I. S. I. S. S. " RIGHI – NERVI" I.P.S.I.A. “Righi” (CERI02401B) - Ist. Tecn. per Geometri “Nervi” (CETL02401C)
- Liceo Artistico (CESL024013) - L. Art. sede carceraria ( CESL024024)
Cod. mecc. CEIS02400Q – Cod. Fisc. 80004430619
Via Augusto Righi – 81055 S. MARIA C. V. (CE)
TEL. 0823/841212 - FAX 0823/841190
www.isissrighinervi.gov.it - [email protected] –
FONDI STRUTTURALI
2007- 2013
Prot. n. 5140-A23 Santa Maria C.V., lì 5/11/2015
Il Dirigente scolastico preposto all’Istituzione Scolastica
in quanto legale rappresentante della medesima
Visto il decreto legislativo 30 giugno 2003, n.196 recante il Codice in materia di protezione di dati
personali, e segnatamente gli artt. 34 ss., nonché l’allegato B del suddetto D.Lgs.,
contenente il Disciplinare tecnico in materia di misure minime di sicurezza.
Visto il DM 305/2006: regolamento recante identificazione dei dati sensibili e giudiziari trattati e
delle relative operazioni effettuate dal Ministero della pubblica istruzione, in attuazione
degli articoli 20 e 21 del D. L.vo 30/6/2003, n. 196; Considerato che l’ISISS “Righi-Nervi” di Santa Maria C.V., in quanto dotato di autonomia ex D.P.R. 275/1999, ai sensi dell’art.28 del D.Lgs. n. 196 del 2003, si configura quale titolare del trattamento di dati personali; Atteso che la suddetta Istituzione scolastica è tenuta a prevedere ed applicare le misure minime di
sicurezza di cui agli artt. 31 e ss. del D.Lgs. n.196 del 2003;
ADOTTA IL PRESENTE
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA EX ALLEGATO B D.L.vo 196/2003 PUNTO N° 19
Nel presente documento sono riportate le strategie di effettuazione dei trattamenti e di protezione attuate dall'istituto Superiore di Istruzione Secondaria Superiore “Righi-Nervi” con Liceo Artistico di Santa Maria C.V., ai fini della sicurezza dei dati personali trattati nella predetta istituzione scolastica.
PARTE PRIMA: ASPETTI GENERALI
1) LE CARATTERISTICHE DELL'ISTITUZIONE SCOLASTICA - denominazione: ISISS “Righi –Nervi” con Liceo Artistico
- sede legale Via Righi 4 81055 Santa Maria C.V. (CE) - tipologia generale: istituzione scolastica - tipologia specifica : Istituto Superiore di Istruzione Secondaria Superiore - articolazione territoriale e/o di indirizzi: IPIA Righi sede centrale- plesso “Mario Fiore”- plesso “ ITG Nervi e Liceo Artistico” Via Napoli - articolazione del personale interno: - personale docente: n.179... unità - personale non docente o A.T.A.: n°.34 unità - alunni: n.778 unità - tipologie generali dei servizi erogati: - formazione scolastica; - servizi di segreteria, a favore del personale interno e di soggetti esterni che intrattengono con l'istituto rapporti amministrativi; - servizi generali (vigilanza, pulizia, relazioni interne/esterne etc).
2) PRINCIPI E CONTENUTI ISPIRATORI
I principi e i contenuti che presiedono alla redazione del presente documento sono quelli riportati nell'allegato B al D.L.vo 196/2003, in particolare nei punti sub. 19, di seguito richiamati:
- elenco dei trattamenti di dati personali;
- distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento
dei dati;
- l'analisi dei rischi che incombono sui dati; - misure atte a garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; - criteri e modalità per il ripristino dei dati in seguito a distruzione o danneggiamento; - dati trattati in formato non elettronico, archivi cartacei; - sistema di autorizzazione ai trattamenti e all'accesso ai dati; - interventi formativi degli incaricati del trattamento; - aggiornamento periodico del DPS
3) SOGGETTI CUI SI RIFERISCONO I DATI PERSONALI
I trattamenti effettuati dall'istituzione scolastica riguardano: - alunni iscritti; - genitori/affidatari degli alunni; - personale dipendente con contratto TI o TD o di progetto; - membri degli organi collegiali d’istituto; - soggetti esterni con i quali la scuola intrattiene rapporti: a) di fornitura di beni e/o servizi; b) di collaborazione inter-istituzionale; c) in regime di convenzione o accordo di rete; d) di partecipazione e comunicazione istituzionale. 4) TIPOLOGIE DEI DATI E RELATIVE FINALITÀ Le tipologie dei dati trattati sono le seguenti. I) Dati personali ordinari relativi a: a) alunni: - dati anagrafici, di frequenza e di percorso scolastico; - dati di profitto relativi agli esiti didattici, inclusi gli esiti delle valutazioni, degli scrutini e degli esami; - dati di rilevanza disciplinare privi di implicazioni di tipo sensibile; - dati di profitto e di status trattati nell'ambito di rilevazioni campionarie condotte dallo I.N.VAL.S.I. o altri enti, nazionali o internazionali, che collaborano col MIUR. I predetti dati sono essenziali e, conseguentemente funzionalmente obbligatori, per
l'iscrizione, il percorso scolastico, le valutazioni e i monitoraggi di profitto e i rapporti scuola famiglia; b) genitori/affidatari: - dati anagrafici; - dati reddituali e di status/contesto limitatamente a: - casi di erogazioni di contributi, agevolazioni e/o precedenze etc; - rilevazioni campionarie condotte dallo I.N.VAL.S.I. o altri enti, nazionali o internazionali, che collaborano col MIUR; - ogni altro dato certificabile, anche mediante autocertificazione o dichiarazione personale, necessario al percorso scolastico degli alunni e/o all'esercizio della potestà genitoriale o a restrizioni della medesima. I predetti dati sono essenziali e, conseguentemente funzionalmente obbligatori, per l'iscrizione, l'erogazione di contributi e agevolazioni, i monitoraggi di profitto e i rapporti scuola famiglia; c) personale dipendente o contrattualizzato: - dati anagrafici, inclusi codice fiscale, coordinate bancarie, eventuale partita IVA etc; - dati afferenti allo stato giuridico ordinario inclusi i dati riferiti al trattamento economico e previdenziali; - dati relativi ad attività esterne autorizzate; - dati di rilevanza disciplinare privi di implicazioni di tipo sensibile. i predetti dati sono essenziali e, conseguentemente funzionalmente obbligatori, per le assunzioni, la stipula dei contratti e/o convenzioni, il percorso e lo sviluppo professionale, il