Il Dirigente dell’istituzione Scolastica · Web viewil trattamento e la conservazione dei dati...

Titolo doc.: DOCUMENTO PROGRAMMATICO DELLA SICUREZZA

Autori: Commissione Privacy d’Istituto

Data Note Pagg.

1 14/03/2013 Revisione 52

Indice

A. ANALISI DELLA ISTITUZIONE SCOLASTICA.......................................................................21. DESCRIZIONE DEL SISTEMA INFORMATIVO...................................................................................................22. ELENCO DEI TRATTAMENTI DI DATI PERSONALI..........................................................................................43. ELENCO DEI DATI PERSONALI DI NATURA COMUNE O SENSIBILE........................................................194. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ NELL'AMBITO DELLE STRUTTURE PREPOSTE AL TRATTAMENTO DEI DATI............................................................................................................205. ANALISI DEI RISCHI INCOMBENTI SUI DATI.................................................................................................29

B – MISURE MINIME DI SICUREZZA ADOTTATE E DA ADOTTARE...................................316. MISURE IN ESSERE E DA ADOTTARE PER GARANTIRE L'INTEGRITÀ E LA DISPONIBILITÀ DEI DATI, NONCHÈ LA PROTEZIONE DELLE AREE E DEI LOCALI, RILEVANTI AI FINI DELLA LORO CUSTODIA E ACCESSIBILITÀ.................................................................................................................................317. CRITERI E DELLE MODALITÀ PER IL RIPRISTINO DELLA DISPONIBILITÀ DEI DATI IN SEGUITO A DISTRUZIONE O DANNEGGIAMENTO..................................................................................................................468. TRATTAMENTI DI DATI PERSONALI SENSIBILI O GIUDIZIARI CON STRUMENTI ELETTRONICI AFFIDATI ALL’ESTERNO.........................................................................................................................................479. VINCOLI CONTRATTUALMENTE ASSUNTI DAL FORNITORE ESTERNO AI FINI DELLA SICUREZZA DEI DATI......................................................................................................................................................................4810. ATTI E DOCUMENTI NON IN FORMATO ELETTRONICO, ARCHIVI CARTACEI....................................49

C – FORMAZIONE ED ADEGUAMENTO DEL DOCUMENTO.................................................5011. PROGRAMMA DEGLI INTERVENTI FORMATIVI DEGLI INCARICATI DEL TRATTAMENTO.............5012. OBBLIGO DI AGGIORNAMENTO PERIODICO DEL DPS..............................................................................5013. ALLEGATI DEL DPS..........................................................................................................................................52

1

ISTITUTO COMPRENSIVO “GIOVANNI XXIII” Via Sandro Gallo 34 – 30126 Venezia LidoTel 041 5260994 – Fax 041 5269506 Codice fiscale 94071390275 Codice Ministeriale VEIC840006

Il Dirigente dell’istituzione ScolasticaVisto il decreto legislativo 30 giugno 2003, n.196 recante il Codice in materia di protezione di dati personali, e segnatamente gli artt. 34 e seguenti, nonché l’allegato B del suddetto d.lgs., contenente il Disciplinare tecnico in materia di misure minime di sicurezza;Visto il D.L. del 6/12/2011 n. 201 art. 40, che modifica l’art. 4 del Decreto Legislativo 196;Visto il D.L. n. 5 del 9/2/2012, art. 45, che sopprime i paragrafi 19 e 26 dell’allegato B al Decreto Legislativo 196/2003;Considerato che l’Istituzione Scolastica Istituto Comprensivo “Giovanni XXIII”, con sede in Via Sandro Gallo 34 – Venezia Lido, in quanto dotata di un autonomo potere decisionale, ai sensi dell’art.28 del d.lgs. n. 196 del 2004, deve ritenersi titolare del trattamento di dati personali;Atteso che la suddetta Istituzione scolastica è tenuta a prevedere ed applicare le misure minime di sicurezza di cui agli artt. 31 e ss. del d.lgs. n.196 del 2003, Visto il Decreto 7.12.2006 n. 306 “Regolamento recante identificazione dei dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal M.P.I. in attuazione degli artt.20-21 del D.L.vo 196/2003” adottato da questa istituzione scolastica con specifica delibera del C.I. del 26 marzo 2012

ADOTTA IL PRESENTE

DOCUMENTO PROGRAMMATICO DELLA SICUREZZA

L’Istituzione scolastica, per l’espletamento della funzione didattica e formativa, raccoglie e tratta dati personali dei soggetti coinvolti nell’offerta formativa ovvero dei destinatari della stessa, anche con l’ausilio di soggetti esterni, talché si precisano i seguenti elementi:A – ANALISI DELLA ISTITUZIONE SCOLASTICAB – MISURE MINIME DI SICUREZZA ADOTTATE E DA ADOTTAREC – FORMAZIONE ED ADEGUAMENTO DEL DOCUMENTO

A. ANALISI DELLA ISTITUZIONE SCOLASTICA

1. DESCRIZIONE DEL SISTEMA INFORMATIVO.Il sistema informativo della Sede Vettor Pisani, Via Sandro Gallo 34 30126 Lido di Venezia, è composto da componenti hardware e software di seguito specificate:

Server D.D. Giovanni XXIIISistema operativo :WINDOWS 2000Applicativi di tipo gestionale : SISSI IN RETEProgrammi di navigazione in internet: INTERNET EXPLORERAltri applicativi : AVG 2009

Server Rete Giovanni XXIIISistema operativo: WINDOWS 2003 SERVERApplicativi di tipo gestionale: ARGOApplicativi di office automation: NO Sistema di posta elettronica : NOProgramma di navigazione in internet: INTERNET EXPLORERSiti internet interni o in hosting o housing presso provider: NOAltri applicativi: AVG 2012

2

La Rete degli uffici della segreteria, collegata al Server “Rete Giovanni XXIII” è isolata ed i PC sono collegati tra di loro con cavi UTP cat. 5 e SWITCH 16 porte, inoltre le apparecchiature di rete, SWITCH e MODEM-ROUTER per linea ADSL, sono poste in un armadio rack.

Dispositivi di connessione verso l’esterno: Linea ADSL di collegamento ad Internet

Personal computer: PC8 – UTENTE AMMINISTRATORE : DOVICO RENATASistema operativo: WINDOWS 7XP Applicativi di tipo gestionale: ARGO EMOLUMENTI – BILANCIO – PERSONALE FISCO - ALUNNI (archivio al 31/12/2012) - PROTOCOLLO - PRESENZE – INVENTARIO – RINNOVA SCUOLE – F24 EPApplicativi di office automation: MICROSOFT OFFICE 2007Sistema di posta elettronica : SI OUTLOOK EXPRESS Programma di navigazione in internet: INTERNET EXPLORER - MOZZILLAAltri applicativi: ENTRATEL - INPSUNIEMENS – PRE1996-AVG 2012

Personal computer: PC2 - UTENTE AMMINISTRATORE : ZAMBON M.TERESASistema operativo: WINDOWS XP PROFESSIONALApplicativi di tipo gestionale: ARGO PERSONALE – EMOLUMENTI – ALUNNI (archivio al 31/12/2012) – BILANCIO – PROTOCOLLO - PRESENZEApplicativi di office automation: MICROSOFT OFFICE 2010 PLUSSistema di posta elettronica : SI OUTLOOK EXPRESS Programma di navigazione in internet: INTERNET EXPLORER - MOZZILLAAltri applicativi: AVG 2012 – ENTRATEL.

Personal computer: PC3 – UTENTE AMMINISTRATORE : PILOT IVANASistema operativo: WINDOWS XP PROFESSIONALApplicativi di tipo gestionale: ARGO BILANCIO – EMOLUMENTI – PERSONALE – ALUNNI (archivio al 31/12/2012) – PROTOCOLLO – PRESENZE.Applicativi di office automation: MICROSOFT OFFICE 2010 PLUSSistema di posta elettronica : OUTLOOK EXPRESS Programma di navigazione in internet: INTERNET EXPLORER - MOZZILLAAltri applicativi: AVG 2012

Personal computer: PC4 – UTENTE AMMINISTRATORE : SCARPA MARIASistema operativo: WINDOWS XP PROFESSIONALApplicativi di tipo gestionale: ARGO PERSONALE – ALUNNI (archivio al 31/12/2012) - PROTOCOLLOApplicativi di office automation: MICROSOFT OFFICE 2010 PLUSSistema di posta elettronica : MICROSOFT OUTLOOKProgramma di navigazione in internet: INTERNET EXPLORER - MOZZILLAAltri applicativi: GESTIONE POSTA ELETTRONICA MINISTERIALE AVG 2012

Personal computer: PC5 – UTENTE AMMINISTRATORE : SCARPA FLAVIASistema operativo: WINDOWS XP PROFESSIONALApplicativi di tipo gestionale: ARGO ALUNNI (archivio al 31/12/2012) – PERSONALE - PROTOCOLLOApplicativi di office automation: MICROSOFT OFFICE 2010 PLUSSistema di posta elettronica : MICROSOFT OUTLOOK Programma di navigazione in internet: INTERNET EXPLORER - MOZZILLA

3

Altri applicativi: AVG 2012

Personal computer: PC6 – UTENTE AMMINISTRATORE : MOTTA BARBARASistema operativo: WINDOWS 7 XPApplicativi di tipo gestionale: ARGO ALUNNI (archivio al 31/12/2012) – PERSONALE – PROTOCOLLO – LIBRI DI TESTO Applicativi di office automation: MICROSOFT OFFICE 2007 Sistema di posta elettronica : SI OUTLOOK EXPRESSProgramma di navigazione in internet: INTERNET EXPLORER - MOZZILLAAltri applicativi: AVG 2012

Personal computer: PC7 – UTENTE AMMINISTRATORE : SALMASO DANIELASistema operativo: WINDOWS 7 XPApplicativi di tipo gestionale: ARGO ALUNNI (archivio al 31/12/2012) – PERSONALE – PROTOCOLLO Applicativi di office automation: MICROSOFT OFFICE 2007 Sistema di posta elettronica : SI OUTLOOK EXPRESSProgramma di navigazione in internet: INTERNET EXPLORER - MOZZILLAAltri applicativi: AVG 2012

Personal computer: PC9 – UTENTE AMMINISTRATORE : CHIOZZOTTO STEFANIASistema operativo: WINDOWS 7 PROFESSIONALApplicativi di tipo gestionale: ARGO ALUNNI (archivio al 31/12/2012) – PERSONALE – PROTOCOLLO Applicativi di office automation: MICROSOFT OFFICE 2010 PLUSSistema di posta elettronica : SI OUTLOOK EXPRESSProgramma di navigazione in internet: INTERNET EXPLORER - MOZZILLAAltri applicativi: AVG 2012

Personal computer: PC1 – UTENTE AMMINISTRATORE : DIRIGENTE SCOLASTICOSistema operativo: WINDOWS XP PROFESSIONALApplicativi di tipo gestionale: NOApplicativi di office automation: MICROSOFT OFFICE 2007 Sistema di posta elettronica : SI OUTLOOK EXPRESSProgramma di navigazione in internet: INTERNET EXPLORER - MOZZILLAAltri applicativi: AVG 2012

Dispositivi di connessione verso l’esterno : Linea ADSL di collegamento ad Internet.La descrizione dettagliata dell’hardware viene riportata nell’allegato “Elenco attrezzature e impianti”

2. ELENCO DEI TRATTAMENTI DI DATI PERSONALI.

Finalità:

4

Al fine di perseguire le finalità istituzionali, l’Istituzione scolastica tratta dati personali (sia comuni che sensibili o giudiziari) di studenti, personale dipendente, fornitori. I trattamenti sono effettuati, anche mediante strumenti elettronici, per le seguenti finalità:adempimento agli obblighi di fonte legislativa, nazionale o comunitaria, regolamentare o derivante da atti amministrativi;somministrazione dei servizi formativi;gestione e formazione del personale, nelle sue varie componenti (docente e non docente, in ruolo presso altri apparati pubblici);adempimenti assicurativi;tenuta della contabilità;gestione delle attività informative curate ai sensi della legge 7 giugno 2000, n.150 contenente la “Disciplina delle attività di informazione e di comunicazione delle pubbliche amministrazioni”;attività strumentali alle precedenti.

