Privacy Policy – IC AQUILEIA

Adeguamento Privacy dell’Istituto al DGPR

– DESIGNAZIONE RPD
– INFORMATIVA PRIVACY E CONSENSO
– INFORMATIVA PRIVACY ALUNNI E FAMIGLIE
– INFORMATIVA PRIVACY DIPENDENTI
– INFORMATIVA PRIVACY FORNITORI
– REGOLAMENTO PER LE RISORSE TECNOLOGICHE E LA RETE

Politica Protezione dei Dati Personali

L’Istituto Comprensivo Don Lorenzo Milani di Aquileia raccoglie e utilizza determinati dati sulle persone. Questi possono includere stakeholder con cui questa Istituzione scolastica ha una relazione o potrebbe aver bisogno di contattare. La politica contenuta in questo documento descrive come tali dati personali devono essere raccolti, gestiti e archiviati per soddisfare gli standard di protezione dei dati delineati dal Regolamento UE 2016/679 del Parlamento europeo del Consiglio, del 27 aprile 2016, nonché dal Codice Privacy di cui al D.Lgs n. 193 del 2003 come da ultimo novellato con il D.Lgs 101/2018.

SCOPO
Questa politica di protezione dei dati garantisce che l’Istituzione scolastica:
1. Sia conforme alla legge sulla protezione dei dati personale e segue le buone pratiche
2. Protegga i diritti di personale, stakeholder e partner
• Sia trasparente su come raccoglie e tratta i dati degli individui
• Si protegga dai rischi di una violazione dei dati personali

CAMPO Dl APPLICAZIONE
Questa politica si applica ai dipendenti, collaboratori, consulenti, lavoratori temporanei, incluso tutto il personale affiliato a terze parti e a tutte le attrezzature di proprietà o in leasing dell’Istituzione scolastica.

MODALITÀ OPERATIVE
Il Regolamento Ue 679/2016 (GDPR) descrive come le organizzazioni, incluso l’Istituto Comprensivo Don Lorenzo Milani di Aquileia, devono raccogliere, gestire e archiviare i dati personali. Queste regole si applicano indipendentemente dal fatto che i dati siano archiviati elettronicamente, su carta o su altri materiali. Per rispettare la legge, le informazioni personali devono essere raccolte e utilizzate correttamente, conservate in modo sicuro e non divulgate illegalmente. Il GDPR (Regolamento Ue 679/2016) è sostenuto da otto importanti principi, linee guida su come trattare il dato personali.
In particolare i dati personali devono:
· Essere trattati in modo equo e legale
· Essere ottenuti solo per finalità specifiche, lecite
· Essere adeguati, pertinenti e non eccessivi
· Essere precisi e aggiornati
· Non essere trattenuti più a lungo del necessario
· Essere elaborati conformemente ai diritti degli interessati
· Essere protetti nei modi appropriati
· Non essere trasferiti al di fuori dello Spazio economico europeo (SEE), a meno che tale paese o territorio garantisca anche un livello adeguato di protezione, ci sia una base contrattuale o sia state delineate delle BRC (Binding Corporate Rules)

APPLICAZIONE, RISCHI E RESPONSABILITA’
Questa politica si applica all’organizzazione nel suo intero:
– Sede centrale
– Tutti i plessi
– Tutto il personale e i volontari
– Tutti gli appaltatori, i fornitori e le altre persone che operano per conto dell’organizzazione
Si applica a tutti i dati che l’Istituzione scolastica detiene in relazione a persone identificabili.
Ciò può includere:
– Nomi di individui
– Indirizzi postali
– Indirizzi email
– Numeri di telefono
– oltre a qualsiasi altra informazione relativa alle persone

RISCHI
Questa politica aiuta a proteggere l’organizzazione da alcuni rischi di sicurezza dei dati personali molto reali, tra cui:
– Violazioni di riservatezza (le informazioni personali vengono ottenute, modificate, cancellate o distribuite in modo inappropriato).
– Non riuscire a offrire una scelta (tutte le persone dovrebbero essere libere di scegliere in che modo l’organizzazione utilizza i dati che le riguardano).
– Danno reputazionale (l’organizzazione potrebbe soffrire un danno d’immagine in caso di materializzazione di un data breach).

