Il Trattamento dei dati a scuola tra Trasparenza e Riservatezza
a cura del d.s.g.a. Benedetto Sirugo
Slide 2
Slide 3
HA ANCORA SENSO OGGI LA PRIVACY ? informazioni consenso Per
privacy sintende comunemente il diritto della persona di impedire
che le informazioni che la riguardano siano trattate da altri, se
non si sia volontariamente dato il proprio consenso al trattamento
dei propri dati. Ma come si fa a parlare di privacy con telefonini
che rivelano la nostra posizione anche quando sono spenti ? Che
dire poi delle carte di credito o dei bancomat? O ancora dei
fastpay o dei telepass autostradali? Inoltre siamo sempre di pi sul
web nei social network. Con la condivisione dei file esiste il
rischio che la propria privacy possa essere violata. Per la mia
generazione la privacy non un valore. Cos Mark Zuckerberg,
fondatore di Facebook, in unintervista a Repubblica.
Slide 4
In effetti a chi non piace condividere con gli amici via
Facebook tutto ci che facciamo o leggiamo o guardiamo nel Web?
Ebbene la nostra privacy a rischio: i pulsanti come Mi piace o
Share permettono di tracciare i percorsi della nostra navigazione e
il social network sa tutto sulla nostra navigazione. Quindi la
privacy ancora un valore? Certo. La privacy deve essere un valore
perch un diritto inviolabile un diritto inviolabile posto a
garanzia del fatto che ciascuno di noi possa scegliere o meno di
esprimere volontariamente ci che , liberamente, nel rispetto delle
libert altrui. Se il valore che si d alle informazioni riguardanti
la propria persona scarso perch si conoscono solo sommariamente i
problemi legati alla materia di sicurezza; allora opportuno fare
formazione.
Slide 5
Ma attenzione ! Le INFORMAZIONI alle quali abbiamo accesso per
il nostro lavoro si possono RICEVERE ma si possono anche DIVULGARE,
Quindi, non solo la nostra Privacy ad essere in pericolo e a dover
essere rispettata ma anche quella degli altri. E quindi importante,
soprattutto per dei pubblici dipendenti, rispettare e far
rispettare il diritto alla riservatezza di alunni, famiglie e
colleghi E quindi importante, soprattutto per dei pubblici
dipendenti, rispettare e far rispettare il diritto alla
riservatezza di alunni, famiglie e colleghi.
Slide 6
Un po di storia La nozione di Privacy ha origini antiche e non
ha avuto sempre connotazioni univoche. Nell antica Grecia ad es.
era un dovere per i cittadini maschi partecipare alla vita
pubblica. La riservatezza fine a s stessa, come vita spesa fuori
dal mondo comune, era considerata quasi antisociale tanto che lo
stesso Platone riteneva che in una societ ideale non vi fosse alcun
bisogno di una sfera privata dove rifugiarsi. Anzi veniva
considerato un pretesto per sottrarsi agli obblighi etici e
sociali.
Slide 7
In et medievale il termine divenne sinonimo di Familiare. Nella
societ feudale il potere pubblico come noi lo conosciamo si
frammentava, si disseminava di casa in casa trasformando ogni
dimora in un piccolo stato sovrano dove si esercita un potere che,
pur essendo limitato ad una famiglia, conservava ugualmente il suo
carattere pubblico. La fitta rete di relazioni che collegavano gli
individui che ne facevano parte, caratterizzava la societ feudale.
Finch non si svilupp il senso di Intimit. Lintimit consentiva
allindividuo di distaccarsi dalla vita in comune con i propri
associati :
Slide 8
Intimit nel sonno, intimit nei pasti, intimit nel rituale
religioso e sociale e infine intimit di pensiero. Ci segna la fine
delle reciproche relazioni sociali tra i ranghi inferiori e
superiori del regime feudale che port alla sua disgregazione ed
allaffermazione della riservatezza nella sua connotazione a noi pi
vicina. Questo fu possibile grazie alla progressiva costruzione di
uno Stato moderno e lo sviluppo dellalfabetizzazione. Tra il XVIII
e il XIX secolo si afferm il cosiddetto Right to privacy cio la
privacy in ambito giuridico. Nacque lesigenza di protezione
giuridica della personalit di un individuo equiparando la
violazione della privacy a quella del domicilio privato.
Slide 9
Il diritto alla Privacy nellordinamento italiano : La tutela
generale dellinteresse alla riservatezza trova fondamento negli
artt. 3 e 13 della Costituzione. Il primo parla di pari dignit
sociale delluomo, il secondo dellinviolabilit della libert della
persona. La riservatezza dunque quellinteresse che in base ad una
certa valutazione legislativa e sociale risulta fondamentale per
lindividuo al quale si riconosce un certo ambito privato dal quale
poter escludere laltrui ingerenza e lindiscriminata
pubblicizzazione di ci che lo riguarda nellintimo. Il rifiuto di
tale riconoscimento finirebbe col menomare gravemente la persona
pregiudicando la sua dignit. Definendo la riservatezza un valore
essenziale della persona, il diritto alla privacy diventa diritto
inviolabile tutelato dallart. 2 della Costituzione
Slide 10
La Repubblica riconosce e garantisce i diritti inviolabili
dell'uomo, sia come singolo sia nelle formazioni sociali ove si
svolge la sua personalit e richiede l'adempimento dei doveri
inderogabili di solidariet politica, economica e sociale.
Slide 11
Il nostro codice civile (approvato con r.d. 16 marzo 1942
n.262) non aveva previsto alcuna norma in tema di trattamento dei
dati personali. La riservatezza dellindividuo non godeva di una
specifica protezione. Pertanto non veniva tutelata I giudici
chiamati a pronunciarsi in merito allesistenza di un diritto ad un
risarcimento, rispetto a lamentate violazioni della riservatezza,
poich essa non godeva di una specifica protezione, concludevano che
non poteva affermarsi alcun diritto al risarcimento del danno.
Lemersione di un diritto soggettivo al controllo sulle
informazioni, riguardanti s medesimo, ma detenute da altri, si
avuto con lapprovazione della legge 31 /12 /96 n.675. Tale
disposizione (meglio nota come legge sulla privacy) stata
introdotta nel nostro sistema giuridico in attuazione di una
Direttiva comunitaria (la Dir. 95/46 del 24 ottobre 1995)
Slide 12
In Italia si quindi dovuto attendere il 1996 per avere una
normativa che si occupasse del trattamento dei dati personali con
la Legge 675. Questa esigenza di riservatezza, mutevole nel tempo,
aumenta in modo direttamente proporzionale alla diffusione dei
computer ed alla necessit di limitare laccesso indiscriminato alle
banche dati in essi contenute. Ci ha provocato ladeguamento della
normativa relativa. Cos Il 30 giugno 2003 viene approvato il
decreto legislativo n. 196, recante il Codice in materia di
protezione dei dati personali Da esso emerge con chiarezza il ruolo
centrale assunto dal consenso del titolare dei dati e il carattere
sanzionatorio della norma in caso di violazioni delle disposizioni
in esso contenute. Si codifica che il trattamento dei dati
personali integra un valore immanente a qualsiasi attivit pubblica
e nellart. 11, comma 2 si precisa che: i dati personali trattati in
violazione della disciplina rilevante in materia di trattamento dei
dati personali, non possono essere utilizzati .
Slide 13
Il rispetto delle forme dellazione dellamministrazione
costituisce un elemento essenziale nella valutazione dei
comportamenti degli apparati pubblici essendo prioritaria rispetto
alle valutazioni sul merito. Quindi Unattivit -seppur meritoria ed
opportuna -pu essere censurata, in quanto realizzata in virt di un
trattamento illecito dei dati. ( Es. lesclusione dalle graduatorie
per la L.104)
Slide 14
Costituzione Italiana, artt. 2, 3 e 13 Art. 2 La Repubblica
riconosce e garantisce i diritti inviolabili dell'uomo, sia come
singolo, sia nelle formazioni sociali ove si svolge la sua
personalit, e richiede l'adempimento dei doveri inderogabili di
solidariet politica, economica e sociale. Art. 3 Tutti i cittadini
hanno pari dignit sociale e sono eguali davanti alla legge, senza
distinzione di sesso, di razza, di lingua, di religione, di
opinioni politiche, di condizioni personali e sociali. compito
della Repubblica rimuovere gli ostacoli di ordine economico e
sociale, che, limitando di fatto la libert e la uguaglianza dei
cittadini, impediscono il pieno sviluppo della persona umana e
l'effettiva partecipazione di tutti i lavoratori all'organizzazione
politica, economica e sociale del Paese. Art. 13 La libert
personale inviolabile
Slide 15
(art.1) Chiunque ha diritto alla protezione dei dati personali
che lo riguardano (art.2)Il presente testo unico, di seguito
denominato "codice", garantisce che il trattamento dei dati
personali si svolga nel rispetto dei diritti e delle libert
fondamentali, nonch della dignit dell'interessato, con particolare
riferimento alla riservatezza, all'identit personale e al diritto
alla protezione dei dati personali
Slide 16
Art. 1. Oggetto del regolamento 1. Il presente regolamento,
identifica nelle schede allegate, le tipologie di dati sensibili e
giudiziari e di operazioni indispensabili per la gestione del
sistema dell'istruzione, nel perseguimento delle finalit di
rilevante interesse pubblico individuate dal codice e dalle
specifiche previsioni di legge.
Slide 17
Si tratta di Atti di Indirizzo, Interpretazioni del Garante
della Privacy su specifici argomenti e in specifici settori. Es.
come comportarsi con i temi a scuola,o come conciliare la
trasparenza nel sito della scuola col rispetto della privacy
Slide 18
Slide 19
una pluralit di informazioni Lattivit di una qualsiasi
amministrazione pubblica, comporta, inevitabilmente, lelaborazione
di una pluralit di informazioni assunte mediante strumenti cartacei
e successivamente rielaborate mediante strumenti elettronici Tali
informazioni sono, nella maggior parte dei casi, assunte mediante
strumenti cartacei e successivamente rielaborate mediante strumenti
elettronici
Slide 20
Perseguiti dallamministrazione scolastica implica l
acquisizione di dati concernenti : i lavoratori impegnati nelle
attivit di istruzione, di amministrazione e di collaborazione - i
lavoratori impegnati nelle attivit di istruzione, di
amministrazione e di collaborazione i beneficiari delle prestazioni
: gli studenti le proprie famiglie, i fornitori di beni e servizi.
- i beneficiari delle prestazioni : gli studenti le proprie
famiglie, i fornitori di beni e servizi.