Fonte dei dati:I dati trattati sono conservati su supporti informatici e/o cartacei e sono noti all’istituzione

scolastica, in ragione della produzione:di atti e/o dichiarazioni provenienti da soggetti interessati a fruire direttamente, o a beneficio dei minori sottoposti alla potestà ex art.316 c.c., dei servizi formativi;documenti contabili connessi alla fornitura di prestazioni e/o di servizi e/o di lavori;documentazione bancaria, finanziaria e/o assicurativa;documenti inerenti il rapporto di lavoro, finalizzati anche agli adempimenti retributivi e/o previdenziali.

OrganigrammaL’organigramma dell’istituzione scolastica è il seguente:

5

TrattamentiAttesa la dislocazione dell’istituzione scolastica in più edifici, si precisano le modalità del

trattamento dei dati nei vari uffici e sedi, anche mediante strumenti elettronici, secondo le modalità precisate nella tabella sottostante.

6

Tabella 1 Elenco dei trattamenti: informazioni di base

Struttura Responsabile Trattamenti operati dalla struttura Descrizione degli strumenti elettronici

utilizzati

Natura dei dati (S,G)

Altre strutture che concorrono al trattamento

Consiglio di Istituto

Presidente del Consiglio di

Istituto

- Verbali dei Consigli di Istituto PC desktop in rete locale con accesso ad

Internet

S

Ufficio Direzione Istituzione Scolastica

Dirigente - Stesura della parte “politica” del Programma annuale- Provvedimenti disciplinari ed in generale tutti i documenti

del protocollo generale e riservato

PC desktop in rete locale con accesso ad

Internet

S

Docenti, Insegnanti

Dirigente - compilazione registro di classe - compilazione registro personale, - gestione degli elaborati degli alunni, - stesura documentazione relativa alla programmazione

didattica- stesura documentazione di valutazione,- consultazione e stesura documentazione dello stato di

handicap- gestione certificati medici degli allievi,- corrispondenza con le famiglie

S

Ufficio Direttore Servizi Generali

ed Amministrativi (DSGA)

Dirigente - trattamenti strumentali allo svolgimento dei compiti di gestione amministrativa (tenuta dei dati connessi all’espletamento di procedimenti amministrativi, attività contrattuale, gestione di beni, procedure di bilancio)

- stesura della parte “amministrativa e contabile ” del Programma annuale


internet

S Società di assistenza hardware,Società di assistenza software applicativo

Segreteria DSGA - trattamenti strumentali allo svolgimento dei compiti istituzionali : gestione della corrispondenza ricevuta ed inviata dal Dirigente dell’istituzione scolastica; tenuta del protocollo generale con conseguente registrazione della posta, anche elettronica o ricevuta via fax, e delle comunicazioni di ufficio in entrata e in uscita,


internet

S Società di assistenza hardware,Società di assistenza software applicativo

7


utilizzati



- trattamenti strumentali allo svolgimento dei compiti istituzionali, in materia di selezione ed amministrazione del personale : registrazione delle presenze presso l’istituzione scolastica, assenze per malattia, esigenze famigliari, espletamento funzioni politiche o sindacali; aspetti economici e previdenziali: paghe contributi, etc.; raccolta di curricula riguardo a soggetti interessati all’espletamento di funzioni docenti,

- trattamenti strumentali alla predisposizione e concreta erogazione dell’offerta formativa : raccolta delle domande di iscrizione; condizioni sanitarie ed economiche dei destinatari dell’offerta formativa, documentazione concernente opzioni per insegnamenti facoltativi, dati inerenti profili sanitari o relativi al nucleo famigliare dei destinatari dell’offerta formativa, per il riconoscimento di attività di sostegno in ragione di situazioni di disagio, sociale, economico o famigliare, registri relativi alle presenze presso l’istituzione scolastica:

- trattamenti strumentali alle attività degli organi collegiali ed attività connesse ai rapporti con organi pubblici : composizione degli organi collegiali rappresentativi della comunità servita dall’offerta formativa, convocazione degli organi, raccolta delle delibere, raccolta degli atti concertati con altre istituzioni pubbliche,

Giunta Esecutiva Dirigente - Registro verbali della Giunta Esecutiva SCollegio Docenti Dirigente - Registro verbali del Collegio Docenti PC desktop in rete

locale con accesso ad Internet

S

Commissioni Dirigente - Trattamento della documentazione delle commissioni PC desktop in rete locale con accesso ad

Internet

S

Docenti delle Coordinatori di - Registro dei verbali dei consigli di classe S

8


utilizzati



classi Classe - gestione registro di classe - gestione degli elaborati degli alunni, - gestione certificati medici degli allievi

Componenti dei progetti

Docenti Responsabili

Progetti

-- Trattamento della documentazione dei progetti /moduli

PC desktop in rete locale con accesso ad Internet

S

Revisori Revisori - Consultazione della documentazione dell’Istituzione scolastica,

- Registro dei verbali dei revisori

PC desktop in rete locale con accesso ad Internet

G

Data di aggiornamento: 14/03/2013

Di seguito vengono elencati i trattamenti, del DSGA e degli assistenti amministrativi della segreteria, con maggiore dettaglio:

Tabella 2 Dettaglio dei trattamenti

9

STRUTTURE DI RIFERIMENTO

DESCRIZIONE SINTETICA DEL TRATTAMENTO

CATEGORIA DI INTERESSATI

DESTINATARI/MITTENTI, TIPO DI COMUNICAZIONE DI DATO

PERSONALE

DESCRIZIONE DEGLI STRUMENTI UTILIZZATI

NATURA DEI DATI

(S,G)

Segreteria (ZAMBON)Contratti di supplenza per il personale a T.I. - T.D.

docente e ATApersonale docente e ATA

ALBO D’ISTITUTO FASCICOLO PERSONALE ALL’INTERESSATO UFFICIO PROV.LE PER IL

MASSIMO IMPIEGO RTS UST

Programma gestionale ARGO PERSONALE tramite rete locale basata su server

Documento cartaceo SIDI VENETOLAVORO

adempimenti on-line

S

Segreteria (MOTTA) Decreti di assenze personale docente a tempo indeterm. e determinato

RAGIONERIA TERR. DELLO STATO

FASCICOLO PERSONALE ALL’INTERESSATO M.P.I. M.E.F.


Documento cartaceo SIDI ASSENZE.NET

S

Segreteria (DOVICO) Decreti di assenze personale ATA a tempo indeterm. e determ.

RAGIONERIA TERR. DELLO STATO

FASCICOLO PERSONALE ALL’INTERESSATO M.P.I. M.E.F.


Documento cartaceo SIDI ASSENZE NET

S

Segreteria (MOTTA) comunicazione sciopero personale docente e ATA a tempo indeterminato e

determinato

personale docente e ATA a tempo indeterm. e determ.

RAGIONERIA TERRITORIALE DELLO STATO

FASCICOLO PERSONALE ALL’INTERESSATO M.I.U.R.

SCIOPNET (Applicativo on line di comunicazione dati sciopero);

Documento cartaceo Rilevazioni

INTRANET

S

10





PERSONALE


NATURA DEI DATI

(S,G)

Segreteria (DOVICO) liquidazione competenze tramite cedolino unico

personale docente e ATA Supplenze brevi

ALL’INTERESSATO COPIA PER GLI ATTI

Programma gestionale ARGO STIPENDI tramite rete locale basata su server

Documento cartaceo

S

Segreteria (DOVICO)

Emissione di mandati di pagamento individuali e

relativi contributi previdenziali ed

assistenzialiMOD. F24 EP

personale docente e ATA ISTITUTO TESORIERE COPIA PER GLI ATTI

Programma gestionale ARGO BILANCIO tramite rete locale basata su server

Documento cartaceo Applicativo

CA.RI.VE Applicativo F24 EP

S

Segreteria (DOVICO)

Trasmissione denunce mensili contributive INPS-INPDAP per

retribuzioni accessorie(UNIEMENS - POSPA)

personale docente e ATA INPS – EX INPDAP COPIA PER GLI ATTI

Programma gestionale ARGO EMOLUMENTI tramite rete locale basata su server

Programma di controllo UNIEMENS

Applicativo on line di comunicazione dati INPS – EX INPDAP

S

Segreteria (DOVICO)predisposizione CUD

personale a tempo determinato

personale docente e ATA a tempo determinato

retribuito dalla scuola e dal S.P.T.

ALL’INTERESSATO COPIA AGLI ATTI

Programma gestionale ARGO STIPENDI tramite rete locale basata su server

Documento cartaceo

S

Segreteria (DOVICO)predisposizione Mod. 770

personale a tempo determinato e personale


retribuito dalla scuola,

AGENZIA DELLE ENTRATE DEL M.E.F.

