DOCUMENTO PROGRAMMATICO PER LA SICUREZZA

Transcript

1 ISTITUTO COMPRENSIVO DI NOCERA TERINESE DOCUMENTO PROGRAMMATICO PER LA SICUREZZA Decreto legislativo 196 del 30 giugno 2003 Aggiornamento al 11 NOVEMBRE 2017 PIANO OPERATIVO PER L ADOZIONE DELLE MISURE MINIME DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI NELL AMBITO DELLE ATTIVITA DELLA SCUOLA Anno scolastico 2017/2018

2 Il Dirigente Scolastico 2 Visto il decreto legislativo 30 giugno 2003, n.196 recante il Codice in materia di protezione di dati personali, e segnatamente gli artt. 34 ss., nonché l'allegato B del suddetto d.lgs., contenente il Disciplinare tecnico in materia di misure minime di sicurezza. Considerato che l'istituzione Scolastica Istituto Comprensivo Statale di Nocera Terinese, con sede in Via Cutura, città Nocera Terinese in quanto dotata di un autonomo potere decisionale, ai sensi dell'art. 28 del d.lgs. n. 196 del 2003, deve ritenersi titolare del trattamento di dati personali; Atteso che la suddetta Istituzione Scolastica è tenuta a prevedere ed applicare le misure minime di sicurezza di cui agli artt. 31 e ss. del d.lgs. n.196 del 2003, ADOTTA il presente DOCUMENTO PROGRAMMATICO DELLA SICUREZZA Premessa Il documento programmatico sulla sicurezza costituisce una sorta di manuale della sicurezza dell'organizzazione ai fini del trattamento dei dati personali tutelati dal Codice sulla privacy, affinché siano rispettati gli obblighi, in materia di sicurezza, previsti dalla legge 675/96 sulla protezione dei dati personali e dal DPR 318/99. Questo documento rappresenta una misura opportuna per analizzare la situazione dell'istituzione scolastica ed organizzare le procedure a garanzia della sicurezza nei trattamenti; tuttavia costituisce una misura minima da adottare obbligatoriamente e da aggiornare entro il 31 marzo di ogni anno (in base al punto 19 del disciplinare tecnico allegato al D.lgt. n. 196/2003), esclusivamente nel caso di trattamento di dati particolari (sensibili e giudiziari). Il piano prevede un azione di formazione continua per tutti i dipendenti finalizzata a promuovere la cultura della sicurezza, indispensabile a garantire l'integrità e la riservatezza delle informazioni, siano esse conservate su supporti cartacei o informatici. In particolare tale piano persegue l'obiettivo di: minimizzare la probabilità di appropriazione, danneggiamento o distruzione anche non voluta di apparecchiature informatiche o archivi informatici cartacei contenenti dati sensibili; minimizzare la probabilità di accesso, comunicazione o modifiche non autorizzate alle informazioni sensibili. Il presente Documento Programmatico sulla Sicurezza delle formazioni deve essere divulgato e spiegato a tutti gli incaricati. Eventuali situazioni di deviazione accertate rispetto a quanto precisato nel presente documento dovranno essere rimosse nel più breve tempo possibile.

3 3 Fonti normative Le disposizioni di legge principali concernenti la corretta gestione di sistemi informatici sono: R.D n. 633 e D.lg n. 518 (tutela del diritto di autore sul software); Legge n. 547 (reati legati all informatica - modifiche al Codice penale); D.lgt n.196 (recante il Codice in materia di protezione dei dati personali) e suo Disciplinare Tecnico; Legge 675/1996; D.P.R. 318/1999; Legge 325/2000; D.L.vo 9 aprile 2008, n. 81 Riferimento al documento del Garante per la Privacy G.U. n. 300 del 20 dicembre 2008 Sedi Il presente Documento Programmatico sulla Sicurezza delle Informazioni si applica a: 1) Sede Centrale Uffici - Nocera Centro; 2) Scuola dell Infanzia, Scuola Primaria e Scuola Secondaria di l grado di Nocera Centro. 3) Scuola dell Infanzia, Scuola Primaria e Scuola Secondaria di l grado San Mango d Aquino. 4) Scuola dell Infanzia, Scuola Primaria e Scuola Secondaria di l grado di Nocera Scalo.

4 DOCUMENTO PROGRAMMATICO DELLA SICUREZZA 4 L'Istituzione Scolastica, per l'espletamento della funzione didattica e formativa, raccoglie e tratta dati personali dei soggetti coinvolti nell'offerta formativa ovvero dei destinatari della stessa, anche se necessario con l'ausilio di soggetti esterni, talché si precisano i seguenti elementi: Elenco dei trattamenti di dati personali; Elenco dei dati personali di natura comune, sensibile o giudiziaria; Distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; Ambito dei trattamenti; Analisi dei rischi incombenti sui dati; Misure adottate per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; Criteri e modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento; Programma degli interventi formativi degli incaricati del trattamento; Criteri previsti per garantire il rispetto delle misure minime per i trattamenti di dati personali affidati all'esterno della struttura; Trattamento di dati personali sensibili o giudiziari con strumenti elettronici affidati all'esterno. 1. ELENCO DEI TRATTAMENTI DI DATI PERSONALI Finalità: Al fine di perseguire le finalità istituzionali, l'istituzione Scolastica tratta dati personali (sia comuni che sensibili o giudiziari) di studenti e loro familiari, personale dipendente, fornitori di beni e prestatori di servizi, clienti. I trattamenti sono effettuati, anche mediante strumenti elettronici, per le seguenti finalità: adempimento agli obblighi di fonte legislativa, nazionale, territoriale o comunitaria, regolamentare o derivante da atti amministrativi; somministrazione dei servizi formativi; gestione e formazione del personale, nelle sue varie componenti comunque operanti nell ambito scolastico; adempimenti assicurativi; tenuta della contabilità; gestione delle attività informative curate ai sensi della legge 7 giugno 2000, n.150 contenente la "Disciplina delle attività di informazione e di comunicazione delle pubbliche amministrazioni"; attività strumentali alle precedenti.

