68
06/06/22 D.Lgs 196/2003 D.Lgs 196/2003 Adempimento formazione personale della scuola allegato B Codice D.Lgs 196/2003
| Date post: | 18-Nov-2014 |
| Category: |
Technology |
| Upload: | jamboo |
| View: | 7,530 times |
| Download: | 0 times |
08/04/23
D.Lgs 196/2003D.Lgs 196/2003
Adempimento formazione
personale della scuola
allegato BCodice D.Lgs 196/2003
08/04/23
1. Il Dlgs 196/2003 è stato approvato dal Consiglio dei Ministri il 27 giugno 2003, in attuazione della legge delega 127/2001, e pubblicato sulla Gazzetta Ufficiale n. 174 del29 luglio 2003
2. Il Codice riunisce quanto precedentemente emanato in materia di Privacy (Legge675/96, DPR 318/99, D.Lgsl.467/2001, Codici deontologici, Provvedimenti, ecc.)
Direttiva 95/46/CE
Legge 675/96
Codice D.Lgs 196/2003
Provvedimentidel garante
DPR 318/99 DPR 467/2001
Codici deontologici
Codice D.Lgs 196/2003
08/04/23
I principiI principi
1. Tutela della dignità e della libertà personale
2. Diritto alla tutela della propria vita privata
3. Controllo dell’uso che gli altri fanno dei propri dati personali
4. Protezione dei dati personali
5. Diritto a conoscere i dati personali trattati
6. Formazione e comunicazione sul ruolo dell’incaricato
08/04/23
Tipologie di Dati Tipologie di Dati (art.4)(art.4) D.Lgs 196/2003D.Lgs 196/2003
ANONIMO
Dato PERSONALE
Identificativo
Sensibile
Giudiziario
Particolare Particolare “border line” (Art 17)“border line” (Art 17)
08/04/23
Tipologie di Dati art.4 Tipologie di Dati art.4
Dato AnonimoDato Anonimo
Dato che, in origine o a seguito di Dato che, in origine o a seguito di trattamento, trattamento, non può essere associatonon può essere associatoad un interessato identificato o ad un interessato identificato o identificabile.identificabile.
08/04/23
Tipologie di Dati art.4 Tipologie di Dati art.4 Dato PersonaleDato Personale
Qualunque informazione (e non solo quelle di carattere riservato) che consenta di individuare con certezza un soggetto in modo diretto o indiretto, vale a dire anche quando l'identificazione sia possibile attraverso il collegamento di più informazioni di per sé non significative se singolarmente considerate.
08/04/23
Tipologie di Dati art.4 Tipologie di Dati art.4
Dato IdentificativoDato Identificativo
Dati personali che permettonoDati personali che permettonol'identificazione diretta l'identificazione diretta dell'interessatodell'interessato
08/04/23
Tipologie di Dati art.4Tipologie di Dati art.4
Dati SensibiliDati Sensibili
•l'origine razziale ed etnical'origine razziale ed etnica•le convinzioni religiose, filosofiche o di altro genere le convinzioni religiose, filosofiche o di altro genere •le opinioni politichele opinioni politiche•l'adesione a partitil'adesione a partiti•l’adesione a sindacatil’adesione a sindacati•l’adesione ad associazioni od organizzazioni a l’adesione ad associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacalecarattere religioso, filosofico, politico o sindacale•lo stato di salute lo stato di salute •la vita sessuale. la vita sessuale.
08/04/23
Tipologie di Dati art.4 Tipologie di Dati art.4 Dati GiudiziariDati Giudiziari
• L’iscrizione nel casellario giudiziale ( ad esempio: condanna penale, pene accessorie quali interdizione dai pubblici uffici, ecc.)
• L’iscrizione nell’anagrafe delle sanzioni amministrative dipendenti da reato
• L’avere carichi pendenti in relazione ai 2 punti testé citati.• La qualità di imputato o di indagato.
08/04/23
DEFINIZIONI DEFINIZIONI
“trattamento”
E’ qualunque operazione o insieme di operazioni, compiute anche senza il supporto di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non sono registrati in una banca dati
08/04/23
DEFINIZIONIDEFINIZIONI
“diffusione”
Consiste nel portare a conoscenza dei dati personali soggetti indeterminati, in qualunque forma, anche attraverso la loro messa a disposizione o consultazione
08/04/23
DEFINIZIONIDEFINIZIONI
“comunicazione”
consiste nel portare a conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualsiasi forma, anche attraverso la loro messa a disposizione o consultazione
08/04/23
DEFINIZIONIDEFINIZIONI
“blocco”
consiste nella conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento
08/04/23
DEFINIZIONIDEFINIZIONI
“banca dati”
Qualsiasi insieme di dati personali organizzati in modo da renderne possibile o agevole la consultazione e il trattamento.
