Trattamento dati piattaforma
"Sofia" e Misure di Sicurezza adottate
Versione
1.0
Autorizzato
e in vigore dall'11 settembre 2014
-
"trattamento": qualunque operazione concernente dati, tra cui la
raccolta, la registrazione, la conservazione, la consultazione, l'elaborazione,
la modificazione, la comunicazione, la diffusione, la cancellazione e la
distruzione;
-
"dato personale": qualunque informazione relativa ad una persona
fisica, identificata o identificabile anche indirettamente;
-
"dati sensibili": quei dati personali idonei a rivelare gli aspetti
più intimi della persona; la piattaforma "Sofia" potrà trattare
potenzialmente dati quali l'origine razziale ed etnica, le convinzioni
religiose nonché lo stato di salute;
-
"titolare del trattamento": il soggetto cui competono le decisioni in
ordine alle finalità e modalità del trattamento stesso e agli strumenti
utilizzati, ivi compreso il profilo della sicurezza; nel caso di specie il
titolare del trattamento è individuato nell’Istituto scolastico o nel singolo
utente che utilizza la piattaforma "Sofia";
-
"responsabile": colui che viene preposto dal titolare al trattamento
di dati personali, individuato tra i soggetti che per esperienza, capacità ed
affidabilità garantisca il pieno rispetto della normativa in materia di
trattamento, compreso il profilo relativo alla sicurezza; nel caso di specie il
responsabile del trattamento è individuato in Edizioni Centro Studi Erickson S.p.A.;
- "utente": la persona fisica che
utilizza materialmente la piattaforma;
- "incaricati": le persone fisiche
autorizzate a compiere operazioni di trattamento dal titolare o dal
responsabile;
-"piattaforma": base software e/o hardware su cui sono sviluppate
e/o eseguite applicazioni;
- "interessato": la persona fisica cui si
riferiscono i dati personali;
-
"misure minime": le misure tecniche, informatiche, organizzative e
procedurali di sicurezza che garantiscono il livello minimo di protezione dei
dati trattati.
2.
Individuazione dei tipi di dati trattati e di
operazioni eseguibili
Il
Codice in materia di protezione dei dati personali (di seguito anche "Codice")
individua varie tipologie di dati che possono essere sottoposti a trattamento.
La
raccolta ed il trattamento di dati sensibili è soggetta sia al consenso scritto
dell'interessato e all'autorizzazione preventiva del Garante
per la protezione dei dati personali.
Il
trattamento dei dati personali raccolti e trattati tramite la piattaforma "Sofia"
(ivi compresi dati sensibili) riguarderà esclusivamente la compilazione del PEI
– Piano Educativo Individualizzato nonché del PDP – Piano Didattico
Personalizzato. L’utilizzo della piattaforma deve quindi rispettare le vigenti
normative, prescrizioni, adempimenti e usi.
3. Titolare
del trattamento, oneri informativi e gestione del consenso
In riferimento alla raccolta dei dati finalizzata alla
compilazione dei PEI - Piano Educativo Individualizzato e PDP – Piano Didattico
Personalizzato sopra citati, l’Istituto Scolastico viene individuato quale
Titolare del trattamento cui spettano gli oneri informativi e di gestione del
consenso nonché di raccolta dei dati per le finalità indicate.
Per semplificare l’informazione e la raccolta/gestione
del consenso al trattamento dei dati, Edizioni Centro Studi Erickson S.p.A.,
fornisce un modello di informativa da sottoporre ai genitori dell’interessato
al fine della libera manifestazione del consenso.
4. Responsabile
Esterno del Trattamento
Le attribuzioni affidate al responsabile devono essere
individuate analiticamente per iscritto dal Titolare.
Edizioni Centro Studi Erickson S.p.A., nella gestione
della piattaforma "Sofia" viene individuato quale Responsabile
Esterno del Trattamento con nomina per iscritto del Titolare del trattamento
(ad esempio l’Istituto Scolastico o il singolo utente).
Al fine di semplificare la nomina di cui sopra, Edizioni
Centro Studi Erickson S.p.A. ha predisposto un documento uniforme reperibile in
piattaforma.
L’Autorità Garante per la
protezione dei dati personali definisce "Amministratore di Sistema"
quella figura professionale che gestisce e si occupa del funzionamento nonché
della manutenzione del sistema informatico.
Edizioni Centro Studi Erickson S.p.A.
ha nominato più Amministratori di Sistema con l’incarico di gestire e mantenere
in perfetto stato di funzionamento la piattaforma "Sofia" al fine di
garantire il massimo livello di sicurezza dei dati.
