Istituto d Istruzione Superiore Luigi Carnacina Via Europa Unita 37011 Bardolino VR 0456213311 r.a. - 0457210132 http://www.iiscarnacina.it e-mail carnacina@iiscarnacina.it Banca Popolare di Verona S.G.S.P. S.p.A. Coordinate IBAN: IT54 CIN L ABI 05188 CAB 59260 C/C 000000031500 Codice Fiscale 90001570234 C/C Postale n 11373370 DPS Documento Programmatico sulla Sicurezza dell Istituto d Istruzione Superiore Luigi Carnacina Via Europa Unita 37011 Bardolino VR Documento redatto il 31 Marzo 2008, ai sensi dell art.34, comma 1 lettera g del Decreto Legislativo 30 giugno 2003 n. 196 Codice in materia di protezione dei dati personali Sezioni Associate I.P.S.S.A.R. I.P. Commerciale Via Centro, 1 Via Barbarani 37067 - Valeggio sul Mincio VR 37016 Garda VR 0456370592 0456379919 0457256240 0456270479
La Dirigente Scolastica Visto il decreto legislativo 30 giugno 2003, n. 196 recante il Codice in materia di protezione di dati personali, e segnatamente gli art. 34, nonché l allegato B del suddetto d.lgs, contenente il Disciplinare tecnico in materia di misure minime di sicurezza. Considerato che L'Istituto di Istruzione Superiore "Luigi Carnacina", in quanto dotata di un autonomo potere decisionale ai sensi dell art.28 del d.lgs.196, deve ritenersi titolare del trattamento di dati personali. Atteso che la suddetta Istituzione scolastica e tenuta a prevedere ed applicare le misure minime di sicurezza di cui agli artt. 31 e ss. del D.Lgs. n 196, adotta il presente documento programmatico della sicurezza. L'Istituto di Istruzione Superiore "Luigi Carnacina" (VRIS00600E) è un Istituto polivalente, di cui fanno parte un Istituto Professionale Turistico-Alberghiero, con sede principale a Bardolino ed una associata a Valeggio sul Mincio, e un Istituto Professionale Commerciale con sede a Garda, la dirigente scolastica: dott.ssa ANNAMARIA SILINGARDI L Istituto d Istruzione Superiore Luigi Carnacina comprende 3 sedi: I.P.S.S.A.R. (Sede centrale) Via Europa Unita, 10 37011 Bardolino (Verona) 045 6213311 Fax:045 7210132 www.carnacina.it e-mail: carnacina@iiscarnacina.it I.P.S.S.A.R. Via Centro, 1 37067 Valeggio s/m (Verona) 045 6370592 Fax:045 6379919 e-mail: alberghiero.valeggio@tin.it I.P. Commerciale Via Barbarani 37016 Garda VR 045 7256240 Fax:045 6270479 e-mail: iiscommerciale@tiscali.it
L organico dell istituto e composto da: Dirigente Scolastico Dott.ssa Anna Maria Silingardi Direttore dei Servizi Generali ed Amministrativi Sig.ra Giovanna Giorlo Personale Docente 155 Insegnanti Personale ATA 12 Assistenti amministrativi 22 Assistenti Tecnici 25 Collaboratori Scolastici. Gli allievi, per un totale di 954, sono così suddivisi: I.P.S.S.A.R. Bardolino I.P.S.S.A.R. Valeggio I.P. Commerciale Garda 418 allievi 345 allievi 191 allievi
I corsi di studio offerti dalla scuola sono i seguenti: Biennio Servizi Sociali Biennio Economico Aziendale e Turistico Biennio Servizi Alberghieri e della Ristorazione Operatore dei servizi di ristorazione - settore Cucina Operatore dei servizi di ristorazione - settore Sala-Bar Operatore dei servizi di Ricevimento Tecnico dei Servizi della Ristorazione Tecnico dei Servizi Turistici Tecnico della Gestione Aziendale Indirizzo Informatico Tecnico della Gestione Aziendale Indirizzo Linguistico La compilazione partecipata, da parte del Dirigente Scolastico, del Dsga e di un Assistente Amministrativo, ha consentito una valutazione complessiva più generale dello stato dell organizzazione e dei fabbisogni dell Istituzione scolastica e, con essa, l individuazione di soluzioni migliorative delle sue prestazioni, in seguito al lavoro di ricognizione eseguito in vista del presente documento, la scuola ha provveduto a: organizzare i trattamenti di dati in formato cartaceo, con particolare riguardo all attività di Segreteria, in modo da garantire un idonea custodia dei documenti e di riservare l accesso alle aree in cui si effettuano i trattamenti ai soli soggetti