RESPONSABILITA’
Chiunque lavori per o con l’Istituto Comprensivo Don Lorenzo Milani di Aquileia ha la responsabilità di garantire che i dati personali vengano raccolti, archiviati e gestiti in modo appropriato. Ogni persona che gestisce i dati personali deve garantire che siano gestiti e elaborati in linea con questa politica e i principi di protezione dei dati.
In particolare, le seguenti persone hanno ruoli chiave di responsabilità:
– Il Dirigente Scolastico/Titolare di trattamento, Alessia Cicconi, è in ultima analisi responsabile di garantire che l’organizzazione soddisfi i propri obblighi legali.
– Il Responsabile della protezione dei dati (DPO), Avv. Gianluca Rubinato, è responsabile di:
• Mantenere il titolare di trattamento aggiornato sulle responsabilità, i rischi e le questioni relativi alla protezione dei dati.
• Revisionare tutte le procedure di protezione dei dati e le relative politiche, in linea con un programma concordato.
• Organizzare la formazione e la consulenza sulla protezione dei dati per le persone coperte da questa politica.
• Gestire le domande sulla protezione dei dati da parte del personale e di chiunque altro coperto da questa politica.
• Gestire le richieste da parte di individui per vedere i dati che l’Istituzione scolastica tiene su di loro.
• Verificare e approvare eventuali contratti o accordi con terze parti che possano gestire i dati personali trattati dall’organizzazione.
– Il docente Daniele Travain, in qualità di docente “funzione strumentale”, è delegato a:
• verificare che tuffi i sistemi, i servizi e le apparecchiature utilizzate per la memorizzazione dei dati soddisfino standard di sicurezza accettabili.
• eseguire controlli e scansioni regolari per garantire che l’hardware e il software di sicurezza funzionino correttamente.
• Valutare eventuali servizi di terzi che la società sta considerando di utilizzare per archiviare o elaborare dati (ad esempio, servizi di cloud computing.)

LINEE GUIDA GENERALI PER IL PERSONALE
Le uniche persone in grado di accedere ai dati coperti da questa politica dovrebbero essere coloro che ne hanno bisogno per il loro lavoro.
=> I dati non devono essere condivisi in modo informale. Quando è richiesto l’accesso ad informazioni confidenziali, i dipendenti si rivolgono al Titolare del Trattamento o chi ne fa le veci.
=> L’Istituzione scolastica fornirà formazione a tutti i dipendenti per aiutarli a comprendere le loro responsabilità nella gestione dei dati.
=> I dipendenti devono mantenere tutti i dati personali al sicuro, adottando precauzioni e seguendo le linee guida presentate in questa politica. In particolare, è necessario:
• Utilizzare password complesse, che non devono mai essere condivise.
• I dati personali non devono essere divulgati a persone non autorizzate, all’interno dell’organizzazione o esternamente.
• I dati personali devono essere rivisti e regolarmente aggiornati. Se non sono più necessari, devono essere eliminati.
=> I dipendenti, prima di agire, devono chiedere supporto al Titolare del Trattamento se non sono sicuri riguardo a qualsiasi aspetto della protezione dei dati.

CONSERVAZIONE DEI DATI
Queste regole descrivono come e dove i dati devono essere archiviati in modo sicuro. Eventuali domande sulla memorizzazione sicura dei dati possono essere indirizzate all’Amministratore di sistema o al Titolare. I dati personali archiviati su carta devono essere conservati in un luogo sicuro dove le persone non autorizzate non possono accedervi. Queste linee guida si applicano anche ai dati personali che vengono solitamente archiviati elettronicamente, ma per qualche motivo sono stati stampati:
• Se non richiesto, la carta o i file devono essere conservati in un cassetto o in uno schedario chiuso a chiave.
• I dipendenti devono assicurarsi che la carta e le stampe non vengano lasciate dove persone non autorizzate potrebbero vederle, per esempio in una stampante.
• Le stampe dei dati devono essere triturate e smaltite in modo sicuro quando non sono più necessarie.
I dati personali archiviati elettronicamente devono essere protetti da accessi non autorizzati, cancellazioni accidentali e modifiche involontarie:
– I dati devono essere protetti da password complesse che vengono cambiate regolarmente e mai condivise tra dipendenti.
– Se i dati sono archiviati su un supporto rimovibile (come un CD, un DVD, una Pen drive o un HD esterno), questi devono essere tenuti chiusi a chiave in un luogo sicuro quando non vengono utilizzati.
– I dati devono essere memorizzati solo su unità e server designati e devono essere caricati solo su servizi di cloud computing approvati.
1. I dati personali devono essere salvati frequentemente; questi backup dovrebbero essere testati regolarmente. I server contenenti dati personali devono essere collocati in un luogo sicuro.
2. I dati personali non devono mai essere salvati direttamente (in locale) su laptop o altri dispositivi mobili come tablet o smartphone.
3. Tutti i server e i computer contenenti dati personali devono essere protetti da un software di sicurezza approvato e da un firewall.

UTILIZZO DEI DATI
Quando si lavora con dati personali, i dipendenti devono assicurarsi che gli schermi dei loro computer siano sempre bloccati quando lasciati incustoditi.
• I dati personali non devono essere condivisi in modo informale. In particolare, non devono mai essere inviati via e-mail, in quanto questa forma di comunicazione non è sicura.
• I dati personali non devono mai essere trasferiti al di fuori dello Spazio economico europeo, senza seguire la corretta procedura.
4. I dipendenti non devono salvare copie di dati personali sui propri computer.

ACCURATEZZA DEI DATI
La legge richiede che l’Istituzione scolastica adotti misure ragionevoli per garantire che i dati siano mantenuti accurati e aggiornati. Più importante è il fatto che i dati personali siano accurati, maggiore è lo sforzo che l’organizzazione dovrebbe compiere per garantirne l’accuratezza. È responsabilità di tutti i dipendenti che lavorano con dati personali adottare misure ragionevoli per garantire che siano mantenuti il più precisi e aggiornati possibile.
– I dati verranno conservati solo in posti assolutamente necessari. Il personale non deve creare set di dati aggiuntivi non necessari.
– L’Istituzione scolastica renderà semplice per gli interessati l’aggiornamento delle informazioni che detiene su di loro (ad esempio, tramite il sito web istituzionale).
– I dati devono essere aggiornati quando vengono scoperte inesattezze (ad esempio, se uno stakeholder non può più essere raggiunto sul numero di telefono memorizzato, dovrebbe essere rimosso dal database).

RICHIESTA D’ESERCIZIO DEI DIRITTI DELL’INTERESSATO
Tutti gli individui che sono oggetto di dati personali detenuti dall’Istituzione scolastica hanno diritto a:
1. Chiedere quali informazioni l’organizzazione detiene su di loro e perché
2. Chiedere la rettifica dei propri dati
3. Chiedere la portabilità delle informazioni personali
4. Chiederne la cancellazione
5. Chiedere la limitazione od opporsi al trattamento
Le richieste d’esercizio di tali diritti da parte di soggetti devono essere inviate per e-mail, indirizzate al Titolare del trattamento all’indirizzo udic84600d@istruzione.it.

DIVULGAZIONE DEI DATI PER ALTRI MOTIVI
In determinate circostanze, il GDPR consente di divulgare i dati personali alle forze dell’ordine senza il consenso dell’interessato. In queste circostanze, l’Istituzione scolastica rivelerà i dati richiesti. Tuttavia, il Titolare del trattamento assicurerà che la richiesta sia legittima, richiedendo assistenza al Responsabile della protezione dei dati.

