P R I V A C Y
(D.L.vo N. 196/2003)
DISPOSIZIONI MINIME SULLA SICUREZZA
E
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
Il presente documento si compone di n. 15 pagine (inclusa la presente)
Roma, lì 29
marzo 2006
Prot. nr.
Il responsabile
della sicurezza
(NOME COGNOME)
DS Antonio
Panaccione
______________________
(firma)
Il Dirigente
Scolastico
Visto il decreto
legislativo 30 giugno 2003, n.196 recante il Codice in materia di protezione di
dati personali, e segnatamente gli artt. 34 ss., nonché l'allegato B del
suddetto d.lgs., contenente il Disciplinare tecnico in materia di misure minime
di sicurezza;
Considerato che l'Istituzione
Scolastica: Liceo scientifico Keplero, con sede in Via Silvestro Gherardi
87/89, 00146 Roma in quanto dotata di un autonomo potere decisionale, ai sensi
dell'art. 28 del d.lgs. n. 196 del 2003, deve ritenersi titolare del
trattamento di dati personali;
Atteso che la suddetta
Istituzione Scolastica è tenuta a prevedere ed applicare le misure minime di
sicurezza di cui agli artt. 31 e ss. del d.lgs. n.196 del 2003, adotta il presente
DOCUMENTO PROGRAMMATICO DELLA SICUREZZA
L'Istituzione Scolastica, per
l'espletamento della funzione didattica e formativa, raccoglie e tratta dati personali
dei soggetti coinvolti nell'offerta formativa ovvero dei destinatari della
stessa, anche con l'ausilio di soggetti esterni, ai sensi del punto 19
dell'Allegato "B", talché si precisano i seguenti elementi:
1)
Elenco dei trattamenti di dati personali;
2)
Elenco dei dati personali di natura comune,
sensibile o giudiziaria;
3)
Distribuzione dei compiti e delle responsabilità
nell'ambito delle strutture preposte al trattamento dei dati;
4)
Ambito dei trattamenti;
5)
Analisi dei rischi incombenti sui dati;
6)
Misure adottate per garantire l'integrità e la
disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti
ai fini della loro custodia e accessibilità;
7)
Criteri e delle modalità per il ripristino della
disponibilità dei dati in seguito a distruzione o danneggiamento;
8)
Programma degli interventi formativi degli
incaricati del trattamento;
9)
Criteri previsti per garantire il rispetto delle
misure minime per i trattamenti di dati personali affidati all'esterno della
struttura;
10) Trattamenti
di dati personali sensibili o giudiziari con strumenti elettronici affidati
all'esterno.
1.
ELENCO
DEI TRATTAMENTI DI DATI PERSONALI
Finalità: Al fine
di perseguire le finalità istituzionali, l'Istituzione Scolastica tratta dati
personali (sia comuni che sensibili o giudiziari) di studenti e loro familiari, personale dipendente, fornitori di beni e
prestatori di servizi, clienti. I trattamenti sono effettuati, anche mediante
strumenti elettronici, per le seguenti finalità:
·
gestione delle attività informative curate ai
sensi della legge 7 giugno 2000, n.150 contenente la "Disciplina delle
attività di informazione e di comunicazione delle pubbliche amministrazioni";
·
attività strumentali alle precedenti.
Fonte dei dati:
2.
ELENCO
DEI DATI PERSONALI DI NATURA COMUNE O SENSIBILE
Sulla scorta delle precisazioni
sopra elencate, l'Istituzione Scolastica, sulla base di una prima ricognizione,
con salvezza della possibilità di procedere a successive integrazioni e/o
correzioni entro il 31.3.2006,
dichiara, con riferimento ai destinatari o familiari dei destinatari
dell'offerta formativa ovvero del personale coinvolto, a qualunque titolo,
nella medesima, o interessato ad essere coinvolto, ovvero di soggetti, a
qualsiasi titolo, coinvolti in rapporti negoziali con l'Istituzione Scolastica,
o aspiranti ad assumere tale ruolo, di trattare i dati di seguito elencati:
a.
dati identificativi, ai sensi dell'art 4, comma 1,
lettere b) e c) del d.lgs. n.196 del 2003,
univocamente riconducibili ad un soggetto fisico, identificato o
identificabile, quali nominativo, dati di nascita, residenza, domicilio, stato
di famiglia, codice fiscale, stato relativo all’adempimento degli obblighi di leva;
b.
dati identificativi, ai sensi dell'art. 4, comma
1, lettere b) e c) del d.lgs. n.196 del 2003, univocamente riconducibili a
persone giuridiche, enti o associazioni, inerenti la forma giuridica, la data
di costituzione, la sede, il domicilio, l'evoluzione degli organi rappresentativi
e legali, la sede,
c.
dati sensibili, ai sensi dell'art. 4, comma 1,
lett. d) del d.lgs. n.196 del 2003;
d.
dati giudiziari, ai sensi dell’art.4, comma 1,
lett. e) del d.lgs. 196/03;
e.
dati inerenti il livello di istruzione e culturale
nonché relativi all'esito di scrutini, esami, piani educativi individualizzati
differenziati;
f.
dati inerenti le condizioni economiche e
l'adempimento degli obblighi tributari;
g.
dati riferibili a procedimenti giudiziari,
pendenti in qualsiasi grado, o pregressi, di natura penale, civile,
amministrativa, tributaria, presso autorità giurisdizionali italiane o estere,
compresi quelli rientranti nell'art. 4, comma 1, lett. e) del d.lgs. n.196 del
2003;
h.
dati atti a rilevare la presenza presso
l'Istituzione Scolastica dei destinatari dell'offerta formativa ovvero dei
famigliari nonché del personale coinvolto, a qualsiasi titolo, nella
somministrazione di tale offerta;
i.
dati provenienti da pubblici registri, elenchi,
atti o documenti conoscibili da chiunque;
j.
dati inerenti negoziazioni e relative modalità di
pagamento rispetto a forniture di beni, servizi o di opere, ovvero proposte ed
offerte inerenti le medesime negoziazioni;
k.
dati inerenti la fornitura e le modalità di
pagamento riguardo ad attività professionale a fini formativi;
l.
dati contabili e fiscali;
m.
dati inerenti la titolarità di diritti, il
possesso o la detenzione di beni mobili registrati, mobili o immobili;
n.
dati detenuti in applicazione di disposizioni di
origine nazionale o comunitaria, atti o provvedimenti amministrativi, fonti
contrattuali.