incaricati; porre in essere le misure di sicurezza adeguate per la protezione dei dati trattati in formato elettronico. La scuola, nell ambito delle finalità istituzionali perseguite, può trattare, anche mediante strumenti elettronici, i dati individuati dall articolo 4 lettere b), c) d) e) del Decreto Legislativo 30 Giugno 2003, n 196. I trattamenti avvengono nel rispetto degli obblighi derivanti dalla legislazione nazionale e comunitaria, nonché da fonti di natura regolamentare. I trattamenti sono legati alla erogazione dei servizi formativi ed educativi dell Istituzione scolastica, ai connessi rapporti con gli alunni e le famiglie, agli adempimenti relativi alla gestione e alla formazione del personale, agli adempimenti di contabilità e bilancio. In linea generale, i dati trattati riguardano o possono riguardare: persone fisiche, identificate o identificabili, quali nominativo, data di nascita, residenza, domicilio, stato di famiglia, codice fiscale, obblighi di leva;
persone giuridiche quali la forma giuridica, la sede legale, la data di costituzione, informazioni relative agli organi rappresentativi e legali, partita Iva, codice fiscale, la titolarità di diritti o la disponibilità di beni strumentali; presenze, prestazioni previdenziali, stipendi, permessi, ferie, malattia, stato di servizio e altri dati connessi al rapporti di lavoro del personale della scuola; procedimenti di natura penale, civile, tributaria e amministrativa; rapporti del Dirigente scolastico e dei docenti con le famiglie; attività degli organi collegiali dell Istituzione scolastica; atti negoziali od offerte commerciali provenienti da fornitori di beni e servizi, ivi comprese eventuali attività professionali svolte a fini formativi; rapporti e convenzioni con aziende e agenzie formative, per stage e tirocini degli alunni; altri soggetti, situazioni, eventi in applicazione di disposizioni di Legge o Regolamenti. Si è proceduto con particolare cura ad un attenta ricognizione dei trattamenti di dati sensibili e giudiziari effettuati da questa scuola. Il risultato ha evidenziato un limitato trattamento di dati sensibili in formato elettronico, questi possono riferirsi a situazioni di disagio o handicap fisico/psichico sopportate dagli alunni o dal personale e/o a particolari esigenze da queste derivanti, a casi di malattie o infortuni particolari, nonché all indicazione della sigla sindacale a favore della quale viene eseguita la trattenuta. Non risulta alcun trattamento in formato elettronico di dati giudiziari.
L analisi dei trattamenti Lo studio relativo ai trattamenti di dati (in formato elettronico) effettuato dalla Istituzione scolastica è avvenuta nel seguente modo: sono state rilevate le attività in essere che comportano il trattamento elettronico di dati personali; sono state individuate le strutture e/o le figure professionali incaricate dei trattamenti; sono stati rilevati e descritti gli strumenti informatici utilizzati per il trattamento dei dati. Quadro di sintesi I pc utilizzati per il trattamento di dati personali sono 15 e sono collegati tra loro tramite la rete interna e indipendente degli uffici di segreteria. Più precisamente, si tratta di 14 pc client effettivamente utilizzati dal personale di segreteria nel corso della loro attività lavorativa, di 1 pc adibito esclusivamente alla funzione di server. Attività e banche dati I trattamenti in formato elettronico effettuati dagli incaricati si concentrano sulle seguenti banche dati. Area Banca dati Amministrativa Alunni Amministrativa Personale Amministrativa Magazzino Amministrativa Nuovo Bilancio Amministrativa Retribuzioni-Gestione fiscale Tutte le banche dati sopra indicate sono residenti sul pc adibito a server. Tutte sono gestite tramite il software Infoschool. Dati di natura sensibile, del tipo già descritto a pag. 5, sono contenuti nelle sole banche dati Alunni, Personale, Retribuzioni e Gestione Fiscale.
