Prot. N. 1226 A/23 Santeramo, 30/03/2007 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Redatto ai sensi e per gli effetti dell articolo 34, comma 1, lettera g del D. Lgs. 196/2003 e del disciplinare tecnico allegato sub al medesimo decreto Il Dirigente dell Istituzione Scolastica, 1 CIRCOLO DIDATTICO HERO PARADISO, con sede in SANTERAMO IN COLLE alla Via P.zza San Gaspare n. 4 (plessi distaccati siti in SANTERAMO IN COLLE alla Via P.zza DI VAGNO n.4 Via Romita Via Giovanni XXIII), in qualità di Titolare del trattamento dei dati personali (art. 28 Codice Privacy), VISTO - il D.Lgs. 196/2003 (Codice Privacy ) ed il suo allegato contenente il Disciplinare tecnico in materia di misure minime di sicurezza; - visto il Decreto del Ministero della Pubblica Istruzione n. 305/2006 recante il Regolamento in materia di trattamento di dati sensibili e giudiziari in attuazione degli artt. 20 e 21 del Codice Privacy ADOTTA il presente documento programmatico sulla sicurezza al fine di individuare i trattamenti di dati posti in essere e la distribuzione dei compiti e delle responsabilità nell ambito delle strutture dell istituzione scolastica preposte al trattamento nonché di delineare il quadro delle misure di sicurezza, organizzative, fisiche e logiche adottate e da adottare per il trattamento dei dati personali, inclusi quelli di natura sensibile e giudiziaria. ELENCO DEI TRATTAMENTI DI DATI PERSONALI (punto 19.1 All. ) Nell ambito della sua funzione istituzionale, l Istituto Scolastico pone in essere le seguenti attività che implicano trattamento di dati personali, talvolta anche di natura sensibile e giudiziaria: - selezione e reclutamento del personale dipendente della Scuola (per quanto di competenza del singolo Istituto), dei collaboratori esterni e dei soggetti che intrattengono con l istituto altri rapporti di lavoro diversi da quello subordinato; gestione del rapporto in tutte le sue fasi (dall instaurazione alla cessazione) (cfr. scheda n. 1 Regolamento privacy MPI); - gestione del contenzioso del lavoro, amministrativo, penale e civile e dei procedimenti disciplinari (cfr. scheda n. 2 Regolamento privacy MPI); - attivazione e gestione degli organismi collegiali rappresentativi del personale, degli studenti, delle famiglie e delle associazioni sindacali, previsti dall ordinamento scolastico (cfr. scheda n. 3 Regolamento privacy MPI);
- attività propedeutiche all avvio dell anno scolastico (cfr. scheda n. 4 Regolamento privacy MPI); - attività educativa, didattica, formativa, di valutazione ed orientamento, di scrutini ed esami (cfr. scheda n. 5 Regolamento privacy MPI); - rapporti scuola-famiglie e gestione dell eventuale contenzioso (cfr. scheda n. 7 Regolamento privacy MPI). Ai fini dell individuazione analitica delle tipologie dei dati sensibili e giudiziari trattabili nell ambito delle suddette attività e delle operazioni di trattamento eseguibili con i dati, si rinvia integralmente al Regolamento privacy del MPI (D.M. 305/2006) ed alle sue schede operative. DISTRIUZIONE DEI COMPITI E DELLE RESPONSAILITÀ (punto 19.2 All. ) Il Dirigente Scolastico, mediante autonomo provvedimento (allegato al presente Documento) ha designato quale Responsabile del Trattamento ai sensi dell art. 29 Codice Privacy: - il sig. Nicola Lobefaro, preposto alle funzioni di DSGA, (responsabile delle unità organizzative segreteria, collaboratori scolastici, organi collegiali) - il sig. ins. Giuseppe Pontrandolfo, preposto alle funzioni di vicario, (responsabile dell unità organizzativa docenti). Per l individuazione dei compiti e degli incarichi assegnati al Responsabile del trattamento si rinvia integralmente ai contenuti dell atto di nomina. Il Dirigente Scolastico ha, altresì, individuato le unità organizzative in cui è suddivisibile il personale scolastico ed ha designato i componenti delle varie unità quali incaricati del trattamento dei dati personali ai sensi dell art. 30 Codice Privacy. Le unità organizzative individuate sono: - collaboratori del Dirigente Scolastico; - personale docente; - personale di segreteria; - collaboratori scolastici e personale ausiliario; - membri degli organi collegiali. Negli atti di individuazione delle varie unità organizzative e di designazione degli incaricati del trattamento (allegati al presente Documento) sono state identificate le operazioni di trattamento eseguibili e le tipologie di dati trattabili dalle diverse categorie di incaricati e sono state impartite dettagliate istruzioni comportamentali a cui gli operatori devono attenersi per evitare di incorrere in trattamenti illeciti o in violazioni di legge. L ambito dei trattamenti consentito alle varie unità organizzative è suscettibile di aggiornamento periodico.
