Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
1
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
STUDIO MANGANIELLO & PARTNERS - DOTTORI COMMERCIALISTI INFOSCUOLA SRL PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO DECRETO LEGISLATIVO N. 196 DEL IN VIGORE DAL
2
STORIA Legge n. 675 del 31 dicembre Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali (testo vigente) DPR 28 luglio 1999 n Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell'articolo 15, comma 2, della legge 31 dicembre 1996, n 675 Legge 3 novembre 2000 n Disposizioni inerenti l'adozione delle misure minime di sicurezza nel trattamento dei dati personali previste dall'articolo 15 della legge 31 dicembre 1996, n. 675
3
COSA SIGNIFICA PRIVACY
Oggi la privacy non significa soltanto diritto di essere lasciati in pace o di proteggere la propria sfera privata, ma anche il diritto di controllare l'uso e la circolazione dei propri dati personali che costituiscono il bene primario dell'attuale società dell'informazione.
4
AMBITO DI APPLICAZIONE DEL CODICE SULLA PRIVACY
Il codice si applica al trattamento dei dati personali effettuato da chiunque (quindi anche dalle scuole) TRATTAMENTO: qualunque operazione effettuata anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca dati.
5
AMBITO DI APPLICAZIONE DEL CODICE SULLA PRIVACY
DATI PERSONALI: qualunque informazione relativa a persona fisica, persona giuridica,…, REGOLE PARTICOLARI VALGONO PER I DATI SENSIBILI DATI SENSIBILI: dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di atro genere le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
6
AMBITO DI APPLICAZIONE DEL CODICE SULLA PRIVACY
Sono dati personali: nome e cognome o denominazione; indirizzo o sede; codice fiscale; ma anche una foto, la registrazione della voce di una persona, la sua impronta digitale o vocale.
7
CONSENSO AL TRATTAMENTO
Il trattamento è ammesso solo con il consenso espresso dell’interessato Il consenso è manifestato in forma scritta se riguarda i dati sensibili Il consenso non è necessario quando occorre adempiere ad un obbligo di legge, regolamento, ecc.
8
TITOLARE DEL TRATTAMENTO
La persona fisica, la persona giuridica, la pubblica amministrazione, …….., cui competono anche unitamente ad altro titolare le decisione in ordine: Alle finalità Alle modalità del trattamento Agli strumenti utilizzati Al profilo della sicurezza
9
RESPONSABILE DEL TRATTAMENTO
La persona fisica, la persona giuridica, la pubblica amministrazione, preposti dal titolare al trattamento di dati personali. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni
10
INCARICATI DEL TRATTAMENTO
Le persona autorizzate dal titolare o dal responsabile a compiere operazioni di trattamento dei dati personali Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.
11
MISURE DI SICUREZZA I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
12
MISURE MINIME DI SICUREZZA
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottatele seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza;
13
IL DOCUMENTO PROGRAMMATICO DI SICUREZZA ENTRO IL 30 GIUGNO
Il DPS fotografa tutte le misure di sicurezza logiche, tecniche ed organizzative che la scuola: Ha adottato da subito Ha deciso di adottare a breve Adotterà ne medio e lungo periodo Entro il 31.3 di ogni anno il titolare del trattamento di dati sensibili aggiorna il DPS
14
CONTENUTO DEL DPS il DPS contiene L’elenco di trattamenti di dati
La distribuzione dei compiti e delle responsabilità L’analisi dei rischi che incombono sui dati Le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione e danneggiamento La previsione di interventi formativi degli incaricati del trattamento
15
SANZIONI MISURE DI SICUREZZA: chiunque ometta di adottare le misure minime di sicurezza è punito con l’arresto sino a 2 anni oppure con ammenda da a euro
16
SCHEMA RIASSUNTIVO DEGLI ADEMPIMENTI DA ADOTTARE
Nomina dei soggetti coinvolti nel trattamento: • Responsabile/i del trattamento (facoltativo) • Incaricato/i al trattamento Predisposizione misure di sicurezza per trattamenti effettuati senza strumenti informatici: • aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; • previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; • previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.