Sito internet della scuola La scuola dispone di un suo sito web (www.carnacina.it). Tutte le sezioni ad accesso pubblico del sito sono a semplice carattere informativo in merito alle attività dell Istituto, e non comportano, pertanto, al momento, alcun trattamento di dati personali. Distribuzione dei compiti e delle responsabilità nell ambito delle strutture preposte al trattamento dei dati L ente titolare del trattamento dei dati ha designato, mediante autonomo provvedimento quale Responsabile ai sensi dell art. 29 del D.Lgs. n. 196 del 2003 la sig.ra Giovanna Giorlo, preposto alle funzioni di Direttore dei Servizi Generali ed Amministrativi, in considerazione dell esperienza, capacità ed affidabilità, espressa dalla medesima, tale da offrire idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento. Il suddetto Responsabile del trattamento ha ricevuto adeguate istruzioni riguardo: a) all individuazione ed adozione delle misure di sicurezza da applicare nell ambito dell istituzione scolastica, al fine di salvaguardare la riservatezza, l integrità, la completezza e la disponibilità del trattamento dei dati trattati; b) all esigenza di provvedere, mediante atto scritto, all individuazione delle unità legittimate al trattamento, per mezzo dei singoli preposti, ovvero di singoli incaricati, ai sensi dell art. 30 del d. lgs. n. 196 del 2003, deputati ad operare sotto la diretta autorità del responsabile, attenendosi alle istruzioni impartite, fermo restando l obbligo gravante sul responsabile di vigilare sul rispetto delle misure di sicurezza adottate. c) All esigenza di verificare che gli obblighi di informativa siano stati assolti correttamente, ovvero che sia stato conseguito il consenso degli interessati; d) all obbligo di collaborare con il titolare nell adempiere alle richieste avanzate dal Garante per la protezione dei dati personali ovvero alle autorità investite dei poteri di controllo; e) all attribuzione delle competenze ad elaborare e sottoscrivere notificazioni al Garante per la protezione dei dati personali; f) all obbligo di osservare e far osservare il divieto di comunicazione e diffusione dei dati personali comunque trattati da parte dell istituzione scolastica; g) all obbligo, ovvero a proporre soluzioni organizzative che consentano un ampliamento dei livelli di sicurezza. Il Responsabile del trattamento, ai sensi dell art. 30 del d.lgs. n. 196 del 2003 e delle indicazioni rappresentate sub. b), ha provveduto ad individuare (mediante atti allegati a presente Documento) gli
incaricati, autorizzandoli al trattamento dei dati in possesso dell istituzione scolastica, esclusivamente con riferimento all espletamento delle funzioni istituzionali ad essi rispettivamente assegnate. Tali incarichi, in particolare, sono stati formalmente edotti in merito alla circostanza che: a) il trattamento e la conservazione dei dati deve avvenire esclusivamente in modo lecito e proporzionato alle funzioni istituzionali, nel rispetto della riservatezza; b) la raccolta, registrazione ed elaborazione dei dati, mediante strumento informatico o cartaceo, deve essere limitata alle finalità istituzionali; c) integra onere dell incaricato la correzione od aggiornamento dei dati posseduti, l esame della loro pertinenza rispetto alle funzioni; d) integra inosservanza delle istruzioni la comunicazione, effettuata in qualsiasi maniera dei dati in possesso, con eccezion del caso che il destinatario sia l interessato alle stesse, ovvero altri soggetti legittimati a ricevere dette comunicazioni. L ambito dei trattamenti autorizzati ai singoli incaricati è suscettibile di aggiornamento periodico. A tutti gli incaricati destinati al trattamento di dati mediante strumento elettronico, sono state conferite credenziali di autenticazioni (art. 34, comma 1, lett.b) mediante parola chiave, conforme alle caratteristiche indicate nell allegato B. Con atto allegato al presente documento è stato designato l incaricato della custodia delle copie di credenziali di autenticazione nonché della funzione di verifica del loro aggiornamento periodico ovvero della corretta utilizzazione. Le suddette credenziali sono disattivate automaticamente dal gestore della rete periodicamente, ovvero in tutti i casi di mancata utilizzazione per almeno 6 mesi. Concorre al trattamento anche una struttura esterna all istituzione scolastica, indicata mediante contratto (allegato al presente documento) del supporto di manutenzione, riparazione degli strumenti elettronici. Il Titolare della struttura è stato designato quale responsabile del trattamento, in ragione dell esperienza maturata nel settore.
