INTRODUZIONE 3 1. ELENCO DEI TRATTAMENTI DI DATI 4 2. RUOLI, COMPITI E RESPONSABILITÁ ANALISI DEI RISCHI CHE INCOMBONO SUI DATI 24

Transcript

1 Prot.n del INDICE INTRODUZIONE 3 1. ELENCO DEI TRATTAMENTI DI DATI Dati del personale docente 1.2 Dati del personale ATA 1.3 Dati degli allievi 1.4 Dati dei fornitori di beni e/o servizi 1.5 Protocollo 2. RUOLI, COMPITI E RESPONSABILITÁ Titolare del trattamento 2.2 Responsabile del trattamento 2.3 Incaricati del trattamento ATA 1 - Amministrativi ATA 2 - Allievi ATA 3 - Collaboratori Scolastici Docenti Organi Collegiali 2.4 Collaboratori del Dirigente Scolastico e del DSGA 3. ANALISI DEI RISCHI CHE INCOMBONO SUI DATI Comportamenti degli operatori 3.2 Eventi relativi agli strumenti 3.3 Eventi relativi al contesto 4. MISURE PER GARANTIRE L INTEGRITÁ E LA DISPONIBILITÁ DEI DATI Misure minime per i trattamenti informatici 4.2 Misure minime per i trattamenti cartacei 5. SALVATAGGIO E RIPRISTINO DELLA DISPONIBILITÁ DEI DATI DISTRUTTI O DANNEGGIATI DESCRIZIONE DELLE ATTIVITÁ DI FORMAZIONE 33 1

2 7. DATI PERSONALI AFFIDATI ALL ESTERNO DELLA STRUTTURA DEL TITOLARE ELENCO DEGLI AGGIORNAMENTI DEFINIZIONI MANUALE UTENTE D.L.vo 196 (allegato A) DISCIPLINARE TECNICO (allegato B) INFORMATIVA PERS..ATA - DOCENTE-PRESTATORE D'OPERA REGOLE COMPORTAMENTALI (ass.amm-coll.scol. -docenti ) INDIVIDUAZIONE TITOLARE TRATTAMENTO DATI ATTI DI NOMINA 68 2

3 INTRODUZIONE Ai fini degli adempimenti previsti dal Codice in materia di protezione dei dati personali e dal relativo Disciplinare Tecnico in materia di misure minime di sicurezza per il trattamento di dati personali, a norma degli artt del D.Lgs. 196 del 2003, il presente documento si pone i seguenti obiettivi: predisposizione del documento programmatico dell Istituto scolastico in merito alla sicurezza dei dati personali, anche sensibili e/o a carattere giudiziario, così come definiti dagli artt. 20 e 21 del D.Lgs. 196/2003; distribuzione dei compiti e delle responsabilità nell ambito delle strutture preposte al trattamento dei dati; analisi dei rischi che incombono sui dati e misure adottate a contrasto; protezione delle aree e dei locali rilevanti ai fini della custodia e dell accessibilità dei dati; criteri e modalità per il salvataggio ed il ripristino della disponibilità dei dati; programma di formazione degli incaricati del trattamento. Il sistema informativo scolastico è diviso in due sezioni, una didattica e una amministrativa; tutte le postazioni più un server sono collegate ad un unica LAN. Le postazioni sono tutte dotate di Windows XP SP2 e vengono gestite da un Server Windows 2003 che si occupa di gestire il controllo degli accessi, di provvedere al salvataggio dei dati e di agire da file server per l intero ufficio. L accesso ad Internet avviene tramite un router ADSL che svolge anche funzione di firewall. L interfaccia di configurazione del router è accessibile solo all amministratore di sistema. Le applicazioni utilizzate negli uffici per trattare dati personali o sensibili sono gli applicativi facente parte della suite Microsoft Office oltre al programma gestionale di segreteria. Il personale utilizza inoltre alcune applicazioni web based ospitate su siti del Ministero delle Finanze o della Pubblica Amministrazione. 3

4 1.1 Dati del personale docente 1. ELENCO DEI TRATTAMENTI DI DATI ANAGRAFICA Descrizione sintetica dati anagrafici degli insegnanti a tempo indeterminato, insegnanti a tempo determinato, esterni incaricati di funzioni nella scuola: nome, cognome, indirizzo, numeri di telefono, di telefax, indirizzo di posta elettronica, ecc.; dati dei familiari degli insegnanti a tempo indeterminato e determinato, esterni incaricati di funzioni nella scuola; dati relativi alle assenze per malattia; dati relativi alle assenze per permessi familiari (congedi parentali) e per ragioni di studio/formazione/aggiornamento; dati relativi ai permessi per familiari portatori di handicap riconosciuto (Legge 104/92, Legge 53/2000); dati relativi ai permessi per maternità/paternità; dati relativi ai permessi sindacali/amministrativi; dati relativi alle ferie; dati relativi all analisi delle situazione di carriera (certificato di servizio e dichiarazione dei servizi prestati); contratti di lavoro; dati inerenti alla retribuzione/stipendi (dati bancari); titoli di studio; dati relativi alle altre attività eventualmente svolte dal personale docente; comunicazioni al personale necessarie alla gestione amministrativa del rapporto lavorativo (lettere, circolari, avvisi, ecc.); dati relativi alla gestione del contenzioso e dei procedimenti disciplinari; convocazioni in tribunale; dati relativi ai permessi per la donazione del sangue; dati relativi ai permessi non retribuiti per i supplenti; dati relativi ai permessi previsti dagli artt. 63 e 64 del CCNL 29/11/2007; dati necessari per attivare gli organismi collegiali e le commissioni istituzionali previsti dalle norme di organizzazione del Ministero della Pubblica Istruzione e dell ordinamento scolastico; dati relativi alla partecipazione a scioperi. 4

