DPS ISS Darwin 2011

DPS - Documento Programmatico sullaDPS - Documento Programmatico sulla

SicurezzaSicurezza

Istituto Statale D’Istruzione Superiore

“Charles Darwin”

via Via Tuscolana n. 388

00181 Roma

(Codice sulla Privacy – D.Lgs. 196/2003)

ANNO 2011

Protocollo n . 1525/C19 del 21/03/2011

Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma

Pag. 2 di 21

INDICE

PARTE 1ª - L’ISTITUZIONE SCOLASTICA .............................. 4

PARTE 2ª - LA METODOLOGIA E LE INFORMAZIONI GENERALI SUI DATI 5

Il DPS e l’approccio adottato ...................................................................... 5

Come è stata effettuata la rilevazione ....................................................... 5

Dati sensibili e giudiziari ............................................................................ 7

ATTI E DOCUMENTAZIONI IN FORMATO NON ELETTRONICO E ARCHIVI CARTACEI

........................................................................... 8

I TRATTAMENTI DI DATI PERSONALI CON STRUMENTI DIVERSI DA QUELLI

ELETTRONICI SONO EFFETTUATI DAGLI INCARICATI SEGUENDO LE ISTRUZIONI AD

ESSI IMPARTITE, FINALIZZATE AL CONTROLLO E ALLA CUSTODIA, PER L’INTERO

CICLO NECESSARIO ALLO SVOLGIMENTO DELLE OPERAZIONI DI TRATTAMENTO,

DEGLI ATTI E DEI DOCUMENTI CONTENENTI DATI PERSONALI. ............. 8

GLI ATTI E I DOCUMENTI CONTENENTI DATI PERSONALI SENSIBILI O GIUDIZIARI

SONO AFFIDATI AGLI INCARICATI DEL TRATTAMENTO PER LO SVOLGIMENTO DEI

RELATIVI COMPITI. GLI STESSI ATTI E DOCUMENTI SONO CONTROLLATI E

CUSTODITI DAGLI INCARICATI FINO ALLA RESTITUZIONE IN MANIERA CHE AD

ESSI NON ACCEDANO PERSONE SENZA AUTORIZZAZIONE; GLI STESSI SONO

RESTITUITI AL TERMINE DELLE OPERAZIONI AFFIDATE. .................. 8

L’ACCESSO AGLI ARCHIVI CONTENENTI DATI SENSIBILI O GIUDIZIARI È

CONSENTITO SOLO AL PERSONALE AUTORIZZATO .......................... 8

PARTE 3ª - IL QUADRO DELLA SITUAZIONE ............................ 9

L’analisi dei trattamenti ............................................................................ 9

Quadro di sintesi ........................................................................................ 9


Pag. 3 di 21

I trattamenti: chi li effettua e con quali strumenti .................................. 10

Attività e banche dati .............................................................................. 15

Trattamenti affidati all’esterno ............................................................... 16

PARTE 4ª - RISCHI STIMATI - MISURE DI SICUREZZA ............... 17

Valutazione dei rischi ............................................................................... 17

Altre misure di sicurezza .......................................................................... 18

Interventi formativi .................................................................................. 19

PARTE 5°- INFORMAZIONI GENERALI SULLE ATTIVITÀ SVOLTE ....... 19

PARTE 6°- VERIFICA PERIODICA .................................... 20

PARTE 7°- ALLEGATI ................................................ 20


Pag. 4 di 21

PARTE 1ª - L’Istituzione Scolastica

L’istituto Statale D’Istruzione Superiore “Charles Darwin” , nasce dall’unione

del già presente Istituto Tecnico Statale per il Turismo “Marco Polo” con il

Liceo Scientifico “Pitagora”, e ha la sede in via Tuscolana n. 388 nel Comune

di Roma.

L’indirizzo e-mail utilizzato è “[email protected]”.

