Accessibilità al sito ed ai documenti della scuola - Servizi Cloud 27/06/2017 Accessibilità al sito ed ai documenti della scuola - Servizi Cloud Conoscere la normativa riguardo a: sicurezza informatica, accessibilità spazi web, trasparenza e integrità dei dati Accessibilità al sito ed ai documenti della scuola - Normativa sulla sicurezza dei dispositivi - Sicurezza dei dati e privacy e aggiornamento sulle nuove direttive europee. Dario Zucchini Associazione Dschola ITI Majorana - Grugliasco
Burocrazia dell’insicurezza Didattica 2.0 Burocrazia 2.0 Segreterie digitali Laboratori trascurati Accesso wireless solo per il registro Linee internet solo per la segreteria Siti scolastici senza didattica Studenti e docenti migrati sui social network Un sistema amministrativo che dal servizio alla didattica è riuscito a portare la didattica al suo servizio
I nostri utenti
Rete Didattica Segreteria Rete di Istituto Pochi utenti, classico ufficio Integrità dati e applicazioni Misure minime protezione dati personali Amministrazione Trasparente Rete Didattica Molti utenti, molti PC, poche risorse Navigazione Protetta Affidabilità dei sistemi Siti Tematici Ci sono molti più computer in una scuola che in una PMI
Quadro normativo ICT e scuola Segreteria DL 30/06/2003 n.196 Privacy - Misure minime di protezione dei dati DL 30/12/2004 n.314: Milleproroghe - DPS non più obbligatorio DL 14/03/2012 n.33: Amministrazione Trasparente DL 6/7/2012 n.95 art.7 Dematerializzazione Scuola/Labs CR 142/2003 PUA – Politica Uso Accettabile della rete Linee Guida Garante Privacy Dal tablet alla pagella elettronica Registro Elettronico PNSD #35 Azioni Applicare alla rete didattica modelli e norme degli uffici ha conseguenze devastanti Approfondimento: leggere velocemente linee guida garante privacy
Registro Elettronico DL n. 95 del 6 Luglio 2012 art. 7 comma 31 “A decorrere dall’anno scolastico 2012-2013 le istituzioni scolastiche e i docenti adottano registri on line e inviano le comunicazioni agli alunni e alle famiglie in formato elettronico” http://www.orizzontescuola.it/registro-elettronico- lamministrazione-deve-fornire-tutte-attrezzature-necessarie/ Internet Wireless Campus
Internet veloce e a basso prezzo Smart Fibra Ottimo rapporto qualità prezzo (20-30€/mese) 100-300 megabit/sec In rapida diffusione ADSL Aggregate Da 2 a 4 ADSL primo prezzo (20€/mese) Router aggregatore Multi-WAN Velocità complessiva 21 - 80 megabit/sec Spesa minore di 1000 euro/anno Non chiedere mai migrazione!!! Chiedere sempre e solo nuove linee Wireless Via terra Via satellite Tariffe simili alle linee ADSL Router Aggregatore Multi-Wan Costi a partire da 150 euro ESERCIZIO: Verifica costi e copertura per la tua suola: www.impresasemplice.it/verifica-copertura www.tim.it/verifica-copertura Verifica copertura Tiscali Verifica copertura Vodafone
Approfondimento Wireless Campus Casa/Ufficio Campus 100-128 Client Simultanei x AP Wireless Manager Free Max 10-20 Client Simultanei x AP
Navigazione protetta www.associazionedschola.it/asso
Navigazione Protetta OpenDNS Family Shield Asso Dschola https://support.opendns.com/hc/en-us/articles/228006487- FamilyShield-Router-Configuration-Instructions Versione gratuita preconfigurata Asso Dschola www.associazionedschola.it/asso Gratuito, basato su PC Blacklist Università di Tolosa Norton Connect Safe https://dns.norton.com/ Gratuito solo per uso personale
.gov.it Amministrazione Trasparente Siti istituzionali PA Direttiva del Ministro per la Pubblica Amministrazione n.8/2009 criteri di riconoscibilità, di aggiornamento, di usabilità e accessibilità Linee guida dei siti per la PA del 26/7/2010 Richiama la Legge n. 4 del 9 gennaio 2004 su accessibilità siti web Amministrazione Trasparente DL 14 marzo 2013, n. 33 obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni obbligo di pubblicare sul proprio sito istituzionale una serie di informazioni Non fa riferimento ai siti .gov Applicare alla rete didattica modelli e norme degli uffici ha conseguenze devastanti
