“ L E O P O L D O P I R E L L I ”

Transcript

MINISTERO DELL’ISTRUZIONE, DELL’UNIVERSITÀ E DELLA RICERCA
UFFICIO SCOLASTICO REGIONALE PER IL LAZIO
ISTITUTO DI ISTRUZIONE SUPERIORE
“ L E O P O L D O
P I R E L L I ”
via Rocca di Papa N.113 00179 - Roma TEL 06/78398459 FAX 06/7840071
PEC: [email protected] [email protected] www.leopoldopirelli.it
Prot. 2031/C3 ROMA, 24/03/2011 DOCUMENTO PROGRAMMATICO PER LA SICUREZZA D.Lgs.30 giugno 2003, n.196 (Artt.34 e 35 e allegato B) (Recepisce le indicazioni del Garante della Privacy, contenute nella Guida Operativa per redigere il Documento Programmatico sulla sicurezza del 11 giugno 2004) Il Dirigente dell’Istituzione Scolastica Istituto di Istruzione Superiore “Leopoldo Pirelli” prof.ssa Flavia De Vincenzi 1
Responsabile della compilazione: Stefania Negri MINISTERO DELL’ISTRUZIONE, DELL’UNIVERSITÀ E DELLA RICERCA
“ L E O P O L D O
P I R E L L I ”
Visto il decreto legislativo 30 giugno 2003, n.196 recante il Codice in materia di protezione di dati personali, e segnatamente gli artt. 34 ss., nonché l’allegato B del suddetto d.lgs., contenente il Disciplinare tecnico in materia di misure minime di sicurezza. Considerato che l’Istituzione Scolastica Istituto di Istruzione Superiore “Leopoldo Pirelli” , con sede in Via Rocca di Papa n.113, Roma cap 00179 , in quanto dotata di un autonomo potere decisionale, ai sensi dell’art.28 del d.lgs. n. 196 del 2003, deve ritenersi titolare del trattamento di dati personali; Atteso che la suddetta Istituzione scolastica è tenuta a prevedere ed applicare le misure minime di sicurezza di cui agli artt. 31 e ss. del d.lgs. n.196 del 2003 adotta il presente DOCUMENTO PROGRAMMATICO DELLA SICUREZZA L’Istituzione scolastica, per l’espletamento della funzione didattica e formativa, raccoglie e tratta dati personali dei soggetti coinvolti nell’offerta formativa ovvero dei destinatari della stessa, anche con l’ausilio di soggetti esterni, ai sensi del punto 19 dell’Allegato “B”, talché si precisano i seguenti elementi: 1. Elenco dei trattamenti di dati personali; 2. Elenco dei dati personali di natura comune, sensibile o giudiziaria 3. Distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; 4. Ambito dei trattamenti. 5. Analisi dei rischi incombenti sui dati; 6. Misure adottate per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; 7. Criteri e modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento; 8. Programma degli interventi formativi degli incaricati del trattamento; 9. Atti e documenti non in formato elettronico , archivi cartacei; 10. Sistema di autorizzazione; 11. Obbligo di aggiornamento periodico del DPS. 1. ELENCO DEI TRATTAMENTI DI DATI PERSONALI. Finalità: Al fine di perseguire le finalità istituzionali, l’Istituzione scolastica tratta dati personali (sia comuni che sensibili o giudiziari) di studenti, personale dipendente, fornitori. I trattamenti sono effettuati, anche mediante strumenti elettronici, per le seguenti finalità: Responsabile della compilazione: Stefania Negri 2
“ L E O P O L D O
P I R E L L I ”
adempimento agli obblighi di fonte legislativa, nazionale o comunitaria, regolamentare o derivante da atti amministrativi; somministrazione dei servizi formativi; gestione e formazione del personale, nelle sue varie componenti (docente e non docente, in ruolo presso altri apparati pubblici); adempimenti assicurativi; tenuta della contabilità; gestione delle attività informative curate ai sensi della legge 7 giugno 2000, n.150 contenente la “Disciplina delle attività di informazione e di comunicazione delle pubbliche amministrazioni”; attività strumentali alle precedenti. Fonte dei dati: I dati trattati sono conservati su supporti informatici e/o cartacei e sono noti all’istituzione scolastica, in ragione della produzione: di atti e/o dichiarazioni provenienti da soggetti interessati a fruire direttamente, o a beneficio dei minori sottoposti alla potestà ex art.316 c.c., dei servizi formativi; documenti contabili connessi alla fornitura di prestazioni e/o di servizi e/o di lavori; documentazione bancaria, finanziaria e/o assicurativa; documenti inerenti il rapporto di lavoro, finalizzati anche agli adempimenti retributivi e/o previdenziali. 2. ELENCO DEI DATI PERSONALI DI NATURA COMUNE O SENSIBILE. Sulla scorta delle precisazioni sopra elencate, l’istituzione scolastica, sulla base di una attenta ricognizione, dichiara, con riferimento ai destinatari o famigliari dei destinatari dell’offerta formativa ovvero del personale coinvolto, a qualunque titolo, nella medesima, o interessato ad essere coinvolto, ovvero di soggetti, a qualsiasi titolo, coinvolti in rapporti negoziali con l’istituzione scolastica, o aspiranti ad assumere tale ruolo, di trattare i dati di seguito elencati: . 3. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ NELL'AMBITO DELLE STRUTTURE PREPOSTE AL TRATTAMENTO DEI DATI. Responsabile della compilazione: Stefania Negri 3
“ L E O P O L D O
P I R E L L I ”
L’ente titolare del trattamento dei dati ha designato, mediante autonomo provvedimento (allegato al presente Documento) quale Responsabile ai sensi dell’art.29 del d.lgs. n.196 del 2003 la Rag. Maura Drago nata a Bivongi (RC) l’ 8.10.1948 preposta alle funzioni di Responsabile del Trattamento dei dati in considerazione della esperienza, capacità ed affidabilità espressa dalla medesima, tale da offrire idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento. Il suddetto Responsabile del trattamento ha ricevuto adeguate istruzioni riguardo: a) all’individuazione ed adozione delle misure di sicurezza da applicare nell’ambito dell’istituzione scolastica, al fine di salvaguardare la riservatezza, l’integrità, la completezza e la disponibilità dei dati trattati; b) all’esigenza di provvedere, mediante atto scritto, all’individuazione delle unità legittimate al trattamento, per mezzo dei singoli preposti, ovvero di singoli incaricati, ai sensi dell’art.30 del d.lgs. n.196 del 2003, deputati ad operare sotto la diretta autorità del responsabile, attenendosi alle istruzioni impartite, fermo restando l’obbligo gravante sul responsabile, di vigilare sul rispetto delle misure di sicurezza adottate. c) all’esigenza di verificare che gli obblighi di informativa siano stati assolti correttamente, ovvero che sia stato conseguito il consenso degli interessati; d) all’obbligo di collaborare con il titolare nell’adempiere alle richieste avanzate dal Garante per la protezione dei dati personali ovvero alle autorità investite dei poteri di controllo; e) all’attribuzione della competenza ad elaborare e sottoscrivere notificazioni al Garante per la protezione dei dati personali; f) all’obbligo di osservare e far osservare il divieto di comunicazione e diffusione dei dati personali comunque trattati da parte dell’istituzione scolastica; g) all’obbligo, ovvero a proporre soluzioni organizzative che consentano un ampliamento dei livelli di sicurezza Il Responsabile del trattamento, ai sensi dell’art. 30 del d.lgs. n.196 del 2003 e delle indicazioni rappresentante sub b), ha provveduto ad individuare (mediante atti formali) gli incaricati, autorizzandoli al trattamento dei dati in possesso dell’istituzione scolastica, esclusivamente con riferimento all’espletamento delle funzioni istituzionali ad essi rispettivamente assegnate. Tali incaricati, in particolare, sono stati formalmente edotti in merito alla circostanza che: a) il trattamento e la conservazione dei dati deve avvenire esclusivamente in modo lecito e proporzionato alle funzioni istituzionali, nel rispetto della riservatezza; b) la raccolta, registrazione ed elaborazione dei dati, mediante strumento informatico o cartaceo, deve essere limitata alle finalità istituzionali; c) integra onere dell’incaricato la correzione od aggiornamento dei dati posseduti, l’esame della loro pertinenza rispetto alle funzioni d) integra inosservanza delle istruzioni la comunicazione, effettuata in qualsiasi maniera dei dati in possesso, con eccezion del caso che il destinatario sia l’interessato alle stesse, ovvero altri soggetti legittimati ad ricevere dette comunicazioni. L’ambito dei trattamenti autorizzati ai singoli incaricati è suscettibile di aggiornamento periodico. 4
“ L E O P O L D O
P I R E L L I ”
A tutti gli incaricati destinati al trattamento di dati mediante strumento elettronico, sono state conferite credenziali di autenticazioni (art.34, comma 1, lett.b) mediante parola chiave, conformi alle caratteristiche indicate nell’allegato B. Con atto allegato al presente documento è stato designato l’incaricato della custodia delle copie di credenziali di autenticazione nonché della funzione di verifica del loro aggiornamento periodico ovvero della corretta utilizzazione. Le suddette credenziali sono disattivate automaticamente dal gestore della rete periodicamente, ovvero in tutti i casi di mancata utilizzazione per almeno 6 mesi. Al fine di meglio precisare la suddetta ripartizione delle funzioni si rinvia alla tabella seguente : Tabella 1 Strutture preposte ai trattamenti e riparto delle responsabilità Struttura Responsabile Incaricato Trattamenti operati dalla struttura Compiti della struttura
Dirigente scolastico Protocollo D.S.G.A. rag. Maura Drago Mancini Antonella Vedi incarico trattamento dati allegato alla presente con Prot. N° 8426 del 30/11/2010 Burchini Francesca Mancini Nasigli Rita Spezia Clara Pipolo Maria Pina Vedi incarico trattamento dati allegato alla presente con Prot. N° 8426 del 30/11/2010 Vedi incarico trattamento dati allegato alla presente con Prot. N° 8426 del 30/11/2010 Ufficio personale D.S.G.A. rag. Maura Drago Amministrazione D.S.G.A. rag. Maura Drago Responsabile della compilazione: Stefania Negri Acquisizione e caricamento dei dati, consultazione, stampa, comunicazione a terzi, manutenzione tecnica dei programmi utilizzati nel trattamento, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.) Come sopra Come sopra 5
“ L E O P O L D O
P I R E L L I ”
