Prot /A23 Rende, 13/12/2016

Transcript

1 MINISTERO DELL ISTRUZIONE DELL UNIVERSITÀ E DELLA RICERCA ISTITUTO D ISTRUZIONE SUPERIORE ITE V.COSENTINO IPAA F.TODARO RENDE VIA REPACI RENDE TEL. 0984/ FAX 0984/ MAIL: CSIS07400X@ISTRUZIONE.IT - CSIS07400X@PEC.ISTRUZIONE.IT Codice Fiscale Codice Meccanografico CSIS07400X SEZIONE ASSOCIATA ITES V. COSENTINO VIA REPACI, SNC RENDE SEZIONE ASSOCIATA IPAA-IPSAR F. TODARO CTR. LACONE, SNC RENDE Prot /A23 Rende, 13/12/2016 Ai DOCENTI Istituto d Istruzione Superiore ITE V.COSENTINO IPAA F.TODARO - RENDE Al Docente LORO SEDI II titolare del trattamento BARATTA BRUNELLA il responsabile SALVATORE NARDI Visto l'art.30, d.l. n. 196 del 30 giugno 2003 Visto il Regolamento d.m. 305 del 07/12/2006 recante l identificazione dei dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal MPI, in attuazione dell art.20 e 21 del decreto legislativo , n 96 Premesso che il trattamento dei dati rientra nelle competenze proprie del profilo professionale per ciascuno contrattualmente determinato ed è quindi obbligatorio e necessario per lo svolgimento delle specifiche funzioni, DESIGNANO INCARICATI DEL TRATTAMENTO DEI DATI i docenti di ruolo o supplenti, di volta in volta assegnati all istituzione e per gli ambiti per ognuno specificati: N. Funzione Ambito dei trattamenti 1 Docente ogni dato inerente gli alunni e le rispettive famiglie e la carriera scolastica degli alunni, limitatamente agli aspetti rilevanti e funzionali allo svolgimento della funzione docente ed educativa e finalizzati alla realizzazione dell'offerta formativa, limitatamente agli alunni delle classi a ciascuno affidate o agli alunni che partecipano a progetti o attività, anche integrative e complementari, in cui il docente sia coinvolto per progetti o incarichi previsti

2 AUTORIZZAZIONI: Inserimento modifica annulla visione - stampa e danno incarico alla S.V. di svolgere operazioni di trattamento dei dati personali, secondo quanto di seguito specificato: L incaricato/a del trattamento dei dati: si impegna a procedere al trattamento dei dati personali nel rispetto dei principi generali di cui all art. 30 Del D.Lgs. n.196/2003: in particolare i dati devono essere trattati in modo lecito e secondo correttezza; raccolti e registrati per scopi determinati, espliciti e legittimi; i dati devono essere pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; dichiara di avere ricevuto, esaminato e compreso le linee guida in materia di sicurezza; si impegna a rispettare i divieti di comunicazione e diffusione dei dati trattati nel corso del presente incarico e a non utilizzare i dati, cui abbia accesso, per finalità incompatibili con quelle relative al profilo di appartenenza. Si ricorda che le operazioni di comunicazione e diffusione di dati sensibili sono possibili quando vi sia una apposita previsione di legge o di regolamento. Costituisce trattamento qualunque operazione, svolta con o senza l ausilio di mezzi elettronici o comunque automatizzati, concernente la raccolta, la registrazione, l organizzazione, la conservazione, l elaborazione, la modificazione, la selezione, l estrazione, il raffronto, l utilizzo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati. L incaricato/a, nello svolgere le operazioni, deve: agire in modo lecito e secondo correttezza; raccogliere e trattare i dati esclusivamente per le finalità istruzione e assistenza scolastica in relazione al proprio profilo di appartenenza; verificare che i dati siano esatti. I dati trattati devono essere pertinenti, completi e non eccedenti rispetto alle finalità per cui si agisce. Inoltre l incaricato deve: rispettare le misure di sicurezza minime e idonee adottate dal Titolare e dal Responsabile, atte a salvaguardare la riservatezza e l integrità dei dati; informare prontamente il Responsabile del Trattamento di tutte le questioni rilevanti ai sensi del Testo Unico in materia di trattamento di dati personali; accedere ai dati strettamente necessari all esercizio delle proprie funzioni e competenze. Istruzioni operative per la sicurezza Sicurezza significa anche integrità, esattezza e aggiornamento dei dati, nonché trattamenti leciti e conformi alle finalità della raccolta. Ecco alcuni suggerimenti per procedere al trattamento dei dati: 1. non procedere alla raccolta e al trattamento dei dati senza che sia stata fornita previamente l informativa all interessato o alla persona presso cui si raccolgono i dati ex