Slide 21
delle informazioni ricevute per fini istituzionali, devono
perci avvenire : - Nel rispetto delle norme e dei valori assunti
dal nostro sistema - Con la possibilit di controllare la
circolazione delle informazioni di cui si viene in possesso.
Slide 22
Qualunque trattamento di dati personali da parte di soggetti
pubblici consentito soltanto per lo svolgimento delle funzioni
istituzionali delle funzioni istituzionali. Nel trattare i dati il
soggetto pubblico osserva i presupposti e i limiti stabiliti dal
codice, anche in relazione alla diversa natura dei dati, nonch
dalla legge e dai regolamenti. .. Il trattamento dei dati sensibili
da parte di soggetti pubblici Consentito solo se autorizzato da
espressa disposizione di legge
Slide 23
Art. 15 Danni cagionati per effetto del trattamento 1.Chiunque
cagiona danno ad altri per effetto del trattamento di dati
personali tenuto al risarcimento ai sensi dell'articolo 2050 del
codice civile. 2.Il danno non patrimoniale risarcibile anche in
caso di violazione dellarticolo 11. Art. 11. Modalit del
trattamento e requisiti dei dati 1. I dati personali oggetto di
trattamento sono: a) trattati in modo lecito e secondo
correttezza;b) raccolti e registrati per scopi determinati,
espliciti e legittimi, ed utilizzati in altre operazioni del
trattamento intermini compatibili con tali scopi; c) esatti e, se
necessario, aggiornati; d) pertinenti, completi e non eccedenti
rispetto alle finalit per le quali sono raccolti o successivamente
trattati;e) conservati in una forma che consenta lidentificazione
dellinteressato per un periodo di tempo non superiore a quello
necessario agli scopi per i quali essi sono stati raccolti o
successivamente trattati. 2. I dati personali trattati in
violazione della disciplina rilevante in materia di trattamento dei
dati personali non possono essere utilizzati.
Slide 24
Il trattamento dei dati viene qualificato come esercizio di
attivit pericolosa (art. 2050 c.c.) QUINDI Vale il principio
dellinversione dellonere della prova. Attenzione: laver adottato le
misure minime evita sanzioni amministrative o penali, ma non esime
da un eventuale risarcimento danni !!! Alcuni consigli Massima
discrezione Pochi scambi informativi tra colleghi. Pochi scambi
informativi tra colleghi. Nessuno scambio informativo con lesterno
Nessuno scambio informativo con lesterno
Slide 25
reati non informatici il ricorso alla tecnologia informatica
non determinante per il compimento dell'atto. Alcuni esempi:
ingiuria; diffamazione; minacce e molestie; trattamento illecito
dei dati personali e violazione della privacy; violazione dei
diritti d'autore.
Slide 26
reati informatici ricorso alla tecnologia informatica
determinante per il compimento dell'atto. Alcuni esempi: accesso
abusivo ad un sistema informatico e telematico, accesso abusivo ad
un sistema informatico e telematico, diffusione di programmi
diretti a danneggiare o interrompere un sistema; diffusione di
programmi diretti a danneggiare o interrompere un sistema;
danneggiamento informatico, danneggiamento informatico, detenzione
abusiva di codici di accesso a sistemi informatici o telematici;
detenzione abusiva di codici di accesso a sistemi informatici o
telematici; frode informatica. frode informatica.
Slide 27
SANZIONI AMMINISTRATIVE Art. 161 Informativa all'interessato
omessa o non idonea: da 3.000 a 18.000 (da 5.000 a 30.000 nei casi
di dati sensibili o giudiziari), (e fino al triplo) Omessa
informativa per dati sensibili o giudiziari o in caso di
trattamenti che presentano rischi specifici o di maggiore rilevanza
o di pregiudizio Sanzione da 5.000 a 30.000 Art. 161 Informativa
all'interessato omessa o non idonea: da 3.000 a 18.000 (da 5.000 a
30.000 nei casi di dati sensibili o giudiziari), (e fino al triplo)
Omessa informativa per dati sensibili o giudiziari o in caso di
trattamenti che presentano rischi specifici o di maggiore rilevanza
o di pregiudizio Sanzione da 5.000 a 30.000
Slide 28
Art. 162. Altre fattispecie 1. La cessione dei dati in
violazione di quanto previsto dall'articolo 16, comma 1, lettera
b), o di altre disposizioni in materia di disciplina del
trattamento dei dati personali punita con la sanzione
amministrativa del pagamento di una somma da cinquemila euro a
trentamila euro. 2. La violazione della disposizione di cui
all'articolo 84, comma 1, punita con la sanzione amministrativa del
pagamento di una somma da cinquecento euro a tremila euro.
Slide 29
Art. 163. Omessa o incompleta notificazione 1. Chiunque,
essendovi tenuto, non provvede tempestivamente alla notificazione
ai sensi degli articoli 37 e 38, ovvero indica in essa notizie
incomplete, punito con la sanzione amministrativa del pagamento di
una somma da diecimila euro a sessantamila euro e con la sanzione
amministrativa accessoria della pubblicazione dell'ordinanza-
ingiunzione, per intero o per estratto, in uno o pi giornali
indicati nel provvedimento che la applica. Art 164 Omessa
informazione o omessa esibizione dei documenti richiesti dal
Garante: da 4.000 a 24.000 . Art 164 Omessa informazione o omessa
esibizione dei documenti richiesti dal Garante: da 4.000 a 24.000
.
Slide 30
SANZIONI PENALI Art 167 Trattamento illecito di dati personali:
reclusione da 6 mesi a 3 anni. Art 168 False dichiarazioni o
comunicazioni al Garante: reclusione da 6 mesi a 3 anni. Art 169
Omessa adozione misure minime di sicurezza: arresto fino a 2 anni o
sanzione amministrativa, pagamento di una somma da 10.000 a 50.000
. Art 170 Inosservanza dei provvedimenti del Garante: reclusione da
3 mesi a 2 anni.
Slide 31
Art. 4-Definizioni Art. 5-Oggetto e ambito di applicazione
Artt. 28-30-Soggetti che effettuano il trattamento Artt.
33-35-Misure minime di sicurezza - Disciplinare tecnico allegato B
Artt. 95-96 Istruzione Artt. 161,167,169,170-Sanzioni
Slide 32
Cos il Trattamento dei dati Art. 4. Definizioni Art. 4.
Definizioni 1. Ai fini del presente codice si intende per: 1. Ai
fini del presente codice si intende per: a) "trattamento",
qualunque operazione o complesso di operazioni, effettuati anche
senza l'ausilio di strumenti elettronici, concernenti la raccolta,
la registrazione, l'organizzazione, la conservazione, la
consultazione, l'elaborazione, la modifica, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il
blocco, la comunicazione, la diffusione, la cancellazione e la
distruzione di dati, anche se non registrati in una banca di dati;
a) "trattamento", qualunque operazione o complesso di operazioni,
effettuati anche senza l'ausilio di strumenti elettronici,
concernenti la raccolta, la registrazione, l'organizzazione, la
conservazione, la consultazione, l'elaborazione, la modifica, la
selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati, anche se non registrati in
una banca di dati;
Slide 33
I profili oggettivi: i dati.ai sensi dellart.4 del Codice i
dati oggetto di trattamento si distinguono in sensibili giudiziari
personali identificativi
Slide 34
I dati costituiscono le informazioni inerenti individui,
persone giuridiche, enti o associazioni, usualmente utilizzati
dallamministrazione per le funzioni distituto. La cura delle
funzioni istituzionali implica necessariamente lacquisizione e
lelaborazione di dati, quindi, come gi osservato, si pu affermare
che non pu curarsi linteresse pubblico senza trattare dati
personali.
Slide 35
I dati personali Ai sensi dellart.4, comma 1, lett.b) del
Codice, integra "dato personale", qualunque informazione relativa a
persona fisica, persona giuridica, ente associazione, identificati
o identificabili, anche indirettamente, mediante riferimento a
qualsiasi altra informazione, ivi compreso un numero di
identificazione personale. Lett. c) "dati identificativi", i dati
personali che permettono l'identificazione diretta
dell'interessato; Eun dato personale ogni informazione, relativa ad
un individuo o una persona giuridica, ente o associazione che
permetta l'identificazione diretta dell'interessato. Alla luce di
siffatta definizione, evidente che, la maggior parte delle
informazioni attinenti agli individui o alle persone giuridiche,
enti o associazioni, debbano ricondursi nellambito dei dati
personali.
Slide 36
I dati sensibili Art. 4 lett. d) "dati sensibili", i dati
personali idonei a rivelare l'origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o
sindacale, nonch i dati personali idonei a rivelare lo stato di
salute e la vita sessuale;
Slide 37
Il legislatore ha caratterizzato i dati sensibili,
identificandoli come i dati personali espressivi dei valori
qualificanti la personalit dell individuo o del gruppo. Non si
hanno quindi distinzioni fra individui e collettivit, pi o meno
organizzate: le informazioni inerenti i convincimenti di un gruppo
godono della medesima tutela delle corrispondenti informazioni
relative al singolo. ma non per questo lamministrazione pu
esautorare la normativa esistente per i dati sensibili.
Linteressato cui si riferiscono le informazioni, pu anche non
prestare alcuna attenzione alla riservatezza delle stesse,
ostentando addirittura i valori in cui si riconosce (si pensi
allesibizione di una spilla raffigurante un logo sindacale o
politico), ma non per questo lamministrazione pu esautorare la
normativa esistente per i dati sensibili.
Slide 38
Il dato conserva la sua qualit a prescindere dalla sua
conoscibilit per fatto dellinteressato. Anche linattualit del dato
non incide sulle condizioni del trattamento. Si pensi
allappartenenza ad unorganizzazione sindacale di un lavoratore che
si sia, successivamente, dissociato dalla linea dellorganizzazione,
ma non abbia informato lamministrazione. Lapparato pubblico
comunque tenuto a proteggere il dato sensibile, anche qualora il
lavoratore non condivida pi i valori insiti nel dato stesso
Lapparato pubblico comunque tenuto a proteggere il dato sensibile,
anche qualora il lavoratore non condivida pi i valori insiti nel
dato stesso
Slide 39
Sul punto si pronunciato il Garante per la protezione dei dati
personali, con riferimento alle riprese video ed alle fotografie
raccolte dai genitori, durante recite e saggi scolastici. Il
Garante ha espressamente sancito che le riprese, sebbene possano
avere ad oggetto minori con disabilit fisiche, non violano la
privacy,in quanto non destinate a diffusione, ma raccolte per fini
personali e destinate ad un ambito familiare o amicale. Il Garante
ha espressamente sancito che le riprese, sebbene possano avere ad
oggetto minori con disabilit fisiche, non violano la privacy,in
quanto non destinate a diffusione, ma raccolte per fini personali e
destinate ad un ambito familiare o amicale. Garante per la
protezione dei dati personali, Newsletters dell8-21 dicembre
Slide 40
Dalla pronuncia, per converso, si deduce che le suddette
immagini, qualora fossero raccolte dallistituzione scolastica, per
fini promozionali (archiviazione nel sito istituzionale) o
commerciali (vendita delle videocassette relative alle stesse
recite, ovvero produzione e vendita di calendari con le immagini
delle classi), coinvolgendo minori e raffigurando, eventualmente,
anche portatori di disabilit varie, dovrebbero essere precluse, in
quanto non afferenti allofferta formativa.