Nota MIUR 6 giu 2014 In conseguenza dell'elevato numero di richieste di registrazione del dominio ".gov.it" da parte degli Istituti scolastici pervenute a questo Ufficio, dovuto alla probabile confusione con i termini previsti dalla legge 190/2012 per i requisiti sulla "trasparenza", […] non esiste alcuna relazione fra la scadenza citata dalla normativa sulla trasparenza e la registrazione del dominio ".gov.it". Infatti sia la Direttiva del Presidente del Consiglio del 30 maggio 2002 che la Direttiva 8/2009 del Ministro per la pubblica amministrazione e l'innovazione non prevedono alcun termine per la registrazione del dominio ".gov.it". E' possibile quindi procedere all'adeguamento dei siti web istituzionali secondo i requisiti dettati dalla legge sulla trasparenza indipendentemente dalla registrazione del dominio gov.it, che può essere richiesto anche successivamente. […]
Tipologia siti PA Siti Istituzionali Siti Tematici Presentare una istituzione pubblica (Ministero, Ente pubblico non economico, Regione, Ente locale, ecc.) Descrivere l’organizzazione, i compiti, i servizi relativi ad atti e procedimenti amministrativi di competenza Possono non essere .gov realizzati, anche in collaborazione tra più amministrazioni, su un tema specifico: la presentazione di un progetto la presentazione di un evento l’erogazione di un particolare servizio la focalizzazione di un’area di interesse http://www.iccu.sbn.it/opencms/export/sites/iccu/documenti/linee_guida___26luglio2010.pdf
Obiettivi Primari siti web PA Tipologia Obiettivi Contenuti Istituzionale Informare gli utenti sulle attività dell'ente Chi siamo; dove siamo; attività istituzionali e correnti (news, comunicati stampa, etc.); organigramma; normativa; documentazione; concorsi; gare e appalti; ecc. Erogare servizi di competenza Servizi informativi; modulistica; servizi di interazione con l’utente (Scrivici, risposte a domande ricorrenti - Faq, ecc.); servizi transattivi e di pagamento. Tematico Presentare un progetto, un’iniziativa, un evento Interviste; interventi; sala stampa; comunicati stampa; rassegna stampa; approfondimenti; ecc. Gestire una community Blog, Canale Youtube, Podcast, Forum; Wiki; bacheche; social network; Erogare specifici servizi anche trasversali a più amministrazioni Servizi informativi: modulistica; servizi di interazione con l’utente (Scrivici, risposte a domande ricorrenti - Faq, sondaggi, questionari, ecc…) Formare Tutorial; didattica on line; corsi on line (elearning);
Contenuti minimi siti web PA .gov Organigramma informazioni relative all’Ufficio relazioni con il pubblico (URP) Il programma triennale per la trasparenza e l'integrità Il Piano e la Relazione sulle performance L'ammontare complessivo dei premi collegati alla performance L'analisi dei dati relativi al grado di differenziazione nell'utilizzo della premialità I nominativi ed i curricula componenti Organismi indipendenti di valutazione I nominativi e i curricula dei dirigenti e dei titolari di posizioni organizzative Le retribuzioni dei dirigenti I curricula e le retribuzioni per incarichi politico amministrativi Gli incarichi, retribuiti e non retribuiti, conferiti ai dipendenti pubblici e a soggetti privati I tassi di assenza e di maggiore presenza del personale distinti per uffici di livello dirigenziale Il ruolo dei dirigenti Il codice disciplinare I contratti integrativi La contrattazione nazionale tipologie di procedimento svolte, i termini e le scadenze per Le scadenze e le modalità di adempimento dei procedimenti L’elenco delle caselle di posta elettronica istituzionali attive L’elenco delle caselle di posta elettronica certificata Le pubblicazioni, i messaggi di informazione e di comunicazione L’elenco dei concorsi L’elenco dei bandi di gara La pubblicità legale L’elenco dei servizi forniti in rete L’elenco dei servizi di futura attivazione Privacy Note Legali
Servizi online siti PA Servizio Servizi Personalizzati NO C Obbligatorio Accesso Servizi Personalizzati Transazioni con profilazione utente NO C Pagamenti on-line Transazioni on-line Richieste, permessi, iscrizioni, ecc… Modulistica I moduli non presenti sul sito possono non essere ritenuti validi SI P Informazioni Il servizio consente di fornire informazioni sulle disposizioni normative, su temi di rilevante interesse pubblico e sociale, sulle attività e i servizi dell'amministrazione di appartenenza Pubblicità Legale annunci delle PA, in osservanza a precisi obblighi di legge, al fine di rendere trasparenti atti e procedure concorsuali.