3 art. 13. Consegnare agli interessati, al momento della raccolta dei dati, il modulo contenente l'informativa, salvo che l'informativa medesima sia stata fornita direttamente dal titolare o dal responsabile 2. consegnare, nei casi non di esonero e per il trattamento di dati sensibili, il modulo per il consenso da parte dell interessato. Ricevere quindi il modello opportunamente firmato da parte dell interessato o di chi lo rappresenti; 3. occorre procedere alla raccolta dei dati con la massima cura verificando l esattezza dei dati stessi; 4. procedere all aggiornamento dei dati, ove necessario, qualora vengano svolte operazioni dinamiche di trattamento; 5. non lasciare dischetti, fogli, cartelle e quant altro a disposizione di estranei; 6. si può accedere ai soli dati personali, oggetto di trattamento, la cui conoscenza sia strettamente necessaria per lo svolgimento delle funzioni e dei compiti affidati e per le finalità di cui al provvedimento di incarico; 7. i documenti o atti che contengono dati sensibili o giudiziari devono essere conservati in archivi (ad esempio stanze, armadi, schedari, contenitori in genere) chiusi a chiave; 8. i supporti non informatici che riproducono dati della stessa natura devono essere conservati in archivi muniti di serratura; se questa tipologia di dati viene trattata con mezzi informatici questi devono essere protetti da password, in modo da non consentire l accesso a soggetti non autorizzati; 9. curare la conservazione della propria parola chiave consegnata dal responsabile del trattamento (solo i caso di trattamento dati su supporto informatico) ed evitare di comunicarla ad altri; 10. la parola chiave, che viene assegnata dal responsabile del trattamento o amministratore di sistema, deve essere modificata a cura dell incaricato, previa comunicazione al responsabile, o al soggetto da questi individuato come preposto alla custodia, di tale circostanza. A seconda dei casi la nuova parola chiave deve essere inserita in una busta chiusa, sigillata e controfirmata sui lembi, da consegnare al preposto, che ne curerà la conservazione. Per scegliere la nuova parola chiave si devono seguire le istruzioni in calce al presente modulo; 11. in caso di necessità il Titolare o il Responsabile hanno la possibilità, previa comunicazione, ove possibile, all incaricato, di aprire la busta, per esigenze operative o di organizzazione. L incaricato nel tal caso provvederà a sostituire la parola chiave violata; 12. tutte le volte che si abbandoni la propria postazione di lavoro i pc e/o i terminali devono essere posti in condizione da non essere utilizzati da estranei; 13. spegnere sempre la macchina alla fine della giornata lavorativa; 14. qualora si dovessero riscontrare difformità dei dati trattati o nel funzionamento degli elaboratori occorre comunicare per iscritto la circostanza al proprio Responsabile del Trattamento; 15. i supporti informatici, già utilizzati per il trattamento dei dati sensibili e giudiziari, possono essere riutilizzati solo se le informazioni precedentemente contenute non sono più in alcun modo recuperabili, dovendo altrimenti essere distrutti; 16. non fornire dati e informazioni di carattere sensibile per telefono, qualora non si abbia la certezza assoluta sull identità del destinatario; 17. evitare di inviare per fax documenti in chiaro contenenti dati sensibili: in questo caso si suggerisce di comunicare un codice identificativo del soggetto interessato e quindi di inviare la copia della documentazione contrassegnata dal codice, senza il nominativo dell interessato; 18. qualora giungano richieste telefoniche di dati sensibili da parte dell Autorità Giudiziaria o

4 degli organi di polizia si deve richiedere l identità del chiamante. Quindi si provvederà a richiamare avendo così la certezza sull identità del richiedente; 19. registrare eventuali richieste di comunicazione della documentazione, contenente dati sensibili; 20. i documenti cartacei, non più utilizzati, devono essere distrutti o comunque resi illeggibili, prima di essere eliminati o cestinati. E inoltre necessario evitare di lasciare aperto il sistema operativo con la propria password inserita in caso di allontanamento anche temporaneo dal posto di lavoro, al fine di evitare trattamenti non autorizzati e di consentire sempre l'individuazione dell'autore del trattamento. Per quanto concerne i supporti di memorizzazione usati, la loro riutilizzazione è ammissibile solamente qualora i dati in essi precedentemente contenuti non siano in alcun modo recuperabili; altrimenti, occorre etichettarli, riporli