Dps 2011 - ISIS `R. Del Rosso
Transcript
Dps 2011 - ISIS `R. Del Rosso
ISTITUTO STATALE ISTRUZIONE “G. da Verrazzano” PORTO S. STEFANO Prot. 593/B10 H7 del 09/02/2011 Documento programmatico sulla sicurezza dei dati D.Lgs. 196/2003 Stesura marzo 2011 1 INDICE 1. Introduzione 2. Elenco dei trattamenti di dati personali 2.1 Dati trattati dal personale docente 2.2 Dati trattati dal personale ATA 2.3 Dati trattati dal dirigente scolastico 3. Distribuzione dei compiti e delle responsabilità 3.1 Individuazione ed attribuzioni del responsabile 3.2 I responsabili esterni 3.3 Gli incaricati 3.4 L’amministratore di sistema 4. Analisi dei rischi che incombono sui dati 4.1 Descrizione stato attuale 4.1.1 Plessi e loro collocazione 4.1.2 Locali dove avviene il trattamento da parte del personale docente 4.1.3 Locali dove avviene il trattamento da parte del dirigente scolastico e del personale ATA 4.1.4 Descrizione generale dell’edificio che ospita presidenza e segreteria 4.1.5 Descrizione dei locali della presidenza e dei servizi di segreteria 4.1.6 Gestione delle chiavi 4.1.7 Rilevazione struttura sistema informatico 4.2 Analisi 4.2.1 4.2.2 4.2.3 dei rischi Rischi riguardanti le basi di dati trattate da docenti Rischi riguardanti le basi di dati trattate dal personale ATA Rischi per il sistema informativo automatizzato 5. Misure da adottare per garantire l’integrità e la disponibilità dei dati 5.1 Misure fisiche 5.1.1 Sicurezza di area 5.1.2 Sicurezza degli archivi 5.1.3 Attuazione degli adeguamenti riferiti alle misure fisiche 5.2 Misure 5.2.1 5.2.2 5.2.3 5.2.4 informatiche Sistema di autenticazione Sistema di autorizzazione Altre misure Attuazione degli adeguamenti riferiti alle misure informatiche 5.3 Misure organizzative 6. Criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di affidamento del trattamento a soggetti esterni 6.1 Affidamento a persone fisiche 6.2 Affidamento a persone giuridiche 7. Modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento 8. Interventi formativi 8.1 Interventi formativi già attuati 8.2 Interventi formativi al momento dell’ingresso in servizio 8.3 Interventi formativi di aggiornamento 9. Misure specifiche per i dati personali idonei a rivelare lo stato di salute 2 1 Introduzione Il presente documento (DPS) definisce lo stato di attuazione nell’Istituto Statale di Istruzione “G. da Verrazzano” per quanto disposto dal D. Lgs. 30 giugno 2003 n° 196 Codice in materia di protezione dei dati personali agli articoli 31, 33, 34 e 35 e dal Disciplinare tecnico in materia di misure minime di sicurezza (allegato B del Codice). Il presente documento costituisce revisione effettuata entro il 31 marzo 2009 del precedente DPS, secondo quanto disposto, dalla regola 19 del già citato Disciplinare tecnico in materia di misure minime di sicurezza (allegato B del Codice). La revisione è stata realizzata dal titolare attraverso una puntuale analisi dei contenuti del DPS approvato in precedenza, sulla base delle relazioni dei responsabili e dei cambiamenti strutturali ed organizzativi intervenuti. Il contenuto di quanto segue si riferisce alla struttura organizzativa e funzionale della istituzione scolastica che prevede il trattamento di dati effettuato, per le rispettive competenze, dal corpo docente e dal personale ATA. Nell'affrontare e risolvere le varie problematiche riferite all'applicazione Disciplinare tecnico in materia di misure minime di sicurezza (allegato B del Codice) si è ritenuto opportuno quindi considerare, all'interno di uno stesso quadro organizzativo, in modo separato il trattamento dei dati operato dal personale docente e dal personale ATA. I dati personali, comuni e sensibili, trattati da docenti riguardano essenzialmente gli alunni; i dati personali, comuni e sensibili trattati dal personale di segreteria riguardano sia gli alunni che il personale della scuola. Dalla prima approvazione del Documento Programmatico per la Sicurezza non sono da registrare avvenimenti rilevanti ai fini della sicurezza dei dati personali. 3 2 Elenco dei trattamenti di dati personali 2.1 Dati trattati dal personale docente I dati personali trattati dai docenti sono contenuti in banche dati, di norma, su supporto cartaceo che si possono classificare in: o o basi di dati alle quali hanno accesso più docenti basi di dati alle quali ha accesso un singolo docente Le banche dati cui hanno accesso più docenti sono: o o o o o o o il registro di classe il registro dei verbali del consiglio di classe la documentazione relativa alla programmazione didattica i documenti di valutazione la documentazione dello stato di handicap i certificati medici degli allievi la corrispondenza con le famiglie Le banche dati cui ha accesso il singolo docente sono: o o il registro personale gli elaborati Per la valutazione degli alunni negli scrutini viene utilizzata una procedura informatica. I docenti hanno accesso alla procedura attraverso un sistema di autenticazione (login, password). I docenti “caricano” per ogni alunno i dati relativi alla valutazione ed alle assenze, nelle materie di competenza; dopo le operazioni di scrutinio, dove le valutazioni sono validate, la banca dati, conservata nel server, viene gestita dal personale di segreteria. Appare opportuno considerare i dati trattati dai docenti nel loro insieme come dati sensibili, ai sensi della lettera d comma 1 dell’articolo 4 del Codice, essendo difficile, per loro natura e organizzazione, classificarli in sensibili e personali. Il trattamento dei dati da parte dei docenti (tenuta dei registri, modalità di compilazione dei documenti di valutazione, verbalizzazione etc.) è definito puntualmente da norme di legge o regolamentari. 2.2 Dati trattati dal personale ATA Le banche dati su supporto cartaceo e/o informatizzato, contenenti dati personali, personale ATA, raggruppati in insiemi omogenei, sono: o o o o o o o o 2.3 cui ha accesso il i fascicoli relativi al personale della scuola i fascicoli alunni ed ex alunni l'anagrafe fornitori, i contratti documentazione finanziaria e contabile la documentazione didattica trattata dai docenti per la conservazione il registro degli infortuni il registro di protocollo gli atti e i documenti prodotti dalla Istituzione Dati trattati dal dirigente scolastico Le banche dati di esclusiva pertinenza del Dirigente Scolastico sono: 4 o o o o o 3 il fascicolo del personale direttivo i verbali delle assemblee dei genitori la programmazione relativa allo stato di disagio il protocollo riservato il fascicolo del personale in prova Distribuzione dei compiti e delle responsabilità Il Codice individua agli articoli 28, 29 e 30 i soggetti che sono coinvolti nel trattamento dei dati personali: il titolare, cioè la persona fisica o giuridica che ha la responsabilità finale ed assume le decisioni fondamentali riferite al trattamento dei dati personali; il responsabile, è la persona, dotata di particolari caratteristiche di natura morale e di competenza tecnica, preposta dal titolare al trattamento dei dati personali “ivi compreso il profilo della sicurezza”; possono essere nominati anche più responsabili in base ad esigenze organizzative; l’incaricato è la persona fisica che materialmente provvede al trattamento dei dati, secondo le istruzioni impartite dal titolare o dal responsabile se nominato; Il provvedimento del Garante 27 novembre 2008 definisce puntualmente i compiti di un quarto soggetto: 3.1 l’amministratore di sistema cui è conferito il compito di gestire le risorse del sistema informatico. Individuazione del responsabile ed attribuzioni Per la individuazione del responsabile, la cui nomina è facoltativa, esistono diverse possibilità: a) non viene nominato, ed il dirigente scolastico assume personalmente tutte le incombenze relative agli adempimenti previsti dal D.Lgs.196/2003 per il titolare; b) viene nominato il direttore dei servizi generali ed amministrativi per i trattamenti dei dati che riguardano in modo specifico i servizi di segreteria mentre i l capo d’istituto si occupa direttamente del trattamento dei dati effettuato dai docenti; c) vengono nominati: - il direttore dei servizi generali ed amministrativi per i trattamenti dei dati che riguardano in modo specifico i servizi di segreteria; - uno o più docenti per i trattamenti dati effettuati dagli insegnanti per fini didattici. In base a quanto disposto dall’articolo art 29 2° comma, D.Lgs.196/2003 “ Il responsabile se designato, deve essere nominato fra i soggetti che per esperienza capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo della sicurezza”. Il dirigente scolastico ha deciso confermare la soluzione “b”, come disposto nei precedenti DPS. Viene quindi confermato come responsabile, per i trattamenti dei dati che riguardano in modo specifico i servizi di segreteria, il direttore dei servizi generali ed amministrativi. 