ISTITUTO COMPRENSIVO DI VILLA LAGARINA Sede legale: Via Stockstadt Am Rhein, Villa Lagarina (TN)

Transcript

1 Sicurezza Ambiente Antincendio Qualità H.A.C.C.P. A.D.R. ISTITUTO COMPRENSIVO DI VILLA LAGARINA Sede legale: Via Stockstadt Am Rhein, Villa Lagarina (TN) DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Titolare del Trattamento: Marina Martinelli Il tecnico responsabile: Renato Gadler Il tecnico redattore: Giovanni Poletto firma firma firma Data documento Aggiornamento previsto entro il 31 marzo 2012 pag. 1 di S P DPS BIANCO ISITITUTI SCOLASTICI GP.doc P DPS I.C. DI VILLA LAGARINA GP.doc Studio Gadler S.r.l. - Viale Dante n Pergine Valsugana (TN) Tel.: 0461/ Fax.: 0461/ info@gadler.it PEC: pec.gadler@pec.gadler.it C.F.- P. Iva n Reg. Imp.: TN Sede Legale via Rosmini n Pergine Valsugana (TN) Cap. Soc ,00. i.v.

2 pag. 2 di 101 INDICE 1. PREMESSA OBIETTIVI DEL DOCUMENTO METODOLOGIA DI STESURA DEL DOCUMENTO CONTENUTO DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA AGGIORNAMENTI DEL DOCUMENTO AVVERTENZE IMPORTANTI NORMATIVA DI RIFERIMENTO ALTRE NORMATIVE: DEFINIZIONI D.LGS. 196/ DESCRIZIONE GENERALE: SEDE LEGALE: ALTRE SEDI DISTRIBUZIONE DEI COMPITI DE RESPONSABILITÀ (REGOLA 19.2) RUOLO E RESPONSABILITÀ DELLE FIGURE PREPOSTE AL TRATTAMENTO DEI DATI TITOLARE DEL TRATTAMENTO RESPONSABILI INTERNI RESPONSABILI ESTERNI INCARICATI DEL TRATTAMENTO DEI DATI CUSTODI DELLA CUSTODIA DELLE PAROLE CHIAVE RESPONSABILI DEI BACK UP AMMINISTRATORI DI SISTEMA ELENCO DEI TRATTAMENTI DI DATI PERSONALI (REGOLA 19.1) CLASSIFICAZIONE DELLE CATEGORIE OMOGENEE DI INCARICATI AL TRATTAMENTI ANALISI DEI DATI TRATTATI TD 00 GESTIONE COMPLETA DI TUTTI I TRATTAMENTI DA TD 02 A TD TD 01 GESTIONE DI TUTTI I TRATTAMENTI AD ESCLUSIONE DEL PROTOCOLLO RISERVATO DA TD 02 A TD TD 02 DATI RELATIVI AL PAGAMENTO DEL PERSONALE TRATTATI DALLA SEGRETERIA TD 03 GESTIONE FINANZIARIA E DEL BILANCIO TD 04 DATI FINALIZZATI ALLA GESTIONE DEL PATRIMONIO: ORDINI, INVENTARIO, MAGAZZINO TD 05 DATI RELATIVI AL PERSONALE TRATTATI DALLA SEGRETERIA TD 06 GESTIONE ISTITUTZIONALE DELLA POSTA E DEL PROTOCOLLO... 38

3 TD 06 R GESTIONE ISTITUTZIONALE PROTOCOLLO RISERVATO TD 07 DATI PERSONALI DEGLI ALUNNI TRATTATI DALLA SEGRETERIA TD 08 TRATTAMENTO DI DATI PERSONALI EFFETTUATO DA COLLABORATORI SCOLASTICI TD 09 DATI PERSONALI DEGLI ALUNNI TRATTATI DAI DOCENTI TD 10 GESTIONE DI TRATTAMENTI DA PARTE DI COMPONENTI DEGLI ORGANI COLLEGIALI TD 11 TRATTAMENTI DATI RAPPRESENTANTI SINDACALI TD 12 TRATTAMENTI DATI RAPPRESENTANTI DEI LAVORATORI PER LA SICUREZZA TD 13 TRATTAMENTI DATI MANUTENTORI SISTEMI INFORMATICI TD 14 TRATTAMENTI DATI SITO WEB ELENCO DEI TRATTAMENTI AUTORIZZATI DAL DM 305 DEL 07/12/ TRATTAMENTI AFFIDATI ALL ESTERNO (REGOLA 19.7) DESCRIZIONE DELLE RISORSE HARDWARE PRESENTI SCHEMA LOGICO DELLA RETE DESCRIZIONE DELLE RISORSE HARDWARE PRESENTI: ANALISI DEI RISCHI CHE INCOMBONO SUI DATI (REGOLA 19.3) MISURE IN ESSERE E DA ADOTTARE (REGOLA 19.4) COMPORTAMENTI DEGLI OPERATORI EVENTI RELATIVIVI GLI STRUMENTI EVENTI RELATIVI AL CONTESTO CRITERI E MODALITÀ DI RIPRISTINO DEI DATI (REGOLA 19.5) RIPRISTINO DEI DATI PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI PREVISTI (REGOLA 19.6) CIFRATURA O SEPARAZIONE DEI DATI IDENTIFICATIVI (REGOLA19.8) VIDEOSORVEGLIANZA PIANO DI VERIFICA PERIODICA ALLEGATI INFORMATIVA PER IL TRATTAMENTO DEI DATI PER ALUNNI E STUDENTI - INFORMATIVA PER IL TRATTAMENTO DEI DATI PER IL PERSONALE DOCENTE O COANDIDATI; - INFORMATIVA PER IL TRATTAMENTO DEI DATI DEI FORNITORI; - INFORMATIVA PER IL TRATTAMENTO DEI DATI PER INTERNET MAIL; - INFORMATIVA PER IL TRATTAMENTO DEI DATI PER UTILIZZO DELLE IMMAGINI; - DICHIARAZIONE PRESA VISIONE INFORMATIVA; pag. 3 di 101

