DOCUMENTO PROGRAMMATICO PER LA SICUREZZA

(Decreto legislativo 30 giugno 2003, n.196)

Prot. n. 422/A30 Sant’Angelo di Piove di Sacco 3 febbraio 2012

Il Dirigente scolastico

VISTO il decreto legislativo 30 giugno 2003, n. 196 recante il Codice in materia di protezione di dati personali, e segnatamente gli artt. 34 e seguenti, nonché l’allegato B del suddetto d.lgs., contenente il Disciplinare tecnico in materia di misure minime di sicurezza;

CONSIDERATO che l’Istituzione Scolastica, con sede in via Roma in quanto dotata di un autonomo potere decisionale, ai sensi dell’art. 28 del d.lgs. n. 196 del 2004, deve ritenersi titolare del trattamento di dati personali;

ATTESO che la suddetta Istituzione scolastica è tenuta a prevedere ed applicare le misure minime di sicurezza di cui agli artt. 31 e ss. del d.lgs. n. 169/2003

ADOTTA

il presente DOCUMENTO PROGRAMMATICO DELLA SICUREZZA.

L’istituzione scolastica, per l’espletamento della funzione didattica e formativa, raccoglie e tratta dati personali dei soggetti coinvolti nell’offerta formativa ovvero dei destinatari della stessa, e si precisano i seguenti elementi:

1. elenco dei trattamenti di dati personali;

2. elenco dei dati personali di natura personale, sensibile o giudiziaria

3. distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;

4. ambito dei trattamenti;

5. analisi dei rischi incombenti sui dati;

6. misure adottate per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

7. criteri e modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;

8. programma degli interventi formativi degli incaricati del trattamento;

9. trattamenti di dati personali sensibili o giudiziari con strumenti elettronici affidati all’esterno.

10. atti e documenti non in formato elettronico, archivi cartacei.

1. ELENCO DEI TRATTAMENTI DI DATI PERSONALI

Finalità:

Al fine di perseguire le finalità istituzionali, l’Istituzione scolastica tratta dati personali (sia personali che sensibili o giudiziari) di studenti, personale dipendente, fornitori. I trattamenti sono effettuati, anche mediante strumenti elettronici, per le seguenti finalità:

1. adempimento agli obblighi di fonte legislativa, nazionale o comunitaria, regolamentare o derivante da atti amministrativi;

somministrazione dei servizi formativi;
gestione e formazione del personale, nelle sue varie componenti (docente e non docente, in ruolo presso altri apparati pubblici);
adempimenti assicurativi;
tenuta della contabilità;
gestione delle attività informative curate ai sensi della legge 7 giugno 2000, n. 150 contenente la “Disciplina delle attività di informazione e di comunicazione delle pubbliche amministrazioni”.

Fonte dei dati:

I dati trattati sono conservati su supporti informatici e/o cartacei e sono noti all’istituzione scolastica, in ragione della produzione:

di atti e/o dichiarazioni provenienti da soggetti interessati a fruire direttamente, o a beneficio dei minori sottoposti alla potestà ex art. 316 c.c., dei servizi formativi;
documenti contabili connessi alla fornitura di prestazioni e/o di servizi e/o di lavori; documentazione bancaria, finanziaria e/o assicurativa;
documenti inerenti il rapporto di lavoro, finalizzati anche agli adempimenti retributivi e/o previdenziali.

2. ELENCO DEI DATI PERSONALI DI NATURA PERSONALE O SENSIBILE.

Sulla scorta delle precisazioni sopra elencate, l’istituzione scolastica, sulla base di una prima ricognizione, con salvezza della possibilità di procedere a successive integrazioni e/o correzioni entro il 31.03.2013, dichiara, con riferimento ai destinatari o familiari dei destinatari dell’offerta formativa ovvero del personale coinvolto, a qualunque titolo, nella medesima, o interessato ad essere coinvolto, ovvero di soggetti, a qualsiasi titolo, coinvolti in rapporti negoziali con l’istituzione scolastica, o aspiranti ad assumere tale ruolo, di trattare i dati di seguito elencati:

a) dati identificativi, ai sensi dell’art. 4, comma 1, lettere b) e c) del d.lgs. n.196/2003, univocamente riconducibili ad un soggetto fisico, identificato o identificabile, quale nominativo, dati di nascita, residenza, domicilio, stato di famiglia, codice fiscale, stato relativo all’adempimento degli obblighi di leva.