3.2 I Responsabili esterni Dato che questa Istituzione scolastica si avvale, o si può avvalere, per l’espletamento di alcuni servizi o per altre attività di soggetti esterni (persone giuridiche), quando i dipendenti di tali imprese, nell’ambito del servizio o attività, hanno accesso ad aree contenenti archivi di dati personali e/o a dati personali, i legali rappresentanti dei soggetti esterni saranno nominati dal titolare responsabili esterni. 5 3.3 Gli Incaricati Il docente è da considerarsi, per la propria sfera di competenza, incaricato del trattamento come tale deve essere nominato mediante specifico atto che elenchi puntualmente: categorie dei dati cui può avere accesso; tipologia di trattamento e vincoli specifici applicabili alle varie tipologie di dati; istruzioni in merito ai soggetti cui i dati possono essere comunicati o diffusi. Ogni assistente amministrativo dovrà essere nominato incaricato del trattamento con specifico atto, in base ai compiti che assolve nell’ufficio. I collaboratori scolastici, qualora trattino anche saltuariamente dati personali, dovranno essere incaricati con specifico atto. Le nomine di incaricato del trattamento dati saranno effettuate anche per il personale supplente temporaneo, docente e ATA . Dovrà essere nominato incaricato anche il personale esterno (persone fisiche) che sulla base di incarichi o convenzioni stipulate con l’Istituzione scolastica ha accesso al trattamento di dati personali, compreso il personale esterno incaricato della manutenzione degli strumenti informatici. 3.4 L’Amministratore di Sistema Il Garante con il Provvedimento a carattere generale - 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” (G.U. n. 300 del 24 dicembre 2008) richiama l'attenzione di enti, amministrazioni, società private sulla figura professionale dell' amministratore di sistema e ha prescritto l'adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici. In sostanza il provvedimento dispone quanto segue. a. Valutazione delle caratteristiche soggettive L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. b. Designazioni individuali La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. c. Elenco degli amministratori di sistema Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. d. Servizi in outsourcing Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. e. Verifica delle attività L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti. f. Registrazione degli accessi Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di 6 sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Attualmente le attività riconducibili a quelle di amministratore di sistema nella Istituzione vengono svolte da personale interno e dalla società che fornisce i programmi gestionali, per gli aspetti relativi all’installazione, manutenzione e aggiornamento. Lo schema dell’atto di nomina dell’incaricato con funzione di amministratore di sistema è inserito nell’allegato A al presente Documento. Al DPS sarà allegato il curricolo dell’amministratore di sistema Alle società che forniscono i programmi gestionali verrà inoltrata richiesta affinché comunichino in tempi brevi a questa Istituzione i nominativi dei soggetti dalle stesse società preposti alle attività riconducibili a quelle di amministratore di sistema; al DPS sarà allegato l’elenco degli amministratori di sistema esterni. Il titolare verificherà annualmente, alla data del rinnovo del DPS, l’operato degli amministratori di sistema attraverso le seguenti modalità: • acquisizione di una relazione dell’amministratore di sistema dove vengano puntualmente descritte le attività realizzate sul sistema informatico; • verifica delle registrazioni (file log) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema; • redazione di un verbale. Per quanto riguarda la registrazione degli accessi (file di log), premesso che è prevista dal presente documento ed attiva una procedura di autenticazione per gli accessi al sistema informatico dell’Amministrazione, il titolare provvederà entro la scadenza definita dal Garante a verificarne le caratteristiche di completezza, inalterabilità e integrità (punto f delle prescrizioni del citato provvedimento). Nel caso in cui le registrazioni non avessero le caratteristiche di cui al punto f, e l’acquisizione di un sistema operativo a norma si rilevasse economicamente onerosa e non realizzabile nei tempi previsti, il titolare provvederà comunque a definire un procedura adeguata al raggiungimento dello scopo individuato dal provvedimento 7 4 Analisi dei rischi che incombono sui dati Per procedere all’analisi dei rischi che incombono sui dati è necessario descrivere ed analizzare la situazione attuale della istituzione scolastica. I dati che seguono sono relativi a una rilevazione effettuata nel luglio 2004. 4.1 Descrizione stato attuale 4.1.1 Plessi e loro collocazione ISTITUTO TECNICO NAUTICO ISTITUTO TECNICO COMMERCIALE ISTITUTO PROFESSIONALE MARITTIMO 4.1.2 PORTO S. STEFANO via Panoramica , 81 ALBINIA, via della Pace snc PORTO S. STEFANO via Civinini, 1 Locali dove avviene il trattamento da parte personale docente Gli edifici ove avviene il trattamento dei dati effettuato da docenti coincidono con i plessi della istituzione scolastica. 4.1.3 Locali dove avviene il trattamento da parte del dirigente scolastico e del personale ATA I locali interessati al trattamento dei dati da parte del personale di segreteria e da parte del dirigente scolastico sono siti nella sede dell’ Istituto Tecnico Nautico in Porto S. Stefano, via Panoramica n° 81 4.1.4 Descrizione generale dell’edificio che ospita presidenza e segreteria La sede della presidenza e dei servizi di segreteria si trova presso l’Istituto Tecnico Nautico in porto S. Stefano. La struttura è costituita da due edifici fra, loro collegati, il primo ospita uffici (edificio principale), aule e laboratori il secondo esclusivamente laboratori. Descrizione edificio principale accesso: dalla via Panoramica cortile esclusivo: si, alcune corti interne delimitata dagli edifici e da recinzioni metalliche parcheggi esclusivi: no cancelli di accesso: in metallo muniti di chiusure con catene e lucchetti, accesso illuminazione esterna: illuminazione pubblica n° di piani fuori terra: tre + 1 (utilizzato solo per il vano ascensore) piano/i interrato/: no n° degli accessi all’edificio: uno principale dalla via Panoramica, uno da una corte interna pedonale alle corti interne tipologia accessi porta principale tagliafuoco REI 60 con serratura ordinaria dalla porta principale si entra in un atrio, costantemente presidiato in orario di apertura della scuola, dal quale si accede a laboratori didattici e, tramite una scala e ascensore, ai piani superiori sistema generale di allarme presente nei corridoi e nell’area dei servizi amministrativi 8 locali utilizzati da altri soggetti palestra utilizzata da soggetti esterni, è compartimentata rispetto alla struttura ed ha un proprio accesso 4.1.5 Descrizione dei locali della presidenza e dei servizi di segreteria I locali della Presidenza e dei Servizi Amministrativi constano di: 1. Presidenza 2. Locale DSGA 3. Locale assistenti amministrativi 4. Archivio 1 5. Segreteria Alunni 6. Archivio 2 sono collocati al primo piano, vi si accede tramite scala e ascensore, nello stesso corridoio sono presenti le scale di accesso ai piani superiore e locali usati per varie attività didattiche Il locale della presidenza, quelli del direttore SGA, degli assistenti amministrativi e di un archivio (Archivio 1) sono compresi in una unica area delimitata da un cancello metallico dotato di serratura efficiente; all’area descritta si accede dal corridoio tramite una zona presidiata, in orario di servizio, da collaboratori scolastici. I locali della segreteria alunni e di un archivio (Archivio 2) sono collocati fuori dell’area sopra descritta. 