Slide 41
I dati giudiziari Lart.4, comma 1, lett. e) del Codice,
qualifica come dati giudiziari, i dati personali idonei a rivelare
provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e
da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di
casellario giudiziale, di anagrafe delle sanzioni amministrative
dipendenti da reato e dei relativi carichi pendenti, o la qualit di
imputato o di indagato ai sensi degli articoli 60 e 61 del codice
di procedura penale. Tale definizione circoscrive le informazioni
da assoggettarsi alla pi stringente disciplina dei dati
giudiziari.
Slide 42
LINTERESSATO O LA PERSONA PRESSO LA QUALE SONO RACCOLTI I DATI
PERSONALI SONO PREVIAMENTE INFORMATI ORALMENTE O PER ISCRITTO.
Slide 43
I dati dellinteressato possono essere usati a seconda dei vari
casi con o senza il suo consenso
Slide 44
Consenso(Art. 23) 1. ammesso solo con il consenso espresso 2.
Il consenso validamente prestato solo 1. se espresso liberamente 2.
se documentato per iscritto 3. se sono state rese all'interessato
le informazioni di cui all'articolo 13. 3. in forma scritta quando
il trattamento riguarda dati sensibili (e ricordarsi che occorre la
notifica!!!)
Slide 45
45 In alcuni casi il trattamento pu essere effettuato senza il
consenso degli interessati. Il consenso non sempre necessario
Slide 46
46 Il consenso non necessario se I dati sono stati raccolti e
sono conservati perch cos prescrive la legge o un regolamento o una
norma comunitaria.
Slide 47
47 Il consenso non necessario Quando il trattamento necessario
per adempiere a specifici obblighi o compiti previsti dalla legge,
da un regolamento o dalla normativa comunitaria per la gestione del
rapporto di lavoro, anche in materia di igiene e sicurezza del
lavoro e della popolazione e di previdenza e assistenza.
Slide 48
48 Il consenso non necessario se Il trattamento di dati
necessario per adempiere agli obblighi previsti da un
contratto.
Slide 49
49 Il consenso non necessario se I dati sono ricavati da
pubblici registri, atti o documenti che chiunque pu conoscere.
Slide 50
50 Linformativa In tutti gli altri casi si deve informare
linteressato dei trattamenti che si vogliono effettuare con una
informativa.
Slide 51
51 Nellinformativa necessario specificare Quali sono gli scopi
e le modalit del trattamento Se l'interessato obbligato o no a
fornire i dati Quali sono le conseguenze se i dati non vengono
forniti
Slide 52
52 Nellinformativa necessario specificare I soggetti o le
categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualit di
responsabili o incaricati, e l'ambito di diffusione dei dati
medesimi
Slide 53
53 Nellinformativa necessario specificare Quali sono i diritti
riconosciuti all'interessato
Slide 54
54 Nellinformativa necessario specificare Se i dati sono presso
l'interessato, oppure presso terzi
Slide 55
55 Nellinformativa necessario specificare Chi sono il titolare
e il responsabile del trattamento e dove sono raggiungibili
(indirizzo, telefono, fax ecc.). Se il titolare ha designato pi
responsabili indicato almeno uno di essi, indicando il sito della
rete di comunicazione o le modalit attraverso le quali conoscibile
in modo agevole lelenco aggiornato dei responsabili.
informativa
Slide 56
56 Nellinformativa necessario specificare I diritti
dellinteressato Previsti dallart. 7 e le modalit di ricorso al
Garante in caso di Trattamento dei dati contrastante Con la norma
vigente
Slide 57
La legge sulla privacy riconosce all'interessato alcuni
importanti diritti nel trattamento dei propri dati personali
Slide 58
58 Definizione di Interessato Linteressato la persona fisica,
la persona giuridica, l'ente o l'associazione cui si riferiscono i
dati personali
Slide 59
59 Il diritto di accesso ai propri dati personali direttamente
presso chi li detiene (titolare del trattamento) - ossia il diritto
di ottenere la conferma della loro esistenza e la loro
comunicazione e di sapere da dove sono stati acquisiti e quali sono
i criteri e gli scopi del trattamento, in questo caso il titolare
pu chiedere il pagamento di una somma ("contributo spese") se non
detiene dati dell'interessato. Il diritto di accessoai propri
dati
Slide 60
60 Il diritto di ottenere la cancellazione o il blocco di dati
che sono trattati violando la legge (ad esempio, perch non stato
chiesto il consenso). Tali diritti possono essere esercitati anche
quando non ci sono pi motivi validi per conservare i dati Il
diritto di ottenere la cancellazione o il blocco
Slide 61
61 Il diritto di aggiornare, correggere o integrare i dati
inesatti e incompleti. Il diritto di aggiornare i dati
inesatti
Slide 62
62 Il diritto di opporsi, per motivi legittimi, al trattamento
dei propri dati. Il diritto di opporsi al trattamento dei propri
dati
Slide 63
63 Il diritto di opporsi al trattamento dei propri dati per
scopi di informazione commerciale o per l'invio di materiale
pubblicitario o di vendita diretta, oppure per ricerche di mercato
Il diritto di opporsi al trattamento dei propri dati per scopi
commerciali
Slide 64
Slide 65
ll Titolare ll Titolare Il Responsabile Il Responsabile
Lincaricato Lincaricato Il Garante Il Garante Il RESPONSABILE del
Sistema informativo Il RESPONSABILE del Sistema informativo (
d.lgs. 39/93 Norme in materia di sistemi informativi automatizzati
delle PA )
Slide 66
IL TITOLARE Lart.4, comma 1, lett. f) del Codice delinea la
figura del titolaredel trattamento quale: la persona fisica, la
persona giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione od organismo cui competono, anche unitamente ad
altro titolare, le decisioni in ordine alle finalit, alle modalit
del trattamento di dati personali e agli strumenti utilizzati, ivi
compreso il profilo della sicurezza.
Slide 67
Lart.29, comma 5 del Codice che, al fine di precisare i
rapporti fra titolare e responsabile del trattamento, dispone che:
Lart.29, comma 5 del Codice che, al fine di precisare i rapporti
fra titolare e responsabile del trattamento, dispone che: il
responsabile effettua il trattamento attenendosi alle istruzioni
impartite dal titolare il quale, anche tramite verifiche
periodiche, vigila sulla puntuale osservanza delle disposizioni e
delle proprie istruzioni. il responsabile effettua il trattamento
attenendosi alle istruzioni impartite dal titolare il quale, anche
tramite verifiche periodiche, vigila sulla puntuale osservanza
delle disposizioni e delle proprie istruzioni.
Slide 68
Da ci si evince che: il titolare deve impartire istruzioni il
medesimo deve procedere a verifiche periodiche al fine di
assicurare il rispetto delle prescrizioni dirette a disciplinare il
trattamento dei dati
Slide 69
Il titolare l'entit nel suo complesso (ad esempio, la societ,
il ministero, l'ente pubblico, ecc..) taluna delle persone fisiche
che operano nella relativa struttura e che concorrono, in concreto,
ad esprimerne la volont o che sono legittimati a manifestarla
all'esterno (ad esempio, l'amministratore delegato, il ministro, il
direttore generale, il presidente, il legale rappresentante,
ecc.).
Slide 70
Lintestazione della qualit di titolare del trattamento dei dati
personali in capo allistituzione scolastica, allAmbito Terr.,
allUSR, al Dipartimento ministeriale, implica che le attivit
connesse a tale ruolo(ossia ladozione di istruzioni e la vigilanza)
debbano essere esercitate da chi legittimato a manifestare la
volont dellistituzione scolastica, ossia, rispettivamente, il
Dirigente scolastico, il Dirigente dellAmbito Territoriale, il
Direttore regionale, il Capo Dipartimento. Lintestazione della
qualit di titolare del trattamento dei dati personali in capo
allistituzione scolastica, allAmbito Terr., allUSR, al Dipartimento
ministeriale, implica che le attivit connesse a tale ruolo(ossia
ladozione di istruzioni e la vigilanza) debbano essere esercitate
da chi legittimato a manifestare la volont dellistituzione
scolastica, ossia, rispettivamente, il Dirigente scolastico, il
Dirigente dellAmbito Territoriale, il Direttore regionale, il Capo
Dipartimento.
Slide 71
Tali soggetti dovranno quindi attivarsi per garantire il
rispetto delle prescrizioni vigenti, assumendosi altres le
(proprie) responsabilit rispetto a comportamenti omissivi e/o
negligenti. Tali soggetti dovranno quindi attivarsi per garantire
il rispetto delle prescrizioni vigenti, assumendosi altres le
(proprie) responsabilit rispetto a comportamenti omissivi e/o
negligenti.
Slide 72
Il responsabile del trattamento Lart.4, comma 1, lett. g) del
Codice, precisa che per responsabile del trattamento", deve
intendersi la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo
preposti dal titolare al trattamento di dati personali.
Slide 73
Il responsabile designato dal titolare facoltativamente. Se
designato, il responsabile individuato tra soggetti che per
esperienza, capacit ed affidabilit forniscano idonea garanzia del
pieno rispetto delle vigenti disposizioni in materia di
trattamento, ivi compreso il profilo relativo alla sicurezza. Ove
necessario per esigenze organizzative, possono essere designati
responsabili pi soggetti, anche mediante suddivisione di compiti. I
compiti affidati al responsabile sono analiticamente specificati
per iscritto dal titolare
Slide 74
Tali disposizioni inducono a ritenere che: ove si ha un
trattamento dei dati, mentre sempre individuabile un titolare, non
necessariamente si ha un responsabile la designazione del
responsabile deve essere formalizzata(atto del preporre)
Slide 75
Lindividuazione del responsabile, presso gli apparati
scolastici, integra una valutazione del Dirigente scolastico,
fondata sullesame delle funzioni espletate dal personale in
servizio presso listituzione. Direttore dei Servizi Generali
Amministrativi (D.S.G.A.) lattribuzione al medesimo della qualit di
responsabile del trattamento, appare come ipotesi pi
accreditata.
