Professional Documents
Culture Documents
Quindi
sensibili
giudiziari
personali
identificativi
I dati costituiscono le informazioni inerenti
individui, persone giuridiche, enti o associazioni,
usualmente utilizzati dallamministrazione per le
funzioni distituto.
La cura delle funzioni istituzionali implica
necessariamente lacquisizione e lelaborazione
di dati, quindi, come gi osservato, si pu
affermare che
non pu curarsi linteresse pubblico senza
trattare dati personali.
I dati personali
Ai sensi dellart.4, comma 1, lett.b) del Codice, integra "dato
personale", qualunque informazione relativa a persona fisica,
persona giuridica, ente associazione, identificati o identificabili,
anche indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione
personale. Lett. c) "dati identificativi", i dati personali che
permettono l'identificazione diretta dell'interessato;
Eun dato personale ogni informazione, relativa ad un individuo
o una persona giuridica, ente o associazione che permetta
l'identificazione diretta dell'interessato.
Alla luce di siffatta definizione, evidente che, la maggior
parte delle informazioni attinenti agli individui o alle persone
giuridiche, enti o associazioni, debbano ricondursi nellambito
dei dati personali.
I dati sensibili
Art. 4 lett. d) "dati sensibili", i dati personali
idonei a rivelare l'origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro
genere, le opinioni politiche, l'adesione a
partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonch i dati personali
idonei a rivelare lo stato di salute e la vita
sessuale;
Il legislatore ha caratterizzato i dati sensibili, identificandoli
come
i dati personali espressivi dei valori qualificanti la personalit dell
individuo o del gruppo.
Non si hanno quindi distinzioni fra individui e collettivit, pi o
meno organizzate: le informazioni inerenti i convincimenti di un
gruppo godono della medesima tutela delle corrispondenti
informazioni relative al singolo.
Linteressato cui si riferiscono le informazioni, pu anche non
prestare alcuna attenzione alla riservatezza delle stesse,
ostentando addirittura i valori in cui si riconosce (si pensi
allesibizione di una spilla raffigurante un logo sindacale o
politico), ma non per questo lamministrazione pu esautorare
la normativa esistente per i dati sensibili.
Il dato conserva la sua qualit a prescindere dalla
sua conoscibilit per fatto dellinteressato.
Anche linattualit del dato non incide sulle condizioni
del trattamento. Si pensi allappartenenza ad
unorganizzazione sindacale di un lavoratore che si
sia, successivamente, dissociato dalla linea
dellorganizzazione, ma non abbia informato
lamministrazione.
Lapparato pubblico comunque tenuto a
proteggere il dato sensibile, anche qualora il
lavoratore non condivida pi i valori insiti nel dato
stesso
Sul punto si pronunciato il Garante per la protezione dei
dati personali, con riferimento alleriprese video ed alle
fotografie raccolte dai genitori, durante recite e saggi
scolastici.
Il Garante ha espressamente sancito che le riprese,
sebbene possano avere ad oggetto minori con disabilit
fisiche, non violano la privacy ,in quanto non destinate
a diffusione, ma raccolte per fini personali e destinate ad
un ambito familiare o amicale.
Garante per la protezione dei dati personali, Newsletters
dell8-21 dicembre
Dalla pronuncia, per converso, si deduce che le
suddette immagini, qualora fossero raccolte
dallistituzione scolastica, per fini promozionali
(archiviazione nel sito istituzionale) o commerciali
(vendita delle videocassette relative alle stesse
recite, ovvero produzione e vendita di calendari
con le immagini delle classi), coinvolgendo minori e
raffigurando, eventualmente, anche portatori di
disabilit varie, dovrebbero essere precluse, in
quanto non afferenti allofferta formativa.
I dati giudiziari
Lart.4, comma 1, lett. e) del Codice, qualifica come
dati giudiziari, i dati personali idonei a rivelare
provvedimenti di cui all'articolo 3, comma 1, lettere
da a) a o) e da r) a u), del D.P.R. 14 novembre 2002,
n. 313, in materia di casellario giudiziale, di anagrafe
delle sanzioni amministrative dipendenti da reato e
dei relativi carichi pendenti, o la qualit di imputato
o di indagato ai sensi degli articoli 60 e 61 del
codice di procedura penale.
Tale definizione circoscrive le informazioni da
assoggettarsi alla pi stringente disciplina dei dati
giudiziari.
LINTERESSATO O LA PERSONA PRESSO LA
QUALE SONO RACCOLTI I DATI PERSONALI
SONO PREVIAMENTE INFORMATI ORALMENTE
O PER ISCRITTO.
I dati dellinteressato possono essere usati a
seconda dei vari casi con o senza il suo
consenso
Consenso(Art. 23)
1. ammesso solo con il consenso espresso
2. Il consenso validamente prestato solo
1. se espresso liberamente
2. se documentato per iscritto
3. se sono state rese all'interessato le
informazioni di cui all'articolo 13.
3. in forma scritta quando il trattamento
riguarda dati sensibili (e ricordarsi che occorre la
notifica!!!)
Il consenso non sempre necessario
In alcuni casi il
trattamento pu
essere effettuato
senza il consenso
degli interessati.
45
Il consenso non
necessario se
I dati sono stati raccolti e sono conservati perch
cos prescrive la legge o un regolamento o una
norma comunitaria.
46
Il consenso non
necessario
Quando il trattamento
necessario per adempiere a
specifici obblighi o compiti previsti
dalla legge, da un regolamento o
dalla normativa comunitaria per la
gestione del rapporto di lavoro,
anche in materia di igiene e
sicurezza del lavoro e della
popolazione e di previdenza e
assistenza.
47
Il consenso non
necessario se
Il trattamento di
dati necessario
per adempiere
agli obblighi
previsti da un
contratto.
48
Il consenso non
necessario se
I dati sono ricavati da pubblici
registri, atti o documenti che
chiunque pu conoscere.
49
Linformativa
In tutti gli altri casi si deve
informare linteressato dei
trattamenti che si vogliono
effettuare con una
informativa.
50
Nellinformativa necessario specificare
51
Nellinformativa necessario specificare
I soggetti o le categorie di
soggetti ai quali i dati
personali possono essere
comunicati o che possono
venirne a conoscenza in
qualit di responsabili o
incaricati, e l'ambito di
diffusione dei dati
medesimi
52
Nellinformativa necessario specificare
53
Nellinformativa necessario specificare
54
Nellinformativa necessario specificare
Chi sono il titolare e il
responsabile del trattamento e
dove sono raggiungibili informativa
(indirizzo, telefono, fax ecc.).
Se il titolare ha designato pi
responsabili indicato
almeno uno di essi, indicando il
sito della rete di
comunicazione o le modalit
attraverso le quali
conoscibile in modo agevole
lelenco aggiornato dei
responsabili.
55
Nellinformativa necessario specificare
I diritti dellinteressato
Previsti dallart. 7
e le modalit di ricorso al
Garante in caso di
Trattamento dei dati
contrastante
Con la norma vigente
56
La legge sulla privacy riconosce
all'interessato alcuni importanti diritti nel
trattamento dei propri dati personali
Definizione di Interessato
Linteressato la persona fisica, la persona
giuridica, l'ente o l'associazione cui si riferiscono i
dati personali
58
Il diritto di accessoai propri dati
Il diritto di accesso ai propri dati personali
direttamente presso chi li detiene (titolare del
trattamento) - ossia il diritto di ottenere la
conferma della loro esistenza e la loro
comunicazione e di sapere da dove sono stati
acquisiti e quali sono i criteri e gli scopi del
trattamento, in questo caso il titolare pu
chiedere il pagamento di una somma
("contributo spese") se non detiene dati
dell'interessato.
59
Il diritto di ottenere la cancellazione
o il blocco
Il diritto di ottenere la
cancellazione o il blocco di dati
che sono trattati violando la legge
(ad esempio, perch non stato
chiesto il consenso). Tali diritti
possono essere esercitati anche
quando non ci sono pi motivi
validi per conservare i dati
60
Il diritto di aggiornare i
dati inesatti
Il diritto di aggiornare,
correggere o integrare i dati
inesatti e incompleti.
61
Il diritto di opporsi
al trattamento dei
propri dati
62
Il diritto di opporsi al trattamento dei
propri dati per scopi commerciali
63
ll Titolare
Il Responsabile
Lincaricato
Il Garante
Il RESPONSABILE del Sistema informativo
( d.lgs. 39/93 Norme in materia di sistemi informativi automatizzati delle
PA )
IL TITOLARE
91
Direttore amministrativo
Contabilit
Area personale
Area didattica
92
Le aree di
trattamento
Didattica
Dati relativi agli alunni
Personale
Gestione del personale
Contabilit
Stipendi
Archivi relativi ai fornitori
Affari generali
Protocollo
Archivio
Rapporti con enti e
imprese
93
Area didattica / Dati relativi agli alunni
Fascicolo personale
Curriculum studi
Dati personali
Dati dei genitori
Fotografia
Registro iscrizioni
Registro tasse scolastiche
Registro certificati
Registro diplomi
94
Area didattica / Dati relativi agli alunni
Cittadinanza
Convinzione religiosa
Stato di salute
Situazione di handicap
Vaccinazioni
95
Area didattica / Dati relativi agli alunni
Elenchi di classe
Elenchi elettorali
Registri di classe
Registro del professore
Registro dei consigli di classe
Registro dei voti
Registro esiti esami e idoneit
96
Area didattica / Dati relativi agli alunni
97
Area didattica / Dati relativi agli alunni
98
Area didattica / Dati relativi agli alunni
99
Area didattica / Dati relativi agli alunni
CUSTODIA
100
Area didattica / Dati relativi agli alunni
SOGGETTI COINVOLTI
Dirigente Scolastico
Collaboratori del D.S.
Direttore SGA
Assistenti Amministrativi Area Didattica
Docenti
Tecnici informatica ( password chiave dingresso dati)
Collaboratori Scolastici
101
Area personale / Gestione del personale
Fascicolo personale
Dati personali
Dati dei familiari
Servizio prestato
Curricolo studi
Aggiornamento e Formazione
102
Area personale / Gestione del personale
Cittadinanza
Convinzione religiosa
Iscrizione sindacati
Stato di salute
Situazione di handicap
Situazioni familiari
Procedimenti disciplinari
Art.22 comma 7: i dati relativi allo stato di salute sono conservati separatamente da
altri dati personali
103
Area personale / Gestione del personale
104
Area personale / Gestione del personale
105
Area personale / Gestione del personale
Organigramma nominativo
Graduatorie
Finalit istituzionali Piano lavoro personale ATA
Contratti
Nomine / Incarichi nominativi
106
Area personale / Gestione del personale
CUSTODIA
107
Area personale / Gestione del personale
SOGGETTI COINVOLTI
Dirigente Scolastico
Collaboratori del D.S.
Direttore SGA
Assistenti Amministrativi Area Personale
Tecnici informatica ( password chiave dingresso dati)
Collaboratori Scolastici
108
Area Contabilit / Stipendi
DATI PERSONALE
Dati personali
Dati nucleo familiare
Situazioni stipendiali
Ritenuta sindacale
Esistenza particolari situazioni
(pignoramenti, assegni
mantenimento, cessioni
ecc)
Cedola stipendi e accessori
Registro stipendi
109
Area Contabilit / Stipendi
INPS ex INPDAP
SERVIZI VARI (MEF)
RAGIONERIA (MEF)
Altre scuole
110
Area Contabilit
Area affari generali
Protocollo, archivio, rapporti con enti e imprese.
111
Area Contabilit / Stipendi & Archivi relativi ai fornitori
CUSTODIA
112
Area Contabilit / Stipendi & Archivi relativi ai fornitori
SOGGETTI COINVOLTI
Dirigente Scolastico
Collaboratori del D.S.
Direttore SGA
Assistenti Amministrativi Area Amministrativa e Affari Generali
Tecnici informatica ( password chiave dingresso dati)
Assistenti Tecnici
Collaboratori Scolastici
113
Privacy ed accesso ai
documenti
Lart. 24 c.3 della legge 241/90 stato integrato
dallart. 176 del Codice il quale prevede che dopo le
parole mediante strumenti Informatici sono inserite
le seguenti fuori dei casi di accesso a dati
personali da parte della persona a cui i dati si
riferiscono
114
Art. 59
Fatto salvo quanto previsto dall'articolo 60, i
presupposti, le modalit, i limiti per l'esercizio del diritto
di accesso a documenti amministrativi contenenti
dati personali, e la relativa tutela giurisdizionale,
restano disciplinati dalla legge 7 agosto 1990, n. 241,
e successive modificazioni e dalle altre disposizioni di
legge in materia, nonch dai relativi regolamenti di
attuazione, anche per ci che concerne i tipi di dati
sensibili e giudiziari e le operazioni di trattamento
eseguibili in esecuzione di una richiesta di accesso. Le
attivit finalizzate all'applicazione di tale disciplina si
considerano di rilevante interesse pubblico.
115
Art. 60
Quando il trattamento concerne dati idonei a
rivelare lo stato di salute o la vita sessuale, il
trattamento consentito se la situazione
giuridicamente rilevante che si intende tutelare
con la richiesta di accesso ai documenti
amministrativi di rango almeno pari ai diritti
dell'interessato, ovvero consiste in un diritto della
personalit o in un altro diritto o libert
fondamentale e inviolabile.
116
Art. 67
1. Si considerano di rilevante interesse pubblico, ai
sensi degli articoli 20 e 21, le finalit di:
a) verifica della legittimit, del buon andamento,
dell'imparzialit dell'attivit amministrativa, nonch
della rispondenza di detta attivit a requisiti di
razionalit, economicit, efficienza ed efficacia per
le quali sono, comunque, attribuite dalla legge a
soggetti pubblici funzioni di controllo, di riscontro ed
ispettive nei confronti di altri soggetti;
b) accertamento, nei limiti delle finalit istituzionali,
con riferimento a dati sensibili e giudiziari relativi ad
esposti e petizioni, ovvero ad atti di controllo o di
sindacato ispettivo di cui all'articolo 65, comma 4.
Revisori dei conti
117
Art. 68
Si considerano di rilevante interesse pubblico, ai
sensi degli articoli 20 e 21, le finalit di applicazione
della disciplina in materia di concessione,
liquidazione, modifica e revoca di benefici
economici, agevolazioni, elargizioni, altri
emolumenti e abilitazioni.
2. Si intendono ricompresi fra i trattamenti regolati
dal presente articolo anche quelli indispensabili in
relazione:
a) alle comunicazioni, certificazioni ed informazioni
previste dalla normativa antimafia..
118
Richiesta di informazioni del genitore
Non chiudere la porta alla famiglia;
Mediazione 1: chiacchierata informale e generica
con il genitore,utile per apprendere elementi
sufficienti per esercitare la sua funzione;
Mediazione 2: dirottare la richiesta su un docente
particolarmente stimato dallalunno e dalla famiglia;
Mediazione 3: attenuare il contrasto utilizzando
equilibrio e diplomazia, evidenziando la situazione
dellalunno e il contestuale diritto del genitore
obbligato al mantenimento.
Richiesta di accesso del genitore
Occorre richiesta formale di accesso motivata (interesse
concreto ed effettivo); notifica al controinteressato
(completezza del contraddittorio in un giudizio di accesso
coinvolgente la riservatezza di terzi giur. non univoca sul
carattere impugnatorio del giudizio)
Operare sempre bilanciamento degli interessi;
Allobbligo di mantenimento collegato il diritto di
conoscere il comportamento del figlio in ordine alle materie
oggetto della prestazione (mantenimento, educazione,
istruzione). Il genitore agisce anche per ottemperare al suo
dovere di garantire unadeguata istruzione al figlio
Lobbligo di mantenimento si affievolisce in caso di
comprovato atteggiamento di inerzia del maggiorenne (TAR
Bari Sez. Prima sentenza n2782/2003)
Visita ispettiva -Segnalazione dei genitori
154
Misure di sicurezza
Le misure minime di sicurezza
sono specificate nellAllegato B
denominato "Disciplinare
Tecnico in materia di misure
minime di sicurezza".
IL DISCIPLINARE PIU CHE ESSERE
ORIENTATO VERSO LA PROTEZIONE
DEI DATI PERSONALI, E IMPORTANTE
UN ACCEZIONE ETIMOLOGICA DEL
VOCABOLO (PRO-TEGERE), SI
S O S TA N Z I A N O N TA N TO N E L L A
COPERTURA DEI DATI PERSONALI
QUANTO PIUTTOSTO NELLA LORO
DIFESA
155
Allegato B che detta le linee guida per la
predisposizione del Documento programmatico
della sicurezza (DPS)
Trattamenti con strumenti elettronici
157
Sistema di autenticazione informatica
Il trattamento di dati
personali con strumenti
elettronici e' consentito agli
incaricati dotati di credenziali
di autenticazione che
consentano il superamento
di una procedura di
autenticazione relativa a uno
specifico trattamento o a un
insieme di trattamenti.
158
Sistema di autenticazione informatica
Le credenziali di autenticazione consistono in un
codice per l'identificazione dell'incaricato
associato a una parola chiave riservata
conosciuta solamente dal medesimo oppure in un
dispositivo di autenticazione in possesso e uso
esclusivo dell'incaricato, eventualmente associato
a un codice identificativo o a una parola chiave,
oppure in una caratteristica biometrica
dell'incaricato, eventualmente associata a un
codice identificativo o a una parola chiave.
159
Sistema di autenticazione informatica
Ad ogni incaricato
sono assegnate o
associate
individualmente una
o pi credenziali per
l'autenticazione.
160
Sistema di autenticazione informatica
Con le istruzioni
impartite agli incaricati
e' prescritto di
adottare le necessarie
cautele per assicurare
la segretezza della
componente riservata
della credenziale e la
diligente custodia dei
dispositivi in possesso
ed uso esclusivo
dell'incaricato.
161
Sistema di autenticazione informatica
163
Sistema di autenticazione informatica
Le credenziali di
autenticazione non
utilizzate da almeno sei
mesi sono disattivate,
salvo quelle
preventivamente
autorizzate per soli scopi
di gestione tecnica.
164
Sistema di autenticazione informatica
165
Sistema di autenticazione informatica
166
Sistema di autenticazione informatica
167
Sistema di autenticazione informatica
In tal caso la custodia delle
copie delle credenziali e'
organizzata garantendo la
relativa segretezza e
individuando
preventivamente per iscritto
i soggetti incaricati della loro
custodia, i quali devono
informare tempestivamente
l'incaricato dell'intervento
effettuato.
168
Sistema di autorizzazione
169
Sistema di autorizzazione
I profili di autorizzazione,
per ciascun incaricato o
per classi omogenee di
incaricati, sono
individuati e configurati
anteriormente all'inizio
del trattamento, in modo
da limitare l'accesso ai
soli dati necessari per
effettuare le operazioni
di trattamento.
170
Sistema di autorizzazione
Periodicamente, e comunque almeno
annualmente, deve essere verificata la
sussistenza delle condizioni per la conservazione
dei profili di autorizzazione.
171
Altre misure di sicurezza
Aggiornamento periodico con cadenza
almeno annuale dell'individuazione
dell'ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o
alla manutenzione degli strumenti
elettronici, la lista degli incaricati pu essere
redatta anche per classi omogenee di
incarico e dei relativi profili di autorizzazione.
172
Altre misure di sicurezza
I dati personali sono protetti contro il rischio di
intrusione e dell'azione di programmi di cui all'art.
615-quinquies del codice penale, mediante
l'attivazione di idonei strumenti elettronici da
aggiornare con cadenza almeno semestrale.
173
Altre misure di sicurezza
Gli aggiornamenti periodici dei programmi per
elaboratore volti a prevenire la vulnerabilit di
strumenti elettronici e a correggerne difetti
sono effettuati almeno annualmente.
In caso di trattamento di dati sensibili o
giudiziari l'aggiornamento e' almeno
semestrale.
174
Altre misure di sicurezza
Sono impartite istruzioni
organizzative e tecniche
che prevedono il
salvataggio dei dati con
frequenza almeno
settimanale.
175
Ulteriori misure in caso di trattamento di
dati sensibili o giudiziari
176
Ulteriori misure in caso di trattamento di dati
sensibili o giudiziari
Sono impartite istruzioni
organizzative e tecniche per la
custodia e l'uso dei supporti
removibili su cui sono
memorizzati i dati al fine di
evitare accessi non autorizzati e
trattamenti non consentiti.
177
Ulteriori misure in caso di trattamento
di dati sensibili o giudiziari
I supporti rimovibili contenenti
dati sensibili o giudiziari se non
utilizzati sono distrutti o resi
inutilizzabili, ovvero possono
essere riutilizzati da altri
incaricati, non autorizzati al
trattamento degli stessi dati, se le
informazioni precedentemente
in essi contenute non sono
intelligibili e tecnicamente in
alcun modo ricostruibili.
178
Ulteriori misure in caso di trattamento di
dati sensibili o giudiziari
Sono adottate idonee misure
per garantire il ripristino
dell'accesso ai dati in caso di
danneggiamento degli stessi o
degli strumenti elettronici, in
tempi certi compatibili con i
diritti degli interessati e non
superiori a sette giorni.
179
Misure di tutela e garanzia
Gli enti pubblici effettuano il trattamento
dei dati idonei a rivelare lo stato di salute e
la vita sessuale contenuti in elenchi, registri
o banche di dati con le modalit di cui
all'articolo 22, comma 6, del codice, anche
al fine di consentire il trattamento disgiunto
dei medesimi dati dagli altri dati personali
che permettono di identificare
direttamente gli interessati.
180
I dati relativi all'identit genetica sono
trattati esclusivamente all'interno di locali
protetti accessibili ai soli incaricati dei
trattamenti ed ai soggetti specificatamente
autorizzati ad accedervi; il trasporto dei
dati all'esterno dei locali riservati al loro
trattamento deve avvenire in contenitori
muniti di serratura o dispositivi equipollenti; il
trasferimento dei dati in formato elettronico
e' cifrato.
181
Misure di tutela e garanzia
Il titolare che adotta misure
minime di sicurezza
avvalendosi di soggetti
esterni alla propria struttura,
per provvedere alla
esecuzione ,riceve
dall'installatore una descrizione
scritta dell'intervento
effettuato che ne attesta la
conformit alle disposizioni del
presente disciplinare tecnico.
182
Trattamenti senza l'ausilio di strumenti
elettronici
Modalit tecniche da
adottare a cura del
titolare, del responsabile,
ove designato, e
dell'incaricato, in caso di
trattamento con strumenti
diversi da quelli elettronici:
183
Agli incaricati sono
impartite istruzioni scritte
finalizzate al controllo ed
alla custodia, per l'intero
ciclo necessario allo
svolgimento delle
operazioni di trattamento,
degli atti e dei documenti
contenenti dati personali.
184
Nell'ambito
dell'aggiornamento
periodico con cadenza
almeno annuale
dell'individuazione
dell'ambito del trattamento
consentito ai singoli
incaricati, la lista degli
incaricati pu essere redatta
anche per classi omogenee
di incarico e dei relativi profili
di autorizzazione.
185
Quando gli atti e i documenti contenenti dati
personali sensibili o giudiziari sono affidati agli
incaricati del trattamento per lo svolgimento dei
relativi compiti, i medesimi atti e documenti sono
controllati e custoditi dagli incaricati fino alla
restituzione in maniera che ad essi non
accedano persone prive di autorizzazione, e
sono restituiti al termine delle operazioni affidate.
186
L'accesso agli archivi contenenti dati sensibili o
giudiziari controllato.
187
Le persone ammesse, a
qualunque titolo, dopo l'orario di
chiusura, sono identificate e
registrate.
Quando gli archivi non sono
dotati di strumenti elettronici per
il controllo degli accessi o di
incaricati della vigilanza, le
persone che vi accedono sono
preventivamente autorizzate.
188
DECRETO 7 dicembre 2006, n.305
Regolamento relativo al trattamento dei dati sensibili e giudiziari nel settore
dellistruzione
Scheda n. 7
Rapporti scuola-famiglia gestione del
contenzioso
Ogni scheda consente alle Scuole
di individuare chiaramente i trattamenti
consentiti,
le finalit di rilevante interesse pubblico
perseguite,
le fonti normative,
i soggetti esterni pubblici e privati a cui
possibile comunicare i dati i tipi di dati trattati.
in pratica le schede sono molto importanti dal
punto di vista operativo