privacy scuola a cura di dott. manganiello marco
DESCRIPTION
INFOSCUOLA SRL. PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO. DECRETO LEGISLATIVO N. 196 DEL 30.06.2003 IN VIGORE DAL 1.1.2004. STORIA. Legge n. 675 del 31 dicembre 1996 - Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali (testo vigente) - PowerPoint PPT PresentationTRANSCRIPT
PRIVACY SCUOLAa cura di DOTT. MANGANIELLO MARCO
DECRETO LEGISLATIVO N. 196 DEL 30.06.2003 IN VIGORE DAL 1.1.2004
INFOSCUOLA SRL
STORIA
Legge n. 675 del 31 dicembre 1996 - Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali (testo vigente)
DPR 28 luglio 1999 n. 318 - Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell'articolo 15, comma 2, della legge 31 dicembre 1996, n 675
Legge 3 novembre 2000 n. 325 - Disposizioni inerenti l'adozione delle misure minime di sicurezza nel trattamento dei dati personali previste dall'articolo 15 della legge 31 dicembre 1996, n. 675
COSA SIGNIFICA PRIVACY
Oggi la privacy non significa soltanto diritto di essere lasciati in pace o di proteggere la propria sfera privata, ma anche il diritto di controllare l'uso e la circolazione dei propri dati personali che costituiscono il bene primario dell'attuale società dell'informazione.
AMBITO DI APPLICAZIONE DEL CODICE SULLA PRIVACY
Il codice si applica al trattamento dei dati personali effettuato da chiunque (quindi anche dalle scuole)
TRATTAMENTO: qualunque operazione effettuata anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca dati.
AMBITO DI APPLICAZIONE DEL CODICE SULLA PRIVACY
DATI PERSONALI: qualunque informazione relativa a persona fisica, persona giuridica,…,
REGOLE PARTICOLARI VALGONO PER I DATI SENSIBILI
DATI SENSIBILI: dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di atro genere le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
AMBITO DI APPLICAZIONE DEL CODICE SULLA PRIVACY
Sono dati personali: nome e cognome o denominazione; indirizzo o sede; codice fiscale; ma anche una foto, la registrazione della voce di una persona, la sua impronta digitale o vocale.
CONSENSO AL TRATTAMENTO
Il trattamento è ammesso solo con il consenso espresso dell’interessato
Il consenso è manifestato in forma scritta se riguarda i dati sensibili
Il consenso non è necessario quando occorre adempiere ad un obbligo di legge, regolamento, ecc.
TITOLARE DEL TRATTAMENTO
La persona fisica, la persona giuridica, la pubblica amministrazione, …….., cui competono anche unitamente ad altro titolare le decisione in ordine:
Alle finalità Alle modalità del trattamento Agli strumenti utilizzati Al profilo della sicurezza
RESPONSABILE DEL TRATTAMENTO La persona fisica, la persona giuridica, la pubblica
amministrazione, preposti dal titolare al trattamento di dati personali.
Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.
I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.
Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni
INCARICATI DEL TRATTAMENTO Le persona autorizzate dal titolare o dal responsabile a
compiere operazioni di trattamento dei dati personali Le operazioni di trattamento possono essere effettuate
solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.
La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.
MISURE DI SICUREZZA
I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
MISURE MINIME DI SICUREZZA
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottatele seguenti misure minime:
a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
IL DOCUMENTO PROGRAMMATICO DI SICUREZZA ENTRO IL 30 GIUGNO
Il DPS fotografa tutte le misure di sicurezza logiche, tecniche ed organizzative che la scuola:
Ha adottato da subito Ha deciso di adottare a breve Adotterà ne medio e lungo periodo Entro il 31.3 di ogni anno il titolare del trattamento
di dati sensibili aggiorna il DPS
CONTENUTO DEL DPS il DPS contiene L’elenco di trattamenti di dati La distribuzione dei compiti e delle responsabilità L’analisi dei rischi che incombono sui dati Le misure da adottare per garantire l’integrità e la
disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità
La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione e danneggiamento
La previsione di interventi formativi degli incaricati del trattamento
SANZIONI MISURE DI SICUREZZA: chiunque ometta di
adottare le misure minime di sicurezza è punito con l’arresto sino a 2 anni oppure con ammenda da 10.000 a 50.000 euro
SCHEMA RIASSUNTIVO DEGLI ADEMPIMENTI DA ADOTTARE Nomina dei soggetti coinvolti nel trattamento:
• Responsabile/i del trattamento (facoltativo)
• Incaricato/i al trattamento Predisposizione misure di sicurezza per trattamenti effettuati senza
strumenti informatici:
• aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
• previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
• previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.
