Informativa Privacy

ai sensi dell'articolo 13 Regolamento (UE) 2016/679 ("GDPR")

Trattamento dei dati in attuazione del DL 7 gennaio 2022, n.1

INVALSI - Informativa PRIVACY prove nazionali.pdf

Informativa Privacy generale dell'Istituto

[Ver. S011 del 01/06/2021] 

 

 

                Qualora dovesse, a vario titolo, fornirci Suoi dati personali, in applicazione dell’art. 13 del Regolamento UE 2016/679 (G.D.P.R.), è opportuno che prenda visione di una serie di informazioni che La possono aiutare a comprendere le motivazioni per le quali i Suoi dati verranno trattati e quali sono i diritti che potrà esercitare rispetto a questo trattamento.

 

Introduzione e definizioni generali

Oggetto della tutela offerta da ogni normativa sulla privacy è il “trattamento di dati personali”.

Prima di addentrarci in questa informativa occorre definire cosa significhi “trattare dati personali” e per farlo ci pare che la cosa migliore sia quella di riferirsi in modo immediato al Regolamento UE 2016/679 che, all’Art. 4 n.2) lo definisce come l’attività della raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione di dati che fanno riferimento a persone fisiche identificate o identificabili.

In quanto persona fisica alla quale si riferiscono i dati trattati, il Regolamento UE 2016/679 La definisce con il termine “interessato” e Le riserva una serie di diritti e prerogative.

Primo di questi diritti è senza dubbio quello di essere informato, in maniera chiara e trasparente, in merito alle finalità e le modalità con cui verranno trattati i dati personali che, a vario titolo, fornirà direttamente o tramite il presente sito internet all’Istituto.

A tale obbligo di informazione si ottempera sottoponendo agli interessati documenti come questo che sta leggendo, integrato caso per caso, da altre informative più specifiche.

Per quanto attiene ai trattamenti svolti da parte di un Istituto Scolastico, noterà il frequente ricorso alla definizione degli stessi come “istituzionali”. Nell’ambito dell’Ordinamento Giuridico italiano infatti la scuola è considerata un soggetto dotato di capacità giuridica pubblica, che persegue finalità di interesse generale, opera in regime di diritto amministrativo ed esercita potestà pubbliche, in sintesi è annoverata nell’ambito di quella che viene definita “Pubblica Amministrazione” ai sensi dell’art. 1 c. 2 del D.Lgs. 165/2001 e s.m.i.. In quanto tale la principale finalità “istituzionale” deve essere individuata nell’attività didattica volta a garantire il diritto allo studio, l’orientamento in ingresso ed in itinere, l’attività curriculare, il tutorato, i programmi di mobilità internazionale etc.

Come avviene il trattamento e per quale finalità saranno trattati i miei dati personali ?

L’Istituto Scolastico esegue diversi trattamenti di dati personali, in particolare riferibili a:

1 - Allievi;

2 - Genitori e Tutori degli allievi;

3 - Personale dipendente ed assimilato;

4 - Membri degli organi collegiali dell’Istituto;

5 - Soggetti esterni con i quali intercorrono rapporti di fornitura di beni e/o servizi, collaborazione inter-            

      istituzionale e in regime di convenzione o accordo di rete;

tali trattamenti si svolgono esclusivamente al fine di adempiere agli obblighi connessi alla instaurazione ed al mantenimento dei rapporti suddetti per le diverse finalità previste dalle normative vigenti per il funzionamento delle scuole ed ispirandosi ai seguenti principi generali:

a) necessità: tutti i trattamenti e le tecnologie impiegate sono organizzati in modo da ridurre al minimo l’utilizzazione dei dati personali e identificativi e, tutte le volte che è possibile, viene fatto ricorso a dati anonimi o modalità che permettano di identificare l’interessato solo in caso di necessità;

b) finalità: i dati e i relativi trattamenti sono acquisiti ed effettuati esclusivamente per le finalità istituzionali della scuola;

c) liceità; tutti i trattamenti eseguiti avvengono con modalità previste da leggi e regolamenti;

d) correttezza e lealtà; il principio di correttezza e lealtà riguarda la garanzia sia della fedeltà dei dati che l’integrità delle modalità di raccolta, archiviazione e trasmissione;

e) sicurezza e protezione; i trattamenti sono ispirati all’esigenza che ai dati personali abbia accesso esclusivamente personale espressamente incaricato;

Senza pretesa di esaustività (i dettagli saranno contenuti nelle informative specifiche che verranno di volta in volta fornite), i trattamenti svolti dall’Istituto ai sensi dell’art. 6 lettera e) del Regolamento UE sono:

1 - iscrizione e frequenza degli allievi;

2 - gestione della carriera di personale ed allievi;

3 - utilizzo dei servizi telematici e di posta elettronica per tutti i fini;

4 - fruizione di contributi, agevolazioni e servizi connessi ai rapporti intercorrenti con l’Istituto;

5 - rilevazioni per la valutazione della didattica;

6 - applicazione delle misure di sicurezza degli ambienti di lavoro (D.Lgs. 81/2008);

7 - gestione dell’offerta formativa e dell’assegnazione degli incarichi;

8 - gestione della struttura organizzativa, dell’anagrafica del personale e registrazione degli eventi di

      carriera (trattamento giuridico del personale);

9 - gestione delle pratiche assicurative e previdenziali;

10- trattamenti assistenziali, denunce e pratiche di infortunio, trattamenti assistenziali.

Per ciascuno dei suddetti trattamenti genericamente definiti, viene concessa informativa specifica agli interessati.

Quali garanzie ho che i miei dati siano trattati nel rispetto dei miei diritti e delle mie libertà personali ?

