Dps 2011 - ISIS `R. Del Rosso

Transcript

ISTITUTO STATALE ISTRUZIONE
“G. da Verrazzano”
PORTO S. STEFANO
Prot. 593/B10 H7 del 09/02/2011
Documento programmatico
sulla sicurezza dei dati
D.Lgs. 196/2003
Stesura marzo 2011
1
INDICE
1. Introduzione
2. Elenco dei trattamenti di dati personali
2.1
Dati trattati dal personale docente
2.2
Dati trattati dal personale ATA
2.3
Dati trattati dal dirigente scolastico
3. Distribuzione dei compiti e delle responsabilità
3.1
Individuazione ed attribuzioni del responsabile
3.2
I responsabili esterni
3.3
Gli incaricati
3.4
L’amministratore di sistema
4. Analisi dei rischi che incombono sui dati
4.1
Descrizione stato attuale
4.1.1 Plessi e loro collocazione
4.1.2 Locali dove avviene il trattamento da parte del personale docente
4.1.3 Locali dove avviene il trattamento da parte del dirigente scolastico e del personale
ATA
4.1.4 Descrizione generale dell’edificio che ospita presidenza e segreteria
4.1.5 Descrizione dei locali della presidenza e dei servizi di segreteria
4.1.6 Gestione delle chiavi
4.1.7 Rilevazione struttura sistema informatico
4.2
Analisi
4.2.1
4.2.2
4.2.3
dei rischi
Rischi riguardanti le basi di dati trattate da docenti
Rischi riguardanti le basi di dati trattate dal personale ATA
Rischi per il sistema informativo automatizzato
5. Misure da adottare per garantire l’integrità e la disponibilità dei dati
5.1
Misure fisiche
5.1.1 Sicurezza di area
5.1.2 Sicurezza degli archivi
5.1.3 Attuazione degli adeguamenti riferiti alle misure fisiche
5.2
Misure
5.2.1
5.2.2
5.2.3
5.2.4
informatiche
Sistema di autenticazione
Sistema di autorizzazione
Altre misure
Attuazione degli adeguamenti riferiti alle misure informatiche
5.3
Misure organizzative
6. Criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di
affidamento del trattamento a soggetti esterni
6.1
Affidamento a persone fisiche
6.2
Affidamento a persone giuridiche
7. Modalità per il ripristino della disponibilità dei dati in seguito a distruzione o
danneggiamento
8. Interventi formativi
8.1
Interventi formativi già attuati
8.2
Interventi formativi al momento dell’ingresso in servizio
8.3
Interventi formativi di aggiornamento
9. Misure specifiche per i dati personali idonei a rivelare lo stato di salute
2
1
Introduzione
Il presente documento (DPS) definisce lo stato di attuazione nell’Istituto Statale di Istruzione “G. da
Verrazzano” per quanto disposto dal D. Lgs. 30 giugno 2003 n° 196 Codice in materia di protezione dei dati
personali agli articoli 31, 33, 34 e 35 e dal Disciplinare tecnico in materia di misure minime di sicurezza
(allegato B del Codice).
Il presente documento costituisce revisione effettuata entro il 31 marzo 2009 del precedente DPS, secondo
quanto disposto, dalla regola 19 del già citato Disciplinare tecnico in materia di misure minime di sicurezza
(allegato B del Codice).
La revisione è stata realizzata dal titolare attraverso una puntuale analisi dei contenuti del DPS approvato in
precedenza, sulla base delle relazioni dei responsabili e dei cambiamenti strutturali ed organizzativi
intervenuti.
Il contenuto di quanto segue si riferisce alla struttura organizzativa e funzionale della istituzione scolastica
che prevede il trattamento di dati effettuato, per le rispettive competenze, dal corpo docente e dal personale
ATA. Nell'affrontare e risolvere le varie problematiche riferite all'applicazione Disciplinare tecnico in materia
di misure minime di sicurezza (allegato B del Codice) si è ritenuto opportuno quindi considerare, all'interno di
uno stesso quadro organizzativo, in modo separato il trattamento dei dati operato dal personale docente e
dal personale ATA.
I dati personali, comuni e sensibili, trattati da docenti riguardano essenzialmente gli alunni; i dati personali,
comuni e sensibili trattati dal personale di segreteria riguardano sia gli alunni che il personale della scuola.
Dalla prima approvazione del Documento Programmatico per la Sicurezza non sono da registrare
avvenimenti rilevanti ai fini della sicurezza dei dati personali.
3
2
Elenco dei trattamenti di dati personali
2.1
Dati trattati dal personale docente
I dati personali trattati dai docenti sono contenuti in banche dati, di norma, su supporto cartaceo che si
possono classificare in:
o
o
basi di dati alle quali hanno accesso più docenti
basi di dati alle quali ha accesso un singolo docente
Le banche dati cui hanno accesso più docenti sono:
o
o
o
o
o
o
o
il registro di classe
il registro dei verbali del consiglio di classe
la documentazione relativa alla programmazione didattica
i documenti di valutazione
la documentazione dello stato di handicap
i certificati medici degli allievi
la corrispondenza con le famiglie
Le banche dati cui ha accesso il singolo docente sono:
o
o
il registro personale
gli elaborati
Per la valutazione degli alunni negli scrutini viene utilizzata una procedura informatica. I docenti hanno
accesso alla procedura attraverso un sistema di autenticazione (login, password). I docenti “caricano” per
ogni alunno i dati relativi alla valutazione ed alle assenze, nelle materie di competenza; dopo le operazioni di
scrutinio, dove le valutazioni sono validate, la banca dati, conservata nel server, viene gestita dal personale
di segreteria.
Appare opportuno considerare i dati trattati dai docenti nel loro insieme come dati sensibili, ai sensi della
lettera d comma 1 dell’articolo 4 del Codice, essendo difficile, per loro natura e organizzazione, classificarli in
sensibili e personali. Il trattamento dei dati da parte dei docenti (tenuta dei registri, modalità di compilazione
dei documenti di valutazione, verbalizzazione etc.) è definito puntualmente da norme di legge o
regolamentari.
2.2
Dati trattati dal personale ATA
Le banche dati su supporto cartaceo e/o informatizzato, contenenti dati personali,
personale ATA, raggruppati in insiemi omogenei, sono:
o
o
o
o
o
o
o
o
2.3
cui ha accesso il
i fascicoli relativi al personale della scuola
i fascicoli alunni ed ex alunni
l'anagrafe fornitori, i contratti
documentazione finanziaria e contabile
la documentazione didattica trattata dai docenti per la conservazione
il registro degli infortuni
il registro di protocollo
gli atti e i documenti prodotti dalla Istituzione
Dati trattati dal dirigente scolastico
Le banche dati di esclusiva pertinenza del Dirigente Scolastico sono:
4
o
o
o
o
o
3
il fascicolo del personale direttivo
i verbali delle assemblee dei genitori
la programmazione relativa allo stato di disagio
il protocollo riservato
il fascicolo del personale in prova
Distribuzione dei compiti e delle responsabilità
Il Codice individua agli articoli 28, 29 e 30 i soggetti che sono coinvolti nel trattamento dei dati personali:
il titolare, cioè la persona fisica o giuridica che ha la responsabilità finale ed assume le decisioni
fondamentali riferite al trattamento dei dati personali;
il responsabile, è la persona, dotata di particolari caratteristiche di natura morale e di competenza
tecnica, preposta dal titolare al trattamento dei dati personali “ivi compreso il profilo della sicurezza”;
possono essere nominati anche più responsabili in base ad esigenze organizzative;
l’incaricato è la persona fisica che materialmente provvede al trattamento dei dati, secondo le istruzioni
impartite dal titolare o dal responsabile se nominato;
Il provvedimento del Garante 27 novembre 2008 definisce puntualmente i compiti di un quarto soggetto:
3.1
l’amministratore di sistema cui è conferito il compito di gestire le risorse del sistema informatico.
Individuazione del responsabile ed attribuzioni
Per la individuazione del responsabile, la cui nomina è facoltativa, esistono diverse possibilità:
a) non viene nominato, ed il dirigente scolastico assume personalmente tutte le incombenze relative agli
adempimenti previsti dal D.Lgs.196/2003 per il titolare;
b) viene nominato il direttore dei servizi generali ed amministrativi per i trattamenti dei dati che
riguardano in modo specifico i servizi di segreteria mentre i l capo d’istituto si occupa direttamente del
trattamento dei dati effettuato dai docenti;
c) vengono nominati:
- il direttore dei servizi generali ed amministrativi per i trattamenti dei dati che riguardano in modo
specifico i servizi di segreteria;
- uno o più docenti per i trattamenti dati effettuati dagli insegnanti per fini didattici.
In base a quanto disposto dall’articolo art 29 2° comma, D.Lgs.196/2003
“ Il responsabile se designato, deve essere nominato fra i soggetti che per esperienza capacità ed
affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento,
ivi compreso il profilo della sicurezza”.
Il dirigente scolastico ha deciso confermare la soluzione “b”, come disposto nei precedenti DPS.
Viene quindi confermato come responsabile, per i trattamenti dei dati che riguardano in modo specifico i
servizi di segreteria, il direttore dei servizi generali ed amministrativi.
3.2
I Responsabili esterni
