Il Trattamento dei dati a scuola tra Trasparenza e Riservatezza a cura del d.s.g.a. Benedetto...

Il Trattamento dei dati a scuola tra Trasparenza e Riservatezza a cura del d.s.g.a. Benedetto Sirugo

HA ANCORA SENSO OGGI LA PRIVACY ? informazioni consenso Per privacy sintende comunemente il diritto della persona di impedire che le informazioni che la riguardano siano trattate da altri, se non si sia volontariamente dato il proprio consenso al trattamento dei propri dati. Ma come si fa a parlare di privacy con telefonini che rivelano la nostra posizione anche quando sono spenti ? Che dire poi delle carte di credito o dei bancomat? O ancora dei fastpay o dei telepass autostradali? Inoltre siamo sempre di pi sul web nei social network. Con la condivisione dei file esiste il rischio che la propria privacy possa essere violata. Per la mia generazione la privacy non un valore. Cos Mark Zuckerberg, fondatore di Facebook, in unintervista a Repubblica.

In effetti a chi non piace condividere con gli amici via Facebook tutto ci che facciamo o leggiamo o guardiamo nel Web? Ebbene la nostra privacy a rischio: i pulsanti come Mi piace o Share permettono di tracciare i percorsi della nostra navigazione e il social network sa tutto sulla nostra navigazione. Quindi la privacy ancora un valore? Certo. La privacy deve essere un valore perch un diritto inviolabile un diritto inviolabile posto a garanzia del fatto che ciascuno di noi possa scegliere o meno di esprimere volontariamente ci che , liberamente, nel rispetto delle libert altrui. Se il valore che si d alle informazioni riguardanti la propria persona scarso perch si conoscono solo sommariamente i problemi legati alla materia di sicurezza; allora opportuno fare formazione.

Ma attenzione ! Le INFORMAZIONI alle quali abbiamo accesso per il nostro lavoro si possono RICEVERE ma si possono anche DIVULGARE, Quindi, non solo la nostra Privacy ad essere in pericolo e a dover essere rispettata ma anche quella degli altri. E quindi importante, soprattutto per dei pubblici dipendenti, rispettare e far rispettare il diritto alla riservatezza di alunni, famiglie e colleghi E quindi importante, soprattutto per dei pubblici dipendenti, rispettare e far rispettare il diritto alla riservatezza di alunni, famiglie e colleghi.

Un po di storia La nozione di Privacy ha origini antiche e non ha avuto sempre connotazioni univoche. Nell antica Grecia ad es. era un dovere per i cittadini maschi partecipare alla vita pubblica. La riservatezza fine a s stessa, come vita spesa fuori dal mondo comune, era considerata quasi antisociale tanto che lo stesso Platone riteneva che in una societ ideale non vi fosse alcun bisogno di una sfera privata dove rifugiarsi. Anzi veniva considerato un pretesto per sottrarsi agli obblighi etici e sociali.

In et medievale il termine divenne sinonimo di Familiare. Nella societ feudale il potere pubblico come noi lo conosciamo si frammentava, si disseminava di casa in casa trasformando ogni dimora in un piccolo stato sovrano dove si esercita un potere che, pur essendo limitato ad una famiglia, conservava ugualmente il suo carattere pubblico. La fitta rete di relazioni che collegavano gli individui che ne facevano parte, caratterizzava la societ feudale. Finch non si svilupp il senso di Intimit. Lintimit consentiva allindividuo di distaccarsi dalla vita in comune con i propri associati :

Intimit nel sonno, intimit nei pasti, intimit nel rituale religioso e sociale e infine intimit di pensiero. Ci segna la fine delle reciproche relazioni sociali tra i ranghi inferiori e superiori del regime feudale che port alla sua disgregazione ed allaffermazione della riservatezza nella sua connotazione a noi pi vicina. Questo fu possibile grazie alla progressiva costruzione di uno Stato moderno e lo sviluppo dellalfabetizzazione. Tra il XVIII e il XIX secolo si afferm il cosiddetto Right to privacy cio la privacy in ambito giuridico. Nacque lesigenza di protezione giuridica della personalit di un individuo equiparando la violazione della privacy a quella del domicilio privato.

Il diritto alla Privacy nellordinamento italiano : La tutela generale dellinteresse alla riservatezza trova fondamento negli artt. 3 e 13 della Costituzione. Il primo parla di pari dignit sociale delluomo, il secondo dellinviolabilit della libert della persona. La riservatezza dunque quellinteresse che in base ad una certa valutazione legislativa e sociale risulta fondamentale per lindividuo al quale si riconosce un certo ambito privato dal quale poter escludere laltrui ingerenza e lindiscriminata pubblicizzazione di ci che lo riguarda nellintimo. Il rifiuto di tale riconoscimento finirebbe col menomare gravemente la persona pregiudicando la sua dignit. Definendo la riservatezza un valore essenziale della persona, il diritto alla privacy diventa diritto inviolabile tutelato dallart. 2 della Costituzione

La Repubblica riconosce e garantisce i diritti inviolabili dell'uomo, sia come singolo sia nelle formazioni sociali ove si svolge la sua personalit e richiede l'adempimento dei doveri inderogabili di solidariet politica, economica e sociale.

Il nostro codice civile (approvato con r.d. 16 marzo 1942 n.262) non aveva previsto alcuna norma in tema di trattamento dei dati personali. La riservatezza dellindividuo non godeva di una specifica protezione. Pertanto non veniva tutelata I giudici chiamati a pronunciarsi in merito allesistenza di un diritto ad un risarcimento, rispetto a lamentate violazioni della riservatezza, poich essa non godeva di una specifica protezione, concludevano che non poteva affermarsi alcun diritto al risarcimento del danno. Lemersione di un diritto soggettivo al controllo sulle informazioni, riguardanti s medesimo, ma detenute da altri, si avuto con lapprovazione della legge 31 /12 /96 n.675. Tale disposizione (meglio nota come legge sulla privacy) stata introdotta nel nostro sistema giuridico in attuazione di una Direttiva comunitaria (la Dir. 95/46 del 24 ottobre 1995)

In Italia si quindi dovuto attendere il 1996 per avere una normativa che si occupasse del trattamento dei dati personali con la Legge 675. Questa esigenza di riservatezza, mutevole nel tempo, aumenta in modo direttamente proporzionale alla diffusione dei computer ed alla necessit di limitare laccesso indiscriminato alle banche dati in essi contenute. Ci ha provocato ladeguamento della normativa relativa. Cos Il 30 giugno 2003 viene approvato il decreto legislativo n. 196, recante il Codice in materia di protezione dei dati personali Da esso emerge con chiarezza il ruolo centrale assunto dal consenso del titolare dei dati e il carattere sanzionatorio della norma in caso di violazioni delle disposizioni in esso contenute. Si codifica che il trattamento dei dati personali integra un valore immanente a qualsiasi attivit pubblica e nellart. 11, comma 2 si precisa che: i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali, non possono essere utilizzati .

Il rispetto delle forme dellazione dellamministrazione costituisce un elemento essenziale nella valutazione dei comportamenti degli apparati pubblici essendo prioritaria rispetto alle valutazioni sul merito. Quindi Unattivit -seppur meritoria ed opportuna -pu essere censurata, in quanto realizzata in virt di un trattamento illecito dei dati. ( Es. lesclusione dalle graduatorie per la L.104)

Costituzione Italiana, artt. 2, 3 e 13 Art. 2 La Repubblica riconosce e garantisce i diritti inviolabili dell'uomo, sia come singolo, sia nelle formazioni sociali ove si svolge la sua personalit, e richiede l'adempimento dei doveri inderogabili di solidariet politica, economica e sociale. Art. 3 Tutti i cittadini hanno pari dignit sociale e sono eguali davanti alla legge, senza distinzione di sesso, di razza, di lingua, di religione, di opinioni politiche, di condizioni personali e sociali. compito della Repubblica rimuovere gli ostacoli di ordine economico e sociale, che, limitando di fatto la libert e la uguaglianza dei cittadini, impediscono il pieno sviluppo della persona umana e l'effettiva partecipazione di tutti i lavoratori all'organizzazione politica, economica e sociale del Paese. Art. 13 La libert personale inviolabile

(art.1) Chiunque ha diritto alla protezione dei dati personali che lo riguardano (art.2)Il presente testo unico, di seguito denominato "codice", garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libert fondamentali, nonch della dignit dell'interessato, con particolare riferimento alla riservatezza, all'identit personale e al diritto alla protezione dei dati personali

Art. 1. Oggetto del regolamento 1. Il presente regolamento, identifica nelle schede allegate, le tipologie di dati sensibili e giudiziari e di operazioni indispensabili per la gestione del sistema dell'istruzione, nel perseguimento delle finalit di rilevante interesse pubblico individuate dal codice e dalle specifiche previsioni di legge.