Accessibilità, Trasparenza, Usabilità SITI WEB ACCESSIBILITA‘ caratteristica di un dispositivo, di un servizio, di una risorsa o di un ambiente d'essere fruibile con facilità da una qualsiasi tipologia d'utente. Comunemente riferito a persone con ridotta o impedita capacità sensoriale, motoria, o psichica (tipicamente visiva) https://it.wikipedia.org/wiki/Legge_Stanca (sanzione: nullità del contratto) http://www.funzionepubblica.gov.it/norme-accessibilita-siti-web-trasparenza-usabilita
Accessibilità, Trasparenza, Usabilità Prevede che ogni cittadino possa accedere senza alcuna motivazione ai dati in possesso della pubblica amministrazione e che non possa ricevere un diniego alla sua richiesta di informazioni se non motivato Freedom of Information Act (FOIA), "atto per la libertà di informazione", http://www.altalex.com/documents/news/2016/06/06/arriva- il-foia http://www.funzionepubblica.gov.it/norme-accessibilita-siti-web-trasparenza-usabilita
Accessibilità, Trasparenza, Usabilità USABILITA' interazione efficace e soddisfacente per l'utente sia in termini di efficienza sia in termini di benessere. economizzare lo sforzo cognitivo dell'utente, proponendo prodotti che siano facili da comprendere, da imparare, da usare, da ricordare, che evitino o rendano recuperabili gli errori e che quindi gratifichino l'utilizzatore http://www.funzionepubblica.gov.it/norme-accessibilita-siti-web-trasparenza-usabilita
Amministrazione Trasparente Risultati delle indagini sulla soddisfazione da parte degli utenti rispetto alla qualità dei servizi in rete e statistiche di utilizzo dei servizi in rete Accesso civico "generalizzato" concernente dati e documenti ulteriori Accesso civico "semplice"concernente dati, documenti e informazioni soggetti a pubblicazione obbligatoria Ammontare complessivo dei debiti Ammontare complessivo dei premi (da pubblicare in tabelle) Articolazione degli uffici Atti amministrativi generali Atti degli organi di controllo Atti degli Organismi indipendenti di valutazione, nuclei di valutazione o altri organismi con funzioni analoghe Atti di accertamento delle violazioni Atti di concessione (da pubblicare in tabelle creando un collegamento con la pagina nella quale sono riportati i dati dei relativi provvedimenti finali) (NB: è fatto divieto di diffusione di dati da cui sia possibile ricavare informazioni relative allo stato di salute e alla situazione di disagio economico-sociale degli interessati, come previsto dall'art. 26, c. 4, del d.lgs. n. 33/2013) Atti di programmazione delle opere pubbliche Atti relativi alla programmazione di lavori, opere, servizi e forniture Atti relativi alle procedure per l’affidamento di appalti pubblici di servizi, forniture, lavori e opere, di concorsi pubblici di progettazione, di concorsi di idee e di concessioni. Compresi quelli tra enti nell'mabito del settore pubblico di cui all'art. 5 del dlgs n. 50/2016 Attività soggette a controllo Bandi di concorso (da pubblicare in tabelle) Benessere organizzativo Bilancio consuntivo Bilancio preventivo Burocrazia zero Canoni di locazione o affitto Carta dei servizi e standard di qualità Catalogo dei dati, metadati e delle banche dati Cessati dall'incarico (documentazione da pubblicare sul sito web) Class action Codice disciplinare e codice di condotta Composizione della commissione giudicatrice e i curricula dei suoi componenti. Consulenti e collaboratori (da pubblicare in tabelle) Conto annuale del personale Contrattazione collettiva Contratti Contratti integrativi Costi contabilizzati (da pubblicare in tabelle) Costi contratti integrativi Costo del personale non a tempo indeterminato (da pubblicare in tabelle) Costo personale tempo indeterminato Criteri e modalità Dati aggregati attività amministrativa Dati previsti dall'articolo 1, comma 32, della legge 6 novembre 2012, n. 190 Informazioni sulle