Il Dirigente dell’istituzione Scolastica · Web viewil trattamento e la conservazione dei dati...
Transcript of Il Dirigente dell’istituzione Scolastica · Web viewil trattamento e la conservazione dei dati...
Titolo doc.: DOCUMENTO PROGRAMMATICO DELLA SICUREZZA
Autori: Commissione Privacy d’Istituto
Data Note Pagg.
1 14/03/2013 Revisione 52
Indice
A. ANALISI DELLA ISTITUZIONE SCOLASTICA.......................................................................21. DESCRIZIONE DEL SISTEMA INFORMATIVO...................................................................................................22. ELENCO DEI TRATTAMENTI DI DATI PERSONALI..........................................................................................43. ELENCO DEI DATI PERSONALI DI NATURA COMUNE O SENSIBILE........................................................194. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ NELL'AMBITO DELLE STRUTTURE PREPOSTE AL TRATTAMENTO DEI DATI............................................................................................................205. ANALISI DEI RISCHI INCOMBENTI SUI DATI.................................................................................................29
B – MISURE MINIME DI SICUREZZA ADOTTATE E DA ADOTTARE...................................316. MISURE IN ESSERE E DA ADOTTARE PER GARANTIRE L'INTEGRITÀ E LA DISPONIBILITÀ DEI DATI, NONCHÈ LA PROTEZIONE DELLE AREE E DEI LOCALI, RILEVANTI AI FINI DELLA LORO CUSTODIA E ACCESSIBILITÀ.................................................................................................................................317. CRITERI E DELLE MODALITÀ PER IL RIPRISTINO DELLA DISPONIBILITÀ DEI DATI IN SEGUITO A DISTRUZIONE O DANNEGGIAMENTO..................................................................................................................468. TRATTAMENTI DI DATI PERSONALI SENSIBILI O GIUDIZIARI CON STRUMENTI ELETTRONICI AFFIDATI ALL’ESTERNO.........................................................................................................................................479. VINCOLI CONTRATTUALMENTE ASSUNTI DAL FORNITORE ESTERNO AI FINI DELLA SICUREZZA DEI DATI......................................................................................................................................................................4810. ATTI E DOCUMENTI NON IN FORMATO ELETTRONICO, ARCHIVI CARTACEI....................................49
C – FORMAZIONE ED ADEGUAMENTO DEL DOCUMENTO.................................................5011. PROGRAMMA DEGLI INTERVENTI FORMATIVI DEGLI INCARICATI DEL TRATTAMENTO.............5012. OBBLIGO DI AGGIORNAMENTO PERIODICO DEL DPS..............................................................................5013. ALLEGATI DEL DPS..........................................................................................................................................52
1
ISTITUTO COMPRENSIVO “GIOVANNI XXIII” Via Sandro Gallo 34 – 30126 Venezia LidoTel 041 5260994 – Fax 041 5269506 Codice fiscale 94071390275 Codice Ministeriale VEIC840006
Il Dirigente dell’istituzione ScolasticaVisto il decreto legislativo 30 giugno 2003, n.196 recante il Codice in materia di protezione di dati personali, e segnatamente gli artt. 34 e seguenti, nonché l’allegato B del suddetto d.lgs., contenente il Disciplinare tecnico in materia di misure minime di sicurezza;Visto il D.L. del 6/12/2011 n. 201 art. 40, che modifica l’art. 4 del Decreto Legislativo 196;Visto il D.L. n. 5 del 9/2/2012, art. 45, che sopprime i paragrafi 19 e 26 dell’allegato B al Decreto Legislativo 196/2003;Considerato che l’Istituzione Scolastica Istituto Comprensivo “Giovanni XXIII”, con sede in Via Sandro Gallo 34 – Venezia Lido, in quanto dotata di un autonomo potere decisionale, ai sensi dell’art.28 del d.lgs. n. 196 del 2004, deve ritenersi titolare del trattamento di dati personali;Atteso che la suddetta Istituzione scolastica è tenuta a prevedere ed applicare le misure minime di sicurezza di cui agli artt. 31 e ss. del d.lgs. n.196 del 2003, Visto il Decreto 7.12.2006 n. 306 “Regolamento recante identificazione dei dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal M.P.I. in attuazione degli artt.20-21 del D.L.vo 196/2003” adottato da questa istituzione scolastica con specifica delibera del C.I. del 26 marzo 2012
ADOTTA IL PRESENTE
DOCUMENTO PROGRAMMATICO DELLA SICUREZZA
L’Istituzione scolastica, per l’espletamento della funzione didattica e formativa, raccoglie e tratta dati personali dei soggetti coinvolti nell’offerta formativa ovvero dei destinatari della stessa, anche con l’ausilio di soggetti esterni, talché si precisano i seguenti elementi:A – ANALISI DELLA ISTITUZIONE SCOLASTICAB – MISURE MINIME DI SICUREZZA ADOTTATE E DA ADOTTAREC – FORMAZIONE ED ADEGUAMENTO DEL DOCUMENTO
A. ANALISI DELLA ISTITUZIONE SCOLASTICA
1. DESCRIZIONE DEL SISTEMA INFORMATIVO.Il sistema informativo della Sede Vettor Pisani, Via Sandro Gallo 34 30126 Lido di Venezia, è composto da componenti hardware e software di seguito specificate:
Server D.D. Giovanni XXIIISistema operativo :WINDOWS 2000Applicativi di tipo gestionale : SISSI IN RETEProgrammi di navigazione in internet: INTERNET EXPLORERAltri applicativi : AVG 2009
Server Rete Giovanni XXIIISistema operativo: WINDOWS 2003 SERVERApplicativi di tipo gestionale: ARGOApplicativi di office automation: NO Sistema di posta elettronica : NOProgramma di navigazione in internet: INTERNET EXPLORERSiti internet interni o in hosting o housing presso provider: NOAltri applicativi: AVG 2012
2
La Rete degli uffici della segreteria, collegata al Server “Rete Giovanni XXIII” è isolata ed i PC sono collegati tra di loro con cavi UTP cat. 5 e SWITCH 16 porte, inoltre le apparecchiature di rete, SWITCH e MODEM-ROUTER per linea ADSL, sono poste in un armadio rack.
Dispositivi di connessione verso l’esterno: Linea ADSL di collegamento ad Internet
Personal computer: PC8 – UTENTE AMMINISTRATORE : DOVICO RENATASistema operativo: WINDOWS 7XP Applicativi di tipo gestionale: ARGO EMOLUMENTI – BILANCIO – PERSONALE FISCO - ALUNNI (archivio al 31/12/2012) - PROTOCOLLO - PRESENZE – INVENTARIO – RINNOVA SCUOLE – F24 EPApplicativi di office automation: MICROSOFT OFFICE 2007Sistema di posta elettronica : SI OUTLOOK EXPRESS Programma di navigazione in internet: INTERNET EXPLORER - MOZZILLAAltri applicativi: ENTRATEL - INPSUNIEMENS – PRE1996-AVG 2012
Personal computer: PC2 - UTENTE AMMINISTRATORE : ZAMBON M.TERESASistema operativo: WINDOWS XP PROFESSIONALApplicativi di tipo gestionale: ARGO PERSONALE – EMOLUMENTI – ALUNNI (archivio al 31/12/2012) – BILANCIO – PROTOCOLLO - PRESENZEApplicativi di office automation: MICROSOFT OFFICE 2010 PLUSSistema di posta elettronica : SI OUTLOOK EXPRESS Programma di navigazione in internet: INTERNET EXPLORER - MOZZILLAAltri applicativi: AVG 2012 – ENTRATEL.
Personal computer: PC3 – UTENTE AMMINISTRATORE : PILOT IVANASistema operativo: WINDOWS XP PROFESSIONALApplicativi di tipo gestionale: ARGO BILANCIO – EMOLUMENTI – PERSONALE – ALUNNI (archivio al 31/12/2012) – PROTOCOLLO – PRESENZE.Applicativi di office automation: MICROSOFT OFFICE 2010 PLUSSistema di posta elettronica : OUTLOOK EXPRESS Programma di navigazione in internet: INTERNET EXPLORER - MOZZILLAAltri applicativi: AVG 2012
Personal computer: PC4 – UTENTE AMMINISTRATORE : SCARPA MARIASistema operativo: WINDOWS XP PROFESSIONALApplicativi di tipo gestionale: ARGO PERSONALE – ALUNNI (archivio al 31/12/2012) - PROTOCOLLOApplicativi di office automation: MICROSOFT OFFICE 2010 PLUSSistema di posta elettronica : MICROSOFT OUTLOOKProgramma di navigazione in internet: INTERNET EXPLORER - MOZZILLAAltri applicativi: GESTIONE POSTA ELETTRONICA MINISTERIALE AVG 2012
Personal computer: PC5 – UTENTE AMMINISTRATORE : SCARPA FLAVIASistema operativo: WINDOWS XP PROFESSIONALApplicativi di tipo gestionale: ARGO ALUNNI (archivio al 31/12/2012) – PERSONALE - PROTOCOLLOApplicativi di office automation: MICROSOFT OFFICE 2010 PLUSSistema di posta elettronica : MICROSOFT OUTLOOK Programma di navigazione in internet: INTERNET EXPLORER - MOZZILLA
3
Altri applicativi: AVG 2012
Personal computer: PC6 – UTENTE AMMINISTRATORE : MOTTA BARBARASistema operativo: WINDOWS 7 XPApplicativi di tipo gestionale: ARGO ALUNNI (archivio al 31/12/2012) – PERSONALE – PROTOCOLLO – LIBRI DI TESTO Applicativi di office automation: MICROSOFT OFFICE 2007 Sistema di posta elettronica : SI OUTLOOK EXPRESSProgramma di navigazione in internet: INTERNET EXPLORER - MOZZILLAAltri applicativi: AVG 2012
Personal computer: PC7 – UTENTE AMMINISTRATORE : SALMASO DANIELASistema operativo: WINDOWS 7 XPApplicativi di tipo gestionale: ARGO ALUNNI (archivio al 31/12/2012) – PERSONALE – PROTOCOLLO Applicativi di office automation: MICROSOFT OFFICE 2007 Sistema di posta elettronica : SI OUTLOOK EXPRESSProgramma di navigazione in internet: INTERNET EXPLORER - MOZZILLAAltri applicativi: AVG 2012
Personal computer: PC9 – UTENTE AMMINISTRATORE : CHIOZZOTTO STEFANIASistema operativo: WINDOWS 7 PROFESSIONALApplicativi di tipo gestionale: ARGO ALUNNI (archivio al 31/12/2012) – PERSONALE – PROTOCOLLO Applicativi di office automation: MICROSOFT OFFICE 2010 PLUSSistema di posta elettronica : SI OUTLOOK EXPRESSProgramma di navigazione in internet: INTERNET EXPLORER - MOZZILLAAltri applicativi: AVG 2012
Personal computer: PC1 – UTENTE AMMINISTRATORE : DIRIGENTE SCOLASTICOSistema operativo: WINDOWS XP PROFESSIONALApplicativi di tipo gestionale: NOApplicativi di office automation: MICROSOFT OFFICE 2007 Sistema di posta elettronica : SI OUTLOOK EXPRESSProgramma di navigazione in internet: INTERNET EXPLORER - MOZZILLAAltri applicativi: AVG 2012
Dispositivi di connessione verso l’esterno : Linea ADSL di collegamento ad Internet.La descrizione dettagliata dell’hardware viene riportata nell’allegato “Elenco attrezzature e impianti”
2. ELENCO DEI TRATTAMENTI DI DATI PERSONALI.
Finalità:
4
Al fine di perseguire le finalità istituzionali, l’Istituzione scolastica tratta dati personali (sia comuni che sensibili o giudiziari) di studenti, personale dipendente, fornitori. I trattamenti sono effettuati, anche mediante strumenti elettronici, per le seguenti finalità:adempimento agli obblighi di fonte legislativa, nazionale o comunitaria, regolamentare o derivante da atti amministrativi;somministrazione dei servizi formativi;gestione e formazione del personale, nelle sue varie componenti (docente e non docente, in ruolo presso altri apparati pubblici);adempimenti assicurativi;tenuta della contabilità;gestione delle attività informative curate ai sensi della legge 7 giugno 2000, n.150 contenente la “Disciplina delle attività di informazione e di comunicazione delle pubbliche amministrazioni”;attività strumentali alle precedenti.
Fonte dei dati:I dati trattati sono conservati su supporti informatici e/o cartacei e sono noti all’istituzione
scolastica, in ragione della produzione:di atti e/o dichiarazioni provenienti da soggetti interessati a fruire direttamente, o a beneficio dei minori sottoposti alla potestà ex art.316 c.c., dei servizi formativi;documenti contabili connessi alla fornitura di prestazioni e/o di servizi e/o di lavori;documentazione bancaria, finanziaria e/o assicurativa;documenti inerenti il rapporto di lavoro, finalizzati anche agli adempimenti retributivi e/o previdenziali.