trattamento economico, la regolarità delle posizioni previdenziali, contributive e tributarie etc; d) membri degli OO.CC.: - dati anagrafici e elettorali; - dati presenti nelle verbalizzazioni relative a pronunciamenti, dichiarazioni, votazioni etc; i predetti dati sono essenziali e, conseguentemente funzionalmente obbligatori, per il funzionamento degli OO.CC., le convocazioni e la validità delle elezioni dei rappresentanti e delle deliberazioni; e) soggetti esterni, incluse associazioni, persone giuridiche, enti locali, istituti di credito, amministrazioni nazionali o territoriali dei servizi previdenziali, del lavoro, socio-sanitari etc comprendenti: - dati anagrafici e di status riferibili alla ragione sociale o all'appartenenza ad enti, amministrazioni, imprese etc, inclusi codice fiscale, partita IVA, domicilio fiscale etc; - il possesso o disponibilità di qualifiche, attestati, funzioni, beni mobili o immobili oggetto o necessari allo svolgimento di attività o forniture richieste dalla scuola; - dati contenuti in offerte, attività negoziali economico-commerciali etc, inclusi quelle effettuate con istituti bancari e assicurativi; i predetti dati sono essenziali e, conseguentemente funzionalmente obbligatori per la regolarità dei rapporti inter-istituzionali, delle acquisizioni di beni e servizi e i relativi pagamenti, delle posizioni contributive, tributarie e della comunicazione esterna.
II) Dati personali di tipo sensibile relativi a: - alunni: assenze per motivi di salute (recanti la sola prognosi, con esclusione della patologia specifica o causa dell'assenza), condizioni di disabilità o disturbi, opzioni riguardanti l'I.R.C. o attività alternative, appartenenze etniche etc; tali dati sono essenziali e, conseguentemente funzionalmente obbligatori, per le giustificazioni delle assenze, l'erogazione dei benefici previsti dalle leggi 104/1992 e 170/2010, eventuale trattamenti d'emergenza, richieste di cibi particolari per gli utilizzatori della mensa scolastica, controlli e ogni altra esigenza particolare derivante da condizioni di salute; organizzazione didattica e le previsioni in materia di integrazione interculturale; - personale dipendente: assenze per motivi di salute (recanti la sola prognosi, con esclusione della causa specifica dell'assenza), maternità, condizioni di disabilità propria o di famigliari assistiti, richieste di cibi particolari per gli utilizzatori della mensa scolastica, opzioni sindacali etc; tali dati sono essenziali e, conseguentemente funzionalmente obbligatori, per le giustificazioni delle assenze dal servizio previste dai vigenti contratti collettivi di lavoro,
l'erogazione dei benefici previsti dalle leggi 104/1992, esoneri da talune attività, trattamenti particolari, controlli, godimento dei diritti in capo ai rappresentanti sindacali etc. - Dati relativi a sanzioni disciplinari, a alunni o personale, aventi implicazioni di tipo sensibile. III) Dati giudiziari: eccezionalmente, limitatamente a soggetti per i quali l'autorità giudiziaria ha emesso provvedimenti di restrizione o limitazione dell'esercizio di attività professionali o della potestà genitoriale o di altra natura, la scuola può effettuare trattamenti di dati giudiziari. In tale ambito rientrano anche: a) dati di alunni e personale per i quali è stata presentata denuncia all’autorità giudiziaria penale, anche in applicazione dell’art 361 c.p.; b) dati riguardanti eventuali alunni iscritti in regime di protezione ex L. 82/1991 e successive modificazioni; in tal caso i dati anagrafici vengono riportati in conformità con le indicazioni fornite dalle autorità competenti. I predetti dati sono essenziali e, conseguentemente funzionalmente obbligatori, per l'attivazione o l'esecuzione dei provvedimenti dell'autorità giudiziaria.
IV) Dati particolari, coerenti con le finalità formative della scuola, comprendenti riprese foto o video degli alunni e/o del personale, sia a carattere didattico che nell'ambito di eventi speciali quali tornei, premiazioni, gemellaggi, conferenze, visite di soggetti esterni, attività giornalistiche, inaugurazioni, festeggiamenti etc. Il conferimento di tali è a carattere volontario subordinato a specifica autorizzazione. 5) NECESSITÀ E FINALITÀ DEI TRATTAMENTI E FONTI NORMATIVE Tutti i trattamenti sono effettuati unicamente per le finalità istituzionali sopra richiamate ed in ottemperanza a prescrizioni normative o su richiesta dell’interessato; le predette fonti normative sono: A) NORME SPECIFICHE IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI
- D.L.vo 196/2003; - DM 7/12/2006, n.305: regolamento recante identificazione dei dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal MIUR, in attuazione degli articoli 20 e 21 del D.L.vo 30/6/2003, n. 196, recante «codice in materia di protezione dei dati personali»; B) NORME DI STATUS
- legge 300/1970 in modalità combinatoria col D.L.vo 165/2001 e successive modifiche e integrazioni; - D.L.vo 297/94 (testo unico pubblica istruzione) e successive integrazioni e modificazioni; - contratti nazionali e integrativi/decentrati di lavoro; D.P.R. 249/1998 e successive modifiche e integrazioni; - DI 44/2001: regolamento di contabilità; - CCNL. C) NORME “SENSIBILI”
- L. 300/1970 (Statuto dei lavoratori, nelle parti relative alla partecipazione sindacale); - L. n° 104/92 (legge quadro sulle disabilità); - L. n° 170/2010 (disturbi specifici dell'apprendimento); - L. 121/85 (insegnamento religione cattolica) ed altre norme relative ad accordi bilaterali fra lo stato italiano e rappresentanze di altre confessioni religiose; - D.L..vo 151/2001 (tutela maternità/paternità); - CCNL per le parti concernenti i diritti sindacali. 6) ACQUISIZIONE DEI DATI L’acquisizione dei dati avviene: - per fornitura diretta da parte dell’interessato tramite istanze, comunicazioni, dichiarazioni, consegna diretta etc; - per trasmissione da parte di altre amministrazioni o soggetti esterni o da altri uffici dell'istituzione scolastica; - acquisiti in quanto conoscibili da chiunque o estratti da pubblici registri.