Dato che questa Istituzione scolastica si avvale, o si può avvalere, per l’espletamento di alcuni servizi o per
altre attività di soggetti esterni (persone giuridiche), quando i dipendenti di tali imprese, nell’ambito del
servizio o attività, hanno accesso ad aree contenenti archivi di dati personali e/o a dati personali, i legali
rappresentanti dei soggetti esterni saranno nominati dal titolare responsabili esterni.
5
3.3
Gli Incaricati
Il docente è da considerarsi, per la propria sfera di competenza, incaricato del trattamento come tale deve
essere nominato mediante specifico atto che elenchi puntualmente: categorie dei dati cui può avere accesso;
tipologia di trattamento e vincoli specifici applicabili alle varie tipologie di dati; istruzioni in merito ai soggetti
cui i dati possono essere comunicati o diffusi.
Ogni assistente amministrativo dovrà essere nominato incaricato del trattamento con specifico atto, in
base ai compiti che assolve nell’ufficio.
I collaboratori scolastici, qualora trattino anche saltuariamente dati personali, dovranno essere incaricati
con specifico atto.
Le nomine di incaricato del trattamento dati saranno effettuate anche per il personale supplente
temporaneo, docente e ATA .
Dovrà essere nominato incaricato anche il personale esterno (persone fisiche) che sulla base di incarichi o
convenzioni stipulate con l’Istituzione scolastica ha accesso al trattamento di dati personali, compreso il
personale esterno incaricato della manutenzione degli strumenti informatici.
3.4
L’Amministratore di Sistema
Il Garante con il Provvedimento a carattere generale - 27 novembre 2008 “Misure e accorgimenti prescritti
ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di
amministratore di sistema” (G.U. n. 300 del 24 dicembre 2008) richiama l'attenzione di enti, amministrazioni,
società private sulla figura professionale dell' amministratore di sistema e ha prescritto l'adozione di
specifiche misure tecniche ed organizzative che agevolino la verifica sulla sua attività da parte di chi ha la
titolarità delle banche dati e dei sistemi informatici.
In sostanza il provvedimento dispone quanto segue.
a. Valutazione delle caratteristiche soggettive
L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle
caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire
idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il
profilo relativo alla sicurezza.
b. Designazioni individuali
La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione
analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.
c. Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad
essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi
in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere
aggiornato e disponibile in caso di accertamenti da parte del Garante.
Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che
trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i
titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di
sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio,
in relazione ai diversi servizi informatici cui questi sono preposti.
d. Servizi in outsourcing
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare
direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone
fisiche preposte quali amministratori di sistema.
e. Verifica delle attività
L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di
un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza
alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste
dalle norme vigenti.
f.
Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione
informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di
6
sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e
possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono
richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che
le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
Attualmente le attività riconducibili a quelle di amministratore di sistema nella Istituzione vengono svolte da
personale interno e dalla società che fornisce i programmi gestionali, per gli aspetti relativi all’installazione,
manutenzione e aggiornamento.
Lo schema dell’atto di nomina dell’incaricato con funzione di amministratore di sistema è inserito nell’allegato
A al presente Documento.
Al DPS sarà allegato il curricolo dell’amministratore di sistema
Alle società che forniscono i programmi gestionali verrà inoltrata richiesta affinché comunichino in tempi
brevi a questa Istituzione i nominativi dei soggetti dalle stesse società preposti alle attività riconducibili a
quelle di amministratore di sistema; al DPS sarà allegato l’elenco degli amministratori di sistema esterni.
Il titolare verificherà annualmente, alla data del rinnovo del DPS, l’operato degli amministratori di sistema
attraverso le seguenti modalità:
• acquisizione di una relazione dell’amministratore di sistema dove vengano puntualmente descritte le
attività realizzate sul sistema informatico;
• verifica delle registrazioni (file log) ai sistemi di elaborazione e agli archivi elettronici da parte degli
amministratori di sistema;
• redazione di un verbale.
Per quanto riguarda la registrazione degli accessi (file di log), premesso che è prevista dal presente
documento ed attiva una procedura di autenticazione per gli accessi al sistema informatico
dell’Amministrazione, il titolare provvederà entro la scadenza definita dal Garante a verificarne le
caratteristiche di completezza, inalterabilità e integrità (punto f delle prescrizioni del citato provvedimento).
Nel caso in cui le registrazioni non avessero le caratteristiche di cui al punto f, e l’acquisizione di un sistema
operativo a norma si rilevasse economicamente onerosa e non realizzabile nei tempi previsti, il titolare
provvederà comunque a definire un procedura adeguata al raggiungimento dello scopo individuato dal
provvedimento
7
4
Analisi dei rischi che incombono sui dati
Per procedere all’analisi dei rischi che incombono sui dati è necessario descrivere ed analizzare la situazione
attuale della istituzione scolastica.
I dati che seguono sono relativi a una rilevazione effettuata nel luglio 2004.
4.1
Descrizione stato attuale
4.1.1
Plessi e loro collocazione
ISTITUTO TECNICO NAUTICO
ISTITUTO TECNICO COMMERCIALE
ISTITUTO PROFESSIONALE MARITTIMO
4.1.2
PORTO S. STEFANO via Panoramica , 81
ALBINIA, via della Pace snc
PORTO S. STEFANO via Civinini, 1
Locali dove avviene il trattamento da parte personale docente
Gli edifici ove avviene il trattamento dei dati effettuato da docenti coincidono con i plessi della istituzione
scolastica.
4.1.3
Locali dove avviene il trattamento da parte del dirigente scolastico e del personale ATA
I locali interessati al trattamento dei dati da parte del personale di segreteria e da parte del dirigente
scolastico sono siti nella sede dell’ Istituto Tecnico Nautico in Porto S. Stefano, via Panoramica n° 81
4.1.4
Descrizione generale dell’edificio che ospita presidenza e segreteria
La sede della presidenza e dei servizi di segreteria si trova presso l’Istituto Tecnico Nautico in porto S.
Stefano. La struttura è costituita da due edifici fra, loro collegati, il primo ospita uffici (edificio principale),
aule e laboratori il secondo esclusivamente laboratori.
Descrizione edificio principale
accesso:
dalla via Panoramica
cortile esclusivo:
si, alcune corti interne delimitata dagli edifici e da recinzioni
metalliche
parcheggi esclusivi:
no
cancelli di accesso:
in metallo muniti di chiusure con catene e lucchetti, accesso
illuminazione esterna:
illuminazione pubblica
n° di piani fuori terra:
tre + 1 (utilizzato solo per il vano ascensore)
piano/i interrato/:
no
n° degli accessi all’edificio:
uno principale dalla via Panoramica, uno da una corte interna
pedonale alle corti interne
tipologia accessi
porta principale tagliafuoco REI 60 con serratura ordinaria
dalla porta principale si entra in un atrio, costantemente presidiato in orario di apertura della scuola, dal
quale si accede a laboratori didattici e, tramite una scala e ascensore, ai piani superiori
sistema generale di allarme
presente nei corridoi e nell’area dei servizi amministrativi
8
locali utilizzati da altri soggetti
palestra utilizzata da
soggetti esterni, è compartimentata rispetto alla
struttura ed ha un proprio accesso
4.1.5
Descrizione dei locali della presidenza e dei servizi di segreteria
I locali della Presidenza e dei Servizi Amministrativi constano di:
1. Presidenza
2. Locale DSGA
3. Locale assistenti amministrativi
4. Archivio 1
5. Segreteria Alunni
6. Archivio 2
sono collocati al primo piano, vi si accede tramite scala e ascensore, nello stesso corridoio sono presenti le
scale di accesso ai piani superiore e locali usati per varie attività didattiche
Il locale della presidenza, quelli del direttore SGA, degli assistenti amministrativi e di un archivio (Archivio 1)
sono compresi in una unica area delimitata da un cancello metallico dotato di serratura efficiente; all’area