OrganigrammaL’organigramma dell’istituzione scolastica è il seguente:
5
TrattamentiAttesa la dislocazione dell’istituzione scolastica in più edifici, si precisano le modalità del
trattamento dei dati nei vari uffici e sedi, anche mediante strumenti elettronici, secondo le modalità precisate nella tabella sottostante.
6
Tabella 1 Elenco dei trattamenti: informazioni di base
Struttura Responsabile Trattamenti operati dalla struttura Descrizione degli strumenti elettronici
utilizzati
Natura dei dati (S,G)
Altre strutture che concorrono al trattamento
Consiglio di Istituto
Presidente del Consiglio di
Istituto
- Verbali dei Consigli di Istituto PC desktop in rete locale con accesso ad
Internet
S
Ufficio Direzione Istituzione Scolastica
Dirigente - Stesura della parte “politica” del Programma annuale- Provvedimenti disciplinari ed in generale tutti i documenti
del protocollo generale e riservato
PC desktop in rete locale con accesso ad
Internet
S
Docenti, Insegnanti
Dirigente - compilazione registro di classe - compilazione registro personale, - gestione degli elaborati degli alunni, - stesura documentazione relativa alla programmazione
didattica- stesura documentazione di valutazione,- consultazione e stesura documentazione dello stato di
handicap- gestione certificati medici degli allievi,- corrispondenza con le famiglie
S
Ufficio Direttore Servizi Generali
ed Amministrativi (DSGA)
Dirigente - trattamenti strumentali allo svolgimento dei compiti di gestione amministrativa (tenuta dei dati connessi all’espletamento di procedimenti amministrativi, attività contrattuale, gestione di beni, procedure di bilancio)
- stesura della parte “amministrativa e contabile ” del Programma annuale
PC desktop in rete locale con accesso ad
internet
S Società di assistenza hardware,Società di assistenza software applicativo
Segreteria DSGA - trattamenti strumentali allo svolgimento dei compiti istituzionali : gestione della corrispondenza ricevuta ed inviata dal Dirigente dell’istituzione scolastica; tenuta del protocollo generale con conseguente registrazione della posta, anche elettronica o ricevuta via fax, e delle comunicazioni di ufficio in entrata e in uscita,
PC desktop in rete locale con accesso ad
internet
S Società di assistenza hardware,Società di assistenza software applicativo
7
Struttura Responsabile Trattamenti operati dalla struttura Descrizione degli strumenti elettronici
utilizzati
Natura dei dati (S,G)
Altre strutture che concorrono al trattamento
- trattamenti strumentali allo svolgimento dei compiti istituzionali, in materia di selezione ed amministrazione del personale : registrazione delle presenze presso l’istituzione scolastica, assenze per malattia, esigenze famigliari, espletamento funzioni politiche o sindacali; aspetti economici e previdenziali: paghe contributi, etc.; raccolta di curricula riguardo a soggetti interessati all’espletamento di funzioni docenti,
- trattamenti strumentali alla predisposizione e concreta erogazione dell’offerta formativa : raccolta delle domande di iscrizione; condizioni sanitarie ed economiche dei destinatari dell’offerta formativa, documentazione concernente opzioni per insegnamenti facoltativi, dati inerenti profili sanitari o relativi al nucleo famigliare dei destinatari dell’offerta formativa, per il riconoscimento di attività di sostegno in ragione di situazioni di disagio, sociale, economico o famigliare, registri relativi alle presenze presso l’istituzione scolastica:
- trattamenti strumentali alle attività degli organi collegiali ed attività connesse ai rapporti con organi pubblici : composizione degli organi collegiali rappresentativi della comunità servita dall’offerta formativa, convocazione degli organi, raccolta delle delibere, raccolta degli atti concertati con altre istituzioni pubbliche,
Giunta Esecutiva Dirigente - Registro verbali della Giunta Esecutiva SCollegio Docenti Dirigente - Registro verbali del Collegio Docenti PC desktop in rete
locale con accesso ad Internet
S
Commissioni Dirigente - Trattamento della documentazione delle commissioni PC desktop in rete locale con accesso ad
Internet
S
Docenti delle Coordinatori di - Registro dei verbali dei consigli di classe S
8
Struttura Responsabile Trattamenti operati dalla struttura Descrizione degli strumenti elettronici
utilizzati
Natura dei dati (S,G)
Altre strutture che concorrono al trattamento
classi Classe - gestione registro di classe - gestione degli elaborati degli alunni, - gestione certificati medici degli allievi
Componenti dei progetti
Docenti Responsabili
Progetti
-- Trattamento della documentazione dei progetti /moduli
PC desktop in rete locale con accesso ad Internet
S
Revisori Revisori - Consultazione della documentazione dell’Istituzione scolastica,
- Registro dei verbali dei revisori
PC desktop in rete locale con accesso ad Internet
G
Data di aggiornamento: 14/03/2013
Di seguito vengono elencati i trattamenti, del DSGA e degli assistenti amministrativi della segreteria, con maggiore dettaglio:
Tabella 2 Dettaglio dei trattamenti
9
STRUTTURE DI RIFERIMENTO
DESCRIZIONE SINTETICA DEL TRATTAMENTO
CATEGORIA DI INTERESSATI
DESTINATARI/MITTENTI, TIPO DI COMUNICAZIONE DI DATO
PERSONALE
DESCRIZIONE DEGLI STRUMENTI UTILIZZATI
NATURA DEI DATI
(S,G)
Segreteria (ZAMBON)Contratti di supplenza per il personale a T.I. - T.D.
docente e ATApersonale docente e ATA
ALBO D’ISTITUTO FASCICOLO PERSONALE ALL’INTERESSATO UFFICIO PROV.LE PER IL
MASSIMO IMPIEGO RTS UST
Programma gestionale ARGO PERSONALE tramite rete locale basata su server
Documento cartaceo SIDI VENETOLAVORO
adempimenti on-line
S
Segreteria (MOTTA) Decreti di assenze personale docente a tempo indeterm. e determinato
RAGIONERIA TERR. DELLO STATO
FASCICOLO PERSONALE ALL’INTERESSATO M.P.I. M.E.F.
Programma gestionale ARGO PERSONALE tramite rete locale basata su server
Documento cartaceo SIDI ASSENZE.NET
S
Segreteria (DOVICO) Decreti di assenze personale ATA a tempo indeterm. e determ.
RAGIONERIA TERR. DELLO STATO
FASCICOLO PERSONALE ALL’INTERESSATO M.P.I. M.E.F.
Programma gestionale ARGO PERSONALE tramite rete locale basata su server
Documento cartaceo SIDI ASSENZE NET
S
Segreteria (MOTTA) comunicazione sciopero personale docente e ATA a tempo indeterminato e
determinato
personale docente e ATA a tempo indeterm. e determ.
RAGIONERIA TERRITORIALE DELLO STATO
FASCICOLO PERSONALE ALL’INTERESSATO M.I.U.R.
SCIOPNET (Applicativo on line di comunicazione dati sciopero);
Documento cartaceo Rilevazioni
INTRANET
S
10
STRUTTURE DI RIFERIMENTO
DESCRIZIONE SINTETICA DEL TRATTAMENTO
CATEGORIA DI INTERESSATI
DESTINATARI/MITTENTI, TIPO DI COMUNICAZIONE DI DATO
PERSONALE
DESCRIZIONE DEGLI STRUMENTI UTILIZZATI
NATURA DEI DATI
(S,G)
Segreteria (DOVICO) liquidazione competenze tramite cedolino unico
personale docente e ATA Supplenze brevi
ALL’INTERESSATO COPIA PER GLI ATTI
Programma gestionale ARGO STIPENDI tramite rete locale basata su server
Documento cartaceo
S
Segreteria (DOVICO)
Emissione di mandati di pagamento individuali e
relativi contributi previdenziali ed
assistenzialiMOD. F24 EP
personale docente e ATA ISTITUTO TESORIERE COPIA PER GLI ATTI
Programma gestionale ARGO BILANCIO tramite rete locale basata su server
Documento cartaceo Applicativo
CA.RI.VE Applicativo F24 EP
S
Segreteria (DOVICO)
Trasmissione denunce mensili contributive INPS-INPDAP per
retribuzioni accessorie(UNIEMENS - POSPA)
personale docente e ATA INPS – EX INPDAP COPIA PER GLI ATTI
Programma gestionale ARGO EMOLUMENTI tramite rete locale basata su server
Programma di controllo UNIEMENS
Applicativo on line di comunicazione dati INPS – EX INPDAP
S
Segreteria (DOVICO)predisposizione CUD
personale a tempo determinato
personale docente e ATA a tempo determinato
retribuito dalla scuola e dal S.P.T.
ALL’INTERESSATO COPIA AGLI ATTI
Programma gestionale ARGO STIPENDI tramite rete locale basata su server
Documento cartaceo
S
Segreteria (DOVICO)predisposizione Mod. 770
personale a tempo determinato e personale
personale docente e ATA a tempo determinato
retribuito dalla scuola,
AGENZIA DELLE ENTRATE DEL M.E.F.
Programmi gestionali ARGO FISCO E STIPENDI tramite rete
S
11
STRUTTURE DI RIFERIMENTO
DESCRIZIONE SINTETICA DEL TRATTAMENTO
CATEGORIA DI INTERESSATI
DESTINATARI/MITTENTI, TIPO DI COMUNICAZIONE DI DATO
PERSONALE
DESCRIZIONE DEGLI STRUMENTI UTILIZZATI
NATURA DEI DATI
(S,G)
esperto esterno dalla S.P.T. e personale esperto esterno
locale su server Programma di
controllo Entratel Applicativo on line di
comunicazione dati Ag. Entrate
Documento cartaceo
Segreteria (DOVICO)
predisposizione mod.TFR personale a tempo
indeterminato e determinato
personale docente e ATA
INPS - EX INPDAP INTERESSATO COPIA AGLI ATTI
Programma gestionale ARGO STIPENDI tramite rete locale su server
SIDI Documento cartaceo
S
DSGASegreteria (DOVICO)
liquidazioni compensi accessori
Tutto il personale docente e ATA
S.P.T. INTERESSATO COPIA AGLI ATTI
Programma gestionale ARGO STIPENDI tramite rete locale su server
Applicativo on-line Portale S.P.T. – Cedolino Unico
Documento cartaceo
G
Segreteria (DOVICO)
Comunicazione annuale dei dati relativi a
compensi accessori per il personale retribuito dal
SPT
personale docente e ATA retribuito dal SPT
RAGIONERIA TERRITORIALE DELLO STATO (TESORO)
PRE 96 – applicativo fornito dal S.P.T. per trasmissione telematica
Documento cartaceo
G
Segreteria (DOVICO)Controllo rilevamento
elettronico presenze ATA e rendicontazione mensile
Personale A.T.A. COPIA RENDICONTAZIONE AI
DIPENDENTI COPIA AGLI ATTI
Programma gestionale ARGO PRESENZE
Programma gestionale ARGO PERSONALE
S
Segreteria (ZAMBON) ricostruzioni di carrierapersonale docente e ATA a
tempo indeterminato e incaricati di Religione
Ragioneria Provinciale dello Stato All’interessato
S.I.D.I. Documento cartaceo G
Segreteria (ZAMBON) dichiarazione dei servizi personale docente e ATA a Comunicazione al sistema S.I.D.I. S
12
STRUTTURE DI RIFERIMENTO
DESCRIZIONE SINTETICA DEL TRATTAMENTO
CATEGORIA DI INTERESSATI
DESTINATARI/MITTENTI, TIPO DI COMUNICAZIONE DI DATO
PERSONALE
DESCRIZIONE DEGLI STRUMENTI UTILIZZATI
NATURA DEI DATI
(S,G)
tempo indeterminato e determinato informatico della Pubblica Istruzione Documento cartaceo
Segreteria (ZAMBON) riscatto o computo servizi ai fini pensionistici
personale docente e ATA a tempo indeterminato e
determinato
all'Inps ex Inpdap, all’interessato Documento cartaceo S
Segreteria (ZAMBON) ricongiungimento servizi non statali L. 29
personale docente e ATA a tempo indeterminato e
determinato
all'Inps ex Inpdap, all’interessato Documento cartaceo S
Segreteria (ZAMBON)Domanda piccolo prestito
e cessione del quinto dello stipendio
personale docente e ATA
RAGIONERIA TERRITORIALE DELLO STATO
INPS ex INPDAP all’interessato
Documento cartaceo S
Segreteria (ZAMBON) graduatoria soprannumerari
personale docente e ATA a tempo indeterminato
all'albo U.S.T.
