D.Lgs 196/2003 <ul><ul><li>Adempimento  formazione  </li></ul></ul><ul><ul><li>personale della scuola  </li></ul></ul><ul>...
Codice  D.Lgs 196/2003 1.  Il Dlgs 196/2003 è stato approvato dal Consiglio dei Ministri il 27 giugno 2003, in attuazione ...
I principi <ul><li>1.  Tutela della  dignità e della libertà personale </li></ul><ul><li>2.  Diritto alla tutela della pro...
Tipologie di Dati  (art.4)   D.Lgs 196/2003 ANONIMO Dato PERSONALE Identificativo Sensibile Giudiziario Particolare  “bord...
Tipologie di Dati art.4    Dato Anonimo   Dato che, in origine o a seguito di trattamento,  non può essere associato ad un...
Tipologie di Dati art.4  Dato Personale   Qualunque informazione (e non solo quelle di carattere riservato) che consenta d...
Tipologie di Dati art.4  Dato Identificativo   Dati personali che permettono l'identificazione diretta  dell'interessato
Tipologie di Dati art.4   Dati Sensibili   <ul><li>l'origine razziale ed etnica </li></ul><ul><li>le convinzioni religiose...
Tipologie di Dati art.4  Dati Giudiziari <ul><li>L’iscrizione nel  casellario giudiziale   ( ad esempio: condanna penale, ...
DEFINIZIONI  “ trattamento”   E’ qualunque operazione o insieme di operazioni, compiute anche senza il supporto di strumen...
DEFINIZIONI “ diffusione”   Consiste nel portare a conoscenza dei dati personali soggetti indeterminati, in qualunque form...
DEFINIZIONI “ comunicazione”  consiste nel portare a conoscenza dei dati personali a uno o più soggetti determinati divers...
DEFINIZIONI “ blocco”   consiste nella conservazione di dati personali con sospensione temporanea di ogni altra operazione...
DEFINIZIONI “ banca dati”  Qualsiasi insieme di dati personali organizzati in modo da renderne possibile o agevole la cons...
Trattamento con strumenti elettronici  o non compiuta  su dati Qualsiasi operazione Raccolta Registrazione Organizzazione ...
La struttura Incaricato Responsabile Interessato consenso informativa Notifica al garante Lettere di nomina Responsabili T...
Gli attori  GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Stefano Rodotà TITOLARE DEL TRATTAMENTO DIRIGENTE RESPONSABILE Fa...
Attori Garante   Organo collegiale costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato...
Attori Titolare  E’ la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazi...
Attori Responsabile  E’ la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, assoc...
Attori Incaricati  Sono le persone fisiche autorizzate ad effettuare operazioni di trattamento dal titolare dei dati o dal...
Attori Interessato  E’ la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali
I DIRITTI DELL’INTERESSATO Art.  7  Diritto di accesso ai dati personali e altri diritti Art.  8  Esercizio dei diritti Ar...
Regole generali per il trattamento dei dati Art .11 <ul><li>Liceità e correttezza </li></ul><ul><li>Raccolta e registrazio...
Art .11 Comma (d   Pertinenti,  completi e non eccedenti  rispetto alle finalità per le quali sono raccolti o successivame...
Art .11 Comma (e   conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non sup...
INFORMATIVA  Art. 13 1) finalità e modalità del trattamento 5) diritti  degli interessati 6) Identificativi  di titolare e...
Danni cagionati per effetto del trattamento Art 15 <ul><li>1. Chiunque cagiona danno ad altri per effetto del trattamento ...
Cessazione  del trattamento Art 16 <ul><li>In caso di cessazione del trattamento i dati sono: </li></ul><ul><li>distrutti;...
Trattamento che presenta rischi specifici  Art. 17 1. Il trattamento dei  dati diversi da quelli sensibili e giudiziari  c...
I Dati utilizzati e trattati dalla scuola Dati  relativi ad  alunni e alle le rispettive famiglie   Dati  relativi al pers...
Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici Art 18 Il codice regola in modo specifico i cas...
Principio di necessità Art 18 Solo i dati strettamente necessari per le finalità istituzionali   Qualunque trattamento di ...
Principio di necessità Art 18 s 1. Il trattamento da parte di un soggetto pubblico riguardante dati diversi da quelli sens...