Il trattamento avverrà nell’ambito degli uffici di direzione e segreteria e dei locali scolastici a ciò deputati in genere in modalità sia manuale che informatica. I dati di natura particolare e giudiziaria saranno trattati, in applicazione del principio di minimizzazione, esclusivamente da parte di una stretta cerchia di soggetti a ciò espressamente autorizzati. L’Istituto ha provveduto ad impartire ai propri incaricati istruzioni precise in merito alle condotte da tenere ed alle procedure da applicare per garantire la riservatezza dei dati dei propri utenti.

A garanzia della riservatezza dei dati saranno applicate misure di sicurezza organizzative ed informatiche volte ad impedire la distruzione, la perdita e la indebita divulgazione dei dati (Piani di conservazione e scarto degli archivi scolastici cartacei definiti dal Ministero per i Beni Culturali e Regole tecniche di conservazione definite dall’AG.I.D.). Non verrà eseguito su di essi alcun processo decisionale automatizzato (profilazione).

I miei dati entreranno nella disponibilità di altri soggetti ?

I dati personali forniti potranno essere comunicati a:

Dati degli allievi:

-          Enti territoriali per la verifica dell’obbligo scolastico e l’organizzazione dei servizi di loro competenza (gestione refezione se presente, fornitura di personale educatore, organizzazione trasporto, etc.);

-          Amministrazione scolastica nell’ambito di monitoraggi, gestione amministrativa e formazione dell’anagrafe nazionale degli studenti anche con riferimento a condizioni patologiche dell’allievo;

-          Altri Istituti di istruzione in caso di trasferimento;

-          Esperti ed educatori esterni di cui l’Istituto di avvale per prestazioni richieste dall’Istituto stesso e/o dall’Ente Locale per finalità di assistenza ed inclusione;

Dati del personale dipendente ed assimilato:

-          Enti previdenziali ed assistenziali;

-          Amministrazione finanziaria;

-          Uffici della Direzione Provinciale del Lavoro per la definizione delle pratiche sulla gravidanza e sulla sicurezza ed igiene del lavoro;

-          Organizzazioni Sindacali;

-          Amministrazione scolastica nell’ambito di monitoraggi e gestione amministrativa;

-          Altri Istituti di istruzione o Amministrazioni in caso di trasferimento, stage, tirocinio e P.C.T.O.;

Ed in generale:

-          INAIL in caso di infortunio;

-          ASL/ATS per le questioni inerenti allo stato vaccinale e alla tutela della salute;

-          Professionisti di cui l’Istituto si avvale (RSPP, DPO, M.C., Amministratore di sistema, agenzie formative, psicologi, psicopedagogisti etc.) per prestazioni obbligatorie o previste dal Piano dell’Offerta Formativa;

-          Fornitori di cui l’Istituto si avvale (gestore del registro elettronico e delle piattaforme didattiche a distanza, tecnici informatici incaricati della manutenzione, assicurazioni, agenzie di viaggio, tipografie e legatorie, fotografi e cineoperatori etc.);

-          Magistratura e forze di Polizia;

esclusivamente per le finalità istituzionali sopra esposte e nell’ambito di rapporti derivanti da obblighi giuridici e/o da prestazioni fornite da soggetti designati quali “responsabili del trattamento” ex art. 28 del G.D.P.R. o con cui si sono stipulati contratti contenenti clausole standard a tutela della privacy.

Fotografie che ritraggono gli allievi in occasione di attività didattiche afferenti ad attività istituzionali della scuola inserite nel Piano dell’Offerta Formativa, potranno essere esposte nei locali dell’Istituto ed all’interno delle aule per finalità di documentazione di quanto svolto.

I dati relativi agli esiti scolastici potranno essere esposti mediante affissione all’albo della scuola e mediante pubblicazione sul registro elettronico, nei limiti previsti dalle vigenti disposizioni in materia.

Alcuni dati personali e particolari (Certificazioni mediche, Piano Didattico Personalizzato, Profilo Dinamico Funzionale, Piano Educativo Individualizzato etc.) verranno comunicati al Ministero e sue articolazioni e, limitatamente ai dati anagrafici e di contatto, agli Enti Locali interessati al fine dell’erogazione dei servizi di loro competenza (fornitura di personale docente/educatore specializzato, organizzazione del servizio di trasporto, refezione etc.).

Ai sensi dell’Art. 25 bis del DPR 313/2002 i dati anagrafici di chi svolge mansioni a contatto diretto e regolare con minori saranno trasmessi all’ufficio del casellario giudiziale competente al fine di verificare l’assenza di condanne per taluno dei reati di cui agli articoli 600-bis, 600-ter, 600-quater, 600-quinquies e 609-undecies del codice penale, ovvero l’irrogazione di sanzioni interdittive all’esercizio di attività che comportino contatti diretti e regolari con minori.

Nessun dato personale verrà trasferito a destinatari residenti in paesi terzi rispetto all’Unione Europea né ad organizzazioni internazionali con cui non sia stato stipulato alcun contratto contenente clausole standard a tutela della privacy.

Per quanto tempo terrete i miei dati ?

I dati (sia cartacei che digitali) saranno conservati presso l’Istituto per tutto il tempo in cui la prestazione sarà attiva ed in seguito, al termine del percorso scolastico (allievi) o in caso di licenziamento, trasferimento o pensionamento (lavoratori), verrà trattenuto il fascicolo per il periodo di conservazione obbligatorio previsto dalla normativa vigente.

I tempi di conservazione dei dati sono stabiliti dalla normativa di riferimento per le Istituzioni scolastiche individuabile nella Legge 59/1997 (Art. 21), D.P.R. 275/1999, D.P.R. 445/2000, D.Lgs. 42/2004 e Legge 137/2002 (Art. 10).