descritta si accede dal corridoio tramite una zona presidiata, in orario di servizio, da collaboratori scolastici.
I locali della segreteria alunni e di un archivio (Archivio 2) sono collocati fuori dell’area sopra descritta.
9
1 – Denominazione e destinazione locale
1. Presidenza
2 – Collocazione
-
Piano primo (interno area compartimentata)
-
n.1 dal corridoio
n.1 dal locale Direttore SGA
3 – Accessi
4 – Protezioni da intrusione esterna
- accessibilità finestre descrizione protezioni
non accessibili per posizione
-
porte
-
metallo e resina di modesta consistenza con serratura ordinaria
5 – Postazioni di lavoro e dotazioni informatiche
-
n. 1 posto di lavoro
n. 1 PC in rete
6 – Descrizione arredi
descrizione
serratura
Armadi in metallo e vetro
no
scrivania
efficienza
serratura
contenuto
verbali collegio
verbali consigli di classe
documentazione didattica
si
si
protocollo riservato
documentazione allievi handicap
valutazione docenti in prova
si
si
varia documentazione
7 - rischio incendio
-
vedi documento sicurezza DLGS 81/08
10
2. Direttore SGA
2 – Collocazione
-
-
n.1 dal corridoio
n.1 dal locale Presidenza
3 – Accessi
- non accessibili per posizione
-
porte
-
presente sistema di allarme
-
n. 1 posti di lavoro
n. 1 PC in rete
descrizione
serratura
efficienza
serratura
Armadi in metallo
si
si
scrivania
si
si
contenuto
Documentazione finanziaria
Bilanci
contratti
Documentazione varia, no dati
personali
inventario
-
11
2. Assistenti amministrativi
2 – Collocazione
-
-
n.1 dal corridoio
3 – Accessi
- alcune non accessibili per posizione altre accessibili protette da
grate mtalliche
-
porte
-
-
n. 6 PC in rete
n. 1 PC stand alone
descrizione
serratura
efficienza
serratura
Armadi in metallo
Schedari metallici
Armadi metallo e vetro
si
si
scrivanie
si
si
contenuto
-
12
2. Archivio 1
2 – Collocazione
-
-
n.1 dal locale assistenti amministrativi
3 – Accessi
-
-
non accessibili grate metalliche
-
tagliafuoco REI 60 con serratura efficiente
porte
descrizione
serratura
efficienza
serratura
Scaffali metallici
contenuto
Cassaforte
si
si
Fascicoli alunni e fascicoli
personale docente e ata
Registri protocollo
Chiavi
Schedario metallico
si
si
Fascicoli alunni
N° 2 bacheche metalliche
Si
si
Chiavi di sicurezza del locali e degli
archivi
-
13
2. Segreteria alunni
2 – Collocazione
-
Piano primo
-
n.1 dal corridoio
3 – Accessi
-
porte
-
tagliafuoco REI 60 con serratura efficiente
-
n. 1 PC in rete
descrizione
serratura
efficienza
serratura
contenuto
Fascicoli personali alunni si
Armadi in metallo
Armadi in metallo e vetro
si
si
scrivania
si
si
-
14
2. Archivio 2
2 – Collocazione
-
Piano primo
-
n.1 dal corridoio
3 – Accessi
-
porte
no
descrizione
serratura
efficienza
serratura
contenuto
Pacchi esami
elaborati
Armadi in metallo
Scaffali metallici
Documentazione didattica varia
si
si
-
15
4.1.6
Gestione delle chiavi
Chiavi per l’accesso all’edificio principale
a) soggetti cui sono affidate le chiavi
personale istituzione
- tutti i collaboratori scolastici; Dirigente, DSGA, insegnante
delegato al sistema di allarme
soggetti esterni
- impresa di pulizie
b) modalità di affidamento delle chiavi
Verbali di consegna per la quasi totalità degli affidatari (NO
insegnante delegato al sistema di allarme)
c) esistono copie delle chiavi
SI
X
NO
d) in caso di risposta positiva indicare il soggetto o i soggetti preposti alla custodia delle copie di
sicurezza
DSGA Dirigente
Gestione delle chiavi di accesso ai locali dove sono trattati dati personali
-
locali situati nell’edificio
principale
a) soggetti cui sono affidate le chiavi
personale istituzione
- tutti i collaboratori scolastici; Dirigente, DSGA; insegnante
delegato al sistema di allarme
soggetti esterni
- impresa di pulizie
b) modalità di custodia delle chiavi
Verbali affidamento
d) esistono copie delle chiavi
SI
x
NO
16
d) in caso di risposta positiva indicare il soggetto o i soggetti preposti alla custodia delle copie di
sicurezza
DSGA Dirigente
Gestione delle chiavi degli archivi dove sono custoditi dati personali
Le chiavi degli archivi (schedari, armadi, scrivanie etc.) vengono custodite in luogo sicuro; all’orario di
apertura degli uffici i collaboratori scolastici provvedono a inserirle nelle rispettive serrature.
Prima dell’orario di chiusura i collaboratori scolastici provvedono a chiudere gli archivi ed a riporre le chiavi in
luogo sicuro)
4.1.7
Rilevazione struttura del sistema informatico
Il sistema informatico è attualmente in fase di sistemazione per la rete, per i’ hardware e per il software
(installazione di nuove procedure gestionali che sostituiscono le procedure precedentemente in uso fornite
dal MIUR)
1-Tipologia della rete
-
a stella combinata
2- Tipologia delle risorse hardware
-
n° 1 server
n° 7 client
-
locale assistenti amministrativi
3- Collocazione server
4- Accesso alle risorse Internet
-
router sulla rete
-
provider ARUBA (Ar) + Posta certificata (PEC)
casella ministeriale
5- Posta elettronica
Tipologia delle risorse software
6- Sistema operativo usato sul server
-
WINDOWS 2003 server
7-Sistemi operativi usati sui client e procedure gestionali
Microsoft XP
Licenze MS Office (10 licenze)
Antivirus
- McAfee
17
Elenco procedure:
- AXIOS alunni, finanziaria, personale
- SISSI IN RETE protocollo, magazzino
8- Supervisore di rete
-
Si interno
-
si
9- Planimetria della rete
10- Progetto e certificazione della rete
-
si progetto non certificazione
-
condivisione file e procedure
11- Uso della rete
12- Interventi di formazione del personale
-
si organizzati internamente, alcuni certificazione ECDL
13- Assegnazione di nomi logici per le periferiche di rete
-
si
14- Assegnazione delle password di accesso alle singole macchine
-
si
15- Assegnazione dei codici identificativi personali
-
si per procedure SISSI e AXIOS
16- Collaboratori esterni o temporanei che hanno accesso alla rete
-
tecnici AXIOS per la manutenzione
Prevenzione della perdita dei dati
17- Software antivirus
-
McAfee
18
18- Incarico formale dell’esecuzione dei backup
-
incarico formale
19- Supporto sul quale viene effettuato il backup
-
DVD
20- Libro mastro della programmazione dei backup
-
presente
21 - Locale e contenitore dove vengono custodite le copie di backup
-
luogo sicuro
-
Si sul server e sulla maggior parte dei client
22- Gruppo di continuità
23 – Strumenti di difesa antintrusione
-
Firewall
24- Manutenzione delle risorse hardware e software
-
Tecnici AXIOS
Manutentore interno
19
4.2
Analisi dei rischi
Si metteranno di seguito in evidenza i rischi propri, connessi al trattamento dei dati personali.
Tali rischi si possono classificare in:
- distruzione o perdita, anche accidentale dei dati;
- connessi alla integrità dei dati;
- accesso non autorizzato ai dati;
- trattamento non consentito o non conforme alla finalità della raccolta;
- connessi con l’utilizzo di reti di telecomunicazione disponibili al pubblico;
- connessi al reimpiego di supporto di memorizzazione;
- connessi alla conservazione della documentazione relativa al trattamento;
- connessi all’utilizzo di archivi e contenitori con serrature.
4.2.1
Rischi riguardanti le basi di dati trattate da docenti
I rischi di cui si tratta afferiscono al trattamento dei dati connesso con l’attività didattica, che viene effettuato
senza l’ausilio di strumenti elettronici:
-
distruzione o perdita accidentale dei dati a causa di eventi naturali, allagamenti, furto
danneggiamento etc.;
data la collocazione dei locali il rischio di distruzione o danneggiamento a causa di eventi
-
-
naturali quali allagamenti appare nel complesso modesto;
i rischi relativi a furto e danneggiamento appaiono differenziati per le diverse sedi per
quanto riguarda la possibilità di intrusione dall'esterno durante la chiusura della scuola:
bassi per la sede principale, date le misure antintrusione presenti, presenti e rilevanti per le
altre sedi data la mancanza di sistemi di allarme;
connessi alla integrità dei dati: utilizzo di supporti o modalità di trattamento non stabili;
- rischio nel complesso irrilevante
-
accesso non autorizzato ai dati, da parte di soggetti esterni alla scuola o da parte di
personale interno;
-
il rischio appare di bassa entità vista la presenza di armadi in metallo con serrature efficienti ove
i docenti custodiscono la documentazione didattica loro affidata
-
trattamento non consentito o non conforme alle finalità di raccolta: diffusione,
comunicazione, manomissione,
- rischio nel complesso irrilevante vista l'esperienza del personale, le procedure adottate e le
iniziative di formazione in corso
-
connessi all’utilizzo di archivi e contenitori con serrature
- di modesta entità dato che non in tutte le sedi sono presenti contenitori ed archivi dotati di
serrature efficienti;
-
trattamento con l’ausilio di strumenti elettronici
come descritto in precedenza tale trattamento riguarda esclusivamente la procedura per la
valutazione degli scrutini; per una analisi puntuale dei rischi si veda il punto 4.2.3;
- il rischio appare nel complesso presente ma di bassa entità dato che il trattamento si limita al