Principi applicabili al trattamento di dati diversi da quelli  sensibili e giudiziari Art 19 s 1. Il trattamento dei dati ...
Principi applicabili al trattamento di dati diversi da quelli  sensibili e giudiziari Art. 19 Trattamento dati personali P...
Principi applicabili al trattamento di dati sensibili Art 20 comma 1 Il trattamento dei dati sensibili da parte di soggett...
Principi applicabili al trattamento di dati sensibili Art. 20 Comma 2. Nei casi in cui una disposizione di legge specifica...
Principi applicabili al trattamento di dati sensibili Art. 20 dati di rilevante interesse pubblico  <ul><li>Finalità di ap...
Principi applicabili al trattamento di dati giudiziari  Art. 21 1. Il trattamento di dati giudiziari da parte di soggetti ...
L’unità organizzativa “collaboratori scolastici” La prima interfaccia con il Pubblico Dare indicazioni essenziali Corrette...
L’unità organizzativa “collaboratori scolastici” prot. 6209/PR15/FP del 30/06/2004   Incaricati del trattamento:   che con...
Principi applicabili al trattamento di dati sensibili e giudiziari  Art. 22 OBBLIGO SPECIFICO DI INFORMAZIONE La scuola tr...
27/05/09 Obblighi di sicurezza (Art. 31) <ul><li>Adottare tutte quelle procedure volte a ridurre al minimo: </li></ul><ul>...
27/05/09 Obblighi di sicurezza (Art. 33) IL TITOLARE DEL TRATTAMENTO E’ TENUTO AD ADOTTARE LE  “MISURE MINIME DI SICUREZZA...
27/05/09   Trattamenti con strumenti elettronici  (Art. 34) 1.  Il trattamento di dati personali effettuato con strumenti ...
27/05/09 Trattamenti senza l'ausilio di strumenti elettronici    Art. 35 <ul><li>Art. 35. Trattamenti senza l'ausilio di s...
27/05/09 Adeguamento   Art. 36 Art. 36. Adeguamento 1. Il disciplinare tecnico di cui all'allegato B), relativo alle misur...
27/05/09 Trattamenti con strumenti elettronici Artt. Da 33 a 36 Sistema di autorizzazione dell’accesso 1. Il trattamento d...
27/05/09 Trattamenti con strumenti elettronici IL NOSTRO CASO   Sistema di autorizzazione dell’accesso Accesso al computer...
27/05/09 IL PROBLEMA AUTENTICA E LE SICUREZZA   Anche se sono attualmente disponibili molte alternative per eseguire l'aut...
27/05/09 Teoria delle password Windows 2000, Windows XP e Windows Server™ 2003, supportano l'utilizzo di password compless...
27/05/09 Requisiti contraddittori   PASSWORD COMPLESSA (azKK1??65F2W@Hub La password è formalmente corretta Quale comporta...
27/05/09 Frasi di senso compiuto  (Cipensa6Cesco?) La password è formalmente corretta e facile da ricordare.  [Lamiapanda@...
27/05/09 Tutte le password  Cambiare le password di: PROFILO UTENTE  E-MAIL  SISSI  S.I.M.P.I.  LINEE GUIDA METODOLOGICHE ...
27/05/09 Screen saver   Altre forme di protezione includono il blocco del computer ogni volta che ci si allontana dalla po...
27/05/09 Virus Informatici I virus sono veri e propri piccoli programmi in grado di causare, una volta mandati in esecuzio...
27/05/09 Come ci si contamina FILES INFETTI  SERVIZI DI CONDIVISIONE FILES  FLOPPY DISK  PEN DRIVER POSTA ELETTRONICA  SIT...
27/05/09 Come ci si difende LA MIGLIORE DIFESA È UN ATTEGGIAMENTO  ATTENTO E NON SUPERFICIALE DEL PROBLEMA
27/05/09 Antivirus e Aggiornamenti A)   CONTROLLATE SEMPRE CHE IL VOSTRO ANTIVIRUS SIA  AGGIORNATO ALMENO SETTIMANALMENTE ...
27/05/09 Non è essere cattivi  Non permettete:  L’utilizzo del vostro computer  per stampare compiti o prove, che solitame...