Dati riferibili a documenti soggetti ad archiviazione illimitata o per 50 anni: contrattazione, verbali di riunioni, registri delle deliberazioni, protocolli, registri dei contratti, dati relativi a procedimenti disciplinari e giurisdizionali, contratti di prestazione d’opera e di assunzione, fascicoli individuali del personale e degli allievi, ordini di servizio, orari di servizio e registro assenze, registri degli stipendi ed altri assegni, liquidazione consulenze,  accertamenti sanitari riferiti a malattie professionali ed infortuni, attestati di aggiornamento del personale, registri di iscrizione/immatricolazione degli allievi, registri generali dei voti e delle valutazioni, dati relativi a borse di studio, elaborati delle prove scritte, grafiche e pratiche per gli esami di Stato, pagelle e dati di scrutinio;

Dati riferibili a documenti soggetti ad archiviazione per 6 anni (con obbligo comunque di conservazione di 1 esemplare a campione): elezione e convocazione organi collegiali, richieste di certificati ed autorizzazioni rispetto all’uso dei locali, elenchi buoni libro e cedole librarie, elenchi servizio mensa, elenchi servizio di trasporto degli allievi, domande di ferie e permessi, copie certificati di servizio, certificati di nascita e vaccinazione e documenti vaccinali in genere, registri delle assenze degli allievi.

Dati riferibili a documenti soggetti ad archiviazione per 1 anno: elaborati delle prove scritte, grafiche e pratiche degli allievi ad esclusione di quelli prodotti per l’esame di Stato (con obbligo comunque di conservazione di 1 annata a campione ogni 10 anni), richieste di accesso e di copie di atti.

Tutta la documentazione di natura contabile-amministrativa è soggetta ad obbligo di conservazione decennale.

Quali sono i miei diritti ?

In qualità di interessato Lei ha diritto di chiedere al Titolare del trattamento o al R.P.D./D.P.O.:

- La conferma che sia o meno in corso un trattamento di dati personali che La riguardano;

- L’accesso ai Suoi dati, la loro rettifica, integrazione o cancellazione (se ne ricorrono i presupposti);

- La limitazione e di opporsi al trattamento dei dati personali che La riguardano (se ne ricorrono i presupposti);

- La portabilità dei dati;

L’interessato ha inoltre diritto a proporre reclamo all’Autorità di controllo dello Stato europeo di residenza, nonché a revocare il consenso al trattamento ai sensi dell’Art. 6 del G.D.P.R.

Chi è il Titolare del trattamento ?

L’Istituto Scolastico nella persona del Dirigente Scolastico pro tempore

Responsabile della protezione dei dati

(R.P.D. / D.P.O.)

Luca Corbellini

c/o Studio AG.I.COM. S.r.l. - Via XXV Aprile, 12 – 20070 SAN ZENONE AL LAMBRO (MI)

e-mail dpo@agicomstudio.it

 

 

DELEGA ALLA VERIFICA DELLE CERTIFICAZIONI VERDI COVID-19 (c.d. “GREEN PASS”) DEGLI STUDENTI TRAMITE APPLICAZIONE VERIFICAC19

PREMESSO CHE

La normativa emergenziale vigente prevede che gli allievi della Scuola Primaria e Secondaria di I e II grado possano, in presenza di più casi di positività, frequentare le lezioni in presenza solamente se si trovano in una di queste condizioni sanitarie:

 

AVER COMPLETATO IL CICLO VACCINALE PRIMARIO (1^ E 2^ DOSE)

ESSERE GUARITO DAL COVID-19 DA MENO DI 120 GIORNI O DOPO AVER CONCLUSO IL CICLO VACCINALE PRIMARIO (1^ E 2^ DOSE)

AVER RICEVUTO LA DOSE DI RICHIAMO (c.d. “BOOSTER”)

 

E che la medesima normativa permette alle Istituzioni Scolastiche la verifica del possesso delle predette condizioni tramite la lettura del codice a barre bidimensionale (IR Code) presente sulla certificazione verde (green pass), utilizzando esclusivamente l’applicazione “VERIFICAC19” che consente unicamente di controllare l’autenticità, la validità e l’integrità della certificazione e di conoscere le generalità dell’intestatario, senza rendere visibili le informazioni che ne hanno determinato l’emissione.

Il datore di lavoro o suo delegato non acquisirà copia della certificazione del dipendente a prescindere dal formato in cui essa viene esibita.

Alla verifica, ai sensi dell’Art. 13 comma 2 lettera c del D.P.C.M. del 17/06/2021 sono deputati “i soggetti titolari dei pubblici esercizi per l’accesso ai quali è prescritto il possesso di certificazione verde, nonché i loro delegati”.

Le disposizioni relative ai green pass non si applicano ai soggetti esenti dalla campagna vaccinale sulla base di idonea certificazione medica rilasciata secondo i criteri definiti con circolare del Ministero della Salute 35309 del 04/08/2021.

 

 

Il/La sottoscritto/a ________________________________________________________________________________

in qualità di “datore di lavoro” dell’ente scrivente, con la presente   

 

DELEGA

 

il/la sig./sig.ra ________________________________________nato/a _______________________ il _____________

dipendente di codesto ente.

 

alla verifica delle certificazioni verdi Covid-19 (rafforzate) emesse dalla Piattaforma nazionale – DGC di cui all’Art. 13 del D.P.C.M. del 17/06/2021.