5 Fonte dei dati: Atti e/o dichiarazioni provenienti da soggetti interessati a fruire direttamente, o a beneficio dei minori sottoposti alla potestà ex art. 316 c.c., dei servizi formativi; documenti contabili e amministrativi connessi alla fornitura di prestazioni e/o di servizi e/o di lavori; documentazione bancaria, finanziaria e/o assicurativa; documenti inerenti il rapporto di lavoro, finalizzati anche agli adempimenti retributivi e/o previdenziali. I dati trattati sono conservati su supporti informatici e/o cartacei e sono noti all'istituzione Scolastica, in ragione della produzione e/o metodo di acquisizione ELENCO DEI DATI PERSONALI DI NATURA COMUNE O SENSIBILE Sulla scorta delle precisazioni sopra elencate, l'istituzione Scolastica, sulla base di una prima ricognizione, con salvezza della possibilità di procedere a successive integrazioni e/o correzioni entro il , dichiara, con riferimento ai destinatari o familiari dei destinatari dell'offerta formativa ovvero del personale coinvolto, a qualunque titolo, nella medesima, o interessato ad essere coinvolto, ovvero di soggetti, a qualsiasi titolo, coinvolti in rapporti negoziali con l'istituzione Scolastica, o aspiranti ad assumere tale ruolo, di trattare i dati di seguito elencati: a. dati identificativi, ai sensi dell'art 4, comma 1, lettere b) e c) del d.lgs. n.196 del 2003, univocamente riconducibili ad un soggetto fisico, identificato o identificabile, quali nominativo, dati di nascita, residenza, domicilio, stato di famiglia, codice fiscale, stato relativo all adempimento degli obblighi di leva; b. dati identificativi, ai sensi dell'art. 4, comma 1, lettere b) e c) del d.lgs. n.196 del 2003, univocamente riconducibili a persone giuridiche, enti o associazioni, inerenti la forma giuridica, la data di costituzione, la sede, il domicilio, l'evoluzione degli organi rappresentativi e legali, la sede, la Partita IVA, il Codice fiscale, la titolarità di diritti o la disponibilità di beni strumentali; c. dati sensibili, ai sensi dell'art. 4, comma 1, lett. d) del d.lgs. n.196 del 2003; d. dati giudiziari, ai sensi dell art.4, comma 1, lett. e) del d.lgs. 196/03; e. dati inerenti il livello di istruzione e culturale nonché relativi all'esito di scrutini, esami, piani educativi individualizzati differenziati; f. dati inerenti le condizioni economiche e l'adempimento degli obblighi tributari; g. dati riferibili a procedimenti giudiziari, pendenti in qualsiasi grado, o pregressi, di natura penale, civile, amministrativa, tributaria, presso autorità giurisdizionali italiane o estere, compresi quelli rientranti nell'art. 4, comma 1, lett. e) del d.lgs. n.196 del 2003; h. dati atti a rilevare la presenza presso l'istituzione Scolastica dei destinatari dell'offerta formativa ovvero dei famigliari nonché del personale coinvolto, a qualsiasi titolo, nella somministrazione di tale offerta; i. dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque; j. dati inerenti negoziazioni e relative modalità di pagamento rispetto a forniture di beni, servizi o di opere, ovvero proposte ed offerte inerenti le medesime negoziazioni;

6 6 k. dati inerenti la fornitura e le modalità di pagamento riguardo ad attività professionale a fini formativi; l. dati contabili e fiscali; m. dati inerenti la titolarità di diritti, il possesso o la detenzione di beni mobili registrati, mobili o immobili; n. dati detenuti in applicazione di disposizioni di origine nazionale o comunitaria, atti o provvedimenti amministrativi, fonti contrattuali. 3. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ NELL'AMBITO DELLE STRUTTURE PREPOSTE AL TRATTAMENTO DEI DATI L Istituzione Scolastica nella persona del Dirigente Scolastico, Prof.ssa Enrica Pascuzzi, Titolare del trattamento dei dati ha designato, mediante autonomo provvedimento (allegato al presente Documento) quale Responsabile ai sensi dell'art. 29 del d.lgs. n.196 del 2003 La Sig.ra Silvana Roperti nata a Conflenti il , in servizio in qualità di D.S.G.A, in considerazione della esperienza, capacità ed affidabilità possedute, tale da offrire idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento. Il suddetto Responsabile del trattamento ha ricevuto adeguate istruzioni riguardo: all'individuazione ed adozione delle misure di sicurezza da applicare nell'ambito dell'istituzione Scolastica, al fine di salvaguardare la riservatezza, l'integrità, la completezza e la disponibilità dei dati trattati; all'esigenza di provvedere, mediante atto scritto, all'individuazione delle unità legittimate al trattamento, per mezzo dei singoli preposti, ovvero di singoli incaricati, ai sensi dell'art. 30 del d.lgs. n.196 del 2003, deputati ad operare sotto la diretta autorità del responsabile, attenendosi alle istruzioni impartite, fermo restando l'obbligo gravante sul Responsabile, di vigilare sul rispetto delle misure di sicurezza adottate; all'esigenza di verificare che gli obblighi di informativa siano stati assolti correttamente, ovvero che sia stato conseguito il consenso degli interessati; all'obbligo di collaborare con il titolare nell'adempiere alle richieste avanzate dal Garante per la protezione dei dati personali ovvero alle autorità investite dei poteri di controllo; all'attribuzione della competenza ad elaborare e sottoscrivere notificazioni al Garante per la protezione dei dati personali; all'obbligo di osservare e far osservare il divieto di comunicazione e diffusione dei dati personali comunque trattati da parte dell'istituzione Scolastica; all'obbligo, ovvero a proporre soluzioni organizzative che consentano un ampliamento dei livelli di sicurezza. Il Responsabile del trattamento, ai sensi dell'art. 30 del d.lgs. n.196 del 2003 e delle indicazioni rappresentante sub b), ha provveduto ad individuare (mediante atti allegati al presente Documento) gli incaricati, autorizzandoli al trattamento dei dati in possesso dell'istituzione Scolastica, esclusivamente con riferimento all'espletamento delle funzioni istituzionali ad essi rispettivamente assegnate.

