DPS ISS Darwin 2011
Transcript of DPS ISS Darwin 2011
DPS - Documento Programmatico sullaDPS - Documento Programmatico sulla
SicurezzaSicurezza
Istituto Statale D’Istruzione Superiore
“Charles Darwin”
via Via Tuscolana n. 388
00181 Roma
(Codice sulla Privacy – D.Lgs. 196/2003)
ANNO 2011
Protocollo n . 1525/C19 del 21/03/2011
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 2 di 21
INDICE
PARTE 1ª - L’ISTITUZIONE SCOLASTICA .............................. 4
PARTE 2ª - LA METODOLOGIA E LE INFORMAZIONI GENERALI SUI DATI 5
Il DPS e l’approccio adottato ...................................................................... 5
Come è stata effettuata la rilevazione ....................................................... 5
Dati sensibili e giudiziari ............................................................................ 7
ATTI E DOCUMENTAZIONI IN FORMATO NON ELETTRONICO E ARCHIVI CARTACEI
........................................................................... 8
I TRATTAMENTI DI DATI PERSONALI CON STRUMENTI DIVERSI DA QUELLI
ELETTRONICI SONO EFFETTUATI DAGLI INCARICATI SEGUENDO LE ISTRUZIONI AD
ESSI IMPARTITE, FINALIZZATE AL CONTROLLO E ALLA CUSTODIA, PER L’INTERO
CICLO NECESSARIO ALLO SVOLGIMENTO DELLE OPERAZIONI DI TRATTAMENTO,
DEGLI ATTI E DEI DOCUMENTI CONTENENTI DATI PERSONALI. ............. 8
GLI ATTI E I DOCUMENTI CONTENENTI DATI PERSONALI SENSIBILI O GIUDIZIARI
SONO AFFIDATI AGLI INCARICATI DEL TRATTAMENTO PER LO SVOLGIMENTO DEI
RELATIVI COMPITI. GLI STESSI ATTI E DOCUMENTI SONO CONTROLLATI E
CUSTODITI DAGLI INCARICATI FINO ALLA RESTITUZIONE IN MANIERA CHE AD
ESSI NON ACCEDANO PERSONE SENZA AUTORIZZAZIONE; GLI STESSI SONO
RESTITUITI AL TERMINE DELLE OPERAZIONI AFFIDATE. .................. 8
L’ACCESSO AGLI ARCHIVI CONTENENTI DATI SENSIBILI O GIUDIZIARI È
CONSENTITO SOLO AL PERSONALE AUTORIZZATO .......................... 8
PARTE 3ª - IL QUADRO DELLA SITUAZIONE ............................ 9
L’analisi dei trattamenti ............................................................................ 9
Quadro di sintesi ........................................................................................ 9
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 3 di 21
I trattamenti: chi li effettua e con quali strumenti .................................. 10
Attività e banche dati .............................................................................. 15
Trattamenti affidati all’esterno ............................................................... 16
PARTE 4ª - RISCHI STIMATI - MISURE DI SICUREZZA ............... 17
Valutazione dei rischi ............................................................................... 17
Altre misure di sicurezza .......................................................................... 18
Interventi formativi .................................................................................. 19
PARTE 5°- INFORMAZIONI GENERALI SULLE ATTIVITÀ SVOLTE ....... 19
PARTE 6°- VERIFICA PERIODICA .................................... 20
PARTE 7°- ALLEGATI ................................................ 20
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 4 di 21
PARTE 1ª - L’Istituzione Scolastica
L’istituto Statale D’Istruzione Superiore “Charles Darwin” , nasce dall’unione
del già presente Istituto Tecnico Statale per il Turismo “Marco Polo” con il
Liceo Scientifico “Pitagora”, e ha la sede in via Tuscolana n. 388 nel Comune
di Roma.
L’indirizzo e-mail utilizzato è “[email protected]”.