3.
DISTRIBUZIONE
DEI COMPITI E DELLE RESPONSABILITÀ NELL'AMBITO DELLE STRUTTURE PREPOSTE AL
TRATTAMENTO DEI DATI
L’Istituzione Scolastica nella persona del Dirigente Scolastico pro-tempore titolare del trattamento dei dati ha designato, mediante autonomo provvedimento (allegato al presente Documento con il N. ..) quale Responsabile ai sensi dell'art. 29 del d.lgs. n.196 del 2003 la sig.ra Daniela Lodolini nata a Roma il 16/01/1954, in servizio in qualità di DSGA, in considerazione della esperienza, capacità ed affidabilità possedute, tale da offrire idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento.
Il suddetto Responsabile del
trattamento ha ricevuto adeguate istruzioni riguardo:
·
all'individuazione ed adozione delle misure di
sicurezza da applicare nell'ambito dell'Istituzione Scolastica, al fine di
salvaguardare la riservatezza, l'integrità, la completezza e la disponibilità
dei dati trattati;
·
all'esigenza di provvedere, mediante atto scritto,
all'individuazione delle unità legittimate al trattamento, per mezzo dei
singoli preposti, ovvero di singoli incaricati, ai sensi dell'art. 30 del
d.lgs. n.196 del 2003, deputati ad operare sotto la diretta autorità del
responsabile, attenendosi alle istruzioni impartite, fermo restando l'obbligo
gravante sul Responsabile, di vigilare sul rispetto delle misure di sicurezza
adottate;
·
all'esigenza di verificare che gli obblighi di
informativa siano stati assolti correttamente, ovvero che sia stato conseguito
il consenso degli interessati;
· all'obbligo di collaborare con il titolare nell'adempiere alle richieste avanzate dal Garante per la protezione dei dati personali ovvero alle autorità investite dei poteri di controllo;
·
all'attribuzione della competenza ad elaborare e
sottoscrivere notificazioni al Garante per la protezione dei dati personali;
·
all'obbligo di osservare e far osservare il
divieto di comunicazione e diffusione dei dati personali comunque trattati da
parte dell'Istituzione Scolastica;
·
all'obbligo, ovvero a proporre soluzioni
organizzative che consentano un ampliamento dei livelli di sicurezza.
Il Responsabile del
trattamento, ai sensi dell'art. 30 del d.lgs. n.196 del 2003 e delle
indicazioni rappresentante sub b), ha provveduto ad individuare (mediante atti
allegati al presente Documento) gli incaricati, autorizzandoli al trattamento
dei dati in possesso dell'Istituzione Scolastica, esclusivamente con riferimento
all'espletamento delle funzioni istituzionali ad essi rispettivamente
assegnate.
Tali incaricati, in
particolare, sono stati formalmente edotti in merito alla circostanza che:
·
il trattamento e la conservazione dei dati deve
avvenire esclusivamente in modo lecito e proporzionato alle funzioni
istituzionali, nel rispetto della riservatezza;
·
la raccolta, registrazione ed elaborazione dei
dati, mediante strumento informatico o cartaceo, deve essere limitata alle
finalità istituzionali;
·
integra onere dell'incaricato la correzione od
aggiornamento dei dati posseduti, l'esame della loro pertinenza rispetto alle
funzioni;
·
integra inosservanza delle istruzioni la
comunicazione, effettuata in qualsiasi maniera dei dati in possesso, con
eccezione del caso che il destinatario sia l'interessato alle stesse, ovvero
altri soggetti legittimati a ricevere dette comunicazioni.
L'ambito dei trattamenti
autorizzati ai singoli incaricati è suscettibile di aggiornamento periodico.
A tutti gli incaricati
destinati al trattamento di dati mediante strumento elettronico, sono state
conferite credenziali di autenticazioni (art. 34, comma 1, lett. b) mediante
parola chiave, conformi alle caratteristiche indicate nell'allegato B. Con atto
allegato al presente documento è stato designato l'incaricato della custodia
delle copie di credenziali di autenticazione nonché della funzione di verifica
del loro aggiornamento periodico ovvero della corretta utilizzazione.
Le suddette credenziali sono
disattivate automaticamente dal gestore della rete periodicamente, ovvero in
tutti i casi di mancata utilizzazione per almeno 6 mesi.
Può concorrere al trattamento anche una struttura esterna all'Istituzione Scolastica, incaricata mediante convenzione (da allegata alla presente nel caso), del supporto, manutenzione, riparazione degli strumenti elettronici. Il titolare della struttura è stato designato quale responsabile del trattamento, in ragione dell'esperienza maturata nel settore.
3.1
DATI TRATTATI DAI DOCENTI
Le banche dati cui hanno
accesso più docenti sono:
·
il registro di classe
·
il registro dei verbali del consiglio di classe o
di interclasse e collegio dei docenti.
·
la documentazione relativa alla programmazione
didattica
·
i documenti di valutazione degli alunni
·
la documentazione dello stato di handicap
·
i certificati medici degli allievi
·
la corrispondenza con le famiglie
·
i documenti relativi agli alunni pervenuti dalle
scuole di provenienza
Il trattamento dei dati da
parte dei docenti è definito puntualmente da norme di legge o regolamentari.
3.2 DATI TRATTATI DAL PERSONALE COLLABORATORE SCOLASTICO
Le banche dati su supporto
cartaceo e/o informatizzato, contenenti dati personali, cui ha accesso il personale
collaboratore scolastico, raggruppati in insiemi omogenei, sono:
·
informazioni sanitarie
·
recapiti di personale, alunni, fornitori di beni
e/o prestatori di servizi, clienti.