7 Tali incaricati, in particolare, sono stati formalmente edotti in merito alla circostanza che: il trattamento e la conservazione dei dati deve avvenire esclusivamente in modo lecito e proporzionato alle funzioni istituzionali, nel rispetto della riservatezza; la raccolta, registrazione ed elaborazione dei dati, mediante strumento informatico o cartaceo, deve essere limitata alle finalità istituzionali; integra onere dell'incaricato la correzione od aggiornamento dei dati posseduti, l'esame della loro pertinenza rispetto alle funzioni; integra inosservanza delle istruzioni la comunicazione, effettuata in qualsiasi maniera dei dati in possesso, con eccezione del caso che il destinatario sia l'interessato alle stesse, ovvero altri soggetti legittimati a ricevere dette comunicazioni. L'ambito dei trattamenti autorizzati ai singoli incaricati è suscettibile di aggiornamento periodico. A tutti gli incaricati destinati al trattamento di dati mediante strumento elettronico, sono state conferite credenziali di autenticazioni (art. 34, comma 1, lett. b) mediante parola chiave, conformi alle caratteristiche di legge. Con atto allegato al presente documento il Dirigente Scolastico è stato designato incaricato della custodia delle copie di credenziali di autenticazione nonché della funzione di verifica del loro aggiornamento periodico ovvero della corretta utilizzazione. Le suddette credenziali sono disattivate automaticamente dall Amministratore di sistema nonchè gestore della rete periodicamente, ovvero in tutti i casi di mancata utilizzazione per almeno 6 mesi. Può eventualmente concorrere al trattamento anche una struttura esterna all'istituzione Scolastica, che sarà formalmente incaricata mediante convenzione che verrà allegata al presente documento, del supporto, manutenzione, riparazione degli strumenti elettronici. Incaricato della struttura è il dott. Pierluigi Tavella, docente dell Istituto, che è stato designato quale responsabile del trattamento, in ragione dell'esperienza maturata nel settore. 7 Incarichi attribuiti agli assistenti amministrativi Stella Massimo Gestione Personale Docente Scuola Primaria. In particolare per quanto riguarda il Personale gestisce le assenze, le sostituzioni, il rilascio dei certificati, la tenuta dei registri e ogni altro atto inerente Inoltre deve curare l angolo di archivio destinato alla Scuola Primaria con ordinata tenuta dei fascicoli del Personale e degli alunni, dei vari registri scolastici.preparazione atti per contabilità mensile e annuale. ESPOSITO Antonella Gestione Alunni della Scuola dell Infanzia, Primaria e Secondaria di I Grado. Deve curare l ordinata tenuta dei fascicoli deldegli alunni, e dei vari registri scolastici.gestione funzionamento Organi Collegiali. Libri di Testo. Ordinata tenuta albo scolastico con relativo registro.

8 8 ROCCA Adriano Gestione Personale ATA. In particolare gestisce le assenze, le sostituzioni, il rilascio dei certificati, la tenuta dei registri e ogni altro atto inerente. Inoltre deve curare l angolo di archivio destinato al Personale ATA con ordinata tenuta dei fascicoli personali e dei vari registri scolastici.gestione magazzino. Tutti gli Assistenti Amministrativi sono incaricati del trattamento dei dati personali, sensibili e giudiziari, secondo le regole previste dal decreto legislativo 196/2003. L incarico, che costituisce attribuzione di compiti connessi all esercizio delle mansioni previste nel profilo professionale, sarà formalizzato con specifico provvedimento del titolare o del responsabile del trattamento dei dati in argomento. Soggetti coinvolti nel trattamento dei dati Il decreto legislativo n. 196 del 30 giugno 2003 sulla protezione dei dati personali, individua all art. 4, i cinque soggetti che sono coinvolti nel trattamento dei dati personali: Il TITOLARE, cioè la persona fisica o giuridica che ha la responsabilità finale ed assume le decisioni fondamentali riferite al trattamento dei dati personali; Il RESPONSABILE, è la persona, dotata di particolari caratteristiche di natura morale e di competenza tecnica, preposta dal titolare al trattamento dei dati personali ivi compreso il profilo della sicurezza ; possono essere nominati anche più responsabili in base ad esigenze organizzative; L INCARICATO, è la persona fisica che materialmente provvede al trattamento dei dati, secondo le istruzioni impartite dal titolare o dal responsabile se nominato; L' INTERESSATO, soggetto cui i dati oggetto di trattamento si riferiscono; L AMMINISTRATORE DI SISTEMA, è la persona che conserva una propria funzionalità per la garanzia delle misure di SICUREZZA LOGICA del sistema informatico della gestione dei dati. 3.1 DATI TRATTATI DAI DOCENTI Le banche dati cui hanno accesso più docenti sono: il registro di classe il registro dei verbali del consiglio di classe o di interclasse e collegio dei docenti. la documentazione relativa alla programmazione didattica i documenti di valutazione degli alunni la documentazione dello stato di handicap i certificati medici degli allievi la corrispondenza con le famiglie i documenti relativi agli alunni pervenuti dalle scuole di provenienza Il trattamento dei dati da parte dei docenti è definito puntualmente da norme di legge o regolamentari.