A tutti gli incaricati che trattano dati mediante strumento elettronico, sono state conferite credenziali di autenticazione (art. 34, comma 1, lett.b) mediante parola chiave, conformi alle caratteristiche indicate nell allegato al Codice Privacy. Le suddette credenziali sono disattivate in caso di mancata utilizzazione per almeno 6 mesi. Con atto allegato al presente documento è stato designato l incaricato della custodia delle copie delle credenziali di autenticazione (password) e della verifica del loro aggiornamento periodico ovvero della corretta utilizzazione. L Istituto Scolastico, inoltre, si avvale dell ausilio di una struttura tecnica esterna alla quale è stato conferito l incarico di MANUTENZIONE PARCO MACCHINE SEGRETERIA E LAORATORI che ha il compito di manutenere e riparare gli strumenti elettronici. La struttura è stata diffidata dall Istituto dal porre in essere illegittime operazioni di trattamento dei dati di cui viene a conoscenza ed ha assunto lo specifico impegno contrattuale di eseguire le prestazioni commissionategli in modo conforme e rispettoso della vigente normativa in materia di tutela del diritto alla riservatezza. STRUTTURE PREPOSTE AL TRATTAMENTO: COMPITI E RESPOSAILITÀ STRUTTURA RESPONSAILE INCARICATI Docenti di ruolo e supplenti, Personale Vicario assistenti Docente tecnici e personale di sostegno Personale di Segreteria DSGA Addetti alla Segreteria TRATTAMENTI Con e senza strumenti elettronici: tutti i trattamenti pertinenti all attività didattica ed alle attività integrative, complementari e correlate alla didattica Con e senza strumenti elettronici: gestione della corrispondenza ricevuta ed inviata con esclusione di quanto di competenza esclusiva del Dirigente; tenuta del protocollo generale; trattamenti strumentali all attività di selezione ed amministrazione del personale (registrazione presenze, assenze per malattia, esigenze famigliari, espletamento funzioni politiche o sindacali; aspetti economici e previdenziali: paghe contributi, etc.; permessi per parcheggi interni; raccolta curricula di soggetti interessati all espletamento di funzioni di docente); trattamenti strumentali alla predisposizione e concreta erogazione dell offerta formativa (raccolta domande di iscrizione, condizioni
Collaboratori Scolastici Membri degli organi collegiali DSGA DSGA Collaboratori scolastici e personale ausiliario Membri degli organi collegiali interni ed esterni alla Scuola sanitarie ed economiche dei destinatari dell offerta formativa, documentazione concernente opzioni per insegnamenti facoltativi, dati inerenti profili sanitari o relativi al nucleo familiare dei destinatari dell offerta formativa, per il riconoscimento di attività di sostegno in ragione di situazioni di disagio, sociale, economico o familiare, registri relativi alle presenze presso l istituzione scolastica); trattamenti strumentali alle attività degli organi collegiali ed attività connesse ai rapporti con organi pubblici (composizione degli organi collegiali, convocazione degli organi, raccolta delle delibere, raccolta degli atti concertati con altre istituzioni pubbliche) Senza strumenti elettronici: trattamenti correlati alle mansioni (ricezione, trasporto, consegna, invio di documenti contenenti dati personali, aperti o collocati in busta chiusa, tra cui i registri; visione di documenti contenenti dati personali allo scopo di dare indicazioni di massima agli utenti; custodia di documenti e registri per brevi periodi; gestione elenchi di alunni, dipendenti e genitori per attività varie della scuola; fotocopia ed invio per fax di documenti; collaborazione ad operazione di archiviazione di documenti cartacei, ad operazioni di scarto ed eliminazione di documenti cartacei; svolgimento di attività di supporto a tutte le attività della scuola) Senza strumenti elettronici: trattamenti necessari per svolgere la propria funzione all interno dell organo