5 Natura dei dati Struttura di riferimento I dati trattati sono di natura comune, sensibile (dati idonei a rivelare l origine razziale ed etnica, dati idonei a rivelare le convinzioni religiose, filosofiche, sindacali, d altro genere; dati idonei a rivelare lo stato di salute, in relazione alle patologie attuali e/o pregresse e alle terapie in corso; dati idonei a rivelare la vita sessuale) e dati di carattere giudiziario. Ai dati possono accedere, secondo le modalità indicate nel capitolo 2 del presente DPS: DSGA e suo sostituto; Personale ATA 1 (amministrativi); Personale ATA 2 (collaboratori scolastici); Docenti; Vicario e secondo collaboratore del DS; Organi collegiali. Strumenti utilizzati Archivi cartacei I dati relativi al personale docente sono conservati in armadi chiusi a chiave ubicati in segreteria. L integrità e la sicurezza dei dati conservati in questi archivi sono garantite dalla costante presenza del personale di segreteria che si preoccupa di non lasciare mai incustoditi i locali in questione: in caso di assenza prolungata, gli incaricati chiuderanno a chiave la porta di accesso. L archivio storico si trova in apposita stanza chiusa a chiave. Le chiavi sono custodite dal personale di segreteria. Per altre informazioni sulle misure di sicurezza adottate, si vedano i capitoli 3 e 4 del presente DPS. Particolari operazioni eseguite sui dati personali Operazioni comuni, ricorrenti Interconnessioni e raffronti di dati con altro Titolare Strumenti elettronici L Istituto Scolastico si serve del software Axios, utilizzato per la contabilità, con Axios per la gestione del personale e degli studenti, cui si accede con nome-utente e password personali. Il protocollo è gestito con software Axios. Il personale accede alla banca dati ministeriale tramite rete Intranet SIDI. Gli incaricati utilizzano per il trattamento dei dati personali anche altri strumenti elettronici: - software della suite Microsoft Office; - client di posta elettronica; - fax. Raccolta (presso gli interessati e presso terzi), elaborazione (con e senza l ausilio di strumenti elettronici), consultazione, modificazione, selezione, estrazione, registrazione, organizzazione, conservazione, utilizzo, blocco, cancellazione e distruzione. Amministrazioni certificanti in sede di controllo delle dichiarazioni sostitutive rese ai fini del DPR 445/

6 Comunicazioni MPI, Ufficio Scolastico Regionale, Ufficio Scolastico Provinciale; altri Istituti Scolastici, Università, Enti di formazione; Direzione Provinciale dei Servizi Vari (tesoreria),ragioneria Provinciale dello Stato; INPS, INDIRE, Ministero dell Economia; assicurazioni private, INAIL, Revisore contabile, AUSL; musei, teatri, agenzie di viaggi, fondazioni; Comune di Alvignano, Provincia di Caserta, Regione Campania ed altri Enti Pubblici, anche per il personale assunto obbligatoriamente ai sensi della Legge 68/1999; Servizi sanitari competenti per le visite fiscali e per l accertamento dell idoneità all impiego; Organi preposti al riconoscimento della causa di servizio/equo indennizzo ai sensi del DPR 461/2001; Organi preposti alla vigilanza in materia di igiene e sicurezza sui luoghi di lavoro (D. Lgs. n. 626/1994 e D. Lgs. 81/2008); Enti assistenziali, previdenziali e assicurativi, autorità di pubblica sicurezza a fini assistenziali e previdenziali, nonché per la denuncia delle malattie professionali o infortuni sul lavoro ai sensi del DPR n. 1124/1965; Ufficio di collocamento; Organizzazioni sindacali per gli adempimenti connessi al versamento delle quote di iscrizione e per la gestione dei permessi sindacali; Pubbliche Amministrazioni presso le quali vengono comandati i dipendenti o assegnati nell ambito della mobilità; Ordinario Diocesano per il rilascio dell idoneità all insegnamento della Religione Cattolica ai sensi della Legge 18 luglio 2003, n. 186; Organi di controllo (Corte dei Conti e MEF): al fine del controllo di legittimità e annotazione della spesa dei provvedimenti di stato giuridico ed economico del personale ex Legge n. 20/94 e DPR 20 febbraio 1998, n. 38; Agenzia delle Entrate: ai fini degli obblighi fiscali del personale ex Legge 30 dicembre 1991, n. 413; MEF e INPDAP: per la corresponsione degli emolumenti connessi alla cessazione dal servizio ex Legge 8 agosto 1995, n. 335; Presidenza del Consiglio dei Ministri per la rilevazione annuale dei permessi per cariche sindacali e funzioni pubbliche elettive (art. 50, comma 3, D. Lgs. n. 165/2001); Ministero del Lavoro e delle Politiche Sociali: per lo svolgimento dei tentativi obbligatori di conciliazione dinanzi a Collegi di conciliazione ex D. Lgs. 30 marzo 2001, n. 165; Organi arbitrali: per lo svolgimento delle procedure arbitrali ai sensi dei CCNL di settore; 6

7 Avvocature dello Stato per la difesa erariale e consulenza presso gli organi di giustizia; Magistrature ordinarie e amministrativo-contabili e Organi di polizia giudiziaria per l esercizio dell azione di giustizia; Liberi professionisti, ai fini di patrocinio o di consulenza, compresi quelli di controparte per le finalità di corrispondenza sia in fase giudiziale che stragiudiziale. 1.2 Dati del Personale ATA ANAGRAFICA Descrizione sintetica dati anagrafici del personale ATA; dati dei familiari del personale ATA; dati relativi alle assenze per malattia; dati relativi alle assenze per permessi familiari (congedi parentali) e per ragioni di studio/formazione/aggiornamento; dati relativi ai permessi per familiari portatori di handicap riconosciuto (Legge 104/92, Legge 53/2000); dati relativi ai permessi per maternità/paternità; dati relativi ai permessi sindacali/amministrativi; dati relativi alle ferie; dati relativi all analisi delle situazione di carriera (certificato di servizio e dichiarazione dei servizi prestati); contratti di lavoro; dati inerenti alla retribuzione/stipendi (dati bancari); titoli di studio; comunicazioni al personale necessarie alla gestione amministrativa del rapporto lavorativo (lettere, circolari, avvisi, ecc.); dati relativi alla gestione del contenzioso e dei procedimenti disciplinari; convocazioni in tribunale; dati relativi ai permessi per la donazione del sangue; dati relativi ai permessi non retribuiti per i supplenti; dati relativi ai permessi previsti dagli artt. 63 e 64 del CCNL 29/11/2007; dati necessari per attivare gli organismi collegiali e le commissioni istituzionali previsti dalle norme di organizzazione del Ministero della Pubblica Istruzione e dell ordinamento scolastico; dati relativi alla partecipazione a scioperi. 7