9 1 – Denominazione e destinazione locale 1. Presidenza 2 – Collocazione - Piano primo (interno area compartimentata) - n.1 dal corridoio n.1 dal locale Direttore SGA 3 – Accessi 4 – Protezioni da intrusione esterna - accessibilità finestre descrizione protezioni non accessibili per posizione - porte - metallo e resina di modesta consistenza con serratura ordinaria 5 – Postazioni di lavoro e dotazioni informatiche - n. 1 posto di lavoro n. 1 PC in rete 6 – Descrizione arredi descrizione serratura Armadi in metallo e vetro no scrivania efficienza serratura contenuto verbali collegio verbali consigli di classe documentazione didattica si si protocollo riservato documentazione allievi handicap valutazione docenti in prova si si varia documentazione 7 - rischio incendio - vedi documento sicurezza DLGS 81/08 10 1 – Denominazione e destinazione locale 2. Direttore SGA 2 – Collocazione - Piano primo (interno area compartimentata) - n.1 dal corridoio n.1 dal locale Presidenza 3 – Accessi 4 – Protezioni da intrusione esterna - accessibilità finestre descrizione protezioni - non accessibili per posizione - porte - metallo e resina di modesta consistenza con serratura ordinaria presente sistema di allarme 5 – Postazioni di lavoro e dotazioni informatiche - n. 1 posti di lavoro n. 1 PC in rete 6 – Descrizione arredi descrizione serratura efficienza serratura Armadi in metallo si si scrivania si si contenuto Documentazione finanziaria Bilanci contratti Documentazione varia, no dati personali inventario varia documentazione 7 - rischio incendio - vedi documento sicurezza DLGS 81/08 11 1 – Denominazione e destinazione locale 2. Assistenti amministrativi 2 – Collocazione - Piano primo (interno area compartimentata) - n.1 dal corridoio 3 – Accessi 4 – Protezioni da intrusione esterna - accessibilità finestre descrizione protezioni - alcune non accessibili per posizione altre accessibili protette da grate mtalliche - porte - metallo e resina di modesta consistenza con serratura ordinaria 5 – Postazioni di lavoro e dotazioni informatiche - n. 7 posti di lavoro n. 6 PC in rete n. 1 PC stand alone 6 – Descrizione arredi descrizione serratura efficienza serratura Armadi in metallo Schedari metallici Armadi metallo e vetro si si scrivanie si si contenuto varia documentazione 7 - rischio incendio - vedi documento sicurezza DLGS 81/08 12 1 – Denominazione e destinazione locale 2. Archivio 1 2 – Collocazione - Piano primo (interno area compartimentata) - n.1 dal locale assistenti amministrativi 3 – Accessi 4 – Protezioni da intrusione esterna - accessibilità finestre descrizione protezioni - - non accessibili grate metalliche - tagliafuoco REI 60 con serratura efficiente porte 5 – Postazioni di lavoro e dotazioni informatiche 6 – Descrizione arredi descrizione serratura efficienza serratura Scaffali metallici contenuto Cassaforte si si Fascicoli alunni e fascicoli personale docente e ata Registri protocollo Chiavi Schedario metallico si si Fascicoli alunni N° 2 bacheche metalliche Si si Chiavi di sicurezza del locali e degli archivi 7 - rischio incendio - vedi documento sicurezza DLGS 81/08 13 1 – Denominazione e destinazione locale 2. Segreteria alunni 2 – Collocazione - Piano primo - n.1 dal corridoio 3 – Accessi 4 – Protezioni da intrusione esterna - accessibilità finestre descrizione protezioni - non accessibili per posizione - porte - tagliafuoco REI 60 con serratura efficiente presente sistema di allarme 5 – Postazioni di lavoro e dotazioni informatiche - n. 1 posti di lavoro n. 1 PC in rete 6 – Descrizione arredi descrizione serratura efficienza serratura contenuto Fascicoli personali alunni si Armadi in metallo Armadi in metallo e vetro si si scrivania si si varia documentazione 7 - rischio incendio - vedi documento sicurezza DLGS 81/08 14 1 – Denominazione e destinazione locale 2. Archivio 2 2 – Collocazione - Piano primo - n.1 dal corridoio 3 – Accessi 4 – Protezioni da intrusione esterna - accessibilità finestre descrizione protezioni - non accessibili per posizione - porte metallo e resina di modesta consistenza con serratura ordinaria presente sistema di allarme 5 – Postazioni di lavoro e dotazioni informatiche no 6 – Descrizione arredi descrizione serratura efficienza serratura contenuto Pacchi esami elaborati Armadi in metallo Scaffali metallici Documentazione didattica varia si si varia documentazione 7 - rischio incendio - vedi documento sicurezza DLGS 81/08 15 4.1.6 Gestione delle chiavi Chiavi per l’accesso all’edificio principale a) soggetti cui sono affidate le chiavi personale istituzione - tutti i collaboratori scolastici; Dirigente, DSGA, insegnante delegato al sistema di allarme soggetti esterni - impresa di pulizie b) modalità di affidamento delle chiavi Verbali di consegna per la quasi totalità degli affidatari (NO insegnante delegato al sistema di allarme) c) esistono copie delle chiavi SI X NO d) in caso di risposta positiva indicare il soggetto o i soggetti preposti alla custodia delle copie di sicurezza DSGA Dirigente Gestione delle chiavi di accesso ai locali dove sono trattati dati personali - locali situati nell’edificio principale a) soggetti cui sono affidate le chiavi personale istituzione - tutti i collaboratori scolastici; Dirigente, DSGA; insegnante delegato al sistema di allarme soggetti esterni - impresa di pulizie b) modalità di custodia delle chiavi Verbali affidamento d) esistono copie delle chiavi SI x NO 16 d) in caso di risposta positiva indicare il soggetto o i soggetti preposti alla custodia delle copie di sicurezza DSGA Dirigente Gestione delle chiavi degli archivi dove sono custoditi dati personali Le chiavi degli archivi (schedari, armadi, scrivanie etc.) vengono custodite in luogo sicuro; all’orario di apertura degli uffici i collaboratori scolastici provvedono a inserirle nelle rispettive serrature. Prima dell’orario di chiusura i collaboratori scolastici provvedono a chiudere gli archivi ed a riporre le chiavi in luogo sicuro) 4.1.7 Rilevazione struttura del sistema informatico Il sistema informatico è attualmente in fase di sistemazione per la rete, per i’ hardware e per il software (installazione di nuove procedure gestionali che sostituiscono le procedure precedentemente in uso fornite dal MIUR) 1-Tipologia della rete - a stella combinata 2- Tipologia delle risorse hardware - n° 1 server n° 7 client - locale assistenti amministrativi 3- Collocazione server 4- Accesso alle risorse Internet - router sulla rete - provider ARUBA (Ar) + Posta certificata (PEC) casella ministeriale 5- Posta elettronica Tipologia delle risorse software 6- Sistema operativo usato sul server - WINDOWS 2003 server 7-Sistemi operativi usati sui client e procedure gestionali Microsoft XP Licenze MS Office (10 licenze) Antivirus - McAfee 17 Elenco procedure: - AXIOS alunni, finanziaria, personale - SISSI IN RETE protocollo, magazzino 8- Supervisore di rete - Si interno - si 9- Planimetria della rete 10- Progetto e certificazione della rete - si progetto non certificazione - condivisione file e procedure 11- Uso della rete 12- Interventi di formazione del personale - si organizzati internamente, alcuni certificazione ECDL 13- Assegnazione di nomi logici per le periferiche di rete - si 14- Assegnazione delle password di accesso alle singole macchine - si 15- Assegnazione dei codici identificativi personali - si per procedure SISSI e AXIOS 16- Collaboratori esterni o temporanei che hanno accesso alla rete - tecnici AXIOS per la manutenzione Prevenzione della perdita dei dati 17- Software antivirus - McAfee 18 18- Incarico formale dell’esecuzione dei backup - incarico formale 19- Supporto sul quale viene effettuato il backup - DVD 20- Libro mastro della programmazione dei backup - presente 21 - Locale e contenitore dove vengono custodite le copie di backup - luogo sicuro - Si sul server e sulla maggior parte dei client 22- Gruppo di continuità 23 – Strumenti di difesa antintrusione - Firewall 24- Manutenzione delle risorse hardware e software - Tecnici AXIOS Manutentore interno 19 4.2 Analisi dei rischi Si metteranno di seguito in evidenza i rischi propri, connessi al trattamento dei dati personali. Tali rischi si possono classificare in: - distruzione o perdita, anche accidentale dei dati; - connessi alla integrità dei dati; - accesso non autorizzato ai dati; - trattamento non consentito o non conforme alla finalità della raccolta; - connessi con l’utilizzo di reti di telecomunicazione disponibili al pubblico; - connessi al reimpiego di supporto di memorizzazione; - connessi alla conservazione della documentazione relativa al trattamento; - connessi all’utilizzo di archivi e contenitori con serrature. 4.2.1 Rischi riguardanti le basi di dati trattate da docenti I rischi di cui si tratta afferiscono al trattamento dei dati connesso con l’attività didattica, che viene effettuato senza l’ausilio di strumenti elettronici: - distruzione o perdita accidentale dei dati a causa di eventi naturali, allagamenti, furto danneggiamento etc.; data la collocazione dei locali il rischio di distruzione o danneggiamento a causa di eventi - - naturali quali allagamenti appare nel complesso modesto; i rischi relativi a furto e danneggiamento appaiono differenziati per le diverse sedi per quanto riguarda la possibilità di intrusione dall'esterno durante la chiusura della scuola: bassi per la sede principale, date le misure antintrusione presenti, presenti e rilevanti per le altre sedi data la mancanza di sistemi di allarme; connessi alla integrità dei dati: utilizzo di supporti o modalità di trattamento non stabili; - rischio nel complesso irrilevante - accesso non autorizzato ai dati, da parte di soggetti esterni alla scuola o da parte di personale interno; - il rischio appare di bassa entità vista la presenza di armadi in metallo con serrature efficienti ove i docenti custodiscono la documentazione didattica loro affidata - trattamento non consentito o non conforme alle finalità di raccolta: diffusione, comunicazione, manomissione, - rischio nel complesso irrilevante vista l'esperienza del personale, le procedure adottate e le iniziative di formazione in corso - connessi all’utilizzo di archivi e contenitori con serrature - di modesta entità dato che non in tutte le sedi sono presenti contenitori ed archivi dotati di serrature efficienti; - trattamento con l’ausilio di strumenti elettronici come descritto in precedenza tale trattamento riguarda esclusivamente la procedura per la valutazione degli scrutini; per una analisi puntuale dei rischi si veda il punto 4.2.3; - il rischio appare nel complesso presente ma di bassa entità dato che il trattamento si limita al “caricamento dei dati” (voti e assenze) nella procedura informatica e considerata la presenza di un sistema di autenticazione. 