PARTE SECONDA: MODALITÀ DI TRATTAMENTO
1) FIGURE Il titolare del trattamento è.....ISISS “RIGHI NERVI” CON LICEO ARTISTICO, rappresentato legalmente dal dirigente scolastico; i trattamenti sono effettuati esclusivamente da “incaricati”; gli incaricati sono: - D.S.G.A. e assistenti amministrativi, per i dati trattati nell’ambito delle attività di competenza della segreteria scolastica; - tutti i docenti, per i dati di frequenza, percorso e di profitto degli alunni; - i membri degli OO.CC., per i dati trattati nell'ambito delle sedute collegiali. I predetti incaricati operano sotto il coordinamento, la supervisione e la vigilanza di “responsabili”; i responsabili sono: - D.S.G.A., per i dati di competenza della segreteria, reperibile presso l’ufficio di segreteria ubicato presso la sede centrale in Santa Maria C.V. alla via Righi 4. - docenti fiduciari dei plessi/sedi, per i dati trattati dai docenti, reperibili presso i rispettivi plessi/sedi. Tutti i trattamenti sono effettuati mediante elaborazioni su supporto cartaceo o informatico; i predetti supporti sono custoditi: - nell’archivio storico; - nell’archivio corrente; - sulle memorie, interne e esterne, dei PC della scuola abilitati ai predetti trattamenti o dei server connessi in rete; - nei registri dei docenti, sia personali che di classe, - in cassaforte di sicurezza; - in armadi e cassettiere dotati di chiave. I dati trattati possono essere: a) portati a conoscenza dei responsabili e degli incaricati sopra indicati; b) comunicati, nei casi previsti o espressamente autorizzati dall'interessato a: - altre scuole; - uffici ministeriali centrali e/o decentrati; - uffici e/o servizi pubblici territoriali: ASL, uffici dell’economia e del lavoro, INPS, INPDAP, EE.LL. etc; - OO.CC. territoriali o nazionali; - OO.SS. o associazioni professionali; - limitatamente ai dati di profitto e/o di status e/o di contesto, raccolti nell'ambito di rilevazioni campionarie, all'I.N.VAL.S.I. o altri enti, nazionali o internazionali, che collaborano col MIUR; - limitatamente ai dati conoscibili da chiunque e di pubblica utilità, quali organigrammi, referenti, fiduciari etc al pubblico mediante: - avvisi pubblici; - pubblicazione sul sito della scuola. Gli esiti formali di profitto tri o quadrimestrali e/o d'esame degli alunni vengono diffusi mediante pubblicazione, nei locali della scuola, di tabelle nelle quali è riportata esclusivamente la formula sintetica tecnica del risultato di scrutinio/esame. La comunicazione dei dati di profitto a soggetti diversi da quelli sopra elencati potrà avvenire esclusivamente nell’ambito delle previsioni di cui all’art. 96, comma 1 del D.L.vo 196/03 e su richiesta dei genitori/affidatari degli alunni. La comunicazione di dati riferiti ad alunni o al personale, di tipo sensibile o comunque idonei a risalire al profilo comportamentale o di personalità o di status socio-economico, ove non è espressamente richiesta la denominazione per esteso, viene effettuata riportando la sola doppia iniziale del cognome e del nome.
2) ASPETTI GESTIONALI
2.1) UBICAZIONI I trattamenti dei dati sono distribuiti: a) nella sede centrale, per i trattamenti in capo agli uffici di presidenza e di segreteria e connessi con il funzionamento degli OO.CC. centrali (collegio dei docenti, consiglio d'istituto, giunta esecutiva, comitato per la valutazione del servizio dei docenti, RSU); b) in tutti i plessi/sedi, per i trattamenti direttamente connessi con le attività didattiche e i consigli di classe/interclasse/intersezione.
2.2) RUOLI E INCARICHI SPECIFICI I) IL DIRIGENTE SCOLASTICO Il DS, in quanto legale rappresentante del titolare: - coordina, supervisiona e monitora i trattamenti effettuati nella scuola e il rispetto delle norme di sicurezza; - promuove la redazione, adozione, aggiornamento e custodia della documentazione, di propria competenza, inerente alle modalità di effettuazione dei trattamenti prevista dal D.L.vo 196/2003; - affida gli incarichi di responsabile e incaricato; - effettua direttamente trattamenti relativi ai dati contenuti nelle banche dati di seguito specificate: i fascicoli del personale direttivo, docente e amministrativo; i verbali delle assemblee degli Organi Collegiali; la programmazione didattica incluse le parti relative a situazioni di disagio; il protocollo riservato; il fascicolo del personale in prova; documentazione amministrativo-contabile; carteggio con soggetti esterni.