Al fine di meglio precisare la suddetta ripartizione delle funzioni si rinvia alla tabella seguente: STRUTTURA RESPONSABILE INCARICATO TRATTAMENTI OPERATI DALLA Segreteria DSGA Area Alunni Giovanna Giorlo Giovanna Giorlo Oliverio, Bitetto, Peretti Belfiore, Cimino STRUTTURA Trattamenti strumentali allo svolgimento dei compiti istituzionali (gestione della corrispondenza ricevuta ed inviata dal Dirigente dell istituzione scolastica; tenuta del protocollo generale con conseguente registrazione della posta, anche elettronica o ricevuta via fax, e delle comunicazioni d ufficio in entrata ed in uscita Trattamenti strumentali allo svolgimento dei compiti istituzionali in materia di iscrizione e frequenza degli alunni (registrazione dell iscrizione alle classi, delle assenze, della partecipazione alle attività previste dall offerta formativa; registrazione dei giudizi e delle valutazioni; pratiche infortuni. COMPITI DELLA STRUTTURA Acquisizione e caricamento dei dati, consultazione, stampa, comunicazione a terzi, manutenzione tecnica dei programmi utilizzati nel trattamento, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.) Come sopra Servizi al personale Giovanna Giorlo Pampalone, Pellegrini, Trattamenti strumentali allo svolgimento dei compiti istituzionali in materia di selezione ed amministrazione del personale (registrazione delle presenze, presso l istituzione scolastica, assenze per malattia, esigenze famigliari, espletamento funzioni politiche o sindacali; etc.; Come sopra
Servizi Amministrativ: magazzino, contabilità e stipendi Servizi inerenti l offerta formativa Servizi strumentali agli organi collegiali Giovanna Giorlo Giovanna Giorlo Giovanna Giorlo Rubini, Vaccaro, Ciardo, Bortoli, Scandola Dirigente scolastico, collaboratori del dirigente scolastico, funzioni strumentali dell istituto Trattamenti strumentali allo svolgimento dei compiti di gestione amministrativa (tenuta dei dati connessi all espletamento di procedimenti amministrativi, attività contrattuale, gestione di beni, procedure di bilancio, aspetti economici e previdenziali: paghe, contributi, organizzazione di stage e uscite didattiche) Trattamenti strumentali alla predisposizione e concreta erogazione dell offerta formativa(raccolta delle domande d iscrizione; condizioni sanitari ed economiche dei destinatari dell offerta formativa, documentazione concernente opzioni per insegnamenti facoltativi, organizzazione di stage e uscite didattiche, dati inerenti profili sanitario relativi al nucleo famigliare dei destinatari dell offerta formativa, per il riconoscimento di attività di sostegno in ragione di situazioni di disagio, sociale, economico o famigliare, registri relativi alle presenze presso l istituzione scolastica) Oliverio Trattamenti strumentali alle attività degli organi collegiali ed attività connesse ai rapporti con organi pubblici (composizione degli organi collegiali rappresentativi della comunità servita dall offerta formativa, convocazione degli organi, raccolta delle delibere, raccolta degli atti concertati con altre istituzioni pubbliche) Come sopra Come sopra Come sopra AMBITO DEI TRATTAMENTI Attesa la dislocazione dell Istituzione Scolastica in più edifici, si precisa che il trattamento dei dati è effettuato esclusivamente presso la sede di Bardolino.