Tali figure hanno la facoltà di
accedere in qualunque momento ai dati presenti all’interno della piattaforma "Sofia"
per l’espletamento delle loro funzioni e per garantire la sicurezza.
Gli
Incaricati sono tutti quei soggetti che prestano la propria attività lavorativa
e che per motivi di servizio sono autorizzati al trattamento di dati dal
Titolare o dal Responsabile mediante lettera di incarico ad hoc. Ad essi è
fatto espresso divieto di permettere a terzi non autorizzati l’accesso ai dati
contenuti nella piattaforma.
Edizioni
Centro Studi Erickson S.p.A., ha già incaricato i propri collaboratori ed ha
svolto la relativa formazione in materia di Misure di Sicurezza e sui corretti
comportamenti da adottare. Tutti gli incaricati sono stati vincolati alla
riservatezza dei dati.
Le
misure minime di sicurezza devono essere adottate dal Titolare e sono volte a
ridurre al minimo i rischi di:
-
distruzione o perdita, anche accidentale, dei dati,
- accesso non autorizzato;
- trattamento non consentito o non conforme
alle finalità della raccolta,
- modifica dei dati in conseguenza
di interventi non autorizzati o non conformi alla regole.
A tal fine Edizioni Centro Studi Erickson S.p.A. ha
adottato le seguenti Misure di Sicurezza:
-
Autenticazione informatica.
-
Sistema di autorizzazione.
-
Manutenzione, aggiornamento, adozione di procedure per la copia, il
ripristino e la disponibilità dei dati.
-
Protezione degli strumenti elettronici e dei dati da accessi non consentiti
(Firewall).
-
Ulteriori misure in caso di trattamenti di dati sensibili o giudiziari.
-
Cifratura dei dati e conservazione separata.
7.1 Autenticazione informatica
L’autenticazione
informatica è il procedimento mediante il quale un utente viene riconosciuto da
un sistema informatico, mediante l’utilizzo di credenziali di accesso.
Edizioni
Centro Studi Erickson S.p.A. garantisce che ogni incaricato sarà dotato di credenziali
di autenticazione per l’accesso alla piattaforma "Sofia".
- L’accesso avviene mediante codice per l'identificazione (User-id o Login) e corrispondente parola chiave (password) riservata, conosciuta solamente dal medesimo.
- La
password è composta da almeno
otto caratteri o, qualora lo strumento preveda un valore
inferiore, il massimo consentito; non contiene riferimenti agevolmente
riconducibili all'incaricato (ad esempio, la data di nascita); la password
viene modificata dall'incaricato (su richiesta automatica del sistema
informatico) al primo utilizzo e, successivamente, almeno ogni tre mesi.
- Le credenziali di autenticazione vengono disattivate in caso di inutilizzo per almeno sei mesi.
- Nel caso in cui la password perda la necessaria caratteristica di
riservatezza viene immediatamente cambiata.
I profili di autorizzazione delimitano i dati a cui
può accedere il singolo incaricato a seconda della funzione svolta e vengono
definiti singolarmente o per classi omogenee.
Edizioni Centro Studi Erickson S.p.A. verificherà
annualmente la validità e la sussistenza dei profili di autorizzazione.
7.3
Manutenzione,
aggiornamento, adozione di procedure per la copia, il ripristino e la
disponibilità dei dati.
La sicurezza del sistema informatico ha bisogno di una
corretta manutenzione e un continuo aggiornamento; pertanto, per l’intero
sistema informatico Edizioni Centro Studi Erickson S.p.A.
si è munita di procedure e sistemi che
riducano al minimo la possibilità di perdere i dati.
Sono previste procedure per il salvataggio dei dati
per produrne copie di sicurezza (backup) e connesso ripristino in caso di
necessità del sistema; questi processi vengono effettuati con una cadenza
almeno settimanale.
Non saranno recuperati dati cancellati dall’utente.
Gli aggiornamenti periodici dei programmi per
elaboratore, volti a prevenire la vulnerabilità di strumenti elettronici e a
correggerne difetti, vengono effettuati con cadenza almeno semestrale in
considerazione del trattamento di dati sensibili.
I programmi utilizzati, compresi il sistema
operativo, eventuali database (DBMS), la suite di Office Automation,
l'Antivirus, Antispyware,
Firewall e simili, vengono mantenuti costantemente
aggiornati.