Si tratta di Atti di Indirizzo, Interpretazioni del Garante della Privacy su specifici argomenti e in specifici settori. Es. come comportarsi con i temi a scuola,o come conciliare la trasparenza nel sito della scuola col rispetto della privacy

una pluralit di informazioni Lattivit di una qualsiasi amministrazione pubblica, comporta, inevitabilmente, lelaborazione di una pluralit di informazioni assunte mediante strumenti cartacei e successivamente rielaborate mediante strumenti elettronici Tali informazioni sono, nella maggior parte dei casi, assunte mediante strumenti cartacei e successivamente rielaborate mediante strumenti elettronici

Perseguiti dallamministrazione scolastica implica l acquisizione di dati concernenti : i lavoratori impegnati nelle attivit di istruzione, di amministrazione e di collaborazione - i lavoratori impegnati nelle attivit di istruzione, di amministrazione e di collaborazione i beneficiari delle prestazioni : gli studenti le proprie famiglie, i fornitori di beni e servizi. - i beneficiari delle prestazioni : gli studenti le proprie famiglie, i fornitori di beni e servizi.

delle informazioni ricevute per fini istituzionali, devono perci avvenire : - Nel rispetto delle norme e dei valori assunti dal nostro sistema - Con la possibilit di controllare la circolazione delle informazioni di cui si viene in possesso.

Qualunque trattamento di dati personali da parte di soggetti pubblici consentito soltanto per lo svolgimento delle funzioni istituzionali delle funzioni istituzionali. Nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti stabiliti dal codice, anche in relazione alla diversa natura dei dati, nonch dalla legge e dai regolamenti. .. Il trattamento dei dati sensibili da parte di soggetti pubblici Consentito solo se autorizzato da espressa disposizione di legge

Art. 15 Danni cagionati per effetto del trattamento 1.Chiunque cagiona danno ad altri per effetto del trattamento di dati personali tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. 2.Il danno non patrimoniale risarcibile anche in caso di violazione dellarticolo 11. Art. 11. Modalit del trattamento e requisiti dei dati 1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza;b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento intermini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalit per le quali sono raccolti o successivamente trattati;e) conservati in una forma che consenta lidentificazione dellinteressato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.

Il trattamento dei dati viene qualificato come esercizio di attivit pericolosa (art. 2050 c.c.) QUINDI Vale il principio dellinversione dellonere della prova. Attenzione: laver adottato le misure minime evita sanzioni amministrative o penali, ma non esime da un eventuale risarcimento danni !!! Alcuni consigli Massima discrezione Pochi scambi informativi tra colleghi. Pochi scambi informativi tra colleghi. Nessuno scambio informativo con lesterno Nessuno scambio informativo con lesterno

reati non informatici il ricorso alla tecnologia informatica non determinante per il compimento dell'atto. Alcuni esempi: ingiuria; diffamazione; minacce e molestie; trattamento illecito dei dati personali e violazione della privacy; violazione dei diritti d'autore.

reati informatici ricorso alla tecnologia informatica determinante per il compimento dell'atto. Alcuni esempi: accesso abusivo ad un sistema informatico e telematico, accesso abusivo ad un sistema informatico e telematico, diffusione di programmi diretti a danneggiare o interrompere un sistema; diffusione di programmi diretti a danneggiare o interrompere un sistema; danneggiamento informatico, danneggiamento informatico, detenzione abusiva di codici di accesso a sistemi informatici o telematici; detenzione abusiva di codici di accesso a sistemi informatici o telematici; frode informatica. frode informatica.

SANZIONI AMMINISTRATIVE Art. 161 Informativa all'interessato omessa o non idonea: da 3.000 a 18.000 (da 5.000 a 30.000 nei casi di dati sensibili o giudiziari), (e fino al triplo) Omessa informativa per dati sensibili o giudiziari o in caso di trattamenti che presentano rischi specifici o di maggiore rilevanza o di pregiudizio Sanzione da 5.000 a 30.000 Art. 161 Informativa all'interessato omessa o non idonea: da 3.000 a 18.000 (da 5.000 a 30.000 nei casi di dati sensibili o giudiziari), (e fino al triplo) Omessa informativa per dati sensibili o giudiziari o in caso di trattamenti che presentano rischi specifici o di maggiore rilevanza o di pregiudizio Sanzione da 5.000 a 30.000

Art. 162. Altre fattispecie 1. La cessione dei dati in violazione di quanto previsto dall'articolo 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali punita con la sanzione amministrativa del pagamento di una somma da cinquemila euro a trentamila euro. 2. La violazione della disposizione di cui all'articolo 84, comma 1, punita con la sanzione amministrativa del pagamento di una somma da cinquecento euro a tremila euro.

Art. 163. Omessa o incompleta notificazione 1. Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell'ordinanza- ingiunzione, per intero o per estratto, in uno o pi giornali indicati nel provvedimento che la applica. Art 164 Omessa informazione o omessa esibizione dei documenti richiesti dal Garante: da 4.000 a 24.000 . Art 164 Omessa informazione o omessa esibizione dei documenti richiesti dal Garante: da 4.000 a 24.000 .

SANZIONI PENALI Art 167 Trattamento illecito di dati personali: reclusione da 6 mesi a 3 anni. Art 168 False dichiarazioni o comunicazioni al Garante: reclusione da 6 mesi a 3 anni. Art 169 Omessa adozione misure minime di sicurezza: arresto fino a 2 anni o sanzione amministrativa, pagamento di una somma da 10.000 a 50.000 . Art 170 Inosservanza dei provvedimenti del Garante: reclusione da 3 mesi a 2 anni.

Art. 4-Definizioni Art. 5-Oggetto e ambito di applicazione Artt. 28-30-Soggetti che effettuano il trattamento Artt. 33-35-Misure minime di sicurezza - Disciplinare tecnico allegato B Artt. 95-96 Istruzione Artt. 161,167,169,170-Sanzioni

Cos il Trattamento dei dati Art. 4. Definizioni Art. 4. Definizioni 1. Ai fini del presente codice si intende per: 1. Ai fini del presente codice si intende per: a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modifica, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modifica, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;

I profili oggettivi: i dati.ai sensi dellart.4 del Codice i dati oggetto di trattamento si distinguono in sensibili giudiziari personali identificativi

I dati costituiscono le informazioni inerenti individui, persone giuridiche, enti o associazioni, usualmente utilizzati dallamministrazione per le funzioni distituto. La cura delle funzioni istituzionali implica necessariamente lacquisizione e lelaborazione di dati, quindi, come gi osservato, si pu affermare che non pu curarsi linteresse pubblico senza trattare dati personali.

I dati personali Ai sensi dellart.4, comma 1, lett.b) del Codice, integra "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Lett. c) "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato; Eun dato personale ogni informazione, relativa ad un individuo o una persona giuridica, ente o associazione che permetta l'identificazione diretta dell'interessato. Alla luce di siffatta definizione, evidente che, la maggior parte delle informazioni attinenti agli individui o alle persone giuridiche, enti o associazioni, debbano ricondursi nellambito dei dati personali.

I dati sensibili Art. 4 lett. d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonch i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

Il legislatore ha caratterizzato i dati sensibili, identificandoli come i dati personali espressivi dei valori qualificanti la personalit dell individuo o del gruppo. Non si hanno quindi distinzioni fra individui e collettivit, pi o meno organizzate: le informazioni inerenti i convincimenti di un gruppo godono della medesima tutela delle corrispondenti informazioni relative al singolo. ma non per questo lamministrazione pu esautorare la normativa esistente per i dati sensibili. Linteressato cui si riferiscono le informazioni, pu anche non prestare alcuna attenzione alla riservatezza delle stesse, ostentando addirittura i valori in cui si riconosce (si pensi allesibizione di una spilla raffigurante un logo sindacale o politico), ma non per questo lamministrazione pu esautorare la normativa esistente per i dati sensibili.