Applicativo in formato MS Excel prodotto in sede
S
Segreteria (DOVICO) modelli disoccupazione a requisiti interi e ridotti
personale docente e ATA a tempo determinato
INPS all’interessato
Programma gestionale ARGO STIPENDI tramite rete locale su server
Documento cartaceo
S
Segreteria (ZAMBON) certificati di servizio personale docente e ATA all’interessato altre scuole e amministrazioni
Programma gestionale ARGO PERSONALE tramite rete locale basata su server
Documento cartaceo
S
DSGASegreteria (ZAMBON)
richiesta preventivi di spesa Fornitori Fornitori
Documento cartaceo Trasmissione
telematica G
Segreteria (ZAMBON) ordinativi di acquisto Fornitori Fornitori Documento cartaceo Siti internet Trasmissione
G
13
STRUTTURE DI RIFERIMENTO
DESCRIZIONE SINTETICA DEL TRATTAMENTO
CATEGORIA DI INTERESSATI
DESTINATARI/MITTENTI, TIPO DI COMUNICAZIONE DI DATO
PERSONALE
DESCRIZIONE DEGLI STRUMENTI UTILIZZATI
NATURA DEI DATI
(S,G)
telematica
Segreteria (ZAMBON) Tabella comparativa dei preventivi d’acquisto Fornitori Commissione acquisti Documento cartaceo
G
Segreteria (SCARPA FLAVIA ) Infortuni Alunni AMBIENTE SCUOLA
INAIL QUESTURA
Documento cartaceo Applicativo on-line
“AmbienteScuola” S
Segreteria (MOTTA) Infortuni Personale docente e ATA AMBIENTE SCUOLA INAIL QUESTURA
Documento cartaceo Applicativo on-line
“AmbienteScuola” S
Segreteria (DOVICO)
Registrazione carico e scarico beni mobili nel
registro inventario e rinnovo inventariale
Fornitori D.S.G.A. Docenti subconsegnatari Ditte esterne
Cartella file di Office Documento cartaceo Programma
gestionale ARGO Inventario e ARGO Rinnova
SIDI
DSGA Mandati di pagamento
Fornitori, personale docente e ATA , personale
esterno, genitori degli alunni
Istituto tesoriere
Programma gestionale ARGO BILANCIO tramite rete locale su server
Documento cartaceo Sito Internet
CARIVE
G
DSGA Reversali di incasso M.I.U.R. U.S.T. Ufficio Postale per versamenti di Privati EE.LL.
Istituto tesoriere Programma gestionale ARGO BILANCIO tramite rete locale su server
Documento cartaceo
G
14
STRUTTURE DI RIFERIMENTO
DESCRIZIONE SINTETICA DEL TRATTAMENTO
CATEGORIA DI INTERESSATI
DESTINATARI/MITTENTI, TIPO DI COMUNICAZIONE DI DATO
PERSONALE
DESCRIZIONE DEGLI STRUMENTI UTILIZZATI
NATURA DEI DATI
(S,G)
Sito Internet CA.RI.VE
Sito Internet di POSTE ITALIANE
DSGALiquidazioni compensi a personale esterno e a ditte
fornitrici servizi Fornitori
Interessati ALBO COPIA ATTI
Programma gestionale ARGO Stipendi tramite rete locale su Server
Documento cartaceo Sito Internet
CA.RI.VE
G
Segreteria (SCARPA M.)Elezione organi collegiali
Pubblicazione elenchi genitori
Genitori degli alunni Personale docente Personale ATA
Ai membri della Commissione Elettorale
All’Albo Ai membri dei singoli seggi
Programma gestionale ARGO ALUNNI WEB
Documento cartaceo Trasmissione
telematica
G
Segreteria (SCARPA F.)Segreteria (SALMASO)
Trasmissione fascicoli alunni a scuole altro ordine o scuole di
trasferimento
Genitori Alunni Familiari
Altra scuola
Documento cartaceo Programma
gestionale ARGO ALUNNI WEB
SIDI
S
Segreteria (SCARPA F.) verifica assolvimento obbligo formativo
Genitori Alunni Regione Veneto
Applicativo AROF per comunicazione on line alla Regione Veneto
S
Segreteria (SCARPA F.)
Pubblicazione e comunicazione elenchi nominativi definitivi
iscritti
Alunni iscritti Albo dei singoli plessi Atto interno MPI
Programma gestionale ARGO ALUNNI WEB Documento cartaceo
SIDI ARIS
S
Segreteria (SCARPA F.)Segreteria (SALMASO)
Preparazione schede di valutazione, REGISTRO
VALUTAZIONE
Alunni Insegnanti
Agli interessati Alle famiglie Al fascicolo personale
Programma gestionale Argo alunni
G
15
STRUTTURE DI RIFERIMENTO
DESCRIZIONE SINTETICA DEL TRATTAMENTO
CATEGORIA DI INTERESSATI
DESTINATARI/MITTENTI, TIPO DI COMUNICAZIONE DI DATO
PERSONALE
DESCRIZIONE DEGLI STRUMENTI UTILIZZATI
NATURA DEI DATI
(S,G)
ALUNNI ED ESAMI DI LICENZA e relativa
gestione Commissione degli Esami Licenza
Web Documento cartaceo SIDI
Segreteria (CHIOZZOTTO)
Gestione alunni handicappati, DSA,
gestione protocollo del farmaco
Genitori Alunni
Atto interno; Altra scuola Servizio M.P.I. U.S.T.
Documento cartaceo SIDI ARIS
S
Segreteria (SCARPA F.)Segreteria (SALMASO)
Compilazione Diplomi originali di Licenza
Alunni Alunni Genitori
Programma gestionale ARGO ALUNNI WEB
Documento cartaceo
Segreteria (SCARPA F.)
Elenchi nominativi degli alunni avvalentesi o meno dell’insegnamento della
Religione Cattolica
Alunni Atto interno
Programma gestionale ARGO ALUNNI WEB
Documento cartaceo
S
Segreteria (SCARPA F.) Segreteria (CHIOZZOTTO)
Insegnanti di classeRegistri di classe Alunni Docenti delle classi Documento cartaceo S
Segreteria (SCARPA F.)Docenti incaricati della
continuità educativa
Operazioni legate alla formazione delle classi e alla continuità educativa
Genitori Alunni
Atto interno; Documento cartaceo G/S
Segreteria (CHIOZZOTTO e SCARPA M.)
Nominativi dei bambini interessati da dieta
conseguente ad intolleranze alimentari
Genitori Alunni
Docenti delle classi interessate Inservienti incaricate dello
scodellamento nella mensa scolastica Personale collaboratore scolastico Ufficio Gestione Mensa Comunale
Documento cartaceo Trasmissione
telematicaS
Segreteria (SCARPA M.) Gestione del Protocollo Generale
Alunni, genitori, docenti, personale ATA, D.S.G.A., D.S. fornitori
Atto interno Programma
gestionale ARGO PROTOCOLLO
S
Segreteria (SCARPA M.) Gestione della Posta elettronica
Alunni, genitori, docenti, personale
Atto interno Programma Outlook Express
S
16
STRUTTURE DI RIFERIMENTO
DESCRIZIONE SINTETICA DEL TRATTAMENTO
CATEGORIA DI INTERESSATI
DESTINATARI/MITTENTI, TIPO DI COMUNICAZIONE DI DATO
PERSONALE
DESCRIZIONE DEGLI STRUMENTI UTILIZZATI
NATURA DEI DATI
(S,G)
ATA, D.S.G.A., D.S. fornitori Documento cartaceo
DSGA Gestione della P.E.C.
Alunni, genitori, docenti, personale ATA, D.S.G.A., D.S. fornitori
Atto interno Sito Internet Documento cartaceo S
Segreteria (DOVICO ) Gestione del c/c postale Alunni, genitori, docenti e ATA
Atto interno DSGA
Documento cartaceo Applicativo in
formato MS Excel prodotto in sede
Applicativo Poste Italiane
Segreteria (MOTTA e CHIOZZOTTO)
Gestione libri di testo scuola elementare e media
Alunni, genitori, docenti e fornitori
Genitori Fornitori Associazioni di categoria
Programma gestionale ARGO LIBRI DI TESTO
Sito Internet AIE
Segreteria (SCARPA M.) Gestione Consigli di Classe e Interclasse Docenti e genitori
Genitori Docenti Altre Scuole di servizio
Documento cartaceo
Segreteria (SCARPA M.) Convocazioni Consiglio di Istituto e Giunta
Membri Consiglio di Istituto e Giunta
Membri Albo
Documento cartaceo Posta
ELETTRONICA
Segreteria (MOTTA)
Predisposizione e aggiornamento
graduatorie docenti e ATA personale a T.D.
Aspiranti a supplenza docenti e ATA
MIUR Albo Atto interno
SIDI S
Il trattamento dei dati avviene attraverso modalità diverse: strumenti elettronici, interni (P.C.) ovvero collegati in rete fra loro, e/o mediante collegamenti alla rete intranet, e/o alla rete internet. Con riferimento alla gestione dei dati mediante rete ministeriale, l’Istituzione scolastica declina ogni responsabilità, operando come semplice utente, non essendo in grado di intervenire sulla gestione delle informazioni ivi contenute e gestite.
La tabella seguente riassume il quadro dei trattamenti secondo modalità e tipologia, precisando l’ubicazione dei supporti di memorizzazione.
17
Tabella 3 Elenco dei trattamenti: descrizione degli strumenti utilizzatiIDENTIFICATIVO DEL TRATTAMENTO
(BREVE DESCRIZIONE RICAVATA DALLA TABELLA 1)
EVENTUALE BANCHE DATI DI SUPPORTO UBICAZIONE FISICA DEI SUPPORTI DI MEMORIZZAZIONE
E DELLE COPIE DI SICUREZZA
TIPOLOGIA DI DISPOSITIVI DI ACCESSO
TIPOLOGIA DI INTERCONNESSIONE
Gestione amministrativaGestione stipendi retribuzioni e
adempimenti fiscaliGestione del personale
Data Base ARGO Armadio n. 5 presso l’Ufficio del DSGA SERVER Rete locale Giovanni XXIII
Gestione dell’offerta formativa: Libri di Testo
Sito Internet AIE A cura del gestore sito AIE Rete Internet
Gestione dell’offerta formativa: alunni ARGO WEB A cura del gestore del sito Argo Web Rete Internet
Gestione del personale Gestione degli organici
Gestione contabile del personale pagato da SPT
Gestione statistiche alunni
Data Base SIDI A cura del gestore Rete SIDI Rete internet
Gestione della Posta Elettronica ARCHIVIO POSTA ELETTRONICA Armadio n. 5 presso l’Ufficio del DSGA SERVER Rete locale Giovanni XXIII
Gestione della P.E.C. ARCHIVIO P.E.C. Armadio n. 5 presso l’Ufficio del DSGA SERVER Rete locale Giovanni XXIIIGestione stipendi e retribuzioni accessorie personale a tempo
determinato
BANCA DATI INPS A cura del gestore Rete INPS
Gestione retribuzioni accessorie personale retribuito dalla S.P.T:
PRE 96 A cura del gestore Rete MEF PRE 96 Rete Internet
Gestione stipendi e retribuzioni accessorie di tutto il personale
PROGRAMMA DI CONTROLLO M.E.F. ENTRATEL
BANCA DATI INPS – EX INPDAP
A cura del gestore Rete Agenzia delle Entrate
PC8 Rete Internet
Gestione Monitoraggi BANCA DATI MIUR – DIREZIONE A cura del Gestore della Rete della Rete Internet
18
REGIONALE DEL VENETO Direzione Regionale Gestione Personale-Gestione alunni -
Contabilità Cartelle di File Word ed Excel Armadio n. 5 presso l’Ufficio del DSGA SERVER Rete locale Giovanni XXIII
3. ELENCO DEI DATI PERSONALI DI NATURA COMUNE O SENSIBILE.Sulla scorta delle precisazioni sopra elencate, l’istituzione scolastica, sulla base di una prima ricognizione, con salvezza della possibilità di
procedere a successive integrazioni e/o correzioni entro il 31.3 di ogni anno, dichiara, con riferimento ai destinatari o famigliari dei destinatari dell’offerta formativa ovvero del personale coinvolto, a qualunque titolo, nella medesima, o interessato ad essere coinvolto, ovvero di soggetti, a qualsiasi titolo, coinvolti in rapporti negoziali con l’istituzione scolastica, o aspiranti ad assumere tale ruolo, di trattare i dati di seguito elencati:
a) Dati identificativi, ai sensi dell’art.4, comma 1, lettere b) e c) del d.lgs. n.196 del 2003, univocamente riconducibili ad un soggetto fisico, identificato o identificabile, quali nominativo, dati di nascita, residenza, domicilio, stato di famiglia, codice fiscale, stato relativo all’adempimento degli obblighi di leva.
b) Dati identificativi, ai sensi dell’art.4, comma 1, lettere b) e c) del d.lgs. n.196 del 2003, univocamente riconducibili a persone giuridiche, enti o associazioni, inerenti la forma giuridica, la data di costituzione, la sede, il domicilio, l’evoluzione degli organi rappresentativi e legali, la sede, la Partita IVA, il Codice fiscale, la titolarità di diritti o la disponibilità di beni strumentali;
c) Dati sensibili, ai sensi dell’art.4, comma 1, lett.d) del d.lgs. n.196 del 2003; d) Dati giudiziari, ai sensi dell’art.4, comma 1, lett.e) del d.lgs. n.196 del 2003;e) Dati inerenti il livello di istruzione e culturale nonché relativi all’esito di scrutini, esami, piani educativi individualizzati differenziati;f) Dati inerenti le condizioni economiche e l’adempimento degli obblighi tributari;g) Dati riferibili a procedimenti giudiziari, pendenti in qualsiasi grado, o pregressi, di natura civile, amministrativa, tributaria, presso autorità
giurisdizionali italiane o estere, diversi da quelli rientranti nell’art.4 comma 1, lett.e) del d.lgs. n.196 del 2003;h) Dati atti a rilevare la presenza presso l’istituzione scolastica dei destinatari dell’offerta formativa ovvero dei famigliari nonché del personale
coinvolto, a qualsiasi titolo, nella somministrazione di tale offerta;i) Dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque;j) Dati inerenti negoziazioni e relative modalità di pagamento rispetto a forniture di beni, servizi o di opere, ovvero proposte ed offerte inerenti
le medesime negoziazioni;k) Dati inerenti la fornitura e le modalità di pagamento riguardo ad attività professionale a fini formativi; l) Dati contabili e fiscali;m) Dati inerenti la titolarità di diritti, il possesso o la detenzione di beni mobili registrati, mobili o immobili;n) Dati detenuti in applicazione di disposizioni di origine nazionale o comunitaria, atti o provvedimenti amministrativi, fonti contrattuali.