 

 

La verifica con l’APP “VerificaC19” dovrà essere omessa se l’interessato è in possesso di una certificazione medica di esenzione o differimento della vaccinazione o altro documento previsto dalla normativa vigente sulla cui idoneità dovrà essere consultato il personale amministrativo allo scopo incaricato;

 

Il Delegato dovrà:

 

  • Procedere alla verifica del possesso della Certificazione Verde (rafforzata) da parte del soggetto controllato, mediante l’applicazione “VerificaC19” scaricata su dispositivo mobile o altra apparecchiatura idonea. Sarà possibile consentire l’accesso esclusivamente a coloro che esibiranno una certificazione che darà esito al controllo di colore VERDE o BLU, dopo aver preventivamente configurato la APP per la verifica rafforzata;

 

  • Accertarsi, nel caso in cui nutra dubbi sulla congruità del certificato (ad esempio qualora riportasse un nominativo appartenente ad un genere diverso rispetto a quello del soggetto verificato o una data di nascita palesemente incompatibile con l’età evidente) dell’identità del soggetto controllato richiedendo l’esibizione di documento di identità in corso di validità e verificando la corrispondenza dei dati anagrafici del documento di identità con quelli visualizzati dalla APP “VerificaC19”;

 

 

 

  • Astenersi dal raccogliere i dati dell’intestatario in qualunque forma (fotocopiando il pass o il documento di identità o salvando in formato elettronico lo stesso o ancora facendoselo inviare tramite e-mail, whatsapp o altro applicativo, né richiedere e/o registrare informazioni relative al motivo della validità del green pass (utente vaccinato con ciclo primario, dose di richiamo, guarito da Covid etc.);

 

  • Astenersi dal chiedere a terzi non espressamente delegati, di sostituirlo nelle operazioni di controllo;

 

  • Vietare l’accesso a chi non dovesse esibire il pass o ne esibisse uno che, al controllo, dovesse restituire un esito “ROSSO”.

 

 

Il Delegato dà atto di aver ricevuto da parte del Delegante o di suo sostituto, adeguata assistenza nell’operazione di installazione dell’applicazione “VerificaC19”, adeguata formazione in ordine alla procedura da seguire ed una dimostrazione pratica del suo funzionamento, e di averne ben compreso le modalità di gestione e controllo.

 

Le informazioni relative agli esiti della verifica dei green pass sono riservate e possono essere comunicate soltanto al Titolare del trattamento ed al personale autorizzato;

La verifica deve essere eseguita personalmente dal delegato che si dovrà accertare che durante tale operazione nessuno eccetto il soggetto preposto alla verifica possa venire a conoscenza della posizione di qualunque altro dipendente soggetto a controllo (ad esempio facendo rispettare una distanza di cortesia);

 

La presente lettera di incarico vale quale autorizzazione al trattamento dei dati personali secondo quanto previsto dal Reg. UE 679/2016 (G.D.P.R.) e potrà essere soggetta a future modifiche.

 

               

 

Luogo e Data_________________________________

 

 

Firma Delegante                                                                                         Firma Delegato

______________________________________                                     ___________________________________

INFORMATIVA PRIVACY AGLI ALLIEVI

INTEGRAZIONE CONTROLLO GREEN PASS

[Ver. A090 del 07/02/2022] 

 

                Ad integrazione di quanto già comunicato all’atto della costituzione del rapporto con l’Istituto Scolastico mediante l’informativa di base, in applicazione dell’art. 13 del Regolamento UE 2016/679 (G.D.P.R.), desideriamo informarLa di un nuovo trattamento di dati personali che La potrà interessare:

 

Come avviene il trattamento e per quale finalità saranno trattati i miei dati personali ?

Il trattamento dei dati personali necessari, pertinenti e non eccedenti, avverrà allo scopo ultimo di prevenire e contenere il contagio da SARS-CoV-2, in applicazione di un obbligo legale a cui il Titolare del trattamento è sottoposto nonché di eseguire un compito di interesse pubblico ai sensi dell’Art. 6, paragrafo 1 lettera c) ed e) del Regolamento UE 2016/679. Il trattamento inoltre è necessario per motivi di interesse pubblico rilevante come previsto dall’Art. 9, paragrafo 2, lettera g) del medesimo Regolamento UE.

L’art. 6 comma 5 del D.L. 05 del 04 Febbraio 2022 consente alle istituzioni scolastiche il controllo della condizione sanitaria degli allievi che consente la didattica in presenza, mediante l’applicazione mobile per la verifica delle certificazioni verdi (Green Pass).

Quali dati tratterete al fine di raggiungere le finalità sopra esposte ?

Il Datore di lavoro o il suo delegato, consulterà la schermata dell’applicazione “VerificaC19” che fornirà i seguenti dati: nome, cognome, data di nascita ed esito del controllo (verde, blu o rosso).

Si precisa che la visione dell’esito del controllo (verde, blu o rosso) non consente al soggetto deputato al controllo di visionare le informazioni che hanno determinato tale esito.

Nel caso di verifica “VERDE” o “BLU”, consentirà l’accesso al soggetto senza in alcun modo registrare né conservare tale informazione, nel caso di verifica “ROSSA” invece non consentirà al soggetto di accedere a scuola.

Nel caso in cui il soggetto deputato al controllo (datore di lavoro o suo delegato), nutrisse dubbi sulla congruità del certificato (ad esempio qualora riportasse un nominativo appartenente ad un genere diverso rispetto a quello del soggetto verificato o una data di nascita palesemente incompatibile con l’età evidente) potrà procedere alla verifica dell’identità del soggetto controllato richiedendo l’esibizione di documento di identità in corso di validità e verificando la corrispondenza dei dati anagrafici del documento di identità con quelli visualizzati dalla APP “VerificaC19”;

I miei dati entreranno nella disponibilità di altri soggetti ?

I dati personali relativi al controllo del certificato verde ossia nome, cognome, data di nascita ed esito del controllo (verde, blu o rosso), saranno consultati da parte del Datore di lavoro o del suo delegato a norma di quanto previsto all’Art. 13 comma 2 lettera c) del D.P.C.M. del 17/06/2021 e ss.mm.ii.

Cosa accade se non conferisco i miei dati ?

La mancata esibizione del certificato verde comporterà l’impossibilità di accedere ai locali scolastici salvo che la sussistenza dei requisiti sanitari che consentono la didattica in presenza non venga comprovata mediante la consegna dei documenti giustificativi

Cos’altro devo sapere ?

Per semplicità ed esigenze di brevità la presente rappresenta una integrazione della informativa di base fornita all’atto della costituzione del rapporto, tutte le informazioni relative ai Suoi diritti ed a quanto non espressamente riportato in questo modulo potrà ricavarle dalla lettura dell’informativa citata.