3.3 DATI TRATTATI DAL PERSONALE AMMINISTRATIVO E
TECNICO
Le banche dati su supporto
cartaceo e/o informatizzato, contenenti dati personali, cui ha accesso il personale
di segreteria, raggruppati in insiemi omogenei, sono:
·
i fascicoli relativi al personale della scuola,
·
i fascicoli degli alunni ed ex alunni
·
l'anagrafe fornitori di beni e/o prestatori di
servizi ed eventualmente clienti
·
la documentazione finanziaria, contabile e
amministrativa
·
i contratti stipulati dall’Istituzione scolastica
ovvero da questa detenuti
·
il registro degli infortuni dipendenti ed alunni
·
libri e documenti obbligatori D.Lgs 626/94
3.4
DATI
TRATTATI DA ESPERTI ESTERNI ALL’AMMINISTRAZIONE
3.5
DATI TRATTATI DAL DIRIGENTE SCOLASTICO
Le banche dati di pertinenza del Dirigente sono:
·
il protocollo riservato
|
Identificativo
banca dati |
Nome banca dati |
Descrizione
sintetica banca dati |
Natura trattamento |
Natura
dei dati |
Categoria
di interessati |
Altre strutture |
|
|
|
S |
G |
|
||||||
|
Unità Operativa n.1 |
Ufficio Affari Generali |
Trattamenti
strumentali allo svolgimento dei compiti istituzionali (gestione della
corrispondenza ricevuta ed inviata dal Dirigente dell'Istituzione Scolastica;
tenuta del protocollo generale con conseguente registrazione della posta, anche elettronica o ricevuta via fax, e
delle comunicazioni di ufficio in
entrata e in uscita, attività connesse
ai rapporti con organi pubblici e d enti esterni, raccolta degli atti concertati
con altre istituzioni pubbliche |
Informatici Cartacei
|
si |
si |
dipendenti alunni famiglie clienti fornitori amministrazioni cittadini…. |
Mediasoft |
|
|
Unità Operativa n.2 |
Ufficio Personale |
Trattamenti
strumentali allo svolgimento dei compiti istituzionali, in materia di
selezione ed amministrazione del personale (registrazione delle presenze
presso l'Istituzione Scolastica, assenze per malattia, esigenze familiari,
espletamento funzioni politiche o sindacali; aspetti economici e
previdenziali: paghe contributi, etc.; permessi per parcheggi interni;
raccolta di curricula riguardo a soggetti interessati all'espletamento di
funzioni docenti) |
Informatici Cartacei |
si |
si |
dipendenti operatori |
RUPA Mediasoft Soggetti privati (assicurazione) |
|
|
Unità Operativa n.3 |
Ufficio contabilità patrimonio |
Trattamenti
strumentali allo svolgimento dei compiti di gestione amministrativa (tenuta
dei dati connessi all'espletamento di procedimenti amministrativi, attività
contrattuale, gestione di beni, procedure di bilancio |
Informatici Cartacei |
sì |
sì |
dipendenti operatori fornitori clienti |
RUPA |
|
|
Unità Operativa n.4 |
Ufficio Didattica
Alunni |
Trattamenti
strumentali alla predisposizione e concreta erogazione dell'offerta formativa
(raccolta delle domande di iscrizione; condizioni sanitarie ed economiche dei
destinatari dell'offerta formativa, documentazione concernente opzioni per
insegnamenti facoltativi, dati inerenti profili sanitari o relativi al nucleo
familiare dei destinatari dell'offerta formativa, per il riconoscimento di
attività di sostegno in ragione di situazioni di disagio, sociale, economico
o familiare registri relativi alle presenze presso l'Istituzione Scolastica, attività degli organi collegiali,
composizione degli organi collegiali rappresentativi della comunità servita
dall'offerta formativa, convocazione degli organi, raccolta delle delibere. |
Informatici Cartacei |
sì |
sì |
alunni famiglie dipendenti operatori |
RUPA Comune Provincia ASL Cooperative di servizi Soggetti privati |
|
|
Unità Operativa
n.5 |
Ufficio Tecnico magazzino |
Trattamenti
strumentali allo svolgimento dei compiti di attività contrattuale, gestione e
fornitura di beni inventariabili, di facile consumo e servizi vari. |
Informatici Cartacei |
sì |
sì |
dipendenti fornitori clienti |
Ditte Private Cooperative di servizi |
|
Plesso
n.1
Sede
Centrale |
Sala insegnanti |
Registri vari,
certificati medici alunni, autorizzazioni varie.. |
Informatici cartacei |
Sì |
Sì |
Insegnanti …… |
|
|
|
Laboratori |
|
|
Sì |
Sì |
|
|
|
|
Plesso
n.2
Succursale |
sala insegnanti |
|
Informatici cartacei |
Sì |
Sì |
Insegnanti …… |
|
|
|
Laboratori |
|
|
Sì |
Sì |
|
|
|
|
Data della verifica: 29 marzo 2006
|
||||||||
Tabella
– 2 - Affidamento responsabile e
incaricati *
|
Identificativo Banca dati |
Banca
dati
|
Responsabile trattamento
|
Incaricato trattamento
(Cognome e nome) |
|
Unità Operativa n.1 |
Ufficio Affari Generali e Archivio storico
|
D.S.G.A. |
Assistenti amministrativi / tecnici
|
|
Unità Operativa n.2 |
Ufficio Didattica e
Area Enti- Associazioni- Società |
D.S.G.A. |
Assistenti amministrativi / tecnici:
Apicella Mariangela
|
|
Unità Operativa n.3 |
Ufficio
Contabilità - patrimonio e delega
Vicaria |
D.S.G.A. |
Assistenti
amministrativi / tecnici: Monia Ceccarelli |
|
Unità Operativa n.4 |
Ufficio Didattica - Alunni |
D.S.G.A. |
Assistenti
amministrativi / tecnici: Emanuela Dell’Otto |
|
Unità Operativa n. 5 |
Area Enti-
Associazioni- Società |
D.S.G.A. |
Docenti / assistenti amministrativi /
tecnicI: Sabrina Menghini |
|
Unità Operativa n. 6 |
Ufficio Area
Personale |
D.S.G.A. |
Assistenti
amministrativi / tecnici: Rosy Sortino |
Plesso n.1: Centrale
|
vicepresidenza
|
REFERENTE DI PLESSO
|
Docenti / Collaboratori scolastici / Personale esterno |
Sala insegnati
|
REFERENTE DI PLESSO |
|
|
Plesso n.2: Succle
|
vicepresidenza
|
REFERENTE DI PLESSO
|
Collab. DS Prof:
Casalini / Collaboratori
scolastici / Personale esterno |
|
|
|
|
|
|
Data della verifica: 29
marzo 2006 |
|||
* per incaricato si intende
anche il personale titolare di supplenza breve e saltuaria, si rimanda ai singoli
contratti stipulati da questa Istituzione scolastica e conservati agli atti.
