotter, ecc.);

- altri software che non rientrano nella sezione precedente (Sistemi CAD, sistemi gestionali, investimenti per nuovi siti web, ecc);

- prestazioni di servizio erogate, anche da società informatiche, che non rientrano tra le attività di assistenza e la manutenzione di software o hardware (es. caricamento dati, elaborazioni, calcoli, ecc).

Art. 25-bis Rapporti con soggetti esterni: ASP Pianuura Est

L’Unione Reno Galliera fornisce servizi informatici sistemistici all’ASP Pianura Est. Le disposizioni del presente documento si estendono agli utilizzatori dell’ASP nei limiti delle funzioni disposte dalle Convenzioni in essere e in particolare rispetto all’attività sistemistica, assistenza hardware sulle postazioni di lavoro, gestioni delle credenziali, memorizzazione dei dati sui server. Per i dati memorizzati nelle cartelle dell’ASP Pianura Est e nella banche dati di pertinenza, il titolare del Trattamento è l’ASP Pianura Est che può adottare misure particolari in relazione alla natura del dato trattato. L’Unione Reno Galliera non fornisce supporto sui dati memorizzati in postazioni locali dell’ASP e non entra nel merito della gestione dei trattamenti effettuati dall’ASP garantendo solo la sicurezza e il salvataggio dei dati memorizzati sui propri server in base agli standard in atto sui propri sistemi.