singole procedure (da pubblicare secondo le "Specifiche tecniche per la pubblicazione dei dati ai sensi dell'art. 1, comma 32, della Legge n. 190/2012", adottate secondo quanto indicato nella delib. Anac 39/2016) Dati relativi ai premi (da pubblicare in tabelle) Dati società partecipate (da pubblicare in tabelle) Dati sui pagamenti (da pubblicare in tabelle) Dati sui pagamenti in forma sintetica e aggregata (da pubblicare in tabelle) Dati ulteriori (NB: nel caso di pubblicazione di dati non previsti da norme di legge si deve procedere alla anonimizzazione dei dati personali eventualmente presenti, in virtù di quanto disposto dall'art. 4, c. 3, del d.lgs. n. 33/2013) Dirigenti cessati dal rapporto di lavoro (documentazione da pubblicare sul sito web) Documenti di programmazione strategico-gestionale Elenco posizioni dirigenziali discrezionali Enti di diritto privato controllati (da pubblicare in tabelle) Enti pubblici vigilati (da pubblicare in tabelle) Fattori inquinanti IBAN e pagamenti informatici Incarichi amministrativi di vertice (da pubblicare in tabelle) Incarichi conferiti e autorizzati ai dipendenti (dirigenti e non dirigenti) (da pubblicare in tabelle) Incarichi dirigenziali, a qualsiasi titolo conferiti, ivi inclusi quelli conferiti discrezionalmente dall'organo di indirizzo politico senza procedure pubbliche di selezione e titolari di posizione organizzativa con funzioni dirigenziali (da pubblicare in tabelle che distinguano le seguenti situazioni: dirigenti, dirigenti individuati discrezionalmente, titolari di posizione organizzativa con funzioni dirigenziali) Indicatore di tempestività dei pagamenti Informazioni ambientali Informazioni realtive ai nuclei di valutazione e verifica degli investimenti pubblici (art. 1, l. n. 144/1999) Interventi straordinari e di emergenza (da pubblicare in tabelle) Liste di attesa (obbligo di pubblicazione a carico di enti, aziende e strutture pubbliche e private che erogano prestazioni per conto del servizio sanitario) (da pubblicare in tabelle) Misure a protezione dell'ambiente e relative analisi di impatto Misure incidenti sull'ambiente e relative analisi di impatto Monitoraggio tempi procedimentali Obblighi e adempimenti Obiettivi di accessibilità (da pubblicare secondo le indicazioni contenute nella circolare dell'Agenzia per l'Italia digitale n. 1/2016 e s.m.i.) OIV (da pubblicare in tabelle) Oneri informativi per cittadini e imprese Organigramma (da pubblicare sotto forma di organigramma, in modo tale che a ciascun ufficio sia assegnato un link ad una pagina contenente tutte le informazioni previste dalla norma) Patrimonio immobiliare Personale non a tempo indeterminato (da pubblicare in tabelle) Pianificazione e governo del territorio (da pubblicare in tabelle) Piano degli indicatori e dei risultati attesi di bilancio Piano della Performance/Piano esecutivo di gestione Piano triennale per la prevenzione della corruzione e della trasparenza Piano triennale per la prevenzione della corruzione e della trasparenza (PTPCT) Posizioni organizzative Posti di funzione disponibili Provvedimenti Provvedimenti adottati dall'A.N.AC. ed atti di adeguamento a tali provvedimenti Provvedimenti dirigenti amministrativi Provvedimenti organi indirizzo politico Provvedimento che determina le esclusioni dalla procedura di affidamento e le ammissioni all'esito delle valutazioni dei requisiti soggettivi, economico-finanziari e tecnico-professionali. Rappresentazione grafica Recapiti dell'ufficio responsabile Registro degli accessi Regolamenti Regolamenti per la prevenzione e la repressione della corruzione e dell'illegalità Relazione del responsabile della prevenzione della corruzione e della trasparenza Relazione sulla Performance Relazione sullo stato dell'ambiente del Ministero dell'Ambiente e della tutela del territorio Relazioni degli organi