ANALISI DEI RISCHI CHE INCOMONO SUI DATI ed INDICAZIONE DELLE MISURE ADOTTATE PER GARANTIRE L INTEGRITÀ E LA DISPONIILITÀ DEI DATI NONCHÉ LA PROTEZIONE DELLE AREE E DEI LOCALI RILEVANTI AI FINI DELLA LORO CUSTODIA ED ACCESSIILITÀ (punti 19.3 e 19.4 All. ) L Istituto Scolastico ha effettuato una ricognizione degli eventi di origine dolosa, colposa, ovvero meramente fortuita, che potrebbero comportare una distruzione, sottrazione, perdita o trattamento abusivo dei dati trattati sia con strumenti cartacei che con strumenti elettronici. Le fonti di rischio sono state suddivise in: 1. comportamento degli operatori: sottrazione di credenziali di autenticazione; comportamenti imperiti, imprudenti o negligenti dei soggetti legittimati al trattamento dei dati; comportamenti dolosi; errori materiali; 2. eventi relativi agli strumenti: danni arrecati da virus informatici e/o da hackers, spamming o tecniche di sabotaggio; accessi informatici abusivi agli strumenti elettronici; intercettazione dei dati trasmessi in rete; malfunzionamento, indisponibilità o usura fisica degli strumenti; 3. eventi relativi al contesto fisico-ambientale: distruzione o perdita dei dati in conseguenza di eventi imprevedibili e incontrollabili (ese. terremoto) ovvero, seppur astrattamente preventivabili (ese. incendi o allagamenti), di origine fortuita, dolosa o colposa; guasti ai sistemi complementari (ese. mancata erogazione di energia elettrica per lunghi periodi di tempo); furto o danneggiamento degli strumenti elettronici e, più in generale, degli archivi anche in orario diverso da quello di lavoro; accesso non autorizzato da parte di terzi interni o esterni all istituzione scolastica durante l orario di lavoro. Nella tabella seguente è sinteticamente rappresentata la stima del livello di gravità del rischio e sono indicate le misure di sicurezza adottate: = bassa M = media A = alta E = elevata COMPORTAMENT O OPERATORI RISCHI sottrazione credenziali di autenticazione comportamenti colposi (imperiti, imprudenti o negligenti) GRAVIT À MISURA DI CONTRASTO formazione permanente degli operatori / vigilanza sul rispetto delle istruzioni impartite /sostituzione trimestrale delle password / nomina del custode delle password formazione permanente degli operatori e vigilanza sul rispetto delle istruzioni impartite
EVENTI RELATIVI AGLI STRUMENTI EVENTI RELATIVI AL CONTESTO comportamenti dolosi (sleali o fraudolenti) errore materiale azione di virus informatici o di programmi suscettibili di arrecar danno spamming o tecniche di sabotaggio M A A credenziali di autenticazione / distribuzione delle chiavi di accesso agli archivi ai soli incaricati autorizzati / formazione permanente degli operatori/ vigilanza sul rispetto delle istruzioni impartite formazione permanente degli operatori e vigilanza sul rispetto delle istruzioni impartite misure di sicurezza logico-informatiche misure di sicurezza logico-informatiche accessi esterni non autorizzati misure di sicurezza logico-informatiche intercettazioni di informazioni in rete malfunzionamento, indisponibilità o degrado degli strumenti eventi imprevedibili e incontrollabili o solo astrattamente preventivabili (ese. incendi, allagamenti) misure di sicurezza logico-informatiche manutenzione ordinaria delle macchine conservazione copia dati informatici in cassaforte stanza DSGA guasto ai sistemi complementari manutenzione ordinaria degli impianti furto o danneggiamento degli strumenti elettronici o degli archivi accesso non autorizzato durante l orario di lavoro sistema di allarme/vigilanza privata /distribuzione delle chiavi di accesso agli archivi ai soli incaricati autorizzati sistema di controllo degli accessi Nella tabella che segue, sono sinteticamente descritte le principali caratteristiche degli strumenti elettronici a mezzo dei quali l Istituto Scolastico effettua operazioni di trattamento dati.