4 - NOMINA RESPONSABILE TRATTAMENTO DEI DATI INTERNO; - NOMINA RESPONSABILE TRATTAMENTO DEI DATI ESTERNO (OUTSOURCING) - ATTESTAZIONE CORRETTA APPLICAZIONE DELLA NORMATIVA IN MATERIA - DI PRIVACY DA PARTE DEI RESPONSABILI ESTERNI (OUTSOURCING) ; - ELENCO SOGGETTI ESTERNI AUTORIZZATI AL TRATTAMENTO DEI DATI; - NOMINA CUSTODE DELLE PAROLE CHIAVE; - MODELLO COMUNICAZIONE PASSWORD; - NOMINA RESPONSABILE DEI BACK UP; - NOMINATIVI AMMINISTRATORI DI SISTEMA; - NOMINA AMMINISTRATORI DI SISTEMA; - LETTERA INCARICATI; - AMBITO DEL TRATTAMENTO; - REGOLAMENTO PER IL TRATTAMENTO DEI DATI; - AMBITO DEL TRATTAMENTO; - REGOLAMENTO PER L UTILIZZO DEGLI STRUMENTI ELETTRONICI; - DOCUMENTAZIONE RELATIVA ALL ATTESTAZIONE DI CONFORMITÀ DEI LAVORI ESEGUITI PER L ADEGUAMENTO ALLE MISURE MINIME DI SICUREZZA; - DOCUMENTAZIONE RELATIVA ALLA FORMAZIONE, INFORMAZIONE DEL PERSONALE INCARICATO AL TRATTAMENTO DEI DATI; - MODELLO ESERCIZIO DIRITTO DI ACCESSO ART. 7 DEL D.LGS 196/ DESCRIZIONE RISORSE INFORMATICHE; - MODELLO RELAZIONE ACCOMPAGNATORIA PER REGISTRAZIONE BILANCIO - AGGIORNAMENTI E VARIAZIONI; pag. 4 di 101

5 1. PREMESSA Il presente Documento Programmatico sulla Sicurezza (in breve DPS), è stato elaborato secondo quanto previsto dal D. Lgs.196/2003 in materia di trattamento di dati personali, sulla base dei dati forniti, a seguito di una dettagliata analisi dei rischi del trattamento potenzialmente presenti, effettuata in data, al fine di individuare, analizzare ed applicare un complesso di contromisure di diverso genere, atte ad eliminare o se tecnicamente impossibile, ridurre ad un livello accettabile, i rischi che incombono sul trattamento di dati personali. Per la sua libera consultazione, copia del presente documento (o parte di essa) viene resa disponibile presso gli uffici di segreteria. Copia in originale viene custodita dal titolare del trattamento o da un suo incaricato e resa disponibile alle autorità competente preposte ai controlli OBIETTIVI DEL DOCUMENTO Il presente documento DPS, dell ISTITUTO COMPRENSIVO DI VILLA LAGARINA ha come obiettivo principale quello di: individuare, analizzare e valutare i rischi al patrimonio informativo e determinare le misure di sicurezza idonee a garantire la protezione dei dati da essa trattati; ottemperare agli adempimenti previsti dal Codice in materia di protezione di dati personali (D.Lgs. 30 giugno 2003, n. 196) in vigore dall 1 gennaio METODOLOGIA DI STESURA DEL DOCUMENTO Nella redazione del DPS, è stata utilizzata una metodologia che soddisfa rigorosamente il dettato normativo contenuto nel Disciplinare Tecnico in Materia di Misure Minime di Sicurezza (Allegato B del D.Lgs. 30 giugno 2003, n. 196) La metodologia è stata sviluppata adottando un modello di gestione della sicurezza che prevede un continuo monitoraggio e miglioramento del sistema. La redazione del DPS segue un processo di analisi con cadenza periodica, e prevede pertanto che le seguenti fasi siano ripetuti almeno con cadenza annuale: analisi qualitativa del patrimonio informativo; individuazione dei ruoli e delle responsabilità aziendali; identificazione dei luoghi fisici ove vengono custodite e trattate le informazioni e i dati personali; identificazione delle risorse hardware con cui vengono custodite e trattate le informazioni e pag. 5 di 101

6 i dati personali; identificazione delle risorse software con cui vengono trattate le informazioni e i dati personali; identificazione e classificazione delle informazioni e dei dati personali trattati dall azienda; analisi dei rischi; verifica puntuale del rispetto dei requisiti previsti dal D.Lgs. 30 giugno 2003, n. 196, con riferimento al trattamento di dati personali; individuazione dei criteri tecnici ed organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza; individuazione delle procedure per il controllo dell accesso delle persone autorizzate ai locali interessati dalle misure di sicurezza; individuazione dei criteri e delle procedure per assicurare l integrità dei dati, per la sicurezza delle trasmissioni e per la restrizione dell accesso per via telematica; individuazione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento; individuazione dei criteri da adottare per garantire l adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati all esterno della struttura del titolare; elaborazione di un piano di verifica delle misure di sicurezza; elaborazione di un piano di formazione. Per la realizzazione delle precedenti attività sono stati utilizzati i seguenti strumenti di indagine: interviste mirate ai componenti dell ufficio sistemi informativi; attività inventariali sulle tecnologie per il trattamento dei dati; verifiche sulle procedure utilizzate per il trattamento dei dati personali. In allegato sono riportati i documenti e fac simili per l applicazione e la gestione degli adempimenti previsti dal D. Lgs. 196/ CONTENUTO DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Il Documento Programmatico sulla Sicurezza contiene idonee informazioni riguardo: l'elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto; pag. 6 di 101