4. ANALISI AMBITO DEI TRATTAMENTI E DEI RISCHI INCOMBENTI SUI DATI.
L'Istituzione Scolastica è
dislocata in due edifici.
Il trattamento dei dati avviene
attraverso modalità diverse: strumenti elettronici, interni (P.C.) ovvero collegati
in rete fra loro, e/o mediante collegamenti alla rete intranet ed alla RUPA.
Con riferimento alla gestione dei dati mediante rete ministeriale e RUPA,
l'Istituzione Scolastica opera come semplice utente, non essendo in grado di
intervenire sulla gestione delle informazioni ivi contenute e gestite.
Per procedere all’analisi dei rischi che incombono sui dati è necessario prima descrivere ed analizzare la situazione attuale della istituzione scolastica.
4.1
Situazione attuale i dati che seguono sono relativi a una rilevazione
effettuata al 29.03.2006.
Tabella – 3 - Descrizione aree e
locali adibite a custodire i dati
|
Identificativo Banca dati |
Banca
dati
|
locale
|
Dispositivi
protezione |
Valutazione
Rischio *
|
Misura
azione |
|
Unità Operativa n.1 |
Ufficio Affari Generali
|
Stanza n. |
-
serratura
alle porte -
sistema
di allarme -
armadi
metallici con serrature -
armadi
di legno |
M(media) |
Richieste di fornitura
e/o acquisto di impianti e/o strutture adeguate |
|
Unità Operativa n.2 |
Ufficio Personale |
Stanza n. |
idem |
MA(medio alta) |
|
|
Unità Operativa n.3 |
Ufficio Contabilità - patrimonio |
Stanza n. |
idem |
MA(medio alta) |
|
|
Unità Operativa n.4 |
Ufficio Didattica -
Alunni |
Stanza n. |
idem |
MA(medio alta) |
|
|
Unità Operativa n. 5 |
Ufficio Tecnico magazzino |
Stanza n. |
idem |
MB(medio bassa) |
|
Archivio storico
|
Archivio storico
|
Stanza n. |
idem |
M(media) |
|
Plesso n.1: Centrale
|
|
|
|
|
|
Sala insegnati
|
Stanza n. |
idem |
MB(medio bassa) |
|
|
|
|
|
|
|
|
|
Plesso n.2: Succ.le
|
Uff. appoggio Collaboratore
|
Stanza n. |
idem |
M(media) |
|
Sala insegnati
|
Stanza n. |
idem |
MB(medio bassa) |
|
|
Data della verifica: 29 marzo 2006
|
|||||
* la valutazione del rischio può essere misurata incrociando i criteri:
probabilità evento/suo effetto, si consiglia di mantenere una valutazione media
variando tra M(media), MA(medio alta), MB(medio bassa)
5. ANALISI RISCHI RELATIVI
5.1 ARCHIVI CARTACEI
L'Istituzione Scolastica ha
proceduto ad una ricognizione dei rischi che potrebbero comportare una distruzione,
sottrazione, perdita, trattamento abusivo dei dati, di origine dolosa, colposa,
ovvero meramente fortuito, in grado di recare pregiudizio ai dati personali
trattati.
Le fonti di rischio sono state
accorpate in:
1) Comportamenti degli operatori.
Comportamenti imperiti,
imprudenti o negligenti dei soggetti legittimati al trattamento dei dati; comportamenti
dolosi dei soggetti legittimati; errori materiali.
Ai suddetti rischi è attribuita
una gravità stimata in medio-alta (MA), le misure di azione sono formazione/informazione,
vigilanza sulle istruzioni impartite.
2) Eventi relativi al contesto fisico‑ambientale.
Distruzione o perdita di dati
in conseguenza di eventi incontrollabili (terremoto) ovvero, seppur astrattamente
preventivabili (incendi o allagamenti) di origine fortuita, dolosa o colposa,
per i quali non è possibile apprestare cautele. Guasti a sistemi complementari,
quale la mancata erogazione di energia elettrica per lunghi periodi di tempo,
in grado di pregiudicare la vigilanza dei locali.
Furto o danneggiamento con atti
vandalici degli strumenti elettronici di trattamento dei dati, in orario diverso
da quello di lavoro. Accesso non autorizzato da parte di terzi ‑ interni
o esterni all'Istituzione Scolastica ‑ mediante uso abusivo di
credenziali di autenticazione, in funzione di danneggiamento o sottrazione dei
dati. Errori umani nell'attivazione degli strumenti di protezione.
Ai suddetti rischi è attribuita
una gravità stimata media (M), per le misure di azione vedasi la tabella 3 colonna - dispositivi di protezione – e il
piano valutazione rischi redatto ai sensi della L. 626/94.
I suddetti rischi sono stati
ripartiti in classi di gravità, tenendo conto della concreta possibilità di
realizzazione presso l'Istituzione Scolastica, adottando la seguente scansione:
A= alto;
B = basso; EE = molto
elevato; M = medio; MA = medio‑alto; MB = medio‑basso.
5.2
GESTIONE DELLE CHIAVI.
5.3 ARCHIVI
INFORMATICI
L'Istituzione Scolastica ha
proceduto ad una ricognizione dei rischi che potrebbero comportare una distruzione,
sottrazione, perdita, trattamento abusivo dei dati, di origine dolosa, colposa,
ovvero meramente fortuito, in grado di recare pregiudizio ai dati personali
trattati.
Le fonti di rischio sono state
accorpate in:
1) Comportamenti degli operatori.
Sottrazione di credenziali di
autenticazione ( es. password, badge ed
altri strumenti che consentono l’accesso informatico); comportamenti
imperiti, imprudenti o negligenti dei soggetti legittimati al trattamento dei
dati; comportamenti dolosi dei soggetti legittimati; errori materiali.
2) Eventi relativi agli strumenti.