b) dati identificativi, ai sensi dell’art. 4, comma1, lettere b) e c) del d.lgs. n.196/2003, univocamente riconducibili a persone giuridiche, enti o associazioni, inerenti la forma giuridica, la data di costituzione, la sede, il domicilio, l’evoluzione degli organi rappresentativi e legali, la sede, la partita IVA, il Codice fiscale, la titolarità di diritti o la disponibilità di beni strumentali;

c) dati sensibili, ai sensi dell’art.4, comma 1, lett. d) del d.lgs. n.196/2003;

d) dati giudiziari, ai sensi dell’art. 4 comma 1, lett. E) del d.lgs. n. 196/2003;

e) dati inerenti il livello di istruzione e culturale nonché relativi all’esito di scrutini, esami, piani educativi individualizzati differenziati;

f) dati inerenti le condizioni economiche e l’adempimento degli obblighi tributari;

g) dati riferibili a procedimenti giudiziari, pendenti in qualsiasi grado, o pregressi, di natura civile, amministrativa, tributaria, presso autorità giurisdizionali italiane o estere, diversi da quelli rientranti nell’art. 4 comma 1, lett. e) del d.lgs. n. 196/2003;

h) dati atti a rilevare la presenza presso l’istituzione scolastica dei destinatari dell’offerta formativa ovvero dei familiari nonché del personale coinvolto, a qualsiasi titolo, nella somministrazione di tale offerta;

ì) dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque;

k) dati inerenti negoziazioni e relative modalità di pagamento rispetto a forniture di beni, servizi o di opere, ovvero proposte ed offerte inerenti le medesime negoziazioni;

l) dati inerenti la fornitura e le modalità di pagamento riguardo ad attività professionali a fini formativi;

m) dati contabili e fiscali;

n) dati inerenti la titolarità di diritti, il possesso o la detenzione di beni mobili registrati, mobili o immobili;

o) dati detenuti in applicazione di disposizioni di origine nazionale o comunitaria, atti o provvedimenti amministrativi, fonti contrattuali.

3. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITA’ NELL’AMBITO DELLE STRUTTURE PREPOSTE AL TRATTAMENTO DEI DATI.

L’ente titolare del trattamento dei dati ha disegnato, mediante autonomo provvedimento (allegato al presente documento) quale responsabile ai sensi dell’art. 29 del d.lgs. n. 196/2003 la sig.ra Maria Carla Donolato, preposto alle funzioni di D.S.G.A., in considerazione della esperienza, capacità ed affidabilità espressa dalla medesima, tale da offrire idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento.

La suddetta responsabile del trattamento ha ricevuto adeguate istruzioni riguardo:

a) all’individuazione ed adozione delle misure di sicurezza da applicare nell’ambito dell’istituzione scolastica, al fine di salvaguardare la riservatezza, l’integrità, la completezza e la disponibilità dei dati trattati;

b) all’esigenza di provvedere, mediante atto scritto, all’individuazione delle unità legittimate al trattamento, per mezzo dei singoli preposti, ovvero di singoli incaricati, ai sensi dell’art. 30 del d.lgs. n. 196/2003 , deputati ad operare sotto la diretta autorità del responsabile, attenendosi alle istruzioni impartite, fermo restando l’obbligo gravante sul responsabile, di vigilare sul rispetto delle misure di sicurezza adottate.

c) all’esigenza di verificare che gli obblighi di informativa siano stati assolti correttamente, ovvero che sia stato conseguito il consenso degli interessati;

d) all’obbligo di collaborare con il titolare nell’adempiere alle richieste avanzate dal garante per la protezione dei dati personali ovvero alle autorità investite dei poteri di controllo;

e) all’obbligo di osservare e far osservare il divieto di comunicazione e diffusione dei dati personali comunque trattati da parte dell’istituzione scolastica;

f) all’obbligo, ovvero a proporre soluzioni organizzative che consentano un ampliamento dei livelli di sicurezza.

Il responsabile del trattamento, ai sensi dell’art. 30 del d.lgs. n.196/2003 e delle indicazioni rappresentate sub. b), ha provveduto ad individuare (mediante atti allegati al presente Documento) gli incaricati, autorizzandoli al trattamento dei dati in possesso dell’istituzione scolastica, esclusivamente con riferimento all’espletamento delle funzioni istituzionali ad essi rispettivamente assegnate.