8 Struttura di riferimento Ai dati possono accedere, secondo le modalità indicate nel capitolo 2 del presente DPS: DSGA e suo sostituto; Personale ATA 1 (amministrativi); Personale ATA 2 (collaboratori scolastici); Vicario e sostituto del DS; Organi collegiali. Archivi cartacei Strumenti elettronici Strumenti utilizzati I dati relativi al personale ATA sono conservati in armadi chiusi ubicati in segreteria. L integrità e la sicurezza dei dati conservati in questi archivi sono garantite dalla costante presenza del personale di segreteria che si preoccupa di non lasciare mai incustoditi i locali in questione: in caso di assenza prolungata, gli incaricati chiuderanno a chiave la porta di accesso. L archivio storico si trova in apposita stanza chiusa a chiave. Le chiavi sono custodite dal personale di segreteria. Per altre informazioni sulle misure di sicurezza adottate, si vedano i capitoli 3 e 4 del presente DPS. L istituto Scolastico si serve del software Axios, utilizzato per la contabilità, del sistema Axios per la gestione del personale e degli studenti, cui si accede con nome-utente e password personali. Per il protocollo si serve del sistema Axios. Il personale accede alla banca dati ministeriale tramite rete Intranet SIDI. Gli incaricati utilizzano per il trattamento dei dati personali anche altri strumenti elettronici: - software della suite Microsoft Office; - client di posta elettronica; - fax. Particolari operazioni eseguite sui dati personali Operazioni comuni, ricorrenti Raccolta (presso gli interessati e presso terzi), elaborazione (con e senza l ausilio di strumenti elettronici), consultazione,modificazione, selezione, estrazione, registrazione, organizzazione, conservazione, utilizzo, blocco, cancellazione e distruzione. Interconnessioni e raffronti di dati con altro Titolare Amministrazioni certificanti in sede di controllo delle dichiarazioni sostitutive rese ai fini del DPR 445/2000. Comunicazioni MPI, Ufficio Scolastico Regionale, Ufficio Scolastico Provinciale; altri Istituti Scolastici, Università, Enti di formazione; Direzione Provinciale dei Servizi Vari (tesoreria),ragioneria Provinciale dello Stato; INPS, INDIRE, Ministero dell Economia; assicurazioni private, INAIL, Revisore contabile, ASL; musei, teatri, agenzie di viaggi, fondazioni; 8

9 Procura della Repubblica; Ufficio di collocamento; Comune di Alvignano, Provincia di Caserta, Regione Campania. ed altri Enti Pubblici, anche per il personale assunto obbligatoriamente ai sensi della Legge 68/1999; Servizi sanitari competenti per le visite fiscali e per l accertamento dell idoneità all impiego; Organi preposti al riconoscimento della causa di servizio/equo indennizzo ai sensi del DPR 461/2001; Organi preposti alla vigilanza in materia di igiene e sicurezza sui luoghi di lavoro (D. Lgs. n. 626/1994 e D. Lgs. 81/2008); Enti assistenziali, previdenziali e assicurativi, autorità di pubblica sicurezza a fini assistenziali e previdenziali, nonché per la denuncia delle malattie professionali o infortuni sul lavoro ai sensi del DPR n. 1124/1965; Organizzazioni sindacali per gli adempimenti connessi al versamento delle quote di iscrizione e per la gestione dei permessi sindacali; Pubbliche Amministrazioni presso le quali vengono comandati i dipendenti, o assegnati nell ambito della mobilità; Ordinario Diocesano per il rilascio dell idoneità all insegnamento della Religione Cattolica ai sensi della Legge 18 luglio 2003, n. 186; Organi di controllo (Corte dei Conti e MEF): al fine del controllo di legittimità e annotazione della spesa dei provvedimenti di stato giuridico ed economico del personale ex Comunicazioni Legge n. 20/94 e DPR 20 febbraio 1998, n. 38; Agenzia delle Entrate: ai fini degli obblighi fiscali del personale ex Legge 30 dicembre 1991, n. 413; MEF e INPDAP: per la corresponsione degli emolumenti connessi alla cessazione dal servizio ex Legge 8 agosto 1995, n. 335; Presidenza del Consiglio dei Ministri per la rilevazione annuale dei permessi per cariche sindacali e finzioni pubbliche elettive (art. 50, comma 3, D.lg. n. 165/2001); Ministero del Lavoro e delle Politiche Sociali: per lo svolgimento dei tentativi obbligatori di conciliazione ex D. Lgs. 30 marzo 2001, n. 165; Organi arbitrali: per lo svolgimento delle procedure arbitrali ai sensi dei CCNL di settore; Avvocature dello Stato per la difesa erariale e consulenza presso gli organi di giustizia; Magistrature ordinarie e amministrativo-contabili e Organi di polizia giudiziaria per l esercizio dell azione di giustizia; Liberi professionisti, ai fini di patrocinio o di consulenza, compresi quelli di controparte per le finalità di corrispondenza sia in fase giudiziale che stragiudiziale. 1.3 Dati degli allievi ANAGRAFICA 9

10 Descrizione sintetica Natura dei dati dati anagrafici alunni: nome, cognome, indirizzo, numeri di telefono, di fax, indirizzo di posta elettronica, ecc.; dati personali dei familiari degli alunni; dati relativi alle assenze; certificati medici; valutazione dell alunno; diplomi ed attestati; scelta relativa all ora di religione; curriculum scolastico (promozioni, bocciature); comunicazioni tra scuola e studente/famiglia dello studente; dati relativi alla gestione del contenzioso; dati relativi ad eventuali handicap; lettere e comunicazioni alle famiglie; fotografie, riprese audio-video (eventuali). I dati sopra descritti riguardano anche gli ex allievi dell Istituto: tali dati sono conservati per il periodo previsto dalla legge. I dati trattati sono di natura comune, sensibile (dati idonei a rivelare l origine razziale o etnica, per favorire l integrazione degli alunni stranieri; dati idonei a rivelare le convinzioni religiose, per garantire la libertà di credo religioso e per la fruizione dell insegnamento della religione cattolica o delle attività alternative a tale insegnamento; dati idonei a rivelare le convinzioni filosofiche, politiche, d altro genere, per la costituzione e il funzionamento delle Consulte e delle Associazioni degli studenti e dei familiari; dati idonei a rivelare lo stato di salute, in relazione alle patologie attuali e/o pregresse e alle terapie in corso, per assicurare l erogazione del sostegno agli alunni disabili, dell insegnamento domiciliare ed ospedaliero nei confronti degli alunni affetti da gravi patologie, per la partecipazione alle attività educative e didattiche programmate, quelle motorie e sportive, alle visite guidate e ai viaggi d istruzione; dati idonei a rivelare la vita sessuale) per garantire il diritto allo studio agli allievi.. Struttura di riferimento Ai dati possono accedere, secondo le modalità indicate nel capitolo 2 del presente DPS: DSGA e suo sostituto; Personale ATA 1 (amministrativi); Personale ATA 2 (collaboratori scolastici); Docenti; Vicario e sostituto del DS; Organi collegiali. 10