Programmi gestionali ARGO FISCO E STIPENDI tramite rete

S

11





PERSONALE


NATURA DEI DATI

(S,G)

esperto esterno dalla S.P.T. e personale esperto esterno

locale su server Programma di

controllo Entratel Applicativo on line di

comunicazione dati Ag. Entrate

Documento cartaceo

Segreteria (DOVICO)

predisposizione mod.TFR personale a tempo

indeterminato e determinato

personale docente e ATA

INPS - EX INPDAP INTERESSATO COPIA AGLI ATTI

Programma gestionale ARGO STIPENDI tramite rete locale su server

SIDI Documento cartaceo

S

DSGASegreteria (DOVICO)

liquidazioni compensi accessori

Tutto il personale docente e ATA

S.P.T. INTERESSATO COPIA AGLI ATTI


Applicativo on-line Portale S.P.T. – Cedolino Unico

Documento cartaceo

G

Segreteria (DOVICO)

Comunicazione annuale dei dati relativi a

compensi accessori per il personale retribuito dal

SPT

personale docente e ATA retribuito dal SPT

RAGIONERIA TERRITORIALE DELLO STATO (TESORO)

PRE 96 – applicativo fornito dal S.P.T. per trasmissione telematica

Documento cartaceo

G

Segreteria (DOVICO)Controllo rilevamento

elettronico presenze ATA e rendicontazione mensile

Personale A.T.A. COPIA RENDICONTAZIONE AI

DIPENDENTI COPIA AGLI ATTI

Programma gestionale ARGO PRESENZE

Programma gestionale ARGO PERSONALE

S

Segreteria (ZAMBON) ricostruzioni di carrierapersonale docente e ATA a

tempo indeterminato e incaricati di Religione

Ragioneria Provinciale dello Stato All’interessato

S.I.D.I. Documento cartaceo G

Segreteria (ZAMBON) dichiarazione dei servizi personale docente e ATA a Comunicazione al sistema S.I.D.I. S

12





PERSONALE


NATURA DEI DATI

(S,G)

tempo indeterminato e determinato informatico della Pubblica Istruzione Documento cartaceo

Segreteria (ZAMBON) riscatto o computo servizi ai fini pensionistici

personale docente e ATA a tempo indeterminato e

determinato

all'Inps ex Inpdap, all’interessato Documento cartaceo S

Segreteria (ZAMBON) ricongiungimento servizi non statali L. 29

personale docente e ATA a tempo indeterminato e

determinato

all'Inps ex Inpdap, all’interessato Documento cartaceo S

Segreteria (ZAMBON)Domanda piccolo prestito

e cessione del quinto dello stipendio

personale docente e ATA

RAGIONERIA TERRITORIALE DELLO STATO

INPS ex INPDAP all’interessato

Documento cartaceo S

Segreteria (ZAMBON) graduatoria soprannumerari

personale docente e ATA a tempo indeterminato

all'albo U.S.T.

Applicativo in formato MS Excel prodotto in sede

S

Segreteria (DOVICO) modelli disoccupazione a requisiti interi e ridotti


INPS all’interessato


Documento cartaceo

S

Segreteria (ZAMBON) certificati di servizio personale docente e ATA all’interessato altre scuole e amministrazioni


Documento cartaceo

S

DSGASegreteria (ZAMBON)

richiesta preventivi di spesa Fornitori Fornitori

Documento cartaceo Trasmissione

telematica G

Segreteria (ZAMBON) ordinativi di acquisto Fornitori Fornitori Documento cartaceo Siti internet Trasmissione

G

13





PERSONALE


NATURA DEI DATI

(S,G)

telematica

Segreteria (ZAMBON) Tabella comparativa dei preventivi d’acquisto Fornitori Commissione acquisti Documento cartaceo

G

Segreteria (SCARPA FLAVIA ) Infortuni Alunni AMBIENTE SCUOLA

INAIL QUESTURA

Documento cartaceo Applicativo on-line

“AmbienteScuola” S

Segreteria (MOTTA) Infortuni Personale docente e ATA AMBIENTE SCUOLA INAIL QUESTURA

Documento cartaceo Applicativo on-line

“AmbienteScuola” S

Segreteria (DOVICO)

Registrazione carico e scarico beni mobili nel

registro inventario e rinnovo inventariale

Fornitori D.S.G.A. Docenti subconsegnatari Ditte esterne

Cartella file di Office Documento cartaceo Programma

gestionale ARGO Inventario e ARGO Rinnova

SIDI

DSGA Mandati di pagamento

Fornitori, personale docente e ATA , personale

esterno, genitori degli alunni

Istituto tesoriere

Programma gestionale ARGO BILANCIO tramite rete locale su server

Documento cartaceo Sito Internet

CARIVE

G

DSGA Reversali di incasso M.I.U.R. U.S.T. Ufficio Postale per versamenti di Privati EE.LL.

Istituto tesoriere Programma gestionale ARGO BILANCIO tramite rete locale su server

Documento cartaceo

G

14





PERSONALE


NATURA DEI DATI

(S,G)

Sito Internet CA.RI.VE

Sito Internet di POSTE ITALIANE

DSGALiquidazioni compensi a personale esterno e a ditte

fornitrici servizi Fornitori

Interessati ALBO COPIA ATTI

Programma gestionale ARGO Stipendi tramite rete locale su Server

Documento cartaceo Sito Internet

CA.RI.VE

G

Segreteria (SCARPA M.)Elezione organi collegiali

Pubblicazione elenchi genitori

Genitori degli alunni Personale docente Personale ATA

Ai membri della Commissione Elettorale

All’Albo Ai membri dei singoli seggi

Programma gestionale ARGO ALUNNI WEB


telematica

G

Segreteria (SCARPA F.)Segreteria (SALMASO)

Trasmissione fascicoli alunni a scuole altro ordine o scuole di

trasferimento

Genitori Alunni Familiari

Altra scuola

Documento cartaceo Programma

gestionale ARGO ALUNNI WEB

SIDI

S

Segreteria (SCARPA F.) verifica assolvimento obbligo formativo

Genitori Alunni Regione Veneto

Applicativo AROF per comunicazione on line alla Regione Veneto

S

Segreteria (SCARPA F.)

Pubblicazione e comunicazione elenchi nominativi definitivi

iscritti

Alunni iscritti Albo dei singoli plessi Atto interno MPI

Programma gestionale ARGO ALUNNI WEB Documento cartaceo

SIDI ARIS

S


Preparazione schede di valutazione, REGISTRO

VALUTAZIONE

Alunni Insegnanti

Agli interessati Alle famiglie Al fascicolo personale

Programma gestionale Argo alunni

G

15





PERSONALE


NATURA DEI DATI

(S,G)

ALUNNI ED ESAMI DI LICENZA e relativa

gestione Commissione degli Esami Licenza

Web Documento cartaceo SIDI

Segreteria (CHIOZZOTTO)

Gestione alunni handicappati, DSA,

gestione protocollo del farmaco

Genitori Alunni

Atto interno; Altra scuola Servizio M.P.I. U.S.T.

Documento cartaceo SIDI ARIS

S


Compilazione Diplomi originali di Licenza

Alunni Alunni Genitori


Documento cartaceo

Segreteria (SCARPA F.)

Elenchi nominativi degli alunni avvalentesi o meno dell’insegnamento della

Religione Cattolica

Alunni Atto interno


Documento cartaceo

S

Segreteria (SCARPA F.) Segreteria (CHIOZZOTTO)

Insegnanti di classeRegistri di classe Alunni Docenti delle classi Documento cartaceo S

Segreteria (SCARPA F.)Docenti incaricati della

continuità educativa

Operazioni legate alla formazione delle classi e alla continuità educativa

Genitori Alunni

Atto interno; Documento cartaceo G/S

Segreteria (CHIOZZOTTO e SCARPA M.)

Nominativi dei bambini interessati da dieta

conseguente ad intolleranze alimentari

Genitori Alunni

Docenti delle classi interessate Inservienti incaricate dello

scodellamento nella mensa scolastica Personale collaboratore scolastico Ufficio Gestione Mensa Comunale


telematicaS

Segreteria (SCARPA M.) Gestione del Protocollo Generale

Alunni, genitori, docenti, personale ATA, D.S.G.A., D.S. fornitori

Atto interno Programma

gestionale ARGO PROTOCOLLO

S

Segreteria (SCARPA M.) Gestione della Posta elettronica

Alunni, genitori, docenti, personale

Atto interno Programma Outlook Express

S

16





PERSONALE


NATURA DEI DATI

(S,G)

ATA, D.S.G.A., D.S. fornitori Documento cartaceo

DSGA Gestione della P.E.C.

Alunni, genitori, docenti, personale ATA, D.S.G.A., D.S. fornitori

Atto interno Sito Internet Documento cartaceo S

Segreteria (DOVICO ) Gestione del c/c postale Alunni, genitori, docenti e ATA

Atto interno DSGA

Documento cartaceo Applicativo in

formato MS Excel prodotto in sede

Applicativo Poste Italiane

Segreteria (MOTTA e CHIOZZOTTO)

Gestione libri di testo scuola elementare e media

Alunni, genitori, docenti e fornitori

Genitori Fornitori Associazioni di categoria

Programma gestionale ARGO LIBRI DI TESTO

Sito Internet AIE

Segreteria (SCARPA M.) Gestione Consigli di Classe e Interclasse Docenti e genitori

Genitori Docenti Altre Scuole di servizio

Documento cartaceo

Segreteria (SCARPA M.) Convocazioni Consiglio di Istituto e Giunta

Membri Consiglio di Istituto e Giunta

Membri Albo

Documento cartaceo Posta

ELETTRONICA

Segreteria (MOTTA)

Predisposizione e aggiornamento

graduatorie docenti e ATA personale a T.D.

Aspiranti a supplenza docenti e ATA

MIUR Albo Atto interno

SIDI S

Il trattamento dei dati avviene attraverso modalità diverse: strumenti elettronici, interni (P.C.) ovvero collegati in rete fra loro, e/o mediante collegamenti alla rete intranet, e/o alla rete internet. Con riferimento alla gestione dei dati mediante rete ministeriale, l’Istituzione scolastica declina ogni responsabilità, operando come semplice utente, non essendo in grado di intervenire sulla gestione delle informazioni ivi contenute e gestite.

La tabella seguente riassume il quadro dei trattamenti secondo modalità e tipologia, precisando l’ubicazione dei supporti di memorizzazione.

