REGOLAMENTO per il trattamento DEI DATI SENSIBILI E ......DEI DATI SENSIBILI E GIUDIZIARI E...

PREMESSA

Ministero dell’Istruzione dell’Università e della Ricerca Ufficio Scolastico Regionale per la Sicilia – Direzione Generale

Istituto Comprensivo “ Gangitano”

0922 – 851506/ 0922- 730014 fax 0922831635 Cod. Mecc. – AGIC81500N Prot.n. __________ Canicattì,

REGOLAMENTO per il trattamento DEI DATI SENSIBILI E GIUDIZIARI

E VADEMECUM PRIVACY

ai sensi del D.Lgs. 196/2003, art. 20,

comma 2 e art. 21, comma 2

In appendice: Informazioni per il personale Docente ed ATA

Il Codice privacy distingue all’interno della categoria dei “dati personali”,

quelli “giudiziari” e “sensibili”, definendoli in modo specifico:

L’articolo 4, comma 1, lettera d) del Codice definisce dati sensibili: “i dati

personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a

partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo

stato di salute e la vita sessuale”.

L’articolo 4, comma 1, lettera e) del Codice definisce dati giudiziari: “i

dati personali idonei a rivelare provvedimenti … in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e

dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale”.

Rispetto ai dati comuni, il trattamento dei dati sensibili e giudiziari è sottoposto

ad una specifica disciplina ed a particolari cautele. Vediamo quali sono le

differenze nel trattamento delle due tipologie di dati.

IL TRATTAMENTO E LA COMUNICAZIONE DEI DATI COMUNI (NON

DI NATURA SENSIBILE O GIUDIZIARIA)

Il trattamento da parte di un soggetto pubblico riguardante dati

comuni (diversi da quelli sensibili e giudiziari) è consentito, nell’esclusivo

ambito delle proprie funzioni istituzionali, anche in mancanza di una norma

di legge o di regolamento che lo preveda espressamente, purché sia

finalizzato allo svolgimento delle funzioni istituzionali dell’amministrazione.

In tutti i casi, la comunicazione di questi dati da una pubblica

amministrazione ad un’altra o a privati oppure la loro diffusione, è possibile

solo quando vi sia una espressa previsione normativa (art. 19 del Codice)

In mancanza di una previsione normativa, la comunicazione è ammessa

quando è comunque necessaria per lo svolgimento di funzioni

istituzionali e può essere iniziata decorsi quarantacinque giorni dalla

comunicazione al garante prevista dall’art. 39 del Codice, salvo diversa

determinazione anche successiva del Garante.

3

Regolamento dati sensibili – Ist. Compr. “S. Gangitano” di Canicattì Rev. 2015-2016

TRATTAMENTO E COMUNICAZIONE DEI DATI SENSIBILI E GIUDIZIARI

Il Codice della privacy sottopone il trattamento dei dati sensibili e giudiziari a

particolari garanzie sia in ordine alle modalità di trattamento, sia in relazione al

profilo della legittimità formale e sostanziale delle tipologie di dati e delle

operazioni che possono essere svolte su di essi.

Gli artt. 20 comma 1 e 21, comma 1 del Codice prevedono che il trattamento

dei dati sensibili e giudiziari da parte di soggetti pubblici è consentito solo

se autorizzato da espressa disposizione di legge nella quale sono

specificati:

i tipi di dati che possono essere trattati;

le operazioni eseguibili sugli stessi;

le finalità di rilevante interesse pubblico perseguite.

Gli articoli 20, comma 2, e 21, comma 2, del Codice precisano, inoltre, che

quando una disposizione di legge abbia specificato le finalità di rilevante

interesse pubblico, ma non i tipi di dati sensibili e giudiziari che possono

essere trattati e le operazioni che su di essi possono essere svolte, le

amministrazioni (nel caso dell’istruzione, il MPI) emanano un apposito

regolamento, DA AGGIORNARE PERIODICAMENTE, con il quale

identificare e rendere pubblici i tipi di dati utilizzabili e le operazioni

eseguibili, in relazione ai fini istituzionali perseguiti e nel rispetto dei principi

affermati dall’articolo 22 del Codice.

4


REGOLAMENTO DATI SENSIBILI E GIUDIZIARI

Il presente Regolamento completa il quadro normativo relativo al diritto alla

protezione dei dati personali ed alla riservatezza definito dal codice emanato

con il d.lgs 196 del 30 giugno 2003. Il Codice è entrato in vigore il 1° gennaio

2004 ed ha riunito in modo organico la normativa di tutela relativa al

trattamento dei dati personali; ha offerto all’intera amministrazione pubblica

un’occasione significativa per portare a compimento il processo di

modernizzazione, in modo da adeguare il proprio assetto organizzativo e

funzionale dando idonee risposte alle istanze dei cittadini rivolte al massimo

rispetto dei diritti e delle libertà fondamentali.

Nella nostra scuola abbiamo provveduto a dare attuazione al codice per quanto

riguarda le autorizzazioni al trattamento dei dati al personale coinvolto,

attraverso gli incarichi conferiti ai docenti ed al personale ATA (assistenti

amministrativi e collaboratori scolastici) da parte del Titolare e del

Responsabile del trattamento .

Ogni incarico è stato corredato di linee guida contente istruzioni per il

trattamento e la protezione dei dati, è stata fornita l’informativa dei diritti ai

soggetti interessati (personale, alunni e genitori e fornitori), sono state definite

e vengono applicate e monitorate le misure minime di sicurezza dei dati, è

stato stilato il Documento Programmatico sulla Sicurezza.

Il Decreto Ministeriale, che regola il trattamento dei dati sensibili e giudiziari

nel settore dell’istruzione, è un provvedimento importante, previsto dagli

articoli 20 e 21 del d.lgs 196/03 ed è stato più volte sollecitato dal Garante per

la protezione della privacy. Il Regolamento specifica i tipi di dati che possono

essere trattati dalla scuole, le operazioni che su di essi sono eseguibili e le

finalità di rilevante interesse pubblico perseguite.

Il testo del Regolamento è suddiviso in 3 articoli nei quali si richiama il d.lgs

196/03 e si sottolinea, nell’art. 2, l’obbligo di trattare dati sensibili e giudiziari

solo previa verifica della loro pertinenza, completezza e indispensabilità

rispetto alle finalità perseguite nei singoli casi, specie quando la raccolta non

5


avvenga presso l’interessato. Il Dirigente invita, quindi, il personale e, in

particolare, i docenti a non richiedere e a non trattare dati degli alunni e delle

famiglie che non siano necessari effettivamente alle attività e che siano invece

motivati da una mera volontà di conoscenza delle situazioni personali, di salute

o familiari degli alunni.

Il presente regolamento, in ottemperanza al decreto 7 dicembre 2006, n. 305

del MINISTERO DELLA PUBBLICA ISTRUZIONE si compone di 6 schede che

individuano tutti i dati sensibili e giudiziari trattati dalle scuole:

Scheda n. 1 – Selezione e reclutamento a TI e TD e gestione del rapporto di

lavoro;

Scheda n. 2 – Gestione del contenzioso e procedimenti disciplinari;

Scheda n. 3 – Organismi collegiali e commissioni istituzionali;

Scheda n. 4 – Attività propedeutiche all’avvio dell’anno scolastico;

Scheda n. 5 – Attività educativa, didattica e formativa e di valutazione;

Scheda n. 6 – Rapporti Scuola-Famiglie: gestione del contenzioso.

In particolare nella scheda n. 4 relativa alle “Attività propedeutiche all’avvio

dell’anno scolastico” si precisa che i dati sono forniti dagli alunni e dalle

famiglie ai fini della frequenza dei corsi di studio nelle Istituzioni Scolastiche di

ogni ordine e grado, ivi compresi convitti, educandati e scuole speciali.

Nell’espletamento delle attività propedeutiche all’avvio dell‘anno scolastico da

parte delle Istituzioni Scolastiche, possono essere trattati dati sensibili relativi:

alle origini razziali ed etniche, per favorire l‘integrazione degli alunni con

cittadinanza non italiana; alle convinzioni religiose, per garantire la libertà di

credo religioso e per la fruizione dell’insegnamento della religione cattolica o

delle attività alternative a tale insegnamento;

allo stato di salute, per assicurare l’erogazione del sostegno agli alunni

diversamente abili e per la composizione delle classi;

alle vicende giudiziarie, per assicurare il diritto allo studio anche a

soggetti sottoposti a regime di detenzione; i dati

giudiziari emergono anche nel caso in cui l’autorità giudiziaria abbia

predisposto un programma di protezione nei

6


confronti dell’alunno nonché nei confronti degli alunni che abbiano commesso

reati.

Nella scheda n. 5 relativa alla “Attività educativa, didattica e formativa e di

valutazione” si precisa che nell’espletamento delle attività educative, didattiche

e formative, curriculari ed extracurriculari, di valutazione ed orientamento, di

scrutini ed esami e per la compilazione della certificazione delle competenze da

parte delle Istituzioni Scolastiche di ogni ordine e grado, ivi compresi convitti,

educandati e scuole speciali, possono essere trattati dati sensibili relativi:

alle origini razziali ed etniche per favorire l’integrazione degli alunni con

cittadinanza non italiana;

alle convinzioni religiose per garantire la libertà di credo religioso;

allo stato di salute, per assicurare 1’erogazione del servizio di refezione

scolastica, del sostegno agli alunni disabili,

dell’insegnamento domiciliare ed ospedaliero nei confronti degli alunni affetti

da gravi patologie, per la partecipazione alle attività educative e didattiche

programmate, a quelle motorie e sportive, alle visite guidate e ai viaggi di

istruzione;

ai dati giudiziari, per assicurare il diritto allo studio anche a soggetti

sottoposti a regime di detenzione;

alle convinzioni politiche, per la costituzione e il funzionamento delle

Consulte e delle Associazioni degli studenti e dei genitori.

Ogni scheda consente di individuare chiaramente i trattamenti consentiti, le

finalità di rilevante interesse pubblico perseguite, le fonti normative, i soggetti

esterni pubblici e privati a cui è possibile comunicare i dati, i tipi di dati trattati

e le tipologie più ricorrenti di trattamento.

Il presente regolamento verrà pubblicato nel sito Web della scuola.