Danno arrecato da virus informatici e/o da hackers, mediante interventi precedenti all'aggiornamento degli strumenti di contrasto attivati (software e firewall), spamming o tecniche di sabotaggio. Malfunzionamento, indisponibilità o usura fisica degli strumenti. Accessi abusivi negli strumenti elettronici. Intercettazione dei dati in occasione di trasmissione in rete.
3) Eventi relativi al contesto fisico‑ambientale.
Distruzione o perdita di dati
in conseguenza di eventi incontrollabili (terremoto) ovvero, seppur astrattamente
preventivabili (incendi o allagamenti) di origine fortuita, dolosa o colposa,
per i quali non è possibile apprestare cautele. Guasti a sistemi complementari,
quale la mancata erogazione di energia elettrica per lunghi periodi di tempo,
in grado di pregiudicare la climatizzazione dei locali. Furto o danneggiamento
degli strumenti elettronici di trattamento dei dati, in orario diverso da
quello di lavoro. Accesso non autorizzato da parte di terzi ‑ interni o
esterni all'Istituzione Scolastica ‑ mediante uso abusivo di credenziali
di autenticazione, in funzione di danneggiamento o sottrazione dei dati. Errori
umani nell'attivazione degli strumenti di protezione.
I suddetti rischi sono stati
ripartiti in classi di gravità, tenendo conto della concreta possibilità di
realizzazione presso l'Istituzione Scolastica, adottando la seguente scansione:
A= alto; B = basso;
EE = molto elevato; M =
medio; MA = medio‑alto; MB = medio‑basso.
La tabella seguente sintetizza
i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutandone
le possibili conseguenze e stimandone la gravità, ponendoli altresì in
correlazione con le misure di sicurezza previste.
|
EVENTO |
IMPATTO SULLA
SICUREZZA DEI DATI |
RIF. MISURE DI
AZIONE |
|
||
|
|
DESCRIZIONE |
GRAVITÀ STIMATA |
|
|
|
|
COMPORTAMENTI DEGLI
OPERATORI |
Furto di credenziali di
autenticazione |
Accesso altrui non
autorizzato |
M
|
Vigilanza sul rispetto
delle istruzioni impartite |
|
|
Carenza di consapevolezza,
disattenzione o incuria |
Dispersione, perdita e
accesso altrui non autorizzato |
M |
Formazione e flusso
continuo di informazione |
|
|
|
Comportamenti sleali o
fraudolenti |
Dispersione, perdita e
accesso altrui non autorizzato |
M |
Vigilanza sul rispetto
delle istruzioni impartite |
|
|
|
Errore materiale |
Dispersione, perdita e
accesso altrui non autorizzato |
M |
Vigilanza sul rispetto
delle istruzioni impartite, formazione e flusso continuo di informazione |
|
|
|
EVENTI RELATIVI AGLI
STRUMENTI |
Azione di virus informatici
o di codici malefici |
Perdita o alterazione,
anche irreversibile, di dati, di programmi e di elaboratori; |
EE
|
Adozione di idonei
dispositivi di protezione |
|
|
|
Spamming o altre
tecniche di sabotaggio |
Perdita o alterazione,
anche irreversibile, di dati, di programmi e di elaboratori; impossibilità
temporanea di accesso ai dati e di utilizzo dei programmi |
EE
|
Adozione di idonei
dispositivi di protezione |
|
|
|
Malfunzionamento,
indisponibilità o degrado degli strumenti |
Perdita o alterazione,
anche irreversibile, di dati, di programmi e di elaboratori; impossibilità
temporanea di accesso ai dati e di utilizzo dei programmi |
MA |
Assistenza e
manutenzione continua degli elaboratori e dei programmi; ricambio periodico |
|
|
|
Accessi esterni non
autorizzati |
Dispersione, perdita o
alterazione, anche irreversibile, di dati, nonché manomissione di programmi e
di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei
programmi |
MA
|
Adozione di idonei
dispositivi di protezione |
|
|
|
Intercettazione di
informazioni in rete |
Dispersione dì dati;
accesso altrui non autorizzato |
MA
|
Adozione di idonei
dispositivi di protezione |
|
|
EVENTI RELATIVI AL CONTESTO |
Accessi non autorizzati
a locali/reparti ad accesso ristretto |
Dispersione, perdita o
alterazione, anche irreversibile, di dati, nonché manomissione di programmi e
di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di
accesso ai dati e di utilizzo dei programmi |
M |
Protezione dei locali
mediante serratura con distribuzione delle chiavi ai soli autorizzati |
|
|
|
Asportazione e furto di
strumenti contenenti dati |
Dispersione e perdita
di dati, di programmi e di elaboratori; accesso altrui non autorizzato |
MB
|
Protezione dei locali e
dei siti di ubicazione degli elaboratori e dei supporti di memorizzazione mediante
serratura con distribuzione delle chiavi ai soli autorizzati |
|
|
|
Eventi distruttivi,
naturali o artificiali, dolosi, accidentali o dovuti ad incuria |
Perdita di dati, dei
programmi e degli elaboratori |
M
|
Attività di
prevenzione, controllo, assistenza e manutenzione periodica, vigilanza sul
rispetto delle istruzioni impartite, formazione e flusso continuo di
informazione |
|
|
|
Guasto ai sistemi
complementari (impianto elettrico, climatizzazione, etc.) |
Perdita o alterazione,
anche irreversibile, di dati, nonché manomissione dei programmi e degli
elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei
programmi |
A
|
Attività di controllo,
assistenza e manutenzione periodica |
|
|
|
Errori umani nella
gestione della sicurezza fisica |
Perdita o alterazione,
anche irreversibile, di dati, nonché manomissione dei programmi e degli
elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei
programmi |
M |
Vigilanza sul rispetto
delle istruzioni impartite, formazione e flusso continuo di informazione |
|
data della verifica: 29 marzo 2006
6. MISURE ADOTTATE
PER GARANTIRE L'INTEGRITÀ E
Sulla scorta della ricognizione dei rischi sopra rappresentata, l'Istituzione Scolastica ha provveduto ad apprestare e/o introdurre strumenti di tutela, ovvero a prevedere successive, e più incisive, misure di sicurezza. La tabella seguente sintetizza le misure di sicurezza in essere, corredate da indicazioni di dettaglio.