“caricamento dei dati” (voti e assenze) nella procedura informatica e considerata la presenza di
un sistema di autenticazione.
20
4.2.2
Rischi riguardanti le basi di dati trattate dal personale ATA
I rischi riguardano le basi di dati trattate esclusivamente dal personale ATA e la documentazione didattica su
cui operano i docenti non riferita all’anno scolastico in corso; il trattamento è effettuato con strumenti
elettronici e con strumenti non elettronici.
I rischi di cui si tratta sono:
- distruzione o perdita accidentale dei dati
a causa di eventi naturali, allagamenti, furto, danneggiamento etc.;
i rischi di allagamento per cause naturali appaiono, data la collocazione, molto bassi, presenti
anche se non di particolare rilevanza quelli che possono essere causati da guasti alle condotte
idriche e termiche;
relativamente ai rischi di furto e di danneggiamento:
l rischi appaiono bassi durante l’orario di apertura per gli uffici amministrativi dato il presidio
continuo da parte del personale.
I rischi appaiono molto bassi durante l’orario di chiusura, per i locali collocati nell’area sicura
(cancello metallico con serratura efficiente per l’accesso agli uffici, grate metalliche alle finestre
accessibili); presenti,anche se di modesta rilevanza, i rischi per i locali (segreteria alunni e
Archivio 2)collocati al di fuori dell’area sicura data la presenza del sistema di allarme.
-
connessi alla integrità dei dati: utilizzo di supporti o modalità di trattamento non stabili
- per i dati su supporti cartacei il rischio è da considerarsi, nel complesso, basso anche se si
ritengono opportune verifiche periodiche
-
accesso non autorizzato ai dati, da parte di soggetti esterni alla scuola o da parte di
personale interno
- il rischio è limitato ma presente data la mancanza della definizione della zona di accesso per il
pubblico.
-
trattamento non consentito o non conforme alle finalità di raccolta: diffusione,
comunicazione, manomissione
- il rischio appare presente ma di non particolare rilievo in quanto il personale è esperto e
consapevole del proprie responsabilità;
-
connessi all’utilizzo di archivi e contenitori con serrature
- rischio è estremamente basso data la presenza di serrature efficiente e la corretta gestione
delle chiavi.
-
connessi all’utilizzo del sistema informativo automatizzato
(Si ritiene opportuna una analisi puntuale dei rischi cui è esposto il sistema informativo
automatizzato che viene riportata di seguito)
4.2.3
Rischi per il sistema informativo automatizzato
L’analisi dei rischi consiste nella individuazione degli elementi del sistema informativo automatizzato che
necessitano di protezione e delle minacce cui gli stessi possono essere sottoposti, tenendo conto del fattore
tecnologico e del fattore umano.
Le principali fonti di rischio per un sistema informatico sono aggregabili, ai fini della analisi oggetto del
presente paragrafo, nel modo che segue:
FR1 - maltempo, inondazioni, fulmini, terremoti, fuoco, attentati
21
FR2 - guasti hardware, caduta di corrente, omissioni hardware, errori e difetti software, sabotaggi,
haking, programmi software maligni (malware,virus, worm)
FR3 - comportamenti errati, cattiva organizzazione, errata logistica
Il sistema informatico della Istituzione, come descritto al precedente punto 4.1.7, è distribuito nei locali dove
si esegue il trattamento dati senza l’ausilio di strumenti elettronici per cui per quanto riguarda i rischi
compresi nel gruppo FR1 si fa riferimento a quanto detto al precedente punto 4.2.2.
Riguardo alle fonti di rischio comprese nel gruppo FR2, fino ad oggi anche da una analisi della serie storiche
riguardanti il sistema informatico emerge quanto segue:
○ non si sono registrati consistenti guasti hardware, anche per la continua manutenzione dello stesso e
l’uso di macchine affidabili;
○ nella zona in cui insistono i locali che ospitano il sistema informatico non si verificano frequentemente
cadute di corrente;
○ il sistema attualmente consente il salvataggio dei dati attraverso il server per gli archivi delle procedure
gestionali ;
○ i singoli PC ed il server sono dotati di antivirus McAfee che può essere aggiornato via Internet anche
giornalmente;
○ Riguardo il rischio di accesso abusivo, con i rischi connessi quali conoscenza dati a persone non
autorizzate, distruzione o perdita totale, danneggiamento dei dati etc, fino ad oggi non si sono registrati
eventi dannosi in ogni modo il sistema non appare attualmente vulnerabile data la presenza di strumenti
di difesa (router, firewall, codici di accesso).
Per le fonti di rischio comprese nel gruppo FR3 dall’analisi della rilevazione effettuata risulta quanto segue.
Le credenziali di autenticazione, consistenti in un codice per l’autenticazione associato ad una parola chiave
sono state assegnate.
Circa il salvataggio dei dati il rischio è molto basso, data la presenza di una procedura formale di backup.
22
5
Misure da adottare per garantire l’integrità e la disponibilità dei dati
5.1
Misure fisiche
I requisiti di sicurezza fisica sono tesi a:
- proteggere le aree
- proteggere gli archivi.
- proteggere le persone che operano sui sistemi,
Variano considerevolmente in funzione delle dimensioni e dell’organizzazione del Sistema Informativo.
Nella fattispecie viste le dimensioni di tale sistema sono state fatte le seguenti considerazioni:
5.1.1
Sicurezza di area
La sicurezza di area ha il compito di prevenire accessi fisici non autorizzati, danni o interferenze con lo
svolgimento dei servizi. Le contromisure si riferiscono alle protezioni perimetrali dei siti, ai controlli fisici
all’accesso, alla sicurezza degli archivi e delle attrezzature informatiche rispetto a danneggiamenti accidentali
o intenzionali, alla protezione fisica dei supporti.
Come si evince dalla da quanto descritto in precedenza (vedi “Situazione attuale”) i locali, presentano
problematiche di sicurezza relative ad possibili intrusioni dall’esterno.
Quindi è necessario predisporre quanto segue:
Adeguamento 1
Mantenere in sicurezza delle vie di accesso in tutte le sedi.
Adeguamento 2
Mantenere la corretta gestione delle chiavi attualmente in adozione.
5.1.2
Sicurezza degli archivi
Adeguamento 3
Tutte le banche di dati personali (sensibili e non) devono essere conservate in contenitori adeguati (schedari,
armadi) dotati di serratura efficiente e sicura, e posti in luoghi non accessibili al pubblico.
Adeguamento 4
I locali che contengono banche di dati personali (sensibili e non) e/o strumenti informatici devono essere
dotati di una porta con serratura efficiente e sicura;
Adeguamento 5
In tutti plessi dovranno essere installati contenitori dotati di serratura efficiente nei quali custodire
documentazione didattica ed altri materiali contenenti dati personali.
Adeguamento 5/1
a) Devono essere indicati con adeguata segnaletica i locali interdetti al pubblico.
b) Nei locali accessibili al pubblico deve essere delimitata l’area di accesso.
Nei locali accessibili al pubblico per i quali non è possibile, per ragioni strutturali delimitare l’area di accesso,
gli utenti saranno ammessi uno alla volta adottando opportune misure organizzative (comunicazioni scritte,
segnaletica o altro).
5.1.3
Attuazione degli adeguamenti riferiti alle misure fisiche
Questa Istituzione scolastica per provvedere agli adeguamenti riferiti alla sicurezza delle strutture e degli
arredi, descritte al punto precedente, non dispone di risorse finanziare proprie ma deve riferirsi alla
Amministrazione Provinciale di Grosseto, alla quale farà specifiche richieste riferite al contenuto del presente
documento.
23
5.2
Misure informatiche
Il campo di applicazione della Sicurezza Logica riguarda la protezione dell’informazione, e di conseguenza di
dati, applicazioni, sistemi e reti, sia in relazione al loro corretto funzionamento ed utilizzo, sia in relazione alla
loro gestione e manutenzione nel tempo.
Il Disciplinare tecnico in materia di misure minime di sicurezza, allegato B al Codice, prescrive l’adozione di
alcune modalità tecniche che in questa Istituzione scolastica si sintetizzano come segue.
5.2.1
Sistema di autenticazione
Adeguamento 6
Devono essere rese operative per gli incaricati di trattamento (personale di segreteria) le credenziali di
autenticazione.
Le credenziali per l’autenticazione consistono, per il sistema informatico presente nella istituzione, in un
codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal
medesimo.
Adeguamento 7
La gestione del sistema di autenticazione informatica, per il personale di segreteria, sarà effettuato
responsabile come segue:
dal
a) La parola chiave viene assegnata all’incaricato all’atto del primo conferimento dell’incarico.
b) La parola chiave è modificata dall’incaricato al primo utilizzo e, successivamente, almeno ogni sei
mesi.
c) In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni
tre mesi.
d) La parola non deve contenere riferimenti agevolmente riconducibili all’incaricato.