7


IL CONSIGLIO D’ISTITUTO DELL’ISTITUTO

COMPRENSIVO “S. Gangitano” DI

CANICATTI’ (AG)

Vista la direttiva n. 95/46/CE del Parlamento Europeo e del Consiglio,

del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo

al trattamento dei dati personali, nonché della libera circolazione dei

dati;

Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in

materia di protezione dei dati personali»; Visti in particolare gli

articoli 20, comma 2, e 21, comma 2, del citato decreto legislativo 30

giugno 2003, n. 196, i quali dispongono che, nel caso in cui una

disposizione di legge specifichi la finalità di rilevante interesse pubblico,

ma non i tipi di dati sensibili e giudiziari trattabili ed i tipi di operazioni su

questi eseguibili, il trattamento è consentito solo in riferimento a quei tipi

di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne

effettuano il trattamento, in relazione alle specifiche finalità perseguite

nei singoli casi;

Visto in particolare l'articolo 20, comma 2, del citato decreto legislativo

30 giugno 2003, n. 196, in cui e' stabilito che detta identificazione deve

avvenire con atto di natura regolamentare adottato in conformità al

parere espresso dal Garante, ai sensi dell'articolo 154, comma 1, lettera

g) del medesimo decreto legislativo;

Regolamento per il trattamento dei dati sensibili e

Giudiziari ai sensi del D.Lgs. 196/2003, art. 20,

comma 2 e art. 21, comma 2

8


Considerato che possono spiegare effetti maggiormente significativi per

l'interessato le operazioni svolte, in particolare, pressocché interamente

mediante siti web o volte a definire in forma completamente

automatizzata profili o personalità di interessati, le interconnessioni e i

raffronti, di cui all'articolo 4, comma 1, lettera a) del citato decreto

legislativo 30 giugno 2003, n. 196, tra banche di dati gestite da diversi

titolari oppure con altre informazioni sensibili e giudiziarie detenute dal

medesimo titolare del trattamento, nonché la comunicazione dei dati a

terzi;

Ritenuto di individuare analiticamente nelle schede allegate al

presente regolamento, con riferimento alle predette operazioni che

possono spiegare effetti maggiormente significativi per l'interessato,

quelle effettuate da questa Istituzione Scolastica, in particolare le

operazioni di interconnessione e di raffronto tra banche di dati gestite da

diversi titolari, oppure con altre informazioni sensibili e giudiziarie

detenute dal medesimo titolare del trattamento, nonché di

comunicazione a terzi;

Ritenuto, altresì, di indicare sinteticamente anche le operazioni

ordinarie che il titolare deve necessariamente svolgere per perseguire le

finalità di rilevante interesse pubblico individuate per legge (operazioni di

raccolta, registrazione, organizzazione,conservazione, consultazione,

elaborazione, modificazione, selezione,estrazione, utilizzo, blocco,

cancellazione e distruzione);

Considerato che per quanto concerne tutti i trattamenti di cui sopra è

stato verificato il rispetto dei principi e delle garanzie previste

dall'articolo 22 del citato decreto legislativo 30 giugno2003, n. 196, con

particolare riferimento alla pertinenza, non eccedenza e indispensabilità

dei dati sensibili e giudiziari utilizzati rispetto alle finalità perseguite,

9


all'indispensabilità delle predette operazioni per il perseguimento delle

finalità di rilevante interesse pubblico individuate per legge, nonché

all'esistenza di fonti normative idonee a rendere lecite le medesime

operazioni o, ove richiesta, all'indicazione scritta dei motivi;

Visto il provvedimento generale del Garante della protezione dei dati

personali del 30 giugno 2005 (pubblicato in Gazzetta Ufficiale n. 170 del

23 luglio 2005); Visto l'articolo 17, commi 3 e 4, della legge 23 agosto

1988, n. 400;

Visto il decreto del Presidente della Repubblica 11 agosto 2003, n. 319

relativo al regolamento dell'organizzazione e delle funzioni degli uffici di

livello dirigenziale generale dell'amministrazione centrale e periferica del

Ministero dell'istruzione, dell'universita' e della ricerca;

Vista la direttiva del Ministro della funzione pubblica in data 11 febbraio

2005, riguardante le «Misure finalizzate all'attuazione nelle pubbliche

amministrazioni delle disposizioni contenute nel decreto legislativo 30

giugno 2003, n. 196»;

Ravvisata la necessità di provvedere ad identificare le tipologie di dati

sensibili e giudiziari trattati nell'ambito delle attività Istituzionali svolte

dall ’Istitutzione scolastica, le finalità d'interesse pubblico perseguite

attraverso il trattamento dei citati dati, nonché le operazioni eseguite con

gli stessi;

Vista la comunicazione al Presidente del Consiglio dei Ministri effettuata,

a norma dell'articolo 17, comma 3, della citata legge n.400 del 1988, con

nota del 21 novembre 2006;

10


Visto il decreto 7 dicembre 2006, n. 305 del MINISTERO DELLA

PUBBLICA ISTRUZIONE, pubblicato nella Gazzetta Ufficiale N. 11 del

15 Gennaio 2007

A d o t t a

il seguente aggiornamento del regolamento:

ART. 1. AMBITO

1. Il presente Regolamento, in attuazione del Codice in materia di protezione

dei dati personali (art. 20, comma 2 e art. 21, comma 2, del D.lgs. 30 giugno

2003, n. 196), identifica le tipologie di dati sensibili e giudiziari, nonché le

operazioni eseguibili per lo svolgimento delle finalità istituzionali dell’ Istituto

Comprensivo “S. Gangitano” di Canicattì.

ART. 2 OGGETTO

1 . Il presente regolamento, in attuazione delle disposizioni di cui all'art. 20,

comma 2, e 21, comma 2, del D.lgs. 30 giugno 2003, n. 196, riproduce nelle

schede allegate, che formano parte integrante del Regolamento, i tipi di dati

sensibili e giudiziari per i quali è consentito il relativo trattamento da parte

degli Uffici e delle Strutture dell’ Istituto Comprensivo “S. Gangitano” di

Canicattì, nonché le operazioni eseguibili in riferimento alle specifiche finalità

di rilevante interesse pubblico perseguite nei singoli casi ed espressamente

elencate nella Parte II del D.lgs. n. 196/2003 (artt. 62-73, 86, 95, 98 e 112).

2 . Ai sensi dell'art. 22, del D.lgs. n. 196/2003, in relazione alla identificazione

effettuata, è consentito il trattamento dei soli dati sensibili e giudiziari

indispensabili per svolgere le attività istituzionali, previa verifica della loro

pertinenza e completezza, ferma restando l'inutilizzabilità dei dati trattati in

violazione della disciplina rilevante in materia di trattamento dei dati personali

secondo quanto disposto dall'art. 11 del D.lgs. n. 196/2003. Qualora la scuola,

nell'espletamento della propria attività istituzionale, venga a conoscenza, ad

opera dell'interessato o, comunque, non a richiesta della Scuola stessa, di dati

sensibili o giudiziari non indispensabili allo svolgimento dei fini istituzionali

11


sopra citati, tali dati, ai sensi degli artt. 11 e 22 del D.lgs. n. 196/2003, non

potranno essere utilizzati in alcun modo, salvo che per l'eventuale

conservazione, a norma di legge, dell'atto o del documento che li contiene.

3. Le operazioni di interconnessione, raffronto e comunicazione individuate nel

presente regolamento sono ammesse soltanto se indispensabili allo

svolgimento degli obblighi o compiti di volta in volta indicati, per il

perseguimento delle rilevanti finalità di interesse pubblico specificate e nel

rispetto delle disposizioni rilevanti in materia di protezione dei dati personali,

nonché degli altri limiti stabiliti dalla legge e dai regolamenti. I raffronti e le

interconnessioni con altre informazioni sensibili e giudiziarie detenute dalla

Scuola sono consentite soltanto previa verifica della loro stretta indispensabilità

nei singoli casi ed indicazione scritta dei motivi che ne giustificano

l'effettuazione. Le predette operazioni, se effettuate utilizzando banche di dati

di diversi titolari del trattamento, sono ammesse esclusivamente previa verifica

della loro stretta indispensabilità nei singoli casi e nel rispetto dei limiti e con le

modalità stabiliti dalle disposizioni legislative che le prevedono (art. 22 del

D.lgs. n. 196/2003).

ART. 3. ESERCIZIO DEL DIRITTO DI ACCESSO AI DOCUMENTI AMMINISTRATIVI

1.In attuazione dell'art. 59 del d.lg. n. 196/2003, i tipi di dati sensibili e

giudiziari contenuti nei documenti amministrativi e le operazioni di trattamento

effettuate in applicazione della disciplina sul diritto di accesso sono regolati

dalla legge 7 agosto 1990, n. 241 e successive modificazioni, dal decreto

legislativo 18 agosto 2000, n. 267 e dalle altre disposizioni di legge in materia,

nonché dai relativi regolamenti di attuazione. A tal fine, in applicazione dell'art.

22, comma 5, del d.lg. n. 196/2003, sono consentite unicamente le operazioni

di consultazione, selezione, estrazione, utilizzo e comunicazione.

12


2. Ai sensi dell'art. 60 del d.lg. n. 196/2003, quando la richiesta di

accesso concerne dati idonei a rivelare lo stato di salute o la vita sessuale, il

trattamento è consentito solo se il diritto sottostante che il terzo intende far

valere, sulla base del materiale documentale al quale chiede di accedere, è di

rango almeno pari ai diritti dell'interessato, ovvero consiste in un diritto della

personalità o in un altro diritto o libertà fondamentale e inviolabile.

ART. 4 - ENTRATA IN VIGORE E PUBBLICITÀ

1. Il presente aggiornamento del regolamento entra in vigore dal

28/02/2016.

2. Sarà cura dell' Istituzione Scolastica dare, ad esso, la massima

diffusione mediante pubblicazione nel Sito internet istituzionale.

Art. 5. NORMA FINALE

1. L' identificazione dei tipi di dati sensibili e giudiziari e delle operazioni su

questi eseguibili, di cui alle schede allegate al presente decreto, è aggiornata

in relazione ad eventuali esigenze sopravvenute e, comunque, con periodicità

triennale.

SCHEDA A

La "scheda" individua tutti i dati che possono essere oggetto di trattamento per le procedure di selezione, di reclutamento, di instaurazione, di gestione e di

cessazione del rapporto di lavoro (dati inerenti lo stato di salute, l'adesione a sindacati, quelli sulle convinzioni religiose per la concessione di permessi legati

a particolari festività o per il reclutamento degli insegnanti di religione, i dati

13


sulle convinzioni filosofiche o d'altro genere per eventuali connessioni con lo

svolgimento del servizio di leva o come obiettore di coscienza, i dati di carattere giudiziario nell'ambito delle procedure concorsuali che coinvolgono

l'interessato, le informazioni sulla vita sessuale connessi unicamente al caso eventuale della rettifica di attribuzione di sesso); sono individuate, inoltre, le

varie tipologie di trattamento possibili.