Servizi inerenti l’offerta formativa Biblioteca Servizi strumentali, concernenti l’assistenza e la manutenzione degli strumenti elettronici (elaboratori e programmi) Collaborazioni coordinate e continuative D.S.G.A. rag. Maura Drago D.S.G.A. rag. Drago Maura D.S.G.A. rag. Maura Drago Clementi Amalia Procaccini Emanuela Canatalamessa Maria Rosaria Splendori Luigi Di Simio Giovanni (Amministratore di sistema) Capoccia Marco Bellin Fabrizio Vedi incarico trattamento dati allegato alla presente con Prot. N° 8426 del 30/11/2010 Come sopra Vedi incarico trattamento dati allegato alla presente con Prot. N° 8426 del 30/11/2010 Trattamenti strumentali (interventi di carattere tecnico aventi ad oggetto gli strumenti elettronici, effettuati anche al di fuori dei locali di pertinenza dei singoli istituti scolastici) Aggiornamento SISSI e AXIOS salvataggio dati Come sopra Dirigente Negri Stefania Scolastico prof.ssa Flavia De Vincenzi 1.
2.
3.
4.
5.
6.
7.
Gestione POF; Fondo d’Istituto docenti e A.T.A.; Contratto integrativo d’Istituto; Tenuta registro Conto corrente postale e prelevamento; Documento programmatico per la sicurezza Assegnazioni classi Archiviazione atti per quanto di competenza Come sopra Come sopra Collaborazioni coordinate e continuative D.S.G.A. rag. Maura Drago Turturro 1.
2.
3.
4.
5.
6.
Tenuta registro assenze degli Come sopra alunni SERALE con l’utilizzo del sistema AXIOS; Comunicazione alle famiglie; Rilascio certificati VARI; Richiesta e invio documenti; Servizio di sportello al pubblico; Archiviazione atti per quanto di competenza. 4. AMBITO DEI TRATTAMENTI. L’Istituto d’Istruzione Superiore di “Leopoldo Pirelli” consta di due sedi , una centrale sita in via di Rocca di Papa n.113 ed una succursale sita in via Assisi n.44. Tutti i dati , comunque rilevati e acquisiti sono trattati prevalentemente nei locali adibiti ad uffici di Segreteria e di Direzione ubicati nella sede di Via di Rocca di Papa n.113 , tranne che per l’ ”Archivio Storico”, il quale si trova ubicato nella sede di via Assisi n.44 . Essendo l’Istituto attuale costituito da due nuclei scolastici, originariamente indipendenti e poi accorpati nelle sede di via di Rocca di Papa, l’archivio storico comprende tutti gli atti dell’ex Istituto per geometri “E.De Nicola” e quelli del nuovo I.I.S. “Via Rocca di Papa 113” . Responsabile della compilazione: Stefania Negri 6
“ L E O P O L D O
P I R E L L I ”
L’Archivio Storico dell’ex Istituto Tecnico Commerciale “Carlo Levi” è situato negli scantinati di via Assisi n.44 di Roma. L’Archivio Storico di via Rocca di Papa è localizzato in un locale riservato e chiuso a chiave nell’ala didattica. Si prevede , nel corso dell’anno , un trasferimento nei locali ristrutturati di via rocca di papa, dei documenti relativi al personale transitato e degli atti contabili di cui è prevista la conservazione perenne. I locali adibiti ad archivio storico sono muniti di porta raid. L’ ubicazione è la seguente: archivio personale/protocollo al piano terra archivio 1 archivio didattica al piano terra archivio 2 archivio contabile al secondo piano ex aula 45 archivio dati presidenza al piano terra archivio 1 Attesa la dislocazione dell’istituzione scolastica , si precisano le modalità del trattamento dei dati nei vari uffici e sedi, mediante strumenti elettronici, secondo le modalità precisate nella tabella sottostante. Tabella 2 Elenco dei trattamenti: informazioni di base Struttura deputata al trattamento Natura dei dati trattati Struttura di riferimento Altre strutture (anche esterne) che concorrono al trattamento Assistente tecnico e funzione strumentale relativamente alle esigenze di manutenzione e/o riparazione dei p.c interni e/o del server Descrizione degli strumenti utilizzati Dirigente scolastico Segreteria Sensibili X Giudizia‐ri X Presidenza e segreteria Ufficio personale X Servizi amministrativi X Servizi inerenti l’offerta formativa Servizi strumentali agli organi collegiali X X Solo Pc interno o Pc interno più server interno oppure Pc interno + server esterno Il trattamento dei dati avviene attraverso modalità diverse: strumenti elettronici, interni (P.C.) ovvero collegati in rete fra loro, e/o mediante collegamenti alla rete intranet e all’AXIOS ( per alcune funzioni ) e SIDI, e/o alla rete internet. Con riferimento alla gestione dei dati mediante rete ministeriale e SISSI e/o AXIOS, ARGOS ( per il protocollo ) e SIDI, l’Istituzione scolastica declina ogni responsabilità, operando come semplice utente, non essendo in grado di intervenire sulla gestione delle informazioni ivi contenute e gestite. Con riferimento all’ubicazione fisica dei supporti di memorizzazione delle copie di sicurezza, l’Istituzione scolastica, tenendo conto dell’analisi di cui al punto 5, ha ritenuto di provvedere alla custodia presso l’ufficio del Responsabile del Trattamento , riservando l’accesso a tali supporti al Rag. Maura Drago. La tabella seguente riassume il quadro dei trattamenti secondo modalità e tipologia, precisando l’ubicazione dei supporti di memorizzazione. Responsabile della compilazione: Stefania Negri 7
“ L E O P O L D O
P I R E L L I ”
Tabella 3 Elenco dei trattamenti: descrizione degli strumenti utilizzati Identificativo del trattamento Eventuale banche dati di supporto UBICAZIONE FISICA DEI SUPPORTI DI MEMORIZZAZIONE E DELLE COPIE DI SICUREZZA Segreteria Ruoli del personale in Nei locali dell’Istituzione Dirigente scolastico formato elettronico scolastica siti al Piano terra Salvataggio settimanale disco portatile custodito nell’armadio blindato e sul server stanza DSGA Ufficio personale Ruoli del personale in Come sopra formato elettronico; Archivio del personale (N.B. le tabelle realizzate con excel recano l’indicazione delle assenze per festività religiose non cattoliche e/o condanne penali, appartenenza di uno o più dipendenti a categorie protette con handicap, etc.) Archivi delle autorizzazioni rilasciate per l’occupazione dei posti auto Servizi Archivio delle imprese Come sopra amministrativi fornitrici di servizi e/o prestazioni. Archivio contenuto negli elaboratori sottoposti a revisione o manutenzione da parte di tecnici, incaricati degli interventi Servizi inerenti Destinatari Come sopra l’offerta formativa dell’offerta formativa Responsabile della compilazione: Stefania Negri Tipologia di dispositivi di Tipologia di accesso interconnessione Pc Rete locale e Internet Pc Rete locale e Internet Pc Rete locale e Internet Pc oppure Pc e server Rete locale e Internet 8
“ L E O P O L D O
P I R E L L I ”
con caratterizzazione religiosa, economica, sociale, sanitaria (cfr. Modello Excel e relativo “modello di previsione h”) Servizi strumentali agli organi collegiali Come sopra 5. ANALISI DEI RISCHI INCOMBENTI SUI DATI. L’Istituzione scolastica ha proceduto ad una ricognizione dei rischi che potrebbero comportare una distruzione, sottrazione, perdita, trattamento abusivo dei dati, di origine dolosa, colposa, ovvero meramente fortuito, in grado di recare pregiudizio ai dati personali trattati. Le fonti di rischio sono state accorpate in: 1) Comportamenti degli operatori. Sottrazione di credenziali di autenticazione; comportamenti imperiti, imprudenti o negligenti dei soggetti legittimati al trattamento dei dati; comportamenti dolosi dei soggetti legittimati; errori materiali. 2) Eventi relativi agli strumenti. Danno arrecato da virus informatici e/o da hacker, mediante interventi precedenti all’aggiornamento degli strumenti di contrasto attivati (software e firewall), spamming o tecniche di sabotaggio. Malfunzionamento, indisponibilità o usura fisica degli strumenti. Accessi abusivi negli strumenti elettronici. Intercettazione dei dati in occasione di trasmissione in rete. 3) Eventi relativi al contesto fisico‐ambientale. Distruzione o perdita di dati in conseguenza di eventi incontrollabili (terremoto) ovvero, seppur astrattamente preventivabili (incendi o allagamenti) di origine fortuita, dolosa o colposa, per i quali non è possibile apprestare cautele. Guasti a sistemi complementari, quale la mancata erogazione di energia elettrica per lunghi periodi di tempo, in grado di pregiudicare la climatizzazione dei locali. Furto o danneggiamento degli strumenti elettronici di trattamento dei dati, in orario diverso da quello di lavoro. Accesso non autorizzato da parte di terzi – interni o esterni all’istituzione scolastica – mediante uso abusivo di credenziali di autenticazione, in funzione di danneggiamento o sottrazione dei dati. Errori umani nell’attivazione degli strumenti di protezione. I suddetti rischi sono stati ripartiti in classi di gravità, tenendo conto della concreta possibilità di realizzazione presso l’istituzione scolastica, adottando la seguente scansione: A= alto B = basso EE = molto elevato M = medio MA = medio‐alto MB = medio‐basso La tabella seguente sintetizza i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutandone le possibili conseguenze e stimandone la gravità, ponendoli altresì in correlazione con le misure di sicurezza previste. Le password di accesso ai computer dovranno essere cambiate ogni tre mesi e consegnate in busta chiusa al titolare dei dati che provvederà a comunicarle anche al responsabile dei dati . Tali password verranno registrate su apposito registro custodito in armadio blindato sito in presidenza. 9
“ L E O P O L D O
P I R E L L I ”
Tabella 4 Analisi dei rischi Evento Impatto sulla sicurezza dei dati Descrizione comportamenti degli Furto di credenziali di operatori autenticazione Carenza di consapevolezza, disattenzione o incuria Comportamenti sleali o fraudolenti Errore materiale Eventi relativi agli strumenti Azione di virus informatici o di codici malefici Spamming o altre tecniche di sabotaggio Accesso altrui non autorizzato Dispersione, perdita e accesso altrui non autorizzato Dispersione, perdita e accesso altrui non autorizzato Dispersione, perdita e accesso altrui non autorizzato Perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori; Perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi Rif. misure di azione Gravità stimata M B Vigilanza sul rispetto delle istruzioni impartite Formazione e flusso continuo di informazione B Vigilanza sul rispetto delle istruzioni impartite B Vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione M Adozione di idonei dispositivi di protezione Salvataggio automatico M Adozione di idonei dispositivi di protezione Salvataggio automatico 10