11 Strumenti utilizzati Archivi cartacei I dati relativi agli allievi sono conservati in schedari muniti di serratura ubicati in segreteria didattica. L integrità e la sicurezza dei dati conservati in questi archivi sono garantite dalla costante presenza del personale di segreteria che si preoccupa di non lasciare mai incustoditi i locali in questione: in caso di assenza prolungata, gli incaricati chiuderanno a chiave la porta di accesso. L archivio storico si trova in apposita stanza chiusa a chiave. Le chiavi sono custodite dal personale di segreteria. Per altre informazioni sulle misure di sicurezza adottate, si vedano i capitoli 3 e 4 del presente DPS. Strumenti elettronici L istituto Scolastico si serve del software Axios, utilizzato per la contabilità, del soft Axios la gestione del personale e degli studenti, cui si accede con nome-utente e password personali. Per il protocollo è usato il soft Axios Il personale accede alla banca dati ministeriale tramite rete Intranet SIDI. Gli incaricati utilizzano per il trattamento dei dati personali anche altri strumenti elettronici: - software della suite Microsoft Office; - client di posta elettronica; - fax. 11

12 Comunicazioni MPI, Ufficio Scolastico Regionale, Ufficio Scolastico Provinciale; assicurazioni private, INAIL, AUSL; Consolati, direttori centri cultura esteri; musei, teatri, agenzie di viaggi, fondazioni; Procura della Repubblica, Tribunale dei minori, Tribunale; Comune di Alvignano, Provincia di Caserta, Regione Campania. ed altri Enti Pubblici per la fornitura dei servizi ai sensi del D. Lgs. 31 marzo 1998, n. 112, limitatamente ai dati indispensabili all erogazione del servizio; gestori pubblici e privati dei servizi di assistenza agli alunni e di supporto all attività scolastica, ai sensi delle leggi regionali sul diritto allo studio, limitatamente ai dati indispensabili all erogazione del servizio; altri Istituti Scolastici, statali e non, Università, enti di formazione; aziende, imprese e altri soggetti pubblici e/o privati per tirocini formativi, stage e alternanza scuola-lavoro ai sensi della Legge 24 giugno 1997, n. 196 e del D. Lgs. 21 aprile 2005, n. 77 e, facoltativamente, per attività di rilevante interesse sociale ed economico, limitatamente ai dati indispensabili all erogazione dei servizi; associazioni sportive, professionisti (per specifici progetti); Avvocature dello Stato: per la difesa erariale e consulenza presso gli organi di giustizia; Magistrature ordinarie e amministrativo-contabili e Organi di polizia giudiziaria per l esercizio dell azione di giustizia; Liberi professionisti, ai fini di patrocinio o di consulenza, compresi quelli di controparte per le finalità di corrispondenza sia in fase giudiziale che stragiudiziale. 12

13 HANDICAP Descrizione sintetica Relativamente agli allievi diversamente abili, l Istituto tratta anche i seguenti dati: documentazione e lettere relative all alunno; PEI Piano educativo individualizzato (si fa riferimento alla diagnosi); PDF profilo dinamico funzionale (si fa riferimento alla diagnosi); comunicazioni con famiglia e operatori sanitari; relazione finale; certificazione analisi mediche relativi all handicap; diagnosi funzionale ; valutazioni e verbali dell alunno; accertamento Commissione Sanitaria ex DPCM 23/02/2006 n. 185; lettere e corrispondenza riservata con medici, Istituti specialistici. Natura dei dati I dati trattati sono di natura comune e sensibile (dati idonei a rivelare lo stato di salute). Struttura di riferimento Ai dati possono accedere, secondo le modalità indicate nel capitolo 2 del presente DPS: DSGA e suo sostituto; Personale ATA 1 (amministrativi); Personale ATA 2 (collaboratori scolastici); Docenti (in particolare gli insegnanti che più da vicino assistono gli allievi diversamente abili e redigono documenti contenenti dati sensibili riferiti agli stessi); Vicario e sostituto del DS; Organi collegiali. Strumenti utilizzati Archivi cartacei I documenti cartacei sono conservati in armadio chiuso a chiave ubicato presso la segreteria allievi dell Istituto e/o al protocollo riservato chiuso a chiave in presidenza. Per altre informazioni sulle misure di sicurezza adottate, si vedano i capitoli 3 e 4 del presente DPS. 13 Strumenti elettronici L istituto Scolastico si serve del software Axios, utilizzato per la contabilità, di Axios per la gestione del personale e degli studenti, cui si accede con nome-utente e password personali. Il personale accede alla banca dati ministeriale tramite rete Intranet SIDI. Il protocollo si usa in Axios Gli incaricati utilizzano per il trattamento di questi dati personali anche altri strumenti elettronici: - software della suite Microsoft Office; - client di posta elettronica; - fax.

14 Comunicazioni Professionisti,strutture ospedaliere; AUSL e Enti Locali per il funzionamento dei Gruppi di Lavoro di istituto per l handicap e per la predisposizione e la verifica del Piano Educativo Individuale ai sensi della Legge 104/1992; Enti Pubblici (USP e USR, Servizi sociali comunali); 1.4 Dati dei fornitori di beni e/o servizi ANAGRAFICA Descrizione sintetica dati anagrafici fornitori: nome, cognome, codice fiscale, indirizzo, P.IVA, denominazione/ragione sociale, sede legale/amministrativa, coordinate bancarie, referenti interni, telefono, indirizzo , ecc; documenti contabili/fiscali; preventivi, offerte; comunicazioni tra Istituto e fornitori; dati relativi alla gestione del contenzioso; contratti e convenzioni. Natura dei dati I dati trattati sono di natura comune. Struttura di riferimento Ai dati possono accedere, secondo le modalità indicate nel capitolo 2 del presente DPS: DSGA e suo sostituto; Personale ATA 1 (amministrativi); Personale ATA 2 (collaboratori scolastici); Docenti; Vicario e sostituto del DS; Organi collegiali. Strumenti Archivi cartacei Strumenti elettronici 14

