GDPR - R.E. 679/2016 Revisione del Documento Programmatico ... · GDPR (R.E. 679/2016) -...

ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO” Via G. Matteotti 24 04015

PRIVERNO (LT) P.IVA 80004680593

GDPR (R.E. 679/2016) - Adeguamento per l’anno 2018

Priverno, 03/07/2018

GDPR - R.E. 679/2016

Revisione del Documento

Programmatico sulla Sicurezza

Redatto in base alle disposizioni del DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA

del CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (art.34 e Allegato B, regola 19, del d.lgs. 30 giugno 2003, 196)

Aggiornato in base al

Provvedimento del Garante del 27/11/2008, G.U. n.300 del 24/12/2008

Provvedimento in materia di videosorveglianza del 08/04/2010 (G.U. n. 99 del 29/04/2010) Decreto Legge 9 febbraio 2012, n. 5 (semplificazione)

Provvedimento n. 456 del 30 luglio 2015 (sicurezza della posta elettronica)

Regolamento Europeo 679/2016

Linee-guida del Garante sulla valutazione d'impatto della protezione dati (04/10/2017)

Redatto con la consulenza di

Michele Giannini Consulente informatico

Via Palermo 59 - 04100 LATINA P.IVA: 01677030593 [email protected] www.latinaweb.it

mailto:[email protected]

http://www.latinaweb.it/



Il Dirigente Scolastico

Prof.ssa Nicolina Bova



Atto di responsabilità

Il presente documento di sintesi viene redatto ai sensi e per gli effetti del D.Lgs. 196/2003 - e succ.

mod - e del Nuovo Regolamento Europeo 679/2016 in vigore dal prossimo 25/05/2018. Il tutto al

fine di manifestare l’attenzione che questa Azienda pone al trattamento dei dati in merito a

riservatezza e sicurezza.

In proposito occorre sottolineare che è volontà dell’azienda quello di adeguarsi, nel trattamento e

sicurezza dei dati, al dettato della normativa italiana, che fa riferimento al D. Lgs. 196/2003 e succ.

mod. Tale Decreto, integrato con le precisazioni ed i suggerimenti del Garante Italiano per la

Privacy, fin’ora è stato il testo base per trattare a norma i dati personali, sensibili e riservati.

Nel 2016 però la Comunità Europea ha emesso un Nuovo Regolamento di disciplina della Privacy (nr.

679/2018) che integra e supera, per molti aspetti, la norma nazionale italiana. Infatti viene

specificata una diversa gestione dei dati, vengono individuate nuove figure – anche esterne –

all’azienda, e, in sostanza, viene rivoluzionato il concetto di privacy, di metodologia e responsabilità

della tenuta dei dati.

L’entrata in vigore definitiva del suddetto decreto Europeo è fissata a Maggio 2018. In mancanza di

specifiche indicazioni operative da parte del Garante Italiano per la Privacy il Titolare dell’Azienda, in

ottemperanza a quanto richiesto dal nuovo Regolamento Europeo sulla corretta condotta (art. 40),

ha quindi ritenuto di provvedere ad implementare la normativa italiana con il nuovo regolamento

europeo.

Le implementazioni hanno riguardato la predisposizione di nuove strutture e attrezzature aventi

caratteristiche di agilità dinamicità e flessibilità per poter recepire eventuali osservazioni o

disposizioni della competente autorità con prontezza e spirito di collaborazione implementando le

attività poste in essere al fine di dar completa, puntuale ed esatta applicazione sia alla normativa

nazionale che a quella Europea.

Poiché la natura delle attività svolte e la dimensione aziendale non sembrano essere riconducibili a

quanto disposto dagli art. 41 e 42 circa la necessità di una certificazione esterna dei trattamenti di

dati il Titolare del Trattamento Dati Aziendale ha ritenuto di:

non affidare a consulenti esterni la gestione della certificazione del trattamento dati aziendale

non avere l'obbligo della tenuta del Registro dei Trattamenti (Art 30, comma 5)

Fermo e ribadito quanto sopra esposto, al fine di dimostrare la più ampia trasparenza nella gestione

dei Dati, il suddetto Titolare del Trattamento Dati Aziendale ha deciso comunque di adottare un

registro cartaceo il cui schema è allegato al presente documento e che viene aggiornato con

scadenza periodica.

Il tutto in un’ottica di consapevolezza e con la certezza di operare in modo corretto.







Tutela della privacy (Privacy policy) Ai sensi del Regolamento Europeo 679/2016

La privacy è un valore che ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO" con sede in Via G. Matteotti 24 - 04015 PRIVERNO (LT) (titolare del trattamento dei dati personali) riconosce e rispetta. Prima di comunicarci i Suoi dati personali, legga cortesemente l’informativa relativa all’uso che ne faremo, così come richiede la normativa europea (Regolamento Europeo 679/2016) e che si riassume brevemente nei seguenti punti:

1. I Suoi dati personali (ordinari, sensibili, giudiziari inclusi foto, video, filmati) saranno conservati negli archivi

informatici e/o cartacei di ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO" e saranno trattati nei

modi e nei limiti e per il tempo strettamente necessario a conseguire gli scopi per cui sono stati raccolti e per

un tempo superiore al solo scopo storico o statistico. I predetti dati non saranno né comunicati né diffusi.

2. Le ricordiamo che il conferimento dei Suoi dati personali è facoltativo; tuttavia, in caso di un Suo rifiuto al

conferimento degli stessi, ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO" si troverà nell’impossibilità di erogare i Servizi.

3. In presenza del Suo consenso, i Suoi dati personali potranno altresì essere utilizzati per consentire ad ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO" di inviare comunicazioni o di effettuare attività di tipo informativo circa iniziative di diversa natura.

4. Potrà esercitare i diritti previsti dalla norma (quali ad esempio: conoscere in ogni momento i Suoi dati personali e come vengono utilizzati, farli aggiornare, rettificare, cancellare, chiederne il blocco o opporsi al trattamento) rivolgendosi a: ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO" come indicato in testata. Presso detta società è altresì depositato l’elenco aggiornato di tutti i responsabili ed incaricati del trattamento dei Suoi dati personali.

Le ricordiamo, inoltre, che la copia complete dell'Informativa è disponibile presso la nostra sede.




ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO”

Via G. Matteotti 24

04015 PRIVERNO (LT) P.IVA 80004680593


Necessità della valutazione di impatto

Le linee guida fornite dal Garante Italiano per la Privacy (Cfr. Linee-guida del Garante sulla valutazione d'impatto

della protezione dati del 04/10/2017, Allegato 1 - Esempi di quadri UE esistenti di valutazione d'impatto sulla

protezione dei dati) hanno ben individuato modi e forme per una corretta valutazione d’impatto del dato da

trattare.

Alla luce di tali indicazioni il Titolare del Trattamento dei Dati Aziendale precisa che la tipologia dei dati trattati non

genera un 'rischio elevato' o comunque ‘significativo’.

I dati trattati, infatti, sono costituiti esclusivamente da:

dati anagrafici ed identificativi

dati inerenti alla fattispecie della propria attività

dati contabili ed amministrativi

Tali dati sono custoditi e conservati in sistemi informatizzati protetti da password per cui è escluso un accesso

casuale, non controllato o da terzi non facultati ad accedere al dato.

Si precisa che i dati sono oggetto di periodici aggiornamenti e verifica con eliminazione fisica degli stessi dal sistema

informatico ogni qualvolta la fase del trattamento sia da ritenersi, alla luce delle dinamiche operative e funzionali

dell’azienda, conclusa e non più strettamente necessaria allo svolgimento dell’attività per cui sono stati

acquisiti.

Non sono presenti processi decisionali automatizzati per l'estrazione di dati dalle banche dati.

Il tutto nelle more che nell'ordinamento Italiano venga delineato ufficialmente un quadro di riferimento che integri le

pratiche di lavoro esistenti affinchè tengano conto degli elementi costitutivi di cui all'articolo 35, paragrafo 7

(vedasi ancora le linee-guida del Garante sulla valutazione d'impatto della protezione dati del 04/10/2017, Allegato

1 - Esempi di quadri UE esistenti di valutazione d'impatto sulla protezione dei dati) cosa che, invece, è già stata

normata in altri Paesi dell’Unione Europea.




ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO”

Via G. Matteotti 24

04015 PRIVERNO (LT) P.IVA 80004680593


Il Responsabile della Protezione dei Dati

Il Titolare del Trattamento Dati analizzata la situazione del trattamento Dati aziendale, la sicurezza informatica e

fisica della conservazione del dato, alla luce di quanto sancito dal D.Lgs. D. Lgs. 196/2003 - e succ. mod. – e dal

Nuovo Regolamento Europea di Disciplina della Privacy nr.679/2018, valuta pertanto quanto segue.

Premesso che:

non è possibile individuare tra il personale in forza a questo Istituto una figura che unisca le conoscenze

specialistica della normativa e delle prassi in materia di protezione dei dati;

non è stato designato dall'autorità pubblica superiore un unico responsabile che le istituzioni scolastiche;

resta l'obbligatorietà dell'art 37, comma 1 lettera a) che impone una nomina;

all'art. 27 comma 7 la norma obbliga alla comunicazione all'autorità di controllo dei dati di contatto del

Responsabile della Protezione Dati;

considerato quanto previsto dall'art. 38, comma 6 del RE 679/2016 e consapevole delle

responsabilità e degli obblighi da ciò derivante,

il Titolare del Trattamento Dati stabilisce di assumere temporaneamente anche il ruolo di Responsabile della

Protezione dei Dati (RPD) dichiarando di voler provvedere al più presto ad una nomina effettiva in ottemperanza a

quanto è o sarà disposto dall'autorità competente relativamente a questo compito.

Si impegna altresì a rendere disponibile, all'autorità competente che ne faccia richiesta, ogni informazioni

utile rilevabile dal proprio registro dei trattamenti

Le richieste saranno evase nel più breve tempo possibile in osservanza di quanto previsto dall'Art. 39 del cit.

Regolamento Europeo.




ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO" Via G. Matteotti 24

04015 PRIVERNO (LT) P.IVA 80004680593


Trattamento dei dati in outsourcing

Il Titolare del Trattamento Dati premesso che:

le dimensioni aziendali non sono tali da consentire un incremento del personale e delle

attrezzature; ha assunto anche l'incarico di Responsabile del Trattamento dei Dati;

ha concertato con gli altri Responsabili dell'organigramma le operazioni e le soluzioni adottate

per la sicurezza e la salvaguardia dei dati trattati, nonchè la corretta condotta per la raccolta e

la gestione degli stessi;

ha valutato come non rischiosa l'attività di trattamento dei dati, ovvero ha valutato di non

dover procedere ad una valutazione d'impatto;

non dispone tra i suoi dipendenti di personale qualificato o specializzato con specifiche

competenze di sicurezza Informatica;

ha svolto un'indagine di mercato analizzato le garanzie di sicurezza e affidabilità di servizi

cloud;

che le società o i servizi scelti sono di grande importanza, istituzionali o di persone di fiducia

già incaricate al trattamento degli stessi dati

adotta i servizi in out-sourcing descritti nell'allegato "Dati in outsourcing" , e dichiara altresì

di essere consapevole che i dati che trasmetterà sono dati personali e, come tali sono soggetti

all'applicazione del codice per la protezione dei dati personali; di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali;

di adottare istruzioni specifiche per il trattamento dei dati personali in out-sourcing e di

integrarle nelle procedure già in essere;

di impegnarsi a verificare periodicamente le misure di sicurezza adottate e di segnalare

immediatamente ai servizi connessi le situazioni anomale o di emergenze.

Nello specifico, alla data di compilazione di questo documento, i dati riconducibili a banche dati

esterne, sono elencati nel 'Registro dei Trattamenti' allegato e che di qui innanzi sarà costantemente

aggiornato come disposto dall'Art. 30 del R.E. 679/2016.




ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO" Via G. Matteotti 24 04015 PRIVERNO (LT)


Dati in outsourcing

I sottoelencati nominative si riferiscono a Società e professionisti con collaborazione continuative,

eventualmente contrattualizzata o comunque con accordo professionale, che possono essere

prestatore di attività di consulenza inerente la loro propria natura giuridica. Il trattamento di dati

autorizzato o il trasferimento degli stessi a ciascuno dei sottoindicati nominative è peraltro dichiarato

nell'informativa cui l'interessato presta in consenso (Diffusione dei dati).

Tipologia Denominazione P.IVA / Cod. Fiscale Note






Analisi dei rischi

Il Titolare del Trattamento in uno con i Responsabili e con l'ausilio di esperti dei vari settori ha condotto una attenta analisi del flusso dati

dell'azienda ed ha analizzato i seguenti aspetti:

Analisi dei rischi logistici Sistema di allarme

Videosorveglianza

Cartelli indicativi di restrizione di accesso Chiusura dei

locali

Armadi e scrivanie con serratura

Armadi blindati e casseforti

Archivi con porte blindate

Grate di sicurezza

Controllo degli accessi

Analisi dei rischi hardware Accesso a rack, router, modem ed altre apparecchiature di rete

Attivazione di sistema di controllo firewall

Protezione dei sistemi di connessione

Gruppi di continuità

Protezione da/verso memorie esterne

Analisi dei rischi software Obsolescenza dei Sistemi operativi

Presenza/Aggiornamento di soGware antivirus

Presenza/Aggiornamento di soGware antimalware

Credenziali di accesso al sistema operativo

Protezione dei soGware di gestione dati (database)

Accesso ai documenti condivisi

Utilizzo delle risorse

Gestione dei dati esterni (Cloud, posta elettronica, portali, servizi delocalizzati)

Questa analisi ha condotto ad una relazione che in questo documento viene riportata nella dichiarazione 'Stato della protezione'.




Stato della protezione

Il Titolare del Trattamento in uno con i Responsabili e con l'ausilio di esperti dei vari settori a seguito dell'analisi dei rischi e delle altre

considerazione strategiche proprie dell'attività aziendale determina che ad oggi la stato della protezione dei dati si riassume nei seguenti

punti.

Logistica Nessuna criticità La sede e i plessi possono essere dotati di allarme e di videosorveglianza, di rilevatori di fumo e di fuoco. Gli accessi sono controllati e gli

usci non restano incustoditi: i documenti sono correttamente conservati in armadi con serratura e in cassaforte e gli uffici sono chiusi a

chiave quando il personale è assente. I visitatori (genitori, consulenti, fornitori e ospiti) non hanno libero accesso a locali riservati, né possono

introdursi in tali locali poiché o sono a vista del personale o sono chiusi a chiave. Porte e finestre sono in ottimo stato e non presentano varchi

incustoditi. Alcuni locali possono essere dotati di grate di sicurezza. Cartelli e altre indicazioni sono stati posti in modo corretto e ben

visibili al pubblico.

L'elenco delle sedi con indicazione delle caratteristiche di sicurezza logistica e strutturale è allegato a questo documento. Rischio: Basso

Hardware Nessuna criticità Tutte le apparecchiature sono state controllate e revisionate dall'Amministratore di Rete che procede periodicamente al controllo affinchè

esse siano funzionanti, in condizioni standard e perfettamente fruibili in ogni loro parte ovvero indicando eventuali difetti,

malfunzionamenti ed altre operazioni per le quali procede, nei limiti del suo mandato, ad interventi immediati o con una

programmazione di intervento eventualmente soggetti ad autorizzazione del Titolare del Trattamento o a impegni di spesa.

L'elenco delle attrezzature e la loro ubicazione sono allegati a questo documento. Rischio: basso

Software Criticità minime standard Tutti gli elaboratori elettronici sono dotati di protezione di accesso del sistema operativo. Il soGware gestionali sono accessibili previa

autenticazione con nome utente e password diversa per ogni incaricato. La protezione antivirus è operativa, funzionante ed aggiornata su

ogni elaboratore elettronico. Il controllo periodico circa la presenza di malware è stata predisposta e sarà monitorata con report

periodico dal Responsabile incaricato. L'attuale sistema di backup è stato ritenuto valido e confermato: il Responsabile incaricato

provvederà ad un report periodico di verifica.

La rete dati cui convergono i dati amministrativi e contabili, nonché i dati personali di dipendenti, alunni e famiglia, l'accesso ai portali

istituzionali ed alla posta elettronica dell'Istituto è separata fisicamente e logicamente dalla aree didattiche e dalle strumentazioni che

accedono ad Internet (LIM. Tablet, Cellulari e computer personali ove consentiti) in modo da escludere qualsiasi forma di accesso o

contaminazione dei dati.