CARATTERISTICHE DEGLI STRUMENTI ELETTRONICI IN USO STRUTTURA Dirigente Scolastico PC SISTEMA OPERATIVO n. 1 Windows XP Office DSGA n. 1 /client Windows XP SISSI/Office Segreteria Laboratorio informatica (uso didattico) Plessi distaccati n. 1/ server n. 5/client n. 1 / server 27/client n. 1 / server /client Windows XP Windows XP Windows XP APPLICATIVI CONNESSIONE DATI SISSI/Office Office Office intranet / rete locale / intranet / rete locale / intranet / rete locale / rete locale / TRATTATI comuni, sensibili, giudiziari comuni, sensibili, giudiziari comuni, sensibili, giudiziari comuni comuni Nella tabelle che segue sono sinteticamente descritte le misure di sicurezza di natura logicoinformatica per tutelare i dati trattati con strumenti elettronici. MISURE DI SICUREZZA LOGICO-INFORMATICHE MISURA DI SICUREZZA STRUTTURA CARATTERISTICHE sistema di autenticazione Dirigente, DSGA, segreteria, laboratorio user id e password procedura di gestione delle credenziali di autenticazione Dirigente, DSGA, segreteria, laboratorio sostituzione trimestrale delle password sistema di autorizzazione segreteria, laboratorio accesso consentito ai soli dati necessari aggiornamento periodico dell individuazione dell ambito del trattamento consentito ai singoli incaricati protezione degli strumenti e dei dati da trattamenti illeciti, accessi non consentiti e programmi informatici dannosi segreteria Dirigente, DSGA, segreteria, laboratorio verifica periodica (max annuale) dei profili degli incaricati aggiornamento periodico (max semestrale) di programmi e sistemi; antivirus aggiornato Avast; firewall HD/SW; tracciabilità delle operazioni degli incaricati
procedure per la copia dei dati Dirigente, DSGA, segreteria procedura per il ripristino del sistema Dirigente, DSGA, segreteria copia dei dati settimanale su cd/dvd/hd esterno e conservazione in luogo sicuro (cassaforte DSGA); il back up è volontario / automatizzato copia periodica del sistema in modo tale che ne sia garantito il ripristino al max in 7 giorni DESCRIZIONE DEI CRITERI E DELLE MODALITÀ PER IL RIPRISTINO DELLA DISPONIILITÀ DEI DATI IN SEGUITO A DISTRUZIONE O DANNEGGIAMENTO (punto 19.5 All. ) Al fine di garantire l integrità dei dati contro i rischi di distruzione o perdita, è stata definita una procedura di periodica esecuzione di copie di sicurezza dei dati trattati. I documenti sono anche conservati in copia cartacea presso locali dell istituzione scolastica non accessibili ai terzi e dotati di adeguati strumenti di protezione (armadi con serrature, stanze protette da inferriate). Nella tabelle che segue è sinteticamente rappresentata la procedura di copia, verifica e ripristino dei dati per le varie strutture preposte al trattamento. SALVATAGGIO E RIPRISTINO DEI DATI STRUTTURA Dirigente DSGA Segreteria Plessi distaccati PROCEDURA di back up procedura di Windowsxp procedura di Windowsxp procedura di Windowsxp procedura di Windowsxp PERIODICITÀ SUPPORTO RESPONSAILE settimanale settimanale settimanale settimanale HD esterno, dvd; cd; pen drive; HD esterno, dvd; cd; pen drive; HD esterno, dvd; cd; pen drive; HD esterno, dvd; cd; pen drive; Incaricato della procedura di back up Incaricato della procedura di back up Incaricato della procedura di back up Incaricato della procedura di back up L Istituto Scolastico garantisce che, in caso di distruzione degli archivi elettronici, i sistemi e i dati saranno ripristinati entro sette giorni dall evento dannoso.
PREVISIONE DI INTERVENTI FORMATIVI DEGLI INCARICATI DEL TRATTAMENTO (punto 19.6 All. ) L Istituzione Scolastica ha aderito alla iniziative formative organizzate dal Ministero e ha organizzato in proprio e in concerto con altre Istituzioni Scolastiche operanti nel suo stesso territorio attività di formazione del personale dipendente. A tal fine si è avvalsa della collaborazione di professionisti qualificati operanti nel settore legale ed informatico che hanno tenuto incontri di formazione ed informazione rivolti sia al personale amministrativo che al personale docente della Scuola. Si allega al presente Documento l elenco degli argomenti affrontati durante i suddetti incontri di formazione nonché una dispensa illustrativa degli stessi. L istituto ha, altresì, distribuito a tutti gli operatori che trattano dati avvalendosi di strumenti elettronici, un mansionario pratico-operativo sulla sicurezza informatica. La formazione del personale di Segreteria è stata completata anche con uno specifico approfondimento sui contenuti del D.M. 305/2006 ovvero sul Regolamento relativo al trattamento dei dati sensibili e giudiziari. L attività di approfondimento è stata realizzata da esperti legali della materia. AFFIDAMENTO DEI DATI ALL ESTERNO DELLA STRUTTURA DEL TITOLARE (punto 19.7 All. ) L Istituto Scolastico non è abilitato all esternalizzazione delle operazioni di trattamento. I dati della Scuola possono essere conosciuti da soggetti estranei all organizzazione esclusivamente nel caso di interventi da parte di tecnici informatici incaricati della manutenzione o della riparazione degli strumenti. In tal caso, i tecnici operano sotto il controllo e la supervisione degli incaricati del trattamento. I dati della Scuola (in particolare degli alunni e delle loro famiglie) possono essere, altresì, trattati da docenti esterni o comunque professionisti che rendono specifici servizi a favore della comunità scolastica. In entrambi i casi, gli esterni assumono lo specifico impegno contrattuale di eseguire la loro prestazione nel pieno rispetto della normativa privacy. Il presente documento è aggiornato al 31 marzo 2007 Il Responsabile del trattamento Il Dirigente Scolastico