La struttura della scuola può essere così rappresentata:
Dirigente Scolastico pro tempore : Prof.ssa Giuseppina Rubinacci;
Vicario pro tempore: Prof.ssa Maria Antonietta Maddalena
Direttore Servizi generali Amministrativi: Sig.ra Patrizia De Angelis;
Responsabile delle tecnologie informatiche: Sig. Daniele Perrotta in
qualità di tecnico esterno; (vedi lettera d’incarico )
Responsabile del trattamento dei dati personali, nominato ai sensi
dell’art. 29 del Dlgs. 196/2003: Sig.ra Patrizia De Angelis (DSGA). (vedi
lettera d’incarico)
La scuola è frequentata nell’anno in corso da 765 studenti.
Il personale è composto da 80 docenti e 21 unità ATA, più 3 co.co.co.
Il nostro Istituto può quindi essere considerato di grandi dimensioni, che
tratta dati personali e dati sensibili in funzione del raggiungimento delle
proprie finalità istituzionali. Di conseguenza ci si è posti l’obiettivo di:
organizzare i trattamenti di dati in formato cartaceo, con particolare
riguardo alle attività didattiche e di segreteria, in modo da garantire
un’idonea custodia e conservazione dei documenti e di riservare
l’accesso alle aree in cui si effettuano i trattamenti, ai soli soggetti
incaricati;
porre in essere le misure di sicurezza adeguate per la protezione dei
dati trattati in formato elettronico.
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 5 di 21
PARTE 2ª - La metodologia e le informazioni generali
sui dati
Il DPS e l’approccio adottato
Il presente DPS è stato redatto a seguito di una rilevazione sistematica dei
dati personali trattati dalla scrivente Istituzione scolastica attraverso
strumenti elettronici e di un’analisi dell’infrastruttura tecnologica esistente,
con particolare riferimento alle caratteristiche della rete, dei Personal
Computer, dei sistemi di sicurezza in uso.
E’ seguita un’analisi dei rischi ed una valutazione in ordine alla possibilità che
possano verificarsi episodi di utilizzo improprio dei dati, di loro perdita o
distruzione e di accesso non autorizzato.
Sono state, di conseguenza, individuate misure ulteriori, rispetto a quelle già
in essere, per ridurre i rischi rilevati.
Come è stata effettuata la rilevazione
La compilazione “partecipata”, da parte del Dirigente Scolastico Prof.ssa
Giuseppina Rubinacci, e del DSGA Sig.ra Patrizia De Angelis (responsabile del
trattamento dei dati), ha consentito una valutazione complessiva più generale
dello stato dell’organizzazione e dei fabbisogni dell’istituzione scolastica e,
con essa, l’individuazione di soluzioni migliorative delle sue prestazioni.
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 6 di 21
Informazioni generali sui dati trattati
La scuola, nell’ambito delle finalità istituzionali perseguite, può trattare,
anche mediante strumenti elettronici, i dati individuati dall’articolo 4 lettere
b), c) d) e) del Decreto Legislativo 30 Giugno 2003, n°196.
I trattamenti avvengono nel rispetto degli obblighi derivanti dalla legislazione
nazionale e comunitaria, nonché da fonti di natura regolamentare.
Tra le disposizioni sopra menzionate, si evidenzia il particolare rilievo dei
trattamenti previsti dalla seguente normativa:
R.D. n. 653/1925, D.Lgs. n. 297/1994, D.P.R. n. 275/1999;
Legge 19/03/1990 n°50, Decreto Interministeriale 1 febbraio 2001, n.
44 e le norme in materia di contabilità generale dello Stato;
Legge n. 104/1992, Legge n. 53/2003, D.Lgs. n. 165/2001;
D.Lgs. n. 196/2003; D.Lgs. n. 227/2005; D.Lgs. n. 76/05; D.Lgs. n.
77/05; D.Lgs. n. 226/05; D.Lgs. n. 196/2003;
I dati sensibili e giudiziari sono trattati nel rispetto del D.M. 305/2006;
D.Lgs. n. 151/2001, l’art. 112 del D.Lgs. n. 193/2004, i Contratti
Collettivi di Lavoro Nazionali ed Integrativi stipulati ai sensi delle norme
vigenti;
tutta la normativa collegata alle citate disposizioni.