9 9 3.2 DATI TRATTATI DAL PERSONALE COLLABORATORE SCOLASTICO Le banche dati su supporto cartaceo e/o informatizzato, contenenti dati personali, cui ha accesso il personale collaboratore scolastico, raggruppati in insiemi omogenei, sono: informazioni sanitarie recapiti di personale, alunni, fornitori di beni e/o prestatori di servizi, clienti 3.3 DATI TRATTATI DAL PERSONALE AMMINISTRATIVO E TECNICO Le banche dati su supporto cartaceo e/o informatizzato, contenenti dati personali, cui ha accesso il personale di segreteria, raggruppati in insiemi omogenei, sono: i fascicoli relativi al personale della scuola, i fascicoli degli alunni ed ex alunni l'anagrafe fornitori di beni e/o prestatori di servizi ed eventualmente clienti la documentazione finanziaria, contabile e amministrativa i contratti stipulati dall Istituzione scolastica ovvero da questa detenuti il registro degli infortuni dipendenti ed alunni libri e documenti obbligatori D.Lgs 626/ DATI TRATTATI DAL DIRIGENTE SCOLASTICO Le banche dati di pertinenza del Dirigente sono: il protocollo riservato tutte le banche dati menzionate ai punti precedenti. 3.5 DATI TRATTATI DA ESPERTI ESTERNI ALL AMMINISTRAZIONE Alla data di aggiornamento del presente documento non ci sono esperti esterni che accedono a dati sensibili. Qualora si dovesse incaricare qualcuno verrà predisposta apposita tabella da allegare al presente documento. 4. ANALISI DELLA SITUAZIONE DELL'ISTITUZIONE SCOLASTICA 1) Descrizione del Sistema Informatico Gli elementi fondamentali del sistema informatico sono: Hardware n 1 rete locale che collega gli uffici di Segreteria e la Presidenza dell ISTITUZIONE SCOLASTICA; n.1 rete locale che collega gli uffici con la rete Internet, tale rete è protetta da Firewall. n 1 Server nell ufficio di segreteria (sistema operativo Windows XP); Unità di accesso per gli utenti (n 6 personal computer, n 6 stampanti); n 1 Scanner nell ufficio di Segreteria; n 1 dispositivo (router) di connessione verso l esterno condivisi tra più utenti;

10 n 6 gruppo di continuità. 10 Software Sistemi operativi utilizzati WINDOWS 7 per i P.C. e Windows 7 Professional per il Server; Applicazioni di tipo gestionale ARGO in rete; Applicazioni di ufficio Microsoft Office 2010, OpenOffice 2.0 ; Sistemi di posta elettronica (Outlook Express) e strumenti di navigazione in Internet (Internet Explorer; Mozilla Firefox). 2) Analisi ed elenco delle postazioni che trattano dei dati personali Le applicazioni che sono utilizzate dagli Uffici dell ISTITUZIONE SCOLASTICA sono: 1) Ufficio del D.S.G.A postazione Server: a) Dalla postazione, che costituisce il Server della Segreteria Amministrativa e Didattica e che è la sede di conservazione dei dati, si possono trattare dati personali; è normalmente protetto da chiave di accesso software che ne impedisce l uso ai non addetti; il sistema è ridondante per la presenza di dischi RAID per la sicurezza dei dati e di antivirus ed antispyware costantemente aggiornati. Applicativo utilizzato ARGO in rete, sistema operativo Windows XP PRO; è previsto il backup completo dei dati con cadenza settimanale e ricovero degli stessi su unità esterne di supporto; 2) Ufficio di Presidenza: a) Dalla postazione potenzialmente si possono trattare dati personali in quanto collegate in rete locale con il Server della Segreteria amministrativa e didattica.; sistema operativo Windows 7; 3) Ufficio del D.S.G.A postazione n 1 e n 2: a) Dalle postazioni si trattano dati personali in quanto collegate in rete locale con il Server della Segreteria Amministrativa e Didattica. Applicativo utilizzato ARGO in rete, sistema operativo Windows 7; Segreteria Didattica e Amministrativa: 4) Postazione n 3 assegnata alla signora Stella massimo: a) Dalla postazione si trattano dati personali in quanto collegato in rete locale con il Server della Segreteria Amministrativa e Didattica. Applicativo utilizzato Argo in rete, sistema operativo Windows 7; 5) Postazione n 4 assegnata al signor Rocca Adriano: a) Dalla postazione si trattano dati personali in quanto collegato in rete locale con il Server della Segreteria Amministrativa e Didattica. Applicativo utilizzato Argo in rete, sistema operativo Windows 7; 6) Postazione n 6 assegnata alla signora Esposito Antonella ; a) Dalla postazione si trattano dati personali in quanto collegato in rete locale con il Server della Segreteria Amministrativa e Didattica. Applicativo utilizzato Argo in rete,

11 sistema operativo Windows 7. 7) Postazione n 7 localizzate nella sala dei Collaboratori del Dirigente sita nell edificio Scuole Centro al 1 piano ; a) Dalla postazione n 7 (assegnata al Dirigente e al Docente collaboratore Prof.ssa Bonalumi MariaLucia) si trattano dati personali relativi agli alunni, la postazione è collegata in rete locale mediante router wireless con la rete Internet degli uffici della Segreteria Amministrativa e Didattica. Sistema operativo Windows Le banche dati informatiche realizzate con il software Argo in rete in uso alla ISTITUZIONE SCOLASTICA sono: Area Alunni; Area Personale; Area Contabilità; Area Bilancio; Area Inventario; Area Magazzino; Area Protocollo; Area Biblioteca; Area Presenze; Area Libri di Testo. Area ScuolaNext (registro elettronico) Dal mese di Settembre 2009 l incarico di assistenza tecnica sui PC e gestione della rete è stato affidato al docente Pierluigi Tavella che sarà il responsabile della sicurezza informatica dell Istituzione Scolastica, e amministratore di sistema. Archivi Nei locali Archivi (N. 2) muniti di porta blindata sono dislocati armadi e scaffalature in ferro contenenti: Fascicoli del personale in servizio; Fascicoli personale cessato; Fascicoli alunni iscritti; Registri diplomi; Fascicoli alunni diplomati; Titolari; Fascicoli del personale docente in servizio pervenuti dall U.S.P. di Catanzaro; Registro generale voti; Atti contabili; Atti relativi all inventario dei beni dell istituzione scolastica; Registri di classe

