Home page di EvolutionSchool.com Home page di EvolutionSchool.com
Home | contatti | catalogo chi siamo » La società | L'attività editoriale | Precedenti prodotti | Il vecchio sito | News
SERVIZI » Hardware e Software | Iniziative MIUR | Multimedia e Internet | Formazione | Assistenza e Manutenzione
Iniziative
MIUR

» Sissi in Rete

» Sicurezza Informatica nelle scuole

» Il Documento Programmatico sulla Sicurezza (DPS)

» Biblioteche digitali e Mediateche

» Handicap

» Parabole per la Sperimentazione nazionale e Didattica in TV

» OpenOffice.org
Il Documento Programmatico sulla Sicurezza
 
Iniziative MIUR

Obbligo di redazione del Documento Programmatico sulla Sicurezza


La legge 196 del 2003 prevede nuovi adempimenti in merito alla protezione dei dati personali in particolare l'obbligo di redazione del Documento Programmatico della Sicurezza (DPS), la cui mancata produzione è perseguibile dalla legge come reato penale.
La legge impone dei requisiti minimi da rispettare per un'adeguata protezione dei dati, dando però la possibilità di dichiarare nel DPS che, ove mancanti, verranno messi a norma entro una data prestabilita.


Adempimenti
Il decreto legge 196/03 sul trattamento dei dati sensibili e personali non si limita alla descrizione dei dati da proteggere, ma prescrive regole e comportamenti che aziende, studi professionali e pubbliche amministrazioni (comprese le "scuole di ogni ordine e grado") devono adottare quando trattano dati personali, sensibili e giudiziari. La normativa prevede pertanto sia adempimenti di carattere organizzativo sia adempimenti tecnici.

a) Adempimenti organizzativi
La società deve redigere il Documento Programmatico della Sicurezza (DPS) contenente:
* elenco dei trattamenti dei dati personali;
* attribuzione di compiti e responsabilità;
* analisi del rischio dei dati;
* elenco delle misure adottate atte a garantire integrità, disponibilità e riservatezza dei dati;
* formazione del personale sui temi della sicurezza;
* descrizione delle misure minime di sicurezza adottate in conformità al codice;
* descrizione delle misure adottate per la cifratura dei dati sensibili/giudiziari.

b) Adempimenti tecnici
La scuola deve adottare una serie di misure minime di sicurezza o idonee in caso di trattamento di dati sensibili, sia per il trattamento dei dati con strumenti elettronici, che per il trattamento di dati su supporto cartaceo.

b1) Trattamento con elaboratori elettronici
* dotare il sistema di strumenti di autenticazione;
* redigere delle procedure per la gestione delle credenziali di autenticazione;
* provvedere all'aggiornamento periodico del personale preposto al trattamento dei dati e di quello addetto ai sistemi informativi;
* mettere in atto misure di protezione degli elaboratori rispetto al trattamento illecito dei dati e ad accessi non consentiti;
* effettuare procedure per il backup dei dati ed il loro ripristino;
* adottare tecniche di cifratura per i dati sensibili/giudiziari.

b2) Trattamento cartaceo
* procedure per la gestione e la custodia di atti e documenti;
* analisi del rischio;
* formazione del personale sui temi della sicurezza;
* descrizione delle misure minime di sicurezza adottate in conformità al codice.

Sul sito del Garante per la Privacy è disponibile il documento intitolato "Prima applicazione del Codice in materia di protezione dei dati personali in materia di 'misure minime' di sicurezza".

Scadenze
La scadenza per la redazione del DPS è prorograta al 31/12/04. (Consiglio dei Ministri n. 161 | 22-06-2004 » link)
La legge è entrata in vigore in data 1 gennaio 2004 ed il documento programmatico sulla sicurezza "doveva" essere redatto entro il 30 giugno 2004; deve essere aggiornato annualmente. Entro la stessa data "dovevano" essere adottate le misure minime di sicurezza previste dagli articoli 33, 34 e 35.


Le sanzioni
Le sanzioni per l'inosservanza del nuovo codice sono di tipo amministrativo, civile e penale.

Sanzioni Amministrative:
- Omessa, inidonea informativa: Dati comuni: € 3.000 - 18.000, dati sensibili: € 5.000 - 30.000;
- Cessione dati: € 5.000 - 30.000;
- Comunicazione dati sanitari in violazione del Codice: € 500 - 3.000;
- Omessa o incompleta notificazione: € 10.000 - 60.000;
- Omessa informazione o esibizione di documenti al Garante: € 4.000 - 24.000.

Sanzioni Penali:
- Trattamento illecito dei dati: Dati comuni: Reclusione 6 - 18 mesi, dati sensibili: Reclusione 12 - 13 mesi;
- Falsità in dichiarazioni e notificazioni al Garante: Reclusione 6 - 36 mesi;
- Omissione misure minime di sicurezza: Arresto fino a 2 anni o ammenda da € 10.000 a 50.000 (ravvedimento operoso);
- Inosservanza provvedimenti del Garante: Reclusione 3 - 24 mesi.

Responsabilità civile:
"Chiunque cagiona ad altri danni per effetto del trattamento di dati personali è tenuto al risarcimento se non prova di aver adottato tutte le misure idonee atte ad evitare il danno" (art. 2050 codice civile).

D.P.S.

 Il documento descriverà le seguenti tematiche:

NOTA BENE:
Inoltre, verrà fornita alla scuola tutta la modulistica necessaria, così come evidenziato dal d.lgs.vo n. 196/2003

 A - ANALISI DELLA SITUAZIONE DELL'ISTITUZIONE SCOLASTICA
1) Descrizione (mappatura) del Sistema Informatico:
    * Hardware;
    * Software.
2) Analisi ed elenco dei dati personali (personale ATA: amministrativo, ausiliario; docenti; alunni/famiglie):
    * per il trattamento con strumenti elettronici;
    * per il trattamento manuale (su supporto cartaceo, senza l'ausilio di strumenti elettronici).
3) Struttura organizzativa funzionale al trattamento dati e singole responsabilità (ruoli e responsabilità.
4) Gli Incaricati (incarichi degli assistenti di segreteria e dei docenti).
5) Analisi dei rischi possibili e dei danni conseguenti.

» Vengono riportati, inoltre, altri servizi collegati e coerenti rispetto al D.P.S. (Documento Programmatico sulla Sicurezza).

 B - MISURE DI SICUREZZA ADOTTATE O DA ADOTTARE
6) Procedure relative alle misure imposte dal Disciplinare tecnico:
    * Misure minime per i trattamenti informatici;
    * Misure minime per i trattamenti cartacei.
7) Criteri tecnici ed organizzativi per la protezione delle aree e dei locali e procedure di controllo per l'accesso.
8) Criteri e procedure per assicurare l'integrità e la disponibilità dei dati (gestione password per applicativi di segreteria, come SISSI in Rete, SIMPI, Entratel, etc.; gestione password accesso ai PC; gestione password posta elettronica).
9) Criteri e procedure per il ripristino dell'accesso ai dati (Piano di disaster recovery).
10) Criteri per garantire la predisposizione delle misure minime nel caso di trattamenti affidati all'esterno della struttura aziendale.
  C - FORMAZIONE E ADEGUAMENTO DEL DOCUMENTO
11) Piani di formazione per gli incaricati del trattamento.
12) Programma di revisione ed adeguamento.

Richiedi un preventivo!

Per ulteriori informazioni: Ufficio commerciale 06.71.07.20.96 info@evolutionbook.com

Copyright ©2004 EvolutionBook Srl. Tutti i diritti riservati. Visitate anche EvolutionBook.com, tutto sugli eBook

EvolutionBook S.r.l. - Ufficio commerciale: Via Sestio Calvino n. 155 - 00174 Roma
Tel. +39.06.71.07.20.96; Fax +39.06.71.07.39.18 - e-mail: info@evolutionschool.com
Sede legale: Via Popilio Lenate n. 7 - 00175 Roma - C.F. e P.IVA 06498011003 - N° ISCRIZ. CCIAA 69970/2001 - N° REA 971037