e) Ad ogni modifica della parola chiave, la parola chiave scelta dall’incaricato è inserita in una busta
sigillata con all’esterno dati identificativi dell’interessato e la data di consegna; la busta sarà
consegnata al responsabile che la custodirà garantendo la segretezza del contenuto.
f) In caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile
intervenire per esclusive necessità di operatività e di sicurezza del sistema il responsabile potrà
accedere alla credenziale; provvedendo ad avvertire tempestivamente l’incaricato.
5.2.2
Sistema di autorizzazione
Adeguamento 8
La gestione del sistema di autorizzazione informatica viene effettuato dal responsabile.
I profili di autorizzazione sono individuati e configurati anteriormente all’inizio del trattamento.
5.2.3
Altre misure
Adeguamento 9
a) Almeno annualmente è verificata da parte del responsabile la sussistenza delle condizioni per la
conservazione dei profili di autorizzazione.
b) Il responsabile verifica annualmente la lista degli incaricati di trattamento e degli addetti alla
gestione e manutenzione verificando l’ambito di trattamento consentito ed i relativi profili di
autorizzazione.
c) Si allega al presente documento lo schema di scheda per l’individuazione degli incaricati di
trattamento con strumenti informatici con i relativi profili di accesso.
d) Il responsabile dispone che i dati personali siano protetti contro il rischio di intrusione e dell’azione
di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei
strumenti elettronici da aggiornare con cadenza almeno semestrale.
24
e) Il responsabile impartisce istruzioni organizzative e tecniche che prevedono il salvataggio dei dati
con frequenza almeno settimanale, attraverso il conferimento di uno specifico compito ad un
incaricato e l’istituzione di un registro per il backup.
f) Il responsabile provvede alla custodia in un luogo sicuro delle copie di backup.
g) Il responsabile dispone la custodia dei supporti rimovibili contenenti dati personali individuando
contenitori con idonee caratteristiche di sicurezza.
h) Il responsabile dispone la distruzione di supporti rimovibili contenenti dati sensibili e giudiziari non
più utilizzati.
i) Il responsabile dispone e verifica la cancellazione di tutti i dati personali dagli strumenti informatici
non più utilizzati o utilizzati in attività diverse da quelle amministrative.
j) Il titolare quando si avvarrà di soggetti esterni per la fornitura di prodotti o servizi finalizzati alla
realizzazione di misure minime di sicurezza, si farà consegnare dal soggetto medesimo una
descrizione scritta dell’intervento che ne attesti la conformità a quanto disposto dal disciplinare
tecnico allegato B del Codice.
Adeguamento 11
Assegnazione delle password a tutti i P.C.
5.2.4
Attuazione degli adeguamenti riferiti alle misure informatiche
Per quanto attiene agli adeguamenti del sistema informatico descritti ai punti precedenti questa istituzione
può provvedere nei tempi previsti dato che
a) il software di gestione appare in linea con le norme e si tratta quindi solo di attivare le previste
procedure di autenticazione;
b) l’attivazione di idonei strumenti elettronici per prevenire il rischio di intrusione nel sistema
informatico ha aspetti tecnici, organizzativi ed economici sostenibili.
5.3
Misure organizzative
Accanto all’adozione di misure tecnologiche già illustrate, è necessario, come richiamato, vengano definite
una serie di norme e procedure miranti a regolamentare gli aspetti organizzativi del processo di sicurezza.
Gli aspetti organizzativi riguardano principalmente:
la definizione di ruoli, compiti e responsabilità per la gestione di tutte le fasi del processo Sicurezza;
l’adozione di specifiche procedure che vadano a completare e rafforzare le contromisure tecnologiche
adottate.
Un ulteriore aspetto inerente la Sicurezza Organizzativa è quello concernente i controlli sulla consistenza e
sulla affidabilità degli apparati.
In ordine alla norme di comportamento, si rimanda a quanto è definito nei documenti di nomina per
l’assegnazione di responsabilità ed incarichi ed a quanto specificato nell’allegato A.
In riferimento a quanto disposto dal Garante con il Provvedimento a carattere generale - 27 novembre
2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici
relativamente alle attribuzioni delle funzioni di amministratore di sistema” (G.U. n. 300 del 24 dicembre
2008), il titolare provvederà alla individuazione di responsabili e incaricati come specificato al punto 3.4 del
presente documento e esplicitato nei relativi modelli di nomina di cui all’allegato A.
Il titolare ed il responsabile, relativamente ai propri ambiti di competenza, aggiornano almeno annualmente
la lista degli incaricati (redatta anche per classi omogenee di incarico) con i relativi profili di autorizzazione
utilizzando gli allegati B e C.
25
6
Criteri da adottare per garantire l’adozione delle misure minime di sicurezza nel caso di
affidamento del trattamento a soggetti esterni
Nel caso di affidamento da parte della Istituzione a soggetti esterni di attività che comportino trattamento
dei dati conviene distinguere due casi:
a) affidamento a persone fisiche;
b) affidamento a persone giuridiche.
6.1
Affidamento a persone fisiche.
Nel caso che il soggetto sia una persona fisica lo stesso sarà nominato, dal titolare o dal responsabile,
incaricato di trattamento dati attraverso un atto di nomina che specifichi puntualmente le norme di
comportamento da seguire.
Ove necessario il titolare o il responsabile provvederanno a informare l’incaricato sui contenuti fondamentali
delle norme che disciplinano il trattamento dei dati personali.
Il titolare o il responsabile verificheranno periodicamente, nelle forme ritenute più opportune, sulla
correttezza del trattamento, con particolare riferimento all’adozione delle misure minime di sicurezza, da
parte degli incaricati
6.2.1
Affidamento a persone giuridiche.
Nel caso che il soggetto sia una persona giuridica lo stessa sarà nominata dal titolare responsabile esterno di
trattamento dati attraverso un atto di nomina che specifichi puntualmente le norme di comportamento da
seguire con specifico riferimento alle misure minime di sicurezza da adottare.
Il titolare vigilerà sulle attività relative al trattamento dipendenti dal responsabile esterno e si farà rilasciare
dallo stesso una dichiarazione di conformità a quanto stabilito dalle norme di legge e dal presente
documento.
26
7
Modalità per il ripristino della disponibilità dei dati in seguito a distruzione o
danneggiamento
Il responsabile nel caso del verificarsi di eventi che provochino la distruzione od il danneggiamento dei dati
personali contenuti nelle banche dati del sistema informatico, provvederà senza ritardo a ripristinare la
funzionalità delle banche dati utilizzando le copie di backup.
Il ripristino della disponibilità dei dati andati perduti a causa di eventi di diversa natura consiste di norma
nella installazione del software di base, dei programmi, di tutti i file di dati,
nella sostituzione di componenti hardware danneggiati che hanno provocato la interruzione dei
trattamenti.
○
○
La re-installazione del software di base, dei programmi di office automation e dei file di dati residenti nei PC
sarà effettuata dall’incaricato con funzioni di amministratore di sistema.
La re-istallazione del software di rete, dei programmi gestionali e dei file di dati residenti nel server sarà
effettuato dal soggetto titolare del contratto di manutenzione software.
La sostituzione di componenti hardware non funzionanti sarà effettuato dal soggetto titolare del contratto di
manutenzione hardware.
Nei contratti di manutenzione stipulati con i fornitori di software e hardware dovrà essere inserita una
specifica clausola che consenta il ripristino della funzionalità del sistema informatico e della disponibilità dei
dati entro il tempo stabilito dalla legge.
27
8
Interventi formativi
8.1
Interventi formativi già attuati
E’ stata realizzata a partire dall'anno 2004 la formazione del dirigente scolastico e del direttore SGA, dei
docenti e del personale ATA.
Nella primavera 2009 sono stati formati, in particolare sulle questioni attinenti la figura di amministratore di
sistema, il dirigente scolastico il direttore SGA e gli assistenti amministrativi
8.2
Interventi formativi al momento dell’ingresso in servizio
All’inizio di ogni anno scolastico, il titolare ed il responsabile programmeranno, qualora necessario, attività
formative per il personale che prende servizio nella istituzione e che non è stato in precedenza sottoposto a
formazione sui temi di cui si tratta.
Gli interventi formativi potranno essere realizzati anche in collaborazione con altre istituzioni scolastiche.
Il personale supplente temporaneo che prenderà servizio durante il corso dell’anno scolastico verrà
informato sui contenuti del codice e sui doveri da esso derivanti, anche attraverso la fornitura di materiale