IDENTIFICATIVO Tabella 3 Elenco dei trattamenti: descrizione degli strumenti utilizzati EVENTUALE BANCA DATI DI UBICAZIONE FISICA TIPOLOGIA DI TIPOLOGIA DI DEL TRATTAMENTO SUPPORTO DEI SUPPORTI DI DISPOSITIVI DI ACCESSO INTERCONNESSI ONE MEMORIZZAZIONE E DELLE COPIE DI SICUREZZA Segreteria Dirigente Ruoli del personale in formato Nei locali Pc Rete locale ed Scolastico elettronico dell Istituzione internet scolastica siti al Piano terra Ufficio segreteria Area alunni Dati degli alunni in formato elettronico; Archivio degli alunni Come sopra Pc Rete locale ed internet Servizi al personale Ruoli del personale in formato elettronico; Come sopra Pc Rete locale ed internet Servizi amministrativi Servizi inerenti l offerta formativa Archivio delle imprese fornitrice di servizi e/o prestazioni. Archivio contenuto negli elaboratori sottoposti a revisione o manutenzione da parte di tecnici, anche esterni, incaricati degli interventi (sia in caso di trasporto dell elaboratore all esterno dell ente, presso i locali della ditta, sia in caso di intervento sul posto, cioè nei locali dell istituzione scolastica) Destinatari dell offerta formativa con caratterizzazione religiosa, economica, sociale, sanitaria (cfr modello Excel e relativo modello di previsione h ) Come sopra Pc Rete locale ed internet Come sopra Pc Rete locale ed internet
ANALISI DEI RISCHI CHE INCOMBONO SUI DATI Il presente DPS è stato redatto a seguito di una rilevazione sistematica dei dati personali trattati dalla scrivente Istituzione scolastica e di un analisi dell infrastruttura tecnologica esistente, con particolare riferimento alle caratteristiche della rete, dei Personal Computer, dei sistemi di sicurezza in uso. E seguita un analisi dei rischi ed una valutazione in ordine alla possibilità che possano verificarsi episodi di utilizzo improprio dei dati, di loro perdita o distruzione e di accesso non autorizzato. Sono state, di conseguenza, individuate misure ulteriori, rispetto a quelle già in essere, per ridurre i rischi rilevati. Si individuano i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutando le possibili conseguenze e la gravità stimata. Eventi relativi al comportamento degli operatori Eventi relativi agli strumenti Eventi relativi al contesto Evento Impatto sulla Sicurezza dei Dati Descrizione Gravità stimata Sottrazione credenziali Accessi non autorizzati a IRRILEVANTE (id user + password) informazioni riservate Disattenzione e incuria Abbandono e non cura della propria BASSO postazione di lavoro (ad es. lasciandola incustodita) Comportamenti sleali e Utilizzo illegale dei dati personali BASSO fraudolenti trattati Errori operativi Errata utilizzazione degli archivi BASSO Trattamenti non Utilizzo degli archivi oltre ai IRRILEVANTE consentiti limiti/campi previsti dal Responsabile dei Trattamenti Virus informatici Attacco alla sicurezza dei dati MEDIO personali gestiti Malfunzionamenti Dispostivi di accesso non funzionanti BASSO correttamente (problemi hw e sw) Indisponibilità Non disponibilità degli strumenti IRRILEVANTE Degrado Strumenti tecnologici obsoleti o non aggiornati in hw e sw IRRILEVANTE Accessi esterni non autorizzati Accessi non autorizzati a locali/reparti Furto di strumenti Eventi distruttivi, naturali o dolosi Inserimento indebito e non consentito BASSO nella banca dati Accesso non autorizzato a BASSO informazioni presenti su archivi cartacei/elettronici Sottrazione di apparecchiature IRRILEVANTE (ad es. furto server) Distruzione di archivi cartacei e IRRILEVANTE elettronici (ad es. incendio)
