Vargiuscuola.it

Questo sito web fa utilizzo di cookies per migliorare l'esperienza di navigazione.

Per fruire del sito è necessario acconsentire o modificare le impostazioni del proprio browser.

Approvo

DL 196/2003 (Codice in materia di protezione dei dati personali)

 

Il trattamento dei dati personali è regolamentato dal DL 196 – 30 giugno 2003 (Codice in materia di protezione dei dati personali e relativo allegato B) che impone anche alle amministrazioni scolastiche la definizione di regole e procedure da osservare in maniera scrupolosa.

 


 

Obiettivi che si pone il DL 196/2003

  • Rispetto della privacy, della riservatezza dei dati, della tutela della dignità personale, dell’identità personale
  • Protezione dei dati personali dall’ingerenza di terzi
  • Tutela della riservatezza delle documentazioni custodite e salvaguardia dell’integrità nel tempo delle documentazioni medesime, siano esse costituite da materiale cartaceo che registrate su supporti informatici

 

I dati personali devono essere:

  •  Trattati in modo lecito e secondo correttezza
  •  Esatti ed aggiornati
  •  Raccolti e registrati solo per finalità legittime, determinate ed esplicite
  •  Utilizzati in altre operazioni di trattamento soltanto in termini compatibili con tali finalità
  •  Pertinenti rispetto alle finalità
  •  Non eccedenti rispetto alle finalità (verificare la “necessità” del dato)
  •  Proporzionali allo scopo (senso di misura sulla “quantità” e la “qualità” dei dati utilizzati rispetto allo scopo da raggiungere)
  •  Conservati per un periodo di tempo non superiore a quello necessario agli scopi
  •  Successivamente al raggiungimento delle finalità dichiarate, i dati devono essere distrutti

 


 

Regolamento trattamento dati sensibili e giudiziari


Il DL 196/2003 definisce i dati sensibili come quei dati personali idonei a rivelare:  

  • l’origine razziale ed etnica
  •  le convinzioni religiose, filosofiche o di altro genere
  •  le opinioni politiche
  •  l’adesione a partiti
  •  L'adesione a sindacati
  •  L'adesione ad associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale
  •  Lo stato di salute (compresi stati quali handicap, menomazioni fisiche, gravidanza e puerperio, dati genetici e biometrici, infortuni)
  •  La vita sessuale

 

I dati giudiziari sono invece i dati personali idonei a rivelare:

  • L'iscrizione nel casellario giudiziale a seguito di condanna penale (compresa l'iscrizione nell'anagrafe delle sanzioni amministrative dipendenti da reato);
  •  La qualità di imputato o di indagato

 

Il DL 196/2003 consente il trattamento di dati sensibili e giudiziari solo in presenza di una finalità di rilevante interesse pubblico e nel rispetto di uno specifico regolamento. Per le amministrazioni scolastiche il 30 gennaio 2007 è entrato in vigore il regolamento per il trattamento dei dati sensibili e giudiziari emanato dal MIUR. In esso vengono riconosciute 7 finalità ben circoscritte per cui le scuole sono autorizzate a trattare dati sensibili o giudiziari e a compiere determinate operazioni con essi.

  • Tratt. 1 dipendenti ed assimilati: Selezione e reclutamento a tempo indeterminato e determinato, e gestione del rapporto di lavoro del personale dipendente ecc.
  • Tratt. 2 dipendenti ed assimilati: Gestione del contenzioso e procedimenti disciplinari
  • Tratt. 3 Organismi collegiali e commissioni istituzionali
  • Tratt. 4 Attività propedeutiche all'avvio dell'anno scolastico
  • Tratt. 5 Attività educativa, didattica e formativa, di valutazione
  • Tratt. 6 Attività di controllo su scuole non statali (OPZIONALE, a seconda delle competenze del Dirigente)
  • Tratt. 7 Rapporti scuola – famiglie : gestione del contenzioso


Di seguito riportiamo il regolamento in cui ciascun istituto potrà mettere la propria intestazione prima di procedere alla pubblicazione nel sito istituzionale.
regolamento_dati_sensibili_e_giudiziari


 


Informativa e consenso
Prima di procedere a qualunque trattamento di dati personali l’istituto scolastico ha l’obbligo di fornire l’informativa all’interessato, un documento all’interno del quale è specificato quali dati personali sono trattati, in che modo, con quali strumenti, per quali finalità, a chi possono essere comunicati, etc. Nell’informativa deve essere riportato l’articolo 7 del DL 196/2003 in cui vengono citati i diritti dell’interessato. Il trattamento di dati personali finalizzato ai fini istituzionali dell’amministrazione scolastica non necessitano di autorizzazione al trattamento. Per il trattamento di dati personali in situazioni più dubbie o critiche è bene procedere alla richiesta di consenso in cui dovrà essere specificata chiaramente la finalità del trattamento (ad esempio un viaggio d’istruzione) e quali dati verranno trattati (ad esempio comunicazione di nome e cognome dell’alunno per la prenotazione di una camera o di un posto aereo). Informativa Privacy e moduli per la richiesta del consenso devono essere pubblicati nel sito web istituzionale.

