DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI
Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI"

Transcript

1 Prot. DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI Decreto Legislativo 30 giugno 2003, n. 196 (art. 34, comma 1, lettera g) e disciplinare tecnico allegato B ) IL DIRIGENTE SCOLASTICO Visto il Decreto Legislativo 30 giugno 2003, n.196, recante il codice in materia di protezione di dati personali, e segnatamente gli artt. 34 ss., nonché l allegato B del suddetto Decreto Legislativo, contenente il disciplinare tecnico in materia di misure minime di sicurezza; Considerato che l Istituto Scolastico Statale di Istruzione Superiore ITALO CALVINO, con sede in Rozzano, via Guido Rossa, in quanto dotata di un autonomo potere decisionale, ai sensi dell art.28 del D.Lgs. n. 196 del 2003, deve ritenersi titolare del trattamento di dati personali; Atteso che la suddetta Istituzione Scolastica è tenuta a prevedere ed applicare le misure minime di sicurezza di cui agli artt. 31 e ss. del D.Lgs. n.196 del 2003, ADOTTA il presente documento programmatico sulla sicurezza dei dati. Rozzano, 7 febbraio 2011 IL DIRIGENTE SCOLASTICO Marco Parma D.P.S. 07/02/ pagina 1 di 19

2 INDICE DEL DOCUMENTO 1. ELENCO DEI TRATTAMENTI DEI DATI PERSONALI Premessa Finalità del trattamento Fonte dei dati Dati relativi agli studenti e alle loro famiglie Dati relativi al personale scolastico Dati relativi ai fornitori di beni e servizi Elenco dei dati personali di natura comune, sensibile o giudiziaria DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ Titolare del trattamento Responsabile del trattamento per la sicurezza dei dati Responsabile della gestione e della manutenzione degli strumenti elettronici Incaricato della custodia delle copie delle credenziali Incaricato delle copie di sicurezza delle banche dati Incaricati del trattamento dei dati personali Strutture preposte ai trattamenti e riparto delle responsabilità Trattamento dei dati presso la sede secondaria di Noverasco di Opera Trattamenti mediante utilizzo del SIDI (sistema informativo centrale del Ministero) Responsabili della custodia e della chiusura degli uffici ANALISI DEI RISCHI CHE INCOMBONO SUI DATI CRITERI E MODALITÀ DI RIPRISTINO DELLA DISPONIBILITÀ DEI DATI Salvataggio Ripristino PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI PREVISTI Interventi rivolti ai docenti Interventi rivolti al personale assistente tecnico Interventi rivolti al personale amministrativo Interventi rivolti alla totalità del personale Interventi rivolti ai responsabili del trattamento... Errore. Il segnalibro non è definito Interventi rivolti all incaricato delle copie di sicurezza Interventi rivolti all incaricato della custodia delle copie delle credenziali TRATTAMENTI AFFIDATI ALL ESTERNO CONTROLLO GENERALE SULLO STATO DELLA SICUREZZA DICHIARAZIONE DI IMPEGNO ELENCO DEGLI ALLEGATI D.P.S. 07/02/ pagina 2 di 19

3 L Istituto Statale di Istruzione Superiore ITALO CALVINO, con sede in Rozzano, via Guido Rossa s.n.c., nella persona del suo legale Rappresentante, Dirigente Scolastico, Prof. Parma Marco ha redatto il seguente aggiornamento del documento programmatico per la sicurezza ai sensi e per gli effetti dell art.34, c.1, lettera g) del D.Lgs. 30 giugno 2003, n. 196 e del disciplinare tecnico allegato sub B al suddetto decreto. Scopo del documento è delineare il quadro delle misure di sicurezza, organizzative, fisiche e logiche, adottate da questa amministrazione relativamente al trattamento dei dati personali. 1. ELENCO DEI TRATTAMENTI DEI DATI PERSONALI 1.1. Premessa I trattamenti di dati di seguito descritti sono effettuati esclusivamente nell ambito delle finalità istituzionali della scuola, con eccezione per la comunicazione ai soggetti economici richiedenti dei nominativi degli studenti diplomati, al fine di agevolare l incontro fra domanda e offerta di formazione o di lavoro Finalità del trattamento Al fine di perseguire le finalità istituzionali, l Istituzione scolastica tratta dati personali (sia comuni che sensibili o giudiziari) di studenti, personale dipendente, fornitori. Alle caratteristiche salienti di ciascuna delle basi di dati sopra citate sono dedicati i successivi paragrafi 1.4, 1.5, I trattamenti sono effettuati, anche mediante strumenti elettronici, per le seguenti finalità: - adempimento agli obblighi di fonte legislativa, nazionale o comunitaria, regolamentare o derivante da atti amministrativi; - erogazione dei servizi formativi; - gestione e formazione del personale, nelle sue varie componenti (docente e non docente, in ruolo presso altri apparati pubblici); - adempimenti assicurativi; - tenuta della contabilità; - gestione delle attività informative curate ai sensi della legge 7 giugno 2000, n.150 contenente la Disciplina delle attività di informazione e di comunicazione delle pubbliche amministrazioni ; - attività strumentali alle precedenti Fonte dei dati I dati trattati sono conservati su supporti informatici e/o cartacei e sono noti all istituzione scolastica, in ragione della produzione: - di atti e/o dichiarazioni provenienti da soggetti interessati a fruire direttamente, o a beneficio dei minori sottoposti alla potestà ex art. 316 c.c., dei servizi formativi; - documenti contabili connessi alla fornitura di prestazioni e/o di servizi e/o di lavori; D.P.S. 07/02/ pagina 3 di 19