27/05/09 E-Mail  le email contraffatte, (o email di spoofing), possono rappresentare un grave problema per gli utenti inte...
27/05/09 Tipo di E-Mail  Messaggi di e-mail senza oggetto ne mittente e con allegato. Messaggi di e-mail con allegato e og...
27/05/09 Tipo di E-Mail  S iti maligni. Sempre più spesso vengono recapitate, nella nostra casella di posta elettronica, e...
27/05/09 Floppy Disk  A ccertarsi che il floppy disk sia debitamente formattato e privo di altri file. P er evitare l'alte...
27/05/09 Floppy Disk  Il floppy disk contenente dati non deve mai essere lasciato abbandonato sul tavolo, ma deve essere i...
27/05/09 Floppy Obsoleti L’utilizzo dei floppy disk come supporto di back-up  deve essere ridotto al minimo  indispensabil...
27/05/09 Link utili  http://www.garanteprivacy.it http://www.consulentelegaleprivacy.it http://www.dirittoesicurezza.it/sc...
Upcoming SlideShare
Loading in …5
×

D.Lgs 196/2003

5,631 views

Published on

Corso di formazione per personale scolastico

Published in: Technology, Business
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
5,631
On SlideShare
0
From Embeds
0
Number of Embeds
46
Actions
Shares
0
Downloads
206
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

D.Lgs 196/2003

  1. 1. D.Lgs 196/2003 <ul><ul><li>Adempimento formazione </li></ul></ul><ul><ul><li>personale della scuola </li></ul></ul><ul><ul><li>allegato B </li></ul></ul><ul><ul><li>Codice D.Lgs 196/2003 </li></ul></ul>
  2. 2. Codice D.Lgs 196/2003 1. Il Dlgs 196/2003 è stato approvato dal Consiglio dei Ministri il 27 giugno 2003, in attuazione della legge delega 127/2001, e pubblicato sulla Gazzetta Ufficiale n. 174 del29 luglio 2003 2. Il Codice riunisce quanto precedentemente emanato in materia di Privacy (Legge675/96, DPR 318/99, D.Lgsl.467/2001, Codici deontologici, Provvedimenti, ecc.) Direttiva 95/46/CE Legge 675/96 Codice D.Lgs 196/2003 Provvedimenti del garante DPR 318/99 DPR 467/2001 Codici deontologici
  3. 3. I principi <ul><li>1. Tutela della dignità e della libertà personale </li></ul><ul><li>2. Diritto alla tutela della propria vita privata </li></ul><ul><li>3. Controllo dell’uso che gli altri fanno dei propri dati personali </li></ul><ul><li>4. Protezione dei dati personali </li></ul><ul><li>5. Diritto a conoscere i dati personali trattati </li></ul><ul><li>6. Formazione e comunicazione sul ruolo dell’incaricato </li></ul>
  4. 4. Tipologie di Dati (art.4) D.Lgs 196/2003 ANONIMO Dato PERSONALE Identificativo Sensibile Giudiziario Particolare “border line” (Art 17)
  5. 5. Tipologie di Dati art.4   Dato Anonimo Dato che, in origine o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile.
  6. 6. Tipologie di Dati art.4 Dato Personale Qualunque informazione (e non solo quelle di carattere riservato) che consenta di individuare con certezza un soggetto in modo diretto o indiretto, vale a dire anche quando l'identificazione sia possibile attraverso il collegamento di più informazioni di per sé non significative se singolarmente considerate.
