(Codice sulla Privacy D.Lgs. 196/2003)

Транскрипт

1 Corso Tassoni TORINO Tel.: Fax: LICEO CLASSICO STATALE C. CAVOUR via Tripoli TORINO Tel.: Fax: Codice Meccanografico: TOPC01000C Codice Fiscale: Sito: PEC: DPS Documento Programmatico sulla Sicurezza (Codice sulla Privacy D.Lgs. 196/2003) Torino, 31 marzo 2014

2 INDICE PARTE 1ª - L ISTITUZIONE SCOLASTICA...3 PARTE 2ª - LA METODOLOGIA E LE INFORMAZIONI GENERALI SUI DATI...4 Il DPS e l approccio adottato...4 Come è stata effettuata la rilevazione... 4 Informazioni generali sui dati trattati... 5 Dati sensibili e giudiziari... 6 PARTE 3ª - IL QUADRO DELLA SITUAZIONE...6 L analisi dei trattamenti... 7 Quadro di sintesi... 7 I trattamenti: chi li effettua e con quali strumenti... 8 Attività e banche dati Trattamenti affidati all esterno PARTE 4ª - RISCHI STIMATI - MISURE DI SICUREZZA Valutazione dei rischi Misure di sicurezza PARTE 5ª - INFORMAZIONI GENERALI SULLE ATTIVITÀ SVOLTE PARTE 6ª VERIFICA PERIODICA Pag. 2 a 17

3 PARTE PRIMA - L Istituzione Scolastica IL Liceo Classico Cavour è costituito da una sede centrale sita in Corso Tassoni 15 e da una succursale che si trova in via Tripoli n. 82, entrambe nel comune di Torino. Gli indirizzi sono: [email protected] P.E.C.: [email protected] La struttura della scuola può essere così rappresentata: Dirigente Scolastico pro tempore : Prof.ssa Emanuela AINARDI Primo Collaboratore: Prof.ssa Maria Cristina DRUETTO Direttore Servizi Generali Amministrativi: Sig.ra Domenica VITTORINI Amministratore di Rete: Sig. Lucio CILIO Supporto tecnico alla succursale e al processo di dematerializzazione: Sig. Marco Frangella Responsabile della sicurezza informatica: Prof. Fulvio SEGNAN. L istituto è frequentato nell anno in corso da 669 studenti. Il personale è composto da 61 docenti (di cui 56 A t.i.) e 20 unità ATA. Il nostro Istituto, di medie dimensioni, tratta dati personali e dati sensibili in funzione del raggiungimento delle proprie finalità istituzionali. Di conseguenza ci si è posti l obiettivo di: organizzare i trattamenti di dati in formato cartaceo, con particolare riguardo alle attività didattiche e di segreteria, in modo da garantire un idonea custodia e conservazione dei documenti e di riservare l accesso alle aree in cui si effettuano i trattamenti ai soli soggetti incaricati; porre in essere le misure di sicurezza adeguate per la protezione dei dati trattati in formato elettronico. Pag. 3 a 17

4 PARTE SECONDA - La metodologia e le informazioni generali sui dati Il DPS e l approccio adottato Il presente DPS è stato redatto a seguito di una rilevazione sistematica dei dati personali trattati dalla scrivente Istituzione scolastica attraverso strumenti elettronici e di un analisi dell infrastruttura tecnologica esistente, con particolare riferimento alle caratteristiche della rete, dei Personal Computer, dei sistemi di sicurezza in uso. È seguita un analisi dei rischi ed una valutazione in ordine alla possibilità che possano verificarsi episodi di utilizzo improprio dei dati, di loro perdita o distruzione e di accesso non autorizzato. Sono state, di conseguenza, individuate misure ulteriori, rispetto a quelle già in essere, per ridurre i rischi rilevati. Come è stata effettuata la rilevazione Il sopralluogo da parte del Dirigente Scolastico in collaborazione con il responsabile della sicurezza informatica, Prof. Fulvio Segnan, con l ausilio dell amministratore di sistema, ha consentito una valutazione complessiva più generale dello stato dell organizzazione e dei fabbisogni dell istituzione scolastica e, con essa, l individuazione di soluzioni migliorative delle sue prestazioni. Pag. 4 a 17