4 - documentazione bancaria, finanziaria e/o assicurativa; - documenti inerenti il rapporto di lavoro, finalizzati anche agli adempimenti retributivi e previdenziali Dati relativi agli studenti e alle loro famiglie L Istituto possiede un archivio cartaceo e una base dati informatica contenente i dati personali identificativi degli studenti e dei genitori, nonché i dati sulla carriera scolastica precedente e di quella percorsa all interno dell istituto, ivi comprese le valutazioni periodiche e finali. Nell ambito della suddetta base dati è presente il dato sensibile costituito dalla scelta di avvalersi o non avvalersi dell insegnamento della religione cattolica. Peraltro, tale dato deve essere diffuso al personale docente della classe interessata, per l organizzazione e la gestione delle attività alternative destinate a coloro che non si avvalgono dell nsegnamento in questione. L Istituto può detenere inoltre, in circostanze particolari, i seguenti dati sensibili o giudiziari: a) certificazioni di handicap (diagnosi medica e funzionale); b) dati sullo stato di salute necessari alla gestione delle pratiche relative agli infortuni; c) sentenze e altri atti giudiziari riguardanti l alunno e i suoi familiari Dati relativi al personale scolastico L Istituto possiede un archivio cartaceo e una base dati informatica contenente i dati personali identificativi dei dipendenti, informazioni relative alla posizione giuridica, alla carriera, alle assenze dal servizio, e ogni altra informazione necessaria o utile alla gestione del rapporto di lavoro. L Istituto, al solo fine di individuare ove necessario l avente diritto, detiene inoltre i dati personali degli aspiranti a contratti di lavoro a tempo determinato. Relativamente al proprio personale, l Istituto può detenere inoltre, in circostanze particolari, i seguenti dati sensibili o giudiziari: a) certificazioni mediche di idoneità fisica all impiego o di invalidità parziale o totale; b) dati sullo stato di salute necessari alla gestione delle pratiche relative agli infortuni; c) sentenze e altri atti giudiziari rilevanti per la retribuzione o per procedimenti disciplinari Dati relativi ai fornitori di beni e servizi Nei rapporti con i fornitori di beni e servizi, l Istituto acquisisce i dati identificativi strettamente necessari al rapporto commerciale e conserva in archivio cartaceo e su base dati informatica i dati contabili relativi alle singole transazioni. Nel rapporto con i consulenti e gli esperti esterni, l Istituto acquisisce i dati dei curricula degli aspiranti ai fini della valutazione preventiva dell idoneità a fornire il servizio specificamente richiesto dalla scuola. D.P.S. 07/02/ pagina 4 di 19

5 1.7. Elenco dei dati personali di natura comune, sensibile o giudiziaria Sulla scorta delle precisazioni sopra elencate, l istituzione scolastica, sulla base di u- na prima ricognizione, con salvezza della possibilità di procedere a successive integrazioni o correzioni in sede di revisione periodica del presente documento programmatico, dichiara, con riferimento ai destinatari o familiari dei destinatari dell offerta formativa ovvero del personale coinvolto, a qualunque titolo, nella medesima, o interessato ad essere coinvolto, ovvero di soggetti, a qualsiasi titolo, coinvolti in rapporti negoziali con l istituzione scolastica, o aspiranti ad assumere tale ruolo, di trattare i dati di seguito elencati: a) dati identificativi, ai sensi dell art. 4, comma 1, lettere b) e c) del D.Lgs. n.196 del 2003, univocamente riconducibili ad un soggetto fisico, identificato o identificabile, quali nominativo, dati di nascita, residenza, domicilio, stato di famiglia, codice fiscale, stato relativo all adempimento degli obblighi di leva; b) dati identificativi, ai sensi dell art.4, comma 1, lettere b) e c), del D.Lgs. n. 196 del 2003, univocamente riconducibili a persone giuridiche, enti o associazioni, inerenti la forma giuridica, la data di costituzione, la sede, il domicilio, l evoluzione degli organi rappresentativi e legali, la sede, la partita IVA, il codice fiscale, la titolarità di diritti o la disponibilità di beni strumentali; c) dati sensibili, ai sensi dell art. 4, comma 1, lettera d), del D.Lgs. n. 196 del 2003; d) dati giudiziari, ai sensi dell art. 4, comma 1, lettera e) del D. Lgs. n. 196 del 2003; e) dati inerenti il livello di istruzione e culturale nonché relativi all esito di scrutini, esami, piani educativi individualizzati differenziati; f) dati inerenti le condizioni economiche e l adempimento degli obblighi tributari; g) dati riferibili a procedimenti giudiziari, pendenti in qualsiasi grado, o pregressi, di natura civile, amministrativa, tributaria, presso autorità giurisdizionali italiane o estere, diversi da quelli rientranti nell art. 4, comma 1, lettera e) del D.Lgs. n. 196 del 2003; h) dati atti a rilevare la presenza presso l istituzione scolastica dei destinatari dell offerta formativa ovvero dei familiari nonché del personale coinvolto, a qualsiasi titolo, nella somministrazione di tale offerta; i) dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque; j) dati inerenti negoziazioni e relative modalità di pagamento rispetto a forniture di beni, servizi o di opere, ovvero proposte ed offerte inerenti le medesime negoziazioni; k) dati inerenti la fornitura e le modalità di pagamento riguardo ad attività professionale a fini formativi; l) dati contabili e fiscali; m) dati inerenti la titolarità di diritti, il possesso o la detenzione di beni mobili registrati, mobili o immobili; n) dati detenuti in applicazione di disposizioni di origine nazionale o comunitaria, atti o provvedimenti amministrativi, fonti contrattuali. D.P.S. 07/02/ pagina 5 di 19