Potrà ottenere inoltre maggiori informazioni contattando il Titolare del trattamento all’indirizzo riportato sulla carta intestata e/o il R.P.D./D.P.O. all’indirizzo e-mail dpo@agicomstudio.it

 

 

 

 

 

 

 

 

 

Descrizione sommaria dell’attività di trattamento

Il trattamento dei dati personali necessari, pertinenti e non eccedenti, avviene allo scopo ultimo di prevenire e contenere il contagio da SARS-CoV-2, in applicazione di un obbligo legale a cui il Titolare del trattamento è sottoposto nonché di eseguire un compito di interesse pubblico ai sensi dell’Art. 6, paragrafo 1 lettera c) ed e) del Regolamento UE 2016/679.

Il trattamento inoltre è necessario per motivi di interesse pubblico rilevante come previsto dall’Art. 9, paragrafo 2, lettera

g) del medesimo Regolamento UE.

Ai sensi dell’Art. 9-ter del D.L. 52/2021 convertito con modificazioni dalla L. 87/2021, introdotto dall’Art. 1 comma 6 del

D.L. 111/2021 nonché dal D.P.C.M. 17/06/2021 ss.mm.ii., a far data dal 01/09/2021 e fino al termine dello stato di emergenza, il Datore di Lavoro o un suo delegato richiede, a chiunque acceda ai locali dell’Istituto (ad eccezione degli studenti), l’esibizione del Certificato Verde (green-pass), consentendo l’accesso esclusivamente a chi, in seguito alla lettura del codice a barre bidimensionale (IR Code) mediante l’applicazione “VerificaC19”, risulta possedere i requisiti di accesso (Codice VERDE o BLU).

Dal 13/09/2021 è stata implementata una nuova funzionalità di verifica automatizzata tramite il Sistema Informativo del Ministero dell’Istruzione SIDI, che interagisce con la Piattaforma nazionale DGC (Digital Green Certificate) del Ministero della Salute, con la finalità di consentire ai Dirigenti Scolastici o loro delegati, il possesso delle certificazioni verdi digitali COVID-19 in corso di validità del personale docente e A.T.A. delle sole scuole statali per consentire agli stessi l’accesso giornaliero nella sede ove prestano servizio.

Vigente dal 05/02/2022 l’art. 6 comma 5 del D.L. 05 del 04 Febbraio 2022 consente alle istituzioni scolastiche il controllo della condizione sanitaria degli allievi che consente la didattica in presenza, mediante l’applicazione mobile per la verifica

delle certificazioni verdi (Green Pass).

 

 

Finalità del trattamento

ADEMPIMENTI VOLTI ALL’APPLICAZIONE DELLE NORME EMERGENZIALI DI CONTENIMENTO DELLA PANDEMIA ADEMPIMENTI VOLTI ALLA MISURAZIONE DELLA TEMPERATURA CORPOREA DI LAVORATORI, UTENTI E VISITATORI AL FINE DELL’IMPEDIMENTO DI ACCESSO AI SOGGETTI CON TEMPERATURA SUPERIORE AI 37,5°C.

ADEMPIMENTI VOLTI AL TRACCIAMENTO DEGLI ACCESSI AI LOCALI DELL’ISTITUTO PER RICOSTRUIRE I CONTATTI ADEMPIMENTI VOLTI AL CONTROLLO DELLA CERTIFICAZIONE VERDE (c.d. GREEN-PASS) E DELLE CERTIFICAZIONI MEDICHE DI NON VACCINABILITA’

ADEMPIMENTI VOLTI AL CONTROLLO DELLE CONDIZIONI SANITARIE CHE PERMETTONO AGLI ALLIEVI LA FRUIZIONE DELLA

DIDATTICA IN PRESENZA

 

 

Fonte dei dati

Raccolti direttamente presso gli interessati

LA TOTALITA’ DEI DATI E’ RACCOLTA DIRETTAMENTE PRESSO GLI INTERESSATI

Raccolti presso terzi

AZIENDA SANITARIA CON RIFERIMENTO ALL’EMERGENZA SANITARIA IN CORSO

MINISTERO DELL’ISTRUZIONE TRAMITE LA PIATTAFORMA SIDI INTERCONNESSA CON LA PIATTAFORMA NAZIONALE DGC

(DIGITAL GREEN CERTIFICATE) DEL MINISTERO DELLA SALUTE (SOLO SCUOLE STATALI)

 

 

Base giuridica

Dati comuni (art. 6 GDPR)

NORMATIVA EMERGENZIALE VIGENTE

Dati particolari (art. 9 GDPR)

NORMATIVA EMERGENZIALE VIGENTE

ART. 9-TER DEL D.L. 52/2021 CONVERTITO CON MODIFICAZIONI DALLA L. 87/2021, INTRODOTTO DALL’ART. 1 COMMA 6 DEL D.L. 111/2021 NONCHÉ DAL D.P.C.M. 17/06/2021 SS.MM.II.

 

 

 

 

 

 

 

Natura dei dati oggetto di trattamento

Comuni

Termine trattamento

 

 

 

 

DATI ANAGRAFICI

 

STATO DELLA CERTIFICAZIONE VERDE

14 GIORNI

 

LO STATO DELLA CERTIFICAZIONE VERDE NON VIENE REGISTRATO NEL CASO IN CUI LO STESSO SIA VERDE O BLU MENTRE VIENE REGISTRATO LO STATO “ROSSO” DEL PERSONALE SCOLASTICO E TENUTO AGLI ATTI NEL FASCICOLO PERSONALE DEL DIPENDENTE A FINI DIMOSTRATIVI VISTE LE CONSEGUENZE SANZIONATORIE ED AMMINISTRATIVE CORRELATE

LO STATO DELLA CERTIFICAZIONE VERDE RELATIVA AGLI

ALLIEVI NON VIENE REGISTRATA

Particolari

Termine trattamento

 

DATI INERENTI ALLO STATO DI SALUTE (POSITIVITA’, NEGATIVIZZAZIONE ETC.)

