260 likes | 446 Vues
INFOSCUOLA SRL. PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO. DECRETO LEGISLATIVO N. 196 DEL 30.06.2003 IN VIGORE DAL 1.1.2004. STORIA. Legge n. 675 del 31 dicembre 1996 - Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali (testo vigente)
E N D
INFOSCUOLA SRL PRIVACY SCUOLAa cura di DOTT. MANGANIELLO MARCO DECRETO LEGISLATIVO N. 196 DEL 30.06.2003 IN VIGORE DAL 1.1.2004
STORIA • Legge n. 675 del 31 dicembre 1996 - Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali (testo vigente) • DPR 28 luglio 1999 n. 318 - Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell'articolo 15, comma 2, della legge 31 dicembre 1996, n 675 • Legge 3 novembre 2000 n. 325 - Disposizioni inerenti l'adozione delle misure minime di sicurezza nel trattamento dei dati personali previste dall'articolo 15 della legge 31 dicembre 1996, n. 675
COSA SIGNIFICA PRIVACY • Oggi la privacy non significa soltanto diritto di essere lasciati in pace o di proteggere la propria sfera privata, ma anche il diritto di controllare l'uso e la circolazione dei propri dati personali che costituiscono il bene primario dell'attuale società dell'informazione.
AMBITO DI APPLICAZIONE DEL CODICE SULLA PRIVACY • Il codice si applica al trattamento dei dati personali effettuato da chiunque (quindi anche dalle scuole) • TRATTAMENTO: qualunque operazione effettuata anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca dati.
AMBITO DI APPLICAZIONE DEL CODICE SULLA PRIVACY • DATI PERSONALI: qualunque informazione relativa a persona fisica, persona giuridica,…, REGOLE PARTICOLARI VALGONO PER I DATI SENSIBILI • DATI SENSIBILI: dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di atro genere le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
AMBITO DI APPLICAZIONE DEL CODICE SULLA PRIVACY • Sono dati personali: nome e cognome o denominazione; indirizzo o sede; codice fiscale; ma anche una foto, la registrazione della voce di una persona, la sua impronta digitale o vocale.
CONSENSO AL TRATTAMENTO • Il trattamento è ammesso solo con il consenso espresso dell’interessato • Il consenso è manifestato in forma scritta se riguarda i dati sensibili • Il consenso non è necessario quando occorre adempiere ad un obbligo di legge, regolamento, ecc.
TITOLARE DEL TRATTAMENTO La persona fisica, la persona giuridica, la pubblica amministrazione, …….., cui competono anche unitamente ad altro titolare le decisione in ordine: • Alle finalità • Alle modalità del trattamento • Agli strumenti utilizzati • Al profilo della sicurezza
RESPONSABILE DEL TRATTAMENTO • La persona fisica, la persona giuridica, la pubblica amministrazione, preposti dal titolare al trattamento di dati personali. • Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. • Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti. • I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. • Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni
INCARICATI DEL TRATTAMENTO • Le persona autorizzate dal titolare o dal responsabile a compiere operazioni di trattamento dei dati personali • Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. • La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.
MISURE DI SICUREZZA I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
MISURE MINIME DI SICUREZZA Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottatele seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza;
IL DOCUMENTO PROGRAMMATICO DI SICUREZZA ENTRO IL 30 GIUGNO Il DPS fotografa tutte le misure di sicurezza logiche, tecniche ed organizzative che la scuola: • Ha adottato da subito • Ha deciso di adottare a breve • Adotterà ne medio e lungo periodo Entro il 31.3 di ogni anno il titolare del trattamento di dati sensibili aggiorna il DPS
CONTENUTO DEL DPS il DPS contiene • L’elenco di trattamenti di dati • La distribuzione dei compiti e delle responsabilità • L’analisi dei rischi che incombono sui dati • Le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità • La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione e danneggiamento • La previsione di interventi formativi degli incaricati del trattamento
SANZIONI MISURE DI SICUREZZA: chiunque ometta di adottare le misure minime di sicurezza è punito con l’arresto sino a 2 anni oppure con ammenda da 10.000 a 50.000 euro
SCHEMA RIASSUNTIVO DEGLI ADEMPIMENTI DA ADOTTARE • Nomina dei soggetti coinvolti nel trattamento: • Responsabile/i del trattamento (facoltativo) • Incaricato/i al trattamento • Predisposizione misure di sicurezza per trattamenti effettuati senza strumenti informatici: • aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; • previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; • previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.