La struttura della scuola può essere così rappresentata:

Dirigente Scolastico pro tempore : Prof.ssa Giuseppina Rubinacci;

Vicario pro tempore: Prof.ssa Maria Antonietta Maddalena

Direttore Servizi generali Amministrativi: Sig.ra Patrizia De Angelis;

Responsabile delle tecnologie informatiche: Sig. Daniele Perrotta in

qualità di tecnico esterno; (vedi lettera d’incarico )

Responsabile del trattamento dei dati personali, nominato ai sensi

dell’art. 29 del Dlgs. 196/2003: Sig.ra Patrizia De Angelis (DSGA). (vedi

lettera d’incarico)

La scuola è frequentata nell’anno in corso da 765 studenti.

Il personale è composto da 80 docenti e 21 unità ATA, più 3 co.co.co.

Il nostro Istituto può quindi essere considerato di grandi dimensioni, che

tratta dati personali e dati sensibili in funzione del raggiungimento delle

proprie finalità istituzionali. Di conseguenza ci si è posti l’obiettivo di:

organizzare i trattamenti di dati in formato cartaceo, con particolare

riguardo alle attività didattiche e di segreteria, in modo da garantire

un’idonea custodia e conservazione dei documenti e di riservare

l’accesso alle aree in cui si effettuano i trattamenti, ai soli soggetti

incaricati;

porre in essere le misure di sicurezza adeguate per la protezione dei

dati trattati in formato elettronico.


Pag. 5 di 21

PARTE 2ª - La metodologia e le informazioni generali

sui dati

Il DPS e l’approccio adottato

Il presente DPS è stato redatto a seguito di una rilevazione sistematica dei

dati personali trattati dalla scrivente Istituzione scolastica attraverso

strumenti elettronici e di un’analisi dell’infrastruttura tecnologica esistente,

con particolare riferimento alle caratteristiche della rete, dei Personal

Computer, dei sistemi di sicurezza in uso.

E’ seguita un’analisi dei rischi ed una valutazione in ordine alla possibilità che

possano verificarsi episodi di utilizzo improprio dei dati, di loro perdita o

distruzione e di accesso non autorizzato.

Sono state, di conseguenza, individuate misure ulteriori, rispetto a quelle già

in essere, per ridurre i rischi rilevati.

Come è stata effettuata la rilevazione

La compilazione “partecipata”, da parte del Dirigente Scolastico Prof.ssa

Giuseppina Rubinacci, e del DSGA Sig.ra Patrizia De Angelis (responsabile del

trattamento dei dati), ha consentito una valutazione complessiva più generale

dello stato dell’organizzazione e dei fabbisogni dell’istituzione scolastica e,

con essa, l’individuazione di soluzioni migliorative delle sue prestazioni.


Pag. 6 di 21

Informazioni generali sui dati trattati

La scuola, nell’ambito delle finalità istituzionali perseguite, può trattare,

anche mediante strumenti elettronici, i dati individuati dall’articolo 4 lettere

b), c) d) e) del Decreto Legislativo 30 Giugno 2003, n°196.

I trattamenti avvengono nel rispetto degli obblighi derivanti dalla legislazione

nazionale e comunitaria, nonché da fonti di natura regolamentare.

Tra le disposizioni sopra menzionate, si evidenzia il particolare rilievo dei

trattamenti previsti dalla seguente normativa:

R.D. n. 653/1925, D.Lgs. n. 297/1994, D.P.R. n. 275/1999;

Legge 19/03/1990 n°50, Decreto Interministeriale 1 febbraio 2001, n.

44 e le norme in materia di contabilità generale dello Stato;

Legge n. 104/1992, Legge n. 53/2003, D.Lgs. n. 165/2001;

D.Lgs. n. 196/2003; D.Lgs. n. 227/2005; D.Lgs. n. 76/05; D.Lgs. n.

77/05; D.Lgs. n. 226/05; D.Lgs. n. 196/2003;

I dati sensibili e giudiziari sono trattati nel rispetto del D.M. 305/2006;

D.Lgs. n. 151/2001, l’art. 112 del D.Lgs. n. 193/2004, i Contratti

Collettivi di Lavoro Nazionali ed Integrativi stipulati ai sensi delle norme

vigenti;

tutta la normativa collegata alle citate disposizioni.