5 Informazioni generali sui dati trattati La scuola, nell ambito delle finalità istituzionali perseguite, può trattare, anche mediante strumenti elettronici, i dati individuati dall articolo 4 lettere b), c) d) e) del Decreto Legislativo 30 Giugno 2003, n I trattamenti avvengono nel rispetto degli obblighi derivanti dalla legislazione nazionale e comunitaria, nonché da fonti di natura regolamentare. Tra le disposizioni sopra menzionate, si evidenzia il particolare rilievo dei trattamenti previsti dalla seguente normativa: R.D. n. 653/1925, D.Lgs. n. 297/1994, D.P.R. n. 275/1999; Legge 19/03/1990 n. 50, Decreto Interministeriale 1 febbraio 2001, n. 44 e le norme in materia di contabilità generale dello Stato; Legge n. 104/1992, Legge n. 53/2003, D.Lgs. n. 165/2001; D.Lgs. n. 196/2003; D.Lgs. n. 227/2005; D.Lgs. n. 76/05; D.Lgs. n. 77/2005; D.Lgs. n. 226/2005; D.Lgs. n. 196/2003; I dati sensibili e giudiziari sono trattati nel rispetto del D.M. 305/2006; D.Lgs. n. 151/2001, l art. 112 del D.Lgs. n. 193/2004, i Contratti Collettivi di Lavoro Nazionali ed Integrativi stipulati ai sensi delle norme vigenti; Decisone del Garante per la privacy del 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008) e Modifiche del 25 giugno 2009 (G.U. n. 149 del 30 giugno 2009) tutta la normativa collegata alle citate disposizioni. I trattamenti sono legati all erogazione dei servizi formativi ed educativi dell Istituzione scolastica, ai connessi rapporti con gli alunni e le famiglie, agli adempimenti relativi alla gestione e alla formazione del personale, agli adempimenti di contabilità e bilancio. In linea generale, i dati trattati (a prescindere se si tratti o no di trattamento elettronico) riguardano: Pag. 5 a 17

6 persone fisiche, identificate o identificabili, quali nominativo, data di nascita, residenza, domicilio, stato di famiglia, codice fiscale, obblighi di leva; persone giuridiche quali la forma giuridica, la sede legale, la data di costituzione, informazioni relative agli organi rappresentativi e legali, partita Iva, codice fiscale, la titolarità di diritti o la disponibilità di beni strumentali; presenze, prestazioni previdenziali, stipendi, permessi, ferie, malattia, stato di servizio e altri dati connessi al rapporti di lavoro del personale della scuola; eventuali procedimenti di natura penale, civile, tributaria e amministrativa di cui la scuola sia venuta a conoscenza; atti negoziali o offerte commerciali provenienti da fornitori di beni e servizi, ivi comprese eventuali attività professionali svolte a fini formativi; rapporti e convenzioni con aziende e agenzie formative, per iniziative didattiche, stage e tirocini degli alunni; altri soggetti, situazioni, eventi in applicazione di disposizioni di Legge o Regolamenti. Dati sensibili e giudiziari Quanto ai trattamenti di dati sensibili e giudiziari in formato elettronico, va rilevato che è stata effettuata una ricognizione completa. Non vengono trattati dati giudiziari in formato elettronico. Il trattamento di dati sensibili attraverso strumenti elettronici è limitato ai pochi casi previsti dai programmi ministeriali utilizzati e per quanto strettamente indispensabile al lavoro dell istituzione scolastica, con particolare riguardo ai trattamenti relativi alla gestione dei rapporti di lavoro in atto e nel rispetto del D.M. 305/2006. Pag. 6 a 17