  7. 7. Tipologie di Dati art.4 Dato Identificativo Dati personali che permettono l'identificazione diretta dell'interessato
  8. 8. Tipologie di Dati art.4 Dati Sensibili <ul><li>l'origine razziale ed etnica </li></ul><ul><li>le convinzioni religiose, filosofiche o di altro genere </li></ul><ul><li>le opinioni politiche </li></ul><ul><li>l'adesione a partiti </li></ul><ul><li>l’adesione a sindacati </li></ul><ul><li>l’adesione ad associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale </li></ul><ul><li>lo stato di salute </li></ul><ul><li>la vita sessuale. </li></ul>
  9. 9. Tipologie di Dati art.4 Dati Giudiziari <ul><li>L’iscrizione nel casellario giudiziale ( ad esempio: condanna penale, pene accessorie quali interdizione dai pubblici uffici, ecc.) </li></ul><ul><li>L’iscrizione nell’ anagrafe delle sanzioni amministrative dipendenti da reato </li></ul><ul><li>L’avere carichi pendenti in relazione ai 2 punti testé citati. </li></ul><ul><li>La qualità di imputato o di indagato. </li></ul>
  10. 10. DEFINIZIONI “ trattamento” E’ qualunque operazione o insieme di operazioni, compiute anche senza il supporto di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non sono registrati in una banca dati
  11. 11. DEFINIZIONI “ diffusione” Consiste nel portare a conoscenza dei dati personali soggetti indeterminati, in qualunque forma, anche attraverso la loro messa a disposizione o consultazione
  12. 12. DEFINIZIONI “ comunicazione” consiste nel portare a conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualsiasi forma, anche attraverso la loro messa a disposizione o consultazione
  13. 13. DEFINIZIONI “ blocco” consiste nella conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento
  14. 14. DEFINIZIONI “ banca dati” Qualsiasi insieme di dati personali organizzati in modo da renderne possibile o agevole la consultazione e il trattamento.
  15. 15. Trattamento con strumenti elettronici o non compiuta su dati Qualsiasi operazione Raccolta Registrazione Organizzazione Conservazione Consultazione Elaborazione Modificazione Selezione Estrazione Raffronto Utilizzo Interconnessione Blocco = (Congelamento su ordine del garante) Comunicazione Diffusione Cancellazione Distruzione
  16. 16. La struttura Incaricato Responsabile Interessato consenso informativa Notifica al garante Lettere di nomina Responsabili Titolare Lettere di nomina Incaricati Documento programmatico sulla sicurezza
  17. 17. Gli attori GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Stefano Rodotà TITOLARE DEL TRATTAMENTO DIRIGENTE RESPONSABILE Facoltativo (Art 29) INCARICATI Docenti Personale Amministrativo, Tecnico, Ausiliario Personale Esterno INTERESSATI AL TRATTAMENTO Genitori Studenti Personale Fornitori
  18. 18. Attori Garante Organo collegiale costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica con voto limitato. I componenti sono scelti tra persone che assicurano indipendenza e che sono esperti di riconosciuta competenza delle materie del diritto o dell'informatica, garantendo la presenza di entrambe le qualificazioni. Art. 153
  19. 19. Attori Titolare E’ la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni relative alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza
  20. 20. Attori Responsabile E’ la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali
  21. 21. Attori Incaricati Sono le persone fisiche autorizzate ad effettuare operazioni di trattamento dal titolare dei dati o dal responsabile
  22. 22. Attori Interessato E’ la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali
  23. 23. I DIRITTI DELL’INTERESSATO Art. 7 Diritto di accesso ai dati personali e altri diritti Art. 8 Esercizio dei diritti Art. 9 Modalità di esercizio Art. 10 Riscontro dell’interessato
  24. 24. Regole generali per il trattamento dei dati Art .11 <ul><li>Liceità e correttezza </li></ul><ul><li>Raccolta e registrazione per scopi determinati, espliciti e legittimi </li></ul><ul><li>Esattezza </li></ul><ul><li>Pertinenti, completi e non eccedenti rispetto alle finalità di utilizzo </li></ul><ul><li>Conservazione finalizzata all’identificazione dell’interessato per il periodo necessario al raggiungimento dello scopo di raccolta e trattamento </li></ul>
  25. 25. Art .11 Comma (d   Pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati. La scheda personale dell’alunno,, che contiene dati per l’immediata rintracciabilità del genitore, o interventi da adottare per particolari patologie, deve essere distrutto al termine del rapporto scuola studente. Caso di dato eccedente e non più pertinente. Prestare la massima attenzione nella richiesta di dati riguardanti, il reddito , la composizione del nucleo famigliare ecc. Evitare di utilizzare modelli standard valutare caso per caso la necessità di tale richiesta.