15 utilizzati I dati relativi ai fornitori di beni e servizi sono conservati in armadi chiusi a chiave ubicati in Segreteria Docenti. L integrità e la sicurezza dei dati conservati in questi archivi sono garantite dalla costante presenza del personale di segreteria che si preoccupa di non lasciare mai incustoditi i locali in questione: in caso di assenza prolungata, gli incaricati chiuderanno a chiave la porta di accesso. L archivio storico si trova in apposita stanza chiusa a chiave. Le chiavi sono custodite dal personale di segreteria. Per altre informazioni sulle misure di sicurezza adottate, si veda i capitoli 3 e 4 del presente DPS. L istituto Scolastico si serve del software Axios, di Axios utilizzato per la contabilità, la gestione del personale e degli studenti, cui si accede con nome-utente e password personali. Per il protocollo si usa il soft Axios. Il personale accede alla banca dati ministeriale tramite rete Intranet SIDI. Gli incaricati utilizzano per il trattamento di questi dati personali anche altri strumenti elettronici: - software della suite Microsoft Office; - client di posta elettronica; - fax. Comunicazioni 1.5 Protocollo Ufficio Scolastico Provinciale, MPI, Ministero delle Finanze; altri Istituti scolastici; Direzione provinciale dei Servizi Vari (tesoreria); Comune di Alvignano, Provincia di Caserta, Regione Campania. ed altri Enti Pubblici; Revisore dei conti; Fondazioni, Istituti Bancari, Assicurazioni; Professionisti (studi legali, arbitri, ecc.). Protocollo Descrizione sintetica Registro relativo alle comunicazioni in entrata e uscita: soggetti; tipo di richiesta; numero progressivo, posizione interna di catalogazione; data; oggetto. Protocollo riservato: soggetti; tipo di richiesta; numero progressivo, posizione interna di catalogazione; data; oggetto. 15

16 Natura dei dati Struttura di riferimento I dati trattati sono di natura comune e sensibile e talvolta anche giudiziaria. Ai dati possono accedere, secondo le modalità indicate nel capitolo 2 del presente DPS: DSGA e suo sostituto; Personale ATA 1 (amministrativi); Personale ATA 2 (collaboratori scolastici); Docenti; Vicario e sostituto del DS; Organi collegiali. Al Protocollo riservato hanno accesso solo il DS ed il suo sostituto. Strumenti utilizzati Archivi cartacei I dati personali sono conservati in appositi schedari contenuti in armadi chiusi a chiave nell ufficio segreteria. L integrità e la sicurezza dei dati conservati in questi archivi sono garantite dalla costante presenza del personale di segreteria che si preoccupa di non lasciare mai incustoditi i locali in questione: in caso di assenza prolungata, gli incaricati chiuderanno a chiave la porta di accesso. Il protocollo riservato è custodito nell ufficio del DS. Strumenti elettronici / Comunicazioni / 2. RUOLI, COMPITI E RESPONSABILITÁ 2.1 Titolare del trattamento Ai sensi di quanto sancito dall articolo 28 del D. Lgs. 196/03, Titolare del trattamento dei dati è l Istituto Comprensivo Statale di Alvignano, che è legalmente rappresentato dal Dirigente Scolastico in carica pro tempore, Dr. Angelina LANNA 16

17 2.2 Responsabile del trattamento Il Titolare del trattamento, sulla scorta dell analisi della struttura e dell organizzazione dell Istituto Scolastico, ha ritenuto opportuno designare quale responsabile del trattamento il DSGA la Sig.ra Di Gaetano Maria Maddalena. Il responsabile può accedere a tutti i dati personali trattati dall Istituto Scolastico, ossia: Dati del personale docente In particolare: dati anagrafici dei docenti; dati anagrafici dei familiari dei docenti; dati relativi a permessi, assenze, malattie; dati relativi alla gestione economica del rapporto di lavoro; dati relativi al curriculum dei docenti; comunicazioni con i docenti. Dati del personale ATA In particolare: dati anagrafici del personale ATA; dati anagrafici dei familiari del personale ATA; dati relativi a permessi, assenze, malattie; dati relativi alla gestione economica del rapporto di lavoro; comunicazioni con il personale ATA. Dati degli allievi In particolare: dati anagrafici degli allievi; dati anagrafici dei familiari degli allievi; dati relativi a permessi, assenze, malattie; dati relativi all handicap degli studenti; valutazioni, diplomi, attestati; fotografie e riprese audiovisivi degli alunni; comunicazioni con gli allievi e le rispettive famiglie. Dati dei fornitori di beni e/o servizi In particolare: dati anagrafici dei fornitori; documenti contabili/fiscali; preventivi, offerte, contratti, convenzioni; comunicazioni tra Istituto e fornitori. 17

18 Protocollo Istituto Comprensivo Statale In particolare: soggetti; tipo di richiesta; numero progressivo, posizione interna di catalogazione; data; oggetto. 2.3 Incaricati del trattamento Il Titolare del trattamento, ai sensi di quanto previsto dall articolo 30, comma 2, del Decreto Legislativo 196/2003, ha deciso di procedere all individuazione di 3 classi omogenee di incarico, di cui contestualmente viene indicato l ambito di trattamento consentito ATA 1 - Amministrativi Gli incaricati appartenenti all unità organizzativa hanno accesso alle seguenti categorie di dati personali: Dati del personale docente In particolare: dati anagrafici degli insegnanti a tempo indeterminato e a tempo determinato, esterni incaricati di funzioni nella scuola: nome, cognome, indirizzo, numeri di telefono, di telefax, indirizzo di posta elettronica, ecc.; dati dei familiari degli insegnanti a tempo indeterminato e a tempo determinato, esterni incaricati di funzioni nella scuola; dati relativi alle assenze per malattia; dati relativi alle assenze per permessi familiari (congedi parentali) e per ragioni di studio/formazione/aggiornamento; dati relativi ai permessi per familiari portatori di handicap riconosciuto (Legge 104/92, Legge 53/2000); dati relativi ai permessi per maternità/paternità; dati relativi ai permessi sindacali/amministrativi; dati relativi alle ferie; dati relativi all analisi delle situazione di carriera (certificato di servizio e dichiarazione dei servizi prestati); contratti di lavoro; dati inerenti alla retribuzione/stipendi (dati bancari); 18