I trattamenti sono legati all’erogazione dei servizi formativi ed educativi
dell’Istituzione scolastica, ai connessi rapporti con gli alunni e le famiglie, agli
adempimenti relativi alla gestione e alla formazione del personale, agli
adempimenti di contabilità e bilancio.
In linea generale, i dati trattati (a prescindere se si tratti o no di trattamento
elettronico) riguardano:
persone fisiche, identificate o identificabili, quali nominativo, data di
nascita, residenza, domicilio, stato di famiglia, codice fiscale, obblighi
di leva;
persone giuridiche quali la forma giuridica, la sede legale, la data di
costituzione, informazioni relative agli organi rappresentativi e legali,
partita Iva, codice fiscale, la titolarità di diritti o la disponibilità di beni
strumentali;
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 7 di 21
presenze, prestazioni previdenziali, stipendi, permessi, ferie, malattia,
stato di servizio e altri dati connessi ai rapporti di lavoro del personale
della scuola;
eventuali procedimenti di natura penale, civile, tributaria e
amministrativa di cui la scuola sia venuta a conoscenza;
rapporti del Dirigente scolastico e dei docenti con le famiglie;
attività degli organi collegiali dell’Istituzione scolastica;
atti negoziali od offerte commerciali provenienti da fornitori di beni e
servizi, ivi comprese eventuali attività professionali svolte a fini
formativi;
rapporti e convenzioni con aziende e agenzie formative, per iniziative
didattiche, stage e tirocini degli alunni;
altri soggetti, situazioni, eventi in applicazione di disposizioni di Legge
o Regolamenti.
Dati sensibili e giudiziari
Quanto ai trattamenti di dati sensibili e giudiziari in formato elettronico, va
rilevato che è stata effettuata una ricognizione completa.
Non vengono trattati dati giudiziari in formato elettronico.
Il trattamento di dati sensibili attraverso strumenti elettronici è limitato ai
pochi casi previsti dai programmi ministeriali utilizzati e per quanto
strettamente indispensabile al lavoro dell’istituzione scolastica, con
particolare riguardo ai trattamenti relativi alla gestione dei rapporti di lavoro
in atto e nel rispetto del D.M. 305/2006.
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 8 di 21
Atti e documentazioni in formato non elettronico e archivi
cartacei
I trattamenti di dati personali con strumenti diversi da quelli elettronici sono
effettuati dagli incaricati seguendo le istruzioni ad essi impartite,
finalizzate al controllo e alla custodia, per l’intero ciclo necessario allo
svolgimento delle operazioni di trattamento, degli atti e dei documenti
contenenti dati personali.
Gli atti e i documenti contenenti dati personali sensibili o giudiziari sono
affidati agli incaricati del trattamento per lo svolgimento dei relativi
compiti. Gli stessi atti e documenti sono controllati e custoditi dagli
incaricati fino alla restituzione in maniera che ad essi non accedano
persone senza autorizzazione; gli stessi sono restituiti al termine delle
operazioni affidate.
L’accesso agli archivi contenenti dati sensibili o giudiziari è consentito solo al
personale autorizzato
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 9 di 21
PARTE 3ª - Il quadro della situazione
L’analisi dei trattamenti
Lo studio relativo ai trattamenti di dati (in formato elettronico) effettuato
dalla Istituzione scolastica è avvenuta nel seguente modo:
1. sono state rilevate le attività in essere che comportano il trattamento
elettronico di dati personali;
2. sono state individuate le strutture e/o le figure professionali incaricate dei
trattamenti;
3. sono stati rilevati e descritti gli strumenti informatici utilizzati per il
trattamento dei dati.
Quadro di sintesi
La scuola è dotata di 89 personal computer, collegati in rete e collegati ad
internet:
Laboratorio di lingue è dotato di 15 PC collegati in rete tra di loro e
con la rete d'Istituto. Consente tutte le funzioni di un moderno laboratorio
linguistico. Accedono tutti ad internet.