7 la previsione di interventi formativi degli incaricati del trattamento per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali maggiormente rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al Codice, all'esterno della struttura del titolare; per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. 3. AGGIORNAMENTI DEL DOCUMENTO E previsto il riesame periodico del Documento Programmatico sulla Sicurezza, almeno nei seguenti casi: qualora nel corso dell anno dovessero insorgere anomalie delle misure di sicurezza adottate o qualora dovessero ravvisarsi inadeguatezze protettive; qualora a seguito dei accertamenti/sopraluoghi da parte degli enti preposti, si riscontri il superamento dell efficacia delle misure adottate per garantire la sicurezza sui dati riportate nel presente DPS; qualora si presentino nuovi elementi di rischio quali ad esempio, nuovi/ differenti minacce, (anche potenziali), legati agli strumenti utilizzati, alla trasmissione dei dati in rete, ai tentativi di intrusione, agli accessi ai locali, alle persone, oppure ad eventi di rischio effettivamente accaduti ( es: virus, sottrazione o perdita di dati, ecc. ) ; a seguito di nuove misure adottate o da adottare per contrastare i rischi, quali ad esempio, videosorveglianza, uso della biometria, smart card, badge, crittografia, dispositivi antiintrusione; a seguito di novità intervenute nella normativa sulla sicurezza del trattamento dei dati personali, e ai provvedimenti emessi dal Garante della privacy; indipendentemente da quanto sopra riportato, entro il 31 marzo di ogni anno. a seguito di variazioni dipendenti da vostre iniziative di cui si riportano alcuni esempi: costituzione di nuove banche dati, inizio di nuove attività; modifica del sistema informativo hardware, software, installazione di nuove apparecchiature, nuove o diverse applicazioni; pag. 7 di 101

8 riorganizzazioni delle mansioni, di uffici, immissioni e uscite di personale, ridistribuzione di compiti e responsabilità; accentramento o esternalizzazione di attività con trattamento di dati dell istituto (es: elaborazione cedolini, obblighi fiscali, manutenzione sistema informativo, certificazione bilanci, sorveglianza sanitaria...) oppure sottoscrizione di contratti con nuovi/ differenti soggetti chiamati a svolgere le attività esternalizzate ( es: nuovo commercialista, nuova società di informatica,...); 4. AVVERTENZE IMPORTANTI Nella relazione accompagnatoria del bilancio di esercizio (se dovuta) occorre specificare l avvenuta redazione del presente documento, che costituisce la revisione del Documento Programmatico sulla Sicurezza d.d.. pag. 8 di 101

9 5. NORMATIVA DI RIFERIMENTO Legge. 300 del 20 maggio 1970 Legge n. 547 del 23 dicembre 1993 Direttiva 2002/58/CE del 12 luglio 2002 D.Lgs. n. 196 del 30 giugno 2003 D.Lgs. n. 196 del 30 giugno 2003 Disciplinare tecnico in materia di misure minime di sicurezza (Allegato B) D.M. 305 del 7 dicembre 2006 Direttiva MPI n. 104 del 30 novembre 2007 Decreto-legge 27 luglio 2005, n. 144 Statuto dei lavoratori Modificazioni ed integrazioni delle norme del codice penale e del codice di procedura penale in tema di criminalità informatica. Trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche Codice in materia di Protezione dei dati personali Disciplinare tecnico per l applicazione delle misure minime di sicurezza (artt. da 33 a 36 del Codice) allegato al Codice in materia di Protezione dei dati personali Regolamento per il trattamento dei dati sensibili negli istituti scolastici Trattamento dei dati personali mediante l uso dei videotelefonini e utilizzo/diffusione delle immagini fotografiche. Misure urgenti per il contrasto del terrorismo internazionale ALTRE NORMATIVE: Provvedimenti del Garante della protezione dei dati Autorizzazioni generali per il trattamento dei dati sensibili Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico 14 giugno 2007 Videosorveglianza Provvedimento generale 29 aprile 2004 Nota: le normative elencate si intendono aggiornate dalle successive modifiche e integrazioni. pag. 9 di 101

10 6. DEFINIZIONI D.LGS. 196/2003 Trattamento: Qualunque operazione o complesso di operazioni, effettuati anche senza l ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l organizzazione, la conservazione, la consultazione, l elaborazione, la modifica, la selezione, l estrazione, il raffronto, l utilizzo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. Dato personale: Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Dati sensibili: I dati personali idonei a rivelare l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Dati giudiziari: I dati personali idonei a rivelare provvedimenti di cui all articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. Titolare: La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Responsabile: la persona fisica, la persona giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali. Come previsto dall art. 29 commi 1, 2, 3, 4 e 5, il responsabile, se designato, deve essere individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti, che devono essere analiticamente specificati per iscritto dal titolare. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni del. il D.Lgs. 30 giugno 2003, n. 196 pag. 10 di 101

11 Incaricati del trattamento: la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile. La designazione è effettuata per iscritto (art. 30, comma 2) e individua puntualmente l ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l ambito del trattamento consentito agli addetti dell unità medesima. Le operazioni di trattamento (art. 30, comma 1) possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. Amministratore di sistema: il soggetto (o i soggetti) cui è conferito il compito di sovrintendere alla gestione e manutenzione delle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l'utilizzazione. Ai fini del provvedimento del Garante per la protezione dei dati, vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. Interessato: La persona fisica, la persona giuridica, l ente o l associazione cui si riferiscono i dati personali. Comunicazione: Il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Diffusione: Il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Dato anonimo: Il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile. Blocco: La conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento. Banca dati: Qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti. Comunicazione elettronica: Ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. pag. 11 di 101

12 Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile. Misure minime: Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell art. 31. Strumenti elettronici: Gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento. Autenticazione informatica: L insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell identità. Credenziali di autenticazione: I dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per I autenticazione informatica. Parola chiave: Componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica. Profilo di autorizzazione: L insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti. Sistema di autorizzazione: L insieme degli strumenti e delle procedure che abilitano l accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente. pag. 12 di 101