08/04/23
TrattamentoTrattamento
con strumenti con strumenti elettronici elettronici
o nono non
compiuta compiuta su datisu dati
Qualsiasi Qualsiasi operazioneoperazione
RaccoltaRegistrazioneOrganizzazioneConservazioneConsultazioneElaborazioneModificazioneSelezioneEstrazione
RaffrontoUtilizzoInterconnessioneBlocco = (Congelamento su ordine del garante)ComunicazioneDiffusioneCancellazioneDistruzione
08/04/23
Incaricato
Responsabile
Interessato
consenso
informativa
Notifica al garante
Lettere di nominaResponsabili
Titolare
Lettere di nominaIncaricati
Documento programmatico sulla sicurezza
La strutturaLa struttura
08/04/23
Gli attori Gli attori GARANTE PER LA
PROTEZIONE DEI DATI PERSONALI
Stefano Rodotà
TITOLARE DEL TRATTAMENTO
DIRIGENTE
RESPONSABILEFacoltativo (Art 29)
INCARICATI Docenti
Personale Amministrativo,
Tecnico, AusiliarioPersonale Esterno
INTERESSATI AL TRATTAMENTO
Genitori Studenti
Personale Fornitori
08/04/23
AttoriAttori
Garante
Organo collegiale costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica con voto limitato. I componenti sono scelti tra persone che assicurano indipendenza e che sono esperti di riconosciuta competenza delle materie del diritto o dell'informatica, garantendo la presenza di entrambe le qualificazioni.
Art. 153
08/04/23
AttoriAttori
Titolare
E’ la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni relative alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza
08/04/23
AttoriAttori
Responsabile
E’ la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali
08/04/23
AttoriAttori
Incaricati
Sono le persone fisiche autorizzate ad effettuare operazioni di trattamento dal titolare dei dati o dal responsabile
08/04/23
AttoriAttori
Interessato
E’ la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali
08/04/23
I DIRITTI DELL’INTERESSATOI DIRITTI DELL’INTERESSATO
Art. 7 Diritto di accesso ai dati personali e altri diritti
Art. 8 Esercizio dei diritti
Art. 9 Modalità di esercizio
Art. 10 Riscontro dell’interessato
08/04/23
Regole generali per il trattamento dei datiRegole generali per il trattamento dei datiArt .11Art .11
•Liceità e correttezza
•Raccolta e registrazione per scopi determinati, espliciti e legittimi
•Esattezza
•Pertinenti, completi e non eccedenti rispetto alle finalità di utilizzo
•Conservazione finalizzata all’identificazione dell’interessato per il periodo necessario al raggiungimento dello scopo di raccolta e trattamento
08/04/23
Art .11 Comma (dArt .11 Comma (d
Pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati.
La scheda personale dell’alunno,, che contiene dati per l’immediata rintracciabilità del genitore, o interventi da adottare per particolari patologie, deve essere distrutto al termine del rapporto scuola studente. Caso di dato eccedente e non più pertinente.
Prestare la massima attenzione
nella richiesta di dati riguardanti, il
reddito , la composizione del nucleo
famigliare ecc. Evitare di utilizzare
modelli standard valutare caso per
caso la necessità di tale richiesta.
08/04/23
Art .11 Comma (eArt .11 Comma (e
conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. Vedi Art. 16 comma (d)
Esempio: Fascicoli personali alunni
occorre verificare se ogni singolo documento mantiene o no qualche utilità giuridica o storica
08/04/23
INFORMATIVA Art. 13INFORMATIVA Art. 13
1) finalità e modalità 1) finalità e modalità del trattamentodel trattamento
5) diritti 5) diritti deglidegli
interessatiinteressati
6) Identificativi 6) Identificativi di titolare e di titolare e
responsabileresponsabile
3) conseguenze di 3) conseguenze di un rifiuto a fornire i un rifiuto a fornire i
datidati
4) categorie a 4) categorie a cui i dati sono cui i dati sono
comunicati comunicati o diffusio diffusi
2) natura 2) natura obbligatoria o obbligatoria o facoltativa del facoltativa del conferimentoconferimento
E’ esclusa l’informativa quando i dati sono trattati in base ad un obbligo di legge o regolamento o normativa comunitaria
08/04/23
Danni cagionati per effetto del Danni cagionati per effetto del trattamento Art 15trattamento Art 15
1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.