Laboratorio di gestionale è dotato di 15 computer collegati in rete tra
di loro e alla rete d’istituto, accedono ad internet.
Laboratorio multimediale è utilizzato per svolgere simulazioni delle
operazioni di prenotazione e organizzazione viaggi che avvengono nelle
agenzie, dotata di 14 computer collegati in rete tra di loro e con la rete
d'Istituto. Accedono tutti ad internet.
Laboratorio di trattamento testi e dati con 19 pc collegati in rete tra di
loro e con la rete d'Istituto, non accedono ad internet
Laboratorio informatica liceo dotato di 6 pc collegati alla rete d’istituto
accedono tutti ad internet.
I 15 pc della segreteria e Dirigenza sono collegati in rete con 1 server
1 server diverso è utilizzato per la rete dei laboratori
3 pc nelle 2 biblioteche
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 10 di 21
La scuola ha installato un dispositivo di filtro e protezione della rete contro le
intrusioni dall’esterno (firewall) nel 2005.
I trattamenti: chi li effettua e con quali strumenti
I trattamenti di dati personali in formato elettronico sono effettuati dal
personale di segreteria incaricato dal Direttore Servizi Generali Amministrativi
e dagli Assistenti Amministrativi esclusivamente con riferimento
all’espletamento delle funzioni istituzionali ad essi rispettivamente assegnate.
L’ambito dei trattamenti autorizzati ai singoli incaricati è suscettibile di
aggiornamento periodico. I trattamenti di dati personali in formato elettronico
effettuati dal Dirigente Scolastico e dai docenti sono assai sporadici e,
soprattutto, i dati trattati non vengono conservati su file elettronici o
organizzati in database.
Il personale di segreteria effettua le seguenti operazioni di trattamento:
registrazione, inserimento, archiviazione, consultazione e cancellazione dati.
Le operazioni di comunicazione e diffusione dei dati sono effettuate solo su
specifica autorizzazione del Titolare o del Responsabile del trattamento dei
dati.
Il server utilizzato per le attività di segreteria è il PC n° 3032, ubicato in un
locale al secondo piano dell’edificio principale, che si è dimostrato assai
affidabile dal punto di vista del corretto e continuo funzionamento. Il
responsabile della gestione del server è il DSGA Sig.ra Patrizia De Angelis.
I trattamenti di dati personali in formato elettronico vengono
prevalentemente effettuati attraverso l’applicazione SISSI, installata sul
server (PC n. 3032), che autorizza gli accessi attraverso credenziali (userid e
password). Per l’accesso sono utilizzati codici personali, conosciuti solo dagli
incaricati; la password di accesso è formata da otto caratteri e non è
riconducibile al nome degli stessi incaricati; il nome utente e la password
sono assegnati per la prima volta dall’amministratore di rete: Sig. Daniele
Perrotta; la password è cambiata periodicamente dagli incaricati e dal
Responsabile, che la comunicano, in busta chiusa, al custode delle password il
DSGA Sig.ra Patrizia De Angelis. (vedi lettera d’incarico)
Tutti gli addetti di segreteria hanno accesso alle banche dati che contengono i
dati personali utilizzati per i trattamenti; dunque, non sono previsti privilegi di
accesso o particolari livelli di autorizzazione all’accesso. Questa
organizzazione si rende necessaria, in virtù del fatto che gli assistenti
amministrativi devono essere sempre in grado di sostituire, in caso di
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 11 di 21
necessità, i colleghi assenti.
Per i trattamenti di dati personali vengono utilizzati esclusivamente i PC
situati nei locali di segreteria situata al piano terra della sede, continuamente
presidiati dal personale interno.