13 7. DESCRIZIONE GENERALE: 7.1. SEDE LEGALE: Ragione sociale: Sede legale: ISTITUTO COMPRENSIVO DI VILLA LAGARINA Via Stockstadt Am Rhein, Villa Lagarina (TN) Tel.: 0464/ Fax: 0464/ C.F.: segr.ic.villalagarina@scuole.provincia.tn.it 7.2. ALTRE SEDI UBICAZIONE Pomarolo P.zzle Angheben Pomarolo (TN) Nogaredo Via delle Lavine Nogaredo (TN) Nomi Via Romani, Nomi (TN) Villa Lagarina Via Stockstadt AM Rhein, Villa Lagarina (TN) ATTIVITÀ Sede distaccata dell Istituto. In questa sede non vengono svolte attività amministrative, ma solamente attività didattiche Sede distaccata dell Istituto. In questa sede non vengono svolte attività amministrative, ma solamente attività didattiche Sede distaccata dell Istituto. In questa sede non vengono svolte attività amministrative, ma solamente attività didattiche Sede distaccata dell Istituto. In questa sede non vengono svolte attività amministrative, ma solamente attività didattiche pag. 13 di 101

14 8. DISTRIBUZIONE DEI COMPITI DE RESPONSABILITÀ (REGOLA 19.2) In questa sezione è descritta sinteticamente l organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati. Tali aspetti sono inseriti nella tabella sottostante oltre che nelle apposite lettere di incarico per ogni addetto al trattamento dei dati e nella documentazione fornita ai lavoratori per l informazione e la formazione programmata. Tale tabella dovrà essere aggiornata in caso di modifiche delle modalità di trattamento, delle varie responsabilità affidate al personale interno od esterno, oltre che per nuove tipologie di dati da trattare. Responsabile/i del trattamento: NOME PROT./DATA NOMINA Dirigente scolastico // Responsabile/i dei back up: NOME PROT./DATA NOMINA Vedi lettera di nomina // Responsabile/i delle parole chiave: NOME PROT./DATA NOMINA Vedi lettera di nomina // Responsabile/i dei sistemi informatici: NOME PROT./DATA NOMINA Vedi lettere di nomina // Incaricato/i al trattamento dei dati: NOME PROT./DATA NOMINA Vedi lettere d incarico // COMPETENZE E RESPONSABILITÀ DELLE STRUTTURE PREPOSTE AI TRATTAMENTI STRUTTURA TRATTAMENTI EFFETTUATI DALLA STRUTTURA Uffici amministrativi (Personale ATA e non) Dati personali, sensibili ed eventualmente giudiziari, riferibili ad alunni e studenti, docenti, collaboratori a vario titolo, consulenti e aziende esterne Docenti Dati personali, sensibili riferibili ad alunni e studenti e genitori. Collaboratori esterni a vario titolo Dati personali, sensibili e giudiziari, riferibili anche ad alunni e studenti. pag. 14 di 101

15 9. RUOLO E RESPONSABILITÀ DELLE FIGURE PREPOSTE AL TRATTAMENTO DEI DATI 9.1. TITOLARE DEL TRATTAMENTO Il titolare del trattamento dei dati contenuti nelle banche dati automatizzate e/o cartacee, è l istituto stesso. I compiti previsti in capo al titolare del trattamento, sono affidati, ai sensi della vigente organizzazione interna, al Dirigente Scolastico, il quale si avvale del Funzionario Amministrativo Scolastico per il coordinamento delle attività in materia di trattamento dei dati personali. Al titolare del trattamento dei dati, compete, in particolare: a) la definizione dell impianto organizzativo in materia di protezione dei dati personali; b) la nomina dei responsabili dei trattamenti dei dati personali, e delle relative banche dati che li contengono, e la formulazione delle relative istruzioni; c) l emanazione di disposizioni di sicurezza e salvaguardia dell integrità dei dati; d) l adozione delle decisioni in ordine alle finalità del trattamento; e) la definizione di linee strategiche per il trattamento; f) la determinazione di direttive relative alle modalità del trattamento, costituenti le istruzioni impartite dal titolare al responsabile del trattamento; g) la determinazione delle misure generali di sicurezza per il trattamento dei dati personali, in conformità con quanto disposto dagli articolo da 31 a 36 e dall allegato B del D.Lgs. 196/2003; h) la pianificazione degli interventi di adeguamento; i) la notificazione al Garante ai sensi dell articolo 37 del D.Lgs. 196/2003, e tutte le altre comunicazioni e notificazioni al Garante, ove previste; j) la cessazione del trattamento dei dati; k) la redazione e l aggiornamento del DPS RESPONSABILI INTERNI I responsabili dei trattamenti dei dati personali sono individuati e nominati dal Titolare del trattamento. Il responsabile è preposto alla gestione e tutela dei dati personali nonché alla salvaguardia della integrità e della sicurezza degli stessi. Il responsabile, conformemente alle istruzioni impartite dal titolare: pag. 15 di 101