II) AMMINISTRATORE DI SISTEMA. Nell'istituzione scolastica è istituita la figura dell'amministrazione di sistema mediante incarico conferito, in regime di convenzione, ad un soggetto esterno qualificato, con funzioni di supporto, manutenzione, riparazione degli strumenti elettronici. III) I RESPONSABILI DEI TRATTAMENTI III-A) DSGA Il DSGA è designato responsabile dei trattamenti, ai sensi dell’art.29 del D.L.vo 196/2003, in relazione ai dati relativi a: - gestione amministrativo-contabile; - stato giuridico del personale; - rapporti con fornitori di beni e servizi e soggetti, pubblici o privati, erogatori di servizi necessari al funzionamento scolastico; - organi collegiali d’istituto, limitatamente a: - verbali della giunta esecutiva e del consiglio d’istituto; - genitori eletti nei consigli di classe/interclasse/intersezione e nel c. d’istituto; - aspetti anagrafico-amministrativi del curriculum scolastico degli alunni; - ogni altro servizio di segreteria. In particolare il DSGA cura: - la conformità dei trattamenti di cui sopra alle vigenti disposizioni normative; - l’organizzazione-regolamentazione dei locali e degli accessi ove vengono custoditi i documenti relativi ai dati sopra indicati, inclusa la consegna delle chiavi dei locali; - la gestione informatica dei dati di cui sopra, incluse le operazioni di protezione, salvataggio e regolamentazione delle pass-word; - la manutenzione e il rinnovo delle dotazioni destinate a contenere atti e documenti d'istituto (cassaforte, armadi, scaffali etc).
III-B) I DOCENTI
I docenti, sono designati responsabili e/o incaricati dei trattamenti, ai sensi dell’art.29 del D.L.vo 196/2003, limitatamente ai dati personali: - relativi al personale docente ed ATA in servizio nel plesso/sede di competenza; - relativi alla situazione curricolare, di frequenza, di profitto, sanitaria, socio-familiare, anagrafica, in itinere e conclusiva, degli alunni; - contenuti dei verbali, delibere e atti trattati o prodotti dagli OO.CC. d’istituto, convocati presso il plesso/sede di competenza; - contenuti in ogni altro atto trattato dal personale assegnato al plesso/sede di competenza. In particolare il fiduciario cura: - la conformità dei trattamenti di cui sopra alle vigenti disposizioni normative; - l’organizzazione-regolamentazione dei locali e degli accessi ove vengono custoditi i documenti relativi ai dati sopra indicati; - la supervisione dei trattamenti informatici dei dati di cui sopra, incluse le operazioni di protezione, salvataggio e regolamentazione delle pass-word. I predetti incarichi sono conferiti in considerazione: - del ruolo strategico ricoperto nell’ambito della governance d’istituto; - della esperienza, capacità ed affidabilità espresse dai soggetti incaricati, tale da offrire idonea garanzia del rispetto delle disposizioni in materia di trattamento. I suddetti Responsabili del trattamento hanno ricevuto adeguate istruzioni riguardo: a) all’individuazione ed adozione delle misure di sicurezza da applicare nell’ambito dell’istituzione scolastica, al fine di salvaguardare la riservatezza, l’integrità, la completezza e la disponibilità dei dati trattati;
b) all’esigenza di verificare che gli obblighi di informativa di cui all'art. 13 del D.L.vo 196/2003 siano stati assolti correttamente, ovvero, nei casi previsti, sia stato acquisito il consenso degli interessati; d) all’obbligo di collaborare con il titolare nell’adempiere alle richieste avanzate dal Garante per la protezione dei dati personali ovvero alle autorità investite dei poteri di controllo; e) all’attribuzione della competenza ad elaborare e sottoscrivere notificazioni al Garante per la protezione dei dati personali; f) all’obbligo di osservare e far osservare il divieto di comunicazione e diffusione dei dati personali trattati da parte dell’istituzione scolastica, non conoscibili da chiunque, se non nei casi previsti; g) all’obbligo di garantire, ovvero a proporre soluzioni migliorative, che consentano di migliorare i livelli di sicurezza dei dati trattati nell'ambito di competenza. IV) INCARICATI DEI TRATTAMENTI NELL'AMBITO DEL PERSONALE ASSISTENTE AMMINISTRATIVO Le seguenti figure sono nominati incaricati dei trattamenti limitatamente alla competenza dell'ufficio di segreteria: - un assistente amministrativo incaricato della gestione della corrispondenza, degli OO.CC. e degli alunni e genitori/affidatari.
- tre assistenti amministrativi incaricati della gestione del personale e delle operazioni contabili-
finanziarie. Le banche dati interne contenenti dati personali, cui ha accesso il personale di segreteria, raggruppati in insiemi omogenei, sono: i fascicoli relativi al personale della scuola; i fascicoli personali alunni e ex alunni; l'anagrafe fornitori, contratti, carteggio etc; documentazione finanziaria e contabile; la documentazione didattica trattata dai docenti destinata alla conservazione; il registro degli infortuni; verbali del consiglio d'istituto e dati riferibili ai membri degli organi collegiali.