Slide 76
Lincaricato del trattamento Ai sensi dellart.4, comma 1, lett.
h) del Codice, possono qualificarsi come "incaricati", solo le
persone fisiche autorizzate a compiere operazioni di trattamento
dei dati dal titolare o dal responsabile. Lart.30 del Codice, a sua
volta, precisa che: Le operazioni di trattamento possono essere
effettuate solo da incaricati che operano sotto la diretta autorit
del titolare o del responsabile, attenendosi alle istruzioni
impartite La designazione effettuata per iscritto e individua
puntualmente l'ambito del trattamento consentito. Si considera tale
anche la documentata preposizione della persona fisica ad una unit
per la quale individuato, per iscritto, l'ambito del trattamento
consentito agli addetti all'unit medesima
Slide 77
Da tali definizioni si evince che: ove si ha un trattamento dei
dati, mentre sempre individuabile un titolare, non necessariamente
si ha un incaricato Lincaricato deve essere designato o dal
responsabile o dal titolare del trattamento La designazione non
necessariamente nominativa potendosi procedere ad una designazione
impersonale, ossia nei confronti di tutti gli addetti ad
ununit
Slide 78
Lindividuazione degli incaricati costituisce una scelta
ponderata sulla base dei compiti e della collocazione nella
struttura, di competenza del titolare e/o del responsabile.
Slide 79
Laffermazione contenuta nella Direttiva PCM- DFP n.1 del 2005,
secondo cui gli incaricati sarebbero i soli che possono
materialmente effettuare le operazioni di trattamento di dati
personali, deve essere interpretata nel senso che . . oltre al
titolare ed al responsabile, gli incaricati sono gli unici soggetti
legittimati a trattare dati personali allinterno degli apparati
pubblici.
Slide 80
Il Codice ammette di qualificare come incaricati tutti gli
addetti impegnati presso una certa struttura (es.: la segreteria
dellistituto, ovvero lufficio relativo al personale o la ragioneria
..)
Slide 81
Il personale docente tratta dati dellalunno ( registro di
classe, del prof., scheda alunno, notizie dellalunno diversamente
abile, gli elaborati) Pertanto il docente viene incaricato del
trattamento dei dati Gli incaricati dovranno attenersi alle misure
di sicurezza previste dal codice ed alle ulteriori direttive ed
istruzioni adottate dallIstituzione Scolastica, in armonia con
quanto previsto nel DPS(Documento Programmatico sulla
Sicurezza)
Slide 82
IL GARANTE - www.garanteprivacy.it 1. Opera in piena autonomia
e con indipendenza 2. E organo collegiale costituito da quattro
componenti esperti di riconosciuta competenza delle materie del
diritto o dell'informatica, 3. I componenti eleggono nel loro
ambito un presidente, 4. Il presidente e i componenti durano in
carica quattro anni e non possono essere confermati per pi di una
volta; 5. il presidente e i componenti non possono esercitare, a
pena di decadenza, alcuna attivit professionale o di consulenza, n
essere amministratori o dipendenti di enti pubblici o privati, n
ricoprire cariche elettive.
Slide 83
RESPONSABILE del Sistema informativo dlgs 39/93 Norme in
materia di sistemi informativi automatizzati delle PA E il
referente cui compete la pianificazione degli interventi di
automazione e lindividuazione delle misure di sicurezza informatica
L'attribuzione delle funzioni di amministratore di sistema deve
avvenire previa valutazione delle caratteristiche di esperienza,
capacit e affidabilit del soggetto designato, il quale deve fornire
idonea garanzia del pieno rispetto delle vigenti disposizioni in
materia di trattamento, ivi compreso il profilo relativo alla
sicurezza. Anche quando le funzioni di amministratore di sistema o
assimilate sono attribuite solo nel quadro di una designazione
quale incaricato del trattamento ai sensi dell'art. 30 del Codice,
il titolare e il responsabile devono attenersi comunque a criteri
di valutazione equipollenti a quelli richiesti per la designazione
dei responsabili ai sensi dell'art. 29.
Slide 84
Gli Incarichi LINEE GUIDA IN MATERIA DI SICUREZZA PER IL
DOCENTE INCARICATO DEL TRATTAMENTO Vengono di seguito indicate le
misure operative da adottare per garantire la sicurezza dei dati
personali e, in particolare, dei dati sensibili e giudiziari: -
Custodire in apposito armadio dotato di serratura nella stanza
individuata come sala professori delledificio i seguenti documenti:
1-Registro personale 2-Certificati medici esibiti dagli alunni a
giustificazione delle assenze 3-Qualunque altro documento
contenente dati personali o sensibili degli alunni
Slide 85
Verificare la corretta funzionalit dei meccanismi di chiusura
dellarmadio, segnalando tempestivamente al responsabile di sede
eventuali anomalie. - Consegnare il registro di classe al
collaboratore scolastico incaricato, al termine delle attivit
didattiche giornaliere, per la sua custodia in apposito armadio
dotato di serratura nella stanza individuata come sala professori
delledificio. - Seguire le istruzioni del docente responsabile
dellaula di informatica. - Seguire le istruzioni del docente
responsabile di sede nel caso di trattamento dei dati personali per
fini diversi da quelli relativi ai punti 1 e 2. - Tutte le
comunicazioni indirizzate agli uffici della sede centrale, ad altro
personale della scuola e al dirigente scolastico debbono essere
consegnate in busta chiusa al responsabile di sede o al protocollo
della sede centrale. Non consentito, se non espressamente
autorizzato, lutilizzo del fax, della posta elettronica e dei
collegamenti alla rete internet per il trattamento dei dati
personali.
Slide 86
Per i docenti che utilizzano laula di informatica (nel caso di
trattamento di dati personali) e per il responsabile dellaula di
informatica: Seguire le seguenti istruzioni operative per lutilizzo
dei personal computers : Non lasciare floppy disk, cartelle o altri
documenti a disposizione di estranei; Non consentire laccesso ai
dati a soggetti non autorizzati; Riporre i supporti in modo
ordinato negli appositi contenitori e chiudere a chiave
classificatori e armadi dove sono custoditi;
Slide 87
Scegliere una password con le seguenti caratteristiche:
originale composta da otto caratteri che contenga almeno un numero
che non sia facilmente intuibile, evitando il nome proprio, il nome
di congiunti, date di nascita e comunque riferimenti alla propria
persona o lavoro facilmente ricostruibili curare la conservazione
della propria password ed evitare di comunicarla ad altri; cambiare
periodicamente (almeno una volta ogni tre mesi) la propria
password;
Slide 88
modificare prontamente (ove possibile) la password assegnata
dal custode delle credenziali; trascrivere su un biglietto chiuso
in busta sigillata e controfirmata la nuova password e consegnarla
al custode delle credenziali; spegnere correttamente il computer al
termine di ogni sessione di lavoro; non abbandonare la propria
postazione di lavoro senza aver spento la postazione di lavoro o
aver inserito uno screen saver con password; comunicare
tempestivamente al Titolare o al Responsabile qualunque anomalia
riscontrata nel funzionamento del computer;
Slide 89
utilizzare le seguenti regole per la posta elettronica: non
aprire documenti di cui non sia certa la provenienza non aprire
documenti di cui non sia certa la provenienza non aprire
direttamente gli allegati ma salvarli su disco e controllarne il
contenuto con un antivirus non aprire direttamente gli allegati ma
salvarli su disco e controllarne il contenuto con un antivirus
controllare accuratamente lindirizzo dei destinatario prima di
inviare dati personali controllare accuratamente lindirizzo dei
destinatario prima di inviare dati personali
92 Area personale Contabilit Direttore amministrativo Area
didattica Area affari generali
Slide 93
93 Le aree di trattamento Didattica Dati relativi agli alunni
Personale Gestione del personale Contabilit Stipendi Archivi
relativi ai fornitori Affari generali Protocollo Archivio Rapporti
con enti e imprese
Slide 94
94 DATI PERSONALI Cartaceo Fascicolo personale Curriculum studi
Dati personali Dati dei genitori Fotografia Registro iscrizioni
Registro tasse scolastiche Registro certificati Registro diplomi
Area didattica / Dati relativi agli alunni
Slide 95
95 DATI SENSIBILI Cartaceo Cittadinanza Convinzione religiosa
Stato di salute Situazione di handicap Vaccinazioni Art.22 comma 7:
i dati relativi allo stato di salute sono conservati separatamente
da altri dati personali Area didattica / Dati relativi agli
alunni
Slide 96
96 COMUNICAZIONE dati personali Cartaceo Elenchi di classe
Elenchi elettorali Registri di classe Registro del professore
Registro dei consigli di classe Registro dei voti Registro esiti
esami e idoneit Area didattica / Dati relativi agli alunni
Slide 97
97 COMUNICAZIONE dati personali Cartaceo Invio registri Ambito
Territoriale Pratica Infortuni (INAIL Assicurazione Pubblica
Sicurezza) Pratiche Viaggi istruzione (passaporto collettivo visto)
Documentazione viaggi studio (foto + dati personali) Area didattica
/ Dati relativi agli alunni
Slide 98
98 COMUNICAZIONE dati sensibili Cartaceo Diagnosi
Funzionale>Docenti Gruppo Handicap Stato di salute> Personale
di mensa Docenti Ed.Fisica Convinzioni religiose>Docenti
Consiglio Classe Docenti mensa Area didattica / Dati relativi agli
alunni
Slide 99
99 DIFFUSIONE DATI Cartaceo Finalit Istituzionali> elenchi
di classe > esiti scrutini ed esami Finalit non
Istituzionali> privati N.B.= Art. 96 si possono diffondere solo
su richiesta degli interessati Area didattica / Dati relativi agli
alunni
Slide 100
100 CUSTODIA Archivio> presso lufficio didattica
Archivio> luogo dove si conservano i dati Dati informatici
backup (disco da conservare in cassaforte) Area didattica / Dati
relativi agli alunni
Slide 101
101 SOGGETTI COINVOLTI Area didattica / Dati relativi agli
alunni Dirigente Scolastico Collaboratori del D.S. Direttore SGA
Assistenti Amministrativi Area Didattica Docenti Tecnici
informatica ( password chiave dingresso dati) Collaboratori
Scolastici
Slide 102
102 DATI PERSONALI Area personale / Gestione del personale