Indicazione del trattamento e descrizione riassuntiva del contesto

Selezione e reclutamento a tempo indeterminato e determinato, e gestione del rapporto di lavoro:

— del personale dipendente dell’Amministrazione centrale e perifèrica del Ministero dell’istruzione, e dirigente, docente, educativo ed ATA delle istituzioni scolastiche ed educative, personale IRRE; — dei collaboratori esterni e dei soggetti che intrattengono altri rapporti di lavoro diversi da quello subordinato Il trattamento concerne tutti i dati relativi alle procedure per la selezione e il reclutamento,all’

instaurazione, alla gestione e alla cessazione del rapporto di lavoro.

1. I dati inerenti lo stato di salute sono trattati per: l’adozione di provvedimenti di stato giuridico ed economico, verifica dell’idoneità al servizio, assunzioni del personale appartenente alle c. d categorie protette, benefici previsti dalla normativa in tema di assunzioni, protezione della maternità, igiene e sicurezza sul luogo di lavoro, causa di servizio, equo indennizzo, onorificenze, svolgimento di pratiche assicurative, pensionistiche e previdenziali obbligatori e contrattuali, trattamenti assistenziali, riscatti e ricongiunzioni previdenziali, denunce dì infortuni e/o sinistri e malattie professionali, fruizione di assenze, particolari esenzioni o permessi lavorativi per il personale e provvidenze, collegati a

particolari condizioni di salute dell’ interessato o dei suoi familiari, assistenza fiscale,mobilità

territoriale, professionale e intercompartimentale; 2. I dati idonei a rilevare l’adesione a sindacati o ad organizzazioni di carattere sindacale per gli adempimenti connessi al versamento delle quote di iscrizione o all’esercizio dei diritti sindacali; 3. I dati sulle convinzioni religiose per la concessione di permessi per festività oggetto di specifica richiesta dell’interessato motivata per ragioni di appartenenza a determinate confessioni religiose. I dati sulle convinzioni religiose vengono in rilievo anche ai fini del reclutamento dei docenti di religione; 4. I dati sulle convinzioni filosofiche o d’altro genere possono venire in evidenza dalla documentazione connessa allo svolgimento del servizio di leva come obiettore di coscienza; 5. I dati di carattere giudiziario sono trattati nell’ambito delle procedure concorsuali al fine di valutare il possesso dei requisiti di ammissione e per l’ adozione dei provvedimenti amministrativo contabili connessi a vicende giudiziarie che coinvolgono l’interessato. 6. le informazioni sulla vita sessuale possono desumersi unicamente in caso di eventuale rettificazione di attribuzione di sesso.

E’ di seguito descritto sinteticamente il flusso informativo dei dati.

I dati sono raccolti su iniziativa degli interessati o previa richiesta dell’Ufficio presso i

medesimi interessati, ovvero presso altri soggetti pubblici o privati, e sono trattati, sia in forma

cartacea che telematica, per l’applicazione dei vari istituti disciplinati dalla legge e dai

regolamenti in materia di selezione, reclutamento, gestione giuridica, economica,

previdenziale, pensionistica, aggiornamento e formazione del personale.

14


Finalità di rilevante interesse pubblico perseguite

- ART. 112: “instaurazione e gestione da parte dei soggetti pubblici di rapporti di lavoro di qualunque tipo, dipendente o autonomo, anche non retribuito o onorario o a tempo parziale o temporaneo, e di altre forme di impiego che non comportano la costituzione di un rapporto di lavoro subordinato” - ART. 62: “rilascio di documenti di riconoscimento”; - ART. 67: “attività di controllo e ispettive”;

- ART 68: “ applicazione della disciplina in materia di concessione, liquidazione, modifica e

revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni;

- ART. 70: “applicazione della legge 8 luglio 1998 n. 230, e delle altre disposizioni di legge

in materia obiezione di coscienza”;

- ART. 72: rapporti con Enti di culto”.

- ART. 73: “supporto al collocamento e avviamento al lovoro.”.

Fonti normative

- Norme comuni: D.P.R. 10 gennaio 1957, n. 3; Legge 5 febbraio 1992, n. 104; Legge 12 marzo

1999, n. 68; D.Lgs. 30 marzo 2001, n. 165; Legge 15 luglio 2002, a. 145; R. D. 30 settembre

1922, n. 1290; Legge 24 maggio 1970, n. 336; Legge 30 dicembre 1971, n. 1204; D.P.R. 29

dicembre 1973, n. 1032; D.P.R. 29 dicembre 1973, n. 1092; Legge 7 Febbraio 1979, n. 29; Legge

5 marzo 1990, n. 45; D.Lgs. 30 dicembre 1992, n. 503; Legge 14 gennaio 1994, n. 20; Legge 8

agosto 1995, n. 335; D.P.R. 20 febbraio 1998, n. 38; Legge 12marzo 1999, n. 68; D.P.C.M. 20

dicembre 1999; Legge 8 marzo 2000, n. 53; D.P.R. 29 ottobre 2001, n. 461.

- Norme relative al personale amministrativo del Ministero dell’Istruzione: legge n. 472/1987;

Contratti Collettivi Nazionali e Contratti Integrativi del Comparto Ministeri e della separata area

della Dirigenza amministrativa.

- Norme per il personale delle istituzioni scolastiche: D.Lgs. 16 aprile 1994, n. 297; Legge 3

maggio 1999, n. 124; Legge 28 marzo 2003, n. 53; Legge 18 luglio 2003, n. 186; Decreto

Legislativo 19 febbraio 2004, n.59; Legge 6 giugno 2004, n. 143; Contratti Collettivi Nazionali e

Integrativi del Comparto Scuola e della separata area della Dirigenza scolastica, Legge 28

febbraio 1990, n.. 37; Legge 23 dicembre 1998 n. 448, art. 26, commi 8, 9 e 10; D.P.R. 6. marzo

2001, n.190; Legge 27 dicembre 2002, n. 289 art. 35; D.lgs. 17 ottobre 2005, n. 227;

- Norme per il personale IRR.E: D.P.R. 6 marzo 2001, n. 190.

Tipi di dati trattati

15


• CONVINZIONI |X| religiose | | filosofiche | | d’altro genere

• CONVINZIONI |X| sindacali

• STATO DI SALUTE |X| patologie attuali |X| patologie pregresse

|X| terapie in corso |X| dati sulla salute relativi anche ai

familiari

• VITA SESSUALE | | (solo in caso di rettificazione di attribuzione di sesso)

• DATI DI CARATTERE GIUDIZIARIO (art 4, comma 1, lett. e, del Codice) |X|

OPERAZIONI ESEGUITE

Particolari forme di trattamento

- Interconnessioni e raffronti di dati con altro titolare;

- Amministrazioni certificanti in sede di controllo delle dichiarazioni sostitutive rese ai fini del

DPR 445/2000;

- Servizi sanitari competenti per le visite fiscali e per l’accertamento dell’idoneità all’impiego; - Organi preposti al riconoscimento della causa di servizio/equo indennizzo, ai sensi del DPR 461/2001;

- Organi preposti alla vigilanza in materia di igiene e sicurezza sui luoghi di lavoro (d.lgs. n. 626/1994); - Enti assistenziali, previdenziali e assicurativi, autorità di pubblica sicurezza a fini assistenziali e previdenziali, nonché per la denuncia delle malattie professionali o infortuni sul lavoro del D.P.R. n. 1124/1965;

- Amministrazioni provinciali per il personale assunto obbligatoriamente ai sensi della L. 68/1999; - Organizzazioni sindacali per gli adempimenti connessi al versamento delle quote di iscrizione e per la gestione dei permessi sindacali;

-Pubbliche Amministrazioni presso le quali vengono comandati i dipendenti, o assegnati nell’ambito della mobilità; - Ordinario Diocesano per il rilascio dell’idoneità all’insegnamento della Religione Cattolica ai Sensi dellaL. 18luglio 2003, n. 186; -Organi di controllo (Corte dei Conti e MEF): al fine del controllo di legittimità e annotazione

della spesa dei provvedimenti di stato giuridico ed economico del personale ex legge n.20/94 e D.P.R. 20 febbraio 1998, n.38;

- Agenzia delle Entrate: ai fini degli obblighi fiscali del personale ex legge 30 dicembre 1991, n. 413; MEF e INPDAP: per la corresponsione degli emolumenti connessi alla cessazione dal servizio ex Legge 8 agosto 1995, n. 335;

- Presidenza del Consiglio dei Ministri per la rilevazione annuale dei permessi per cariche sindacali e funzioni pubbliche elettive (art. 50, comma 3, d.lgs n. 165/2001)

16


Altre tipologie di trattamenti

• RACCOLTA: |X| presso gli interessati |X| presso terzi

• ELABORAZIONE: |X| in forma cartacea |X| con modalità informatizzate

Altre operazioni ordinarie:

registrazione, organizzazione, conservazione, consultazione, modificazione, selezione, estrazione,

utilizzo, blocco, cancellazione e distruzione.

SCHEDA B

La "scheda" individua il trattamento dei dati sensibili e giudiziari concernente tutte le attività relative alla difesa in giudizio del MPI e delle istituzioni

scolastiche nel contenzioso del lavoro e amministrativo nonché quelle connesse alla gestione degli affari penali e civili.


Gestione del contenzioso e procedimenti discìplinari

Il trattamento dei dati sensibí1i e giudiziari concerne tutte le attività relative alla difesa in

giudizio del Ministero dell'istruzione e delle istituzioni scolastiche ed educative nel contenzioso

del lavoro e amministrativo nonché quelle connesse alla gestione degli affari pena1ì e civili.


- ART. 112: “instaurazione e gestione da parte dei soggetti pubblici di rapporti di lavoro di qualunque tipo, dipendente o autonomo, anche non retribuito o onorario o a tempo parziale o temporaneo, e di altre forme di impiego che non comportano la costituzione di un rapporto di lavoro subordinato” - ART. 67: “attività di controllo e ispettive”;

17


- ART 68: “ applicazione della disciplina in materia di concessione, liquidazione, modifica e

revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni;

- ART. 71: “attività sanzionatorie e di tutela”;

Fonti normative

- Norme comuni: Codice Civile; Codice Penale; Codice di Procedura Civile; Codice di Procedura

Penale;D.P.R. 10 gennaio 1957, n. 3; D.P.R. 24/11/1971, n. 1199; Legge 6/12/1971, n. 1034;

Legge 15/03/1997, n. 59; Legge 21/07/2000, n. 205; D.lgs. 28/08/2000, n. 274; Legge

27/03/2001, n. 97; D.lgs. 30/03/2001, n. 165; Accordi quadro.