6 2. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ 2.1. Titolare del trattamento Titolare del trattamento è l Istituto Statale di Istruzione Superiore ITALO CALVI- NO, Ente dotato di Personalità Giuridica, legalmente rappresentato dal Dirigente Scolastico pro tempore, Signor MARCO PARMA Responsabile del trattamento per la sicurezza dei dati Il Responsabile del trattamento per la Sicurezza dei Dati personali è individuato nella persona del Direttore dei Servizi Generali e Amministrativi pro tempore, Signor ANIELLO DI MARINO, designato dal Titolare mediante autonomo provvedimento, che si allega al presente documento. Il Responsabile è stato designato in considerazione della esperienza, capacità ed affidabilità espressa dal medesimo, tale da offrire idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento. Il suddetto Responsabile del trattamento ha ricevuto adeguate istruzioni riguardo: a) all individuazione ed adozione delle misure di sicurezza da applicare nell ambito dell istituzione scolastica, al fine di salvaguardare la riservatezza, l integrità, la completezza e la disponibilità dei dati trattati; b) all esigenza di provvedere, mediante atto scritto, all individuazione delle unità legittimate al trattamento, per mezzo dei singoli preposti, ovvero di singoli incaricati, ai sensi dell art.30 del d.lgs. n.196 del 2003, deputati ad operare sotto la diretta autorità del responsabile, attenendosi alle istruzioni impartite, fermo restando l obbligo gravante sul responsabile, di vigilare sul rispetto delle misure di sicurezza adottate; c) all esigenza di verificare che gli obblighi di informativa siano stati assolti correttamente, ovvero che sia stato conseguito il consenso degli interessati; d) all obbligo di collaborare con il titolare nell adempiere alle richieste avanzate dal Garante per la protezione dei dati personali ovvero alle autorità investite dei poteri di controllo; e) all attribuzione della competenza ad elaborare e sottoscrivere notificazioni al Garante per la protezione dei dati personali; f) all obbligo di osservare e far osservare il divieto di comunicazione e diffusione dei dati personali comunque trattati da parte dell istituzione scolastica; g) all obbligo, ovvero a proporre soluzioni organizzative che consentano un ampliamento dei livelli di sicurezza. Al Responsabile sono stati formalmente conferiti i seguenti compiti: - individuare le persone fisiche autorizzate a compiere operazioni di trattamento dei dati personali (la designazione dell incaricato e la preposizione all incarico, con conseguente attribuzione di specifiche responsabilità, avverranno con provvedimento del Dirigente Scolastico); - vigilare affinché le norme di comportamento e le cautele previste dal presente Documento per la Sicurezza dei Dati Personali vengano scrupolosamente osservate dal D.P.S. 07/02/ pagina 6 di 19

7 personale incaricato, segnalando, se del caso, ogni forma di negligenza o di omissione; - formulare, almeno annualmente, proposte di revisione del Documento per la Sicurezza; - elaborare il piano di formazione del personale Responsabile della gestione e della manutenzione degli strumenti elettronici È individuato nella persona dell Assistente Tecnico Sig. Paolo Campagnoli. Ha competenza per interventi di piccola manutenzione hardware e software, che non richiedano l intervento diretto della Ditta specializzata incaricata dell assistenza, con la quale mantiene contatti diretti e continui. Ha inoltre i seguenti compiti connessi con la sicurezza dei dati: a) definire le politiche da adottare per la protezione dai virus informatici, di cui verifica l efficacia con cadenza mensile; b) adottare misure efficaci contro l intrusione nel sistema (protezione con firewall e/o interventi sulla dotazione hardware); c) assicurare la disponibilità dei supporti per le copie di sicurezza e vigilare sull efficienza dei sistemi di back-up; d) collaborare con gli incaricati delle copie di sicurezza e della gestione delle credenziali per tutte le problematiche a carattere tecnico connesse con lo svolgimento di tali incarichi Incaricato della custodia delle copie delle credenziali È individuato nella persona dell Assistente Tecnico Sig. Paolo Campagnoli. Ha i seguenti compiti: a) gestire e custodire le credenziali per l accesso ai dati da parte di tutte le persone che il Direttore dei Servizi Generali e Amministrativi ha incaricato del trattamento; b) istruire gli incaricati sulle modalità di utilizzo delle credenziali di accesso; c) ritirare e disattivare le credenziali degli incaricati che cessano di svolgere tale ruolo Incaricato delle copie di sicurezza delle banche dati È individuato nella persona dell Assistente Tecnico Sig. Paolo Campagnoli. Ha i seguenti compiti: a) prendere tutti i provvedimenti necessari ad evitare la perdita o la distruzione di dati e provvedere al ricovero periodico degli stessi con copie di sicurezza, con criteri concordati con il Direttore dei Servizi Generali e Amministrativi, nella sua veste di Responsabile della sicurezza dei dati; b) codificare e depositare in forma scritta procedure e istruzioni di back-up; c) nominare e istruire il proprio sostituto nel compito, in caso di assenza dal servizio; d) assicurarsi della qualità delle copie di back-up e della loro custodia in luogo sicuro e sorvegliato; e) conservare con la massima cura i dispositivi utilizzati per le copie di sicurezza; D.P.S. 07/02/ pagina 7 di 19