V) INCARICATI DEI TRATTAMENTI NELL'AMBITO DELLE ATTIVITA' DIDATTICHE E COLLEGIALI
Ciascun docente è incaricato dei trattamenti limitatamente alle tipologie di dati connessi con la funzione docente, sia nella dimensione didattica che in quella collegiale. In particolare i docenti, a qualunque titolo operanti nell'istituzione scolastica, effettuano trattamenti inerenti a: - andamento didattico-disciplinare, situazione di frequenza, sanitaria, socio-famigliare, in itinere e conclusivi, limitatamente agli alunni presso i quali viene esercitata la rispettiva funzione docente; - rapporti col personale ATA limitatamente alle esigenze di servizio; - argomenti, verbali ed atti trattati o prodotti dagli organi collegiali di cui sono membri, eletti o d’ufficio; - ogni altro atto trattato in conseguenza dell’esercizio della funzione docente o per delega del dirigente scolastico o dei docenti collaboratori. Le banche dati interne cui hanno accesso più docenti sono: il registro di classe; il registro dei verbali del consiglio di classe, d’istituto, del collegio dei docenti e della RSU
d’istituto; la documentazione relativa alla programmazione didattica; i documenti di valutazione; il certificato delle competenze individuali; la documentazione didattica degli alunni disabili; i certificati medici degli allievi; la corrispondenza con le famiglie. Le banche dati cui ha accesso il singolo docente sono: il registro personale; gli elaborati degli alunni; l'area riservata del sito web della scuola. L'incarico per i docenti: a) titolari di specifiche funzioni strumentali; b) membri della RSU dell'istituzione scolastica; comprende anche i trattamenti derivanti o connessi coll’esercizio delle predette specifiche funzioni. VI) RAPPRESENTANTI DEI GENITORI ELETTI O NOMINATI NELL'AMBITO DEGLI OO.CC. D'ISTITUTO Ciascun genitore eletto o nominato nell'ambito degli OO.CC. d'istituto è incaricato dei trattamenti limitatamente alle tipologie di dati personali indispensabili allo svolgimento delle sedute dei predetti organismi. Gli incarichi comprendono i trattamenti di dati riferibili a: - membri dell’O.C.; - personale della scuola; - personale esterno contrattualizzato, con rapporto di convenzione, collaborazione, di volontariato etc; - alunni e genitori; - soggetti esterni che intrattengono con la scuola rapporti di fornitura di beni o servizi, collabora_
zione inter-istituzionale o amministrativa; limitatamente alle competenze dell’organo collegiale di cui sono membri ed all’ambito di pertinenza dei punti indicati all’ordine del giorno delle sedute di lavoro.
*** *** *** Tutti gli incaricati sono formalmente nominati con nota scritta contenente le seguenti indicazioni e istruzioni: a) tipologia dei dati e soggetti a cui si riferiscono, b) il trattamento e la conservazione dei dati deve avvenire esclusivamente in modo lecito e proporzionato alle funzioni istituzionali, nel rispetto della riservatezza; in particolare all'incaricato è fatto divieto di: - trattare dati non pertinenti alla propria funzione; - comunicare, in qualsiasi forma, dei dati in proprio possesso, ad altri soggetti non legittimati a ricevere dette comunicazioni.
c) la raccolta, registrazione ed elaborazione dei dati, mediante strumento informatico o cartaceo, deve essere limitata alle finalità istituzionali; d) all’incaricato compete l'onere della correzione e/o aggiornamento dei dati posseduti e concorrere alla loro protezione; Il rinnovo delle predette istruzioni scritte ha luogo in coincidenza di mutamenti rilevanti dell'organizzazione e dell'assetto istituzionale della scuola. 2-3) ASPETTI TECNICI DEI TRATTAMENTI Tutti i trattamenti sono effettuati su: a) supporti cartacei, custoditi in armadi, cassetti e in locali con chiusura a chiave, costituiti da: - fogli singoli o uniti in fascicolo o in raccoglitori per gli atti amministrativi gestionali; - registri predisposti per le verbalizzazioni, registro degli esami e dei diplomi etc; b) supporti informatici, custoditi in locali con chiusura a chiave, costituiti da: - PC interni, anche collegati a server interno, a rete Internet e intranet MIUR con modalità ADSL; - memorie esterne ai PC: CD-rom, floppy-disc, pen drive, server istituzionali esterni etc. A tutti gli incaricati destinati al trattamento di dati mediante strumento elettronico, vengono conferite credenziali di autenticazioni (art.34, comma 1, lett.b) mediante parola chiave, conformi alle caratteristiche indicate nell’allegato B. Il DSGA è incaricato della custodia delle copie di credenziali di autenticazione nonché della funzione di verifica del loro aggiornamento periodico ovvero della corretta utilizzazione. Con riferimento alla rete intranet ministeriale, l’Istituzione scolastica, in quanto utente del servizio, non è responsabile dei trattamenti in rete. La custodia dei supporti da parte degli incaricati cessa al momento della restituzione o del passaggio ad eventuali nuovi incaricati; il predetto passaggio deve essere effettuato in modo che il nuovo incaricato acceda esclusivamente ai dati assegnati. L'accesso agli archivi contenenti dati sensibili o giudiziari è consentito solamente alle persone preventivamente autorizzate. La tabella che segue riassume il quadro dei trattamenti secondo modalità e tipologia, con l'indicazione dell’ubicazione dei supporti di memorizzazione.
IDENTIFICATIVO
DEL TRATTAMENTO EVENTUALE BANCHE
DATI DI SUPPORTO UBICAZIONE FISICA DEI SUPPORTI DI MEMORIZZAZIONE E DELLE COPIE DI SICUREZZA
TIPOLOGIA DI DISPOSITIVI
DI ACCESSO TIPOLOGIA DI
INTERCONNESSIONE
Segreteria Dirigente scolastico
Ruoli del personale e anagrafica alunni in formato elettronico
Nei locali dell’Istituzione scolastica siti ai Piani terra
Pc Rete locale e Internet
Ufficio personale Ruoli del personale in formato elettronico; Archivio del personale
Come sopra Pc Rete locale e Internet
Altri servizi amministrativi
Archivio delle imprese fornitrici di servizi e/o prestazioni. Archivio contenuto negli elaboratori sottoposti a revisione o manutenzione da parte di soggetti, anche esterni, incaricati degli interventi (sia in caso di trasporto dell’elaboratore
Pc Rete locale e Internet
all’esterno dell’ente, presso i locali del soggetto esterno, sia in caso di intervento sul posto, cioè nei locali dell’istituzione scolastica)
Servizi inerenti l’offerta formativa
Destinatari dell’offerta formativa con caratterizzazione religiosa, economica, sociale, sanitaria
Pc oppure Pc e server Rete locale e Internet
TUTTE LE PRESCRIZIONI E LE SPECIFICAZIONI CONTENUTE NELLE PRECEDENTI PARTI PRIMA E SECONDA SONO INTEGRATE CON LE DISPOSIZIONI PREVISTE NELLE SCHEDE ALLEGATE AL DM n° 305/2007 CON ESCLUSIONE DELLA SCHEDA n° 6.
PARTE TERZA ANALISI DEI RISCHI CHE INCOMBONO SUI DATI.