16 - attua le misure di sicurezza indicate con il DPS ed eventualmente con altri soggetti predisposti dall Istituto; - assicura la funzionalità di tutte le operazioni di trattamento dei dati; - individua e nomina gli incaricati del trattamento dei dati, gli incaricati della custodia delle chiavi di accesso ai locali server, gli incaricati della custodia delle password, gli incaricati del backup, gli incaricati della verifica delle registrazioni degli accessi; - mantiene aggiornata una lista degli incaricati del trattamento; - approva per ciascun incaricato il profilo iniziale di accesso assegnato e le variazioni necessarie per mantenerlo aggiornato alle esigenze della mansione; - verifica con cadenza almeno annuale che i profili di accesso assegnati agli incaricati siano adeguati e non eccedenti le esigenze della mansione; - impartisce agli incaricati le istruzioni per la corretta elaborazione dei dati personali; - procede alle verifiche sulla metodologia di introduzione e di gestione dei dati, applicata attraverso controlli a campione da eseguirsi periodicamente; - provvede alla rettifica dei dati e sulle richieste sulle misure minime di sicurezza previste dal DPS; - impartisce disposizioni operative per la sicurezza delle banche dati e dei procedimenti di gestione e/o trattamento degli stessi; - cura la relazione delle singole banche dati, cui sovrintende, con la struttura competente in materia di informatica; - cura l informazione agli interessati relativa al trattamento dei dati e alla loro comunicazione e diffusione; - dispone motivatamente il blocco dei dati, qualora sia necessaria una sospensione temporanea delle operazioni del trattamento, dandone tempestiva comunicazione al titolare; - informa il titolare di ogni questione rilevante ai fini della legge; - aggiorna la struttura di coordinamento in relazione ad eventuali nuovi trattamenti di dati personali intrapresi; - distrugge i dati personali alla cessazione del trattamento degli stessi, provvedendo alle formalità di legge e dandone comunicazione alla struttura di coordinamento; - predispone, entro il 31 dicembre di ciascun anno, un rapporto scritto in merito agli adempimenti eseguiti ai fini della legge ed alle conseguenti risultanze, da trasmettere al titolare; - gestisce tempestivamente e, comunque, non oltre tre giorni successivi al loro ricevimento, i reclami degli interessati e le eventuali istanze del Garante; - collabora con il titolare alla redazione del Documento Programmatico sulla sicurezza. I responsabili interni sono formalmente nominati mediante apposita nomina, e l elenco è presente nell allegato denominato NOMINA RESPONSABILE TRATTAMENTO DEI DATI INTERNO. pag. 16 di 101

17 9.3. RESPONSABILI ESTERNI Le disposizioni previste nel DPS si applicano anche alle società ed ai collaboratori esterni dell istituto che, nell ambito dei compiti loro affidati, devono procedere al trattamento di dati personali in qualità di responsabili, per lo svolgimento dei propri compiti, dotazioni informatiche e non informatiche. I responsabili esterni sono formalmente nominati mediante apposita nomina scritta. Il Fac simile di tale nomina è presente nell allegato denominato NOMINA RESPONSABILE TRATTAMENTO DEI DATI ESTERNO (OUTSOURCING). Viene tenuto un aggiornato elenco dei vari responsabili al trattamento esterni, presente nell allegato denominato ELENCO SOGGETTI ESTERNI AUTORIZZATI AL TRATTAMENTO DEI DATI INCARICATI DEL TRATTAMENTO DEI DATI Gli incaricati del trattamento dei dati personali, designati per iscritto dal responsabile, sono i soggetti che effettuano materialmente le operazioni di trattamento. Gli incaricati, in particolare, dovranno: procedere alla raccolta di dati personali, anche mediante appositi moduli di raccolta; consegnare agli interessati, al momento della raccolta dei dati, il modulo contenente l informativa di cui all articolo 13 D.Lgs. 196/2003, salvo che l informativa medesima sia stata fornita direttamente dal titolare o dal responsabile; raccogliere, se previsto, al momento della raccolta dei dati, il consenso espresso, documentato per iscritto, degli interessati ai trattamenti previsti, salvo che a ciò abbiano provveduto direttamente il titolare o il responsabile, e salvo i casi di esonero previsti dalla stessa legge; trattare i dati personali nella misura necessaria e sufficiente alle finalità proprie della banca dati nella quale vengono inseriti; adottare, nel trattamento dei dati, tutte le misure di sicurezza che siano indicate, oggi o in futuro, dal titolare o dal responsabile. In particolare l incaricato dovrà: utilizzare sempre il proprio codice di accesso personale per l accesso alle banche dati informatiche, evitando di operare su terminali altrui e/o di lasciare aperto il sistema operativo con la propria password inserita in caso di allontanamento anche temporaneo dal posto di lavoro, al fine di evitare trattamenti non autorizzati e di consentire sempre l individuazione dell autore del trattamento; trattare i soli dati la cui conoscenza sia necessaria per lo svolgimento delle operazioni da effettuare; conservare i supporti informatici e/o cartacei contenenti i dati personali in modo da evitare che detti documenti siano accessibili a persone non autorizzate al trattamento dei dati medesimi; pag. 17 di 101

18 con specifico riferimento agli atti e documenti cartacei contenenti dati personali ed alle loro copie, restituire gli stessi al termine delle operazioni affidate; riporre e conservare gli atti e i documenti cartacei contenenti dati personali e loro copie sotto chiave in caso di allontanamento anche temporaneo dal posto di lavoro; utilizzare i supporti di memorizzazione usati solamente qualora i dati in essi precedentemente contenuti non siano in alcun modo recuperabili, altrimenti etichettarli e riporli negli appositi contenitori; copie di dati personali su supporti amovibili sono permesse solo se parte del trattamento; copie di dati sensibili devono essere espressamente autorizzate dal responsabile del trattamento. In ogni caso tali supporti devono avere un etichetta che li identifichi e non devono mai essere lasciati incustoditi; in ogni caso si constati o si sospetti un incidente di sicurezza deve essere data immediata comunicazione al responsabile del trattamento; qualora l incaricato decida di proteggere il personal computer a lui affidato mediante l attivazione della password di accensione, dovrà curarne la conservazione in luogo sicuro e protetto affinché la stessa non sia accessibile a terzi non autorizzati, pur restando nella disponibilità della propria linea manageriale; segnalare al titolare o al responsabile eventuali circostanze che rendano necessario od opportuno l aggiornamento delle predette misure di sicurezza al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale dei dati di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta; effettuare la comunicazione e la diffusione dei dati esclusivamente ai soggetti indicati dal titolare o dal responsabile e secondo le modalità stabilite dai medesimi; mantenere, salvo quanto precisato al punto precedente, la massima riservatezza sui dati personali dei quali si venga a conoscenza nello svolgimento dell attività, per tutta la durata della medesima ed anche successivamente al termine di essa; svolgere, in ogni caso, il trattamento dei dati personali per le finalità e secondo le modalità stabilite dal titolare e dal responsabile e, comunque, in modo lecito e secondo correttezza; fornire al titolare o al responsabile, a semplice richiesta e secondo le modalità indicate da questi, tutte le informazioni relative all attività svolta, al fine di consentire loro di svolgere efficacemente la propria attività di controllo; in generale, prestare la più ampia e completa collaborazione al titolare ed al responsabile al fine di compiere tutto quanto sia necessario ed opportuno per il corretto espletamento dell attività nel rispetto della normativa vigente. Tutti gli incaricati sono stati formalmente individuati e incaricati mediante apposita lettera d incarico. I facsimile delle lettere d incarico, sono presenti nell allegato del fascicolo per la gestione della privacy denominato LETTERA INCARICATI. pag. 18 di 101