 

FINO ALLA FINE DELLO STATO DI EMERGENZA

Giudiziari

Termine trattamento

NESSUNO

NESSUNO

Modalità di

trattamento dati

 

I DATI VENGONO TRATTATI IN MODALITA’ MISTA, SIA IN FORMATO CARTACEO CHE ELETTRONICO

Categorie di interessati

DIPENDENTI A TEMPO DETERMINATO E INDETERMINATO, DOCENTI E APPARTENENTI AL PERSONALE A.T.A. ALLIEVI DELL’ISTITUTO E SOGGETTI ESERCENTI LA POTESTA’ SU DI ESSI

VISITATORI DELL’ISTITUTO CHE ACCEDONO AI LOCALI FORNITORI CHE ACCEDONO AI LOCALI

 

Interni

Trattamenti eseguiti

 

 

 

 

 

Autorizzati al trattamento

PERSONALE DELLO STAFF DEL DIRIGENTE SCOLASTICO DIRETTORE DEI SERVIZI GENERALI E AMMINISTRATIVI REFERENTI COVID NOMINATI ED AUTORIZZATI INCARICATI DELLA MISURAZIONE DELLA TEMPERATURA CORPOREA AUTORIZZATI

DELEGATI AL CONTROLLO DELLA CERTIFICAZIONE VERDE TRAMITE APP “VERIFICAC19”

DELEGATI AL CONTROLLO DELLO STATO DELLA CERTIFICAZIONE VERDE TRAMITE IL PORTALE SIDI DEL MINISTERO DELL’ISTRUZIONE INTERCONNESSO CON LA PIATTAFORMA NAZIONALE DGC (DIGITAL GREEN CERTIFICATE) DEL MINISTERO DELLA SALUTE (SOLO SCUOLE

STATALI)

 

 

RACCOLTA                                               RAFFRONTO

REGISTRAZIONE

ORGANIZZAZIONE                                  UTILIZZO

STRUTTURAZIONE                                  INTERCONNESSIONE

CONSERVAZIONE                                    BLOCCO

CONSULTAZIONE                                    COMUNICAZIONE

ELABORAZIONE                                       DIFFUSIONE

SELEZIONE                                                CANCELLAZIONE

ESTRAZIONE                                             DISTRUZIONE

Esterni (Responsabili del Trattamento)

Trattamenti eseguiti

NESSUNO

NESSUNO

 

Strutture entro le quali avviene il trattamento dati

Dati in formato cartaceo

Archiviazione storica dati cartacei

UFFICIO DEL DIRIGENTE SCOLASTICO E SUOI VICE

UFFICIO DEL DIRIGENTE SCOLASTICO E SUOI VICE

Dati in formato elettronico

Archiviazione storica dati elettronici

SERVER DI SEGRETERIA

UNITA’ DI BACK UP DEL SERVER

Software impiegati per il trattamento informatico dei dati in formato elettronico

MICROSOFT OFFICE                                                                                                   REGISTRO ELETTRONICO

Possibili destinatari di attività di comunicazione

Comunicazioni istituzionali

Extra UE

Comunicazioni su base volontaria

Extra UE

AMMINISTRAZIONE SCOLASTICA I.N.A.I.L.

AZIENDA SANITARIA LOCALE / A.T.S. R.S.P.P.

MEDICO COMPETENTE

 

 

NO

 

 

COMPAGNIE DI ASSICURAZIONE

 

 

NO

Informativa

VIENE FORNITA INFORMATIVA SPECIFICA SIA MEDIANTE APPOSIZIONE DI CARTELLONISTICA AL PUNTO IN CUI AVVIENE IL TRATTAMENTO (CONTROLLO TEMPERATURA E CONTROLLO CERTIFICAZIONE VERDE) SIA, NEL CASO DEL CONTROLLO DEL

GREEN-PASS, MEDIANTE PUBBLICAZIONE DI INFORMATIVA DETTAGLIATA SUL SITO ISTITUZIONALE

Profilazione

NON VIENE ATTUATA NESSUNA ATTIVITA’ DI PROFILAZIONE

Frequenza

IL TRATTAMENTO AVVIENE CON FREQUENZA QUOTIDIANA E PER TUTTA LA DURATA DELLO STATO DI EMERGENZA COME

DECISO DAL PARLAMENTO ITALIANO

Valutazione del rischio

TRATTAMENTO

PROBABILITA’ (P)

CONSEGUENZE (C)

LIVELLO DI RISCHIO (R)

GENERALE

POCO PROBABILE

GRAVI

RILEVANTE

REGISTRO ELETTRONICO

POCO PROBABILE

GRAVI

RILEVANTE

 

 

 

 

 

 

 

Valutazione della obbligatorietà della DPIA

L’esito della valutazione dei rischi mostra un livello di rischio ELEVATO per i diritti

e le libertà delle persone fisiche interessate ?

NO

L’attività comporta procedimenti valutativi, di scoring o di profilazione ?

NO

L’attività comporta la presa di decisioni automatizzate che producono

significativi effetti giuridici (ammissioni, assunzioni, concessioni etc.) ?

NO

L’attività comporta il monitoraggio sistematico di persone fisiche

(videosorveglianza ad esempio) ?

NO

L’attività comporta il trattamento di dati particolari, giudiziari o di natura

estremamente personale (es. opinioni politiche) ?

SI

L’attività comporta il trattamento di dati personali su larga scala ?

NO

L’attività comporta la combinazione o il raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo

modalità che esulano dal contesto iniziale (big data) ?

 

NO

L’attività comporta il trattamento di dati relativi a soggetti vulnerabili (minori,

soggetti con patologie psichiatriche, richiedenti asilo, anziani etc.) ?