8 f) segnalare al responsabile della gestione e della manutenzione degli strumenti elettronici ogni problema che dovesse verificarsi nello svolgimento della propria attività Incaricati del trattamento dei dati personali Sono incaricati del trattamento tutti gli assistenti amministrativi che, in forma più o meno continuativa, compiono operazioni di trattamento di dati personali. Sono, altresì, incaricati del trattamento tutti i Docenti in servizio nella scuola, indipendentemente dallo status giuridico e contrattuale. Gli assistenti amministrativi incaricati del trattamento hanno i seguenti compiti: a) conservare con la massima cura e segretezza le credenziali di autenticazione; b) utilizzare password personali di almeno otto caratteri, non riconducibili facilmente alla loro situazione personale; c) aggiornare la password al primo utilizzo e successivamente almeno ogni tre mesi; d) consegnare le password in busta chiusa, dopo ogni modifica, esclusivamente al responsabile della loro gestione; e) custodire continuativamente la propria postazione di lavoro durante una sessione di trattamento di dati personali, sia informatica che cartacea; f) custodire accuratamente atti e documenti contenenti dati personali relativi ai procedimenti amministrativi di propria competenza. I docenti incaricati del trattamento hanno i seguenti compiti: a) gestire i dati personali degli studenti delle classi loro affidate su supporto cartaceo (registro personale, registro di classe, registri di presenza per le attività aggiuntive di insegnamento) e nel sito internet appositamente predisposto per la registrazione delle valutazioni delle singole prove di verifica, nonché delle valutazioni periodiche e finali. I suddetti incaricati, in particolare, sono stati formalmente edotti in merito alla circostanza che: a) il trattamento e la conservazione dei dati deve avvenire esclusivamente in modo lecito e proporzionato alle funzioni istituzionali, nel rispetto della riservatezza; b) la raccolta, registrazione ed elaborazione dei dati, mediante strumento informatico o cartaceo, deve essere limitata alle finalità istituzionali; c) integra onere dell incaricato la correzione od aggiornamento dei dati posseduti, l esame della loro pertinenza rispetto alle funzioni; d) integra inosservanza delle istruzioni la comunicazione, effettuata in qualsiasi maniera, dei dati in possesso, con eccezione del caso in cui il destinatario sia l interessato alle stesse, ovvero altri soggetti legittimati ad ricevere dette comunicazioni. L ambito dei trattamenti autorizzati ai singoli incaricati è suscettibile di aggiornamento periodico. A tutti gli incaricati destinati al trattamento di dati mediante strumento elettronico, sono state conferite credenziali di autenticazione (art. 34, comma 1, lettera b)) mediante parola chiave, conformi alle caratteristiche indicate nell allegato B. Le suddette credenziali sono disattivate automaticamente dal gestore della rete periodicamente, ovvero in tutti i casi di mancata utilizzazione per almeno sei mesi. D.P.S. 07/02/ pagina 8 di 19

9 2.7. Strutture preposte ai trattamenti e riparto delle responsabilità Struttura Incaricati Trattamenti effettuati Compiti Ufficio Protocollo Ufficio Personale Servizi amministrativi Servizi inerenti l offerta formativa Franca Sabatino Bice Pagliuso Antonina Greco Antonina Greco Maria Rosa Tito Angela Martino Anna Croce Maria Agrusa Ass.Amm.va Luisa Pestrin Ass.Amm.va Paola Rocco Trattamenti strumentali allo svolgimento dei compiti istituzionali (gestione della corrispondenza ricevuta ed inviata dal Dirigente dell istituzione scolastica; tenuta del protocollo generale con conseguente registrazione della posta, anche elettronica o ricevuta via fax, e delle comunicazioni di ufficio in entrata e in uscita) Trattamenti strumentali allo svolgimento dei compiti istituzionali, in materia di selezione ed amministrazione del personale (registrazione delle presenze presso l istituzione scolastica, assenze per malattia, esigenze familiari, espletamento funzioni politiche o sindacali; aspetti economici e previdenziali: paghe contributi, ecc.; raccolta di curricula riguardo a soggetti interessati all espletamento di funzioni docenti) Trattamenti strumentali allo svolgimento dei compiti di gestione amministrativa (tenuta dei dati connessi all espletamento di procedimenti amministrativi, attività contrattuale, gestione di beni, procedure di bilancio) Trattamenti strumentali alla predisposizione e concreta erogazione dell offerta formativa (raccolta delle domande di iscrizione; condizioni sanitarie ed economiche dei destinatari dell offerta formativa, documentazione concernente opzioni per insegnamenti facoltativi, dati inerenti profili sanitari o relativi al nucleo famigliare dei destinatari dell offerta formativa, per il riconoscimento di attività di sostegno in ragione di situazioni di disagio, sociale, economico o familiare, registri relativi alle presenze presso l istituzione scolastica) Acquisizione e caricamento dei dati, consultazione, stampa, comunicazione a terzi, manutenzione tecnica dei programmi utilizzati nel trattamento, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.) Come sopra Come sopra Come sopra D.P.S. 07/02/ pagina 9 di 19