L’aggiornamento di Antivirus e Antispyware
viene fatto ogni qual volta il sistema ne rilevi la disponibilità.
Edizioni Centro Studi Erickson S.p.A. si è dotata,
per tutti i sistemi Microsoft, di procedure Antivirus e Antispyware
con aggiornamento quotidiano.
I dati personali presenti all’interno della
piattaforma "Sofia" vengono altresì protetti dall’intrusione e
dall'azione di programmi dannosi mediante l'attivazione di firewall di tipo
software.
Edizioni Centro Studi Erickson S.p.A., si è dotata
di Firewall aggiornati con cadenza almeno semestrale.
La vigente normativa stabilisce
che: "I dati sensibili o giudiziari devono esse protetti contro l'accesso
abusivo […] mediante l'utilizzo di idonei strumenti elettronici" e dispone
una serie di contromisure obbligatorie volte a prevenirlo.
Edizioni Centro Studi Erickson S.p.A. si è dotata
di procedure per:
Ø
impartire istruzioni per la custodia e l'uso dei
supporti removibili (chiavette USB, CD, DVD) per
evitare accessi non autorizzati;
Ø
rendere inutilizzabili o
distruggere i supporti removibili inutilizzati che contengono dati sensibili o
giudiziari. Essi saranno riutilizzabili solo se le informazioni precedentemente
contenute non sono intelligibili e tecnicamente ricostruibili;
Ø
garantire la disponibilità dei
dati al massimo entro 7 giorni, per cui in caso di danneggiamento sarà
possibile il ripristino dei dati nei tempi stabiliti.
I
dati personali potenzialmente sensibili presenti all’interno della piattaforma "Sofia"
sono cifrati e protetti: in caso di accesso non consentito non vi sarà la
possibilità di conoscerne il contenuto.
Edizioni Centro Studi Erickson S.p.A. si è dotata
di tecnologie che cifrano i dati sensibili o potenzialmente sensibili della
piattaforma "Sofia". I dati vengono
inoltre conservati su Server dedicato e separato.
Al fine di
garantire adeguati livelli di sicurezza dei dati, Edizioni Centro Studi
Erickson S.p.A. si riserva di effettuare verifiche periodiche con finalità di
vigilanza, assistenza e controllo della liceità e correttezza dei trattamenti
in ordine al rispetto della disciplina rilevante in materia di protezione dei
dati personali.
Le attenzioni
dedicate da Edizioni Centro Studi Erickson S.p.A. dimostrano l’impegno e la
volontà di vigilare sulla protezione dei dati raccolti nell’utilizzo della
piattaforma "Sofia"; beninteso, non potrà esserci un efficace
controllo sulle attività e obblighi di soggetti terzi. Pertanto Edizioni Centro
Studi Erickson S.p.A. non potrà essere ritenuta responsabile in caso di
violazioni e/o illecito utilizzo della piattaforma "Sofia", che
rappresenta un ausilio digitale alla redazione di PEI e PDP ma non si
sostituisce alla diligenza di coloro che procedono alla stesura/compilazione
del documento stesso.
Rimane nella
responsabilità finale dell’utente verificare e valutare l’adeguatezza del PEI e
PDP derivante dalla piattaforma "Sofia".
Edizioni Centro
Studi Erickson S.p.A., inoltre, non ha potestà di controllo sull’adempimento
degli obblighi informativi in capo all’utente della piattaforma.
Nel caso in cui
siano accertate o si sospettino attività di trattamento illecito, Edizioni
Centro Studi Erickson S.p.A. si riserva di agire nei confronti dei soggetti
responsabili.
Nel caso in cui
l’utente (es. l’Istituto Scolastico) sospetti una violazione delle credenziali
di accesso al portale "Sofia", dovrà tempestivamente comunicarlo ad
Edizioni Centro Studi Erickson S.p.A. che fornirà nel più breve tempo possibile
nuove credenziali di autenticazione.
I dati contenuti
all’interno del portale/piattaforma "Sofia" verranno conservati da
Edizioni Centro Studi Erickson S.p.A. come copia di backup.
In caso di
mancato rinnovo del servizio da parte dell’Istituto Scolastico i dati saranno
disponibili fino al 31 dicembre dell’anno scolastico successivo dopodiché si
procederà alla loro cancellazione definitiva nel rispetto dei principi di
pertinenza e non eccedenza del trattamento; pertanto, ove l’Istituto Scolastico
o il singolo utente rinnovi il servizio oltre i termini suindicati sarà
necessario effettuare un nuovo inserimento di tutti i dati necessari.