in appositi contenitori e utilizzarli solamente per la conservazione, ove consentita, dei dati originariamente inseritivi. Presa visione del contenuto del DPS, dei suoi aggiornamenti, nella qualità di incaricato del trattamento, è tenuto ad uniformare alle relative prescrizioni i propri comportamenti nello svolgimento dei compiti di ufficio. L'incaricato dovrà rispettare le istruzioni impartite dal titolare o dal responsabile sia con il presente atto di nomina, sia in seguito. In particolare dovrà: - procedere alla raccolta di dati personali, anche mediante l'approvazione di appositi moduli di raccolta; - segnalare al titolare o al responsabile eventuali circostanze che rendano necessario od opportuno l'aggiornamento delle predette misure di sicurezza al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta; - effettuare la comunicazione e la diffusione dei dati esclusivamente ai soggetti indicati dal titolare o dal responsabile e secondo le modalità stabilite dai medesimi. - mantenere la massima riservatezza sui dati personali dei quali si venga a conoscenza nello svolgimento dell'incarico, per tutta la durata del medesimo ed anche successivamente al termine di esso; - in generale, prestare la più ampia e completa collaborazione al titolare ed all eventuale responsabile al fine di compiere tutto quanto sia necessario ed opportuno per il corretto espletamento dell'incarico nel rispetto della normativa vigente; Relativamente ai dati conservati in archivi cartacei, nella qualità di incaricato del trattamento, è tenuto a controllare e custodire, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, sino alla completa definizione della pratica che implica trattamento, gli atti e i documenti contenenti dati personali non sensibili o giudiziari. Controllo e custodia vanno svolti con continuità, sicché in caso di abbandono della postazione di lavoro per qualsiasi ragione occorre quanto meno riporre detti atti in armadi o cassetti muniti di serratura. Nel caso invece di atti e documenti contenenti dati personali sensibili o giudiziari, affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, oltre alle cautele da osservare per i dati comuni, è necessario che essi siano controllati e custoditi dagli incaricati fino alla restituzione in maniera che non vi accedano persone prive di autorizzazione, e sono restituiti all archivio, ove esistente o nel frattempo istituito, al termine delle operazioni affidate. Al momento della completa o provvisoria definizione di una pratica, oppure al termine dell attività lavorativa giornaliera, tali atti e documenti vanno pertanto ricollocati in archivio, ove esistente o nel frattempo istituito. In mancanza, occorre quanto meno riporre detti atti e documenti in armadi o cassetti muniti di serratura. 21. il certificato medico presentato dagli alunni al termine di un periodo di malattia non deve

5 essere conservato all interno del registro di classe; i docenti dopo aver annotato sul registro l alunno... ha giustificato l assenza dal..al... devono consegnare il certificato all ufficio di segreteria se nell aula non è possibile conservarlo in un cassetto chiuso a chiave. Al termine dell anno i certificati devono comunque essere consegnati in ufficio. 22. sul registro non devono essere annotati provvedimenti disciplinari; 23. La compilazione e la tenuta del Documento di valutazione determina un trattamento di dati personali. a) Le operazioni ( di raccolta, esame. annotazione, eventuale registrazione dei dati) verranno effettuate solo se i dati risultano essere pertinenti e non eccedenti rispetto alla finalità di valutazione dell alunno. Particolare rigore deve essere osservato per quanto riguarda l eventuale raccolta e registrazione di dati sensibili, i quali sono acquisibili, attraverso una valutazione obiettiva e selettiva, solo se realmente indispensabili per valutare il processo formativo. b) Hanno accesso al documento esclusivamente i docenti dell alunno (l equipe pedagogica) e la famiglia dell alunno. c) l inserimento nel fascicolo di tali dati personali e sensibili non è obbligatorio e può essere rifiutato dalle famiglie senza nessuna conseguenza. Regole per la scelta e la protezione delle parole chiave 1) usare una parola chiave di almeno nove caratteri; 2) usare una combinazione di caratteri alfabetici e numerici: meglio ancora è inserire almeno un segno di interpunzione o un carattere speciale; 3) non usare mai il proprio nome o cognome, né quello di congiunti (coniuge, figli, genitori) o