10 Struttura Incaricati Trattamenti effettuati Compiti Servizi strumentali agli organi collegiali Anna Croce Angela Martino Trattamenti strumentali alle attività degli organi collegiali ed attività connesse ai rapporti con organi pubblici (composizione degli organi collegiali rappresentativi della comunità servita dall offerta formativa, convocazione degli organi, raccolta delle delibere, raccolta degli atti concertati con altre istituzioni pubbliche) Come sopra Servizi strumentali, affidati all esterno, concernenti l assistenza e la manutenzione degli strumenti elettronici (elaboratori e programmi) Ass.Tecnico Paolo Campagnoli Trattamenti strumentali (interventi di carattere tecnico aventi ad oggetto gli strumenti elettronici, effettuati anche al di fuori dei locali scolastici) Come sopra 2.8. Trattamento dei dati presso la sede secondaria di Noverasco di Opera Presso l ufficio di segreteria situato nell edificio scolastico di Noverasco di Opera (sezioni associate di Liceo Scientifico e Istituto Tecnico Agrario), sotto la responsabilità dell incaricata Anna Croce, sono effettuati i seguenti trattamenti: a) dati alunni: consultazione dell archivio anagrafico per esigenze di comunicazione diretta fra docenti e famiglie; elaborazione dei dati relativi alle assenze degli studenti e dei docenti, alla valutazione intermedia e conclusiva degli alunni; b) utilizzo dei dati dei componenti degli organi collegiali, per la convocazione di riunioni di servizio; c) ritiro e trasmissione (in forma cartacea) di corrispondenza alla segreteria centrale per la gestione delle carriere scolastiche degli alunni e del rapporto di lavoro del personale scolastico Trattamenti mediante utilizzo del Portale SIDI (sistema informativo centrale del Ministero) Con riferimento alla gestione dei dati mediante sistema informativo ministeriale, l Istituzione scolastica declina ogni responsabilità, operando come semplice utente, non essendo in grado di intervenire sulla gestione delle informazioni ivi contenute e gestite. D.P.S. 07/02/ pagina 10 di 19

11 2.10. Responsabili della custodia e della chiusura degli uffici Il Collaboratore Scolastico con funzione di custode assicura la propria presenza continuativa; verifica ogni sera la chiusura di tutte le porte di accesso alla scuola, delle finestre e dei locali dell ufficio di segreteria. Tutti i Collaboratori Scolastici, qualora collocati nei turni di servizio di apertura e chiusura dell Istituto, sono solidalmente responsabili: a) all atto dell apertura, della verifica dei locali, delle finestre e delle porte di accesso; b) al termine delle attività della giornata, della verifica della chiusura di tutte le finestre e di tutte le porte di accesso, con particolare riguardo agli uffici di segreteria, presidenza e vicepresidenza. Tutti i Collaboratori Scolastici, secondo i turni di servizio, nel corso della giornata sono responsabili: a) della vigilanza degli ingressi, invitando eventuali visitatori a qualificarsi e a dichiarare il motivo dell accesso alla struttura; b) della prevenzione dell accesso arbitrario agli uffici. 3. ANALISI DEI RISCHI CHE INCOMBONO SUI DATI - MISURE DI SICUREZZA ADOTTATE O DA ADOTTARE L Istituzione scolastica ha proceduto ad una ricognizione dei rischi che potrebbero comportare eventi di distruzione, sottrazione, perdita, trattamento abusivo dei dati, di origine dolosa, colposa, ovvero meramente fortuiti, in grado di recare pregiudizio ai dati personali trattati. Le fonti di rischio sono state accorpate in: a) comportamenti degli operatori (sottrazione di credenziali di autenticazione; comportamenti imperiti, imprudenti o negligenti dei soggetti legittimati al trattamento dei dati; comportamenti dolosi dei soggetti legittimati; errori materiali); b) eventi relativi agli strumenti (danni arrecati da virus informatici o da hackers, mediante interventi precedenti all aggiornamento degli strumenti di contrasto (software e firewall), spamming o tecniche di sabotaggio; malfunzionamento, indisponibilità o usura fisica degli strumenti; accessi abusivi negli strumenti elettronici; intercettazione dei dati in occasione di trasmissione in rete); c) eventi relativi al contesto fisico-ambientale (distruzione o perdita di dati in conseguenza di eventi incontrollabili ovvero, seppur astrattamente preventivabili - come incendi o allagamenti - di origine fortuita, dolosa o colposa, per i quali non è possibile apprestare cautele; guasti a sistemi complementari, come la mancata erogazione di energia elettrica per lunghi periodi di tempo, in grado di pregiudicare la climatizzazione dei locali; furto o danneggiamento degli strumenti elettronici di trattamento dei dati, in orario diverso da quello di lavoro; accesso non autorizzato da parte di terzi - interni o esterni all istituzione scolastica - mediante uso abusivo di credenziali di autenticazione, in funzione di danneggiamento o sottrazione dei dati; errori umani nell attivazione degli strumenti di protezione). D.P.S. 07/02/ pagina 11 di 19

