il progetto   |   la lista / iscrizione  |   DIDAweb   

Nelle scuole il codice sulla privacy
Italo Magini - 24.05.2004


Per le scuole un'altra pesante incombenza: entro il 30 giugno prossimo dovranno mettere a punto il "Codice in materia di protezione dei dati personali". Un altro carico di lavoro in particolare per i dirigenti scolastici. In verità solo in Lombardia il direttore Mario Dutto ha segnalato il caso alle scuole. Pare che nel resto d'Italia non se ne sappia ancora nulla: da qui l'ipotesi che la scadenza possa essere rinviata. Ma intanto ci sembra opportuno chiarire di che cosa si tratta. Abbiamo chiamato in causa Italo Magini, uno degli esperti più seri in materia, che ha così illustrato il problema.



PREMESSA
Il Codice della privacy
E’ entrato in vigore il 1 gennaio 2004 il Decreto legislativo nr. 196 del 30 Giugno 2003, denominato “Codice in materia di protezione dei dati personali”. Il Codice, che rappresenta il primo tentativo al mondo di comporre in maniera organica le innumerevoli disposizioni relative, anche in via indiretta, alla privacy, riunisce in unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi anni, e contiene anche importanti innovazioni tenendo conto della “giurisprudenza” del Garante e della direttiva Ue 2000/58 sulla riservatezza nelle comunicazioni elettroniche. Il Testo unico è ispirato all’introduzione di nuove garanzie per i cittadini, alla razionalizzazione delle norme esistenti e alla semplificazione degli adempimenti e sostituirà la legge “madre” sulla protezione dei dati, la n. 675 del 1996.
Il Codice è diviso in tre parti:
• la prima è dedicata alle disposizioni generali, riordinate in modo tale da trattare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato;
• la seconda è la parte speciale dedicata a specifici settori. Questa sezione, oltre a disciplinare aspetti in parte inediti (informazione giuridica, notificazioni di atti giudiziari, dati sui comportamenti debitori), completa anche la disciplina attesa da tempo per il settore degli organismi sanitari e quella dei controlli sui lavoratori;
• la terza affronta la materia delle tutele amministrative e giurisdizionali con il consolidamento delle sanzioni amministrative e penali e con le disposizioni relative all’Ufficio del Garante.
Posto tutto questo si avvicina la scadenza del 30 giugno, prevista dal Codice in materia di protezione dei dati personali, quale termine ultimo per adottare le nuove "misure minime" di sicurezza: tra queste misure rientra anche l’obbligo di redigere o aggiornare il Documento Programmatico sulla Sicurezza (Dps), a pena, peraltro, di sanzioni penali. (cfr. Titolo V - sicurezza dei dati e dei sistemi; capo i - misure di sicurezza; capo ii - misure minime di sicurezza; artt. 31-36 e l’allegato B - Discipliante tecnico in materia di misure minime di sicurezza – regola 19).
LA NOSTRA PROPOSTA OPERATIVA
Le attività necessarie per la documentazione e la stesura del Documento Programmatico sulla Sicurezza dei Dati si articolano nelle seguenti fasi.
Fase 1
Analisi della documentazione esistente sulla privacy
Questa prima fase è rivolta all’acquisizione della documentazione eventualmente già presente nell’Ente, relativa ad aspetti di privacy e riservatezza di informazioni e dati. In particolare ci si riferisce a circolari, regolamenti, procedure, mansionari, policy sull’uso delle strumentazioni informatiche, richiami a codici di deontologia e buona condotta…
Fase 2
Individuazione e valutazione delle misure di sicurezza esistenti
Nella seconda fase è necessario acquisire informazioni sulle misure adottate dall’Ente per ridurre al minimo i rischi di distruzione o perdita - anche accidentale - dei dati personali, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. In altri termini, come richiesto dal Codice, è necessario censire le procedure e le strumentazioni utilizzate, considerare la loro idoneità a garantire l’integrità e la disponibilità dei dati, prevedere norme per garantire l’eventuale ripristino della loro disponibilità in tempi prefissati e assicurare il corretto uso dei dati gestiti. Ciò è richiesto per i trattamenti eseguiti con strumenti elettronici, ma ugualmente è necessario che anche la documentazione cartacea su cui sono raccolti o conservati dati personali sia trattata con attenzione e conservata, se richiesto, con la massima cura.
Fase 3
Rilevazione dei trattamenti, dei compiti e delle responsabilità
Questa fase prevede la rilevazione dei trattamenti, svolti all’interno dell’Ente e all’esterno in outsourcing, che riguardano dati personali e che quindi vanno presi in considerazione dal Documento. Inoltre è necessario censire le funzioni e le responsabilità di tutti i soggetti fisici o entità organizzative che concorrono al trattamento dei dati.
Fase 4
Censimento delle Banche dati
Il censimento delle banche esistenti, sia su supporti informatici che in forma cartacea, è richiesto per individuare con precisione ove sono conservati i dati, rilevazione che assume particolare rilevanza per la documentazione cartacea, e le entità organizzative e i soggetti che possono consultare gli archivi. In questa fase si rilevano anche i sistemi di protezione utilizzati per la salvaguardia dei locali e delle attrezzature ove sono custoditi i dati.
Fase 5
Stesura del Documento Programmatico sulla Sicurezza (Dps)
La fase finale consiste nella stesura del Documento programmatico che, come previsto dalla legge, dovrà fare preciso riferimento a: l’elenco dei trattamenti di dati personali, ossia delle attività svolte all’interno dell’Azienda e inerenti i dati personali; la distribuzione dei compiti e delle responsabilità tra il Personale con distinzione dei diversi ruoli previsti, ossia Titolare, Responsabile, Incaricato, Amministratore di sistema; l’analisi dei rischi di ogni genere che incombono sui dati; le misure adottate per la sicurezza e integrità dei dati e la protezione dei locali; la descrizione delle modalità previste per il ripristino della disponibilità dei dati; gli interventi formativi effettuati e previsti per il personale, con il materiale informativo di aggiornamento; la descrizione dei criteri esistenti per la tutela dei dati eventualmente trasmessi all’esterno.
Metodologia
L’attività descritta si svolgerà tanto con momenti presso la Vs. sede, interviste mirate ai Vs. collaboratori e dipendenti, quanto con attività di back office presso la nostra sede. Al fine di supportare al meglio tale attività, abbiamo anche l’ausilio di un apposito software volto a:
− facilitare l’acquisizione dei dati in sede di impianto,
− gestire le variazioni nel tempo
− predisporre apposita documentazione integrativa essenziale per la completezza del Documento
− produrre le lettere di nomina a Incaricato, da rilasciare, come prescritto, ad ogni cambiamento di mansione o al momento dell’assunzione.
Quest’ultima attività, se non supportata dagli automatismi del software applicativo risulterebbe particolarmente onerosa specialmente in funzione della numerosità degli addetti e della frequenza dei possibili cambiamenti di mansione.


 


articolo di www.scuolaoggi.org 




Copyright © 2001-2005 DIDAweb, liste di discussione - Tutti i diritti riservati - È una iniziativa DIDAweb