20 4.2.2 Rischi riguardanti le basi di dati trattate dal personale ATA I rischi riguardano le basi di dati trattate esclusivamente dal personale ATA e la documentazione didattica su cui operano i docenti non riferita all’anno scolastico in corso; il trattamento è effettuato con strumenti elettronici e con strumenti non elettronici. I rischi di cui si tratta sono: - distruzione o perdita accidentale dei dati a causa di eventi naturali, allagamenti, furto, danneggiamento etc.; i rischi di allagamento per cause naturali appaiono, data la collocazione, molto bassi, presenti anche se non di particolare rilevanza quelli che possono essere causati da guasti alle condotte idriche e termiche; relativamente ai rischi di furto e di danneggiamento: l rischi appaiono bassi durante l’orario di apertura per gli uffici amministrativi dato il presidio continuo da parte del personale. I rischi appaiono molto bassi durante l’orario di chiusura, per i locali collocati nell’area sicura (cancello metallico con serratura efficiente per l’accesso agli uffici, grate metalliche alle finestre accessibili); presenti,anche se di modesta rilevanza, i rischi per i locali (segreteria alunni e Archivio 2)collocati al di fuori dell’area sicura data la presenza del sistema di allarme. - connessi alla integrità dei dati: utilizzo di supporti o modalità di trattamento non stabili - per i dati su supporti cartacei il rischio è da considerarsi, nel complesso, basso anche se si ritengono opportune verifiche periodiche - accesso non autorizzato ai dati, da parte di soggetti esterni alla scuola o da parte di personale interno - il rischio è limitato ma presente data la mancanza della definizione della zona di accesso per il pubblico. - trattamento non consentito o non conforme alle finalità di raccolta: diffusione, comunicazione, manomissione - il rischio appare presente ma di non particolare rilievo in quanto il personale è esperto e consapevole del proprie responsabilità; - connessi all’utilizzo di archivi e contenitori con serrature - rischio è estremamente basso data la presenza di serrature efficiente e la corretta gestione delle chiavi. - connessi all’utilizzo del sistema informativo automatizzato (Si ritiene opportuna una analisi puntuale dei rischi cui è esposto il sistema informativo automatizzato che viene riportata di seguito) 4.2.3 Rischi per il sistema informativo automatizzato L’analisi dei rischi consiste nella individuazione degli elementi del sistema informativo automatizzato che necessitano di protezione e delle minacce cui gli stessi possono essere sottoposti, tenendo conto del fattore tecnologico e del fattore umano. Le principali fonti di rischio per un sistema informatico sono aggregabili, ai fini della analisi oggetto del presente paragrafo, nel modo che segue: FR1 - maltempo, inondazioni, fulmini, terremoti, fuoco, attentati 21 FR2 - guasti hardware, caduta di corrente, omissioni hardware, errori e difetti software, sabotaggi, haking, programmi software maligni (malware,virus, worm) FR3 - comportamenti errati, cattiva organizzazione, errata logistica Il sistema informatico della Istituzione, come descritto al precedente punto 4.1.7, è distribuito nei locali dove si esegue il trattamento dati senza l’ausilio di strumenti elettronici per cui per quanto riguarda i rischi compresi nel gruppo FR1 si fa riferimento a quanto detto al precedente punto 4.2.2. Riguardo alle fonti di rischio comprese nel gruppo FR2, fino ad oggi anche da una analisi della serie storiche riguardanti il sistema informatico emerge quanto segue: ○ non si sono registrati consistenti guasti hardware, anche per la continua manutenzione dello stesso e l’uso di macchine affidabili; ○ nella zona in cui insistono i locali che ospitano il sistema informatico non si verificano frequentemente cadute di corrente; ○ il sistema attualmente consente il salvataggio dei dati attraverso il server per gli archivi delle procedure gestionali ; ○ i singoli PC ed il server sono dotati di antivirus McAfee che può essere aggiornato via Internet anche giornalmente; ○ Riguardo il rischio di accesso abusivo, con i rischi connessi quali conoscenza dati a persone non autorizzate, distruzione o perdita totale, danneggiamento dei dati etc, fino ad oggi non si sono registrati eventi dannosi in ogni modo il sistema non appare attualmente vulnerabile data la presenza di strumenti di difesa (router, firewall, codici di accesso). Per le fonti di rischio comprese nel gruppo FR3 dall’analisi della rilevazione effettuata risulta quanto segue. Le credenziali di autenticazione, consistenti in un codice per l’autenticazione associato ad una parola chiave sono state assegnate. Circa il salvataggio dei dati il rischio è molto basso, data la presenza di una procedura formale di backup. 22 5 Misure da adottare per garantire l’integrità e la disponibilità dei dati 5.1 Misure fisiche I requisiti di sicurezza fisica sono tesi a: - proteggere le aree - proteggere gli archivi. - proteggere le persone che operano sui sistemi, Variano considerevolmente in funzione delle dimensioni e dell’organizzazione del Sistema Informativo. Nella fattispecie viste le dimensioni di tale sistema sono state fatte le seguenti considerazioni: 5.1.1 Sicurezza di area La sicurezza di area ha il compito di prevenire accessi fisici non autorizzati, danni o interferenze con lo svolgimento dei servizi. Le contromisure si riferiscono alle protezioni perimetrali dei siti, ai controlli fisici all’accesso, alla sicurezza degli archivi e delle attrezzature informatiche rispetto a danneggiamenti accidentali o intenzionali, alla protezione fisica dei supporti. Come si evince dalla da quanto descritto in precedenza (vedi “Situazione attuale”) i locali, presentano problematiche di sicurezza relative ad possibili intrusioni dall’esterno. Quindi è necessario predisporre quanto segue: Adeguamento 1 Mantenere in sicurezza delle vie di accesso in tutte le sedi. Adeguamento 2 Mantenere la corretta gestione delle chiavi attualmente in adozione. 5.1.2 Sicurezza degli archivi Adeguamento 3 Tutte le banche di dati personali (sensibili e non) devono essere conservate in contenitori adeguati (schedari, armadi) dotati di serratura efficiente e sicura, e posti in luoghi non accessibili al pubblico. Adeguamento 4 I locali che contengono banche di dati personali (sensibili e non) e/o strumenti informatici devono essere dotati di una porta con serratura efficiente e sicura; Adeguamento 5 In tutti plessi dovranno essere installati contenitori dotati di serratura efficiente nei quali custodire documentazione didattica ed altri materiali contenenti dati personali. Adeguamento 5/1 a) Devono essere indicati con adeguata segnaletica i locali interdetti al pubblico. b) Nei locali accessibili al pubblico deve essere delimitata l’area di accesso. Nei locali accessibili al pubblico per i quali non è possibile, per ragioni strutturali delimitare l’area di accesso, gli utenti saranno ammessi uno alla volta adottando opportune misure organizzative (comunicazioni scritte, segnaletica o altro). 5.1.3 Attuazione degli adeguamenti riferiti alle misure fisiche Questa Istituzione scolastica per provvedere agli adeguamenti riferiti alla sicurezza delle strutture e degli arredi, descritte al punto precedente, non dispone di risorse finanziare proprie ma deve riferirsi alla Amministrazione Provinciale di Grosseto, alla quale farà specifiche richieste riferite al contenuto del presente documento. 23 5.2 Misure informatiche Il campo di applicazione della Sicurezza Logica riguarda la protezione dell’informazione, e di conseguenza di dati, applicazioni, sistemi e reti, sia in relazione al loro corretto funzionamento ed utilizzo, sia in relazione alla loro gestione e manutenzione nel tempo. Il Disciplinare tecnico in materia di misure minime di sicurezza, allegato B al Codice, prescrive l’adozione di alcune modalità tecniche che in questa Istituzione scolastica si sintetizzano come segue. 