Web, scuola e sicurezza Avv. Laura Paolucci (Avvocatura distrettuale dello Stato di Bologna)

1. Web, scuola e sicurezza Avv. Laura Paolucci(Avvocatura distrettuale dello Stato di Bologna) Scuola 7.0 - Bologna, 9-10 maggio 2005

2. e-P.A. E-government, e-procurement, e-learning - e-mail, atto amministrativo elettronico, fascicolo digitale, processo telematico …….

3. Innovazione tecnologica e P.A.(L.16.1.2003, n. 3) • Uso del documento informatico • Diffusione dell’uso delle firme elettroniche • Diffusione dei servizi erogati in via telematica • Diffusione e uso della carta nazionale dei servizi • E-procurement • Estensione dell’uso della posta eletttronica • Impiego della telematica nella formazione dei dipendenti • Realizzazione di siti internet

4. Innovazione tecnologica e P.A. Documento informatico e atto amministrativo • D.P.R. n. 513/1997 • D.P.R. n. 445/2000 (artt. 8 ss) • D.P.C.M. 13.1.2004 • Del. CNIPA 17.12.2005, n. 4/2005

5. Innovazione tecnologica e P.A. Carta nazionale dei servizi È il documento rilasciato su supporto informatico per consentire l’accesso per via telematica ai servizi erogati dalle pubbliche amministrazioni (D.P.R. 2.3.2004, n. 117)

6. Innovazione tecnologica e P.A. Uso della posta elettronica Comporta l’adozione di regole che stabiliscano modalità e caratteristiche dei servizi di trasmissione di documenti informatici mediante posta elettronica certificata • L. n. 3/2003, n. 3 • D.P.R. n. 68/2005 (regolamento posta elettronica certificata) • D.Lgs. N. 42/2005 (SPC e RIPA)

7. Innovazione tecnologica e P.A. SITI Internet Obbligo di usare sistemi informatici per erogare servizi e fornire informazioni senza discriminazioni anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari • Direttiva PCM 30 maggio 2002 • L 9.1.2004, n. 4 (disposizioni per favorire l’accesso dei soggetti disabili agli strumenti informatici) • D.P.R. 1.3.2005, n. 75

8. Innovazione tecnologica e P.A. L’uso massiccio delle tecnologie informatiche pone nuove questioni tecniche e giuridiche: • sostituzione del supporto cartaceo con quello informatico à validità ed efficacia dell’atto amm.vo non cartaceo con firma autografa • Necessità di garantire la sicurezza informatica delle informazioni

9. d.lgs.30.6.2003, n. 196 Il codice in materia di protezione dei dati personali abroga e sostituisce la L.31.12.1996, n. 675 dal giorno della sua entrata in vigore (1.1.2004, salvo che per alcune particolari disposizioni) Direttiva PCM 11.2.2005, n. 1

10. Protezione dei dati personali come regola dell’organizzazione Il diritto alla protezione dei dati personali, attribuito a chiunque (art. 1) influisce sui criteri di organizzazione della P.A., criteri che devono essere attuati nel rispetto della disciplina in materia di trattamento dei dati personali (l’art. 176 modifica l’art. 2 d.lgs. 165/2001Dir PCM 1/05 punto 3)

11. Chiave di lettura del Codiceconsigli per non impazzire • leggere tutti gli articoli, focalizzando la struttura del decreto in titoli e capi ed il loro contenuto • acquisire dimestichezza con la terminologia e le definizioni • identificare gli “attori” implicati • identificare con precisione le regole applicabili ai soggetti pubblici

12. dato personale dato sensibile dato giudiziario dato anonimo trattamento comunicazione diffusione Definizionisintesi essenziale

13. “Attori” Titolare la persona fisica, giuridica, la P.A. e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alla finalità, alle modalità di trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza attore per investitura originaria

14. “Attori” Titolaresegue quando il trattamento è effettuato da una persona giuridica, da una P.A. o da un qualsiasi altro ente, organismo o associazione, titolare del trattamento è l’entità nel suo complesso o l’unità o l’organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento,ivi compreso il profilo della sicurezza art 28 Codice

15. “Attori” Responsabile la persona fisica, la persona giuridica, la P.A. e qualsiasi altro ente, associazione od organismo prepostidal titolare al trattamento del dati personali attore per investitura derivata

16. “Attori” Responsabilesegue • la nomina del responsabile è facoltativa • deve essere affidabile, esperto e capace • può esserci una pluralità di responsabili, anche mediante suddivisione di compiti • il titolare deve specificare analiticamente e per iscritto i compiti affidati al responsabile • il titolare deve fornire istruzioni e vigilare sul loro rispetto art. 29 Codice

17. “Attori” Incaricati le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile attore per investitura derivata

18. “Attori” Incaricatisegue • l’incaricato deve essere sotto la diretta autorità del responsabile o del titolare • deve ricevere istruzioni ed attenersi ad esse • la designazione è fatta per iscritto e con individuazione dell’ambito del trattamento consentito, salvo che in caso di preposizione ad unità di cui risulti individuato per iscritto l’ambito del trattamento consentito agli addetti all’unità art. 30 Codice

19. “Attori” Interessato la persona fisica, giuridica, l’ente o l’associazione cui si riferiscono i dati personali attore per investitura originaria

20. Principi generali e comuni • principi generali (titolo I) • i diritti dell’interessato (titolo II) • regole per tutti i trattamenti (titolo III- Capo I e II)