Rischi:

Rottura dei pc: rischio basso, perdita di dati bassa

Intrusioni non autorizzate da postazione fissa: rischio basso, furto/perdita di dati bassa

Intrusioni telematiche: rischio minimo standard, furto/perdita di dati minimo standard Guasti

elettrici e crash di sistema: rischio basso, perdita di dati basso

L'Amministratore di Rete effettua una verifica periodica e relazione direttamente al Titolare del trattamento.








Documento Programmatico sulla Sicurezza

Revoche di incarichi I sottoindicati nominativi sono stati rimossi dal DPSS: ove presenti sono stati eliminati gli accessi, i profili utente, le

password ed I permessi. Se rilasciate sono state restituite chiavi, tessere ed ogni altro documento o accessorio in dotazione.

Nessuna revoca






Documento Programmatico sulla Sicurezza

Modifiche rispetto all'analisi precedente Di seguito si elencano le modifiche apportate in riferimento al DPSS cui fanno riferimenti eventuali schede o incarichi del

presente allegato. Si prevede che tali modifiche sono da considerarsi parte integrante del DPSS e sostituisco o integrano le schede analoghe eventualmente presenti nel DPSS.

Aggiunta del Modulo ‘Mobile Device’ contenente l’elenco di strumenti volatile con i quali è possibile accedere

ai dati aziendali, a dati esterni (quali posta elettronica, database, ecc) o ad altri servizi legali al trattamento dei dati personali.

Aggiunta del Modulo ‘Cloud Space’ contenente l’elenco degli spazi virtuali presso server esterni ai quali è

possibile accedere ai dati aziendali, a dati esterni (quali documenti, fatturazione, backup, ecc) o ad altri servizi legali al trattamento dei dati personali.

Aggiunta del Modulo ‘Accesso alla posta elettronica’ contenente disposizioni per l'utilizzo della posta

elettronica aziendale.

Altre modifiche

Nessuna modifica




Accesso alla posta elettronica

Per fronteggiare le recenti minacce di software indesiderato in grado di modificare i dati aziendali (definito in vari modi tra i quali ramsonware, cryptovirus, encryptor) stante le avvertenze della case produttrici di antivirus, antispyware e altri sistemi di sicurezza e prevenzione, e stabilito che l'origine più frequente delle infezioni virali di questo tipo di software avviene attraverso la posta elettronica, si integrano le vigenti disposizioni del regolamento interno con le seguenti direttive: 1. Chiunque adoperi software di posta elettronica (client) o consulti la posta elettronica attraverso un

qualsiasi browser (webmail) deve prestare particolare attenzione al mittente ed all'oggetto ed astenersi anche solo dall'aprire il messaggio, se possibile, in caso di mittenti sconosciuti, di oggetto non coerente o palesemente erroneo, non conforme o vuoto.

2. Nei messaggi di posta elettronica prestare particolare attenzione ad eventuali collegamenti (link) contenuti nel testo del messaggio ed evitare di seguire il li collegamento (clic sul link) se puntano ad indirizzi stranieri, a file di tipo eseguibile (.EXE) o file di programma (.JAR, . MSI, ecc.)

3. Nei messaggi di posta elettronica prestare particolare attenzione ai file allegati ed evitare di scaricarli (download) se sospetti o sconosciuti.

4. Nel caso in cui sul proprio pc compaiono messaggi di richiesta di denaro (in italiano o in altra lingua) e appare impossibile aprire i propri file, è necessario staccare immediatamente il cavo di rete del pc e richiedere immediatamente l'intervento del proprio amministratore di rete

Tali disposizioni si applicano anche se l'utente consulta la posta elettronica personale: il Garante per la Protezione dei Dati Personali con Provvedimento n. 456 del 30 luglio 2015 ha stabilito che il datore di lavoro, pur non avendo il diritto di accedere ai contenuti specifici, ha il diritto di verificare l'utilizzo della posta elettronica aziendale al fine di prevenire infezioni virali e garantire la massima sicurezza possibile estendendo tale diritto a tutte le attività svolte dal dipendente con le attrezzature aziendali, ivi compresa la consultazione della posta elettronica personale se effettuata nelle ore di ufficio anche con mezzi propri (mobile, tablet, ecc.) se commessi tramite la rete aziendale.

Per presa visione

Nominativo Firma Nominativo Firma


ISTITUTO COMPRENSIVO 1 "DON AN- DREA SANTORO" Via G. Matteotti 24 04015 PRIVERNO (LT)

Ai sensi del Regolamento Europeo 679/2016 (GDPR)

Vi informiamo che l'ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO", in qualità di titolare, procederà al trattamento dei dati personali forniti, ovvero altrimenti acquisiti nell’ambito della sua attività, nel rispetto del Regolamento Europeo 679/2016 (Trattamento dei dati personali), con modalità idonee a garantirne la sicurezza e la riservatezza con strumenti manuali ed elettronici o automatizzati.

Finalità del trattamento

Modalità del trattamento

Conferimento dei dati personali

Diffusione dei dati personali

Diritti dell’interessato

Titolare del trattamento

Mod. M01/10

I vostri dati personali e quelli dei vostri familiari eventualmente forniti saranno trattati esclusivamente per le finalità istituzionali di questo Istituto: ovvero istruzione e formazione degli alunni, obblighi e funzioni amministrative e contabili ad esse strumentali incluse quelle connesse all’instaurazione di rapporti di lavoro di qualunque tipo come stabilito dalle norme vigenti.

Il trattamento è realizzato per mezzo delle operazioni o complesso di operazioni tra le quali: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modifica, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati. Le operazioni possono essere svolte con o senza l’ausilio di strumenti elettronici o comunque automatizzati. Il trattamento dei dati è svolto dal titolare e/o dagli incaricati del trattamento.

Il conferimento di taluni dati richiesti è obbligatorio perchè necessari ai fini dello svolgimento delle attività istituzionali. In mancanza di conferimento di altri dati facoltativi e non essenziali potrebbe risultare impossibile adempiere correttamente all’espletamento di taluni servizi per i quali sarete debitamente informati.

I dati personali conferiti non saranno in alcun caso diffusi ma potranno venire a conoscenza dei dipendenti, dei docenti e dei collaboratori in forza a questo Istituto espressamente nominati “incaricati del trattamento” e come tali tenuti agli obblighi connessi al trattamento dei dati, nonché ai “responsabili dei trattamenti”. I dati personali conferiti potranno essere altresì condivisi o trasmessi alle competenti autorità, a consulenti esterni o ad altri soggetti pubblici secondo quanto previsto dalle vigenti disposizioni in materia giudiziaria e sanitaria.

Nei confronti di questo Istituto possono essere esercitati i diritti sanciti dalla norma tra i quali citiamo: il diritto di conoscere l’esistenza o meno dei dati personali, la loro origine nonché la logica e la modalità del trattamento; il diritto di ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, l’aggiornamento, la rettifica o, qualora ne abbia interesse, l’integrazione dei dati; il diritto di opporsi al trattamento dei dati per finalità di invio pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale o, per motivi legittimi, di opporsi al trattamento dei dati, anche se pertinente alla finalità di raccolta.

Titolare e responsabile del trattamento dei dati personali è ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO" nella persona del Dirigente Scolastico pro tempore, quale legale rappresentante e al quale è possibile richiedere l’elenco di tutti i responsabili del trattamento dei dati.

Informativa sul trattamento dei

dati personali degli alunni

e delle loro famiglie

Informativa

Mod. C01/10 - Pagina 1 di 2 GDPR (R.E. 679/2016) - Adeguamento per l’anno 2018

ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO" Via G. Matteotti 24

04015 PRIVERNO (LT) P.IVA


Il sottoscritto ………………………………………………………………………………….. ……………………………………….

genitore/tutore dell’alunno ………………………………………………………………………………………………………………

dichiara di aver ricevuto e letto l’informativa di codesto Istituto: è consapevole che assenza del presente consenso i suoi dati potranno comunque essere oggetto di trattamento per la conclusione e l’esecuzione delle finalità proprie dell’istituzione scolastica, l’istruzione e la formazione degli alunni e gli obblighi e le funzioni amministrative e contabili ad esse strumentali, incluse quelle connesse all’instaurazione di rapporti di lavoro di qualunque tipo come stabilito dalle norme vigenti;

ESPRIME IL CONSENSO

al trattamento ed alla comunicazione dei propri dati personali e del proprio figlio/a conferiti a codesta scuola, compresi quelli definiti ’sensibili’ dal R.E. 679/2016, nei limiti e per le finalità descritte nell’informativa.