di revisione amministrativa e contabile Relazioni sull'attuazione della legislazione Rendiconti gruppi consiliari regionali/provinciali Resoconti della gestione finanziaria dei contratti al termine della loro esecuzione Responsabile della prevenzione della corruzione e della trasparenza Riferimenti normativi su organizzazione e attività Rilievi Corte dei conti Ruolo dirigenti Sanzioni per mancata o incompleta comunicazione dei dati da parte dei titolari di incarichi dirigenziali Sanzioni per mancata o incompleta comunicazione dei dati da parte dei titolari di incarichi politici, di amministrazione, di direzione o di governo Scadenzario obblighi amministrativi Sistema di misurazione e valutazione della Performance Stato della salute e della sicurezza umana Stato dell'ambiente Statuti e leggi regionali Strutture sanitarie private accreditate (da pubblicare in tabelle) Tassi di assenza trimestrali (da pubblicare in tabelle) Telefono e posta elettronica Tempi, costi unitari e indicatori di realizzazione delle opere pubbliche in corso o completate. (da pubblicare in tabelle, sulla base dello schema tipo redatto dal Ministero dell'economia e della finanza d'intesa con l'Autorità nazionale anticorruzione ) Tipologie di controllo Tipologie di procedimento (da pubblicare in tabelle) Titolari di incarichi di amministrazione, di direzione o di governo di cui all'art. 14, co. 1-bis, del dlgs n. 33/2013 Titolari di incarichi politici di cui all'art. 14, co. 1, del dlgs n. 33/2013 (da pubblicare in tabelle) http://www.magellanopa.it/bussola/ http://www.anticorruzione.it/portal/public/classic/AttivitaAutorita/AttiDellAutorita/_Atto?ca=6667
Condividere non è Pubblicare! Social Network Immediato Visibile “solo” agli “amici” Informale Mischiato a fatti privati talvolta imbarazzanti Cloud Storage Semplice Visibile solo agli iscritti Non reperibile dai motori di ricerca eLearning Sofisticato Istituzionale WEB Visibile a tutto il mondo Indicizzato da motori di ricerca Blog, Youtube, CMS, ecc… Studenti “autori” Strumenti Asincroni
Linee guida per la scuola del Garante Vademecum La scuola a prova di privacy (anno2016)
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Decreto legislativo 30 giugno 2003, n. 196 Art. 1. Diritto alla protezione dei dati personali Chiunque ha diritto alla protezione dei dati personali che lo riguardano. Art. 2. Finalità 1. Il presente testo unico, di seguito denominato "codice", garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali. Art. 3. Principio di necessità nel trattamento dei dati 1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità. http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1311248
Art. 34. Trattamenti con strumenti elettronici 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: autenticazione informatica; adozione di procedure di gestione delle credenziali di autenticazione; utilizzazione di un sistema di autorizzazione; aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; [soppressa]"tenuta di un aggiornato documento programmatico sulla sicurezza” adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Prvacy in classe e in laboratorio In classe NO dati sensibili e/o riservati! Il registro elettronico è un servizio esterno! Laboratorio informatico non rientra nel DL 30 giugno 2003, n. 196 Rischio sicurezza e privacy solo con: Computer condivisi da più utenti Browser e servizi cloud (es Chrome + Gmail) Credenziali e Password condivise Social Network usati per la scuola
Navigazione protetta e privacy http://www.pmi.it/impresa/normativa/news/89576/cont rollo-dipendenti-social-web-gli-strumenti-legali.html http://www.altalex.com/documents/news/2016/09/20/m ail-e-navigazione-internet-del-dipendente-garante- privacy-no-al-controllo-indiscriminato
Art. 28. Titolare del trattamento Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza.
Art. 29. Responsabile del trattamento 1. Il responsabile è designato dal titolare facoltativamente. 2. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. 3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti. 4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. 5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.
Art. 30. Incaricati del trattamento 1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima.
Art. 31. Obblighi di sicurezza I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1311248
Art. 32. Obblighi relativi ai fornitori di servizi di comunicazione elettronica accessibili al pubblico 1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta, ai sensi dell'articolo 31, anche attraverso altri soggetti a cui sia affidata l'erogazione del predetto servizio, misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi e per gli adempimenti di cui all'articolo 32-bis. 1-bis. Ferma restando l'osservanza degli obblighi di cui agli articoli 30 e 31, i soggetti che operano sulle reti di comunicazione elettronica garantiscono che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati. http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1311248
Art. 32. Obblighi relativi ai fornitori di servizi di comunicazione elettronica accessibili al pubblico 2. Quando la sicurezza del servizio o dei dati personali richiede anche l'adozione di misure che riguardano la rete, il fornitore del servizio di comunicazione elettronica accessibile al pubblico adotta tali misure congiuntamente con il fornitore della rete pubblica di comunicazioni. In caso di mancato accordo, su richiesta di uno dei fornitori, la controversia è definita dall'Autorità per le garanzie nelle comunicazioni secondo le modalità previste dalla normativa vigente. 3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa i contraenti e, ove possibile, gli utenti, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio è al di fuori dell'ambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare ai sensi dei commi 1, 1-bis e 2, tutti i possibili rimedi e i relativi costi presumibili. Analoga informativa è resa al Garante e all'Autorità per le garanzie nelle comunicazioni. http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1311248
Autenticazione Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti
Credenziali Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave
Password La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi
Codice identificativo Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi
Gestione Tecnica e perdita di qualità Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali
Accessibilità strumento Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento Screen Saver con password
Custodia credenziali Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato
Aggiornamenti Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale
Backup Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale
Art 4 Definizioni – comma 3 a) "misure minime", il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31; b) "strumenti elettronici", gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento; c) "autenticazione informatica", l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità; d) "credenziali di autenticazione", i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica; e) "parola chiave", componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica; f) "profilo di autorizzazione", l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti; g) "sistema di autorizzazione", l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente; g-bis) "violazione di dati personali": violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico. (7
Amministratori di Sistema Registrazione degli accessi Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Verifica della attività Verifica almeno annuale da parte dei titolari del trattamento sulla rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali. Elenco degli amministratori di sistema e loro caratteristiche Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite. http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1580831
DL 196-Privacy Navigazione Protetta
La rete rossa si collega direttamente al router La rete verde si collega allo switch del laboratorio I computer vanno impostati per ottenere gli indirizzi automaticamente (DHCP) Il filtro va lasciato sempre acceso (si aggiorna di notte) Esercizio: installare e/o configurare Asso.Dschola
L’ora di “informatica” 5 minuti spostamento in laboratorio 2 minuti accensione dei PC 10 minuti per ripristinare 2-3 PC bloccati o manomessi 5 minuti per riportare all’ordine i ragazzi 3 minuti per avviare il software 15-20 minuti di lezione! 10 minuti per la stampante che non stampa o per il server che non salva 5 minuti spegnimento e spostamento
Download consigliati http://www.iccu.sbn.it/opencms/export/sites/iccu/docu menti/linee_guida___26luglio2010.pdf http://www.funzionepubblica.gov.it/norme-accessibilita- siti-web-trasparenza-usabilita http://www.lagazzettadeglientilocali.it/decreto- trasparenza-ecco-il-testo-definitivo-e-la-relazione- illustrativa.html https://it.wikipedia.org/wiki/Legge_Stanca www.associazionedschola.it/adp/download
Grazie per l’attenzione Dario Zucchini – ego@superzuc.net info@associazionedschola.it www.associazionedschola.it www.associazionedschola.it/adp www.associazionedschola.it/asso