17

Tabella 3 Elenco dei trattamenti: descrizione degli strumenti utilizzatiIDENTIFICATIVO DEL TRATTAMENTO

(BREVE DESCRIZIONE RICAVATA DALLA TABELLA 1)

EVENTUALE BANCHE DATI DI SUPPORTO UBICAZIONE FISICA DEI SUPPORTI DI MEMORIZZAZIONE

E DELLE COPIE DI SICUREZZA

TIPOLOGIA DI DISPOSITIVI DI ACCESSO

TIPOLOGIA DI INTERCONNESSIONE

Gestione amministrativaGestione stipendi retribuzioni e

adempimenti fiscaliGestione del personale

Data Base ARGO Armadio n. 5 presso l’Ufficio del DSGA SERVER Rete locale Giovanni XXIII

Gestione dell’offerta formativa: Libri di Testo

Sito Internet AIE A cura del gestore sito AIE Rete Internet

Gestione dell’offerta formativa: alunni ARGO WEB A cura del gestore del sito Argo Web Rete Internet

Gestione del personale Gestione degli organici

Gestione contabile del personale pagato da SPT

Gestione statistiche alunni

Data Base SIDI A cura del gestore Rete SIDI Rete internet

Gestione della Posta Elettronica ARCHIVIO POSTA ELETTRONICA Armadio n. 5 presso l’Ufficio del DSGA SERVER Rete locale Giovanni XXIII

Gestione della P.E.C. ARCHIVIO P.E.C. Armadio n. 5 presso l’Ufficio del DSGA SERVER Rete locale Giovanni XXIIIGestione stipendi e retribuzioni accessorie personale a tempo

determinato

BANCA DATI INPS A cura del gestore Rete INPS

Gestione retribuzioni accessorie personale retribuito dalla S.P.T:

PRE 96 A cura del gestore Rete MEF PRE 96 Rete Internet

Gestione stipendi e retribuzioni accessorie di tutto il personale

PROGRAMMA DI CONTROLLO M.E.F. ENTRATEL

BANCA DATI INPS – EX INPDAP

A cura del gestore Rete Agenzia delle Entrate

PC8 Rete Internet

Gestione Monitoraggi BANCA DATI MIUR – DIREZIONE A cura del Gestore della Rete della Rete Internet

18

REGIONALE DEL VENETO Direzione Regionale Gestione Personale-Gestione alunni -

Contabilità Cartelle di File Word ed Excel Armadio n. 5 presso l’Ufficio del DSGA SERVER Rete locale Giovanni XXIII

3. ELENCO DEI DATI PERSONALI DI NATURA COMUNE O SENSIBILE.Sulla scorta delle precisazioni sopra elencate, l’istituzione scolastica, sulla base di una prima ricognizione, con salvezza della possibilità di

procedere a successive integrazioni e/o correzioni entro il 31.3 di ogni anno, dichiara, con riferimento ai destinatari o famigliari dei destinatari dell’offerta formativa ovvero del personale coinvolto, a qualunque titolo, nella medesima, o interessato ad essere coinvolto, ovvero di soggetti, a qualsiasi titolo, coinvolti in rapporti negoziali con l’istituzione scolastica, o aspiranti ad assumere tale ruolo, di trattare i dati di seguito elencati:

a) Dati identificativi, ai sensi dell’art.4, comma 1, lettere b) e c) del d.lgs. n.196 del 2003, univocamente riconducibili ad un soggetto fisico, identificato o identificabile, quali nominativo, dati di nascita, residenza, domicilio, stato di famiglia, codice fiscale, stato relativo all’adempimento degli obblighi di leva.

b) Dati identificativi, ai sensi dell’art.4, comma 1, lettere b) e c) del d.lgs. n.196 del 2003, univocamente riconducibili a persone giuridiche, enti o associazioni, inerenti la forma giuridica, la data di costituzione, la sede, il domicilio, l’evoluzione degli organi rappresentativi e legali, la sede, la Partita IVA, il Codice fiscale, la titolarità di diritti o la disponibilità di beni strumentali;

c) Dati sensibili, ai sensi dell’art.4, comma 1, lett.d) del d.lgs. n.196 del 2003; d) Dati giudiziari, ai sensi dell’art.4, comma 1, lett.e) del d.lgs. n.196 del 2003;e) Dati inerenti il livello di istruzione e culturale nonché relativi all’esito di scrutini, esami, piani educativi individualizzati differenziati;f) Dati inerenti le condizioni economiche e l’adempimento degli obblighi tributari;g) Dati riferibili a procedimenti giudiziari, pendenti in qualsiasi grado, o pregressi, di natura civile, amministrativa, tributaria, presso autorità

giurisdizionali italiane o estere, diversi da quelli rientranti nell’art.4 comma 1, lett.e) del d.lgs. n.196 del 2003;h) Dati atti a rilevare la presenza presso l’istituzione scolastica dei destinatari dell’offerta formativa ovvero dei famigliari nonché del personale

coinvolto, a qualsiasi titolo, nella somministrazione di tale offerta;i) Dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque;j) Dati inerenti negoziazioni e relative modalità di pagamento rispetto a forniture di beni, servizi o di opere, ovvero proposte ed offerte inerenti

le medesime negoziazioni;k) Dati inerenti la fornitura e le modalità di pagamento riguardo ad attività professionale a fini formativi; l) Dati contabili e fiscali;m) Dati inerenti la titolarità di diritti, il possesso o la detenzione di beni mobili registrati, mobili o immobili;n) Dati detenuti in applicazione di disposizioni di origine nazionale o comunitaria, atti o provvedimenti amministrativi, fonti contrattuali.

19

4. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ NELL'AMBITO DELLE STRUTTURE PREPOSTE AL TRATTAMENTO DEI DATI.

L’ente titolare del trattamento dei dati ha designato, mediante autonomo provvedimento quale Responsabile ai sensi dell’art.29 del d.lgs. n.196 del 2003 la sig.ra Ivana Pilot nata a Venezia il 21/03/1951, preposto alle funzioni Direttore dei Servizi Generali Amministrativi, in considerazione della esperienza, capacità ed affidabilità espressa dal medesimo, tale da offrire idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento.

Il suddetto Responsabile del trattamento ha ricevuto adeguate istruzioni riguardo:a) all’individuazione ed adozione delle misure di sicurezza da applicare nell’ambito dell’istituzione scolastica, al fine di salvaguardare la

riservatezza, l’integrità, la completezza e la disponibilità dei dati trattati;b) all’esigenza di provvedere, mediante atto scritto, all’individuazione delle unità legittimate al trattamento, per mezzo dei singoli preposti,

ovvero di singoli incaricati, ai sensi dell’art.30 del d.lgs. n.196 del 2003, deputati ad operare sotto la diretta autorità del responsabile, attenendosi alle istruzioni impartite, fermo restando l’obbligo gravante sul responsabile, di vigilare sul rispetto delle misure di sicurezza adottate.

c) all’esigenza di verificare che gli obblighi di informativa siano stati assolti correttamente, ovvero che sia stato conseguito il consenso degli interessati;

d) all’obbligo di collaborare con il titolare nell’adempiere alle richieste avanzate dal Garante per la protezione dei dati personali ovvero alle autorità investite dei poteri di controllo;

e) all’attribuzione della competenza ad elaborare e sottoscrivere notificazioni al Garante per la protezione dei dati personali;f) all’obbligo di osservare e far osservare il divieto di comunicazione e diffusione dei dati personali comunque trattati da parte dell’istituzione

scolastica;g) all’obbligo, ovvero a proporre soluzioni organizzative che consentano un ampliamento dei livelli di sicurezza

Il Responsabile del trattamento, ai sensi dell’art. 30 del d.lgs. n.196 del 2003 e delle indicazioni rappresentante sub b), ha provveduto ad individuare gli incaricati, autorizzandoli al trattamento dei dati in possesso dell’istituzione scolastica, esclusivamente con riferimento all’espletamento delle funzioni istituzionali ad essi rispettivamente assegnate.

Tali incaricati, in particolare, sono stati formalmente edotti in merito alla circostanza che:a) il trattamento e la conservazione dei dati deve avvenire esclusivamente in modo lecito e proporzionato alle funzioni istituzionali, nel rispetto

della riservatezza;b) la raccolta, registrazione ed elaborazione dei dati, mediante strumento informatico o cartaceo, deve essere limitata alle finalità istituzionali;c) integra onere dell’incaricato la correzione od aggiornamento dei dati posseduti, l’esame della loro pertinenza rispetto alle funzionid) integra inosservanza delle istruzioni la comunicazione, effettuata in qualsiasi maniera dei dati in possesso, con eccezion del caso che il

destinatario sia l’interessato alle stesse, ovvero altri soggetti legittimati ad ricevere dette comunicazioni.L’ambito dei trattamenti autorizzati ai singoli incaricati è suscettibile di aggiornamento periodico.

20

A tutti gli incaricati destinati al trattamento di dati mediante strumento elettronico, sono state conferite credenziali di autenticazioni (art.34, comma 1, lett.b) mediante parola chiave, conformi alle caratteristiche indicate nell’allegato B. Con atto allegato al presente documento è stato designato l’incaricato della custodia delle copie di credenziali di autenticazione nonché della funzione di verifica del loro aggiornamento periodico ovvero della corretta utilizzazione.

Le suddette credenziali sono disattivate automaticamente dal gestore della rete periodicamente, ovvero in tutti i casi di mancata utilizzazione per almeno 6 mesi.

Concorre al trattamento anche delle strutture esterne all’istituzione scolastica, incaricate mediante convenzione, del supporto software, della manutenzione e della riparazione degli strumenti elettronici.

Al fine di meglio precisare la suddetta ripartizione delle funzioni si rinvia alla tabella seguente.

21

Tabella 4 Strutture preposte ai trattamenti e riparto delle responsabilità

Struttura Responsabile o Incaricato

Documento d’incarico

(2)Rilascio Revoca Trattamento Principale o

di supporto Compiti dell’Incaricato

Ufficio Direttore Servizi Generali ed

Amministrativi (DSGA)

DSGA (soggetto qualificato come Responsabile) PILOT

nomina prot. 1124/Z

17/10/2009Gestione amministrativa

Principale Acquisizione e caricamento dei dati, consultazione,

stampa, comunicazione a terzi,

nomina prot. 1124/Z 17/10/2009

Gestione del Sistema Informativo

Principale Gestione del sistema informativo, applicazione

della procedura di emergenza delle password, procedura di aggiornamento

dei sistemi operativi, dei programmi applicativi, dell’antivirus e di altri

applicativi.

nomina prot. 1124/Z 17/10/2009

Gestione dei Salvataggi e ripristini

Principale Gestione della procedura dei salvataggi, Gestione

della procedura dei ripristini, custodia fisica dei supporti di memorizzazione

nomina prot. 1124/Z

17/10/2009Gestione dell’Assistenza Tecnica

Principale Gestione della procedura di assistenza tecnica

nomina prot. 1124/Z

17/10/2009Gestione della custodia delle Credenziali di autorizzazione

Principale Gestione delle credenziali di autorizzazione,

22





Segreteria

Incaricato DOVICO

lettera di nomina1126/Z

17/10/2009

Gestione dell’Amministrazione del personale: stipendi, retribuzioni e registrazione presenze e assenze A.T.A.



Incaricato ZAMBON


17/10/2009

Gestione dell’Amministrazione del personale: assenze A.T.A.

Supporto Acquisizione e caricamento dei dati, consultazione,


Incaricato DOVICO


28/02/2011


Principale Procedura di aggiornamento dei sistemi operativi, dei programmi applicativi, dell’antivirus e di altri

applicativi.

Incaricato ZAMBON


28/02/2011


Supporto Come sopra

Incaricato ZAMBON


28/02/2011


Principale Gestione della procedura dei salvataggi, Gestione

della procedura dei ripristini, custodia fisica dei supporti di memorizzazione

Incaricato DOVICO


28/02/2011


Supporto Come sopra

23





Incaricato ZAMBON



Principale Gestione della procedura di assistenza tecnica

Incaricato DOVICO



Supporto Come sopra

Incaricato ZAMBON


17/10/2009Gestione Amministrazione del personale e predisposizione degli acquisti



Incaricato DOVICO


17/10/2009Predisposizione degli

acquistiSupporto Come sopra

Incaricato MOTTA


17/10/2009 Gestione Amministrazione del personale



Incaricato MOTTA


17/10/2009 Gestione assenze docenti



24





Incaricato ZAMBON


17/10/2009 Gestione assenze docenti



Incaricato SCARPA F.