7 PARTE TERZA - Il quadro della situazione L analisi dei trattamenti Lo studio relativo ai trattamenti di dati (in formato elettronico) effettuato dall Istituzione scolastica è avvenuta nel seguente modo: 1. sono state rilevate le attività in essere che comportano il trattamento elettronico di dati personali; 2. sono state individuate le strutture e/o le figure professionali incaricate dei trattamenti; 3. sono stati rilevati e descritti gli strumenti informatici utilizzati per il trattamento dei dati. Quadro di sintesi L Istituto è dotato di personal computer per l attività di ufficio e per l attività didattica ( cattedre elettroniche, Aule di informatica, Aule di lingue); tutti hanno connettività Internet ADSL attraverso apparecchiature di comunicazione Router, Provider Telecom. La scuola ha recentemente installato un dispositivo di filtro e protezione della rete contro le intrusioni dall esterno (firewall) e contro la posta indesiderata. I trattamenti di dati personali in formato elettronico degli studenti vengono prevalentemente effettuati attraverso l applicativo Argo AlunniWEB (che autorizza gli accessi attraverso credenziali) installato in remoto su server della Argo Software gestibile mediante un browser internet (Mozilla Firefox). I trattamenti di dati personali in formato elettronico del personale vengono prevalentemente effettuati attraverso l applicazione Sissi installata sul server locale dedicato che autorizza gli accessi attraverso credenziali (login e password): Pag. 7 a 17

8 L accesso all applicazione Sissi in rete avviene sul server locale attraverso i client autorizzati. Per l accesso sono utilizzati codici personali, conosciuti solo dagli incaricati; la password di accesso è formata da otto caratteri e non è riconducibile al nome degli stessi incaricati; il nome utente e la password sono assegnati per la prima volta dal Direttore SGA, Responsabile del trattamento dei dati personali; la password è cambiata periodicamente dagli incaricati e dal Responsabile, che la comunicano, in busta chiusa, al custode delle password. Per i trattamenti di dati personali vengono utilizzati esclusivamente i PC situati nei locali di segreteria. È attivo un controllo sul sistema di gestione delle password volto a garantire: la lunghezza minima di otto caratteri; il cambio della password al primo utilizzo da parte dell'utente (segnalazione mediante messaggio a video della necessità del cambio password); che la password non sia facilmente riconducibile all'incaricato; che la password venga cambiata dall'incaricato ogni 6 mesi (segnalazione all'utente mediante messaggio a video della necessità del cambio password). I trattamenti: chi li effettua e con quali strumenti I trattamenti di dati personali in formato elettronico sono effettuati dal personale di segreteria (Direttore Servizi Generali Amministrativi e Assistenti Amministrativi, talvolta dal DS). Il personale di segreteria effettua le seguenti operazioni di trattamento: registrazione, inserimento, archiviazione, consultazione e cancellazione dati. Le operazioni di comunicazione e diffusione dei dati sono effettuate solo su specifica autorizzazione del Titolare o del Responsabile del trattamento dei dati. I server utilizzati per le attività di segreteria sono: il SERVER AMMINISTRATIVO (n. inventario 1434) virtualizzato su piattaforma Virtualbox per garantire una maggior sicurezza ed un sistema di back up con capacità instant restore; Pag. 8 a 17