L’analisi dei rischi che incombono sui dati consegue a quella relativa alla logistica entro la quale hanno luogo i trattamenti. Nei punti che seguono sono brevemente richiamate le condizioni logistiche in cui hanno luogo i trattamenti. 3.1) LOCALI DOVE AVVIENE IL TRATTAMENTO DEI DATI EFFETTUATO DAL PERSONALE DOCENTE I locali ove avvengono i trattamenti effettuati dai docenti coincidono con: - aule didattiche ordinarie e speciali (laboratori, palestra etc); - locali di pertinenza esclusiva dei docenti (sale insegnanti). Come già evidenziato, il trattamento dei dati da parte dei docenti avviene sia su supporti cartacei che informatici. Le banche dati contenenti documentazione didattica (registri personali e di classe) vengono consegnati all’inizio dell’anno scolastico dal dirigente scolastico ai docenti, che provvedono alla compilazione, alla conservazione ed alla custodia. All’interno delle predette banche dati vengono custoditi temporaneamente i certificati medici degli alunni. Le banche dati contenenti documentazione didattica, comprendente anche gli elaborati degli alunni, al termine dell'AS, vengono consegnate dai docenti e custoditi e conservati dal personale di segreteria. La programmazione didattica ed i verbali dei consigli di classe e degli organi collegiali sono custoditi: - dai docenti coordinatori nei periodi delle attività didattiche; - dal Dirigente Scolastico e dal DSGA durante i periodi di sospensione delle attività didattiche. La documentazione relativa agli allievi in situazione di disabilità è custodita presso l'ufficio di segreteria in locali non accessibili a estranei all'interno di armadi con chiusura a chiave. Complessivamente i locali risultano solo in parte adeguati alla conservazione dei documenti, a causa delle condizioni manutentive, microclimatiche e per la mancanza di sistemi d’allarme o antifurto. 3.2) LOCALI DOVE AVVIENE IL TRATTAMENTO DEI DATI EFFETTUATO DAL DIRIGENTE SCOLASTICO E DAL PERSONALE DI SEGRETERIA
I locali interessati al trattamento dei dati da parte del personale di segreteria e da parte del D.S. sono collocati nel modo di seguito riportato. DATI GENERALI accesso Due accessi su via ….................. recinzione no Cortile / giardino esclusivo
Si interno, con accesso al 1° piano ed al 2° piano
Parcheggi esclusivi no Cancelli esterni di accesso
si
Illuminazione esterna Si Piani fuori terra piano 1° e 2° Piani interrati NO Tipologia accessi Accessi principale e alunni costituiti da portoni Sistema generale di allarme
SI antincendio
Locali utilizzati da altri soggetti
No
ULTERIORI DATI LOGISTICI
I locali degli uffici, afferenti ad uno stesso corridoio, sono collocati al 2° piano cui si accede tramite scale e porte interne. Sul corridoio si affacciano locali adibiti ad attività didattica, servizi igienici e due scale che conducono ai piani inferiori. I locali di cui si tratta sono: Presidenza, ufficio D.S.G.A., 3 uffici per gli assistenti amministrativi. L’archivio storico è ubicato al locale sottotetto. Tutte le porte d’accesso sono dotate di serratura a chiave; la sede è anche dotata di impianto di rilevazione automatica d’incendio; qui di seguito è riportata una descrizione sintetica delle caratteristiche logistiche e dei sistemi di protezione. A) Denominazione e destinazione locale
Ufficio di Presidenza
Collocazione
- piano terra
Accessi
- N.1 dal corridoio .
- Protezione da intrusione esterna: media - Finestre: stante l'altezza rispetto al livello stradale: accessibili con protezioni con grate in ferro - Porta: ordinaria in alluminio con serratura tipo yale - Postazioni di lavoro e dotazioni informatiche
- n°.1 posto di lavoro - n° 2 P.C. collegato a internet
descrizione arredi descrizione serratura Efficienza serratura contenuto Armadi in legno Scrivania Armadio blindato in ferro
Si Sì
Ordinaria Di sicurezza
verbali organi collegiali centrali
rischio incendio
vedi documento sicurezza D.L.vo 81/2008 (medio-basso)
B) Denominazione e destinazione locale
Ufficio D.S.G.A.
Collocazione
- piano terra
Accessi
-n. 1 dal corridoio
- Protezioni da intrusione esterna: media (finestre, stante l'altezza rispetto al livello stradale: accessibili con grate in ferro) - Porta: - ordinaria alluminio con serratura tipo “yale” - Postazioni di lavoro e dotazioni informatiche:
- n. 1 posto di lavoro - n. 2.P.C. collegati a server, internet e intranet MIUR
6- Descrizione arredi descrizione serratura Efficienza
serratura contenuto
Armadio Cassettiere scaffali a vista Cassaforte
SI SI SI
media media alta
Documentazione contabile materiale di cancelleria protocollo e corrispondenza riservati; certificazioni alunni disabili.