12 I suddetti rischi sono stati partitamente analizzati nella loro gravità, tenendo conto della concreta possibilità di realizzazione presso l istituzione scolastica. La tabella seguente sintetizza i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutandone le possibili conseguenze e stimandone la gravità, ponendoli altresì in correlazione con le misure di sicurezza previste. Evento Comportamenti degli operatori Furto di credenziali di autenticazione Carenza di consapevolezza, distrazione o incuria Comportamenti sleali o fraudolenti Errori materiali Impatto sulla sicurezza dei dati, valutazioni A probabilità bassa, l evento è potenzialmente pericoloso per l integrità dei dati solo nel caso in cui si verifichi contestualmente l accesso non autorizzato agli uffici. Evento a probabilità alta, a causa del turnover di personale precario e più in generale per carenza di sensibilizzazione alle problematiche della sicurezza dei dati e della privacy Evento a probabilità bassa, in quanto i dati detenuti sono sostanzialmente privi di valore commerciale Evento a probabilità media, potenzialmente molto dannoso o distruttivo Misure di sicurezza adottate o da adottare Misure adottate: - inserimento di molteplici password di accesso (accensione PC, accesso al sistema operativo, accesso ai pacchetti applicativi). Misure da adottare: - verifica periodica password e sostituzione delle stesse - codifica delle procedure di chiusura degli uffici. Programmazione intervento formativo da effettuarsi entro l anno 2011 (azione generale di sensibilizzazione, principali aspetti della normativa, disposizione di ordine tecnico). Si ritiene adeguata l attuale azione di vigilanza da parte del Responsabile della Sicurezza. Misure adottate: - back-up dei dati - custodia copie di sicurezza in armadi blindati. Misure da adottare: - puntuale codifica delle procedure di back-up a cura dell Incaricata delle copie di sicurezza D.P.S. 07/02/ pagina 12 di 19

13 Evento Eventi relativi agli strumenti Azione di virus informatici o di codici malefici Spamming o altre tecniche di sabotaggio Misure di sicurezza adottate o da adottare Misure adottate: - misure di prevenzione e blocco da parte del gestore del dominio; - installazione e aggiornamento continuo on line su server e PC di Norton Antivirus; - disposizione di utilizzo della posta elettronica e della rete internet solo per motivi d ufficio e solo a siti riconducibili all attività lavorativa da svolgere; - separazione logica o fisica della rete amministrativa da quella didattica. Misure da adottare: - perseguimento delle responsabilità individuali, in caso di contaminazioni dei PC derivanti da uso incauto della rete internet o della posta elettronica; - monitoraggio e verifica a campione degli accessi alla rete internet da parte delle singole macchine collegate. In caso di necessità, si provvederà al blocco dei mittenti, in collaborazione con il gestore presso il quale è ubicato il dominio. Malfunzionamento, indisponibilità o degrado degli strumenti Accessi esterni non autorizzati Impatto sulla sicurezza dei dati, valutazioni Rischio elevato, in quanto risultano continui tentativi di infezione attraverso la posta e- lettronica e l accesso non autorizzato di dipendenti a siti internet consultati per svago o interesse personale, da parte di studenti o di dipendenti. Il rischio non appare rilevante; non risultano precedenti. Il rischio non appare rilevante, perché tutto lo hardware è di recente acquisto e viene regolarmente rinnovato. Evento a probabilità non stimabile, in quanto a oggi non risultano accessi non autorizzati all Istituto negli orari di chiusura. L impatto dell evento è potenzialmente distruttivo. Misure adottate: - attuazione del piano pluriennale di rinnovo delle dotazioni hardware. Misure adottate: - presenza di custode; - protezione dei locali con allarme collegato via radio con istituto di vigilanza; - registro degli accessi dopo l orario di chiusura degli uffici. D.P.S. 07/02/ pagina 13 di 19

14 Evento Eventi relativi al contesto Intercettazione di informazioni in rete Accessi non autorizzati a locali ad accesso ristretto Asportazione e furto di strumenti contenenti dati Eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti a incuria Guasto ai sistemi complementari (impianto elettrico, climatizzazione, ecc.) Impatto sulla sicurezza dei dati, valutazioni Evento a probabilità bassa, effetti non stimabili. Evento a probabilità non stimabile, in quanto a oggi non risultano accessi non autorizzati all Istituto negli orari di chiusura. L impatto dell evento è potenzialmente distruttivo. Evento a probabilità non stimabile, in quanto a oggi non risultano effettuati né tentati furti nell Istituto negli orari di chiusura degli uffici. L impatto dell evento è potenzialmente distruttivo. Non rilevante. Si rinvia alle fattispecie già esaminate, per quanto è riconducibili alla presente categoria di rischi. Non essendovi impianto di climatizzazione estiva, il rischio è limitato a guasti occasionali dell impianto elettrico o a sospensioni dell alimentazione elettrica in zona. Misure di sicurezza adottate o da adottare Misure da adottare: - installazione di software di protezione. Misure adottate: - presenza di custode; - protezione dei locali con allarme collegato via radio con istituto di vigilanza; - registro degli accessi dopo l orario di chiusura degli uffici. Misure adottate: - presenza di custode; - protezione dei locali con allarme collegato via radio con istituto di vigilanza. Misure da adottare: - messa in sicurezza del server; - custodia di copie di back-up in luogo diverso dall ufficio; - disponibilità di PC portatile predisposto per l emergenza. Misure adottate: - protezione dei PC della presidenza e della direzione amministrativa, nonché del server, con gruppi di continuità; - installazione dei gruppi di continuità su tutti PC della segreteria. 4. CRITERI E MODALITÀ DI RIPRISTINO DELLA DISPONIBILITÀ DEI DATI Al fine di garantire l integrità dei dati contro i rischi di distruzione o perdita, è stata definita una procedura di periodica esecuzione di copie di sicurezza dei dati trattati. D.P.S. 07/02/ pagina 14 di 19