“ L E O P O L D O
P I R E L L I ”
Eventi relativi al contesto Malfunzionamento, Perdita o MB indisponibilità o degrado alterazione, degli strumenti anche irreversibile, di dati, di programmi e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi Accessi esterni non Dispersione, MB autorizzati perdita o alterazione, anche irreversibile, di dati, nonché manomissione di programmi e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi Intercettazione di Dispersione di MB informazioni in rete dati; accesso altrui non autorizzato Accessi non autorizzati a Dispersione, MB locali/reparti ad accesso perdita o ristretto alterazione, anche irreversibile, di dati, nonché manomissione di programmi e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi Assistenza e manutenzione continua degli elaboratori e dei programmi; ricambio periodico Salvataggio automatico Adozione di idonei dispositivi di protezione Salvataggio automatico Adozione di idonei dispositivi di protezione Salvataggio automatico Protezione dei locali mediante serratura con distribuzione delle chiavi ai soli autorizzati Salvataggio automatico 11
“ L E O P O L D O
P I R E L L I ”
Asportazione e furto di strumenti contenenti dati Dispersione e B perdita di dati, di programmi e di elaboratori; accesso altrui non autorizzato Protezione dei locali e dei siti di ubicazione degli elaboratori e dei supporti di memorizzazione mediante serratura con distribuzione delle chiavi ai soli autorizzati Salvataggio automatico Eventi distruttivi, naturali Perdita di dati, B o artificiali, dolosi, dei programmi e accidentali o dovuti ad degli elaboratori incuria Attività di prevenzione, controllo, assistenza e manutenzione periodica,vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione Salvataggio automatico Guasto ai sistemi complementari (impianto elettrico, climatizzazione, etc.) Perdita o M alterazione, anche irreversibile, di dati, nonché manomissione dei programmi e degli elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi Attività di controllo, assistenza e manutenzione periodica Errori umani nella gestione della sicurezza fisica Perdita o MB alterazione, anche irreversibile, di dati, nonché manomissione dei programmi e degli elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi Vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione Salvataggio automatico Salvataggio automatico 12
“ L E O P O L D O
P I R E L L I ”
6. MISURE ADOTTATE PER GARANTIRE L'INTEGRITÀ E LA DISPONIBILITÀ DEI DATI, NONCHÈ LA PROTEZIONE DELLE AREE E DEI LOCALI, RILEVANTI AI FINI DELLA LORO CUSTODIA E ACCESSIBILITÀ. Sulla scorta della ricognizione dei rischi sopra rappresentata, l’istituzione scolastica ha provveduto ad apprestare e/o introdurre strumenti di tutela, ovvero a prevedere successive, e più incisive, misure di sicurezza. La tabella seguente sintetizza le misure di sicurezza in essere, corredate da indicazioni di dettaglio. Tabella 5 Le misure di sicurezza adottate o da adottare Misura Rischio contrastato Struttura interessatA Eventuale banca Misura già in dati interessata essere Preventiva, di contrasto, di contenimento degli effetti Dispersione, Protocollo perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi Periodicità e responsabilità dei controlli Relativo archivio Antivirus, Firewall Bimestrale; responsabile pro (ubicato nel tempore del servizio laboratorio 27) e credenziali di autenticazione Salvataggio settimanale Usb custodito nell’armadio del D.S.G.A. 13
“ L E O P O L D O
P I R E L L I ”
Preventiva, di contrasto, di contenimento degli effetti Preventiva, di contrasto, di contenimento degli effetti Preventiva, di contrasto, di contenimento degli effetti Antivirus, Firewall Bimestrale; responsabile pro e credenziali di tempore del servizio autenticazione e, per la parte di Salvataggio competenza, della settimanale USB ditta esterna custodito nell’armadio blindato del D.S.G.A. Dispersione, Ufficio personale perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi Relativo archivio
Dispersione, Amministrazione perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi Relativo archivio Antivirus, Firewall Bimestrale; responsabile pro e credenziali di tempore del servizio autenticazione Salvataggio settimanale USB custodito nell’armadio blindato del D.S.G.A. Dispersione, Servizi inerenti Relativo archivio Antivirus, Firewall Bimestrale; perdita o responsabile pro l’offerta formativa
e credenziali di alterazione, anche tempore del servizio autenticazione irreversibile, di Salvataggio dati, di programmi settimanale USB e di elaboratori; custodito accesso altrui non nell’armadio autorizzato; blindato del impossibilità D.S.G.A. temporanea di accesso ai dati e di utilizzo dei programmi 14
“ L E O P O L D O
P I R E L L I ”
Preventiva, di contrasto, di contenimento degli effetti Relativo archivio Antivirus, Firewall Bimestrale; responsabile pro e credenziali di tempore del servizio autenticazione Dispersione, Biblioteca perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi Salvataggio settimanale USB custodito nell’armadio blindato del D.S.G.A. 7. CRITERI E DELLE MODALITÀ PER IL RIPRISTINO DELLA DISPONIBILITÀ DEI DATI IN SEGUITO A DISTRUZIONE O DANNEGGIAMENTO Al fine di garantire l’integrità dei dati contro i rischi di distruzione o perdita, è stata definita una procedura di periodica esecuzione di copie di sicurezza dei dati trattati. Sono state acquisite licenze di uso per software , nonché sistemi di firewall con verifica di idoneità e costante aggiornamento. In ogni caso si osserva che l’istituzione scolastica dispone di un sistema di controllo degli accessi ai locali. I documenti sono anche conservati in copia cartacea presso locali dell’istituzione scolastica non accessibili ai terzi e dotati di adeguati strumenti di protezione ( armadi con serrature, stanze protette ). Sinteticamente è possibile rappresentare la seguente procedura di copia, verifica e ripristino dei dati per ogni p.c. o terminale di collegamento a server Tabella 6 Procedure di copia, verifica e ripristino per ogni singola unità contenente dati Struttura in possesso di p.c. o collegamento a server Applicativo Sistema operativo Supporti magnetici Procedura di copia Procedura di verifica Ripristino Segreteria Office Server Windows HARD Disk XP/ Windows 7 portatile Procedura di back‐up Windows XP server Procedura di back‐up Windows XP server Procedura di back‐up Windows XP server Windows 7 Windows 7 Windows 7 Dirigente scolastico Ufficio personale Come sopra Come sopra Come sopra Come sopra Come sopra Come sopra Servizi Come sopra Come sopra Come sopra Come sopra Come sopra Come sopra 15
“ L E O P O L D O
P I R E L L I ”
amministrativi Servizi inerenti l’offerta formativa Come sopra Come sopra Come sopra Come sopra Come sopra Come sopra Come sopra Come sopra Come sopra Come sopra Come sopra Come sopra Servizi strumentali agli organi collegiali Con riferimento invece al contenuto ed alle competenze in tema di copia, verifica e ripristino, le soluzioni organizzative adottate presso l’istituzione scolastica sono sintetizzate nella seguente tabella Tabella 7 Salvataggio dei dati Salvataggio Struttura Segreteria Dirigente scolastico Dati sensibili o giudiziari contenuti Criteri individuati per il salvataggio Ubicazione di conservazione delle copie Salvataggio dati periodico Locale sito al piano terra con serratura con chiavi distribuite fra i soli autorizzati Locale sito al piano terra con serratura con chiavi distribuite fra i soli autorizzati; Responsabile pro tempore del servizio Locale sito al piano terra con serratura con chiavi distribuite fra i soli autorizzati; Responsabile pro tempore del servizio Ufficio personale ‐ Stato di salute Salvataggio dati giornaliero. (dispense dal servizio, aspettative) ‐ adesione a sindacati ‐ origine razziale o etnica ‐ confessione religiosa Amministrazione ‐ dati giudiziari Salvataggio dati giornaliero inerenti imprese interessate ad attività negoziali Struttura operativa incaricata del salvataggio Responsabile pro tempore del servizio e, per la parte di competenza, della ditta esterna
16
“ L E O P O L D O
P I R E L L I ”
Servizi inerenti l’offerta formativa Servizi strumentali agli organi collegiali ‐ Stato di salute Salvataggio dati periodico. (dispense dal servizio, aspettative) ‐ adesione a sindacati ‐ origine razziale o etnica ‐ confessione religiosa ‐ Stato di salute Salvataggio dati periodico ‐ origine razziale o etnica ‐confessione religiosa Locale sito al piano terra con serratura con chiavi distribuite fra i soli autorizzati. Responsabile pro tempore del servizio Locale sito al piano terra con serratura con chiavi distribuite fra i soli autorizzati Responsabile pro tempore del servizio Con riferimento alle procedure di ripristino, l’Istituzione scolastica ha adottato le seguenti modalità Tabella 8 Ripristino dei dati Ripristino (in seguito a distruzione o danneggiamento) Data base/archivio Scheda operativa Pianificazione delle prove di ripristino Segreteria Dirigente scolastico Viene effettuato un back up dei dati trattati e dei documenti presenti sull’HD su diverse copie di supporti che vengono conservate in più locali con serratura, ma sempre all’interno della sede dell’istituzione scolastica Trimestrale da parte dell’amministratore di sistema . Al termine di ogni procedura gli assistenti amministrativi dovranno consegnare copia del lavoro effettuato salvato su supporto informatico al DSGA Ufficio personale Come sopra Come sopra Servizi amministrativi Come sopra Come sopra Servizi inerenti l’offerta formativa Come sopra Servizi strumentali agli organi collegiali Come sopra Come sopra , ma il supporto informatico dovrà essere consegnato al DS Come sopra 8. PROGRAMMA DEGLI INTERVENTI FORMATIVI DEGLI INCARICATI DEL TRATTAMENTO. L’istituzione scolastica intende aderire alle iniziative formative organizzate dalla direzione regionale del Ministero della Pubblica Istruzione, tenendo anche conto dell’economicità di un’azione organizzata su base regionale, rispetto ad una gestione in proprio delle attività formative. 17
“ L E O P O L D O
P I R E L L I ”