19 9.5. CUSTODI DELLA CUSTODIA DELLE PAROLE CHIAVE Gli incaricati della custodia delle parole chiave, designati per iscritto dal responsabile del trattamento dei dati, devono adempiere ai loro compiti attenendosi alle istruzioni ricevute dal responsabile e nel rispetto delle indicazioni relative alle norme di sicurezza definite nel presente documento. In generale, i compiti attribuiti al custode delle parole chiave sono: a) ricevere da ciascun Incaricato utilizzatore di computer una busta, già chiusa e controfirmata, contenente una sola credenziale (coppia di parola-chiave o password e username o nomeutente o user-id). Se l utente dispone di diverse credenziali, dovrà eventualmente ricevere altrettante buste chiuse. b) la busta chiusa sarà controfirmata anche dal Custode e quindi custodita in luogo sicuro di cui il Custode sia l unico detentore della chiave. c) come previsto dal punto 10 dell Allegato B, in caso di assenza prolungata dell incaricato (o suo impedimento) che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, il Custode aprirà la busta e ne consegnerà il contenuto al Titolare o al Responsabile o all Incaricato da loro delegato, facendosi rilasciare ricevuta. Avvertirà tempestivamente dell intervento il detentore originario della parole-chiave, invitandolo anche a sostituirla immediatamente. d) in caso di smarrimento della parola-chiave da parte del legittimo detentore della stessa, provvederà a restituirgli la sua busta e a ricevere subito dopo copia della nuova parola chiave in busta chiusa controfirmata. e) ricordare a ogni utente che le parole-chiave devono avere le caratteristiche di cui al punto 5 dell Allegato B del DLGS 196/2003 (minimo 8 caratteri, evitare nomi, date o altri elementi riferibili all Incaricato, ecc.) f) intervenire nel caso che riscontri anomalie o negligenze nella riservatezza della gestione chiavi da parte dei colleghi, richiamandoli cortesemente al corretto comportamento e invitandoli a sostituire immediatamente la parole-chiave che si fosse perduta minando, anche solo potenzialmente, i requisiti di sicurezza. g) segnalare al Titolare o al Responsabile eventuali problematiche riferibili alla gestione delle parole-chiave. Gli incaricati della custodia delle chiavi potranno anche: a) custodire le chiavi di accesso e/o i dispositivi di accesso ai locali server in un luogo non accessibile da altri; b) aprire i locali per necessità di gestione e manutenzione dei sistemi, dei locali e degli impianti, nonché per attività di pulizia ed affini ed altre attività comunque indispensabili; pag. 19 di 101

20 c) annotare, su apposito registro, anche informatico, conservato nei locali server, ogni intervento indicando data e orario dell intervento (inizio-fine), tipo di intervento, nome e cognome del tecnico intervenuto, Ditta o struttura, firma; d) provvedere alla chiusura dei locali al termine degli interventi di cui alla lettera b). I responsabili della custodia delle parole chiave, sono formalmente nominati mediante apposita nomina scritta. I nominati dei custodi delle parole chiave e relativa funzione, sono conservati nell apposito allegato NOMINA CUSTODE DELLE PAROLE CHIAVE. Qualora tale funzione sia svolta dall amministratore di sistema (AdS), i nominativi degli stessi e relativa funzione, sono conservati nell apposito allegato. NOMINATIVI AMMINISTRATORI DI SISTEMA RESPONSABILI DEI BACK UP Gli incaricati del backup sono i soggetti che sovrintendono alle operazioni di salvataggio, anche automatico, dei dati contro il rischio di perdita dei dati stessi custoditi sui server e su altre attrezzature. Gli incaricati del backup sono individuati dal responsabile del trattamento dei dati previa verifica della dislocazione delle apparecchiature e dei servizi informatici utilizzati. Gli incaricati del backup, designati per iscritto dal responsabile del trattamento dei dati, devono adempiere ai loro compiti attenendosi alle istruzioni ricevute nel rispetto delle indicazioni relative alle norme di sicurezza definite nel presente documento. Gli incaricati del backup, in particolare, dovranno: a) controllare, giornalmente tramite apposita procedura predefinita l'esito del backup giornaliero; b) riferire, in caso di esito negativo del backup, al responsabile del trattamento; c) sostituire ogni mattina, sul sistema server, il supporto magnetico contenente i dati di backup del giorno precedente con quello etichettato con il nome del giorno in corso; d) collocare il supporto magnetico contenente i dati di backup del giorno precedente in un luogo diverso da quello in cui sono posti i server in armadi ignifughi chiusi a chiave o in altro sito protetto; l accesso a tali luoghi deve essere registrato ed è consentito al solo personale autorizzato e deve essere protetto con misure di sicurezza fisiche e/o logiche non minori di quelle adottate per il server; e) ripristinare i dati in caso di necessità secondo le modalità predisposte dal responsabile del trattamento. I responsabili dei back up, sono formalmente nominati mediante apposita nomina scritta. I nominativi responsabili dei bakc up e relativa funzione, sono conservati nell apposito allegato NOMINA RESPONSABILE DEI BACK UP. pag. 20 di 101