  26. 26. Art .11 Comma (e   conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. Vedi Art. 16 comma (d) Esempio:    Fascicoli personali alunni occorre verificare se ogni singolo documento mantiene o no qualche utilità giuridica o storica
  27. 27. INFORMATIVA Art. 13 1) finalità e modalità del trattamento 5) diritti degli interessati 6) Identificativi di titolare e responsabile 3) conseguenze di un rifiuto a fornire i dati 4) categorie a cui i dati sono comunicati o diffusi 2) natura obbligatoria o facoltativa del conferimento E’ esclusa l’informativa quando i dati sono trattati in base ad un obbligo di legge o regolamento o normativa comunitaria
  28. 28. Danni cagionati per effetto del trattamento Art 15 <ul><li>1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. </li></ul><ul><li>2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11. </li></ul><ul><li>Pertanto chiunque provochi un danno ha l’obbligo di dimostrare di aver posto in essere ogni misura idonea ad evitarlo </li></ul>
  29. 29. Cessazione del trattamento Art 16 <ul><li>In caso di cessazione del trattamento i dati sono: </li></ul><ul><li>distrutti; </li></ul><ul><li>ceduti ad altro titolare per un ulteriore trattamento compatibile con gli scopi originari della raccolta; </li></ul><ul><li>conservati per fini personali e sottratti a comunicazione o diffusione; </li></ul><ul><li>conservati o ceduti ad altro titolare a fini storici statistici o scientifici secondo le disposizioni normative </li></ul><ul><li>File di consultazione da (scarto degli archivi) INDIRE </li></ul>
  30. 30. Trattamento che presenta rischi specifici Art. 17 1. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell’interessato, ove prescritti. 2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell’ambito di una verifica preliminare all’inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.
  31. 31. I Dati utilizzati e trattati dalla scuola Dati relativi ad alunni e alle le rispettive famiglie Dati relativi al personale della scuola Dati relativi ad altri soggetti relativamente alle attività svolte nella scuola o nell’esercizio dell’azione amministrativa
  32. 32. Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici Art 18 Il codice regola in modo specifico i casi in cui il trattamento avviene a cura di pubbliche amministrazioni
  33. 33. Principio di necessità Art 18 Solo i dati strettamente necessari per le finalità istituzionali   Qualunque trattamento di dati personali è consentito soltanto se strettamente indispensabile per lo svolgimento delle funzioni istituzionali dell’ente pubblico ovvero per realizzare le sue finalità istituzionali. Viene, quindi, introdotto un doppio presupposto di legittimità insuperabile e non aggirabile:    Principio di necessità       Principio di finalità istituzionale
  34. 34. Principio di necessità Art 18 s 1. Il trattamento da parte di un soggetto pubblico riguardante dati diversi da quelli sensibili e giudiziari è consentito, fermo restando quanto previsto dall'articolo 18, comma 2 , anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente. 2. La comunicazione da parte di un soggetto pubblico ad altri soggetti pubblici è ammessa quando è prevista da una norma di legge o di regolamento. In mancanza di tale norma la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di funzioni istituzionali e può essere iniziata se è decorso il termine di cui all'articolo 39, comma 2, e non è stata adottata la diversa determinazione ivi indicata. 3. La comunicazione da parte di un soggetto pubblico a privati o a enti pubblici economici e la diffusione da parte di un soggetto pubblico sono ammesse unicamente quando sono previste da una norma di legge o di regolamento.
  35. 35. Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari Art 19 s 1. Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite. 2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all’articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell’articolo 154, comma 1, lettera g), anche su schemi tipo. 3. Se il trattamento non è previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi dell’articolo 26, comma 2, il trattamento dei dati sensibili. Il trattamento è consentito solo se il soggetto pubblico provvede altresì a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2. 4. L’identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 è aggiornata e integrata periodicamente.