Il dato conserva la sua qualit a prescindere dalla sua conoscibilit per fatto dellinteressato. Anche linattualit del dato non incide sulle condizioni del trattamento. Si pensi allappartenenza ad unorganizzazione sindacale di un lavoratore che si sia, successivamente, dissociato dalla linea dellorganizzazione, ma non abbia informato lamministrazione. Lapparato pubblico comunque tenuto a proteggere il dato sensibile, anche qualora il lavoratore non condivida pi i valori insiti nel dato stesso Lapparato pubblico comunque tenuto a proteggere il dato sensibile, anche qualora il lavoratore non condivida pi i valori insiti nel dato stesso

Sul punto si pronunciato il Garante per la protezione dei dati personali, con riferimento alle riprese video ed alle fotografie raccolte dai genitori, durante recite e saggi scolastici. Il Garante ha espressamente sancito che le riprese, sebbene possano avere ad oggetto minori con disabilit fisiche, non violano la privacy,in quanto non destinate a diffusione, ma raccolte per fini personali e destinate ad un ambito familiare o amicale. Il Garante ha espressamente sancito che le riprese, sebbene possano avere ad oggetto minori con disabilit fisiche, non violano la privacy,in quanto non destinate a diffusione, ma raccolte per fini personali e destinate ad un ambito familiare o amicale. Garante per la protezione dei dati personali, Newsletters dell8-21 dicembre

Dalla pronuncia, per converso, si deduce che le suddette immagini, qualora fossero raccolte dallistituzione scolastica, per fini promozionali (archiviazione nel sito istituzionale) o commerciali (vendita delle videocassette relative alle stesse recite, ovvero produzione e vendita di calendari con le immagini delle classi), coinvolgendo minori e raffigurando, eventualmente, anche portatori di disabilit varie, dovrebbero essere precluse, in quanto non afferenti allofferta formativa.

I dati giudiziari Lart.4, comma 1, lett. e) del Codice, qualifica come dati giudiziari, i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualit di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. Tale definizione circoscrive le informazioni da assoggettarsi alla pi stringente disciplina dei dati giudiziari.

LINTERESSATO O LA PERSONA PRESSO LA QUALE SONO RACCOLTI I DATI PERSONALI SONO PREVIAMENTE INFORMATI ORALMENTE O PER ISCRITTO.

I dati dellinteressato possono essere usati a seconda dei vari casi con o senza il suo consenso

Consenso(Art. 23) 1. ammesso solo con il consenso espresso 2. Il consenso validamente prestato solo 1. se espresso liberamente 2. se documentato per iscritto 3. se sono state rese all'interessato le informazioni di cui all'articolo 13. 3. in forma scritta quando il trattamento riguarda dati sensibili (e ricordarsi che occorre la notifica!!!)

45 In alcuni casi il trattamento pu essere effettuato senza il consenso degli interessati. Il consenso non sempre necessario

46 Il consenso non necessario se I dati sono stati raccolti e sono conservati perch cos prescrive la legge o un regolamento o una norma comunitaria.

47 Il consenso non necessario Quando il trattamento necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza.

48 Il consenso non necessario se Il trattamento di dati necessario per adempiere agli obblighi previsti da un contratto.

49 Il consenso non necessario se I dati sono ricavati da pubblici registri, atti o documenti che chiunque pu conoscere.

50 Linformativa In tutti gli altri casi si deve informare linteressato dei trattamenti che si vogliono effettuare con una informativa.

51 Nellinformativa necessario specificare Quali sono gli scopi e le modalit del trattamento Se l'interessato obbligato o no a fornire i dati Quali sono le conseguenze se i dati non vengono forniti

52 Nellinformativa necessario specificare I soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualit di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi

53 Nellinformativa necessario specificare Quali sono i diritti riconosciuti all'interessato

54 Nellinformativa necessario specificare Se i dati sono presso l'interessato, oppure presso terzi

55 Nellinformativa necessario specificare Chi sono il titolare e il responsabile del trattamento e dove sono raggiungibili (indirizzo, telefono, fax ecc.). Se il titolare ha designato pi responsabili indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalit attraverso le quali conoscibile in modo agevole lelenco aggiornato dei responsabili. informativa

56 Nellinformativa necessario specificare I diritti dellinteressato Previsti dallart. 7 e le modalit di ricorso al Garante in caso di Trattamento dei dati contrastante Con la norma vigente

La legge sulla privacy riconosce all'interessato alcuni importanti diritti nel trattamento dei propri dati personali

58 Definizione di Interessato Linteressato la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali

59 Il diritto di accesso ai propri dati personali direttamente presso chi li detiene (titolare del trattamento) - ossia il diritto di ottenere la conferma della loro esistenza e la loro comunicazione e di sapere da dove sono stati acquisiti e quali sono i criteri e gli scopi del trattamento, in questo caso il titolare pu chiedere il pagamento di una somma ("contributo spese") se non detiene dati dell'interessato. Il diritto di accessoai propri dati

60 Il diritto di ottenere la cancellazione o il blocco di dati che sono trattati violando la legge (ad esempio, perch non stato chiesto il consenso). Tali diritti possono essere esercitati anche quando non ci sono pi motivi validi per conservare i dati Il diritto di ottenere la cancellazione o il blocco

61 Il diritto di aggiornare, correggere o integrare i dati inesatti e incompleti. Il diritto di aggiornare i dati inesatti

62 Il diritto di opporsi, per motivi legittimi, al trattamento dei propri dati. Il diritto di opporsi al trattamento dei propri dati

63 Il diritto di opporsi al trattamento dei propri dati per scopi di informazione commerciale o per l'invio di materiale pubblicitario o di vendita diretta, oppure per ricerche di mercato Il diritto di opporsi al trattamento dei propri dati per scopi commerciali

ll Titolare ll Titolare Il Responsabile Il Responsabile Lincaricato Lincaricato Il Garante Il Garante Il RESPONSABILE del Sistema informativo Il RESPONSABILE del Sistema informativo ( d.lgs. 39/93 Norme in materia di sistemi informativi automatizzati delle PA )

IL TITOLARE Lart.4, comma 1, lett. f) del Codice delinea la figura del titolaredel trattamento quale: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalit, alle modalit del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.

Lart.29, comma 5 del Codice che, al fine di precisare i rapporti fra titolare e responsabile del trattamento, dispone che: Lart.29, comma 5 del Codice che, al fine di precisare i rapporti fra titolare e responsabile del trattamento, dispone che: il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni e delle proprie istruzioni. il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni e delle proprie istruzioni.

Da ci si evince che: il titolare deve impartire istruzioni il medesimo deve procedere a verifiche periodiche al fine di assicurare il rispetto delle prescrizioni dirette a disciplinare il trattamento dei dati

Il titolare l'entit nel suo complesso (ad esempio, la societ, il ministero, l'ente pubblico, ecc..) taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volont o che sono legittimati a manifestarla all'esterno (ad esempio, l'amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.).

Lintestazione della qualit di titolare del trattamento dei dati personali in capo allistituzione scolastica, allAmbito Terr., allUSR, al Dipartimento ministeriale, implica che le attivit connesse a tale ruolo(ossia ladozione di istruzioni e la vigilanza) debbano essere esercitate da chi legittimato a manifestare la volont dellistituzione scolastica, ossia, rispettivamente, il Dirigente scolastico, il Dirigente dellAmbito Territoriale, il Direttore regionale, il Capo Dipartimento. Lintestazione della qualit di titolare del trattamento dei dati personali in capo allistituzione scolastica, allAmbito Terr., allUSR, al Dipartimento ministeriale, implica che le attivit connesse a tale ruolo(ossia ladozione di istruzioni e la vigilanza) debbano essere esercitate da chi legittimato a manifestare la volont dellistituzione scolastica, ossia, rispettivamente, il Dirigente scolastico, il Dirigente dellAmbito Territoriale, il Direttore regionale, il Capo Dipartimento.

Tali soggetti dovranno quindi attivarsi per garantire il rispetto delle prescrizioni vigenti, assumendosi altres le (proprie) responsabilit rispetto a comportamenti omissivi e/o negligenti. Tali soggetti dovranno quindi attivarsi per garantire il rispetto delle prescrizioni vigenti, assumendosi altres le (proprie) responsabilit rispetto a comportamenti omissivi e/o negligenti.

Il responsabile del trattamento Lart.4, comma 1, lett. g) del Codice, precisa che per responsabile del trattamento", deve intendersi la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.