|
MISURA |
RISCHIO CONTRASTATO |
STRUTTURA INTERESSATA |
EVENTUALE BANCA DATI INTERESSATA |
MISURA GIÀ IN ESSERE |
PERIODICITÀ E RESPONSABILITÀ DEI CONTROLLI |
|
Preventiva, di contrasto,
di contenimento degli effetti |
Dispersione, perdita o
alterazione, anche irreversibile, di dati, di programmi e di elaboratori;
accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e
di utilizzo dei programmi |
Ufficio Affari Generali |
Relativo archivio |
Antivirus, Firewall e
credenziali di autenticazione |
Bimestrale; responsabile
pro tempore del servizio |
|
Preventiva, di contrasto,
di contenimento degli effetti |
Dispersione, perdita o
alterazione, anche irreversibile, di dati, di programmi e di elaboratori;
accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi |
Ufficio Personale |
Relativo archivio |
Antivirus, Firewall
e credenziali dì autenticazione |
Bimestrale; responsabile
pro tempore del servizio e, per la parte di competenza, della ditta esterna |
|
Preventiva, di contrasto,
di contenimento degli effetti |
Dispersione, perdita o
alterazione, anche irreversibile, di dati, di programmi e di elaboratori;
accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e
di utilizzo dei programmi |
Ufficio contabilità patrimonio |
Relativo archivio |
Antivirus, Firewall
e credenziali di autenticazione |
Bimestrale; responsabile
pro tempore del servizio |
|
Preventiva, di contrasto,
di contenimento degli effetti |
Dispersione, perdita o
alterazione, anche irreversibile, di dati, di programmi e di elaboratori;
accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e
di utilizzo dei programmi |
Ufficio Didattica
Alunni |
Relativo archivio |
Antivirus, Firewall e
credenziali di autenticazione |
Bimestrale; responsabile
pro tempore del servizio |
|
Preventiva, di contrasto,
di contenimento degli effetti |
Dispersione, perdita o
alterazione, anche irreversibile, dì dati, di programmi e di elaboratori;
accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e
di utilizzo dei programmi |
Ufficio Tecnico magazzino |
Relativo archivio |
Antivirus, Firewall e
credenziali di autenticazione |
Bimestrale; responsabile
pro tempore del servizio |
|
data della verifica |
28 marzo 2006 |
|
|||
7. CRITERI E MODALITÀ PER IL RIPRISTINO DELLA
DISPONIBILITÀ DEI DATI IN SEGUITO A DISTRUZIONE O DANNEGGIAMENTO
Al fine di garantire l'integrità dei dati contro i rischi di
distruzione o perdita, è stata definita una procedura di periodica esecuzione
di copie di sicurezza dei dati trattati. Sono state perciò acquisite licenze di
uso per software antivirus, nonché sistemi di firewall con verifica di idoneità
e costante aggiornamento. In ogni caso si osserva che l'Istituzione Scolastica
dispone di un sistema di controllo degli accessi ai locali. I documenti sono
anche conservati in copia cartacea presso locali dell'Istituzione Scolastica
non accessibili ai terzi e dotati di adeguati strumenti di protezione (armadi
con serrature, stanze protette da inferriate).
Sinteticamente è possibile
rappresentare la seguente procedura di copia, verifica e ripristino dei dati
per ogni p.c.. o terminale di collegamento a server
|
Struttura in
possesso di p.c. o collegamento a server |
Applicativo |
Sistema operativo |
Supporti magnetici |
Procedura di copia |
Procedura
di verifica
|
Ripristino |
|
Ufficio Affari Generali
|
Office |
Server Windows2000 |
Cassette Tipo DAT |
Procedura
di back-up Windows200 0 server |
Procedura
di back-up Wíndows2000 server |
Procedura
di back-up Windows2000 server |
|
Ufficio Personale |
|
|
|
|
|
|
|
Ufficio Contabilità - patrimonio |
|
|
|
|
|
|
|
Ufficio Didattica - Alunni |
|
|
|
|
|
|
|
Ufficio Tecnico magazzino |
|
|
|
|
|
|
|
data della verifica |
29 marzo 2006 |
|||||
Con riferimento invece al
contenuto ed alle competenze in tema di copia, verifica e ripristino, le
soluzioni organizzative adottate presso l'Istituzione Scolastica sono
sintetizzate nella seguente tabella
|
SALVATAGGIO |
CRITERI INDIVIDUATI PER IL SALVATAGGIO |
UBICAZIONE DI CONSERVAZIONE DELLE COPIE |
STRUTTURA OPERATIVA INCARICATA DEL SALVATAGGIO |
||
|
Struttura |
Dati sensibili o
giudiziari contenuti |
||||
|
Ufficio Affari Generali
|
Corrispondenza esterna
ed interna |
Salvataggio dati periodico |
Locale sito in Via
Gherardi 87 piano B, con serratura con
chiavi distribuite fra i soli autorizzati |
Responsabile pro
tempore del servizio |
|
|
Ufficio Personale |
- Stato di salute (dispense
dal servizio, aspettative) |
Salvataggio dati
giornaliero. |
Locale sito in Via
Gherardi 87 piano B, con serratura con chiavi distribuite fra i soli
autorizzati; locali analoghi della ditta esterna che eventualmente coadiuvi
gli uffici scolastici, in base al contratto di fornitura in essere, come
integrato dall'allegato atto di nomina a responsabile del relativi trattamenti |
Responsabile pro
tempore del servizio e, per la parte di competenza, della ditta esterna |
|
|
Ufficio Contabilità - patrimonio |
- dati giudiziari inerenti
imprese interessate ad attività negoziali |
Salvataggio dati
giornaliero |
Locale sito in Via
Gherardi 87 piano B, con serratura con
chiavi distribuite fra i soli autorizzati; locali analoghi della ditta
esterna che eventualmente coadiuvi gli uffici scolastici, in base al
contratto di fornitura in essere, come integrato dall'allegato atto di nomina
a responsabile del relativi trattamenti |
Responsabile pro
tempore del servizio |
|
|
Ufficio Didattica Alunni |