Tali incaricati, in particolare, sono stati formalmente edotti in merito alla circostanza che:

a) il trattamento e la conservazione dei dati deve avvenire esclusivamente in modo lecito e proporzionato alle funzioni istituzionali, nel rispetto della riservatezza;

b la raccolta, registrazione ed elaborazione dei dati, mediante strumento informatico o cartaceo, deve essere limitata alle finalità istituzionali;

c) integra onere dell’incaricato la correzione od aggiornamento dei dati posseduti, l’esame della loro pertinenza rispetto alle funzioni

d) integra inosservanza delle istruzioni la comunicazione, effettuata in qualsiasi maniera dei dati in possesso, con eccezione del caso che il destinatario sia l’interessato alle stesse, ovvero altri soggetti legittimati a ricevere dette comunicazioni.

L’ambito dei trattamenti autorizzati ai singoli incaricati è suscettibile di aggiornamento periodico.

A tutti gli incaricati destinati al trattamento di dati mediante strumento elettronico, sono state conferite credenziali di autenticazioni (art. 34, comma 1, lett. b) mediante parola chiave.

Con atto allegato al presente documento è stato designato l’incaricato della custodia delle copie di credenziali di autenticazione nonché della funzione verifica del loro aggiornamento periodico ovvero della corretta utilizzazione.

Concorre al trattamento anche una struttura esterna all’istituzione scolastica, incaricata, del supporto, manutenzione, riparazione degli strumenti elettronici ogni qualvolta ve ne sia la necessità. Al fine di meglio precisare la suddetta ripartizione delle funzioni si rinvia alla tabella seguente

Tabella 1 Strutture preposte ai trattamenti e riparto delle responsabilità

Struttura	Responsabili	Incaricati	Trattamenti operati dalla struttura	Compiti della struttura
Segreteria Dirigente scolastico	soggetto qualificato come responsabileD.S.G.A. Maria Carla Donolato	soggetti autorizzati al trattamento dei dati, qualificati come incaricati Personale amm.vo Buso Maria Cristina, Sturaro Rosanna	Trattamenti strumentali allo svolgimento dei compiti istituzionali (gestione della corrispondenza ricevuta ed inviata dal Dirigente dell’istituzione scolastica; tenuta del protocollo generale con conseguente registrazione della posta, anche elettronica o ricevuta via fax, e delle comunicazioni di ufficio in entrata e in uscita)	Acquisizione e caricamento dei dati, consultazione, stampa, comunicazione a terzi, manutenzione tecnica dei programmi utilizzati nel trattamento gestione tecnica operativa della base dati (salvataggi, ripristini, ecc)
Ufficio personale	soggetto qualificato come Responsabile DSGA Maria Carla Donolato	soggetti autorizzati al trattamento dei dati, qualificati come incaricati Personale amm.vo a t.i. Da Molin Maria, Buso MariaCristina	Trattamenti strumentali allo svolgimento dei compiti istituzionali, in materia di selezione ed amministrazione del personale (registrazione della presenza presso l’istituzione scolastica, assenze per malattia, esigenze familiari,espletamento funzioni politiche o sindacali; aspetti economici e previdenziali: paghe contributi, etc.; raccolta di curricula riguardo a soggetti interessati all’espletamento di funzioni docenti)	Come sopra
Servizi amministrativi	soggetto qualificato come responsabile DSGA Maria Carla Donolato	(soggetti autorizzati al trattamento dati, qualificati incaricati DSGA Maria Carla Donolato Ass.amm.vi Buso Maria Cristina, Sturaro Rosanna	Trattamenti strumentali allo svolgimento dei compiti di gestione amministrativa (tenuta dei dati connessi all’espletamento di procedimenti amministrativi, attività contrattuale di beni e servizi, gestione di beni, procedure di bilancio)	Come sopra
Servizi inerenti l’offerta formativa	(soggetto qualificato come responsabile) DSGA Maria Carla Donolato	(soggetti autorizzati al trattamento dei dati, qualificati come incaricati) Zecca Maria Adele, Da Molin Maria	Trattamenti strumentali alla predisposizioni e concreta erogazione dell’offerta formativa (raccolta delle domande di iscrizione; condizioni sanitarie ed economiche dei destinatari dell’offerta formativa, documentazione concernente opzioni per insegnamenti facoltativi, dati inerenti profili sanitari o relativi al nucleo familiare dei destinatari dell’offerta formativa), registri relativi alle presenze presso l’istituzione scolastica.)	Come sopra
Handicap, svantaggio.	(soggetto qualificato come responsabile) D.S.G.A. Maria carla Donolato	Soggetti autorizzati al trattamento dei dati qualificati come incaricati: ass.amm.va Zecca Maria Adele	Trattamenti strumentali per il riconoscimento di attività di sostegno in ragione di situazioni di disagio, sociale, economico o familiare, registri relativi alle presenze presso l’istituzione scolastica	Come sopra
Servizi strumentali agli organi collegiali	(soggetto qualificato come responsabile) D.S.G.A. Maria Carla Donolato	(soggetti autorizzati al trattamento dei dati, qualificati come incaricati) ass.amm.vi Zecca Adele, Sturaro Rosanna	Trattamenti strumentali alle attività degli organi collegiali ed attività connesse ai rapporti con organi pubblici (composizione degli organi collegiali rappresentativi della comunità servita dall’offerta formativa, convocazione degli organi, raccolta delle delibere, raccolta degli atti concertati con altre istituzioni pubbliche)	Come sopra