L’istituzione opera integrale rinvio alla programmazione della Direzione regionale, riservandosi comunque di agire in via suppletiva, qualora, per ragioni organizzative od economiche, non sia possibile far partecipare il proprio personale alle attività di formazione necessarie per adempiere alle prescrizioni ordinamentali. Tabella 9 Pianificazione degli interventi formativi Corso di formazione Descrizione sintetica (oggetto) dell’obiettivo formativo Classi di incarico interessate Numero di incaricati interessati L’adempimento dell’obbligo di aggiornamento del DPS Tutti i titolari di credenziali di autenticazione (codice identificativo e password riservata personale) Tutto il personale amministrativo. Quadro riepilogativo degli adempimenti e degli obblighi in materia di privacy (ivi incluse le misure di sicurezza per gli archivi cartacei) Porre in condizione il personale competente di adempiere alle funzioni a cui preposti Mantenimento del richiesto grado di conoscenza dell’intero impianto della normativa in materia di privacy, anche ai fini delle misure di sicurezza da adottare per gli archivi cartacei. Privacy e diritto di Fornire un quadro coordinato dei diritti (di accesso nelle istituzioni accesso e alla scolastiche riservatezza) riconosciuti all’utenza dalla vigente legislazione, in rapporto ai doveri gravanti sulle strutture scolastiche Esame della casistica Aggiornare il personale ricorrente sull’evoluzione nell’attività di dell’interpretazione della ufficio, alla luce normativa intervenuta delle sentenze del nel corso dell’anno giudice amministrativo e dei pronunciamenti del Garante Calendario Numero di incaricati già formati/da formare nel corso dell’anno Entro il 31.03.2012 Responsabili dei servizi e personale a diretto contatto con l’utenza Entro il 31.03.2012 Responsabili dei servizi e personale a diretto contatto con l’utenza Entro il 31.03.2012 Concordato con la direzione regionale Responsabile della compilazione: Stefania Negri 18
“ L E O P O L D O
P I R E L L I ”
9. ATTI E DOCUMENTI NON IN FORMATO ELETTRONICO, ARCHIVI CARTACEI I trattamenti di dati personali con strumenti diversi da quelli elettronici sono effettuati dagli incaricati seguendo le istruzioni ad essi impartite , finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. L'aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati ha carattere annuale. Gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti. I medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. L'accesso agli archivi contenenti dati sensibili o giudiziari è consentito solamente alle persone preventivamente autorizzate ( vedi allegati al presente documento ). 10. SISTEMA DI AUTORIZZAZIONE. Al momento, considerate le esigenze organizzative dell’ente, dovute all’intera riorganizzazione dei servizi , per il cui ordinario funzionamento è indispensabile assicurare una certa interscambiabilità funzionale degli incaricati, non è stato adottato un sistema definitivo di autorizzazione. 11.UTILIZZO DELLE STRUMENTAZIONI INFORMATICHE DELLA RETE INTERNET E DELLA POSTA ELETTRONICA Le modalità di accesso e di uso della Rete Informatica , telematica e dei servizi da parte del personale docente ed ATA e degli studenti sono contenute nel Regolamento di disciplina allegato al presente documento. 12. OBBLIGO DI AGGIORNAMENTO PERIODICO DEL DPS Il presente documento programmatico sulla sicurezza è sottoposto a revisione annuale nella sua interezza, entro la scadenza del 31 marzo di ciascun anno, come previsto dalla regola 19 del Disciplinare tecnico di cui all’allegato B) al D.Lgs. 196/03, in relazione al disposto dell’art. 34, lettera g) del decreto stesso. Il presente documento è aggiornato al 24 marzo 2011 IL TITOLARE DEL TRATTAMENTO Il Dirigente scolastico prof.ssa Flavia De Vincenzi DISCIPLINA INTERNA PER L’UTILIZZO DELLE STRUMENTAZIONI INFORMATICHE, DELLA RETE INTERNET E DELLA POSTA ELETTRONICA DA PARTE DEL PERSONALE DOCENTE E ATA E DEGLI STUDENTI. 19
“ L E O P O L D O
P I R E L L I ”
Premesso che compete al datore di lavoro: ‐assicurare la funzionalità delle strumentazioni informatiche in dotazione all’Istituto; ‐adottare idonee misure di sicurezza per garantire la disponibilità e l’integrità dei sistemi informativi e dei dati, nonché per prevenire utilizzi indebiti; ‐adottare limiti e cautele per evitare la registrazione e diffusione di fotografie e i filmati in tempo reale anche utilizzando i terminali di nuova generazione applicati alla telefonia mobile; ‐indicare in modo particolareggiato quali siano gli strumenti messi a disposizione le modalità di utilizzo nell’organizzazione dell’attività lavorativa e/o di studio degli strumenti messi a disposizione dei dipendenti e degli studenti ritenute corrette; ‐precisare in che misura e con quali modalità vengono effettuati i controlli; ‐tutelare i lavoratori interessati nel trattamento di dati per finalità di gestione del rapporto in ambito pubblico, adottando quelle misure che garantiscono un elevato standard di sicurezza e garanzia; ‐tener conto della normativa di informazione, concertazione e consultazione delle organizzazioni sindacali, sono stabilite le prescrizioni del presente disciplinare di seguito riportate che si aggiungono ed integrano le specifiche istruzioni già fornite a tutti gli incaricati del trattamento dati in attuazione del D.Lgs. 30 giugno 2003 n. 196 e del Disciplinare tecnico (Allegato B al citato decreto legislativo) e a cui devono attenersi tutti gli utilizzatori (personale e studenti, d’ora in poi definiti utenti) delle strumentazioni informatiche, della rete internet e della posta elettronica. Finalità: Il presente regolamento disciplina le modalità di accesso e di uso della Rete Informatica, telematica e dei servizi che, tramite la Rete stessa, è possibile ricevere o offrire e all’esterno dell’Istituto per dare il supporto informativo, documentario, alla ricerca, alla didattica, all’aggiornamento e alle attività collaborative tra scuole ed enti, nonché per tutti gli adempimenti amministrativi di legge. Ambito di applicazione: La rete dell’Istituto d’Istruzione Superiore LEOPOLDO PIRELLI è costituita dall’insieme delle Risorse informatiche, cioè: ‐dalle componenti hardware/software e dagli apparati elettronici collegati alla Rete Informatica dell’Istituto; ‐dall’insieme delle banche dati in formato digitale ed in generale di tutti i documenti prodotti tramite l’utilizzo dei suddetti apparati. Il presente regolamento si applica, senza distinzione di ruolo e/o livello, a tutti gli utenti interni (personale amministrativo, docenti e collaboratori scolastici) autorizzati ad accedere alla Rete della scuola nell’ambito della propria attività lavorativa ordinaria e straordinaria e agli studenti nei limiti loro assegnati a scopi didattici ed educativi. Analogamente il presente regolamento si applica alle ditte che effettuano attività di manutenzione, agli eventuali altri soggetti esterni autorizzati da apposite convenzioni all’accesso a specifiche banche dati con le modalità stabilite dalle convenzioni stesse nel rispetto del presente disciplinare tecnico e a tutti i collaboratori dell’Istituto a prescindere dal rapporto contrattuale con gli stessi intrattenuto (es. soggetto in stage, ecc.). Principi generali: L’Istituto d’Istruzione Superiore LEOPOLDO PIRELLI prevede l’utilizzo delle strumentazioni informatiche, della rete Internet e della posta elettronica da parte degli utenti quali strumenti utili a perseguire le proprie finalità istituzionali e prevede che lo stesso si informi ai seguenti principi: 20
“ L E O P O L D O
P I R E L L I ”
principio di necessità: i sistemi informativi e i programmi informatici vengono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi in relazione alle finalità perseguite; principio di correttezza: le caratteristiche essenziali dei trattamenti sono rese note ai lavoratori; principio di pertinenza e non eccedenza: i trattamenti sono effettuati per finalità determinate, esplicite e legittime e i dati sono trattati nella misura meno invasiva possibile. 1‐VALUTAZIONE DEL RISCHIO La rete informatica d’Istituto, l’accesso alla rete internet e alla posta elettronica, il PC affidato al dipendente sono strumenti di lavoro; su di essi vengono effettuate regolari attività di controllo, amministrazione e backup ed essi non possono in alcun modo essere utilizzati per scopi diversi perché ogni utilizzo non inerente all’attività lavorativa può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza. In relazione all’utilizzo non corretto di detti strumenti si individuano i seguenti possibili rischi e conseguenti effetti: ATTIVITA’ RISCHIO MOTIVAZIONE POSSIBILE EFFETTO Manutenzione di periferiche hardware interne (scheda video, memoria, ecc.) Manutenzione di periferiche hardware esterne (tastiere, mouse,ecc.) Download non controllato o non programmato di aggiornamenti relativi ad applicazioni installate dal responsabile di rete alto Possono essere danneggiati componenti interni e il Pc Danneggiamento dei Pc basso alto Possono essere scaricate Danneggiamento del software del Pc o applicazioni non verificate con il della rete informatica interna. pericolo di portare Virus informatici o di alterare la stabilità delle applicazioni dell’elaboratore.
basso . RISCHIO MOTIVAZIONE POSSIBILE EFFETTO Possono essere scaricate applicazioni non verificate con il pericolo di portare Virus informatici o di alterare la stabilità delle applicazioni dell’elaboratore Possono essere installate applicazioni non compatibili Danneggiamento del software del Pc o della rete informatica. Gravi responsabilità civili e penali per l’Istituto in caso di violazione della normativa a tutela dei diritti d’autore Danneggiamento del software del Pc o della rete informatica interna. Accessi non autorizzati alla rete Furto di dati Download controllato o programmato di aggiornamenti relativo ad applicazioni installate dal responsabile di rete ATTIVITA’ Download di dati non inerenti alto alle attività lavorative (musica, giochi, ecc.) Installazione di applicazioni alto senza l’autorizzazione del responsabile della rete Accesso alla rete effettuato da alto Pc di proprietà dell’utente Download delle e‐mail Medio/alto Apertura allegati di posta elettronica di incerta alto Contenere Malware/Spayware Danneggiamento del software del Pc o della rete informatica interna. Responsabile della compilazione: Stefania Negri 21