5.2.1 Sistema di autenticazione Adeguamento 6 Devono essere rese operative per gli incaricati di trattamento (personale di segreteria) le credenziali di autenticazione. Le credenziali per l’autenticazione consistono, per il sistema informatico presente nella istituzione, in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo. Adeguamento 7 La gestione del sistema di autenticazione informatica, per il personale di segreteria, sarà effettuato responsabile come segue: dal a) La parola chiave viene assegnata all’incaricato all’atto del primo conferimento dell’incarico. b) La parola chiave è modificata dall’incaricato al primo utilizzo e, successivamente, almeno ogni sei mesi. c) In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. d) La parola non deve contenere riferimenti agevolmente riconducibili all’incaricato. e) Ad ogni modifica della parola chiave, la parola chiave scelta dall’incaricato è inserita in una busta sigillata con all’esterno dati identificativi dell’interessato e la data di consegna; la busta sarà consegnata al responsabile che la custodirà garantendo la segretezza del contenuto. f) In caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema il responsabile potrà accedere alla credenziale; provvedendo ad avvertire tempestivamente l’incaricato. 5.2.2 Sistema di autorizzazione Adeguamento 8 La gestione del sistema di autorizzazione informatica viene effettuato dal responsabile. I profili di autorizzazione sono individuati e configurati anteriormente all’inizio del trattamento. 5.2.3 Altre misure Adeguamento 9 a) Almeno annualmente è verificata da parte del responsabile la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. b) Il responsabile verifica annualmente la lista degli incaricati di trattamento e degli addetti alla gestione e manutenzione verificando l’ambito di trattamento consentito ed i relativi profili di autorizzazione. c) Si allega al presente documento lo schema di scheda per l’individuazione degli incaricati di trattamento con strumenti informatici con i relativi profili di accesso. d) Il responsabile dispone che i dati personali siano protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 24 e) Il responsabile impartisce istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale, attraverso il conferimento di uno specifico compito ad un incaricato e l’istituzione di un registro per il backup. f) Il responsabile provvede alla custodia in un luogo sicuro delle copie di backup. g) Il responsabile dispone la custodia dei supporti rimovibili contenenti dati personali individuando contenitori con idonee caratteristiche di sicurezza. h) Il responsabile dispone la distruzione di supporti rimovibili contenenti dati sensibili e giudiziari non più utilizzati. i) Il responsabile dispone e verifica la cancellazione di tutti i dati personali dagli strumenti informatici non più utilizzati o utilizzati in attività diverse da quelle amministrative. j) Il titolare quando si avvarrà di soggetti esterni per la fornitura di prodotti o servizi finalizzati alla realizzazione di misure minime di sicurezza, si farà consegnare dal soggetto medesimo una descrizione scritta dell’intervento che ne attesti la conformità a quanto disposto dal disciplinare tecnico allegato B del Codice. Adeguamento 11 Assegnazione delle password a tutti i P.C. 5.2.4 Attuazione degli adeguamenti riferiti alle misure informatiche Per quanto attiene agli adeguamenti del sistema informatico descritti ai punti precedenti questa istituzione può provvedere nei tempi previsti dato che a) il software di gestione appare in linea con le norme e si tratta quindi solo di attivare le previste procedure di autenticazione; b) l’attivazione di idonei strumenti elettronici per prevenire il rischio di intrusione nel sistema informatico ha aspetti tecnici, organizzativi ed economici sostenibili. 5.3 Misure organizzative Accanto all’adozione di misure tecnologiche già illustrate, è necessario, come richiamato, vengano definite una serie di norme e procedure miranti a regolamentare gli aspetti organizzativi del processo di sicurezza. Gli aspetti organizzativi riguardano principalmente: la definizione di ruoli, compiti e responsabilità per la gestione di tutte le fasi del processo Sicurezza; l’adozione di specifiche procedure che vadano a completare e rafforzare le contromisure tecnologiche adottate. Un ulteriore aspetto inerente la Sicurezza Organizzativa è quello concernente i controlli sulla consistenza e sulla affidabilità degli apparati. In ordine alla norme di comportamento, si rimanda a quanto è definito nei documenti di nomina per l’assegnazione di responsabilità ed incarichi ed a quanto specificato nell’allegato A. In riferimento a quanto disposto dal Garante con il Provvedimento a carattere generale - 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” (G.U. n. 300 del 24 dicembre 2008), il titolare provvederà alla individuazione di responsabili e incaricati come specificato al punto 3.4 del presente documento e esplicitato nei relativi modelli di nomina di cui all’allegato A. Il titolare ed il responsabile, relativamente ai propri ambiti di competenza, aggiornano almeno annualmente la lista degli incaricati (redatta anche per classi omogenee di incarico) con i relativi profili di autorizzazione utilizzando gli allegati B e C. 25 6 Criteri da adottare per garantire l’adozione delle misure minime di sicurezza nel caso di affidamento del trattamento a soggetti esterni Nel caso di affidamento da parte della Istituzione a soggetti esterni di attività che comportino trattamento dei dati conviene distinguere due casi: a) affidamento a persone fisiche; b) affidamento a persone giuridiche. 6.1 Affidamento a persone fisiche. Nel caso che il soggetto sia una persona fisica lo stesso sarà nominato, dal titolare o dal responsabile, incaricato di trattamento dati attraverso un atto di nomina che specifichi puntualmente le norme di comportamento da seguire. Ove necessario il titolare o il responsabile provvederanno a informare l’incaricato sui contenuti fondamentali delle norme che disciplinano il trattamento dei dati personali. Il titolare o il responsabile verificheranno periodicamente, nelle forme ritenute più opportune, sulla correttezza del trattamento, con particolare riferimento all’adozione delle misure minime di sicurezza, da parte degli incaricati 6.2.1 Affidamento a persone giuridiche. Nel caso che il soggetto sia una persona giuridica lo stessa sarà nominata dal titolare responsabile esterno di trattamento dati attraverso un atto di nomina che specifichi puntualmente le norme di comportamento da seguire con specifico riferimento alle misure minime di sicurezza da adottare. Il titolare vigilerà sulle attività relative al trattamento dipendenti dal responsabile esterno e si farà rilasciare dallo stesso una dichiarazione di conformità a quanto stabilito dalle norme di legge e dal presente documento. 26 7 Modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento Il responsabile nel caso del verificarsi di eventi che provochino la distruzione od il danneggiamento dei dati personali contenuti nelle banche dati del sistema informatico, provvederà senza ritardo a ripristinare la funzionalità delle banche dati utilizzando le copie di backup. Il ripristino della disponibilità dei dati andati perduti a causa di eventi di diversa natura consiste di norma nella installazione del software di base, dei programmi, di tutti i file di dati, nella sostituzione di componenti hardware danneggiati che hanno provocato la interruzione dei trattamenti. ○ ○ La re-installazione del software di base, dei programmi di office automation e dei file di dati residenti nei PC sarà effettuata dall’incaricato con funzioni di amministratore di sistema. La re-istallazione del software di rete, dei programmi gestionali e dei file di dati residenti nel server sarà effettuato dal soggetto titolare del contratto di manutenzione software. La sostituzione di componenti hardware non funzionanti sarà effettuato dal soggetto titolare del contratto di manutenzione hardware. Nei contratti di manutenzione stipulati con i fornitori di software e hardware dovrà essere inserita una specifica clausola che consenta il ripristino della funzionalità del sistema informatico e della disponibilità dei dati entro il tempo stabilito dalla legge. 27 8 Interventi formativi 8.1 Interventi formativi già attuati E’ stata realizzata a partire dall'anno 2004 la formazione del dirigente scolastico e del direttore SGA, dei docenti e del personale ATA. Nella primavera 2009 sono stati formati, in particolare sulle questioni attinenti la figura di amministratore di sistema, il dirigente scolastico il direttore SGA e gli assistenti amministrativi 8.2 Interventi formativi al momento dell’ingresso in servizio All’inizio di ogni anno scolastico, il titolare ed il responsabile programmeranno, qualora necessario, attività formative per il personale che prende servizio nella istituzione e che non è stato in precedenza sottoposto a formazione sui temi di cui si tratta. Gli interventi formativi potranno essere realizzati anche in collaborazione con altre istituzioni scolastiche. Il personale supplente temporaneo che prenderà servizio durante il corso dell’anno scolastico verrà informato sui contenuti del codice e sui doveri da esso derivanti, anche attraverso la fornitura di materiale informativo di sintesi dal titolare o dal responsabile. 