15 Sono state perciò acquisite licenze di uso per software antivirus, nonché sistemi di firewall con verifica di idoneità e costante aggiornamento. In ogni caso si osserva che l istituzione scolastica dispone di un sistema di controllo degli accessi ai locali. I documenti sono anche conservati in copia cartacea presso locali dell istituzione scolastica non accessibili ai terzi e dotati di adeguati strumenti di protezione (armadi con serrature, stanze protette da inferriate). Sinteticamente è possibile rappresentare la seguente procedura di copia, verifica e ripristino dei dati per ogni p.c. o terminale di collegamento a server Salvataggio Premesso che i software applicativi specifici ( SISSI ) e i documenti realizzati negli uffici mediante l utilizzo dei comuni programmi di office automation sono archiviati sul disco rigido principale del server di rete, il salvataggio dell intero contenuto di tale disco viene effettuato con le seguenti modalità: - riversamento dell intero contenuto dati su disco rigido secondario; - backup dei dati su DVD ROM riscrivibile, eseguito giornalmente con utilizzo alternato di due dischi del tipo DVD-RW. I dischi contenenti le copie di backup sono custoditi in separati armadi blindati Ripristino Il ripristino è effettuato secondo le procedure del software gestionale, ove si tratti di mera perdita di dati. Qualora si siano verificati danneggiamenti hardware, con conseguente riparazione o sostituzione dell elaboratore o di sue parti, il ripristino dei dati oggetto di trattamento è preceduto dal caricamento dei software gestionali in utilizzo. 5. PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI PREVISTI Sono stati effettuati incontri di sensibilizzazione generale del personale della scuola alle tematiche della privacy e della salvaguardia della sicurezza dei dati Interventi rivolti ai docenti Il personale docente è stato reso edotto della normativa vigente e delle cautele in uso nell istituto ai fini della sicurezza: con l obiettivo di renderlo consapevole delle misure adottate, del conseguente comportamento degli uffici e della procedura da seguire nel caso in cui venga in possesso di informazioni sugli alunni. Metodologia di intervento: informazione al collegio docenti. Data di effettuazione dell intervento formativo: 25 gennaio 2011; richiami annuali con analoghe modalità; consegna della lettera di incarico al trattamento dei dati a tutti i docenti all atto dell assunzione in servizio nell Istituto. D.P.S. 07/02/ pagina 15 di 19

16 5.2. Interventi rivolti al personale assistente tecnico Per l Assistente Tecnico individuato quale responsabile della gestione e della manutenzione degli strumenti elettronici si prevede la formazione continua in affiancamento al Fornitore di servizi incaricato dell assistenza hardware e software; è stato altresì erogato un apposito corso di formazione per l utilizzo del sistema operativo Windows 2003 Server. L intervento formativo si è svolto nel periodo gennaio-marzo 2008 (durata: 16 ore) Interventi rivolti al personale amministrativo L istituzione scolastica intende aderire alle iniziative formative organizzate dalla direzione regionale del Ministero dell Istruzione dell Università e della Ricerca Scientifica, tenendo anche conto dell economicità di un azione organizzata su base regionale, rispetto ad una gestione in proprio delle attività formative. L istituzione opera integrale rinvio alla programmazione della direzione regionale, riservandosi comunque di agire in via suppletiva, qualora, per ragione organizzative od economiche, non sia possibile far partecipare il proprio personale alle attività di formazione necessarie per adempiere alle prescrizioni ordinamentali. L Istituto ha inoltre aderito alle iniziative di formazione a distanza promosse dall Amministrazione Scolastica centrale, anche ai fini del conferimento delle posizioni economiche al personale A.T.A.. Si prevede inoltre per il personale amministrativo una serie di interventi che consenta la revisione completa delle procedure interne relative alla sicurezza dei dati e la loro puntuale applicazione. Il complesso degli interventi formativi sotto descritti dovrà trovare completa attuazione nel corso dell anno scolastico 2010/ Interventi rivolti alla totalità del personale Tutto il personale amministrativo risulta coinvolto nella gestione dei dati, almeno come Incaricato del trattamento. In tale veste dovrà apprendere e applicare: - linee fondamentali della normativa; - procedure di protezione fisica dei dati e di sicurezza dei locali; - modalità di custodia e utilizzo delle credenziali; - modalità di gestione degli archivi cartacei. L intervento è stato attuato in apposite riunioni di servizio, per una durata complessiva di sei ore. Le procedure in questione vengono periodicamente richiamate all attenzione degli operatori in apposite riunioni di servizio Interventi rivolti all incaricato delle copie di sicurezza Per questa figura è stato effettuato, in aggiunta, un intervento formativo a cura del Titolare e del Responsabile della Sicurezza, finalizzato alla messa a fuoco dei compiti e delle responsabilità dell incaricato delle copie di sicurezza, e soprattutto alla ridefinizione dei modi e dei tempi di effettuazione delle copie suddette. Metodologia: incontri individuali, con elaborazione durante gli stessi delle procedure di propria competenza. D.P.S. 07/02/ pagina 16 di 19