informativo di sintesi dal titolare o dal responsabile.
8.3
Interventi formativi di aggiornamento
In sede di verifica dell’efficacia delle misure di sicurezza, anche in relazione a novità che di dovessero
presentare nelle norme di legge e/o in relazione all’evoluzione tecnica del settore, il titolare ed il responsabile
programmeranno le necessarie attività formative.
28
9
Misure specifiche per i dati personali idonei a rivelare lo stato di salute
Questa istituzione tratta dati idonei a rivelare lo stato di salute del personale, docente ed ATA, e degli alunni
esclusivamente per finalità previste dalla legge e far data dal 28 febbraio 2007 in modo conforme a quanto
disposto dal Decreto del Ministero della Pubblica istruzione 7 dicembre 2006, n. 305 (Regolamento sul
trattamento dei dati sensibili e giudiziari).
Secondo quanto prescritto dall’articolo 22 comma 7 del D. lgs 196/2003 i dati idonei a rivelare lo stato di
salute “sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro
utilizzo”; inoltre il comma 7 dello stesso articolo dispone che i dati idonei a rivelare lo stato di salute, qualora
contenuti in banche dati informatiche vengano trattati “con tecniche di cifratura o mediante l’utilizzo di codici
identificativi o di altre soluzioni, che li rendono temporaneamente inintelligibili anche a chi è autorizzato ad
accedervi e permettono di identificare gli interessati solo in caso di necessità”.
Riguardo al trattamento senza l’ausilio di strumenti elettronici, dei dati di cui si tratta si stabilisce quanto
segue:
a) Dati riguardanti il personale docente ed ATA
I dati consistono essenzialmente in certificati medici consegnati o fatti pervenire all’ufficio di segreteria.
Dopo la ricezione, durante il trattamento (protocollazione etc) saranno inseriti in una contenitore
chiuso riferito all’interessato e successivamente inseriti nel fascicolo personale, dove saranno
conservati all’interno di una busta chiusa recante l’indicazione del contenuto separatamente dagli
altri documenti.
b) Dati riguardanti gli alunni
I dati consistono essenzialmente in certificati medici consegnati dagli alunni o dai genitori ai docenti o al
personale ATA, per scopi definiti da norme di legge (giustificazione assenze; esonero da attività di
educazione fisica, necessità di particolari diete alimentari etc.)
Dopo la ricezione i dati saranno inseriti in una contenitore chiuso riferito all’interessato e
successivamente trattati da personale incaricato e custoditi in appositi contenitori chiusi.
I certificati riguardanti la necessità di particolari diete alimentari, potranno in caso di necessità, essere
comunicati al soggetto che espleta il servizio mensa previamente nominato responsabile esterno del
trattamento da parte del titolare.
Allegati
A – documenti di nomina per l’assegnazione di responsabilità ed incarichi
B – lista degli incaricati di trattamento con strumenti elettronici
C – lista degli incaricati di trattamento senza l’ausilio di strumenti elettronici
D – lista amministratori di sistema interni
E – lista amministratori di sistema esterni
29
ALLEGATO A
ATTO DI NOMINA DEL RESPONSABILE
art 29 decreto legislativo 30 giugno 2003, n° 196
Il/la sottoscritt
……………………………………….…………………………….
Dirigente Scolastico
del
……………………………………………………………. di …………………………………….., in qualità di “titolare del
trattamento dei dati personali” da esso operato, ai sensi e per gli effetti del D.Lgs. 30 giugno 2003, n° 196 ,
con il presente atto
NOMINA
RESPONSABILE DEL TRATTAMENTO DEI DATI
Il/la
Sig./…………………………………………………………………………………….………………………,
nato
a
…………………………………….……, il ……………………….……….., nella sua qualità di Direttore dei Servizi
Generali ed Amministrativi, in quanto preposto al trattamento dei dati personali effettuato da questa
istituzione scolastica, in relazione alla funzione che le/gli è propria, riguardante in modo specifico il settore
dei servizi di segreteria.
Il Sig. …………………………………………………………………, nella predetta qualità, ha il potere di compiere tutto
quanto necessario per il rispetto delle vigenti disposizioni. In particolare dovrà:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
operare perché il trattamento dei dati avvenga secondo le modalità definite dalla normativa in vigore;
verificare che il trattamento dei dati avvenga in modo lecito;
verificare che l'informativa all'interessato sia stata effettuata;
operare per garantire l’effettivo esercizio dei diritti dell’interessato (art 7 Codice);
rispettare e far rispettare le misure di sicurezza indicate dalla vigente normativa in materia di tutela dei
dati personali e predisposte da questa istituzione scolastica, nel proprio ambito di competenza;
individuare fra il personale ATA gli incaricati di trattamento dando loro istruzioni scritte;
interagire con il Garante, in caso di richieste di informazioni o effettuazione di controlli ed accessi da
parte dell'Autorità;
informare prontamente il titolare di ogni questione rilevante ai fini della legge;
predisporre un rapporto scritto in merito agli adempimenti eseguiti ai fini della legge ed alle conseguenti
risultanze, con periodicità annuale;
predisporre le risposte, non oltre le 24 ore successive al loro ricevimento, ai reclami degli interessati e le
eventuali istanze al Garante;
tenere la lista degli incaricati e degli addetti alla gestione o manutenzione con l’indicazione dell’ambito di
trattamento consentito con strumenti elettronici; aggiornare la lista almeno annualmente;
provvedere all’assegnazione iniziale agli incaricati delle credenziali di autenticazione;
organizzare la custodia delle copie delle cedenziali definite dai singoli incaricati, garantendone la
necessaria segretezza;
tenere la lista degli incaricati con l’indicazione dell’ambito di trattamento consentito senza l’ausilio di
strumentio elettronici; aggiornare la lista almeno annualmente;
provvedere alla gestione delle chiavi degli edifici scolastici (custodia delle copie, assegnazione agli
incaricati etc.);
provvedere alla gestione delle chiavi degli archivi che contengono dati personali;
acquisire, quando l’istituzione si avvale di soggetti esterni per provvedere alla installazione di misure
minime di sicurezza, una descrizione della misura stessa che descriva l’intervento effettuato e/o lo
strumento fornito e che ne attesti la conformità al Disciplinare allegato al Codice;
autorizzare l’accesso agli archivi contenenti dati sensibili e giudiziari;
verificare che vi sia il consenso dell'interessato per il trattamento dei dati sensibili, se necessario.
Data ………………….
IlTitolare
30
ATTO DI NOMINA INCARICATO DEL TRATTAMENTO DATI
Articolo 30 decreto legislativo 30 giugno 2003, n° 196
docenti
Il/la sottoscritt …………………………………………………………………………… Dirigente Scolastico
del
…………………………………………………….………. di …………..………….., in qualità di “titolare del trattamento dei
dati personali” da esso operato, ai sensi e per gli effetti del D.Lgs. 30 giugno 2003, n° 196, con il presente
atto
NOMINA
INCARICATO DEL TRATTAMENTO
il/la
Sig.
in qualità di docente.
…………………………………………………………………………………….…………………………
Tale nomina è in relazione alle operazioni di elaborazione di dati personali ai quali il soggetto sopracitato ha
accesso nell'espletamento della funzione che gli/le è propria, nelle classi e/o per gli incarichi che gli sono
stati affidati.
In ottemperanza al D.Lgs. 30 giugno 2003, n° 196, che regola il trattamento dei dati personali, laddove
costituisce trattamento “qualunque operazione o complesso di operazioni svolte con o senza l'ausilio di mezzi
elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la
conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distribuzione dei dati”, ed in
relazione al presente atto di nomina, è incaricato a trattare i dati personali (tutti quei dati idonei ad
identificare direttamente o indirettamente una persona fisica o giuridica) attenendosi alle seguenti modalità:
1) in modo lecito e secondo correttezza;
2) raccogliendoli e registrandoli per gli scopi inerenti l'attività svolta;
3) verificando, ove possibile, che siano esatti e, se necessario, aggiornarli;
4) verificando che siano pertinenti, completi e non eccedenti le finalità per le quali sono stati raccolti o
successivamente trattati, secondo le indicazioni ricevute dal responsabile/titolare;
5) rispettando, nella conservazione, le misure di sicurezza predisposte nell’istituzione scolastica; in ogni
operazione di trattamento andrà garantita la massima riservatezza.
6) nel trattamento dei documenti (documentazione didattica contenente dati personali), effettuando le
seguenti operazioni:
a) non far uscire documenti dalla sede scolastica, neanche temporaneamente;
b) non fare copie della documentazione salvo autorizzazione del responsabile/titolare;
c) durante il trattamento mantenere i documenti contenenti dati personali non alla portata di vista di
terzi;
d) al termine del trattamento costudire i documenti all’interno di archivi muniti di serratura;
e) in caso di allontanamento anche temporaneo dal posto di lavoro, o comunque dal luogo dove