Cartaceo Fascicolo personale Dati personali Dati dei familiari
Servizio prestato Curricolo studi Aggiornamento e Formazione
Slide 103
103 DATI SENSIBILI Cartaceo Cittadinanza Convinzione religiosa
Iscrizione sindacati Stato di salute Situazione di handicap
Situazioni familiari Procedimenti disciplinari Art.22 comma 7: i
dati relativi allo stato di salute sono conservati separatamente da
altri dati personali Area personale / Gestione del personale
Slide 104
104 COMUNICAZIONE dati personali Cartaceo Elenchi del personale
Elenchi elettorali Registro dei consigli di classe Registro dei
voti Registro esiti esami e idoneit Pratiche viaggi istruzione
Invio dati al CSA INPS INPDAP Servizi Vari (MEF) Ragioneria (MEF)
Altre scuole Area personale / Gestione del personale
Slide 105
105 COMUNICAZIONE dati sensibili Cartaceo Pratica
infortuni>INAIL Assicurazione Pubbl. Sicurezza Stato di
salute> Personale di Mensa ASL per accertamenti Convinzioni
religiose>Dirigente Scolastico (orario/altro) Mensa Area
personale / Gestione del personale
Slide 106
106 DIFFUSIONE DATI Cartaceo Finalit non Istituzionali>
privati N.B.= Art.96 si possono diffondere solo su richiesta degli
interessati Organigramma nominativo Graduatorie Piano lavoro
personale ATA Contratti Nomine / Incarichi nominativi Finalit
istituzionali Area personale / Gestione del personale
Slide 107
107 CUSTODIA Archivio> presso lufficio del personale
Archivio> luogo dove si conservano i dati Dati informatici
backup (disco da conservare in cassaforte) Area personale /
Gestione del personale
Slide 108
108 SOGGETTI COINVOLTI Dirigente Scolastico Collaboratori del
D.S. Direttore SGA Assistenti Amministrativi Area Personale Tecnici
informatica ( password chiave dingresso dati) Collaboratori
Scolastici Area personale / Gestione del personale
Slide 109
109 DATI PERSONALE Area Contabilit / Stipendi Dati personali
Dati nucleo familiare Situazioni stipendiali Ritenuta sindacale
Esistenza particolari situazioni (pignoramenti, assegni
mantenimento, cessioni ecc) Cedola stipendi e accessori Registro
stipendi
Slide 110
110 COMUNICAZIONE dati personale Cartaceo INPS ex INPDAP
SERVIZI VARI (MEF) RAGIONERIA (MEF) Altre scuole Area Contabilit /
Stipendi
Slide 111
111 ALTRI DATI TRATTATI Area Contabilit Area affari generali
Protocollo, archivio, rapporti con enti e imprese. Anagrafe
prestazioni (personale interno ed esterno) Contratti o convenzioni
con soggetti esterni Elenco fornitori
Slide 112
112 CUSTODIA Area Contabilit / Stipendi & Archivi relativi
ai fornitori Archivio> presso lufficio amministrativo
Archivio> luogo dove si conservano i dati Dati informatici
backup (disco da conservare in cassaforte)
Slide 113
113 SOGGETTI COINVOLTI Dirigente Scolastico Collaboratori del
D.S. Direttore SGA Assistenti Amministrativi Area Amministrativa e
Affari Generali Tecnici informatica ( password chiave dingresso
dati) Assistenti Tecnici Collaboratori Scolastici Area Contabilit /
Stipendi & Archivi relativi ai fornitori
Slide 114
114 Privacy ed accesso ai documenti Lart. 24 c.3 della legge
241/90 stato integrato dallart. 176 del Codice il quale prevede che
dopo le parole mediante strumenti Informatici sono inserite le
seguenti fuori dei casi di accesso a dati personali da parte della
persona a cui i dati si riferiscono
Slide 115
115 Art. 59 Fatto salvo quanto previsto dall'articolo 60, i
presupposti, le modalit, i limiti per l'esercizio del diritto di
accesso a documenti amministrativi contenenti dati personali, e la
relativa tutela giurisdizionale, restano disciplinati dalla legge 7
agosto 1990, n. 241, e successive modificazioni e dalle altre
disposizioni di legge in materia, nonch dai relativi regolamenti di
attuazione, anche per ci che concerne i tipi di dati sensibili e
giudiziari e le operazioni di trattamento eseguibili in esecuzione
di una richiesta di accesso. Le attivit finalizzate
all'applicazione di tale disciplina si considerano di rilevante
interesse pubblico.
Slide 116
116 Art. 60 Quando il trattamento concerne dati idonei a
rivelare lo stato di salute o la vita sessuale, il trattamento
consentito se la situazione giuridicamente rilevante che si intende
tutelare con la richiesta di accesso ai documenti amministrativi di
rango almeno pari ai diritti dell'interessato, ovvero consiste in
un diritto della personalit o in un altro diritto o libert
fondamentale e inviolabile.
Slide 117
117 Art. 67 1. Si considerano di rilevante interesse pubblico,
ai sensi degli articoli 20 e 21, le finalit di: a) verifica della
legittimit, del buon andamento, dell'imparzialit dell'attivit
amministrativa, nonch della rispondenza di detta attivit a
requisiti di razionalit, economicit, efficienza ed efficacia per le
quali sono, comunque, attribuite dalla legge a soggetti pubblici
funzioni di controllo, di riscontro ed ispettive nei confronti di
altri soggetti; b) accertamento, nei limiti delle finalit
istituzionali, con riferimento a dati sensibili e giudiziari
relativi ad esposti e petizioni, ovvero ad atti di controllo o di
sindacato ispettivo di cui all'articolo 65, comma 4. Revisori dei
conti
Slide 118
118 Art. 68 Si considerano di rilevante interesse pubblico, ai
sensi degli articoli 20 e 21, le finalit di applicazione della
disciplina in materia di concessione, liquidazione, modifica e
revoca di benefici economici, agevolazioni, elargizioni, altri
emolumenti e abilitazioni. 2. Si intendono ricompresi fra i
trattamenti regolati dal presente articolo anche quelli
indispensabili in relazione: a) alle comunicazioni, certificazioni
ed informazioni previste dalla normativa antimafia..
Slide 119
Richiesta di informazioni del genitore Non chiudere la porta
alla famiglia; Mediazione 1: chiacchierata informale e generica con
il genitore,utile per apprendere elementi sufficienti per
esercitare la sua funzione; Mediazione 2: dirottare la richiesta su
un docente particolarmente stimato dallalunno e dalla famiglia;
Mediazione 3: attenuare il contrasto utilizzando equilibrio e
diplomazia, evidenziando la situazione dellalunno e il contestuale
diritto del genitore obbligato al mantenimento.
Slide 120
Richiesta di accesso del genitore Occorre richiesta formale di
accesso motivata (interesse concreto ed effettivo); notifica al
controinteressato (completezza del contraddittorio in un giudizio
di accesso coinvolgente la riservatezza di terzi giur. non univoca
sul carattere impugnatorio del giudizio) Operare sempre
bilanciamento degli interessi; Allobbligo di mantenimento collegato
il diritto di conoscere il comportamento del figlio in ordine alle
materie oggetto della prestazione (mantenimento, educazione,
istruzione). Il genitore agisce anche per ottemperare al suo dovere
di garantire unadeguata istruzione al figlio Lobbligo di
mantenimento si affievolisce in caso di comprovato atteggiamento di
inerzia del maggiorenne (TAR Bari Sez. Prima sentenza
n2782/2003)
Slide 121
Visita ispettiva -Segnalazione dei genitori La difesa degli
interessi incisi dallattivit amministrativa non pu prescindere
dalla conoscenza anche degli atti dei terzi che ne hanno costituito
il presupposto (cfr. C.d.S., Sez. VI, 22.1.2001) TAR Piemonte
(Sentenza n716, del 18 novembre 1999): accesso integrale agli atti
del procedimento disponendo loscuramento dei nominativi dei
genitori; La disposizione presa in chiave di bilanciamento degli
interessi; Tutelare coloro che hanno sollecitato, con il proprio
esposto, lazione repressiva o ispettiva, onde evitare possibili
comportamenti ritorsivi (TAR Lombardia - Milano, Sez IV
dell08-11-2004, n5716)
Slide 122
Richiesta di accesso ai registri scolastici La conoscenza dei
documenti necessaria per curare o difendere i propri interessi
giuridici; La richiesta va sempre adeguatamente motivata;
Giurisprudenza prevalente (si veda ad esempio TAR Toscana
6266/2004): la visione dei soli dati dellalunno consente di
tutelare adeguatamente gli interessi dello stesso;
Slide 123
Dati relativi agli altri alunni della classe -1 La conoscenza
di tali dati esula dall'interesse personale dei ricorrenti;
Ingerenza nella sfera di riservatezza di altri soggetti; Non
ammissibile unanalisi comparativa completa circa la valutazione ed
i metodi adottati dai professori con riguardo a tutta la classe
(T.A.R Calabria 2314/2000); Non ammissibile un generico controllo
dellattivit posta in essere dal corpo insegnante; Sindacato sugli
atti che riguardano gli altri alunni: astrattamente ammissibile in
caso di rilevanti episodi di disparit di trattamento.
Slide 124
Dati relativi agli altri alunni della classe -2 Nellambito
scolastico, non esiste competizione tra gli alunni; in linea
tendenziale, nessuna utilit deriva dalla comparazione con il
profitto scolastico di altri alunni; E astrattamente ammissibile in
sede di giudizio, la verifica di altre valutazioni, come sintomi di
una generale irregolarit delle procedure eseguite, di fronte ad
interessi di notevole rilevanza giuridica; Il sindacato si ferma
alla verifica delle regole procedimentali TAR Lombardia (Sentenza
501/2005); Spetta al Consiglio di Classe giudicare se le lacune di
un alunno siano tali da dover essere ritenute molto gravi. Si
tratta di un apprezzamento discrezionale di carattere
tecnico-didattico sindacabile solo in presenza di evidenti
illogicit.
Slide 125
Accesso agli atti del collegio docenti Il componente di un
organo collegiale dellAmministrazione ha un qualificato interesse
concreto e diretto a disporre delle copie dei verbali e di ogni
altro atto; in quanto titolare del munus pu disporre di detti atti
per una pi attenta verifica, studio ed approfondimento degli stessi
(Sentenza 3042/2005 del Consiglio di Stato) La qualit di componente
di organi collegiali abilita a poter disporre di ogni utile
risultanza documentale, fatti salvi i casi di segretazione,
elencati allart. 24 della Legge 241/90 Si rivela a volte
insufficiente la conoscenza dei contenuti acquisibile attraverso la
pubblicazione degli stessi presso l'albo (come per i verbali del
Consiglio d'Istituto) o la rituale lettura del verbale relativo
alla riunione precedente (come per i verbali del Collegio
docenti).
