MINISTISTERO DELL'ISTRUZIONE,
                                                         RIGIONE AUTONQUA DE SARDIGNA:    DELL'UNIVERSITÀ E DELLA RICERCA
                                   Unione   Europea    REGIONE  AUTONOMA DELLA SARDEGNA



               Istituto Istruzione Superiore TCG “Don Gavino Pes” di Tempio Pausania —- SSIS022002

                               Via Limbara 1 Tempio P. - tel: 079631515 - fax:
                              079631094      PEO:    ssiso22002@ìistruzione.it. - PEC:
                              ssiso22002@pec.istruzione.it




                                             REGOLAMENTO           [omissis] 

Glossario

                      Ai fini del presente regolamento si adottano le seguenti definizioni:
RGDP: Regolamento Generale sulla Protezione dei Dati Personali, Regolamento UE n. 679/2016;
Codice Privacy (di seguito anche Codice): D.lgs. 196/2003 e s.m.i.;
RPD: Responsabile della Protezione dei dati (in inglese  [omissis] );
RPC: Responsabile della Prevenzione della Corruzione e della Trasparenza;
DPIA: Valutazione di impatto sulla protezione dei dati;
Privacy by design: Privacy dal momento della sua progettazione. Implica che qualsiasi progetto va realizzato
assumendo dalla fase iniziale di ideazione misure di protezione di dati personali;
Privacy by default: protezione dei dati per impostazione predefinita, ovvero, misure tecniche ed organizzative che
assicurano solo i dati personali necessari per ogni specifica finalità di trattamento;
Audit Privacy: è una valutazione dei processi interni adottati sul grado di rispetto della normativa vigente del Reg. UE
n. 679/2016;
GEPD: Garante Europeo della protezione dei dati;
Accountability: letteralmente “rendere conto”, ovvero, il Titolare del trattamento deve rendere conto delle azioni
intraprese per garantire che i trattamenti dei dati effettuati all’interno dell’amministrazione siano conformi ai
principi stabiliti nell’RGDP e nella normativa nazionale di riferimento.
EDPB: European Data Protection Board Organismo consultivo ed indipendente che ha il compito di assicurare la
corretta applicazione della normativa privacy e di fornire consulenza, approfondimenti e pareri in merito al RGPD.
Dall’entrata in vigore del RGPD recepisce, tra le altre, le funzioni del gruppo di lavoro ex Art. 29 (WP29).
Dati personali: Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si
considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare
riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un
identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica,
economica, culturale o sociale;
Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e
applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la
strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione
mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la
limitazione, la cancellazione o la distruzione;
Limitazione di trattamento: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in
futuro;
Profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati
personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o
prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali,
gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;
Archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente
dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
Pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere
attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni
aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali
dati personali non siano attribuiti a una persona fisica identificata o identificabile;
Titolare del trattamento:La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che,
singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;quando le finalità ei
mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i
criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;
Responsabile del trattamento: persona fisica o giuridica o ente pubblico che tratta i dati per conto del Titolare del
trattamento;
Destinatario: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve
comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere
comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli
Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è
conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;
Terzo: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare
del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto
l'autorità diretta del titolare o del responsabile;
Consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile
dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva
inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
Violazione dei dati personali (Data breach): la violazione di sicurezza che comporta accidentalmente o in modo
illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi,
conservati o comunque trattati;
Dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la
prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
Dati giudiziari: i dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza.
Autorità di controllo: l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51 RGPD;



TITOLO |                                                         pag.          5
Finalità e quadro normativo di riferimento                       pag.      5
Principi e responsabilizzazione                                  pag.      6
Liceità del trattamento                                          pag.      7
Informativa                                                      pag.      7
Informativa per utilizzo di sistemi di videosorveglianza         pag.      9
Sensibilizzazione e formazione                                   pag.      9
TITOLO Il                                                        pag.   | 10
Trattamenti operati e personale autorizzato                      pag.      10
 [omissis] ività di trattamento e delle categorie di |    pag.      11
trattamento
Tipologie di dati trattati                                       pag.      12
Trattamento dei dati ex Art. 9 RGPD                              pag.      12
Trattamento di categorie particolari di dati personali |         pag.      13
necessario per motivi di interesse pubblico rilevante
Trattamento dei dati del personale                               pag.      14
Pubblicazione web per obblighi di pubblicità legale e |          pag.      16
trasparenza
Trattamento dei dati personali effettuato con sistemi di | pag.            17
videosorveglianza
TITOLO   III                                                     pag.      18
Diritto di accesso alla documentazione, diritto di accesso | pag.          18
civico e protezione dei dati personali
Diritti dell'interessato                                         pag.      19
Diritto di accesso                                               pag.      19
Diritto alla rettifica e cancellazione                           pag.      20
Diritto alla limitazione                                         pag.      20
Diritto alla portabilità                                         pag.      21
Diritto     di   opposizione      e    processo    decisionale | pag.      21
automatizzato relativo alle persone
Modalità di esercizio dei diritti dell'interessato               pag.      21
 Indagini difensive                                                pag.     22
TITOLO IV                                                          pag.     |22
Titolare e contitolari                                            pag.      22
Funzioni Strumentali e Direttore dei Servizi Generali         e | pag.      23
Amministrativi
Responsabili del trattamento e sub responsabili                    pag.     24
Incaricati del trattamento dipendenti del titolare                 pag.     25
Incaricati del trattamento non dipendenti del titolare             pag.     26
 Responsabile della protezione dei dati personali (RPD) - | pag.            26
Data Protection Officer (DPO)
TITOLO V                                                           pag.     27
Misure di sicurezza                                                pag.     27
Valutazione d'impatto sulla protezione dei dati - DPIA             pag.     27
Pubblicazione sintesi della valutazione d'impatto - DPIA |         pag.     29
Consultazione preventiva                                           pag.     27
Modulistica e procedure                                            pag.     30
Responsabilità in caso di violazione delle disposizioni in |       pag.     30
materia di protezione dei dati personali
Violazione dei dati personali                                      pag.     30
Modalità di trattamento dei dati personali                         pag.     30
Istruzioni operative per il trattamento dei dati senza |           pag.     31
ausilio di strumenti elettronici
Istruzioni operative per il trattamento dei dati con |             pag.     32
l’ausilio di strumenti elettronici
Regole per la scelta delle parole chiave                           pag.     33
TITOLO VII                                                         pag.     33
 Entrata in vigore del regolamento                                 pag.     33
 Disposizioni finali                                               pag.     34



                                                            TITOLO I
                                                            PRINCIPI


                                                              Art. 1
                                            Finalità e quadro normativo di riferimento
 1.        Il presente regolamento disciplina le misure organizzative ed i processi interni di attuazione del Regolamento
 UE n. 679/2016 (RGPD) ai fini del trattamento di dati personali per finalità istituzionali nel <nome breve istituto».
2.         Ai fini del presente regolamento, per funzioni istituzionali si intendono quelle:
 a)        previste dalla legge, dal Piano Triennale dell’Offerta Formativa (PTOF), dai regolamenti e da atti
 amministrativi generali;
 b)        esercitate in attuazione di convenzioni, accordi nonché sulla base degli strumenti di programmazione e
 pianificazione previsti dalla legislazione vigente;
 c)        svolte per l’esercizio dell'autonomia organizzativa, amministrativa e finanziaria dell’istituto;
 d)        in esecuzione di un contratto con i soggetti interessati, qualora stipulato in relazione alle proprie finalità e
 compiti istituzionali.
3.         Il titolare garantisce che il trattamento dei dati, a tutela delle persone fisiche, si svolga nel rispetto dei diritti
 e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza,
 all'identità personale e al diritto alla protezione dei dati personali, a prescindere dalla loro nazionalità o dalla loro
 residenza. Il titolare, nell'ambito delle sue funzioni, gestisce gli archivi e le banche dati rispettando i diritti, le libertà
 fondamentali e la dignità delle persone, con particolare riferimento alla riservatezza e all'identità personale. Ai fini
 della tutela dei diritti e delle libertà delle persone fisiche in ordine al trattamento dei dati personali, tutti i processi,
 inclusi i procedimenti amministrativi di competenza del titolare, vanno gestiti conformemente alle disposizioni del
 Codice, del RGPD, e del presente Regolamento.
4.         Il presente Regolamento tiene conto dei seguenti documenti:
a)       Codice in materia di dati personali (D.lgs. n.196/2003);
b)      Linee guida e raccomandazioni del Garante;
c)      RGPD UE 679/2016 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle
persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga
 la direttiva 95/46/CE;
 d)        Legge 25 ottobre 2017, n. 163 (art.13), recante la delega per l'adeguamento della normativa nazionale alle
 disposizioni del RGPD (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla
 protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali
 dati e che abroga la direttiva 95/46/CE;
 e)        D.lgs. n. 101/2018 di adeguamento della normativa interna al RGPD;
f)         Dichiarazioni del gruppo di lavoro articolo 29 sulla protezione dei dati (WP29) - 14/EN;
 8)        Linee-guida sui responsabili della protezione dei dati (RPD) - WP243 Adottate dal Gruppo di lavoro Art. 29 il 13
 dicembre 2016;
 h)        Linee-guida sul diritto alla "portabilità dei dati" - WP242 Adottate dal Gruppo di lavoro Art. 29 il 13 dicembre
 2016;
 i)        Linee-guida per l'individuazione dell'autorità di controllo capofila in rapporto a uno specifico Titolare o
  Responsabile del trattamento - WP244 adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016;
 j)        Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonche i criteri per stabilire se un
 trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679 - WP248 adottate dal Gruppo
di lavoro Art. 29 il 4 aprile 2017;
k)          Linee guida elaborate dal Gruppo Art. 29 in materia di applicazione e definizione delle sanzioni
  amministrative - WP253 adottate dal Gruppo di lavoro Art. 29 il 3 ottobre 2017;
I)          Linee guida elaborate dal Gruppo Art. 29 in materia di processi decisionali automatizzati e profilazione -
  WP251 Adottate dal Gruppo di lavoro Art. 29 il 6 febbraio 2018;
  m)        Linee guida elaborate dal Gruppo Art. 29 in materia di notifica delle violazioni di dati personali (data breach
   notification) - WP250 Adottate dal Gruppo di lavoro Art. 29 il 6 febbraio 2018;
   n)       Parere del WP29 sulla limitazione della finalità - 13/EN WP 203;
  O)        Norme internazionali relative alla Protezione dei Dati Personali;
   p)       Regolamenti interni, approvati dai titolari e/o dai responsabili.

