FORMAZIONE DEL PERSONALE
DOCENTE E A.T.A.
I.T.C. “C. DEGANUTTI” UDINE
del D. Lgs. 196 del 30 giugno 2003
FORMAZIONE SULLE FINALITA’
D. Lgs. 196 del 30 giugno 2003
TRATTEREMO I SEGUENTI ASPETTI
•Definizioni di: Dati, Trattamento dati, Dati sensibili,
Dati giudiziari, Dati comuni
•Soggetti coinvolti: Titolare, Responsabile, Incaricato,
Interessato
•Il Documento Programmatico sulla Sicurezza
•La gestione dei Dati “il viaggio del dato” (C.M. 305/2006)
•Le misure minime di sicurezza: Trattamento dei dati in
formato cartaceo
•Le responsabilità
•Modulistica
DEFINIZIONI DI:
DATI, TRATTAMENTO DATI, DATI SENSIBILI, DATI
GIUDIZIARI, DATI COMUNI
DATI
Dati personali: qualunque informazione relativa a persona
fisica, giuridica, ente od associazione
TRATTAMENTO DEI DATI
Qualunque operazione o complesso di operazioni,
effettuati anche senza l’ausilio di strumenti elettronici,
concernenti la raccolta, la registrazione, l’organizzazione,
la conservazione, la consultazione, l’elaborazione, la
modificazione, la selezione, l’estrazione, il raffronto,
l’utilizzo, l’interconnessione, il blocco, la comunicazione,
la diffusione, la cancellazione, e la distruzione dei dati
anche se non registrati in una banca dati.
DEFINIZIONI DI:
DATI, TRATTAMENTO DATI, DATI SENSIBILI, DATI
GIUDIZIARI, DATI COMUNI
DATI SENSIBILI
Dati personali idonei a rilevare l’origine razziale ed
etnica le convinzioni religiose e filosofiche o di altro
genere, le opinioni politiche, l’adesione a partiti,
sindacati, associazioni od organizzazioni di carattere
religioso, filosofico, politico o sindacale, nonché i dati
personali idonei a rilevare lo stato di salute e la vita
sessuale
DATI GIUDIZIARI
Dati personali idonei a rilevare provvedimenti di tipo
penale
DEFINIZIONI DI:
DATI, TRATTAMENTO DATI, DATI SENSIBILI, DATI
GIUDIZIARI, DATI COMUNI
DATI COMUNI
Dati personali esclusi dai punti precedenti (es. situazione
famigliare, indirizzo, numero di telefono, fotografia,
numero di C/C Bancario, reddito, partita IVA, …)
Dati Identificativi
Dati personali che permettono l’identificazione diretta
dell’interessato (es. cognome nome, codice fiscale, …)
SOGGETTI COINVOLTI
TITOLARE, RESPONSABILE, INCARICATO,
INTERESSATO
TITOLARE
La persona fisica, giuridica, la Pubblica Amministrazione,
e qualsiasi altro ente, associazione od organismo cui
competono, anche unitamente ad altro titolare, le
decisioni in ordine alle finalità, alle modalità del
trattamento dei dati personali e agli strumenti utilizzati,
ivi compreso il profilo della sicurezza
RESPONSABILE
La persona fisica, giuridica, la Pubblica Amministrazione,
e qualsiasi altro ente, associazione od organismo preposti
dal titolare al trattamento dei dati
SOGGETTI COINVOLTI
TITOLARE, RESPONSABILE, INCARICATO,
INTERESSATO
INCARICATO
La persona fisica autorizzata, dal titolare o dal
responsabile, a compiere operazioni di trattamento dati
INTERESSATO
La persona fisica, giuridica, ente o associazione cui si
riferiscono i dati personali
SOGGETTI COINVOLTI
TITOLARE
D.S.
Prof.ssa Germini
RESPONSABILE
Area Amministrativa
Dott. Chillemi
AMM. SISTEMA
COST. CREDEN.
INCARICATI
COST. LOCALI
INCARICATI
COST. LOCALI
IL DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA
CONTENUTI
•l'elenco dei trattamenti di dati personali
IL DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA
CONTENUTI
•l'elenco dei trattamenti di dati personali
•la distribuzione dei compiti e delle responsabilità
nell'ambito delle strutture preposte al trattamento dei
dati
IL DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA
CONTENUTI
•l'elenco dei trattamenti di dati personali
•la distribuzione dei compiti e delle responsabilità
nell'ambito delle strutture preposte al trattamento dei
dati
•l'analisi dei rischi che incombono sui dati
IL DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA
CONTENUTI
•l'elenco dei trattamenti di dati personali
•la distribuzione dei compiti e delle responsabilità
nell'ambito delle strutture preposte al trattamento dei
dati
•l'analisi dei rischi che incombono sui dati
•le misure da adottare per garantire l'integrità e la
disponibilità dei dati, nonché la protezione delle aree e
dei locali, rilevanti ai fini della loro custodia e
accessibilità
IL DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA
CONTENUTI
•l'elenco dei trattamenti di dati personali
•la distribuzione dei compiti e delle responsabilità
nell'ambito delle strutture preposte al trattamento dei
dati
•l'analisi dei rischi che incombono sui dati
•le misure da adottare per garantire l'integrità e la
disponibilità dei dati, nonché la protezione delle aree e
dei locali, rilevanti ai fini della loro custodia e
accessibilità
•la descrizione dei criteri e delle modalità per il ripristino
della disponibilità dei dati in seguito a distruzione o
danneggiamento
IL DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA
CONTENUTI
•l'elenco dei trattamenti di dati personali
•la distribuzione dei compiti e delle responsabilità
nell'ambito delle strutture preposte al trattamento dei
dati
•l'analisi dei rischi che incombono sui dati
•le misure da adottare per garantire l'integrità e la
disponibilità dei dati, nonché la protezione delle aree e
dei locali, rilevanti ai fini della loro custodia e
accessibilità
•la descrizione dei criteri e delle modalità per il ripristino
della disponibilità dei dati in seguito a distruzione o
danneggiamento
•la previsione di interventi formativi degli incaricati del
trattamento
IL DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA
CONTENUTI
•l'elenco dei trattamenti di dati personali
•la distribuzione dei compiti e delle responsabilità
nell'ambito delle strutture preposte al trattamento dei
dati
•l'analisi dei rischi che incombono sui dati
•le misure da adottare per garantire l'integrità e la
disponibilità dei dati, nonché la protezione delle aree e
dei locali, rilevanti ai fini della loro custodia e
accessibilità
•la descrizione dei criteri e delle modalità per il ripristino
della disponibilità dei dati in seguito a distruzione o
danneggiamento
•la previsione di interventi formativi degli incaricati del
trattamento
•la descrizione dei criteri da adottare per garantire
l'adozione delle misure minime di sicurezza in caso di
trattamenti di dati personali affidati, in conformità al
codice, all'esterno della struttura del titolare
IL DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA
•l'analisi dei rischi che incombono sui dati
•le misure da adottare per garantire l'integrità e la
disponibilità dei dati, nonché la protezione delle aree e
dei locali, rilevanti ai fini della loro custodia e
accessibilità
•la descrizione dei criteri e delle modalità per il ripristino
della disponibilità dei dati in seguito a distruzione o
danneggiamento
•la previsione di interventi formativi degli incaricati del
trattamento
•la descrizione dei criteri da adottare per garantire
l'adozione delle misure minime di sicurezza in caso di
trattamenti di dati personali affidati, in conformità al
codice, all'esterno della struttura del titolare
•per i dati personali idonei a rivelare lo stato di salute e la
vita sessuale, l'individuazione dei criteri da adottare per
la cifratura o per la separazione di tali dati dagli altri dati
personali dell'interessato
IL DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA
Il DPSS è una “fotografia” di tutte le operazioni
riguardanti il trattamento dei dati riferito ad una data
certa.
Periodicamente il DPSS dovrà essere aggiornato in
seguito a modifiche procedurali o tecnologiche con una
cadenza minima annuale.
LA GESTIONE DEI DATI
(il viaggio del dato – esempio in una scuola tipo)
INTERESSATO (genitore)
Prima della compilazione della domanda di iscrizione è
necessario informare l’interessato sulle finalità della
raccolta dei dati, specificando quali sono obbligatori e
quali facoltativi.
LA GESTIONE DEI DATI
(il viaggio del dato – esempio in una scuola tipo)
INTERESSATO (genitore)
Prima della compilazione della domanda di iscrizione è
necessario informare l’interessato sulle finalità della
raccolta dei dati, specificando quali sono obbligatori e
quali facoltativi.
INFORMATIVA
Deve essere sempre consegnata prima di ogni raccolta
dati e deve contenere:
•quali sono gli scopi e le modalità del trattamento;
•se l’interessato è obbligato o no a fornire i dati;
•quali sono le conseguenze se i dati non vengono forniti;
•a chi possono essere comunicati o diffusi i dati;
•quali sono i diritti riconosciuti all’interessato;
•chi sono il titolare e il responsabile del trattamento e
dove sono raggiungibili (indirizzo, telefono, fax ecc.).
LA GESTIONE DEI DATI
(il viaggio del dato – esempio in una scuola tipo)
SPECIFICITA’ DELLA SCUOLA
Art. 96
(Trattamento di dati relativi a studenti)
1. Al fine di agevolare l'orientamento, la formazione e
l'inserimento professionale, anche all'estero, le scuole
e gli istituti scolastici di istruzione secondaria, su
richiesta degli interessati, possono comunicare o
diffondere, anche a privati e per via telematica, dati
relativi agli esiti scolastici, intermedi e finali, degli
studenti e altri dati personali diversi da quelli sensibili
o giudiziari, pertinenti in relazione alle predette
finalità e indicati nell'informativa resa agli interessati
ai sensi dell'articolo 13. I dati possono essere
successivamente trattati esclusivamente per le
predette finalità.
LA GESTIONE DEI DATI
(il viaggio del dato – esempio in una scuola tipo)
SPECIFICITA’ DELLA SCUOLA
Art. 96
(Trattamento di dati relativi a studenti)
2. Resta ferma la disposizione di cui all’ articolo 2, comma
2, del decreto del Presidente della Repubblica 24
giugno 1998, n. 249, (Regolamento recante lo statuto
delle studentesse e degli studenti della scuola
secondaria) sulla tutela del diritto dello studente alla
riservatezza. Restano altresì ferme le vigenti
disposizioni in materia di pubblicazione dell'esito
degli esami mediante affissione nell'albo dell'istituto
e di rilascio di diplomi e certificati.
LA GESTIONE DEI DATI
(il viaggio del dato – esempio in una scuola tipo)
D.M. n.305 del 7 dicembre 2006
D.Lgs 196/2003
Art. 20
Principi applicabili al trattamento di dati sensibili
c.2
Nei casi in cui una disposizione di legge, specifica la
finalità di rilevante interesse pubblico, ma non i tipi di
dati sensibili e di operazioni eseguibili, il trattamento è
consentito solo in riferimento ai tipi di dati e di
operazioni identificati e resi pubblici a cura dei soggetti
che ne effettuano il trattamento, in relazione alle
specifiche finalità perseguite nei singoli casi e nel
rispetto dei principi di cui all'articolo 22, con atto di
natura regolamentare adottato in conformità al parere
espresso dal Garante ai sensi dell'articolo 154, comma
1, lettera g), anche su schemi tipo.
LA GESTIONE DEI DATI
(il viaggio del dato – esempio in una scuola tipo)
D.M. n.305 del 7 dicembre 2006
Art. 1
Il presente regolamento, in attuazione degli articoli 20,
comma 2, e 21, comma 2, del decreto legislativo 30
giugno 2003, n.196, recante «Codice in materia di
protezione dei dati personali», di seguito denominato
«codice», identifica nelle schede allegate, che ne
formano parte integrante, le tipologie di dati sensibili e
giudiziari e di operazioni indispensabili per la gestione
del sistema dell'istruzione, nel perseguimento delle
finalità di rilevante interesse pubblico individuate dal
codice e dalle specifiche previsioni di legge.
LA GESTIONE DEI DATI
(il viaggio del dato – esempio in una scuola tipo)
D.M. n.305 del 7 dicembre 2006
Ai sensi Articoli 20, comma 2, e 21, comma 2, del
decreto legislativo 30 giugno 2003, n.196
Regolamenta il trattamento dei dati sensibili e giudiziari
Scheda 1 - Selezione e reclutamento a TI e TD e gestione del
rapporto di lavoro
Scheda 2 – Gestione del contenzioso e procedimenti disciplinari
Scheda 3 – Organismi collegiali e commissioni istituzionali
Scheda 4 – Attività propedeutiche all’avvio dell’anno scolastico
Scheda 5 – Attività educativa didattica e formativa e di valutazione
Scheda 6 – Scuole non statali
Scheda 7 – Rapporti Scuola-Famiglie: gestione del contenzioso
LA GESTIONE DEI DATI
(il viaggio del dato – esempio in una scuola tipo)
BANCHE DATI (informatico, cartacee)
Gli incaricati raccolgono i dati generando delle banche
dati di tipo informatico e/o cartaceo
Ogni specifico incaricato ha l’autorizzazione a trattare
(accedere, modificare, cancellare, inserire, stampare,…)
una distinta banca dati
Amministrativo Alunni
BD Alunni
Amministrativo Personale
BD Personale
Amministrativo Contabilità BD Fornitori, Personale,…
Docenti
BD Alunni del proprio Plesso
Collaboratori Scolastici
BD Alunni del proprio Plesso
LA GESTIONE DEI DATI
(il viaggio del dato – esempio in una scuola tipo)
TRASMISSIONE DEI DATI
Trasmissione del fascicolo personale dell’alunno presso
altra scuola.
PUBBLICAZIONE DEI DATI
Esposizione a fine anno delle ammissioni alle classi
successive.
LA GESTIONE DEI DATI
(il viaggio del dato – esempio in una scuola tipo)
ACCESSO AI DOCUMENTI AMMINISTRATIVI
(ai sensi della Legge n. 241 del 7 agosto 1990)
Compatibilità tra accesso ai documenti amministrativi e
accesso ai dati personali.
Accesso consentito solo a salvaguardare diritti pari a
quello dell’interessato
MISURE MINIME DI SICUREZZA
BANCA DATI CARTACEA
Il trattamento di dati personali effettuato senza l'ausilio
di strumenti elettronici è consentito solo se adottate le
seguenti misure minime:
•individuazione dell'ambito del trattamento consentito ai
singoli incaricati
•un'idonea custodia di atti e documenti affidati agli
incaricati per lo svolgimento dei relativi compiti
•conservazione dei documenti in archivi ad accesso
controllato
MISURE MINIME DI SICUREZZA
BANCA DATI CARTACEA
Ulteriori modalità per il trattamento dei dati sensibili
• Quando gli atti e i documenti contenenti dati personali
sensibili sono affidati agli incaricati del trattamento per lo
svolgimento dei relativi compiti, i medesimi atti e
documenti sono controllati e custoditi dagli incaricati fino
alla restituzione in maniera che ad essi non accedano
persone prive di autorizzazione, e sono restituiti al
termine delle operazioni affidate
• L'accesso agli archivi contenenti dati sensibili deve
essere controllato. Le persone ammesse, a qualunque
titolo, dopo l'orario di chiusura, sono identificate e
registrate su apposito registro e devono essere
preventivamente autorizzate.
LE RESPONSABILITA’
Danni cagionati per effetto del trattamento
Art. 15 comma 1
•Chiunque cagiona danno ad altri per effetto del
trattamento dei dati personali è tenuto al risarcimento ai
sensi dell’art. 2050 del C.C.
LE RESPONSABILITA’
Art. 2050 del Codice Civile
Responsabilità per l'esercizio di attività pericolose
Chiunque cagiona danno ad altri nello svolgimento di
un'attività pericolosa, per sua natura o per la natura dei
mezzi adoperati, è tenuto al risarcimento, se non prova di
avere adottato tutte le misure idonee a evitare il danno.
LE RESPONSABILITA’
Danni cagionati per effetto del trattamento
Art. 15 comma 2
• Il danno non patrimoniale è risarcibile anche in caso di
violazione dell’art. 11 (Modalità del trattamento e
requisiti dei dati).
Responsabilità dell’incaricato
Quando abbia operato eccedendo il compito che gli è
stato conferito con lettera di incarico o svolgendo lo
stesso con grave negligenza.
MODULISTICA
Lettera di Incarico
Credenziali accesso alle banche dati
Lettere incarico custode dei locali
FORMAZIONE DEL PERSONALE
DOCENTE E A.T.A.
I.T.C. “C. DEGANUTTI” UDINE
Buon lavoro
a tutti
Sandro
FONTI NORMATIVE E
APPROFONDIMENTI
Sito web http://www.garanteprivacy.it/