19
4. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ NELL'AMBITO DELLE STRUTTURE PREPOSTE AL TRATTAMENTO DEI DATI.
L’ente titolare del trattamento dei dati ha designato, mediante autonomo provvedimento quale Responsabile ai sensi dell’art.29 del d.lgs. n.196 del 2003 la sig.ra Ivana Pilot nata a Venezia il 21/03/1951, preposto alle funzioni Direttore dei Servizi Generali Amministrativi, in considerazione della esperienza, capacità ed affidabilità espressa dal medesimo, tale da offrire idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento.
Il suddetto Responsabile del trattamento ha ricevuto adeguate istruzioni riguardo:a) all’individuazione ed adozione delle misure di sicurezza da applicare nell’ambito dell’istituzione scolastica, al fine di salvaguardare la
riservatezza, l’integrità, la completezza e la disponibilità dei dati trattati;b) all’esigenza di provvedere, mediante atto scritto, all’individuazione delle unità legittimate al trattamento, per mezzo dei singoli preposti,
ovvero di singoli incaricati, ai sensi dell’art.30 del d.lgs. n.196 del 2003, deputati ad operare sotto la diretta autorità del responsabile, attenendosi alle istruzioni impartite, fermo restando l’obbligo gravante sul responsabile, di vigilare sul rispetto delle misure di sicurezza adottate.
c) all’esigenza di verificare che gli obblighi di informativa siano stati assolti correttamente, ovvero che sia stato conseguito il consenso degli interessati;
d) all’obbligo di collaborare con il titolare nell’adempiere alle richieste avanzate dal Garante per la protezione dei dati personali ovvero alle autorità investite dei poteri di controllo;
e) all’attribuzione della competenza ad elaborare e sottoscrivere notificazioni al Garante per la protezione dei dati personali;f) all’obbligo di osservare e far osservare il divieto di comunicazione e diffusione dei dati personali comunque trattati da parte dell’istituzione
scolastica;g) all’obbligo, ovvero a proporre soluzioni organizzative che consentano un ampliamento dei livelli di sicurezza
Il Responsabile del trattamento, ai sensi dell’art. 30 del d.lgs. n.196 del 2003 e delle indicazioni rappresentante sub b), ha provveduto ad individuare gli incaricati, autorizzandoli al trattamento dei dati in possesso dell’istituzione scolastica, esclusivamente con riferimento all’espletamento delle funzioni istituzionali ad essi rispettivamente assegnate.
Tali incaricati, in particolare, sono stati formalmente edotti in merito alla circostanza che:a) il trattamento e la conservazione dei dati deve avvenire esclusivamente in modo lecito e proporzionato alle funzioni istituzionali, nel rispetto
della riservatezza;b) la raccolta, registrazione ed elaborazione dei dati, mediante strumento informatico o cartaceo, deve essere limitata alle finalità istituzionali;c) integra onere dell’incaricato la correzione od aggiornamento dei dati posseduti, l’esame della loro pertinenza rispetto alle funzionid) integra inosservanza delle istruzioni la comunicazione, effettuata in qualsiasi maniera dei dati in possesso, con eccezion del caso che il
destinatario sia l’interessato alle stesse, ovvero altri soggetti legittimati ad ricevere dette comunicazioni.L’ambito dei trattamenti autorizzati ai singoli incaricati è suscettibile di aggiornamento periodico.
20
A tutti gli incaricati destinati al trattamento di dati mediante strumento elettronico, sono state conferite credenziali di autenticazioni (art.34, comma 1, lett.b) mediante parola chiave, conformi alle caratteristiche indicate nell’allegato B. Con atto allegato al presente documento è stato designato l’incaricato della custodia delle copie di credenziali di autenticazione nonché della funzione di verifica del loro aggiornamento periodico ovvero della corretta utilizzazione.
Le suddette credenziali sono disattivate automaticamente dal gestore della rete periodicamente, ovvero in tutti i casi di mancata utilizzazione per almeno 6 mesi.
Concorre al trattamento anche delle strutture esterne all’istituzione scolastica, incaricate mediante convenzione, del supporto software, della manutenzione e della riparazione degli strumenti elettronici.
Al fine di meglio precisare la suddetta ripartizione delle funzioni si rinvia alla tabella seguente.
21
Tabella 4 Strutture preposte ai trattamenti e riparto delle responsabilità
Struttura Responsabile o Incaricato
Documento d’incarico
(2)Rilascio Revoca Trattamento Principale o
di supporto Compiti dell’Incaricato
Ufficio Direttore Servizi Generali ed
Amministrativi (DSGA)
DSGA (soggetto qualificato come Responsabile) PILOT
nomina prot. 1124/Z
17/10/2009Gestione amministrativa
Principale Acquisizione e caricamento dei dati, consultazione,
stampa, comunicazione a terzi,
nomina prot. 1124/Z 17/10/2009
Gestione del Sistema Informativo
Principale Gestione del sistema informativo, applicazione
della procedura di emergenza delle password, procedura di aggiornamento
dei sistemi operativi, dei programmi applicativi, dell’antivirus e di altri
applicativi.
nomina prot. 1124/Z 17/10/2009
Gestione dei Salvataggi e ripristini
Principale Gestione della procedura dei salvataggi, Gestione
della procedura dei ripristini, custodia fisica dei supporti di memorizzazione
nomina prot. 1124/Z
17/10/2009Gestione dell’Assistenza Tecnica
Principale Gestione della procedura di assistenza tecnica
nomina prot. 1124/Z
17/10/2009Gestione della custodia delle Credenziali di autorizzazione
Principale Gestione delle credenziali di autorizzazione,
22
Struttura Responsabile o Incaricato
Documento d’incarico
(2)Rilascio Revoca Trattamento Principale o
di supporto Compiti dell’Incaricato
Segreteria
Incaricato DOVICO
lettera di nomina1126/Z
17/10/2009
Gestione dell’Amministrazione del personale: stipendi, retribuzioni e registrazione presenze e assenze A.T.A.
Principale Acquisizione e caricamento dei dati, consultazione,
stampa, comunicazione a terzi,
Incaricato ZAMBON
lettera di nomina1126/Z
17/10/2009
Gestione dell’Amministrazione del personale: assenze A.T.A.
Supporto Acquisizione e caricamento dei dati, consultazione,
stampa, comunicazione a terzi,
Incaricato DOVICO
lettera di nomina1283/Z
28/02/2011
Gestione del Sistema Informativo
Principale Procedura di aggiornamento dei sistemi operativi, dei programmi applicativi, dell’antivirus e di altri
applicativi.
Incaricato ZAMBON
lettera di nomina1284/Z
28/02/2011
Gestione del Sistema Informativo
Supporto Come sopra
Incaricato ZAMBON
lettera di nomina1279/Z
28/02/2011
Gestione dei Salvataggi e ripristini
Principale Gestione della procedura dei salvataggi, Gestione
della procedura dei ripristini, custodia fisica dei supporti di memorizzazione
Incaricato DOVICO
lettera di nomina1280/Z
28/02/2011
Gestione dei Salvataggi e ripristini
Supporto Come sopra
23
Struttura Responsabile o Incaricato
Documento d’incarico
(2)Rilascio Revoca Trattamento Principale o
di supporto Compiti dell’Incaricato
Incaricato ZAMBON
lettera di nomina1281/Z
28/02/2011Gestione dell’Assistenza Tecnica
Principale Gestione della procedura di assistenza tecnica
Incaricato DOVICO
lettera di nomina1282/Z
28/02/2011Gestione dell’Assistenza Tecnica
Supporto Come sopra
Incaricato ZAMBON
lettera di nomina1126/Z
17/10/2009Gestione Amministrazione del personale e predisposizione degli acquisti
Principale Acquisizione e caricamento dei dati, consultazione,
stampa, comunicazione a terzi,
Incaricato DOVICO
lettera di nomina1126/Z
17/10/2009Predisposizione degli
acquistiSupporto Come sopra
Incaricato MOTTA
lettera di nomina1126/Z
17/10/2009 Gestione Amministrazione del personale
Supporto Acquisizione e caricamento dei dati, consultazione,
stampa, comunicazione a terzi,
Incaricato MOTTA
lettera di nomina1126/Z
17/10/2009 Gestione assenze docenti
Principale Acquisizione e caricamento dei dati, consultazione,
stampa, comunicazione a terzi,
24
Struttura Responsabile o Incaricato
Documento d’incarico
(2)Rilascio Revoca Trattamento Principale o
di supporto Compiti dell’Incaricato
Incaricato ZAMBON
lettera di nomina1126/Z
17/10/2009 Gestione assenze docenti
Supporto Acquisizione e caricamento dei dati, consultazione,
stampa, comunicazione a terzi,
Incaricato SCARPA F.
lettera di nomina1126/Z
17/10/2009Gestione area didatticaIscrizioni
Principale Acquisizione e caricamento dei dati, consultazione,
stampa, comunicazione a terzi
Incaricato SCARPA M.
Lettera di nomina 1126/Z
17/10/2009 Gestione area didatticaIscrizioni
Supporto Acquisizione e caricamento dei dati, consultazione,
stampa, comunicazione a terzi
Incaricato CHIOZZOTTO
Lettera di nomina 1126/Z
17/10/2009 Gestione area didatticaAlunni handicappati
Principale Acquisizione e caricamento dei dati, consultazione,
stampa, comunicazione a terzi alunni handicappati
Incaricato SALMASO D.
Lettera di nomina 7663/Z
11/12/2012 Gestione area didatticaAlunni handicappati
Supporto Acquisizione e caricamento dei dati, consultazione,
stampa, comunicazione a terzi alunni handicappati
IncaricatoSALMASO D.
Lettera di nomina 7663/Z
11/12/2012 Gestione Area didatticaFascicoli e comunicazioni
Principale Acquisizione e caricamento dei dati, consultazione,
stampa, comunicazione a terzi
25
Struttura Responsabile o Incaricato
Documento d’incarico
(2)Rilascio Revoca Trattamento Principale o
di supporto Compiti dell’Incaricato
Incaricato SCARPA F.
Lettera di nomina 1126/Z
17/10/2009 Gestione Area didatticaFascicoli e comunicazioni
Supporto Acquisizione e caricamento dei dati, consultazione,
stampa, comunicazione a terzi
Incaricato MOTTA
Lettera di nomina 1126/Z
17/10/2009 Gestione graduatorie supplenze docenti e ATA
Principale Acquisizione dati e consultazione graduatorie
aspiranti supplenze
Incaricato ZAMBON
Lettera di nomina 1126/Z
17/10/2009 Gestione graduatorie supplenze docenti e ATA
Supporto Acquisizione dati e consultazione graduatorie
aspiranti supplenze
Incaricato CHIOZZOTTO
Lettera di nomina 1126/Z
17/10/2009 Gestione diete mensa scolastica
Principale Acquisizione e comunicazione diete alunni
su prescrizione medica o appartenenza religiosa
IncaricatoCHIOZZOTTO
Lettera di nomina 1126/Z
17/10/2009 Protocollo del Farmaco
Principale Acquisizione e caricamento dei dati, consultazione,
stampa, comunicazione a terzi,
IncaricatoSALMASO
Lettera di nomina 7663/Z
11/12/2012 Protocollo del Farmaco
Supporto Acquisizione e caricamento dei dati, consultazione,
stampa, comunicazione a terzi,
Incaricato SCARPA M.