4. AMBITO DEI TRATTAMENTI.

I dati saranno trattati negli uffici di segreteria mediante strumenti elettronici.

Il trattamento dei dati avviene attraverso modalità diverse: strumenti elettronici, interni (P.C.) ovvero collegati in rete fra loro, e/o mediante collegamenti alla rete intranet e/o alla rete internet. Con riferimento alla gestione dei dati mediante rete ministeriale l’istituzione scolastica declina ogni responsabilità, operando come semplice utente, non essendo in grado di intervenire sulla gestione delle informazioni ivi contenute e gestite.

Con riferimento all’ubicazione fisica dei supporti di memorizzazione delle copie di sicurezza, l’Istituzione scolastica, tenendo conto dell’analisi di cui al punto 5, ha ritenuto di provvedere alla custodia presso l’armadio blindato che si trova nell’ufficio di segreteria.La tabella seguente riassume il quadro dei trattamenti secondo modalità e tipologia, precisando l’ubicazione dei supporti di memorizzazione.

Tabella 3 Elenco trattamenti: descrizione degli strumenti utilizzati.

Identificativo del Trattamento.	Eventuali banche dati di supporto	Ubicazione fisica dei supporti di memorizzazione e delle copie di sicurezza	Tipologia di dispositivi di accesso	Tipologia di interconnessione.
Dirigente scolastico	Dati dell’Istituzione scolastica	Nell’ufficio di presidenza sito al piano terra	Pc n. 6	Rete locale e internet
Ufficio di segreteria	Dati del personale in formato elettronico; Archivio del personale , dati,archivio delle imprese, alunni, protocollo.	Ufficio di segreteria sito al piano terra	Pc n. 1,2, 3, 4,	Rete locale e internet
Amministrazione	Dati del personale in formato elettronico; Archivio del personale, dati, archivio delle imprese, alunni, protocollo.	Ufficio del DSGA sito al piano terra	Pc n. 5	Rete locale e internet

5.TRATTAMENTO CON L’AUSILIO DI STRUMENTI ELETTRONICI

Durante il trattamento dei dati personali sensibili e giudiziari di strumenti elettronici:

le postazioni di lavoro non devono essere mai lasciate incustodite;
in caso di assenza temporanea l’addetto deve chiudere o spegnere o disattivare la postazione. Nel caso, invece, di assenza prolungata dell’addetto al trattamento dei dati personali e di motivata esigenza di utilizzo dei dati medesimi, il dirigente assicura, con atto formale, che le credenziali di accesso alla postazione siano trasferite ad altro addetto, che è tenuto a tutti gli obblighi di segretezza necessari;
si deve prestare la massima attenzione alla conservazione e segretezza della propria password, evitando di comunicarla ad altri ed avendo cura di modificarla periodicamente;
le prescrizioni tecniche individuate e comunicate dal gestore in ordine ai criteri di composizione della password non deve contenere riferimenti agevolmente riconducibili all’addetto ed è modificata da questo ultimo al primo utilizzo e successivamente, almeno ogni tre mesi.
L’addetto ha cura di effettuare il salvataggio dei dati con frequenza giornaliera e di conservare il supporto informatico su cui è stato effettuato il salvataggio in luogo sicuro e protetto.