17 Durata complessiva dell intervento formativo di richiamo: tre ore, focalizzate sugli aspetti operativi della procedura Interventi rivolti all incaricato della custodia delle copie delle credenziali Per questa figura è previsto, in aggiunta, un intervento di formazione continua da effettuarsi a cura del Titolare e del Responsabile della Sicurezza, finalizzato alla messa a fuoco dei compiti e delle responsabilità dell incaricato della custodia delle copie delle credenziali, e soprattutto alla ridefinizione dei modi e dei tempi di conservazione delle credenziali e di modifica delle stesse con le periodicità previste dalla legge. Metodologia: incontri individuali, con elaborazione durante gli stessi delle procedure di propria competenza. Durata complessiva dell intervento formativo ricorrente tre ore. 6. TRATTAMENTI AFFIDATI ALL ESTERNO L Istituto gestisce in outsourcing in convenzione con la Società Monti & Russo srl un servizio di consultazione diretta on line dei dati personali (da parte dei genitori dei singoli studenti, mediante utilizzo di proprie credenziali) relativi alla frequenza e al profitto scolastico. Sono allocati sul server remoto individuato dall azienda (Data Center Telecom di Pomezia) i dati strettamente necessari all erogazione del servizio (nominativi di alunni e docenti, classi di appartenenza, indirizzo postale ed elettronico, numero di telefono cellulare, purché i recapiti telefonici siano stati forniti nella consapevolezza di questa possibilità di utilizzo), accessibili via internet dal personale interno, esclusivamente dai possessori di login e password. Piché la Società incaricata non ha fornito alla scuola il documento di sintesi relativo alle misure di sicurezza adottate a protezione della base dati in questione, e poiché si sono riscontrati disservizi e malfunzionamenti, la convenzione con la Società rimarrà in vigore per il tempo strettamente necessario e comunque non oltre il 30 giugno CONTROLLO GENERALE SULLO STATO DELLA SICUREZZA Il Responsabile per la Sicurezza mantiene aggiornate le misura di sicurezza al fine di adottare gli strumenti più idonei per la tutela dei dati trattati. Egli verifica inoltre con frequenza almeno mensile l efficacia delle misure adottate relativamente a: - accesso fisico ai locali ove si svolge il trattamento; - procedure di archiviazione e custodia dei dati trattati; - efficacia e utilizzo delle misure di sicurezza per gli strumenti elettronici; - integrità dei dati e delle loro copie di backup; - distruzione dei supporti magnetici non più utilizzabili; D.P.S. 07/02/ pagina 17 di 19

18 - livello di informazione degli incaricati del trattamento. 8. DICHIARAZIONE DI IMPEGNO Il presente documento, redatto in data odierna, viene firmato in calce dal Titolare e dal Responsabile del trattamento, e verrà aggiornato periodicamente entro il 31 marzo di ogni anno. L originale del presente documento è custodito presso la sede dell Istituto, per essere esibito in caso di controllo. Copia del documento è destinata: - all Albo dell Istituto; - a tutti gli assistenti amministrativi, per conoscenza e norma. 9. RECEPIMENTO DEL REGOLAMENTO MINISTERIALE Il presente Documento recepisce e fa proprie le disposizioni del Regolamento Ministeriale definito e pubblicato con Decreto 7 dicembre 2006, n Le norme e le modalità di trattamento ivi indicate sono considerate prevalenti, in caso di conflitto con le prescrizioni del presente documento. 10. DISPOSIZIONI IN MERITO AI PRINCIPI GENERALI DA OSSERVARE NEL TRATTAMENTO DEI DATI PERSONALI Tutti gli operatori della scuola sono stati richiamati, mediante apposita disposizione interna, ad osservare nel loro comportamento quotidiano i princìpi fondamentali sanciti nell articolo 11 e le regole ulteriori per il trattamento da parte dei soggetti pubblici, contenuti negli articoli 18, 19, 20, 21 e 22 del Decreto Legislativo 30 giugno 2003, n D.P.S. 07/02/ pagina 18 di 19

19 11. ELENCO DEGLI ALLEGATI All. no. Descrizione 1 Comunicazione del Titolare 2 Conferma della nomina del Responsabile della Sicurezza dei Dati Personali (D.S.G.A. Aniello Di Marino) 3 Nomina del Responsabile della gestione e della manutenzione degli strumenti elettronici (Ass. Tecnico Paolo Campagnoli) 4 Nomina dell Incaricato della custodia delle copie delle credenziali (Ass. Tecnico Paolo Campagnoli) 5 Nomina dell Incaricato delle copie di sicurezza delle banche dati (Ass. Tecnico Paolo Campagnoli)) 6 Modello di nomina di incaricato del trattamento (assistente amministrativo) 7 Modello di nomina di incaricato del trattamento (docente) 8 Decreto Ministeriale 7 dicembre 2006, n. 305, Regolamento recante identificazione dei dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal Ministero della Pubblica Istruzione, in attuazione degli articoli 20 e 21 del Decreto Legislativo 30 giugno 2003, n Circolare interna recante norme per l applicazione del principio generale di economicità nel trattamento dei dati personali 10 Informativa agli Utenti per il trattamento dei dati personali Rozzano, 7 febbraio 2011 IL DIRIGENTE SCOLASTICO Marco Parma D.P.S. 07/02/ pagina 19 di 19

Documenti analoghi
2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back