                                                            Art. 2
                                          Principi e responsabilizzazione
Vengono integralmente recepiti, nell'ordinamento interno del titolare, i principi del RGPD, per effetto dei quali i dati
personali sono:
a)       trattati in modo lecito, corretto e trasparente nei confronti dell'interessato ("liceità, correttezza e
trasparenza");
b)       raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia
incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse,
di ricerca scientifica o storica o a fini statistici non è considerato incompatibile con le finalità iniziali ("limitazione
della finalità");
 c)         adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati base del
 principio di "minimizzazione dei dati";
 d)         esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o
 rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati base del principio di
 "esattezza";
 e)         conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al
 conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più
 lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca
 scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1 RGPD, fatta salva l'attuazione di
 misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà
 dell'interessato in base al principio di "limitazione della conservazione";
f)          trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante
 misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o
 dal danno accidentali in base ai principi di "integrità e riservatezza";
 8)         configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne
 il trattamento quando le finalità possano essere perseguite mediante dati anonimi o con l'uso di opportune modalità
 che permettono di identificare l'interessato solo un caso di necessità ("principio di necessità").
 Il titolare è competente per il rispetto dei principi sopra declinati, ed è in grado di comprovarlo in base al principio di
 accountability.

Art. 3
Liceità del trattamento
Vengono integralmente recepiti, nell'ordinamento interno del titolare, le disposizioni del RGPD in ordine alla liceità
del trattamento e, per l'effetto, il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti
condizioni:
 a)        l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
 b)        il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di
 misure precontrattuali adottate su richiesta dello stesso;
 c)        il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il Titolare del trattamento;
 d)        il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona
 fisica;
 e)        il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di
 pubblici poteri di cui è investito il Titolare del trattamento.
f)         il trattamento è necessario per il perseguimento del legittimo interesse del Titolare del trattamento o di
 terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono
 la protezione dei dati personali, in particolare se l'interessato è un minore.
 La lettera f) non si applica al trattamento di dati effettuato dal titolare nell'esecuzione dei propri compiti e funzioni.
 Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato
 sul consenso dell'interessato o su un atto legislativo dell'Unione o degli Stati membri che costituisca una misura
 necessaria e proporzionata per la salvaguardia degli obiettivi di cui all'articolo 23, paragrafo 1 RGPD, al fine di
 verificare se il trattamento per un'altra finalità sia compatibile con la finalità per la quale i dati personali sono stati
 inizialmente raccolti, il Titolare tiene conto, tra l'altro:
 a)        di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell'ulteriore trattamento
 previsto;
 b)        del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra
 l'interessato e il Titolare del trattamento;
 c)        della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi
 dell'art. 9 del RGPD, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell'articolo 10 del
 medesimo RGPD;
 d)        delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati;
 e)        dell'esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.

                                                            Art. 4
                                                              Informativa
 Il titolare, precedentemente all’inizio delle procedure di Trattamento dei dati personali o comunque al primo istante
utile successivamente allo stesso, è tenuto a fornire all'interessato, anche avvalendosi del personale incaricato,
apposita informativa secondo le modalità previste dagli Artt. 13 e 14 RGPD, in forma concisa, trasparente, intelligibile
e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate
specificamente ai minori.
 L'informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico, soprattutto nel
contesto di servizi online, anche se sono ammessi altri mezzi, potendo essere fornita anche oralmente, ma nel
rispetto delle caratteristiche di cui sopra. L'informativa è fornita, mediante idonei strumenti:
-           attraverso appositi moduli da consegnare agli interessati. Nel modulo sono indicati i soggetti a cui l'utente
può rivolgersi per ottenere maggiori informazioni ed esercitare i propri diritti, anche al fine di consultare l'elenco
aggiornato dei responsabili;
-           avvisi agevolmente visibili dal pubblico, posti nei locali di accesso delle strutture del titolare, nelle sale
d'attesa e in altri locali in cui ha accesso l'utenza o diffusi nell'ambito di pubblicazioni istituzionali e mediante il sito
internet del titolare;
-           apposita avvertenza inserita nei contratti ovvero nelle lettere di affidamento di incarichi del personale
dipendente, dei soggetti con i quali vengono instaurati rapporti di collaborazione o libero-professionali, dei
tirocinanti, dei volontari, degli stagisti ed altri soggetti che entrano in rapporto con il titolare.;
-           resa in sede di pubblicazione dei bandi, avvisi, lettere d'invito, con l'indicazione dell'incaricato del
trattamento dei dati relativi alle procedure.
 L'informativa da fornire agli interessati può essere fornita anche in combinazione con icone standardizzate per dare,
in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d'insieme del trattamento previsto. Se
presentate elettronicamente, le icone sono leggibili da dispositivo automatico.
 L'informativa contiene il seguente contenuto minimo:
-           l'identità e dati di contatto del titolare e, ove presente, del suo rappresentante;
-        i dati di contatto del RPD/DPO ove esistente;
-        le finalità del trattamento;
-        i destinatari dei dati;
-        la base giuridica del trattamento;
-         l'interesse legittimo del titolare se quest'ultimo costituisce la base giuridica del trattamento;
-         se il titolare trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti;
-         il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione;
-         il diritto dell'interessato di chiedere al titolare l'accesso, la rettifica, la cancellazione dei dati, la limitazione del
trattamento che lo riguarda, il diritto di opporsi al trattamento e il diritto alla portabilità dei dati;
-         il diritto di presentare un reclamo all'autorità di controllo;
-         l'esistenza di un processo decisionale automatizzato, compresa la profilazione, e le informazioni significative
sulla logica utilizzata nonché l'importanza e le conseguenze di tale trattamento per l'interessato.
 Nel caso di dati personali non raccolti direttamente presso l'interessato:
a)        il titolare deve informare l'interessato in merito a:
_         le categorie di dati personali trattati;
_         la fonte da cui hanno origine i dati personali e l'eventualità che i dati provengano da fonti accessibili al
pubblico.
b)        l'informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta,
oppure dal momento della comunicazione (e non della registrazione) dei dati a terzi o all'interessato.
 Un’ informativa generale deve essere fornita alle famiglie in occasione delle iscrizioni relativamente ai trattamenti di
dati personali operati dalla scuola per il conseguimento delle proprie finalità istituzionali.
 Per i trattamenti dei dati connessi alla gestione del rapporto di lavoro con il personale dipendente del titolare è
predisposta apposita informativa per personale dipendente.
Apposite informative devono essere inserite nei seguenti documenti:
_         nei bandi e nella documentazione di affidamento dei contratti pubblici;
-         nei contratti, accordi o convenzioni;
_         nei bandi di concorso pubblico;
_         nelle segnalazioni di disservizio e, più in generale, in ogni altro documento contenente dati personali.
 Nel fornire l'informativa, il titolare fa espresso riferimento alla normativa che prevede gli obblighi o i compiti in base
alla quale è effettuato il trattamento dei dati sensibili e giudiziari.