“ L E O P O L D O
P I R E L L I ”
provenienza Elaboratore connesso alla rete alto lasciato incustodito o divulgazione di password Utilizzo di supporti removibili alto esterni non autorizzati Mancata distruzione o perdita alto accidentale di supporti magnetici riutilizzabili (dischetti, nastri, DAT, chiavi USB, CD riscrivibili) contenenti dati sensibili e giudiziari. Divulgazioni di password e dei dati riservati. Possibile utilizzo da parte di terzi Possono essere trasferite applicazioni dannose per il Pc nella rete informatica Recupero di dati memorizzati anche dopo la loro cancellazione. Uso indebito di dati riservati, danneggiamento della rete informatica interna. Danneggiamento del software del Pc o della rete informatica interna. Furto di dati. Uso indebito di dati riservati. 2.MISURE DI TIPO ORGANIZZATIVO Assegnazione delle postazioni di lavoro. Per ridurre il rischio di impieghi abusivi o dannosi, il datore di lavoro provvede a: ‐individuare preventivamente le postazioni di lavoro e assegnarle personalmente a ciascun dipendente; ‐individuare preventivamente gli utenti a cui è accordato l’utilizzo della posta elettronica e l’accesso a internet. La strumentazione dell’Istituto non è esclusivo dominio del dipendente, ma rientra tra i beni a cui determinati soggetti possono comunque sempre accedere. L’eventuale accesso del datore di lavoro, qualora necessiti di informazioni contenute nei documenti residenti sul PC assegnato al dipendente, è legittimo. Nomina dell’Amministratore di Sistema. Il datore di lavoro conferisce all’Amministratore di Sistema il compito di sovrintendere alle Risorse Informatiche dell’Istituto assegnandogli in maniera esclusiva le seguenti attività: ‐ gestione dell’hardware e del software (installazione,aggiornamento, rimozione) di tutte le strutture tecniche informatiche dell’Istituto, siano esse collegate in rete o meno; ‐ configurazione dei servizi di accesso alla rete interna, ad internet e a quelli di posta elettronica con creazione, attivazione e disattivazione dei relativi account; ‐ attivazione della password di accensione (BIOS); ‐ creazione di un’area condivisa sul server per lo scambio dei dati tra i vari utenti, evitando condivisioni dei dischi o di altri supporti configurati nel Personal Computer che non siano strettamente necessarie perché sono un ottimo “aiuto” per i software che cercano di “minare” la sicurezza dell’intero sistema; ‐ controllo del corretto utilizzo delle risorse di rete, dei computer e degli applicativi, durante le normali attività di manutenzione, gestione della sicurezza e della protezione dei dati e nel rispetto di quanto previsto riguardo ai diritti dei lavoratori; ‐ rimozione, sia sui PC degli incaricati sia sulle unità di rete, di ogni file o applicazione che può essere pericoloso per la Sicurezza o costituisce violazione del presente regolamento; 22
“ L E O P O L D O
P I R E L L I ”
‐ distruzione delle unità di memoria interne alla macchina (hard‐disk, memorie allo stato solido) ogni qualvolta si procederà alla dismissione di un PC e dei supporti removibili consegnati a tale scopo dagli utenti; ‐ utilizzo delle credenziali di amministrazione del sistema per accedere ai dati o alle applicazioni presenti su una risorsa informatica assegnata ad un utente in caso di indispensabile ed indifferibile necessità di intervento per prolungata assenza, irrintracciabilità o impedimento dello stesso, ma solo per il tempo strettamente necessario al compimento di attività indifferibili e solo su richiesta del Responsabile del trattamento. L’Amministratore di Sistema, nell’espletamento delle sue funzioni legate alla sicurezza e alla manutenzione informatica, ha facoltà di accendere in qualunque momento, anche da remoto, e dopo aver richiesto l’autorizzazione all’utente interessato, al personal computer di ciascun utente. Utilizzo delle password. Utilizzazione di un sistema di autorizzazione. Per l’accesso alla strumentazione informatica di Istituto ciascun utente deve essere in possesso delle specifiche credenziali di autenticazione previste ed attribuite dall’Incaricato della custodia della Password. Le credenziali di autenticazione per l’accesso alla rete vengono assegnate dal custode delle password e consistono in un codice per d’identificazione dell’utente (user id), associato ad una parola chiave (password) riservata che dovrà venir custodita dall’incaricato con la massima diligenza e non può essere divulgata. Vi sono svariate categorie di password, ognuna con il proprio ruolo preciso: ‐ la password di accesso al computer impedisce l’utilizzo improprio della postazione, quando per un motivo o per l’altro l’incaricato non si trova in ufficio; ‐ la password di accesso alla rete impedisce che l’eventuale accesso non autorizzato a una postazione renda disponibili tutte le risorse dell’ufficio; ‐ la password dei programmi specifici permette di restringere l’accesso ai dati al solo personale autorizzato; ‐ la password del salvaschermo, infine, impedisce che una assenza momentanea permetta a una persona non autorizzata di visualizzare il lavoro dell’incaricato. Le password possono essere formate da lettere (maiuscole o minuscole) e numeri ricordando che le lettere maiuscole e minuscole hanno significati diversi per il sistema; devono essere composte da almeno otto caratteri e non deve contenere riferimenti agevolmente riconducibili all’incaricato (punto 5 del disciplinate tecnico). Procedure di gestione delle credenziali di autenticazione a. E’ necessario procedere alla modifica della parola chiave, a cura dell’incaricato, al primo utilizzo. Se l’utente non provvede autonomamente a variare la password entro i termini massimi, viene automaticamente disabilitato. Provvederà l’Amministratore di Sistema a riabilitare l’utente ed assegnargli una password provvisoria che l’utente dovrà cambiare al primo accesso. b. Per scegliere la nuova parola chiave si devono seguire le seguenti istruzioni: ‐ usare una parola chiave di almeno otto caratteri; ‐ usare una combinazione di caratteri alfabetici e numerici: meglio ancora è inserire almeno un segno di interpunzione un carattere speciale; 23
“ L E O P O L D O
P I R E L L I ”
‐ non usare mai il proprio nome o cognome, né quello di congiunti (coniuge, figli, genitori), di animali domestici o date di nascita, numeri di telefono etc….Le migliori password sono quelle facili da ricordare ma, allo stesso tempo, difficili da indovinare, come quelle che si possono ottenere comprimendo frasi lunghe. c. La password deve essere cambiata a intervalli regolari a cura dell’incaricato del trattamento d’intesa con il Custode delle password. (L’intervallo raccomandato per il cambio puo’ andare da tre mesi‐ nel caso di trattamento di dati sensibili attraverso l’ausilio di strumenti elettronici‐fino a due anni). d. La variazione delle password deve essere comunicata al custode delle password, a cui dovrà essere consegnata in busta chiusa con data e firma dell’incaricato apposte sul lembo di chiusura, perché ne curi la conservazione. e. E’ necessario curare la conservazione della propria parola chiave e bisogna evitare di comunicarla ad altri, di trascriverla sui supporti (agenda, post‐it, ecc) che siano accessibili ad altri o di consentire che qualcuno sbirci quello che si sta battendo sulla tastiera quando viene immessa la password. f. Qualora l’utente venisse a conoscenza delle password di altro utente, è tenuto a darne immediata notizia, per iscritto, all’Amministratore di Sistema dell’Istituto. g. Nel caso si sospetti che la password abbia perso la segretezza essa deve essere immediatamente sostituita, dandone comunicazione scritta all’incaricato della custodia delle Password. Utilizzo di internet La navigazione in Internet costituisce uno strumento necessario allo svolgimento della propria attività lavorativa. L’accesso a Internet è regolato da filtri predefiniti dall’amministratore di sistema su autorizzazione dell’amministrazione, con esclusione dei siti istituzionali. Il titolare del trattamento provvede alla individuazione delle categorie di siti considerati correlati o non correlati con la prestazione lavorativa. 3.MISURE DI TIPO TECNOLOGICO Utilizzo della rete informatica La rete informatica permette di salvare sul server i files relativi alla produttività individuale. Le aree di condivisione in rete sono soggette a regolari attività di controlli, amministrazione e backup. L’accesso è regolato da apposite policies di sicurezza che suddividono gli accessi tra gruppi e utenti. Periodicamente (almeno ogni sei mesi) si provvede alla pulizia degli archivi, con cancellazione dei file obsoleti o inutili. Utilizzo di internet L’amministratore di sistema provvede alla configurazione di sistemi e all’utilizzo di filtri che prevengono determinate operazioni non correlate all’attività lavorativa (es. upload, restrizione nella navigazione, download di file o sftware). Utilizzo della posta elettronica Sono previste apposite funzionalità di sistema che consentono: ‐ di inviare automaticamente in caso di assenze programmate, messaggi di risposta che contengono le coordinate di un altro soggetto o altri utili modalità di contatto del servizio presso il quale opera il lavoratore assente; 24
“ L E O P O L D O
P I R E L L I ”