- Norme relative al personale amministrativo del Ministero dell’Istruzione:

Contratti Collettivi Nazionali e Contratti Integrativi del Comparto Ministeri e della separata area

della Dirigenza amministrativa.

- Norme per il personale delle istituzioni scolastiche e degli IRRE: D.Lgs. 16 aprile 1994, n.

297; D.P.R. 6. marzo 2001, n.190; Contratti Collettivi Nazionali e Integrativi del Comparto

Scuola e della separata area della Dirigenza scolastica;


• ORIGINE |X| razziale | X | etnica

• CONVINZIONI |X| religiose |X| filosofiche |X| d’altro genere

• CONVINZIONI |X| politiche |X| sindacali

• STATO DI SALUTE |X| patologie attuali |X| patologie pregresse

|X| terapie in corso |X| dati sulla salute relativi anche ai

familiari

• VITA SESSUALE | X |


OPERAZIONI ESEGUITE


Comunicazione con altri soggetti pubblici o privati:

- Ministero del Lavoro e delle Politiche Sociali: per lo svolgimento dei tentativi obbligatori di conciliazione dinanzi a Collegi di conciliazione ex D.lgs. 30/03/2001, n. 165;

18


- Organi arbitrali: per lo svolgimento delle procedure arbitrali ai sensi dei CCNL di settore; - Avvocature dello Stato: per la difesa erariale e consulenza presso gli organi di giustizia; -Magistrature ordinarie e amministrativo-contabile e Organi di polizia giudiziaria: per l’esercizio dell’azione di giustizia;

- Liberi professionisti, ai fini di patrocinio o di consulenza, compresi quelli di controparte per le finalità di corrispondenza sia in fase giudiziale che stragiudiziale.





registrazione, organizzazione, conservazione, consultazione, modificazione, selezione,

estrazione, utilizzo, blocco, cancellazione e distruzione.

SCHEDA C

La "scheda" individua il trattamento e la descrizione dei dati sensibili nello ambito degli organismi collegiali e delle commissioni istituzionali, organi rappresentativi sia del personale amministrativo e scolastico, sia degli studenti,

che delle famiglie e delle associazioni sindacali. Il dato sensibile trattato è quello dell'appartenenza alle organizzazioni sindacali, con riferimento agli

organismi o comitati che richiedano la partecipazione di rappresentanti delle organizzazioni sindacali.


Organismi Collegiali e Commissioni Istituzionali

Il trattamento dei dati sensibi1i è necessario per attivare gli organismi collegiali e le commissioni

istituzionali previsti dalle norme di organizzazione del Ministero Istruzione e dell’Ordinamento

Scolastico. Tali organi sono rappresentativi sia del personale amministrativo e scolastico, sia

degli studenti, delle famiglie e delle associazioni sindacali. Il dato sensibile trattato è quello

dell’appartenenza alle organizzazioni sindacali, con riferimento agli organismi o comitati che

richiedano la partecipazione di rappresentanti delle organizzazioni sindacali.

19



- ART. 65: “pubblicità dell’attività di organi”; - ART. 95: “dati sensibili e giudiziari relativi alle finalità di istruzione e di formazione in ambito scolastico, professionale, superiore o universitario”.

Fonti normative

- Norme comuni: D.Lgs. 16 aprile 1994, n. 297; Contratti Collettivi Nazionali e Integrativi

di Comparto.


• ORIGINE | | razziale | | etnica

• CONVINZIONI | | religiose | | filosofiche | | d’altro genere

• CONVINZIONI | | politiche |X| sindacali

• STATO DI SALUTE | | patologie attuali | | patologie pregresse

| | terapie in corso | | dati sulla salute relativi anche ai

familiari

• VITA SESSUALE | |








20


SCHEDA D

La "scheda" individua il trattamento di tutti i dati coinvolti nelle attività propedeutiche all'avvio dell'anno scolastico: si tratta dei dati forniti dagli alunni e dalle famiglie ai fini della frequenza dei corsi di studio di ogni ordine e grado

re (è possibile, in tal caso, imbattersi in dati relativi alle origini razziali ed etniche, alle convinzioni religiose, allo stato di salute, alle vicende giudiziarie).


Attività propedeutiche all’avvio dell’anno scolastico I dati sono forniti dagli alunni e dalle famiglie ai fini della frequenza dei corsi di studio nelle

istituzioni scolastiche di ogni ordine e grado ivi compresi convitti, educandati e scuole speciali.

Nell’espletamento delle attività propedeutiche all’avvio dell’anno scolastico da parte delle

istituzioni scolastiche, possono essere trattati dati sensibili relativi:

alle origini razziali ed etniche, per favorire l’integrazione degli alunni con cittadinanza non

italiana;

alle convinzioni religiose, per garantire la libertà di credo religioso e per la fruizione

all’insegnamento della religione cattolica o delle attività alternative a tale insegnamento;

allo stato di salute, per assicurare l’erogazione del sostegno agli alunni disabili e per la

composizione delle classi;

alle vicende giudiziarie,per assicurare il diritto allo studio anche a soggetti sottoposti a regime di

detenzione; i dati giudiziari emergono anche nel caso in cui l’autorità giudiziaria abbia

predisposto un programma di protezione nei confronti dell’alunno nonché nei confronti degli

alunni che abbiano commesso reati.


Le finalità di cui agli artt. 68, 73, 86, 95 del D.lgs. 30giugno 2003, n. 196.

Fonti normative

Leggi regionali sul diritto allo studio ai sensi del D.P.R. 24/07/1977, n.616; Legge 25/03/1985,

n.121; Legge 5/02/1992, n. 104; D.lgs. 16/04/94,n.297; Legge 24/06/1997, n.196; D.lgs.

31/03/1998, n.112; D.P.R. 24/06/1998, n.249; D.P.R. 08/03/1999, n.275; D.P.R. 31/08/1999, n.

394; Legge 10/03/2000, n.62; Legge 28/03/2003, n. 53; D.lgs. 19/02/2004, n.59; D.lgs.

15/04/2005, n. 76; D.lgs. 17/10/2005, n.226.

21



• ORIGINE | X | razziale | X | etnica

• CONVINZIONI | X | religiose | | filosofiche | X | d’altro genere

• CONVINZIONI | | politiche | | sindacali

• STATO DI SALUTE | X | patologie attuali | X | patologie pregresse

| X | terapie in corso | X | dati sulla salute relativi anche ai

familiari

• VITA SESSUALE | |


OPERAZIONI ESEGUITE


Comunicazione ai seguenti soggetti per le seguenti finalità:

- agli Enti Locali per la fornitura dei servizi ai sensi del D.lgs. 31/03/1998, n.112,

limitatamente ai dati indispensabili all’erogazione del servizio; - ai gestori pubblici e privati dei servizi di assistenza agli alunni e di supporto all’attività scolastica ai sensi delle leggi regionali sul diritto allo studio limitatamente ai dati indispensabili all’erogazione del servizio; - alle AUSL e agli Enti Locali per il funzionamento dei Gruppi di lavoro Handicap di Istituto e per la predisposizione e verifica del Piano Educativo Individualizzato, ai sensi della Legge 05/02/1992, n. 104.







22


SCHEDA E

La "scheda" attiene al rilevamento e alla trattazione di dati raccolti nell'ambito dell'attività

educativa, didattica e formativa e di valutazione (anche in tal caso possono rilevare i dati

sensibili relativi alle origini razziali ed etniche, alle convinzioni religiose, allo

stato di salute, ai dati giudiziari, alle convinzioni politiche - per la costituzione e

il funzionamento delle Consulte degli studenti).


Attività educativa, didattica, formativa, di valutazione Nell’espletamento delle attività educative, didattiche e formative, curricolari ed extracurricolari,

di valutazione ed orientamento, di scrutini ed esami, da parte delle Istituzioni scolastiche di ogni

ordine e grado, ivi compresi convitti, educandati e scuole speciali, possono essere trattati dati

sensibili relativi:

alle origini razziali ed etniche, per favorire l’integrazione degli alunni con cittadinanza non

italiana;

alle convinzioni religiose, per garantire la libertà di credo religioso;

allo stato di salute, per assicurare l’erogazione del servizio di refezione scolastica, del sostegno

agli alunni disabili, dell’insegnamento domiciliare ed ospedaliero nei confronti degli alunni affetti

da gravi patologie, per la partecipazione alle attività educative e didattiche programmate, a quelle

motorie e sportive, alle visite guidate e ai viaggi di istruzione;

ai dati giudiziari, per assicurare il diritto allo studio anche a soggetti sottoposti a regime di

detenzione;

alle convinzioni politiche, per la costituzione e il funzionamento delle Consulte e delle

Associazioni degli studenti e dei genitori.

I dati sensibili possono essere trattati per le operazioni di valutazione periodica e finale, per le

attività di orientamento e per la compilazione della certificazione delle competenze.


Le finalità di cui agli artt. 68, 73, 86, 95 del D.lgs. 30giugno 2003, n. 196.

Fonti normative

Leggi regionali sul diritto allo studio ai sensi del D.P.R. 24/07/1977, n.616; Legge 25/03/1985,

n.121; Legge 5/02/1992, n. 104; D.lgs. 16/04/94, n.297; D.P.R. 10/10/1986, n. 567; Legge

24/06/1997, n.196; D.lgs. 31/03/1998, n.112; D.P.R. 24/06/1998, n.249; D.P.R. 08/03/1999,

n.275; D.P.R. 31/08/1999, n. 394; Legge 10/03/2000, n.62; Legge 28/03/2003, n. 53; D.lgs.

23


19/02/2004, n.59; D.lgs. 15/04/2005, n. 76; D.lgs. 21/04/2005, n. 77; D.lgs. 17/10/2005, n.226;

D.P.R. 23/12/2005, n. 301.