9 tutte le cartelle documenti degli addetti di segreteria e presidenza sono state migrate su di un server virtualizzato su piattaforma Unix-Linux in grado di : o tenere traccia degli accessi ai files; o fornire politiche di accesso personalizzate per utenza e per gruppo; o effettuare back up automatizzati con feed back sull operazione; o gestire le quote disco per evitare perdite dati; o effettuare scansioni antivirus real time e schedulate ; o gestire le politiche di distribuzione, cambio e validità delle password o fornire autenticazione S.S.O tramite active directory e/o ldap o inoltre il sistema è dotato di server proxy per autenticare e regolamentare la navigazione; o il sistema di si basa sulla piattaforma Google Apps Educational; o su ogni client è installato il sw antivirus Norton EndPoint con sistema automatico di aggiornamento; o i server che contengono le cartelle dei documenti (su piattaforma Unix- Linux) godono della protezione antivirus Clam av; il SERVER PLATONE con numero d inventario 854, per i programmi Argo. il SERVER SISSI con numero d inventario 16, su cui è installato Sissi in rete. Il responsabile della gestione dei server e di tutte le operazioni ad esse legate è il sig. Lucio CILIO, in qualità di Amministratore di rete. Pag. 9 a 17

10 I client utilizzati per lo svolgimento delle attività istituzionali, amministrativa e di segreteria didattica sono identificati come segue: di segreteria N. Inv. Sist. Operativo/ versione Connesso a internet Nome e funzione del responsabile (R), nome e funzione di eventuali altri utenti (U) * Accesso con: Dotato di antivirus 604 WINDOWS 7 si R DS Emanuela Ainardi Password si 1442 WINDOWS XP si R DSGA Domenica Vittorini (responsabile del trattamento dati) Password 360 WINDOWS XP si R AA Raffaella Noce Password si 353 WINDOWS XP si R AA Patrizia Cavallo Password si 355 WINDOWS XP si R AS Giuseppina Gentile Password si 359 WINDOWS XP si R AA Vilma Castagno Password si 358 WINDOWS XP si R AA Pietro Ciavarrella Password si si 741 WINDOWS 7 si R DO 1 Collaboratore Maria Cristina Druetto Password si 748 WINDOWS XP si R DO Maria Antonietta Roma Password si 748 WINDOWS XP si R DO Sabrina Giannicchi FS Password si R DO Fulvio Segnan Password si 748 WINDOWS XP si (responsabile sicurezza informatica) 472 WINDOWS 7 si R DO 2 collaboratore Annamaria Bovetti Password si Come già evidenziato, vengono utilizzate password di accesso per accedere ai Personal Computer; le password vengono cambiate ogni sei mesi. Per la protezione dai virus * Elenco sigle delle funzioni: DS (Dirigente Scolastico), DSGA (Direttore servizi generali amministrativi), AA (Assistente Amministrativo), DO (Docente) Pag. 10 a 17

11 informatici è utilizzato un antivirus di rete di marca Norton EndPoint e Clam av, continuamente aggiornato. Gli schermi dei PC si oscurano automaticamente in caso di non utilizzo, in modo da non rendere immediatamente accessibili le informazioni a soggetti diversi dagli incaricati, eventualmente presenti sui luoghi dei trattamenti. La scuola ha adottato un sistema di oscuramento automatico che prevede la richiesta dei codici di accesso in caso di inattività per un determinato periodo di tempo. A tal riguardo, va comunque evidenziato che i luoghi dove si effettuano i trattamenti (compreso l ufficio del Dirigente Scolastico) sono sempre vigilati e che in caso di assenza degli incaricati i luoghi vengono chiusi a chiave. Non è permesso l accesso ai locali dove si effettuano i trattamenti a persone che non siano incaricate. La connettività tra sede e succursale è garantita da una Vpn. Attività e banche dati Attraverso gli strumenti sopra evidenziati vengono effettuati i seguenti trattamenti, suddivisi in base alla banca dati di appartenenza. Studenti Banca dati Conto Postale Personale (permessi, congedi, malattie, status) Residente sul pc (n inv.) Operatore prevalente sulla BD e trattamenti autorizzati R AA Pietro Ciavarrella R AA Vilma Castagno Altri operatori abilitati al trattamento della BD tutto il personale di segreteria Applicazione utilizzata (Sissi, Argo, etc..) ARGO 360 R AA Raffaella Noce SISSI Retribuzioni 353 R AA Patrizia Cavallo SISSI Protocollo informatico Fornitori 355 R AA Giuseppina Gentile SIDI ARGO Contabilità e Bilancio 353 R AA Patrizia Cavallo SIDI SISSI Pag. 11 a 17

