Privacy

Casella di testo: ISTITUTO COMPRENSIVO STATALE “G. Mazzini” 
Scuola dell’Infanzia, Scuola primaria e Scuola secondaria di 1° grado
Via San Giovanni, 1  -  73026     MELENDUGNO    Distretto n. 40 Martano
Tel. 0832 - 834021 – Fax 0832 - 837175                                e-mail: ic_melendugno@tiscali.it
Cod. Min. LEIC829006                                                                        Cod. Fisc. 80010880757

 

                                                                   

                                                             

                                                               

                                                                  

                                                                              

                                                                       

                                                                        

          

 

Prot. n. 4844 / A20                                                                                Melendugno, 6 dicembre 2004

 

 

IL DIRIGENTE SCOLASTICO

 

Visto    il decreto legislativo 30 giugno 2003, n. 196 recante il Codice in materia di protezione di dati personali (di seguito denominato Codice) e segnatamente gli artt. 34 e ss. nonché l’allegato B contenente il Disciplinare tecnico in materia di misure minime di sicurezza.

Considerato     che l’Istituto Comprensivo Statale “G. Mazzini”, con sede in Melendugno alla Via San Giovanni n. 1 (di seguito denominato Istituto), in quanto dotato di un autonomo potere decisionale, ai sensi dell’art. 28 del Codice, deve ritenersi titolare del trattamento di dati personali;

Atteso  che il suddetto Istituto è tenuto a prevedere ed applicare le misure minime di sicurezza di cui agli artt. 31 e ss. del Codice, adotta il presente

 

 

DOCUMENTO PROGRAMMATICO DELLA SICUREZZA

 

L’Istituto, per l’espletamento della funzione didattica e formativa, raccoglie e tratta dati personali dei soggetti coinvolti nell’offerta formativa ovvero dei destinatari della stessa, anche con l’ausilio di soggetti esterni, ai sensi del punto 19 dell’Allegato “B”, talchè si precisano i seguenti elementi:

1.      Elenco dei trattamenti di dati personali;

2.      Elenco dei dati personali di natura comune, sensibile o giudiziaria

  1. Distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
  2. Ambito dei trattamenti.
  3. Analisi dei rischi incombenti sui dati;
  4. Misure adottate per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali rilevanti ai fini della loro custodia e accessibilità;
  5. Criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
  6. Programma degli interventi formativi degli incaricati del trattamento;
  7. Criteri previsti per garantire il rispetto delle misure minime per i trattamenti di dati personali affidati all'esterno della struttura;

10.  Trattamenti di dati personali sensibili o giudiziari con strumenti elettronici affidati all’esterno.

 

 

 

1. ELENCO DEI TRATTAMENTI DI DATI PERSONALI.

 

Finalità:

Al fine di perseguire le finalità istituzionali, l’Istituto tratta dati personali (sia comuni che sensibili o giudiziari) di studenti, personale dipendente, fornitori. I trattamenti sono effettuati, anche mediante strumenti elettronici, per le seguenti finalità:

a)      adempimento agli obblighi di fonte legislativa, nazionale o comunitaria, regolamentare o derivante da atti amministrativi;

b)     somministrazione dei servizi formativi;

c)      gestione e formazione del personale, nelle sue varie componenti (docente e non docente, in ruolo presso altri apparati pubblici);

d)     adempimenti assicurativi;

e)      tenuta della contabilità;

f)       gestione delle attività informative curate ai sensi della legge 7 giugno 2000, n. 150 contenente la “Disciplina delle attività di informazione e di comunicazione delle pubbliche amministrazioni”;

g)      attività strumentali alle precedenti.

 

 

Fonte dei dati:

I dati trattati sono conservati su supporti informatici e/o cartacei e sono noti all’istituto in ragione della produzione:

a)      di atti e/o dichiarazioni provenienti da soggetti interessati a fruire direttamente o a beneficio dei minori sottoposti alla potestà ex art. 316 c.c., dei servizi formativi;

b)     documenti contabili connessi alla fornitura di prestazioni e/o di servizi e/o di lavori;

c)      documentazione bancaria, finanziaria e/o assicurativa;

d)     documenti inerenti il rapporto di lavoro, finalizzati anche agli adempimenti retributivi e/o previdenziali.

 

 

 

2. ELENCO DEI DATI PERSONALI DI NATURA COMUNE O SENSIBILE.

 

Sulla scorta delle precisazioni sopra elencate, l’istituto, sulla base di una prima ricognizione, con salvezza della possibilità di procedere a successive integrazioni e/o correzioni entro il 31.3.2005, dichiara, con riferimento ai destinatari o famigliari dei destinatari dell’offerta formativa ovvero del personale coinvolto, a qualunque titolo, nella medesima o interessato ad essere coinvolto ovvero di soggetti, a qualsiasi titolo, coinvolti in rapporti negoziali con l’istituzione scolastica o aspiranti ad assumere tale ruolo, di trattare i dati di seguito elencati:

a)      Dati identificativi, ai sensi dell’art. 4, comma 1, lettere b) e c) del Codice, univocamente riconducibili ad un soggetto fisico, identificato o identificabile, quali nominativo, dati di nascita, residenza, domicilio, stato di famiglia, codice fiscale, stato relativo all’adempimento degli obblighi di leva;