17/10/2009Gestione area didatticaIscrizioni


stampa, comunicazione a terzi

Incaricato SCARPA M.

Lettera di nomina 1126/Z

17/10/2009 Gestione area didatticaIscrizioni



Incaricato CHIOZZOTTO


17/10/2009 Gestione area didatticaAlunni handicappati


stampa, comunicazione a terzi alunni handicappati

Incaricato SALMASO D.


11/12/2012 Gestione area didatticaAlunni handicappati


stampa, comunicazione a terzi alunni handicappati

IncaricatoSALMASO D.


11/12/2012 Gestione Area didatticaFascicoli e comunicazioni



25







17/10/2009 Gestione Area didatticaFascicoli e comunicazioni



Incaricato MOTTA


17/10/2009 Gestione graduatorie supplenze docenti e ATA

Principale Acquisizione dati e consultazione graduatorie

aspiranti supplenze

Incaricato ZAMBON


17/10/2009 Gestione graduatorie supplenze docenti e ATA

Supporto Acquisizione dati e consultazione graduatorie

aspiranti supplenze

Incaricato CHIOZZOTTO


17/10/2009 Gestione diete mensa scolastica

Principale Acquisizione e comunicazione diete alunni

su prescrizione medica o appartenenza religiosa

IncaricatoCHIOZZOTTO


17/10/2009 Protocollo del Farmaco



IncaricatoSALMASO


11/12/2012 Protocollo del Farmaco





17/10/2009 Gestione diete mensa scolastica

Supporto Acquisizione e comunicazione diete alunni

su prescrizione medica o appartenenza religiosa

26






lettera di nomina1126/Z 17/10/2009

Gestione del Protocollo e della posta elettronica




CHIOZZOTTO

Lettere di nomina1126/Z

17/10/2009Gestione del Protocollo e della posta elettronica



Incaricato DOVICO MOTTA

SALMASOZAMBON

Lettera di nomina 1126/Z7663/Z

17/10/2009 e 11/12/2012

Gestione parallela del Protocollo e della Posta Elettronica





28/02/2011 Custode delle chiavi fisiche dei locali e armadi

Principale Gestione delle chiavi fisiche



28/02/2011Custode delle chiavi fisiche dei locali e

armadi

Supporto Come sopra

DOCENTI PERSONALE DOCENTE GIA IN

SERVIZIO AL 01/09/2009

lettera di nomina 1125/Z

17/10/2009 Dati personale alunni e genitori

Principale Trattamento dati ai fini della valutazione e

dell’offerta formativa

DOCENTI PERSONALE DOCENTE IN

SERVIZIO DAL 01/09/2010


16/02/2011

Dati personali alunni e genitori



27








27/02/2012

Dati personali alunni e genitori






11/12/2012 Dati personali alunni e genitori

Proncipale Trattamento dati ai fini della valutazione e


COLLABORATORI SCOLASTICI

PERSONALE COLLABORATORE SCOLASTICO GIA’

IN SERVIZIO AL 01/09/2009

lettera di nomina 1127/Z

17/10/2009 Dati personali alunni, genitori e personale della scuola

Principale Gestione comunicazioni telefoniche e a mezzo fax, duplicazione e trasporto

documenti


PERSONALE COLLABORATORE

SCOLASTICO IN SERVIZIO DAL

01/09/2010



Principali Gestione comunicazioni telefoniche e a mezzo fax, duplicazione e trasporto

documenti




01/09/2011




documenti




01/09/2012




documenti

(2) I documenti di nomina del Responsabile e di incarico sono allegati al presente documento.

28

5. ANALISI DEI RISCHI INCOMBENTI SUI DATI.L’Istituzione scolastica ha proceduto ad una ricognizione dei rischi che potrebbero

comportare una distruzione, sottrazione, perdita, trattamento abusivo dei dati, di origine dolosa, colposa, ovvero meramente fortuito, in grado di recare pregiudizio ai dati personali trattati.Le fonti di rischio sono state accorpate in:1)Comportamenti degli operatori.

Sottrazione di credenziali di autenticazione; comportamenti imperiti, imprudenti o negligenti dei soggetti legittimati al trattamento dei dati; comportamenti dolosi dei soggetti legittimati; errori materiali.2) Eventi relativi agli strumenti.

Danno arrecato da virus informatici e/o da hackers, mediante interventi precedenti all’aggiornamento degli strumenti di contrasto attivati (software e firewall), spamming o tecniche di sabotaggio. Malfunzionamento, indisponibilità o usura fisica degli strumenti. Accessi abusivi negli strumenti elettronici. Intercettazione dei dati in occasione di trasmissione in rete.3) Eventi relativi al contesto fisico-ambientale.

Distruzione o perdita di dati in conseguenza di eventi incontrollabili (terremoto) ovvero, seppur astrattamente preventivabili (incendi o allagamenti) di origine fortuita, dolosa o colposa, per i quali non è possibile apprestare cautele. Guasti a sistemi complementari, quale la mancata erogazione di energia elettrica per lunghi periodi di tempo, in grado di pregiudicare la climatizzazione dei locali. Furto o danneggiamento degli strumenti elettronici di trattamento dei dati, in orario diverso da quello di lavoro. Accesso non autorizzato da parte di terzi – interni o esterni all’istituzione scolastica – mediante uso abusivo di credenziali di autenticazione, in funzione di danneggiamento o sottrazione dei dati. Errori umani nell’attivazione degli strumenti di protezione.

I suddetti rischi sono stati ripartiti in classi di gravità, tenendo conto della concreta possibilità di realizzazione presso l’istituzione scolastica, adottando la seguente scansione:

A= alto B = basso EE = molto elevato M = medio MA = medio-alto MB = medio-basso

La tabella seguente sintetizza i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutandone le possibili conseguenze e stimandone la gravità, ponendoli altresì in correlazione con le misure di sicurezza previste.

29

Tabella 5 Analisi dei rischi

EVENTOIMPATTO SULLA SICUREZZA DEI DATI

RIF. MISURE DI AZIONE

DESCRIZIONEGRAVITÀ STIMATA

CO

MPO

RT

AM

EN

TI D

EG

LI

OPE

RA

TO

RI

Furto di credenziali di autenticazione Accesso altrui non autorizzato M Vigilanza sul rispetto delle

istruzioni impartiteCarenza di

consapevolezza, disattenzione o incuria

Dispersione, perdita e accesso altrui non autorizzato M Formazione e flusso continuo di

informazione

Comportamenti sleali o fraudolenti

Dispersione, perdita e accesso altrui non autorizzato M Vigilanza sul rispetto delle

istruzioni impartite

Errore materiale Dispersione, perdita e accesso altrui non autorizzato M

Vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione

EV

EN

TI R

EL

AT

IVI A

GL

I ST

RU

ME

NT

I

Azione di virus informatici o di codici

malefici

Perdita o alterazione, anche irreversibile, di dati, di

programmi e di elaboratori; EE Adozione di idonei dispositivi di protezione

Spamming o altre tecniche di sabotaggio


programmi e di elaboratori; impossibilità temporanea di

accesso ai dati e di utilizzo dei programmi

EE Adozione di idonei dispositivi di protezione

Malfunzionamento, indisponibilità o

degrado degli strumenti




MAAssistenza e manutenzione

continua degli elaboratori e dei programmi; ricambio periodico

Accessi esterni non autorizzati

Dispersione, perdita o alterazione, anche irreversibile, di dati, nonché manomissione di



MA Adozione di idonei dispositivi di protezione

Intercettazione di informazioni in rete

Dispersione di dati; accesso altrui non autorizzato MA Adozione di idonei dispositivi di

protezione

EV

EN

TI R

EL

AT

IVI

AL

CO

NT

EST

O

Accessi non autorizzati a

locali/reparti ad accesso ristretto

Dispersione, perdita o alterazione, anche irreversibile, di dati, nonché manomissione di

programmi e di elaboratori; accesso altrui non autorizzato;

impossibilità temporanea di accesso ai dati e di utilizzo dei

programmi

M Protezione dei locali mediante serratura con distribuzione delle

chiavi ai soli autorizzati

30

EVENTOIMPATTO SULLA SICUREZZA DEI DATI

RIF. MISURE DI AZIONE

Asportazione e furto di strumenti

contenenti dati

Dispersione e perdita di dati, di programmi e di elaboratori;

accesso altrui non autorizzatoMB

Protezione dei locali e dei siti di ubicazione degli elaboratori e dei

supporti di memorizzazione mediante serratura con

distribuzione delle chiavi ai soli autorizzati

Eventi distruttivi, naturali o artificiali, dolosi, accidentali o

dovuti ad incuria

Perdita di dati, dei programmi e degli elaboratori M

Attività di prevenzione, controllo, assistenza e manutenzione

periodica,vigilanza sul rispetto delle istruzioni impartite,

formazione e flusso continuo di informazione

Guasto ai sistemi complementari

(impianto elettrico, climatizzazione, etc.)

Perdita o alterazione, anche irreversibile, di dati, nonché

manomissione dei programmi e degli elaboratori; impossibilità

temporanea di accesso ai dati e di utilizzo dei programmi

A Attività di controllo, assistenza e manutenzione periodica

Errori umani nella gestione della

sicurezza fisica

Perdita o alterazione, anche irreversibile, di dati, nonché

manomissione dei programmi e degli elaboratori; impossibilità

temporanea di accesso ai dati e di utilizzo dei programmi

MVigilanza sul rispetto delle

istruzioni impartite, formazione e flusso continuo di informazione

B – MISURE MINIME DI SICUREZZA ADOTTATE E DA ADOTTARE

6. MISURE IN ESSERE E DA ADOTTARE PER GARANTIRE L'INTEGRITÀ E LA DISPONIBILITÀ DEI DATI, NONCHÈ LA PROTEZIONE DELLE AREE E DEI LOCALI, RILEVANTI AI FINI DELLA LORO CUSTODIA E ACCESSIBILITÀ.

Sulla scorta della ricognizione dei rischi sopra rappresentata, l’istituzione scolastica ha provveduto ad apprestare e/o introdurre strumenti di tutela, ovvero a prevedere successive, e più incisive, misure di sicurezza.La tabella seguente sintetizza le misure di sicurezza in essere, corredate da indicazioni di dettaglio.

Poiché le Associazioni Culturali AUSER - CIRCOLO ARCI PABLO NERUDA e BARCHETTA BLU hanno accesso ai locali scolastici (aula al piano terra – aula al 1° piano – aula magna – laboratorio di informatica del Plesso “Vettor Pisani” e aula al piano terra del Plesso “Giovanni XXIII”) anche al di fuori dell’orario di apertura, i responsabili di tali associazioni hanno assunto formale impegno al rispetto delle misure minime in materia di protezione dei dati e sicurezza dei locali (vedi dichiarazioni allegate).