Priverno ……………………… Firma …………………………………………….

AUTORIZZA

A comunicare a privati o Enti Pubblici economici, anche per via telematica, i propri dati personali e quelli del proprio figl io/a diversi da quelli sensibili o giudiziari, pertinenti in relazione alle finalità istituzionali o ad attività ad esse strumentali. L'ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO"' potrà comunicare tali dati a:

compagnie di assicurazioni con le quali siano stipulate polizze;

agenzie di viaggio, strutture alberghiere, enti gestori di fiere, musei, gallerie, monumenti, parchi in occasione di visite guidate e viaggi di istruzione;

compagnie teatrali, enti accreditati anche per corsi di aggiornamento in occasione di spettacoli, manifestazioni o attività che coinvolgano gli allievi e il personale della scuola;

enti privati o pubblici per partecipazioni a eventi, manifestazioni, concorsi o premi cui codesta Direzione deciderà di aderire.

Tali dati potranno successivamente essere utilizzati solo per le predette finalità.

Esprime il consenso Priverno ……………………… Firma ………………………………………………..………

Nel caso si verifichino infortuni si esprime il consenso a comunicare o trasmettere anche per via telematica a Compagnie di Assicurazione ed agli Enti Preposti i dati personali, anche di natura sensibile, per gli adempimenti del caso. Tali dati potranno successivamente essere utilizzati sono per le predette finalità.

Esprime il consenso Priverno……………………… Firma ………………………………………………..………

La divulgazione dei dati personali e delle immagini di cui l'ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO" entrerà in possesso durante lo svolgimento di progetti scolastici (film, libri, raccolte, ecc) in occasione della partecipazione a concorsi o per la realizzazione di lavori pubblici previa autorizzazione del Dirigente Scolastico.


L'eventuale pubblicazione di opere ed elaborati del proprio figlio/a, nonché delle immagini e video di cui il l'ISTITUTO COM- PRENSIVO 1 "DON ANDREA SANTORO" entrerà in possesso, sul sito web istituzionale, su blog o altri portali telematici propri di questa Istituzione scolastica. L'eventuale pubblicazione è comunque soggetta alle norme vigenti sul riservatezza dei dati personali.

Esprime il consenso Priverno ……………………… continua alla pagina seguente

Consenso al trattamento dei

dati personali degli alunni e

delle loro famiglie

Consenso

Mod. C01/10 - Pagina 2 di 2 GDPR (R.E. 679/2016) - Adeguamento per l’anno 2018

ISTITUTO COMPRENSIVO 1 "DON AN- DREA SANTORO" Via G. Matteotti 24

04015 PRIVERNO (LT) P.IVA


continua dalla pagina precedente

La divulgazione di immagini riportanti i volti degli alunni l'ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO" presso emittenti televisive o giornali riprese nel corso di manifestazioni svolte sia all’interno che all’esterno della scuola.


La comunicazione a privati o enti pubblici economici, anche per via telematica, di dati personali relativi al proprio figlio/a inerenti intolleranze alimentari o patologie necessarie per garantire il corretto utilizzo della mensa scolastica. Tali dati potranno successivamente essere utilizzati solo per le predette finalità.


Alla conservazione del materiale didattico prodotto e realizzato dal proprio figlio/a, al materiale fotografico e video che documenti attività scolastiche cui il proprio figlio/a ha partecipato, a scopo di documentazione storico-statistica o di propaganda anche dopo il termine degli studi presso l'ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO" ovvero dopo un eventuale trasferimento ad altra Direzione Didattica con esplicito divieto alla diffusione di dati sensibili.


Consenso al trattamento dei

dati personali degli alunni e

delle loro famiglie

Consenso

Mod. R01/08 GDPR (R.E. 679/2016) - Adeguamento per l’anno 2018


Ai sensi del Regolamento Europeo 679/2016

Spett./Egr. Sig

Ai sensi del Regolamento Europeo 679/2016 (Trattamento dei dati personali) il Titolare del Trattamento Prof.ssa Nicolina Bova, incarica ed autorizza ………………………………….. (P.IVA/Cod. Fiscale ………………………………….) ad accedere agli uffici, agli archivi e agli elaboratori elettronici limitatamente ed esclusivamente per le attività connesse all’incarico tecnico e/o gestionale ricevuto dichiarando espressamente:

di non accedere a banche dati o ad informazioni riservate senza il consenso diretto del titolare;

di non produrre copie o duplicazioni di dati ed informazioni elettroniche o cartacee, ovvero di produrle solo in ottemperanza dell’incarico ricevuto, con lo specifico impegno ad informarne il titolare e a riconsegnarle dopo l’uso al titolare stesso;

di non portare fuori dagli uffici dati, informazioni o documenti senza il preventivo assenso del titolare;

di non divulgare a nessun titolo ed a nessuno scopo informazioni, dati o documenti che per qualsiasi motivo dovessero venire a sua conoscenza durante l’espletamento dell’incarico ricevuto:

di ripristinare le misure di sicurezza trovate all’inizio del proprio incarico, ovvero a segnalare al titolare le misure di sicurezza non ripristinate e per quale ragione;

Il presente incarico e le relative autorizzazioni si intendono revocate al completo espletamento dell’incarico ricevuto: il titolare può comunque revocare tali autorizzazioni in qualsiasi momento anche senza preavviso.

Titolare del trattamento è Il Dirigente Scolastico pro tempore Prof.ssa Nicolina Bova.

Le ricordiamo infine che secondo la norma, Le sono riconosciuti, tra l'altro, il diritto di accedere ai propri dati personali, di chiederne la rettifica, l’aggiornamento e la cancellazione, se incompleti, erronei o raccolti in violazione della legge, nonché di opporsi al loro trattamento per motivi legittimi rivolgendo le richieste al Titolare o al Responsabile del trattamento.

Il sottoscritto …………………………………………………………………………………. letta l’informativa soprariportata e consapevole che in caso di mancata prestazione del presente consenso i suoi dati potranno comunque essere oggetto di trattamento per la conclusione e l’esecuzione del rapporto intercorso con ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO" presta il consenso al trattamento dei suoi dati personali per le finalità oggetto del rapporto intercorso, alla comunicazione dei dati all’autorità di Pubblica Sicurezza, agli Enti preposti, a colleghi per consulto e consulenza, a Società collegate o convenzionate, per l’esecuzione di consulenze e, comunque, di attività esterne di carattere tecnico e/o gestionale anche per via telematica.

Firma _ _,_ / /_

Consenso

Incarico temporaneo

a personale esterno

Mod. C01/08 GDPR (R.E. 679/2016) - Adeguamento per l’anno 2018



Gentile docente/ATA, il REGOLAMENTO EUROPEO 2016/679 ed il vigente “CODICE IN MATERIA DI PROTEZIONE DEI DATI

PERSONALI” di cui al D.Lgs.196/2003, impongono l’osservanza di severe regole a protezione di tutti i dati personali, sia nella fase del loro trattamento, che della loro diffusione durante l’attività amministrativa e istituzionale. In ottemperanza a tale normativa Vi informiamo che il trattamento di tutti i dati sarà improntato ai principi di correttezza, liceità, trasparenza e tutela della riservatezza dei suoi diritti. Pertanto, nella sua qualità di “interessato/a” da intendersi quale “persona fisica, persona giuridica, ente o associazione cui si riferiscono i dati personali”, la informo di quanto segue:

FINALITÀ.

I dati personali da Voi forniti saranno trattati unicamente per le finalità istituzionali della scuola, che sono quelle relative all'istruzione ed alla formazione degli alunni e quelle amministrative ad esse strumentali, così come sono definite dalle normativa statale e regionale vigente(R.D. n.653/1925, D.Lgs. n.297/1994, D.P.R. n.275/1999, L. 104/1992, L. n.53/2003 e normativa collegata). Il conferimento dei dati richiesti è obbligatorio in quanto necessario alla realizzazione delle finalità istituzionali. L'eventuale diniego al trattamento di tali dati potrebbe determinare il mancato perfezionamento dei pratiche amministrativo-contabili. I dati personali saranno trattati esclusivamente per le finalità istituzionali della scuola, anche se raccolti non presso l'Istituzione scolastica, ma presso il MIUR e le sue articolazioni periferiche, presso altre Amministrazioni dello Stato, presso Regioni e enti locali, presso Enti con cui la scuola coopera in attività e progetti previsti dal Piano Triennale dell'Offerta Formativa.