Il responsabile designato dal titolare facoltativamente. Se designato, il responsabile individuato tra soggetti che per esperienza, capacit ed affidabilit forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Ove necessario per esigenze organizzative, possono essere designati responsabili pi soggetti, anche mediante suddivisione di compiti. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare

Tali disposizioni inducono a ritenere che: ove si ha un trattamento dei dati, mentre sempre individuabile un titolare, non necessariamente si ha un responsabile la designazione del responsabile deve essere formalizzata(atto del preporre)

Lindividuazione del responsabile, presso gli apparati scolastici, integra una valutazione del Dirigente scolastico, fondata sullesame delle funzioni espletate dal personale in servizio presso listituzione. Direttore dei Servizi Generali Amministrativi (D.S.G.A.) lattribuzione al medesimo della qualit di responsabile del trattamento, appare come ipotesi pi accreditata.

Lincaricato del trattamento Ai sensi dellart.4, comma 1, lett. h) del Codice, possono qualificarsi come "incaricati", solo le persone fisiche autorizzate a compiere operazioni di trattamento dei dati dal titolare o dal responsabile. Lart.30 del Codice, a sua volta, precisa che: Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorit del titolare o del responsabile, attenendosi alle istruzioni impartite La designazione effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unit per la quale individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unit medesima

Da tali definizioni si evince che: ove si ha un trattamento dei dati, mentre sempre individuabile un titolare, non necessariamente si ha un incaricato Lincaricato deve essere designato o dal responsabile o dal titolare del trattamento La designazione non necessariamente nominativa potendosi procedere ad una designazione impersonale, ossia nei confronti di tutti gli addetti ad ununit

Lindividuazione degli incaricati costituisce una scelta ponderata sulla base dei compiti e della collocazione nella struttura, di competenza del titolare e/o del responsabile.

Laffermazione contenuta nella Direttiva PCM- DFP n.1 del 2005, secondo cui gli incaricati sarebbero i soli che possono materialmente effettuare le operazioni di trattamento di dati personali, deve essere interpretata nel senso che . . oltre al titolare ed al responsabile, gli incaricati sono gli unici soggetti legittimati a trattare dati personali allinterno degli apparati pubblici.

Il Codice ammette di qualificare come incaricati tutti gli addetti impegnati presso una certa struttura (es.: la segreteria dellistituto, ovvero lufficio relativo al personale o la ragioneria ..)

Il personale docente tratta dati dellalunno ( registro di classe, del prof., scheda alunno, notizie dellalunno diversamente abile, gli elaborati) Pertanto il docente viene incaricato del trattamento dei dati Gli incaricati dovranno attenersi alle misure di sicurezza previste dal codice ed alle ulteriori direttive ed istruzioni adottate dallIstituzione Scolastica, in armonia con quanto previsto nel DPS(Documento Programmatico sulla Sicurezza)

IL GARANTE - www.garanteprivacy.it 1. Opera in piena autonomia e con indipendenza 2. E organo collegiale costituito da quattro componenti esperti di riconosciuta competenza delle materie del diritto o dell'informatica, 3. I componenti eleggono nel loro ambito un presidente, 4. Il presidente e i componenti durano in carica quattro anni e non possono essere confermati per pi di una volta; 5. il presidente e i componenti non possono esercitare, a pena di decadenza, alcuna attivit professionale o di consulenza, n essere amministratori o dipendenti di enti pubblici o privati, n ricoprire cariche elettive.

RESPONSABILE del Sistema informativo dlgs 39/93 Norme in materia di sistemi informativi automatizzati delle PA E il referente cui compete la pianificazione degli interventi di automazione e lindividuazione delle misure di sicurezza informatica L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacit e affidabilit del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29.

Gli Incarichi LINEE GUIDA IN MATERIA DI SICUREZZA PER IL DOCENTE INCARICATO DEL TRATTAMENTO Vengono di seguito indicate le misure operative da adottare per garantire la sicurezza dei dati personali e, in particolare, dei dati sensibili e giudiziari: - Custodire in apposito armadio dotato di serratura nella stanza individuata come sala professori delledificio i seguenti documenti: 1-Registro personale 2-Certificati medici esibiti dagli alunni a giustificazione delle assenze 3-Qualunque altro documento contenente dati personali o sensibili degli alunni

Verificare la corretta funzionalit dei meccanismi di chiusura dellarmadio, segnalando tempestivamente al responsabile di sede eventuali anomalie. - Consegnare il registro di classe al collaboratore scolastico incaricato, al termine delle attivit didattiche giornaliere, per la sua custodia in apposito armadio dotato di serratura nella stanza individuata come sala professori delledificio. - Seguire le istruzioni del docente responsabile dellaula di informatica. - Seguire le istruzioni del docente responsabile di sede nel caso di trattamento dei dati personali per fini diversi da quelli relativi ai punti 1 e 2. - Tutte le comunicazioni indirizzate agli uffici della sede centrale, ad altro personale della scuola e al dirigente scolastico debbono essere consegnate in busta chiusa al responsabile di sede o al protocollo della sede centrale. Non consentito, se non espressamente autorizzato, lutilizzo del fax, della posta elettronica e dei collegamenti alla rete internet per il trattamento dei dati personali.

Per i docenti che utilizzano laula di informatica (nel caso di trattamento di dati personali) e per il responsabile dellaula di informatica: Seguire le seguenti istruzioni operative per lutilizzo dei personal computers : Non lasciare floppy disk, cartelle o altri documenti a disposizione di estranei; Non consentire laccesso ai dati a soggetti non autorizzati; Riporre i supporti in modo ordinato negli appositi contenitori e chiudere a chiave classificatori e armadi dove sono custoditi;

Scegliere una password con le seguenti caratteristiche: originale composta da otto caratteri che contenga almeno un numero che non sia facilmente intuibile, evitando il nome proprio, il nome di congiunti, date di nascita e comunque riferimenti alla propria persona o lavoro facilmente ricostruibili curare la conservazione della propria password ed evitare di comunicarla ad altri; cambiare periodicamente (almeno una volta ogni tre mesi) la propria password;

modificare prontamente (ove possibile) la password assegnata dal custode delle credenziali; trascrivere su un biglietto chiuso in busta sigillata e controfirmata la nuova password e consegnarla al custode delle credenziali; spegnere correttamente il computer al termine di ogni sessione di lavoro; non abbandonare la propria postazione di lavoro senza aver spento la postazione di lavoro o aver inserito uno screen saver con password; comunicare tempestivamente al Titolare o al Responsabile qualunque anomalia riscontrata nel funzionamento del computer;

utilizzare le seguenti regole per la posta elettronica: non aprire documenti di cui non sia certa la provenienza non aprire documenti di cui non sia certa la provenienza non aprire direttamente gli allegati ma salvarli su disco e controllarne il contenuto con un antivirus non aprire direttamente gli allegati ma salvarli su disco e controllarne il contenuto con un antivirus controllare accuratamente lindirizzo dei destinatario prima di inviare dati personali controllare accuratamente lindirizzo dei destinatario prima di inviare dati personali

91 DIRIGENTE SCOLASTICO Docenti Collaboratori Consiglio distituto Direttore amministrativo Docenti Assistenti Amministrativi Collaboratori Scolastici

92 Area personale Contabilit Direttore amministrativo Area didattica Area affari generali

93 Le aree di trattamento Didattica Dati relativi agli alunni Personale Gestione del personale Contabilit Stipendi Archivi relativi ai fornitori Affari generali Protocollo Archivio Rapporti con enti e imprese

94 DATI PERSONALI Cartaceo Fascicolo personale Curriculum studi Dati personali Dati dei genitori Fotografia Registro iscrizioni Registro tasse scolastiche Registro certificati Registro diplomi Area didattica / Dati relativi agli alunni

95 DATI SENSIBILI Cartaceo Cittadinanza Convinzione religiosa Stato di salute Situazione di handicap Vaccinazioni Art.22 comma 7: i dati relativi allo stato di salute sono conservati separatamente da altri dati personali Area didattica / Dati relativi agli alunni

96 COMUNICAZIONE dati personali Cartaceo Elenchi di classe Elenchi elettorali Registri di classe Registro del professore Registro dei consigli di classe Registro dei voti Registro esiti esami e idoneit Area didattica / Dati relativi agli alunni

97 COMUNICAZIONE dati personali Cartaceo Invio registri Ambito Territoriale Pratica Infortuni (INAIL Assicurazione Pubblica Sicurezza) Pratiche Viaggi istruzione (passaporto collettivo visto) Documentazione viaggi studio (foto + dati personali) Area didattica / Dati relativi agli alunni

98 COMUNICAZIONE dati sensibili Cartaceo Diagnosi Funzionale>Docenti Gruppo Handicap Stato di salute> Personale di mensa Docenti Ed.Fisica Convinzioni religiose>Docenti Consiglio Classe Docenti mensa Area didattica / Dati relativi agli alunni