Lettera di nomina 1126/Z
17/10/2009 Gestione diete mensa scolastica
Supporto Acquisizione e comunicazione diete alunni
su prescrizione medica o appartenenza religiosa
26
Struttura Responsabile o Incaricato
Documento d’incarico
(2)Rilascio Revoca Trattamento Principale o
di supporto Compiti dell’Incaricato
Incaricato SCARPA M.
lettera di nomina1126/Z 17/10/2009
Gestione del Protocollo e della posta elettronica
Principale Acquisizione e caricamento dei dati, consultazione,
stampa, comunicazione a terzi,
Incaricato SCARPA F.
CHIOZZOTTO
Lettere di nomina1126/Z
17/10/2009Gestione del Protocollo e della posta elettronica
Supporto Acquisizione e caricamento dei dati, consultazione,
stampa, comunicazione a terzi,
Incaricato DOVICO MOTTA
SALMASOZAMBON
Lettera di nomina 1126/Z7663/Z
17/10/2009 e 11/12/2012
Gestione parallela del Protocollo e della Posta Elettronica
Principale Acquisizione e caricamento dei dati, consultazione,
stampa, comunicazione a terzi,
Incaricato SCARPA M.
lettera di nomina1286/Z
28/02/2011 Custode delle chiavi fisiche dei locali e armadi
Principale Gestione delle chiavi fisiche
Incaricato SCARPA F.
lettera di nomina1287/Z
28/02/2011Custode delle chiavi fisiche dei locali e
armadi
Supporto Come sopra
DOCENTI PERSONALE DOCENTE GIA IN
SERVIZIO AL 01/09/2009
lettera di nomina 1125/Z
17/10/2009 Dati personale alunni e genitori
Principale Trattamento dati ai fini della valutazione e
dell’offerta formativa
DOCENTI PERSONALE DOCENTE IN
SERVIZIO DAL 01/09/2010
Lettera di nomina 943/Z
16/02/2011
Dati personali alunni e genitori
Principale Trattamento dati ai fini della valutazione e
dell’offerta formativa
27
Struttura Responsabile o Incaricato
Documento d’incarico
(2)Rilascio Revoca Trattamento Principale o
di supporto Compiti dell’Incaricato
DOCENTI PERSONALE DOCENTE IN
SERVIZIO DAL 01/09/2011
Lettera di nomina 1624/Z
27/02/2012
Dati personali alunni e genitori
Principale Trattamento dati ai fini della valutazione e
dell’offerta formativa
DOCENTI PERSONALE DOCENTE IN
SERVIZIO DAL 01/09/2012
Lettera di nomina 7664/Z
11/12/2012 Dati personali alunni e genitori
Proncipale Trattamento dati ai fini della valutazione e
dell’offerta formativa
COLLABORATORI SCOLASTICI
PERSONALE COLLABORATORE SCOLASTICO GIA’
IN SERVIZIO AL 01/09/2009
lettera di nomina 1127/Z
17/10/2009 Dati personali alunni, genitori e personale della scuola
Principale Gestione comunicazioni telefoniche e a mezzo fax, duplicazione e trasporto
documenti
COLLABORATORI SCOLASTICI
PERSONALE COLLABORATORE
SCOLASTICO IN SERVIZIO DAL
01/09/2010
Lettera di nomina 938/Z
16/02/2011 Dati personali alunni, genitori e personale della scuola
Principali Gestione comunicazioni telefoniche e a mezzo fax, duplicazione e trasporto
documenti
COLLABORATORI SCOLASTICI
PERSONALE COLLABORATORE
SCOLASTICO IN SERVIZIO DAL
01/09/2011
Lettera di nomina 1621/Z
27/02/2012 Dati personali alunni, genitori e personale della scuola
Principali Gestione comunicazioni telefoniche e a mezzo fax, duplicazione e trasporto
documenti
COLLABORATORI SCOLASTICI
PERSONALE COLLABORATORE
SCOLASTICO IN SERVIZIO DAL
01/09/2012
Lettera di nomina 7662/Z
11/12/2012 Dati personali alunni, genitori e personale della scuola
Principali Gestione comunicazioni telefoniche e a mezzo fax, duplicazione e trasporto
documenti
(2) I documenti di nomina del Responsabile e di incarico sono allegati al presente documento.
28
5. ANALISI DEI RISCHI INCOMBENTI SUI DATI.L’Istituzione scolastica ha proceduto ad una ricognizione dei rischi che potrebbero
comportare una distruzione, sottrazione, perdita, trattamento abusivo dei dati, di origine dolosa, colposa, ovvero meramente fortuito, in grado di recare pregiudizio ai dati personali trattati.Le fonti di rischio sono state accorpate in:1)Comportamenti degli operatori.
Sottrazione di credenziali di autenticazione; comportamenti imperiti, imprudenti o negligenti dei soggetti legittimati al trattamento dei dati; comportamenti dolosi dei soggetti legittimati; errori materiali.2) Eventi relativi agli strumenti.
Danno arrecato da virus informatici e/o da hackers, mediante interventi precedenti all’aggiornamento degli strumenti di contrasto attivati (software e firewall), spamming o tecniche di sabotaggio. Malfunzionamento, indisponibilità o usura fisica degli strumenti. Accessi abusivi negli strumenti elettronici. Intercettazione dei dati in occasione di trasmissione in rete.3) Eventi relativi al contesto fisico-ambientale.
Distruzione o perdita di dati in conseguenza di eventi incontrollabili (terremoto) ovvero, seppur astrattamente preventivabili (incendi o allagamenti) di origine fortuita, dolosa o colposa, per i quali non è possibile apprestare cautele. Guasti a sistemi complementari, quale la mancata erogazione di energia elettrica per lunghi periodi di tempo, in grado di pregiudicare la climatizzazione dei locali. Furto o danneggiamento degli strumenti elettronici di trattamento dei dati, in orario diverso da quello di lavoro. Accesso non autorizzato da parte di terzi – interni o esterni all’istituzione scolastica – mediante uso abusivo di credenziali di autenticazione, in funzione di danneggiamento o sottrazione dei dati. Errori umani nell’attivazione degli strumenti di protezione.
I suddetti rischi sono stati ripartiti in classi di gravità, tenendo conto della concreta possibilità di realizzazione presso l’istituzione scolastica, adottando la seguente scansione:
A= alto B = basso EE = molto elevato M = medio MA = medio-alto MB = medio-basso
La tabella seguente sintetizza i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutandone le possibili conseguenze e stimandone la gravità, ponendoli altresì in correlazione con le misure di sicurezza previste.
29
Tabella 5 Analisi dei rischi
EVENTOIMPATTO SULLA SICUREZZA DEI DATI
RIF. MISURE DI AZIONE
DESCRIZIONEGRAVITÀ STIMATA
CO
MPO
RT
AM
EN
TI D
EG
LI
OPE
RA
TO
RI
Furto di credenziali di autenticazione Accesso altrui non autorizzato M Vigilanza sul rispetto delle
istruzioni impartiteCarenza di
consapevolezza, disattenzione o incuria
Dispersione, perdita e accesso altrui non autorizzato M Formazione e flusso continuo di
informazione
Comportamenti sleali o fraudolenti
Dispersione, perdita e accesso altrui non autorizzato M Vigilanza sul rispetto delle
istruzioni impartite
Errore materiale Dispersione, perdita e accesso altrui non autorizzato M
Vigilanza sul rispetto delle istruzioni impartite, formazione e flusso continuo di informazione
EV
EN
TI R
EL
AT
IVI A
GL
I ST
RU
ME
NT
I
Azione di virus informatici o di codici
malefici
Perdita o alterazione, anche irreversibile, di dati, di
programmi e di elaboratori; EE Adozione di idonei dispositivi di protezione
Spamming o altre tecniche di sabotaggio
Perdita o alterazione, anche irreversibile, di dati, di
programmi e di elaboratori; impossibilità temporanea di
accesso ai dati e di utilizzo dei programmi
EE Adozione di idonei dispositivi di protezione
Malfunzionamento, indisponibilità o
degrado degli strumenti
Perdita o alterazione, anche irreversibile, di dati, di
programmi e di elaboratori; impossibilità temporanea di
accesso ai dati e di utilizzo dei programmi
MAAssistenza e manutenzione
continua degli elaboratori e dei programmi; ricambio periodico
Accessi esterni non autorizzati
Dispersione, perdita o alterazione, anche irreversibile, di dati, nonché manomissione di
programmi e di elaboratori; impossibilità temporanea di
accesso ai dati e di utilizzo dei programmi
MA Adozione di idonei dispositivi di protezione
Intercettazione di informazioni in rete
Dispersione di dati; accesso altrui non autorizzato MA Adozione di idonei dispositivi di
protezione
EV
EN
TI R
EL
AT
IVI
AL
CO
NT
EST
O
Accessi non autorizzati a
locali/reparti ad accesso ristretto
Dispersione, perdita o alterazione, anche irreversibile, di dati, nonché manomissione di
programmi e di elaboratori; accesso altrui non autorizzato;
impossibilità temporanea di accesso ai dati e di utilizzo dei
programmi
M Protezione dei locali mediante serratura con distribuzione delle
chiavi ai soli autorizzati
30
EVENTOIMPATTO SULLA SICUREZZA DEI DATI
RIF. MISURE DI AZIONE
Asportazione e furto di strumenti
contenenti dati
Dispersione e perdita di dati, di programmi e di elaboratori;
accesso altrui non autorizzatoMB
Protezione dei locali e dei siti di ubicazione degli elaboratori e dei
supporti di memorizzazione mediante serratura con
distribuzione delle chiavi ai soli autorizzati
Eventi distruttivi, naturali o artificiali, dolosi, accidentali o
dovuti ad incuria
Perdita di dati, dei programmi e degli elaboratori M
Attività di prevenzione, controllo, assistenza e manutenzione
periodica,vigilanza sul rispetto delle istruzioni impartite,
formazione e flusso continuo di informazione
Guasto ai sistemi complementari
(impianto elettrico, climatizzazione, etc.)
Perdita o alterazione, anche irreversibile, di dati, nonché
manomissione dei programmi e degli elaboratori; impossibilità
temporanea di accesso ai dati e di utilizzo dei programmi
A Attività di controllo, assistenza e manutenzione periodica
Errori umani nella gestione della
sicurezza fisica
Perdita o alterazione, anche irreversibile, di dati, nonché
manomissione dei programmi e degli elaboratori; impossibilità
temporanea di accesso ai dati e di utilizzo dei programmi
MVigilanza sul rispetto delle
istruzioni impartite, formazione e flusso continuo di informazione
B – MISURE MINIME DI SICUREZZA ADOTTATE E DA ADOTTARE
6. MISURE IN ESSERE E DA ADOTTARE PER GARANTIRE L'INTEGRITÀ E LA DISPONIBILITÀ DEI DATI, NONCHÈ LA PROTEZIONE DELLE AREE E DEI LOCALI, RILEVANTI AI FINI DELLA LORO CUSTODIA E ACCESSIBILITÀ.
Sulla scorta della ricognizione dei rischi sopra rappresentata, l’istituzione scolastica ha provveduto ad apprestare e/o introdurre strumenti di tutela, ovvero a prevedere successive, e più incisive, misure di sicurezza.La tabella seguente sintetizza le misure di sicurezza in essere, corredate da indicazioni di dettaglio.
Poiché le Associazioni Culturali AUSER - CIRCOLO ARCI PABLO NERUDA e BARCHETTA BLU hanno accesso ai locali scolastici (aula al piano terra – aula al 1° piano – aula magna – laboratorio di informatica del Plesso “Vettor Pisani” e aula al piano terra del Plesso “Giovanni XXIII”) anche al di fuori dell’orario di apertura, i responsabili di tali associazioni hanno assunto formale impegno al rispetto delle misure minime in materia di protezione dei dati e sicurezza dei locali (vedi dichiarazioni allegate).