21 9.7. AMMINISTRATORI DI SISTEMA Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. L Istituto ha provveduto a richiedere ai fornitori di servizi informatici esterni i nominativi degli amministratori di sistema. I nominativi degli stessi e relativa funzione, sono conservati nell apposito allegato. NOMINATIVI AMMINISTRATORI DI SISTEMA. Gli amministratori di sistema, sono formalmente incaricati (se necessario), mediante apposita nomina scritta. Copia di tale nomina è presente nell apposito allegato del fascicolo per la gestione della privacy, denominato NOMINA AMMINISTRATORI DI SISTEMA I nominativi degli amministratori di sistema, saranno resi noti agli interessati, secondo le modalità che il titolare del trattamento, o il datore di lavoro, riterrà più opportuno (es. pubblicazione dei nominativi nella intranet, circolare interna), al fine di adempiere a quanto previsto al p.to 4.3 del provvedimento del Garante per la protezione dei dati Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema, d.d. 27 novembre pag. 21 di 101

22 10. ELENCO DEI TRATTAMENTI DI DATI PERSONALI (REGOLA 19.1) L elenco dei trattamenti di dati personali di cui l Istituto è titolare o responsabile, è stato predisposto sulla base delle informazioni fornite dai responsabili delle strutture dell Istituto in occasione del censimento delle banche dati, riguardanti dati personali, utilizzate per lo svolgimento della loro attività. Tutti i trattamenti in atto nell istituzione scolastica sono effettuati in relazione a funzioni e compiti ad essa attribuiti, delegati o conferiti dalla normativa statale, regionale e comunitaria, funzioni previste dai regolamenti, a funzioni svolte in attuazione di convenzioni, accordi di programma, intese e sulla base di strumenti di programmazione negoziata previsti dalla legislazione vigente, a funzioni collegate all accesso ed all erogazione dei servizi resi dall Istituto agli utenti, a funzioni svolte in attuazione di Contratti collettivi nazionali e decentrati in materia di pubblico impiego nonché a quelle inerenti all organizzazione dell Amministrazione ed allo sviluppo dell attività amministrativa, nei suoi vari profili. La gestione delle informazioni confluenti nelle banche dati e negli archivi dell Istituto è realizzata nel rispetto dei principi e dei criteri che regolano il trattamento dei dati personali. Il trattamento dei dati personali è funzionale al raggiungimento delle finalità di istruzione e di formazione in ambito scolastico con particolare riferimento a quelle svolte anche in forma integrata, ed è quindi di rilevante interesse pubblico. Tale rilevazione ha lo scopo di individuare le tipologie di dati gestiti, le fasi di cui si compone ciascun trattamento, le misure di sicurezza attivate e da attivare a protezione dei dati, l'interconnessione con altre banche dati interne od esterne, la necessità di comunicazione o diffusione dei dati raccolti, chiarendo inoltre sulla base di quali indicazioni normative o di quali esigenze organizzative interne detti trattamenti vengono effettuati, nonché di valutare l'eventuale sussistenza di trattamenti non attinenti le finalità istituzionali dell Istituto CLASSIFICAZIONE DELLE CATEGORIE OMOGENEE DI INCARICATI AL TRATTAMENTI Per un adeguato funzionamento della struttura organizzativa della scuola, non è pensabile di attribuire sempre singoli trattamenti a unità di personale, il funzionamento della segreteria ad esempio prevede che tutti gli impiegati siano incaricati degli stessi trattamenti. Ciò è dovuto all impossibilità di dividere in maniera netta le mansioni necessarie al funzionamento dell ufficio, in particolare in relazione ai trattamenti dati che spesso sono trasversali alle varie competenze. Si considerino poi i periodi di ferie o le varie assenze per le quali se organizzati diversamente si rischia di non poter svolgere alcuni servizi. Alla luce di quanto sopra riportato, si sono costituite perciò delle unità organizzative. pag. 22 di 101

23 Le categorie previste sono riassunte nella seguente tabella, resta inteso che ad ogni incaricato e per i responsabili sarà attribuita per iscritto la tipologia di trattamenti per cui vengono autorizzati, quindi ognuno di essi deve far fede a quelle citate nella nomina e eventualmente nelle successive integrazioni. ELENCO TRATTAMENTO DATI TD 00 TD 01 TD 02 TD 03 TD 04 TD 05 TD 06 e TD 06 R TD 07 TD 08 TD 09 TD 10 TD 11 TD 12 TD 13 TD 14 UNITÀ ORGANIZZATIVA GESTIONE COMPLETA DI TUTTI I TRATTAMENTI Da TD 01 a TD 014 Il Dirigente Scolastico in qualità di titolare della responsabilità giuridica della scuola è autorizzato a tutti i trattamenti. Collaboratori del dirigente scolastico, Vicario, Funzionario amministrativo scolastico. Segreteria (assistenti amministrativi) Collaboratori scolastici Personale docente (interno, esterno), esperti Componenti organi collegiali Rappresentanze sindacali Figure previste dalla normativa in materia Tutela della salute e della sicurezza nei luoghi di lavoro D.lgs 81/2008 Tecnici, manutentori, installatori sistemi informatici sia hardware che software. Gestione sito Web pag. 23 di 101