DATI SENSIBILI E GIUDIZIARI I dati personali qualificati dal Regolamento UE 2016/679 come sensibili e giudiziari verranno trattati nel rispetto

del principio di indispensabilità del trattamento. Di norma non saranno soggetti a diffusione, salvo la necessità di comunicare gli stessi ad altri Enti Pubblici nell’esecuzione di attività istituzionali previste da norme di legge in ambito sanitario, previdenziale, tributario, infortunistico, giudiziario, collocamento lavorativo, nel limiti previsti dal D.M. 305/20036. L’acquisizione ed il trattamento di questa duplice tipologia di dati avverrà secondo quanto previsto da disposizioni di legge ed in considerazione delle finalità di rilevante interesse pubblico che la scuola persegue o se indicati nelle Autorizzazioni Generali del Garante per la protezione dei dati.

TRATTAMENTO DEI DATI I suoi dati personali verranno trattati secondo le modalità e le cautele previste dalla normativa vigente,

rispettando i presupposti di legittimità di ciascuna richiesta di dati, seguendo principi di correttezza, di trasparenza, di tutela della sua dignità e della sua riservatezza. Il trattamento può essere svolto in forma cartacea, o attraverso strumenti informatici e telematici, ed i relativi dati saranno conservati, oltre che negli archivi presenti presso la presente istituzione scolastica, anche presso gli archivi del MIUR e suoi organi periferici (Ufficio Scolastico Regionale, Ambito Territoriale Provinciale, ed altri). In tal caso i dati verranno trattati e conservati secondo le regole tecniche di conservazione digitale indicate dall’AGID. I dati cartacei, invece, secondo quanto previsto dai piani di conservazione e scarto indicati dalla direzione generale degli archivi presso il Ministero dei beni culturali. Il trattamento prevede come fasi principali: raccolta, registrazione, organizzazione, conservazione, elaborazione, comunicazione, diffusione e cancellazione dei dati quando questi cessino di essere necessari.

COMUNICAZIONE E DIFFUSIONE DATI I soggetti a cui i dati personali potranno essere comunicati nell’ambito della scuola sono: il Dirigente

Scolastico, i Responsabili del trattamento (D.S.G.A. e Collaboratore Vicario), gli Incaricati del trattamento amministrativo (che di fatto corrispondono alla segreteria amministrativa). I dati personali, diversi da quelli sensibili e giudiziari, potranno essere comunicati ad altri enti pubblici o privati esclusivamente nei casi previsti da leggi e regolamenti (per esempio: altre strutture del sistema della Pubblica Istruzione, altre strutture pubbliche, INAIL, ASL competente, Software house, Comune, Provincia, USR, ATP, Guardia di finanza, ed altri). Potranno essere diffusi esclusivamente i dati previsti dalla normativa e rigorosamente nei casi ivi indicati. In stretta relazione alle finalità sopra indicate, i suoi dati personali potranno essere comunicati a:

servizi sanitari per visite fiscali ed per accertamento dell’idoneità all’impiego;

organi preposti al riconoscimento della causa di servizio/equo indennizzo;

organi preposti alla vigilanza in materia di igiene e sicurezza sui luoghi di lavoro;

Informativa ai dipendenti

docente/Collaboratore

Informativa per

i dipendenti


enti assistenziali, previdenziali e assicurativi, autorità di PS a fini assistenziali e previdenziali, nonché per la denuncia delle malattie professionali o infortuni sul lavoro;

amministrazioni provinciali per il personale assunto obbligatoriamente ex lege n. 68/1999;

organizzazioni sindacali per adempimenti connessi al versamento delle quote di iscrizione e per la gestione dei permessi sindacali;

PA presso le quali sono comandati i dipendenti o assegnati nell’ambito della mobilità;

organi di controllo (CORTE DEI CONTI e MEF) al fine del controllo di legittimità e annotazione dei provvedimenti di stato giuridico ed economico del personale;

AGENZIA DELLE ENTRATE ai fini degli obblighi fiscali del personale;

MEF e INPDAP per la corresponsione degli emolumenti connessi alla cessazione del servizio;

PRESIDENZA CONSIGLIO DEI MINISTRI per la rilevazione annuali dei permessi per le cariche sindacali e funzioni pubbliche elettive;

istituti bancari, al fine del pagamento della retribuzione e di ogni indennità o rimborsi;

In stretta relazione alle finalità sopra indicate, i suoi dati personali potranno venire a conoscenza di responsabili e/o incaricati del trattamento così come designati dal Titolare a mezzo provvedimenti regolarmente protocollati e archiviati. Gli stessi potranno essere diffusi in forma anonima e, comunque, tale da non consentire l’individuazione dell’interessato.

MODALITÀ DI ACQUISIZIONE E DI TRATTAMENTO DEI DATI

2a) il trattamento dei suoi dati personali sarà improntato ai principi di liceità, trasparenza e correttezza; 2b) i dati da Lei forniti saranno utilizzati esclusivamente per adempiere agli obblighi amministrativi, previdenziali,

assicurativi e fiscali contemplati nel nostro ordinamento giuridico; 2c) i suoi dati sensibili (ovvero quei dati idonei a rilevare: l’origine razziale ed etnica; le convinzioni religiose,

filosofiche o di altro genere; le opinioni politiche e l’eventuale adesione a partiti politici, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale; lo stato di salute) e giudiziari (ovvero quei dati personali idonei a rivelare procedimenti o provvedimenti di natura giudiziaria), saranno trattati secondo il principio della indispensabilità;

2d) il trattamento dei suoi dati sensibili e giudiziari avverrà nel rispetto delle prescrizioni del Regolamento Privacy di cui al decreto del Ministero della Pubblica Istruzione n. 305/2006;

2e) i dati saranno registrati e conservati presso gli archivi cartacei ed elettronici del datore di lavoro, in osservanza delle misure minime di sicurezza dettate dalla vigente normativa;

2f) il conferimento dei dati è indispensabile ai fini dell’instaurazione e prosecuzione del rapporto di lavoro. NORME DEL CODICE PRIVACY CHE LEGITTIMANO IL TRATTAMENTO DEI DATI SENSIBILI E GIUDIZIARI DA

PARTE DELL’ISTITUTO: instaurazione e gestione da parte di soggetti pubblici di rapporti di lavoro di qualunque tipo, dipendente o autonomo, anche non retribuito o onorario o a tempo parziale o temporaneo, e di altre forme di impiego che non comportano la costituzione di un rapporto di lavoro subordinato

rilascio di documenti di riconoscimento;

pubblicità dell’attività di organi;

attività di controllo e ispettive;

applicazione della disciplina in materia di concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni;

applicazione della legge n. 230/1998 e delle altre disposizioni in materia di obiezione di coscienza;

attività sanzionatoria e di tutela;

supporto al collocamento e avviamento al lavoro. Si precisa che, ai sensi del secondo comma dell’art. 112 T.U., si considerano trattamenti aventi le finalità “lavoristiche” quelli effettuati al fine di:

applicare la normativa in materia di collocamento obbligatorio, categorie protette, pari opportunità, accesso a specifici impieghi per cui sono necessarie particolari requisiti (art. 112 lett. a, b, c);

adempiere agli obblighi relativi allo stato giuridico ed economico del personale, ivi compreso il riconoscimento di cause di servizio, gli obblighi retributivi, fiscali e contabili, nonché tutti quegli obblighi relativi alle prestazioni di lavoro fornite (art. 112 lett. d);

adempiere agli obblighi relativi alla normativa sull’igiene e sicurezza nei luoghi di lavoro, alla salute della popolazione e in materia sindacale (art. 112 lett. e);

applicare la normativa in materia di assistenza e previdenza (art. 112 lett. f);

svolgere attività dirette all’accertamento della responsabilità civile, disciplinare e contabile, nonché comparire in giudizio o partecipare a procedure arbitrali e di conciliazione come previste dai contatti collettivi (art. 112 lett. g, h);

applicare la normativa in materia di incompatibilità, rapporti di lavoro a tempo parziale e anagrafe dei pubblici dipendenti (art. 112 lett. l, m);

salvaguardare la vita o l’incolumità fisica dell’interessato e di terzi e svolgere attività di indagine e ispezione (art. 112 lett. m, n);

valutare la qualità dei servizi resi e dei risultati conseguiti (art. 112 lett. o).