di animali domestici. È altresì importante curare la conservazione e la segretezza della parola chiave evitando di trascriverla sul classico post-it oppure di tenerla nel portafogli o trascritta nella prima pagina dell agenda o della rubrica di ufficio. MISURE OBBLIGATORIE DI SICUREZZA DA RISPETTARE 1. Trattamento con elaboratore non in rete Parola chiave \ 2. Trattamento con elaboratori collegati in rete Codice identificativo personale Antivirus aggiornato semestralmente e nel caso di non aggiornamento tempestivo comunicare al responsabile del trattamento affinché provveda all'aggiornamento Autorizzazione all accesso ai dati sensibili e giudiziari 3. Trattamento con mezzi non elettronici o non automatizzati (es. archivi cartacei o supporti audiovisivi) Custodia dei dati in archivi ad accesso selezionato Custodia dei dati sensibili e giudiziari in archivi selezionati e controllati Custodia dei dati sensibili e giudiziari in contenitori muniti di serratura Allegati: Allegato 1: Mansionario (Esempio relativo all'incarico di trattamento di dati di alunni e familiari) La presente nomina è valida per i seguenti trattamenti: Trattamento dei dati personali relativi ai soggetti utenti dei servizi e ai loro familiari. Il Responsabile del trattamento per il quale lei è designato è il Sig. SALVATORE NARDI Il trattamento dei dati dovrà essere oggetto della massima riservatezza. Lo svolgimento delle mansioni dovrà sottostare al rispetto delle regole generali adottate

6 dalla scuola e che si allegato alla presente. Regole di riservatezza e sicurezza Non è consentito: portare fuori dai locali scolastici documenti, su qualsiasi supporto, che consentano l'identificazione di soggetti attraverso dati personali, tranne che per le operazioni espressamente autorizzate; comunicare i dati personali oggetto di trattamento a soggetti che non risultano essere incaricati; utilizzare a proprio vantaggio le informazioni di cui viene a conoscenza nello svolgimento delle sue mansioni; fornire informazioni, anche verbali, a terzi senza aver verificato la legittimità della loro richiesta; fornire a terzi, non incaricati, elaborazioni di dati personali di sua competenza. Regole generali per la sicurezza del trattamento dei dati Assicurarsi che durante le comunicazioni verbali o telefoniche, il cui oggetto siano dati o situazioni che possono consentire l'identificazione di un soggetto, non siano presenti soggetti non incaricati dello stesso trattamento. Verificare che l'invio via fax di documenti contenenti dati personali, anche sensibili, vada immediatamente a buon fine, evitando, nel dubbio, di utilizzare tale modalità e attenendosi alle istruzioni impartite. Non lasciare documenti incustoditi durante le operazioni e riportarli sempre nel luogo della loro conservazione. Nel caso di custodia di documenti in luoghi accessibili anche da parte di soggetti non incaricati, utilizzare le procedure di sicurezza, quali la chiusura a chiave di cassetti, armadi, ecc. In caso di trasferimento ad altro luogo di documenti, assicurarsi che il trasporto avvenga in regime di sicurezza, secondo le istruzioni impartite In caso di richiesta verbale, telefonica o scritta di dati, riferiti ad un interessati, accertarsi dell'autorizzazione del richiedente o degli obblighi previsti per legge. I documenti che non vengono più utilizzati devono essere distrutti Qualora di utilizzino strumenti informatici aver cura di non lasciare la postazione accesa, con lo schermo accessibile, ma utilizzare il sistema di sicurezza della password. Qualora ci si trovi a gestire una situazione di rischio non regolamentata nella scuola, occorre rivolgersi al responsabile competente e chiedere ulteriori istruzioni.. Allegato 2: Procedure Le successive procedure sono aggiornate dal responsabile sulla base dell'esperienza praticata nella scuola e delle modifiche legislative. Procedura riguardanti gli utenti e i loro familiari: Alla famiglia va consegnata, al momento dell'iscrizione, l'informativa ex articolo 13 d.lgs n. 196/03, modello... Il genitore deve sottoscrivere la ricevuta allegata all'informativa e consegnarla all'incaricato. La documentazione pervenuta alla scuola va protocollata a cura dell'incaricato, con le cautele previste dalle regole generali. La documentazione relativa all'alunno va selezionata sulla base della natura dei dati personali (dati generici o dati sensibili), collocando i documenti contenenti dati sensibili in un settore separato, secondo la struttura dei contenitori previsti.

7 Allegato 3 (a)- DATI GENERALI - TRATTABILI DOCENTI STUDENTI A.T.A. Fascicolo personale Fascicolo personale Fascicolo personale Dati anagrafici Dati anagrafici Datì anagrafici Certificazione Carriera scolastica Certificazione Carriera - Certificati esonero Carriera Assenze Comunicazioni alle Assenze Ferie Ferie (b)- DATI SENSIBILI " TRATTABILI IN MANIERA RISERVATA DOCENTI STUDENTI A.T.A. Stato di famiglia, Stato di famiglia Stato di famiglia Relazione formazione Certificazioni Relazione formazione Documentazione stipendio Certificazioni L.104/92 Documentazione Certificazioni Patologie PED e Certificazione Certificazioni Patologie Contestazioni addebiti Richieste contributi Contestazioni addebiti Sanzioni disciplinari Comunicazioni dei Sanzioni disciplinari Certificazioni L.104/92 Certificazioni Certificazioni L.104/92 Collocazioni fuori ruolo ex Sanzioni disciplinari Collocazioni fuori ruolo Richieste prestiti Richieste prestiti Sanzioni ' ' Sanzioni (O)- DATI GIUDIZIARI - TRATTABILI PREVIA AUTORIZZAZIONE DEL GARANTE DOCENTI STUDENTI A.T.A. - Documenti o atti giudiziari - Documenti o atti giudiziari - Documenti o atti giudiziari - Condanne civili o penali - Condanne civili o penali - Condanne civili o penali Allegato 4 MINISTERO DELLA PUBBLICA ISTRUZIONE DECRETO 7 dicembre 2006, n. 305 Regolamento recante identificazione dei dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal Ministero della pubblica istruzione, in attuazione degli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali». (Gazzetta Ufficiale n. 11 del 15/1/2007) Testo in vigore dal: IL MINISTRO DELL'ISTRUZIONE DELL'UNIVERSITA' E DELLA RICERCA

8 Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali»; Visti in particolare gli articoli 20, comma 2, e 21, comma 2, del citato decreto legislativo 30 giugno 2003, n. 196, i quali dispongono che, nel caso in cui una disposizione di legge specifichi la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e giudiziari trattabili ed i tipi di operazioni su questi eseguibili, il trattamento e' consentito solo in riferimento a quei tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi; Visto in particolare l'articolo 20, comma 2, del citato decreto legislativo 30 giugno 2003, n. 196, in cui e' stabilito che detta identificazione deve avvenire con atto di natura regolamentare adottato in conformità al parere espresso dal Garante, ai sensi dell'articolo 154, comma 1, lettera g) del medesimo decreto legislativo; Considerato che possono spiegare effetti maggiormente significativi per l'interessato le operazioni svolte, in particolare, pressoché interamente mediante siti web o volte a definire in forma completamente automatizzata profili o personalità di interessati, le interconnessioni e i raffronti, di cui all'articolo 4, comma 1, lettera a) del citato decreto legislativo 30 giugno 2003, n. 196, tra banche di dati gestite da diversi titolari oppure con altre informazioni sensibili e giudiziarie detenute dal medesimo titolare del trattamento, nonché la comunicazione dei dati a terzi; Ritenuto di individuare analiticamente nelle schede allegate al presente regolamento, con riferimento alle predette operazioni che possono spiegare effetti maggiormente significativi per l'interessato, quelle effettuate da questa amministrazione, dalle istituzioni scolastiche e educative e dagli istituti regionali di ricerca educativa, in particolare le operazioni di interconnessione e di raffronto tra banche di dati gestite da diversi titolari, oppure con altre informazioni sensibili e giudiziarie detenute dal medesimo titolare del trattamento, nonché di comunicazione a terzi; Ritenuto, altresì, di indicare sinteticamente anche le operazioni ordinarie che i diversi titolari indicati nel presente regolamento devono necessariamente svolgere per perseguire le finalità di rilevante interesse pubblico individuate per legge (operazioni di raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, utilizzo, blocco, cancellazione e distruzione); Considerato che per quanto concerne tutti i trattamenti di cui sopra e' stato verificato il rispetto dei principi e delle garanzie previste dall'articolo 22 del citato decreto legislativo 30 giugno 2003, n. 196, con particolare riferimento alla pertinenza, non eccedenza e indispensabilità dei dati sensibili e giudiziari utilizzati rispetto alle finalità perseguite, all'indispensabilità delle predette operazioni per il perseguimento delle finalità di rilevante interesse pubblico individuate per legge, nonché all'esistenza di fonti normative idonee a rendere lecite le medesime operazioni o, ove richiesta, all'indicazione scritta dei motivi; Visto il provvedimento generale