99 DIFFUSIONE DATI Cartaceo Finalit Istituzionali> elenchi di classe > esiti scrutini ed esami Finalit non Istituzionali> privati N.B.= Art. 96 si possono diffondere solo su richiesta degli interessati Area didattica / Dati relativi agli alunni

100 CUSTODIA Archivio> presso lufficio didattica Archivio> luogo dove si conservano i dati Dati informatici backup (disco da conservare in cassaforte) Area didattica / Dati relativi agli alunni

101 SOGGETTI COINVOLTI Area didattica / Dati relativi agli alunni Dirigente Scolastico Collaboratori del D.S. Direttore SGA Assistenti Amministrativi Area Didattica Docenti Tecnici informatica ( password chiave dingresso dati) Collaboratori Scolastici

102 DATI PERSONALI Area personale / Gestione del personale Cartaceo Fascicolo personale Dati personali Dati dei familiari Servizio prestato Curricolo studi Aggiornamento e Formazione

103 DATI SENSIBILI Cartaceo Cittadinanza Convinzione religiosa Iscrizione sindacati Stato di salute Situazione di handicap Situazioni familiari Procedimenti disciplinari Art.22 comma 7: i dati relativi allo stato di salute sono conservati separatamente da altri dati personali Area personale / Gestione del personale

104 COMUNICAZIONE dati personali Cartaceo Elenchi del personale Elenchi elettorali Registro dei consigli di classe Registro dei voti Registro esiti esami e idoneit Pratiche viaggi istruzione Invio dati al CSA INPS INPDAP Servizi Vari (MEF) Ragioneria (MEF) Altre scuole Area personale / Gestione del personale

105 COMUNICAZIONE dati sensibili Cartaceo Pratica infortuni>INAIL Assicurazione Pubbl. Sicurezza Stato di salute> Personale di Mensa ASL per accertamenti Convinzioni religiose>Dirigente Scolastico (orario/altro) Mensa Area personale / Gestione del personale

106 DIFFUSIONE DATI Cartaceo Finalit non Istituzionali> privati N.B.= Art.96 si possono diffondere solo su richiesta degli interessati Organigramma nominativo Graduatorie Piano lavoro personale ATA Contratti Nomine / Incarichi nominativi Finalit istituzionali Area personale / Gestione del personale

107 CUSTODIA Archivio> presso lufficio del personale Archivio> luogo dove si conservano i dati Dati informatici backup (disco da conservare in cassaforte) Area personale / Gestione del personale

108 SOGGETTI COINVOLTI Dirigente Scolastico Collaboratori del D.S. Direttore SGA Assistenti Amministrativi Area Personale Tecnici informatica ( password chiave dingresso dati) Collaboratori Scolastici Area personale / Gestione del personale

109 DATI PERSONALE Area Contabilit / Stipendi Dati personali Dati nucleo familiare Situazioni stipendiali Ritenuta sindacale Esistenza particolari situazioni (pignoramenti, assegni mantenimento, cessioni ecc) Cedola stipendi e accessori Registro stipendi

110 COMUNICAZIONE dati personale Cartaceo INPS ex INPDAP SERVIZI VARI (MEF) RAGIONERIA (MEF) Altre scuole Area Contabilit / Stipendi

111 ALTRI DATI TRATTATI Area Contabilit Area affari generali Protocollo, archivio, rapporti con enti e imprese. Anagrafe prestazioni (personale interno ed esterno) Contratti o convenzioni con soggetti esterni Elenco fornitori

112 CUSTODIA Area Contabilit / Stipendi & Archivi relativi ai fornitori Archivio> presso lufficio amministrativo Archivio> luogo dove si conservano i dati Dati informatici backup (disco da conservare in cassaforte)

113 SOGGETTI COINVOLTI Dirigente Scolastico Collaboratori del D.S. Direttore SGA Assistenti Amministrativi Area Amministrativa e Affari Generali Tecnici informatica ( password chiave dingresso dati) Assistenti Tecnici Collaboratori Scolastici Area Contabilit / Stipendi & Archivi relativi ai fornitori

114 Privacy ed accesso ai documenti Lart. 24 c.3 della legge 241/90 stato integrato dallart. 176 del Codice il quale prevede che dopo le parole mediante strumenti Informatici sono inserite le seguenti fuori dei casi di accesso a dati personali da parte della persona a cui i dati si riferiscono

115 Art. 59 Fatto salvo quanto previsto dall'articolo 60, i presupposti, le modalit, i limiti per l'esercizio del diritto di accesso a documenti amministrativi contenenti dati personali, e la relativa tutela giurisdizionale, restano disciplinati dalla legge 7 agosto 1990, n. 241, e successive modificazioni e dalle altre disposizioni di legge in materia, nonch dai relativi regolamenti di attuazione, anche per ci che concerne i tipi di dati sensibili e giudiziari e le operazioni di trattamento eseguibili in esecuzione di una richiesta di accesso. Le attivit finalizzate all'applicazione di tale disciplina si considerano di rilevante interesse pubblico.

116 Art. 60 Quando il trattamento concerne dati idonei a rivelare lo stato di salute o la vita sessuale, il trattamento consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi di rango almeno pari ai diritti dell'interessato, ovvero consiste in un diritto della personalit o in un altro diritto o libert fondamentale e inviolabile.

117 Art. 67 1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalit di: a) verifica della legittimit, del buon andamento, dell'imparzialit dell'attivit amministrativa, nonch della rispondenza di detta attivit a requisiti di razionalit, economicit, efficienza ed efficacia per le quali sono, comunque, attribuite dalla legge a soggetti pubblici funzioni di controllo, di riscontro ed ispettive nei confronti di altri soggetti; b) accertamento, nei limiti delle finalit istituzionali, con riferimento a dati sensibili e giudiziari relativi ad esposti e petizioni, ovvero ad atti di controllo o di sindacato ispettivo di cui all'articolo 65, comma 4. Revisori dei conti

118 Art. 68 Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalit di applicazione della disciplina in materia di concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni. 2. Si intendono ricompresi fra i trattamenti regolati dal presente articolo anche quelli indispensabili in relazione: a) alle comunicazioni, certificazioni ed informazioni previste dalla normativa antimafia..

Richiesta di informazioni del genitore Non chiudere la porta alla famiglia; Mediazione 1: chiacchierata informale e generica con il genitore,utile per apprendere elementi sufficienti per esercitare la sua funzione; Mediazione 2: dirottare la richiesta su un docente particolarmente stimato dallalunno e dalla famiglia; Mediazione 3: attenuare il contrasto utilizzando equilibrio e diplomazia, evidenziando la situazione dellalunno e il contestuale diritto del genitore obbligato al mantenimento.

Richiesta di accesso del genitore Occorre richiesta formale di accesso motivata (interesse concreto ed effettivo); notifica al controinteressato (completezza del contraddittorio in un giudizio di accesso coinvolgente la riservatezza di terzi giur. non univoca sul carattere impugnatorio del giudizio) Operare sempre bilanciamento degli interessi; Allobbligo di mantenimento collegato il diritto di conoscere il comportamento del figlio in ordine alle materie oggetto della prestazione (mantenimento, educazione, istruzione). Il genitore agisce anche per ottemperare al suo dovere di garantire unadeguata istruzione al figlio Lobbligo di mantenimento si affievolisce in caso di comprovato atteggiamento di inerzia del maggiorenne (TAR Bari Sez. Prima sentenza n2782/2003)

Visita ispettiva -Segnalazione dei genitori La difesa degli interessi incisi dallattivit amministrativa non pu prescindere dalla conoscenza anche degli atti dei terzi che ne hanno costituito il presupposto (cfr. C.d.S., Sez. VI, 22.1.2001) TAR Piemonte (Sentenza n716, del 18 novembre 1999): accesso integrale agli atti del procedimento disponendo loscuramento dei nominativi dei genitori; La disposizione presa in chiave di bilanciamento degli interessi; Tutelare coloro che hanno sollecitato, con il proprio esposto, lazione repressiva o ispettiva, onde evitare possibili comportamenti ritorsivi (TAR Lombardia - Milano, Sez IV dell08-11-2004, n5716)

Richiesta di accesso ai registri scolastici La conoscenza dei documenti necessaria per curare o difendere i propri interessi giuridici; La richiesta va sempre adeguatamente motivata; Giurisprudenza prevalente (si veda ad esempio TAR Toscana 6266/2004): la visione dei soli dati dellalunno consente di tutelare adeguatamente gli interessi dello stesso;

Dati relativi agli altri alunni della classe -1 La conoscenza di tali dati esula dall'interesse personale dei ricorrenti; Ingerenza nella sfera di riservatezza di altri soggetti; Non ammissibile unanalisi comparativa completa circa la valutazione ed i metodi adottati dai professori con riguardo a tutta la classe (T.A.R Calabria 2314/2000); Non ammissibile un generico controllo dellattivit posta in essere dal corpo insegnante; Sindacato sugli atti che riguardano gli altri alunni: astrattamente ammissibile in caso di rilevanti episodi di disparit di trattamento.