In qualità di interessato, potrà: a) ottenere la conferma dell’esistenza o meno dei suoi dati presso il Titolare; b) conoscerne il contenuto e l’origine; c) verificarne l’esattezza o chiederne l’integrazione o l’aggiornamento oppure la rettificazione; d) chiedere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge; e) opporsi, per motivi legittimi, al trattamento nonché, in generale, esercitare tutti i diritti riconosciuti dall’art. 7 del

D.Lgs. 196/2003; TITOLARE DEL TRATTAMENTO DEI DATI Il titolare del trattamento dei dati è l’istituzione scolastica stessa, avente personalità giuridica autonoma e legalmente rappresentata dal Dirigente Scolastico prof.ssa Nicolina Bova. Responsabile del trattamento dei dati: il Direttore dei S.G.A. Nadia Giovannelli a cui gli interessati possono rivolgersi per esercitare i diritti previsti dall'art.7 del Codice. L’elenco aggiornato di incaricati e responsabili è disponibile presso la segreteria dell’istituto.

Le ricordiamo infine che secondo la norma Le sono riconosciuti, tra l'altro, il diritto di accedere ai propri dati personali, di chiederne la rettifica, l’aggiornamento e la cancellazione, se incompleti, erronei o raccolti in violazione della legge, nonché di opporsi al loro trattamento per motivi legittimi rivolgendo le richieste al Titolare o al Responsabile del trattamento.

La Dirigente Scolastica

Nicolina Bova

Firma autografa sostituita a mezzo stampa

ex art. 3, c.3, D.Lgs. n. 39 del 12/02/1993

Mod. L01/08 GDPR (R.E. 679/2016) - Adeguamento per l’anno 2018


Spett. ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO" Via G. Matteotti 24 04015 PRIVERNO (LT)

Ai sensi del Regolamento Europeo 679/2016 (Trattamento dei dati personali), il sottoscritto

_ in qualità di Titolare della Ditta/Società _

(C.Fisc./P.IVA ___________ _),

dichiara

di essere a norma con quanto disposto dal citato Regolamento in ordine alla riservatezza di dati personali da Voi

fornitici il cui trattamento è limitato agli scopi ed alle procedure necessari al corretto e completo espletamento

dell’incarico affidato o delle prestazioni professionali e dei servizi da Voi richiesti;.

che i dati da Voi forniti saranno trattati secondo la norma garantendone la sicurezza e la riservatezza e saranno

accessibili solo a personale incaricato debitamente autorizzato e formato al rispetto delle norme vigenti sul

trattamento dei dati personali;

di comunicare ogni e qualsiasi violazione della sicurezza che coinvolga i dati da Voi fornitici con la massima

tempestività e collaborazione.

che il Titolare del Trattamento dei Dati è il Dirigente Scolastico __________________ raggiungibile presso la

ns. sede.

Priverno, ………………………

Il titolare del trattamento dei dati

_ _ (timbro e firma leggibile)

Autocertificazione del

cliente/fornitore



Prot.n. _________ Città, ,_________ AL FORNITORE___________________ Oggetto: informativa ex-art.13 D.Lgs.196/2003 ( Codice sulla privacy) ed art. 13 del Regolamento Europeo 2016/679 per il trattamento dei dati personali.

Gentile Sig./Sig.ra,

il REGOLAMENTO EUROPEO 2016/679 ed il vigente “CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI” di cui al D.Lgs.196/2003, impongono l’osservanza di severe regole a protezione di tutti i dati personali, sia nella fase del loro trattamento, che della loro diffusione durante l’attività amministrativa e istituzionale. In ottemperanza a tale normativa Vi informiamo che il trattamento di tutti i dati sarà improntato

ai principi di correttezza, liceità, trasparenza e tutela della riservatezza dei suoi diritti. Pertanto, nella sua qualità di “interessato/a” da intendersi quale “persona fisica, persona giuridica, ente o associazione cui si riferiscono i dati personali”, la informo di quanto segue:

1. FINALITÀ.

I dati personali da Voi forniti saranno trattati unicamente per le finalità istituzionali della scuola, che sono quelle relative all'istruzione ed alla formazione degli alunni e quelle amministrative ad esse strumentali, così come sono definite dalle normativa statale e regionale vigente( R.D. n.653/1925, D.Lgs. n.297/1994, D.P.R. n.275/1999, L. 104/1992, L. n.53/2003 e normativa collegata). Il conferimento dei dati richiesti è obbligatorio in quanto necessario alla realizzazione delle finalità istituzionali. L'eventuale diniego al trattamento di tali dati potrebbe determinare il mancato perfezionamento dei pratiche amministrativo-contabili. I dati personali saranno trattati esclusivamente per le finalità istituzionali della scuola, anche se raccolti non presso l'Istituzione scolastica, ma presso il MIUR e le sue articolazioni periferiche, presso altre Amministrazioni dello Stato, presso Regioni e enti locali, presso Enti con cui la scuola coopera in attività e progetti previsti dal Piano Triennale dell'Offerta Formativa.

2. DATI SENSIBILI E GIUDIZIARI

I dati personali qualificati dal Regolamento UE 2016/679 come sensibili e giudiziari verranno trattati nel rispetto del principio di indispensabilità del trattamento. Di norma non saranno soggetti a diffusione, salvo la necessità di comunicare gli stessi ad altri Enti Pubblici nell’esecuzione di attività istituzionali previste da norme di legge in ambito sanitario, previdenziale, tributario, infortunistico, giudiziario, collocamento lavorativo, nel limiti previsti dal D.M. 305/20036. L’acquisizione ed il trattamento di questa duplice tipologia di dati avverrà secondo quanto previsto da disposizioni di legge ed in considerazione delle finalità di rilevante interesse pubblico che la scuola persegue o se indicati nelle Autorizzazioni Generali del Garante per la protezione dei dati.

3. TRATTAMENTO DEI DATI

I suoi dati personali verranno trattati secondo le modalità e le cautele previste dalla normativa vigente, rispettando i presupposti di legittimità di ciascuna richiesta di dati, seguendo principi di correttezza, di trasparenza, di tutela della sua dignità e della sua riservatezza. Il trattamento può essere svolto in forma cartacea, o attraverso strumenti informatici e telematici, ed i relativi dati saranno conservati, oltre che negli archivi presenti presso la presente istituzione scolastica, anche presso gli archivi del MIUR e suoi organi periferici ( Ufficio Scolastico Regionale, Ambito Territoriale Provinciale, ed altri ). In tal caso i dati verranno trattati e conservati secondo le regole tecniche di conservazione digitale indicate dall’AGID. I dati cartacei, invece, secondo quanto previsto dai piani di conservazione e scarto indicati dalla direzione generale degli archivi presso il Ministero dei beni culturali. Il trattamento prevede come fasi principali: raccolta, registrazione, organizzazione, conservazione, elaborazione, comunicazione, diffusione e cancellazione dei dati quando questi cessino di essere necessari.