2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11.
Pertanto chiunque provochi un danno ha l’obbligo di dimostrare di aver posto in essere ogni misura idonea ad evitarlo
08/04/23
CessazioneCessazione del trattamento del trattamentoArt 16Art 16
In caso di cessazione del trattamento i dati sono:
•distrutti;
•ceduti ad altro titolare per un ulteriore trattamento compatibile con gli scopi originari della raccolta;
•conservati per fini personali e sottratti a comunicazione o diffusione;
•conservati o ceduti ad altro titolare a fini storici statistici o scientifici secondo le disposizioni normative
•File di consultazione da (scarto degli archivi) INDIRE
08/04/23
Trattamento che presenta rischi Trattamento che presenta rischi specifici specifici Art. 17Art. 17
1. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell’interessato, ove prescritti.
2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell’ambito di una verifica preliminare all’inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.
08/04/23
I Dati utilizzati e trattati dalla scuolaI Dati utilizzati e trattati dalla scuola
Dati relativi ad alunni e alle le rispettive
famiglie
Dati relativi al personale della scuola
Dati relativi ad altri soggetti relativamente alle attività svolte
nella scuola o nell’esercizio dell’azione amministrativa
08/04/23
Principi applicabili a tutti i trattamenti Principi applicabili a tutti i trattamenti effettuati da soggetti pubblicieffettuati da soggetti pubblici
Art 18Art 18
Il codice regola in modo specifico i casi in cui il trattamento avviene a cura di pubbliche amministrazioni
08/04/23
Principio di necessità Art 18Principio di necessità Art 18Solo i dati strettamente necessari per le finalità
istituzionali
Qualunque trattamento di dati personali è consentito soltanto se strettamente indispensabile per lo svolgimento delle funzioni istituzionali dell’ente pubblico ovvero per realizzare le sue finalità istituzionali. Viene, quindi, introdotto un doppio presupposto di legittimità insuperabile e non aggirabile:
Principio di necessitàPrincipio di necessità Principio di finalità istituzionalePrincipio di finalità istituzionale
08/04/23
Principio di necessità Art 18Principio di necessità Art 18
s
1. Il trattamento da parte di un soggetto pubblico riguardante dati diversi da quelli sensibili e giudiziari è consentito, fermo restando quanto previsto dall'articolo 18, comma 2, anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente.
2. La comunicazione da parte di un soggetto pubblico ad altri soggetti pubblici è ammessa quando è prevista da una norma di legge o di regolamento. In mancanza di tale norma la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di funzioni istituzionali e può essere iniziata se è decorso il termine di cui all'articolo 39, comma 2, e non è stata adottata la diversa determinazione ivi indicata.
3. La comunicazione da parte di un soggetto pubblico a privati o a enti pubblici economici e la diffusione da parte di un soggetto pubblico sono ammesse unicamente quando sono previste da una norma di legge o di regolamento.
08/04/23
Principi applicabili al trattamento di dati diversi da quelli Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziarisensibili e giudiziari
Art 19Art 19
s
1. Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.
2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all’articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell’articolo 154, comma 1, lettera g), anche su schemi tipo.
3. Se il trattamento non è previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi dell’articolo 26, comma 2, il trattamento dei dati sensibili. Il trattamento è consentito solo se il soggetto pubblico provvede altresì a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2.