Dati relativi agli altri alunni della classe -2 Nellambito scolastico, non esiste competizione tra gli alunni; in linea tendenziale, nessuna utilit deriva dalla comparazione con il profitto scolastico di altri alunni; E astrattamente ammissibile in sede di giudizio, la verifica di altre valutazioni, come sintomi di una generale irregolarit delle procedure eseguite, di fronte ad interessi di notevole rilevanza giuridica; Il sindacato si ferma alla verifica delle regole procedimentali TAR Lombardia (Sentenza 501/2005); Spetta al Consiglio di Classe giudicare se le lacune di un alunno siano tali da dover essere ritenute molto gravi. Si tratta di un apprezzamento discrezionale di carattere tecnico-didattico sindacabile solo in presenza di evidenti illogicit.

Accesso agli atti del collegio docenti Il componente di un organo collegiale dellAmministrazione ha un qualificato interesse concreto e diretto a disporre delle copie dei verbali e di ogni altro atto; in quanto titolare del munus pu disporre di detti atti per una pi attenta verifica, studio ed approfondimento degli stessi (Sentenza 3042/2005 del Consiglio di Stato) La qualit di componente di organi collegiali abilita a poter disporre di ogni utile risultanza documentale, fatti salvi i casi di segretazione, elencati allart. 24 della Legge 241/90 Si rivela a volte insufficiente la conoscenza dei contenuti acquisibile attraverso la pubblicazione degli stessi presso l'albo (come per i verbali del Consiglio d'Istituto) o la rituale lettura del verbale relativo alla riunione precedente (come per i verbali del Collegio docenti).

COSA E' IL DPS Il DPS un manuale di pianificazione della sicurezza dei dati in azienda: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc. in ogni fase e ad ogni livello (fisico, logico, organizzativo) e come si tuteleranno in futuro (programmazione, implementazione misure, verifiche, analisi dei risultati ecc.). SCOPO DEL DPS descrivere la situazione attuale(analisi dei rischi,distribuzione dei compiti, misure approntate, distribuzione delle responsabilit ecc.) il percorso di adeguamento prescelto dalla struttura per adeguarsi alla normativa privacy.

il documento deve avere data certa e deve essere aggiornato annualmente. Il testo unico impone come data per la redazione e l'aggiornamento il 31 marzo di ogni anno Una copia del DPS deve essere custodita presso la sede per essere consultabile e deve essere esibita in caso di controlli. Il titolare del trattamento deve dare conto nella relazione accompagnatoria del bilancio annuale dell'avvenuta redazione/aggiornamento del DPS.

Per redigere il DPS il dirigente scolastico deve provvedere: A nominare uno o pi responsabili; A nominare gli incaricati; A disporre affinch si proceda al censimento dei trattamenti nell'organizzazione per potere effettuare le notificazioni; Ad emanare un regolamento sul trattamento, la comunicazione e la diffusione dei dati; A predisporre l'informativa; Ad adottare un piano per aumentare le misure di sicurezza

IL D.P.S. CONTIENE Lelenco dei trattamenti dei dati personali La distribuzione dei compiti e delle responsabilit in ordine al trattamento Lanalisi dei rischi che incombono sui dati Le misure atte a garantire la disponibilit e lintegrit dei dati,la protezione delle aree e dei locali

Lelenco dei trattamenti dei dati personali individuazione delle risorse da proteggere quelle cio che trattano dati personali e/o sensibili Luoghi fisici Risorse hardware Risorse dati Risorse software La distribuzione dei compiti e delle responsabilit in ordine al trattamento Il responsabile designato dal titolare facoltativamente

CONTIENE ANCORA Criteri per il ripristino dei dati in seguito e distruzione o danneggiamento Previsione di interventi formativi per gli incaricati Procedure in caso di affidamento del trattamento allesterno Criteri da adottare per la cifratura dei dati sensibili

Lanalisi dei rischi che incombono sui dati I rischi sono Distruzione o perdita anche accidentale dei dati Accesso non autorizzato Trattamento non consentito o non conforme alle finalit di raccolta

Le misure atte a garantire la disponibilit e lintegrit dei dati la protezione delle aree e dei locali Misure Antintrusione Contro allagamenti, incendi Contro il furto o accesso di persone non autorizzate Contro la cancellazione non autorizzata di dati o la manomissione

ABOLIZIONE DEL D.P.S. La conversione del Decreto Legge n. 5 del 9 febbraio 2012 ( c.d. Decreto semplificazioni ), avvenuta con la Legge 4 aprile 2012 n. 35, conferma definitivamente la soppressione dellobbligo in capo a titolari di trattamento di dati sensibili e giudiziari effettuato mediante strumenti elettronici di redigere, e quindi di tenere aggiornato, il DPS. Cosa succede alla privacy?

Lart. 45 del decreto n. 5/2012, ora convertito in legge, ha infatti soppresso, oltre la lettera g) al comma 1 dellarticolo 34 del Codice Privacy (Decreto Legislativo n. 196 del 30 giugno 2003), anche il comma 1-bis dello stesso articolo introdotto dalla Legge 6 agosto 2008 n. 133 il quale, oltre a prevedere le ipotesi che permettevano di redigere una semplice Autocertificazione in luogo del DPS, reggeva il Provvedimento del Garante del 27 novembre 2008, disciplinante procedure semplificate, tra cui la stessa struttura del DPS, per i soggetti pubblici e privati che trattano dati per finalit amministrativo- contabile. Conseguenza di tali soppressioni stato anche il venir meno del punto 19 dellAllegato B al Codice, riguardante il termine di redazione e il contenuto del DPS, nonch del successivo punto 26, attinente il riferimento alla redazione del documento nelleventuale relazione accompagnatoria del bilancio.

Il Decreto Semplifica Italia del febbraio 2012 quindi, con un solo colpo di spugna ha rimosso tanto ladempimento formale originario quanto i successivi provvedimenti volti a semplificarlo,

In effetti, londa del cambiamento era gi iniziata nel corso del 2011 con la citata Legge n. 106 che, oltre ad introdurre ulteriori norme semplificative in tema di Autocertificazione (ad oggi, come detto, abrogate perch non pi necessarie), ha aggiunto altre ipotesi di esonero dal consenso, anche in tema di dati sensibili contenuti nei curricula spontaneamente trasmessi dagli interessati per linstaurazione di un rapporto di lavoro.

Successivamente, la Legge 22 dicembre 2011, n. 214, ha ulteriormente intaccato la normativa, togliendo spessore ad alcune definizioni che rappresentano le colonne portanti del Codice Privacy: dal concetto di " dato personale" e di "interessato al trattamento" stato infatti rimosso ogni riferimento a persone giuridiche, enti e associazioni: lintento evidenziare che gli unici soggetti meritevoli di norme miranti alla protezione di dati personali, a prescindere quindi dalle finalit del trattamento, sono esclusivamente le persone fisiche.

Da ultimo, la Legge 35/2012, citata in premessa, ha concluso lopera non solo consentendo il trattamento dei dati giudiziari anche quando effettuato in attuazione di protocolli di intesa con il Ministero dellInterno per ragioni di prevenzione e contrasto dei fenomeni di criminalit organizzata ma anche, come visto allinizio, abolendo il DPS.

Certo, se pensiamo al solo DPS al di l degli aspetti formali legati alla sua redazione, ai relativi termini, ai contenuti prescritti dallAllegato B al Codice, al di l del peso burocratico presentato a chi era tenuto a redigerlo potremmo riconoscere che si trattava di un documento che aveva la sua pratica importanza, una misura di sicurezza utile, solo per il fatto di raccogliere insieme diversi aspetti legati alla protezione dei dati personali, diventando per molti titolari di trattamento un vero e proprio riferimento, soprattutto in un mondo sempre pi orientato allinformatizzazione.

