servizi web, formazione e soluzioni ITC per l'azienda e la P.A.

Seguici su Flickr Seguici su Twitter Seguici su FaceBook Seguici su LinkedIn Seguici su Meemi Contattaci via Mail Rss

Articoli

PROGETTO FORMAZIONE PRIVACY 2.0
PROGETTO FORMAZIONE PRIVACY 2.0

Scritto il 6 ottobre 2009 da swsol nella categoria Formazione |

Tags: , ,

Entro il 31 marzo di ogni anno tutte le Scuole hanno l’obbligo di effettuare l’aggiornamento annuale del DPS (Documento Programmatico sulla Sicurezza), come previsto dall’art. 34 del Codice Privacy allo scopo di fare il punto sui sistemi di sicurezza adottati e da adottare.

Come imposto dai provvedimenti del Garante della Privacy, è necessario verificare le disposizioni impartite, nominare le figure richieste dalla legge (Responsabili ed Incaricati del trattamento), programmare le verifiche ed gli aggiornamenti periodici delle procedure e curare la formazione del personale e dei docenti coinvolti nel trattamento dei dati che, strumento fondamentale per il corretto rispetto del DLgs. 196/2003 è obbligo di Legge.

La Formazione è un diritto del personale, ma anche un dovere e nel caso del trattamento dei dati personali, l’esigenza della formazione è legata alla specificità della materia; agli obblighi previsti per l’ente (pubblico e privato) che, in relazione all’attività svolta, raccoglie e elabora dati personali riferiti a soggetti diversi; ai compiti che, in base a tali obblighi, devono essere assegnati al personale dipendente; alle responsabilità derivanti per legge dalla violazione della riservatezza dei dati (omessa organizzazione delle norme di sicurezza, mancata vigilanza circa l’attuazione delle garanzie, anomala comunicazione dei dati).

Con l’insieme delle disposizioni, il garante ha inteso sottolineare in modo particolare l’importanza dei rischi connessi all’impiego di amministratori di sistema da parte del titolare dei trattamenti e ricordare, a questi ultimi, le responsabilità civili e penali derivanti dal non adottamento di idonee misure di sicurezza:

“RILEVATO che i titolari sono tenuti, ai sensi dell’art. 31 del Codice, ad adottare misure di sicurezza “idonee e preventive” in relazione ai trattamenti svolti, dalla cui mancata o non idonea predisposizione possono derivare responsabilitĂ  anche di ordine penale e civile (artt. 15

169 del Codice);”

In sostanza il garante evidenzia come, nei sistemi informatici che non siano adeguatamente sicuri, si manifestino quotidianamente “elevate criticità rispetto alla protezione dei dati” soprattutto nello svolgimento di mansioni di amministrazione del sistema o di tecniche ordinarie quali il salvataggio dei dati (backup/recovery), in particolare:

“…. si è invece riscontrata, anche a elevati livelli di responsabilitĂ , una carente consapevolezza delle criticitĂ  insite nello svolgimento delle predette mansioni, con preoccupante sottovalutazione dei rischi derivanti dall’azione incontrollata di chi dovrebbe essere preposto anche a compiti di vigilanza e controllo del corretto utilizzo di un sistema informatico.”

Al Dirigente Scolastico, nella sua funzione di “titolare dei trattamenti” l’onere di adottare le obbligatorie misure di sicurezza di seguito sintetizzate:

  1. Valutazione delle caratteristiche soggettive nell’attribuzione della funzione di amministratore di sistema.
  2. Designazione individuale dell’amministratore di sistema con elencazione analitica degli ambiti di operabilità.
  3. Elenco degli amministratori di sistema da riportare nel DPS.
  4. Verifica delle attivitĂ  degli amministratori di sistema almeno con cadenza annuale.
  5. Cura della formazione del personale e dei docenti coinvolti nel trattamento dei dati.
  6. Registrazione degli accessi logici agli archivi elettronici.

Di questi punti i primi 5 sono atti formali che inficiano la stesura del DPS mentre il sesto riguarda strettamente le procedure software in dotazione alla scuola, in particolare:

“Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilitĂ  e possibilitĂ  di verifica della loro integritĂ  adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un con gruo periodo, non inferiore a sei mesi;

In sostanza le scuole devono utilizzare sistemi software che consentano di registrare gli accessi logici (con un sistema di sicurezza non facilmente eludibile) e devono farlo in modo che sia chiaramente rintracciabile l’evento che ha generato la registrazione: controllo degli accessi, gestione degli utenti e password, e gestione del “log” dettagliato delle operazioni, con particolare riguardo all’accesso alle aree applicative contenenti dati sensibili e privati come ad esempio l’area alunni e la gestione del personale.

La responsabilità, peraltro, è estesa al danno derivato alle persone cui i dati si riferiscono, per la mancata osservanza dei vincoli istituiti dalla legge e per l’anomala comunicazione, o diffusione, dei dati stessi.

La novitĂ  e la specificitĂ  della disciplina crea l’esigenza di una conoscenza piĂą approfondita, non di una generica informazione. L’avvenuta erogazione dei corsi di formazione è elemento da annotare nel Documento Programmatico sulla Sicurezza, così come previsto dalla Regola 19.6 dell’Allegato B al “Codice in materia di protezione dei dati personali” che prevede la pianificazione di

“interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali.”

Per maggiori informazioni email info@sinergie.biz.

Documenti:

Formazione - Progetto Privacy 2.0 (129) |  Obbligo di Formazione Privacy (213)

Normativa:

Codice Amministrazione Digitale (0) |  Decreto 305 (17) | Direttiva n.104 del 30 nov 2007 (16) |  Codice Privacy - D. lgs. n. 196 2003 (195)

Ti è piaciuto questo post? Condividilo!

http://www.sinergie.biz/wp-content/plugins/sociofluid/images/digg_48.png http://www.sinergie.biz/wp-content/plugins/sociofluid/images/stumbleupon_48.png http://www.sinergie.biz/wp-content/plugins/sociofluid/images/delicious_48.png http://www.sinergie.biz/wp-content/plugins/sociofluid/images/technorati_48.png http://www.sinergie.biz/wp-content/plugins/sociofluid/images/twitter_48.png http://www.sinergie.biz/wp-content/plugins/sociofluid/images/meemi_48.png
COMMENTI
MiniPortfolio
Advertisement
meemi.com
Lifestream
Categorie
Archivi
Tags
release 3.0 corso privacy azienda antivirus business apprendimento blog action day browser bandi rete settimana sicurezza design Meemi sviluppo Formazione scuola cellulare Temi Free Web Azienda tecnologia web web 2.0 tutorial portfolio Voglio un blog News manuali&tutorial blog wordpress
ABOUT
SERVIZI
PORTFOLIO
CONTATTI
LIFESTREAM
© 2010 sinergie.::.websolution - gruppo COprogetto S.r.l. | Via Pietro Cossa 293/6 10129 Torino (TO) | PI 10191960011
Page top