12 Atti degli Organi Collegiali 12 ANALISI DEI RISCHI CHE INCOMBONO SUI DATI Per procedere all analisi dei rischi che incombono sui dati è necessario descrivere ed analizzare la situazione attuale dell ISTITUZIONE SCOLASTICA. I dati che seguono sono relativi a una rilevazione effettuata a febbraio SEDE PRINCIPALE: 1) Presidenza 2) Ufficio del DSGA 3) Uffici di Segreteria 4) Archivi PLESSI: 1) Scuola dell Infanzia 2) Scuola Primaria 3) Scuola Secondaria l grado 4) Laboratori Via Cutura Nocera Centro Centro-Scalo- San Mango Centro-Scalo-S.Mango Centro-Scalo-S.Mango Centro-Scalo-S.Mango I locali ove avviene il trattamento dei dati effettuato dai docenti coincidono con quelli adibiti ad attività didattica, allocati nei Plessi costituenti l ISTITUZIONE SCOLASTICA. Esistono nelle sedi locali di pertinenza esclusiva dei docenti (sale insegnanti) ed il trattamento dei dati da parte di questi avviene con mezzi manuali su supporti cartacei Le banche dati contenenti documentazione didattica (registri personali e di classe) vengono consegnati all inizio dell anno scolastico dal Dirigente Scolastico ai docenti, che provvedono alla compilazione, alla conservazione ed alla custodia. All interno delle banche dati di cui si tratta vengono custoditi temporaneamente, in attesa del trasferimento nei fascicoli personali, i certificati medici degli alunni. Le banche dati contenenti documentazione didattica vengono consegnate dai docenti, custoditi e conservati dal personale di segreteria. Gli elaborati degli alunni sono conservati in apposite cassettiere nella sala insegnanti ed alla fine di ogni quadrimestre sono consegnati dai docenti al Dirigente Scolastico. I verbali dei consigli di interclasse, di classe e degli organi collegiali sono custoditi e conservati dal Dirigente Scolastico o da persona da lui incaricata con apposita delega. La programmazione didattica e tutta la documentazione per gli allievi portatori di handicap è custodita e conservata nell ufficio del Dirigente Scolastico. Nell ambito di una sperimentazione d Istituto alcuni docenti dei vari ordini di scuola utilizzano per la registrazione delle attività didattiche e per la registrazione della valutazione un registro elettronico su file Excel e Word. Alla fine di ogni unità di

13 13 apprendimento e modulo didattico i docenti consegnano al Dirigente Scolastico il file debitamente compilato. I locali interessati al trattamento dei dati da parte del personale di segreteria e da parte del Dirigente Scolastico sono collocati nella Sede di Nocera Centro nella palazzina assegnata a settembre 2010 dal Comune di Nocera Terinese. Gli uffici sono dotati di una buona via di accesso. L ingresso principale è in alluminio anodizzato dotato di maniglione antipanico. Gli uffici sono posti su un unico piano a livello di terra. L edificio della sede centrale è costituito dalla Presidenza, dall ufficio del DSGA, dagli Uffici di Segreteria, dagli archivi, Laboratorio informatico con n 18 P.C. (collegati in rete didattica), nei laboratori informatici non sono trattati dati sensibili. 1. Laboratorio Lettura EDIFICIO Accesso Via D. Alighieri recinzione Si - tipo metallico Cortile / giardino esclusivo Si Parcheggi esclusivi Si Cancelli esterni di accesso Si, uno metallico per l accesso. Illuminazione esterna Si Piani fuori terra nessuno Accessi all edificio Una via di accesso Tipologia accessi Accesso principale costituito da 1 porta in alluminio anodizzato a vetri con maniglione antipanico. Locali utilizzati da altri soggetti No DESCRIZIONE DEI LOCALI DELLA PRESIDENZA E DEI SERVIZI AMMINISTRATIVI La porta di ingresso consente di accedere in un atrio mediamente ampio vigilato da un collaboratore scolastico che accoglie l utente e lo indirizza, da questo atrio si accede direttamente agli uffici di segreteria, all ufficio del Dirigente scolastico, all ufficio del DSGA, in due stanze adibite ad archivi, sempre dall atrio si accede ai servizi e ad una stanza dove sono sistemati in apposito armadietto lo swich di rete e il router inernet. L accesso ai locali di Presidenza e del DSGA è controllato tramite citofono. Denominazione e destinazione locali Presidenza Il locale, munito di porta di sicurezza e finestra con Grata di Ferro è collocato al piano terra ed è accessibile dall atrio.

14 14 La postazioni di lavoro è situata sulla scrivania in legno ed è costituita da una dotazione informatica con Personal computer connesso in rete locale, tramite password, con la Sala Server. Gli arredi sono costituiti da due armadi in legno a due ante con vetri con serratura e una piccola scrivania con cassetti muniti di serratura, contenenti: il protocollo riservato, la documentazione handicap, i verbali organi collegiali, il registro di valutazione del servizio dei docenti, documento valutazione rischi. Ufficio D.S.G.A. Il locale, munito di porta di sicurezza, è collocato al piano terra ed è accessibile dall atrio. La finestra e dotata di grata di ferro ed affaccia in un cortile interno. Le postazioni di lavoro sono costituite da una scrivania doppia in legno con cassettiere munite di serratura e da una dotazione informatica con P.C.(n.2 e n.3) connessi in rete locale tramite un Server disposto nello stesso ambiente su piccola scrivania. Gli arredi sono costituiti da due armadi in legno a vetri con sportelli in basso muniti di serratura, un armadio e un mobiletto in legno con sportelli muniti di serratura. Gli armadi contengono: documentazione, programma annuale, conto consuntivo, verbali revisori dei conti, registro consiglio d istituto, registro giunta esecutiva, inventario, modulistica. Uffici di Segreteria Didattica e Amministrativa Tutte le postazioni di lavoro, che sono utilizzate secondo le esigenze di servizio dagli assistenti amministrativi, sono così costituite: Ufficio A Il locale è collocato al piano terra ed è accessibile dall atrio interno tramite una porta. Le comunicazioni con gli utenti avvengono mediante sportello a finestra che affaccia nell atrio. Le finestre, affacciano sul retro dell edificio, e sono protette da grate in ferro Le postazioni di lavoro sono così costituite: una scrivania in legno, un tavolo con P.C.(n.4) connesso in rete locale, tramite password, con il Server dell Ufficio di Segreteria una scrivania in legno, un tavolo con P.C.(n 5) connesso in rete locale, tramite password, con il Server dell Ufficio di Segreteria; Gli arredi sono costituiti da una cassaforte, due armadi in legno con vetrate e sportelli inferiori muniti di serrature, un armadio in metallo ad ante scorrevoli, 1 libreria in legno a giorno e un titolario. Ufficio B Il locale è collocato al piano terra ed è accessibile dall atrio interno e comunica con una porta interna con l ufficio A. La finestra, affaccia sul retro dell edificio ed è protetta da grata in ferro