I trattamenti sono legati all’erogazione dei servizi formativi ed educativi

dell’Istituzione scolastica, ai connessi rapporti con gli alunni e le famiglie, agli

adempimenti relativi alla gestione e alla formazione del personale, agli

adempimenti di contabilità e bilancio.

In linea generale, i dati trattati (a prescindere se si tratti o no di trattamento

elettronico) riguardano:

persone fisiche, identificate o identificabili, quali nominativo, data di

nascita, residenza, domicilio, stato di famiglia, codice fiscale, obblighi

di leva;

persone giuridiche quali la forma giuridica, la sede legale, la data di

costituzione, informazioni relative agli organi rappresentativi e legali,

partita Iva, codice fiscale, la titolarità di diritti o la disponibilità di beni

strumentali;


Pag. 7 di 21

presenze, prestazioni previdenziali, stipendi, permessi, ferie, malattia,

stato di servizio e altri dati connessi ai rapporti di lavoro del personale

della scuola;

eventuali procedimenti di natura penale, civile, tributaria e

amministrativa di cui la scuola sia venuta a conoscenza;

rapporti del Dirigente scolastico e dei docenti con le famiglie;

attività degli organi collegiali dell’Istituzione scolastica;

atti negoziali od offerte commerciali provenienti da fornitori di beni e

servizi, ivi comprese eventuali attività professionali svolte a fini

formativi;

rapporti e convenzioni con aziende e agenzie formative, per iniziative

didattiche, stage e tirocini degli alunni;

altri soggetti, situazioni, eventi in applicazione di disposizioni di Legge

o Regolamenti.

Dati sensibili e giudiziari

Quanto ai trattamenti di dati sensibili e giudiziari in formato elettronico, va

rilevato che è stata effettuata una ricognizione completa.

Non vengono trattati dati giudiziari in formato elettronico.

Il trattamento di dati sensibili attraverso strumenti elettronici è limitato ai

pochi casi previsti dai programmi ministeriali utilizzati e per quanto

strettamente indispensabile al lavoro dell’istituzione scolastica, con

particolare riguardo ai trattamenti relativi alla gestione dei rapporti di lavoro

in atto e nel rispetto del D.M. 305/2006.


Pag. 8 di 21

Atti e documentazioni in formato non elettronico e archivi

cartacei

I trattamenti di dati personali con strumenti diversi da quelli elettronici sono

effettuati dagli incaricati seguendo le istruzioni ad essi impartite,

finalizzate al controllo e alla custodia, per l’intero ciclo necessario allo

svolgimento delle operazioni di trattamento, degli atti e dei documenti

contenenti dati personali.

Gli atti e i documenti contenenti dati personali sensibili o giudiziari sono

affidati agli incaricati del trattamento per lo svolgimento dei relativi

compiti. Gli stessi atti e documenti sono controllati e custoditi dagli

incaricati fino alla restituzione in maniera che ad essi non accedano

persone senza autorizzazione; gli stessi sono restituiti al termine delle

operazioni affidate.

L’accesso agli archivi contenenti dati sensibili o giudiziari è consentito solo al

personale autorizzato


Pag. 9 di 21

PARTE 3ª - Il quadro della situazione

L’analisi dei trattamenti

Lo studio relativo ai trattamenti di dati (in formato elettronico) effettuato

dalla Istituzione scolastica è avvenuta nel seguente modo:

1. sono state rilevate le attività in essere che comportano il trattamento

elettronico di dati personali;

2. sono state individuate le strutture e/o le figure professionali incaricate dei

trattamenti;

3. sono stati rilevati e descritti gli strumenti informatici utilizzati per il

trattamento dei dati.