8.3 Interventi formativi di aggiornamento In sede di verifica dell’efficacia delle misure di sicurezza, anche in relazione a novità che di dovessero presentare nelle norme di legge e/o in relazione all’evoluzione tecnica del settore, il titolare ed il responsabile programmeranno le necessarie attività formative. 28 9 Misure specifiche per i dati personali idonei a rivelare lo stato di salute Questa istituzione tratta dati idonei a rivelare lo stato di salute del personale, docente ed ATA, e degli alunni esclusivamente per finalità previste dalla legge e far data dal 28 febbraio 2007 in modo conforme a quanto disposto dal Decreto del Ministero della Pubblica istruzione 7 dicembre 2006, n. 305 (Regolamento sul trattamento dei dati sensibili e giudiziari). Secondo quanto prescritto dall’articolo 22 comma 7 del D. lgs 196/2003 i dati idonei a rivelare lo stato di salute “sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo”; inoltre il comma 7 dello stesso articolo dispone che i dati idonei a rivelare lo stato di salute, qualora contenuti in banche dati informatiche vengano trattati “con tecniche di cifratura o mediante l’utilizzo di codici identificativi o di altre soluzioni, che li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità”. Riguardo al trattamento senza l’ausilio di strumenti elettronici, dei dati di cui si tratta si stabilisce quanto segue: a) Dati riguardanti il personale docente ed ATA I dati consistono essenzialmente in certificati medici consegnati o fatti pervenire all’ufficio di segreteria. Dopo la ricezione, durante il trattamento (protocollazione etc) saranno inseriti in una contenitore chiuso riferito all’interessato e successivamente inseriti nel fascicolo personale, dove saranno conservati all’interno di una busta chiusa recante l’indicazione del contenuto separatamente dagli altri documenti. b) Dati riguardanti gli alunni I dati consistono essenzialmente in certificati medici consegnati dagli alunni o dai genitori ai docenti o al personale ATA, per scopi definiti da norme di legge (giustificazione assenze; esonero da attività di educazione fisica, necessità di particolari diete alimentari etc.) Dopo la ricezione i dati saranno inseriti in una contenitore chiuso riferito all’interessato e successivamente trattati da personale incaricato e custoditi in appositi contenitori chiusi. I certificati riguardanti la necessità di particolari diete alimentari, potranno in caso di necessità, essere comunicati al soggetto che espleta il servizio mensa previamente nominato responsabile esterno del trattamento da parte del titolare. Allegati A – documenti di nomina per l’assegnazione di responsabilità ed incarichi B – lista degli incaricati di trattamento con strumenti elettronici C – lista degli incaricati di trattamento senza l’ausilio di strumenti elettronici D – lista amministratori di sistema interni E – lista amministratori di sistema esterni 29 ALLEGATO A ATTO DI NOMINA DEL RESPONSABILE art 29 decreto legislativo 30 giugno 2003, n° 196 Il/la sottoscritt ……………………………………….……………………………. Dirigente Scolastico del ……………………………………………………………. di …………………………………….., in qualità di “titolare del trattamento dei dati personali” da esso operato, ai sensi e per gli effetti del D.Lgs. 30 giugno 2003, n° 196 , con il presente atto NOMINA RESPONSABILE DEL TRATTAMENTO DEI DATI Il/la Sig./…………………………………………………………………………………….………………………, nato a …………………………………….……, il ……………………….……….., nella sua qualità di Direttore dei Servizi Generali ed Amministrativi, in quanto preposto al trattamento dei dati personali effettuato da questa istituzione scolastica, in relazione alla funzione che le/gli è propria, riguardante in modo specifico il settore dei servizi di segreteria. Il Sig. …………………………………………………………………, nella predetta qualità, ha il potere di compiere tutto quanto necessario per il rispetto delle vigenti disposizioni. In particolare dovrà: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. operare perché il trattamento dei dati avvenga secondo le modalità definite dalla normativa in vigore; verificare che il trattamento dei dati avvenga in modo lecito; verificare che l'informativa all'interessato sia stata effettuata; operare per garantire l’effettivo esercizio dei diritti dell’interessato (art 7 Codice); rispettare e far rispettare le misure di sicurezza indicate dalla vigente normativa in materia di tutela dei dati personali e predisposte da questa istituzione scolastica, nel proprio ambito di competenza; individuare fra il personale ATA gli incaricati di trattamento dando loro istruzioni scritte; interagire con il Garante, in caso di richieste di informazioni o effettuazione di controlli ed accessi da parte dell'Autorità; informare prontamente il titolare di ogni questione rilevante ai fini della legge; predisporre un rapporto scritto in merito agli adempimenti eseguiti ai fini della legge ed alle conseguenti risultanze, con periodicità annuale; predisporre le risposte, non oltre le 24 ore successive al loro ricevimento, ai reclami degli interessati e le eventuali istanze al Garante; tenere la lista degli incaricati e degli addetti alla gestione o manutenzione con l’indicazione dell’ambito di trattamento consentito con strumenti elettronici; aggiornare la lista almeno annualmente; provvedere all’assegnazione iniziale agli incaricati delle credenziali di autenticazione; organizzare la custodia delle copie delle cedenziali definite dai singoli incaricati, garantendone la necessaria segretezza; tenere la lista degli incaricati con l’indicazione dell’ambito di trattamento consentito senza l’ausilio di strumentio elettronici; aggiornare la lista almeno annualmente; provvedere alla gestione delle chiavi degli edifici scolastici (custodia delle copie, assegnazione agli incaricati etc.); provvedere alla gestione delle chiavi degli archivi che contengono dati personali; acquisire, quando l’istituzione si avvale di soggetti esterni per provvedere alla installazione di misure minime di sicurezza, una descrizione della misura stessa che descriva l’intervento effettuato e/o lo strumento fornito e che ne attesti la conformità al Disciplinare allegato al Codice; autorizzare l’accesso agli archivi contenenti dati sensibili e giudiziari; verificare che vi sia il consenso dell'interessato per il trattamento dei dati sensibili, se necessario. Data …………………. IlTitolare 30 ATTO DI NOMINA INCARICATO DEL TRATTAMENTO DATI Articolo 30 decreto legislativo 30 giugno 2003, n° 196 docenti Il/la sottoscritt …………………………………………………………………………… Dirigente Scolastico del …………………………………………………….………. di …………..………….., in qualità di “titolare del trattamento dei dati personali” da esso operato, ai sensi e per gli effetti del D.Lgs. 30 giugno 2003, n° 196, con il presente atto NOMINA INCARICATO DEL TRATTAMENTO il/la Sig. in qualità di docente. …………………………………………………………………………………….………………………… Tale nomina è in relazione alle operazioni di elaborazione di dati personali ai quali il soggetto sopracitato ha accesso nell'espletamento della funzione che gli/le è propria, nelle classi e/o per gli incarichi che gli sono stati affidati. In ottemperanza al D.Lgs. 30 giugno 2003, n° 196, che regola il trattamento dei dati personali, laddove costituisce trattamento “qualunque operazione o complesso di operazioni svolte con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distribuzione dei dati”, ed in relazione al presente atto di nomina, è incaricato a trattare i dati personali (tutti quei dati idonei ad identificare direttamente o indirettamente una persona fisica o giuridica) attenendosi alle seguenti modalità: 1) in modo lecito e secondo correttezza; 2) raccogliendoli e registrandoli per gli scopi inerenti l'attività svolta; 3) verificando, ove possibile, che siano esatti e, se necessario, aggiornarli; 4) verificando che siano pertinenti, completi e non eccedenti le finalità per le quali sono stati raccolti o successivamente trattati, secondo le indicazioni ricevute dal responsabile/titolare; 5) rispettando, nella conservazione, le misure di sicurezza predisposte nell’istituzione scolastica; in ogni operazione di trattamento andrà garantita la massima riservatezza. 6) nel trattamento dei documenti (documentazione didattica contenente dati personali), effettuando le seguenti operazioni: a) non far uscire documenti dalla sede scolastica, neanche temporaneamente; b) non fare copie della documentazione salvo autorizzazione del responsabile/titolare; c) durante il trattamento mantenere i documenti contenenti dati personali non alla portata di vista di terzi; d) al termine del trattamento costudire i documenti all’interno di archivi muniti di serratura; e) in caso di allontanamento anche temporaneo dal posto di lavoro, o comunque dal luogo dove vengono trattati i dati l'incaricato dovrà verificare che non vi sia possibilità da parte di terzi, anche se dipendenti non incaricati, di accedere a dati personali per i quali era in corso un qualunque tipo di trattamento. 