Guasti ai sistemi ausiliari Errori umani nella gestione della sicurezza fisica Mancanza del supporto di sistemi ausiliari in caso di necessità (es. caduta di tensione) Non corretta gestione della sicurezza degli archivi, anche a fronte di istruzioni operative impartite BASSO BASSO MISURE IN ESSERE E DA ADOTTARE In questa sezione sono riportati, in forma sintetica, le misure in essere e da adottare a contrasto dei rischi individuati dall analisi dei rischi. Per misura si intende, non solo lo specifico intervento tecnico o organizzativo posto in essere per prevenire, contrastare o ridurre gli effetti relativi a una specifica minaccia, ma anche tutte quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l efficacia. Protezione di aree e locali Durante l orario di apertura è in funzione un servizio di portineria, per l ingresso principale. L accesso ai locali dove avviene il trattamento è consentito al solo personale autorizzato tramite porte dotate di serratura. Le chiavi sono depositate presso l ufficio del DSGA e consegnate al personale autorizzato al mattino e da questi depositate, sempre presso l ufficio del DSGA, alla chiusura degli uffici. In tutti i locali sono previste, funzionanti e mantenuti sistemi di luci d emergenza e dispositivi antincendio, siano essi estintori a muro. Per gli elaboratori centrali ed i pc degli uffici di Segreteria è previsto un sistema di continuità dell alimentazione elettrica che consenta di attivare le procedure di shutdown controllato dei sistemi. Archiviazione e custodia di atti, documenti e supporti Tutti gli uffici sono attrezzati con armadi dotati di serrature e accessibili al solo personale autorizzato, per l archiviazione e custodia della documentazione cartacea, organizzata in fascicoli. L ufficio dell Amministrazione è dotato di cassaforte per la custodia di atti e documenti di particolare rilevanza. Misure logiche di sicurezza Ogni utente è informato delle norme e delle procedure che regolano l utilizzo degli strumenti informatici. Gli elaboratori preposti alla centralizzazione dei database sono posizionati in un unico armadio chiuso. Il personale tecnico preposto alle manutenzioni proveniente dall esterno può operare solo alla presenza del personale interno dei servizi informatici. I server sono dotati di un sistema centrale di rilevazione dei virus informatici, di accesso a internet e di condivisione di file all interno della rete dell Istituto. L aggiornamento avviene in un periodo non superiore ai 15 giorni. Su ogni elaboratore è installato un sistema di rilevazione di virus informatici che è aggiornato con una periodicità non superiore ai 7 giorni. A ogni utente sono assegnati un codice identificativo e una password personali; la password ha una validità di 6 mesi.