4. L’identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 è aggiornata e integrata periodicamente.
08/04/23
Principi applicabili al trattamento di dati diversi da quelli Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziarisensibili e giudiziari
Art. 19Art. 19
Trattamento dati personali
Possibile per lo svolgimento delle funzioni istituzionali
Comunicazione dati personali da soggetti
pubblici a soggetti pubblici
Possibile se prevista da norme di legge o Regolamenti o sono
necessarie per lo svolgimento di funzioni
istituzionalinel rispetto dell’art. 39
(comunicazione al Garante)
Comunicazione dati personali da soggetti
pubblici a privati e diffusione
Possibile solo se previste da norme di
Legge o regolamenti
08/04/23
Principi applicabili al trattamento di dati sensibiliPrincipi applicabili al trattamento di dati sensibiliArt 20Art 20
comma 1 Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite Art.20
“Molte falsità sulla privacy a scuola". Il Garante: una leggenda metropolitana
08/04/23
Principi applicabili al trattamento di dati sensibiliPrincipi applicabili al trattamento di dati sensibiliArt. 20Art. 20
Comma 2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all'articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell'articolo 154, comma 1, lettera g), anche su schemi tipo. Art.20
“Molte falsità sulla privacy a scuola". Il Garante: una leggenda metropolitana
Art 95
Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità di istruzione e di formazione in ambito scolastico, professionale, superiore o universitario, con particolare riferimento a quelle svolte anche in forma integrata
08/04/23
Principi applicabili al trattamento di dati sensibiliPrincipi applicabili al trattamento di dati sensibiliArt. 20 dati di rilevante interesse pubblico Art. 20 dati di rilevante interesse pubblico
1. Finalità di applicazione della disciplina dell’accesso agli atti amministrativi (art. 59-60)
2. Cittadinanza, immigrazione e condizione dello straniero (Art.64)
3. Diritti politici e pubblicità dell'attività di organi (Art. 65)
4. Attività di controllo e ispettive (Art. 67)
5. Benefici economici ed abilitazioni (Art. 68)
6. Volontariato e obiezione di coscienza (Art. 70)
7. Attività sanzionatorie e di tutela (Art. 71)
8. Rapporti con enti di culto (Art. 72)
9. Finalità di applicazione amministrativa della disciplina dell’assistenza, integrazione sociale e diritti della persona handicappata (art.86)
10. Finalità di istruzione e formazione in ambito scolastico e universitario (art.95)
11. Finalità di instaurazione e gestione dei rapporti di lavoro (art.112)
08/04/23
Principi applicabili al trattamento di dati giudiziariPrincipi applicabili al trattamento di dati giudiziari Art. 21 Art. 21
1. Il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.2. Le disposizioni di cui all'articolo 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari.
“Molte falsità sulla privacy a scuola". Il Garante: una leggenda metropolitana
08/04/23
L’unità organizzativa “collaboratori scolastici”L’unità organizzativa “collaboratori scolastici”
La prima interfaccia con il PubblicoLa prima interfaccia con il Pubblico
Dare indicazioni essenziali
Corrette
Precise
08/04/23
L’unità organizzativa “collaboratori scolastici”L’unità organizzativa “collaboratori scolastici”
prot. 6209/PR15/FP del 30/06/2004prot. 6209/PR15/FP del 30/06/2004
Incaricati del trattamento:Incaricati del trattamento:
che consistono nello:che consistono nello:
CUSTODIRECUSTODIRE CONSEGNARECONSEGNARE SPOSTARESPOSTARE ARCHIVIAREARCHIVIARE
08/04/23
Principi applicabili al trattamento di dati Principi applicabili al trattamento di dati sensibili e giudiziari Art. 22sensibili e giudiziari Art. 22
OBBLIGO SPECIFICO DI INFORMAZIONE
La scuola tratta i dati sensibili e giudiziari informando gli interessati circa le norme che rendono necessario e legittimano il trattamento.
CORRETTEZZA DEL TRATTAMENTO
La scuola tratta solo i dati sensibili e giudiziari indispensabili alle attività istituzionali, verificando periodicamente correttezza, pertinenza ed
essenzialità.
MODALITÀ DI CONSERVAZIONE
in caso di uso di strumenti elettronici è obbligatoria la cifratura dei dati sensibili e giudiziari ; la cifratura è obbligatoria comunque per i dati idonei a rivelare lo stato di salute e la vita sessuale, i
quali devono essere conservati separatamente.
I DATI IDONEI A RIVELARE LO STATO DI SALUTE NON POSSONO ESSERE DIFFUSI (Art 22 comma 7)
08/04/23
Obblighi di sicurezza (Art. 31)Obblighi di sicurezza (Art. 31)
Adottare tutte quelle procedure volte a ridurre al minimo:Adottare tutte quelle procedure volte a ridurre al minimo:
• La distruzione o la perdita, anche accidentale dei dati• L’accesso non autorizzato non conforme alla finalità della raccolta • L’alterazione dei dati in conseguenza di interventi non autorizzati
Custodia e controllo natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
08/04/23
Obblighi di sicurezza (Art. 33)Obblighi di sicurezza (Art. 33)
IL TITOLARE DEL TRATTAMENTO E’ TENUTO AD ADOTTARE LE “MISURE MINIME DI SICUREZZA” allegato (B)Chi omette l’adozione di tali misure commette reato penale ai sensi dell’ (Art. 169)
ALLEGATO B DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA
1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.