- Stato di salute
- origine razziale o etnica |
Salvataggio dati
periodico. |
Locale sito in Via
Gherardi 87 piano B, con serratura con chiavi distribuite fra i soli
autorizzati; locali analoghi della ditta esterna che eventualmente coadiuvi
gli uffici scolastici, in base al contratto di fornitura in essere, come
integrato dall'allegato atto di nomina a responsabile del relativi
trattamenti |
Responsabile pro tempore
del servizio |
|
|
Ufficio Tecnico
magazzino |
- dati giudiziari inerenti
imprese interessate ad attività negoziali |
Salvataggio dati
periodico |
Locale sito in Via
Gherardi 87 piano B, con serratura con chiavi distribuite fra i soli
autorizzati; locali analoghi della ditta esterna che eventualmente coadiuvi
gli uffici scolastici, in base al contratto di fornitura in essere, come
integrato dall'allegato atto di nomina a responsabile del relativi
trattamenti |
Responsabile pro tempore
del servizio |
|
|
data della verifica:
29marzo 2006 |
|
|
|||
NB: Tutte le procedure di
salvataggio e back-up su dischi e/o cartacei da archiviare saranno effettuati
dagli Assistenti tecnici: Carlo Simonetti e Luciano Zaccari
Con riferimento alle procedure di ripristino,
l'Istituzione Scolastica ha adottato le seguenti modalità
|
RIPRISTINO (in seguito
a distruzione o danneggiamento) |
|
|
|
DATA BASE/ARCHIVIO |
SCHEDA OPERATIVA |
PIANIFICAZIONE DELLE
PROVE DI RIPRISTINO |
|
Ufficio Affari Generali
|
Viene effettuato un
back up dei dati trattati e dei documenti presenti sull'HD su diverse copie
di supporti che vengono conservate in più locali con serratura, ma sempre
all'interno della sede dell'Istituzione Scolastica di |
Trimestrale |
|
Ufficio Personale |
Come sopra |
Trimestrale |
|
Ufficio Contabilità - patrimonio |
Come sopra |
Trimestrale |
|
Ufficio Didattica - Alunni |
Come sopra |
Trimestrale |
|
Ufficio Tecnico
magazzino |
Come sopra |
Trimestrale |
|
Data della verifica: 29
marzo 2006 |
||
8. PROGRAMMA DEGLI INTERVENTI FORMATIVI
DEGLI INCARICATI DEL TRATTAMENTO
L'Istituzione Scolastica
intende aderire alle iniziative formative organizzate dalla direzione regionale
del Ministero dell'Istruzione dell'Università e della Ricerca Scientifica o da
altre Istituzioni, tenendo anche conto dell'economicità di un'azione
organizzata su base regionale o provinciale, rispetto ad una gestione in
proprio delle attività formative. L'Istituzione opera integrale rinvio alla
programmazione della Direzione regionale, riservandosi comunque di agire in via
suppletiva, qualora, per ragione organizzative od economiche, non sia possibile
far partecipare il proprio personale alle attività di formazione necessarie per
adempiere alle prescrizioni ordinamentali. A tal fine è stata designata, con
atto allegato al presente documento, la persona incaricata di curare
l'effettiva esecuzione dell'attività formativa da parte del personale
coinvolto.
Corso di formazione
|
Descrizione sintetica
dell'obiettivo formativo |
Personale interessato |
Numero di incaricati interessati |
Numero di incaricati
già formati/da formare nel corso dell'anno |
Calendario |
|
|
L'adempimento
dell'obbligo di aggiornamento del DPS |
Porre in condizione il
personale competente di adempiere sempre
all'obbligo di aggiornamento del DPS |
|
|
|
Concordato con |
|
|
Quadro riepilogativo
degli adempimenti e degli obblighi in
materia di privacy (ivi incluse le misure di sicurezza per gli archivi
cartacei) |
Mantenimento del richiesto grado di conoscenza dell'intero
impianto della normativa in materia di privacy, anche ai fini delle misure di
sicurezza da adottare per gli archivi cartacei. |
|
|
|
Entro il |
|
|
Privacy e diritto
di accesso nelle istituzioni scolastiche |
Fornire un quadro
coordinato dei diritti (di accesso e
alla riservatezza) riconosciuti all'utenza dalla vigente legislazione,
in rapporto ai doveri gravanti sulle strutture scolastiche |
|
|
|
Entro il |
|
|
Esame della casistica
ricorrente nell'attività di ufficio, alla luce delle sentenze del giudice amministrativo
e dei pronunciamenti del Garante |
Aggiornare il personale
sull'evoluzione dell'interpretazione della normativa intervenuta nel corso dell'anno |
|
|
|
Entro il |
|
Data della verifica: 29 marzo 2006
|
||||||
9. VINCOLI
CONTRATTUALMENTE ASSUNTI DAL FORNITORE ESTERNO AI FINI DELLA SICUREZZA DEI DATI
L'Istituzione Scolastica ha affidato all'esterno, nei termini
risultanti dalla sopraindicata tabella, i trattamenti di dati personali
sensibili o giudiziari, effettuato con strumenti elettronici, previa assunzione
da parte dell'affidatario ‑ nell'ambito dello stesso contratto con cui
viene realizzato l'affidamento o con atto aggiuntivo ‑ degli impegni
derivanti dalle seguenti dichiarazioni:
·
di essere consapevole che i dati che tratterà
nell'espletamento dell'incarico ricevuto, sono dati personali e, come tali sono
soggetti all'applicazione del codice per la protezione dei dati personali;
·
di ottemperare agli obblighi previsti dal Codice
per la protezione dei dati personali;
·
di adottare le istruzioni specifiche ricevute per
il trattamento dei dati personali e di integrarle nelle procedure già in
essere;
·
di impegnarsi a relazionare annualmente sulle
misure di sicurezza adottate e di avvertire (allertare) immediatamente il
proprio committente in caso di situazioni anomale o di emergenze;
·
di riconoscere il diritto del committente a
verificare periodicamente l'applicazione delle norme di sicurezza adottate.
10. ATTI E DOCUMENTI NON IN
FORMATO ELETTRONICO, ARCHIVI CARTACEI
I trattamenti di dati personali con strumenti
diversi da quelli elettronici sono effettuati dagli incaricati seguendo le
istruzioni scritte ad essi impartite con il documento di cui all'allegato 1,
finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo
svolgimento delle operazioni di trattamento, degli atti e dei documenti
contenenti dati personali. L'aggiornamento periodico dell'individuazione dell'ambito
del trattamento consentito ai singoli incaricati ha carattere annuale. Gli atti
e i documenti contenenti dati personali sensibili o giudiziari sono affidati
agli incaricati del trattamento per lo svolgimento dei relativi compiti. 1
medesimi atti e documenti sono controllati e custoditi dagli incaricati fino
alla restituzione in maniera che ad essi non accedano persone prive di
autorizzazione, e sono restituiti al termine delle operazioni affidate.
L'accesso agli archivi
contenenti dati sensibili o giudiziari è consentito solamente alle persone
preventivamente autorizzate.
11. SISTEMA DI AUTORIZZAZIONE.
Al momento, considerata la
forte carenza di personale e le esigenze organizzative dell'ente, per il cui ordinario
funzionamento è indispensabile assicurare una certa interscambiabilità
funzionale degli incaricati, non è stato adottato un sistema di autorizzazione.
12. OBBLIGO DI
AGGIORNAMENTO PERIODICO DEL DPS
Il presente documento
programmatico sulla sicurezza è sottoposto a revisione annuale nella sua
interezza, entro la scadenza del 31 marzo di ciascun anno, come previsto dalla
regola 19 del Disciplinare tecnico di cui all'allegato B) al d.lgs. 196/03, in
relazione al disposto dell'art. 34, lettera g) del decreto stesso.
Gli allegati al presente documento
ne formano parte integrante.
Il presente documento è aggiornato al 29 marzo 2006
IL TITOLARE DEL TRATTAMENTO Il Dirigente Scolastico
Prof. Antonio
Panaccione
(TIMBRO E FIRMA) …………………………………..
Roma 29 marzo
2006____________________ prot.
n.________________
ALLEGATO
Individuazione dei soggetti
IL TITOLARE
Il titolare è la istituzione scolastica, rappresentata dal dirigente
scolastico (art. 28 D. Legavo n 196 del 30 giugno 2003).
INDIVIDUAZIONE E ATTRIBUZIONE DELLE
RESPONSABILITÀ
IL RESPONSABILE
Per la individuazione del responsabile, la cui nomina è facoltativa,
esistono diverse possibilità:
- non viene nominato, ed il
dirigente scolastico assume personalmente tutte le incombenze relative agli
adempimenti previsti dal decreto legislativo n 196 del 30 giugno 2003 e
provvedimenti collegati.
- viene nominato il direttore dei
servizi generali ed amministrativi, o altra persona adeguatamente formata per i
trattamenti dei dati che riguardano in modo specifico i servizi di segreteria
mentre il capo d’istituto si occupa direttamente del trattamento dei dati
effettuato dai docenti;
- vengono nominati:
a) il direttore dei servizi generali ed
amministrativi o un ATA adeguatamente formato, per i trattamenti dei dati che riguardano
in modo specifico i servizi di segreteria;
b) uno o più docenti per i trattamenti dati
effettuati dagli insegnanti per fini didattici;
c) un docente o un ATA adeguatamente formato per il
trattamento e le garanzia degli strumenti afferenti il sistema informatico della
gestione dati.
In base a quanto disposto dall’articolo 29 comma 2 del decreto legislativo
n 196 del 30 giugno 2003,
" Il responsabile se designato, deve essere nominato
fra i soggetti che per esperienza capacità ed affidabilità, forniscano idonea
garanzia del pieno rispetto delle vigenti disposizioni in materia di
trattamento, ivi compreso il profilo della sicurezza"
Il dirigente scolastico ha deciso di adottare la soluzione di nominare le
persone più informate/formate di settore dato che fino al momento attuale le
questioni afferenti all’accesso ai documenti da parte degli interessati sono
state trattate, per le rispettive competenze, dallo stesso e dal direttore dei
servizi generali ed amministrativi, dal suo sostituto, dai docenti gestori di
rete, e visto che la individuazione di altri docenti come responsabili
richiederebbe la preventiva realizzazione di impegnative attività di formazione
Viene quindi individuato come Responsabile, per i trattamenti dei dati che
riguardano in modo specifico i servizi di segreteria, il direttore dei servizi
generali e amministrativi Sig,ra Daniela Lodolini (vedi nomina allegata).
GLI INCARICATI
Il docente è da considerarsi,
per la propria sfera di competenza, incaricato del trattamento come tale deve
essere nominato mediante specifico atto che elenchi puntualmente: categorie dei
dati cui può avere accesso; tipologia di trattamento e vincoli specifici
applicabili alle varie tipologie di dati; istruzioni in merito ai soggetti cui
i dati possono essere comunicati o diffusi.
Ogni collaboratore amministrativo
dovrà essere nominato incaricato del trattamento con specifico atto, in base ai
compiti che assolve nell’ufficio.
I collaboratori scolastici,
qualora trattino anche saltuariamente dati personali, dovranno essere incaricati
con specifico atto.
Le nomine saranno effettuate anche per il personale supplente temporaneo, docente e ATA, e, per quanto
riguarda i trattamenti effettuati con strumenti elettronici, per il personale esterno incaricato della
manutenzione.
Qualora la istituzione scolastica si dovesse avvalere per le pulizie, o per
altri servizi, di imprese private e qualora i dipendenti di tali imprese,
nell’ambito del servizio, avessero accesso ad aree contenenti archivi di dati
personali gli stessi dipendenti dovranno essere dal responsabile identificati e
autorizzati.
(atti allegati)
L’AMMINISTRATORE DI SISTEMA
L’Amministratore di sistema garantisce la tutela ed il corretto uso dei
sistemi informatici e delle banche-dati in essa contenuti.
Dato l’elevato rilievo dell’utilizzo delle strumentazioni informatiche, sia
a livello amministrativo sia didattico, il titolare del trattamento dati
ritiene opportuno conferire la nomina dell’A.S. al responsabile dell’AREA INFORMATIZZAZIONE E SERVIZI,
AA.TT. Luciano Zaccari e Carlo Simonetti, con la collaborazione del Prof. Mauro
DeVita per il solo sito web di Istituto. I sistemi di Regolamento interni
verranno affissi in ogni LABORATORIO INFORMATICO e/o ufficio dotato di sistemi
informatici.