SCHEMA RIASSUNTIVO DEGLI ADEMPIMENTI DA ADOTTARE • Predisposizione misure minime di sicurezza per trattamenti effettuati con strumenti informatici: • autenticazione informatica; • credenziali di autenticazione; • sistema di autorizzazione; • aggiornamento periodico; • protezione degli strumenti elettronici e dati; • procedure per la custodia di copie di sicurezza; • redazione del DPS entro il 30/6/2004; • adozione di tecniche di cifratura o di codici identificativi per trattamento dati idonei a rivelare stato di salute o vita sessuale. • Informazione all’interessato in merito al trattamento dei suoi dati
E’ NECESSARIO • Compilare e stampare la documentazione per le figure previste dalla normativa (lettere di incarico per Responsabile della Sicurezza Dati Personali, Incaricati per i trattamenti, ecc..); • Proteggere tutte le banche dati (di qualsiasi tipologia) da intrusioni o utilizzi non autorizzati; • adottare le misure minime di sicurezza previste dalla normativa (password, sistemi antintrusione, antivirus, copie di backup, ecc...);
E’ NECESSARIO • compilare e stampare il DPSS (Documento Programmatico Sulla Sicurezza) con cadenza annuale apportando di anno in anno le opportune modifiche (solo il DPSS fa prova dell'avvenuto adeguamento alla norma); • adottare le misure fisiche di protezione (allarmi, stabilizzatori di corrente, armadi chiusi a chiave ed ignifughi, accesso selezionato ai locali...); • Inventariare i dati personali, adottare le misure di sicurezza obbligatorie (fisiche, logiche ed organizzative), adeguandosi agli obblighi di informativa, consenso, nomina figure.
ART. 96 – TRATTAMENTO DATI RELATIVI AGLI STUDENTI Al fine di agevolare l'orientamento, la formazione e l'inserimento professionale, anche all'estero, le scuole e gli istituti scolastici di istruzione secondaria, su richiesta degli interessati, possono comunicare o diffondere, anche a privati e per via telematica, dati relativi agli esiti scolastici, intermedi e finali, degli studenti e altri dati personali diversi da quelli sensibili o giudiziari, pertinenti in relazione alle predette finalità e indicati nell'informativa resa agli interessati ai sensi dell'articolo 13. I dati possono essere successivamente trattati esclusivamente per le predette finalità.
ART. 13 – INFORMATIVA DA RILASCIARE AGLI STUDENTI Lo studente deve essere previamente informato circa: • le finalità e le modalità del trattamento cui sono destinati i dati; • la natura obbligatoria o facoltativa del conferimento dei dati; • le conseguenze di un eventuale rifiuto di rispondere;
ART. 13 – INFORMATIVA DA RILASCIARE AGLI STUDENTI Lo studente deve essere previamente informato circa: d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e del responsabile.
ORGANIGRAMMA TITOLARE: SCUOLA RESPONSABILE: DIRIGENTE o ALTRO Sicurezza dati Gestione e manut strumenti elettronici Custodia credenziali Copie sicurezza banche dati INCARICATI
SEDI • OCCORRE INDICARE: • RESPONSABILE DI SEDE • SISTEMI DI PROTEZIONE • SISTEMA ANTINCENDIO • ECC.
BANCHE DATI • OCCORRE INDICARE: • TIPOLOGIA • SE VI SONO DATI SENSIBILI • FINALITA’ • INCARICATI AL TRATTAMENTO • ECC.
SOFTWARE E SISTEMI DI ELABORAZIONE • OCCORRE INDICARE: • PC • MARCA • SISTEMA OPERATIVO • INCARICATI AL TRATTAMENTO • ECC.