19 titoli di studio; dati relativi alle altre attività eventualmente svolte dal personale docente; comunicazioni al personale necessarie alla gestione amministrativa del rapporto lavorativo (lettere, circolari, avvisi, ecc.); dati relativi alla gestione del contenzioso e dei procedimenti disciplinari; convocazioni in tribunale; dati relativi ai permessi per la donazione del sangue; dati relativi ai permessi non retribuiti per i supplenti; dati relativi ai permessi previsti dagli artt. 63 e 64 del CCNL 29/11/2007; dati necessari per attivare gli organismi collegiali e le commissioni istituzionali previsti dalle norme di organizzazione del Ministero della Pubblica Istruzione e dell ordinamento scolastico; dati relativi alla partecipazione a scioperi. Dati del personale ATA In particolare: dati anagrafici del personale ATA; dati dei familiari del personale ATA; dati relativi alle assenze per malattia; dati relativi alle assenze per permessi familiari (congedi parentali) e per ragioni di studio/formazione/aggiornamento; dati relativi ai permessi per familiari portatori di handicap riconosciuto (Legge 104/92, Legge 53/2000); dati relativi ai permessi per maternità/paternità; dati relativi ai permessi sindacali/amministrativi; dati relativi alle ferie; dati relativi all analisi delle situazione di carriera (certificato di servizio e dichiarazione dei servizi prestati); contratti di lavoro; dati inerenti alla retribuzione/stipendi (dati bancari); titoli di studio; comunicazioni al personale necessarie alla gestione amministrativa del rapporto lavorativo (lettere, circolari, avvisi, ecc.); dati relativi alla gestione del contenzioso e dei procedimenti disciplinari; convocazioni in tribunale; dati relativi ai permessi per la donazione del sangue; dati relativi ai permessi non retribuiti per i supplenti; dati relativi ai permessi previsti dagli artt. 63 e 64 del CCNL 29/11/2007; 19

20 dati necessari per attivare gli organismi collegiali e le commissioni istituzionali previsti dalle norme di organizzazione del Ministero della Pubblica Istruzione e dell ordinamento scolastico; dati relativi alla partecipazione a scioperi. Dati degli allievi In particolare: dati anagrafici alunni: nome, cognome, indirizzo, numeri di telefono, di fax, indirizzo di posta elettronica, ecc.; dati personali dei familiari degli alunni; dati relativi alle assenze; certificati medici; valutazione dell alunno; diplomi ed attestati; scelta relativa all ora di religione; curriculum scolastico (promozioni, bocciature); comunicazioni tra scuola e studente/famiglia dello studente; dati relativi alla gestione del contenzioso; dati relativi ad eventuali handicap; lettere e comunicazioni alle famiglie; fotografie, riprese audio-video. Dati relativi ai fornitori di beni e/o servizi In particolare: dati anagrafici fornitori: nome, cognome, codice fiscale, indirizzo, P. IVA, denominazione/ragione sociale, sede legale/amministrativa, coordinate bancarie, referenti interni, telefono, indirizzo , ecc; documenti contabili/fiscali; preventivi, offerte; comunicazioni tra Istituto e fornitori; contratti e convenzioni. Dati contenuti nel protocollo Registro relativo alle comunicazioni in entrata e uscita: soggetti; tipo di richiesta; numero progressivo, posizione interna di catalogazione; data; oggetto. 20

21 Gli appartenenti a questa unità sono autorizzati a svolgere le seguenti operazioni: la raccolta, la registrazione, l organizzazione, la conservazione, la consultazione, l elaborazione, la modificazione, la selezione, l estrazione, il raffronto, l utilizzo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati personali indicati. Per maggiori dettagli si rimanda agli atti di nomina allegati ATA 2 Collaboratori scolastici Gli incaricati appartenenti all unità organizzativa possono avere accesso, in via eventuale, alle seguenti categorie di dati personali: 1) dati personali contenuti in circolari e altre comunicazioni interne dell Istituto Scolastico; 2) dati contenuti nel protocollo; 3) dati personali sia comuni che sensibili contenuti in registri, libretti personali, e altri supporti cartacei con cui il personale ATA 2 può eventualmente entrare in contatto nello svolgimento delle mansioni ordinarie. Gli appartenenti a questa unità sono autorizzati a svolgere le seguenti operazioni: la raccolta, la consultazione e la distruzione (specialmente durante le operazioni di smaltimento dei rifiuti) dei dati personali indicati. Per maggiori dettagli, si rimanda al capitolo 1 del presente DPS e agli atti di nomina allegati Docenti Gli incaricati appartenenti all unità organizzativa hanno accesso alle seguenti categorie di dati personali: Dati degli allievi In particolare: dati anagrafici degli allievi e dei loro familiari, trattati sia con strumenti cartacei (registri, libretti personali) che informatici (previa autorizzazione del DS o del DSGA); dati relativi alle assenze degli allievi per motivi di salute, per ragioni familiari e per ogni altra giustificazione, trattati con strumenti cartacei (registri, libretti personali degli allievi); dati relativi a eventuali esenzioni degli allievi da determinate attività/materie/lezioni, per ragioni di salute, per motivi religiosi, per ragioni familiari e per ogni altra motivazione; questi dati verranno trattati esclusivamente con strumenti cartacei (registri, libretti personali degli allievi); dati relativi a eventuali attività integrative o di sostegno, effettuate in ragione di particolari condizione di salute dell allievo, per motivi religiosi, per ogni altra motivazione; questi dati verranno trattati esclusivamente con strumenti cartacei (registri, libretti personali degli allievi); dati personali e sensibili riferiti agli alunni diversamente abili. Dati contenuti nel protocollo 21

22 In particolare: soggetti; tipo di richiesta; numero progressivo, posizione interna di catalogazione; data; oggetto. Gli appartenenti a questa unità sono autorizzati a svolgere le seguenti operazioni: la raccolta, la registrazione, l organizzazione, la conservazione, la consultazione, l elaborazione, la selezione, l estrazione, l utilizzo, la cancellazione e la distruzione dei dati personali ivi indicati Organi Collegiali Gli organi collegiali sono organismi di governo e di gestione delle attività scolastiche a livello di singolo Istituto. Sono composti da rappresentanti delle varie componenti interessate: personale docente, personale amministrativo, tecnico e ausiliario, genitori degli alunni, il DS. Per svolgere le funzioni istituzionali, tali organi potranno avere accesso ai dati personali trattati dall Istituto scolastico. I componenti degli organi collegiali si impegnano a non svolgere operazioni di trattamento per finalità ulteriori rispetto a quelle istituzionali e, in ogni caso, a mantenere il segreto nei confronti di chiunque, per quanto riguarda fatti, informazioni, dati e atti di cui vengano a conoscenza nell espletamento delle funzioni. In particolare, è fatto espresso divieto di cedere, consegnare, copiare, riprodurre, comunicare, divulgare, rendere disponibili in qualsiasi modo o a qualsiasi titolo a terzi, le informazioni acquisite nell esecuzione del servizio, essendo detta attività sanzionata ex articolo 167 del D. Lgs 196/2003. Consiglio di Circolo e Giunta esecutiva Collegio dei docenti Consiglio di interclasse/intersezione. 2.5 Collaboratori del Dirigente Scolastico e del DSGA Il Dirigente Scolastico può nominare dei collaboratori che lo sostituiscano e ne facciano le veci ed altresì dei sostituti del DSGA. Ciascun designato è incaricato con apposito atto e può avere accesso a tutti i dati personali con cui entri in contatto nell ambito dell espletamento dell attività di sua competenza, ossia: Collaborazione con il DS/DSGA. Sostituzione in caso di assenza del DS/DSGA. Il nominato svolgerà le attività di trattamento secondo gli orari e le modalità indicate dal Titolare del trattamento. In particolare, il nominato incaricato sarà tenuto a seguire le procedure indicate anche nell apposito Mansionario interno all Istituto scolastico, che individua una serie di misure di sicurezza organizzative, logistiche e fisiche atte a tutelare il trattamento, la conservazione e l integrità dei dati personali. 22