Non è consentito effettuare:

§ copie su supporti magnetici o trasmissione non autorizzate dal Dirigente di dati oggetto del trattamento:

§ copie fotostatiche o di qualsiasi altra natura, non autorizzate dal Dirigente, di stampe, tabulati, elenchi, rubriche e di ogni altro materiale riguardante i dati oggetto del trattamento;

§ consegnare a persone non autorizzate dal Dirigente stampe, tabulati, elenchi, rubriche e di ogni altro materiale riguardante i dati oggetto del trattamento.

5.1 ANALISI DEI RISCHI INCOMBENTI SUI DATI.

L’Istituzione scolastica ha proceduto ad una ricognizione dei rischi che potrebbero comportare una distruzione, sottrazione, perdita, trattamento abusivo dei dati, di origine dolosa, colposa, ovvero meramente fortuito, in grado di recare pregiudizio ai dati personali trattati.

Le fonti di rischio sono state accorpate in:

1) Comportamenti degli operatori.

Sottrazione di credenziali di autenticazione; comportamenti imprudenti o negligenti dei soggetti legittimati; errori materiali.

2) Eventi relativi agli strumenti

danno arrecato da virus informatici e/o da hachers, mediante interventi precedenti all’aggiornamento degli strumenti di contrasto attivati (software e firewall), spamming o tecniche di sabotaggio. Malfunzionamento, indisponibilità o usura fisica degli strumenti. Accessi abusivi negli strumenti elettronici. Intercettazione dai dati in occasione di trasmissione in rete.

3) Eventi relativi al contesto fisico-ambientale.

Distruzione o perdita di dati di conseguenza di eventi incontrollabili (terremoto) ovvero, seppur astrattamente preventivabile (incendi o allagamenti) di origine fortuita, dolosa o colposa, per i quali non è possibile apprestare cautele. Guasti a sistemi complementari, quale la mancata erogazione di energia elettrica per lunghi periodi di tempo, in grado di pregiudicare la climatizzazione dei locali. Furto o danneggiamento degli strumenti elettronici di trattamento dei dati, in orario diverso da quello di lavoro. Accesso non autorizzato da parte di terzi – interni o esterni all’istituzione scolastica – mediante uso abusivo di credenziali di autenticazione, in funzione di danneggiamento o sottrazione dei dati. Errori umani nell’attivazione degli strumenti di protezione.

I suddetti rischi sono stati ripartiti in classi di gravità, tenendo conto della concreta possibilità di realizzazione presso l’istituzione scolastica, adottando la seguente scansione:

A = alto B = basso EE = molto elevato M = medio MA = medio-alto

MB = medio-basso

La tabella seguente sintetizza i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutandone le possibili conseguenze e stimandone la gravità, ponendoli altresì in correlazione con le misure di sicurezza previste.