12 Dunque, l accesso alle banche dati è protetto nei modi fin qui indicati. I dati sensibili, indicati nella seconda parte del presente documento, vengono trattati esclusivamente nell ambito di queste banche dati (personale). La responsabilità delle procedure di accesso ai dati è attribuita al Responsabile del trattamento dei dati personali (DSGA). Trattamenti affidati all esterno La manutenzione hardware e software è affidata con lettera d incarico al sig. Lucio Cilio e al sig. Marco Frangella, in qualità di tecnici interni. ARGO è gestito dal referente per il Piemonte, sig. Todisco, con regolare contratto. Pag. 12 a 17

13 PARTE QUARTA - Rischi stimati - misure di sicurezza Valutazione dei rischi Anche alla luce del progredire del processo di dematerializzazione e dell introduzione in toto del registro elettronico, la scuola ha valutato nuovamente il complesso dei rischi relativi alla gestione dei dati, in funzione di fattori diversi, quali il comportamento degli operatori, il contesto fisico-ambientale, le strumentazioni in dotazione, la probabilità che un certo numero di eventi dannosi per la sicurezza dei dati possa verificarsi e l entità del danno eventuale che ne può derivare per l integrità e la riservatezza dei dati. Il quadro che emerge dell analisi fatta è sostanzialmente rassicurante. L analisi legata al comportamento degli operatori, non ha evidenziato particolari criticità. È evidente come un lavoratore poco diligente o, addirittura, operante con volontà dolosa o fraudolenta, possa potenzialmente arrecare gravi danni all Istituzione scolastica. Ma va altresì rilevato l ottimo livello di affidabilità del personale operante in questa scuola. Non vi sono mai stati problemi per la gestione delle password personali di accesso ai computer, né comportamenti sleali o fraudolenti, né comportamenti caratterizzati da particolare incuria. È, dunque, bassa la probabilità che questi eventi si verifichino. Mediamente più alta la possibilità di errori materiali da parte del personale, errori che comunque non hanno mai causato problemi nell ottica del trattamento dei dati personali. Anche dall analisi dei rischi legati al contesto socio-ambientale non si evidenziano situazioni tali da destare particolare preoccupazione. Del tutto assenti episodi di teppismo o di furto di macchinari; né si registrano casi di accesso alla struttura da parte di ladri o soggetti malintenzionati. In questi quadro, va evidenziato come la scuola sia ben organizzata e non si registrino quei continui spostamenti di uffici e macchinari che spesso causano problemi dal punto di vista della sicurezza e della perdita dei dati. Pag. 13 a 17

14 Anche i fattori ambientali non sembrano destare preoccupazione. Non si ravvisano casi di incendi, inondazioni, terremoti, né presenza di radiazioni elettromagnetiche, umidità o temperatore eccessive, ne si evidenziano guasti elettrici e sovraccarichi di tensione. La possibilità che questi eventi causino danni ai dati trattati dalla scuola è valutata come assai remota. Un quadro non particolarmente preoccupante emerge dall analisi dei rischi legati agli strumenti utilizzati. Come è noto, è potenzialmente devastante l azione dei virus e degli altri strumenti di sabotaggio informatico. L esperienza della nostra scuola è stata fino ad oggi, fortunatamente, positiva. I virus informatici e le azioni di spamming sono stati adeguatamente fronteggiati attraverso adeguati programmi informatici. Né si sono mai registrati tentativi di accessi esterni alla rete, da parte di soggetti non autorizzati. Gli applicativi utilizzati dalla scuola si sono, fino ad oggi, dimostrati affidabili, anche perché periodicamente aggiornati. La possibilità di eventi quali accessi non autorizzati alla rete, intercettazioni di informazioni, uso di software o hardware da parte di agenti non autorizzati è valutata come assai remota. Le apparecchiature informatiche critiche (ad esempio il server), sono situate in locali ad accesso controllato (appositi locali, segreteria, ecc.), da parte degli incaricati del trattamento; inoltre, come già evidenziato, anche gli ingressi della scuola sono continuamente presidiati da personale della scuola. Pag. 14 a 17