23 Il trattamento avverrà con e senza l ausilio di strumenti elettronici, utilizzando gli strumenti messi a disposizione dall Istituto. Tali strumenti devono essere impiegati per lo svolgimento delle mansioni assegnate a ciascun designato, rispettando e osservando le indicazioni e le istruzioni elencate nel Mansionario. 23

24 3. ANALISI DEI RISCHI CHE INCOMBONO SUI DATI 3.1 Comportamenti degli operatori COMPORTAMENTI DEGLI OPERATORI A ogni incaricato del trattamento è consegnato un Mansionario (allegato al presente DPS), in cui sono descritte dettagliatamente le corrette modalità operative; in particolare il Mansionario si preoccuperà di: 1. rendere edotto il singolo incaricato circa la corretta gestione delle credenziali di autenticazione, per evitare che possano essere carpite ed utilizzate da soggetti non autorizzati, siano essi esterni all Istituto o interni allo stesso; Furto di credenziali di autenticazione, carenza di consapevolezza, disattenzione, incuria, comportamenti sleali o fraudolenti, dei colleghi di lavoro o collaboratori. 2. spiegare le corrette procedure da applicare e il motivo per cui è necessario operare in tal modo al fine di minimizzare gli errori materiali e gli errori causati da scarsa consapevolezza, disattenzione, incuria; 3. informare ciascun utente sulle modalità per un corretto utilizzo di Internet, della posta elettronica e, più in generale, delle risorse hardware e software affidate dal Titolare agli incaricati per lo svolgimento delle rispettive mansioni. Per massimizzare l efficacia delle procedure e delle modalità operative previste dal Mansionario, esse verranno analizzate nel corso di interventi previsti dal punto 19.6 dell Allegato B, di cui il DPS si occupa al punto 6. Quanto al rischio che l incaricato - tramite comportamenti sleali o fraudolenti - diffonda o comunichi senza autorizzazione informazioni e/o duplicati estratti dagli archivi cartacei o informatici, il Titolare si premunisce consegnando ad ognuno l atto di nomina e il relativo Mansionario, con cui ogni incaricato si impegna a non divulgare informazioni che riguardano le attività e i dati personali della Scuola. 24

25 3.2 Eventi relativi agli strumenti RISCHIO DI DISTRUZIONE, PERDITA, ALTERAZIONE DEI DATI Eventi Accesso abusivo al sistema informatico dall esterno ex art. 615 ter c.p. volto al danneggiamento, distruzione o alterazione dei dati. Misure Sono stati installati i seguenti software: - antivirus e firewall. Per maggiori dettagli, si veda la relazione tecnica allegata al presente DPS. Installazione di un programma diretto a danneggiare un sistema informatico ex art. 615 quinquies c.p. dall esterno o dall interno. Furto o sottrazione di server o elaboratori su cui sono custoditi i dati, furto o sottrazione di archivi cartacei. Danneggiamenti ad archivi o distruzione di apparecchiature hardware dovute a: sabotaggio, atti vandalici, problemi all alimentazione di rete dovuti ad eventi eccezionali, incendi, calamità naturali. Gli incaricati non possono installare software non autorizzati dal Titolare del trattamento all interno del sistema informatico della Scuola (come da regole di comportamento Mansionario). Sono stati installati un software antivirus. Il router svolge funzioni di firewall. L Istituto è dotato di porte fornite di serratura di sicurezza per scongiurare il rischio di accessi ai locali da parte di persone non autorizzate dopo l orario di chiusura. Durante l orario in cui la scuola è aperta al pubblico, gli accessi sono controllati dal personale. Le apparecchiature elettroniche e gli archivi cartacei sono posti sotto il diretto controllo del personale dell Istituto. Vista l ubicazione dell ufficio e la natura delle attività svolte, non si ritiene che tali rischi possano essere evitati del tutto poiché rientrano nelle tipologie della forza maggiore e/o del caso fortuito. Eventi Accesso non autorizzato ai dati contenuti nel sistema informatico. RISCHIO DI ACCESSI ESTERNI NON AUTORIZZATI Misure L accesso ai dati contenuti nel sistema è consentito solo ai soggetti muniti di valide credenziali di autenticazione, ai sensi dei punti 1-11 dell Allegato B (come da nota tecnica allegata). Tutti i PC dell area amministrativa sono configurati in modo tale che al momento dell apertura vengano richieste le credenziali di autenticazione per poter accedere al sistema. Quanto al rischio che soggetti esterni riescano a penetrarvi fraudolentemente, l Istituto ha approntato le seguenti misure: software antivirus; router adsl; aggiornamento dei Sistemi Operativi. Per maggiori informazioni si vedano il capitolo 4 del DPS e la relazione tecnica allegata. 25