  36. 36. Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari Art. 19 Trattamento dati personali Possibile per lo svolgimento delle funzioni istituzionali Comunicazione dati personali da soggetti pubblici a soggetti pubblici Possibile se prevista da norme di legge o Regolamenti o sono necessarie per lo svolgimento di funzioni istituzionali nel rispetto dell’art. 39 (comunicazione al Garante) Comunicazione dati personali da soggetti pubblici a privati e diffusione Possibile solo se previste da norme di Legge o regolamenti
  37. 37. Principi applicabili al trattamento di dati sensibili Art 20 comma 1 Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite Art.20 “Molte falsità sulla privacy a scuola&quot;. Il Garante: una leggenda metropolitana
  38. 38. Principi applicabili al trattamento di dati sensibili Art. 20 Comma 2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico , ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all'articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell'articolo 154, comma 1, lettera g), anche su schemi tipo. Art.20 “Molte falsità sulla privacy a scuola&quot;. Il Garante: una leggenda metropolitana Art 95 Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità di istruzione e di formazione in ambito scolastico, professionale, superiore o universitario, con particolare riferimento a quelle svolte anche in forma integrata
  39. 39. Principi applicabili al trattamento di dati sensibili Art. 20 dati di rilevante interesse pubblico <ul><li>Finalità di applicazione della disciplina dell’accesso agli atti amministrativi (art. 59-60) </li></ul><ul><li>Cittadinanza, immigrazione e condizione dello straniero (Art.64) </li></ul><ul><li>Diritti politici e pubblicità dell'attività di organi (Art. 65) </li></ul><ul><li>Attività di controllo e ispettive (Art. 67) </li></ul><ul><li>Benefici economici ed abilitazioni (Art. 68) </li></ul><ul><li>Volontariato e obiezione di coscienza (Art. 70) </li></ul><ul><li>Attività sanzionatorie e di tutela (Art. 71) </li></ul><ul><li>Rapporti con enti di culto (Art. 72) </li></ul><ul><li>Finalità di applicazione amministrativa della disciplina dell’assistenza, integrazione sociale e diritti della persona handicappata (art.86) </li></ul><ul><li>Finalità di istruzione e formazione in ambito scolastico e universitario (art.95) </li></ul><ul><li>Finalità di instaurazione e gestione dei rapporti di lavoro (art.112) </li></ul>
  40. 40. Principi applicabili al trattamento di dati giudiziari Art. 21 1. Il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. 2. Le disposizioni di cui all'articolo 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari. “Molte falsità sulla privacy a scuola&quot;. Il Garante: una leggenda metropolitana
  41. 41. L’unità organizzativa “collaboratori scolastici” La prima interfaccia con il Pubblico Dare indicazioni essenziali Corrette Precise
  42. 42. L’unità organizzativa “collaboratori scolastici” prot. 6209/PR15/FP del 30/06/2004 Incaricati del trattamento: che consistono nello: ARCHIVIARE SPOSTARE CONSEGNARE CUSTODIRE
  43. 43. Principi applicabili al trattamento di dati sensibili e giudiziari Art. 22 OBBLIGO SPECIFICO DI INFORMAZIONE La scuola tratta i dati sensibili e giudiziari informando gli interessati circa le norme che rendono necessario e legittimano il trattamento. CORRETTEZZA DEL TRATTAMENTO La scuola tratta solo i dati sensibili e giudiziari indispensabili alle attività istituzionali, verificando periodicamente correttezza, pertinenza ed essenzialità. MODALITÀ DI CONSERVAZIONE in caso di uso di strumenti elettronici è obbligatoria la cifratura dei dati sensibili e giudiziari ; la cifratura è obbligatoria comunque per i dati idonei a rivelare lo stato di salute e la vita sessuale, i quali devono essere conservati separatamente. I DATI IDONEI A RIVELARE LO STATO DI SALUTE NON POSSONO ESSERE DIFFUSI ( Art 22 comma 7)
  44. 44. 27/05/09 Obblighi di sicurezza (Art. 31) <ul><li>Adottare tutte quelle procedure volte a ridurre al minimo: </li></ul><ul><li>La distruzione o la perdita, anche accidentale dei dati </li></ul><ul><li>L’accesso non autorizzato non conforme alla finalità della raccolta </li></ul><ul><li>L’alterazione dei dati in conseguenza di interventi non autorizzati </li></ul>Custodia e controllo natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
  45. 45. 27/05/09 Obblighi di sicurezza (Art. 33) IL TITOLARE DEL TRATTAMENTO E’ TENUTO AD ADOTTARE LE “MISURE MINIME DI SICUREZZA” allegato (B) Chi omette l’adozione di tali misure commette reato penale ai sensi dell’ (Art. 169) ALLEGATO B DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA 1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.