Quadro di sintesi

La scuola è dotata di 89 personal computer, collegati in rete e collegati ad

internet:

Laboratorio di lingue è dotato di 15 PC collegati in rete tra di loro e

con la rete d'Istituto. Consente tutte le funzioni di un moderno laboratorio

linguistico. Accedono tutti ad internet.

Laboratorio di gestionale è dotato di 15 computer collegati in rete tra

di loro e alla rete d’istituto, accedono ad internet.

Laboratorio multimediale è utilizzato per svolgere simulazioni delle

operazioni di prenotazione e organizzazione viaggi che avvengono nelle

agenzie, dotata di 14 computer collegati in rete tra di loro e con la rete

d'Istituto. Accedono tutti ad internet.

Laboratorio di trattamento testi e dati con 19 pc collegati in rete tra di

loro e con la rete d'Istituto, non accedono ad internet

Laboratorio informatica liceo dotato di 6 pc collegati alla rete d’istituto

accedono tutti ad internet.

I 15 pc della segreteria e Dirigenza sono collegati in rete con 1 server

1 server diverso è utilizzato per la rete dei laboratori

3 pc nelle 2 biblioteche


Pag. 10 di 21

La scuola ha installato un dispositivo di filtro e protezione della rete contro le

intrusioni dall’esterno (firewall) nel 2005.

I trattamenti: chi li effettua e con quali strumenti

I trattamenti di dati personali in formato elettronico sono effettuati dal

personale di segreteria incaricato dal Direttore Servizi Generali Amministrativi

e dagli Assistenti Amministrativi esclusivamente con riferimento

all’espletamento delle funzioni istituzionali ad essi rispettivamente assegnate.

L’ambito dei trattamenti autorizzati ai singoli incaricati è suscettibile di

aggiornamento periodico. I trattamenti di dati personali in formato elettronico

effettuati dal Dirigente Scolastico e dai docenti sono assai sporadici e,

soprattutto, i dati trattati non vengono conservati su file elettronici o

organizzati in database.

Il personale di segreteria effettua le seguenti operazioni di trattamento:

registrazione, inserimento, archiviazione, consultazione e cancellazione dati.

Le operazioni di comunicazione e diffusione dei dati sono effettuate solo su

specifica autorizzazione del Titolare o del Responsabile del trattamento dei

dati.

Il server utilizzato per le attività di segreteria è il PC n° 3032, ubicato in un

locale al secondo piano dell’edificio principale, che si è dimostrato assai

affidabile dal punto di vista del corretto e continuo funzionamento. Il

responsabile della gestione del server è il DSGA Sig.ra Patrizia De Angelis.

I trattamenti di dati personali in formato elettronico vengono

prevalentemente effettuati attraverso l’applicazione SISSI, installata sul

server (PC n. 3032), che autorizza gli accessi attraverso credenziali (userid e

password). Per l’accesso sono utilizzati codici personali, conosciuti solo dagli

incaricati; la password di accesso è formata da otto caratteri e non è

riconducibile al nome degli stessi incaricati; il nome utente e la password

sono assegnati per la prima volta dall’amministratore di rete: Sig. Daniele

Perrotta; la password è cambiata periodicamente dagli incaricati e dal

Responsabile, che la comunicano, in busta chiusa, al custode delle password il

DSGA Sig.ra Patrizia De Angelis. (vedi lettera d’incarico)

Tutti gli addetti di segreteria hanno accesso alle banche dati che contengono i

dati personali utilizzati per i trattamenti; dunque, non sono previsti privilegi di

accesso o particolari livelli di autorizzazione all’accesso. Questa

organizzazione si rende necessaria, in virtù del fatto che gli assistenti

amministrativi devono essere sempre in grado di sostituire, in caso di


Pag. 11 di 21

necessità, i colleghi assenti.

Per i trattamenti di dati personali vengono utilizzati esclusivamente i PC

situati nei locali di segreteria situata al piano terra della sede, continuamente

presidiati dal personale interno.


