Web, scuola e sicurezza
Avv. Laura Paolucci
(Avvocatura distrettuale dello Stato di Bologna)
Scuola 7.0 - Bologna, 9-10 maggio 2005
e-P.A.
E-government, e-procurement,
e-learning - e-mail, atto
amministrativo elettronico,
fascicolo digitale, processo
telematico …….
2
Innovazione tecnologica e P.A.
(L.16.1.2003, n. 3)
•
•
•
•
•
•
•
•
Uso del documento informatico
Diffusione dell’uso delle firme elettroniche
Diffusione dei servizi erogati in via telematica
Diffusione e uso della carta nazionale dei
servizi
E-procurement
Estensione dell’uso della posta eletttronica
Impiego della telematica nella formazione dei
dipendenti
Realizzazione di siti internet
3
Innovazione tecnologica e P.A.
Documento informatico
e atto amministrativo
•
•
•
•
D.P.R. n. 513/1997
D.P.R. n. 445/2000 (artt. 8 ss)
D.P.C.M. 13.1.2004
Del. CNIPA 17.12.2005, n. 4/2005
4
Innovazione tecnologica e P.A.
Carta nazionale dei servizi
È il documento rilasciato su supporto
informatico per consentire l’accesso per
via telematica ai servizi erogati dalle
pubbliche amministrazioni
(D.P.R. 2.3.2004, n. 117)
5
Innovazione tecnologica e P.A.
Uso della posta elettronica
Comporta l’adozione di regole che
stabiliscano modalità e caratteristiche dei
servizi di trasmissione di documenti
informatici mediante posta elettronica
certificata
• L. n. 3/2003, n. 3
• D.P.R. n. 68/2005 (regolamento posta elettronica
certificata)
• D.Lgs. N. 42/2005 (SPC e RIPA)
6
Innovazione tecnologica e P.A.
SITI Internet
Obbligo di usare sistemi informatici per
erogare servizi e fornire informazioni senza
discriminazioni anche da parte di coloro
che a causa di disabilità necessitano di
tecnologie assistive o configurazioni
particolari
•Direttiva PCM 30 maggio 2002
•L 9.1.2004, n. 4 (disposizioni per favorire l’accesso dei
soggetti disabili agli strumenti informatici)
•D.P.R. 1.3.2005, n. 75
7
Innovazione tecnologica e P.A.
L’uso massiccio delle tecnologie
informatiche pone nuove questioni
tecniche e giuridiche:
• sostituzione del supporto cartaceo con
quello informatico  validità ed efficacia
dell’atto amm.vo non cartaceo con firma
autografa
• Necessità di garantire la sicurezza
informatica delle informazioni
8
d.lgs.30.6.2003, n. 196
Il codice in materia di protezione dei
dati personali abroga e sostituisce la
L.31.12.1996, n. 675 dal giorno della
sua entrata in vigore (1.1.2004, salvo
che per alcune particolari
disposizioni)
Direttiva PCM 11.2.2005, n. 1
9
Protezione dei dati personali
come regola dell’organizzazione
Il diritto alla protezione dei dati
personali, attribuito a chiunque (art.