15 Le postazioni di lavoro sono così costituite: 15 una scrivania in legno, un tavolo con P.C. (n 6) connesso in rete locale, tramite password, con il Server dell Ufficio di Segreteria; una scrivania in legno, un tavolo con P.C.(n 7) connesso in rete locale, tramite password, con il Server dell Ufficio di Segreteria; Gli arredi sono costituiti da un armadio in ferro con vetrate munito di serratura, un armadio in legno con vetrate e sportelli inferiori muniti di serrature, scaffali a giorno,un tavolo su cui è posto il Fax e il telefono; nel locale è collocata la stampante in rete dell ufficio. Archivio dei fascicoli personali Nei due locali Archivio (Archivio corrente e storico) adiacenti al piano terra, muniti di porta blindata sono dislocati armadi e scaffalature in ferro contenenti: Fascicoli del personale in servizio; Fascicoli alunni iscritti; Registro diplomi; Fascicoli alunni diplomati; Titolari; Fascicoli del personale docente in servizio pervenuti dall U.S.P. di Catanzaro; Registro generale voti. Atti contabili e relativi all inventario Guardiola collaboratori scolastici I collaboratori addetti alla reception, collocata nell atrio del piano terra, regolano l accesso ai locali degli uffici di segreteria, presidenza, L entrata principale viene controllata mediante citofono. Rischio Incendio Per tutti i locali su menzionati vedi documento sicurezza L Gestione delle chiavi di accesso Le chiavi per l accesso all ISTITUZIONE SCOLASTICA sono affidate ai collaboratori scolastici sigg. CURCIO Francesco, Esposito Giovanni, che provvedono all apertura e alla chiusura. Inoltre le chiavi degli uffici interni dove sono trattati dati personali sono custodite nell ufficio del D.S.G.A. Copie delle suddette sono depositate in Segreteria in un armadio di sicurezza. ANALISI DEI RISCHI I rischi a cui sono sottoposti gli archivi presenti nella scuola si possono suddividere in rischi

16 16 fisici e logici. Alla prima tipologia appartengono tutti gli archivi a supporto cartaceo e in parte quelli su supporto informatico. Alla seconda tipologia appartengono quelli che utilizzano elaboratori elettronici ed in specie quelli connessi in rete. Si metteranno di seguito in evidenza i rischi propri, connessi al trattamento dei dati personali secondo le categorie di rischio elencate nell articolo 31. Tali rischi si possono classificare in: distruzione o perdita, anche accidentale dei dati; connessi alla integrità dei dati; accesso non autorizzato ai dati; trattamento non consentito o non conforme alla finalità della raccolta; connessi con l utilizzo di reti di telecomunicazione disponibili al pubblico; connessi al reimpiego di supporto di memorizzazione; connessi alla conservazione della documentazione relativa al trattamento; connessi all utilizzo di archivi e contenitori con serrature. Rischi riguardanti le basi di dati trattate da docenti I sotto elencati rischi derivano dal trattamento dei dati connesso con l attività didattica, che viene effettuato senza l ausilio di strumenti elettronici: distruzione o perdita accidentale dei dati a causa di eventi naturali; allagamenti, furto, danneggiamento ecc.; connessi alla integrità dei dati: utilizzo di supporti o modalità di trattamento non stabili; accesso non autorizzato ai dati, da parte di soggetti esterni alla scuola o da parte di personale interno; trattamento non consentito o non conforme alle finalità di raccolta : diffusione, comunicazione; manomissione; connessi all utilizzo di archivi e contenitori con serrature. Rischi riguardanti le basi di dati trattate dal personale ATA Riguardano le basi di dati trattate esclusivamente dal personale ATA ed anche la documentazione didattica su cui operano i docenti non riferita all anno scolastico in corso; il trattamento è effettuato con strumenti elettronici e con strumenti non elettronici. I rischi di cui si tratta sono: distruzione o perdita accidentale dei dati a causa di eventi naturali; allagamenti, furto, danneggiamento ecc.; connessi alla integrità dei dati: utilizzo di supporti o modalità di trattamento non

17 stabili; accesso non autorizzato ai dati, da parte di soggetti esterni alla scuola o da parte di personale interno; 17 trattamento non consentito o non conforme alle finalità di raccolta: diffusione, comunicazione, manomissione; connessi all utilizzo di archivi e contenitori con serrature; connessi all utilizzo del sistema informativo automatizzato. Analisi dei rischi per il sistema informativo automatizzato Il furto o il danneggiamento delle apparecchiature informatiche, la diffusione o distruzione non autorizzata di informazioni personali e l interruzione dei processi informatici possono esporre l'istituzione al rischio di violare la legge 675/96. L analisi dei rischi consiste nella individuazione degli elementi del sistema che necessitano di protezione e delle minacce cui gli stessi possono essere sottoposti, tenendo conto del fattore tecnologico e del fattore umano. Risorse hardware da proteggere: P.C.; Stampanti; disk drive; linee di comunicazione: server. Minacce cui sono sottoposti: malfunzionamenti dovuti a guasti; malfunzionamenti dovuti a sabotaggi; malfunzionamenti dovuti ad eventi naturali; malfunzionamenti dovuti a furti e intercettazioni. Risorse software da proteggere: Sistemi Operativi; Software di Base; Software Applicativi; Gestori di basi di dati; Software di rete. Minacce cui sono sottoposti: errori involontari contenuti nelle procedure che possono consentire ad utenti non autorizzati l esecuzione di operazioni riservate; presenza di codice malizioso, inserito volontariamente nell applicazione al fine di svolgere operazioni non autorizzate o per danneggiare il programma (virus).