del Garante della protezione dei dati personali del 30 giugno 2005 (pubblicato in Gazzetta Ufficiale n. 170 del 23 luglio 2005); Visto l'articolo 17, commi 3 e 4, della legge 23 agosto 1988, n. 400; Visto il decreto del Presidente della Repubblica 11 agosto 2003, n. 319 relativo al regolamento dell'organizzazione e delle funzioni degli uffici di livello dirigenziale generale dell'amministrazione centrale e periferica del Ministero dell'istruzione, dell'università e della ricerca; Vista la direttiva del Ministro della funzione pubblica in data 11 febbraio 2005, riguardante le «Misure finalizzate all'attuazione nelle pubbliche amministrazioni delle disposizioni contenute nel decreto legislativo 30 giugno 2003, n. 196»; Ravvisata la necessità di provvedere ad identificare le tipologie di dati sensibili e

9 giudiziari trattati nell'ambito dell'amministrazione dell'istruzione, le finalità d'interesse pubblico perseguite attraverso il trattamento dei citati dati, nonché le operazioni seguite con gli stessi; Sentito il Garante per la protezione dei dati personali di cui all'articolo 154, comma 1, lettera g) del citato decreto legislativo 30 giugno 2003, n 196; Udito il parere del Consiglio di Stato espresso dalla Sezione consultiva per gli atti normativi nell'adunanza del 6 novembre 2006; Vista la comunicazione al Presidente del Consiglio dei Ministri effettuata, a norma dell'articolo 17, comma 3, della citata legge n. 400 del 1988, con nota del 21 novembre 2006; Adotta il seguente regolamento: Art. 1 Oggetto del regolamento 1. Il presente regolamento, in attuazione degli articoli 20, comma 2, e 21, comma 2, del decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali», di seguito denominato «codice», identifica nelle schede allegate, che ne formano parte integrante, le tipologie di dati sensibili e giudiziari e di operazioni indispensabili per la gestione del sistema dell'istruzione, nel perseguimento delle finalità di rilevante interesse pubblico individuate dal codice e dalle specifiche previsioni di legge. Avvertenza: Il testo delle note qui pubblicate e' stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, comma 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali, della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge alle quali e' operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti. Note al preambolo: - Si riporta il testo dell'art. 4, comma 1, lettera a), dell'art. 20, comma 2, dell'art. 21, comma 2, dell'art. 22 e dell'art. 154, comma 1, lettera g) del decreto legislativo 30 giugno 2003, n. 196: «Art. 4 (Definizioni) Ai fini del presente codice si intende per: a) «trattamento», qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;». «Art. 20 (Principi applicabili al trattamento di dati sensibili) (Omissis...). 2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento e' consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all'art. 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell'art. 154, comma 1, lettera g), anche su schemi tipo.». «Art. 21 (Principi applicabili al trattamento di dati giudiziari) (Omissis...).

10 2. Le disposizioni di cui all'art. 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari.». «Art. 22 (Principi applicabili al trattamento di dati sensibili e giudiziari) I soggetti pubblici conformano il trattamento dei dati sensibili e giudiziari secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato. 2. Nel fornire l'informativa di cui all'art. 13 i soggetti pubblici fanno espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale e' effettuato il trattamento dei dati sensibili e giudiziari. 3. I soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attivita' istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa. 4. I dati sensibili e giudiziari sono raccolti, di regola, presso l'interessato. 5. In applicazione dell'art. 11, comma 1, lettere c), d) ed e), i soggetti pubblici verificano periodicamente l'esattezza e l'aggiornamento dei dati sensibili e giudiziari, nonché la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. Al fine di assicurare che i dati sensibili e giudiziari siano indispensabili rispetto agli obblighi e ai compiti loro attribuiti, i soggetti pubblici valutano specificamente il rapporto tra i dati e gli adempimenti. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione e' prestata per la verifica dell'indispensabilità dei dati sensibili e giudiziari riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni o gli adempimenti. 6. I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi e' autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità. 7. I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici. 8. I dati idonei a rivelare lo stato di salute non possono essere diffusi. 