31

Tabella 6 Le misure di sicurezza in essere e da adottareMISURA RISCHIO CONTRASTATO TRATTAMENTO

INTERESSATOEVENTUALE BANCA DATI

INTERESSATA

MISURA GIÀ IN ESSERE

MISURA DA ADOTTARE

PERIODICITÀ E RESPONSABILIT

À DEI CONTROLLI

Procedure relative al controllo per l’accesso ai personal computer- Credenziali di autenticazione, identificate

da codice identificativo e parola chiave, quando si utilizza un PC, la rete locale e internet

- Accesso non autorizzato- Modifica e/o cancellazione non

autorizzata dei dati- Trattamento non consentito o non

conforme alle finalità della raccolta

Tutti i trattamenti effettuati con

strumenti elettronici

Database ARGO, Cartelle

OFFICE

Definizione del dominio nella rete WINDOWS 2003

SERVER 01/09/2009

3 mesi, Amministratore

di sistema

- Modalità di attivazione, variazione e gestione delle Credenziali

Come sopra Come sopra Come sopra Come sopra sempre, Amministratore

di sistema- Criteri e definizione dei profili di

autorizzazione degli incaricati - Trattamento non consentito o non conforme alle finalità della raccolta

Tutti i trattamenti informatici e

cartacei


OFFICE

Assegnati tutti gli incarichi,

sostituzione obbligatoria della parola chiave ogni

tre mesi

sempre, Responsabile

dei dati

- Attribuzione, revoca ed aggiornamento dei profili di autorizzazione

Come sopra Come sopra Come sopra Come sopra 1 anno, Responsabile

dei dati- Controllo accesso ad internet e all’uso dei

programmi e dei dati di tutti i personal computer

Come sopra Tutti i trattamenti informatici

Cartelle di archivi OFFICE

posta elettronica

Come sopra 1 anno, Responsabile

dei dati

32

MISURA RISCHIO CONTRASTATO TRATTAMENTO INTERESSATO

EVENTUALE BANCA DATI

INTERESSATA


MISURA DA ADOTTARE


À DEI CONTROLLI

- Aggiornamento dei programmi volti a prevenire vulnerabilità ed a correggere i difetti (software update)

Perdita parziale o completa dei dati Tutti i trattamenti informatici


OFFICE

Tutti i PC della rete locale

Giovanni XXIII hanno l’antivirus aggiornato AVG 2012, i sistemi operativi sono i

più recenti


di sistema

- Limitazione agli accessi alla rete dell’istituzione scolastica da internet (firewall)




Tutti i trattamenti informatici


di archivi OFFICE

Installato FIREWALL

6 mesi, Società di

assistenza Hw e Sw

- Accesso alle applicazioni multi-utente mediante il codice identificativo (USER-ID) e parola chiave,




Trattamenti informatici relativi alle applicazioni

gestionali

Data base ARGO

Tutti i P.C. hanno accesso

autorizzato tramite

inserimento USERID e password

sempre, Amministratore

di sistema

- Definizione dei profili di autorizzazione degli incaricati nelle applicazioni multi-utente





gestionali

Data base ARGO

ARGO in rete su server è

predisposto per la gestione dei profili utente

sempre, Responsabile dei dati e Amministratore di sistema

- Attribuzione, revoca ed aggiornamento dei profili di autorizzazione nelle applicazioni multi-utente

- Come sopra Come sopra Come sopra Come sopra 1 anno, Responsabile

dei dati e Amministratore

di sistema

33



INTERESSATA


MISURA DA ADOTTARE


À DEI CONTROLLI

- Registrazione degli accessi e delle attività degli incaricati nelle applicazioni multi-utente

- controllo di eventuali intrusioni e sabotaggi nei database delle applicazioni multi-utente


gestionali

Data base ARGO

Il software attualmente non

lo prevede

1 anno, Amministratore

di sistema

- Definizione dei profili di autorizzazione degli incaricati per l’accesso alle cartelle di file personali relative ad applicazioni mono-utente (MS WORD, MS EXCEL, ecc.)





mono-utente

File MS WORD, File MS EXCEL

Le cartelle comuni

contengono file senza dati personali

Eventuali file con dati personali o sensibili sono contenuti su cartelle ad

accesso limitato e/o con l’uso delle

parole chiavi in lettura/scrittura


dei dati

- Registrazione degli accessi (operazioni di avvio/arresto) ai programmi e delle operazioni di apertura/chiusura degli archivi

- controllo di eventuali intrusioni e sabotaggi nei PC


Database ARGO, Cartelle di archivi MS

WORD eMS EXCEL

Il software attualmente non lo prevede


di Sistema

- Criteri e definizione dei Profili di Autorizzazione degli Incaricati utenze SIDI

- Attribuzione, revoca ed aggiornamento dei Profili di Autorizzazione


autorizzata dei dati- Trattamento non consentito


gestionali

Database SIDI sempre,Responsabile

dei dati

- -

Criteri tecnici ed organizzativi per la protezione delle aree e dei locali e procedure di controllo per l’accesso

34



INTERESSATA


MISURA DA ADOTTARE


À DEI CONTROLLI

- Localizzazione e limitazioni all’accesso del data center (localizzazione dei server)

- Accesso non autorizzato- Perdita parziale e/o completa dei dati

e dei programmi- Danno economico all’istituzione

scolastica



WORD eMS EXCEL

SISSI IN RETEPOSTA

ELETTONICA PEC

I server sono posti nei locali della segreteria ad

accesso limitato


dei dati

- Dispositivi antintrusione specifici per il data center


e dei programmi- Danno economico all’istituzione

scolastica


Come sopra La disposizione dei locali non permette una

maggiore protezione dei

server


dei dati

- Dispositivi antintrusione generali per l’edificio Pisani

- Accesso non autorizzato- Danno economico all’istituzione

scolastica - Perdita parziale e/o completa dei dati

e dei programmi


cartacei


WORD eMS EXCEL

SISSI IN RETEPOSTA

ELETTONICA PEC

E documenti cartacei

Gli uffici della segreteria del

DSGA e del DS sono in un

edificio senza sistema

d’allarme


dei dati

- Dispositivi antintrusione generali per l’edificio Giovanni XXIII



e dei programmi

Tutti i trattamenti cartacei

Documenti cartacei

I locali destinati all’ archivio sono in un

edificio senza sistema

d’allarme


dei dati

35



INTERESSATA


MISURA DA ADOTTARE


À DEI CONTROLLI

- Dispositivi antincendio Sede Pisani1. Estintori2. Manichette3. Impianti di rilevazione automatica4. Impianti di spegnimento automatico

- Perdita parziale e/o completa dei dati e dei programmi

- Danno economico all’istituzione scolastica


cartacei


WORD eMS EXCEL

SISSI IN RETEPOSTA

ELETTONICA PEC


L’istituzione scolastica è a

norma con il D.L. 81/2008 dispone di estintori nei

corridoi adiacenti gli uffici della

segreteria e del DS

Secondo il DL 81/2008,

Responsabile della sicurezza

- Dispositivi antincendio Giovanni XXIII1. Estintori2. Manichette3. Impianti di rilevazione automatica

4. impianti di spegnimento automatico

- Perdita parziale e/o completa dei dati - Danno economico all’istituzione

scolastica


Documenti cartacei

L’istituzione scolastica è a

norma con il D.L. 81/2008, dispone

di estintori nei locali

dell’archivio

Secondo il D.L. 81/2008,

Responsabile della sicurezza

- Sistemi di registrazione degli ingressi e di chiusura dei locali del Plesso Vettor Pisani

- Accesso non autorizzato Tutti i trattamenti informatici e

cartacei


WORD eMS EXCEL

SISSI IN RETEPOSTA

ELETTONICA PEC


non è prevista la registrazione


dei dati

36



INTERESSATA


MISURA DA ADOTTARE


À DEI CONTROLLI

- Sistemi di registrazione degli ingressi e di chiusura dei locali del Plesso Giovanni XXIII

- Accesso non autorizzato Tutti i trattamenti cartacei

Documenti cartacei

non è prevista la registrazione


dei dati

- Presenza di un custode e/o di un servizio di vigilanza esterna Plesso Vettor Pisani



e dei programmi


cartacei


WORD eMS EXCEL

SISSI IN RETEPOSTA

ELETTONICA PEC e

documenti cartacei

I collaboratori scolastici

controllano gli accessi all’istituto durante l’orario di

apertura per l’attività didattica.

I Responsabili delle Associazioni culturali AUSER e ARCI PABLO NERUDA che hanno accesso ai locali scolastici al

di fuori dell’orario

scolastico hanno assunto formale

impegno al rispetto delle

misure minime in materia di

protezione dei dati e sicurezza

dei locali

non è previsto il servizio di vigilanza

esterna notturna


dei dati

37



INTERESSATA


MISURA DA ADOTTARE


À DEI CONTROLLI

- Presenza di un custode e/o di un servizio di vigilanza esterna Plesso Giovanni XXIII



e dei programmi


Documenti cartacei

I collaboratori scolastici

controllano gli accessi all’istituto durante l’orario di

apertura per l’attività didattica.Il Responsabile

dell’ Associazione

culturale BARCHETTA BLU, che ha

accesso ai locali scolastici al di

fuori dell’orario scolastico, ha

assunto formale impegno al

rispetto delle misure minime in

materia di protezione dei dati e sicurezza

dei locali

non è previsto il servizio di vigilanza

esterna notturna


dei dati

- Custodia in armadi, ad accesso autorizzato, dei supporti di memorizzazione e delle copie di sicurezza


e dei programmi- Impossibilità di fare il ripristino dei

dati


Come sopra Vi accede solo il Responsabile dei

salvataggi o l’incaricato, sono chiusi a chiave

Sempre, Incaricato

Responsabile dei salvataggi

38



INTERESSATA


MISURA DA ADOTTARE


À DEI CONTROLLI

- Procedure e modalità per l’organizzazione degli archivi cartacei ad accesso autorizzato Plesso Vettor Pisani

- Accesso non autorizzato- Duplicazione dei documenti- Trattamento non consentito o non

conforme alle finalità della raccolta- Perdita parziale e/o completa di

documenti

Trattamenti cartacei Come sopra Gli uffici dove sono ubicati gli

armadi che contengono i

documenti, sono chiusi a chiave.Ulteriori armadi

situati nell’androne

antistante sono chiusi a chiave

1 anno, Responsabile

dei dati

- Procedure e modalità per l’organizzazione degli archivi cartacei ad accesso autorizzato Plesso Giovanni XXIII



documenti

Trattamenti cartacei Come sopra l’archivio generale è

permanentemente chiuso a chiave


dei dati

- Modalità di custodia dei dati particolari durante l’utilizzo

- Accesso non autorizzato- Diffusione involontaria delle

informazioni- Violazione della privacy- Duplicazione dei documenti- Trattamento non consentito o non