18 18 Dati Si tratta del contenuto degli archivi, delle basi di dati, dati di transito, copie storiche, ecc. Minacce accesso non autorizzato, modifiche deliberate o accidentali. Supporti di memorizzazione Sono i supporti su cui vengono tenute le copie dei software installati e dei back-up. Minacce distruzione o alterazione ad opera di eventi naturali, distruzione o alterazione ad opera di azioni accidentali o intenzionali, deterioramento nel tempo, inaffidabilità del mezzo fisico, evoluzione tecnologica del mercato. MISURE DA ADOTTARE PER GARANTIRE L INTEGRITA E LA DISPONIBILITA DEI DATI Le attività di sviluppo delle linee guida, riguardano le seguenti aree: sicurezza Fisica sicurezza Informatica sicurezza Organizzativa Sicurezza Fisica I requisiti di sicurezza fisica sono tesi a: proteggere le persone che operano sui sistemi; proteggere le aree; proteggere gli archivi. Variano considerevolmente in funzione delle dimensioni e dell organizzazione del Sistema Informativo. Nella fattispecie viste le dimensioni di tale sistema sono state fatte le seguenti considerazioni: Sicurezza di area La sicurezza di area ha il compito di prevenire accessi fisici non autorizzati, danni o interferenze con lo svolgimento dei servizi. Le contromisure si riferiscono alle protezioni perimetrali dei siti, ai controlli fisici all accesso, alla sicurezza degli archivi e delle attrezzature informatiche rispetto a danneggiamenti accidentali o intenzionali, alla protezione fisica dei supporti. Tutto questo avviene già avendo predisposto l installazione di porte di sicurezza per tutte le aree comprendenti i locali adibiti a servizi amministrativi e i relativi archivi.

19 19 Sicurezza delle apparecchiature hardware La sicurezza delle apparecchiature è riconducibile da un lato alle protezioni da danneggiamenti accidentali o intenzionali e dall altro alla sicurezza degli impianti di alimentazione. Anche la manutenzione dell hardware rientra in questa area, come anche la protezione da manomissione o furti. Sono stati installati su tutti i computer i software per la protezione da virus e da programmi spyware, il personale verrà informato inoltre sull importanza del rispetto di alcune fondamentali norme di sicurezza relative alle succitate problematiche. Sicurezza degli archivi I locali che contengono banche di dati personali (sensibili e non) e/o strumenti informatici sono stati dotati di porte di sicurezza. Misure informatiche Il campo di applicazione della Sicurezza riguarda principalmente la protezione dell informazione, e di conseguenza di dati, applicazioni, sistemi e reti, sia in relazione al loro corretto funzionamento ed utilizzo, sia in relazione alla loro gestione e manutenzione nel tempo. Le contromisure di Sicurezza sono quindi da intendersi come l insieme di misure di carattere tecnologico e di natura procedurale ed organizzativa che concorrono nella realizzazione del livello di sicurezza da raggiungere. Per questo aspetto si deve effettuare il back-up periodico dei dati per proteggere gli stessi dal rischio della morte fisica delle memorie di massa. Si deve organizzare una periodica manutenzione dei gruppi di continuità per sopperire ad eventuali black-out della rete elettrica e tenuta del registro dei controlli periodici di funzionamento degli stessi. Si deve prevedere l aggiornamento periodico del programma antivirus almeno sulle postazioni contenenti dati personali o sensibili. Si deve assegnare alle singole macchine un controllo di accesso e di identificazione utente attraverso password ed autorizzare e regolamentare l uso degli strumenti utilizzati su Internet. Servizi di Sicurezza Sono le funzioni di sicurezza che il sistema dovrà garantire su tutte le piattaforme ed a tutti i livelli di elaborazione. ISO individua i seguenti servizi di sicurezza: Autenticazione; Controllo Accessi; Confidenzialità; Integrità; Non Ripudio.

20 Meccanismi di Sicurezza Rappresentano le modalità tecniche attraverso le quali è possibile realizzare i servizi di sicurezza. ISO individua i seguenti meccanismi di sicurezza: Cifratura; Firma Digitale; Meccanismi per il controllo degli accessi; Integrità dei dati; Meccanismi per l autenticazione; Traffic Padding ovvero saturazione del traffico in rete; Controllo di instradamento; Notarizzazione. 20 Rete fornita dall Amministrazione Scolastica Nazionale I Servizi e i Meccanismi minimi di Sicurezza come sopra descritti sono già operanti per tutto il sistema informativo del Ministero della P.I. Infatti per quanto riguarda il controllo degli accessi abbiamo: identificazione, ovvero riconoscimento degli utenti e validazione della loro identità che è possibile con l assegnazione di codici di identificazione utente, e con la digitazione di una password; autorizzazione, ovvero determinazione di quali utenti sono abilitati ad eseguire quali azioni, in quali circostanze, con quali risorse del sistema; registrazione degli accessi, in presenza di tentativi di effrazione, il sistema impedisce l uso della stazione di lavoro e registra su archivi interni di controllo tutte le informazioni come il codice e il PIN dichiarati, la data e l ora del tentativo di accesso. Sicurezza Organizzativa Accanto all adozione di misure tecnologiche già illustrate, è necessario, come richiamato, vengano definite una serie di norme e procedure miranti a regolamentare gli aspetti organizzativi del processo di sicurezza. Gli aspetti organizzativi riguardano principalmente: la definizione di ruoli, compiti e responsabilità per la questione di tutte le fasi del processo Sicurezza; l adozione di specifiche procedure che vadano a completare e rafforzare le contromisure tecnologiche adottate. Un ulteriore aspetto inerente la Sicurezza Organizzativa è quello concernente i controlli sulla consistenza e sulla affidabilità degli apparati. In ordine alle norme di comportamento, si rimanda a quanto è definito nei documenti di nomina per l assegnazione di responsabilità ed incarichi ed a quanto specificato nell allegato A.