NO

L’attività comporta utilizzi innovativi o applicazione di nuove soluzioni

tecnologiche o organizzative (riconoscimento facciale ad esempio) ?

NO

L’attività comporta trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati

in una centrale rischi per stabilire la concessione di un finanziamento).

 

NO

SI CONCLUDE LA VALUTAZIONE A FAVORE DELLA NON NECESSITA’ DI ESEGUIRE LA DPIA PER QUESTO TRATTAMENTO

AL FINE DEL CONTENIMENTO DEL RISCHIO SONO ADOTTATE LE SEGUENTI MISURE DI SICUREZZA TECNICHE ED ORGANIZZATIVE:

MISURA DI SICUREZZA

RISCHIO CONTRASTATO

 

E’ adottata una politica di istituto per la sicurezza e la protezione dei dati ed all’interno dell’Istituto sono definiti i ruoli e le responsabilità di ciascuno anche mediante consegna di lettere di

autorizzazione dettagliate

-  Eventi naturali ed agenti fisici (terremoti, incendi, allagamenti etc.);

-  Compromissione delle informazioni (intercettazioni, rivelazione informazioni, infiltrazioni in messaggistica di posta elettronica, etc.);

-  Azioni non autorizzate (errori volontari o involontari, virus, uso non autorizzato di strumentazione, etc.).

 

 

Sono utilizzati software antivirus e firewall

-  Compromissione delle informazioni (intercettazioni, rivelazione informazioni, infiltrazioni in messaggistica di posta elettronica, etc.);

-  Azioni non autorizzate (virus, accessi non autorizzati, utilizzo di supporti non

autorizzati, uso non autorizzato di strumentazione, etc.).

 

 

Vengono attuati i back up con frequenza quotidiana

-  Eventi naturali ed agenti fisici (terremoti, incendi, allagamenti etc.);

-  Problemi tecnici (anomalie e malfunzionamento software, problemi hardware);

- Interruzione servizi (sbalzi di tensione, guasti all’impianto, interruzione collegamenti di rete, etc.);

-  Furto di dati e distruzione volontaria ed involontaria.

 

Sono applicate, da parte del soggetto incaricato dell’amministrazione del sistema informatico, procedure di “disaster recovery” che garantiscono il ripristino dell'accesso ai dati in tempi

ridotti

-  Eventi naturali ed agenti fisici (terremoti, incendi, allagamenti etc.);

-  Problemi tecnici (anomalie e malfunzionamento software, problemi hardware);

-  Interruzione servizi (sbalzi di tensione, guasti all’impianto, interruzione, collegamenti di rete, etc.);

-  Azioni di danneggiamento volontario.

 

 

Sono adottati sistemi di cifratura e anonimizzazione dei dati relativi allo stato di salute delle persone

-  Azioni non autorizzate (errori volontari o involontari, virus, uso non autorizzato di strumentazione, etc.);

-  Compromissione delle informazioni (intercettazioni, rivelazione informazioni, infiltrazioni in messaggistica di posta elettronica, etc.);

-  Furto e sottrazione di dati

 

Sono registrati da parte del soggetto incaricato dell’amministrazione del sistema informatico, i “log-file” al fine

di ricostruire gli accessi ai database

-  Azioni non autorizzate (errori volontari o involontari, uso non autorizzato di strumentazione, supporti etc.);

-  Compromissione delle informazioni (intercettazioni, rivelazione informazioni, infiltrazioni in messaggistica di posta elettronica, etc.).

 

Viene eseguita periodica manutenzione della rete informatica in cui si esegue il trattamento dei dati al fine di controllare periodicamente il funzionamento regolare di antivirus, firewall nonché assicurare l’aggiornamento dei sistemi operativi in uso e di tutti i presidi di sicurezza

attiva

 

 

 

 

- Problemi tecnici (anomalie e malfunzionamento software, problemi hardware).

 

 

I Data Center di cui l’Istituto di serve sono in possesso di certificazione ISO

-  Compromissione delle informazioni (intercettazioni, rivelazione informazioni, infiltrazioni in messaggistica di posta elettronica, etc.);

- Azioni non autorizzate (errori volontari o involontari, virus, uso non autorizzato di strumentazione, etc.);

-  Problemi tecnici (anomalie e malfunzionamento software, problemi hardware).

 

I singoli incaricati vengono formalmente autorizzati al trattamento dei dati ed a ciascuno vengono fornite credenziali personali (nome utente e password) per eseguire l’accesso ai sistemi

informatici

 

-  Azioni non autorizzate (errori volontari o involontari, protezione da virus e malware in genere, uso non autorizzato di strumentazione, etc.);

-  Compromissione delle informazioni (intercettazioni, rivelazione informazioni, infiltrazioni in messaggistica di posta elettronica, etc.);

-  Problemi tecnici (anomalie e malfunzionamento software).

 

Le credenziali di autenticazione fornite ai singoli incaricati sono disattivate in caso di assenza della persona prolungata per oltre 6 mesi

-  Compromissione delle informazioni (intercettazioni, rivelazione informazioni, infiltrazioni in messaggistica di posta elettronica etc. da parte di soggetti non più autorizzati);

-  Azioni non autorizzate (errori volontari o involontari, uso non autorizzato di

strumentazione, etc.).

 

Le credenziali di autenticazione fornite ai singoli incaricati sono disattivate o i profili di accesso sono modificati per colui che, a causa di un cambiamento di mansione, perda la possibilità di

trattare i dati o se la veda modificata

-  Compromissione delle informazioni (intercettazioni, rivelazione informazioni, infiltrazioni in messaggistica di posta elettronica etc. da parte di soggetti non più autorizzati);

-  Azioni non autorizzate (errori volontari o involontari, virus, uso non autorizzato di strumentazione, etc.).