Modello informativa: Informativa Privacy Scuole
Modello richiesta di consenso: Consenso Privacy Scuole


 


Comunicazione esiti scolastici
Al fine di agevolare l'orientamento, la formazione e l'inserimento nel mondo professionale l'art. 96 del D. Lgs 196/03 prevede che la scuola possa comunicare o diffondere, anche a privati e per via telematica, gli esiti scolastici degli allievi diplomati. Per fare ciò è però necessario che l'interessato (lo studente diplomando) presenti una specifica richiesta. La scuola può scaricare il modello allegato di seguito e, dopo un’appropriata personalizzazione, pubblicarlo nel proprio sito istituzionale a disposizione di tutti gli alunni che devono sostenere gli esami di diploma o di qualifica (classi quinte degli istituti superiori e classi terze degli istituti professionali). Soltanto in presenza di tale autorizzazione la scuola può, nell’interesse dello studente e per le finalità suddette, comunicare dati quali nome, cognome, luogo e data di nascita, indirizzo, numero di telefono, fax, e-mail, nonché il possesso di titoli ed eventuali specializzazioni oltre che il punteggio conseguito negli esami. Ovviamente anche in assenza di tale autorizzazione la scuola è tenuta a pubblicare i tabelloni con gli esiti degli esami per darne evidenza pubblica.
Modello richiesta diffusione esiti scolastici: art96 - richiesta diffusione esiti scolastici


 


Struttura organizzativa e nomine
Ogni amministrazione pubblica deve definire una propria struttura organizzativa per il trattamento di dati personali che, nel caso di una amministrazione scolastica, potrebbe essere la seguente:



Ogni dipendente chiamato a trattare dati personali deve ricevere una specifica lettera di nomina in cui sono specificati gli ambiti entro i quali è autorizzato il trattamento. Allo scopo suggeriamo di individuare almeno tre unità organizzative distinte: docenti, personale amministrativo, collaboratori scolastici. Per ciascuna unità organizzativa abbiamo definito una lettera di nomina collettiva che deve essere firmata dai componenti della medesima. Per il personale amministrativo ed i collaboratori scolastici abbiamo anche definito delle linee guida (le istruzioni per i docenti sono già contenute nella circolare di nomina ad essi rivolta). Si suggerisce di procedere al rinnovo di tutte le nomine in occasione dell’inizio dell’anno scolastico attraverso delle apposite circolari.

  1. nomina responsabile del trattamento: se il DS procede alla nomina del responsabile del trattamento questo non può che essere il DSGA. (modello lettera di nomina: NOMINA RESPONSABILE DEL TRATTAMENTO – DSGA)
  2. nomina personale amministrativo: il responsabile del trattamento dovrà procedere alla nomina del personale amministrativo incaricato del trattamento (modello lettera di nomina: NOMINA INCARICATI – ASSISTENTI AMMINISTRATIVI). Assieme alla lettera di nomina abbiamo previsto la consegna delle linee guida da osservare nel trattamento di dati personali (modello: LINEE GUIDA ASSISTENTI AMMINISTRATIVI)
  3. nomina collaboratori scolastici: il responsabile del trattamento dovrà procedere alla nomina dei collaboratori scolastici quali incaricati del trattamento (modello lettera di nomina: NOMINA COLLABORATORI SCOLASTICI). Assieme alla lettera di nomina abbiamo previsto la consegna delle linee guida da osservare nel trattamento di dati personali (modello: LINEE GUIDA COLLABORATORI SCOLASTICI).
  4. nomina incaricato copie di sicurezza: con la nomina a responsabile del trattamento il DSGA assume anche la responsabilità di garantire l’integrità dei dati trattati. La normativa prevede in particolare l’obbligo di effettuare copie di sicurezza con cadenza almeno settimanale. Suggeriamo a tal fine di procedere alla nomina di uno o più responsabili delle copie di sicurezza che garantiscano l’effettuazione regolare delle copie di backup (modello: NOMINA INCARICATO COPIE DI SICUREZZA)
  5. nomina assistente tecnico: negli istituti superiori andrebbero nominati con specifica lettera di nomina anche gli assistenti tecnici (modello: NOMINA INCARICATO DEL TRATTAMENTO – ASSISTENTE TECNICO)
  6. Nomina del personale docente: per la nomina del personale docente si suggerisce di procedere con una circolare che dovrà essere firmata per presa visione dal personale docente in servizio. (modello lettera di nomina: CIRCOLARE NOMINA DOCENTI)
  7. Responsabile della gestione e dell’amministrazione del sistema informatico: all’interno di una struttura complessa quale quella di una amministrazione scolastica è necessario individuare un responsabile della gestione e dell’amministrazione del sistema informatico che sovrintende alle risorse informatiche utilizzate per il trattamento dei dati. Tale figura è responsabile dell’efficienza delle misure di sicurezza adottate sui sistemi in cui avviene il trattamento dei dati personali.