                                                               Art. 5
                                   Informativa per utilizzo di sistemi di videosorveglianza
1. Nel caso di utilizzo di sistemi di videosorveglianza per finalità di sicurezza degli edifici, gli interessati devono essere
sempre informati che stanno per accedere in una zona videosorvegliata; ciò anche nei casi di eventi e in occasione di
spettacoli pubblici (es. concerti, manifestazioni sportive).
2. A tal fine può essere utilizzato un modello di informativa semplificata che poi rinvii a un testo contenente tutti gli
elementi completi di cui all’articolo precedente, disponibile agevolmente senza oneri per gli interessati, sia sul sito
internet dell’amministrazione.
3. In ogni caso il Titolare, anche per il tramite di un incaricato, ove richiesto è tenuto a fornire anche oralmente
un’informativa adeguata, contenente gli elementi individuati dall’articolo precedente.
4. Il supporto con l’informativa:
-         deve essere collocato prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non
necessariamente a contatto con gli impianti;
-         deve avere un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di
illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;
-         può inglobare un simbolo o una stilizzazione di esplicita e immediata comprensione, eventualmente
diversificati al fine di informare se le immagini sono solo visionate o anche registrate.

                                                               Art. 6
                                              Sensibilizzazione e formazione
Ai fini della corretta e puntuale applicazione della disciplina relativa ai principi, alla liceità del trattamento, al
consenso, all'informativa e, più in generale, alla protezione dei dati personali, il titolare sostiene e promuove,
all'interno della propria struttura organizzativa, ogni strumento di sensibilizzazione che possa consolidare la
consapevolezza del valore della riservatezza dei dati, e migliorare la qualità del servizio.
A tale riguardo, il presente regolamento riconosce che uno degli strumenti essenziali di sensibilizzazione è l'attività
formativa del personale del titolare e l'attività informativa diretta a tutti coloro che hanno rapporti con il titolare.
Per garantire la conoscenza capillare delle disposizioni del presente Regolamento, al momento dell'ingresso in
servizio è data a ogni dipendente una specifica comunicazione, con apposita clausola inserita nel contratto di lavoro,
contenente tutti i principi fondamentali della materia, esposti in maniera semplice, chiara e puntuale, con i
riferimenti per l'acquisizione del presente Regolamento, pubblicato sul sito del Titolare. Il dipendente si impegna ad
acquisire copia del Regolamento, prenderne visione ed attenersi alle sue prescrizioni.
Il titolare organizza, nell'ambito della formazione continua e obbligatoria del personale, specifici interventi di
formazione e di aggiornamento, anche integrati con gli interventi di formazione anticorruzione, in materia di
protezione dei dati personali, finalizzati alla conoscenza delle norme, alla prevenzione di fenomeni di abuso e
illegalità nell'attuazione della normativa, all'adozione di idonei modelli di comportamento e procedure di
trattamento, alla conoscenza delle misure di sicurezza per il trattamento e la conservazione dei dati, dei rischi
individuati e dei modi per prevenire danni agli interessati.
La formazione in materia di prevenzione dei rischi di violazione dei dati personali viene integrata e coordinata, a cura
del RPC, con la formazione in materia di prevenzione della corruzione e della illegalità nonché con la formazione in
tema di trasparenza e di accesso, con particolare riguardo ai rapporti tra protezione dei dati personali, trasparenza
accesso ai documenti amministrativi e accesso civico, semplice e generalizzato, nei diversi ambiti in cui opera il
titolare.
L’attività di formazione del personale dovrà essere documentata nel registro della formazione tenuto dall’istituto.

                                                        [omissis] TRATTAMENTO DEI DATI PERSONALI

                                                            Art. 7
                                           Trattamenti operati e personale autorizzato
 Il titolare tratta i dati personali per lo svolgimento delle proprie finalità istituzionali, come identificate da disposizioni
di legge, statutarie e regolamentari, e nei limiti imposti dal Codice, dal RGPD e dalle Linee guida e dai provvedimenti
del Garante.
 Il titolare effettua i trattamenti di dati personali, previsti da disposizioni legislative e regolamentari riguardanti, a
titolo esemplificativo e non esaustivo:
-           Per la gestione delle attività didattico-formative e di valutazione comprese quelle propedeutiche all’avvio
dell’ano scolastico , quelle socio-assistenziali e qualunque altra prevista nel Piano Triennale dell’Offerta Formativa
-           Per la gestione del personale dipendente, ivi comprese le procedure di assunzione; la gestione dei soggetti
che intrattengono rapporti giuridici con il titolare, diversi dal rapporto di lavoro dipendente, e che operano a
qualsiasi titolo all'interno della struttura organizzativa del titolare, ivi compresi gli stagisti, tirocinanti e i volontari;
-           Per la gestione dei rapporti con i consulenti, i libero-professionisti, i fornitori per l'approvvigionamento di
beni e di servizi nonché con le imprese per l'esecuzione lavori, opere e di interventi di manutenzione;
-           Per la gestione dei rapporti con i soggetti accreditati o convenzionati per i servizi socio-assistenziali;
-           Per la gestione dei rapporti con la Procura della Repubblica e gli altri soggetti pubblici competenti, per le
attività ispettive di vigilanza, di controllo e di accertamento delle infrazioni alle leggi e regolamenti.
 Il trattamento dei dati personali è esercitabile, all'interno della struttura organizzativa del titolare, solo da parte dei
soggetti appositamente autorizzati. A tal fine il dirigente scolastico , titolare del trattamento, ha istituito le seguenti
unità organizzative autorizzate al trattamento cui deve essere assegnato tutto il personale in servizio:
-           Personale docente
-           Personale amministrativo e DSGA
-          Assistenti tecnici
-           Collaboratori scolastici

                                                            Art. 8
                                                [omissis] ività di trattamento
 Il titolare del trattamento istituisce un registro, in forma scritta, delle attività di trattamento e delle categorie di
trattamenti svolte sotto la propria responsabilità.
 Il registro deve essere continuamente aggiornato e messo a disposizione delle autorità di controllo.
Tale registro contiene le seguenti informazioni:
-          il nome e i dati di contatto del Titolare del trattamento, del Responsabile per la protezione dei dati, dei
responsabili e degli incaricati;
-          le finalità del trattamento;
-          una descrizione delle categorie di interessati e delle categorie dei dati personali;
-          le categorie dei trattamenti effettuati;
-          le categorie di destinatari, a cui i dati personali sono o saranno comunicati;
-          l'indicazione delle cautele specifiche, a cui ciascun  [omissis] endere in modo che siano
appropriate rispetto ai trattamenti verso cui dovrà rispondere;
-          un'eventuale possibilità di trasferimenti di dati all'estero;
-          una descrizione generale delle misure di sicurezza, generiche e specifiche, così come disciplinate dalla
normativa vigente in tema di sicurezza dei dati personali;
-          indicazione dei termini ultimi previsti per la cancellazione delle diverse categorie di dati trattati;
-          un elenco dei processi di trattamento effettuati da ciascuna area funzionale dell’istituto.
Il responsabile di trattamento tiene registro di tutte le categorie di attività relative al trattamento svolte per conto di
un titolare del trattamento, contenente:
a)        il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del
trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del
trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b)        le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c)        ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale,
compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo
comma dell'articolo 49, la documentazione delle garanzie adeguate;
d)        ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32,
paragrafo 1 RGPD
| registri sono tenuti in forma scritta, anche in formato elettronico.
Su richiesta, il titolare del trattamento o il responsabile del trattamento, mettono il registro a disposizione del
Garante. Il presente documento costituisce integrazione e completamento del registro dei trattamenti.


                                                             Art. 9
                                                 Tipologie di dati trattati
 Nell'ambito dei trattamenti inclusi nell'indice dei trattamenti, il titolare, nell'esercizio delle sue funzioni istituzionali,
tratta in modo anche automatizzato, totalmente o parzialmente, le seguenti tipologie di dati:
-        dati comuni identificativi
-        dati ex Art. 9 RGPD
-        dati ex Art. 10 RGPD

                                                             Art. 10
                                                Trattamento dei dati ex Art. 9 RGPD
 Il titolare conforma il trattamento dei Dati Personali “particolari” ex Art. 9 RGPD secondo modalità volte a prevenire
 violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato. A tale fine, il titolare applica i principi
 1.         È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni
 religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in
 modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della
 persona.
2.          Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
 a)         l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più
 finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa
 revocare il divieto di cui al paragrafo 1;
 b)         il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del
 trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella
 misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto
 degli Stati membri, in presenza di garanzie appropriate peri diritti fondamentali e gli interessi dell'interessato;
 c)         il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora
 l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;
 d)         il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una
 fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose
 o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno
 regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non
 siano comunicati all'esterno senza il consenso dell'interessato;
 e)         il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;
f)          il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta
 le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
 8)         il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli
 Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione
 dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;
 h)         il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della
 capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e
 servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un
 professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
 i)           il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la
protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e
sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli
Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in
particolare il segreto professionale;
j)        il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini
statistici in conformità dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, che è
proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure
appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.

 Il trattamento dei dati sensibili e giudiziari dovrà avvenire nel rispetto del Decreto 7 dicembre 2006, n. 305 del
 Ministero dell’Istruzione dal titolo “Regolamento recante identificazione dei dati sensibili e giudiziari trattati e delle
 relative operazioni effettuate dal Ministero della pubblica istruzione, in attuazione degli articoli 20 e 21 del decreto
 legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali»”
 Il titolare sensibilizza, forma e aggiorna i dipendenti in ordine al trattamento di questa tipologia di dati personali.

                                                             Art. 11
       Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante
 1.        | presupposti di liceità di cui all’Art 9, comma g) del presente regolamentosono regolati dall’Art. 2-sexies del
 Codice Privacy.
2.         I trattamenti delle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, del RGPD, necessari
 per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi
 qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o, nei
 casi previsti dalla legge, di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono
 essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e
 specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.
3.         Fermo quanto previsto dal comma 2, si considera rilevante l'interesse pubblico relativo a trattamenti
 effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri nelle
 seguenti materie:
 a)       accesso a documenti amministrativi e accesso civico;
 b)       tenuta degli atti e dei registri dello stato civile, delle anagrafi della popolazione residente in Italia e dei
 cittadini italiani residenti all'estero, e delle liste elettorali, nonché rilascio di documenti di riconoscimento o di viaggio
 o cambiamento delle generalità;
 c)       tenuta di registri pubblici relativi a beni immobili o mobili;
 d)       tenuta dell'anagrafe nazionale degli abilitati alla guida e dell'archivio nazionale dei veicoli;
 e)       cittadinanza, immigrazione, asilo, condizione dello straniero e del profugo, stato di rifugiato;
f)        elettorato attivo e passivo ed esercizio di altri diritti politici, protezione diplomatica e consolare, nonché
 documentazione delle attività istituzionali di organi pubblici, con particolare riguardo alla redazione di verbali e
 resoconti dell’attività di assemblee rappresentative, commissioni e di altri organi collegiali o assembleari;
 8)       esercizio del mandato degli organi rappresentativi, ivi compresa la loro sospensione o il loro scioglimento,
 nonché l'accertamento delle cause di ineleggibilità, incompatibilità o di decadenza, ovvero di rimozione o
 sospensione da cariche pubbliche;
 h)       svolgimento delle funzioni di controllo, indirizzo politico, inchiesta parlamentare o sindacato ispettivo e
 l'accesso a documenti riconosciuto dalla legge e dai regolamenti degli organi interessati per esclusive finalità
 direttamente connesse all'espletamento di un mandato elettivo;
 i)       attività dei soggetti pubblici dirette all'applicazione, anche tramite i loro concessionari, delle disposizioni in
 materia tributaria e doganale;
j)       attività di controllo e ispettive;
k)           concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti
  e abilitazioni;
I)           conferimento di onorificenze e ricompense, riconoscimento della personalità giuridica di associazioni,
  fondazioni ed enti, anche di culto, accertamento dei requisiti di onorabilità e di professionalità per le nomine, per i
   profili di competenza del soggetto pubblico, ad uffici anche di culto e a cariche direttive di persone giuridiche,
  imprese e di istituzioni scolastiche non statali, nonché rilascio e revoca di autorizzazioni o abilitazioni, concessione di
   patrocini, patronati e premi di rappresentanza, adesione a comitati d'onore e ammissione a cerimonie ed incontri
  istituzionali;
  m)         rapporti tra i soggetti pubblici e gli enti del terzo settore;
 n)      obiezione di coscienza;
 0)      attività sanzionatorie e di tutela in sede amministrativa o giudiziaria;
 p)      rapporti istituzionali con enti di culto, confessioni religiose e comunità religiose;
q)        attività socio-assistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti e incapaci;
r)        attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale,
ivi incluse quelle correlate ai trapianti d'organo e di tessuti nonché alle trasfusioni di sangue umano;
s)        compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e
sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e
incolumità fisica;
t)        programmazione, gestione, controllo e valutazione dell'assistenza sanitaria, ivi incluse l'instaurazione, la
gestione, la pianificazione e il controllo dei rapporti tra l'amministrazione ed i soggetti accreditati o convenzionati
con il servizio sanitario nazionale;
 U)        vigilanza   sulle sperimentazioni,      farmacovigilanza,     autorizzazione all'immissione    in commercio    e
 all'importazione di medicinali e di altri prodotti di rilevanza sanitaria;
 v)        tutela sociale della maternità ed interruzione volontaria della gravidanza, dipendenze, assistenza,
 integrazione sociale e diritti dei disabili;
 W)        istruzione e formazione in ambito scolastico , professionale, superiore o universitario;
 x)        trattamenti effettuati a fini di archiviazione nel pubblico interesse o di ricerca storica, concernenti la
 conservazione, l'ordinamento e la comunicazione dei documenti detenuti negli archivi di Stato negli archivi storici
 degli enti pubblici, o in archivi privati dichiarati di interesse storico particolarmente importante, per fini di ricerca
 scientifica, nonché per fini statistici da parte di soggetti che fanno parte del sistema statistico nazionale (Sistan);
 y)        instaurazione, gestione ed estinzione, di rapporti di lavoro di qualunque tipo, anche non retribuito o
 onorario, e di altre forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza e
 assistenza, tutela delle minoranze e pari opportunità nell'ambito dei rapporti di lavoro, adempimento degli obblighi
 retributivi, fiscali e contabili, igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, accertamento
 della responsabilità civile, disciplinare e contabile, attività ispettiva.
4.         Per i dati genetici, biometrici e relativi alla salute il trattamento avviene comunque nel rispetto di quanto
 previsto dall'articolo 2-septies del Codice Privacy.

                                                           Art. 12
                                              Trattamento dei dati del personale
Il titolare tratta i dati, anche ex Art. 9 o 10 RGPD, dei propri dipendenti per le finalità, considerate di rilevante
interesse pubblico, di instaurazione e di gestione di rapporti di lavoro di qualunque tipo.
Tra tali trattamenti sono compresi quelli effettuati al fine di accertare il possesso di particolari requisiti previsti per
l'accesso a specifici impieghi, la sussistenza dei presupposti per la sospensione o la cessazione dall'impiego o dal
servizio, di adempiere agli obblighi connessi alla definizione dello stato giuridico od economico del personale,
nonché ai relativi obblighi retributivi, fiscali e contabili, relativamente al personale in servizio o in quiescenza.
Secondo la normativa vigente, il titolare adotta le massime cautele nel trattamento di informazioni personali del
proprio personale dipendente che siano idonee a rivelare lo stato di salute, le abitudini sessuali, le convinzioni
politiche, sindacali, religiose filosofiche o d'altro genere e l'origine razziale ed etnica.
Il trattamento dei dati sensibili del dipendente, da parte del datore di lavoro, deve avvenire secondo i principi di
necessità e di indispensabilità che impongono di ridurre al minimo l'utilizzo dei dati personali, e quando non si possa
prescindere dall'utilizzo dei dati giudiziari e sensibili, di trattare solo le informazioni che si rivelino indispensabili per
la gestione del rapporto di lavoro.
La pubblicazione delle graduatorie di selezione del personale o relative alla concessione, liquidazione, modifica e
revoca di benefici economici, agevolazioni, elargizioni, deve essere effettuata dopo un'attenta verifica che le
indicazioni contenute non comportino la divulgazione di dati idonei a rivelare lo stato di salute, utilizzando diciture
generiche o codici numerici.
Non sono infatti ostensibili, se non nei casi previsti dalla legge, le notizie concernenti la natura delle infermità e degli
impedimenti personali o familiari che causino l'astensione del lavoro, nonché le componenti della valutazione o le
notizie concernenti il rapporto di lavoro tra il personale dipendente e l'amministrazione, idonee a rivelare taluna
delle informazioni di natura sensibile.
Il titolare, nel trattamento dei dati sensibili relativi alla salute dei propri dipendenti, deve rispettare i principi di
necessità e indispensabilità.
Il titolare si conforma alle Linee Guida del Garante in materia di trattamento dei dati personali dei lavoratori per
finalità di gestione del rapporto di lavoro in ambito pubblico.

                                                           Art. 13
                           Pubblicazione web per obblighi di pubblicità legale e trasparenza
1.      L’Istituto effettua il trattamento di dati personali, contenuti in atti e documenti amministrativi, che devono
essere pubblicati all’albo on line per obblighi di pubblicità legale ed in Amministrazione Trasparente per obblighi di
trasparenza previsti dal D.Lgs. n. 33/2013.
2.           I documenti di cui al comma 1 sono pubblicati tempestivamente sul sito istituzionale dell’amministrazione e
  vanno mantenuti aggiornati.
3.           Non possono essere resi intelligibili i dati non necessari, eccedenti o non pertinenti con la finalità di
  pubblicazione.
4.           | dati particolari idonei a rivelare origine razziale ed etnica, convinzioni religiose, filosofiche o di altro genere,
  opinioni politiche, adesione a partiti, sindacati, associazioni e organizzazioni a carattere filosofico, politico o
  sindacale possono essere diffusi solo se indispensabili; i dati particolari relativi alla vita sessuale non possono essere
  diffusi per finalità di trasparenza, fatto salvo quanto previsto dall’Art. 9, comma 2 g) del presente regolamento.
  Qualora si rendesse necessario un trattamento dati di questo tipo, è necessario richiedere il pareredel RPC e del RPD
  preventivamente all’inizio delle attività di trattamento.
 5.          I dati particolari idonei a rivelare lo stato di salute non devono essere diffusi.
6.           I dati vanno pubblicati in formato di tipo aperto ai sensi dell’art. 68, D.Lgs. n. 82/2005 e sono liberamente
  riutilizzabili secondo la normativa vigente.
7.           I dati personali diversi dai dati sensibili e dai dati giudiziari devono essere pubblicati all’albo on line per il
  tempo necessario ad assolvere agli obblighi di pubblicità legale (di norma 15 giorni se non previsto esplicitamente
  altro termine). | dati ed i documenti pubblicati all’albo non possono essere oggetto di indicizzazione da parte dei
  motori di ricerca.
8.           I dati personali diversi dai dati sensibili e dai dati giudiziari devono essere pubblicati in amministrazione
  trasparente per assolvere agli obblighi di pubblicità legale previsti dal D.Lgs 33/2013. I dati ed i documenti pubblicati
  all’albo devono consentire l’indicizzazione e la rintracciabilità tramite i motori di ricerca web.
  9.         I dati, le informazioni e i documenti di cui al comma 8, sono pubblicati per un periodo di 5 anni, decorrenti dal
  1° gennaio dell’anno successivo a quello dell’obbligo di pubblicazione.
  10.        Deroghe alla predetta durata temporale quinquennale sono previste:
  a)         nel caso in cui gli atti producono ancora i loro effetti alla scadenza dei cinque anni, con la conseguenza che
  gli stessi devono rimanere pubblicati fino alla cessazione della produzione degli effetti;
  b)         per alcuni dati e informazioni riguardanti i titolari di incarichi politici, di carattere elettivo o comunque di
  esercizio di poteri di indirizzo politico, di livello statale regionale e locale ai sensi dell’art. 14, comma 2, D.Lgs. n.
  33/2013 ei titolari di incarichi dirigenziali e di collaborazione o consulenza che devono rimanere pubblicati online peri
  tre anni successivi dalla cessazione del mandato o dell’incarico ai sensi dell’art. 15, comma 4, D.Lgs. n. 33/2013;
  c)         nel caso in cui siano previsti diversi termini dalla normativa in materia di trattamento dei dati personali.
  11.        I dati personali devono essere conservati, in ogni caso, per un periodo di tempo non superiore a quello
  necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati; l'interessato ha sempre diritto di
  ottenere la cancellazione dei dati personali di cui non è necessaria la conservazione in relazione agli scopi per i quali
  sono stati raccolti o successivamente trattati.
  12.        Il titolare si impegna a emanare delle linee guida specifiche relative alla pubblicazione di documenti
  amministrativi sull’Albo Online ed in Amministrazione Trasparente. (Nota VargiuScuola: vedere i modelli di
  regolamento proposti per le pubblicazioni all’albo (gestione centralizzata e gestione distribuita)                          ed in
 amministrazione trasparente)

                                                              Art. 14
                         Trattamento dei dati personali effettuato con sistemi di videosorveglianza
 1.       Il trattamento dei dati personali effettuato mediante l’uso di sistemi di videosorveglianza richiede apposita
 informativa agli interessati e questa può essere rilasciata in forma semplificata come indicato all’Art. 5.
2.        Per finalità di tutela della sicurezza urbana, la durata della conservazione dei dati è limitata ‘ai sette
 giornisuccessivi     alla rilevazione delle informazioni e delle immagini raccolte mediante l’uso di sistemi di
 videosorveglianza, fatte salve speciali esigenze di ulteriore conservazione in conformità dell’art. 6, co. 9, D.L. n.
 11/2009. Tempi di durata maggiore della conservazione dei dati necessitano una specifica valutazione dei rischi,
 motivata con riferimento ad una specifica esigenza di sicurezza perseguita, in relazione a concrete situazioni di
 rischio riguardanti eventi realmente incombenti (es. collaborazione con l’autorità giudiziaria o dalla polizia giudiziaria
 in relazione ad un’attività investigativa in corso).



                                                           TITOLO III
                                                  DIRITTI DEGLI INTERESSATI

                                                              Art. 15
             Diritto di accesso alla documentazione, diritto di accesso civico e protezione dei dati personali
 | presupposti, le modalità, i limiti per l'esercizio del diritto di accesso ai documenti amministrativi e del diritto di
 accesso civico, semplice e generalizzato, contenenti dati personali, e la relativa tutela giurisdizionale, restano
disciplinati dalla normativa in materia di accesso agli atti e di accesso civico, anche per ciò che concerne i tipi di dati
sensibili e giudiziari, e le operazioni di trattamento eseguibili in esecuzione di una richiesta di accesso.
Le attività finalizzate all'applicazione di tale disciplina si considerano di rilevante interesse pubblico.
Il titolare si conforma alle Linee guida del Garante in tema di rapporti tra accesso alla documentazione, diritto di
accesso civico e protezione dei dati personali.
Il titolare si impegna a emanare delle linee guida specifiche relative alla gestione delle richieste di accesso civico e
documentale.(Nota VargiuScuola vedere il modello di regolamento proposto al presente link).

                                                             Art. 16
                                                   Diritti dell'interessato
Il titolare attua e implementa le misure organizzative, gestionali, procedurali e documentali necessarie a facilitare
l'esercizio dei diritti dell'interessato, di seguito elencati, in conformità alla disciplina contenuta nel RGDP e nel
Codice.

                                                             Art. 17
                                                        Diritto di accesso
Il presente Regolamento tiene conto della disciplina del RGPD in tema di diritto di accesso secondo la quale
l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento
di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:
a)       le finalità del trattamento;
 b)         le categorie di dati personali in questione;
 c)         i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare
 se destinatari di paesi terzi o organizzazioni internazionali;
 d)         quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri
 utilizzati per determinare tale periodo;
 e)         l'esistenza del diritto dell'interessato di chiedere al Titolare del trattamento la rettifica o la cancellazione dei
 dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
f)          il diritto di proporre reclamo a un'autorità di controllo;
 8)         qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;
 h)         l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi
 1e 4 RGPD, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le
 conseguenze previste di tale trattamento per l'interessato.
 Qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato ha il
 diritto di essere informato dell'esistenza di garanzie adeguate.
 Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie
 richieste dall'interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi
 amministrativi effettivamente affrontati.
 Se l'interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell'interessato, le
 informazioni sono fornite in un formato elettronico di uso comune.
 Il diritto di ottenere una copia non deve ledere i diritti e le libertà altrui.

                                                             Art. 18
                                                  Diritto alla rettifica e cancellazione
Il presente Regolamento tiene conto della disciplina del RGPD in tema di diritto di rettifica e cancellazione ("diritto
all'oblio"), di seguito indicata.
Quanto al diritto di rettifica, l'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati
personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento,
l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione
integrativa.
Il titolare comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche, salvo che
ciò si riveli impossibile o implichi uno sforzo sproporzionato.
Quanto al diritto "all'oblio", consistente nel diritto di ottenere dal titolare del trattamento la cancellazione dei dati
personali che lo riguardano senza ingiustificato ritardo,lo stesso non si applica nella misura in cui il trattamento sia
necessario:
_          per l'esercizio del diritto alla libertà di espressione e di informazione;
_          per l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dello
Stato membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico
interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
_          per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell'articolo 9, paragrafo 2,
lettere h) e i), e dell'articolo 9, paragrafo 3 RGPD;
_         a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente
all'articolo 89, paragrafo 1 RGPD, nella misura in cui il diritto all'oblio rischi di rendere impossibile o di pregiudicare
gravemente il conseguimento degli obiettivi di tale trattamento;
-         per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

                                                            Art. 19
                                                     Diritto alla limitazione
Il presente Regolamento tiene conto della disciplina del RGPD in tema di diritto alla limitazione, e di seguito indicata.
L'interessato ha il diritto di ottenere dal titolare la limitazione del trattamento quando ricorre una delle seguenti
condizioni:
a)        l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare per verificare
l'esattezza di tali dati personali;
b)        il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne
sia limitato l'utilizzo;
c)        benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono
necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;
d)        l'interessato si è opposto al trattamento ai sensi dell'articolo 21, paragrafo 1 RGPD, in attesa della verifica in
merito all'eventuale prevalenza dei motivi legittimi del Titolare del trattamento rispetto a quelli dell'interessato.
Se il trattamento è limitato a norma del paragrafo 1 dell'art. 18 RGPD, tali dati personali sono trattati, salvo che per la
conservazione, soltanto con il consenso dell'interessato o per l'accertamento, l'esercizio o la difesa di un diritto in
sede giudiziaria oppure per tutelare i diritti di un'altra persona fisica o giuridica o per motivi di interesse pubblico
rilevante dell'Unione o di uno Stato membro.
L'interessato che ha ottenuto la limitazione del trattamento a norma del paragrafo 1 è informato dal titolare prima
che detta limitazione sia revocata.
Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali
limitazioni del trattamento salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del
trattamento comunica all'interessato tali destinatari qualora l'interessato lo richieda.

                                                           Art. 20
                                                       Diritto alla portabilità
Il presente Regolamento tiene conto della circostanza che, in forza della disciplina del RGPD, il diritto alla portabilità
dei dati non si applica al trattamento necessario per l'esecuzione di un compito di interesse pubblico o connesso
all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.

                                                            Art. 21
                    Diritto di opposizione e processo decisionale automatizzato relativo alle persone
L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al
trattamento dei dati personali che lo riguardano ai sensi dell'articolo 6, paragrafo 1, lettere e) o f) del RGPD,
compresa la profilazione sulla base di tali disposizioni.
Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l'esistenza di
motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà
dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. Il diritto di cui ai
paragrafi 1 e 2 dell'art. 21 RGPD è esplicitamente portato all'attenzione dell'interessato ed è presentato chiaramente
e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l'interessato.
Nel contesto dell'utilizzo di servizi della società dell'informazione e fatta salva la direttiva 2002/58/CE,      l'interessato
può esercitare il proprio diritto di opposizione con mezzi automatizzati che utilizzano specifiche tecniche. Qualora i
dati personali siano trattati a fini di ricerca scientifica o storica o a fini statistici a norma dell'articolo 89, paragrafo 1
del RGPD, l'interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di
dati personali che lo riguarda, salvo se il trattamento è necessario per l'esecuzione di un compito di interesse
pubblico.

                                                            Art. 22
                                        Modalità di esercizio dei diritti dell'interessato
Per l'esercizio dei diritti dell'interessato, in ordine all'accesso ed al trattamento dei suoi dati personali, si applicano le
disposizioni del RGPD, del Codice e del presente Regolamento.
La richiesta per l'esercizio dei diritti può essere fatta pervenire:
_        direttamente dall'interessato, anche facendosi assistere da una persona di fiducia, con l'esibizione di un
documento personale di riconoscimento o allegandone copia o anche con altre adeguate modalità o in presenza di
circostanze atte a dimostrare l'identità personale dell'interessato stesso, come ad esempio, la conoscenza
personale;
_          tramite altra persona fisica o associazione, a cui abbia conferito per iscritto delega o procura; in tal caso, la
persona che agisce su incarico dell'interessato deve consegnare copia della procura o della delega, nonché copia
fotostatica non autenticata di un documento di riconoscimento del sottoscrittore;
_          tramite chi esercita la potestà o la tutela, per i minori e gli incapaci;
_          in caso di persone decedute, da chi ha un interesse proprio, o agisce a tutela dell'interessato o per ragioni
familiari meritevoli di protezione;
_          dalla persona fisica legittimata in base ai relativi statuti od ordinamenti, se l'interessato è una persona
giuridica, un ente o un'associazione.
L'interessato può presentare o inviare la richiesta di esercizio dei diritti:
_          al titolare o Responsabile del trattamento, che conserva e gestisce i dati personali dell'interessato;
-          all'ufficio protocollo generale del titolare o all'ufficio per le relazioni con il pubblico;
_          AI RPD del titolare o del responsabile del trattamento, che inoltrano la richiesta agli uffici interessati.
La richiesta, per l'esercizio dei diritti di accesso ai dati personali, può essere esercitata dall'interessato solo in
riferimentoalle informazioni che lo riguardano e non ai dati personali relativi ai terzi, eventualmente presenti
all'interno dei documenti che lo riguardano.
Fermo restando l'accesso ai dati personali, il dirigente autorizza l'esibizione degli atti all'interessato, ricorrendo le
condizioni per l'accesso. | soggetti competenti alla valutazione dell'istanza sonoil dirigente o un suo delegato il quale
decide sull'ammissibilità della richiesta d'accesso e sulle modalità di accesso ai dati.
All'istanza deve essere dato riscontro entro 30 giorni dalla data di ricezione della stessa. | termini possono essere
prolungati ad altri 30 giorni dalla data di ricezione, previa tempestiva comunicazione all'interessato, qualora l'istanza
avanzata dal richiedente sia di particolare complessità o ricorra un giustificato motivo. L'accesso dell'interessato ai
propri dati personalipuò essere differito limitatamente al periodo strettamente necessario durante il quale i dati
stessi sono trattati esclusivamente per lo svolgimento di indagini difensive o per salvaguardare esigenze di
riservatezza del titolare. L'accesso è tuttavia consentito agli altri dati personali dell'interessato che non incidono
sulle ragioni di tutela a base del differimento.
Il titolare si conforma alle Linee guida del Garante in tema di esercizio dei diritti dell'interessato.

                                                           Art. 23
                                                       Indagini difensive
Ai fini delle indagini svolte nel corso di un procedimento penale, il difensore, ai sensi     della Legge 7 dicembre 2000, n.
397 e dell'art. 391-quater del Codice di procedura penale, può chiedere documenti              in possesso del titolare, e può
estrarne copia, anche se contengono dati personali di un terzo interessato.
Il rilascio è subordinato alla verifica che il diritto difeso sia di rango almeno pari        a quello dell'interessato, e cioè
consistente in un diritto della personalità o in un altro diritto o libertà fondamentale      ed inviolabile rinviando, per ogni
altro e ulteriore aspetto, alla relativa disciplina al Regolamento del titolare sul diritto   di accesso.
Il titolare si conforma alle Linee guida del Garante in tema di indagini difensive.

                                                          TITOLO IV
                                                          SOGGETTI

                                                           Art. 24
                                                       Titolare e contitolari
 Il Titolare del Trattamento,rappresentato dal Dirigente Scolastico  pro tempore, in qualità di legale rappresentante
del titolare, provvede:
-          a definire gli obiettivi strategici per la protezione dei dati personali in ordine al trattamento, provvedendo
all'inserimento di tali obiettivi strategici nel P.T.O.F. e negli altri documenti di programmazione e pianificazione del
titolare;
-          a mettere in atto misure tecniche e organizzative adeguate a garantire che il trattamento sia effettuato
conformemente al Codice, al RGPD e al presente Regolamento;
-          a delegare ovvero a nominare, con proprio atto, le F.S. e il D.S.G.A. per i compiti, le funzioni e i poteri in
ordine ai processi, procedimenti, e adempimenti relativi al trattamento dei dati personali, alla sicurezza e alla
formazione, impartendo ad essi le necessarie istruzioni in relazione all'informativa agli interessati, alla tipologia dei
dati da trattare, alle condizioni normative previste per il trattamento dei dati, alle modalità di raccolta,
comunicazione e diffusione dei dati, all'esercizio dei diritti dell'interessato, all'adozione delle misure di sicurezza per
la conservazione, protezione e sicurezza dei dati, all'eventuale uso di apparecchiature di videosorveglianza;
-          a formare e aggiornare l'elenco delle le F.S. e del D.S.G.A. delegati o nominati, e a pubblicarlo sul sito web
istituzionale del titolare;
-          a designare, con proprio atto, il Responsabile per la protezione dei dati personali; a disporre periodiche
verifiche sul rispetto delle istruzioni impartite, anche con riguardo agli aspetti relativi alla sicurezza dei dati e alla
formazione dei dipendenti;
-          a favorire l'adesione a codici di condotta elaborati dalle associazioni e dagli organismi di categoria
rappresentativi;
-          a favorire l'adesione a meccanismi di certificazione;
-          ad assolvere agli obblighi nei confronti del Garante nei casi previsti dalla vifente normativa;
 Il titolare si trova in rapporto di contitolarità con altri titolari quando determinano congiuntamente le finalità e i
mezzi del trattamento.
 I contitolari sono tenuti a determinare, in modo trasparente, mediante un accordo interno, le rispettive
responsabilità in merito all'osservanza degli obblighi derivanti dal RGPD e dal presente Regolamento, con particolare
riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli
articoli 13 e 14 RGPD, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto
dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto
di contatto per gli interessati. L'accordo interno deve riflettere adeguatamente i rispettivi ruoli e i rapporti dei
contitolari con gli interessati. Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato.
 Indipendentemente dalle disposizioni dell'accordo interno, l'interessato può esercitare i propri diritti ai sensi del
presente regolamento nei confronti di e contro ciascun titolare del trattamento.