  46. 46. 27/05/09 Trattamenti con strumenti elettronici (Art. 34) 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari .
  47. 47. 27/05/09 Trattamenti senza l'ausilio di strumenti elettronici Art. 35 <ul><li>Art. 35. Trattamenti senza l'ausilio di strumenti elettronici 1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: </li></ul><ul><li>aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; </li></ul><ul><li>b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; </li></ul><ul><li>c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati. </li></ul>
  48. 48. 27/05/09 Adeguamento Art. 36 Art. 36. Adeguamento 1. Il disciplinare tecnico di cui all'allegato B), relativo alle misure minime di cui al presente capo, è aggiornato periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore .  
  49. 49. 27/05/09 Trattamenti con strumenti elettronici Artt. Da 33 a 36 Sistema di autorizzazione dell’accesso 1. Il trattamento di dati personali con strumenti elettronici é consentito agli Incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'Incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso a uso esclusivo dell'Incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'Incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
  50. 50. 27/05/09 Trattamenti con strumenti elettronici IL NOSTRO CASO Sistema di autorizzazione dell’accesso Accesso al computer Ogni incaricato dispone di un username associato a una parola chiave riservata e conosciuta solamente dal medesimo. L’incaricato provvederà a cambiare la password al primo accesso. Accesso a SISSI Le password di SISSI vanno cambiate obbligatoriamente dal server, purtroppo questo limite deve essere superato da EDS.
  51. 51. 27/05/09 IL PROBLEMA AUTENTICA E LE SICUREZZA Anche se sono attualmente disponibili molte alternative per eseguire l'autenticazione, la maggior parte degli utenti della scuola accede al proprio computer e ai computer remoti immettendo il nome e la password mediante l'utilizzo della tastiera. Le password devono essere di lunghezza non minore di otto caratteri e cambiate al primo accesso. Per ricordare le password più facilmente, spesso gli utenti utilizzano password brevi e facili da ricordare, ad esempio la data del compleanno, il cognome della nonna da signorina o il nome di un familiare. Le password semplici e brevi sono relativamente facili da identificare. Un piccolo programma scaricato da Internet è in grado di immagazzinare la password e l’username del vostro computer.
  52. 52. 27/05/09 Teoria delle password Windows 2000, Windows XP e Windows Server™ 2003, supportano l'utilizzo di password complesse. In Windows, le password complesse includono caratteri appartenenti ad almeno 3 dei 5 gruppi inclusi nella seguente tabella di classi di caratteri.
  53. 53. 27/05/09 Requisiti contraddittori PASSWORD COMPLESSA (azKK1??65F2W@Hub La password è formalmente corretta Quale comportamento umano ci si aspetta ?
  54. 54. 27/05/09 Frasi di senso compiuto (Cipensa6Cesco?) La password è formalmente corretta e facile da ricordare. [Lamiapanda@perdeitoc] La password è formalmente corretta, e facile da ricordare.
  55. 55. 27/05/09 Tutte le password Cambiare le password di: PROFILO UTENTE E-MAIL SISSI S.I.M.P.I. LINEE GUIDA METODOLOGICHE PER LA GESTIONE PASSWORD
  56. 56. 27/05/09 Screen saver Altre forme di protezione includono il blocco del computer ogni volta che ci si allontana dalla postazione di lavoro e l'impostazione di uno screen saver protetto da password. Per impedire l'accesso al computer a utenti non autorizzati, premere la combinazione di tasti CTRL+ALT+CANC, quindi fare clic su Blocca computer. Soltanto il proprietario e i membri del gruppo Administrators di un computer saranno in grado di sbloccarlo.
  57. 57. 27/05/09 Virus Informatici I virus sono veri e propri piccoli programmi in grado di causare, una volta mandati in esecuzione, gravi danni sul personal computer.