4. COMUNICAZIONE E DIFFUSIONE DATI

I soggetti a cui i dati personali potranno essere comunicati nell’ambito della scuola sono: il Dirigente Scolastico, i Responsabili del trattamento (D.S.G.A. e Collaboratore Vicario), gli Incaricati del trattamento amministrativo (che di fatto corrispondono alla segreteria amministrativa). I dati personali, diversi da quelli sensibili e giudiziari, potranno essere comunicati ad altri enti pubblici o privati esclusivamente nei casi previsti da leggi e regolamenti (per esempio: altre strutture del sistema della Pubblica Istruzione, altre strutture pubbliche, INAIL, ASL competente, Software house, Comune, Provincia, USR, ATP, Guardia di finanza, ed altri ). Potranno essere diffusi esclusivamente i dati previsti dalla normativa e rigorosamente nei casi ivi indicati. In stretta relazione alle finalità sopra indicate, i suoi dati personali potranno venire a conoscenza di responsabili e/o incaricati del trattamento così come designati dal Titolare a mezzo provvedimenti regolarmente protocollati e archiviati. Gli stessi potranno essere diffusi in forma anonima e, comunque, tale da non consentire l’individuazione dell’interessato;

INFORMATIVA PRIVACY FORNITORI


5. MODALITÀ DI ACQUISIZIONE E DI TRATTAMENTO DEI DATI

2a) il trattamento dei suoi dati personali sarà improntato ai principi di liceità, trasparenza e correttezza; 2b) i dati da Lei forniti saranno utilizzati esclusivamente per adempiere agli obblighi amministrativi, previdenziali, assicurativi

e fiscali contemplati nel nostro ordinamento giuridico; 2c) i suoi dati sensibili (ovvero quei dati idonei a rilevare: l’origine razziale ed etnica; le convinzioni religiose, filosofiche o di

altro genere; le opinioni politiche e l’eventuale adesione a partiti politici, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale; lo stato di salute) e giudiziari (ovvero quei dati personali idonei a rivelare procedimenti o provvedimenti di natura giudiziaria), saranno trattati secondo il principio della indispensabilità;

2d) il trattamento dei suoi dati sensibili e giudiziari avverrà nel rispetto delle prescrizioni del Regolamento Privacy di cui al decreto del Ministero della Pubblica Istruzione n. 305/2006;

2e) i dati saranno registrati e conservati presso gli archivi cartacei ed elettronici del datore di lavoro, in osservanza delle misure minime di sicurezza dettate dalla vigente normativa;

2f) il conferimento dei dati è indispensabile ai fini dell’instaurazione e prosecuzione del rapporto di lavoro;

In qualità di interessato, potrà: a) ottenere la conferma dell’esistenza o meno dei suoi dati presso il Titolare; b) conoscerne il contenuto e l’origine; c) verificarne l’esattezza o chiederne l’integrazione o l’aggiornamento oppure la rettificazione; d) chiedere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge; e) opporsi, per motivi legittimi, al trattamento nonché, in generale, esercitare tutti i diritti riconosciuti dall’art. 7 del D.Lgs. 196/2003;

6. TITOLARE DEL TRATTAMENTO DEI DATI

- Il titolare del trattamento dei dati è l’istituzione scolastica stessa, avente personalità giuridica autonoma e legalmente rappresentata dal Dirigente Scolastico prof. _____________________________________________.

- Responsabile del trattamento dei dati: il Direttore dei S.G.A. __________________________________________a cui gli interessati possono rivolgersi per esercitare i diritti previsti dall'art.7 del Codice.

L’elenco aggiornato di incaricati e responsabili è disponibile presso la segreteria dell’istituto.

Le ricordiamo infine che secondo la norma Le sono riconosciuti, tra l'altro, il diritto di accedere ai propri dati personali, di chiederne la rettifica, l’aggiornamento e la cancellazione, se incompleti, erronei o raccolti in violazione della legge, nonché di opporsi al loro trattamento per motivi legittimi rivolgendo le richieste al Titolare o al Responsabile del trattamento.

IL DIRIGENTE SCOLASTICO ____________________________

Mod. M18/06 GDPR (R.E. 679/2016) - Adeguamento per l’anno 2018


Utilizzare questa scheda per la conservazione delle credenziali di accesso agli elaboratori elettronici, ai software o alle banche dati aziendali. Questo foglio deve essere sigillato in busta chiusa.

Documento del …………………………………………

Utente: ………………………………………………… (firma) ……………………………………………………………..

Tipo* Descrizione UserId Password Data Assegnazione Data Scadenza Note

(*) Tipo: Legenda PC Elaboratore elettronico SO Sistema Operativo SW Software gestionale BD Banca Dati (accesso diretto) OT Altro

Il modulo va compilato personalmente dall’incaricato. Il contenuto è segreto. Non appena compilato il modulo va conservato in busta chiusa e sigillata con la propria firma e consegnato al Responsabile della Custodia delle Credenziali. Sulla busta va indicata la data del successivo aggiornamento.

Il modulo può essere visionato solo dal Titolare del trattamento in caso di oggettiva necessità con l’obbligo di darne comunicazione all’incaricato non appena possibile.

Credenziali



Utilizzare questa scheda per inventariare la strumentazione in dotazione: vanno registrati solo gli strumenti con i quali è possibile accedere o creare dati, creare o modificare file, navigare in internet o consultare posta elettronica.

Rilevazione del …………………………………………

Responsabile…………………………………………… (firma) ……………………………………………………………..

Tipo* Descrizione Q.tà Sistema operativo Ubicazione Rete Protezione Backup

(*) Tipo: Legenda PC Elaboratore elettronico SE Server TA Tablet/Netbook NB Portatile / Notebook CE Cellulare / Mobile LI LIM (con portatile) AL Altro (specificare)

Il modulo va compilato periodicamente dal Responsabile della manutenzione degli strumenti elettronici, in accordo con in Responsabile della Protezione dei Dati e del Titolare del Trattamento con la cadenza programmata. Il modulo va integrato con una tabella dettagliata per ogni singolo strumento dal quale si possa evincere, alla data del controllo, l'integrità,del sistema gli aggiornamenti dei software, lo stato della sicurezza e l'assenza di malware.

Elaboratori elettronici


Mobile device ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO" Via G. Matteotti 24 04015 PRIVERNO (LT)

A completamento delle indicazioni già fornite nel DPSS si elencano di seguito gli strumenti mobile dai quali il Titolare, i Responsabili e gli Incaricati possono accedere a dati aziendali, o comunque personali, soggetti alle norme del DPSS aziendale

Tipo1 Soggetto Identificativo

2 Descrizione servizio Note

Tipo: Indicare il tipo di device (Smartphone, iPad, Tablet, ecc) Identificativo: Indicare il numero telefonico del device o il numero di serie

Il modulo va compilato dal Titolare o dal Responsabile. Il contenuto è segreto. Non appena compilato il modulo va conservato in busta chiusa e sigillata con la propria firma e consegnato al Responsabile della Custodia delle Credenziali. Sulla busta va indicata la data del successivo aggiornamento.


Cloud space ISTITUTO COMPRENSIVO 1 "DON ANDREA SANTORO" Via G. Matteotti 24 04015 PRIVERNO (LT)

A completamento delle indicazioni già fornite nel DPSS si elencano di seguito gli spazi dati esterni ai quali il Titolare, i Responsabili e gli Incaricati possono accedere e che contengono dati aziendali, o comunque personali, soggetti alle norme del DPSS aziendale.

Tipo1 Soggetto URL del servizio Identificativo

2 Note

Tipo: Indicare il tipo di servizio; fatturazione, archiviazione, backup, ecc ) Identificativo: Indicare il nome utente e la password di accesso al servizio

Il modulo va compilato dal Titolare o dal Responsabile. Il contenuto è segreto. Non appena compilato il modulo va conservato in busta chiusa e sigillata con la propria firma e consegnato al Responsabile della Custodia delle Credenziali. Sulla busta va indicata la data del successivo aggiornamento.

E' fatto obbligo al personale preposto al controllo degli accessi di registrare ogni ingresso di genitori, consulenti, fornitori e ospiti e di accompagnarli personalmente nella sala preposta ovvero ad attendere che la persona incaricata venga ad accogliere il visitatore per condurlo nella sala preposta. Questo modulo deve essere compilato con attenzione. In caso di errore non è consentito fare cancellazioni o abrasioni e si dovrà compilare una nuova riga. Il modulo eventualemnte completo (tutte le righe utilizzate) va consegnato al Responsbaile indicato.

Data Ora di arrivo Nominativo Tipo e numero documento Motivo dell'ingresso Orario di uscita

Personale di controllo

Ac

ce

sso

ai lo

ca

li

de

ll'Istitu

to

IST

ITU

TO

CO

MP

RE

NS

IVO

S

AN

TO

RO

"

Via

G. M

atte

otti 2

4

0401

5 P

RIV

ER

NO

(LT

)

1 "

DO

N A

ND

RE

A

Mo

d. M

18

/06

GD

PR

(R.E

. 67

9/2

01

6) - A

de

gu

am

en

to p

er l’a

nn

o 2

01

8



Utilizzare questa scheda per la verifica iniziale o periodica delle impostazioni e dello status delle misure si sicurezza, degli adempimenti e delle operazioni necessarie per il rispetto di quanto indicato del DPSS.