• CONVINZIONI | X | religiose | X| filosofiche | X | d’altro genere

• CONVINZIONI | X | politiche | | sindacali



familiari



OPERAZIONI ESEGUITE


• Comunicazione ai seguenti soggetti per le seguenti finalità: a) Alle altre istituzioni scolastiche, statali e non statali, per la trasmissione della

documentazione attinente la carriera scolastica degli alunni, 1imitatamente ai dati indispensabili all’erogazione del servizio;

b) agli Enti Locali per la fornitura dei servizi ai sensi del D.lgs. 31 marzo 1998, n. 112, limitatamente ai dati indispensabili all’erogazione del servizio;

c) ai gestori pubblici e privati dei servizi di assistenza agli alunni e di supporto alla attività scolastica, ai sensi delle leggi regionali sul diritto allo studio, limitatamente ai dati indispensabili all’erogazione del servizio;

d) agli Istituti di assicurazione per denuncia di infortuni e per la connessa responsabilità civile;

e) all’INAIL per la denuncia di infortuni ex - D.P.R. 30 giugno 1965, n. 1124; f) alle AUSL e agli Enti Locali per il funzionamento dei gruppi di Lavoro di istituto

per l’Handicap e per la predisposizione e la verifica Piano Educativo Individuale, ai sensi della Legge 5 febbraio 1992, n. 104;

g) ad aziende, imprese e altri soggetti pubblici o privati per tirocini formativi, stages e alternanza scuola-lavoro, ai sensi della 24 giugno 1997, n. 196 e del D. Lgs. 21/04/2005, n. 77 e, facoltativamente, per attività di rilevante interesse sociale ed economico, limitatamente ai dati indispensabili all’erogazione del servizio.



24





estrazione, raffronto, utilizzo, blocco, cancellazione e distruzione.

SCHEDA F

La "scheda" individua i dati sensibili e giudiziari concernenti le attività connesse alla instaurazione di contenzioso (reclami, ricorsi, esposti,

provvedimenti disciplinari etc.) con gli alunni e con le famiglie.


Rapporti scuola-famiglie: gestione del contenzioso Il trattamento di dati sensibili e giudiziari concerne tutte le attività connesse alla instaurazione di

contenzioso (reclami, ricorsi, esposti, provvedimenti di tipo disciplinare, ispezioni, citazioni,

denunce all’autorità giudiziaria, ecc.)con gli alunni e con le famiglie, e tutte le attività relative alla

difesa in giudizio delle istituzioni scolastiche di ogni ordine e grado, ivi compresi convitti,

educandati e scuole speciali.


Le finalità di cui agli artt. 67 e 71 del D.lgs. 30giugno 2003, n. 196.

Fonti normative

Codice Civile; Codice Penale; Codice di Procedura Civile; Codice di procedura Penale; D.P.R.

24/11/1971, n. 1199; D.lgs. 16/04/94, n.297; D.P.R. 24/06/1998, n.249; D.P.R. 08/03/1999,

n.275; Legge 28/03/2003, n. 53; D.lgs. 19/02/2004, n. 59; D.lgs. 21/04/2005, n. 76; D.lgs.

21/04/2005, n. 77; D.lgs. 17/10/2005, n.226.



25


• CONVINZIONI | X | religiose | X| filosofiche | X | d’altro genere

• CONVINZIONI | X | politiche | X | sindacali



familiari



OPERAZIONI ESEGUITE


• Comunicazione con altri soggetti pubblici e privati: a) Avvocature dello Stato, per la difesa erariale e consulenza presso gli organi di

giustizia; b) Magistrature ordinarie e amministrativo-contabile e Organi di polizia giudiziaria,

per l’esercizio dell’azione di giustizia; c) Liberi professionisti, ai fini di patrocinio o di consulenza compresi quelli di

controparte per le finalità di corrispondenza.







26


VADEMECUM

INFORMATIVA SULLA TUTELA E RISERVATEZZA DEI DATI PERSONALI

E SENSIBILI

Fascicolo sintetico per l’informazione e la formazione degli operatori e degli

utenti della scuola. Lo scopo è di promuovere, in tutti gli operatori e gli utenti

del servizio scuola, la conoscenza e soprattutto la comprensione e

l'utilizzazione più corretta e funzionale della normativa vigente.

PREMESSA

L’Istituto Comprensivo “G. Guarino” di Favara (AG), ha redatto il Documento

Programmatico per la Sicurezza ai sensi e per gli effetti dell’art. 34 comma 1,

lettera g) del D. L.vo n. 196/2003 e del disciplinare tecnico allegato al medesimo

sub B “Disciplinare tecnico in materia di misure minime di sicurezza” (art. da 33 a 36

del Codice), nonché della “Guida operativa per redigere il documento

programmatico” pubblicata sul sito web del Garante.

Scopo del documento, di seguito denominato “DPS”, è quello di delineare il quadro

delle misure di sicurezza, organizzative, fisiche e logistiche, secondo la descrizione e

gli opportuni allegati, che fanno parte integrante del Documento, che saranno

adottate da questa Istituzione Scolastica relativamente al trattamento dei dati

personali, per le rispettive competenze, da parte del DSGA, degli Assistenti

Amministrativi, del Personale Docente e dei Collaboratori Scolastici.

Copia del DPS è custodita agli atti di segreteria.

La normativa di riferimento è quindi il D.lvo 196/2003: «Codice in materia di

protezione dei dati personali», nel quale sono raccolte, in forma di testo unico,

tutte le disposizioni in materia di tutela delle persone e di altri soggetti rispetto

al trattamento dei dati personali ed alle attività connesse. Il Testo rappresenta il

primo modello di codificazione organica della privacy in Europa e tiene conto sia del

27


quadro normativo comunitario (direttive n. 95/46/CE e n. 2002/58/CE) che di

quello internazionale. La disciplina del Codice, analogamente a quella dettata

dalla normativa previgente, si innesta in un contesto prevalentemente orientato

alla pubblicità dell'azione amministrativa, ad opera della legge 7 agosto 1990, n.

241, e delle altre disposizioni di settore, e conferma la graduazione dei differenti

livelli di tutela previsti all'interno della generale categoria dei dati personali

predisponendo garanzie più rigorose in relazione ai dati sensibili.

Il Codice offre alle persone un sistema di garanzie articolato e al contempo

semplificato che, nell'individuare tutti gli strumenti idonei ad una piena

realizzazione del diritto alla protezione dei dati personali, costituisce il

presupposto per la fruizione di tutti gli altri diritti fondamentali dell'individuo

che a quel diritto sono naturalmente collegati.

In tale quadro i principi ricordati nel testo unico informano tutti gli aspetti della

vita sociale e dell'azione delle pubbliche amministrazioni ed in particolare, per

quanto interessa in questa sede, anche gli aspetti relativi alla gestione delle

risorse umane in tutti gli aspetti organizzativi, di sicurezza e di benessere.

Da quanto premesso emerge la necessità di provvedere all'adozione degli

strumenti necessari per l'attuazione pratica delle previsioni del Codice, quali:

> regolamenti indicanti i tipi di dati sensibili e giudiziari che possono essere

trattati e le operazioni che possono essere eseguite su di essi in relazione al

perseguimento di finalità di rilevante interesse pubblico qualora manchi una

specifica indicazione legislativa (articoli 20, 21 e 22);

> le informative all'interessato (art. 13);

> la notificazione al Garante nei casi previsti dall'art. 37;

> le eventuali comunicazioni al Garante (art. 39);

> le misure minime di sicurezza e, in particolare, il documento programmatico

sulla sicurezza (art. 34, comma 1, lettera g) e Regola n. 19 dell'allegato B al

Codice).

Occorrerà, inoltre, procedere a puntuali ricognizioni dei dati trattati alla luce

delle disposizioni vigenti e alla revisione delle modalità di gestione degli stessi,

ponendo particolare attenzione alla necessità di garantire agli interessati

l'esercizio del diritto di accesso ai dati che li riguardano e degli altri diritti

28


sanciti dall'art. 7 del Codice, nonché alle problematiche relative all'accesso ai

documenti amministrativi ed alla necessità di contemperare le esigenze di

trasparenza dell'azione amministrativa con quelle di tutela del diritto alla

protezione dei dati personali. Pertanto i dirigenti, nell'ambito delle attività di

direzione, coordinamento e controllo sono responsabili nell’adottare tutte le

misure utili a garantire il rispetto e la piena attuazione dei principi sanciti dal

Codice e nel prevenire i rischi presenti nelle singole attività .

La cultura della privacy nella scuola

1 – Attualità e problematicità

Il tema della privacy, nella moderna società della comunicazione

multimediale, risulta tanto importante quanto problematico.

Ed anche intrigante, per il suo essere presente nel nostro quotidiano,

nelle più diverse circostanze che ci vedono coinvolti di volta in volta da diverse

prospettive.

Così, davanti ad uno sportello d’agenzia le righe sul pavimento indicano

la cosiddetta “distanza di cortesia” a tutela dell’altrui privacy.

Intanto, però, l’occhio della telecamera osserva ogni movimento, ogni

atteggiamento relazionale, colloca la presenza di una persona in un tempo e in

uno spazio determinato.

Più telecamere, strategicamente disposte, potrebbero praticamente

registrare l’intero arco della giornata fuori casa e annotare, togliendo ogni

margine alla riservatezza della persona.

E’ un fatto che negli ultimi tempi l’evoluzione tecnologica ha cominciato a

correre più velocemente della riflessione culturale e giuridica ma è anche vero

che nessuno alla fine gradirebbe sentire sul proprio andare l’occhio del “grande

fratello” di cui profetizzava Orwell.

I media nella società della comunicazione sono in grado di produrre una

tale massa di informazioni da travolgere quelli che erano i fragili ripari della

29


riservatezza della persona e hanno finito col determinare, come reazione

fisiologica, l’esigenza di una tutela adeguata, per evitare la perdita della

peculiarità di ciascuno attraverso la massificazione in una sorta di “grande

piazza” multimediale.

Il problema, fondamentale in una società democratica, si pone in questi

termini: è possibile un equilibrio fra queste due opposte esigenze –

l’informazione e la riservatezza – ognuna delle quali è tendenzialmente

esclusiva dell’altra?

L’ordinamento giuridico, per parte sua, sancisce tanto il principio della

trasparenza che quello della riservatezza, e la questione per chi opera nella

P.A. non è certo puramente accademica viste le sanzioni penali poste a

salvaguardia dell’uno e dell’altro principio.

Infatti – per chiarire – negare un accesso quando è legittimo può

configurare l’ipotesi di “omissione d’atti d’ufficio”, mentre concederlo quando

non è consentito può costituire “violazione del segreto d’ufficio”.

Tra una norma e l’altra chi deve risolvere un caso concreto ha talvolta

l’impressione di essere come quel navigante che doveva passare tra Scilla e

Cariddi.