08/04/23
Trattamenti con strumenti elettronici (Art. 34)Trattamenti con strumenti elettronici (Art. 34)
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;b) adozione di procedure di gestione delle credenziali di autenticazione;c) utilizzazione di un sistema di autorizzazione;d) aggiornamento periodico dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;h) adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
08/04/23
Trattamenti senza l'ausilio di strumenti elettronici Trattamenti senza l'ausilio di strumenti elettronici Art. 35Art. 35
Art. 35. Trattamenti senza l'ausilio di strumenti elettronici1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.
08/04/23
AdeguamentoAdeguamento
Art. 36Art. 36
Art. 36. Adeguamento
1. Il disciplinare tecnico di cui all'allegato B), relativo alle misure minime di cui al presente capo, è aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore.
08/04/23
Trattamenti con strumenti elettroniciTrattamenti con strumenti elettroniciArtt. Da 33 a 36Artt. Da 33 a 36
Sistema di autorizzazione dell’accesso
1. Il trattamento di dati personali con strumenti elettronici é consentito agli Incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'Incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso a uso esclusivo dell'Incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'Incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
08/04/23
Trattamenti con strumenti elettroniciTrattamenti con strumenti elettroniciIL NOSTRO CASOIL NOSTRO CASO
Sistema di autorizzazione dell’accesso
Accesso al computer
Ogni incaricato dispone di un username associato a una parola chiave riservata e conosciuta solamente dal medesimo. L’incaricato provvederà a cambiare la password al primo accesso.
Accesso a SISSI Le password di SISSI vanno cambiate obbligatoriamente dal server, purtroppo questo
limite deve essere superato da EDS.
08/04/23
IL PROBLEMA AUTENTICA E LE SICUREZZAIL PROBLEMA AUTENTICA E LE SICUREZZA
Anche se sono attualmente disponibili molte alternative per eseguire l'autenticazione, la maggior parte degli utenti della scuola accede al proprio computer e ai computer remoti immettendo il nome e la password mediante l'utilizzo della tastiera. Le password devono essere di lunghezza non minore di otto caratteri e cambiate al primo accesso.
Per ricordare le password più facilmente, spesso gli utenti utilizzano password brevi e facili da ricordare, ad esempio la data del compleanno, il cognome della nonna da signorina o il nome di un familiare. Le password semplici e brevi sono relativamente facili da identificare. Un piccolo programma scaricato da Internet è in grado di immagazzinare la password e l’username del vostro computer.
08/04/23
Teoria delle passwordTeoria delle password
Windows 2000, Windows XP e Windows Server™ 2003, supportano l'utilizzo di password complesse. In Windows, le password complesse includono caratteri appartenenti ad almeno 3 dei 5 gruppi inclusi nella seguente tabella di classi di caratteri.
08/04/23
Requisiti contraddittoriRequisiti contraddittori
PASSWORD COMPLESSA
(azKK1??65F2W@Hub
La password è formalmente corretta
Quale comportamento umano ci si aspetta ?
08/04/23
Frasi di senso compiuto Frasi di senso compiuto
(Cipensa6Cesco?)La password è formalmente corretta
e facile da ricordare.
[Lamiapanda@perdeitoc]La password è formalmente corretta,
e facile da ricordare.
08/04/23
Tutte le password Tutte le password
Cambiare le password di:
PROFILO UTENTE E-MAIL SISSI S.I.M.P.I.
LINEE GUIDA METODOLOGICHE PER LA GESTIONE PASSWORD
08/04/23
Screen saverScreen saver
Altre forme di protezione includono il blocco del computer ogni volta che ci si allontana dalla postazione di lavoro e l'impostazione di uno screen saver protetto da password.
Per impedire l'accesso al computer a utenti non autorizzati, premere la combinazione di tasti CTRL+ALT+CANC, quindi fare clic su Blocca computer. Soltanto il proprietario e i membri del gruppo Administrators di un computer saranno in grado di sbloccarlo.
08/04/23
Virus InformaticiVirus Informatici
I virus sono veri e propri piccoli programmi in
grado di causare, una volta mandati in esecuzione, gravi danni sul personal computer.