Trattamenti cartacei Gli incaricati sono stati addestrati,

dispongono di un cassetto o un armadio dove

deporre i documenti per

brevi assenze dal posto di lavoro


dei dati

39



INTERESSATA


MISURA DA ADOTTARE


À DEI CONTROLLI

- Modalità di identificazione e registrazione degli accessi ai dati particolari dopo l’orario di lavoro



documenti

Trattamenti cartacei I locali, dopo l’orario di lavoro,

sono chiusi a chiave, può

accedervi solo l’addetto

scolastico per le pulizie


dei dati

- Modalità di custodia delle chiavi fisiche Plesso Vettor Pisani



e dei programmi


cartacei


WORD eMS EXCEL

Posta elettronica

PEC

Custodia delle chiavi degli armadi degli uffici dentro una cassetta di sicurezza a cui possono accedere tutti gli impiegati

L’incaricato responsabile della custodia chiavi verifica quotidianamen-te l’integrità della cassetta

- Modalità di custodia delle chiavi fisiche Plesso Giovanni XXIII



e dei programmi

Trattamenti cartacei Documenti cartacei

Custodia delle chiavi degli armadi degli

archivi dentro un armadio chiuso a

chiave nello spogliatoio dei Collaboratori

scolastici

L’incaricato responsabile della custodia chiavi verifica mensilmente l’integrità dell’armadio contenente le chiavi

- Documenti cestinati - Diffusione involontaria delle informazioni

- Violazione della privacy- Duplicazione dei documenti- Trattamento non consentito o non


Trattamenti cartacei I documenti sono resi illeggibili

mediante l’uso di un distruggi documenti


dei dati

Criteri e procedure per assicurare l’integrità e la disponibilità dei dati

40



INTERESSATA


MISURA DA ADOTTARE


À DEI CONTROLLI

- Criteri e procedure di salvataggio dei dati - Malfunzionamenti hardware e software

- Deterioramento nel tempo dell’hardware,

- Errori umani



WORD eMS EXCEL

Posta Elettronica

PEC

Procedura attivata Sempre, Incaricato


- Criteri e procedure di salvataggio dei dati e dei programmi (disaster recovery)

- Malfunzionamenti hardware e software


- Errori umani


Come sopra Procedura attivata Sempre, Incaricato


- Dispositivi di conservazione dei supporti di memorizzazione e delle copie di sicurezza: utilizzo di cassaforte o armadio ignifugo

- Perdita parziale e/o completa dei dati e dei programmi nel caso di incendio


Come sopra I supporti magnetici sono

costuditi nell’armadio n. 5 dell’ufficio del

DSGA

Saranno richiesti al

comune armadi ignifughi dotati di più copie di

chiavi

1 anno, Responsabile dei salvataggi

- Criteri e procedure di verifica delle copie di sicurezza dei dati

- Efficacia del salvataggio Tutti i trattamenti informatici

Come sopra 3 mesi, Incaricato


- Criteri e procedure di sostituzione ed eliminazione dei dispositivi di conservazione obsoleti: HD esterni

- Efficacia del salvataggio Tutti i trattamenti informatici

Come sopra Controllo dei dispositivi

3 mesi, Incaricato


- Presenza di gruppi di continuità - Interruzione del servizio,- Perdita parziale dei dati - Perdita parziale e/o completa dei

programmi


Come sopra I server e i PC6 – PC7 – PC1

dispongono di gruppo di continuità


di sistema

41



INTERESSATA


MISURA DA ADOTTARE


À DEI CONTROLLI

- Climatizzazione dei locali - Deterioramento dei supporti di memorizzazione con grandi escursioni di temperatura ed umidità


Come sopra Installazione tende alla

veneziana per protezione dei

Server e dei PC.Utilizzo n. 3

condizionatori portatili


di sistema

- Server Rete “Giovanni XXIII” dotato di mirroring, di mirroring in RAID 5 o superiore, di tipo hot-swap, di alimentazione rindondante, di sistemi in cluster

- Perdita parziale e/o completa dei dati e dei programmi nel caso di rottura dell’hard disk principale


Come sopra Server dotato di mirroring


di sistema

- Server Rete “Giovanni XXIII” dotato di un disco aggiuntivo per i salvataggi ed i ripristini

- Perdita parziale e/o completa dei dati e dei programmi nel caso di errori umani


Come sopra 1 anno, Amministratore

di sistema- Procedura per l’assistenza alle attrezzature

e agli impianti preposti al trattamento dei dati

- Grandi interruzione del servizio per effetto di guasti hardware


Come sopra Procedura attivata, con

chiamata all’occorrenza


di sistema

- Procedura per l’assistenza del software gestionale preposto al trattamento dei dati

- Grandi interruzioni del servizio per effetto di guasti hardware


gestionali

Database ARGO

Procedura attivataè stato previsto un

contratto di assistenza che

scade il 31/12/2013 rinnovabile


di sistema

- Criteri e procedure per la gestione della posta elettronica e P.E.C.

Spamming o altre tecniche di sabotaggio Trattamenti informatici relativi

alle posta elettronica e P.E.C.

archivio posta elettronica e

P.E.C.

Incaricati già addestrati


di sistema

42



INTERESSATA


MISURA DA ADOTTARE


À DEI CONTROLLI

- Criteri e configurazione del programma Internet Explorer per una navigazione più sicura

Spamming o altre tecniche di sabotaggio Tutti i trattamenti informatici


di OFFICE

Incaricati già addestrati, programma aggiornato


di sistema

- Controlli sui software installati sui computer soprattutto i software di comunicazione





Come sopra Solo l’amministratore di sistema può installare nuovi

programmi


di sistema

Criteri e procedure per il ripristino dell’accesso ai dati- Criteri e procedure, che assicurino dati

certi, per il ripristino dei dati a seguito di distruzione o danneggiamento dei dati



- Errori umani



OFFICEPosta

elettronicaPEC

Procedura attivata 3 mesi, Incaricato


- Criteri e procedure, che assicurino dati certi, per il ripristino dei dati e dei programmi (disaster recovery) a seguito di distruzione o danneggiamento degli strumenti elettronici



- Errori umani


Come sopra Procedura attivata 3 mesi, Incaricato


- Identificazione degli incidenti “eccezionali” dei sistemi informatici:

- black out della società ENEL- corto circuito nell’impianto elettrico- interruzione del servizio della linea

ADSL da parte del Provider- interruzione del servizio telefonico


Come sopra Non sono state previste

procedure specifiche


dei dati

- Verifica periodica delle procedure di ripristino dei dati

- Supporto rimovibile difettoso- Errore dell’operatore nella procedura

di salvataggio


Come sopra Procedura attivata 3 mesi, Incaricato


43



INTERESSATA


MISURA DA ADOTTARE


À DEI CONTROLLI

- Verifica periodica delle procedure di ripristino dei dati e dei programmi (disaster recovery)

Il salvataggio del disco immagine non risulta utilizzabile


Come sopra Procedura attivata 1 anno, Responsabile

dei dati

44

7. CRITERI E MODALITÀ PER IL RIPRISTINO DELLA DISPONIBILITÀ DEI DATI IN SEGUITO A DISTRUZIONE O DANNEGGIAMENTO

Al fine di garantire l’integrità dei dati contro i rischi di distruzione o perdita, è stata definita una procedura di periodica esecuzione di copie di sicurezza dei dati trattati. Sono state perciò acquisite licenze di uso per software antivirus, nonché sistemi di firewall con verifica di idoneità e costante aggiornamento. In ogni caso si osserva che l’istituzione scolastica dispone di un sistema di controllo degli accessi ai locali. I documenti sono anche conservati in copia cartacea presso locali dell’istituzione scolastica non accessibili ai terzi e dotati di adeguati strumenti di protezione (armadi con serrature, stanze protette da inferriate).Con riferimento al contenuto ed alle competenze in tema di copia e verifica, le soluzioni organizzative adottate presso l’istituzione scolastica sono sintetizzate nella seguente tabella:

Tabella 7 Procedure di salvataggio dei dati

Salvataggio CRITERI INDIVIDUATI

PER IL SALVATAGGIO

UBICAZIONE DI CONSERVAZIONE DELLE COPIE

STRUTTURA OPERATIVA INCARICATA DEL SALVATAGGIO

DATABASE DATI SENSIBILI O GIUDIZIARI CONTENUTI

ARGO, CARTELLE DI FILE MS

WORD E MS EXCEL

Posta elettronica

PEC

- dati connessi all’espletamento di procedimenti amministrativi, attività contrattuale, gestione di beni, procedure di bilancio

- dati connessi alla gestione della corrispondenza ricevuta ed inviata dal Dirigente dell’istituzione scolastica; tenuta del protocollo generale con conseguente registrazione della posta, anche elettronica o ricevuta via fax, e delle comunicazioni di ufficio in entrata e in uscita

- dati connessi alla registrazione delle presenze presso l’istituzione scolastica, assenze per malattia, esigenze famigliari, espletamento funzioni politiche o sindacali; aspetti economici e previdenziali: paghe contributi, etc.; raccolta di curricula riguardo a soggetti interessati all’espletamento di funzioni docenti,

- dati connessi alla raccolta delle domande di iscrizione; condizioni sanitarie ed economiche dei destinatari dell’offerta formativa, documentazione concernente opzioni per insegnamenti facoltativi, dati inerenti profili sanitari o relativi al nucleo famigliare dei destinatari dell’offerta formativa, per il riconoscimento di attività di sostegno in ragione di situazioni di disagio, sociale, economico o famigliare, registri relativi alle presenze presso l’istituzione scolastica:

- dati connessi alla composizione degli organi collegiali rappresentativi della comunità servita dall’offerta formativa, convocazione degli organi, raccolta delle delibere, raccolta degli atti concertati con altre istituzioni pubbliche,

Salvataggio dati settimanale

Armadio n. 5 dell’Ufficio del

DSGA

Incaricato Responsabile dei salvataggi

Con riferimento alle procedure di ripristino, l’Istituzione scolastica ha adottato le seguenti modalità

45

Tabella 8 Procedure di ripristino dei dati

RIPRISTINO SCHEDA OPERATIVAPIANIFICAZIONE DELLE PROVE DI

RIPRISTINO

STRUTTURA OPERATIVA INCARICATA

DEL RIPRISTINO

database

ARGOCARTELLE OFFICE

POSTA ELETTRONICA - PEC

PROCEDURA DI SICUREZZA DEI DATI

e allegati

Istruzioni ripristino dati in ambiente Windows

Periodicità TRIMESTRALE, Incaricato


8. TRATTAMENTI DI DATI PERSONALI SENSIBILI O GIUDIZIARI CON STRUMENTI ELETTRONICI AFFIDATI ALL’ESTERNO.

L’Istituzione scolastica, ha proceduto alla esternalizzazione di taluni trattamenti, secondo modalità conformi a quanto previsto dal d.lgs. n.196 del 2003, procedendo alla nomina di un soggetto esterno quale responsabile del trattamento, limitatamente ai dati e alle operazioni necessari per lo svolgimento delle attività conferite. A tal fine l’Istituzione scolastica ha imposto le cautele indicate in calce alla tabella che segue, affinché il soggetto destinatario adotti le misure di sicurezza richieste dal Codice, ivi incluso il relativo all. B.Per i soggetti indicati nella seguente tabella, l’atto di nomina è allegato al presente DPS.