Pag. 12 di 21

Su tutti i pc della scuola è attivo un controllo sul sistema di gestione delle

password volto a garantire: la lunghezza minima di otto caratteri; il cambio

della password al primo utilizzo da parte dell'utente (segnalazione mediante

messaggio a video della necessità del cambio password); che la password

non sia facilmente riconducibile all'incaricato; che la password venga

cambiata dall'incaricato ogni 3 mesi (segnalazione all'utente mediante

messaggio a video della necessità del cambio password). E’ prevista la

segnalazione all'Amministratore di sistema degli utenti che non hanno

provveduto al cambio password.

Le password di accesso al computer dovranno essere consegnate in busta

chiusa al titolare dei dati che provvederà a comunicarli al Responsabile dei

dati. Altresì le stesse saranno annotate su un apposito registro custodito nella

cassaforte collocata nell’ufficio della Presidenza.

I client di segreteria (usati per pratiche amministrative per il trattamento di

dati connesso alle pratiche dell’ufficio di segreteria), sono cosi distribuiti:

N°

Inv.

Sist. Operativo/

versione

Connes

so a

interne

t

Funzione e Nome del

responsabile (R),

funzione e nome di

eventuali altri

utilizzatori (U)

Acces

so

con:

Dotat

o di :

Tipo di dato

trattato:

3031 Microsoft

Windows XP

Versione 2000

Si R DS Prof.ssa

Giuseppina Rubinacci

Passw

ord

Antivir

us

Personali e

sensibili

3295 Microsoft

Windows XP

Versione 2000

Si R DSGA Sig.ra Patrizia

De Angelis

Passw

ord

Antivir

us

Personali e

sensibili

3589 Microsoft

Windows XP

Versione 2000

Si R AS Sig.ra Sandra

Nardella

Passw

ord

Antivir

us

Personali e

sensibili

3294 Microsoft

Windows XP

Versione 2000

Si R AS Sig.ra Rita Paoletti Passw

ord

Antivir

us

Personali e

sensibili

3346 Microsoft

Windows XP

Versione 2000

Si R AS Sig.ra Luigia

Trollini

Passw

ord

Antivir

us

Personali e

sensibili

3345 Microsoft

Windows XP

Versione 2000

Si R supplente

temporaneo

Sig.ra Lucia Bruscaglia

Passw

ord

Antivir

us

Personali e

sensibili


Pag. 13 di 21

I client di segreteria (usati per pratiche didattiche e per il trattamento di dati),

sono cosi distribuiti:

N°

Inv.

Sist. Operativo/

versione

Connes

so a

interne

t

Funzione e Nome del

responsabile (R),

funzione e nome di

eventuali altri

utilizzatori (U)

Acces

so

con:

Dotat

o di :

Tipo di dato

trattato:

3289 Microsoft

Windows XP

Versione 2002

Si Didattica Passw

ord

Antivir

us

Personali e

sensibili

3290 Microsoft

Windows XP

Versione 2002

Si R AS Bruna Isolda Passw

ord

Antivir

us

Personali e

sensibili

3288 Microsoft

Windows XP

Versione 2002

Si R co.co.co.

Rosanna Coletta

Passw

ord

Antivir

us

Personali e

sensibili

3292 Microsoft

Windows XP

Versione 2002

Si R AS Sig.ra Lucia

Antonimi

Passw

ord

Antivir

us

Personali e

sensibili

3590 Microsoft

Windows XP

Versione 2002

Si R AS Sig.ra Anna

Pascolo

Passw

ord

Antivir

us

Personali e

sensibili

3351 Microsoft

Windows XP

Versione 2002

Si R co.co.co

Sig. Andrea Buffarini

Passw

ord

Antivir

us

Personali e

sensibili

3344 Microsoft

Windows XP

Versione 2002

Si R co.co.co

Sig.ra Debora Marziali

Passw

ord

Antivir

us

Personali e

sensibili

Come già evidenziato, vengono utilizzate password di accesso per accedere ai

Personal Computer; le password vengono cambiate ogni tre mesi. Per la

protezione dai virus informatici è utilizzato un antivirus “Kaspersky”

continuamente aggiornato.