08/04/23
Come ci si contaminaCome ci si contamina
FILES INFETTI
SERVIZI DI CONDIVISIONE FILES
FLOPPY DISK
PEN DRIVER
POSTA ELETTRONICA
SITI WEB MALIGNI O CONTAMINATI
SISTEMI OPERATIVI NON AGGIORNATI
08/04/23
Come ci si difendeCome ci si difende
LA MIGLIORE DIFESA È UN ATTEGGIAMENTO
ATTENTO
E NON SUPERFICIALE DEL PROBLEMA
08/04/23
Antivirus e AggiornamentiAntivirus e Aggiornamenti
A) CONTROLLATE SEMPRE CHE IL VOSTRO ANTIVIRUS SIA AGGIORNATO ALMENO SETTIMANALMENTE
B) MANTENETE AGGIORNATO IL VOSTRO SISTEMA OPERATIVO
C) FATE VERIFICARE IL VOSTRO COMPUTER UNA VOLTA AL MESE DA UN TECNICO ESPERTO PER EVITARE BLOCCHI INASPETTATI
08/04/23
Non è essere cattivi Non è essere cattivi
Non permettete:
L’utilizzo del vostro computer per stampare compiti o prove, che solitamente il docente conserva in pen drive o floppy. Se è proprio impossibile dire di no, fate prima una scansione con l’antivirus al supporto removibile.
08/04/23
E-Mail E-Mail
le email contraffatte, (o email di spoofing), possono rappresentare un grave problema per gli utenti internet inesperti. questi messaggi, all'apparenza inviati da siti web noti, non sono altro che il mezzo attraverso il quale autori di truffe cercano di appropriarsi di informazioni riservate dell'utente, quali password o dati.
Purtroppo il fenomeno delle email contraffatte è sempre
più frequente su internet, ma con qualche accortezza l'utente può proteggersi ed evitare così di esserne vittima
08/04/23
Tipo di E-Mail Tipo di E-Mail
Messaggi di e-mail senza oggetto ne mittente e con allegato.
Messaggi di e-mail con allegato e oggetto inconsueti, inconsueti mittente conosciuto o addirittura con un vostro email address, in genere preceduto da re:
Allegati di email aventi doppia estensione di file. es: file.jpg.exe
Ricevete di email che recano allegati con nomi molto allettanti come nomi di noti artisti o termini erotici. es: nudo.exe, shakira.vbs.
08/04/23
Tipo di E-Mail Tipo di E-Mail
Siti maligni. Sempre più spesso vengono recapitate, nella nostra casella di posta elettronica, e-mail fraudolente contenenti link a siti web davvero pericolosi.
E' possibile incappare in siti web maligni anche semplicemente "navigando" in Rete. Aggressori remoti rimpinguano questi siti dannosi con script e controlli attivi in grado di eseguire codice nocivo sul personal computer dell'utente.
Tutto ciò semplicemente visitando con il browser una pagina creata allo scopo.
Per difendersi da questi attacchi è bene accertarsi di installare con regolarità tutte le patch rilasciate per il sistema operativo e per le applicazioni in uso.
08/04/23
Floppy Disk Floppy Disk
Accertarsi che il floppy disk sia debitamente formattato e privo di altri file.
Per evitare l'alterazione dei dati in questione, dopo la copia su floppy disk, si attivi la protezione contro possibili nuove scritture, che potrebbero alterare i dati stessi
Il floppy disk essere contrassegnato da un'etichetta, con una indicazione in chiaro od in codice, tale da permettere all'incaricato di riconoscere immediatamente il contenuto del floppy disk in questione, ed evitare che egli possa confonderlo con altri floppy disk che, probabilmente in suo possesso
Qualora i dati contenuti sul floppy disk non abbiano più ragione di essere, si deve provvedere immediatamente alla formattazione del floppy disk ed alla asportazione dell'etichetta con la indicazione il contenuto od alla sua cancellazione
08/04/23
Floppy Disk Floppy Disk
Il floppy disk contenente dati non deve mai essere lasciato abbandonato sul tavolo, ma deve essere immediatamente posto all'interno di una custodia sicura, quando non utilizzato; in funzione della criticità dei dati archiviati, si può andare da un cassetto della scrivania chiuso a chiave, sino ad un armadio blindato od una cassaforte, idonea alla custodia di supporti magnetici.
08/04/23
Floppy ObsoletiFloppy Obsoleti
L’utilizzo dei floppy disk come supporto di back-up deve essere ridotto al minimo indispensabile
La facilità di deterioramento del supporto non consento una affidabile sicurezza dei dati
08/04/23
Link utili Link utili
http://www.garanteprivacy.it
http://www.consulentelegaleprivacy.it
http://www.dirittoesicurezza.it/scuola
http://www.privacy.it
http://www.paginescuola.it