vengono trattati i dati l'incaricato dovrà verificare che non vi sia possibilità da parte di terzi, anche
se dipendenti non incaricati, di accedere a dati personali per i quali era in corso un qualunque tipo
di trattamento.
7) nessun dato potrà essere comunicato a terzi o diffuso senza la preventiva specifica autorizzazione del
titolare o responsabile;
8) le comunicazioni agli interessati (genitiori o chi ne fa le veci) dovranno avvenire in forma riservata, se
effettuate per scritto dovranno essere consegnate in contenitori chiusi;
9) all’atto della consegna di documenti l’incaricato dovra assicurasi dell’identità dell’interessato o di chi è
stato delegato al ritiro del documento in forma scritta.
10) nella gestione di documenti correlati con la funzione docente contenenti dati personali realizzata con
strumenti informatici assumere i seguenti comportamenti:
a) non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento;
b) accertarsi che sulla apparecchiatura informatica messa a disposizione dalla Istituzione, utilizzata per
il trattamento, non restino memorizzati dati personali;
31
c) attivare per la memorizzazione dei dati su supporti rimovibili idonei strumenti di protezione (sistemi
di criptazione o password);
d) custodire in modo adeguato i supporti rimovibili sui quali sono memorizzati dati personali;
e) assicurarsi nel caso di dismissione (destinazione ad altro uso o cessione) dei supporti di
memorizzazione che gli stessi non contengano dati personali.
Data ……….…….
Il Titolare
32
ATTO DI NOMINA INCARICATO DEL TRATTAMENTO DATI
personale ATA
del
atto
NOMINA
INCARICATO DEL TRATTAMENTO
il/la Sig./a ………………………………………………………….…………………………………………………. nella sua qualità di
……..….<assistente amministrativo> <collaboratore scolastico>……………..
Tale nomina è in relazione alle operazioni di elaborazione di dati personali ai quali il soggetto sopracitato ha
accesso nell'espletamento della funzione che le/gli è propria.
costituisce trattamento “qualunque operazione o complesso di operazioni svolte con o senza l'ausilio di mezzi
elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la
l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distribuzione dei dati”, ed in
relazione al presente atto di nomina, è incaricato a trattare i dati personali (tutti quei dati idonei ad
identificare direttamente o indirettamente una persona fisica o giuridica) attenendosi alle seguenti modalità:
1.
2.
3.
4.
In modo lecito e secondo correttezza;
Raccogliendoli e registrandoli per gli scopi inerenti l'attività svolta;
Verificando, ove possibile, che siano esatti e, se necessario, aggiornarli;
Verificando che siano pertinenti, completi e non eccedenti le finalità per le quali sono stati raccolti o
successivamente trattati, secondo le indicazioni ricevute dal titolare;
5. Rispettando, nella conservazione, le misure di sicurezza predisposte nell’istituzione scolastica. In ogni
operazione di trattamento andrà garantita la massima riservatezza.
6. All'atto del ricevimento dei documenti (dati), effettuando le seguenti operazioni:
a) non esporre i documenti (dati) a terzi;
b) procedere allo smistamento dei documenti in base alla tipologia degli stessi, non mettere in
contatto i documenti di un interessato con quelli di un altro
c) costudire i documenti all’interno di contenitori riferiti all’interessato;
d) chiudere a chiave in apposito archivio i contenitori riferiti a dati sensibili;
e) nel caso in cui il soggetto interessato volesse consegnare dei dati in modo verbale, invitarlo a
deporli in sede separata dove lo stesso incaricato procederà a verbalizzare quanto comunicato;
7. Mantenere la rubrica telefonica, eventuali comunicazioni, documenti non alla portata di vista di chiunque
abbia accesso all’ufficio.
8. All'atto del ricevimento dei documenti (dati) via fax, operando come segue:
a) il fax deve essere situato in luogo non accessibile a soggetti diversi dagli incaricati;
b) inserire senza indugio il documento ricevuto in un contenitore riferito all’interessato e provvedere
all'inoltro a chi di competenza;
c) verificare il documento nella sua leggibilità e se è il caso richiederne un rinvio.
9.
All'atto del ricevimento della posta, operando come segue:
a)
b)
c)
d)
ritirare la posta personalmente e in via esclusiva;
lasciare le buste sigillate;
smistare la corrispondenza e trasmetterla a chi di competenza;
la corrispondenza non deve restare in vista di terzi;
10. All’atto della consegna di documenti agli interessati, operando come segue:.
a) assicurarsi che il documento sia posto in un contenitore chiuso
b) assicurasi dell’identità dell’interessato o di chi è stato delegato al ritiro del documento in firma
scritta.
33
11. Alla luce di quanto sopra, in caso di allontanamento anche temporaneo dal posto di lavoro, l'incaricato
dovrà verificare che non vi sia possibilità da parte di terzi, anche se dipendenti non incaricati, di
accedere a dati personali per i quali era in corso un qualunque tipo di trattamento, sia esso cartaceo che
automatizzato.
12. Nessun dato potrà essere comunicato a terzi o diffuso senza la preventiva specifica autorizzazione del
titolare o responsabile.
13. I supporti cartacei contenenti dati personali riferiti agli interessati non necessari alle operazioni di
trattamento (minute, appunti, telefax parzialmente illeggibili, etc) devono essere immediatamente
distrutti.
14. Nella gestione delle chiavi assumere i seguenti comportamenti:
a) conservare custodire con diligenza le chiavi affidate dal responsabile;
b) avvertire tempestivamente il titolare in caso di smarrimento o malfunzionamento delle chiavi;
c) non fare copie delle chiavi affidate;
15.Nell’uso degli strumenti informatizzati per il trattamento assumere i seguenti comportamenti:
a) rispettare le indicazioni impartite dall’amministratore di sistema;
b) non installare programmi dimostrativi o non certificati;
c) non disinstallare programmi o eliminare file necessari al corretto uso e/o funzionamento della
macchina;
d) non modificare lo stato della macchina (hardware) di lavoro aggiungendo o eliminando
periferiche;
e) non rimuovere o rendere nulli i dispositivi di protezione installati sulla macchina: antivirus,
password, ecc;
f) rispettare la segretezza delle credenziali di autenticazione e delle password, modificare la
password almeno una volta ogni 6 mesi, ogni tre mesi in caso del trattamento di dati sensibili e
giudiziari;
g) non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di
trattamento;
h) custodire i supporti rimovibili (CD, floppy etc) su cui sono memorizzati dati sensibili e giudiziari in
idonei contenitori provvisti di serratura;
i) quando non più utilizzati i supporti rimovibili di cui al punto precedente devono essere distrutti o
resi inintelligibili;
j) operare in modo da garantire l’integrità e la disponibilità dei dati personali;
k) provvedere al regolare svolgimento dei backup (salvataggio periodico dei dati), ove disposto, e
secondo le norme prescritte dall’incaricato con funzioni di amministratore di sistema;
l) limitare lo scambio di posta elettronica alle necessità dell’ufficio assumendo regole di buona
condotta e atteggiamento consapevole nell’uso della posta elettronica;
m) non effettuare la navigazione in Internet in siti controversi.
16. L’accesso agli archivi contenenti dati sensibili e giudiziari è autorizzato esclusivamente per l’espletamento
della funzione che gli è propria, salvo casi particolari per i quali è necessaria specifica autorizzazione da parte
del responsabile competente.
Data ……….…….
Il Responsabile
34
ATTO DI NOMINA DELL’INCARICATO
CON FUNZIONI AMMINISTRATORE DI SISTEMA
del
atto
NOMINA INCARICATO
CON FUNZIONI AMMINISTRATORE DI SISTEMA
il Sig. …………………………………………………….. in qualità di …………………………………….
Tale nomina è in relazione alla gestione del sistema informatizzato degli uffici amministrativi della
istituzione scolastica, secondo quanto disposto dal Disciplinare tecnico in materia di misure
minime di sicurezza, allegato B al D.Lgs 196/2003, che dovrà essere esplicata attenendosi alle
seguenti modalità generali:
-
operando alle dipendenze del Titolare del trattamento dei dati ed eseguendo puntualmente
le istruzioni dallo stesso impartite;
rispettando durante le attività svolte le misure di sicurezza previste dalla legge e specificate
nel Documento programmatico sulla sicurezza;
garantendo la massima riservatezza nel trattamento dei dati;
informando tempestivamente il responsabile di anomalie nel funzionamento del sistema
informatico che possano pregiudicare il corretto trattamento dei dati.
Nello specifico la nomina riguarda i seguenti ambiti di attività:
1. gestione procedura salvataggio dei dati;
2. aggiornamento software gestionale ministeriale;
3. installazione e disinstallazione hardware e software sui pc client;
4. gestione del sistema operativo;
5. aggiornamento antivirus;
6. gestione delle credenziali di autenticazione;
7. manutenzione rete;