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 12 di 21
Su tutti i pc della scuola è attivo un controllo sul sistema di gestione delle
password volto a garantire: la lunghezza minima di otto caratteri; il cambio
della password al primo utilizzo da parte dell'utente (segnalazione mediante
messaggio a video della necessità del cambio password); che la password
non sia facilmente riconducibile all'incaricato; che la password venga
cambiata dall'incaricato ogni 3 mesi (segnalazione all'utente mediante
messaggio a video della necessità del cambio password). E’ prevista la
segnalazione all'Amministratore di sistema degli utenti che non hanno
provveduto al cambio password.
Le password di accesso al computer dovranno essere consegnate in busta
chiusa al titolare dei dati che provvederà a comunicarli al Responsabile dei
dati. Altresì le stesse saranno annotate su un apposito registro custodito nella
cassaforte collocata nell’ufficio della Presidenza.
I client di segreteria (usati per pratiche amministrative per il trattamento di
dati connesso alle pratiche dell’ufficio di segreteria), sono cosi distribuiti:
N°
Inv.
Sist. Operativo/
versione
Connes
so a
interne
t
Funzione e Nome del
responsabile (R),
funzione e nome di
eventuali altri
utilizzatori (U)
Acces
so
con:
Dotat
o di :
Tipo di dato
trattato:
3031 Microsoft
Windows XP
Versione 2000
Si R DS Prof.ssa
Giuseppina Rubinacci
Passw
ord
Antivir
us
Personali e
sensibili
3295 Microsoft
Windows XP
Versione 2000
Si R DSGA Sig.ra Patrizia
De Angelis
Passw
ord
Antivir
us
Personali e
sensibili
3589 Microsoft
Windows XP
Versione 2000
Si R AS Sig.ra Sandra
Nardella
Passw
ord
Antivir
us
Personali e
sensibili
3294 Microsoft
Windows XP
Versione 2000
Si R AS Sig.ra Rita Paoletti Passw
ord
Antivir
us
Personali e
sensibili
3346 Microsoft
Windows XP
Versione 2000
Si R AS Sig.ra Luigia
Trollini
Passw
ord
Antivir
us
Personali e
sensibili
3345 Microsoft
Windows XP
Versione 2000
Si R supplente
temporaneo
Sig.ra Lucia Bruscaglia
Passw
ord
Antivir
us
Personali e
sensibili
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 13 di 21
I client di segreteria (usati per pratiche didattiche e per il trattamento di dati),
sono cosi distribuiti:
N°
Inv.
Sist. Operativo/
versione
Connes
so a
interne
t
Funzione e Nome del
responsabile (R),
funzione e nome di
eventuali altri
utilizzatori (U)
Acces
so
con:
Dotat
o di :
Tipo di dato
trattato:
3289 Microsoft
Windows XP
Versione 2002
Si Didattica Passw
ord
Antivir
us
Personali e
sensibili
3290 Microsoft
Windows XP
Versione 2002
Si R AS Bruna Isolda Passw
ord
Antivir
us
Personali e
sensibili
3288 Microsoft
Windows XP
Versione 2002
Si R co.co.co.
Rosanna Coletta
Passw
ord
Antivir
us
Personali e
sensibili
3292 Microsoft
Windows XP
Versione 2002
Si R AS Sig.ra Lucia
Antonimi
Passw
ord
Antivir
us
Personali e
sensibili
3590 Microsoft
Windows XP
Versione 2002
Si R AS Sig.ra Anna
Pascolo
Passw
ord
Antivir
us
Personali e
sensibili
3351 Microsoft
Windows XP
Versione 2002
Si R co.co.co
Sig. Andrea Buffarini
Passw
ord
Antivir
us
Personali e
sensibili
3344 Microsoft
Windows XP
Versione 2002
Si R co.co.co
Sig.ra Debora Marziali
Passw
ord
Antivir
us
Personali e
sensibili
Come già evidenziato, vengono utilizzate password di accesso per accedere ai
Personal Computer; le password vengono cambiate ogni tre mesi. Per la
protezione dai virus informatici è utilizzato un antivirus “Kaspersky”
continuamente aggiornato.