SCHEMA RIASSUNTIVO DEGLI ADEMPIMENTI DA ADOTTARE
Predisposizione misure minime di sicurezza per trattamenti effettuati con strumenti informatici:
• autenticazione informatica;
• credenziali di autenticazione;
• sistema di autorizzazione;
• aggiornamento periodico;
• protezione degli strumenti elettronici e dati;
• procedure per la custodia di copie di sicurezza;
• redazione del DPS entro il 30/6/2004;
• adozione di tecniche di cifratura o di codici identificativi per trattamento dati idonei a rivelare stato di salute o vita sessuale.
Informazione all’interessato in merito al trattamento dei suoi dati
E’ NECESSARIO Compilare e stampare la documentazione per le
figure previste dalla normativa (lettere di incarico per Responsabile della Sicurezza Dati Personali, Incaricati per i trattamenti, ecc..);
Proteggere tutte le banche dati (di qualsiasi tipologia) da intrusioni o utilizzi non autorizzati;
adottare le misure minime di sicurezza previste dalla normativa (password, sistemi antintrusione, antivirus, copie di backup, ecc...);
E’ NECESSARIO compilare e stampare il DPSS (Documento
Programmatico Sulla Sicurezza) con cadenza annuale apportando di anno in anno le opportune modifiche (solo il DPSS fa prova dell'avvenuto adeguamento alla norma);
adottare le misure fisiche di protezione (allarmi, stabilizzatori di corrente, armadi chiusi a chiave ed ignifughi, accesso selezionato ai locali...);
Inventariare i dati personali, adottare le misure di sicurezza obbligatorie (fisiche, logiche ed organizzative), adeguandosi agli obblighi di informativa, consenso, nomina figure.
ART. 96 – TRATTAMENTO DATI RELATIVI AGLI STUDENTI
Al fine di agevolare l'orientamento, la formazione e l'inserimento professionale, anche all'estero, le scuole e gli istituti scolastici di istruzione secondaria, su richiesta degli interessati, possono comunicare o diffondere, anche a privati e per via telematica, dati relativi agli esiti scolastici, intermedi e finali, degli studenti e altri dati personali diversi da quelli sensibili o giudiziari, pertinenti in relazione alle predette finalità e indicati nell'informativa resa agli interessati ai sensi dell'articolo 13. I dati possono essere successivamente trattati esclusivamente per le predette finalità.
ART. 13 – INFORMATIVA DA RILASCIARE AGLI STUDENTI
Lo studente deve essere previamente informato circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
ART. 13 – INFORMATIVA DA RILASCIARE AGLI STUDENTI
Lo studente deve essere previamente informato circa:
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e del responsabile.
ORGANIGRAMMA
TITOLARE: SCUOLA
RESPONSABILE: DIRIGENTE o ALTRO
INCARICATI
Sicurezza dati Gestione e manut strumenti elettronici
Custodia credenziali
Copie sicurezza banche dati
SEDI
OCCORRE INDICARE:
RESPONSABILE DI SEDE
SISTEMI DI PROTEZIONE
SISTEMA ANTINCENDIO
ECC.
BANCHE DATI
OCCORRE INDICARE:
TIPOLOGIA
SE VI SONO DATI SENSIBILI
FINALITA’
INCARICATI AL TRATTAMENTO
ECC.
SOFTWARE E SISTEMI DI ELABORAZIONEOCCORRE INDICARE:
PC
MARCA
SISTEMA OPERATIVO
INCARICATI AL TRATTAMENTO
ECC.