17
SCHEMA RIASSUNTIVO DEGLI ADEMPIMENTI DA ADOTTARE
Predisposizione misure minime di sicurezza per trattamenti effettuati con strumenti informatici: • autenticazione informatica; • credenziali di autenticazione; • sistema di autorizzazione; • aggiornamento periodico; • protezione degli strumenti elettronici e dati; • procedure per la custodia di copie di sicurezza; • redazione del DPS entro il 30/6/2004; • adozione di tecniche di cifratura o di codici identificativi per trattamento dati idonei a rivelare stato di salute o vita sessuale. Informazione all’interessato in merito al trattamento dei suoi dati
18
E’ NECESSARIO Compilare e stampare la documentazione per le figure previste dalla normativa (lettere di incarico per Responsabile della Sicurezza Dati Personali, Incaricati per i trattamenti, ecc..); Proteggere tutte le banche dati (di qualsiasi tipologia) da intrusioni o utilizzi non autorizzati; adottare le misure minime di sicurezza previste dalla normativa (password, sistemi antintrusione, antivirus, copie di backup, ecc...);
19
E’ NECESSARIO compilare e stampare il DPSS (Documento Programmatico Sulla Sicurezza) con cadenza annuale apportando di anno in anno le opportune modifiche (solo il DPSS fa prova dell'avvenuto adeguamento alla norma); adottare le misure fisiche di protezione (allarmi, stabilizzatori di corrente, armadi chiusi a chiave ed ignifughi, accesso selezionato ai locali...); Inventariare i dati personali, adottare le misure di sicurezza obbligatorie (fisiche, logiche ed organizzative), adeguandosi agli obblighi di informativa, consenso, nomina figure.
20
ART. 96 – TRATTAMENTO DATI RELATIVI AGLI STUDENTI
Al fine di agevolare l'orientamento, la formazione e l'inserimento professionale, anche all'estero, le scuole e gli istituti scolastici di istruzione secondaria, su richiesta degli interessati, possono comunicare o diffondere, anche a privati e per via telematica, dati relativi agli esiti scolastici, intermedi e finali, degli studenti e altri dati personali diversi da quelli sensibili o giudiziari, pertinenti in relazione alle predette finalità e indicati nell'informativa resa agli interessati ai sensi dell'articolo 13. I dati possono essere successivamente trattati esclusivamente per le predette finalità.
21
ART. 13 – INFORMATIVA DA RILASCIARE AGLI STUDENTI
Lo studente deve essere previamente informato circa: le finalità e le modalità del trattamento cui sono destinati i dati; la natura obbligatoria o facoltativa del conferimento dei dati; le conseguenze di un eventuale rifiuto di rispondere;
22
ART. 13 – INFORMATIVA DA RILASCIARE AGLI STUDENTI
Lo studente deve essere previamente informato circa: d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e del responsabile.
23
ORGANIGRAMMA TITOLARE: SCUOLA RESPONSABILE: DIRIGENTE o ALTRO
Sicurezza dati Gestione e manut strumenti elettronici Custodia credenziali Copie sicurezza banche dati INCARICATI
24
SEDI OCCORRE INDICARE: RESPONSABILE DI SEDE SISTEMI DI PROTEZIONE
SISTEMA ANTINCENDIO ECC.
25
BANCHE DATI OCCORRE INDICARE: TIPOLOGIA SE VI SONO DATI SENSIBILI
FINALITA’ INCARICATI AL TRATTAMENTO ECC.
26
SOFTWARE E SISTEMI DI ELABORAZIONE
OCCORRE INDICARE: PC MARCA SISTEMA OPERATIVO INCARICATI AL TRATTAMENTO ECC.
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.