Gli schermi dei PC si oscurano automaticamente in caso di non utilizzo, in
modo da non rendere immediatamente accessibili le informazioni a soggetti
diversi dagli incaricati, eventualmente presenti sui luoghi dei trattamenti.
La scuola ha adottato un sistema di oscuramento automatico che prevede la
richiesta dei codici di accesso in caso di inattività per un determinato periodo
di tempo, oltre allo spegnimento automatico in caso di inattività. Va inoltre
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 14 di 21
evidenziato che i luoghi dove si effettuano i trattamenti (compreso l’ufficio del
Dirigente Scolastico) sono sempre vigilati e che in caso di assenza degli
incaricati i luoghi vengono chiusi a chiave. Non è permesso l’accesso ai locali
dove si effettuano i trattamenti a persone che non siano incaricate.
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 15 di 21
Attività e banche dati
Attraverso gli strumenti sopra evidenziati vengono effettuati i seguenti
trattamenti, suddivisi in base alla banca dati di appartenenza.
Banca dati Residen
te sul
pc
(n°inv.)
Operatore
prevalente sulla BD
e trattamenti
autorizzati1
Altri operatori
abilitati al
trattamento della
BD
Applicazio
ne
utilizzata
(Sissi,
Argo,
etc..)
Studenti 3032 Tutti gli addetti di
segreteria
A-B-C-D-E-F
Sig. Andrea Perrotta
(amm. di rete) A-B-
C-D-E-F
SISSI
Personale
(permessi, congedi,
malattie, status)
3032 Tutti gli addetti di
segreteria
A-B-C-D-E-F
Sig. Andrea Perrotta
(amm. di rete) A-B-
C-D-E-F
SISSI
Retribuzioni 3032 Tutti gli addetti di
segreteria
A-B-C-D-E-F
Sig. Andrea Perrotta
(amm. di rete) A-B-
C-D-E-F
SISSI
Fornitori 3032 Tutti gli addetti di
segreteria
A-B-C-D-E-F
Sig. Andrea Perrotta
(amm. di rete) A-B-
C-D-E-F
SISSI
Contabilità e Bilancio 3032 Tutti gli addetti di
segreteria
A-B-C-D-E-F
Sig. Andrea Perrotta
(amm. di rete) A-B-
C-D-E-F
SISSI
Protocollo informatico 3032 Tutti gli addetti di
segreteria
A-B-C-D-E-F
Sig. Andrea Perrotta
(amm. di rete) A-B-
C-D-E-F
AXIOS
Conto Corrente
Postale
3032 Tutti gli addetti di
segreteria
A-B-C-D-E-F
Sig. Andrea Perrotta
(amm. di rete) A-B-
C-D-E-F
AXIOS
1 A – Inserimento/registrazioneB – Modifica C – Cancellazione D – Comunicazione E – Diffusione
F - Consultazione
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 16 di 21
Trattamenti affidati all’esterno
Per tutte le operazioni di manutenzione hardware e software, nonché per la
gestione sicurezza e ripristino dei dati, la scuola si serve dell’assistenza
fornita dall’azienda Informatica Scuola di Daniele Perrotta.
Detta azienda è stata appositamente incaricata ed ha dichiarato per iscritto di
essere a conoscenza e di rispettare quanto stabilito dal D.lgs n. 196 del
30/06/2003 ed in particolare:
• di conoscere e impegnarsi a rispettare, sotto la propria responsabilità
e nell’ambito delle materie oggetto dell’incarico, quanto indicato nell'allegato
B del “Disciplinare tecnico in materia di misure minime di sicurezza”;
• di attenersi agli obblighi di assoluta riservatezza connessi all’incarico;
• di rispettare il divieto assoluto di comunicare e diffondere a terzi non
autorizzati le informazioni e i dati personali trattati nell’ambito dell’incarico
ricevuto e dei compiti affidati;
• di essere consapevole del fatto che i dati trattati nell’espletamento
dell’incarico ricevuto, sono dati personali e, come tali, sono soggetti
all’applicazione del Codice per la protezione dei dati personali;
• di adottare le istruzioni specifiche eventualmente ricevute per il
trattamento dei dati personali o di integrarle nelle procedure già in essere;
• di riconoscere il diritto del committente a verificare periodicamente
l’applicazione delle norme di sicurezza adottate.