 

I sistemi di autorizzazione prevedono la presenza di diversi profili di autorizzazione, l'individuazione preventiva per incaricato, l'individuazione preventiva per classi omogenee di incaricati, la verifica

almeno annuale dei profili

 

-  Azioni non autorizzate (errori volontari o involontari, virus, uso non autorizzato di strumentazione, etc.);

-  Compromissione delle informazioni (intercettazioni, rivelazione informazioni, infiltrazioni in messaggistica di posta elettronica, etc. eseguita da parte dichi non è più autorizzato a trattare i dati).

 

Le parole chiave (password) fornite sono complesse (lunghe almeno 8 caratteri e formate da lettere e numeri, maiuscole e minuscole) e non sono riferibili a condizioni personali dell’autorizzato.

Le password devono essere modificate la primo accesso e devono essere

cambiate ogni 3 mesi

 

 

-  Compromissione delle informazioni (intercettazioni, rivelazione informazioni, infiltrazioni in messaggistica di posta elettronica, etc.);

-  Azioni non autorizzate (errori volontari o involontari, virus, uso non autorizzato di strumentazione, etc.);

-  Evitare che l’accesso ai dati digitali possa avvenire troppo facilmente.

 

Esclusivamente ai singoli incaricati viene concesso l’accesso ai locali (uffici, sale docenti, archivi, CED etc.) ed agli arredi (cassetti, armadi,

-  Azioni non autorizzate (errori volontari o involontari, virus, uso non autorizzato di strumentazione, etc.);

-  Compromissione delle informazioni (intercettazioni, rivelazione informazioni, infiltrazioni in messaggistica di posta elettronica, etc.);

-  Problemi tecnici (anomalie e malfunzionamento software, problemi hardware);

 

schedari etc.) in cui devono prestare la

loro attività di trattamento

- Evitare che l’accesso ai dati cartacei ed agli elaboratori possa avvenire troppo

facilmente.

 

I locali in cui avviene il trattamento

dati sono dotati di presidi antincendio

- Eventi naturali ed agenti fisici (terremoti, incendi, allagamenti etc.);

 

Le prese di alimentazione elettrica a cui sono connessi gli apparati informatici di rete nonché server ed elaboratori forniscono idonee

garanzie di stabilità

 

-  Problemi tecnici (anomalie e malfunzionamento software, problemi hardware);

- Interruzione servizi (sbalzi di tensione, guasti all’impianto, interruzione collegamenti di rete, etc.).

 

I locali in cui avviene il trattamento dati, al termine dell’attività, vengono chiusi a chiave così come cassetti ed armadi contenenti dati personali, le chiavi sono nella disponibilità di soli

soggetti autorizzati a detenerle

-  Azioni non autorizzate (errori volontari o involontari, virus, uso non autorizzato di strumentazione, etc.);

-  Compromissione delle informazioni (intercettazioni, rivelazione informazioni, infiltrazioni in messaggistica di posta elettronica, etc.);

-  Problemi tecnici (anomalie e malfunzionamento software, problemi hardware).

 

I supporti cartacei contenenti dati personali non più necessari vengono distrutti fisicamente prima della loro

eliminazione

 

- Accesso da parte di soggetti non autorizzati;

 

I supporti magnetici (chiavette, dischi removibili etc.) contenenti dati personali non più necessari vengono distrutti fisicamente prima della loro

eliminazione

 

 

- Accesso da parte di soggetti non autorizzati;

 

Ai singoli utenti autorizzati vengono fornite istruzioni per la custodia e l’uso di supporti removibili

-  Azioni non autorizzate (errori volontari o involontari, virus, uso non autorizzato di strumentazione, etc.);

-  Eventi naturali ed agenti fisici (terremoti, incendi, allagamenti etc.);

-  Perdita, smarrimento, furto.

 

E’ prevista l’organizzazione periodica di corsi di formazione ed interventi informativi volti a fornire nozioni ed a

sensibilizzare il personale autorizzato

-  Azioni non autorizzate (errori volontari o involontari, virus, uso non autorizzato di strumentazione, etc.);

-  Perdita, smarrimento.

 

Il personale autorizzato è soggetto alla vigilanza del Titolare del trattamento e degli altri autorizzati con compiti di coordinamento e direttivi

-  Azioni non autorizzate (errori volontari o involontari, virus, uso non autorizzato di strumentazione, etc.);

-  Furti, danneggiamenti volontari;

-  Uso non autorizzato di supporti personali;

-  Uso illegale di software.

 

 

Tutte le procedure sono oggetto di riesame almeno annuale in occasione dell’audit periodico eseguito dal D.P.O.

-  Azioni non autorizzate (errori volontari o involontari, virus, uso non autorizzato di strumentazione, etc.);

-  Compromissione delle informazioni (intercettazioni, rivelazione informazioni, infiltrazioni in messaggistica di posta elettronica, etc.);

-  Problemi tecnici (anomalie e malfunzionamento software, problemi hardware);

-  Verifica della corretta applicazione delle norme regolamentari.

 

I dati non sono diffusi o comunicati a terzi al di fuori delle specifiche

previsioni normative

- Azioni non autorizzate (errori volontari o involontari, virus, uso non autorizzato di strumentazione, etc.).

 

Sono definiti termini di conservazione e le condizioni di impiego e successiva distruzione dei dati personali trattati

-  Azioni non autorizzate (errori volontari o involontari, virus, uso non autorizzato di strumentazione, etc.);

-  Compromissione delle informazioni (intercettazioni, rivelazione informazioni,

infiltrazioni in messaggistica di posta elettronica, etc.).

 

Ancorché non obbligatoria, su questo trattamento viene eseguita la DPIA (Data Protection Impact Assesment)

-  Compromissione delle informazioni (intercettazioni, rivelazione informazioni, infiltrazioni in messaggistica di posta elettronica, etc.);

-  Azioni non autorizzate (errori volontari o involontari, virus, uso non autorizzato di

strumentazione, etc.).