9. Rispetto ai dati sensibili e giudiziari indispensabili ai sensi del comma 3, i soggetti pubblici sono autorizzati ad effettuare unicamente le operazioni di trattamento indispensabili per il perseguimento delle finalità per le quali il trattamento e' consentito, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi. 10. I dati sensibili e giudiziari non possono essere trattati nell'ambito di test psicoattitudinali volti a definire il profilo o la personalità dell'interessato. Le operazioni di raffronto tra dati sensibili e giudiziari, nonché i trattamenti di dati sensibili e giudiziari ai sensi dell'art. 14, sono effettuati solo previa annotazione scritta dei motivi. 11. In ogni caso, le operazioni e i trattamenti di cui al comma 10, se effettuati utilizzando banche di dati di diversi titolari, nonché la diffusione dei dati sensibili e giudiziari, sono ammessi solo se previsti da espressa disposizione di legge. 12. Le disposizioni di cui al presente articolo recano principi applicabili, in conformità ai rispettivi ordinamenti, ai trattamenti disciplinati dalla Presidenza della Repubblica, dalla Camera dei deputati, dal Senato della Repubblica e dalla Corte costituzionale.». «Art. 154 (Compiti) Oltre a quanto previsto da specifiche disposizioni, il Garante,

11 anche avvalendosi dell'ufficio e in conformità al presente codice, ha il compito di: a)-f) (omissis...); g) esprimere pareri nei casi previsti;». - Il provvedimento generale del Garante della protezione dei dati personali del 30 giugno 2005 reca: «Trattamento dei dati sensibili nella pubblica amministrazione.». - Si riporta il testo dell'art. 17, commi 3 e 4, della legge 23 agosto 1988, n. 400: «3. Con decreto ministeriale possono essere adottati regolamenti nelle materie di competenza del Ministro o di Autorità sottordinate al Ministro, quando la legge espressamente conferisca tale potere. Tali regolamenti, per materie di competenza di più Ministri, possono essere adottati con decreti interministeriali, ferma restando la necessità di apposita autorizzazione da parte della legge. I regolamenti ministeriali ed interministeriali non possono dettare norme contrarie a quelle dei regolamenti emanati dal Governo. Essi debbono essere comunicati al Presidente del Consiglio dei Ministri prima della loro emanazione. 4. I regolamenti di cui al comma 1 ed i regolamenti ministeriali ed interministeriali, che devono recare la denominazione di «Regolamento», sono adottati previo parere del Consiglio di Stato, sottoposti al visto ed alla registrazione della Corte dei conti e pubblicati nella Gazzetta Ufficiale.». - Il decreto del Presidente della Repubblica 11 agosto 2003, n. 319, recante «Regolamento di organizzazione del Ministero dell'istruzione, dell'università e della ricerca» e' pubblicato nella Gazzetta Ufficiale, supplemento ordinario n. 270 del 20 novembre Nota all'art. 1: - Per il testo dell'art. 20, comma 2, e dell'art. 21, comma 2, del decreto legislativo 30 giugno 2003, n. 196 si vedano le note al preambolo. Art. 2 Individuazione dei tipi di dati e di operazioni eseguibili 1. I dati sensibili e giudiziari individuati dal presente regolamento sono trattati previa verifica della loro pertinenza, completezza e indispensabilità rispetto alle finalità perseguite nei singoli casi, specie quando la raccolta non avvenga presso l'interessato. 2. Le operazioni di interconnessione e raffronto con banche di dati di altri titolari del trattamento e di comunicazione a terzi individuate nel presente regolamento sono ammesse soltanto se indispensabili allo svolgimento degli obblighi o compiti di volta in volta indicati e solo per il perseguimento delle rilevanti finalità di interesse pubblico specificate, le operazioni sopraindicate sono inoltre svolte nel rispetto delle disposizioni in materia di protezione dei dati personali e degli altri limiti stabiliti dalla legge e dai regolamenti. 3. I raffronti e le interconnessioni con altre informazioni sensibili e giudiziarie sono consentite soltanto previa verifica della loro stretta indispensabilità rispetto ai singoli casi e previa indicazione scritta dei motivi che ne giustificano l'effettuazione. Le operazioni effettuate utilizzando banche di dati di diversi titolari del trattamento e la diffusione di dati sensibili e giudiziari sono ammesse esclusivamente previa verifica della loro stretta indispensabilità in relazione ai singoli casi e nel rispetto dei limiti e con le modalità stabiliti dalle disposizioni legislative che le prevedono. 4. Sono inutilizzabili i dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali.