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 17 di 21
PARTE 4ª - Rischi stimati - misure di sicurezza
Valutazione dei rischi
La scuola ha valutato nuovamente il complesso dei rischi relativi alla gestione
dei dati, in funzione di fattori diversi, quali il comportamento degli operatori, il
contesto fisico-ambientale, le strumentazioni in dotazione, la probabilità che
un certo numero di eventi dannosi per la sicurezza dei dati possa verificarsi e
l’entità del danno eventuale che ne può derivare per l’integrità e la
riservatezza dei dati.
Il quadro che emerge dell’analisi fatta è sostanzialmente rassicurante.
L’analisi legata al comportamento degli operatori, non ha evidenziato
particolari criticità.
E’ evidente come un lavoratore poco diligente o, addirittura, operante con
volontà dolosa o fraudolenta, possa potenzialmente arrecare gravi danni
all’Istituzione scolastica, ma va altresì rilevato il buon livello di affidabilità del
personale operante in questa scuola.
Non vi sono mai stati problemi per la gestione delle password personali di
accesso ai computer, né comportamenti sleali o fraudolenti, né
comportamenti caratterizzati da particolare incuria. E’ dunque bassa la
probabilità che questi eventi si verifichino. Mediamente è più alta la
possibilità di errori materiali da parte del personale, errori che comunque non
hanno mai causato problemi nell’ottica del trattamento dei dati personali.
Anche dall’analisi dei rischi legati al contesto socio-ambientale non si
evidenziano situazioni tali da destare particolare preoccupazione.
Del tutto assenti episodi di teppismo o di furto di macchinari. Gli ambienti
sono dotati di sistema di allarme e negli ultimi tre anni non sono stati
registrati casi di accesso alla struttura da parte di ladri o soggetti
malintenzionati.
In questo quadro, va evidenziato come la scuola è ben organizzata e non si
registrano quei continui spostamenti di uffici e macchinari che spesso
causano problemi dal punto di vista della sicurezza e della perdita dei dati.
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 18 di 21
Anche i fattori ambientali non sembrano destare preoccupazione.
Non si ravvisano casi di incendi, inondazioni, terremoti, né presenza di
radiazioni elettromagnetiche, umidità o temperature eccessive. La possibilità
che questi eventi causino danni ai dati trattati dalla scuola è valutata come
assai remota.
Un quadro non particolarmente preoccupante emerge dall’analisi dei rischi
legati agli strumenti utilizzati.
Come è noto, è potenzialmente devastante l’azione dei virus e degli altri
strumenti di sabotaggio informatico. L’esperienza della nostra scuola è stata
fino ad oggi, fortunatamente, positiva. I virus informatici e le azioni di
spamming sono stati adeguatamente fronteggiati attraverso adeguati
programmi informatici. Né si sono mai registrati tentativi di accessi esterni
alla rete, da parte di soggetti non autorizzati. Gli applicativi utilizzati dalla
scuola si sono, fino ad oggi, dimostrati affidabili, anche perché
periodicamente aggiornati. La possibilità di eventi quali accessi non
autorizzati alla rete, intercettazioni di informazioni, uso di software o
hardware da parte di agenti non autorizzati è valutata come assai remota. Le
apparecchiature informatiche critiche (ad esempio il server), sono situati in
locali ad accesso controllato (locale sito al piano seminterrato), da parte degli
incaricati del trattamento; inoltre, come già evidenziato, anche gli ingressi
della scuola siano continuamente presidiati da personale della scuola.
Utilizzo delle strumentazioni informatiche della rete Internet e
della Posta Elettronica
Le modalità di acceso e di uso della rete informatica, telematica e dei servizi
da parte del personale docente ed ATA e degli studenti sono contenuti nel
Disciplinare allegato al presente documento.