21 Programma in corso d attuazione L attuazione delle norme in questa ISTITUZIONE SCOLASTICA è stata avviata a partire dal trattamento dati effettuato dagli uffici di segreteria. Per quanto riguarda i dati trattati da docenti, trattamento regolamentato da norme puntuali, è stato definito un piano di lavoro finalizzato ad implementare le citate norme con quelle previste dal D.lgt. n 196 del 30 giugno Quanto segue riguarda quindi in modo specifico il trattamento dei dati personali e sensibili svolto negli uffici di segreteria. 21 Trattamento dei dati con strumenti diversi da quelli elettronici o comunque automatizzati Attività realizzate e/o da realizzare: ricognizione delle banche dati (art. 4 comma 1, lett.,p); classificazione delle banche dati contenenti dati sensibili (art.20) e dei dati relativi ai provvedimenti di cui all art. 686 del CPP ( art.47); individuare per ogni banca dati in modo puntuale l ubicazione ( locale dove è collocata) ed il tipo di contenitore, descrivendone le caratteristiche; individuare, raggruppandoli secondo criteri relativi all organizzazione, i trattamenti (art.4 comma 1 ); il responsabile assegnerà per iscritto (art. 30, comma 2 D.lgt. 196/03) gli incarichi delle attività di trattamento di cui al punto 4, nonché le regole di affidamento e riconsegna documenti; sarà realizzato, compatibilmente con le esigenze del P.A. 2006, un programma di formazione per tutto il personale interessato, docente e non docente, attraverso specifiche attività sui contenuti delle norme di cui si tratta (da realizzare). Trattamento dei dati con strumenti elettronici o comunque automatizzati Trattamento dei dati con elaboratori non accessibili da altri elaboratori o terminali: è stata individuata per ogni elaboratore la password; il responsabile è preposto alla custodia delle password ed alla loro assegnazione agli incaricati. Trattamento dei dati Con elaboratori accessibili da altri elaboratori e terminali. MODALITA PER IL RIPRISTINO DELLA DISPONIBILITA DEI DATI IN SEGUITO A DISTRUZIONE O DANNEGGIAMENTO Il responsabile nel caso del verificarsi di eventi che provochino la distruzione od il danneggiamento dei dati personali contenuti nelle banche dati del sistema informatico, provvederà senza ritardo a ripristinare la funzionalità delle banche dati utilizzando le copie di

22 back-up. 22 INTERVENTI FORMATIVI L'Istituzione Scolastica ha aderito o intende aderire alle iniziative formative organizzate dalla direzione regionale del Ministero dell'istruzione, tenendo anche conto dell'economicità di un'azione organizzata su base regionale, rispetto ad una gestione in proprio delle attività formative. L'Istituzione opera integrale rinvio alla programmazione della Direzione regionale, riservandosi comunque di agire in via suppletiva, qualora, per ragioni organizzative od economiche, non sia possibile far partecipare il proprio personale alle attività di formazione necessarie per adempiere alle prescrizioni ordinamentali. A tal fine è stata designata, con atto allegato al presente documento, la persona incaricata di curare l'effettiva esecuzione dell'attività formativa da parte del personale coinvolto. Pianificazione degli interventi formativi La formazione sarà centrata sui seguenti argomenti: L'adempimento dell'obbligo di aggiornamento del DPS Quadro riepilogativo degli adempimenti e degli obblighi in materia di privacy (ivi incluse le misure di sicurezza per gli archivi cartacei) Privacy e diritto di accesso nelle istituzioni scolastiche Descrizione sintetica dell'obiettivo formativo Porre in condizione il personale competente di adempiere annualmente l'obbligo di aggiornamento del DPS Mantenimento del richiesto grado di conoscenza dell'intero impianto della normativa in materia di privacy,anche ai fini delle misure di sicurezza da adottare per gli archivi cartacei. Fornire un quadro coordinato dei diritti (di accesso e alla riservatezza) riconosciuti all'utenza dalla vigente legislazione, in rapporto ai doveri gravanti sulle strutture scolastiche. Calendario Concordato con la Direzione regionale e comunque entro giugno 2018 L informazione di tutto il personale dell Istituzione si realizza, inoltre, attraverso la consegna personale dell informativa (LD.Lgs 196/2003) e della nomina a incaricato del trattamento dati. Il personale supplente temporaneo che prenderà servizio durante il corso dell anno scolastico verrà informato sui contenuti del codice e sui doveri da esso derivanti, anche attraverso la fornitura di materiale informativo di sintesi dal titolare o dal responsabile. Gli interventi formativi potranno essere realizzati anche in collaborazione con altre istituzioni scolastiche. In sede di verifica dell efficacia delle misure di sicurezza, anche in relazione a novità che si dovessero presentare nelle norme di legge e/o in relazione all evoluzione tecnica del settore, il titolare ed il responsabile programmeranno le necessarie attività formative. Le attività formative sui contenuti di cui si tratta verranno certificate ed annotate su un apposito registro.

23 23 MISURE SPECIFICHE PER I DATI PERSONALI IDONEI A RIVELARE LO STATO DI SALUTE Questa istituzione tratta dati idonei a rivelare lo stato di salute del personale, docente ed ATA, e degli alunni esclusivamente per finalità previste dalla legge. Secondo quanto prescritto dall articolo 22 comma 7 del D.lg. 196/2003 i dati idonei a rivelare lo stato di salute sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo ; inoltre il comma 7 dello stesso articolo dispone che i dati idonei a rivelare lo stato di salute, qualora contenuti in banche dati informatiche vengano trattati con tecniche di cifratura o mediante l utilizzo di codici identificativi o di altre soluzioni, che li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità. Riguardo al trattamento senza l ausilio di strumenti elettronici, dei dati di cui si tratta si stabilisce quanto segue: 1) Dati riguardanti il personale docente ed ATA: I dati consistono essenzialmente in certificati medici consegnati o fatti pervenire all ufficio di segreteria. Dopo la ricezione, durante il trattamento (protocollo) saranno inseriti in un contenitore chiuso riferito all interessato e successivamente inseriti nel fascicolo personale, dove saranno conservati all interno di una busta chiusa recante l indicazione del contenuto separatamente dagli altri documenti. 2) Dati riguardanti gli alunni: I dati consistono essenzialmente in certificati medici consegnati dagli alunni o dai genitori ai docenti o al personale ATA, per scopi definiti da norme di legge (giustificazione assenze; esonero da attività di educazione fisica, necessità di particolari diete alimentari etc.) Dopo la ricezione i dati saranno inseriti in un contenitore chiuso riferito all interessato e successivamente trattati da personale incaricato e custoditi in appositi contenitori chiusi. I certificati riguardanti la necessità di particolari diete alimentari, potranno in caso di necessità, essere comunicati al soggetto che espleta il servizio mensa previamente nominato responsabile esterno del trattamento da parte del titolare. Prot.n Nocera Terinese 11/11/2017 LA COMMISSIONE IL DIRIGENTE SCOLASTICO Prof.ssa Enrica Pascuzzi