Il codice identificativo e la password abilitano all accesso delle risorse di rete e all uso delle aree di lavoro sulla base delle autorizzazioni assegnate al singolo utente o al gruppo di lavoro (profilo comune) a cui partecipa. L amministratore di sistema, dietro indicazione e mandato della direzione, gestisce e vigila su codici identificativi e password assegnate agli utenti, provvede alla disattivazione dei codici e delle password di utenti cessati, disattiva i codici e le password smarrite o erroneamente distribuite, ovvero divulgate ad altri utenti. Le varie funzioni dell Istituto utilizzano differenti software gestionali che operano sulle basi di dati trattate dall Istituto. Ogni software gestionale consente il trattamento dei soli dati necessari e sufficienti allo svolgimento delle attività dell operatore. Sono identificati dei profili a cui sono assegnati i diritti necessari per lo svolgimento dei compiti assegnati agli operatori appartenenti a quel profilo. A ogni profilo sono assegnati degli operatori e a ognuno di essi sono assegnati un identificativo univoco e una password che abilitano alle specifiche funzioni necessarie al trattamento dei dati per le parti necessarie e sufficienti allo svolgimento delle attività dell operatore stesso. Il personale docente, con accesso codificato e protetto da password sul web, ha il permesso di assegnare le valutazioni agli studenti, sia in corso d anno (voti per prove scritte e orali) sia nei periodi di valutazione intermedia e finale. Tale operazione non e svolta assolutamente nei locali e nelle postazioni classificate come uffici di segreteria. I fornitori non hanno accesso alle postazioni ed ai dati. È l amministratore di sistema, su indicazione della direzione, che abilita gli utenti ad accedere a internet, vigila sul traffico in ingresso e uscita e sugli accessi procedendo all eventuale disattivazione. L accesso è protetto da sistemi anti-intrusione a più livelli. E previsto, implementato e mantenuto un Firewall. Per tutti gli elaboratori sono previste attività periodiche di manutenzione per l aggiornamento dei sistemi da parte dei produttori di software e hardware. Misure periodiche Il Dirigente scolastico, in qualità di rappresentante legale dell Istituzione scolastica (Titolare al trattamento dei dati ai sensi dell art. 4, lettera f, del Codice) e il Responsabile del trattamento verificano il rispetto delle istruzioni impartite agli incaricati e delle misure di sicurezza adottate dalla scuola. Più in generale, si vigilerà affinché il trattamento effettuato dalla scuola sia sempre compreso nelle sue finalità istituzionali e, per nessuna ragione, prescinda da queste. Uguale cura verrà posta nella verifica e nell aggiornamento, almeno annuale, degli ambiti del trattamento consentito ai singoli incaricati.
Misura Tipologia Banca Dati In Responsabilità e Periodicità Da adottare essere Controlli Assegnazione Id user + password (non banali) Server Tutti i pc X Resp. Trattamento Dati Singoli Incaricati Trattamenti Semestrale Custodia password (elenco generale e privato) Server Tutti i pc X Resp. Trattamento Dati Singoli Incaricati Trattamenti Semestrale Cambio password (primo utilizzo e ogni 6 mesi) Server Tutti i pc X Resp. Trattamento Dati Singoli Incaricati Trattamenti Bimensile Screen Saver con password Tutti i pc X Resp. Trattamento Dati Singoli Incaricati Trattamenti Semestrale Disattivazione id user e password smarrite, Tutti i pc X Resp. Trattamento Dati Semestrale mal gestite o non usate Logica Criterio di accesso ai dati Tutti i Pc X Resp. Trattamento Dati Singolo Incaricato Trattamento Test di accesso semestrali Antivirus aggiornato Server Tutti i pc X Resp. Trattamento Dati Singoli Incaricati Trattamenti Inferiore a 7 giorni Firewall con funzione Server X Resp. Trattamento Dati Semestrale anti spam Back-Up conservati in zone separate dal Server Tutti i pc X Resp. Trattamento Dati Settimanale server/pc Archiviazione vecchia attività Server Tutti i pc X Resp. Trattamento Dati Annuale
CRITERI E MODALITÀ DI SALVATAGGIO E DI RIPRISTINO DELLA DISPONIBILITÀ DEI DATI In questa sezione sono descritti i criteri e le procedure adottati per il salvataggio dei dati e per il loro ripristino in caso di danneggiamento o di inaffidabilità del database. L importanza di queste attività deriva direttamente dalla eccezionalità delle situazioni in cui il ripristino ha luogo: è essenziale che, quando sono necessarie, le copie dei dati siano disponibili e le procedure siano efficaci. L integrità dei dati è assicurata dalla gestione in mirror dei dischi sul server e dall operazioni di backup settimanale su un supporto esterno: questa procedura prevede il backup dei dati presenti sul server presso la postazione pc dell Ufficio Stipendi, assegnata all Assistente Amministrativo Vaccaro Antonello quale incaricato di Funzione di Responsabile Gestione rete uffici Segreteria, collegandosi in rete con l elaboratore centrale, creando così la copia degli archivi e predisponendoli per la creazione di supporti digitali. La scelta di tale postazione è data dall ubicazione dell Ufficio Stipendi in quanto stanza a sé stante e dal pc protetto da ulteriore password di BIOS. I supporti digitali sono generati mensilmente e preventivamente si suppone di aumentare questa operazione nei periodi di maggior inserimento dei dati. (es. per i cud di marzo o in luglio quando viene eseguito l inserimento degli studenti); tali supporti sono successivamente custoditi nell armadio C dell Ufficio Stipendi in una cassetta di sicurezza dotata di serratura, come prevede il decreto legislativo 30 giugno 2003, n. 196. Nell ottica di quanto sopra esposto nel mese di Settembre 2007 il Server centrale e il pc dell Ufficio Stipendi sono stati sostituiti da nuove unità che offrono maggiore protezione dei dati e migliorano la stabilità del sistema. Quando vengono svolti aggiornamenti straordinari sulle postazioni e sul server viene generato una copia della postazione su supporto digitale così da garantire un immediato recovery. E prevista inoltre con cadenza periodica la verifica dei backup con procedura di ripristino dei dati sul server centrale.
PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI PREVISTI Verifica periodica La scuola si impegna a verificare ed aggiornare periodicamente le modalità adottate per garantire la sicurezza dei dati personali trattati. Il DPS verrà aggiornato entro il 31 Marzo di ogni anno. Il Titolare si impegna a riferire, nella relazione accompagnatoria del bilancio di esercizio, dell avvenuta redazione o aggiornamento del presente documento. Gli allegati Al presente DPS è allegata la documentazione che completa il dossier relativo alla garanzia della sicurezza dei dati trattati nella scuola. Gli allegati sono: 1. copia nomina del responsabile del trattamento dati 2. modello informativa per il trattamento dei dati personali degli alunni e delle famiglie 3. modello ricevuta di cui al punto 2 4. modello del consenso a tale trattamento 5. modello nomina incaricati al trattamento dei dati per il personale docente 6. modello nomina incaricati al trattamento dei dati per il personale assistente amministrativo 7. modello nomina incaricati al trattamento dei dati per il personale assistente tecnico 8. modello nomina incaricati al trattamento dei dati per il personale collaboratore scolastico 9. modello informativa per il trattamento dati delle aziende fornitrici e/o degli Enti ed associazioni che hanno rapporti con la scuola 10. copia nomina a custode delle password rete uffici 11. copia nomina dell amministratore di sistema rete uffici
GLOSSARIO Banca Dati Data Base Qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti, di tipo cartaceo o elettronico Dato giudiziario Dato personale idoneo a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato Dato personale Qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale Dato sensibile Dato personale idoneo a rivelare l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale Dispositivi di accesso Strumenti utilizzati dagli incaricati per effettuare il trattamento (elaboratore singolo, elaboratore in rete aziendale, elaboratore in rete pubblica) Incaricato Persona fisica autorizzato a compiere operazioni di trattamento dal titolare o dal responsabile Interconnessione Rete informatica che collega i dispositivi di accesso utilizzati dagli incaricati ai dati (rete locale, internet, intranet,.) Interessato Persona fisica, persona giuridica, ente o associazione cui si riferiscono i dati personali Misure minime Complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti Responsabile del Trattamento Dati Persona fisica, persona giuridica, pubblica amministrazione e qualsiasi altro ente, associazione o organismo preposti dal titolare al trattamento di dati personali Struttura
La struttura (reparto, ufficio, funzione,.) all interno della quale è realizzato il trattamento, oltre a quelle, interne e esterne, che eventualmente vi concorrono Titolare del Trattamento Dati Persona fisica, persona giuridica, pubblica amministrazione e qualsiasi altro ente, associazione o organismo cui competono, anche unitamente a altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza Trattamento Qualunque operazione o complesso di operazioni, effettuati anche senza l ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l organizzazione, la conservazione, la consultazione, l elaborazione, la modificazione, la selezione, l estrazione, il raffronto, l utilizzo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati