Web, scuola e sicurezza Avv. Laura Paolucci (Avvocatura distrettuale dello Stato di Bologna) Scuola 7.0 - Bologna, 9-10 maggio 2005 e-P.A. E-government, e-procurement, e-learning - e-mail, atto amministrativo elettronico, fascicolo digitale, processo telematico ……. 2 Innovazione tecnologica e P.A. (L.16.1.2003, n. 3) • • • • • • • • Uso del documento informatico Diffusione dell’uso delle firme elettroniche Diffusione dei servizi erogati in via telematica Diffusione e uso della carta nazionale dei servizi E-procurement Estensione dell’uso della posta eletttronica Impiego della telematica nella formazione dei dipendenti Realizzazione di siti internet 3 Innovazione tecnologica e P.A. Documento informatico e atto amministrativo • • • • D.P.R. n. 513/1997 D.P.R. n. 445/2000 (artt. 8 ss) D.P.C.M. 13.1.2004 Del. CNIPA 17.12.2005, n. 4/2005 4 Innovazione tecnologica e P.A. Carta nazionale dei servizi È il documento rilasciato su supporto informatico per consentire l’accesso per via telematica ai servizi erogati dalle pubbliche amministrazioni (D.P.R. 2.3.2004, n. 117) 5 Innovazione tecnologica e P.A. Uso della posta elettronica Comporta l’adozione di regole che stabiliscano modalità e caratteristiche dei servizi di trasmissione di documenti informatici mediante posta elettronica certificata • L. n. 3/2003, n. 3 • D.P.R. n. 68/2005 (regolamento posta elettronica certificata) • D.Lgs. N. 42/2005 (SPC e RIPA) 6 Innovazione tecnologica e P.A. SITI Internet Obbligo di usare sistemi informatici per erogare servizi e fornire informazioni senza discriminazioni anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari •Direttiva PCM 30 maggio 2002 •L 9.1.2004, n. 4 (disposizioni per favorire l’accesso dei soggetti disabili agli strumenti informatici) •D.P.R. 1.3.2005, n. 75 7 Innovazione tecnologica e P.A. L’uso massiccio delle tecnologie informatiche pone nuove questioni tecniche e giuridiche: • sostituzione del supporto cartaceo con quello informatico validità ed efficacia dell’atto amm.vo non cartaceo con firma autografa • Necessità di garantire la sicurezza informatica delle informazioni 8 d.lgs.30.6.2003, n. 196 Il codice in materia di protezione dei dati personali abroga e sostituisce la L.31.12.1996, n. 675 dal giorno della sua entrata in vigore (1.1.2004, salvo che per alcune particolari disposizioni) Direttiva PCM 11.2.2005, n. 1 9 Protezione dei dati personali come regola dell’organizzazione Il diritto alla protezione dei dati personali, attribuito a chiunque (art. 1) influisce sui criteri di organizzazione della P.A., criteri che devono essere attuati nel rispetto della disciplina in materia di trattamento dei dati personali (l’art. 176 modifica l’art. 2 d.lgs. 165/2001Dir PCM 1/05 punto 3) 10 Chiave di lettura del Codice consigli per non impazzire • leggere tutti gli articoli, focalizzando la struttura del decreto in titoli e capi ed il loro contenuto • acquisire dimestichezza con la terminologia e le definizioni • identificare gli “attori” implicati • identificare con precisione le regole applicabili ai soggetti pubblici 11 Definizioni sintesi essenziale • dato personale • dato sensibile • dato giudiziario • dato anonimo • trattamento • comunicazione • diffusione 12 “Attori” Titolare la persona fisica, giuridica, la P.A. e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alla finalità, alle modalità di trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza attore per investitura originaria 13 “Attori” Titolare segue quando il trattamento è effettuato da una persona giuridica, da una P.A. o da un qualsiasi altro ente, organismo o associazione, titolare del trattamento è l’entità nel suo complesso o l’unità o l’organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento,ivi compreso il profilo della sicurezza art 28 Codice 14 “Attori” Responsabile la persona fisica, la persona giuridica, la P.A. e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento del dati personali attore per investitura derivata 15 “Attori” Responsabile segue • la nomina del responsabile è facoltativa • deve essere affidabile, esperto e capace • può esserci una pluralità di responsabili, anche mediante suddivisione di compiti • il titolare deve specificare analiticamente e per iscritto i compiti affidati al responsabile • il titolare deve fornire istruzioni e vigilare sul loro rispetto art. 29 Codice 16 “Attori” Incaricati le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile attore per investitura derivata 17 “Attori” Incaricati segue • l’incaricato deve essere sotto la diretta autorità del responsabile o del titolare • deve ricevere istruzioni ed attenersi ad esse • la designazione è fatta per iscritto e con individuazione dell’ambito del trattamento consentito, salvo che in caso di preposizione ad unità di cui risulti individuato per iscritto l’ambito del trattamento consentito agli addetti all’unità art. 30 Codice 18 “Attori” Interessato la persona fisica, giuridica, l’ente o l’associazione cui si riferiscono i dati personali attore per investitura originaria 19 Principi generali e comuni • • principi generali (titolo I) i diritti dell’interessato (titolo • regole per tutti i trattamenti II) (titolo III- Capo I e II) 20 Regole per tutti i trattamenti (titolo III – Capo I) •modalità del trattamento (lecito, corretto, raccolti e registrati per scopi espliciti e legittimi, coerenti col trattamento, conservati ai fini identificativi per il tempo necessario allo scopo per il quale il dato è raccolto e trattato) •requisiti dei dati (esatti, pertinenti, completi, non eccedenti rispetto alle finalità 21 Regole per tutti i trattamenti (titolo III-Capo I) • informativa • danni (civili) cagionati per effetto del trattamento • cessazione del trattamento • trattamento dati quasi-sensibili 22 Regole ulteriori per i soggetti pubblici (Titolo III-CapoII) • principi applicabili a tutti i trattamenti effettuati da soggetti pubblici • principi applicabili al trattamento dei dati ordinari • principi applicabili al trattamento dei dati sensibili • principi applicabili al trattamento dei dati giudiziari • principi applicabili al trattamento dei dati sensibili e giudiziari 23 Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici (art. 18) • la P.A. tratta i dati ordinari se necessario a svolgere le funzioni istituzionali • la P.A. non deve chiedere il consenso (salvo gli enti sanitari per i dati inerenti la salute) 24 Principi applicabili al trattamento dei dati ordinari (art. 19) • la P.A. tratta i dati personali solo quando necessario per svolgere le proprie funzioni istituzionali • la comunicazione ad altro ente pubblico, in assenza di espressa previsione di legge o di regolamento, è consentita per lo svolgimento delle funzioni istituzionali e previa comunicazione al Garante • la comunicazione a privati e la diffusione sono ammesse solo quando siano previste da norma di legge o di regolamento 25 Principi applicabili al trattamento dei dati sensibili (art. 20) il trattamento di dati sensibili da parte della P.A. è consentito solo se autorizzato da espressa disposizione di legge (riserva assoluta di legge) nella quale siano indicati: 1. le finalità di rilevante interesse pubblico perseguite; 2. i tipi di dati che possono essere trattati; 3. le operazioni eseguibili 26 Principi applicabili al trattamento dei dati sensibili (art. 20) se la disposizione di legge specifica le finalità di rilevante interesse pubblico, ma non i tipi di dati e le operazioni eseguibili, il trattamento è consentito solo previa emanazione e nei limiti di un regolamento (riserva di regolamento ex art. 17, 3. co. L.400 /88= D.M., previa parere del Garante) che individui i dati e le operazioni •schema tipo •termine di emanazione fino al 31.12.2005 27 Principi applicabili al trattamento dei dati sensibili (art. 20) sono di rilevante interesse pubblico (esempi di disposizioni legislative ad hoc di interesse “scolastico” ): 1. finalità di applicazione della disciplina dell’accesso agli atti amministrativi (artt. 59-60) 2. finalità di instaurazione e gestione dei rapporti di lavoro (art.112) 3. finalità di applicazione delle leggi sull’obiezione di coscienza (art.70) 4. finalità di applicazione amministrativa della disciplina dell’assistenza, integrazione sociale e diritti della persona handicappata (art.86) 5. finalità di istruzione e formazione in ambito scolastico e universitario (art.95) 28 Principi applicabili al trattamento dei dati giudiziari (art. 21) il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da norme di legge o da provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico, i tipi di dati trattati e le operazioni eseguibili. 29 Principi applicabili al trattamento di dati sensibili e giudiziari (art. 22) 1. obbligo specifico di informazione: la P.A. tratta i dati s. e g. informando gli interessati circa le norme che rendono necessario e legittimano il trattamento 2. correttezza del trattamento: la P.A. tratta solo i dati s. e g. indispensabili alle attività istituzionali, verificando periodicamente correttezza, pertinenza ed essenzialità 3. modalità di conservazione: in caso di uso di strumenti elettronici è obbligatoria la cifratura dei dati s. e g.; la cifratura è obbligatoria comunque per i dati idonei a rivelare lo stato di salute e la vita sessuale, i quali devono essere conservati separatamente 30 Cosa deve fare il dirigente scolastico? 1. 2. 3. 4. nominare uno o più responsabili nominare gli incaricati predisporre l'informativa adottare un piano per aumentare le misure di sicurezza e predisporre il documento programmatico per la sicurezza (DPS), previo censimento dei trattamenti nell'organizzazione 31 Misure di sicurezza (art. 31 ) I dati personali devono essere custoditi e controllati con misure di sicurezza adeguate a ridurre al minimo i rischi di distruzione o di perdita, di accesso non autorizzato, di trattamento illecito 32 Misure minime di sicurezza (artt. 33 e ss. ) I titolari del trattamento devono adottare misure minime di sicurezza individuate nel Codice 33 Misure minime di sicurezza (artt. 33 ss.) Il trattamento operato con strumenti elettronici deve avvenire solo tramite sistemi e procedure di autorizzazione all’accesso e di autenticazione, protezione di hardware e software e dei dati, di back up ed emanazione del DPS 34 Misure minime di sicurezza (artt. 33 ss.) Il trattamento non automatizzato richiede la verifica periodica dei livelli di autorizzazione agli incaricati o alle unità organizzative, procedure di custodia e conservazione, procedura di custodia per gli atti ad accesso selezionato 35 Acceptable use policy (AUP) •Vincoli legali •Utilizzo delle risorse •identificazione •Comportamenti attesi •Comportamenti vietati •Netiquette 36 È opportuno consultare… http://www.osservatoriotecnologico.it Servizio di osservatorio tecnologico scuola del MIUR per la http://www.firstmonday.dk/issues/issue4_11 /fleck/index.html http://www.pen.k12.va.us/go/VDOE/Technology/AUP/ home.shtml 37 In bocca al lupo !!!