1)
influisce
sui
criteri
di
organizzazione della P.A., criteri che
devono essere attuati nel rispetto
della
disciplina
in
materia
di
trattamento dei dati personali
(l’art. 176 modifica l’art. 2 d.lgs. 165/2001Dir PCM
1/05 punto 3)
10
Chiave di lettura del
Codice
consigli per non impazzire
• leggere
tutti
gli
articoli,
focalizzando
la
struttura
del
decreto in titoli e capi ed il loro
contenuto
• acquisire dimestichezza con la
terminologia e le definizioni
• identificare gli “attori” implicati
• identificare con precisione le regole
applicabili ai soggetti pubblici
11
Definizioni
sintesi essenziale
• dato personale
• dato sensibile
• dato giudiziario
• dato anonimo
• trattamento
• comunicazione
• diffusione
12
“Attori”
Titolare
la persona fisica, giuridica, la P.A. e
qualsiasi altro ente, associazione od
organismo cui competono, anche
unitamente ad altro titolare, le
decisioni in ordine alla finalità, alle
modalità di trattamento di dati
personali e agli strumenti utilizzati,
ivi compreso il profilo della sicurezza
attore per investitura originaria
13
“Attori”
Titolare segue
quando il trattamento è effettuato da una
persona giuridica, da una P.A. o da un
qualsiasi
altro
ente,
organismo
o
associazione, titolare del trattamento è
l’entità nel suo complesso o l’unità o
l’organismo periferico che esercita un
potere decisionale del tutto autonomo sulle
finalità e sulle modalità del trattamento,ivi
compreso il profilo della sicurezza
art 28 Codice
14
“Attori”
Responsabile
la persona fisica, la persona
giuridica, la P.A. e qualsiasi altro
ente, associazione od organismo
preposti
dal
titolare
al
trattamento del dati personali
attore per investitura derivata
15
“Attori”
Responsabile segue
• la nomina del responsabile è facoltativa
• deve essere affidabile, esperto e
capace
• può
esserci
una
pluralità
di
responsabili,
anche
mediante
suddivisione di compiti
• il
titolare
deve
specificare
analiticamente e per iscritto i compiti
affidati al responsabile
• il titolare deve fornire istruzioni e
vigilare sul loro rispetto
art. 29 Codice
16
“Attori”
Incaricati
le persone fisiche autorizzate a
compiere operazioni di trattamento
dal titolare o dal responsabile
attore per investitura derivata
17
“Attori”
Incaricati segue
• l’incaricato deve essere sotto la
diretta autorità del responsabile o
del titolare
• deve
ricevere
istruzioni
ed
attenersi ad esse
• la designazione è fatta per iscritto
e con individuazione dell’ambito
del trattamento consentito, salvo
che in caso di preposizione ad
unità di cui risulti individuato per
iscritto l’ambito del trattamento
consentito agli addetti all’unità
art. 30 Codice
18
“Attori”
Interessato
la persona fisica, giuridica, l’ente o
l’associazione cui si riferiscono i dati
personali
attore per investitura originaria
19
Principi generali e
comuni
•
•
principi generali (titolo I)
i diritti dell’interessato (titolo
•
regole per tutti i trattamenti
II)
(titolo III- Capo I e II)
20
Regole per tutti i trattamenti
(titolo III – Capo I)
•modalità del trattamento
(lecito, corretto, raccolti e registrati per scopi espliciti e
legittimi, coerenti col trattamento, conservati ai fini
identificativi per il tempo necessario allo scopo per il quale
il dato è raccolto e trattato)
•requisiti dei dati
(esatti, pertinenti, completi, non eccedenti rispetto alle
finalità
21
Regole per tutti i trattamenti
(titolo III-Capo I)
• informativa
• danni (civili) cagionati per
effetto del trattamento
• cessazione del trattamento
• trattamento dati quasi-sensibili
22
Regole ulteriori
per i soggetti pubblici
(Titolo III-CapoII)
• principi applicabili a tutti i trattamenti
effettuati da soggetti pubblici
• principi applicabili al trattamento dei
dati ordinari
• principi applicabili al trattamento dei
dati sensibili
• principi applicabili al trattamento dei
dati giudiziari
• principi applicabili al trattamento dei
dati sensibili e giudiziari
23
Principi applicabili a tutti i
trattamenti effettuati da soggetti
pubblici (art. 18)
• la P.A. tratta i dati ordinari se necessario
a svolgere le funzioni istituzionali
• la P.A. non deve chiedere il consenso
(salvo gli enti sanitari per i dati inerenti la salute)
24
Principi applicabili
al trattamento dei dati ordinari
(art. 19)
• la P.A. tratta i dati personali solo quando
necessario per svolgere le proprie funzioni
istituzionali
• la comunicazione ad altro ente pubblico, in
assenza di espressa previsione di legge o
di regolamento, è consentita per lo
svolgimento delle funzioni istituzionali e
previa comunicazione al Garante
• la comunicazione a privati e la diffusione
sono ammesse solo quando siano previste
da norma di legge o di regolamento
25
Principi applicabili
al trattamento dei dati sensibili
(art. 20)
il trattamento di dati sensibili da parte
della P.A. è consentito solo se
autorizzato da espressa disposizione
di legge (riserva assoluta di legge)
nella quale siano indicati:
1. le finalità di rilevante interesse
pubblico perseguite;
2. i tipi di dati che possono essere
trattati;
3. le operazioni eseguibili
26
Principi applicabili
al trattamento dei dati sensibili
(art. 20)
se la disposizione di legge specifica le
finalità di rilevante interesse pubblico, ma
non i tipi di dati e le operazioni eseguibili, il
trattamento
è
consentito
solo
previa
emanazione e nei limiti di un regolamento
(riserva di regolamento ex art. 17, 3. co.