‐ al lavoratore, in caso di assenze improvvise o prolungate e per improrogabili necessità legate all’attività lavorativa, di delegare un collega (fiduciario) a verificare il contenuto di messaggi e a inoltrare al responsabile del trattamento quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativa. Diritti e responsabilità dei dipendenti Per assicurare la tutela dei diritti, delle libertà fondamentali e della dignità dei lavoratori, garantendo che sia assicurata una ragionevole protezione della loro sfera di riservatezza nelle relazioni personali professionali il trattamento dei dati mediante l’uso di tecnologie telematiche è conformato al rispetto dei diritti delle libertà fondamentali nonché della dignità dell’interessato, dei divieti posti dallo Statuto dei lavoratori sul controlli a distanza e dei principi di necessità, correttezza e finalità determinate, esplicite e legittime. Ogni utente è responsabile, sia sotto il profilo civile che penale, del corretto uso delle Risorse informatiche, dei Servizi e dei programmi ai quali ha accesso e dei dati che tratta. Spetta ai docenti vigilare affinché gli studenti loro affidati rispettino il presente regolamento. Doveri di comportamento dei dipendenti Le strumentazioni informatiche, la rete Internet e la posta elettronica devono essere utilizzati dal personale e dagli studenti come strumenti di lavoro e studio. Ogni loro utilizzo non inerente all’attività lavorativa e di studio è vietato in quanto può comportare disservizi, costi di manutenzione e, soprattutto, minacce per la sicurezza. In particolare non può essere dislocato nelle aree di condivisione della rete alcun file che non sia legato all’attività lavorativa, nemmeno per brevi periodi. Agli utenti è assolutamente vietata la memorizzazione di documenti informatici di natura oltraggiosa o discriminatoria per sesso, lingua ,religione, razza, origine etnica, condizioni di salute e opinioni appartenenza sindacale politica. Non è consentito scaricare, scambiare o utilizzare materiale coperto dal diritto d’autore. Utilizzo del personal computer Gli utenti utilizzano per il proprio lavoro soltanto computer di proprietà dell’Istituto, salvo espresse autorizzazioni contrarie dell’Amministratore di sistema/rete, e sono tenuti a: ‐ attivare sul PC lo screen saver e la relativa password; ‐ conservare la password nella massima riservatezza e con massima diligenza; ‐ non inserire password locali che non rendono accessibile il computer agli amministratori di rete se non esplicitamente autorizzato dall’Amministratore di Sistema; ‐ non utilizzare criptosistemi o qualsiasi altro programma di sicurezza crittografica non previste esplicitamente dal servizio informatico dell’istituto; ‐ non modificare la configurazione hardware e software del proprio PC, se non esplicitamente autorizzati dall’Amministratore di Sistema; ‐ non rimuovere, danneggiare o asportare hardware; 25
“ L E O P O L D O
P I R E L L I ”
‐ non installare sul proprio PC dispositivi hardware personali (modem, schede audio, masterizzatori, pendrive, dischi esterni, i‐pod, telefono, ecc.), salvo specifica autorizzazione in tal senso da parte del responsabile; ‐ non installare autonomamente programmi informatici, se non esplicitamente autorizzati dall’Amministratore di Sistema; ‐ non utilizzare programmi non autorizzati, con particolare riferimento ai videogiochi, che sono spesso utilizzare per veicolare virus; ‐ mantenere sempre aggiornati e attivi sulla propria postazione di lavoro i software antivirus con riferimento all’ultima versione disponibile; ‐ nel caso il software antivirus rilevi la presenza di un virus, sospendere immediatamente ogni elaborazione in corso senza spegnere il computer e segnalare prontamente l’accaduto al personale incaricato dell’assistenza tecnica; ‐ prestare la massima attenzione ai supporti di origine esterna (es. Pen drive), verificando preventivamente tramite il programma di antivirus ogni file Acquisito attraverso qualsiasi supporto e avvertendo immediatamente l’Amministratore di Sistema nel caso in cui vengano rilevati virus o eventuali malfunzionamenti; ‐ non lasciare incustodita ed accessibile la propria postazione una volta connesso al sistema con le proprie credenziali di autenticazione; ‐ non cedere, una volta superata la fase di autenticazione, l’uso della propria stazione a persone non autorizzate, in particola modo per quanto riguardo l’accesso a Internet e ai servizi di posta elettronica; ‐ spegnere il PC al termine del lavoro o in caso di assenze prolungate dalla propria postazione. Utilizzo della rete informatica Gli utenti della rete informatica sono tenuti a utilizzare in modo conforme a quanto stabilito dal presente Regolamento e quindi: ‐ mantenere segrete e non comunicare a terzi, inclusi gli amministratori di sistema, le password d’ingresso alla rete ed ai programmi e non permettere ad alcuno di utilizzare il proprio accesso; ‐ provvedere periodicamente (almeno ogni sei mesi) alla pulizia degli archivi, con cancellazione dei file obsoleti o inutili ed evitare un’archiviazione ridondante; ‐ verificare preventivamente ogni archivio elettronico (file) acquisito attraverso qualsiasi supporto (es. Pen‐drive) prima di trasferirlo su aree comuni della rete; Agli utenti è fatto divieto di influenzare negativamente la regolare operatività della Rete, interferire con la connettività altrui o con il funzionamento del sistema e quindi: ‐ utilizzare qualunque tipo di sistema informatico o elettronico per controllare le attività di altri utenti, per leggere, copiare o cancellare files e software di altri utenti, utilizzare software visualizzatori di pacchetti TCP/IP (sniffer), software di intercettazione di tastiera (keygrabber o keylogger), software di decodifica password (cracker) e più in generale sfotware rivolti lla violazione della sicurezza del sistema e della privacy; ‐ sostituirsi a qualcuno nell’uso dei sistemi, cercare di catturare password altrui o forzare password o comunicazioni criptate; ‐ modificare le configurazioni impostate dall’amministratore di sistema; ‐ limitare o negare l’accesso al sistema a utenti legittimi, ‐ effettuare trasferimenti non autorizzati di informazioni (software, dati, ecc); ‐ distruggere o alterare dati altrui; Responsabile della compilazione: Stefania Negri 26
“ L E O P O L D O
P I R E L L I ”
‐ usare l’anonimato o servirsi di risorse che consentano di restare anonimi; Utilizzo di internet L’accesso alla navigazione di internet deve essere effettuato esclusivamente a mezzo della rete di istituto e solo per fini lavorativi o di studio. E’ tassativamente vietato l’utilizzo di modem personali. Gli utenti sono tenuti a utilizzare l’accesso ad internet in modo conforme a quanto stabilito dal presente Regolamento e quindi devono: ‐ navigare in Internet in siti attinenti allo svolgimento delle mansioni assegnate; ‐ registrarsi solo a siti con contenuti legati all’attività lavorativa; ‐ partecipare a forum o utilizzare chat solo per motivi strettamente attinenti all’attività lavorativa. Agli utenti è fatto espresso divieto di qualsiasi uso di internet che possa in qualche modo recare danno all’istituto o a terzi e quindi di: ‐ fare conoscere ad altri la password del proprio accesso,inclusi gli amministratori di sistema; ‐ usare Internet per motivi personali; ‐ servizi dell’accesso Internet per attività in violazione del diritto d’autore o di altri diritti tutelati dalla normativa vigente; ‐ accedere a siti pornografici, di intrattenimento, ecc; ‐ scaricare il software gratuiti dalla rete, salvo casi di comprovata utilità e previa autorizzazione in tal senso da parte del responsabile; ‐ utilizzare programmi per la condivisione e lo scambio di file in modalità peer to peer (Napster, Emule,Winmx, e Donkey, ecc); ‐ ascoltare la radio o guardare video o filmati utilizzando le risorse Internet ‐ effettuare transazioni finanziarie, operazioni di remote bancking, a acquisti on‐line, se non attinenti l’attività lavorativa o direttamente autorizzati dal responsabile del trattamento; ‐ inviare fotografie, dati personali o di amici dalle postazioni Internet. Utilizzo della posta elettronica Gli utenti assegnatari di caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse e e sono tenuti a utilizzare in modo conforme a quanto stabilito dal presente Regolamento, quindi devono: ‐ conservare la password nella massima riservatezza e con la massima diligenza; ‐ mantenere la casella in ordine, cancellando documenti inutili e allegati ingombranti; ‐ utilizzare tecniche per l’invio di comunicazioni a liste di distribuzione solo se istituzionali; ‐ inoltrare al Dirigente scolastico ogni comunicazione inviata o ricevuta che abbia contenuti rilevanti o contenga impegni contrattuali o precontrattuali con l’Istituto e fare riferimento alle procedure in essere per la corrispondenza ordinaria; ‐ utilizzare la ricevuta di ritorno per avere la conferma dell’avvenuta lettura del messaggio da parte del destinatario. 27
“ L E O P O L D O
P I R E L L I ”
‐ Prestare attenzione alla dimensione degli allegati per la trasmissione di file all’interno della struttura e, dove possibile, preferire l’utilizzo di cartelle di rete condivise; ‐ Inviare preferibilmente file di formato PDF; ‐ Accertarsi dell’identità del mittente e controllare a mezzo di software antivirus i file attachment di posta elettronica prima del loro utilizzo; ‐ Rispondere a e‐mail pervenute solo da mittenti conosciuti e cancellare preventivamente le altre; ‐ Chiamare link contenuti all’interno di messaggi solo quando vi sia comprovata sicurezza sul contenuto dei siti richiamati; ‐ Indicare la persona autorizzata ad aprire la posta o la persona che riceverà la posta in caso di assenza. Agli utenti è fatto espresso divieto di qualsiasi uso della posta elettronica che possa in qualche modo recare danno all’Istituto o a terzi e quindi di: ‐ prendere visione della posta altrui; ‐ simulare l’identità di un altro utente, ovvero utilizzare per l’invio di messaggi credenziali di posta non proprie, nemmeno se fornite volontariamente o di cui si ha casualmente conoscenza; ‐ utilizzare strumenti software e hardware atti ad intercettare il contenuto delle comunicazioni informatiche all’interno dell’Istituto; ‐ trasmettere a mezzo posta elettronica dati sensibili, personali o commerciali di alcun genere se non nel rispetto delle norme sulla disciplina del trattamento della protezione dei dati; ‐ inviare tramite posta elettronica user‐id, password, configurazioni della rete interna, indirizzi e nomi dei sistemi informatici; ‐ utilizzare le caselle di posta elettronica per invio di messaggi personali o per la partecipazione a dibattiti, forum o mailing‐list salvo diversa ed esplicita autorizzazione; ‐ inviare o rivedere posta personale attraverso l’uso di un webmail; ‐ inviare o accettare messaggi in formato HTML; ‐ utilizzare il servizio di posta elettronica per inoltrare giochi, scherzi, barzellette, appelli e petizioni, messaggi tipo “catene” e altre e‐mails che non siano di lavoro. Utilizzo dei supporti magnetici Gli utenti devono trattare con particolare cura i supporti magnetici (dischetti, nastri, DAT, chiavi USB, CD riscrivibili), in particolar modo a quelli riutilizzabili, per evitare che persone non autorizzate possano accedere ai dati ivi contenuti e quindi in particolar modo: ‐ non utilizzare supporti rimovibile personali; ‐ custodire i supporti magnetici contenenti dati sensibili e giudiziari in armadi chiusi a chiave onde evitare che il loro contenuto possa essere trafugato o alterato e/o distrutto; ‐ consegnare i supporti magnetici riutilizzabili (dischetti, nastri, DAT, chiavi USB, CD riscrivibili) obsoleti all’Amministratore di Sistema per l’opportuna distruzione onde evitare che il loro contenuto possa essere, successivamente alla cancellazione, recuperato. Utilizzo dei PC portatili Responsabile della compilazione: Stefania Negri 28