Giova ricordare a questo punto l’osservazione di Toulmin in

“Cosmopolis”: il diritto, come la medicina, è chiamato a risolvere casi

particolari, ora e qui; la norma giuridica – proprio come il farmaco – è solo uno

strumento per risolvere una situazione, “pros ton cairon” come diceva

Aristotele.

Meglio stare attenti dunque, nella fattispecie concreta, a che cosa si va a

toccare, su che si va ad incidere, piuttosto che rifarsi a questa o quella

posizione di principio, a questa o a quella massima specie quando la

giurisprudenza non è consolidata.

Occorre porre pari attenzione alla ratio astratta della norma invocata

quanto alle esigenze della pratica, in una visione che non perde di vista le due

facce della medaglia, che sono trasparenza e riservatezza.

In concreto non è ipotizzabile un caso in cui ricevendo una richiesta di

accesso non debba tenersi conto anche del risvolto della privacy, così come la

30


riservatezza deve fare i conti con le esigenze di tutela delle proprie ragioni da

parte di altri.

Il tutto in una visione interdisciplinare, che tenga conto delle implicazioni

non solo nell’amministrativo ma anche nel civile e nel penale.

2 – L’organizzazione: dati, soggetti, trattamenti

La norma è tassativa:”I criteri di organizzazione sono attuati nel rispetto

della disciplina in materia di trattamento di dati personali”.

Dati personali sono quelli che identificano una persona e quant’altro può

servire a rendere riconoscibile qualcuno.

Nessun problema per quelli ricavabili da albi e registri pubblici a

disposizione del cittadino, e per quelli gestiti per uso puramente personale e

riservato. Tutti gli altri invece sono sotto tutela legale e un particolare rigore

vale per quelli definiti sensibili; in pratica si tratta di informazioni aggiuntive

che rivelano “in più” cosa pensa una persona in materia di religione, politica,

sindacati, come sta in salute, che tendenze sessuali ha, etc. Le sanzioni in caso

di violazione sono particolarmente severe.

Quanto ai soggetti rilevanti nel contesto, essi sono anzitutto il titolare,

che è la figura a cui imputare giuridicamente i trattamenti dei dati personali e il

responsabile, che è la persona preposta dal titolare al trattamento. La sua

designazione è facoltativa e, nel caso, configura una responsabilità bilaterale:

per il responsabile vi è il dovere di osservare le disposizioni di legge e le

istruzioni ricevute, per il titolare di vigilare affinché non vengano posti in

essere comportamenti devianti. Il discorso della privacy coinvolge tutti coloro

che a vario titolo operano nell’istituzione, ma è innegabile che dal punto di

vista operativo è il responsabile che viene a costituire il punto di riferimento.

Peraltro l’istallazione dei sofisticati dispositivi elettronici a difesa dei dati

richiede oggettivamente personale tecnico specializzato, e opportuna dunque

risulta la norma secondo la quale il fornitore dei servizi è tenuto a rilasciare

una dichiarazione di conformità dell’intervento effettuato alle disposizioni del

31


disciplinare tecnico. Completano il quadro delle garanzie per il responsabile del

trattamento le norme del codice penale che sanzionano l’intrusione indebita nel

sistema, la diffusione di virus, il comportamento infedele dell’incaricato.

Incaricato è la persona autorizzata dal responsabile a compiere – secondo le

istruzioni ricevute – operazioni di trattamento e di custodia dei dati.

Nella scuola, in particolare, la titolarità in sé compete all’istituzione

scolastica mentre il dirigente - che ha la rappresentanza legale e la gestione

amministrativa e contabile – decide sul trattamento dati e designa il

responsabile. I trattamenti si collocano nei due ambiti che caratterizzano

l’azione della scuola, vale a dire l’attività istituzionale dell’istruzione e servizi

annessi e l’attività quale datore di lavoro, e possono essere distinti per

tipologia di interessati: allievi, dipendenti, fornitori di servizi, etc.

Interessato, in generale, è la persona a cui si riferiscono i dati. Il codice

gli attribuisce per un verso diritti di informazione, riassumibili nella figura

dell’accesso e per un altro verso diritti volti a rendere il trattamento conforme

alla volontà di un interessato mediante rettifiche e integrazioni. Quest’ultima

facoltà – in particolare – non è consentita però quando trattasi di dati di tipo

valutativo: in altre parole in questo caso i dati possono essere conosciuti ma

non modificati dall’interessato. Le modalità per l’esercizio dei diritti sono

semplificati al massimo ed informali.

E dopo i soggetti e i dati veniamo ai trattamenti. In materia vigono alcuni

principi fondamentali.

Il primo è quello di necessità, secondo il quale occorre configurare i sistemi

informativi e i programmi informatici in modo tale da ridurre al minimo l’uso di

dati personali e di escluderne il trattamento ogni qualvolta si possono avere

dati anonimi ovvero modalità che consentono l’identificazione solo in caso di

necessità.

Altri principi poi sono quelli di finalità e di pertinenza.

Secondo il primo i dati oggetto del trattamento devono essere raccolti e

conservati esclusivamente per scopi legittimi, determinati e dichiarati

esplicitamente, mentre per il secondo l’utilizzazione deve essere pertinente alle

finalità che hanno determinato la raccolta.

32


L’adempimento fondamentale infine resta l’adozione delle misure di

sicurezza, sigillo di garanzia del sistema, apparato di difesa volto a ridurre al

minimo ogni possibile rischio per i dati personali.

I rischi ipotizzabili in effetti sono molteplici e pertanto conseguentemente

la norma dispone che devono essere prese in via preventiva tutte le misure

idonee a fronteggiare la situazione in atto, tenuto conto anche del progresso

tecnico.

Non vengono specificate quali e col tempo sarà la giurisprudenza a

fornire criteri orientativi. Un precedente intanto è dato dalla sentenza del

Tribunale di Orvieto del 23.11.02, che ha condannato una banca per aver

omesso le misure di custodia di un fascicolo contenente dati personali, lasciate

in luogo accessibile a chiunque.

Al presente, comunque, il riferimento è costituito da tutte le misure

idonee – allo stato dell’arte – ad evitare il danno ed ogni situazione fa caso a

sé.

Tuttavia però vi sono alcune particolari cautele che il legislatore ha ritenuto

indispensabili, e che pertanto ha sanzionato penalmente: sono le c.d. misure

minime di sicurezza, da adottare sia per il trattamenti cartacei che per quelli

elettronici. La loro omissione configura un illecito penale.

3 – Il disciplinare tecnico.

Il disciplinare tecnico, che costituisce un allegato al codice soggetto a

revisione periodica, distingue i trattamenti in due categorie, a secondo che

siano fatti senza l’ausilio di strumenti elettronici ovvero con strumenti

elettronici.

Per i primi le misure da adottare sono essenzialmente di natura

procedurale, organizzativa e logistica. Si riferiscono soprattutto agli incaricati e

riguardano l’accesso controllato agli archivi, l’obbligo di custodia e controllo

fino alla restituzione, aggiornamento periodico dell’ambito di trattamento

consentito ai singoli incaricati.

33


Il trattamento con strumenti elettronici , invece, assume un profilo

essenzialmente tecnico e rappresenta – per così dire – un sistema in

movimento per via della rapidità dell’evoluzione tecnologica. Si calcola infatti

che le tecnologie si modifichino in maniera significativa ogni 18 mesi e quindi

compiano un salto di generazione ogni due anni circa. E per talune applicazioni

che riguardano la rete internet l’evoluzione è addirittura trimestrale, il che

significa in pratica che un anno solare equivale a quattro anni internet.

Se così rapito è il cambiamento, altrettanto lo saranno le nuove tipologie

di rischi che incombono sui dati trattati e quindi anche le contromisure a tutela

dei dati personali. Infatti è possibile estrapolare dal testo una sorta di

scadenziario per gli aggiornamenti necessari che – a secondo dei casi – hanno

cadenza annuale, semestrale, mensile, settimanale.

Per esigenze di semplicità e chiarezza, dettate da motivi pratici e a fini

operativi, possiamo suddividere in tre aree le misure di sicurezza:

autenticazione informatica, sistema di autorizzazione, protezione dei dati e

sistemi.

Autenticazione è il processo informatico di riconoscimento dell’utente nel

momento in cui chiede l’accesso al sistema. Varie le credenziali per avere la via

libera: password o parola chiave, smart card, certificato digitale o altri

dispositivi biometrici attinenti all’iride, retina, volto o altro.

In questi ultimi casi il corpo stesso diventa una sorta di password.

L’autorizzazione agli incaricati procede per profili, individuati e configurati

in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni

di trattamento.

L’ambito del trattamento consentito ai singoli incaricati è aggiornato

periodicamente, come pure è verificata la sussistenza delle condizioni per la

conservazione dei profili di autorizzazione.

La protezione infine si attua in vari modi.

Anzitutto con le copie di sicurezza e con le modalità di ripristino in caso

di incidente, che costituiscono le forme di previdenza più ovvie e

imprescindibili.

34


Ci sono poi i vari strumenti elettronici di difesa, in perenne evoluzione in

rapporto ai sempre nuovi rischi possibili. Ne esistono vari tipi:

“firewall”, che mirano a bloccare i tentativi di intrusione nel momento

stesso in cui si verificano;

IDS (intrusion detection sistem) che consentono di analizzare e verificare

l’attività in corso sulla rete e sui sistemi al fine di individuare eventuali

segnali di pericolo;

Packet filter GWey che filtrano i pacchetti di dati che rispondono a certe

caratteristiche e che dunque potrebbero rivelarsi come un attacco ostile.

Il quadro generale della situazione, comunque, deve essere dato dal

Documento Programmatico sulla Sicurezza (DPS), del quale il Garante ha

fornito uno schema e sul quale il MIUR ha attivato un corso di formazione.

Buona norma può essere quella di descrivere nel DPS “cosa” il titolare

intende realizzare o ha realizzato, piuttosto che “come” intenda realizzarlo. Il

“come” sarà descritto a cura dei tecnici interessati in appositi documenti

allegati o richiamati dal DPS stesso. In questo modo sarà più facile redigere il

documento e si avranno alcuni vantaggi:

minori rischi di incorrere in inadempienze formali;

maggiore chiarezza e semplicità nel definire le contromisure;

minore necessità di aggiornare continuamente il documento al variare

delle soluzioni tecniche.

In ultima sintesi gli adempimenti possono ridursi a due punti fondamentali:

a) elencare i trattamenti e assegnare i compiti;

b) individuare i rischi e trovare le misure di protezione.

Sono poi strumentali ai suddetti la formazione degli incaricati e

l’aggiornamento nonché – in caso di assegnazione a gestore esterno – la

definizione accurata del quadro contrattuale.