21. Regole per tutti i trattamenti (titolo III – Capo I) • modalità del trattamento (lecito, corretto, raccolti e registrati per scopi espliciti e legittimi, coerenti col trattamento, conservati ai fini identificativi per il tempo necessario allo scopo per il quale il dato è raccolto e trattato) • requisiti dei dati (esatti, pertinenti, completi, non eccedenti rispetto alle finalità

22. Regole per tutti i trattamenti (titolo III-Capo I) • informativa • danni (civili) cagionati per effetto del trattamento • cessazione del trattamento • trattamento dati quasi-sensibili

23. Regole ulteriori per i soggetti pubblici (Titolo III-CapoII) • principi applicabili a tutti i trattamenti effettuati da soggetti pubblici • principi applicabili al trattamento dei dati ordinari • principi applicabili al trattamento dei dati sensibili • principi applicabili al trattamento dei dati giudiziari • principi applicabili al trattamento dei dati sensibili e giudiziari

24. Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici (art. 18) • la P.A. tratta i dati ordinari se necessario a svolgere le funzioni istituzionali • la P.A. non deve chiedere il consenso (salvo gli enti sanitari per i dati inerenti la salute)

25. Principi applicabili al trattamento dei dati ordinari (art. 19) • la P.A. tratta i dati personali solo quando necessario per svolgere le proprie funzioni istituzionali • la comunicazione ad altro ente pubblico, in assenza di espressa previsione di legge o di regolamento, è consentita per lo svolgimento delle funzioni istituzionali e previa comunicazione al Garante • la comunicazione a privati e la diffusione sono ammesse solo quando siano previste da norma di legge o di regolamento

26. Principi applicabili al trattamento dei dati sensibili(art. 20) il trattamento di dati sensibili da parte della P.A. è consentito solo se autorizzato da espressa disposizione di legge(riserva assoluta di legge)nella quale siano indicati: • le finalità di rilevante interesse pubblico perseguite; • i tipi di dati che possono essere trattati; • le operazioni eseguibili

27. Principi applicabili al trattamento dei dati sensibili(art. 20) se la disposizione di legge specifica le finalità di rilevante interesse pubblico, ma non i tipi di dati e le operazioni eseguibili, il trattamento è consentito solo previa emanazione e nei limiti di un regolamento (riserva di regolamento ex art. 17, 3. co. L.400 /88= D.M., previa parere del Garante) che individui i dati e le operazioni • schema tipo • termine di emanazione fino al 31.12.2005

28. Principi applicabili al trattamento dei dati sensibili (art. 20) sono di rilevante interesse pubblico (esempi di disposizioni legislative ad hoc di interesse “scolastico” ): • finalità di applicazione della disciplina dell’accesso agli atti amministrativi (artt. 59-60) • finalità di instaurazione e gestione dei rapporti di lavoro (art.112) • finalità di applicazione delle leggi sull’obiezione di coscienza (art.70) • finalità di applicazione amministrativa della disciplina dell’assistenza, integrazione sociale e diritti della persona handicappata (art.86) • finalità di istruzione e formazione in ambito scolastico e universitario (art.95)

29. Principi applicabili al trattamento dei dati giudiziari(art. 21) il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da norme di legge o da provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico, i tipi di dati trattati e le operazioni eseguibili.

30. Principi applicabili al trattamento di dati sensibili e giudiziari (art. 22) • obbligo specifico di informazione: la P.A. tratta i dati s. e g. informando gli interessati circa le norme che rendono necessario e legittimano il trattamento • correttezza del trattamento: la P.A. tratta solo i dati s. e g. indispensabili alle attività istituzionali, verificando periodicamente correttezza, pertinenza ed essenzialità • modalità di conservazione: in caso di uso di strumenti elettronici è obbligatoria la cifratura dei dati s. e g.; la cifratura è obbligatoria comunque per i dati idonei a rivelare lo stato di salute e la vita sessuale, i quali devono essere conservati separatamente

31. Cosa deve fare il dirigente scolastico? • nominare uno o più responsabili • nominare gli incaricati • predisporre l'informativa • adottare un piano per aumentare le misure di sicurezza e predisporre il documento programmatico per la sicurezza (DPS), previo censimento dei trattamenti nell'organizzazione

32. Misure di sicurezza(art. 31 ) I dati personali devono essere custoditi e controllati con misure di sicurezza adeguate a ridurre al minimo i rischi di distruzione o di perdita, di accesso non autorizzato, di trattamento illecito

33. Misure minime di sicurezza(artt. 33 e ss. ) I titolari del trattamento devono adottare misure minime di sicurezza individuate nel Codice

34. Misure minime di sicurezza(artt. 33 ss.) Il trattamento operato con strumenti elettronici deve avvenire solo tramite sistemi e procedure di autorizzazione all’accesso e di autenticazione, protezione di hardware e software e dei dati, di back up ed emanazione del DPS

35. Misure minime di sicurezza(artt. 33 ss.) Il trattamento non automatizzato richiede la verifica periodica dei livelli di autorizzazione agli incaricati o alle unità organizzative, procedure di custodia e conservazione, procedura di custodia per gli atti ad accesso selezionato

36. Acceptable use policy (AUP) • Vincoli legali • Utilizzo delle risorse • identificazione • Comportamenti attesi • Comportamenti vietati • Netiquette

37. È opportuno consultare… http://www.osservatoriotecnologico.it Servizio di osservatorio tecnologico per la scuola del MIUR http://www.firstmonday.dk/issues/issue4_11/fleck/index.html http://www.pen.k12.va.us/go/VDOE/Technology/AUP/home.shtml

38. In bocca al lupo !!!