Peraltro, a dispetto di quanto indicato nella relazione al Decreto Legge 5/2012, che definisce "meramente superfluo" ladempimento del DPS in quanto "non realizza uneffettiva tutela della sicurezza dei dati e dei sistemi informatici", lAutorit Garante, in occasione del discorso di fine mandato tenuto dal presidente F. Pizzetti, non ha propriamente condiviso la decisione di abolirlo, ritenendo invece che tale documento era utile a limitare in parte leventuale responsabilit per la perdita, la cancellazione o il furto dei dati, consentendo di provare che si era fatto almeno quanto richiesto come misura minima per evitare il verificarsi dellevento.

PIU' SOSTANZA AI CONTROLLI Cosa succeder ora in sede di controllo da parte delle autorit preposte? Il DPS, effettivamente, aveva senzaltro lo scopo di illustrare una situazione, in capo al titolare del trattamento obbligato a redigerlo, riguardante la tipologia di dati trattati, gli strumenti utilizzati, le finalit del trattamento nonch lapplicazione delle misure di sicurezza e protezione in relazione a determinati rischi; dava unidea dellorganigramma e della distribuzione dei compiti fra i soggetti coinvolti, forniva informazioni sui trattamenti affidati a soggetti esterni e sulla formazione data agli incaricati.

E se quanto contenuto nel DPS non avesse corrisposto alla realt effettiva ? Vorr dire che i controllori saranno indotti, dora in avanti, a mettere da parte le rappresentazioni e i propositi risultanti da un semplice documento e si orienteranno direttamente sugli aspetti concreti, cio sulleffettiva applicazione delle misure di cui agli articoli 31 e seguenti del Codice Privacy nonch del relativo Allegato B, che descrive la modalit pratica di tale applicazione. I titolari del trattamento devono quindi ora concentrare maggiormente la loro attenzione sulle seguenti tematiche:

autenticazione informatica e adozione di procedure di gestione delle credenziali di autenticazione; utilizzo di un sistema di autorizzazione; aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, fornendo opportune e chiare istruzioni per l'effettiva protezione dei dati; protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti degli stessi, ad accessi non consentiti e a programmi informatici dannosi;

aggiornamento degli strumenti elettronici al fine di prevenirne la loro vulnerabilit e correggerne i difetti; adozione di procedure e fornitura di istruzioni per la custodia di copie di sicurezza, il ripristino della disponibilit dei dati e dei sistemi; adozione di misure di protezione e ripristino specifiche per i dati sensibili e giudiziari rispetto ad accessi abusivi e fornitura di istruzioni tecniche e organizzative per la custodia e luso dei supporti rimovibili contenenti tale tipologia di dati;

predisposizione e sottoscrizione di attestazioni di conformit da parte di soggetti esterni, rispetto alla struttura del titolare, riguardanti il rispetto delle disposizioni privacy nellambito dei loro interventi e/o trattamenti; adozione di altre misure finalizzate alla protezione e conservazione dei dati, in caso di utilizzo di strumenti diversi da quelli elettronici.

Da questo elenco si comprende bene che sarebbe comunque utile e opportuno predisporre un documento interno (possiamo anche non chiamarlo pi DPS) che riepiloghi tutti gli aspetti illustrati in modo da attestare che viene rispettato da parte del titolare del trattamento quanto stabilito dal Codice Privacy; chiaro poi, ovviamente, che questi dovr anche dimostrare di aver messo in pratica ci che risulta sulla carta.

ad esempio quello riportante lelenco degli amministratori di sistema con lindicazione delle funzioni a loro assegnate, quello relativo alla loro nomina, oppure le attestazioni di conformit, anche su base contrattuale, sul rispetto delle regole in tema di privacy rilasciate da incaricati che effettuano interventi di manutenzione sui sistemi elettronici) che, in presenza del DPS, erano a volte trascurati, altre volte proprio inesistenti.

Ricordiamo, tra laltro, che il citato Provvedimento del Garante di novembre 2008, contiene importanti prescrizioni di carattere pratico riguardanti lattivit degli amministratori di sistema, in virt della potenziale facolt, per questi soggetti, di trattare molteplici dati personali: ci si riferisce, in particolare, allimplementazione, presso la struttura del titolare, di sistemi informatici che forniscono traccia di tutte le operazioni (access log) effettuate dagli amministratori di sistema nellespletare la propria attivit, al fine di consentire al titolare del trattamento un controllo ed una verifica costante sulla correttezza del loro operato.

Anche le nomine dei responsabili del trattamento, se designati, e le nomine degli incaricati nonch le informative con leventuale richiesta di consenso allinteressato acquisiranno, accanto ad una maggiore rilevanza in sede di controllo, una rinnovata identit; documenti, fra laltro, soggetti ad eventuale aggiornamento derivante da interventi legislativi o nuovi provvedimenti emanati dal Garante.

A questi aspetti non pu rimanere estranea la formazione cui devono sottoporsi gli incaricati al trattamento, tanto sotto laspetto normativo, quanto sotto laspetto tecnico-organizzativo: lattestazione di aver provveduto o comunque la risultanza che effettivamente sono state attuate attivit formative servir quindi al titolare per dimostrare di aver messo gli incaricati in condizione di rispettare le istruzioni contenute nelle rispettive nomine.

La conclusione gi fatta trasparire tra le righe precedenti comunque che, abolendo il DPS, si voluto evidentemente dare pi risalto agli aspetti concreti riguardanti il rispetto delle misure di protezione dei dati personali, facendo passare in secondo piano i risvolti formali legati ai documenti.

MAGGIOR FOCUS PER RESPONSABILE, INFORMATIVE E NOMINE A ben vedere, dallo stesso elenco sopra riportato risulta palesemente rivalutato il ruolo del Responsabile della sicurezza informatica, il quale, se nelle piccole realt potrebbe anche coincidere con il titolare del trattamento, nelle realt pi complesse sicuramente un soggetto (o anche pi di uno) avente la qualifica di " amministratore di sistema" e quindi soggetto, fra laltro, a tutte le prescrizioni contenute nel Provvedimento generale del Garante del 27 novembre 2008. In effetti, per quanto riguarda i trattamenti di dati effettuati mediante lutilizzo di strumenti elettronici, ci che viene riportato nellAllegato B al Codice Privacy costituisce, guarda caso, prerogativa dei soggetti che svolgono funzioni proprie degli amministratori di sistema e quindi in definitiva dei soggetti responsabili della sicurezza informatica; saranno proprio questi ad accollarsi lonere di attestare ladozione e la sussistenza delle misure previste dalla legge e risulteranno quindi pi valorizzati altri documenti

154 Sono tutti gli accorgimenti e i dispositivi utilizzati per garantire che i dati non vadano distrutti o persi anche in modo accidentale, che solo le persone autorizzate possano avere accesso ai dati e che non siano effettuati trattamenti contrari alle norme di legge o diversi da quelli per cui i dati erano stati raccolti. Misure di sicurezza

155 Le misure minime di sicurezza sono specificate nellAllegato B denominato "Disciplinare Tecnico in materia di misure minime di sicurezza". Misure di sicurezza IL DISCIPLINARE PIU CHE ESSERE ORIENTATO VERSO LA PROTEZIONE DEI DATI PERSONALI, E IMPORTANTE UN ACCEZIONE ETIMOLOGICA DEL VOCABOLO (PRO-TEGERE), SI SOSTANZIA NON TANTO NELLA COPERTURA DEI DATI PERSONALI QUANTO PIUTTOSTO NELLA LORO DIFESA

Allegato B che detta le linee guida per la predisposizione del Documento programmatico della sicurezza (DPS)

157 Modalit tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici Trattamenti con strumenti elettronici

158 Il trattamento di dati personali con strumenti elettronici e' consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. Sistema di autenticazione informatica

159 Sistema di autenticazione informatica Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

160 Ad ogni incaricato sono assegnate o associate individualmente una o pi credenziali per l'autenticazione. Sistema di autenticazione informatica

161 Con le istruzioni impartite agli incaricati e' prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. Sistema di autenticazione informatica

162 Sistema di autenticazione informatica La parola chiave, quando e' prevista dal sistema di autenticazione, e' composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed e' modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e' modificata almeno ogni tre mesi.