Gli schermi dei PC si oscurano automaticamente in caso di non utilizzo, in

modo da non rendere immediatamente accessibili le informazioni a soggetti

diversi dagli incaricati, eventualmente presenti sui luoghi dei trattamenti.

La scuola ha adottato un sistema di oscuramento automatico che prevede la

richiesta dei codici di accesso in caso di inattività per un determinato periodo

di tempo, oltre allo spegnimento automatico in caso di inattività. Va inoltre


Pag. 14 di 21

evidenziato che i luoghi dove si effettuano i trattamenti (compreso l’ufficio del

Dirigente Scolastico) sono sempre vigilati e che in caso di assenza degli

incaricati i luoghi vengono chiusi a chiave. Non è permesso l’accesso ai locali

dove si effettuano i trattamenti a persone che non siano incaricate.


Pag. 15 di 21

Attività e banche dati

Attraverso gli strumenti sopra evidenziati vengono effettuati i seguenti

trattamenti, suddivisi in base alla banca dati di appartenenza.

Banca dati Residen

te sul

pc

(n°inv.)

Operatore

prevalente sulla BD

e trattamenti

autorizzati1

Altri operatori

abilitati al

trattamento della

BD

Applicazio

ne

utilizzata

(Sissi,

Argo,

etc..)

Studenti 3032 Tutti gli addetti di

segreteria

A-B-C-D-E-F

Sig. Andrea Perrotta

(amm. di rete) A-B-

C-D-E-F

SISSI

Personale

(permessi, congedi,

malattie, status)

3032 Tutti gli addetti di

segreteria

A-B-C-D-E-F


(amm. di rete) A-B-

C-D-E-F

SISSI

Retribuzioni 3032 Tutti gli addetti di

segreteria

A-B-C-D-E-F


(amm. di rete) A-B-

C-D-E-F

SISSI

Fornitori 3032 Tutti gli addetti di

segreteria

A-B-C-D-E-F


(amm. di rete) A-B-

C-D-E-F

SISSI

Contabilità e Bilancio 3032 Tutti gli addetti di

segreteria

A-B-C-D-E-F


(amm. di rete) A-B-

C-D-E-F

SISSI

Protocollo informatico 3032 Tutti gli addetti di

segreteria

A-B-C-D-E-F


(amm. di rete) A-B-

C-D-E-F

AXIOS

Conto Corrente

Postale

3032 Tutti gli addetti di

segreteria

A-B-C-D-E-F


(amm. di rete) A-B-

C-D-E-F

AXIOS

1 A – Inserimento/registrazioneB – Modifica C – Cancellazione D – Comunicazione E – Diffusione

F - Consultazione


Pag. 16 di 21

Trattamenti affidati all’esterno

Per tutte le operazioni di manutenzione hardware e software, nonché per la

gestione sicurezza e ripristino dei dati, la scuola si serve dell’assistenza

fornita dall’azienda Informatica Scuola di Daniele Perrotta.

Detta azienda è stata appositamente incaricata ed ha dichiarato per iscritto di

essere a conoscenza e di rispettare quanto stabilito dal D.lgs n. 196 del

30/06/2003 ed in particolare:

• di conoscere e impegnarsi a rispettare, sotto la propria responsabilità

e nell’ambito delle materie oggetto dell’incarico, quanto indicato nell'allegato

B del “Disciplinare tecnico in materia di misure minime di sicurezza”;

• di attenersi agli obblighi di assoluta riservatezza connessi all’incarico;

• di rispettare il divieto assoluto di comunicare e diffondere a terzi non

autorizzati le informazioni e i dati personali trattati nell’ambito dell’incarico

ricevuto e dei compiti affidati;

• di essere consapevole del fatto che i dati trattati nell’espletamento

dell’incarico ricevuto, sono dati personali e, come tali, sono soggetti

all’applicazione del Codice per la protezione dei dati personali;

• di adottare le istruzioni specifiche eventualmente ricevute per il

trattamento dei dati personali o di integrarle nelle procedure già in essere;

• di riconoscere il diritto del committente a verificare periodicamente

l’applicazione delle norme di sicurezza adottate.