Per la tutela dei dati, dunque, occorre fare attenzione sia al fattore tecnico

che al fattore umano, cioè sia ai dispositivi elettronici di difesa che al

comportamento degli operatori, siano essi interni od esterni alla struttura

operativa dell’istituzione.

35


Principali definizioni

DATO PERSONALE

Qualunque informazione relativa a persona fisica, persona giuridica, ente

o associazione, identificati o identificabili, anche indirettamente, mediante

riferimento a qualsiasi altra informazione, ivi compreso il numero di

identificazione personale.

DATI IDENTIFICATIVI

Dati personali che permettono l’identificazione diretta dell’interessato.

DATI SENSIBILI

Dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni

religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti,

sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico

o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita

sessuale.

DATI GIUDIZIARI

Dati personali atti a rilevare provvedimenti in materia di casellario

giudiziale, sanzioni amministrative, lo stato di imputato o di indagato.-

Il “DOCUMENTO PROGRAMMATICO PER LA SICUREZZA” definisce lo

stato di attuazione in un Istituto, di quanto disposto dalla normativa vigente in

materia di privacy, con riferimento alla struttura organizzativa e funzionale

dell’istituzione scolastica per il trattamento dei dati personali e sensibili, per le

rispettive competenze, da parte del corpo docente e del personale ATA.

I dati personali e sensibili trattati dai docenti riguardano essenzialmente

gli alunni; i dati personali e sensibili trattati dal personale di segreteria

riguardano sia gli alunni che il personale della scuola.

36


Il “REGOLAMENTO DEI DATI GIURIDICI E SENSIBILI ” disciplina il

trattamento dei dati nella Istituzione scolastica in attuazione di quanto disposto

dal D.Lgs. 196/2003, art. 20,

comma 2 e art. 21, comma 2 nonché dal decreto 7 dicembre 2006, n.

305 del MINISTERO DELLA PUBBLICA ISTRUZIONE, pubblicato nella

Gazzetta Ufficiale N. 11 del 15 Gennaio 2007

L’ Istituzione, scolastica nel trattamento e nella trasmissione di dati e

documenti, deve operare al fine di garantire il rispetto dei diritti, delle libertà

fondamentali, della dignità delle persone giuridiche e fisiche, con particolare

riferimento alla riservatezza e all’identità personale.

NORME PER IL PERSONALE DOCENTE E ATA

I soggetti sopra citati, in relazione alle operazioni di dati personali e

sensibili ai quali hanno accesso nell’espletamento della funzione che è loro

propria e/o per gli incarichi che sono stati loro affidati, in ottemperanza alla

normativa vigente che regola la materia, dovranno attenersi in modo

scrupoloso alle disposizioni de si riportano di seguito.

In ottemperanza al D.LgS 196 del 30 maggio 2003, che regola il

trattamento dei dati personali, laddove costituisce trattamento "qualunque

operazione o complesso di operazioni svolte con o senza l'ausilio di mezzi

elettronici o comunque automatizzati, concernenti la raccolta, la registrazione,

l'organizzazione, la conservazione, l'elaborazione, la modificazione, la

selezione, l’estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la

comunicazione, la diffusione, la cancellazione e la distribuzione dei dati", ed in

relazione al presente atto di nomina, l’ incaricato è tenuto a trattare i dati

personali (tutti quei dati idonei ad identificare direttamente o indirettamente

una persona fisica o giuridica) attenendosi alle seguenti modalità:

1) in modo lecito e secondo correttezza;

2) raccogliendoli e registrandoli per gli scopi inerenti l'attività svolta;

3) verificando, ove possibile, che siano esatti e, se necessario, aggiornarli;

37


4) verificando che siano pertinenti, completi e non eccedenti le finalità per le

quali sono stati raccolti o successivamente trattati, secondo le indicazioni

ricevute dal responsabile/titolare;

5) rispettando, nella conservazione, le misure di sicurezza predisposte

nell'istituzione scolastica; in ogni operazione di trattamento andrà garantita la

massima riservatezza.

6) nel trattamento dei documenti (documentazione didattica contenente dati

personali), effettuando le seguenti operazioni.

- non far uscire documenti dalla sede scolastica, neanche temporaneamente;

- non fare copie della documentazione salvo autorizzazione del

responsabile/titolare;

- durante il trattamento mantenere i documenti contenenti dati personali non

alla portata di vista di terzi;

- al termine del trattamento custodire i documenti all’interno di archivi muniti

di serratura;

- in caso di allontanamento anche temporaneo dal posto di lavoro, o comunque

dal luogo dove vengono trattati i dati l’incaricato dovrà verificare che non vi sia

possibilità da parte di terzi, anche se dipendenti non incaricati, di accedere a

dati personali per i quali è in corso un qualunque tipo di trattamento.

7) nessun dato potrà essere comunicato a terzi o diffuso senza la preventiva

specifica autorizzazione del titolare o responsabile;

8) le comunicazioni agli interessati (genitori o chi ne fa le veci) dovranno

avvenire in forma riservata, se effettuate per scritto dovranno essere

consegnate in contenitori chiusi;

9) all’atto della consegna di documenti l’incaricato dovrà assicurarsi

dell’identità dell’interessato o di chi è stato delegato al ritiro del documento in

forma scritta.

DATI TRATTATI DAI DOCENTI

- Il registro personale

- Il registro di classe

- Il registro dei verbali del consiglio di classe

- La documentazione relativa alla programmazione didattica

38


- I documenti di valutazione

- Gli elaborati

- I certificati medici degli allievi

- La corrispondenza con le famiglie

I dati personali devono essere conservati in contenitori adeguati

(schedari, armadi) dotati di serratura efficiente e sicura.

I dati idonei a rivelare lo stato di salute degli alunni, trattati

esclusivamente per finalità previste dalla legge, vanno conservati

separatamente da altri dati personali.

Tali dati consistono essenzialmente in certificati medici consegnati

dagli alunni o dai genitori ai docenti per scopi definiti da norme di legge

(giustificazione assenze, esonero da attività di educazione fisica, necessità di

particolari diete alimentari ecc).

I certificati riguardanti la necessità di particolari diete alimentari

potranno, in caso di necessità, essere comunicati al soggetto che espleta il

servizio mensa, previa nomina a incaricato del trattamento da parte del

titolare.

I certificati medici giornalmente verranno ritirati dal personale incaricato

con atto specifico per il trattamento dati, e consegnati all’assistente

amministrativo dell’ufficio alunni che provvederà alla conservazione del

fascicolo personale dell’allievo.

DATI TRATTATI DAL PERSONALE AMMINISTRATIVO

Le banche dati su supporto cartaceo e/o informatizzato, contenenti dati

personali, alle quali ha accesso il personale di segreteria sono:

- fascicoli relativi al personale della scuola

- fascicoli degli alunni ed ex alunni

- anagrafe fornitori, contratti

- documentazione finanziaria e contabile

- registro degli infortuni

39


Il trattamento dei dati di pertinenza esclusiva del personale ATA viene

effettuato con strumenti elettronici e non.

I dati personali devono essere conservati in contenitori adeguati

(schedari, armadi) dotati di serratura efficiente e sicura.

I dati idonei a rivelare lo stato di salute del personale, docente ed ATA, e

degli alunni viene trattato esclusivamente per finalità previste dalla legge.

Secondo quanto prescritto dall’articolo 22 comma 7 del D. Lgs.vo

196/2003 i dati idonei a rivelare lo stato di salute vanno conservati

separatamente da altri dati personali; inoltre il comma 7 dello stesso articolo

dispone che i dati idonei a rivelare lo stato di salute, qualora contenuti in

banche dati informatiche vengano trattati “con tecniche di cifratura o mediante

l’utilizzo di codici identificativi o di altre soluzioni, che li rendono

temporaneamente inintellegibili anche a chi è autorizzato ad accedervi e

permettono di identificare gli interessati solo in caso di necessità”.

Riguardo al trattamento senza l’ausilio di strumenti elettronici, dei dati di

cui si tratta si stabilisce quanto segue:

a) Dati riguardanti il personale docente ed ATA

I dati consistono essenzialmente in certificati medici consegnati all’ufficio

di segreteria.

Dopo la ricezione, durante il trattamento (protocollo etc) saranno inseriti

in un contenitore chiuso riferito all’interessato e successivamente inseriti nel

fascicolo personale, dove saranno conservati all’interno di una busta chiusa

recante l’indicazione del contenuto separatamente dagli altri documenti.

b) Dati riguardanti gli alunni

I dati consistono essenzialmente in certificati medici consegnati dagli

alunni o dai genitori ai docenti o al personale ATA, per scopi definiti da norme

di legge (giustificazione assenze; esonero da attività di educazione fisica,

necessità di particolari diete alimentari etc.)

Dopo la ricezione i dati saranno inseriti in un contenitore chiuso riferito

all’interessato e successivamente trattati da personale incaricato e custoditi in

appositi contenitori chiusi all’interno del fascicolo personale dell’allievo.

40


Linee guida in materia di sicurezza per il personale amministrativo incaricato del trattamento dei dati.

I - Il personale amministrativo incaricato del trattamento dei dati deve attenersi scrupolosamente alle seguenti indicazioni per garantire la sicurezza dei dati personali trattati:

conservare sempre i dati del cui trattamento si è incaricati in apposito armadio assegnato, dotato di serratura;

accertarsi della corretta funzionalità dei meccanismi di chiusura dell’armadio, segnalando tempestivamente al Titolare o al Responsabile del trattamento dei dati eventuali anomalie;

impedire l’accesso alle aree in cui sono conservati dati personali su supporto cartaceo a estranei e a soggetti non autorizzati;

Conservare i documenti ricevuti da genitori/studenti o dal personale in apposite cartelline non trasparenti;

Consegnare al personale o ai genitori/studenti documentazione inserita in buste non trasparenti;

impedire l’accesso a estranei al fax e alla stampante che contengano documenti non ancora ritirati dal personale;

effettuare esclusivamente copie fotostatiche di documenti per i quali si è autorizzati e incaricati;

provvedere personalmente alla distruzione quando è necessario eliminare documenti inutilizzati;

evitare di lasciare a disposizione di estranei fotocopie inutilizzate o incomplete di documenti che contengono dati personali o sensibili ma accertarsi che vengano sempre distrutte;

custodire il registro contenente gli indirizzi e i recapiti telefonici del personale e degli studenti e non annotarne il contenuto su fogli di lavoro;

lasciare la postazione di lavoro per la pausa o per altro valido motivo soltanto dopo aver provveduto a custodire in luogo sicuro i documenti trattati;

Segnalare tempestivamente al Titolare o al Responsabile del trattamento dei dati la presenza di documenti incustoditi, provvedendo temporaneamente alla loro custodia;

Attenersi alle direttive ricevute e non effettuare operazioni per le quali non si è stati espressamente autorizzati dal Titolare o dal Responsabile del trattamento dei dati.