7) nessun dato potrà essere comunicato a terzi o diffuso senza la preventiva specifica autorizzazione del titolare o responsabile; 8) le comunicazioni agli interessati (genitiori o chi ne fa le veci) dovranno avvenire in forma riservata, se effettuate per scritto dovranno essere consegnate in contenitori chiusi; 9) all’atto della consegna di documenti l’incaricato dovra assicurasi dell’identità dell’interessato o di chi è stato delegato al ritiro del documento in forma scritta. 10) nella gestione di documenti correlati con la funzione docente contenenti dati personali realizzata con strumenti informatici assumere i seguenti comportamenti: a) non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento; b) accertarsi che sulla apparecchiatura informatica messa a disposizione dalla Istituzione, utilizzata per il trattamento, non restino memorizzati dati personali; 31 c) attivare per la memorizzazione dei dati su supporti rimovibili idonei strumenti di protezione (sistemi di criptazione o password); d) custodire in modo adeguato i supporti rimovibili sui quali sono memorizzati dati personali; e) assicurarsi nel caso di dismissione (destinazione ad altro uso o cessione) dei supporti di memorizzazione che gli stessi non contengano dati personali. Data ……….……. Il Titolare 32 ATTO DI NOMINA INCARICATO DEL TRATTAMENTO DATI art 30 decreto legislativo 30 giugno 2003, n° 196 personale ATA Il/la sottoscritt …………………………………………………………………………… Dirigente Scolastico del …………………………………………………….………. di …………..………….., in qualità di “titolare del trattamento dei dati personali” da esso operato, ai sensi e per gli effetti del D.Lgs. 30 giugno 2003, n° 196, con il presente atto NOMINA INCARICATO DEL TRATTAMENTO il/la Sig./a ………………………………………………………….…………………………………………………. nella sua qualità di ……..….<assistente amministrativo> <collaboratore scolastico>…………….. Tale nomina è in relazione alle operazioni di elaborazione di dati personali ai quali il soggetto sopracitato ha accesso nell'espletamento della funzione che le/gli è propria. In ottemperanza al D.Lgs. 30 giugno 2003, n° 196, che regola il trattamento dei dati personali, laddove costituisce trattamento “qualunque operazione o complesso di operazioni svolte con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distribuzione dei dati”, ed in relazione al presente atto di nomina, è incaricato a trattare i dati personali (tutti quei dati idonei ad identificare direttamente o indirettamente una persona fisica o giuridica) attenendosi alle seguenti modalità: 1. 2. 3. 4. In modo lecito e secondo correttezza; Raccogliendoli e registrandoli per gli scopi inerenti l'attività svolta; Verificando, ove possibile, che siano esatti e, se necessario, aggiornarli; Verificando che siano pertinenti, completi e non eccedenti le finalità per le quali sono stati raccolti o successivamente trattati, secondo le indicazioni ricevute dal titolare; 5. Rispettando, nella conservazione, le misure di sicurezza predisposte nell’istituzione scolastica. In ogni operazione di trattamento andrà garantita la massima riservatezza. 6. All'atto del ricevimento dei documenti (dati), effettuando le seguenti operazioni: a) non esporre i documenti (dati) a terzi; b) procedere allo smistamento dei documenti in base alla tipologia degli stessi, non mettere in contatto i documenti di un interessato con quelli di un altro c) costudire i documenti all’interno di contenitori riferiti all’interessato; d) chiudere a chiave in apposito archivio i contenitori riferiti a dati sensibili; e) nel caso in cui il soggetto interessato volesse consegnare dei dati in modo verbale, invitarlo a deporli in sede separata dove lo stesso incaricato procederà a verbalizzare quanto comunicato; 7. Mantenere la rubrica telefonica, eventuali comunicazioni, documenti non alla portata di vista di chiunque abbia accesso all’ufficio. 8. All'atto del ricevimento dei documenti (dati) via fax, operando come segue: a) il fax deve essere situato in luogo non accessibile a soggetti diversi dagli incaricati; b) inserire senza indugio il documento ricevuto in un contenitore riferito all’interessato e provvedere all'inoltro a chi di competenza; c) verificare il documento nella sua leggibilità e se è il caso richiederne un rinvio. 9. All'atto del ricevimento della posta, operando come segue: a) b) c) d) ritirare la posta personalmente e in via esclusiva; lasciare le buste sigillate; smistare la corrispondenza e trasmetterla a chi di competenza; la corrispondenza non deve restare in vista di terzi; 10. All’atto della consegna di documenti agli interessati, operando come segue:. a) assicurarsi che il documento sia posto in un contenitore chiuso b) assicurasi dell’identità dell’interessato o di chi è stato delegato al ritiro del documento in firma scritta. 33 11. Alla luce di quanto sopra, in caso di allontanamento anche temporaneo dal posto di lavoro, l'incaricato dovrà verificare che non vi sia possibilità da parte di terzi, anche se dipendenti non incaricati, di accedere a dati personali per i quali era in corso un qualunque tipo di trattamento, sia esso cartaceo che automatizzato. 12. Nessun dato potrà essere comunicato a terzi o diffuso senza la preventiva specifica autorizzazione del titolare o responsabile. 13. I supporti cartacei contenenti dati personali riferiti agli interessati non necessari alle operazioni di trattamento (minute, appunti, telefax parzialmente illeggibili, etc) devono essere immediatamente distrutti. 14. Nella gestione delle chiavi assumere i seguenti comportamenti: a) conservare custodire con diligenza le chiavi affidate dal responsabile; b) avvertire tempestivamente il titolare in caso di smarrimento o malfunzionamento delle chiavi; c) non fare copie delle chiavi affidate; 15.Nell’uso degli strumenti informatizzati per il trattamento assumere i seguenti comportamenti: a) rispettare le indicazioni impartite dall’amministratore di sistema; b) non installare programmi dimostrativi o non certificati; c) non disinstallare programmi o eliminare file necessari al corretto uso e/o funzionamento della macchina; d) non modificare lo stato della macchina (hardware) di lavoro aggiungendo o eliminando periferiche; e) non rimuovere o rendere nulli i dispositivi di protezione installati sulla macchina: antivirus, password, ecc; f) rispettare la segretezza delle credenziali di autenticazione e delle password, modificare la password almeno una volta ogni 6 mesi, ogni tre mesi in caso del trattamento di dati sensibili e giudiziari; g) non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento; h) custodire i supporti rimovibili (CD, floppy etc) su cui sono memorizzati dati sensibili e giudiziari in idonei contenitori provvisti di serratura; i) quando non più utilizzati i supporti rimovibili di cui al punto precedente devono essere distrutti o resi inintelligibili; j) operare in modo da garantire l’integrità e la disponibilità dei dati personali; k) provvedere al regolare svolgimento dei backup (salvataggio periodico dei dati), ove disposto, e secondo le norme prescritte dall’incaricato con funzioni di amministratore di sistema; l) limitare lo scambio di posta elettronica alle necessità dell’ufficio assumendo regole di buona condotta e atteggiamento consapevole nell’uso della posta elettronica; m) non effettuare la navigazione in Internet in siti controversi. 16. L’accesso agli archivi contenenti dati sensibili e giudiziari è autorizzato esclusivamente per l’espletamento della funzione che gli è propria, salvo casi particolari per i quali è necessaria specifica autorizzazione da parte del responsabile competente. Data ……….……. Il Responsabile 34 ATTO DI NOMINA DELL’INCARICATO CON FUNZIONI AMMINISTRATORE DI SISTEMA art 30 decreto legislativo 30 giugno 2003, n° 196 Il/la sottoscritt …………………………………………………………………………… Dirigente Scolastico del …………………………………………………….………. di …………..………….., in qualità di “titolare del trattamento dei dati personali” da esso operato, ai sensi e per gli effetti del D.Lgs. 30 giugno 2003, n° 196, con il presente atto NOMINA INCARICATO CON FUNZIONI AMMINISTRATORE DI SISTEMA il Sig. …………………………………………………….. in qualità di ……………………………………. Tale nomina è in relazione alla gestione del sistema informatizzato degli uffici amministrativi della istituzione scolastica, secondo quanto disposto dal Disciplinare tecnico in materia di misure minime di sicurezza, allegato B al D.Lgs 196/2003, che dovrà essere esplicata attenendosi alle seguenti modalità generali: - operando alle dipendenze del Titolare del trattamento dei dati ed eseguendo puntualmente le istruzioni dallo stesso impartite; rispettando durante le attività svolte le misure di sicurezza previste dalla legge e specificate nel Documento programmatico sulla sicurezza; garantendo la massima riservatezza nel trattamento dei dati; informando tempestivamente il responsabile di anomalie nel funzionamento del sistema informatico che possano pregiudicare il corretto trattamento dei dati. Nello specifico la nomina riguarda i seguenti ambiti di attività: 1. gestione procedura salvataggio dei dati; 2. aggiornamento software gestionale ministeriale; 3. installazione e disinstallazione hardware e software sui pc client; 4. gestione del sistema operativo; 5. aggiornamento antivirus; 6. gestione delle credenziali di autenticazione; 7. manutenzione rete; Le norme di comportamento dell’incaricato con funzioni di amministratore di sistema di esplicano: - Data nel rispetto dei requisiti di diligenza professionale, richiesti dall'articolo 2050 del Codice Civile; nell’adeguamento preventivo ai contenuti espressi dal Titolo V Sicurezza dei dati e dei sistemi del D.Lgs 196/2003; nell’adozione di misure minime di cui all’allegato B al D.Lgs 196/2003, secondo quanto specificato nel Documento programmatico sulla sicurezza. …….. Il Titolare 35 ATTO DI NOMINA DEL RESPONSABILE ESTERNO Articolo 29 decreto legislativo 30 giugno 2003, n° 196 Il/la sottoscritt …………………………………………………………………………… dirigente scolastico del ……………………………..