Pag. 17 di 21

PARTE 4ª - Rischi stimati - misure di sicurezza

Valutazione dei rischi

La scuola ha valutato nuovamente il complesso dei rischi relativi alla gestione

dei dati, in funzione di fattori diversi, quali il comportamento degli operatori, il

contesto fisico-ambientale, le strumentazioni in dotazione, la probabilità che

un certo numero di eventi dannosi per la sicurezza dei dati possa verificarsi e

l’entità del danno eventuale che ne può derivare per l’integrità e la

riservatezza dei dati.

Il quadro che emerge dell’analisi fatta è sostanzialmente rassicurante.

L’analisi legata al comportamento degli operatori, non ha evidenziato

particolari criticità.

E’ evidente come un lavoratore poco diligente o, addirittura, operante con

volontà dolosa o fraudolenta, possa potenzialmente arrecare gravi danni

all’Istituzione scolastica, ma va altresì rilevato il buon livello di affidabilità del

personale operante in questa scuola.

Non vi sono mai stati problemi per la gestione delle password personali di

accesso ai computer, né comportamenti sleali o fraudolenti, né

comportamenti caratterizzati da particolare incuria. E’ dunque bassa la

probabilità che questi eventi si verifichino. Mediamente è più alta la

possibilità di errori materiali da parte del personale, errori che comunque non

hanno mai causato problemi nell’ottica del trattamento dei dati personali.

Anche dall’analisi dei rischi legati al contesto socio-ambientale non si

evidenziano situazioni tali da destare particolare preoccupazione.

Del tutto assenti episodi di teppismo o di furto di macchinari. Gli ambienti

sono dotati di sistema di allarme e negli ultimi tre anni non sono stati

registrati casi di accesso alla struttura da parte di ladri o soggetti

malintenzionati.

In questo quadro, va evidenziato come la scuola è ben organizzata e non si

registrano quei continui spostamenti di uffici e macchinari che spesso

causano problemi dal punto di vista della sicurezza e della perdita dei dati.


Pag. 18 di 21

Anche i fattori ambientali non sembrano destare preoccupazione.

Non si ravvisano casi di incendi, inondazioni, terremoti, né presenza di

radiazioni elettromagnetiche, umidità o temperature eccessive. La possibilità

che questi eventi causino danni ai dati trattati dalla scuola è valutata come

assai remota.

Un quadro non particolarmente preoccupante emerge dall’analisi dei rischi

legati agli strumenti utilizzati.

Come è noto, è potenzialmente devastante l’azione dei virus e degli altri

strumenti di sabotaggio informatico. L’esperienza della nostra scuola è stata

fino ad oggi, fortunatamente, positiva. I virus informatici e le azioni di

spamming sono stati adeguatamente fronteggiati attraverso adeguati

programmi informatici. Né si sono mai registrati tentativi di accessi esterni

alla rete, da parte di soggetti non autorizzati. Gli applicativi utilizzati dalla

scuola si sono, fino ad oggi, dimostrati affidabili, anche perché

periodicamente aggiornati. La possibilità di eventi quali accessi non

autorizzati alla rete, intercettazioni di informazioni, uso di software o

hardware da parte di agenti non autorizzati è valutata come assai remota. Le

apparecchiature informatiche critiche (ad esempio il server), sono situati in

locali ad accesso controllato (locale sito al piano seminterrato), da parte degli

incaricati del trattamento; inoltre, come già evidenziato, anche gli ingressi

della scuola siano continuamente presidiati da personale della scuola.

Utilizzo delle strumentazioni informatiche della rete Internet e

della Posta Elettronica

Le modalità di acceso e di uso della rete informatica, telematica e dei servizi

da parte del personale docente ed ATA e degli studenti sono contenuti nel

Disciplinare allegato al presente documento.