Slide 126
COSA E' IL DPS Il DPS un manuale di pianificazione della
sicurezza dei dati in azienda: descrive come si tutelano i dati
personali di dipendenti, collaboratori, clienti, utenti, fornitori
ecc. in ogni fase e ad ogni livello (fisico, logico, organizzativo)
e come si tuteleranno in futuro (programmazione, implementazione
misure, verifiche, analisi dei risultati ecc.). SCOPO DEL DPS
descrivere la situazione attuale(analisi dei rischi,distribuzione
dei compiti, misure approntate, distribuzione delle responsabilit
ecc.) il percorso di adeguamento prescelto dalla struttura per
adeguarsi alla normativa privacy.
Slide 127
il documento deve avere data certa e deve essere aggiornato
annualmente. Il testo unico impone come data per la redazione e
l'aggiornamento il 31 marzo di ogni anno Una copia del DPS deve
essere custodita presso la sede per essere consultabile e deve
essere esibita in caso di controlli. Il titolare del trattamento
deve dare conto nella relazione accompagnatoria del bilancio
annuale dell'avvenuta redazione/aggiornamento del DPS.
Slide 128
Per redigere il DPS il dirigente scolastico deve provvedere: A
nominare uno o pi responsabili; A nominare gli incaricati; A
disporre affinch si proceda al censimento dei trattamenti
nell'organizzazione per potere effettuare le notificazioni; Ad
emanare un regolamento sul trattamento, la comunicazione e la
diffusione dei dati; A predisporre l'informativa; Ad adottare un
piano per aumentare le misure di sicurezza
Slide 129
IL D.P.S. CONTIENE Lelenco dei trattamenti dei dati personali
La distribuzione dei compiti e delle responsabilit in ordine al
trattamento Lanalisi dei rischi che incombono sui dati Le misure
atte a garantire la disponibilit e lintegrit dei dati,la protezione
delle aree e dei locali
Slide 130
Lelenco dei trattamenti dei dati personali individuazione delle
risorse da proteggere quelle cio che trattano dati personali e/o
sensibili Luoghi fisici Risorse hardware Risorse dati Risorse
software La distribuzione dei compiti e delle responsabilit in
ordine al trattamento Il responsabile designato dal titolare
facoltativamente
Slide 131
CONTIENE ANCORA Criteri per il ripristino dei dati in seguito e
distruzione o danneggiamento Previsione di interventi formativi per
gli incaricati Procedure in caso di affidamento del trattamento
allesterno Criteri da adottare per la cifratura dei dati
sensibili
Slide 132
Lanalisi dei rischi che incombono sui dati I rischi sono
Distruzione o perdita anche accidentale dei dati Accesso non
autorizzato Trattamento non consentito o non conforme alle finalit
di raccolta
Slide 133
Le misure atte a garantire la disponibilit e lintegrit dei dati
la protezione delle aree e dei locali Misure Antintrusione Contro
allagamenti, incendi Contro il furto o accesso di persone non
autorizzate Contro la cancellazione non autorizzata di dati o la
manomissione
Slide 134
ABOLIZIONE DEL D.P.S. La conversione del Decreto Legge n. 5 del
9 febbraio 2012 ( c.d. Decreto semplificazioni ), avvenuta con la
Legge 4 aprile 2012 n. 35, conferma definitivamente la soppressione
dellobbligo in capo a titolari di trattamento di dati sensibili e
giudiziari effettuato mediante strumenti elettronici di redigere, e
quindi di tenere aggiornato, il DPS. Cosa succede alla
privacy?
Slide 135
Lart. 45 del decreto n. 5/2012, ora convertito in legge, ha
infatti soppresso, oltre la lettera g) al comma 1 dellarticolo 34
del Codice Privacy (Decreto Legislativo n. 196 del 30 giugno 2003),
anche il comma 1-bis dello stesso articolo introdotto dalla Legge 6
agosto 2008 n. 133 il quale, oltre a prevedere le ipotesi che
permettevano di redigere una semplice Autocertificazione in luogo
del DPS, reggeva il Provvedimento del Garante del 27 novembre 2008,
disciplinante procedure semplificate, tra cui la stessa struttura
del DPS, per i soggetti pubblici e privati che trattano dati per
finalit amministrativo- contabile. Conseguenza di tali soppressioni
stato anche il venir meno del punto 19 dellAllegato B al Codice,
riguardante il termine di redazione e il contenuto del DPS, nonch
del successivo punto 26, attinente il riferimento alla redazione
del documento nelleventuale relazione accompagnatoria del
bilancio.
Slide 136
Il Decreto Semplifica Italia del febbraio 2012 quindi, con un
solo colpo di spugna ha rimosso tanto ladempimento formale
originario quanto i successivi provvedimenti volti a
semplificarlo,
Slide 137
In effetti, londa del cambiamento era gi iniziata nel corso del
2011 con la citata Legge n. 106 che, oltre ad introdurre ulteriori
norme semplificative in tema di Autocertificazione (ad oggi, come
detto, abrogate perch non pi necessarie), ha aggiunto altre ipotesi
di esonero dal consenso, anche in tema di dati sensibili contenuti
nei curricula spontaneamente trasmessi dagli interessati per
linstaurazione di un rapporto di lavoro.
Slide 138
Successivamente, la Legge 22 dicembre 2011, n. 214, ha
ulteriormente intaccato la normativa, togliendo spessore ad alcune
definizioni che rappresentano le colonne portanti del Codice
Privacy: dal concetto di " dato personale" e di "interessato al
trattamento" stato infatti rimosso ogni riferimento a persone
giuridiche, enti e associazioni: lintento evidenziare che gli unici
soggetti meritevoli di norme miranti alla protezione di dati
personali, a prescindere quindi dalle finalit del trattamento, sono
esclusivamente le persone fisiche.
Slide 139
Da ultimo, la Legge 35/2012, citata in premessa, ha concluso
lopera non solo consentendo il trattamento dei dati giudiziari
anche quando effettuato in attuazione di protocolli di intesa con
il Ministero dellInterno per ragioni di prevenzione e contrasto dei
fenomeni di criminalit organizzata ma anche, come visto allinizio,
abolendo il DPS.
Slide 140
Certo, se pensiamo al solo DPS al di l degli aspetti formali
legati alla sua redazione, ai relativi termini, ai contenuti
prescritti dallAllegato B al Codice, al di l del peso burocratico
presentato a chi era tenuto a redigerlo potremmo riconoscere che si
trattava di un documento che aveva la sua pratica importanza, una
misura di sicurezza utile, solo per il fatto di raccogliere insieme
diversi aspetti legati alla protezione dei dati personali,
diventando per molti titolari di trattamento un vero e proprio
riferimento, soprattutto in un mondo sempre pi orientato
allinformatizzazione.
Slide 141
Peraltro, a dispetto di quanto indicato nella relazione al
Decreto Legge 5/2012, che definisce "meramente superfluo"
ladempimento del DPS in quanto "non realizza uneffettiva tutela
della sicurezza dei dati e dei sistemi informatici", lAutorit
Garante, in occasione del discorso di fine mandato tenuto dal
presidente F. Pizzetti, non ha propriamente condiviso la decisione
di abolirlo, ritenendo invece che tale documento era utile a
limitare in parte leventuale responsabilit per la perdita, la
cancellazione o il furto dei dati, consentendo di provare che si
era fatto almeno quanto richiesto come misura minima per evitare il
verificarsi dellevento.
Slide 142
PIU' SOSTANZA AI CONTROLLI Cosa succeder ora in sede di
controllo da parte delle autorit preposte? Il DPS, effettivamente,
aveva senzaltro lo scopo di illustrare una situazione, in capo al
titolare del trattamento obbligato a redigerlo, riguardante la
tipologia di dati trattati, gli strumenti utilizzati, le finalit
del trattamento nonch lapplicazione delle misure di sicurezza e
protezione in relazione a determinati rischi; dava unidea
dellorganigramma e della distribuzione dei compiti fra i soggetti
coinvolti, forniva informazioni sui trattamenti affidati a soggetti
esterni e sulla formazione data agli incaricati.
Slide 143
E se quanto contenuto nel DPS non avesse corrisposto alla realt
effettiva ? Vorr dire che i controllori saranno indotti, dora in
avanti, a mettere da parte le rappresentazioni e i propositi
risultanti da un semplice documento e si orienteranno direttamente
sugli aspetti concreti, cio sulleffettiva applicazione delle misure
di cui agli articoli 31 e seguenti del Codice Privacy nonch del
relativo Allegato B, che descrive la modalit pratica di tale
applicazione. I titolari del trattamento devono quindi ora
concentrare maggiormente la loro attenzione sulle seguenti
tematiche:
Slide 144
autenticazione informatica e adozione di procedure di gestione
delle credenziali di autenticazione; utilizzo di un sistema di
autorizzazione; aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai singoli incaricati e
addetti alla gestione o alla manutenzione degli strumenti
elettronici, fornendo opportune e chiare istruzioni per l'effettiva
protezione dei dati; protezione degli strumenti elettronici e dei
dati rispetto a trattamenti illeciti degli stessi, ad accessi non
consentiti e a programmi informatici dannosi;
Slide 145
aggiornamento degli strumenti elettronici al fine di prevenirne
la loro vulnerabilit e correggerne i difetti; adozione di procedure
e fornitura di istruzioni per la custodia di copie di sicurezza, il
ripristino della disponibilit dei dati e dei sistemi; adozione di
misure di protezione e ripristino specifiche per i dati sensibili e
giudiziari rispetto ad accessi abusivi e fornitura di istruzioni
tecniche e organizzative per la custodia e luso dei supporti
rimovibili contenenti tale tipologia di dati;
Slide 146
predisposizione e sottoscrizione di attestazioni di conformit
da parte di soggetti esterni, rispetto alla struttura del titolare,
riguardanti il rispetto delle disposizioni privacy nellambito dei
loro interventi e/o trattamenti; adozione di altre misure
finalizzate alla protezione e conservazione dei dati, in caso di
utilizzo di strumenti diversi da quelli elettronici.