Tabella 4 Analisi dei rischi

Evento			Impatto sulla sicurezza dei dati			Riferimento misure di azione
			Descrizione	Gravità stimata
Comportamenti degli operatori	Furto di credenziali di autenticazione		Accesso altrui non autorizzato	B		Vigilanza sul rispetto delle istruzioni impartite
	Carenza di consapevolezza, disattenzione o incuria		Dispersione, perdita e accesso altrui non autorizzato	B		Formazione e flusso continuo di informazioni
	Comportamenti sleali o fraudolenti		Dispersione, perdita e accesso altrui non autorizzato	B		Vigilanza sul rispetto delle istruzioni impartite
	Errore materiale		Dispersione, perdita e accesso altrui non autorizzato	B		Vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione
Eventi relativi agli strumenti	Azioni di virus informatici o di codici malefici		Perdita o alterazione, anche irreversibile, di dati, di programmi e di elaborati;	M		Adozione di idonei dispositivi di protezione
	Spamming, o altre tecniche di sabotaggio		Perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi	M		Adozioni di idonei dispositivi di protezione
	Malfunzionamento, indisponibilità o degrado degli strumenti		Perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi.	A		Assistenza e manutenzione continua degli elaboratori e dei programmi; ricambio periodico.
	Accessi esterni non autorizzati		Dispersione, perdita o alterazione, anche irreversibile di dati, nonché manomissione di programmi e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi	B		Adozione di idonei dispositivi di protezione.
	Intercettazione di informazioni in rete		Dispersione di dati; accesso altrui non autorizzato	B		Adozione di idonei dispositivi di protezione.
Eventi relativi al contesto	Accessi non autorizzati a locali/reparti ad accesso ristretto		Dispersione, perdita o alterazione, anche irreversibile, di dati, nonché manomissione di programmi e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati di utilizzo dei programmi.	B		Protezione dei locali mediante serratura con distribuzione delle chiavi ai soli autorizzati.
	Asportazione e furto di strumenti contenenti dati		Dispersione e perdita di dati, di programmi e di elaboratori; accesso altrui non autorizzato	B		Protezione dei locali e dei siti di ubicazione degli elaboratori e dei supporti di memorizzazione mediante serratura con distribuzione delle chiavi ai soli autorizzati.
	Eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti ad incuria		Perdita di dati, dei programmi e degli elaboratori	B		Attività di prevenzione, controllo, assistenza e manutenzione periodica, vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione
		Guasto ai sistemi complementari (impianto elettrico, climatizzazione, etc.)	Perdita o alterazione, anche irreversibile, di dati, nonché manomissione dei programmi e degli elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi	B	Attività di controllo, assistenza e manutenzione periodica
		Errori umani nella gestione della sicurezza fisica	Perdita o alterazione, anche irreversibile, di dati, nonché manomissione dei programmi e degli elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi	B	Vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione

6. MISURE ADOTTATE PER GARANTIRE L’INTEGRITA’ E LA DISPONIBILITA’ DEI DATI, NONCHE’ LA PROTEZIONE DELLE AREE E DEI LOCALI, RILEVANTI AI FINI DELLA LORO CUSTODIA E ACCESSIBILITA’.

Sulla scorta della ricognizione dei rischi sopra rappresentata, l’istituzione scolastica ha provveduto ad apprestare e/o introdurre strumenti di tutela, ovvero a prevedere successive, e più incisive, misure di sicurezza. La tabella seguente sintetizza le misure di sicurezza in essere, corredate da indicazioni in dettaglio.

Tabella 5 Le misure di sicurezza adottate o da adottare

Misura

Rischio contrasto

Strutture interessate

Eventuale banca dati interessata

Misura già in essere

Periodicità e responsabilità dei controlli

Preventiva, di contrasto, di contenimento degli effetti

Dispersione, perdita o alterazione anche irreversibile, di dati di programmi e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e utilizzo dei programmi.

Segreteria, ufficio dirigente scolastico

Ufficio DSGA,

archivio

Relativo archivio

server

Antivirus, Firewall e credenziali di autenticazione

mensile

7. CRITERI E DELLE MODALITA’ PER IL RIPRISTINO DELLA DISPONIBILITA’ DEI DATI IN SEGUITO A DISTRUZIONE O DANNEGGIAMENTO

Al fine di garantire l’integrità dei dati contro i rischi di distruzione o perdita, è stata definita una procedura quotidiana di esecuzione di copie di sicurezza dei dati trattati. Sono state perciò acquisite licenze di uso per software antivirus, nonché sistemi di firewall con verifica di idoneità e costante aggiornamento. In ogni caso si osserva che l’istituzione scolastica dispone di un sistema di controllo degli accessi ai locali. I documenti sono anche conservati in copia cartacea presso locali dell’istituzione scolastica non accessibili ai terzi e dotati di adeguati strumenti di protezione (armadi con serrature).

Sinteticamente è possibile rappresentare la seguente procedura di copia, verifica e ripristino dei dati per ogni p.c. o terminale di collegamento server

Tabella 6 Procedure di copia, verifica e ripristino per ogni singola unità contenente dati

Struttura in possesso di p.c. o collegamento a server

Applicativo

Sistema

operativo

Supporti

Magnetici

Procedura di copia

Procedura di verifica

Ripristino

Segreteria Dirigente scolastico.