………………...…………… di ………………..…………….., in qualità di “titolare del trattamento dei dati personali” da esso operato, ai sensi e per gli effetti del D.Lgs. 30 giugno 2003, n° 196, con il presente atto NOMINA RESPONSABILE DEL TRATTAMENTO DEI DATI la società/ditta …………………….….<nome & ragione sociale>………………….. legalmente rappresentata dal/dalla Sig. …………………………………………………………..………………………………. Tale nomina è in relazione alle operazioni di ……………………………….<elaborazione di dati personali>, <manutenzione>, <pulizie> …………………………………..ai quali il soggetto sopracitato ha accesso nell'espletamento delle attività previste dal ……………….……….. <contratto/convenzione estremi atto> …………………………….…….fra lo stesso e questa istituzione scolastica. In ottemperanza al D.Lgs. 30 giugno 2003, n° 196, che regola il trattamento dei dati personali, laddove costituisce trattamento “qualunque operazione o complesso di operazioni svolte con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distribuzione dei dati”, ed in relazione al presente atto di nomina la società/ditta …………………………<nome & ragione sociale>……………………….…… nell'espletamento delle attività previste dal ……..………… <contratto/convenzione …… di cui sopra ha il potere di compiere tutto quanto necessario per il rispetto delle vigenti disposizioni. In particolare dovrà: 1. 2. 3. 4. rispettare le misure di sicurezza previste dalla legge e predisposte dalla Istituzione scolastica; individuare gli incaricati, dando loro istruzioni scritte; informare prontamente il Titolare di ogni questione rilevante ai fini della legge; predisporre un rapporto scritto in merito agli adempimenti eseguiti ai fini della legge ed alle conseguenti risultanze con cadenza annuale o alla fine dell’attività 5. ……….<eventuali altre specifiche particolari>………….. Data ………………… Il Titolare 36 ATTO DI NOMINA DEL RESPONSABILE ESTERNO SOCIETÀ INFORMATICA - articolo 29 decreto legislativo 30 giugno 2003, n° 196 Il/la sottoscritt …………………………………………………………………………… dirigente scolastico del ……………………………..………………...…………… di ………………..…………….., in qualità di “titolare del trattamento dei dati personali” da esso operato, ai sensi e per gli effetti del D.Lgs. 30 giugno 2003, n° 196, con il presente atto NOMINA RESPONSABILE DEL TRATTAMENTO DEI DATI la società/ditta …<nome ………………………………………… & ragione sociale>... legalmente rappresentata dal/dalla Sig. Tale nomina è in relazione alle operazioni alle quali il soggetto sopracitato ha accesso nell'espletamento delle attività previste dal …<contratto/convenzione, estremi atto>. In ottemperanza quanto disposto dal D.Lgs. 30 giugno 2003, n° 196, che regola il trattamento dei dati personali, laddove costituisce trattamento “qualunque operazione o complesso di operazioni svolte con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distribuzione dei dati”, Alla luce di quanto disposto dal provvedimento generale del Garante per la protezione dei dati personali del 27 novemvre 2008 riguardante le attribuzioni delle funzioni di amministratore di sistema. In relazione al presente atto di nomina la società/ditta …<nome & ragione sociale>… nell'espletamento delle attività previste dal …<contratto/convenzione estremi atto>… ha il potere di compiere tutto quanto necessario per il rispetto delle vigenti disposizioni. In particolare dovrà: 1. rispettare le misure di sicurezza previste dalla legge e disposte dalla istituzione nel Documento Programmatico per la Sicurezza dei dati; 2. individuare gli incaricati, dando loro istruzioni scritte; 3. informare prontamente il Titolare di ogni questione rilevante ai fini della legge; 4. predisporre un rapporto scritto in merito agli adempimenti eseguiti ai fini della legge ed alle conseguenti risultanze con cadenza annuale o alla fine dell’attività; 5. fornire al Titolare gli estremi identificativi delle persone fisiche preposte ad operare sul sistema informatico di questa istituzione, per provvedere ai servizi previsti dal …<contratto/convenzione estremi atto>… 6. …<eventuali altre specifiche particolari>… Data ………………… Il Titolare 37 ALLEGATO B ISTITUTO STATALE ISTRUZIONE “G. da Verrazzano” PORTO S. STEFANO TRATTAMENTO CON STRUMENTI ELETTRONICI LISTA DEGLI INCARICATI D.L.GS 196/2003 ALLEGATO B – PUNTO 15 LISTA REDATTA IN DATA Marzo 2011 N° NOMINATIVO QUALIFICA PROFILO DI AUTORIZZAZIONE DSGA Responsabile Trattamento 1 MAZZOCCHI Clara 2 FANCIULLI Antonella Ass. Amm. Incaricato 3 LI VIGNI Giordana Ass. Amm. Incaricato 4 LOFFREDO Luigina Ass. Amm. Incaricato 5 MENNELLA Anna Ass. Amm. Incaricato 6 MIATTO Alida Ass. Amm. Incaricato 7 TOSI Francesca Ass. Amm. Incaricato 8 ALESSANDRI Patrizia Docente Incaricato 9 ATTANASIO Susanna Docente Incaricato 10 BARBIERI Ettore Docente Incaricato 11 BIAGI Lucia Docente Incaricato 12 BONINSEGNI Maria Docente Incaricato 13 BORSELLI Claudia Docente Incaricato 14 BOTTIGLIERI Silvia Docente Incaricato 15 BRYK Genowefa Docente Incaricato 16 CATOCCI Elena Docente Incaricato 17 CECCHERINI Grazia Docente Incaricato 18 CHELLI Mirella Docente Incaricato 19 COSTANZO Antonella Docente Incaricato 20 COSTANZO Enzo Docente Incaricato 21 DOMINICI Franco Docente Incaricato 22 DONGIACOMO Francesco Docente Incaricato 23 FALZARANO Lorenzo Docente Incaricato 24 FANCIULLI Michela Docente Incaricato 24 FELLECA Bruno Docente Incaricato 26 FERRARI Luciana Docente Incaricato 27 GELLI Ombretta Docente Incaricato NOTE (modifiche, cessazione, altro) 38 28 GIOMI Francesca Docente Incaricato 29 GIULIANI Graziano Docente Incaricato 30 GRAZIANI Cynthia Docente Incaricato 31 GROPPI Daniela Docente Incaricato 32 GUASTI Enzo Docente Incaricato 33 LAZZERI Lucia Docente Incaricato 34 MARANGONI Laura Docente Incaricato 35 MELANI Cecilia Docente Incaricato 36 MENGONI Gian Luca Docente Incaricato 37 MINACCI Antonella Docente Incaricato 38 MINUTOLO Patrizia Docente Incaricato 39 MONTELLA Rita Docente Incaricato 40 MONTEMAGGI Cristiana Docente Incaricato 41 PACINI Gianna Docente Incaricato 42 PACINI Rita Docente Incaricato 43 PETITTI Antonio Docente Incaricato 44 PIETRANTOZZI Rosanna Docente Incaricato 45 PROFILI Lucia Docente Incaricato 46 RECCI Giuseppe Docente Incaricato 47 RINALDI POLI Stefania Docente Incaricato 48 ROMANIN Rossana Docente Incaricato 49 SANTO Gianfranco Docente Incaricato 50 SCHIBECI Gilda Docente Incaricato 51 SERIO Paola Docente Incaricato 52 SERPICO Lucia Docente Incaricato 53 STROCCHIA Ines Docente Incaricato 54 TEDESCHI Daniela Docente Incaricato 55 TESTA Elisabetta Docente Incaricato 56 URTIS Daniela Docente Incaricato 57 VASELLINI Aristide Docente Incaricato 58 VENEZIALE Giuseppina Docente Incaricato 59 VONGHER Carla Docente Incaricato 60 ZAZZA Massimo Docente Incaricato Il Responsabile 39 ALLEGATO C ISTITUTO STATALE ISTRUZIONE “G. da Verrazzano” PORTO S. STEFANO TRATTAMENTO SENZA STRUMENTI ELETTRONICI LISTA DEGLI INCARICATI D.L.GS 196/2003 ALLEGATO B – PUNTO 15 LISTA REDATTA IN DATA Marzo 2011 N° NOMINATIVO QUALIFICA PROFILO DI AUTORIZZAZIONE 1 ANGELI Maria Coll. Scol. Incaricato 2 BALLERINI Claudio Coll. Scol Incaricato 3 CLEMENTONI Angela Coll. Scol Incaricato 4 CLEMENTONI Francesca Coll. Scol Incaricato 5 GALATOLO Carlo Ass. Tec. Incaricato 6 GRIFONI Paola Coll. Scol Incaricato 7 NOVEMBRI Grazia Coll. Scol Incaricato 8 SCHIANO Enza Ass. Tec. Incaricato 9 SCOTTO Biagio Ass. Tec. Incaricato Coll. Scol Incaricato 10 VICHI Fabio NOTE (modifiche, cessazione, altro) Il Responsabile 40 ALLEGATO D ISTITUTO STATALE ISTRUZIONE “G. da Verrazzano” PORTO S. STEFANO LISTA DEGLI INCARICATI IN QUALITÀ DI AMMINISTRATORI DI SISTEMA (INTERNI) D.L.GS 196/2003 - Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 LISTA REDATTA IN DATA Marzo 2011 N° NOMINATIVO QUALIFICA PROFILO DI AUTORIZZAZIONE 1 SOLARI Dino Ass. Tec. Amministratore di Sistema NOTE (modifiche, cessazione, altro) Il Titolare ALLEGATO E ISTITUTO STATALE ISTRUZIONE “G. da Verrazzano” PORTO S. STEFANO LISTA DEGLI INCARICATI IN QUALITÀ DI AMMINISTRATORI DI SISTEMA (ESTERNI) D.L.GS 196/2003 - Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 LISTA REDATTA IN DATA ___________ N° NOMINATIVO QUALIFICA PROFILO DI AUTORIZZAZIONE NOTE (modifiche, cessazione, altro) Il Titolare 41