  58. 58. 27/05/09 Come ci si contamina FILES INFETTI SERVIZI DI CONDIVISIONE FILES FLOPPY DISK PEN DRIVER POSTA ELETTRONICA SITI WEB MALIGNI O CONTAMINATI SISTEMI OPERATIVI NON AGGIORNATI
  59. 59. 27/05/09 Come ci si difende LA MIGLIORE DIFESA È UN ATTEGGIAMENTO ATTENTO E NON SUPERFICIALE DEL PROBLEMA
  60. 60. 27/05/09 Antivirus e Aggiornamenti A) CONTROLLATE SEMPRE CHE IL VOSTRO ANTIVIRUS SIA AGGIORNATO ALMENO SETTIMANALMENTE B) MANTENETE AGGIORNATO IL VOSTRO SISTEMA OPERATIVO C) FATE VERIFICARE IL VOSTRO COMPUTER UNA VOLTA AL MESE DA UN TECNICO ESPERTO PER EVITARE BLOCCHI INASPETTATI
  61. 61. 27/05/09 Non è essere cattivi Non permettete: L’utilizzo del vostro computer per stampare compiti o prove, che solitamente il docente conserva in pen drive o floppy. Se è proprio impossibile dire di no, fate prima una scansione con l’antivirus al supporto removibile.
  62. 62. 27/05/09 E-Mail le email contraffatte, (o email di spoofing), possono rappresentare un grave problema per gli utenti internet inesperti. questi messaggi, all'apparenza inviati da siti web noti, non sono altro che il mezzo attraverso il quale autori di truffe cercano di appropriarsi di informazioni riservate dell'utente, quali password o dati. Purtroppo il fenomeno delle email contraffatte è sempre più frequente su internet, ma con qualche accortezza l'utente può proteggersi ed evitare così di esserne vittima
  63. 63. 27/05/09 Tipo di E-Mail Messaggi di e-mail senza oggetto ne mittente e con allegato. Messaggi di e-mail con allegato e oggetto inconsueti, inconsueti mittente conosciuto o addirittura con un vostro email address,  in genere preceduto da re:  Allegati di email aventi doppia estensione di file. es: file.jpg.exe Ricevete di email che recano allegati con nomi molto allettanti come nomi di noti artisti o termini erotici. es: nudo.exe, shakira.vbs.
  64. 64. 27/05/09 Tipo di E-Mail S iti maligni. Sempre più spesso vengono recapitate, nella nostra casella di posta elettronica, e-mail fraudolente contenenti link a siti web davvero pericolosi. E' possibile incappare in siti web maligni anche semplicemente &quot;navigando&quot; in Rete. Aggressori remoti rimpinguano questi siti dannosi con script e controlli attivi in grado di eseguire codice nocivo sul personal computer dell'utente. T utto ciò semplicemente visitando con il browser una pagina creata allo scopo. P er difendersi da questi attacchi è bene accertarsi di installare con regolarità tutte le patch rilasciate per il sistema operativo e per le applicazioni in uso.
  65. 65. 27/05/09 Floppy Disk A ccertarsi che il floppy disk sia debitamente formattato e privo di altri file. P er evitare l'alterazione dei dati in questione, dopo la copia su floppy disk, si attivi la protezione contro possibili nuove scritture, che potrebbero alterare i dati stessi Il floppy disk essere contrassegnato da un'etichetta, con una indicazione in chiaro od in codice, tale da permettere all'incaricato di riconoscere immediatamente il contenuto del floppy disk in questione, ed evitare che egli possa confonderlo con altri floppy disk che, probabilmente in suo possesso Q ualora i dati contenuti sul floppy disk non abbiano più ragione di essere, si deve provvedere immediatamente alla formattazione del floppy disk ed alla asportazione dell'etichetta con la indicazione il contenuto od alla sua cancellazione
  66. 66. 27/05/09 Floppy Disk Il floppy disk contenente dati non deve mai essere lasciato abbandonato sul tavolo, ma deve essere immediatamente posto all'interno di una custodia sicura, quando non utilizzato; in funzione della criticità dei dati archiviati, si può andare da un cassetto della scrivania chiuso a chiave, sino ad un armadio blindato od una cassaforte, idonea alla custodia di supporti magnetici.
  67. 67. 27/05/09 Floppy Obsoleti L’utilizzo dei floppy disk come supporto di back-up deve essere ridotto al minimo indispensabile La facilità di deterioramento del supporto non consento una affidabile sicurezza dei dati
  68. 68. 27/05/09 Link utili http://www.garanteprivacy.it http://www.consulentelegaleprivacy.it http://www.dirittoesicurezza.it/scuola http://www.privacy.it http://www.paginescuola.it

×