Settore personale

Settore amministrativo

Office (cartella pubblica)

Argo Sofware -

Server

Windows XP

cd-USB

Procedura di back-up Argo su Server salvataggio tramite l’unità back-up collegata al server in modo automatico ogni giorno

Lettura periodica del Back-up

Ripristino da unita back-up

Con riferimento invece al contenuto ed alle competenze in tema di copia, verifica e ripristino, le soluzioni organizzative adottate presso l’istituzione scolastica sono sintetizzate nella seguente tabella

Tabella 7 Salvataggio dei dati

SALVATAGGIO		CRITERI INDIVIDUATI PER IL SALVATAGGIO	UBICAZIONE DI CONSERVAZIONE DELLE COPIE	STRUTTURA OPERATIVA INCARICATA DEL SALVATAGGIO
STRUTTURA	DATI SENSIBILI O GIUDIZIARI CONTENUTI	CRITERI INDIVIDUATI PER IL SALVATAGGIO	UBICAZIONE DI CONSERVAZIONE DELLE COPIE	STRUTTURA OPERATIVA INCARICATA DEL SALVATAGGIO
Uffici di Segreteria Dirigente scolastico	Stato di salute (dispense dal servizio aspettative) adesione a sindacati Origine razziale o etnica Confessione religiosa Dati giudiziari inerenti imprese interessate ad attività negoziali	Salvataggio dati periodico	Armadio blindato	Incaricato all’operazione assistente amm.vo Zecca Maria Adele

8. PROGRAMMA DEGLI INTERVENTI FORMATIVI DEGLI INCARICATI DEL TRATTAMENTO.

L’istituzione scolastica intende aderire alle iniziative formative organizzate dalla direzione regionale del Ministero dell’Istruzione dell’Università e della ricerca Scientifica, tenendo anche conto dell’economicità di un’azione organizzata su base regionale, rispetto ad una gestione in proprio delle attività formative. L’istituzione opera integrale rinvio alla programmazione della Direzione regionale, riservandosi comunque di agire in via suppletiva, qualora per ragione organizzative od economiche, non sia possibile far partecipare il proprio personale alle attività di formazione necessarie per adempiere alle prescrizioni ordinamentali.

9. TRATTAMENTI DI DATI PERSONALI SENSIBILI O GIUDIZIARI CON STRUMENTI ELETTRONICI AFFIDATI ALL’ESTERNO.

L’Istituzione scolastica, quando procede alla esternalizzazione di taluni trattamenti, secondo modalità conformi a quanto previsto dal d.lgs. n.196/2003, procede alla nomina di un soggetto esterno quale responsabile del trattamento, limitatamente ai dati e alle operazioni necessari per lo svolgimento delle attività conferite.

Il soggetto esterno affidatario deve dichiarare:

1. di essere consapevole che i dati che tratterà nell’espletamento dell’incarico ricevuto, sono dati personali e, come tali sono soggetti all’applicazione del codice per la protezione dei dati personali;

2. di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali;

3. di adottare le istruzioni specifiche ricevute per il trattamento dei dati personali e di integrarle nelle procedure già in essere.

10. ATTI E DOCUMENTI NON IN FORMATO ELETTRONICO, ARCHIVI CARTACEI.

I trattamenti di dati personali con strumenti diversi da quelli elettronici sono effettuati dagli incaricati seguendo le istruzioni scritte ad essi impartite, finalizzate al controllo e alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. L’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati ha carattere annuale. Gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti. I medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

L’accesso agli archivi contenenti dati sensibili o giudiziari è consentito solamente alle persone preventivamente autorizzate.

TRATTAMENTO SENZA L’AUSILIO DI STRUMENTI ELETTRONICI

Norme di sicurezza per gli incaricati del trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici.

In base a quanto stabilito dal punto 27 e dal punto 28 del Disciplinare tecnico in materia di misure minime di sicurezza (allegato B al d.Lgs. n. 196 del 30 giugno 2003), per i trattamenti di dati personali effettuati senza l’ausilio di strumenti elettronici vengono stabilite le seguenti regole che gli incaricati del trattamento debbono osservare:

I documenti contenenti dati personali trattati senza l’ausilio di strumenti elettronici non devono essere portati al di fuori dei locali individuati per la loro conservazione, se non in casi del tutto eccezionali e, nel caso questo avvenga, l’asportazione deve essere ridotta al tempo minimo necessario per effettuare le operazioni di trattamento;
Per tutto il periodo in cui i documenti contenenti i dati personali sono al di fuori dei locali individuati per la loro conservazione, l’incaricato del trattamento non deve lasciarli mai incustoditi;
L’incaricato del trattamento deve inoltre controllare che i documenti contenenti i dati personali, composti da numerose pagine o più raccoglitori, siano sempre completi e integri;
Al termine dell’orario di lavoro l’incaricato del trattamento deve riportare tutti i documenti contenenti i dati personali nei locali individuati per la loro conservazione;
I documenti contenenti i dati personali non devono essere mai lasciati incustoditi sul tavolo durante l’orario di lavoro;
Si deve adottare ogni cautela per evitare che persone non autorizzate vengano a conoscenza di documenti contenenti dati personali;
Per evitare il rischio di diffusione dei dati personali, si deve limitare l’utilizzo di copie fotostatiche;
Particolare cautela deve essere adottata quando i documenti sono consegnati in originale ad un altro incaricato debitamente autorizzato;
I documenti contenenti dati personali sensibili o dati che, per una qualunque ragione siano stati indicati come meritevoli di particolare attenzione, devono essere custoditi con molta cura.

Non è consentito:

Fare copie fotostatiche o di qualsiasi altra natura, non autorizzate dal Dirigente, di stampe, tabulati, rubriche e di ogni altro materiale riguardante i dati oggetto del trattamento;
Sottrarre, cancellare, distruggere, senza l’autorizzazione del Dirigente, stampe, tabulati, elenchi, rubriche ed ogni altro materiale riguardante i dati oggetto del trattamento;
Consegnare, a persone non autorizzate dal Dirigente, stampe, tabulati, elenchi, rubriche ed ogni altro materiale riguardante i dati oggetto del trattamento.
E’, inoltre, tassativamente proibito utilizzare copie fotostatiche di documenti all’esterno del posto di lavoro;
È proibito discutere, comunicare o comunque trattare dati personali per telefono, se non si è certi che il destinatario sia un incaricato autorizzato a poter trattare i dati in questione;

11. SISTEMA AUTORIZZAZIONE.

Per esigenze organizzative dell’Istituzione, è necessario che tutto il personale di segreteria possa assicurare l’interscambiabilità funzionale.

12. OBBLIGO DI AGGIORNAMENTO PERIODICO DEL DPS.

Il presente documento programmatico sulla sicurezza è sottoposto a revisione annuale nella sua interezza, entro la scadenza del 31 marzo di ciascun anno, come previsto dalla regola 19 del Disciplinare tecnico di cui all’allegato B) al D.Lgs. 196/03, in relazione al disposto dell’art. 34, lettera g) del decreto stesso.

Gli allegati al presente documento ne formano parte integrante.

Il presente documento è aggiornato al

IL TITOLARE DEL TRATTAMENTO

Il Dirigente Scolastico

Dott.^ssa Giuseppina Papa

IL RESPONSABILE DEL TRATTAMENTO

Il Direttore dei Servizi GG.AA

Maria Carla Donolato

___________________________________________________________________________________

ALLEGATO

ELENCO DELLE DEFINIZIONI

1 TRATTAMENTO

Qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione , l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distribuzione di dati, anche se non registrati in una banca di dati.

2 DATO PERSONALE

Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

3 DATI SENSIBILI

I dati personali idonei a rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale.

4 DATI GIUDIZIARI

I dati personali idonei a rilevare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.

5 TITOLARE

La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.

6 RESPONSABILE

La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.

7 INCARICATI

Le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.

8 INTERESSATO

La persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali.

9 COMUNICAZIONE

Il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

10 DIFFUSIONE

Il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

11 DATO ANONIMO

Il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile.

12 BLOCCO

La conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento.

13 BANCA DATI

Qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti.

14 COMUNICAZIONE ELETTRONICA

Ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile.

15 MUISURE MINIME

Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell’articolo 31 del D.Lgs. n. 196/2003.

16 STRUMENTI ELETTRONICI

Gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.

17 AUTENTICAZIONE INFORMATICA

L’insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell’identità.

18 CREDENZIALI DI AUTENTICAZIONE

I dati ed i dispositivi, in possesso di una persona, da questo conosciuti o ad essa univocamente correlati, utilizzati per l’autenticazione informatica.

19 PAROLA CHIAVE

Componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica.

20 PROFILO DI AUTORIZZAZIONE

L’insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti.

21 SISTEMA DI AUTORIZZAZIONE

L’insieme degli strumenti e delle procedure che abilitano l’accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.