Verifica del ………………………………………...

Verifica licenze

Attivazione

Aggiornamento

P.C.

S.O.

Screen saver

Software 1)

2)

3)

Buste credenziali

Custodia

Definizione

Verifica

Conservazione

Informativa affissa

Informativa consenso

Altri Preventivo

Contratto

Base

Avanzata

Backup

Cartelli e indicazioni

Serrature

Antifurto

Antincendio

UPS

Mod. M10/06

LOGISTICA

FORMAZIONE

MODULI

BACKUP

PASSWORD

ANTIVIRUS

Check-List




Indicazione di accesso riservato

Apporre il cartello ben visibile sulle porte o sui varchi ai quali si desidera espressamente vie- tare l’accesso al personale non autorizzato, ai visitatori, agli utenti o ai clienti. L’esposizione del cartello non esime dall’adozione di ulteriori misure di sicurezza ove previste.

ACCESSO VIETATO ALLE PERSONE NON AUTORIZZATE

ai sensi del

Regolamento Europeo 679/2016 (Trattamento dei dati personali)

I trasgressori sono perseguibili civilmente e penalmente

secondo le norme vigenti



Fac-simile del cartello da esporre all’interno del locale

Mod. M07/06

IL PRESENTE LOCALE PER RAGIONI DI SICUREZZA E’ SORVEGLIATO DA SISTEMA DI VI- DEOSORVEGLIANZA FISSA A MEZZO TELECAMERE.

LE IMMAGINI VENGONO RILEVATE NEL SEGUENTE MODO: RILEVAZIONE CONTINUA CON IL SEGUENTE SISTEMA: STRUMENTI DIGITALI SU SUPPORTO MAGNETICO, SALVE

ESIGENZE DI GIUSTIZIA. L’USO DEI SISTEMI E IL TRATTAMENTO DELLE IMMAGINI E’ DE-

MANDATO ESCLUSIVAMENTE AI SOGGETTI SPECIFICAMENTE INCARICATI.

IL CONFERIMENTO DEI DATI (IMMAGINI) NON E’ OBBLIGATORIO, MA IL DIVIETO DI RIPRE- SA POTRA’ COMPORTARE L’IMPOSSIBILITA’ DI AUTORIZZARE L’ACCESSO AI LUOGHI OGGETTO DI VIDEOSORVEGLIANZA. RE-

STANO FERME LE ESIGENZE DI CONTROLLO E SICUREZZA AN-

CHE NELL’AMBITO DI INDAGINI INVESTIGATIVE.

I SOGGETTI INTERESSATI RIPRESI DALLE VIDEOCAMERE POSSO- NO ESERCITARE I DIRITTI DI CUI AL REGOLAMENTO EUROPEO 679/2016

RESPONSABILE DEL TRATTAMENTO DEI DATI E’ Il Dirigente Scolastico Prof.ssa Nicolina Bova

FacSimili cartelli per la

videosorveglianza




Compilazione del Registro dei Trattamenti

Il Registro dei Trattamenti dovrà essere compilato e tenuto aggiornato a cura del Responsabile della Protezione

di Dati (RDP).

Ogni trattamento sarà censito con un'apposita scheda (Vedi schema 'Registro dei Tra1amenti' allegato)

che seguirà una numerazione progressiva. Tutte le schede dovranno essere messe a disposizione della

Autorità competente che ne faccia richiesta.

Il Responsabile avrà cura di verificare a scadenze programmate e comunque con intervallo non superiore a

sei mesi che le condizioni di sicurezza stabilite ed adottate siano ancora valide ed efficacy per ogni singolo

trattamento ancora in essere.


Allegato 1 al Provvedimento del 2 luglio 2015

1


Scheda tecnica

Descrizione Note

Progressivo

Trattamento

Ufficio / Servizio

Finalità

Tipo di dati personali

Categorie di interessati

Informativa

Consenso

Conservazione dei dati

Misure di sicurezza

Responsabile del trattamento (RDP)

Destinatari diversi

Nazioni estere (se applicabile)

Garazie di trasferimento

Inizio del trattamento

Fine del trattamento

Registro dei trattamenti


2


REGISTRO DELLE VIOLAZIONI

DATA TIPO DI VIOLAZIONE (accidentale o provocata)

DATI OGGETTO DI VIOLAZIONE (descrizione)

GESTIONE *

*: Inserire i termini della gestione e le modalità con il riferimento all’eventuale comunicazione all’Autorità di controllo competente (Garante Privacy)

REGISTRO VIOLAZIONI


3

Amministrazione titolare del trattamento Denominazione o ragione sociale

Provincia Comune

Cap Indirizzo


VIOLAZIONE DI DATI PERSONALI MODELLO DI COMUNICAZIONE AL GARANTE

Secondo quanto prescritto dal Provvedimento del 2 luglio 2015, le amministrazioni pubbliche sono tenute a

comunicare al Garante all'indirizzo: [email protected] le violazioni dei dati personali (data breach) che si

verificano nell’ambito delle banche dati (qualsiasi complesso organizzato di dati personali, ripartito in una o più

unità dislocate in uno o più siti, art. 4, comma 1, lett. p del Codice) di cui sono titolari.

La comunicazione deve essere effettuata entro 48 ore dalla conoscenza del fatto, compilando il modulo che segue.

Nome persona fisica addetta alla comunicazione

Cognome persona fisica addetta alla comunicazione

Funzione rivestita

Indirizzo PEC e/o EMAIL per eventuali comunicazioni

Recapito telefonico per eventuali comunicazioni

Eventuali Contatti (altre informazioni)

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4129029

mailto:[email protected]

4

Denominazione della/e banca/banche dati oggetto di data breach e breve descrizione della violazione dei dati

personali ivi trattati

Quando si è verificata la violazione dei dati personali trattati nell’ambito della banca dati?

Il

Tra il e il

In un tempo non ancora determinato

E' possibile che sia ancora in corso

Dove è avvenuta la violazione dei dati? (Specificare se sia avvenuta

a seguito di smarrimento di dispositivi o di supporti portatili)

Modalità di esposizione al rischio

Tipo di violazione

Lettura (presumibilmente i dati non sono stati copiati)

Copia (i dati sono ancora presenti sui sistemi del titolare)

Alterazione (i dati sono presenti sui sistemi ma sono stati alterati)

Cancellazione (i dati non sono più sui sistemi del titolare e non li ha neppure l'autore della violazione) Furto

(i dati non sono più sui sistemi del titolare e li ha l'autore della violazione)

Altro :

5

Dispositivo oggetto della violazione

Computer

Rete

Dispositivo mobile

File o parte di un file

Strumento di backup

Documento cartaceo

Altro :

Sintetica descrizione dei sistemi di elaborazione o di

memorizzazione dei dati coinvolti, con indicazione della loro

ubicazione:

Quante persone sono state colpite dalla violazione dei dati personali trattati nell’ambito della banca dati?

N. persone

Circa persone

Un numero (ancora) sconosciuto di persone

Che tipo di dati sono oggetto di violazione?

Dati anagrafici/codice fiscale

Dati di accesso e di identificazione (user name, password, customer ID, altro) Dati

relativi a minori

Dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro

genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere

religioso, filosofico, politico o sindacale

Dati personali idonei a rivelare lo stato di salute e la vita sessuale

Dati giudiziari

Copia per immagine su supporto informatico di documenti analogici

Ancora sconosciuto

Altro :

Livello di gravità della violazione dei dati personali trattati

nell’ambito della banca dati (secondo le valutazioni del titolare)?

Basso/trascurabile

Medio

Alto

Molto alto


Misure tecniche e organizzative applicate ai dati oggetto

di violazione

La violazione è stata comunicata anche agli interessati?

Sì, è stata comunicata il

No, perché

Qual è il contenuto della comunicazione resa agli

interessati?

Quali misure tecnologiche e organizzative sono state assunte per contenere la violazione dei dati e prevenire simili

violazioni future?

GDPR - R.E. 679/2016 Revisione del Documento Programmatico ... · GDPR (R.E. 679/2016) -...

Documents

Transcript of GDPR - R.E. 679/2016 Revisione del Documento Programmatico ... · GDPR (R.E. 679/2016) -...