b)     Dati identificativi, ai sensi dell’art. 4, comma 1, lettere b) e c) del Codice, univocamente riconducibili a persone giuridiche, enti o associazioni, inerenti la forma giuridica, la data di costituzione, la sede, il domicilio, l’evoluzione degli organi rappresentativi e legali, la sede, la Partita IVA, il Codice fiscale, la titolarità di diritti o la disponibilità di beni strumentali;

c)      Dati sensibili, ai sensi dell’art. 4, comma 1, lett. d) del Codice;

d)     Dati giudiziari, ai sensi dell’art. 4, comma 1, lett. e) del Codice;

e)      Dati inerenti il livello di istruzione e culturale nonché relativi all’esito di scrutini, esami, piani educativi individualizzati differenziati;

f)       Dati inerenti le condizioni economiche e l’adempimento degli obblighi tributari;

g)      Dati riferibili a procedimenti giudiziari, pendenti in qualsiasi grado, o pregressi, di natura civile, amministrativa, tributaria, presso autorità giurisdizionali italiane o estere, diversi da quelli rientranti nell’art. 4 comma 1, lett. e) del Codice;

h)      Dati atti a rilevare la presenza presso l’istituto dei destinatari dell’offerta formativa ovvero dei famigliari nonché del personale coinvolto, a qualsiasi titolo, nella somministrazione di tale offerta;

i)        Dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque;

j)       Dati inerenti negoziazioni e relative modalità di pagamento rispetto a forniture di beni, servizi o di opere ovvero proposte ed offerte inerenti le medesime negoziazioni;

k)     Dati inerenti la fornitura e le modalità di pagamento riguardo ad attività professionale a fini formativi;

l)        Dati contabili e fiscali;

m)    Dati inerenti la titolarità di diritti, il possesso o la detenzione di beni mobili registrati, mobili o immobili;

n)      Dati detenuti in applicazione di disposizioni di origine nazionale o comunitaria, atti o provvedimenti amministrativi, fonti contrattuali.

 

 

 

3. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ NELL'AMBITO DELLE STRUTTURE PREPOSTE AL TRATTAMENTO DEI DATI.

 

            Il Dirigente scolastico titolare del trattamento dei dati ha designato, mediante autonomo provvedimento (allegato al presente Documento) quale Responsabile ai sensi dell’art. 29 del Codice la Sig.ra Gilda De Filippis, nata a Andrano il 20.6.1953, preposta alle funzioni di Direttore dei Servizi Generali e Amministrativi dell’istituto, in considerazione della esperienza, capacità ed affidabilità espressa dal medesimo, tale da offrire idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento.

            Il suddetto Responsabile del trattamento ha ricevuto adeguate istruzioni riguardo:

a)      all’individuazione ed adozione delle misure di sicurezza da applicare nell’ambito dell’istituto, al fine di salvaguardare la riservatezza, l’integrità, la completezza e la disponibilità dei dati trattati;

b)     all’esigenza di provvedere, mediante atto scritto, all’individuazione delle unità legittimate al trattamento, per mezzo dei singoli preposti, ovvero di singoli incaricati, ai sensi dell’art. 30 del Codice, deputati ad operare sotto la diretta autorità del responsabile, attenendosi alle istruzioni impartite, fermo restando l’obbligo gravante sul responsabile, di vigilare sul rispetto delle misure di sicurezza adottate.

c)      all’esigenza di verificare che gli obblighi di informativa siano stati assolti correttamente, ovvero che sia stato conseguito il consenso degli interessati;

d)     all’obbligo di collaborare con il titolare nell’adempiere alle richieste avanzate dal Garante per la protezione dei dati personali ovvero alle autorità investite dei poteri di controllo;

e)      all’attribuzione della competenza ad elaborare e sottoscrivere notificazioni al Garante per la protezione dei dati personali;

f)       all’obbligo di osservare e far osservare il divieto di comunicazione e diffusione dei dati personali comunque trattati da parte dell’istituzione scolastica;

g)      all’obbligo ovvero a proporre soluzioni organizzative che consentano un ampliamento dei livelli di sicurezza.

Il Responsabile del trattamento, ai sensi dell’art. 30 del Codice e delle indicazioni rappresentante sub b), ha provveduto ad individuare (mediante atti allegati al presente Documento) gli incaricati, autorizzandoli al trattamento dei dati in possesso dell’istituto, esclusivamente con riferimento all’espletamento delle funzioni istituzionali ad essi rispettivamente assegnate.

Tali incaricati, in particolare, sono stati formalmente edotti in merito alla circostanza che:

a)      il trattamento e la conservazione dei dati deve avvenire esclusivamente in modo lecito e proporzionato alle funzioni istituzionali, nel rispetto della riservatezza;

b)     la raccolta, registrazione ed elaborazione dei dati, mediante strumento informatico o cartaceo, deve essere limitata alle finalità istituzionali;

c)      integra onere dell’incaricato la correzione od aggiornamento dei dati posseduti, l’esame della loro pertinenza rispetto alle funzioni;

d)     integra inosservanza delle istruzioni la comunicazione, effettuata in qualsiasi maniera, dei dati in possesso, con eccezione del caso che il destinatario sia l’interessato alle stesse, ovvero altri soggetti legittimati ad ricevere dette comunicazioni.

            L’ambito dei trattamenti autorizzati ai singoli incaricati è suscettibile di aggiornamento periodico.

