10 buone regole da osservare
per stare a posto con la privacy.

 da Italiascuola del 24/1/2007

 

Con il presente articolo si intende accompagnare le istituzioni scolastiche nella verifica degli adempimenti relativi alla privacy, all'indomani dell'attesa pubblicazione, sulla Gazzetta Ufficiale del 15-01-2007, del Regolamento sui dati sensibili e giudiziari relativo al settore dell’Istruzione (D.M. 7 dicembre 2006, n. 305).

Sono molte infatti le scuole, clienti o non, che ci chiedono: riteniamo di esserci messi in regola, che cosa ci resta da fare? Proviamo a dar loro risposta.

1) Le scuole devono aver consegnato agli interessati (ai conferenti dei dati personali) le informative contenenti la descrizione dei trattamenti e gli altri elementi richiesti dall'articolo 13 del Codice privacy. In genere, si tratta di tre categorie di persone fisiche o giuridiche: alunni/famiglie, personale docente e non docente, fornitori. Occorre che le scuole tengano traccia, di solito mediante la raccolta di una firme "per presa visione", dell'avvenuta consegna delle informative.

2)  Le scuole devono aver consegnato a tutto il personale scolastico che tratta dati personali (la quasi totalità dei dipendenti) precise lettere di incarico che individuino puntualmente l'ambito dei trattamenti e le operazioni consentite. Anche se si tratta di nomina facoltativa, è raccomandabile procedere alla nomina del responsabile del trattamento dei dati personali. I riferimenti normativi sono gli artt. 29-30 del Decreto Legislativo 30 giugno 2003, n. 196.

3)  Le scuole devono aver programmato e via via realizzato un piano di formazione degli incaricati. Il riferimento normativo è il punto 19.6 dell'allegato B - Disciplinare Tecnico in materia di misure minime di sicurezza del Decreto Legislativo 30 giugno 2003, n. 196. Occorre sicuramente informare i dipendenti sui contenuti del Regolamento sui dati sensibili e giudiziari recentemente approvato.

4)   Le scuole devono aver creato delle procedure di autenticazione, con credenziali di autenticazione (user name e password) personalizzate per ciascun incaricato, nel rispetto dei punti 1-14 dell'allegato B - Disciplinare Tecnico in materia di misure minime di sicurezza del Decreto Legislativo 30 giugno 2003, n. 196.

5) Le scuole devono avere adottato procedure e accorgimenti (antivirus, antispyware, ecc.) per contrastare e limitare la ricezione e la proliferazione di programmi recanti danno ai dati contenuti negli elaboratori, nella rete e nei sistemi. Cfr. Allegato B - Disciplinare Tecnico in materia di misure minime di sicurezza del Decreto Legislativo 30 giugno 2003, n. 196.

6)  Le scuole devono avere adottato procedure e accorgimenti (p.e. firewall, proxy server, ecc.) per contrastare e limitare la violazione e l'accesso abusivo di esterni non autorizzati ai dati contenuti negli elaboratori, nella rete e nei sistemi. Cfr. Allegato B - Disciplinare Tecnico in materia di misure minime di sicurezza del Decreto Legislativo 30 giugno 2003, n. 196.

7)  Le scuole devono avere adottato procedure per la custodia di copie di sicurezza, per il ripristino della disponibilità dei dati e dei sistemi, nel caso in cui questi vadano perduti o deteriorati. Cfr. Allegato B - Disciplinare Tecnico in materia di misure minime di sicurezza del Decreto Legislativo 30 giugno 2003, n. 196.

8)  Le scuole devono avere prodotto il documento programmatico sulla sicurezza (DPS), e procedere entro il 31 marzo al suo aggiornamento. Dell'aggiornamento occorre dare notizia nella relazione che accompagna il programma annuale.

9)  Le scuole devono verificare periodicamente, a cura del Dirigente scolastico, il rispetto delle istruzioni impartite, di cui all'articolo 29 comma 5 del Dlgs 196/2003. Al riguardo, si suggerisce di tenere traccia, attraverso un processo di verbalizzazione, dei controlli effettuati e degli esiti relativi.

10) La scuole devono aggiornare periodicamente (almeno annualmente) i trattamenti consentiti ai singoli incaricati (Punti 15 e 27 del Disciplinare Tecnico allegato B del Codice) e degli eventuali diversi profili di autorizzazione per l'accesso ai dati trattati in formato elettronico (Punto 14 del Disciplinare Tecnico allegato B del Codice). Anche a questo riguardo, può essere utile tenere traccia, o nel DPS, o attraverso un apposito processo di verbalizzazione, dell'adempimento delle prescrizioni indicate. Si tratta, di fatto, di fare un controllo sull'attualità e la sensatezza, ad un anno di distanza, degli incarichi attribuiti e di varare le eventuali misure correttive (ad esempio, incaricare persone che precedentemente non lo sono state, oppure variare il tipo di dati a cui un singolo dipendente può avere accesso).