Altre misure di sicurezza

Buone parte delle misure adottate dalla scuola sono già state indicate nelle

precedenti sezioni del presente documento. Di seguito alcune ulteriori

indicazioni.

Sistema di videosorveglianza: La scuola ha installato nel 2004 un sistema

di videosorveglianza modello COMELIT, attivo 24 ore su 24 posto nel cortile

dell’istituto; le immagini della telecamera sono visualizzate su un televisore

situato al 2° piano nella stanza del centralino.


Pag. 19 di 21

Backup dei dati: Avviene con procedure automatiche di SISSI e Axios su

supporti HD esterno quotidianamente e manualmente su CD-Rw custodito in

armadio chiuso, mensilmente.

Il responsabile del salvataggio e della custodia delle copie: è la ditta

Informatica Scuola di Daniele Perrotta.

La frequenza del backup è giornaliera.

Responsabile delle procedure di ripristino dei dati: è la ditta

Informatica Scuola di Daniele Perrotta.

La frequenza delle prove di ripristino dati: è semestrale.

Interventi formativi

L’IISS Darwin aderirà alle iniziative organizzate dal MIUR a livello regionale.

Qualora la Direzione Regionale del Lazio non dovesse attivare gli interventi

suddetti, l’istituzione scolastica provvederà in proprio al fine di garantire al

personale la formazione necessaria in merito a:

introduzione alla disciplina sulla protezione dei dati personali e le

responsabilità che ne derivano;

i rischi dai quali occorre proteggere i dati personali;

le misure disponibili per prevenire eventi dannosi;

formazione nuovi arrivati fatta con personale interno già formato.

PARTE 5°- Informazioni generali sulle attività svolte

La scuola ha consegnato agli interessati (a cui si riferiscono i dati personali

trattati) le informative contenenti la descrizione dei trattamenti e gli altri

elementi richiesti dall'articolo 13 del Codice Privacy. In linea generale, si può

dire che si tratta delle seguenti categorie di persone fisiche o giuridiche:

alunni/famiglie, personale docente e ATA, fornitori.

Inoltre, sono state consegnate, a tutto il personale scolastico che tratta dati

personali (la quasi totalità dei dipendenti), precise lettere di incarico che

individuano puntualmente l'ambito dei trattamenti e le operazioni consentite.

Le lettere di incarico sono allegate al presente DPS.


Pag. 20 di 21

E’ stata effettuata la verifica periodica, a cura del Dirigente scolastico, del

rispetto delle istruzioni impartite, di cui all'articolo 29 comma 5 del D.Lgs. n.

196/2003.

Sono stati aggiornati i trattamenti consentiti ai singoli incaricati (Punti 15 e 27

del Disciplinare Tecnico allegato B del Codice) ed è stata fatta una

valutazione dell’adeguatezza delle misure fin qui previste ad adottate.

PARTE 6°- Verifica periodica

La scuola si impegna a verificare ed aggiornare periodicamente le modalità

adottate per garantire la sicurezza dei dati personali trattati.

Il DPS verrà aggiornato entro il 31 Marzo di ogni anno. Il titolare si impegna

a riferire, nella relazione accompagnatoria del bilancio di esercizio,

dell’avvenuta redazione o aggiornamento del presente documento.

Roma lì 21 marzo 2011

Il Dirigente Scolastico

Prof.ssa Giuseppina Rubinacci

PARTE 7°- Allegati

Al presente DPS è allegata la documentazione che completa il dossier relativo

alla garanzia della sicurezza dei dati trattati nella scuola.

Gli allegati sono:

• Informativa per il trattamento dei dati personali degli alunni e delle

famiglie

• i modelli delle lettere di incarico ad effettuare i trattamenti

• la nomina a responsabile del trattamento

• la nomina dell’amministratore di sistema

• Disciplinare interno per l’utilizzo delle strumentazioni informatiche


Pag. 21 di 21

DPS ISS Darwin 2011

Documents

Transcript of DPS ISS Darwin 2011