12 Art. 3 Norma finale 1. L'identificazione dei tipi di dati sensibili e giudiziari e delle operazioni su questi eseguibili, di cui alle schede allegate al presente decreto, e' aggiornata in relazione ad eventuali esigenze sopravvenute e, comunque, con periodicità triennale. Il presente decreto, munito del sigillo di Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare. Roma, 7 dicembre 2006 Il Ministro: Fioroni Visto, il Guardasigilli: Mastella Registrato alla Corte dei conti il 5 gennaio 2007 Ufficio di controllo preventivo sui Ministeri dei servizi alla persona e dei beni culturali, registro n. 1, foglio n. 1 Allegato 5 Riassunto schede allegate al D.M. Scheda 1 - Personale dell'amministrazione e personale scolastico (docenti e ATA) La "scheda" individua tutti i dati che possono essere oggetto di trattamento per le procedure di selezione, di reclutamento, di instaurazione, di gestione e di cessazione del rapporto di lavoro (dati inerenti lo stato di salute, l'adesione a sindacati, quelli sulle convinzioni religiose per la concessione di permessi legati a particolari festività o per il reclutamento degli insegnanti di religione, i dati sulle convinzioni filosofiche o d'altro genere per eventuali connessioni con lo svolgimento del servizio di leva o come obiettore di coscienza, i dati di carattere giudiziario nell'ambito delle procedure concorsuali che coinvolgono l'interessato, le informazioni sulla vita sessuale connessi unicamente al caso eventuale della rettifica di attribuzione di sesso); sono individuate, inoltre, le varie tipologie di trattamento possibili. * * * Scheda 2 - Gestione del contenzioso e procedimenti disciplinari La "scheda" individua il trattamento dei dati sensibili e giudiziari concernente tutte le attività relative alla difesa in giudizio del MPI e delle istituzioni scolastiche nel contenzioso del lavoro e amministrativo nonché quelle connesse alla gestione degli affari penali e civili. * * * Scheda 3 - Organismi collegiale e commissioni istituzionali La "scheda" individua il trattamento e la descrizione dei dati sensibili nell' ambito degli organismi collegiali e delle commissioni istituzionali, organi rappresentativi sia del personale amministrativo e scolastico, sia degli studenti, che delle famiglie e delle associazioni sindacali. Il dato sensibile trattato è quello dell'appartenenza alle organizzazioni sindacali, con riferimento agli organismi o comitati che richiedano la partecipazione di rappresentanti delle organizzazioni sindacali. * * *

13 Scheda 4 - Alunni nelle fasi propedeutiche all'avvio dell'anno scolastico La "scheda" individua il trattamento di tutti i dati coinvolti nelle attività propedeutiche all'avvio dell'anno scolastico: si tratta dei dati forniti dagli alunni e dalle famiglie ai fini della frequenza dei corsi di studio di ogni ordine e grado re (è possibile, in tal caso, imbattersi in dati relativi alle origini razziali ed etniche, alle convinzioni religiose, allo stato di salute, alle vicende giudiziarie). * * * Scheda 5 - Alunni nell'attività didattica e nella valutazione La "scheda" attiene al rilevamento e alla trattazione di dati raccolti nell'ambito dell'attività educativa, didattica e formativa e di valutazione (anche in tal caso possono rilevare i dati sensibili relativi alle origini razziali ed etniche, alle convinzioni religiose, allo stato di salute, ai dati giudiziari, alle convinzioni politiche - per la costituzione e il funzionamento delle Consulte degli studenti). Scheda 6 - Scuole non statali * * * La "scheda" individua i dati sensibili e loro trattamento nel contesto degli Enti vigilati e delle Scuole non statali. Nell'ambito delle procedure di accreditamento e di autorizzazione delle istituzioni scolastiche non statali, l'amministrazione scolastica periferica esercita attività di: concessione o revoca della parità; concessione della parifica (scuola primaria); concessione o revoca del riconoscimento legale (scuole secondarie); concessione o revoca della presa d'atto. Dati sensibili emergono anche in caso di: attività di vigilanza e controllo effettuate dall'amministrazione centrale e periferica che prevedono l'accesso ai fascicoli personali dei docenti e degli alunni. Dati sensibili sono, inoltre, trattati dai Dirigenti scolastici nelle scuole dell'infanzia e primarie incaricati della vigilanza sulle scuole non statali. * * * Scheda 7 - Rapporti scuola-famiglie: gestione del contenzioso La "scheda" individua i dati sensibili e giudiziari concernenti le attività connesse alla instaurazione di contenzioso (reclami, ricorsi, esposti, provvedimenti disciplinari etc.) con gli alunni e con le famiglie. IL DSGA Salvatore Nardi Firma autografa sostituita a mezzo stampa ex art. 3, c. 2 D.Lgs n. 39/93 ALLEGATO 6 Schede IL DIRIGENTE SCOLASTICO Brunella Baratta Firma autografa sostituita a mezzo stampa ex art. 3, c. 2 D.Lgs n. 39/93 Per presa visione e accettazione nomina incarico trattamento dati (Prot. n del ) Data: Dipendente: Firma: