Ministero dell'Istruzione, dell’Universitàe della Ricerca
                                IS         O COMPRENSIVO         STATALE "P. F.M. MAGNON




                                               REGOLAMENTO  [omissis] 
Glossario

Ai fini del presente regolamento si adottano le seguenti definizioni: RGDP: Regolamento Generale
sulla Protezione dei Dati Personali, Regolamento UE n. 679/2016;Codice Privacy (di seguito anche
Codice): D.lgs. 196/2003e smi
RPD: Responsabile della Protezione dei dati (in inglese  [omissis] );
RPC: Responsabile della Prevenzione della Corruzione e della Trasparenza:
DPIA: Valutazione di impatto sulla protezione dei dati
Privacy by design: Privacy dal momento della sua progettazione. Implica che qualsiasi progetto va realizzatoassumendo
dalla fase iniziale di ideazione misure di protezione di dati personali:
Privacy by default: protezione dei dati per impostazione predefinita, ovvero, misure tecniche ed organizzative che
assicurano soloi dati personali necessari per ogni specifica finalità di trattamento;
Audit Privagy: è una valutazione dei processi interni adottati sul grado di rispetto della normativa vigente del Reg. UEn.
679/2016:
GEPD: Garante Europeo della protezione dei dati:
Accountability: letteralmente “rendere conto”, owero, il Titolare del trattamento deve rendere conto delle azioni
intraprese per garantire che i trattamenti dei dati effettuati all'intemo dell’amrrinistrazione siano conformi ai principi
stabiliti nell’RGDP e nella normativa nazionale di riferimento.
 EDPB: European Data Protection Board Organismo consultivo edindipendente che ha il compito di assicurare la corretta
applicazione della normativa privacy e di fornire consulenza, approfondmenti e pareri in merito al RGPD. Dall’entrata in
vigore del RGPD recepisce, tra le altre, le funzioni del gruppo di lavoro ex Art. 29 (//P29).
 Dati personali: Qualsiasi informazione riguardante una persona fisica identificata o identificabile (vinteressato»): si
considera identificabile la persona fisica che può essere identificata, direttamente o indrettamente, con particolare
riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo
online 0 a uno 0 più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o
sociale;
Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e
applicate a dati personali vinsiemi di dati personali, come laraccolta, la registrazione, l'organizzazione, la strutturazione,
la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante
trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il afronto o l'interconnessione, la limitazione, la
cancellazione o la distruzione:
 Limitazione ditrattamentozil contrassegno dei dati personali conservati conl'obisttivo i limtame il trattamento in futuro;
 Profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali
per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti
riguardantiil rendimentoprofessionale, lasituazione economica, la salute, le preferenze personali.gl interessi l'affidabilità,
il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;
Archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentementedal
datto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico: Pseudonimizzazione:
il trattamento dei dati personali in modo tale che i dati personali non possano più essereattribuiti a un interessato
specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate
separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a
una persona fisica identificata o identificabil
Titolare del trattamento:La persona fisica o giuridica, l'autorità pubblica, il servizio 0 altro organismo che, singolarmente
o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personalisquando le finalità e imezzi di tale
trattamento sono deterrrinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici
applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri; Responsabile                  del
trattamento: persona fisica o giuridica o ente pubblico che tratta i dati per conto del Titolare del trattamento;
Destinatario: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo     che riceve comunicazione di
dati personali, che si tratti o meno di     terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati
personali nell'ambito di una specifica        indagine conformemente al diritto dell'Unione o degli Stati membri non sono
considerate destinatari; il trattamento     di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in
materia di protezione dei dati secondo       le finalità del trattamento;
Terzo: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo     che non sia l'interessato, il titolare del
trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità
diretta del titolare o del responsabile;
Consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato,
con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati
personali che lo riguardano siano oggetto di trattamento;
Violazione dei dati personali (Data breach): la violazione di sicurezza che comporta accidentalmente o in modo illecito la
distruzione, la perdita, la modifica,     la divulgazione   non autorizzata   o l'accesso ai dati personali trasmessi,    conservati   o
comunque trattati;
Dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione
di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
Dati giudiziari: i dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza.
Autorità di controllo: l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51 RGPD;



 TITOLO |                                                              pag.           5
 Finalità e quadro normativo di riferimento                            pag.     |
 Principi e responsabilizzazione                                       pag.     |
 Liceità del trattamento                                               pag.     |
 Informativa                                                           pag.     |
 Informativa per utilizzo di sistemi di videosorveglianza              pag.     |
 Sensibilizzazione e formazione                                        pag.     [9
 TITOLO Il                                                             pag.     |
 Trattamenti operati e personale autorizzato                           pag.     10
 Registro delle attività di trattamento e delle categorie di           pag.     |
 trattamento
 Tipologie di dati trattati                                            pag.     {12
 Trattamento dei dati ex Art. 9 RGPD                                   pag.     {12
 Trattamento di categorie particolari di dati personali                pag.     [13
 necessario per motivi di interesse pubblico rilevante
 Trattamento dei dati del personale                                    pag.     [14
 Pubblicazione web per obblighi di pubblicità legale e                 pag.     16
 trasparenza
 Trattamento dei dati personali effettuato con sistemi di              pag.     {17
 Videosorveglianza
 TITOLO III                                                            pag.     18
 Diritto di accesso alla documentazione, diritto di accesso            pag.     [18
 civico e protezione dei dati personali
 Diritti dell'interessato                                              pag.     [19
 Diritto di accesso                                                    pag.     [19
 Diritto alla rettifica e cancellazione                                pag.     Po
 Diritto alla limitazione                                             pag.      Ro
 Diritto alla portabilità                                             pag.      DI
Diritto       di.   opposizione  e   processo           decisionale | pag.      P1
 automatizzato relativo alle persone
 Modalità di esercizio dei diritti dell'interessato                    pag.     PI
 Indagini difensive                                                    pag.     2
 TITOLO IV                                                             pag.     D2
 Titolare e contitolari                                                pag.     |?
 Funzioni    Strumentali   e Direttore dei Servizi Generali     e      pag.     3
 Amministrativi
 Responsabili del trattamento e sub responsabili                       pag.     P4
Incaricati del trattamento dipendenti del titolare                  pag.       5
Incaricati del trattamento non dipendenti del titolare              pag.       PR6
Responsabile della protezione dei dati personali (RPD)-           | pag.       P6
Data Protection Officer (DPO)
TITOLOV                                                                 pag.   _P7
Misure di sicurezza                                                     pag.   7
 alutazione d'impatto sulla protezione dei dati - DPIA                  pag.   P7
Pubblicazione sintesi della valutazione d'impatto - DPIA                pag.   9
Consultazione preventiva                                                pag.   _P7
Modulistica e procedure                                                 pag.   Bo
Responsabilità in caso di violazione delle disposizioni in              pag.   BO
materia di protezione dei dati personali
 iolazione dei dati personali                                           pag.   po
Modalità di trattamento dei dati personali                              pag.   BO
Istruzioni operative per il trattamento dei dati senza                  pag.   PBI
ausilio di strumenti elettronici
Istruzioni operative per il trattamento dei dati con                    pag.   2
l'ausilio di strumenti elettronici
Regole per la scelta delle parole chiave                                pag.   3
TITOLOVII                                                               pag.   3
Entrata in vigore del regolamento                                       pag.   3
Disposizioni finali                                                     pag.   4



                                                               TITOLO |
                                                               PRINCIPI

Art.1
Finalità e quadro normativo di riferimento
1,        Il presente regolamento disciplina le misure organizzative ed i processi interi di attuazione del Regolamento
 UE n. 679/2016 (RGPD) ai fini del trattamento di dati personali per finalità istituzionali nel <nome breve istituto».
2.       Ai fini del presente regolamento, per funzioni istituzionali si intendono quelle:
 a)          previste dalla legge, dal Piano Triennale dell'Offerta Formativa (PTOF), dai regolamenti e da attiamministrativi
 generali;
 b)          esercitate in attuazione di convenzioni, accordi nonché sulla base degli strumenti di programmazione                   e
 pianificazione previsti dalla legislazione vigente;
 c)       svolte per l'esercizio dell'autonomia organizzativa, amministrativa e finanziaria dell'istituto;
 d)       in esecuzione di un contratto con i soggetti interessati, qualora stipulato in relazione alle proprie finalità e
 compiti istituzionali.
3.         Il titolare garantisce che il trattamento dei dati, a tutela delle persone fisiche, si svolga nel rispetto dei dirittie
 delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità
 personale e al diritto alla protezione dei dati personali, a prescindere dalla loro nazionalità o dalla loro residenza. Il
 titolare, nell'ambito delle sue funzioni, gestisce gli archivi e le banche dati rispettando i diritti, le libertà fondamentali e
 la dignità delle persone, con particolare riferimento alla riservatezza e all'identità personale. Ai fini della tutela dei diritti
 e delle libertà delle persone fisiche in ordine al trattamento dei dati personali, tutti i processi, inclusi i procedimenti
 amministrativi di competenza        del titolare, vanno   gestiti conformemente     alle disposizioni del Codice, del RGPD,    e del
 presente Regolamento.
4.       Il presente Regolamento tiene conto dei seguenti documenti:
 a)          Codice in materia di dati personali (D.lgs. n.196/2003);
 b)          Linee guida e raccomandazioni del Garante;
 c)          RGPD   UE 679/2016    del Parlamento   europeo   e del Consiglio, del 27 aprile 2016,   relativo alla protezione   delle
 persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la
 direttiva 95/46/CE;
 d)        Legge 25 ottobre 2017, n. 163 (art.13), recante la delega per l'adeguamento della normativa nazionale alle
 disposizioni del RGPD (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione
 delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che
 abroga la direttiva 95/46/CE;
 e)          D.Igs. n. 101/2018 di adeguamento della normativa interna al RGPD;
f)           Dichiarazioni del gruppo di lavoro articolo 29 sulla protezione dei dati (WP29) - 14/EN;
  8)      Linee-guida sui responsabili della protezione dei dati (RPD) - WP243 Adottate dal Gruppo di lavoro Art. 29 il 13
  dicembre 2016;
  h)      Linee-guida sul diritto alla "portabilità dei dati" - WP242 Adottate dal Gruppo di lavoro Art. 29 il 13 dicembre
  2016;
  i)       Linee-guida per l'individuazione dell'autorità di controllo capofila in rapporto a uno specifico Titolare o
   Responsabile del trattamento - WP244 adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016;
  j)       Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un
  trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679 - WP248 adottate dal Gruppodi
  lavoro Art. 29 il 4 aprile 2017;
 k)      Linee guida elaborate        dal Gruppo Art. 29 in materia di applicazione e definizione delle sanzioniamministrative -
  WP253 adottate dal Gruppo di         lavoro Art. 29 il 3 ottobre 2017;
  I)     Linee guida elaborate          dal Gruppo Art. 29 in materia di processi decisionali automatizzati e profilazione -
  WP251 Adottate dal Gruppo di        lavoro Art. 29 il 6 febbraio 2018;
  m)     Linee guida elaborate         dal Gruppo Art. 29 in materia di notifica delle violazioni di dati personali (data breach
  notification) - WP250 Adottate dal Gruppo di lavoro Art. 29 il 6 febbraio 2018;
  n)          Parere del WP29 sulla limitazione della finalità - 13/EN WP 203;
  O)          Norme internazionali relative alla Protezione dei Dati Personali;
  p)          Regolamenti interni, approvati dai titolari e/o dai responsabili.

  Art. 2
  Principi e responsabilizzazione
Vengono integralmente recepiti, nell'ordinamento interno del titolare, i principi del RGPD, per effetto dei quali i dati
personali sono:
   a)      trattati in modo lecito, corretto e trasparente nei confronti dell'interessato ("liceità, correttezza e
   trasparenza");
   b)       raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia
   incompatibile con tali finalita; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse,
                                                                                                                              di
   ricerca scientifica o storica o a fini statistici non è considerato incompatibile con le finalità iniziali ("limitazionedella
  finalità");
  c)          adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità perle quali sono trattati base del principio
  di "minimizzazione dei dati";
  d)     esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare orettificare
  tempestivamente i dati inesatti rispetto alle finalita perle quali sono trattati base del principio di "esattezza";
  e)     conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al
  conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a
  condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica
  o a fini statistici, conformemente all'articolo 89, paragrafo 1 RGPD, fatta salva l'attuazione di misure tecniche e
  organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato in base al
  principio di "limitazione della conservazione”;
 f)        trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante
  misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal
  danno accidentali in base ai principi di "integrità e riservatezza";
  8)       configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderneil
  trattamento quando le finalità possano essere perseguite mediante dati anonimi o con l'uso di opportune modalitàche
  permettono di identificare l'interessato solo un caso di necessità ("principio di necessità").
Il titolare è competente      per il rispetto dei principi sopra declinati, ed è in grado di comprovarlo in base al principio di
accountability.

Art.3
Liceità del trattamento
Vengono integralmente recepiti, nell'ordinamento interno del titolare, le disposizioni del RGPD in ordine alla liceità
del trattamento      e, per l'effetto, il trattamento   è lecito solo se e nella misura   in cui ricorre almeno   una   delle seguenti
condizioni:
  a)       l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
  b)       il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure
  precontrattuali adottate su richiesta dello stesso;
  c)       il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il Titolare del trattamento;
  d)       il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
  e)       il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di
  pubblici poteri di cui è investito il Titolare del trattamento.
   f)        il trattamento è necessario per il perseguimento del legittimo interesse del Titolare del trattamento o di
    terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la
    protezione dei dati personali, in particolare se l'interessato è un minore.
 La lettera f) non si applica al trattamento di dati effettuato dal titolare nell'esecuzione dei propri compiti e funzioni. Laddove
il trattamento per una finalità diversa da quella perla quale i dati personali sono stati raccolti non sia basatosul consenso
dell'interessato o su un atto legislativo dell'Unione o degli Stati membri che costituisca una misura necessaria e
proporzionata per la salvaguardia degli obiettivi di cui all'articolo 23, paragrafo 1 RGPD, al fine diverificare se il
trattamento per un'altra finalità sia compatibile con la finalità per la quale i dati personali sono statiinizialmente raccolti,
il Titolare tiene conto, tra l'altro:
   a)         di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell'ulteriore trattamento
   previsto;
   b)         del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato
   e il Titolare del trattamento;
   c)         della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi
   dell'art. 9 del RGPD, oppure se siano trattati dati relativia condanne penali e a reati ai sensi dell'articolo 10 del medesimo
   RGPD;
   d)        delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati;
   e)        dell'esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.

Art. 4 Informativa
 Il titolare, precedentemente all’inizio delle procedure di Trattamento dei dati personali o comunque al primo istante utile
successivamente allo stesso, è tenuto a fornire all'interessato, anche avvalendosi del personale incaricato, apposita
informativa secondo le modalità previste dagli Artt. 13 e 14 RGPD, in forma concisa, trasparente, intelligibile e facilmente
accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinatespecificamente ai minori.
L'informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico, soprattutto nelcontesto di
servizi   online,   anche   se sono     ammessi   altri   mezzi,   potendo   essere   fornita   anche   oralmente,   ma   nel   rispetto   delle
caratteristiche di cui sopra. L'informativa è fornita, mediante idonei strumenti:
   -         attraverso appositi moduli da consegnare agli interessati. Nel modulo sono indicati i soggetti a cui l'utente può
   rivolgersi per ottenere maggiori informazioni ed esercitare i propri diritti, anche al fine di consultare l'elenco aggiornato
   dei responsabili;
   -         avvisi agevolmente visibili dal pubblico, posti nei locali di accesso delle strutture del titolare, nelle sale d'attesa
   e in altri locali in cui ha accesso l'utenza o diffusi nell'ambito di pubblicazioni istituzionali e mediante il sito internet del
   titolare;
   -          apposita avvertenza inserita nei contratti ovvero nelle lettere di affidamento di incarichi del personale
   dipendente, dei soggetti con i quali vengono instaurati rapporti di collaborazione o libero-professionali, dei tirocinanti,
   dei volontari, degli stagisti ed altri soggetti che entrano in rapporto con il titolare.;
   -         resa in sede di pubblicazione dei bandi, avvisi, lettere d'invito, con l'indicazione dell'incaricato del trattamento
   dei dati relativi alle procedure.
L'informativa da fornire agli interessati può essere fornita anche in combinazione con icone standardizzate per dare, in
modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d'insieme del trattamento previsto. Se presentate
elettronicamente, le icone sono leggibili da dispositivo automatico.
L'informativa contiene il seguente contenuto minimo:
  -        l'identità e dati di contatto del titolare e, ove presente, del suo rappresentante;
   -         i dati di contatto del RPD/DPO ove esistente;
   -         le finalità del trattamento;
   -         i destinatari dei dati;
   -         la base giuridica del trattamento;
   -         l'interesse legittimo del titolare se quest'ultimo costituisce la base giuridica del trattamento;
   -         se il titolare trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti;
   -         il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione;
   -         il diritto dell'interessato di chiedere al titolare l'accesso, la rettifica, la cancellazione dei dati, la limitazione del
   trattamento che lo riguarda, il diritto di opporsi al trattamento e il diritto alla portabilità dei dati;
   -         il diritto di presentare un reclamo all'autorità di controllo;
   -         l'esistenza di un processo decisionale automatizzato, compresa la profilazione, e le informazioni significative
   sulla logica utilizzata nonché l'importanza e le conseguenze di tale trattamento per l'interessato.
Nel caso di dati personali non raccolti direttamente presso l'interessato:
   a)        il titolare deve informare l'interessato in merito a:
   -         le categorie di dati personali trattati;
   -         la fonte da cui hanno origine i dati personali e l'eventualità che i dati provengano                    da fonti accessibili al
   pubblico.
   b)     l'informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta,
   oppure dal momento della comunicazione (e non della registrazione) dei dati a terzi o all'interessato.
Un’ informativa generale deve essere fornita alle famiglie in occasione delle iscrizioni relativamente ai trattamenti di dati
personali operati dalla scuola per il conseguimento delle proprie finalità istituzionali.
Peri trattamenti dei dati connessi alla gestione del rapporto di lavoro con il personale dipendente del titolare èpredisposta
apposita informativa per personale dipendente.
Apposite informative devono essere inserite nei seguenti documenti:
   _       nei bandi e nella documentazione di affidamento dei contratti pubblici;
   _        nei contratti, accordi o convenzioni;
   _        nei bandi di concorso pubblico;
   -        nelle segnalazioni di disservizio e, più in generale, in ogni altro documento contenente dati personali.
Nel fornire l'informativa, il titolare fa espresso riferimento alla normativa che prevede gli obblighi o i compiti in basealla
quale è effettuato il trattamento dei dati sensibili e giudiziari.

  Art. 5
  Informativa per utilizzo di sistemi di videosorveglianza
   1. Nel caso di utilizzo di sistemi di videosorveglianza per finalità di sicurezza degli edifici, gli interessati devono essere
   sempre   informati che stanno         per accedere in una zona videosorvegliata; ciò anche nei casi di eventi e in occasione di
   spettacoli pubblici (es. concerti, manifestazioni sportive).
   2. A tal fine può essere utilizzato un modello di informativa semplificata che poi rinvii a un testo contenente tutti gli
   elementi completi di cui all’articolo precedente, disponibile agevolmente senza oneri per gli interessati, sia sul sito
   internet dell’amministrazione.
   3. In ogni    caso   il Titolare,   anche   per il tramite   di un   incaricato,   ove   richiesto   è tenuto   a fornire   anche   oralmente
   un'informativa adeguata, contenente gli elementi individuati dall’articolo precedente.
   4. || supporto con l’informativa:
   -         deve essere collocato prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non
   necessariamente a contatto con gli impianti;
   -        deve avere un formato              ed un posizionamento tale da essere chiaramente visibile in ogni condizione                     di
   illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario nottumo;
   -        può inglobare un simbolo o una stilizzazione di esplicita e immediata comprensione, eventualmente
   diversificati al fine di informare se le immagini sono solo visionate o anche registrate.

Art. 6
Sensibilizzazione e formazione
Ai fini della corretta e puntuale applicazione della disciplina relativa ai principi, alla liceità del trattamento, al consenso,
all'informativa e, più in generale, alla protezione dei dati personali, il titolare sostiene e promuove, all'interno della propria
struttura organizzativa, ogni strumento di sensibilizzazione che possa consolidare la consapevolezza del valore della
riservatezza dei dati, e migliorare la qualità del servizio.
A tale riguardo, il presente regolamento riconosce che uno degli strumenti essenziali di sensibilizzazione è l'attività
formativa del personale del titolare e l'attività informativa diretta a tutti coloro che hanno rapporti con il titolare.
Per garantire la conoscenza capillare delle disposizioni del presente Regolamento, al momento dell'ingresso in servizio è
data a ogni dipendente una specifica comunicazione, con apposita clausola inserita nel contratto di lavoro, contenente
tutti i principi fondamentali della materia, esposti in maniera semplice, chiara e puntuale, con i riferimenti per l'acquisizione
del presente Regolamento, pubblicato sul sito del Titolare. Il dipendente si impegna ad acquisire copia del Regolamento,
prenderne visione ed attenersi alle sue prescrizioni.
Il titolare organizza, nell'ambito della formazione continua e obbligatoria del personale, specifici interventi di
formazione e di aggiornamento, anche integrati con gli interventi di formazione anticorruzione, in materia di protezione dei
dati personali, finalizzati alla conoscenza delle norme, alla prevenzione di fenomeni di abuso eillegalità nell'attuazione della
normativa, all'adozione di idonei modelli di comportamento e procedure di trattamento, alla conoscenza delle misure di
sicurezza per il trattamento e la conservazione dei dati, dei rischi individuati e dei modi per prevenire danni agli interessati.
La formazione in materia di prevenzione dei rischi di violazione dei dati personali viene integrata e coordinata, a cura del
RPC, con la      formazione in materia di prevenzione della corruzione e della illegalità nonché con la formazione in tema di
trasparenza       e di accesso, con particolare riguardo ai rapporti tra protezione dei dati personali, trasparenza accesso ai
documenti       amministrativi e accesso civico, semplice e generalizzato, nei diversi ambiti in cui opera il titolare.
L'attività di   formazione del personale dovrà essere documentata nel registro della formazione tenuto dall’istituto.
                                                                  [omissis] TRATTAMENTO DEI DATI PERSONALI

   Art. 7
   Trattamenti operati e personale autorizzato
Il titolare tratta i dati personali per lo svolgimento delle proprie finalità istituzionali, come identificate da disposizioni di
legge, statutarie e regolamentari, e nei limiti imposti dal Codice, dal RGPD e dalle Linee guida e dai provvedimenti del
Garante.
Il titolare effettua i trattamenti di dati personali, previsti da disposizioni legislative e regolamentari riguardanti, a titolo
esemplificativo e non esaustivo:
   -         Per la gestione delle attività didattico-formative e di valutazione comprese quelle propedeutiche all’avvio
   dell’ano scolastico , quelle socio-assistenziali e qualunque altra prevista nel Piano Triennale dell'Offerta Formativa
   -         Per la gestione del personale dipendente, ivi comprese le procedure di assunzione; la gestione dei soggetti che
   intrattengono rapporti giuridici con il titolare, diversi dal rapporto di lavoro dipendente, e che operano aqualsiasi titolo
   all'intemo della struttura organizzativa del titolare, ivi compresi gli stagisti, tirocinanti e i volontari;
   -         Per la gestione dei rapporti con i consulenti, i libero-professionisti, i fornitori per l'approvvigionamento di beni e
   di servizi nonché con le imprese per l'esecuzione lavori, opere e di interventi di manutenzione;
   -         Perla gestione dei rapporti con i soggetti accreditati o convenzionati per i servizi socio-assistenziali;
   -         Perla gestione dei rapporti con la Procura della Repubblica e gli altri soggetti pubblici competenti, perle attività
   ispettive di vigilanza, di controllo e di accertamento delle infrazioni alle leggi e regolamenti.
Il trattamento dei dati personali è esercitabile, all'interno della struttura organizzativa del titolare, solo da parte dei
soggetti appositamente autorizzati. A tal fine il dirigente scolastico , titolare del trattamento, ha istituito le seguenti                    unità
organizzative autorizzate al trattamento cui deve essere assegnato tutto il personale in servizio:
  -        Personale docente
  -        Personale amministrativo e DSGA
  -        Assistenti tecnici
  -        Collaboratori scolastici

  Art. 8
   [omissis] ività di trattamento
Il titolare   del   trattamento   istituisce   un   registro,   in forma   scritta,   delle   attività   di trattamento   e   delle    categorie      di
trattamenti svolte sotto la propria responsabilità.
Il registro deve essere continuamente aggiornato e messo a disposizione delle autorità di controllo. Tale
registro contiene le seguenti informazioni:
    -        il nome e i dati di contatto del Titolare del trattamento, del Responsabile per la protezione                            dei dati, dei
    responsabili e degli incaricati;
    -        le finalità del trattamento;
  -           una descrizione delle categorie di interessati e delle categorie dei dati personali;
  -           le categorie dei trattamenti effettuati;
  -           le categorie di destinatari, a cui i dati personali sono o saranno comunicati;
  -       l'indicazione delle cautele specifiche, a cui ciascun  [omissis] endere in modo che siano
  appropriate rispetto ai trattamenti verso cui dovra rispondere;
  -       un'eventuale possibilità di trasferimenti di dati all'estero;
  -       una descrizione generale delle misure di sicurezza, generiche e specifiche, così come disciplinate dallanormativa
  vigente in tema di sicurezza dei dati personali;
  -       indicazione dei termini ultimi previsti per la cancellazione delle diverse categorie di dati trattati;
  -       un elenco dei processi di trattamento effettuati da ciascuna area funzionale dell’istituto.
Il responsabile di trattamento tiene registro di tutte le categorie di attività relative al trattamento svolte per conto diun
titolare del trattamento, contenente:
  a)      il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento
  per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del
  responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
  b)      le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  c)      ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale,
  compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo
  comma dell'articolo 49, la documentazione delle garanzie adeguate;
  d)      ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32,
   paragrafo1 RGPD.
| registri sono tenuti in forma scritta, anche in formato elettronico.
Su richiesta, il titolare del trattamento o il responsabile del trattamento, mettono il registro a disposizione del Garante. Il
presente documento costituisce integrazione e completamento del registro dei trattamenti.

Art. 9
Tipologie di dati trattati
Nell'ambito dei trattamenti inclusi nell'indice dei trattamenti,      il titolare, nell'esercizio delle sue funzioni istituzionali,tratta
in modo anche automatizzato, totalmente o parzialmente, le seguenti tipologie di dati:
   -      dati comuni identificativi
   -        dati ex Art. 9 RGPD
   -        dati ex Art. 10 RGPD


   Art. 10
   Trattamento dei dati ex Art. 9 RGPD
Il titolare conforma il trattamento dei Dati Personali “particolari” ex Art. 9 RGPD secondo modalità volte a prevenire
violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato. A tale fine, il titolare applica i principi del
   1.       È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose
   o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo
   univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale       della persona.
  2.        Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
   a)       l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o piùfinalità
   specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il
   divieto di cui al paragrafo 1;
   b)       il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o
   dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia
   autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del dirittodegli Stati membri,
   in presenza di garanzie appropriate peri diritti fondamentali e gli interessi dell'interessato;
   c)       il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora
   l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;
   d)       il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione,
   associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a
   condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con
   la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati
   all'esterno senza il consenso dell'interessato;
   e)       il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;
  f)        il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le
   autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
   8)       il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli
   Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei
   dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;
   h)       il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità
   lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari
   o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della
   sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
   i)        il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la
protezione da gravi minacce perla salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza
dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri           che
prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto
professionale;
  j)       il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini
  statistici in conformità dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, che           è proporzionato
  alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche
  per tutelare i diritti fondamentali e gli interessi dell'interessato.

Il trattamento dei dati sensibili e giudiziari dovrà avvenire nel rispetto del Decreto 7 dicembre 2006, n. 305 del Ministero
dell'Istruzione dal titolo “Regolamento recante identificazione dei dati sensibili e giudiziari trattati e delle relative
operazioni effettuate dal Ministero della pubblica istruzione, in attuazione degli articoli 20 e 21 del decreto legislativo 30
giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali»”
Il titolare sensibilizza, forma e aggiorna i dipendenti in ordine al trattamento di questa tipologia di dati personali.

  Art. 11
  Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante
  1.      | presupposti di liceità di cui all’Art 9, comma g) del presente regolamento sono regolati dall’Art. 2-sexies del
  Codice Privacy.
 2.       I trattamenti delle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, del RGPD, necessari per
  motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo            articolo, sono ammessi     qualora
  siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o, neicasi previsti
  dalla legge, di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le
  operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i
  diritti fondamentali e gli interessi dell'interessato.
 3.         Fermo quanto previsto dal comma 2, si considera rilevante l'interesse pubblico relativo a trattamenti effettuati
  da soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri nelle seguenti materie:
  a)        accesso a documenti amministrativi e accesso civico;
  b)       tenuta degli atti e dei registri dello stato civile, delle anagrafi della popolazione residente in Italia e dei cittadini
  italiani residenti all'estero, e delle liste elettorali, nonché rilascio di documenti di riconoscimento o di viaggioo
  cambiamento delle generalità;
  c)       tenuta di registri pubblici relativi a beni immobili o mobili;
  d)       tenuta dell'anagrafe nazionale degli abilitati alla guida e dell'archivio nazionale dei veicoli;
  e)        cittadinanza, immigrazione, asilo, condizione dello straniero e del profugo, stato di rifugiato;
 f)      elettorato attivo e passivo ed esercizio di altri diritti politici, protezione diplomatica e consolare, nonché
  documentazione delle attività istituzionali di organi pubblici, con particolare riguardo alla redazione di verbali e resoconti
  dell’attività di assemblee rappresentative, commissioni e di altri organi collegiali o assembleari;
  8)     esercizio del mandato degli organi rappresentativi, ivi compresa la loro sospensione o il loro scioglimento,
  nonche l'accertamento delle cause di ineleggibilità, incompatibilità o di decadenza, ovvero di rimozione o sospensione
  da cariche pubbliche;
  h)       svolgimento delle funzioni di controllo, indirizzo politico, inchiesta parlamentare o sindacato ispettivo e
  l'accesso a documenti riconosciuto dalla legge e dai regolamenti degli organi interessati per esclusive finalità
  direttamente connesse all'espletamento di un mandato elettivo;
  i)       attività dei soggetti pubblici dirette all'applicazione, anche tramite i loro concessionari, delle disposizioni in
  materia tributaria e doganale;
  j)        attività di controllo e ispettive;
 k)         concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumentie
  abilitazioni;
 I)         conferimento di onorificenze e ricompense, riconoscimento della personalità giuridica di associazioni,
   fondazioni ed enti, anche di culto, accertamento dei requisiti di onorabilità e di professionalità per le nomine, peri profili
    di competenza del soggetto pubblico, ad uffici anche di culto e a cariche direttive di persone giuridiche, imprese e di
  istituzioni scolastiche    non   statali, nonché   rilascio e revoca   di autorizzazioni   o abilitazioni,   concessione   di patrocini,
  patronati e premi di rappresentanza, adesione a comitati d'onore e ammissione a cerimonie ed incontri istituzionali;
  m)       rapporti tra i soggetti pubblici e gli enti del terzo settore;
  n)        obiezione di coscienza;
  0)        attività sanzionatorie e di tutela in sede amministrativa o giudiziaria;
  p)        rapporti istituzionali con enti di culto, confessioni religiose e comunità religiose;
  q)        attività socio-assistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti e incapaci;
  r)        attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria          o sociale, ivi
  incluse quelle correlate ai trapianti d'organo e di tessuti nonché alle trasfusioni di sangue umano;
  s)        compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e
  sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità
  fisica;
  t)        programmazione,        gestione,      controllo   e valutazione     dell'assistenza      sanitaria,   ivi incluse   l'instaurazione,    la
  gestione, la pianificazione e il controllo dei rapporti tra l'amministrazione ed i soggetti accreditati o convenzionati con il
  servizio sanitario nazionale;
  u)       vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione
  di medicinali e di altri prodotti di rilevanza sanitaria;
  v)       tutela sociale della matemità ed interruzione volontaria della gravidanza, dipendenze, assistenza, integrazione
  sociale e diritti dei disabili;
  W)        istruzione e formazione      in ambito scolastico ,     professionale, superiore o universitario;
  x)        trattamenti     effettuati   a fini    di archiviazione   nel    pubblico    interesse     o di ricerca      storica,     concernenti   la
  conservazione, l'ordinamento e la comunicazione dei documenti detenuti negli archivi di Stato negli archivi storici degli
  enti pubblici, o in archivi privati dichiarati di interesse storico particolarmente importante, per fini di ricerca scientifica,
  nonché per fini statistici da parte di soggetti che fanno parte del sistema statistico nazionale (Sistan);
  y)       instaurazione, gestione ed estinzione, di rapporti di lavoro di qualunque tipo, anche non retribuito 0 onorario,
  e di altre forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza e assistenza, tutela
  delle minoranze e pari opportunità nell'ambito dei rapporti di lavoro, adempimento degli obblighi retributivi, fiscali e
  contabili, igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, accertamento della responsabilità civile,
  disciplinare e contabile, attività ispettiva.
 4.         Peri dati genetici, biometrici e relativi alla salute il trattamento avviene comunque nel rispetto di quanto previsto
  dall'articolo 2-septies del Codice Privacy.

  Art. 12
  Trattamento dei dati del personale
Il titolare tratta i dati, anche ex Art. 9 0 10 RGPD, dei propri dipendenti per le finalità, considerate di rilevante interesse
pubblico, di instaurazione e di gestione di rapporti di lavoro di qualunque tipo.
Tra tali trattamenti sono compresi quelli effettuati al fine di accertare il possesso di particolari requisiti previsti per l'accesso
a specifici impieghi, la sussistenza dei presupposti per la sospensione o la cessazione dall'impiego o dal servizio, di
adempiere agli obblighi connessi alla definizione dello stato giuridico od economico del personale, nonché ai relativi
obblighi retributivi, fiscali e contabili, relativamente al personale in servizio o in quiescenza.
Secondo la normativa vigente, il titolare adotta le massime cautele nel trattamento di informazioni personali del proprio
personale dipendente che siano idonee a rivelare lo stato di salute, le abitudini sessuali, le convinzioni politiche, sindacali,
religiose filosofiche o d'altro genere e l'origine razziale ed etnica.
Il trattamento dei dati sensibili del dipendente, da parte del datore di lavoro, deve avvenire secondo i principi di necessità
e di indispensabilità che impongono di ridurre al minimo l'utilizzo dei dati personali, e quando non si possa prescindere
dall'utilizzo dei dati giudiziari e sensibili, di trattare solo le informazioni che si rivelino indispensabili perla gestione del
rapporto di lavoro.
La pubblicazione delle graduatorie di selezione del personale o relative alla concessione, liquidazione, modifica e revoca
di benefici economici, agevolazioni, elargizioni, deve essere effettuata dopo un'attenta verifica che le indicazioni
contenute non comportino la divulgazione di dati idonei a rivelare lo stato di salute, utilizzando diciture generiche o codici
numerici.
Non sono infatti ostensibili, se non nei casi previsti dalla legge, le notizie concernenti la natura                      delle infermità e degli
impedimenti personali o familiari che causino l'astensione del lavoro, nonché le componenti della                        valutazione o le notizie
concementi il rapporto di lavoro tra il personale dipendente e l'amministrazione, idonee                                  a rivelare talunadelle
informazioni di natura sensibile.
Il titolare, nel trattamento dei dati sensibili relativi alla salute dei propri dipendenti, deve rispettare               i principi di necessità e
indispensabilità.
gestione del rapporto di lavoro in ambito pubblico.

  Art. 13
  Pubblicazione web per obblighi di pubblicità legale e trasparenza
  1.        L'Istituto effettua    il trattamento     di dati personali,    contenuti    in atti e documenti        amministrativi,     che devono
  essere pubblicati all’albo on line per obblighi di pubblicità legale ed in Amministrazione Trasparente per obblighi di
  trasparenza previsti dal D. Lgs. n. 33/2013.
  2.      I documenti di cui al comma             1 sono pubblicati tempestivamente sul sito istituzionale dell’amministrazione e
   vanno mantenuti aggiornati.
  3.        Non   possono      essere    resi intelligibili i dati non      necessari,   eccedenti      o non     pertinenti    con     la finalità di
  pubblicazione.
  4.        I dati particolari idonei a rivelare origine razziale ed etnica, convinzioni religiose, filosofiche o di altro genere,
  opinioni politiche, adesione a partiti, sindacati, associazioni e organizzazioni a carattere filosofico, politico 0 sindacale
  possono essere diffusi solo se indispensabili; i dati particolari relativi alla vita sessuale non possono essere diffusi per
  finalità di trasparenza, fatto salvo quanto previsto dall’Art. 9, comma 2 g) del presente regolamento. Qualora si rendesse
  necessario un trattamento dati di questo tipo, è necessario richiedere il parere del RPC e del RPD preventivamente
  all’inizio delle attività di trattamento.
 5.          I dati particolari idonei a rivelare lo stato di salute non devono essere diffusi.
 6.           I dati vanno pubblicati in formato di tipo aperto ai sensi dell’art. 68, D. Lgs. n. 82/2005 e sono liberamente
  riutilizzabili secondo la normativa vigente.
 7.           I dati personali diversi dai dati sensibili e dai dati giudiziari devono essere pubblicati all’albo on line per il tempo
  necessario ad assolvere agli obblighi di pubblicità legale (di norma 15 giorni se non previsto esplicitamente altro termine).
   I dati edi documenti pubblicati all'albo non possono essere oggetto di indicizzazione da parte dei motori di ricerca.
 3.           I dati personali diversi dai dati sensibili e dai dati giudiziari devono essere pubblicati in amministrazione
  trasparente per assolvere agli obblighi di pubblicità legale previsti dal D. Lgs 33/2013. | dati ed i documenti pubblicati
  all’albo devono consentire l’indicizzazione e la rintracciabilità tramite i motori di ricerca web.
 9.           | dati, le informazioni e i documenti di cui al comma 8, sono pubblicati per un periodo di 5 anni, decorrenti dal1°
  gennaio dell’anno successivo a quello dell’obbligo di pubblicazione.
  10.      Deroghe alla predetta durata temporale quinquennale sono previste:
  a)       nel caso in cui gli atti producono ancora i loro effetti alla scadenza dei cinque anni, con la conseguenza chegli
  stessi devono rimanere pubblicati fino alla cessazione della produzione degli effetti;
  b)       per alcuni dati e informazioni riguardanti i titolari di incarichi politici, di carattere elettivo o comunque di esercizio
  di poteri di indirizzo politico, di livello statale regionale e locale ai sensi dell’art. 14, comma    2, D. Lgs. n. 33/2013 e   i titolari
  di incarichi dirigenziali e di collaborazione o consulenza che devono rimanere pubblicati online per itre anni successivi
  dalla cessazione del mandato o dell’incarico ai sensi dell’art. 15, comma          4, D. Lgs. n. 33/2013;
  c)        nel caso in cui siano previsti diversi termini dalla normativa in materia di trattamento dei dati personali.
  11.       I dati personali devono essere conservati, in ogni caso, per un periodo di tempo non superiore a quello
  necessario agli scopi peri quali essi sono stati raccolti o successivamente trattati; l'interessato ha sempre diritto di
  ottenere la cancellazione dei dati personali di cui non è necessaria la conservazione in relazione agli scopi peri quali sono
  stati raccolti o successivamente trattati.
  12.       Il titolare si impegna a emanare delle linee guida specifiche relative alla pubblicazione di documenti

  Art. 14
  Trattamento dei dati personali effettuato con sistemi di videosorveglianza
  1.       Il trattamento dei dati personali effettuato mediante l’uso di sistemi di videosorveglianza richiede apposita
  informativa agli interessati e questa può essere rilasciata in forma semplificata come indicato all’Art. 5.
 2.         Per finalità di tutela   della sicurezza   urbana,   la durata   della conservazione   dei dati è limitata   “ai sette giorni
  successivi alla rilevazione delle informazioni e delle immagini raccolte mediante l’uso di sistemi di videosorveglianza,
  fatte salve speciali esigenze di ulteriore conservazione in conformità dell’art. 6, co. 9, D.L. n. 11/2009. Tempi di durata
  maggiore della conservazione dei dati necessitano una specifica valutazione dei rischi, motivata con riferimento ad una
  specifica esigenza di sicurezza perseguita, in relazione a concrete situazioni di rischio riguardanti eventi realmente
  incombenti (es. collaborazione con l’autorità giudiziaria o dalla polizia giudiziariain relazione ad un'attività investigativa
  iN corso).


                                                                TITOLO III
                                                       DIRITTI DEGLI INTERESSATI

 Art. 15
  Diritto di accesso alla documentazione, diritto di accesso civico e protezione dei dati personali
I presupposti,    le modalità,   i limiti per l'esercizio   del diritto di accesso    ai documenti      amministrativi   e del diritto di
accesso civico, semplice e generalizzato, contenenti dati personali, e la relativa tutela giurisdizionale, restano disciplinati
dalla normativa    in materia    di accesso agli atti e di accesso civico, anche       per ciò che conceme       i tipi di datisensibili e
giudiziari, e le operazioni di trattamento eseguibili in esecuzione di una richiesta di accesso.
Le attivita finalizzate all'applicazione di tale disciplina si considerano di rilevante interesse pubblico.
Il titolare si conforma alle Linee guida del Garante in tema di rapporti tra accesso alla documentazione, diritto diaccesso
civico e protezione dei dati personali.
Il titolare si impegna    a emanare      delle linee guida specifiche relative alla gestione delle richieste di accesso civico e
documentale
 Art. 16
  Diritti dell'interessato
Il titolare attua e implementa le misure organizzative, gestionali, procedurali e documentali necessarie a facilitare
l'esercizio dei diritti dell'interessato, di seguito elencati, in conformità alla disciplina contenuta nel RGDP_ e nel Codice.


Art. 17
Diritto di accesso
Il presente Regolamento tiene conto della disciplina del RGPD in tema di diritto di accesso secondo la quale l'interessato
ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali
che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:
  a)          le finalità del trattamento;
  b)          le categorie di dati personali in questione;
  c)          i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolarese
  destinatari di paesi terzi o organizzazioni internazionali;
   d)        quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri
   utilizzati per determinare tale periodo;
   e)        l'esistenza del diritto dell'interessato di chiedere al Titolare del trattamento la rettifica o la cancellazione dei
   dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
  f)         il diritto di proporre reclamo a un'autorità di controllo;
   8)        qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;
   h)        l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi
1e 4 RGPD,       e, almeno   in tali casi, informazioni significative sulla logica utilizzata, nonché   l'importanza   e leconseguenze
previste di tale trattamento per l'interessato.
Qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di
essere informato dell'esistenza di garanzie adeguate.
Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste
dall'interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi
effettivamente affrontati.
Se l'interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell'interessato, leinformazioni
sono fornite in un formato elettronico di uso comune.
Il diritto di ottenere una copia non deve ledere i diritti e le libertà altrui.

  Art. 18
Diritto alla rettifica e cancellazione
Il presente Regolamento tiene conto della disciplina del RGPD in tema di diritto di rettifica e cancellazione ("diritto
all'oblio"), di seguito indicata.
Quanto al diritto di rettifica, l'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali
inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l'interessato ha il diritto
di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Il titolare comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche, salvo che ciò si
riveli impossibile o implichi uno sforzo sproporzionato.
Quanto al diritto "all'oblio", consistente nel diritto di ottenere dal titolare del trattamento la cancellazione dei dati
personali che lo riguardano senza ingiustificato ritardo, Lo stesso non si applica nella misura in cui il trattamento sia
necessario:
  _        per l'esercizio del diritto alla libertà di espressione e di informazione;
  _        per l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dello Stato
  membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblicointeresse oppure
  nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  _        per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell'articolo 9, paragrafo 2,
lettere h) e i), e dell'articolo 9, paragrafo 3 RGPD;
  _           a fini di archiviazione         nel pubblico    interesse,     di ricerca scientifica      o storica    o a fini statistici conformemente
  all'articolo 89, paragrafo 1 RGPD, nella misura in cui il diritto all'oblio rischi di rendere impossibile o di pregiudicare
  gravemente il conseguimento degli obiettivi di tale trattamento;
  -           per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

 Art. 19
  Diritto alla limitazione
Il presente     Regolamento           tiene   conto   della disciplina     del   RGPD   in tema     di diritto alla limitazione,         e di seguito      indicata.
L'interessato     ha     il diritto    di ottenere     dal titolare      la limitazione      del trattamento         quando    ricorre     una   delle     seguenti
condizioni:
  a)         l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare per verificarel'esattezza
  di tali dati personali;
  b)         il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che nesia
  limitato l'utilizzo;
  c)          benché      il titolare del trattamento         non     ne abbia     più bisogno      ai fini del trattamento,         i dati personali sono
  necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;
   d)      l'interessato si è opposto al trattamento ai sensi dell'articolo 21, paragrafo 1 RGPD, in attesa della verifica in
   merito all'eventuale prevalenza dei motivi legittimi del Titolare del trattamento rispetto a quelli dell'interessato.
Se il trattamento è limitato a norma del paragrafo 1 dell'art. 18 RGPD, tali dati personali sono trattati, salvo che per la
conservazione,         soltanto con il consenso         dell'interessato o per l'accertamento, l'esercizio o la difesa di un diritto in sede
giudiziaria oppure per tutelare i diritti di un'altra persona fisica o giuridica o per motivi di interesse pubblico                                      rilevante
dell'Unione o di uno Stato membro.
L'interessato che ha ottenuto la limitazione del trattamento a norma del paragrafo 1 è informato dal titolare                                        prima che
detta limitazione sia revocata.
Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali                               limitazioni
del trattamento salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento                                comunica
all'interessato tali destinatari qualora l'interessato lo richieda.

  Art. 20
  Diritto alla portabilità
Il presente    Regolamento tiene conto della circostanza che, in forza della disciplina del RGPD,                             il diritto alla portabilità dei
dati non si applica al trattamento necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio
di pubblici poteri di cui è investito il titolare del trattamento.

  Art. 21
  Diritto di opposizione e processo decisionale automatizzato relativo alle persone
L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento
dei dati personali che lo riguardano ai sensi dell'articolo 6, paragrafo 1, lettere e) o f) del RGPD, compresa                                   la profilazione
sulla base di tali disposizioni.
Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l'esistenza di motivi
legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato
oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. Il diritto di cui ai paragrafi 1 e 2 dell'art. 21
RGPD è esplicitamente portato all'attenzione dell'interessato ed è presentato chiaramente e separatamente da qualsiasi
altra informazione al più tardi al momento della prima comunicazione con l'interessato.         Nel contesto dell'utilizzo di servizi
della società dell'informazione e fatta salva la direttiva 2002/58/CE, l'interessato può esercitare il proprio diritto di
opposizione con mezzi automatizzati che utilizzano specifiche tecniche. Qualora i dati personali siano trattati a fini di
ricerca scientifica o storica o a fini statisticia norma dell'articolo 89, paragrafo 1 del RGPD, l'interessato, per motivi connessi
alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguarda, salvo se il trattamento
è necessario per l'esecuzione di un compito di interesse pubblico.

  Art. 22
  Modalità di esercizio dei diritti dell'interessato
Per l'esercizio dei diritti dell'interessato, in ordine all'accesso ed al trattamento                          dei suoi dati personali, si applicano le
disposizioni del RGPD, del Codice e del presente Regolamento.
La richiesta per l'esercizio dei diritti può essere fatta pervenire:
  -           direttamente        dall'interessato,     anche    facendosi       assistere    da   una   persona      di fiducia,   con     l'esibizione     di un
  documento personale di riconoscimento o allegandone copia o anche con altre adeguate modalità o in presenza di
circostanze atte a dimostrare l'identità personale dell'interessato stesso, come ad esempio, la conoscenza                               personale;
   _      tramite altra persona fisica o associazione, a cui abbia conferito per iscritto delega o procura; in tal caso, la
   persona che agisce su incarico dell'interessato deve consegnare copia della procura o della delega, nonché copia
  fotostatica non autenticata di un documento di riconoscimento del sottoscrittore;
  _         tramite chi esercita la potestà o la tutela, per i minori e gli incapaci;
  _         in caso di persone decedute, da chi ha un interesse proprio, o agisce a tutela dell'interessato o per ragioni
  familiari meritevoli di protezione;
   -        dalla persona fisica legittimata in base ai relativi statuti od ordinamenti, se l'interessato è una persona giuridica,
   un ente o un'associazione.
L'interessato può presentare o inviare la richiesta di esercizio dei diritti:
  _        al titolare o Responsabile del trattamento, che conserva e gestisce i dati personali dell'interessato;
  -        all'ufficio protocollo generale del titolare o all'ufficio per le relazioni con il pubblico;
   -        AI RPD del titolare o del responsabile del trattamento, che inoltrano la richiesta agli uffici interessati.
La richiesta, per l'esercizio dei diritti di accesso ai dati personali, può essere esercitata dall'interessato solo inriferimento
alle informazioni che lo riguardano e non ai dati personali relativi ai terzi, eventualmente presenti all'interno dei documenti
che lo riguardano.
Fermo     restando    l'accesso   ai dati   personali,   il dirigente     autorizza   l'esibizione   degli   atti   all'interessato,     ricorrendo   le
condizioni per l'accesso. | soggetti competenti alla valutazione dell'istanza sono il dirigente o un suo delegato il quale
decide sull'ammissibilità della richiesta d'accesso e sulle modalità di accesso ai dati.
All'istanza deve essere dato riscontro entro 30 giorni dalla data di ricezione della stessa. | termini possono essere
prolungati ad altri 30 giorni dalla data di ricezione, previa tempestiva comunicazione all'interessato, qualora l'istanza
avanzata dal richiedente sia di particolare complessità o ricorra un giustificato motivo. L'accesso dell'interessato ai propri
dati personali può essere differito limitatamente al periodo strettamente necessario durante il quale i dati stessi sono
trattati esclusivamente per lo svolgimento di indagini difensive o per salvaguardare esigenze di riservatezza del titolare.
L'accesso è tuttavia consentito agli altri dati personali dell'interessato che non incidono sulle ragioni di tutela a base
del differimento.
Il titolare si conforma alle Linee guida del Garante in tema di esercizio dei diritti dell'interessato.

Art. 23
Indagini difensive
Ai fini delle indagini svolte nel corso di un procedimento              penale, il difensore, ai sensi della Legge 7 dicembre 2000, n. 397
e dell'art. 391-quater del Codice di procedura penale, può chiedere documenti in possesso del titolare, e può estrame
copia, anche se contengono dati personali di un terzo interessato.
Il rilascio è subordinato alla verifica che il diritto difeso sia di rango almeno pari a quello dell'interessato, e cioè consistente
in un diritto della personalità o in un altro diritto o libertà fondamentale              ed inviolabile rinviando, per ognialtro e ulteriore
aspetto, alla relativa disciplina al Regolamento del titolare sul diritto di accesso.
Il titolare si conforma alle Linee guida del Garante in tema di indagini difensive.

                                                                    TITOLO IV
                                                                    SOGGETTI

Art. 24
Titolare e contitolari
Il Titolare del Trattamento, rappresentato dal Dirigente Scolastico  pro tempore, in qualità di legale rappresentante del
titolare, provvede:
   -         a definire gli obiettivi strategici per la protezione dei dati personali in ordine al trattamento, provvedendo
   all'inserimento di tali obiettivi strategici nel P.T.O.F. e negli altri documenti di programmazione e pianificazione del
   titolare;
   -         a mettere in atto misure tecniche e organizzative adeguate a garantire che il trattamento sia effettuato
   conformemente al Codice, al RGPD e al presente Regolamento;
   -        a delegare ovvero a nominare, con proprio atto, le F.S. e il D.S.G.A. per i compiti, le funzioni e i poteri in ordine
   ai processi, procedimenti, e adempimenti relativi al trattamento dei dati personali, alla sicurezza e alla formazione,
   impartendo ad essi le necessarie istruzioni in relazione all'informativa agli interessati, alla tipologia dei dati da trattare,
   alle condizioni normative previste per il trattamento dei dati, alle modalita di raccolta, comunicazione                            e diffusione dei
   dati, all'esercizio dei diritti dell'interessato, all'adozione delle misure di sicurezza per la conservazione, protezione e
   sicurezza dei dati, all'eventuale uso di apparecchiature di videosorveglianza;
   -        a formare e aggiornare l'elenco delle le F.S. e del D.S.G.A. delegati o nominati, e a pubblicarlo sul sito web
   istituzionale del titolare;
   -        a designare, con proprio atto, il Responsabile perla protezione dei dati personali; a disporre periodiche verifiche
  sul rispetto delle istruzioni impartite, anche con riguardo agli aspetti relativi alla sicurezza dei dati e alla formazione dei
  dipendenti;
  -         a favorire   l'adesione      a codici     di condotta         elaborati     dalle   associazioni      e dagli         organismi       di categoria
  rappresentativi;
  -        a favorire l'adesione a meccanismi di certificazione;
   -        ad assolvere agli obblighi nei confronti del Garante nei casi previsti dalla vigente normativa;
Il titolare si trova in rapporto di contitolarità con altri titolari quando determinano congiuntamente                                   le finalità e imezzi
del trattamento.
I contitolari sono tenuti a determinare, in modo trasparente, mediante                      un accordo interno, le rispettive responsabilità in
merito all'osservanza degli obblighi derivanti dal RGPD e dal presente Regolamento, con particolareriguardo all'esercizio
dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 RGPD, a
meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro
cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati. L'accordo
interno deve riflettere adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale
dell'accordo è messo a disposizione dell'interessato.
Indipendentemente dalle disposizioni dell'accordo interno, l'interessato può esercitare i propri diritti ai sensi del presente
regolamento nei confronti di e contro ciascun titolare del trattamento.

  Art. 25
  Funzioni Strumentali e Direttore dei Servizi Generali e Amministrativi
Il titolare conferisce alle F.S. e al D.S.G.A. i sotto indicati compiti e funzioni, e i correlati                            poteri,    mediante       apposito
provvedimento di delega o di nomina, da adottarsi secondo il proprio ordinamento.
Nel suddetto    provvedimento,    il titolare deve informare           ciascun      F.5./D.S.G.A., delle responsabilità che gli sonoaffidate in
relazione a quanto disposto dal Codice, dal RGPD e dal presente Regolamento.                            Compiti, funzioni e poteri:
  -         trattare i dati personali solo su istruzione del titolare del trattamento;
  -         garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o
  abbiano un adeguato obbligo legale di riservatezza;
  -         adottare il tempestivo ed integrale rispetto dei doveri del titolare previsti dal Codice, compreso il profilo
  relativo alla sicurezza del trattamento così come disciplinato nell'art. 32 del RGPD;
  -         osservare le disposizioni del presente Regolamento nonché delle specifiche istruzioni impartite dal titolare;
  -         adottare idonee misure per garantire, nell'organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle
  libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto
  dalla normativa vigente, dalle disposizioni del Garante, dalle disposizioni contenute nel presente Regolamento, con
   particolare riguardo a tutte le disposizioni di rango speciale che comunque incidono sul trattamento dei dati;
  -         collaborare con il titolare del trattamento perla predisposizione del documento di valutazione d'impatto sulla
   protezione dei dati e per la definizione del  [omissis] ività di trattamento, in collaborazione con l'amministratore
  di sistema e con le altre strutture competenti del titolare, nonché per gli eventuali aggiornamenti o adeguamenti del
  documento stesso;
  -      curare  l'elaborazione          e   la     raccolta   della      modulistica       e   delle     informative,       da     utilizzarsi     all'interno
  dell'organizzazione del titolare per l'applicazione del Codice, del RGPD, e del presente Regolamento;
  -       assistere il titolare del trattamento con misure tecniche ed organizzative adeguate, nella misura in cui ciò sia
  possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti
  dell'interessato per quanto previsto nella normativa vigente;
  -        assistere il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del RGPD
  (sicurezza    del trattamento    dei    dati    personali,   notifica    di una     violazione    dei   dati   personali     all'autorità       di controllo,
  comunicazione      di una violazione dei dati personali all'interessato, valutazione                       d'impatto sulla protezione               dei dati,
  consultazione preventiva) tenendo conto della natura del trattamento e delle informazioni a disposizione;
  -         mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto
  degli obblighi previsti nel Codice, RGPD e nel presente Regolamento;
  -         contribuire alle attività di verifica del rispetto del Codice, del RGPD e del presente regolamento, comprese le
  ispezioni, realizzate dal titolare o da un altro soggetto da questi incaricato;
  -         curare la costituzione e l'aggiornamento dei seguenti archivi/banche dati, per quanto di competenza:
  1.        elenco dei contitolari, dei responsabili dei trattamenti, e degli incaricati, con i relativi punti di contatto;
 2.         elenco degli archivi/ banche;
  -       garantire l'aggiornamento, almeno annuale, della ricognizione dei trattamenti; fornire tutte le necessarie
  informazioni e prestare assistenza al Responsabile della protezione dei dati (RPD/PDO) nell'esercizio delle sue funzioni.
Ciascun F.5./D.S.G.A .nell'espletamento dei compiti, funzioni e poteri delegati o peri quali ha ricevuto la nomina, collabora
con il titolare al fine di:
  -           comunicare tempestivamente,       l'inizio di ogni nuovo trattamento, la cessazione o la modifica dei trattamenti in
  atto, nonché ogni notizia rilevante ai fini dell'osservanza degli obblighi dettati dagli articoli da 32 a 36 del RGPD
  riguardanti l'adozione di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al
  rischio; la notificazione di una violazione dei dati personali al Garante privacy; la comunicazione di una violazione dei dati
  personali all'interessato; la redazione della valutazione d'impatto sulla protezione dei dati; la consultazione preventiva;
  -           predisporre   le   informative   previste   e   verificarne   il   rispetto   e   fornire   le   informazioni   necessarie     per
  l'aggiornamento del registro dei trattamenti;
  -           designare gli incaricati del trattamento, e fornire loro specifiche istruzioni;
  -       rispondere alle istanze degli interessati secondo quanto stabilito dal Codice e stabilire modalità organizzative
  volte a facilitare l'esercizio del diritto di accesso dell'interessato e la valutazione del bilanciamento degli interessi in
  gioco;
  -       garantire che tutte le misure di sicurezza riguardanti i dati del Titolare siano applicate all'interno dellastruttura
  organizzativa del titolare ed all'esterno, qualora agli stessi vi sia accesso da parte di soggetti terzi quali responsabili del
  trattamento;
  -           informare il titolare del trattamento, senza ingiustificato ritardo, della conoscenza             dell'avvenuta violazione dei
  dati personali.
Ciascun F.5./D.S.G.A. risponde al titolare di ogni violazione o mancata attivazione di quanto dettato dalla normativa vigente
e della mancata attuazione delle misure di sicurezza.
| F.5./D.S.G.A. sono destinatari degli interventi di formazione di aggiornamento.

  Art. 26
  Responsabili del trattamento e sub responsabili
Il Responsabile è la persona fisica o giuridica o ente pubblico che tratta i dati per conto del Titolare del trattamento. Il
Responsabile è di solito un soggetto esterno ed è designato dal titolare. La designazione del responsabile del trattamento
deve avvenire ogni qual volta che il titolare affida ad un soggetto esterno il trattamento di dati personali per conseguire
le proprie finalita. A titolo indicativo, devono essere nominati:
   -        Il fornitore dei servizi di segreteria digitale
   -        Il fornitore dei servizi sul sito web istituzionale
   -        Il fornitore di servizi di assistenza e gestione dei sistemi informatici
   -       Consulenti e collaboratori che per lo svolgimento dell’incarico ricevuto trattano dati personali
Il Responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno
rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Il Responsabile
del trattamento non ricorre a un altro Responsabile senza previa autorizzazione scritta, specifica o generale, del titolare.
I Responsabili del trattamento hanno l'obbligo di:
  -           trattare i dati in modo lecito, secondo correttezza e nel pieno rispetto della normativa vigente in materia;
  -           rispettare le misure di sicurezza previste dal Codice sulla privacy e adottare tutte le misure che siano idonee a
  prevenire     e/o evitare la comunicazione      o diffusione   dei dati, il rischio di distruzione       o perdita, anche   accidentale,    di
  accesso non autorizzato o di trattamento non autorizzato o non conforme alle finalità della raccolta;
  -           nominare, se è il caso, al loro interno i soggetti incaricati del trattamento;
  -           garantire che i dati trattati siano portati a conoscenza soltanto del personale incaricato del trattamento;
  -           attenersi alle disposizioni impartite dal Titolare del trattamento;
  -           specificare i luoghi dove fisicamente avviene il trattamento dei dati e su quali supporti;
  -           comunicare le misure minime di sicurezza adottate per garantire la riservatezza e la protezione dei dati personali
  trattati.
La designazione del Responsabile viene effettuata mediante atto da parte del titolare del trattamento da allegare agli
accordi, convenzioni o contratti che prevedono l'affidamento di trattamenti di dati personali esternamente al titolare.
Qualora sussistano dei trattamenti di dati personali effettuati da soggetti terzi per conto del Titolare, precedenti
all'adozione del presente regolamento e peri quali tali soggetti non siano stati nominati Responsabili del Trattamento
secondo le indicazioni contenute nel presente articolo, il dirigente scolastico  provvede tempestivamente alla nomina degli
stessi quali Responsabili del Trattamento.
L'accettazione della nomina e l'impegno a rispettare le disposizioni del Codice, del RGPD e del presente Regolamento è
condizione necessaria per l'instaurarsi del rapporto giuridico fra le parti.

  Art. 27
  Incaricati del trattamento dipendenti del titolare
Gli incaricati del trattamento sono le persone fisiche, dipendenti del titolare, designati dal D.S. o da ciascun F.5S./D.S.C.A.
da lui delegati, incaricati di svolgere le operazioni di trattamento dei dati personali di competenza con l'indicazione
specifica dei compiti, dell'ambito di trattamento consentito, e delle modalità.
La designazione dell'incaricato al trattamento dei dati personali è di competenza del D.S. o di F.5./D.S.G.A. da lui delegati;
la nomina è effettuata per iscritto e individua specificatamente i compiti spettanti all'incaricato e le modalità cui deve
attenersi per l'espletamento degli stessi e l'ambito del trattamento consentito.
A prescindere dalla nomina, si considera tale anche la documentata preposizione della persona fisica ad un'unità per la
quale risulti individuato, per iscritto, l'ambito del trattamento consentito agli addetti all’unita medesima. Per effetto di tale
disposizione, ogni dipendente preposto ad un determinato ufficio/servizio, tenuto ad effettuare operazioni di trattamento
nell'ambito di tale servizio, è da considerare, "incaricato" ai sensi dell'art. 2-quaterdecies del Codice Privacy.
Gli incaricati devono comunque ricevere idonee ed analitiche istruzioni, anche per gruppi omogenei di funzioni, riguardo
le attività sui dati affidate e gli adempimenti a cui sono tenuti.
Gli incaricati collaborano con il titolare segnalando eventuali situazioni di rischio nel trattamento dei dati e fornendo ogni
informazione necessaria per l'espletamento delle funzioni di controllo.
In particolare, gli incaricati devono assicurare che, nel corso del trattamento, i dati siano:
  -         trattati in modo     lecito, corretto   e trasparente     nei confronti dell’interessato;       raccolti e registrati per scopi
  determinati, espliciti e legittimi, e successivamente trattati inmodo compatibile con tali finalità;
  -         adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  -         esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare orettificare
  tempestivamente        i dati inesatti rispetto alle finalità per le quali   sono trattati;
  -       conservati       in una forma che consenta l'identificazione           degli interessati per un arco di tempo non superiore a
  quello necessario     per il conseguimento delle finalità per le quali        i dati sono trattati;
  -       trattati in     modo tale che venga ad essere garantita              un'adeguata sicurezza dei dati personali, compresa la
  protezione, mediante misure organizzative e tecniche adeguate, da trattamenti non autorizzati o illeciti e dalla perdita,
    dalla distruzione o dal danno accidentale.
Gli incaricati sono tenuti alla completa riservatezza sui dati di cui siano venuti a conoscenza in occasione dell'espletamento
della propria attività, impegnandosi a comunicare i dati esclusivamente ai soggetti indicati dal titolare nei soli casi previsti
dalla legge, nello svolgimento dell'attività istituzionale del titolare. Gli incaricati dipendenti del titolare sono destinatari
degli interventi di formazione di aggiornamento.

  Art. 28
  Incaricati del trattamento non dipendenti del titolare
Tutti i soggetti che svolgono un'attività di trattamento dei dati, e che non sono dipendenti del titolare, quali a titolo
meramente esemplificativo i tirocinanti, i volontari e i soggetti che operano temporaneamente all'interno della struttura
organizzativa del titolare o incaricati nominati dal Responsabile esterno, devono essere incaricati del trattamento tramite
atto scritto di nomina.
Questi ultimi sono soggetti agli stessi obblighi cui sono sottoposti tutti gli incaricati dipendenti del titolare, in modo               da
garantire il pieno rispetto della tutela della riservatezza dei dati.
Gli incaricati non dipendenti dal titolare sono destinatari degli interventi di formazione di aggiornamento.



  Art. 29
  Responsabile della protezione dei dati personali (RPD) - Data Protection Officer (DPO)
 [omissis] Responsabile della protezione dei dati (RPD/DPO). Il RPD/PDO deve essere in possesso di:
  -         un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
    -        deve adempiere alle sue funzioni in totale indipendenza e in assenza di           conflitti di interesse;
    -        operare alle dipendenze del titolare del trattamento oppure sulla base             di un contratto di servizio.Il
     RPD/DPO è tenuto al segreto o alla riservatezza in merito all'adempimento dei             propri compiti.
Il titolare del trattamento mette a disposizione del DPO le risorse necessarie per               adempiere ai suoi compiti eaccedere ai
dati personali e ai trattamenti. Il RPD/PDO svolge i seguenti compiti:
  -         informa   e fornisce consulenze      al titolare del trattamento,      nonché   ai dipendenti   che eseguono     il trattamento
  dei dati in merito agli obblighi vigenti relativi alla protezione dei dati;
  -        verifica l'attuazione e l'applicazione della normativa vigente in materia, nonché delle politiche del Titolare o del
   Responsabile del trattamento relative alla protezione dei dati personali, inclusi l'attribuzione delle responsabilità,la
  sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
  -          fornisce, qualora venga richiesto, pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorveglia
  i relativi adempimenti;
  -          funge da punto di contatto per gli interessati in merito al trattamento dei loro dati personali e all'esercizio
dei diritti;
   -           funge   da punto    di contatto      con il Garante      per la protezione      dei dati personali       per questioni
   connesse      altrattamento dei dati, tra cui la consultazione preventiva.


TITOLO V SICUREZZA DEI DATI PERSONALI

  Art. 30
    Misure di sicurezza
Il titolare, nel trattamento dei dati personali, garantisce l'applicazione di adeguate e misure di sicurezza che
consentono di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso
non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta.
In particolare il titolare del trattamento mette in atto misure e tecniche, organizzative, di gestione,
procedurali e documentali adeguate a garantire un livello di sicurezza adeguato al rischio. Tali misure possono
comprendere:
   -       la pseudonimizzazione e la cifratura dei dati personali trattati;
   -           procedure   per assicurare,     in modo     permanente,          la riservatezza,   l'integrità,   la disponibilità   e la
   resilienza deisistemi e dei servizi di trattamento;
   -         modalità per garantire il ripristino tempestivo nell'accesso ai dati personali in caso di incidente
   fisico otecnico;
   -         una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e
   organizzativeal fine di garantire la sicurezza del trattamento.

  Art. 31
  Valutazione d'impatto sulla protezione dei dati - DPIA
 La valutazione d'impatto sulla protezione dei dati (di seguito solo "DPIA”) è un processo inteso a descrivere
il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi peri diritti e le
libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando
le misure per affrontarli.
La DPIA è uno strumento importante per la responsabilizzazione in quanto sostiene il titolare non soltanto
nel rispettare i requisiti del RGPD, ma anche nel dimostrare che sono state adottate misure appropriate per
garantire il rispetto del medesimo RGPD. La DPIA sulla protezione dei dati personali deve essere realizzata,
prima di procedereal trattamento, dal titolare del trattamento quando un tipo di trattamento, considerata la
natura, il contesto, le finalità, può presentare         un rischio elevato per i diritti e le libertà delle persone fisiche.
Qui si intende per "rischio" uno scenario che descrive un evento e le sue conseguenze, stimato in termini di
gravità e probabilità, e per "gestione dei rischi" l'insieme delle attività coordinate volte a indirizzare e
controllare un'organizzazione in relazione ai rischi. Prioritariamente alla DPIA deve:
   -         essere effettuata o aggiornata la ricognizione dei trattamenti.
   -         essere effettuata la determinazione in ordine alla possibilità che il trattamento possa determinare
    un rischio elevato peri diritti e le libertà degli interessati.
La decisione in ordine alla possibilità che il trattamento possa produrre un rischio elevato sulla protezione dei
dati delle persone fisiche e, quindi, sulla obbligatorietà              della   DPIA viene adottata       applicando     i casi indicati
all'art. 35, paragrafo 3 del RGPD ed i criteri esplicativi contenuti nelle "Linee guida in materia di valutazione
d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento possa presentare un
rischio elevato ai fini del regolamento (UE) 2016/679" adottate dal Garante il 4 aprile 2017 e tenendo conto
di eventuali successivemodifiche (di seguito solo "Linee guida").
Nell'applicare i suddetti criteri si deve tenere conto di quanto segue:
  -         la DPIA è sempre obbligatoria, indipendentemente dalla presenza di uno o più criteri sopra
   menzionati, per tutti i trattamenti inclusi nell'elenco predisposto e pubblicato dall'Autorità di controllo ai
   sensi dell'art. 35, paragrafo 4 RGPD;
   -           fermo   restando che, secondo        le Linee guida, un trattamento           che soddisfa 2 criteri deve formare
   oggetto di una valutazione d'impatto sulla protezione dei dati, tuttavia, al fine di garantire una maggiore
   garanzia di tutela, la ricorrenza anche di 1 solo criterio potrebbe costituire elemento sufficiente per
   originare l'obbligo di svolgimento della DPIA;
   -        maggiore è il numero di criteri soddisfatti dal trattamento, più è probabile che sia presente un
   rischio elevatoper      i diritti e le libertà   degli interessati     e, di conseguenza,        che   sia necessario     realizzare
    una valutazione d'impattosulla protezione dei dati;
La DPIA non è richiesta nei seguenti casi:
   -        quando, sulla base di predetti criteri, risulta che il trattamento non è tale da "presentare un rischio
   elevato peri diritti e le libertà delle persone fisiche";
   -           quando la natura, l'ambito di applicazione, il contesto e le finalità del trattamento sono molto simili
   a un trattamento per il quale è stata svolta una valutazione d'impatto sulla protezione dei dati. In tali casi,
   si possono utilizzare i risultati della valutazione d'impatto sulla protezione dei dati per un trattamento
   analogo;
  -           quando   le tipologie di trattamento    sono state verificate da un'autorità di controllo           prima del
  maggio 2018 in condizioni specifiche che non sono cambiate;
  -      qualora un trattamento, effettuato a norma dell'articolo 6, paragrafo 1, lettere c) o e) GPDR, trovi
   una base giuridica nel diritto dell'Unione o nel diritto dello Stato membro, tale diritto disciplini il trattamento
   specifico o sia giastata effettuata una valutazione d'impatto sulla protezione dei dati nel contesto
   dell'adozione di tale base giuridica (articolo 35, paragrafo 10 GPDR).
Secondo quanto disposto dall’art. 35, paragrafo 7 del RGPD, la DPIA deve contenere almeno:
  -         una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove
  applicabile, l'interesse legittimo perseguito dal Titolare del trattamento;
  -         una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  -         una valutazione dei rischi peri diritti e le libertà degli interessati;
  -         le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e imeccanismi
   per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto
  conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione. Quando
  insorgono variazioni del rischio rappresentato dalle attività relative al trattamento, il titolare del
  trattamento, se necessario, procede a un riesame della valutazione d'impatto sulla protezione dei dati.

Laddove   la DPIA riveli la presenza    di rischi residui elevati, il titolare è tenuto   a richiedere la consultazione
preventiva dell'autorità di controllo in relazione al trattamento ai sensi dell'art. 36, paragrafo 1 RGPD.

  Art. 32
  Pubblicazione sintesi della valutazione d'impatto - DPIA
Il titolare, previa analisi interna sulle potenziali ricadute, effettua la pubblicazione della DPIA o di una sintesi
della stessa al fine di contribuire a stimolare la fiducia nei confronti dei trattamenti effettuati dal titolare,
nonché di dimostrare la responsabilizzazione e la trasparenza.
La DPIA pubblicata non deve contenere l'intera valutazione qualora essa possa presentare informazioni
specifiche relative ai rischi per la sicurezza per il titolare o divulgare segreti commerciali o informazioni
commerciali sensibili. In queste circostanze, la versione pubblicata potrebbe consistere soltanto in una sintesi
delle principali risultanze della DPIA o addirittura soltanto in una dichiarazione nella quale si afferma che la
DPIA è stata condotta.

Art. 33
Consultazione preventiva
   1.        Nei casi in cui si è proceduto nella valutazione di impatto sulla protezione dei dati ed è emerso che
   l’Istituto non riesce a trattare in maniera sufficiente tutti i rischi elevati, poiché ne restano ancora alcuni per
   questi ultimi residui, va consultato preventivamente il Garante per la privacy.
  2.         L'Istituto, tramite il Responsabile della protezione dei dati ai sensi degli artt. 36 e 39, par. 1, lett. e),
   Regolamento     UE n. 679/2016, invia richiesta di consultazione al Garante comunicando:
  a.        i dati dell’Istituto in quanto Titolare del trattamento ed i propri dati in quanto punto di contatto e
   referente perla consultazione;
  b.        le finalità ed i mezzi di trattamento previsti;
  C.        le misure di garanzia previste per proteggere i diritti e le libertà fondamentali degli interessati;
  d.        la valutazione di impatto sulla protezione dei dati in versione completa; — ogni altra informazione
   ritenuta necessaria.
  3.         Il Garante formula parere scritto entro otto settimane dal ricevimento della richiesta di
   consultazione nel caso in cui ritenga che il trattamento comunicato violi le norme sulla protezione dei dati
   ed in particolare qualora ritenga che il Titolare non abbia sufficientemente attenuato o identificato il rischio.
   In base alla complessità del trattamento previsto il Garante può prorogare la sua risposta di un termine
   aggiuntivo di sei settimane informando il Responsabile della protezione dei dati, entro un mese dal
   ricevimento della richiesta di consultazione.
  4.       In caso sia necessario, il Garante         può   richiedere   al   Responsabile   della   protezione    dei   dati
   informazioni aggiuntive a quelle già comunicate e può sospendere la decorrenza dei termini di cui al comma
   3 in attesa della loro trasmissione.
  5.         In assenza di parere espresso del Garante entro le otto settimane dal ricevimento della richiesta di
   consultazione, l’Istituto può procedere nel trattamento dei dati.

Art. 34
Modulistica e procedure
Il titolare, al fine di agevolare e semplificare la corretta e puntuale applicazione delle disposizioni del Codice,
del
RGPD, del presente Regolamento, e di tutte le linee guida e provvedimenti del Garante:
   a)            adotta e costantemente aggiorna:
   -             modelli uniformi di informativa;
   -             modelli e formule uniformi necessarie per gestire il trattamento dei dati e le misure di sicurezza;
   b)            elabora, approva, e costantemente aggiorna:
   -             adeguate procedure gestionali, da raccogliere in un apposito Manuale delle procedure.