Analoghe lettere di nomina e linee guida dovranno essere sottoscritte dal personale che dovessero prendere servizio nel corso dell’anno scolastico.


 


Documento Programmatico sulla Sicurezza (DPS)
Il DL 196/2003 all’art. 34 prevede che il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:

  1. autenticazione informatica;
  2. adozione di procedure di gestione delle credenziali di autenticazione;
  3. utilizzazione di un sistema di autorizzazione;
  4. aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
  5. protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
  6. adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
  7. tenuta di un aggiornato documento programmatico sulla sicurezza;
  8. adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Con il decreto milleproroghe del 2012 è stata approvata l’abrogazione della lettera g) e con essa l’obbligo dell’aggiornamento del DPS (che priva avveniva al 31 marzo di ogni anno). L’intento del legislatore è quello di semplificare le procedure e di favorire un approccio più concreto e meno formale alla sicurezza informatica.
Per le strutture più articolate o quelle che svolgono trattamenti che possono dar luogo a contenziosi o a richieste di risarcimento la nostra raccomandazione è quella di adottare comunque un DPS come strumento atto a contribuire alla prevenzione dei reati di trattamento illecito dei dati. La presenza di un DPS, sia pure in forma semplificata, consente di dare evidenza di un approccio positivo all’applicazione della normativa: all'arrivo della Guardia di Finanza o in occasione di richieste specifiche dell'Autorità Garante, esibire il DPS costituisce ancora un presupposto fondamentale per dimostrare l'attenzione del Titolare sull'applicazione delle misure. D’altronde rimane a carico del titolare del trattamento la responsabilità di definire una struttura organizzativa per il trattamento dei dati personali, idonee misure di sicurezza, regolamenti e procedure da osservare, etc. cosa che può essere fatta con una certa coerenza solo all’interno di un documento. Dall’abolizione del comma g) dell’art. 34 deriva comunque una certa libertà nella realizzazione di tale documento che doveva prima soddisfare i rigidi criteri imposti dal punto 19 dell’allegato b (misure minime di sicurezza). Mettiamo quindi a disposizione una versione semplificata del DPS che non necessita più di un aggiornamento annuale ma che rimane valido fino a quando novità di rilievo ne imporranno l’adeguamento. Il documento va ovviamente adattato alla specifica situazione del vostro istituto (per esempio l’indicazione della Vargiu Francesco & C Sas quale Responsabile del sistema informatico è valida per gli istituti per il quale è previsto specifico contratto che include tale servizio)
Modello DPS: DPS




Disciplinare Internet e posta elettronica
Tutte le amministrazioni pubbliche devono approvare un documento che specifichi le misure adottate per conformare alle vigenti disposizioni in materia di Privacy il trattamento di dati personali e per verificare il corretto utilizzo, nel rapporto di lavoro, della Posta elettronica e di Internet (vedere Bollettino n. 81 del Marzo 2007 pubblicato sulla Gazzetta Ufficiale – Serie generale n. 58 del 10.03.2007). In questo documento deve essere portato a conoscenza di tutto il personale cosa è consentito fare con gli strumenti informatici messi a disposizione, cosa è vietato, i controlli adottati dall’amministrazioni, le sanzioni possibili, etc. Si precisa che in assenza di un tale regolamento diventano difficilmente attuabili le misure atte a sanzionare eventuali mancanze e comportamenti inappropriati potendo far leva il dipendente sulla mancanza di informazione da parte del dirigente. Nel documento deve essere specificato in modo chiaro quali controlli possono essere fatti sull’uso di Internet e della posta elettronica, aspetto sempre molto delicato per le implicazioni che possono avere sulla lesione della privacy del lavoratore sul posto di lavoro.

Il MIUR ha emesso i propri regolamenti cui la scuola può rimandare soprattutto per quanto riguarda l’uso delle applicazioni SIDI e della posta elettronica ministeriale (suggeriamo di pubblicarli nel sito dell’istituto):
disciplinare_email_internet – MIUR
politica_pel_sidi_v6 - MIUR
politica_pel_standard_v6 - MIUR

Presentiamo di seguito la bozza del regolamento che deve invece redigere l’istituto, distinguendo fra le scuole primarie e secondarie di primo grado dalle scuole secondarie di secondo grado. Il documento va ovviamente personalizzato secondo l’effettiva situazione. In particolare abbiamo riportato in rosso la parte relativa ai controlli sui dati di navigazione, in effetti possibile solo con specifici strumenti (proxy, firewall) di cui l’istituto dovrebbe dotarsi.
Disciplinare Internet - primarie e SM
Disciplinare Internet - superiori


Altre Notizie

Accesso