Slide 147
Da questo elenco si comprende bene che sarebbe comunque utile e
opportuno predisporre un documento interno (possiamo anche non
chiamarlo pi DPS) che riepiloghi tutti gli aspetti illustrati in
modo da attestare che viene rispettato da parte del titolare del
trattamento quanto stabilito dal Codice Privacy; chiaro poi,
ovviamente, che questi dovr anche dimostrare di aver messo in
pratica ci che risulta sulla carta.
Slide 148
ad esempio quello riportante lelenco degli amministratori di
sistema con lindicazione delle funzioni a loro assegnate, quello
relativo alla loro nomina, oppure le attestazioni di conformit,
anche su base contrattuale, sul rispetto delle regole in tema di
privacy rilasciate da incaricati che effettuano interventi di
manutenzione sui sistemi elettronici) che, in presenza del DPS,
erano a volte trascurati, altre volte proprio inesistenti.
Slide 149
Ricordiamo, tra laltro, che il citato Provvedimento del Garante
di novembre 2008, contiene importanti prescrizioni di carattere
pratico riguardanti lattivit degli amministratori di sistema, in
virt della potenziale facolt, per questi soggetti, di trattare
molteplici dati personali: ci si riferisce, in particolare,
allimplementazione, presso la struttura del titolare, di sistemi
informatici che forniscono traccia di tutte le operazioni (access
log) effettuate dagli amministratori di sistema nellespletare la
propria attivit, al fine di consentire al titolare del trattamento
un controllo ed una verifica costante sulla correttezza del loro
operato.
Slide 150
Anche le nomine dei responsabili del trattamento, se designati,
e le nomine degli incaricati nonch le informative con leventuale
richiesta di consenso allinteressato acquisiranno, accanto ad una
maggiore rilevanza in sede di controllo, una rinnovata identit;
documenti, fra laltro, soggetti ad eventuale aggiornamento
derivante da interventi legislativi o nuovi provvedimenti emanati
dal Garante.
Slide 151
A questi aspetti non pu rimanere estranea la formazione cui
devono sottoporsi gli incaricati al trattamento, tanto sotto
laspetto normativo, quanto sotto laspetto tecnico-organizzativo:
lattestazione di aver provveduto o comunque la risultanza che
effettivamente sono state attuate attivit formative servir quindi
al titolare per dimostrare di aver messo gli incaricati in
condizione di rispettare le istruzioni contenute nelle rispettive
nomine.
Slide 152
La conclusione gi fatta trasparire tra le righe precedenti
comunque che, abolendo il DPS, si voluto evidentemente dare pi
risalto agli aspetti concreti riguardanti il rispetto delle misure
di protezione dei dati personali, facendo passare in secondo piano
i risvolti formali legati ai documenti.
Slide 153
MAGGIOR FOCUS PER RESPONSABILE, INFORMATIVE E NOMINE A ben
vedere, dallo stesso elenco sopra riportato risulta palesemente
rivalutato il ruolo del Responsabile della sicurezza informatica,
il quale, se nelle piccole realt potrebbe anche coincidere con il
titolare del trattamento, nelle realt pi complesse sicuramente un
soggetto (o anche pi di uno) avente la qualifica di "
amministratore di sistema" e quindi soggetto, fra laltro, a tutte
le prescrizioni contenute nel Provvedimento generale del Garante
del 27 novembre 2008. In effetti, per quanto riguarda i trattamenti
di dati effettuati mediante lutilizzo di strumenti elettronici, ci
che viene riportato nellAllegato B al Codice Privacy costituisce,
guarda caso, prerogativa dei soggetti che svolgono funzioni proprie
degli amministratori di sistema e quindi in definitiva dei soggetti
responsabili della sicurezza informatica; saranno proprio questi ad
accollarsi lonere di attestare ladozione e la sussistenza delle
misure previste dalla legge e risulteranno quindi pi valorizzati
altri documenti
Slide 154
154 Sono tutti gli accorgimenti e i dispositivi utilizzati per
garantire che i dati non vadano distrutti o persi anche in modo
accidentale, che solo le persone autorizzate possano avere accesso
ai dati e che non siano effettuati trattamenti contrari alle norme
di legge o diversi da quelli per cui i dati erano stati raccolti.
Misure di sicurezza
Slide 155
155 Le misure minime di sicurezza sono specificate nellAllegato
B denominato "Disciplinare Tecnico in materia di misure minime di
sicurezza". Misure di sicurezza IL DISCIPLINARE PIU CHE ESSERE
ORIENTATO VERSO LA PROTEZIONE DEI DATI PERSONALI, E IMPORTANTE UN
ACCEZIONE ETIMOLOGICA DEL VOCABOLO (PRO-TEGERE), SI SOSTANZIA NON
TANTO NELLA COPERTURA DEI DATI PERSONALI QUANTO PIUTTOSTO NELLA
LORO DIFESA
Slide 156
Allegato B che detta le linee guida per la predisposizione del
Documento programmatico della sicurezza (DPS)
Slide 157
157 Modalit tecniche da adottare a cura del titolare, del
responsabile ove designato e dell'incaricato, in caso di
trattamento con strumenti elettronici Trattamenti con strumenti
elettronici
Slide 158
158 Il trattamento di dati personali con strumenti elettronici
e' consentito agli incaricati dotati di credenziali di
autenticazione che consentano il superamento di una procedura di
autenticazione relativa a uno specifico trattamento o a un insieme
di trattamenti. Sistema di autenticazione informatica
Slide 159
159 Sistema di autenticazione informatica Le credenziali di
autenticazione consistono in un codice per l'identificazione
dell'incaricato associato a una parola chiave riservata conosciuta
solamente dal medesimo oppure in un dispositivo di autenticazione
in possesso e uso esclusivo dell'incaricato, eventualmente
associato a un codice identificativo o a una parola chiave, oppure
in una caratteristica biometrica dell'incaricato, eventualmente
associata a un codice identificativo o a una parola chiave.
Slide 160
160 Ad ogni incaricato sono assegnate o associate
individualmente una o pi credenziali per l'autenticazione. Sistema
di autenticazione informatica
Slide 161
161 Con le istruzioni impartite agli incaricati e' prescritto
di adottare le necessarie cautele per assicurare la segretezza
della componente riservata della credenziale e la diligente
custodia dei dispositivi in possesso ed uso esclusivo
dell'incaricato. Sistema di autenticazione informatica
Slide 162
162 Sistema di autenticazione informatica La parola chiave,
quando e' prevista dal sistema di autenticazione, e' composta da
almeno otto caratteri oppure, nel caso in cui lo strumento
elettronico non lo permetta, da un numero di caratteri pari al
massimo consentito; essa non contiene riferimenti agevolmente
riconducibili all'incaricato ed e' modificata da quest'ultimo al
primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di
trattamento di dati sensibili e di dati giudiziari la parola chiave
e' modificata almeno ogni tre mesi.
Slide 163
163 Il codice per l'identificazione, laddove utilizzato, non pu
essere assegnato ad altri incaricati, neppure in tempi diversi.
Sistema di autenticazione Informatica
Slide 164
164 Le credenziali di autenticazione non utilizzate da almeno
sei mesi sono disattivate, salvo quelle preventivamente autorizzate
per soli scopi di gestione tecnica. Sistema di autenticazione
informatica
Slide 165
165 Le credenziali sono disattivate anche in caso di perdita
della qualit che consente all'incaricato l'accesso ai dati
personali. Sistema di autenticazione informatica
Slide 166
166 Sono impartite istruzioni agli incaricati per non lasciare
incustodito e accessibile lo strumento elettronico durante una
sessione di trattamento. Sistema di autenticazione informatica
Slide 167
167 Sistema di autenticazione informatica Quando l'accesso ai
dati e agli strumenti elettronici e' consentito esclusivamente
mediante uso della componente riservata della credenziale per
l'autenticazione, sono impartite idonee e preventive disposizioni
scritte volte a individuare chiaramente le modalit con le quali il
titolare pu assicurare la disponibilit di dati o strumenti
elettronici in caso di prolungata assenza o impedimento
dell'incaricato che renda indispensabile e indifferibile
intervenire per esclusive necessit di operativit e di sicurezza del
sistema.
Slide 168
168 Sistema di autenticazione informatica In tal caso la
custodia delle copie delle credenziali e' organizzata garantendo la
relativa segretezza e individuando preventivamente per iscritto i
soggetti incaricati della loro custodia, i quali devono informare
tempestivamente l'incaricato dell'intervento effettuato.
Slide 169
169 Quando per gli incaricati sono individuati profili di
autorizzazione di ambito diverso e' utilizzato un sistema di
autorizzazione. Sistema di autorizzazione
Slide 170
170 I profili di autorizzazione, per ciascun incaricato o per
classi omogenee di incaricati, sono individuati e configurati
anteriormente all'inizio del trattamento, in modo da limitare
l'accesso ai soli dati necessari per effettuare le operazioni di
trattamento. Sistema di autorizzazione
Slide 171
171 Periodicamente, e comunque almeno annualmente, deve essere
verificata la sussistenza delle condizioni per la conservazione dei
profili di autorizzazione. Sistema di autorizzazione
Slide 172
172 Aggiornamento periodico con cadenza almeno annuale
dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici, la lista degli incaricati pu essere
redatta anche per classi omogenee di incarico e dei relativi
profili di autorizzazione. Altre misure di sicurezza
Slide 173
173 I dati personali sono protetti contro il rischio di
intrusione e dell'azione di programmi di cui all'art. 615-quinquies
del codice penale, mediante l'attivazione di idonei strumenti
elettronici da aggiornare con cadenza almeno semestrale. Altre
misure di sicurezza
Slide 174
174 Gli aggiornamenti periodici dei programmi per elaboratore
volti a prevenire la vulnerabilit di strumenti elettronici e a
correggerne difetti sono effettuati almeno annualmente. In caso di
trattamento di dati sensibili o giudiziari l'aggiornamento e'
almeno semestrale. Altre misure di sicurezza
Slide 175
175 Sono impartite istruzioni organizzative e tecniche che
prevedono il salvataggio dei dati con frequenza almeno settimanale.
