blog.imm.cnr.it

LINEE GUIDA SULL’UTILIZZO DELLE MAILING-LIST DEL CNR

1. Finalità e ambito di applicazione
Le mailing-list (liste di distribuzione) costituiscono uno strumento istituzionale volto ad agevolare la diffusione e lo scambio di informazioni tra il personale dell’Ente.

Il loro utilizzo è consentito esclusivamente per finalità connesse allo svolgimento delle attività istituzionali del CNR e nel rispetto della normativa vigente, con particolare riferimento alla disciplina in materia di protezione dei dati personali e all’utilizzo delle risorse informatiche dell’Ente.

Le presenti Linee guida si applicano a tutte le liste di distribuzione attivate nell’ambito dell’infrastruttura informatica del CNR.

2. Gestione tecnica del servizio
Le mailing-list sono gestite tecnicamente dall’Ufficio Agenda Digitale e Processi. Per informazioni, segnalazioni o richieste di natura tecnica è possibile contattare: mail@cnr.it

L’invio di messaggi alle liste può prevedere sistemi di conferma automatica dell’identità del mittente (es. link di verifica), quale misura di prevenzione contro l’invio di messaggi indesiderati (spam).

3. Tipologie di mailing-list

3.1 Liste istituzionali per ruolo
Le liste istituzionali per ruolo sono finalizzate alla diffusione di comunicazioni di interesse generale rivolte a specifiche categorie di personale.

L’iscrizione a tali liste avviene automaticamente sulla base dei dati presenti negli archivi informatici dell’Area Risorse Umane, in relazione al ruolo e allo status attivo del dipendente.

Sono attive, a titolo esemplificativo, liste riferite a:

• dipendenti;
• ricercatori e tecnologi;
• direttori;
• personale dell’amministrazione centrale.

Caratteristiche principali:

• l’iscrizione è automatica e non è prevista la cancellazione volontaria;
• l’appartenenza alla lista è connessa al ruolo ricoperto;
• tutte le liste istituzionali sono soggette a moderazione preventiva;
• la moderazione è svolta dall’Ufficio Agenda Digitale; per la lista “dipendenti” la moderazione è curata dalla Direzione Generale.

curata dalla Direzione Generale.

Tali liste costituiscono uno strumento essenziale per la gestione del rapporto di lavoro e per garantire l’efficace diffusione delle comunicazioni istituzionali.

Base giuridica del trattamento

Il trattamento dei dati personali connesso all’istituzione e all’utilizzo delle liste istituzionali per ruolo si fonda sull’art. 6, par. 1, lett. e) del Regolamento (UE) 2016/679, in quanto necessario per l’esecuzione di un compito di interesse pubblico e per l’esercizio di pubblici poteri attribuiti al CNR dalla normativa vigente.

Le comunicazioni veicolate tramite tali liste sono funzionali all’organizzazione e alla gestione del rapporto di lavoro e delle attività istituzionali dell’Ente, nel rispetto dei principi di cui all’art. 5 del GDPR.

3.2 Liste istituzionali tematiche a gestione autonoma
Le liste tematiche sono istituite per specifiche esigenze organizzative, progettuali o informative (es. attività istituzionali di Istituti e Dipartimenti, progetti, gruppi di lavoro, eventi, categorie di personale, ruoli nell’ambito dell’organizzazione).

Caratteristiche:

• attivazione su richiesta motivata indirizzata a mail@cnr.it;
• gestione operativa affidata a un Responsabile della lista (owner), eventualmente coadiuvato da delegati;
• possibilità di gestione autonoma degli iscritti (inserimento e cancellazione) da parte del Responsabile;
• eventuale assenza di moderazione preventiva, ferma restando la responsabilità del Responsabile della lista;
• sistemi di verifica automatica contro lo spam.

Il Responsabile della lista è tenuto a vigilare sul corretto utilizzo dello strumento e sul rispetto delle presenti Linee guida.

Inoltre, il Responsabile della lista opera quale soggetto autorizzato al trattamento ai sensi dell’art. 29 GDPR e dell’art. 2-quaterdecies del D.Lgs. 196/2003 ed è tenuto a vigilare sul rispetto della normativa in materia di protezione dei dati personali.

In caso di assenza di moderazione preventiva, il Responsabile verifica ex post eventuali utilizzi non conformi e segnala tempestivamente situazioni di rischio alla Direzione competente e al RPD.

4 Obblighi degli utenti
L’utente abilitato all’utilizzo di una mailing-list si impegna a rispettare:

• le presenti Linee guida;
• informativa in materia di dotazione informatica per lo smart working (reperibile alla pagina https://www.cnr.it/it/trasparenza/circolari/allegato/57966/all-5-informativa-in-materia-di-dotazione-informatica.pdf);
• la Direttiva n. 2/2009 del Dipartimento della Funzione Pubblica sull’utilizzo della posta elettronica e di Internet;
• il Codice di comportamento del CNR (reperibile alla pagina https://www.cnr.it/it/normativa-e-informazioni-in-materia-di-procedimenti-disciplinari);
• le regole di utilizzo della rete GARR (https://www.garr.it/it/regole-di-utilizzo-della-rete-aup ).