            A tutti gli incaricati destinati al trattamento di dati mediante strumento elettronico, sono state conferite credenziali di autenticazioni (art. 34, comma 1, lett. b) mediante parola chiave, conformi alle caratteristiche indicate nell’allegato B. Con atto allegato al presente documento è stato designato l’incaricato della custodia delle copie di credenziali di autenticazione nonché della funzione di verifica del loro aggiornamento periodico ovvero della corretta utilizzazione.

Le suddette credenziali sono disattivate automaticamente e periodicamente dal gestore della rete ovvero in tutti i casi di mancata utilizzazione per almeno 6 mesi.

Concorre al trattamento anche una struttura esterna all’istituto, ditta Worldoffice s.n.c. con sede legale in Maglie alla Via Corso Cavour n. 143, incaricata, mediante convenzione allegata al presente documento, del supporto, manutenzione, riparazione degli strumenti elettronici. Il titolare della struttura è stato designato quale responsabile del trattamento, in ragione dell’esperienza maturata nel settore.

 

 

 

Al fine di meglio precisare la suddetta ripartizione delle funzioni si rinvia alla tabella seguente

 

Tabella 1 -      Strutture preposte ai trattamenti e riparto delle responsabilità

alla data del 7.12.2004

Struttura

Responsabile

Incaricato

Trattamenti operati dalla struttura

 

Compiti della struttura

Segreteria

Dirigente scolastico

D.S.G.A.

 

Gilda De Filippis

Assistenti amm.vi

Castrignanò Lea

Grande Ivana

Santoro M. Luisa

Serino Lucio

Tommasi Giuliana

Trecca Francesco

Trattamenti strumentali allo svolgimento dei compiti istituzionali (gestione della corrispondenza ricevuta ed inviata dal Dirigente dell’istitututo; tenuta del protocollo generale con conseguente registrazione della posta, anche elettronica o ricevuta via fax, e delle comunicazioni di ufficio in entrata e in uscita et similia).

Acquisizione e caricamento dei dati, consultazione, stampa, comunicazione a terzi.

Ufficio personale

D.S.G.A.

 

Gilda

De Filippis

Assistenti amm.vi

Grande Ivana

Santoro M. Luisa

 

Trattamenti strumentali allo svolgimento dei compiti istituzionali, in materia di selezione ed amministrazione del personale (registrazione delle presenze presso l’istituto, assenze per malattia, esigenze famigliari, espletamento funzioni politiche o sindacali; aspetti economici e previdenziali: paghe contributi, etc.; raccolta di curricula riguardo a soggetti interessati all’espletamento di funzioni docenti, et similia).

Acquisizione e caricamento dei dati, consultazione, stampa, comunicazione a terzi, salvataggio settimanale della base dati.

Servizi amministra-tivi

D.S.G.A.

 

Gilda

De Filippis

Assistenti amm.vi

Serino Lucio

Trecca Francesco

Trattamenti strumentali allo svolgimento dei compiti di gestione amministrativa e contabile (tenuta dei dati connessi all’espletamento di procedimenti amministrativi, attività contrattuale, gestione di beni, procedure di bilancio et similia).

Acquisizione e caricamento dei dati, consultazione, stampa, comunicazione a terzi.

Servizi inerenti l’offerta formativa

e

servizi strumentali agli organi collegiali

 

 

D.S.G.A.

 

Gilda

De Filippis

Assistenti amm.vi

Castrignanò Lea

Tommasi Giuliana

 

Trattamenti strumentali alla predisposizione e concreta erogazione dell’offerta formativa (raccolta delle domande di iscrizione; condizioni sanitarie ed economiche dei destinatari dell’offerta formativa, documentazione concernente opzioni per insegnamenti facoltativi, dati inerenti profili sanitari o relativi al nucleo famigliare dei destinatari dell’offerta formativa, per il riconoscimento di attività di sostegno in ragione di situazioni di disagio, sociale, economico o famigliare, registri relativi alle presenze presso l’istituzione scolastica et similia).

Trattamenti strumentali alle attività degli organi collegiali ed attività connesse ai rapporti con organi pubblici (composizione degli organi collegiali rappresentativi della comunità servita dall’offerta formativa, convocazione degli organi, raccolta delle delibere, raccolta degli atti concertati con altre istituzioni pubbliche et similia).

Acquisizione e caricamento dei dati, consultazione, stampa, comunicazione a terzi.

Servizi strumentali, affidati all’esterno, concernenti l’assistenza e la manutenzio-ne degli strumenti elettronici (elaboratori e programmi)

 

Worldoffice s.n.c.

Corso Cavour

n. 143

Maglie

Montagna Alessandro

Trattamenti strumentali (interventi di carattere tecnico aventi ad oggetto gli strumenti elettronici, effettuati anche al di fuori dei locali di pertinenza dei singoli istituti scolastici)

Manutenzione tecnica dei programmi e degli strumenti elettronici utilizzati nel trattamento, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.)

 

 

 

 

 

4. AMBITO DEI TRATTAMENTI.

 

            Attesa la dislocazione dell’istituto in più edifici, si precisa che il trattamento dei dati mediante strumenti elettronici avviene negli uffici amministrativi della sede centrale dell’istituto, secondo le modalità indicate nella tabella seguente:

 

 

 

 

Tabella 2 Elenco dei trattamenti: informazioni di base

Struttura

deputata

al trattamento

Natura

dei dati trattati

Struttura di riferimento

Struttura esterna

che concorre al trattamento

Descrizione

degli strumenti utilizzati

Segreteria

Dirigente

scolastico

PersonaliSensibili Giudiziari

Assistenti amm.vi

Castrignanò Lea

Grande Ivana

Santoro M. Luisa

Serino Lucio

Tommasi Giuliana

Trecca Francesco

 

n. 1 p.c. client per n. 5 unità di assistente

amministrativo

Incaricato + n. 1 server + n. 1 p.c. per il DSGA

Ufficio personale

PersonaliSensibili Giudiziari

Assistenti amm.vi

Grande Ivana

Santoro M. Luisa

 

n. 1 p.c. client per n. 2 unità di assistente

amministrativo

Incaricato

Servizi amministrativi

PersonaliSensibili Giudiziari

Assistenti amm.vi

Serino Lucio

Trecca Francesco

 

n. 1 p.c. client per n. 2 unità di assistente amm.vo incaricato + n. 1 p.c. per il DSGA

Servizi inerenti l’offerta formativa

Servizi strumentali agli organi collegiali

 

PersonaliSensibili Giudiziari

Assistenti amm.vi

Castrignanò Lea

Tommasi Giuliana

 

n. 1 p.c. client per n. 2 unità di assistente

amministrativo

incaricato

Servizio di assistenza e manutenzione

 

PersonaliSensibili Giudiziari

 

Ditta Worldoffice s.n.c. di Maglie, limitatamente alle esigenze di manutenzione e/o riparazione della rete locale, dei p.c. interni, del server, degli apparati di trasmissione telematica e del firewall

n. 7 p.c. client

n. 1 server

n. 1 hub

n. 1 router

n. 1 firewall

 

 

Il trattamento dei dati avviene attraverso modalità diverse: strumenti elettronici collegati in rete fra loro e mediante collegamenti alla rete intranet ed alla RUPA, e alla rete internet. Con riferimento alla gestione dei dati mediante rete ministeriale e RUPA, l’Istituto declina ogni responsabilità, operando come semplice utente, non essendo in grado di intervenire sulla gestione delle informazioni ivi contenute e gestite.

            Con riferimento all’ubicazione fisica dei supporti di memorizzazione delle copie di sicurezza, l’Istituto, tenendo conto dell’analisi di cui al punto 5, ha ritenuto di provvedere alla custodia presso l’armadio rinforzato situato nell’ufficio del Direttore dei servizi generali e amministrativi, riservando l’accesso a tali supporti al Dirigente scolastico.

            La tabella seguente riassume il quadro dei trattamenti secondo modalità e tipologia, precisando l’ubicazione dei supporti di memorizzazione.

 

 

Tabella 3 Elenco dei trattamenti: descrizione degli strumenti utilizzati

 

Identificativo del trattamento

banche dati

di supporto

UBICAZIONE FISICA DEI SUPPORTI DI MEMORIZZAZIONE E DELLE COPIE DI SICUREZZA

Tipologia di dispositivi di accesso

Tipologia di interconnessione

Segreteria

Dirigente scolastico

Dati del protocollo informatico e cartaceo

Armadio rinforzato situato nell’ufficio del DSGA e nell’ufficio del DS

6 Pc client        e server

Rete locale e Internet

Ufficio

personale

Ruoli  e archivio del personale in formato elettronico e cartaceo;

 

Armadio rinforzato situato nell’ufficio del DSGA e nell’ufficio del DS

1 Pc client           e server

Rete locale e Internet

Servizi amministrativi

Archivio informatico e cartaceo delle imprese fornitrici di beni, servizi e/o prestazioni.

 

Armadio rinforzato situato nell’ufficio del DSGA

2 Pc client

Rete locale e Internet

Servizi inerenti l’offerta formativa  e Servizi strumentali agli organi collegiali

 

 

Archivio informatico e cartaceo dei dati relativi ai destinatari dell’offerta formativa (alunni), ai loro genitori ed eventuali tutori.

Armadio rinforzato situato nell’ufficio del DSGA

2 Pc client

Rete locale e Internet

Servizio di assistenza e manutenzione

 

Tutti gli archivi informatici contenuti negli elaboratori e nei supporti di memorizzazione per la revisione o manutenzione degli strumenti informatici e per il salvataggio e ripristino delle banche dati, senza trasporto all’esterno.

Armadio rinforzato situato nell’ufficio del DSGA

n. 7 p.c. client

n. 1 server

n. 1 supporto di memorizzazione

n. 1 hub

n. 1 router

n. 1 firewall

Rete locale e Internet

 

 

 

 

5. ANALISI DEI RISCHI INCOMBENTI SUI DATI.

 

            L’Istituto ha proceduto alla ricognizione dei rischi che potrebbero comportare distruzione, sottrazione, perdita, trattamento abusivo dei dati, di origine dolosa, colposa, ovvero meramente fortuito, in grado di recare pregiudizio ai dati personali trattati.

 

Le fonti di rischio sono state accorpate in:

1) - Comportamenti degli operatori.

Sottrazione di credenziali di autenticazione; comportamenti imperiti, imprudenti o negligenti dei soggetti legittimati al trattamento dei dati; comportamenti dolosi dei soggetti legittimati; errori materiali.

2) - Eventi relativi agli strumenti.

Danno arrecato da virus informatici e/o da hackers, mediante interventi precedenti all’aggiornamento degli strumenti di contrasto attivati (software e firewall), spamming o tecniche di sabotaggio. Malfunzionamento, indisponibilità o usura fisica degli strumenti. Accessi abusivi negli strumenti elettronici. Intercettazione dei dati in occasione di trasmissione in rete.

 

3) - Eventi relativi al contesto fisico-ambientale.

Distruzione o perdita di dati in conseguenza di eventi incontrollabili (terremoto) ovvero, seppur astrattamente preventivabili (incendi o allagamenti) di origine fortuita, dolosa o colposa, per i quali non è possibile apprestare cautele. Guasti a sistemi complementari, quale la mancata erogazione di energia elettrica per lunghi periodi di tempo, in grado di pregiudicare la climatizzazione dei locali e/o danneggiare i supporti di memorizzazione (hard disk) dei p.c. clienti o del server. Furto o danneggiamento degli strumenti elettronici di trattamento dei dati, in orario diverso da quello di lavoro. Accesso non autorizzato da parte di terzi – interni o esterni all’istituto – mediante uso abusivo di credenziali di autenticazione, in funzione di danneggiamento o sottrazione dei dati. Errori umani nell’attivazione degli strumenti di protezione.

I suddetti rischi sono stati ripartiti in classi di gravità, tenendo conto della concreta possibilità di realizzazione presso l’istituzione scolastica, adottando la seguente scansione:

 

A= alto   B = basso   EE = molto elevato   M = medio   MA = medio-alto   MB = medio-basso

 

La tabella seguente sintetizza i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutandone le possibili conseguenze e stimandone la gravità, ponendoli altresì in correlazione con le misure di sicurezza previste.

 

Tabella 4 - Analisi dei rischi

Evento

Impatto sulla sicurezza dei dati

Rif. misure di azione

 

Descrizione

GravitA’ stimata

 

comportamenti degli operatori

Furto di credenziali di autenticazione

Accesso altrui non autorizzato

M

Vigilanza sul rispetto delle istruzioni impartite

Carenza di consapevolezza, disattenzione o incuria

Dispersione, perdita e accesso altrui non autorizzato

M

Formazione e flusso continuo di informazione

Comportamenti sleali o fraudolenti

Dispersione, perdita e accesso altrui non autorizzato

M

Vigilanza sul rispetto delle istruzioni impartite

Errore materiale

Dispersione, perdita e accesso altrui non autorizzato

M

Vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione

Eventi relativi agli strumenti

Azione di virus informatici o di codici malefici

Perdita o alterazione, anche irreversibile, di dati, di programmi  e di elaboratori;

 

EE

Adozione di idonei dispositivi di protezione

Spamming o altre tecniche di sabotaggio

Perdita o alterazione, anche irreversibile, di dati, di programmi  e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi

EE

Adozione di idonei dispositivi di protezione

Malfunzionamento, indisponibilità o degrado degli strumenti

Perdita o alterazione, anche irreversibile, di dati, di programmi  e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi

MA

Assistenza e manutenzione continua degli elaboratori e dei programmi; ricambio periodico

Accessi esterni non autorizzati

Dispersione, perdita o alterazione, anche irreversibile, di dati, nonché manomissione di programmi  e di elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi

MA

Adozione di idonei dispositivi di protezione

 

Intercettazione di informazioni in rete

Dispersione di dati; accesso altrui non autorizzato

MA

Adozione di idonei dispositivi di protezione

Eventi relativi al contesto

Accessi non autorizzati a locali/reparti ad accesso ristretto

Dispersione, perdita o alterazione, anche irreversibile, di dati, nonché manomissione di programmi  e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi

M

Protezione dei locali mediante serratura con distribuzione delle chiavi ai soli autorizzati

Asportazione e furto di strumenti contenenti dati

Dispersione e perdita di dati, di programmi e di elaboratori; accesso altrui non autorizzato

MB

Protezione dei locali e dei siti di ubicazione degli elaboratori e dei supporti di memorizzazione mediante serratura con distribuzione delle chiavi ai soli autorizzati

Eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti ad incuria

Perdita di dati, dei programmi e degli elaboratori

M

Attività di prevenzione, controllo, assistenza e manutenzione periodica,vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione

Guasto ai sistemi complementari (impianto elettrico, etc.)

Perdita o alterazione, anche irreversibile, di dati, nonché manomissione dei programmi  e degli elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi

A

Attività di controllo, assistenza e manutenzione periodica

Errori umani nella gestione della sicurezza fisica

Perdita o alterazione, anche irreversibile, di dati, nonché manomissione dei programmi  e degli elaboratori; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi

M

Vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione

 

 

 

 

6.         MISURE ADOTTATE PER GARANTIRE L'INTEGRITÀ E LA DISPONIBILITÀ DEI DATI, NONCHÈ LA PROTEZIONE DELLE AREE E DEI LOCALI, RILEVANTI AI FINI DELLA LORO CUSTODIA E ACCESSIBILITÀ.

 

Sulla scorta della ricognizione dei rischi sopra rappresentata, l’istituto ha provveduto ad apprestare e/o introdurre strumenti di tutela, ovvero a prevedere successive, e più incisive, misure di sicurezza. La tabella seguente sintetizza le misure di sicurezza in essere, corredate da indicazioni di dettaglio.

 

Tabella 5 Le misure di sicurezza adottate o da adottare

Misura

 

Rischio contrastato

Struttura interessata

Eventuale banca dati interessata

Misura già in essere

Periodicità e responsabile dei controlli

Preventiva, di contrasto, di contenimento degli effetti

 

Dispersione, perdita o alterazione, anche irreversibile, di dati, di programmi  e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi

Segreteria

Dirigente scolastico

Relativo archivio

Antivirus  Firewall e creden-ziali di autenticazione

Bimestrale; responsabile

pro tempore

del servizio

Preventiva, di contrasto, di contenimento degli effetti

 

Dispersione, perdita o alterazione, anche irreversibile, di dati, di programmi  e di elaboratori; accesso altrui non autorizzato; impossibilità temporanea di accesso ai dati e di utilizzo dei programmi

Ufficio personale

Relativo archivio

 

Antivirus  Firewall e creden-ziali di autenticazione

Bimestrale; responsabile pro tempore del servizio e, per la parte di competenza, della ditta esterna

Preventiva, di contrasto, di contenimento degli effetti

 

Dispersione, perdita o alterazione, anche irreversibile, di dati, di programmi  e di elaboratori; accesso altrui non autorizzato;  impossibilità temporanea di accesso ai dati e di utilizzo dei programmi

Servizi amministrativi

Relativo archivio

Antivirus  Firewall e creden-ziali di autenticazione

Bimestrale; responsabile pro tempore del servizio

Preventiva, di contrasto, di contenimento degli effetti

 

Dispersione, perdita o alterazione, anche irreversibile, di dati, di programmi  e di elaboratori; accesso altrui non autorizzato;  impossibilità temporanea di accesso ai dati e di utilizzo dei programmi

Servizi inerenti l’offerta formativa e servizi strumentali agli organi collegiali

Relativo archivio

Antivirus  Firewall e creden-ziali di autenticazione

Bimestrale; responsabile pro tempore del servizio

 

 

 

 

7.         CRITERI E DELLE MODALITÀ PER IL RIPRISTINO DELLA DISPONIBILITÀ DEI DATI IN SEGUITO A DISTRUZIONE O DANNEGGIAMENTO

           

Al fine di garantire l’integrità dei dati contro i rischi di distruzione o perdita, è stata definita una procedura di periodica esecuzione di copie di sicurezza dei dati trattati. Sono state perciò acquisite licenze di uso per software antivirus, nonché sistemi di firewall con verifica di idoneità e costante aggiornamento. In ogni caso si osserva che l’istituto dispone di un sistema di controllo degli accessi ai locali. I documenti sono anche conservati in copia cartacea presso locali dell’istituto non accessibili ai terzi e dotati di adeguati strumenti di protezione (armadi con serrature, stanze protette da inferriate, edificio protetto da impianto di allarme collegato a ditta di sorveglianza).

Sinteticamente è possibile rappresentare la seguente procedura di copia, verifica e ripristino dei dati per ogni terminale di collegamento a server.

 

 

Tabella 6 Procedure di copia, verifica e ripristino per ogni singola unità contenente dati

Struttura

Applicativo

Sistema operativo

Supporti magnetici

Procedura   di copia

Procedura    di verifica

Ripristino

Segreteria

Dirigente scolastico

Sissi in rete

Office

Windows XP

Hard disk rimovibile

Procedura di back-up di Axios e di Windows XP

Procedura di back-up di Axios e di Windows XP

Procedura di restore di Axios e di Windows XP

Ufficio personale

Sissi in rete

Office

Windows XP

Hard disk rimovibile

Procedura di back-up di Axios e di Windows XP e di Windows 2000 server

Procedura di back-up di Axios e di Windows XP e di Windows 2000 server

Procedura di restore di Axios, di Windows XP e di Windows 2000 server

Servizi amministrativi

Sissi in rete

Office

Windows XP

Hard disk rimovibile

Procedura di back-up di Axios e di Windows XP

Procedura di back-up di Axios e di Windows XP

Procedura di restore di Axios e di Windows XP

Servizi inerenti l’offerta formativa e gli organi collegiali

 

Sissi in rete

Office

Windows XP

Hard disk rimovibile

Procedura di back-up di Axios e di Windows XP

Procedura di back-up di Axios e di Windows XP

Procedura di restore di Axios e di Windows XP

Con riferimento invece al contenuto ed alle competenze in tema di copia, verifica e ripristino, le soluzioni organizzative adottate presso l’istituzione scolastica sono sintetizzate nella seguente tabella.