                                                           Art. 25
                              Funzioni Strumentali e Direttore dei Servizi Generali e Amministrativi
 Il titolare conferisce alle F.S. e al D.S.G.A. i sotto indicati compiti e funzioni, e i correlati poteri, mediante apposito
provvedimento di delega o di nomina, da adottarsi secondo il proprio ordinamento.
 Nel suddetto provvedimento, il titolare deve informare ciascun F.S./D.S.G.A., delle responsabilità che gli sono
affidate in relazione a quanto disposto dal Codice, dal RGPD e dal presente Regolamento. Compiti, funzioni e poteri:
-          trattare i dati personali solo su istruzione del titolare del trattamento;
-          garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o
abbiano un adeguato obbligo legale di riservatezza;
-          adottare il tempestivo ed integrale rispetto dei doveri del titolare previsti dal Codice, compreso il profilo
relativo alla sicurezza del trattamento così come disciplinato nell'art. 32 del RGPD;
-          osservare le disposizioni del presente Regolamento nonché delle specifiche istruzioni impartite dal titolare;
-          adottare idonee misure per garantire, nell'organizzazione delle prestazioni e dei servizi, il rispetto dei diritti,
delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto
previsto dalla normativa vigente, dalle disposizioni del Garante, dalle disposizioni contenute nel presente
 Regolamento, con particolare riguardo a tutte le disposizioni di rango speciale che comunque incidono sul
trattamento dei dati;
-          collaborare con il titolare del trattamento per la predisposizione del documento di valutazione d'impatto
sulla protezione dei dati e per la definizione del  [omissis] ività di trattamento, in collaborazione con
l'amministratore di sistema e con le altre strutture competenti del titolare, nonché per gli eventuali aggiornamenti o
adeguamenti del documento stesso;
-          curare l'elaborazione e la raccolta della modulistica e delle informative, da utilizzarsi all'interno
dell'organizzazione del titolare per l'applicazione del Codice, del RGPD, e del presente Regolamento;
-          assistere il titolare del trattamento con misure tecniche ed organizzative adeguate, nella misura in cui ciò sia
possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei
diritti dell'interessato per quanto previsto nella normativa vigente;
-          assistere il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del
 RGPD (sicurezza del trattamento dei dati personali, notifica di una violazione dei dati personali all'autorità di
controllo, comunicazione di una violazione dei dati personali all'interessato, valutazione d'impatto sulla protezione
dei dati, consultazione preventiva) tenendo conto della natura del trattamento e delle informazioni a disposizione;
-          mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto
degli obblighi previsti nel Codice, RGPD e nel presente Regolamento;
-          contribuire alle attività di verifica del rispetto del Codice, del RGPD e del presente regolamento, comprese le
ispezioni, realizzate dal titolare o da un altro soggetto da questi incaricato;
-          curare la costituzione e l'aggiornamento dei seguenti archivi/banche dati, per quanto di competenza:
1.         elenco dei contitolari, dei responsabili dei trattamenti, e degli incaricati, con i relativi punti di contatto;
2.      elenco degli archivi/ banche;
-       garantire l'aggiornamento, almeno annuale, della ricognizione dei trattamenti; fornire tutte le necessarie
informazioni e prestare assistenza al Responsabile della protezione dei dati (RPD/PDO) nell'esercizio delle sue
funzioni.
Ciascun F.S./D.S.G.A.nell'espletamento dei compiti, funzioni e poteri delegati o per i quali ha ricevuto la nomina,
collabora con il titolare al fine di:
-          comunicare tempestivamente, l'inizio di ogni nuovo trattamento, la cessazione o la modifica dei trattamenti
in atto, nonché ogni notizia rilevante ai fini dell'osservanza degli obblighi dettati dagli articoli da 32 a 36 del RGPD
riguardanti l'adozione di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al
rischio; la notificazione di una violazione dei dati personali al Garante privacy; la comunicazione di una violazione dei
dati personali all'interessato; la redazione della valutazione d'impatto sulla protezione dei dati; la consultazione
preventiva;
-          predisporre le informative previste e verificarne il rispetto e fornire le informazioni necessarie per
l'aggiornamento del registro dei trattamenti;
-          designare gli incaricati del trattamento, e fornire loro specifiche istruzioni;
-          rispondere alle istanze degli interessati secondo quanto stabilito dal Codice e stabilire modalità organizzative
volte a facilitare l'esercizio del diritto di accesso dell'interessato e la valutazione del bilanciamento degli interessi in
gioco;
-          garantire che tutte le misure di sicurezza riguardanti i dati del Titolare siano applicate all'interno della
struttura organizzativa del titolare ed all'esterno, qualora agli stessi vi sia accesso da parte di soggetti terzi quali
responsabili del trattamento;
-          informare il titolare del trattamento, senza ingiustificato ritardo, della conoscenza dell'avvenuta violazione
dei dati personali.
Ciascun F.S./D.S.G.A. risponde al titolare di ogni violazione o mancata attivazione di quanto dettato dalla normativa
vigente e della Mancata attuazione delle misure di sicurezza.
 | F.S./D.S.G.A. sono destinatari degli interventi di formazione di aggiornamento.

                                                          Art. 26
                                         Responsabili del trattamento e sub responsabili
 Il Responsabile è lapersona fisica o giuridica o ente pubblico che tratta i dati per conto del Titolare del trattamento. Il
 Responsabile è di solito un soggetto esterno ed è designato dal titolare. La designazione del responsabile del
trattamento deve avvenire ogni qual volta che il titolare affida ad un soggetto esterno il trattamento di dati
personali per conseguire le proprie finalità. A titolo indicativo, devono essere nominati:
-         Il fornitore dei servizi di segreteria digitale
-         Il fornitore dei servizi sul sito web istituzionale
-         Il fornitore di servizi di assistenza e gestione dei sistemi informatici
-         Consulenti e collaboratori che per lo svolgimento dell’incarico ricevuto trattano dati personali
 Il Responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del
pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Il
 Responsabile del trattamento non ricorre a un altro Responsabile senza previa autorizzazione scritta, specifica o
generale, del titolare.
 | Responsabili del trattamento hanno l'obbligo di:
-         trattare i dati in modo lecito, secondo correttezza e nel pieno rispetto della normativa vigente in materia;
-         rispettare le misure di sicurezza previste dal Codice sulla privacy e adottare tutte le misure che siano idonee a
prevenire e/o evitare la comunicazione o diffusione dei dati, il rischio di distruzione o perdita, anche accidentale, di
accesso non autorizzato o di trattamento non autorizzato o non conforme alle finalità della raccolta;
-         nominare, se è il caso, al loro interno i soggetti incaricati del trattamento;
-         garantire che i dati trattati siano portati a conoscenza soltanto del personale incaricato del trattamento;
-         attenersi alle disposizioni impartite dal Titolare del trattamento;
-         specificare i luoghi dove fisicamente avviene il trattamento dei dati e su quali supporti;
-         comunicare le misure minime di sicurezza adottate per garantire la riservatezza e la protezione dei dati
personali trattati.
 La designazione del Responsabile viene effettuata mediante atto da parte del titolare del trattamento da allegare
agli accordi, convenzioni o contratti che prevedono l'affidamento di trattamenti di dati personali esternamente al
titolare. Qualora sussistano dei trattamenti di dati personali effettuati da soggetti terzi per conto del Titolare,
precedenti all’adozione del presente regolamento e peri quali tali soggetti non siano stati nominati Responsabili del
Trattamento        secondo     le indicazioni contenute       nel presente     articolo, il dirigente scolastico   provvede
tempestivamente alla nomina degli stessi quali Responsabili del Trattamento.
 L'accettazione della nomina e l'impegno a rispettare le disposizioni del Codice, del RGPD e del presente
 Regolamento è condizione necessaria per l'instaurarsi del rapporto giuridico fra le parti.