II - Riguardo ai trattamenti eseguiti con supporto informatico attenersi scrupolosamente alle seguenti indicazioni:

Non lasciare floppy disk, cartelle o altri documenti a disposizione di estranei; Conservare i dati sensibili in armadi chiusi, ad accesso controllato o in files protetti

da password; Non consentire l’accesso ai dati a soggetti non autorizzati; Riporre i supporti in modo ordinato negli appositi contenitori e chiudere a chiave

classificatori e armadi dove sono custoditi; Scegliere una password con le seguenti caratteristiche:

originale;

41


composta da almeno otto caratteri; che contenga almeno un numero; che non sia facilmente intuibile, evitando il nome proprio, il nome di congiunti, date di nascita e comunque riferimenti alla propria persona o lavoro facilmente ricostruibili;

Curare la conservazione della propria password ed evitare di comunicarla ad altri; Cambiare periodicamente (almeno una volta ogni tre mesi) la propria password; Modificare prontamente (ove possibile) la password assegnata dal custode delle

credenziali; Trascrivere su un biglietto chiuso in busta sigillata e controfirmata la nuova

password e consegnarla al custode delle credenziali; Spegnere correttamente il computer al termine di ogni sessione di lavoro; Non abbandonare la propria postazione di lavoro per la pausa o altri motivi senza

aver spento la postazione di lavoro o aver inserito uno screen saver con password; Comunicare tempestivamente al Titolare o al Responsabile del trattamento dei dati

qualunque anomalia riscontrata nel funzionamento del computer; Non riutilizzare i supporti informatici utilizzati per il trattamento di dati sensibili per

altri trattamenti; Non gestire informazioni su più archivi ove non sia strettamente necessario e

comunque curarne l’aggiornamento in modo organico; Utilizzare le seguenti regole per la posta elettronica:

non aprire documenti di cui non sia certa la provenienza; non aprire direttamente gli allegati ma salvarli su disco e controllarne il contenuto con un antivirus; inviare messaggi di posta solo se espressamente autorizzati dal Responsabile; controllare accuratamente l’indirizzo dei destinatario prima di inviare dati personali.

DATI TRATTATI DAL PERSONALE AMMINISTRATIVO

Le banche dati su supporto cartaceo e/o informatizzato, contenenti dati personali, alle quali ha

accesso il personale di segreteria sono:

· fascicoli relativi al personale della scuola

· fascicoli degli alunni ed ex alunni

· anagrafe fornitori, contratti

· documentazione finanziaria e contabile

· registro degli infortuni

Il trattamento dei dati di pertinenza esclusiva del personale ATA viene effettuato con strumenti

elettronici e non.

Linee guida in materia di sicurezza per il docente incaricato del trattamento dei dati.

Si comunica che lo scrivente, in qualità di Titolare del trattamento dei dati, ai sensi e per gli effetti di cui al D. Lgs. n. 196/2003 e della normativa ad esso collegata, ha nominato il prof.

42


Giuseppe Bennardo quale Responsabile del trattamento dei dati personali, che sottoscrive la presente circolare interna, concordata per indicare al personale in indirizzo le seguenti misure operative da adottare per garantire la sicurezza dei dati.

I - Il docente in servizio nella scuola dell’infanzia o nella scuola primaria deve:

Custodire in apposito armadio dotato di serratura i seguenti documenti:

1. Registro personale o della sezione/classe;

2. Certificati medici esibiti dagli alunni a giustificazione delle assenze;

3. Qualunque altro documento contenente dati personali o sensibili degli alunni;

Verificare la corretta funzionalità dei meccanismi di chiusura dell’armadio, segnalando tempestivamente al responsabile di sede eventuali anomalie;

Seguire le istruzioni del docente responsabile di sede nel caso di trattamento dei dati personali per fini diversi da quelli relativi ai punti 1 e 2;

Provvedere ad indirizzare le comunicazioni agli uffici della sede centrale, ad altro personale della scuola e/o al dirigente scolastico consegnandole in busta chiusa al responsabile della sede e/o ai collaboratori scolastici incaricati a tale scopo. Non è consentito, se non espressamente autorizzato, l’utilizzo del fax, della posta elettronica e dei collegamenti alla rete internet per il trattamento dei dati personali.

Per i docenti che utilizzano l’aula di informatica (nel caso di trattamento di dati personali) e per il responsabile dell’aula di informatica si riportano le seguenti disposizioni:

Seguire le istruzioni del docente responsabile dell’aula di informatica (se nominato); Non lasciare floppy disk, CD, DVD, cartelle o altri documenti a disposizione di

estranei; Non consentire l’accesso ai dati a soggetti non autorizzati; Riporre i supporti in modo ordinato negli appositi contenitori e chiudere a chiave

classificatori e armadi dove sono custoditi; Scegliere una password con le seguenti caratteristiche:

1. originale;

2. composta da almeno otto caratteri;

3. che contenga almeno un numero;

4. che non sia facilmente intuibile, evitando il nome proprio, il nome di congiunti, date di nascita e comunque riferimenti alla propria persona o lavoro facilmente ricostruibili;

Curare la conservazione della propria password ed evitare di comunicarla ad altri; Cambiare periodicamente, almeno una volta ogni sei mesi (tre mesi nel caso di dati

sensibili), la propria password; Modificare prontamente (ove possibile) la password assegnata dal custode delle

credenziali;

43


Trascrivere su un biglietto chiuso in busta sigillata e controfirmata la nuova password e consegnarla al custode delle credenziali;

Spegnere correttamente il computer al termine di ogni sessione di lavoro; Non abbandonare la propria postazione di lavoro senza aver spento la postazione

di lavoro o aver inserito uno screen saver con password; Comunicare tempestivamente al Titolare o al Responsabile qualunque anomalia

riscontrata nel funzionamento del computer; Utilizzare le seguenti regole per la posta elettronica:

1. non aprire documenti di cui non sia certa la provenienza;

2. non aprire direttamente gli allegati ma salvarli su disco e controllarne il contenuto con un antivirus;

3. controllare accuratamente l’indirizzo dei destinatario prima di inviare dati personali.

DATI TRATTATI DAI DOCENTI

· Il registro personale

· Il registro di classe

· Il registro dei verbali del consiglio d /interclasse/classe

· La documentazione relativa alla programmazione didattica

· I documenti di valutazione

· Gli elaborati

· La corrispondenza con le famiglie

Linee guida in materia di sicurezza per il collaboratore scolastico incaricato del trattamento dei dati.

I – Il Collaboratore scolastico in servizio nelle sedi ed ai piani deve

accertarsi che, al termine delle lezioni, non restino incustoditi i seguenti documenti, segnalandone tempestivamente l’eventuale presenza al responsabile di sede e provvedendo temporaneamente alla loro custodia:

Registro personale dei docenti; Registro di classe; Certificati medici esibiti dagli alunni a giustificazione delle assenze; Qualunque altro documento contenente dati personali o sensibili degli alunni o dei docenti;

controllare che al termine delle lezioni tutti i computer dell’aula di informatica siano spenti e che non siano stati lasciati incustoditi floppy disk, cartelle o altri materiali; in caso contrario, deve segnalarne tempestivamente la presenza al responsabile di laboratorio o di sede, provvedendo temporaneamente alla loro custodia;

44


verificare la corretta funzionalità dei meccanismi di chiusura di armadi che custodiscono dati personali, segnalando tempestivamente al responsabile di sede eventuali anomalie;

procedere alla chiusura dell’edificio scolastico, accertandosi che tutte le misure di protezione dei locali siano state attivate.

II – Il Collaboratore scolastico in servizio negli uffici di segreteria deve:

Effettuare esclusivamente copie fotostatiche di documenti per i quali è stato autorizzato e incaricato;

Evitare di lasciare a disposizione di estranei fotocopie inutilizzate o incomplete di documenti che contengano dati personali o sensibili e accertarsi, invece, che vengano sempre distrutte;

custodire il registro contenente gli indirizzi e i recapiti telefonici del personale e non annotarne il contenuto su fogli di lavoro;

allontanarsi dalla postazione di lavoro per la pausa o altro valido motivo soltanto dopo aver provveduto a custodire in luogo sicuro i documenti trattati;

impedire che estranei possano accedere ai documenti dell’ufficio o leggere documenti contenenti dati personali o sensibili;

Segnalare tempestivamente al Titolare o al Responsabile del trattamento dei dati la presenza di documenti incustoditi e provvedere temporaneamente alla loro custodia;

Procedere alla chiusura dei locali non utilizzati in caso di assenza del personale; Procedere alla chiusura dei locali di direzione e di segreteria, accertandosi che

siano state attivate tutte le misure di protezione e che le chiavi delle stanze siano depositate negli appositi contenitori;

Attenersi alle direttive ricevute e non effettuare operazioni per le quali non sia stato espressamente autorizzato dal Titolare o dal Responsabile del trattamento dei dati.

DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ Il decreto legislativo n.196 del 30 giugno 2003 sulla protezione dei dati personali individua

all’art.4, i quattro soggetti che sono coinvolti nel trattamento dei dati personali:

• Il titolare, cioè la persona fisica e giuridica che ha la responsabilità finale ed assume

decisioni fondamentali riferite al trattamento dei dati personali;

• il responsabile, la persona dotata di particolari caratteristiche di natura morale e di

competenza tecnica, preposta dal titolare al trattamento dei dati personali “ivi compreso il

profilo della sicurezza”;

• l’incaricato, la persona fisica che materialmente provvede al trattamento dei dati,

secondo le istruzioni impartite dal titolare o dal responsabile;

45


• l’interessato, il soggetto cui i dati oggetto di trattamento si riferiscono.

Il responsabile della Privacy Il Titolare della Privacy

(Dott.ssa Erminia Terrana) Dirigente Scolastico

(Dott. Ivan Cappucci)

____________________________

REGOLAMENTO per il trattamento DEI DATI SENSIBILI E ......DEI DATI SENSIBILI E GIUDIZIARI E...

Documents

Transcript of REGOLAMENTO per il trattamento DEI DATI SENSIBILI E ......DEI DATI SENSIBILI E GIUDIZIARI E...