 

 

Tabella 7 - Salvataggio dei dati

 

Salvataggio

 

Criteri individuati

 per il salvataggio

Ubicazione

di conservazione

delle copie

Struttura  incaricata del salvataggio

Struttura

Dati contenuti

Segreteria

Dirigente scolastico

Personali Sensibili Giudiziari

del protocollo

Salvataggio dati settimanale

Ufficio del DSGA e Ufficio del DS sito in Melendugno alla Via San Giovanni, 1 con serratura e con chiavi distribuite fra i soli autorizzati

Responsabile del servizio e Responsabile ditta esterna

Ufficio personale

Personali Sensibili Giudiziari

del personale

Salvataggio dati settimanale

Ufficio del DSGA e Ufficio del DS sito in Melendugno alla Via San Giovanni, 1 con serratura e con chiavi distribuite fra i soli autorizzati

Responsabile del servizio e Responsabile ditta esterna

Servizi amministrativi

Personali Sensibili Giudiziari

inerenti ditte interessate ad attività negoziali

Salvataggio dati settimanale

Ufficio del DSGA e Ufficio del DS sito in Melendugno alla Via San Giovanni, 1 con serratura e con chiavi distribuite fra i soli autorizzati

Responsabile del servizio e Responsabile ditta esterna

Servizi inerenti l’offerta formativa e gli organi collegiali

Personali Sensibili Giudiziari

degli alunni, dei genitori e dei tutori

Salvataggio dati settimanale

Ufficio del DSGA e Ufficio del DS sito in Melendugno alla Via San Giovanni, 1 con serratura e con chiavi distribuite fra i soli autorizzati

Responsabile del servizio e Responsabile ditta esterna

 

 

 

Con riferimento alle procedure di ripristino, l’Istituzione scolastica ha adottato le seguenti modalità

 

 

Tabella 8 - Ripristino dei dati

 

Ripristino ( in seguito a distruzione o danneggiamento )

Data base/archivio

Scheda operativa

Pianificazione delle prove di ripristino

Segreteria

Dirigente scolastico

Viene effettuato un  back-up dei dati trattati e dei documenti presenti sull’HD su due supporti che vengono conservati in più locali con serratura, ma sempre all’interno della sede dell’istituto di Via San Giovanni, 1 - Melendugno

Trimestrale

Ufficio personale

Viene effettuato un  back-up dei dati trattati e dei documenti presenti sull’HD su due supporti che vengono conservati in più locali con serratura, ma sempre all’interno della sede dell’istituto di Via San Giovanni, 1 - Melendugno

Trimestrale

Servizi amministrativi

Viene effettuato un  back-up dei dati trattati e dei documenti presenti sull’HD su due supporti che vengono conservati in più locali con serratura, ma sempre all’interno della sede dell’istituto di Via San Giovanni, 1 - Melendugno

Trimestrale

Servizi inerenti l’offerta formativa e gli organi collegiali

Viene effettuato un  back-up dei dati trattati e dei documenti presenti sull’HD su due supporti che vengono conservati in più locali con serratura, ma sempre all’interno della sede dell’istituto di Via San Giovanni, 1 - Melendugno

Trimestrale

 

 

8.         PROGRAMMA DEGLI INTERVENTI FORMATIVI DEGLI INCARICATI DEL TRATTAMENTO.

 

L’istituto intende aderire alle iniziative formative organizzate dalla direzione regionale del Ministero dell’Istruzione, dell’Università e della Ricerca Scientifica, tenendo anche conto della economicità di un’azione organizzata su base regionale, rispetto ad una gestione in proprio delle attività formative. L’istituto opera integrale rinvio alla programmazione della Direzione regionale, ovvero del M.I.U.R., riservandosi comunque di agire in via suppletiva, qualora, per ragione organizzative od economiche, non sia possibile far partecipare il proprio personale alle attività di formazione necessarie per adempiere alle prescrizioni ordinamentali. In coincidenza con l’adozione del presente documento e con il conferimenti degli incarichi in esso previsti, l’istituto provvederà ad una formazione essenziale del personale interessato ad opera della ditta esterna incaricata del servizio di assistenza e manutenzione, in grado di assolvervi. A tal fine è stata designato, con atto allegato al presente documento, il responsabile del trattamento dei dati quale la persona incaricata di curare l’effettiva esecuzione dell’attività formativa da parte del personale coinvolto.

 

 

Tabella 9 - Pianificazione degli interventi formativi

Corso di formazione

(oggetto)

Descrizione sintetica dell’obiettivo formativo

Classi di incarico interessate

Numero di incaricati interessati

Numero di incaricati da formare in corso d’anno

Calendario

Nozioni fondamentali del Codice Privacy – Misure di sicurezza -

Porre in condizione il personale di conoscere il Codice Privacy ed i sistemi di protezione dei dati adottati

Tutti i titolari di credenziali di autenticazione

7

7

Entro il mese di novembre 2004

L’adempimento dell’obbligo di aggiornamento del DPS

Porre in condizione il personale di adempiere entro il 31.3.2005 all’obbligo di aggiornamento del DPS

Il titolare ed il responsabile del trattamento dati

2

2

Da concordare con la direzione regionale

Quadro riepilogativo degli adempimenti e degli obblighi in materia di privacy (ivi incluse le misure di sicurezza per gli archivi cartacei)

Mantenimento del richiesto grado di conoscenza dell’intero impianto della normativa in materia di privacy, anche ai fini delle misure di sicurezza da adottare per gli archivi cartacei.