FORNIRE INFORMAZIONI
L’Istituto Comprensivo Don Lorenzo Milani di Aquileia mira a garantire che le persone siano consapevoli del fatto che i loro dati sono trattati e che capiscano:
=> Come vengono utilizzati i dati
=> Come esercitare i loro diritti
A tal fine l’Istituzione scolastica ha pubblicato in apposita area raggiungibile dalla home page del sito istituzionale specifiche informative sulla privacy che stabiliscono come i dati relativi alle persone e ai fornitori sono utilizzati dall’Istituzionale scolastica. L’Istituto Comprensivo Don Lorenzo Milani di Aquileia si riserva di modificare o semplicemente aggiornare il contenuto del presente documento, anche a causa di variazioni della Normativa Applicabile. Il Titolare invita quindi a visitare con regolarità la sezione Privacy del Sito per prendere cognizione della più recente versione della Politica per la protezione dei dati personali.

IL DIRIGENTE SCOLASTICO
Prof.ssa Alessia Cicconi

Privacy attuata dall’Istituto fino al 25 maggio 2018

In ottemperanza a quanto previsto dal D.Lgs. 196/2003 codice in materia di protezione dei dati personali, il trattamento dei dati personali da parte della nostra organizzazione è improntato ai principi di correttezza, liceità e trasparenza e di tutela della riservatezza e dei diritti dei soggetti cui i dati si riferiscono.
Con la presente Vi informiamo, ai sensi dell’art. 13 della Legge in oggetto, che in conseguenza dell’instaurazione e dell’esecuzione di rapporti contrattuali con Voi in corso, siamo in possesso di Vostri dati anagrafici e di Vostri dati relativi ai rapporti contabili con noi intercorsi e che tali dati sono presenti nel nostro sistema informativo e meccanografico.
Vi informiamo che il trattamento di tali dati:
a) è in relazione alle reciproche obbligazioni contrattuali per permettere un’efficace gestione dei rapporti commerciali;
b) può essere effettuato sia manualmente che con l’ausilio di mezzi elettronici (secondo la definizione data nell’art. 4 comma 1 dal D.Lgs. 196/2003);
c) non riguarda informazioni relative a “dati sensibili”;
d) i dati, previo il Suo consenso, potranno essere trattati anche per inviarLe (via e-mail, fax o a mezzo posta) proposte ed iniziative commerciali da noi realizzate;
e) potranno venire a conoscenza dei dati da Lei forniti, le seguenti categorie di soggetti: nostro personale tecnico e amministrativo, nostre ditte subappaltatrici, società di factoring, società di spedizione, istituti di credito, società di recupero crediti, società di assicurazione del credito, società di informazioni commerciali, professionisti e consulenti.
Vi garantiamo che non è nostra intenzione fornire tali dati a terzi (esclusi, ovviamente, Enti Amministrativi dello Stato Italiano) e che già attuiamo e continueremo ad incrementare tutte le misure atte a garantire la riservatezza degli stessi, con particolare riferimento a quanto previsto dall’allegato B del D.lgs 196/2003 – Disciplinare tecnico in materia di misure minime di sicurezza.
Ai soli fini della tutela del credito, i dati in questione potranno essere comunicati ad istituti di credito e società finanziarie per disposizioni di pagamenti, a società di recupero credito e di assicurazione del credito per cessioni di credito e per ogni altra operazione analoga.
Titolare del trattamento è ISTITUTO COMPRENSIVO “DON LORENZO MILANI” – VIA ENRICO FERMI 4 -33051 AQUILEIA (UD) – Tel.: 0039 043191051 Fax.: 0039 0431918939.
Il responsabile, designato per rispondere alle richieste di accesso dei soggetti cui si riferiscono i dati, è la Prof.ssa Alessia Cicconi (Tel. 0431916941).

Ai soggetti interessati del trattamento è riconosciuto l’esercizio dei diritti di cui all’articolo 7 D.Lgs. 196/2003, di cui riportiamo in allegato il testo.

Diritto di accesso ai dati personali ed altri diritti
1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L’interessato ha diritto di ottenere l’indicazione:
a) dell’origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

L’interessato ha diritto di ottenere:
a) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
L’interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorchè; pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.