46

Tabella 9 Trattamenti affidati all’esterno

DESCRIZIONE SINTETICA DATI PERSONALI, SENSIBILI O GIUDIZIARI

INTERESSATI

SOGGETTO ESTERNO DESCRIZIONE DEI CRITERI PER L’ADOZIONE DELLE

MISURE

DATE DELLE VERIFICHE

Assistenza software applicativo: ARGO

Dati contenuti nel database ARGO descritti alla tabella 6 Procedure di salvataggio

Ditta ARGO SOFTWARE

Con lettera n. 1244/Z del 23/02/2010 è stato

richiesto alla Ditta l’impegno al

trattamento dati informatici ai sensi del “Disciplinare

Tecnico” del Decreto Legislativo 196/2003

Vincolo contrattuale, a carico del fornitore esterno, a tenere i comportamenti descritti al

successivo capitolo

Non definite perché l’attività esternalizzata è

marginale in quanto viene

svolta principalmente presso la sede dell’istituzione

scolastica

Assistenza software applicativo:

ARGONORDEST

Dati contenuti nel database ARGO

descritti alla tabella 6 Procedure di

salvataggio

Ditta ARGO SOFTWARE





Vincolo contrattuale, a carico del fornitore esterno, a tenere i comportamenti descritti al

successivo capitolo

Non definite perché l’attività esternalizzata è

marginale in quanto viene

svolta principalmente presso la sede dell’istituzione

scolastica

Assistenza hardware e software: necessaria per

lo svolgimento delle attività strumentali

finalizzate all’installazione e al buon

funzionamento degli elaboratori, dei

programmi e degli altri strumenti elettronici in

dotazione agli uffici

Dati contenuti nel database ARGO nelle cartelle di OFFICE nella

POSTA ELETTRONICA e nella PEC descritti

alla tabella 6 Procedure di salvataggio

Ditta DESIGN AND CONSULTING





Come sopra Come sopra

9. VINCOLI CONTRATTUALMENTE ASSUNTI DAL FORNITORE ESTERNO AI FINI DELLA SICUREZZA DEI DATI

L’Istituzione scolastica ha affidato all’esterno, nei termini risultanti dalla sopraindicata tabella, i trattamenti di dati personali sensibili o giudiziari, effettuato con strumenti elettronici, previa assunzione da parte dell’affidatario – nell’ambito dello stesso contratto con cui viene realizzato l’affidamento o con atto aggiuntivo – degli impegni derivanti dalle seguenti dichiarazioni:

1. di essere consapevole che i dati che tratterà nell’espletamento dell’incarico ricevuto, sono dati personali e, come tali sono soggetti all’applicazione del codice per la protezione dei dati personali;

2. di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali;3. di adottare le istruzioni specifiche ricevute per il trattamento dei dati personali e di integrarle

nelle procedure già in essere;4. di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate e di avvertire

immediatamente il proprio committente in caso di situazioni anomale o di emergenze;

47

5. di riconoscere il diritto del committente a verificare periodicamente l’applicazione delle norme di sicurezza adottate.

10. ATTI E DOCUMENTI NON IN FORMATO ELETTRONICO, ARCHIVI CARTACEII trattamenti di dati personali con strumenti diversi da quelli elettronici sono effettuati dagli

incaricati seguendo le istruzioni scritte ad essi impartite, finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. L'aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati ha carattere annuale. Gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti. I medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

L'accesso agli archivi contenenti dati sensibili o giudiziari è consentito solamente alle persone preventivamente autorizzate.

48

C – FORMAZIONE ED ADEGUAMENTO DEL DOCUMENTO

11. PROGRAMMA DEGLI INTERVENTI FORMATIVI DEGLI INCARICATI DEL TRATTAMENTO.

L’istituzione scolastica ha aderito alle iniziative formative organizzate dalla direzione regionale del Ministero dell’Istruzione dell’Università e della Ricerca Scientifica, tenendo anche conto dell’economicità di un’azione organizzata su base regionale, rispetto ad una gestione in proprio delle attività formative. L’istituzione opera integrale rinvio alla programmazione della Direzione regionale, riservandosi comunque di agire in via suppletiva, qualora, per ragione organizzative od economiche, non sia possibile far partecipare il proprio personale alle attività di formazione necessarie per adempiere alle prescrizioni ordinamentali.

Tabella 10 Interventi formativi effettuatiCORSO DI

FORMAZIONE

(OGGETTO)

DESCRIZIONE SINTETICA

DELL’OBIETTIVO FORMATIVO

CLASSI DI INCARICO INTERESSATE

NUMERO DI INCARICATI

INTERESSATI

NUMERO DI INCARICATI GIÀ

FORMATICALENDARIO

Trattamento dei dati presso l’istituto

scolastico

Mantenimento del richiesto grado di

conoscenza dell’intero

impianto della normativa in

materia di privacy, anche ai fini delle

misure di sicurezza da adottare per gli archivi informatici

Il personale: assistenti amministrativi, titolari di

credenziali di autenticazione (codice

identificativo e password riservata personale)

5 513/10/2009

3 ore

Minacce e vulnerabilità nel trattamento dei

dati alla luce del Decreto

Legislativo 196/2003

Spiegazione delle istruzioni operative

Il personale: assistenti amministrativi, titolari di

credenziali di autenticazione (codice

identificativo e password riservata personale)

5 514/10/2009

3 ore

In considerazione dell’aumento del numero del personale sia Assistente Amministrativo che Collaboratore Scolastico non formato, l’istituzione scolastica ha effettuato degli incontri di aggiornamento sulle principali tematiche del D.L. 196/2003 e sul DPS adottato da questo Istituto nelle seguenti date:

5 aprile – 8 aprile – 5 maggio 2011 rivolti agli Assistenti Amministrativi 6 aprile – 7 aprile 2011 rivolti ai Collaboratori Scolastici

e si impegna ad effettuare ulteriori interventi formativi sulle principali tematiche del Decreto Legislativo 196/2003.

12. AGGIORNAMENTO PERIODICO DEL DPSIl presente documento programmatico sulla sicurezza è sottoposto a revisione annuale nella

sua interezza.Di seguito vengono elencate le misure minime della sicurezza evidenziandone la periodicità

di aggiornamento richieste dall’attuale disciplinare tecnico contenuto nell’allegato B) al Codice.

49

Tabella 11 Periodicità delle misure minime della sicurezza

MISURE DA VERIFICARE DESCRIZIONI MISURA TIPOLOGIA

DI DATI CADENZA DIPLINARE TECNICO

DPS Revisione Documento Programmatico della Sicurezza

Dati sensibili e giudiziari

1 anno 19

Trattamento con l’ausilio di strumenti elettronici

Credenziali di autenticazione

Disattivazione in caso di mancato utilizzo dei medesimi per un periodo superiore a 6 mesi

Tutti i dati 6 mesi 7

Credenziali di autenticazione

Disattivazione in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali

Tutti i dati sempre 8

Codice di autenticazione

Una volta assegnato, non può essere assegnato ad altri incaricati Tutti i dati sempre 6

Parola chiavePer il trattamento dei dati personali deve essere modificata ogni sei mesi

Dati comuni 6 mesi 5

Parola chiavePer il trattamento dei dati sensibili deve essere modificata ogni tre mesi


3 mesi 5

Profili di autorizzazione

Possono essere individuati per singolo incaricato o per classi omogenee di incaricati

Tutti i dati sempre 13


Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione

Tutti i dati 1 anno 14

Lista degli incaricati autorizzati

Può essere redatta anche per classi omogenee di incarichi Tutti i dati 1 anno 15

AntivirusEfficacia ed aggiornamento sono verificati con cadenza almeno semestrale

Tutti i dati 6 mesi 16

Patch o programmi update

Programmi per elaborare volti a correggere i difetti e prevenire la vulnerabilità degli strumenti elettronici

Dati comuni 1 anno 17

Patch o programmi update

Programmi per elaborare volti a correggere i difetti e prevenire la vulnerabilità degli strumenti elettronici


6 mesi 17

Backup Salvataggio dei dati con frequenza settimanale Tutti i dati 7 giorni 18

Sistemi antintrusione

Protezione contro l’accesso abusivo nel caso di trattamento di dati

Dati sensibili e

sempre 20

50

MISURE DA VERIFICARE DESCRIZIONI MISURA TIPOLOGIA

DI DATI CADENZA DIPLINARE TECNICO

sensibili giudiziariCustodia dei supporti rimovibili di memorizzazione

Istruzioni organizzative e tecniche per la loro custodia e utilizzo


Sempre 21

Riutilizzo dei supporti rimovibili di memorizzazione

Se non utilizzati devono essere distrutti o resi inutilizzabili, controllo sulla non recuperabilità delle informazioni precedentemente contenute


Sempre 22

Trattamento senza l’ausilio di strumenti elettronici

Istruzioni scritte Finalizzate al controllo e custodia dei documenti Tutti i dati Sempre 27


Individuazione dell’ambito del trattamento consentito agli incaricati, individuati anche per classi omogenee

Tutti i dati 1 anno 27

Procedure di controllo e custodia

Al fine di non consentire l’accesso a persone prive di autorizzazione


Sempre 28

Accesso controllato agli archivi

Le persone ammesse dopo l’orario di chiusura devono essere identificate e registrate


Sempre 29

Istruzioni scritte

Qualora gli archivi non siano dotati di strumenti elettronici per il controllo degli accessi o di incarichi alla vigilanza


Sempre 29

13. ALLEGATI DEL DPS

Gli allegati al presente documento ne formano parte integrante.- PROCEDURA GESTIONE ATTREZZATURE E IMPIANTI e allegati- PROCEDURA DI SICUREZZA DEI DATI e allegati- PROCEDURA DOCUMENTAZIONE ISTITUZIONE SCOLASTICA- Istruzioni Operative salvataggi Windows- Istruzioni per la gestione delle Credenziali di autenticazione e protezione delle cartelle e file- Istruzioni ripristino dati in ambiente Windows- Istruzioni aggiornamento sistema Windows e antivirus

Il presente documento è aggiornato al 14/03/2013

IL TITOLARE DEL TRATTAMENTO Prof.ssa Gabriella Marinaro

51

Il Dirigente dell’istituzione Scolastica · Web viewil trattamento e la conservazione dei dati...

Documents

Transcript of Il Dirigente dell’istituzione Scolastica · Web viewil trattamento e la conservazione dei dati...