Altre misure di sicurezza
Buone parte delle misure adottate dalla scuola sono già state indicate nelle
precedenti sezioni del presente documento. Di seguito alcune ulteriori
indicazioni.
Sistema di videosorveglianza: La scuola ha installato nel 2004 un sistema
di videosorveglianza modello COMELIT, attivo 24 ore su 24 posto nel cortile
dell’istituto; le immagini della telecamera sono visualizzate su un televisore
situato al 2° piano nella stanza del centralino.
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 19 di 21
Backup dei dati: Avviene con procedure automatiche di SISSI e Axios su
supporti HD esterno quotidianamente e manualmente su CD-Rw custodito in
armadio chiuso, mensilmente.
Il responsabile del salvataggio e della custodia delle copie: è la ditta
Informatica Scuola di Daniele Perrotta.
La frequenza del backup è giornaliera.
Responsabile delle procedure di ripristino dei dati: è la ditta
Informatica Scuola di Daniele Perrotta.
La frequenza delle prove di ripristino dati: è semestrale.
Interventi formativi
L’IISS Darwin aderirà alle iniziative organizzate dal MIUR a livello regionale.
Qualora la Direzione Regionale del Lazio non dovesse attivare gli interventi
suddetti, l’istituzione scolastica provvederà in proprio al fine di garantire al
personale la formazione necessaria in merito a:
introduzione alla disciplina sulla protezione dei dati personali e le
responsabilità che ne derivano;
i rischi dai quali occorre proteggere i dati personali;
le misure disponibili per prevenire eventi dannosi;
formazione nuovi arrivati fatta con personale interno già formato.
PARTE 5°- Informazioni generali sulle attività svolte
La scuola ha consegnato agli interessati (a cui si riferiscono i dati personali
trattati) le informative contenenti la descrizione dei trattamenti e gli altri
elementi richiesti dall'articolo 13 del Codice Privacy. In linea generale, si può
dire che si tratta delle seguenti categorie di persone fisiche o giuridiche:
alunni/famiglie, personale docente e ATA, fornitori.
Inoltre, sono state consegnate, a tutto il personale scolastico che tratta dati
personali (la quasi totalità dei dipendenti), precise lettere di incarico che
individuano puntualmente l'ambito dei trattamenti e le operazioni consentite.
Le lettere di incarico sono allegate al presente DPS.
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 20 di 21
E’ stata effettuata la verifica periodica, a cura del Dirigente scolastico, del
rispetto delle istruzioni impartite, di cui all'articolo 29 comma 5 del D.Lgs. n.
196/2003.
Sono stati aggiornati i trattamenti consentiti ai singoli incaricati (Punti 15 e 27
del Disciplinare Tecnico allegato B del Codice) ed è stata fatta una
valutazione dell’adeguatezza delle misure fin qui previste ad adottate.
PARTE 6°- Verifica periodica
La scuola si impegna a verificare ed aggiornare periodicamente le modalità
adottate per garantire la sicurezza dei dati personali trattati.
Il DPS verrà aggiornato entro il 31 Marzo di ogni anno. Il titolare si impegna
a riferire, nella relazione accompagnatoria del bilancio di esercizio,
dell’avvenuta redazione o aggiornamento del presente documento.
Roma lì 21 marzo 2011
Il Dirigente Scolastico
Prof.ssa Giuseppina Rubinacci
PARTE 7°- Allegati
Al presente DPS è allegata la documentazione che completa il dossier relativo
alla garanzia della sicurezza dei dati trattati nella scuola.
Gli allegati sono:
• Informativa per il trattamento dei dati personali degli alunni e delle
famiglie
• i modelli delle lettere di incarico ad effettuare i trattamenti
• la nomina a responsabile del trattamento
• la nomina dell’amministratore di sistema
• Disciplinare interno per l’utilizzo delle strumentazioni informatiche
Istituto Statale d’Istruzione Superiore “Charles Darwin” Comune di Roma
Pag. 21 di 21