Rischio incendio
vedi documento sicurezza D.L.vo 81/2008 (medio-basso)
C) Denominazione e destinazione locale
locali adibiti a uffici per gli assistenti amministrativi
1- Collocazione
- piano terra
Accessi
- ciascun locale è dotato di accesso indipendente dal corridoio interno
2- Protezioni da intrusione esterna: media accessibilità finestre descrizione protezioni:
- finestre, al livello stradale: accessibili protetti con grate in ferro
- porte:
- ordinarie in alluminio con serratura tipo “yale”
Postazioni di lavoro e dotazioni informatiche
- n. 10 P.C. collegati a server, internet e intranet MIUR
Descrizione arredi descrizione serratura Efficienza
serratura contenuto
Armadi metallici scrivanie scaffali a vista
Si Si
media media
Documentazione contabile Fascicoli personali docenti, pers ATA Supplenti Fascicoli alunni Protocollo posta
Rischio incendio
vedi documento sicurezza D.L.vo 81/2008 (medio-basso)
D) Denominazione e destinazione locale
Archivio
Collocazione:
locale piano terra
Accessi
Corridoio ufficio
Protezioni da intrusione esterna: media accessibilità finestre:
accessibili per posizione protetti con grate
porte
porta ordinaria in legno con serratura
Postazioni di lavoro e dotazioni informatiche
Armadio server
Descrizione arredi descrizione serratura Efficienza
serratura contenuto
Scaffali in ferro 4 armadi
No no
No no
Fascicoli alunni Pratiche varie Registri di classe e docenti Compiti alunni Documentazione amministrativa Registri protocollo Corrispondenza vecchie graduatorie Documenti contabili
Rischio incendio
vedi documento sicurezza D.L.vo 81/2008 (medio-basso)
PLESSI/SEDI DECENTRATI
- sede staccata Mario Fiore. - sede associata ITG Nervi - Liceo Artistico I predetti plessi/sedi non ospitano uffici; sono presenti: - sala docenti, dotate di porta ordinaria con serratura di media resistenza; - armadi con ante e/o cassetti dotati di chiavi; - Sono inoltre presenti: - almeno un PC fisso collegato a Internet per ciascun plesso/sede non adibiti a banca dati. CENSIMENTO GENERALE DEI RISCHI L’Istituzione scolastica ha effettuato un'analisi dei principali fattori di rischio dalla quale risultano le seguenti tipologie: a) modalità: distruzione, sottrazione, perdita, trattamento abusivo dei dati; b) responsabilità: dolosa, colposa, o fortuita. c) cause. Dal punto di vista delle cause i fattori di rischio possono essere classificati come segue. 1) Fattori di rischio connessi con i comportamenti degli operatori. Uso improprio o doloso delle credenziali di autenticazione nell'accesso ai sistemi informatici; imperizia o negligenza da parte dei titolari nell'impiego degli strumenti informatici e dei siti di deposito o elaborazione dei documenti; errori da parte del personale nell'accensione/gestione degli impianti e delle strutture scolastiche, tali da determinare perdite di dati o ingressi non autorizzati. Omessa custodia e/o vigilanza sui supporti di propria competenza; trasmissione di documenti o file a soggetti non autorizzati. 2) Fattori di rischio derivanti da eventi relativi agli strumenti informatici. Intrusione di virus o soft-ware improprio, causata da hackers o sorgenti esterne infette. Disfunzionamenti derivanti da usura fisica degli strumenti o della rete di alimentazione; accessi abusivi nelle memorie elettroniche. Acquisizione di dati da soggetti non autorizzati durante le trasmissioni on-line. 3) Fattori di rischio di natura ambientale. Perdita di dati per effetto di eventi eccezionali quali terremoti, incendi, allagamenti, crolli etc di origine fortuita, dolosa o colposa. Guasti a sistemi esterni quali centrali elettriche, termiche e idro-sanitarie, tali da compromettere la funzionalità dei sistemi di trattamento o l'accesso autorizzato. 4) Fattori di rischio connessi con soggetti esterni. Furti e/o danneggiamenti, accesso non autorizzato da parte di estranei; Tutte le categorie di rischi sopra richiamate possono essere classificate secondo i livelli di gravità di seguito riportati: EE = molto elevato A= alto MA = medio-alto M = medio MB = medio-basso B = basso
La tabella che segue riassume in maniera sinottica i principali fattori di rischio, il relativo livello di gravità e le contromisure di sicurezza previste.
FATTORE DI RISCHIO
ESITI
CONTROMISURE
DESCRIZIONE GRAVITÀ
STIMATA
COMPORTAMENTI
DEGLI OPERATORI Furto di credenziali di autenticazione
Accesso altrui non
autorizzato
M Vigilanza sul rispetto delle istruzioni impartite
Carenza di consapevolezza, disattenzione o
incuria
Dispersione, perdita e
accesso altrui non
autorizzato
M Formazione e flusso continuo di informazione
Comportamenti sleali o fraudolenti
Dispersione, perdita e accesso altrui non autorizzato
M Vigilanza sul rispetto delle istruzioni impartite
Errore materiale Dispersione, perdita e accesso altrui non autorizzato
M Vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione
EVENTI RELATIVI
AGLI STRUMENTI Azione di virus informatici o di codici malefici
Perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori;
EE Adozione di idonei dispositivi di protezione
Spamming o altre tecniche di sabotaggio
Perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi
EE Adozione di idonei dispositivi di protezione
Malfunzionamento, indisponibilità o degrado degli strumenti
Perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi
MA Assistenza e manutenzione continua degli elaboratori e dei programmi; ricambio periodico
Accessi esterni non autorizzati
Dispersione, perdita o alterazione, anche irreversibile, di dati,nonché manomissione di programmi e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi
MA Adozione di idonei dispositivi di protezione
Intercettazione di informazioni in rete
Dispersione di dati; accesso altrui non autorizzato
MA Adozione di idonei dispositivi di protezione
EVENTI RELATIVI
AL CONTESTO Accessi non autorizzati a locali/reparti ad accesso ristretto
Dispersione, perdita o alterazione, anche irreversibile, di dati nonché manomissione di programmi e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi
M Protezione dei locali mediante serratura con distribuzione delle
chiavi ai soli autorizzati
Asportazione e furto di strumenti contenenti dati
Dispersione e perdita di dati, di programmi e di elaboratori; accesso altrui non autorizzato
MB Protezione dei locali e dei siti di ubicazione degli elaboratori e dei
supporti di memorizzazione mediante serratura con
distribuzione delle chiavi ai soli autorizzati
Eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti ad incuria
Perdita di dati, dei programmi e degli elaboratori
M Attività di prevenzione, controllo, assistenza e manutenzione
periodica,vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione
Guasto ai sistemi complementari (impianto elettrico, climatizzazione, etc.)