163 Il codice per l'identificazione, laddove utilizzato, non pu essere assegnato ad altri incaricati, neppure in tempi diversi. Sistema di autenticazione Informatica

164 Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Sistema di autenticazione informatica

165 Le credenziali sono disattivate anche in caso di perdita della qualit che consente all'incaricato l'accesso ai dati personali. Sistema di autenticazione informatica

166 Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. Sistema di autenticazione informatica

167 Sistema di autenticazione informatica Quando l'accesso ai dati e agli strumenti elettronici e' consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalit con le quali il titolare pu assicurare la disponibilit di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessit di operativit e di sicurezza del sistema.

168 Sistema di autenticazione informatica In tal caso la custodia delle copie delle credenziali e' organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.

169 Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso e' utilizzato un sistema di autorizzazione. Sistema di autorizzazione

170 I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. Sistema di autorizzazione

171 Periodicamente, e comunque almeno annualmente, deve essere verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Sistema di autorizzazione

172 Aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati pu essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. Altre misure di sicurezza

173 I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. Altre misure di sicurezza

174 Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilit di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento e' almeno semestrale. Altre misure di sicurezza

175 Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Altre misure di sicurezza

176 I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici. Ulteriori misure in caso di trattamento di dati sensibili o giudiziari

177 Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti removibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. Ulteriori misure in caso di trattamento di dati sensibili o giudiziari

178 I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. Ulteriori misure in caso di trattamento di dati sensibili o giudiziari

179 Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. Ulteriori misure in caso di trattamento di dati sensibili o giudiziari

180 Misure di tutela e garanzia Gli enti pubblici effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalit di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati.

181 I dati relativi all'identit genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico e' cifrato.

182 Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione,riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformit alle disposizioni del presente disciplinare tecnico. Misure di tutela e garanzia

183 Modalit tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici: Trattamenti senza l'ausilio di strumenti elettronici

184 Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.

185 Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati pu essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

186 Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

187 L'accesso agli archivi contenenti dati sensibili o giudiziari controllato.

188 Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.

DECRETO 7 dicembre 2006, n.305 Regolamento relativo al trattamento dei dati sensibili e giudiziari nel settore dellistruzione Regolamento recante identificazione dei dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal Ministero della pubblica istruzione, in attuazione degli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n. 196, recante Codice in materia di protezione dei dati personali.

Regolamento dati sensibili Ravvisatala necessit di provvedere ad Identificare le tipologie di dati sensibili e giudiziari trattati nell'ambito dell'amministrazione dell'istruzione, le finalit d'interesse pubblico perseguite attraverso il trattamento dei citati dati, nonch le operazioni eseguite con gli stessi; Si specificano i tipi di dati che possono essere trattati dalle scuole, le operazioni che su di essi sono eseguibili e le finalit di rilevante interesse pubblico perseguite Il testo del Regolamento molto snello ed essenziale suddiviso in tre articoli Si sottolinea lobbligo di trattare dati sensibili e giudiziari solo previa verifica della loro pertinenza, completezza ed indispensabilit rispetto alle finalit perseguite nei singoli casi -

Caratteristiche del dato trattato PERTINENZA: la sua stretta rilevanza ai fini della realizzazione di quel compito nellambito delle finalit istituzionali COMPLETEZZA: eda intendersi che la parzialit potrebbe inficiare il perseguimento delle finalit INDISPENSABILITA : indispensabili per lo svolgimento di funzioni istituzionali che non potrebbero essere adempiute altrimenti (ricorso a dati anonimi o di altra natura)

Identifica nelle schede allegate, che ne formano parte integrante, le tipologie di dati sensibili e giudiziari e di operazioni indispensabili per la gestione del sistema dell'istruzione, nel perseguimento delle finalit di rilevante interesse pubblico, individuate dal codice e dalle specifiche previsioni di legge.

Le operazioni di interconnessione e raffronto con banche di dati di altri titolari del trattamento e di comunicazione a terzi individuate nel regolamento sono ammesse soltanto se indispensabili allo svolgimento degli obblighi o compiti di volta in volta indicati solo per il perseguimento delle rilevanti finalit di interesse pubblico specificate I raffronti e le interconnessioni con altre informazioni sensibili e giudiziarie sono consentite soltanto previa verifica della loro stretta indispensabilit Quindi occorre prendere in considerazione le sole finalit di rilevante interesse pubblico

Si considerano di rilevante interesse pubblico le finalit di istruzione formazione educazione

Schede allegate al regolamento Sono parte integrante del regolamento 7 schede che individuano tutti i dati sensibili e giudiziari trattati dalle Scuole suddividendoli in ambiti

Scheda n. 1 Selezione e reclutamento del personale dipendente Scheda n. 2 Gestione del contenzioso e procedimenti disciplinari Scheda n. 3 Organismi collegiali e commissioni istituzionali Scheda n. 4 Attivit propedeutiche allavvio dellanno scolastico

Scheda n. 5 Attivit educativa didattica -formativa e di valutazione Scheda n. 6 scuole non statali Scheda n. 7 Rapporti scuola-famiglia gestione del contenzioso

Ogni scheda consente alle Scuole di individuare chiaramente i trattamenti consentiti, le finalit di rilevante interesse pubblico perseguite, le fonti normative, i soggetti esterni pubblici e privati a cui possibile comunicare i dati i tipi di dati trattati.

in pratica le schede sono molto importanti dal punto di vista operativo costituiscono una guida obbligatoria da cui le scuole non possono derogare

SCHEDA N. 4 Indicazione del trattamento e descrizione riassuntiva del contesto ATTIVITA' PROPEDEUTICHE ALL'AVVIO DELL'ANNO SCOLASTICO I dati sono forniti dagli alunni e dalle famiglie ai fini della frequenza dei corsi di studi nelle istituzioni scolastiche di ogni ordine e grado, ivi compresi convitti, educandati e scuole speciali. Nell'espletamento delle attivit propedeutiche all'avvio dell'anno scolastico da parte delle istituzioni scolastiche, possono essere trattati dati sensibili relativi:

alle origini razziali ed etniche, per favorire l'integrazione degli alunni con cittadinanza non italiana; alle convinzioni religiose, per garantire la libert di credo religioso e per la fruizione dell'insegnamento della religione cattolica o delle attivit alternative a tale insegnamento; allo stato di salute, per assicurare l'erogazione del sostegno degli alunni diversamente abili e per la composizione delle classi;

alle vicende giudiziarie, per assicurare il diritto allo studio anche a soggetti sottoposti a regime di detenzione; i dati giudiziari emergono anche nel caso in cui l'autorit giudiziaria abbia predisposto un programma di protezione nei confronti dell'alunno nonch degli alunni che abbiano commesso reati.

Operazioni eseguite Particolari forme di trattamento Comunicazione ai seguenti soggetti per le seguenti finalit: a) agli Enti Locali per la fornitura di servizi ai sensi del D.Lgs. 31 marzo 1998, n. 112, limitatamente ai dati indispensabili all'erogazione del servizio; b) ai gestori pubblici e privati dei servizi di assistenza agli alunni e di supporto all'attivit scolastica, ai sensi delle leggi regionali sul diritto allo studio, limitatamente ai dati indispensabili all'erogazione del servizio; c) alle AUSL e agli Enti Locali per il funzionamento dei Gruppi di Lavoro Handicap di istituto e per la predisposizione e verifica del Piano Educativo Individualizzato, ai sensi della Legge 5 febbraio 1992, n. 104;

SCHEDA N. 5 Indicazione del trattamento e descrizione riassuntiva del contesto ATTIVITA' EDUCATIVA, DIDATTICA E FORMATIVA, DI VALUTAZIONE Nell'espletamento delle attivit educative, didattiche e formative, curriculari ed extracurriculari, di valutazione ed orientamento, di scrutini ed esami, da parte delle istituzioni scolastiche di ogni ordine e grado, ivi compresi convitti, educandati e scuole speciali, possono essere trattati dati sensibili relativi : alle origini razziali ed etniche per favorire l'integrazione degli alunni con cittadinanza non italiana;

alle convinzioni religiose per garantire la libert di credo religioso; allo stato di salute, per assicurare l'erogazione del servizio di refezione scolastica, del sostegno agli alunni disabili, dell'insegnamento domiciliare ed ospedaliero nei confronti degli alunni affetti da gravi patologie, per la partecipazione alle attivit educative e didattiche programmate, a quelle motorie e sportive, alle visite guidate e ai viaggi di istruzione;

ai dati giudiziari, per assicurare il di

Il Trattamento dei dati a scuola tra Trasparenza e Riservatezza a cura del d.s.g.a. Benedetto...

Documents

Transcript of Il Trattamento dei dati a scuola tra Trasparenza e Riservatezza a cura del d.s.g.a. Benedetto...