26 3.2 Eventi relativi agli strumenti RISCHIO DI DISTRUZIONE, PERDITA, ALTERAZIONE DEI DATI Eventi Accesso abusivo al sistema informatico dall esterno ex art. 615 ter c.p. volto al danneggiamento, distruzione o alterazione dei dati. Installazione di un programma diretto a danneggiare un sistema informatico ex art. 615 quinquies c.p. dall esterno o dall interno. Furto o sottrazione di server o elaboratori su cui sono custoditi i dati, furto o sottrazione di archivi cartacei. Danneggiamenti ad archivi o distruzione di apparecchiature hardware dovute a: sabotaggio, atti vandalici, problemi all alimentazione di rete dovuti ad eventi eccezionali, incendi, calamità naturali. Misure Sono stati installati i seguenti software: - antivirus e firewall. Per maggiori dettagli, si veda la relazione tecnica allegata al presente DPS. Gli incaricati non possono installare software non autorizzati dal Titolare del trattamento all interno del sistema informatico della Scuola (come da regole di comportamento Mansionario). Sono stati installati un software antivirus. Il router svolge funzioni di firewall. L Istituto è dotato di porte fornite di serratura di sicurezza per scongiurare il rischio di accessi ai locali da parte di persone non autorizzate dopo l orario di chiusura. Durante l orario in cui la scuola è aperta al pubblico, gli accessi sono controllati dal personale. Le apparecchiature elettroniche e gli archivi cartacei sono posti sotto il diretto controllo del personale dell Istituto. Vista l ubicazione dell ufficio e la natura delle attività svolte, non si ritiene che tali rischi possano essere evitati del tutto poiché rientrano nelle tipologie della forza maggiore e/o del caso fortuito. Eventi Accesso non autorizzato ai dati contenuti nel sistema informatico. RISCHIO DI ACCESSI ESTERNI NON AUTORIZZATI Misure L accesso ai dati contenuti nel sistema è consentito solo ai soggetti muniti di valide credenziali di autenticazione, ai sensi dei punti 1-11 dell Allegato B (come da nota tecnica allegata). Tutti i PC dell area amministrativa sono configurati in modo tale che al momento dell apertura vengano richieste le credenziali di autenticazione per poter accedere al sistema. Quanto al rischio che soggetti esterni riescano a penetrarvi fraudolentemente, l Istituto ha approntato le seguenti misure: software antivirus; router adsl; aggiornamento dei Sistemi Operativi. Per maggiori informazioni si vedano il capitolo 4 del DPS e la relazione tecnica allegata. 26

27 Accesso non autorizzato ai documenti cartacei. Tutte le attività della Scuola sono regolate secondo i principi dettati nelle lettere di incarico al trattamento e nel relativo Mansionario (allegato al presente DPS). Nessun incaricato può avere accesso ai dati che non gli competono. I documenti cartacei sono conservati in maniera tale da prevenire che soggetti non autorizzati possano venirne a contatto: il Mansionario contiene l indicazione delle procedure che l incaricato deve rispettare per non pregiudicare la sicurezza dei documenti cartacei. In relazione alla distruzione dei documenti cartacei, l ufficio provvede a rendere non più intellegibili i dati personali presenti sui documenti da smaltire. MALFUNZIONAMENTO, INDISPONIBILITÀ O DEGRADO DEGLI STRUMENTI INFORMATICI Eventi Malfunzionamento, indisponibilità o degrado degli strumenti informatici. Misure L Istituto si avvale della collaborazione del personale interno per verificare periodicamente che gli strumenti informatici utilizzati siano in buono stato di conservazione e perfettamente funzionanti; se del caso, provvede a far effettuare gli interventi di manutenzione necessari. Per evitare che il comportamento disattento del dipendente o la sua scarsa conoscenza del funzionamento degli apparati che compongono il sistema informatico possano causare un malfunzionamento allo stesso, l Istituto provvede a rendere edotto il dipendente circa i comportamenti corretti e quelli da evitare. 27

28 3.3 Eventi relativi al contesto EVENTI RELATIVI AL CONTESTO Eventi Accesso non autorizzato ai locali. Asportazione e furto di strumenti contenenti dati. Misure I locali dove sono situati gli archivi cartacei e le apparecchiature hardware sono sorvegliate dagli incaricati al trattamento, che si preoccupano che le stanze in oggetto non siano lasciate a disposizione di soggetti estranei alla Scuola o che non siano autorizzati ad entrare in contatto con i dati personali. Sono poi state poste in essere misure di sicurezza fisica e logistica, come risulta dal capitolo 3.2 del presente DPS. L Istituto è dotato di porte fornite di serratura di sicurezza, per scongiurare il rischio di accessi ai locali da parte di persone non autorizzate dopo l orario di chiusura. Durante l orario in cui la scuola è aperta al pubblico, gli accessi sono controllati dal personale al fine di prevenire il rischio che soggetti non autorizzati si introducano nei locali senza essere visti. Eventi distruttivi naturali, artificiali, dolosi, accidentali. Errori umani nella gestione della sicurezza fisica. Danneggiamenti o distruzione di apparecchiature hardware o di archivi cartacei dovute a: sabotaggio, atti vandalici, problemi all alimentazione di rete dovuti ad eventi eccezionali, incendi, calamità naturali; vista l ubicazione della Scuola e la natura delle attività svolte, non si ritiene che tali rischi possano essere evitati del tutto in quanto rientrano nelle tipologie della forza maggiore e/o del caso fortuito. L impianto di alimentazione delle macchine è adeguato alle più recenti normative di legge. Sulle macchine e sugli impianti sono svolti i necessari interventi di manutenzione. Pur non potendo scongiurare in maniera assoluta il rischio di una falla nella sicurezza della Scuola causata da un errore umano, il Titolare, per minimizzarlo entro limiti accettabili, si affida al Mansionario, che descrive in maniera chiara e precisa tutte le procedure da seguire, e agli interventi formativi, di cui al punto 6. 28

29 Tabella riassuntiva. Analisi dei rischi. EVENTO Impatto sulla sicurezza dei dati Descrizione Gravità stimata Rif. misure d azione Comportamenti degli operatori Eventi relativi agli strumenti Furto di credenziali di autenticazione Mancanza di consapevolezza, disattenzione o incuria Comportamenti sleali o fraudolenti Errore materiale Azione di virus informatici Spamming o altre tecniche di sabotaggio Malfunzionamento, indisponibilità o degrado degli strumenti Accessi esterni non autorizzati. Possibilità di accesso ai dati da parte di persone non autorizzate. Mancanza di conoscenza degli strumenti di lavoro a disposizione e modalità del loro utilizzo con possibilità di perdita di dati. Pericolo di comunicazione e/o diffusione illecite di dati. Cancellazione erronea di dati dal sistema centrale. Mal funzionamento del sistema con eventuale danneggiamento o perdita dei dati. Invio di messaggi indesiderati di posta elettronica tramite Internet in maniera non controllata. Impossibilità di recupero dei dati con conseguente perdita degli stessi. Collegamenti da parte di individui esterni atti al danneggiamento o alla modifica di dati in maniera dolosa. Gravità: media Policy con regole operative per la gestione delle password. Formazione degli incaricati. Gravità: bassa Mansionario in cui vengono date tutte le istruzioni necessarie affinché l utenza possa operare nella maniera più corretta possibile. Procedure di backup. Formazione degli incaricati. Gravità: media Principio del Need to Know. Lettera d incarico. Dopo l orario di chiusura i locali sono inaccessibili. Gravità: media Possibilità di recupero dei dati tramite le procedure di backup e di ripristino dei dati. Gravità: media Aggiornamento del sistema operativo e dell antivirus. Gravità: bassa Antivirus e antispyware. Gravità: medio-bassa Politiche di backup. Gravità: bassa Software antivirus. 29