Le norme di comportamento dell’incaricato con funzioni di amministratore di sistema di esplicano:
-
Data
nel rispetto dei requisiti di diligenza professionale, richiesti dall'articolo 2050 del Codice
Civile;
nell’adeguamento preventivo ai contenuti espressi dal Titolo V Sicurezza dei dati e dei
sistemi del D.Lgs 196/2003;
nell’adozione di misure minime di cui all’allegato B al D.Lgs 196/2003, secondo quanto
specificato nel Documento programmatico sulla sicurezza.
……..
Il Titolare
35
ATTO DI NOMINA DEL RESPONSABILE ESTERNO
Articolo 29 decreto legislativo 30 giugno 2003, n° 196
Il/la sottoscritt ……………………………………………………………………………
dirigente scolastico
del
……………………………..………………...…………… di ………………..…………….., in qualità di “titolare del trattamento
dei dati personali” da esso operato, ai sensi e per gli effetti del D.Lgs. 30 giugno 2003, n° 196, con il
presente atto
NOMINA
la società/ditta …………………….….<nome & ragione sociale>………………….. legalmente rappresentata
dal/dalla Sig. …………………………………………………………..……………………………….
Tale nomina è in relazione alle operazioni di ……………………………….<elaborazione di dati personali>,
<manutenzione>, <pulizie> …………………………………..ai quali il soggetto sopracitato ha accesso
nell'espletamento delle attività previste dal ……………….……….. <contratto/convenzione estremi atto>
…………………………….…….fra lo stesso e questa istituzione scolastica.
costituisce trattamento “qualunque operazione o complesso di operazioni svolte con o senza l'ausilio di
mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la
l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distribuzione dei dati”, ed
in relazione al presente atto di nomina la società/ditta …………………………<nome & ragione
sociale>……………………….……
nell'espletamento
delle
attività
previste
dal
……..…………
<contratto/convenzione …… di cui sopra ha il potere di compiere tutto quanto necessario per il rispetto
delle vigenti disposizioni. In particolare dovrà:
1.
2.
3.
4.
rispettare le misure di sicurezza previste dalla legge e predisposte dalla Istituzione scolastica;
individuare gli incaricati, dando loro istruzioni scritte;
informare prontamente il Titolare di ogni questione rilevante ai fini della legge;
predisporre un rapporto scritto in merito agli adempimenti eseguiti ai fini della legge ed alle
conseguenti risultanze con cadenza annuale o alla fine dell’attività
5. ……….<eventuali altre specifiche particolari>…………..
Data …………………
Il Titolare
36
ATTO DI NOMINA DEL RESPONSABILE ESTERNO SOCIETÀ INFORMATICA
- articolo 29 decreto legislativo 30 giugno 2003, n° 196 Il/la sottoscritt ……………………………………………………………………………
dirigente scolastico
del
……………………………..………………...…………… di ………………..…………….., in qualità di “titolare del trattamento
dei dati personali” da esso operato, ai sensi e per gli effetti del D.Lgs. 30 giugno 2003, n° 196, con il
presente atto
NOMINA
la società/ditta …<nome
…………………………………………
&
ragione
sociale>...
legalmente
rappresentata
dal/dalla
Sig.
Tale nomina è in relazione alle operazioni alle quali il soggetto sopracitato ha accesso nell'espletamento
delle attività previste dal …<contratto/convenzione, estremi atto>.
In ottemperanza quanto disposto dal D.Lgs. 30 giugno 2003, n° 196, che regola il trattamento dei dati
personali, laddove costituisce trattamento “qualunque operazione o complesso di operazioni svolte con o
senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione,
l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto,
l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distribuzione dei
dati”,
Alla luce di quanto disposto dal provvedimento generale del Garante per la protezione dei dati personali
del 27 novemvre 2008 riguardante le attribuzioni delle funzioni di amministratore di sistema.
In relazione al presente atto di nomina la società/ditta …<nome & ragione sociale>… nell'espletamento
delle attività previste dal …<contratto/convenzione estremi atto>… ha il potere di compiere tutto quanto
necessario per il rispetto delle vigenti disposizioni.
In particolare dovrà:
1. rispettare le misure di sicurezza previste dalla legge e disposte dalla istituzione nel Documento
Programmatico per la Sicurezza dei dati;
2. individuare gli incaricati, dando loro istruzioni scritte;
3. informare prontamente il Titolare di ogni questione rilevante ai fini della legge;
4. predisporre un rapporto scritto in merito agli adempimenti eseguiti ai fini della legge ed alle
conseguenti risultanze con cadenza annuale o alla fine dell’attività;
5. fornire al Titolare gli estremi identificativi delle persone fisiche preposte ad operare sul sistema
informatico di questa istituzione, per provvedere ai servizi previsti dal …<contratto/convenzione
estremi atto>…
6. …<eventuali altre specifiche particolari>…
Data …………………
Il Titolare
37
ALLEGATO B
ISTITUTO STATALE ISTRUZIONE “G. da Verrazzano”
PORTO S. STEFANO
TRATTAMENTO CON STRUMENTI ELETTRONICI
LISTA DEGLI INCARICATI
D.L.GS 196/2003 ALLEGATO B – PUNTO 15
LISTA REDATTA IN DATA Marzo 2011
N°
NOMINATIVO
QUALIFICA
PROFILO DI AUTORIZZAZIONE
DSGA
Responsabile Trattamento
1
MAZZOCCHI Clara
2
FANCIULLI Antonella
Ass. Amm.
Incaricato
3
LI VIGNI Giordana
Ass. Amm.
Incaricato
4
LOFFREDO Luigina
Ass. Amm.
Incaricato
5
MENNELLA Anna
Ass. Amm.
Incaricato
6
MIATTO Alida
Ass. Amm.
Incaricato
7
TOSI Francesca
Ass. Amm.
Incaricato
8
ALESSANDRI Patrizia
Docente
Incaricato
9
ATTANASIO Susanna
Docente
Incaricato
10 BARBIERI Ettore
Docente
Incaricato
11 BIAGI Lucia
Docente
Incaricato
12 BONINSEGNI Maria
Docente
Incaricato
13 BORSELLI Claudia
Docente
Incaricato
14 BOTTIGLIERI Silvia
Docente
Incaricato
15 BRYK Genowefa
Docente
Incaricato
16 CATOCCI Elena
Docente
Incaricato
17 CECCHERINI Grazia
Docente
Incaricato
18 CHELLI Mirella
Docente
Incaricato
19 COSTANZO Antonella
Docente
Incaricato
20 COSTANZO Enzo
Docente
Incaricato
21 DOMINICI Franco
Docente
Incaricato
22 DONGIACOMO Francesco
Docente
Incaricato
23 FALZARANO Lorenzo
Docente
Incaricato
24 FANCIULLI Michela
Docente
Incaricato
24 FELLECA Bruno
Docente
Incaricato
26 FERRARI Luciana
Docente
Incaricato
27 GELLI Ombretta
Docente
Incaricato
NOTE
(modifiche, cessazione,
altro)
38
28 GIOMI Francesca
Docente
Incaricato
29 GIULIANI Graziano
Docente
Incaricato
30 GRAZIANI Cynthia
Docente
Incaricato
31 GROPPI Daniela
Docente
Incaricato
32 GUASTI Enzo
Docente
Incaricato
33 LAZZERI Lucia
Docente
Incaricato
34 MARANGONI Laura
Docente
Incaricato
35 MELANI Cecilia
Docente
Incaricato
36 MENGONI Gian Luca
Docente
Incaricato
37 MINACCI Antonella
Docente
Incaricato
38 MINUTOLO Patrizia
Docente
Incaricato
39 MONTELLA Rita
Docente
Incaricato
40 MONTEMAGGI Cristiana
Docente
Incaricato
41 PACINI Gianna
Docente
Incaricato
42 PACINI Rita
Docente
Incaricato
43 PETITTI Antonio
Docente
Incaricato
44 PIETRANTOZZI Rosanna
Docente
Incaricato
45 PROFILI Lucia
Docente
Incaricato
46 RECCI Giuseppe
Docente
Incaricato
47 RINALDI POLI Stefania
Docente
Incaricato
48 ROMANIN Rossana
Docente
Incaricato
49 SANTO Gianfranco
Docente
Incaricato
50 SCHIBECI Gilda
Docente
Incaricato
51 SERIO Paola
Docente
Incaricato
52 SERPICO Lucia
Docente
Incaricato
53 STROCCHIA Ines
Docente
Incaricato
54 TEDESCHI Daniela
Docente
Incaricato
55 TESTA Elisabetta
Docente
Incaricato
56 URTIS Daniela
Docente
Incaricato
57 VASELLINI Aristide
Docente
Incaricato
58 VENEZIALE Giuseppina
Docente
Incaricato
59 VONGHER Carla
Docente
Incaricato
60 ZAZZA Massimo
Docente
Incaricato
Il Responsabile
39
ALLEGATO C
PORTO S. STEFANO
TRATTAMENTO SENZA STRUMENTI ELETTRONICI
LISTA DEGLI INCARICATI
D.L.GS 196/2003 ALLEGATO B – PUNTO 15
N°
NOMINATIVO
QUALIFICA
1
ANGELI Maria
Coll. Scol.
Incaricato
2
BALLERINI Claudio
Coll. Scol
Incaricato
3
CLEMENTONI Angela
Coll. Scol
Incaricato
4
CLEMENTONI Francesca
Coll. Scol
Incaricato
5
GALATOLO Carlo
Ass. Tec.
Incaricato
6
GRIFONI Paola
Coll. Scol
Incaricato
7
NOVEMBRI Grazia
Coll. Scol
Incaricato
8
SCHIANO Enza
Ass. Tec.
Incaricato
9
SCOTTO Biagio
Ass. Tec.
Incaricato
Coll. Scol
Incaricato
10 VICHI Fabio
NOTE
altro)
Il Responsabile
40
ALLEGATO D
PORTO S. STEFANO
LISTA DEGLI INCARICATI IN QUALITÀ
DI AMMINISTRATORI DI SISTEMA (INTERNI)
D.L.GS 196/2003 - Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008
N°
NOMINATIVO
QUALIFICA
1
SOLARI Dino
Ass. Tec.
Amministratore di Sistema
NOTE
altro)
Il Titolare
ALLEGATO E
PORTO S. STEFANO
LISTA DEGLI INCARICATI IN QUALITÀ
DI AMMINISTRATORI DI SISTEMA (ESTERNI)
D.L.GS 196/2003 - Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008
LISTA REDATTA IN DATA ___________
N°
NOMINATIVO
QUALIFICA
NOTE
altro)
Il Titolare
41

Dps 2011 - ISIS `R. Del Rosso

Transcript

Documenti analoghi

Luogo e data, Preg.mo/a Sig / Sig.ra Il / La

lenza alessandro - Agenzia delle Entrate

Nomina custode parole chiave

atto di notorieta epoca abusi

Nomina Organi Collegiali 2015-2018

Grado Posti Preferiti Cena EU Cena Cravatta nera 4-notti in

DETERMINAZIONE DELL`AMMINISTRATORE UNICO N. 44 DEL 30

Curriculum Vitae - FOR.PSI.COM. Uniba

CONSIGLIO DELL`ORDINE DEGLI AVVOCATI DI FROSINONE

ALLEGATO B NOMINA DELL`INCARICATO AL TRATTAMENTO DEI