Perdita o alterazione, anche irreversibile, di dati, nonché manomissione dei programmi e degli elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi
A Attività di controllo, assistenza e manutenzione periodica
Errori umani nella gestione della sicurezza fisica
Perdita o alterazione, anche irreversibile, di dati, nonché manomissione dei programmi e degli elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi
M Vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione
PARTE QUARTA MISURE ADOTTATE PER GARANTIRE L'INTEGRITÀ E LA DISPONIBILITÀ DEI DATI, NONCHÈ LA PROTEZIONE DELLE AREE E DEI LOCALI, RILEVANTI AI FINI DELLA LORO CUSTODIA E ACCESSIBILITÀ.
Sulla base dell'analisi dei rischi condotta in via astratta nella precedente parte terza, l’istituzione scolastica adotta le misure di sicurezza riportate nella tabella che segue, riservandosi di introdurre in tempi successivi eventuali ulteriori provvedimenti di protezione.
RISCHIO
PREVISTO SETTORE
INTERESSATO BANCA DATI ESPOSTA A
RISCHIO
CONTROMISURE SOGGETTI CONTROLLI E
VERIFICHE
Perdita, distruzione o alterazione, anche irreversibile, di dati, di programmi e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di
Uffici del Dirigente scolastico di Segreteria
Relativi archivi e o contenitori per supporti cartacei e/o elettronici
Antivirus, Firewall e credenziali di autenticazione; vigilanza accessi e chiavi
Bimestrale: amministratore di sistema e collaboratore scolastico incaricato della vigilanza su accessi e chiavi
utilizzo dei programmi
Dispersione, perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi
Servizi amministrativi
Relativi archivi e o contenitori per supporti cartacei e/o elettronici
Antivirus, Firewall e credenziali di autenticazione vigilanza accessi e chiavi
Bimestrale: amministratore di sistema e collaboratore scolastico incaricato della vigilanza su accessi e chiavi
Dispersione, perdita o alterazione, anche irreversibile, di dati, di programmi e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi
Servizi inerenti l’offerta formativa
Relativi archivi e o contenitori per supporti cartacei e/o elettronici
Antivirus, Firewall e credenziali di autenticazione vigilanza accessi e chiavi
Bimestrale: amministratore di sistema e collaboratore scolastico incaricato della vigilanza su accessi e chiavi
PARTE QUINTA CRITERI E MODALITÀ PER IL RIPRISTINO DELLA DISPONIBILITÀ DEI DATI IN SEGUITO A DISTRUZIONE O DANNEGGIAMENTO
In aggiunta a quanto già indicato, al fine di migliorare l'integrità e il ripristino dei dati archiviati nelle memorie dei PC in caso di perdita, è definita una procedura di sicurezza comprendente: a) sistemi di prevenzione, basate sull'acquisto e costante aggiornamento di sistemi anti-intrusione quali antivirus e firewall; b) esecuzione di copie dei dati archiviati, sia in formato elettronico che cartaceo. Distribuzione di pertinenze, competenze e procedure sono sintetizzate nella tabella che segue.
Struttura in possesso di
p.c. o collegament
o a server
Applicativo Sistema operativo
Protezioni Supporto di copia
Criteri di salvataggio
Sedi di lavoro e
conservazione copie
Soggetto attuatore
Dirigenza scolastica
Office, anche open source
Windows
- accesso limitato e riservato; - antivirus; - firewall.
CD-rom pen-drive cartaceo
Effettuazione periodica
Ufficio della dirigenza scolastica
Dirigente scolastico
Segreteria Office, anche open source
Windows
- accesso limitato e riservato; - antivirus; - firewall.
CD-rom pen-drive cartaceo
Effettuazione periodica
Ufficio della dirigenza e DSGA
DSGA
Servizi ammi.vi
Office,anche open source
Windows
- accesso limitato e riservato; - antivirus; - firewall.
CD-rom pen-drive cartaceo
Effettuazione periodica
Uffici degli assistenti ammi.vi
Assistenti amm.vi
Servizi inerenti l’offerta
formativa
Office, anche open source
Windows - accesso limitato e riservato; - antivirus; - firewall.
CD-rom pen-drive cartaceo
Effettuazione periodica
Uffici degli assistenti amm.vi e plessi/sedi
Assistenti amm.vi e docenti
PARTE SESTA PROGRAMMA DEGLI INTERVENTI FORMATIVI DEGLI INCARICATI DEL TRATTAMENTO
Il personale in servizio presso l’istituzione scolastica ha già partecipato a iniziative formative promosse dall'amministrazione scolastica nelle sue articolazioni territoriali e temporali. L’istituzione si riserva tuttavia di inviare il proprio personale a ulteriori iniziative promosse dalla predetta amministrazione riservandosi comunque di attivare in proprio, o tramite accordi di rete, per coprire eventuali nuovi fabbisogni in assenza di azioni di sistema. A tale scopo sono di seguito identificate le specifiche aree formative.
SOGGETTI AREA D'INTERVENTO
Tutto il personale Aspetti generali normativi, procedurali e tecnici
Dirigente scolastico - Conoscenza dei contenuti del D.L.vo 196/2003 del D.M. 7.12.2006, n. 305, L. 241/1990 e successive modificazioni e DPR 445/2000; - Redazione e aggiornamento: a) DPS; b) regolamento art. 20, comma 2 del D.L.vo. 196/2003; - informazione/formazione del personale; - conoscenza sistemi informatici di sicurezza; - pubblicazione dell'informativa ex art. 13.
Responsabili dei trattamenti - informazione/formazione degli incaricati; - conoscenza delle misure generali di sicurezza.
Incaricati dei trattamenti - gestione delle credenziali e di accesso riservato; - effettuazione copie di salvataggio; - conoscenza delle misure specifiche di sicurezza inerenti al proprio ambito di trattamento.
OBBLIGO DI AGGIORNAMENTO PERIODICO DEL DPS
l presente documento è sottoposto a revisione annuale entro la scadenza del 31 marzo di ciascun anno (punto 19 allegato B del D.Lgs. 196/03). …........................................ per IL TITOLARE DEL TRATTAMENTO IL DIRIGENTE SCOLASTICO ( Prof.ssa Alfonsina CORVINO)