L.400 /88= D.M., previa parere del Garante)
che individui i dati e le operazioni
•schema tipo
•termine di emanazione fino al 31.12.2005
27
Principi applicabili al trattamento
dei dati sensibili (art. 20)
sono di rilevante interesse pubblico
(esempi di
disposizioni legislative ad hoc di interesse “scolastico” ):
1. finalità di applicazione della disciplina dell’accesso agli atti
amministrativi (artt. 59-60)
2. finalità di instaurazione e gestione dei rapporti di lavoro
(art.112)
3. finalità di applicazione delle leggi sull’obiezione di
coscienza (art.70)
4. finalità di applicazione amministrativa della disciplina
dell’assistenza, integrazione sociale e diritti della persona
handicappata (art.86)
5. finalità di istruzione e formazione in ambito scolastico e
universitario (art.95)
28
Principi applicabili
al trattamento dei dati giudiziari
(art. 21)
il trattamento di dati giudiziari da
parte
di
soggetti
pubblici
è
consentito solo se autorizzato da
norme di legge o da provvedimento
del Garante che specifichino le
finalità
di
rilevante
interesse
pubblico, i tipi di dati trattati e le
operazioni eseguibili.
29
Principi applicabili al trattamento di
dati sensibili e giudiziari (art. 22)
1. obbligo specifico di informazione: la P.A. tratta i dati
s. e g. informando gli interessati circa le norme che
rendono necessario e legittimano il trattamento
2. correttezza del trattamento: la P.A. tratta solo i dati
s. e g. indispensabili alle attività istituzionali,
verificando periodicamente correttezza, pertinenza
ed essenzialità
3. modalità di conservazione: in caso di uso di
strumenti elettronici è obbligatoria la cifratura dei
dati s. e g.; la cifratura è obbligatoria comunque per i
dati idonei a rivelare lo stato di salute e la vita
sessuale,
i
quali
devono
essere
conservati
separatamente
30
Cosa deve fare il dirigente scolastico?
1.
2.
3.
4.
nominare uno o più responsabili
nominare gli incaricati
predisporre l'informativa
adottare un piano per aumentare le
misure di sicurezza e predisporre il
documento programmatico per la
sicurezza (DPS), previo censimento
dei trattamenti nell'organizzazione
31
Misure di sicurezza
(art. 31 )
I dati personali devono essere
custoditi e controllati con misure di
sicurezza adeguate a ridurre al
minimo i rischi di distruzione o di
perdita, di accesso non autorizzato,
di trattamento illecito
32
Misure minime di sicurezza
(artt. 33 e ss. )
I titolari del trattamento
devono
adottare
misure
minime
di
sicurezza
individuate nel Codice
33
Misure minime di sicurezza
(artt. 33 ss.)
Il
trattamento
operato
con
strumenti elettronici deve avvenire
solo tramite sistemi e procedure di
autorizzazione
all’accesso
e
di
autenticazione,
protezione
di
hardware e software e dei dati, di
back up ed emanazione del DPS
34
Misure minime di sicurezza
(artt. 33 ss.)
Il trattamento non automatizzato
richiede la verifica periodica dei
livelli
di
autorizzazione
agli
incaricati o alle unità organizzative,
procedure
di
custodia
e
conservazione,
procedura
di
custodia per gli atti ad accesso
selezionato
35
Acceptable use policy (AUP)
•Vincoli legali
•Utilizzo delle risorse
•identificazione
•Comportamenti attesi
•Comportamenti vietati
•Netiquette
36
È opportuno consultare…
http://www.osservatoriotecnologico.it
Servizio di osservatorio tecnologico
scuola del MIUR
per
la
http://www.firstmonday.dk/issues/issue4_11
/fleck/index.html
http://www.pen.k12.va.us/go/VDOE/Technology/AUP/
home.shtml
37
In bocca
al lupo !!!