Art. 35
Responsabilità in caso di violazione delle disposizioni in materia di protezione dei dati personali
Il mancato rispetto delle disposizioni in materia di riservatezza dei dati personali è sanzionato come previsto
dagliarticoli da 161 a 172 del Codice da parte del Garante, nonché con sanzioni di natura disciplinare.
Il Titolare del          trattamento       risponde      per il danno      cagionato     dal   suo    trattamento       che      violi   il presente
regolamento.
Il Responsabile          del trattamento risponde peril danno causato dal trattamento solo se non ha adempiuto agli
obblighi previsti         nel Codice nel RGPD e nel presente regolamento, e a lui specificamente diretti o ha agito in
modo difforme            o contrario rispetto alle legittime istruzioni impartitegli dal titolare del trattamento.

Art. 36
 Violazione dei dati personali
 L'Istituto redige uno specifico regolamento per la definizione delle modalità di individuazione, gestione e
notifica di violazioni dei dati personali (Data breach). Tale regolamento contiene le informazioni riguardanti le
procedure da seguire in caso di sospetto di avvenuta violazione. Destinatari dello stesso sono tutti i delegati
e gli incaricati al trattamento dati personali all’interno dell’amministrazione.

  Art. 37
   Modalità di trattamento dei dati personali
Ogni dipendente scolastico  deve trattare i dati personali in modo lecito, corretto e trasparente rispettando
leseguenti indicazioni:

        v     Raccogliere e registrare i dati personali per finalità determinate, esplicite e legittime;Verificare che
              siano esatti e, se necessario, aggiornati;
        v     Verificare     che   siano   pertinenti,    completi     e non      eccedenti    rispetto    alle finalità      per le quali sono
              raccolti     esuccessivamente trattati;
        v_    Conservarli in modo sicuro e per un periodo di tempo non superiore a quello necessario al
              conseguimento degli scopi peri quali sono stati raccolti e successivamente trattati;
        v     si può accedere ai soli dati personali la cui conoscenza sia strettamente necessaria per lo svolgimento
              dellefunzioni e dei compiti affidati e per le finalità di cui al provvedimento di incarico;
        v_    Nontrasferire a un paese terzo o a un’organizzazione internazionali i dati personali se non in presenza
              diadeguate garanzie di sicurezza e di rispetto del RGDP e sempre a seguito di autorizzazione ricevuta;
              Accertarsi di fornire l'informativa agli interessati, ai sensi degli artt. 13 e 14 del Regolamento Ue
       è




              2016/679 ogniqual volta si proceda all’acquisizione di dati personali;
              consegnare, quando necessario, il modulo per il consenso al trattamento da parte dell’interessato.
              Riceverequindi il modello opportunamente firmato da parte dell'interessato o di chi lo rappresenti;
       IS




              Non comunicare a terzi alcun dato personale in mancanza di specifiche disposizioni;
              Informare prontamente il Titolare del trattamento di ogni circostanza idonea a determinare una
              minaccia alladisponibilità, integrità o riservatezza dei dati personali trattati;
              Informare prontamente il Titolare del trattamento qualora si verificasse la necessità di porre in essere
       è




              operazioni di trattamento di dati personali per finalità o con modalità diverse da quelle risultanti dalle
              istruzioni ricevute;
        v     Accertarsi dell’identità degli interessati o degli eventuali delegati al momento del ritiro di
              documentazione in
        v     uscita;
        v__   Non   fornire    telefonicamente        o a mezzo      fax   dati   e informazioni     ai diretti   interessati,     senza    avere   la
              certezza della loro identità;
        v     qualora giungano richieste telefoniche di dati sensibili da parte dell’Autorità Giudiziaria o degli organi
              di polizia si deve richiedere l'identità del chiamante. Quindi si provvederà a richiamare avendo così la
              certezza sull’identità del richiedente;
        v_    Nella comunicazione di dati sensibili adottare sempre procedure che permettano di garantire la
              sicurezza e lariservatezza delle informazioni anche mediante tecniche di anonimizzazione e di
          pseudonimizzazione;
          Non       effettuare    fotocopie   o fotografie        di    documenti       interni   all’istituzione   scolastica    senza
          autorizzazione; Seguire       le attività di formazione organizzate dalla istituzione scolastica ;
     v    Partecipare alla attività di verifica affinché le misure di sicurezza vengano applicate nell'Istituto.

Art. 38
Istruzioni operative per il trattamento dei dati senza ausilio di strumenti elettronici
Nel trattamento         di dati personali presenti su documenti                analogici dovranno     essere adottate le seguenti
procedure:

     v    Non consentire l'accesso alle aree in cui sono conservati dati personali su supporto cartaceo                                   0
          informatico aestranei e a soggetti non autorizzati;
          Conservare sempre i dati del cui trattamento si è incaricati in apposito armadio assegnato;
          Accertarsi      della   corretta    funzionalità.   dei       meccanismi       di   chiusura     dell'armadio,    segnalando
          tempestivamente eventuali anomalie;
          i documenti o atti che contengono dati sensibili o giudiziari devono essere conservati in archivi (ad
          esempiostanze, armadi, schedari, contenitori in genere) chiusi a chiave;
          custodire i dati cartacei in modo da renderli non facilmente accessibili a
          terzi; non lasciare i documenti cartacei incustoditi sulla propria scrivania
          o cattedra;
          i documenti cartacei non più utilizzati, specie se sensibili, devono                    essere distrutti in modo       da non
          renderlileggibili prima di essere cestinati;
          Documenti contenenti dati personali devono essere consegnati in buste non trasparenti;
          Non abbandonare           la postazione     di lavoro        senza    aver   provveduto    a custodire     in luogo    sicuro       i
          documenti
     v    trattati;


  Art. 39
  Istruzioni operative per il trattamento dei dati con l’ausilio di strumenti elettronici
Nel trattamento di documenti informato elettronico dovranno essere osservate le seguenti procedure:

     v    Il personal computer ed i relativi programmi e/o applicazioni affidati al dipendente sono strumenti di
          lavoro che devono essere custoditi ed utilizzati in modo appropriato;
     v    Utilizzare i sistemi informatici dell’amministrazione solo per fini professionali in relazione alle mansioni
          assegnate e non per scopi personali; debbono essere prontamente segnalati al titolare del
          trattamento il furto, danneggiamento o smarrimento di tali strumenti;
          Non utilizzare la posta elettronica della scuola per motivi non attinenti allo svolgimento delle mansioni
          assegnate;
          Inviare messaggi di posta solo se espressamente autorizzati;
    IS




          per l’accesso al sistema informatico utilizzare le credenziali di accesso ricevute;
          adottare le necessarie cautele per assicurare la segretezza della parola chiave e la diligente custodia
          di ogni altro dispositivo di autenticazione informatica (badge, schede magnetiche, chiavi USB, etc.);
          conservare con cura la parola chiave evitando di trascriverla su fogli posti in vista in prossimità del PC
          o sulla rubrica dell’ufficio.
          È fatto divieto comunicare a qualunque altro incaricato le proprie credenziali di accesso al sistema
          informatico;
          tutte le volte che si abbandoni la propria postazione di lavoro i pc e/o i terminali devono essere posti
          in condizione di non essere utilizzati da estranei. In particolare si raccomanda di chiudere tutte le
          applicazioni in uso edi porre un blocco del sistema mediante password;
          spegnere sempre          il PC alla fine della giornata          lavorativa o in caso di assenze prolungate dalla
          postazione di
          lavoro;
    IS




          Utilizzare l’antivirus per la verifica di ogni documento trattato o di qualunque file scaricato da Internet;
          Utilizzare sempre l’antivirus per verificare il contenuto di qualunque supporto di memorizzazione
          sospetto;Aggiornare con frequenza l’antivirus.
          Utilizzare esclusivamente le piattaforme identificate dalla scuola come sicure e nominate dalla
          stessa responsabili del trattamento, specie qualora si renda necessario effettuare delle attività
          lavorative a distanza;
          Non lasciare incustoditi e alla portata di estranei supporti di memoria informatici (chiavette USB, DVD,
          ecc.), cartelle o altri documenti contenenti dati personali e/o sensibili;
          Verificare attentamente i destinatari del messaggio di posta elettronica prima dell’invio;
    v_       Nelle comunicazioni via mail assicurarsi di non usare impropriamente il campo CC con la conseguenza
            di portare indebitamente a conoscenza di tutti i destinatari del messaggio i relativi indirizzi email
            (usare invece il campo CCN se è necessario tenere riservati gli indirizzi email di coloro che sono
            coinvolti nella comunicazione).
    v       In caso di utilizzo di posta elettronica, non aprire i documenti di cui non sia certa la provenienza e
            controllare accuratamente    l’indirizzo dei destinatari prima di inviare email contenenti,                      in allegato o
            nel corpo del messaggio, datipersonali;
    v_      Nella comunicazione multimediale per fini istituzionali con alunni e genitori utilizzare le piattaforme
            informatiche messe a disposizione dall’Istituto; (VS: valutare la disposizione)
    v       Per l’attività didattica utilizzare le piattaforme informatiche approvate dall’Istituto.

  Art. 40
  Regole perla scelta delle parole chiave
Nella scelta di password          o parole chiave adottare le
seguenti regole: usare una        parola chiave di almeno dieci
caratteri;
                o   la parola chiave non deve contenere riferimenti facilmente riconducibili all’incaricato (come
                    per   esempionome,     cognome,        data di nascita, numeri di telefono,                etc. propri o dei propri
                     familiari);
    v        usare una combinazione di caratteri alfabetici e numerici, meglio se contenente almeno un segno di
            interpunzione o un carattere speciale;
    v       Le credenziali di accesso ai sistemi devono essere cambiate con cadenza trimestrale.



                                                       TITOLO VII
                                        ENTRATA IN VIGORE E DISPOSIZIONI FINALI

  Art. 41
  Entrata in vigore del regolamento
  1. Il presente regolamento entra in vigore il giorno in cui diviene esecutiva la relativa  [omissis] .
  2. ll regolamento e la relativa modulistica per l’esercizio dei diritti sono resi pubblici mediante pubblicazione
  sul sito internet dell’Istituto, nella Sezione Amministrazione Trasparente.
  3. Copia      del regolamento   va inoltrata alle Funzioni         Strumentali      ed ai responsabili         di servizio, al RPD,       ai
   Responsabili del trattamento, ai sub-responsabili ed ogni altro dipendente che tratta dati personali
   nell'Istituto. In alternativa, pudessere data agli stessi comunicazione della disponibilità online del presente
   regolamento, contenente le coordinate web a quale esso è accessibile, tramite una comunicazione
   effettuata tramite i canali ufficiali dell’Istituto.

Art. 42 Disposizioni finali
Per quanto non previsto nel presente Regolamento si applicano le disposizioni del Codice, del RGPD, le Linee
guida e i provvedimenti del Garante.
Il presente Regolamento        è aggiornato a seguito di ulteriori modificazioni alla vigente normativa in materia di
riservatezza e protezione dei dati personali



                                                                                                                    Il Dirigente Scolastico 
                                                                                                          [omissis] 

                                         Firmato digitalmente ai sensi del c.d. Codice dell’Amministrazione digitale e norme ad esso connesse