5 Verifica preventiva dei contenuti
Prima dell’invio di un messaggio a una mailing-list, l’utente è tenuto a verificare:

• la coerenza del contenuto con le finalità istituzionali della lista;
• la compatibilità tra i dati personali eventualmente contenuti nel messaggio o negli allegati e la categoria dei destinatari iscritti;
• la stretta pertinenza e non eccedenza dei dati rispetto alla finalità della comunicazione.

Qualora il messaggio contenga dati personali riferiti a soggetti identificati o identificabili, l’utente deve applicare il principio di minimizzazione, limitando le informazioni ai soli dati indispensabili o, ove possibile, ricorrendo ad anonimizzazione o pseudonimizzazione. L’invio attraverso mailing list di messaggi e/o documenti contenenti

• categorie particolari di dati personali ovvero dati che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona;
• dati relativi a condanne penali e reati;
• informazioni coperte da obblighi di riservatezza o segreto d’ufficio deve essere limitato ai soli casi in cui tale comunicazione sia strettamente necessaria rispetto alla finalità istituzionale perseguita, supportata da idonea base giuridica e indirizzata esclusivamente a liste di distribuzione circoscritte ai soggetti effettivamente autorizzati e competenti in relazione allo specifico procedimento o attività.

In ogni caso deve essere applicato il principio di minimizzazione dei dati e valutata, ove possibile, l’adozione di modalità alternative di condivisione (es. accesso selettivo a documenti su piattaforme protette).

6 Divieti e responsabilità
È fatto divieto di utilizzare le mailing-list per finalità estranee alle attività istituzionali.

A titolo esemplificativo, è vietato l’invio di comunicazioni contenenti:

• pubblicità, diretta o indiretta;
• comunicazioni commerciali private;
• materiale elettorale o propaganda politica non autorizzata;
• contenuti discriminatori, offensivi o lesivi della dignità della persona;
• contenuti in violazione della normativa in materia di protezione dei dati personali;
• materiali che violino diritti di proprietà intellettuale;
• contenuti contrari alla legge o suscettibili di arrecare danno all’Ente o a terzi.

Si precisa che l’invio di email a più destinatari contemporaneamente è da considerarsi a tutti gli effetti un invio massivo. Ad esso si applicano pertanto i medesimi criteri previsti per l’invio tramite mailing list.

7 Protezione dei dati personali
Ai sensi dell’art. 47, comma 3, del D.Lgs. 82/2005 (CAD), le comunicazioni tra amministrazione e dipendenti avvengono mediante strumenti informatici nel rispetto della normativa in materia di protezione dei dati personali.

L’indirizzo di posta elettronica costituisce dato personale; pertanto, l’utilizzo delle mailing-list configura un trattamento di dati personali ai sensi del Regolamento (UE) 2016/679 (GDPR).

Il trattamento deve avvenire nel rispetto dei principi di:

• liceità, correttezza e trasparenza;
• limitazione della finalità;
• minimizzazione dei dati;
• integrità e riservatezza.

L’invio di comunicazioni tramite mailing-list interne configura una comunicazione di dati personali tra soggetti autorizzati al trattamento.

Qualora la lista includa soggetti esterni all’Ente, la comunicazione assume natura di comunicazione a terzi e deve essere supportata da idonea base giuridica e da verifica di compatibilità con le finalità istituzionali.

In tali casi deve essere preventivamente verificata la qualificazione del soggetto esterno sotto il profilo della protezione dei dati personali, accertando se lo stesso operi in qualità di:

• responsabile del trattamento ai sensi dell’art. 28 del GDPR, con conseguente necessità di formale designazione e disciplina contrattuale del rapporto;
• autonomo titolare del trattamento, con individuazione della rispettiva base giuridica e delle responsabilità connesse alla comunicazione dei dati;
• soggetto autorizzato operante sotto l’autorità del CNR, ove ricorrano i presupposti organizzativi e funzionali.

La creazione o l’utilizzo di mailing list che includano soggetti esterni deve essere previamente valutata sotto il profilo della necessità, proporzionalità e sicurezza del trattamento, anche con riferimento all’eventuale limitazione degli accessi ai soli dati strettamente pertinenti.

Per quanto non espressamente previsto nelle presenti Linee guida, si rinvia all’Informativa sul trattamento dei dati personali relativa alla posta elettronica del CNR, disponibile al seguente indirizzo:

https://www.cnr.it/sites/default/files/public/media/servizi_informatici/Informativa_Dati_Personali_POSTA_ELETTRONICA_CNR.pdf

8 Cancellazione dalle liste

• Liste istituzionali per ruolo: non è prevista la cancellazione volontaria; l’iscrizione e la rimozione avvengono automaticamente in base alla variazione dello status giuridico o del ruolo.
• Liste tematiche: la richiesta di cancellazione può essere inoltrata al Responsabile della lista o all’indirizzo tecnico di supporto, secondo le modalità definite al momento dell’attivazione.

9 Inosservanza
La violazione del presente disciplinare e/o di altra norma ad esso connessa può costituire fonte di responsabilità penale, civile, amministrativo/contabile, disciplinare e dirigenziale.

10 Rinvio
Per quanto non espressamente contemplato dal presente disciplinare, si fa rinvio:
- al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (Testo rilevante ai fini del SEE);
- al DECRETO LEGISLATIVO 30 giugno 2003 , n. 196 - Codice in materia di protezione dei dati personali ((,recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE));
- al DECRETO LEGISLATIVO 10 agosto 2018, n. 101, recante Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);
- ad ogni altra norma applicabile.