15 Altre misure di sicurezza Buone parte delle misure adottate dalla scuola sono già state indicate nelle precedenti sezioni del presente documento. Di seguito alcune ulteriori indicazioni. Backup dei dati. I backup avvengono con due modalità atte a garantire l integrità dei dati e la possibilità di effettuare un instant restore in caso di problemi hardware. Una copia dei dati viene inviata ad un dispositivo di network storage posto in ambiente separato e protetto con cadenza giornaliera e procedura incrementale. Bisettimanalmente viene manualmente fatta copia della appliance virtuali Virtualbox dei server per avere copia dell intera infrastruttura in modo da garantire tempi di rendere l infrastruttura ad alto livello di fault-tolerance. Responsabile della custodia delle copie e delle procedure di ripristino dei dati: Il sig. Lucio Cilio, che effettua anche prove di ripristino semestrali. Formazione degli incaricati. In virtù del punto 19 del disciplinare tecnico allegato b) del D.Lgs. n. 196/03, la scuola ha già effettuato percorsi di formazione in merito a: introduzione alla disciplina sulla protezione dei dati personali e le responsabilità che ne derivano; i rischi dai quali occorre proteggere i dati personali; le misure disponibili per prevenire eventi dannosi; formazione nuovi arrivati fatta con personale interno già formato. Inoltre l attenzione della direzione scolastica è sempre rivolta ai nuovi incaricati del trattamento, con percorsi differenziati a seconda del livello e del tipo di formazione che questi soggetti hanno già eventualmente ricevuto nelle scuole di provenienza. La scuola ha anche emanato circolari di aggiornamento rivolte al personale interno per il corretto utilizzo degli strumenti informatici. Pag. 15 a 17

16 PARTE QUINTA - Informazioni generali sulle attività svolte La scuola ha consegnato agli interessati (a cui si riferiscono i dati personali trattati) le informative contenenti la descrizione dei trattamenti e gli altri elementi richiesti dall'articolo 13 del Codice Privacy. In linea generale, si può dire che si tratta delle seguenti categorie di persone fisiche o giuridiche: alunni/famiglie, personale docente e A.T.A., fornitori. Inoltre, sono state impartite, a tutto il personale scolastico che tratta dati personali (la quasi totalità dei dipendenti), precise disposizioni relative ai trattamenti e le operazioni consentite. È effettuata la verifica periodica, a cura del Dirigente scolastico, del rispetto delle istruzioni impartite, di cui all'articolo 29 comma 5 del D.Lgs. n. 196/2003. Sono stati aggiornati i trattamenti consentiti ai singoli incaricati (Punti 15 e 27 del Disciplinare Tecnico allegato B del Codice) ed è stata fatta una valutazione dell adeguatezza delle misure fin qui previste ad adottate. Al riguardo, si è ritenuto di confermare quanto deciso negli anni passati. Pag. 16 a 17

17 PARTE SESTA - Verifica periodica La scuola si impegna a verificare ed aggiornare periodicamente le modalità adottate per garantire la sicurezza dei dati personali trattati. Il DPS verrà aggiornato entro il 31 Marzo di ogni anno. Il titolare si impegna a riferire, nella relazione accompagnatoria del bilancio di esercizio, dell avvenuta redazione o aggiornamento del presente documento. Torino il 31 marzo 2014 IL DIRIGENTE SCOLASTICO Prof. Emanuela AINARDI Allegati: LETTERE D INCARICO ELENCO ENTI CUI IL PERSONALE È AUTORIZZATO AD INVIARE I DATI Pag. 17 a 17