31
Tabella 6 Le misure di sicurezza in essere e da adottareMISURA RISCHIO CONTRASTATO TRATTAMENTO
INTERESSATOEVENTUALE BANCA DATI
INTERESSATA
MISURA GIÀ IN ESSERE
MISURA DA ADOTTARE
PERIODICITÀ E RESPONSABILIT
À DEI CONTROLLI
Procedure relative al controllo per l’accesso ai personal computer- Credenziali di autenticazione, identificate
da codice identificativo e parola chiave, quando si utilizza un PC, la rete locale e internet
- Accesso non autorizzato- Modifica e/o cancellazione non
autorizzata dei dati- Trattamento non consentito o non
conforme alle finalità della raccolta
Tutti i trattamenti effettuati con
strumenti elettronici
Database ARGO, Cartelle
OFFICE
Definizione del dominio nella rete WINDOWS 2003
SERVER 01/09/2009
3 mesi, Amministratore
di sistema
- Modalità di attivazione, variazione e gestione delle Credenziali
Come sopra Come sopra Come sopra Come sopra sempre, Amministratore
di sistema- Criteri e definizione dei profili di
autorizzazione degli incaricati - Trattamento non consentito o non conforme alle finalità della raccolta
Tutti i trattamenti informatici e
cartacei
Database ARGO, Cartelle
OFFICE
Assegnati tutti gli incarichi,
sostituzione obbligatoria della parola chiave ogni
tre mesi
sempre, Responsabile
dei dati
- Attribuzione, revoca ed aggiornamento dei profili di autorizzazione
Come sopra Come sopra Come sopra Come sopra 1 anno, Responsabile
dei dati- Controllo accesso ad internet e all’uso dei
programmi e dei dati di tutti i personal computer
Come sopra Tutti i trattamenti informatici
Cartelle di archivi OFFICE
posta elettronica
Come sopra 1 anno, Responsabile
dei dati
32
MISURA RISCHIO CONTRASTATO TRATTAMENTO INTERESSATO
EVENTUALE BANCA DATI
INTERESSATA
MISURA GIÀ IN ESSERE
MISURA DA ADOTTARE
PERIODICITÀ E RESPONSABILIT
À DEI CONTROLLI
- Aggiornamento dei programmi volti a prevenire vulnerabilità ed a correggere i difetti (software update)
Perdita parziale o completa dei dati Tutti i trattamenti informatici
Database ARGO, Cartelle
OFFICE
Tutti i PC della rete locale
Giovanni XXIII hanno l’antivirus aggiornato AVG 2012, i sistemi operativi sono i
più recenti
6 mesi, Amministratore
di sistema
- Limitazione agli accessi alla rete dell’istituzione scolastica da internet (firewall)
- Accesso non autorizzato- Modifica e/o cancellazione non
autorizzata dei dati- Trattamento non consentito o non
conforme alle finalità della raccolta
Tutti i trattamenti informatici
Database ARGO, Cartelle
di archivi OFFICE
Installato FIREWALL
6 mesi, Società di
assistenza Hw e Sw
- Accesso alle applicazioni multi-utente mediante il codice identificativo (USER-ID) e parola chiave,
- Accesso non autorizzato- Modifica e/o cancellazione non
autorizzata dei dati- Trattamento non consentito o non
conforme alle finalità della raccolta
Trattamenti informatici relativi alle applicazioni
gestionali
Data base ARGO
Tutti i P.C. hanno accesso
autorizzato tramite
inserimento USERID e password
sempre, Amministratore
di sistema
- Definizione dei profili di autorizzazione degli incaricati nelle applicazioni multi-utente
- Accesso non autorizzato- Modifica e/o cancellazione non
autorizzata dei dati- Trattamento non consentito o non
conforme alle finalità della raccolta
Trattamenti informatici relativi alle applicazioni
gestionali
Data base ARGO
ARGO in rete su server è
predisposto per la gestione dei profili utente
sempre, Responsabile dei dati e Amministratore di sistema
- Attribuzione, revoca ed aggiornamento dei profili di autorizzazione nelle applicazioni multi-utente
- Come sopra Come sopra Come sopra Come sopra 1 anno, Responsabile
dei dati e Amministratore
di sistema
33
MISURA RISCHIO CONTRASTATO TRATTAMENTO INTERESSATO
EVENTUALE BANCA DATI
INTERESSATA
MISURA GIÀ IN ESSERE
MISURA DA ADOTTARE
PERIODICITÀ E RESPONSABILIT
À DEI CONTROLLI
- Registrazione degli accessi e delle attività degli incaricati nelle applicazioni multi-utente
- controllo di eventuali intrusioni e sabotaggi nei database delle applicazioni multi-utente
Trattamenti informatici relativi alle applicazioni
gestionali
Data base ARGO
Il software attualmente non
lo prevede
1 anno, Amministratore
di sistema
- Definizione dei profili di autorizzazione degli incaricati per l’accesso alle cartelle di file personali relative ad applicazioni mono-utente (MS WORD, MS EXCEL, ecc.)
- Accesso non autorizzato- Modifica e/o cancellazione non
autorizzata dei dati- Trattamento non consentito o non
conforme alle finalità della raccolta
Trattamenti informatici relativi alle applicazioni
mono-utente
File MS WORD, File MS EXCEL
Le cartelle comuni
contengono file senza dati personali
Eventuali file con dati personali o sensibili sono contenuti su cartelle ad
accesso limitato e/o con l’uso delle
parole chiavi in lettura/scrittura
sempre, Responsabile
dei dati
- Registrazione degli accessi (operazioni di avvio/arresto) ai programmi e delle operazioni di apertura/chiusura degli archivi
- controllo di eventuali intrusioni e sabotaggi nei PC
Tutti i trattamenti informatici
Database ARGO, Cartelle di archivi MS
WORD eMS EXCEL
Il software attualmente non lo prevede
sempre, Amministratore
di Sistema
- Criteri e definizione dei Profili di Autorizzazione degli Incaricati utenze SIDI
- Attribuzione, revoca ed aggiornamento dei Profili di Autorizzazione
- Accesso non autorizzato- Modifica e/o cancellazione non
autorizzata dei dati- Trattamento non consentito
Trattamenti informatici relativi alle applicazioni
gestionali
Database SIDI sempre,Responsabile
dei dati
- -
Criteri tecnici ed organizzativi per la protezione delle aree e dei locali e procedure di controllo per l’accesso
34
MISURA RISCHIO CONTRASTATO TRATTAMENTO INTERESSATO
EVENTUALE BANCA DATI
INTERESSATA
MISURA GIÀ IN ESSERE
MISURA DA ADOTTARE
PERIODICITÀ E RESPONSABILIT
À DEI CONTROLLI
- Localizzazione e limitazioni all’accesso del data center (localizzazione dei server)
- Accesso non autorizzato- Perdita parziale e/o completa dei dati
e dei programmi- Danno economico all’istituzione
scolastica
Tutti i trattamenti informatici
Database ARGO, Cartelle di archivi MS
WORD eMS EXCEL
SISSI IN RETEPOSTA
ELETTONICA PEC
I server sono posti nei locali della segreteria ad
accesso limitato
sempre, Responsabile
dei dati
- Dispositivi antintrusione specifici per il data center
- Accesso non autorizzato- Perdita parziale e/o completa dei dati
e dei programmi- Danno economico all’istituzione
scolastica
Tutti i trattamenti informatici
Come sopra La disposizione dei locali non permette una
maggiore protezione dei
server
sempre, Responsabile
dei dati
- Dispositivi antintrusione generali per l’edificio Pisani
- Accesso non autorizzato- Danno economico all’istituzione
scolastica - Perdita parziale e/o completa dei dati
e dei programmi
Tutti i trattamenti informatici e
cartacei
Database ARGO, Cartelle di archivi MS
WORD eMS EXCEL
SISSI IN RETEPOSTA
ELETTONICA PEC
E documenti cartacei
Gli uffici della segreteria del
DSGA e del DS sono in un
edificio senza sistema
d’allarme
sempre, Responsabile
dei dati
- Dispositivi antintrusione generali per l’edificio Giovanni XXIII
- Accesso non autorizzato- Danno economico all’istituzione
scolastica - Perdita parziale e/o completa dei dati
e dei programmi
Tutti i trattamenti cartacei
Documenti cartacei
I locali destinati all’ archivio sono in un
edificio senza sistema
d’allarme
sempre, Responsabile
dei dati
35
MISURA RISCHIO CONTRASTATO TRATTAMENTO INTERESSATO
EVENTUALE BANCA DATI
INTERESSATA
MISURA GIÀ IN ESSERE
MISURA DA ADOTTARE
PERIODICITÀ E RESPONSABILIT
À DEI CONTROLLI
- Dispositivi antincendio Sede Pisani1. Estintori2. Manichette3. Impianti di rilevazione automatica4. Impianti di spegnimento automatico
- Perdita parziale e/o completa dei dati e dei programmi
- Danno economico all’istituzione scolastica
Tutti i trattamenti informatici e
cartacei
Database ARGO, Cartelle di archivi MS
WORD eMS EXCEL
SISSI IN RETEPOSTA
ELETTONICA PEC
E documenti cartacei
L’istituzione scolastica è a
norma con il D.L. 81/2008 dispone di estintori nei
corridoi adiacenti gli uffici della
segreteria e del DS
Secondo il DL 81/2008,
Responsabile della sicurezza
- Dispositivi antincendio Giovanni XXIII1. Estintori2. Manichette3. Impianti di rilevazione automatica
4. impianti di spegnimento automatico
- Perdita parziale e/o completa dei dati - Danno economico all’istituzione
scolastica
Tutti i trattamenti cartacei
Documenti cartacei
L’istituzione scolastica è a
norma con il D.L. 81/2008, dispone
di estintori nei locali
dell’archivio
Secondo il D.L. 81/2008,
Responsabile della sicurezza
- Sistemi di registrazione degli ingressi e di chiusura dei locali del Plesso Vettor Pisani
- Accesso non autorizzato Tutti i trattamenti informatici e
cartacei
Database ARGO, Cartelle di archivi MS
WORD eMS EXCEL
SISSI IN RETEPOSTA
ELETTONICA PEC
E documenti cartacei
non è prevista la registrazione
sempre, Responsabile
dei dati
36
MISURA RISCHIO CONTRASTATO TRATTAMENTO INTERESSATO
EVENTUALE BANCA DATI
INTERESSATA
MISURA GIÀ IN ESSERE
MISURA DA ADOTTARE
PERIODICITÀ E RESPONSABILIT
À DEI CONTROLLI
- Sistemi di registrazione degli ingressi e di chiusura dei locali del Plesso Giovanni XXIII
- Accesso non autorizzato Tutti i trattamenti cartacei
Documenti cartacei
non è prevista la registrazione
sempre, Responsabile
dei dati
- Presenza di un custode e/o di un servizio di vigilanza esterna Plesso Vettor Pisani
- Accesso non autorizzato- Danno economico all’istituzione
scolastica - Perdita parziale e/o completa dei dati
e dei programmi
Tutti i trattamenti informatici e
cartacei
Database ARGO, Cartelle di archivi MS
WORD eMS EXCEL
SISSI IN RETEPOSTA
ELETTONICA PEC e
documenti cartacei
I collaboratori scolastici
controllano gli accessi all’istituto durante l’orario di
apertura per l’attività didattica.