“ L E O P O L D O
P I R E L L I ”
L’utente è responsabile del PC portatile assegnatogli e deve: ‐ applicare al PC portatile le regole di utilizzo previste per i PC connessi in rete; ‐ custodirlo con diligenza e in un luogo protetto durante gli spostamenti; ‐ rimuovere gli eventuali file elaborati sullo stesso prima della sua riconsegna. Utilizzo delle stampanti e dei materiali di consumo Stampanti e materiali di consumo in genere (carta, inchiostro, toner, floppy disk, supporti digitali come CD E DVD) possono essere usati esclusivamente per compiti di natura strettamente istituzionale, evitando in ogni modo sprechi o utili eccessivi. Gli utenti devono effettuare la stampa dei dati solo se strettamente necessaria e ritirare prontamente dai vassoi delle stampanti comuni i fogli per impedire a persone non autorizzate di accedere alle stampe di documenti riservati. Distruggere personalmente e sistematicamente le stampe che non servono più. Utilizzo di telefonini e altre apparecchiature di registrazione di immagini e suoni E’ fatto divieto assoluto di effettuare riprese, fotografiche, registrazioni di suoni con qualsiasi tipologia di apparecchiatura elettronica adatta a tali scopi, salvo : ‐ diversa disposizione esplicita del titolare del trattamento, da concordarsi di volta in volta e comunque sempre preventivamente al trattamento; ‐ informazione preventiva degli interessati; ‐ acquisizione del loro libero consenso, preventivo ed informato. 4. CONTROLLI Il datore di lavoro, per esigenze organizzative, per garantire la sicurezza sul lavoro, per evitare reiterati comportamenti dolosi e illeciti può avvalersi legittimamente, nel rispetto dell’articolo 4 comma 2 dello Statuto dei lavoratori, di sistemi che consentano un controllo a distanza e determinano il trattamento di dati personali riferibili a singoli utenti. Il datore di lavoro non può in alcun caso utilizzare detti sistemi per ricostruire l’attività del lavoratore tramite ‐ lettura e registrazione sistematica dei messaggi di posta elettronica, al di là di quanto necessario per fornire e gestire il sevizio di posta elettronica stesso; ‐ memorizzare sistematicamente delle pagine web visualizzate; ‐ lettura e registrazione dei caratteri inseriti dai lavoratori tramite tastiera o dispositivi analoghi; ‐ analisi occulta dei dispositivi per l’accesso a Internet o alla posta elettronica messi a disposizione dei dipendenti. Le attività sull’uso del servizio di accesso ad Internet vengono automaticamente registrate attraverso il log di sistema ottenuti da un proxy server o da un altro strumento di registrazione delle informazioni. Analogamente sono parimenti suscettibili di controllo i sevizi di posta elettronica. Tali file possono essere messi a disposizione dell’autorità giudiziaria in caso di accertata violazione della normativa vigente. I dati contenuti nei log sono conservati per il tempo strettamente necessario al perseguimento di finalità organizzative, produttive e di verifica della funzionalità dei sistemi di protezione e comunque non per più di 10 giorni. Dopo tale periodo, il sistema cancella in modo automatico tali tracciati. Responsabile della compilazione: Stefania Negri 29
“ L E O P O L D O
P I R E L L I ”
La riservatezza delle informazioni registrate è soggetta a quanto dettato dal D.Lgs. n. 193/2003, il trattamento dei dati avviene esclusivamente per fini istituzionali, per attività di monitoraggio e controllo e in forma anonima in modo tale da precludere l’identificazione degli utenti o delle loro attività. Le registrazioni possono essere utilizzate per fornire informazioni esclusivamente su: ‐ numero di utenti che visita ciascun sito o dominio, numero di pagine richieste e quantità di dati scaricati; ‐ numero di siti visitati da ciascun utente, quantità totale di dati scaricati, postazioni di lavoro utilizzate per la navigazione. I dati personali contenuti nei log possono essere trattati tassativamente solo nelle seguenti ipotesi: ‐ per corrispondere ad eventuali richieste dell’autorità giudiziaria e della polizia postale; ‐ quando si verifichi un evento dannoso o una situazione di pericolo che richiede un immediato intervento; ‐ in caso di utilizzo anomalo che gli strumenti da parte degli utenti nonostante l’esplicito invito ad attenersi a le istruzioni impartite. Qualora i controlli evidenzino un utilizzo anomalo degli strumenti informativi dell’Istituto, il titolare dei trattamento procede in forma graduata: ‐ in via preliminare si eseguono controlli su dati aggregati, in forma anonima e si provvede ad un avviso generalizzato agli utenti; ‐ se perdurano le anomalie si procede a controlli per tipologie di locali di utilizzo (uffici, aule, ecc)o tipologie di utenti (ATA, docenti, studenti) e si procede con avvisi mirati alle categorie di utilizzatori; ‐ ripetendosi l’anomalia, sarà lecito il controllo su base individuale e si procederà all’invio di avvisi individuali; ‐ in caso di verificato e reiterato uso non conforme delle risorse informatiche il titolare del trattamento attiva il procedimento disciplinare. I trattamenti in servizio proxy sono curati da personale tecnico incaricato del trattamento. 5. INFORMATIVA AGLI UTENTI Il presente regolamento è messo a disposizione degli utenti, per la consultazione, sui mezzi di comunicazione interna utilizzati dall’Istituto e sul sito web dell’istituzione scolastica ed è quindi immediatamente applicabile. Esso viene affisso all’albo d’istituto. L’utente, qualora l’Istituto decidesse di perseguire, per fini legati alla sicurezza dell’intero sistema informativo, il controllo della posta e della navigazione in Internet, viene informato degli strumenti e dei modi di trattamento effettuati prima che questo sia iniziato. 6. SANZIONI IN CASO DI MANCATO RISPETTO DEL REGOLAMENTO La contravvenzione alle regole contenute nel presente regolamento da parte di un utente: ‐ può comportare l’immediata revoca delle autorizzazioni ad accedere alla Rete Informatica ed ai servizi/programmi autorizzati, fatte salve le sanzioni più gravi previste dalle norme vigenti; ‐ è perseguibile con provvedimenti disciplinari nelle forme con le modalità previste dall’Istituto per gli studenti, dai contratti di lavoro per i dipendenti e attraverso l’adozione degli atti di specifica competenza nel caso di personale non dipendente; ‐ può portare alle azioni civili e penali consentite. L’utilizzo dei servizi di accesso ad Internet cessa o viene sospesa d’ufficio quando: 30
“ L E O P O L D O
P I R E L L I ”
‐ non sussiste più la condizione di dipendente/studente o l’autorizzazione al loro uso; ‐ vi è il rispetto di manomissione dell’hardware o del software; ‐ in caso di diffusione o comunicazione a terzi da parte del dipendente di password, codici di accesso ecc.; ‐ in caso di accesso doloso a file o servizi non rientranti tra quelli autorizzati; ‐ ogni qual volta sussistano ragionevoli evidenze di una violazione degli obblighi dell’utente che mette a rischio il sistema. 7. AGGIORNAMENTO E REVISIONE DEL REGOLAMENTO Il presente Regolamento è soggetto a revisione con frequenza annuale unitamente al DPS e ogni qualvolta sia necessario un aggiornamento alla luce dell’esperienza, di nuove normative e dell’innovazione tecnologica. Tutti gli utenti possono proporre, quando ritenuto necessario, integrazioni al presente Regolamento. Le proposte verranno esaminate dal Titolare del trattamento in collaborazione con l’amministratore di sistema. Roma , 24 marzo 2011 IL DIRIGENTE SCOLASTICO ( prof.ssa Flavia DE VINCENZI ) Informativa ex art. 13 D.Lgs. n.196/2003 per il trattamento dei dati personali degli alunni e delle famiglie Gentile Signore/a, secondo le disposizioni del Decreto Legislativo 30 giugno 2003, n. 196 (“Codice in materia di protezione dei dati personali”) nel seguito indicato sinteticamente come Codice, il trattamento dei dati personali che riguardano i componenti della sua famiglia sarà improntato ai principi di liceità e trasparenza, a tutela della vostra riservatezza e dei vostri diritti. Ai sensi dell'articolo 13 del Codice, le forniamo, quindi, le seguenti informazioni sul trattamento dei dati più sopra menzionati: 1. nel corso del rapporto con la presente Istituzione scolastica, i dati personali verranno trattati dal personale della scuola nell’ambito delle finalità istituzionali, che sono quelle relative all’istruzione ed alla formazione degli alunni e quelle amministrative ad esse strumentali, così come definite dalla normativa vigente (R.D. n. 653/1925, D.Lgs. n. 297/1994, D.P.R. n. 275/1999; Decreto Interministeriale 1 febbraio 2001, n. 44 e le norme in materia di contabilità generale dello Stato; Legge n. 104/1992, Legge n. 53/2003, D.Lgs. n. 165/2001, Dlgs 196/2003, D.M 305/2006; Dlgs 227/2005; Dlgs 76/05; Dlgs 77/05; Dlgs 226/05; D.Lgs. n. 151/2001, Dlgs 196/2003, i Contratti Collettivi di Lavoro Nazionali ed Integrativi stipulati ai sensi delle norme vigenti; tutta la normativa collegata alle citate disposizioni); 31
“ L E O P O L D O
P I R E L L I ”
2. i dati personali definiti come “dati sensibili” o come “dati giudiziari” dal Codice saranno trattati esclusivamente dal personale della scuola, appositamente incaricato, secondo quanto previsto dalle disposizioni di legge e di regolamento citate al precedente punto 1 e nel rispetto del principio di stretta indispensabilità dei trattamenti. Le ricordiamo che i dati sensibili sono quei dati personali “idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”. I dati giudiziari sono quei dati personali idonei a rivelare procedimenti o provvedimenti di natura giudiziaria, cosi come indicati dall’articolo 4 comma 1 lettera e) del Codice; 3. i dati personali potranno essere comunicati a soggetti pubblici (quali, ad esempio, ASL, Comune, Provincia, Ufficio scolastico regionale, Ufficio scolastico provinciale, organi di polizia giudiziaria, organi di polizia tributaria, guardia di finanza, magistratura) nei limiti di quanto previsto dalle vigenti disposizioni di legge e di regolamento e degli obblighi conseguenti per codesta istituzione scolastica; i dati relativi agli esiti scolastici degli alunni potranno essere pubblicati mediante affissione all’albo della scuola secondo le vigenti disposizioni in materia; 4. i dati da lei forniti potranno essere comunicati a terzi soggetti che forniscono servizi a codesta Istituzione scolastica quali agenzie di viaggio e strutture ricettive (esclusivamente in relazione a gite scolastiche, viaggi d’istruzione e campi scuola), imprese di assicurazione (in relazione a polizze in materia infortunistica), eventuali ditte fornitrici di altri servizi (quali ad esempio servizi di mensa). La realizzazione di questi trattamenti costituisce una condizione necessaria affinché l’interessato possa usufruire dei relativi servizi; 5. si fa inoltre presente che è possibile che: foto di lavori e di attività didattiche afferenti ad attività istituzionali della scuola (quali ad esempio foto relative ad attività di laboratorio, visite guidate, premiazioni, partecipazioni a gare sportive, ecc.) vengano pubblicate sul sito e/o sul giornalino della scuola; vengano effettuate durante l'anno foto di classe; vengano effettuate riprese, da parte della scuola, di alcune attività didattiche. In questo ultimo caso le immagini saranno adeguatamente conservate presso i locali della scuola, non saranno diffuse e ad esse avrà accesso solo il personale della scuola appositamente incaricato. Si fa presente che per ulteriori informazioni e delucidazioni, o per segnalare la volontà di non aderire a determinate iniziative o servizi tra quelli indicati ai punti 4 e 5 del presente documento, è possibile rivolgersi al responsabile del trattamento dei dati personali della scuola, indicato al punto 13 del presente atto; 6. ad eccezione di quanto previsto ai punti 4 e 5 del presente documento, il conferimento dei dati richiesti e il conseguente trattamento sono obbligatori, in quanto previsti dalla normativa citata al precedente punto 1; l'eventuale rifiuto a fornire tali dati potrebbe comportare il mancato perfezionamento dell’iscrizione e l’impossibilità di fornire all’alunno tutti i servizi necessari per garantire il suo diritto all’istruzione ed alla formazione; 7. il trattamento sarà effettuato sia con strumenti cartacei che elettronici, nel rispetto delle misure di sicurezza indicate dal Codice; 8. i dati sensibili e giudiziari non saranno oggetto di diffusione; tuttavia, alcuni di essi potranno essere comunicati ad altri soggetti pubblici nella misura strettamente indispensabile per svolgere attività istituzionali previste dalle vigenti disposizioni in materia sanitaria, previdenziale, tributaria, giudiziaria e di istruzione, nei limiti previsti dal D.M 305/2006, pubblicato sulla G.U. n°11 del 15‐01‐07; 9. (solo per le scuole secondarie superiori) L’Istituzione scolastica può comunicare o diffondere, anche a privati e per via telematica, dati relativi agli esiti scolastici degli alunni per finalità di orientamento, formazione e inserimento professionale, solo su richiesta degli interessati, secondo quanto disposto dall’articolo 96 comma 1 del Codice; 10. (solo per le scuole secondarie superiori) Per consentire ai genitori l'assolvimento dell'obbligo di garantire l'istruzione dei figli maggiorenni, che siano ancora non autosufficienti e conviventi, così come indicato dalle norme vigenti (cfr cod. civ. articoli 148 cc e 155‐quinquies) e dai pronunciamenti giurisprudenziali (cfr, ad esempio, Corte Cass. n°4767/2002), è permesso ai genitori medesimi l'accesso alle informazioni riguardanti il rendimento scolastico e la frequenza dei figli maggiorenni rientranti nelle categorie più sopra indicate (non autosufficienti e ancora conviventi); 32
“ L E O P O L D O
P I R E L L I ”
11. il Titolare del trattamento è: ISTITUTO D'ISTRUZIONE SUPERIORE " LEROPOLDO PIRELLI" via Rocca di Papa n.113 ‐ ROMA tel. 06/78398459 fax 06/7840071 , rappresentata dal Dirigente scolastico pro tempore Prof./Prof.ssa Flavia De Vincenzi; 12. il Responsabile del trattamento è il Rag : Maura Drago tel. 06/78398459 fax 96/7840071 ; 13. al Titolare del trattamento o al Responsabile lei potrà rivolgersi senza particolari formalità, per far valere i suoi diritti, così come previsto dall'articolo 7 del Codice (e dagli articoli collegati), che per sua comodità riproduciamo integralmente: Art. 7 (Diritto di accesso ai dati personali ed altri diritti) 1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. 2. L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. 3. L'interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 4. L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o o per il compimento di ricerche di mercato o di comunicazione commerciale. IL TITOLATE DEL TRATTAMENTO (prof.ssa Flavia DE VINCENZI) __________________________________ Responsabile della compilazione: Stefania Negri 33
“ L E O P O L D O
P I R E L L I ”
Informativa ex art. 13 D.Lgs. n.196/2003 per il trattamento dei dati personali del personale dipendente Gentile Signore/a, secondo le disposizioni del Decreto Legislativo 30 giugno 2003, n. 196 (“Codice in materia di protezione dei dati personali”) nel seguito indicato sinteticamente come Codice, il trattamento dei dati personali che La riguardano sarà improntato ai principi di correttezza, liceità e trasparenza e di tutela della Sua riservatezza e dei Suoi diritti. Ai sensi dell'articolo 13 del Codice, Le forniamo, quindi, le seguenti informazioni: i dati personali da Lei forniti verranno trattati esclusivamente per le finalità istituzionali della scuola, che sono quelle relative all’istruzione ed alla formazione degli alunni e quelle amministrative ad esse strumentali, incluse le finalità di instaurazione e gestione dei rapporti di lavoro di qualunque tipo, così come definite dalla normativa vigente (R.D. n. 653/1925, D.Lgs. n. 297/1994, D.P.R. n. 275/1999, Legge n. 104/1992, Legge n. 53/2003, D.Lgs, n. 165/2001, D.lgs. n. 151/2001, l’art. 112 del Codice, i Contratti Collettivi di Lavoro Nazionali ed Integrativi stipulati ai sensi delle norme vigenti, la normativa collegata alle citate disposizioni); i dati personali definiti come “dati sensibili” o come “dati giudiziari” dal suddetto codice, che Lei ci ha fornito e quelli che ci fornirà in occasioni successive, saranno trattati dalla scuola secondo quanto previsto dalle disposizioni di legge e di regolamento citate al precedente punto 1 ed in considerazione delle finalità di rilevante interesse pubblico che la scuola persegue e delle finalità di interesse pubblico costituite dalla gestione dei rapporti di lavoro di qualunque tipo, come stabilito dall’art. 112 del Codice. Le ricordiamo che i dati sensibili sono quei dati personali “idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”. I dati giudiziari sono quei dati personali idonei a rivelare procedimenti o provvedimenti di natura giudiziaria; il conferimento dei dati richiesti è obbligatorio in quanto previsto dalla normativa citata al precedente punto 1; l'eventuale rifiuto a fornire tali dati potrebbe comportare il mancato perfezionamento o mantenimento del rapporto di lavoro; il trattamento sarà effettuato sia con modalità manuali che mediante l’uso di procedure informatiche; i dati sensibili e giudiziari non saranno oggetto di diffusione; tuttavia alcuni di essi potranno essere comunicati ad altri soggetti pubblici nella misura strettamente indispensabile per svolgere attività istituzionali previste dalle vigenti disposizioni in materia di rapporto di lavoro pubblico, sanitaria o giudiziaria; Responsabile della compilazione: Stefania Negri 34
“ L E O P O L D O
P I R E L L I ”
i dati personali diversi da quelli sensibili e giudiziari potranno essere comunicati esclusivamente a soggetti pubblici secondo quanto previsto dalle disposizioni di legge e di regolamento di cui al precedente punto 1; il titolare del trattamento è: Prof.ssa Flavia De Vincenzi Dirigente scolastico dell’IIS “Leopoldo Pirelli”; il responsabile del trattamento è il Direttore dei Servizi Generali e Amministrativi Rag. Maura Drago; al titolare del trattamento o al responsabile Lei potrà rivolgersi senza particolari formalità, per far valere i Suoi diritti, così come previsto dall'articolo 7 del Codice, che per Sua comodità riproduciamo integralmente: Art. 7 (Diritto di accesso ai dati personali ed altri diritti) 1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. 2. L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. 3. L'interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 4. L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o o per il compimento di ricerche di mercato o di comunicazione commerciale. IL RESPONSABILE DEL TRATTAMENTO IL TITOLARE DEL TRATTAMENTO Responsabile della compilazione: Stefania Negri 35
“ L E O P O L D O
P I R E L L I ”
( rag. Maura DRAGO ) ( prof.ssa Flavia DE VINCENZI ) 36
Responsabile della compilazione: Stefania Negri

“ L E O P O L D O P I R E L L I ”

Transcript

Documenti analoghi

“ L E O P O L D O P I R E L L I ”

Locandina 1 shoha - Istituto Comprensivo Sibari

Posta elettronica certificata PEC

Istruzioni per accesso alla casella PEC

• Pappardelle al ragù di cinghiale • Spezzatino di cinghiale con

Modulo di prenotazione della Casella di posta elettronica certificata

Spett.le INFOSYS TEAM srl Corso Umberto, 188 80034, Marigliano

n. 241 - Viaggio Spagna partenariato Erasmus plus comunicazione

accesso alla propria pec mail (ordine medici salerno)

il coupon da stampare per aderire alla convenzione INT