Tutti i titolari di credenziali di autenticazione

7

7

Da concordare con la direzione regionale

Privacy e diritto di accesso nelle istituzioni scolastiche

Fornire un quadro coordinato dei diritti (accesso e riservatezza) riconosciuti all’utenza dalla vigente legislazione in rapporto ai doveri gravanti sulle scuole

Responsabili dei servizi e personale a diretto contatto con l’utenza

7

7

Da concordare con la direzione regionale

Esame della casistica ricorrente nell’attività di ufficio, alla luce delle sentenze del giudice amministrativo e dei pronunciamenti del Garante

Aggiornare il personale sull’evoluzione dell’interpretazione della normativa intervenuta nel corso dell’anno

Responsabili dei servizi e personale a diretto contatto con l’utenza

7

7

Da concordare con la direzione regionale

 

9.         TRATTAMENTI DI DATI PERSONALI SENSIBILI O GIUDIZIARI CON STRUMENTI ELETTRONICI AFFIDATI ALL’ESTERNO.

 

L’Istituto ha proceduto all’affidamento esterno del servizio di assistenza, manutenzione e riparazione degli strumenti elettronici e dei programmi, secondo modalità conformi a quanto previsto dal Codice, nominando la ditta Worldoffice s.n.c. di Maglie quale responsabile del trattamento, limitatamente ai dati e alle operazioni necessari per lo svolgimento delle attività conferite. A tal fine l’Istituto ha imposto le cautele indicate in calce alla tabella che segue, affinché il soggetto destinatario adotti le misure di sicurezza richieste dal Codice, ivi incluso il relativo all. B.

Per i soggetti indicati nella seguente tabella, l’atto di nomina è allegato al presente DPS (all. n. 3).

 

 

Tabella 10 - Trattamenti affidati all’esterno

Attività della ditta esterna comportante trattamento di dati sensibili o giudiziari all’interno dell’istituto

tipo di dati trattati

Soggetto esterno

Descrizione dei criteri per l’adozione delle misure

Conservazione e messa a disposizione tramite server in dotazione delle informazioni occorrenti per lo svolgimento dei compiti d’ufficio

Personali Sensibili Giudiziari

Ditta Worldoffice s.n.c. di Maglie di cui al contratto in essere, allegato al presente DPS, integrato dall’allegato atto di nomina del Sig. Alessandro Montagna a responsabile del relativi trattamenti

Vincolo contrattuale, a carico della ditta esterna, a tenere i comportamenti descritti in calce alla presente tabella.

Svolgimento delle attività strumentali finalizzate all’installazione e al buon funzionamento degli elaboratori, dei programmi e degli altri strumenti elettronici in dotazione agli uffici

Personali Sensibili Giudiziari

Ditta Worldoffice s.n.c. di Maglie di cui al contratto in essere, allegato al presente DPS, integrato dall’allegato atto di nomina del Sig. Alessandro Montagna a responsabile del relativi trattamenti

Vincolo contrattuale, a carico della ditta esterna, a tenere i comportamenti descritti in calce alla presente tabella.

 

 

 

 

10.       VINCOLI CONTRATTUALMENTE ASSUNTI DAL FORNITORE ESTERNO AI FINI DELLA SICUREZZA DEI DATI

 

L’Istituto ha affidato a ditta esterna, nei termini risultanti dalla sopraindicata tabella, i trattamenti di dati personali, sensibili e giudiziari, effettuato con strumenti elettronici, previa assunzione da parte dell’affidatario – nell’ambito dello stesso contratto con cui viene realizzato l’affidamento – degli impegni derivanti dalle seguenti dichiarazioni:

1.      di essere consapevole che i dati che tratterà nell’espletamento dell’incarico ricevuto, sono dati personali e, come tali sono soggetti all’applicazione del Codice;

2.      di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali;

3.      di adottare le istruzioni specifiche ricevute per il trattamento dei dati personali e di integrarle nelle procedure già in essere;

4.      di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate e di avvertire (allertare) immediatamente il proprio committente in caso di situazioni anomale o di emergenze;

5.      di riconoscere il diritto del committente a verificare periodicamente l’applicazione delle norme di sicurezza adottate.

 

 

 

11. ATTI E DOCUMENTI IN FORMATO NON ELETTRONICO (archivi cartacei)

 

I trattamenti di dati personali con strumenti diversi da quelli elettronici sono effettuati dagli incaricati seguendo le istruzioni scritte ad essi impartite con il documento di cui all’allegato 1, finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. L'aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati ha carattere annuale. Gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti. I medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

L'accesso agli archivi contenenti dati sensibili o giudiziari è consentito solamente alle persone preventivamente autorizzate.

 

 

12. SISTEMA DI AUTORIZZAZIONE.

 

Considerate le esigenze organizzative dell’istituto, caratterizzate, sia per il funzionamento didattico che amministrativo, da indispensabile interscambiabilità funzionale degli incaricati, non è stato adottato un sistema di autorizzazione.

 

 

13. OBBLIGO DI AGGIORNAMENTO PERIODICO DEL DPS

 

Il presente documento programmatico sulla sicurezza è sottoposto a revisione annuale nella sua interezza, entro la scadenza del 31 marzo di ciascun anno, come previsto dalla regola 19 del Disciplinare tecnico di cui all’allegato B) del Codice, in relazione al disposto dell’art. 34, lettera g) del Codice stesso.

 

Gli allegati al presente documento ne formano parte integrante.

 

Il presente documento è aggiornato al 6 dicembre 2004.

 

 

 

IL RESPONSABILE DEL TRATTAMENTO                       IL TITOLARE DEL TRATTAMENTO

                       Gilda De Filippis                                                            Luigi Giuseppe REHO

  Direttore Servizi Generali e Amministrativi                                            Dirigente scolastico

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Servizi Generali e Amministrativi

Piano di lavoro annuale dei servizi amministrativi

 

Piano di lavoro annuale dei servizi generali