I Responsabili delle Associazioni culturali AUSER e ARCI PABLO NERUDA che hanno accesso ai locali scolastici al
di fuori dell’orario
scolastico hanno assunto formale
impegno al rispetto delle
misure minime in materia di
protezione dei dati e sicurezza
dei locali
non è previsto il servizio di vigilanza
esterna notturna
sempre, Responsabile
dei dati
37
MISURA RISCHIO CONTRASTATO TRATTAMENTO INTERESSATO
EVENTUALE BANCA DATI
INTERESSATA
MISURA GIÀ IN ESSERE
MISURA DA ADOTTARE
PERIODICITÀ E RESPONSABILIT
À DEI CONTROLLI
- Presenza di un custode e/o di un servizio di vigilanza esterna Plesso Giovanni XXIII
- Accesso non autorizzato- Danno economico all’istituzione
scolastica - Perdita parziale e/o completa dei dati
e dei programmi
Tutti i trattamenti cartacei
Documenti cartacei
I collaboratori scolastici
controllano gli accessi all’istituto durante l’orario di
apertura per l’attività didattica.Il Responsabile
dell’ Associazione
culturale BARCHETTA BLU, che ha
accesso ai locali scolastici al di
fuori dell’orario scolastico, ha
assunto formale impegno al
rispetto delle misure minime in
materia di protezione dei dati e sicurezza
dei locali
non è previsto il servizio di vigilanza
esterna notturna
sempre, Responsabile
dei dati
- Custodia in armadi, ad accesso autorizzato, dei supporti di memorizzazione e delle copie di sicurezza
- Accesso non autorizzato- Perdita parziale e/o completa dei dati
e dei programmi- Impossibilità di fare il ripristino dei
dati
Tutti i trattamenti informatici
Come sopra Vi accede solo il Responsabile dei
salvataggi o l’incaricato, sono chiusi a chiave
Sempre, Incaricato
Responsabile dei salvataggi
38
MISURA RISCHIO CONTRASTATO TRATTAMENTO INTERESSATO
EVENTUALE BANCA DATI
INTERESSATA
MISURA GIÀ IN ESSERE
MISURA DA ADOTTARE
PERIODICITÀ E RESPONSABILIT
À DEI CONTROLLI
- Procedure e modalità per l’organizzazione degli archivi cartacei ad accesso autorizzato Plesso Vettor Pisani
- Accesso non autorizzato- Duplicazione dei documenti- Trattamento non consentito o non
conforme alle finalità della raccolta- Perdita parziale e/o completa di
documenti
Trattamenti cartacei Come sopra Gli uffici dove sono ubicati gli
armadi che contengono i
documenti, sono chiusi a chiave.Ulteriori armadi
situati nell’androne
antistante sono chiusi a chiave
1 anno, Responsabile
dei dati
- Procedure e modalità per l’organizzazione degli archivi cartacei ad accesso autorizzato Plesso Giovanni XXIII
- Accesso non autorizzato- Duplicazione dei documenti- Trattamento non consentito o non
conforme alle finalità della raccolta- Perdita parziale e/o completa di
documenti
Trattamenti cartacei Come sopra l’archivio generale è
permanentemente chiuso a chiave
1 anno, Responsabile
dei dati
- Modalità di custodia dei dati particolari durante l’utilizzo
- Accesso non autorizzato- Diffusione involontaria delle
informazioni- Violazione della privacy- Duplicazione dei documenti- Trattamento non consentito o non
conforme alle finalità della raccolta
Trattamenti cartacei Gli incaricati sono stati addestrati,
dispongono di un cassetto o un armadio dove
deporre i documenti per
brevi assenze dal posto di lavoro
sempre, Responsabile
dei dati
39
MISURA RISCHIO CONTRASTATO TRATTAMENTO INTERESSATO
EVENTUALE BANCA DATI
INTERESSATA
MISURA GIÀ IN ESSERE
MISURA DA ADOTTARE
PERIODICITÀ E RESPONSABILIT
À DEI CONTROLLI
- Modalità di identificazione e registrazione degli accessi ai dati particolari dopo l’orario di lavoro
- Accesso non autorizzato- Duplicazione dei documenti- Trattamento non consentito o non
conforme alle finalità della raccolta- Perdita parziale e/o completa di
documenti
Trattamenti cartacei I locali, dopo l’orario di lavoro,
sono chiusi a chiave, può
accedervi solo l’addetto
scolastico per le pulizie
sempre, Responsabile
dei dati
- Modalità di custodia delle chiavi fisiche Plesso Vettor Pisani
- Accesso non autorizzato- Danno economico all’istituzione
scolastica - Perdita parziale e/o completa dei dati
e dei programmi
Tutti i trattamenti informatici e
cartacei
Database ARGO, Cartelle di archivi MS
WORD eMS EXCEL
Posta elettronica
PEC
Custodia delle chiavi degli armadi degli uffici dentro una cassetta di sicurezza a cui possono accedere tutti gli impiegati
L’incaricato responsabile della custodia chiavi verifica quotidianamen-te l’integrità della cassetta
- Modalità di custodia delle chiavi fisiche Plesso Giovanni XXIII
- Accesso non autorizzato- Danno economico all’istituzione
scolastica - Perdita parziale e/o completa dei dati
e dei programmi
Trattamenti cartacei Documenti cartacei
Custodia delle chiavi degli armadi degli
archivi dentro un armadio chiuso a
chiave nello spogliatoio dei Collaboratori
scolastici
L’incaricato responsabile della custodia chiavi verifica mensilmente l’integrità dell’armadio contenente le chiavi
- Documenti cestinati - Diffusione involontaria delle informazioni
- Violazione della privacy- Duplicazione dei documenti- Trattamento non consentito o non
conforme alle finalità della raccolta
Trattamenti cartacei I documenti sono resi illeggibili
mediante l’uso di un distruggi documenti
sempre, Responsabile
dei dati
Criteri e procedure per assicurare l’integrità e la disponibilità dei dati
40
MISURA RISCHIO CONTRASTATO TRATTAMENTO INTERESSATO
EVENTUALE BANCA DATI
INTERESSATA
MISURA GIÀ IN ESSERE
MISURA DA ADOTTARE
PERIODICITÀ E RESPONSABILIT
À DEI CONTROLLI
- Criteri e procedure di salvataggio dei dati - Malfunzionamenti hardware e software
- Deterioramento nel tempo dell’hardware,
- Errori umani
Tutti i trattamenti informatici
Database ARGO, Cartelle di archivi MS
WORD eMS EXCEL
Posta Elettronica
PEC
Procedura attivata Sempre, Incaricato
Responsabile dei salvataggi
- Criteri e procedure di salvataggio dei dati e dei programmi (disaster recovery)
- Malfunzionamenti hardware e software
- Deterioramento nel tempo dell’hardware,
- Errori umani
Tutti i trattamenti informatici
Come sopra Procedura attivata Sempre, Incaricato
Responsabile dei salvataggi
- Dispositivi di conservazione dei supporti di memorizzazione e delle copie di sicurezza: utilizzo di cassaforte o armadio ignifugo
- Perdita parziale e/o completa dei dati e dei programmi nel caso di incendio
Tutti i trattamenti informatici
Come sopra I supporti magnetici sono
costuditi nell’armadio n. 5 dell’ufficio del
DSGA
Saranno richiesti al
comune armadi ignifughi dotati di più copie di
chiavi
1 anno, Responsabile dei salvataggi
- Criteri e procedure di verifica delle copie di sicurezza dei dati
- Efficacia del salvataggio Tutti i trattamenti informatici
Come sopra 3 mesi, Incaricato
Responsabile dei salvataggi
- Criteri e procedure di sostituzione ed eliminazione dei dispositivi di conservazione obsoleti: HD esterni
- Efficacia del salvataggio Tutti i trattamenti informatici
Come sopra Controllo dei dispositivi
3 mesi, Incaricato
Responsabile dei salvataggi
- Presenza di gruppi di continuità - Interruzione del servizio,- Perdita parziale dei dati - Perdita parziale e/o completa dei
programmi
Tutti i trattamenti informatici
Come sopra I server e i PC6 – PC7 – PC1
dispongono di gruppo di continuità
3 mesi, Amministratore
di sistema
41
MISURA RISCHIO CONTRASTATO TRATTAMENTO INTERESSATO
EVENTUALE BANCA DATI
INTERESSATA
MISURA GIÀ IN ESSERE
MISURA DA ADOTTARE
PERIODICITÀ E RESPONSABILIT
À DEI CONTROLLI
- Climatizzazione dei locali - Deterioramento dei supporti di memorizzazione con grandi escursioni di temperatura ed umidità
Tutti i trattamenti informatici
Come sopra Installazione tende alla
veneziana per protezione dei
Server e dei PC.Utilizzo n. 3
condizionatori portatili
1 anno, Amministratore
di sistema
- Server Rete “Giovanni XXIII” dotato di mirroring, di mirroring in RAID 5 o superiore, di tipo hot-swap, di alimentazione rindondante, di sistemi in cluster
- Perdita parziale e/o completa dei dati e dei programmi nel caso di rottura dell’hard disk principale
Tutti i trattamenti informatici
Come sopra Server dotato di mirroring
1 anno, Amministratore
di sistema
- Server Rete “Giovanni XXIII” dotato di un disco aggiuntivo per i salvataggi ed i ripristini
- Perdita parziale e/o completa dei dati e dei programmi nel caso di errori umani
Tutti i trattamenti informatici
Come sopra 1 anno, Amministratore
di sistema- Procedura per l’assistenza alle attrezzature
e agli impianti preposti al trattamento dei dati
- Grandi interruzione del servizio per effetto di guasti hardware
Tutti i trattamenti informatici
Come sopra Procedura attivata, con
chiamata all’occorrenza
1 anno, Amministratore
di sistema
- Procedura per l’assistenza del software gestionale preposto al trattamento dei dati
- Grandi interruzioni del servizio per effetto di guasti hardware
Trattamenti informatici relativi alle applicazioni
gestionali
Database ARGO
Procedura attivataè stato previsto un
contratto di assistenza che
scade il 31/12/2013 rinnovabile
1 anno, Amministratore
di sistema
- Criteri e procedure per la gestione della posta elettronica e P.E.C.
Spamming o altre tecniche di sabotaggio Trattamenti informatici relativi
alle posta elettronica e P.E.C.
archivio posta elettronica e
P.E.C.
Incaricati già addestrati
3 mesi, Amministratore
di sistema
42
MISURA RISCHIO CONTRASTATO TRATTAMENTO INTERESSATO
EVENTUALE BANCA DATI
INTERESSATA
MISURA GIÀ IN ESSERE
MISURA DA ADOTTARE
PERIODICITÀ E RESPONSABILIT
À DEI CONTROLLI
- Criteri e configurazione del programma Internet Explorer per una navigazione più sicura
Spamming o altre tecniche di sabotaggio Tutti i trattamenti informatici
Database ARGO, Cartelle
di OFFICE
Incaricati già addestrati, programma aggiornato
3 mesi, Amministratore
di sistema
- Controlli sui software installati sui computer soprattutto i software di comunicazione
- Accesso non autorizzato- Modifica e/o cancellazione non
autorizzata dei dati- Trattamento non consentito o non
conforme alle finalità della raccolta
Tutti i trattamenti informatici
Come sopra Solo l’amministratore di sistema può installare nuovi
programmi
sempre, Amministratore
di sistema
Criteri e procedure per il ripristino dell’accesso ai dati- Criteri e procedure, che assicurino dati
certi, per il ripristino dei dati a seguito di distruzione o danneggiamento dei dati
- Malfunzionamenti hardware e software
- Deterioramento nel tempo dell’hardware,
- Errori umani
Tutti i trattamenti informatici
Database ARGO, Cartelle
OFFICEPosta
elettronicaPEC
Procedura attivata 3 mesi, Incaricato
Responsabile dei salvataggi
- Criteri e procedure, che assicurino dati certi, per il ripristino dei dati e dei programmi (disaster recovery) a seguito di distruzione o danneggiamento degli strumenti elettronici
- Malfunzionamenti hardware e software
- Deterioramento nel tempo dell’hardware,
- Errori umani
Tutti i trattamenti informatici
Come sopra Procedura attivata 3 mesi, Incaricato
Responsabile dei salvataggi
- Identificazione degli incidenti “eccezionali” dei sistemi informatici:
- black out della società ENEL- corto circuito nell’impianto elettrico- interruzione del servizio della linea
ADSL da parte del Provider- interruzione del servizio telefonico
Tutti i trattamenti informatici
Come sopra Non sono state previste
procedure specifiche
1 anno, Responsabile
dei dati
- Verifica periodica delle procedure di ripristino dei dati
- Supporto rimovibile difettoso- Errore dell’operatore nella procedura
di salvataggio
Tutti i trattamenti informatici
Come sopra Procedura attivata 3 mesi, Incaricato
Responsabile dei salvataggi
43
MISURA RISCHIO CONTRASTATO TRATTAMENTO INTERESSATO
EVENTUALE BANCA DATI
INTERESSATA
MISURA GIÀ IN ESSERE
MISURA DA ADOTTARE
PERIODICITÀ E RESPONSABILIT
À DEI CONTROLLI
- Verifica periodica delle procedure di ripristino dei dati e dei programmi (disaster recovery)
Il salvataggio del disco immagine non risulta utilizzabile
Tutti i trattamenti informatici
Come sopra Procedura attivata 1 anno, Responsabile
dei dati
44
7. CRITERI E MODALITÀ PER IL RIPRISTINO DELLA DISPONIBILITÀ DEI DATI IN SEGUITO A DISTRUZIONE O DANNEGGIAMENTO
Al fine di garantire l’integrità dei dati contro i rischi di distruzione o perdita, è stata definita una procedura di periodica esecuzione di copie di sicurezza dei dati trattati. Sono state perciò acquisite licenze di uso per software antivirus, nonché sistemi di firewall con verifica di idoneità e costante aggiornamento. In ogni caso si osserva che l’istituzione scolastica dispone di un sistema di controllo degli accessi ai locali. I documenti sono anche conservati in copia cartacea presso locali dell’istituzione scolastica non accessibili ai terzi e dotati di adeguati strumenti di protezione (armadi con serrature, stanze protette da inferriate).Con riferimento al contenuto ed alle competenze in tema di copia e verifica, le soluzioni organizzative adottate presso l’istituzione scolastica sono sintetizzate nella seguente tabella:
Tabella 7 Procedure di salvataggio dei dati
Salvataggio CRITERI INDIVIDUATI
PER IL SALVATAGGIO
UBICAZIONE DI CONSERVAZIONE DELLE COPIE
STRUTTURA OPERATIVA INCARICATA DEL SALVATAGGIO
DATABASE DATI SENSIBILI O GIUDIZIARI CONTENUTI
ARGO, CARTELLE DI FILE MS
WORD E MS EXCEL
Posta elettronica
PEC
- dati connessi all’espletamento di procedimenti amministrativi, attività contrattuale, gestione di beni, procedure di bilancio
- dati connessi alla gestione della corrispondenza ricevuta ed inviata dal Dirigente dell’istituzione scolastica; tenuta del protocollo generale con conseguente registrazione della posta, anche elettronica o ricevuta via fax, e delle comunicazioni di ufficio in entrata e in uscita
- dati connessi alla registrazione delle presenze presso l’istituzione scolastica, assenze per malattia, esigenze famigliari, espletamento funzioni politiche o sindacali; aspetti economici e previdenziali: paghe contributi, etc.; raccolta di curricula riguardo a soggetti interessati all’espletamento di funzioni docenti,
- dati connessi alla raccolta delle domande di iscrizione; condizioni sanitarie ed economiche dei destinatari dell’offerta formativa, documentazione concernente opzioni per insegnamenti facoltativi, dati inerenti profili sanitari o relativi al nucleo famigliare dei destinatari dell’offerta formativa, per il riconoscimento di attività di sostegno in ragione di situazioni di disagio, sociale, economico o famigliare, registri relativi alle presenze presso l’istituzione scolastica:
- dati connessi alla composizione degli organi collegiali rappresentativi della comunità servita dall’offerta formativa, convocazione degli organi, raccolta delle delibere, raccolta degli atti concertati con altre istituzioni pubbliche,
Salvataggio dati settimanale
Armadio n. 5 dell’Ufficio del
DSGA
Incaricato Responsabile dei salvataggi
Con riferimento alle procedure di ripristino, l’Istituzione scolastica ha adottato le seguenti modalità