Altre misure di sicurezza
Slide 176
176 I dati sensibili o giudiziari sono protetti contro
l'accesso abusivo, di cui all'art. 615-ter del codice penale,
mediante l'utilizzo di idonei strumenti elettronici. Ulteriori
misure in caso di trattamento di dati sensibili o giudiziari
Slide 177
177 Sono impartite istruzioni organizzative e tecniche per la
custodia e l'uso dei supporti removibili su cui sono memorizzati i
dati al fine di evitare accessi non autorizzati e trattamenti non
consentiti. Ulteriori misure in caso di trattamento di dati
sensibili o giudiziari
Slide 178
178 I supporti rimovibili contenenti dati sensibili o
giudiziari se non utilizzati sono distrutti o resi inutilizzabili,
ovvero possono essere riutilizzati da altri incaricati, non
autorizzati al trattamento degli stessi dati, se le informazioni
precedentemente in essi contenute non sono intelligibili e
tecnicamente in alcun modo ricostruibili. Ulteriori misure in caso
di trattamento di dati sensibili o giudiziari
Slide 179
179 Sono adottate idonee misure per garantire il ripristino
dell'accesso ai dati in caso di danneggiamento degli stessi o degli
strumenti elettronici, in tempi certi compatibili con i diritti
degli interessati e non superiori a sette giorni. Ulteriori misure
in caso di trattamento di dati sensibili o giudiziari
Slide 180
180 Misure di tutela e garanzia Gli enti pubblici effettuano il
trattamento dei dati idonei a rivelare lo stato di salute e la vita
sessuale contenuti in elenchi, registri o banche di dati con le
modalit di cui all'articolo 22, comma 6, del codice, anche al fine
di consentire il trattamento disgiunto dei medesimi dati dagli
altri dati personali che permettono di identificare direttamente
gli interessati.
Slide 181
181 I dati relativi all'identit genetica sono trattati
esclusivamente all'interno di locali protetti accessibili ai soli
incaricati dei trattamenti ed ai soggetti specificatamente
autorizzati ad accedervi; il trasporto dei dati all'esterno dei
locali riservati al loro trattamento deve avvenire in contenitori
muniti di serratura o dispositivi equipollenti; il trasferimento
dei dati in formato elettronico e' cifrato.
Slide 182
182 Il titolare che adotta misure minime di sicurezza
avvalendosi di soggetti esterni alla propria struttura, per
provvedere alla esecuzione,riceve dall'installatore una descrizione
scritta dell'intervento effettuato che ne attesta la conformit alle
disposizioni del presente disciplinare tecnico. Misure di tutela e
garanzia
Slide 183
183 Modalit tecniche da adottare a cura del titolare, del
responsabile, ove designato, e dell'incaricato, in caso di
trattamento con strumenti diversi da quelli elettronici:
Trattamenti senza l'ausilio di strumenti elettronici
Slide 184
184 Agli incaricati sono impartite istruzioni scritte
finalizzate al controllo ed alla custodia, per l'intero ciclo
necessario allo svolgimento delle operazioni di trattamento, degli
atti e dei documenti contenenti dati personali.
Slide 185
185 Nell'ambito dell'aggiornamento periodico con cadenza almeno
annuale dell'individuazione dell'ambito del trattamento consentito
ai singoli incaricati, la lista degli incaricati pu essere redatta
anche per classi omogenee di incarico e dei relativi profili di
autorizzazione.
Slide 186
186 Quando gli atti e i documenti contenenti dati personali
sensibili o giudiziari sono affidati agli incaricati del
trattamento per lo svolgimento dei relativi compiti, i medesimi
atti e documenti sono controllati e custoditi dagli incaricati fino
alla restituzione in maniera che ad essi non accedano persone prive
di autorizzazione, e sono restituiti al termine delle operazioni
affidate.
Slide 187
187 L'accesso agli archivi contenenti dati sensibili o
giudiziari controllato.
Slide 188
188 Le persone ammesse, a qualunque titolo, dopo l'orario di
chiusura, sono identificate e registrate. Quando gli archivi non
sono dotati di strumenti elettronici per il controllo degli accessi
o di incaricati della vigilanza, le persone che vi accedono sono
preventivamente autorizzate.
Slide 189
DECRETO 7 dicembre 2006, n.305 Regolamento relativo al
trattamento dei dati sensibili e giudiziari nel settore
dellistruzione Regolamento recante identificazione dei dati
sensibili e giudiziari trattati e delle relative operazioni
effettuate dal Ministero della pubblica istruzione, in attuazione
degli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n.
196, recante Codice in materia di protezione dei dati
personali.
Slide 190
Regolamento dati sensibili Ravvisatala necessit di provvedere
ad Identificare le tipologie di dati sensibili e giudiziari
trattati nell'ambito dell'amministrazione dell'istruzione, le
finalit d'interesse pubblico perseguite attraverso il trattamento
dei citati dati, nonch le operazioni eseguite con gli stessi; Si
specificano i tipi di dati che possono essere trattati dalle
scuole, le operazioni che su di essi sono eseguibili e le finalit
di rilevante interesse pubblico perseguite Il testo del Regolamento
molto snello ed essenziale suddiviso in tre articoli Si sottolinea
lobbligo di trattare dati sensibili e giudiziari solo previa
verifica della loro pertinenza, completezza ed indispensabilit
rispetto alle finalit perseguite nei singoli casi -
Slide 191
Caratteristiche del dato trattato PERTINENZA: la sua stretta
rilevanza ai fini della realizzazione di quel compito nellambito
delle finalit istituzionali COMPLETEZZA: eda intendersi che la
parzialit potrebbe inficiare il perseguimento delle finalit
INDISPENSABILITA : indispensabili per lo svolgimento di funzioni
istituzionali che non potrebbero essere adempiute altrimenti
(ricorso a dati anonimi o di altra natura)
Slide 192
Identifica nelle schede allegate, che ne formano parte
integrante, le tipologie di dati sensibili e giudiziari e di
operazioni indispensabili per la gestione del sistema
dell'istruzione, nel perseguimento delle finalit di rilevante
interesse pubblico, individuate dal codice e dalle specifiche
previsioni di legge.
Slide 193
Le operazioni di interconnessione e raffronto con banche di
dati di altri titolari del trattamento e di comunicazione a terzi
individuate nel regolamento sono ammesse soltanto se indispensabili
allo svolgimento degli obblighi o compiti di volta in volta
indicati solo per il perseguimento delle rilevanti finalit di
interesse pubblico specificate I raffronti e le interconnessioni
con altre informazioni sensibili e giudiziarie sono consentite
soltanto previa verifica della loro stretta indispensabilit Quindi
occorre prendere in considerazione le sole finalit di rilevante
interesse pubblico
Slide 194
Si considerano di rilevante interesse pubblico le finalit di
istruzione formazione educazione
Slide 195
Schede allegate al regolamento Sono parte integrante del
regolamento 7 schede che individuano tutti i dati sensibili e
giudiziari trattati dalle Scuole suddividendoli in ambiti
Slide 196
Scheda n. 1 Selezione e reclutamento del personale dipendente
Scheda n. 2 Gestione del contenzioso e procedimenti disciplinari
Scheda n. 3 Organismi collegiali e commissioni istituzionali Scheda
n. 4 Attivit propedeutiche allavvio dellanno scolastico
Slide 197
Scheda n. 5 Attivit educativa didattica -formativa e di
valutazione Scheda n. 6 scuole non statali Scheda n. 7 Rapporti
scuola-famiglia gestione del contenzioso
Slide 198
Ogni scheda consente alle Scuole di individuare chiaramente i
trattamenti consentiti, le finalit di rilevante interesse pubblico
perseguite, le fonti normative, i soggetti esterni pubblici e
privati a cui possibile comunicare i dati i tipi di dati
trattati.
Slide 199
in pratica le schede sono molto importanti dal punto di vista
operativo costituiscono una guida obbligatoria da cui le scuole non
possono derogare
Slide 200
SCHEDA N. 4 Indicazione del trattamento e descrizione
riassuntiva del contesto ATTIVITA' PROPEDEUTICHE ALL'AVVIO
DELL'ANNO SCOLASTICO I dati sono forniti dagli alunni e dalle
famiglie ai fini della frequenza dei corsi di studi nelle
istituzioni scolastiche di ogni ordine e grado, ivi compresi
convitti, educandati e scuole speciali. Nell'espletamento delle
attivit propedeutiche all'avvio dell'anno scolastico da parte delle
istituzioni scolastiche, possono essere trattati dati sensibili
relativi:
Slide 201
alle origini razziali ed etniche, per favorire l'integrazione
degli alunni con cittadinanza non italiana; alle convinzioni
religiose, per garantire la libert di credo religioso e per la
fruizione dell'insegnamento della religione cattolica o delle
attivit alternative a tale insegnamento; allo stato di salute, per
assicurare l'erogazione del sostegno degli alunni diversamente
abili e per la composizione delle classi;
Slide 202
alle vicende giudiziarie, per assicurare il diritto allo studio
anche a soggetti sottoposti a regime di detenzione; i dati
giudiziari emergono anche nel caso in cui l'autorit giudiziaria
abbia predisposto un programma di protezione nei confronti
dell'alunno nonch degli alunni che abbiano commesso reati.
Slide 203
Operazioni eseguite Particolari forme di trattamento
Comunicazione ai seguenti soggetti per le seguenti finalit: a) agli
Enti Locali per la fornitura di servizi ai sensi del D.Lgs. 31
marzo 1998, n. 112, limitatamente ai dati indispensabili
all'erogazione del servizio; b) ai gestori pubblici e privati dei
servizi di assistenza agli alunni e di supporto all'attivit
scolastica, ai sensi delle leggi regionali sul diritto allo studio,
limitatamente ai dati indispensabili all'erogazione del servizio;
c) alle AUSL e agli Enti Locali per il funzionamento dei Gruppi di
Lavoro Handicap di istituto e per la predisposizione e verifica del
Piano Educativo Individualizzato, ai sensi della Legge 5 febbraio
1992, n. 104;
Slide 204
SCHEDA N. 5 Indicazione del trattamento e descrizione
riassuntiva del contesto ATTIVITA' EDUCATIVA, DIDATTICA E
FORMATIVA, DI VALUTAZIONE Nell'espletamento delle attivit
educative, didattiche e formative, curriculari ed extracurriculari,
di valutazione ed orientamento, di scrutini ed esami, da parte
delle istituzioni scolastiche di ogni ordine e grado, ivi compresi
convitti, educandati e scuole speciali, possono essere trattati
dati sensibili relativi : alle origini razziali ed etniche per
favorire l'integrazione degli alunni con cittadinanza non
italiana;
Slide 205
alle convinzioni religiose per garantire la libert di credo
religioso; allo stato di salute, per assicurare l'erogazione del
servizio di refezione scolastica, del sostegno agli alunni
disabili, dell'insegnamento domiciliare ed ospedaliero nei
confronti degli alunni affetti da gravi patologie, per la
partecipazione alle attivit educative e didattiche programmate, a
quelle motorie e sportive, alle visite guidate e ai viaggi di
istruzione;