24 10.2. ANALISI DEI DATI TRATTATI TD 00 GESTIONE COMPLETA DI TUTTI I TRATTAMENTI DA TD 02 A TD 14 In questo paragrafo non sono esplicati i trattamenti in quanto il trattamento TD 00 è relativo a tutti i trattamenti sotto elencati TD 01 GESTIONE DI TUTTI I TRATTAMENTI AD ESCLUSIONE DEL PROTOCOLLO RISERVATO DA TD 02 A TD 14 Il trattamento TD 01 è comprensivo di tutti i trattamenti da TD 02 a TD 14 sotto riportati ad esclusione del protocollo riservato TD 02 DATI RELATIVI AL PAGAMENTO DEL PERSONALE TRATTATI DALLA SEGRETERIA Descrizione sintetica del trattamento: Per ogni dipendente (anche per i collaboratori esterni), viene solitamente costituito un fascicolo personale contenente tutta la documentazione relativa ai pagamenti e a tutte le operazioni connesse. In generale per qualsiasi pratica connessa alla gestione del dipendente dal punta di vista : giuridico, retributivo, fiscale, previdenziale e gestionale. Eventuali dati sensibili e/o giudiziari vengono custoditi a in appositi archivi mantenuti chiusi. Tipologie di dati trattati: Dati particolari: - Gestione documentazioni fiscali (730, 101 ecc) ; - Comunicazione dei dati di adesione agli scioperi; - Gestione dei permessi sindacali e delle convocazioni dei rappresentanti sindacali; - Gestione richieste, certificazioni, dichiarazioni e concessioni relative a benefici di natura economica; - Gestione di tutti i pagamenti (stipendi, attività accessorie, straordinari ecc) e attività connesse (versamento contributi, denuncie INPS ecc) - Gestione e trasmissione all INPDAP del progetto di liquidazione TFR - Gestione delle graduatorie personale non di ruolo: valutazione e punteggio; - Curriculum docenti e personale amministrativo; - Gestione sostituzione del personale assente di ruolo e non di ruolo; - Gestione dei permessi per partecipazione a attività extra istituzionali; Dati sensibili: pag. 24 di 101

25 - Documentazioni su particolari situazioni personali o familiari che danno diritto a agevolazioni economiche; - Documentazioni relative all iscrizione a sindacati - Richieste di prestiti cessione del quinto dello stipendio ecc; - Spedizione del conferimento dell 8 per mille a chiese od organizzazioni religiose: ricevuta in busta chiusa per la trasmissione al CAF; - Gestione eventuali pignoramenti dello stipendio e di ritenute per eventuali danni erariali - Gestione pratiche cessione del 5 dello stipendi; - Quote aggiunte di famiglia, detrazione d imposta, modalità di riscossione ed ogni altra pratica relativa allo stipendio; - Collocamento obbligatorio e assunzione di personale categorie protette - Certificati di servizio, attestati, dichiarazioni e nomine per attività del personale ATA - Gestione degli infortuni sul lavoro; - Ricostruzione carriera; - Gestione delle pratiche inerenti l instaurazione del rapporto con l obiettore di coscienza ai fini dell espletamento del servizio di volontariato e obiezione di coscienza; Dati giudiziari: - Gestione di particolari documentazioni con il trattamento di eventuali atti giudiziari per casi particolari attestanti ad esempio la patria potestà (persa dai genitori naturali) e acquisita da terzi; - Documenti relativi agli affidi, alle sentenze di separazione o divorzio; - Gestione delle pratiche relative ad eventuali denunce per violazioni penali; - Dichiarazione sui carichi pendenti nel casellario giudiziario; - Destituzione per reati penali. Gli incaricati del trattamento dati relativo alla gestione del personale dal punta di vista giuridico, retributivo, fiscale, previdenziale e gestionale sono le seguenti unità organizzative: - SEGRETERIA Gli assistenti amministrativi sono incaricati dei suddetti trattamenti in relazione alle mansioni previste dal loro profilo professionale, ai compiti assegnati nell organizzazione del lavoro e successive modifiche o integrazioni anche temporanee attribuite secondo necessità da Dirigente e/o dal Funzionario Amministrativo Scolastico. Altre strutture concorrenti al trattamento sono: - Collaboratori del dirigente; pag. 25 di 101

26 - Collaboratori Scolastici; - Responsabili trattamento esterni; - Componenti organismi collegiali e commissioni istituzionali; MODALITÀ DI RACCOLTA DEI DATI: Gran parte dei dati provengono dall interessato e da altre scuole attraverso la trasmissione di parte del fascicolo personale. Altri dati provengono dalla consultazione degli archivi del MIUR, della Sovrintendenza Scolastica, dell INPS, dell INPDAP, del Tesoro, della Ragioneria dello Stato, uffici PAT. MODALITÀ DI TRATTAMENTO: La gestione del Fascicolo Personale è costituita dalla raccolta di documentazioni cartacee. Le pratiche sono realizzate perlopiù con documenti in formato elettronico prodotti da appositi software di office automation o gestionali, parte sono prodotte anche su modulo cartaceo. Le documentazioni prodotte con supporto elettronico vengono anche stampate per cui in caso di guasto e mancata reperibilità delle copie di backup è possibile ricostruire le pratiche mediante i documenti archiviati. BANCHE DATI CARTACEE - LUOGO DI CUSTODIA - Archivio generale ; - Archivio docenti (fascicoli); - Archivio personale A.T.A (fascicoli); - Archivio Personale esterno; - Archivio graduatorie; - Archivio stipendi; - Archivio gestione fiscale ; - Archivio gestione previdenziale; - Archivio degli atti di gestione del Bilancio; - Archivio verbali rappresentanze sindacali accordi decentrati; BANCHE DATI IN FORMATO ELETTRONICO - LUOGO DI CUSTODIA - Applicativi forniti da terzi (Vedi elenco Applicativi) ; - Banca dati su server; DESCRIZIONE DEI PRINCIPALI TRATTAMENTI DATI IN FORMATO ELETTRONICO I trattamenti avvengono in modalità elettronica, mediante l'utilizzo di appositi applicativi informatici. pag. 26 di 101