45
Tabella 8 Procedure di ripristino dei dati
RIPRISTINO SCHEDA OPERATIVAPIANIFICAZIONE DELLE PROVE DI
RIPRISTINO
STRUTTURA OPERATIVA INCARICATA
DEL RIPRISTINO
database
ARGOCARTELLE OFFICE
POSTA ELETTRONICA - PEC
PROCEDURA DI SICUREZZA DEI DATI
e allegati
Istruzioni ripristino dati in ambiente Windows
Periodicità TRIMESTRALE, Incaricato
Responsabile dei salvataggi
8. TRATTAMENTI DI DATI PERSONALI SENSIBILI O GIUDIZIARI CON STRUMENTI ELETTRONICI AFFIDATI ALL’ESTERNO.
L’Istituzione scolastica, ha proceduto alla esternalizzazione di taluni trattamenti, secondo modalità conformi a quanto previsto dal d.lgs. n.196 del 2003, procedendo alla nomina di un soggetto esterno quale responsabile del trattamento, limitatamente ai dati e alle operazioni necessari per lo svolgimento delle attività conferite. A tal fine l’Istituzione scolastica ha imposto le cautele indicate in calce alla tabella che segue, affinché il soggetto destinatario adotti le misure di sicurezza richieste dal Codice, ivi incluso il relativo all. B.Per i soggetti indicati nella seguente tabella, l’atto di nomina è allegato al presente DPS.
46
Tabella 9 Trattamenti affidati all’esterno
DESCRIZIONE SINTETICA DATI PERSONALI, SENSIBILI O GIUDIZIARI
INTERESSATI
SOGGETTO ESTERNO DESCRIZIONE DEI CRITERI PER L’ADOZIONE DELLE
MISURE
DATE DELLE VERIFICHE
Assistenza software applicativo: ARGO
Dati contenuti nel database ARGO descritti alla tabella 6 Procedure di salvataggio
Ditta ARGO SOFTWARE
Con lettera n. 1244/Z del 23/02/2010 è stato
richiesto alla Ditta l’impegno al
trattamento dati informatici ai sensi del “Disciplinare
Tecnico” del Decreto Legislativo 196/2003
Vincolo contrattuale, a carico del fornitore esterno, a tenere i comportamenti descritti al
successivo capitolo
Non definite perché l’attività esternalizzata è
marginale in quanto viene
svolta principalmente presso la sede dell’istituzione
scolastica
Assistenza software applicativo:
ARGONORDEST
Dati contenuti nel database ARGO
descritti alla tabella 6 Procedure di
salvataggio
Ditta ARGO SOFTWARE
Con lettera n. 1609/Z del 25/02/2012 è stato
richiesto alla Ditta l’impegno al
trattamento dati informatici ai sensi del “Disciplinare
Tecnico” del Decreto Legislativo 196/2003
Vincolo contrattuale, a carico del fornitore esterno, a tenere i comportamenti descritti al
successivo capitolo
Non definite perché l’attività esternalizzata è
marginale in quanto viene
svolta principalmente presso la sede dell’istituzione
scolastica
Assistenza hardware e software: necessaria per
lo svolgimento delle attività strumentali
finalizzate all’installazione e al buon
funzionamento degli elaboratori, dei
programmi e degli altri strumenti elettronici in
dotazione agli uffici
Dati contenuti nel database ARGO nelle cartelle di OFFICE nella
POSTA ELETTRONICA e nella PEC descritti
alla tabella 6 Procedure di salvataggio
Ditta DESIGN AND CONSULTING
Con lettera n. 1243/Z del 23/02/2010 è stato
richiesto alla Ditta l’impegno al
trattamento dati informatici ai sensi del “Disciplinare
Tecnico” del Decreto Legislativo 196/2003
Come sopra Come sopra
9. VINCOLI CONTRATTUALMENTE ASSUNTI DAL FORNITORE ESTERNO AI FINI DELLA SICUREZZA DEI DATI
L’Istituzione scolastica ha affidato all’esterno, nei termini risultanti dalla sopraindicata tabella, i trattamenti di dati personali sensibili o giudiziari, effettuato con strumenti elettronici, previa assunzione da parte dell’affidatario – nell’ambito dello stesso contratto con cui viene realizzato l’affidamento o con atto aggiuntivo – degli impegni derivanti dalle seguenti dichiarazioni:
1. di essere consapevole che i dati che tratterà nell’espletamento dell’incarico ricevuto, sono dati personali e, come tali sono soggetti all’applicazione del codice per la protezione dei dati personali;
2. di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali;3. di adottare le istruzioni specifiche ricevute per il trattamento dei dati personali e di integrarle
nelle procedure già in essere;4. di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate e di avvertire
immediatamente il proprio committente in caso di situazioni anomale o di emergenze;
47
5. di riconoscere il diritto del committente a verificare periodicamente l’applicazione delle norme di sicurezza adottate.
10. ATTI E DOCUMENTI NON IN FORMATO ELETTRONICO, ARCHIVI CARTACEII trattamenti di dati personali con strumenti diversi da quelli elettronici sono effettuati dagli
incaricati seguendo le istruzioni scritte ad essi impartite, finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. L'aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati ha carattere annuale. Gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti. I medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
L'accesso agli archivi contenenti dati sensibili o giudiziari è consentito solamente alle persone preventivamente autorizzate.
48
C – FORMAZIONE ED ADEGUAMENTO DEL DOCUMENTO
11. PROGRAMMA DEGLI INTERVENTI FORMATIVI DEGLI INCARICATI DEL TRATTAMENTO.
L’istituzione scolastica ha aderito alle iniziative formative organizzate dalla direzione regionale del Ministero dell’Istruzione dell’Università e della Ricerca Scientifica, tenendo anche conto dell’economicità di un’azione organizzata su base regionale, rispetto ad una gestione in proprio delle attività formative. L’istituzione opera integrale rinvio alla programmazione della Direzione regionale, riservandosi comunque di agire in via suppletiva, qualora, per ragione organizzative od economiche, non sia possibile far partecipare il proprio personale alle attività di formazione necessarie per adempiere alle prescrizioni ordinamentali.
Tabella 10 Interventi formativi effettuatiCORSO DI
FORMAZIONE
(OGGETTO)
DESCRIZIONE SINTETICA
DELL’OBIETTIVO FORMATIVO
CLASSI DI INCARICO INTERESSATE
NUMERO DI INCARICATI
INTERESSATI
NUMERO DI INCARICATI GIÀ
FORMATICALENDARIO
Trattamento dei dati presso l’istituto
scolastico
Mantenimento del richiesto grado di
conoscenza dell’intero
impianto della normativa in
materia di privacy, anche ai fini delle
misure di sicurezza da adottare per gli archivi informatici
Il personale: assistenti amministrativi, titolari di
credenziali di autenticazione (codice
identificativo e password riservata personale)
5 513/10/2009
3 ore
Minacce e vulnerabilità nel trattamento dei
dati alla luce del Decreto
Legislativo 196/2003
Spiegazione delle istruzioni operative
Il personale: assistenti amministrativi, titolari di
credenziali di autenticazione (codice
identificativo e password riservata personale)
5 514/10/2009
3 ore
In considerazione dell’aumento del numero del personale sia Assistente Amministrativo che Collaboratore Scolastico non formato, l’istituzione scolastica ha effettuato degli incontri di aggiornamento sulle principali tematiche del D.L. 196/2003 e sul DPS adottato da questo Istituto nelle seguenti date:
5 aprile – 8 aprile – 5 maggio 2011 rivolti agli Assistenti Amministrativi 6 aprile – 7 aprile 2011 rivolti ai Collaboratori Scolastici
e si impegna ad effettuare ulteriori interventi formativi sulle principali tematiche del Decreto Legislativo 196/2003.
12. AGGIORNAMENTO PERIODICO DEL DPSIl presente documento programmatico sulla sicurezza è sottoposto a revisione annuale nella
sua interezza.Di seguito vengono elencate le misure minime della sicurezza evidenziandone la periodicità
di aggiornamento richieste dall’attuale disciplinare tecnico contenuto nell’allegato B) al Codice.
49
Tabella 11 Periodicità delle misure minime della sicurezza
MISURE DA VERIFICARE DESCRIZIONI MISURA TIPOLOGIA
DI DATI CADENZA DIPLINARE TECNICO
DPS Revisione Documento Programmatico della Sicurezza
Dati sensibili e giudiziari
1 anno 19
Trattamento con l’ausilio di strumenti elettronici
Credenziali di autenticazione
Disattivazione in caso di mancato utilizzo dei medesimi per un periodo superiore a 6 mesi
Tutti i dati 6 mesi 7
Credenziali di autenticazione
Disattivazione in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali
Tutti i dati sempre 8
Codice di autenticazione
Una volta assegnato, non può essere assegnato ad altri incaricati Tutti i dati sempre 6
Parola chiavePer il trattamento dei dati personali deve essere modificata ogni sei mesi
Dati comuni 6 mesi 5
Parola chiavePer il trattamento dei dati sensibili deve essere modificata ogni tre mesi
Dati sensibili e giudiziari
3 mesi 5
Profili di autorizzazione
Possono essere individuati per singolo incaricato o per classi omogenee di incaricati
Tutti i dati sempre 13
Profili di autorizzazione
Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione
Tutti i dati 1 anno 14
Lista degli incaricati autorizzati
Può essere redatta anche per classi omogenee di incarichi Tutti i dati 1 anno 15
AntivirusEfficacia ed aggiornamento sono verificati con cadenza almeno semestrale
Tutti i dati 6 mesi 16
Patch o programmi update
Programmi per elaborare volti a correggere i difetti e prevenire la vulnerabilità degli strumenti elettronici
Dati comuni 1 anno 17
Patch o programmi update
Programmi per elaborare volti a correggere i difetti e prevenire la vulnerabilità degli strumenti elettronici
Dati sensibili e giudiziari
6 mesi 17
Backup Salvataggio dei dati con frequenza settimanale Tutti i dati 7 giorni 18
Sistemi antintrusione
Protezione contro l’accesso abusivo nel caso di trattamento di dati
Dati sensibili e
sempre 20
50
MISURE DA VERIFICARE DESCRIZIONI MISURA TIPOLOGIA
DI DATI CADENZA DIPLINARE TECNICO
sensibili giudiziariCustodia dei supporti rimovibili di memorizzazione
Istruzioni organizzative e tecniche per la loro custodia e utilizzo
Dati sensibili e giudiziari
Sempre 21
Riutilizzo dei supporti rimovibili di memorizzazione
Se non utilizzati devono essere distrutti o resi inutilizzabili, controllo sulla non recuperabilità delle informazioni precedentemente contenute
Dati sensibili e giudiziari
Sempre 22
Trattamento senza l’ausilio di strumenti elettronici
Istruzioni scritte Finalizzate al controllo e custodia dei documenti Tutti i dati Sempre 27
Profili di autorizzazione
Individuazione dell’ambito del trattamento consentito agli incaricati, individuati anche per classi omogenee
Tutti i dati 1 anno 27
Procedure di controllo e custodia
Al fine di non consentire l’accesso a persone prive di autorizzazione
Dati sensibili e giudiziari
Sempre 28
Accesso controllato agli archivi
Le persone ammesse dopo l’orario di chiusura devono essere identificate e registrate
Dati sensibili e giudiziari
Sempre 29
Istruzioni scritte
Qualora gli archivi non siano dotati di strumenti elettronici per il controllo degli accessi o di incarichi alla vigilanza
Dati sensibili e giudiziari
Sempre 29
13. ALLEGATI DEL DPS
Gli allegati al presente documento ne formano parte integrante.- PROCEDURA GESTIONE ATTREZZATURE E IMPIANTI e allegati- PROCEDURA DI SICUREZZA DEI DATI e allegati- PROCEDURA DOCUMENTAZIONE ISTITUZIONE SCOLASTICA- Istruzioni Operative salvataggi Windows- Istruzioni per la gestione delle Credenziali di autenticazione e protezione delle cartelle e file- Istruzioni ripristino dati in ambiente Windows- Istruzioni aggiornamento sistema Windows e antivirus
Il presente documento è aggiornato al 14/03/2013
IL TITOLARE DEL TRATTAMENTO Prof.ssa Gabriella Marinaro
51