                                                          Art. 27
                                    Incaricati del trattamento dipendenti del titolare
Gli incaricati del trattamento sono le persone fisiche, dipendenti del titolare, designati dal D.S. o da ciascun
 F.5./D.S.G.A. da lui delegati, incaricati di svolgere le operazioni di trattamento dei dati personali di competenza con
l'indicazione specifica dei compiti, dell'ambito di trattamento consentito, e delle modalità.
 La designazione dell'incaricato al trattamento dei dati personali è di competenza del D.S. o di F.S./D.S.G.A. da lui
delegati; la nomina è effettuata per iscritto e individua specificatamente i compiti spettanti all'incaricato e le
modalità cui deve attenersi per l'espletamento degli stessi e l'ambito del trattamento consentito.
A prescindere dalla nomina, si considera tale anche la documentata preposizione della persona fisica ad un’unità per
la quale risulti individuato, per iscritto, l'ambito del trattamento consentito agli addetti all’unità medesima. Per
effetto di tale disposizione, ogni dipendente preposto ad un determinato ufficio/servizio, tenuto ad effettuare
operazioni di trattamento nell'ambito di tale servizio, è da considerare, "incaricato" ai sensi dell'art. 2-quaterdecies
del Codice Privacy.
Gli incaricati devono comunque ricevere idonee ed analitiche istruzioni, anche per gruppi omogenei di funzioni,
riguardo le attività sui dati affidate e gli adempimenti a cui sono tenuti.
Gli incaricati collaborano con il titolare segnalando eventuali situazioni di rischio nel trattamento dei dati e fornendo
ogni informazione necessaria per l'espletamento delle funzioni di controllo.
 In particolare, gli incaricati devono assicurare che, nel corso del trattamento, i dati siano:
-         trattati in modo lecito, corretto e trasparente nei confronti dell’interessato; raccolti e registrati per scopi
determinati, espliciti e legittimi, e successivamente trattati in modo compatibile con tali finalità;
-         adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
-         esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o
rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
-         conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore a
quello necessario per il conseguimento delle finalità per le quali i dati sono trattati;
-         trattati in modo tale che venga ad essere garantita un'adeguata sicurezza dei dati personali, compresa la
protezione, mediante misure organizzative e tecniche adeguate, da trattamenti non autorizzati o illeciti e dalla
perdita, dalla distruzione o dal danno accidentale.
Gli incaricati sono tenuti alla completa riservatezza sui dati di cui siano venuti a conoscenza in occasione
dell'espletamento della propria attività, impegnandosi a comunicare i dati esclusivamente ai soggetti indicati dal
titolare nei soli casi previsti dalla legge, nello svolgimento dell'attività istituzionale del titolare. Gli incaricati
dipendenti del titolare sono destinatari degli interventi di formazione di aggiornamento.

                                                         Art. 28
                                  Incaricati del trattamento non dipendenti del titolare
Tutti i soggetti che svolgono un'attività di trattamento dei dati, e che non sono dipendenti del titolare, quali a titolo
meramente esemplificativo i tirocinanti, i volontari e i soggetti che operano temporaneamente all'interno della
struttura organizzativa del titolare o incaricati nominati dal Responsabile esterno, devono essere incaricati del
trattamento tramite atto scritto di nomina.
Questi ultimi sono soggetti agli stessi obblighi cui sono sottoposti tutti gli incaricati dipendenti del titolare, in modo
da garantire il pieno rispetto della tutela della riservatezza dei dati.
Gli incaricati non dipendenti dal titolare sono destinatari degli interventi di formazione di aggiornamento.



                                                         Art. 29
                   Responsabile della protezione dei dati personali (RPD) - Data Protection Officer (DPO)
  [omissis] Responsabile della protezione dei dati (RPD/DPO). Il RPD/PDO deve essere in possesso di:
-          un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
-          deve adempiere alle sue funzioni in totale indipendenza e in assenza di conflitti di interesse;
-          operare alle dipendenze del titolare del trattamento oppure sulla base di un contratto di servizio.
 Il RPD/DPO è tenuto al segreto o alla riservatezza in merito all'adempimento dei propri compiti.
 Il titolare del trattamento mette a disposizione del DPO le risorse necessarie per adempiere ai suoi compiti e
accedere ai dati personali e ai trattamenti. Il RPD/PDO svolge i seguenti compiti:
-          informa e fornisce consulenze al titolare del trattamento, nonché ai dipendenti che eseguono il trattamento
dei dati in merito agli obblighi vigenti relativi alla protezione dei dati;
-          verifica l'attuazione e l'applicazione della normativa vigente in materia, nonché delle politiche del Titolare o
del Responsabile del trattamento relative alla protezione dei dati personali, inclusi l'attribuzione delle responsabilità,
la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
-          fornisce, qualora venga richiesto, pareri in merito alla valutazione d'impatto sulla protezione dei dati e
sorveglia i relativi adempimenti;
-          funge da punto di contatto per gli interessati in merito al trattamento dei loro dati personali e all'esercizio
dei diritti;
-         funge da punto di contatto con il Garante per la protezione dei dati personali per questioni connesse            al
trattamento dei dati, tra cui la consultazione preventiva.

                                                       TITOLO V
                                             SICUREZZA DEI DATI PERSONALI

                                                          Art. 30
Misure di sicurezza
 Il titolare, nel trattamento dei dati personali, garantisce l'applicazione di adeguate e misure di sicurezza che
consentono di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non
autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta.
 In particolare il titolare del trattamento mette in atto misure e tecniche, organizzative, di gestione, procedurali e
documentali adeguate a garantire un livello di sicurezza adeguato al rischio. Tali misure possono comprendere:
-          la pseudonimizzazione e la cifratura dei dati personali trattati;
-          procedure per assicurare, in modo permanente, la riservatezza, l'integrità, la disponibilità e la resilienza dei
sistemi e dei servizi di trattamento;
-          modalità per garantire il ripristino tempestivo nell'accesso ai dati personali in caso di incidente fisico 0
tecnico;
-          una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative
al fine di garantire la sicurezza del trattamento.

                                                           Art. 31
                                    Valutazione d'impatto sulla protezione dei dati - DPIA
 La valutazione d'impatto sulla protezione dei dati (di seguito solo "DPIA”) è un processo inteso a descrivere il
trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi peri diritti e le libertà
delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per
affrontarli.
 La DPIA è uno strumento importante per la responsabilizzazione in quanto sostiene il titolare non soltanto nel
rispettare i requisiti del RGPD, ma anche nel dimostrare che sono state adottate misure appropriate per garantire il
rispetto del medesimo RGPD. La DPIA sulla protezione dei dati personali deve essere realizzata, prima di procedere
al trattamento, dal titolare del trattamento quando un tipo di trattamento, considerata la natura, il contesto, le
finalità, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Qui si intende per "rischio"
uno scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità, e per "gestione
dei rischi" l'insieme delle attività coordinate volte a indirizzare e controllare un'organizzazione in relazione ai rischi.
 Prioritariamente alla DPIA deve:
-         essere effettuata o aggiornata la ricognizione dei trattamenti.
-         essere effettuata la determinazione in ordine alla possibilità che il trattamento possa determinare un rischio
elevato peri diritti e le libertà degli interessati.
 La decisione in ordine alla possibilità che il trattamento possa produrre un rischio elevato sulla protezione dei dati
delle persone fisiche e, quindi, sulla obbligatorietà della DPIA viene adottata applicando i casi indicati all'art. 35,
paragrafo 3 del RGPD ed i criteri esplicativi contenuti nelle "Linee guida in materia di valutazione d'impatto sulla
protezione dei dati e determinazione della possibilità che il trattamento possa presentare un rischio elevato ai fini
del regolamento (UE) 2016/679" adottate dal Garante il 4 aprile 2017 e tenendo conto di eventuali successive
modifiche (di seguito solo "Linee guida").
 Nell'applicare i suddetti criteri si deve tenere conto di quanto segue:
-         la DPIA è sempre obbligatoria, indipendentemente dalla presenza di uno o più criteri sopra menzionati, per
tutti i trattamenti inclusi nell'elenco predisposto e pubblicato dall'Autorità di controllo ai sensi dell'art. 35, paragrafo
4 RGPD;
-       fermo restando che, secondo le Linee guida, un trattamento che soddisfa 2 criteri deve formare oggetto di
una valutazione d'impatto sulla protezione dei dati, tuttavia, al fine di garantire una maggiore garanzia di tutela, la
ricorrenza anche di 1 solo criterio potrebbe costituire elemento sufficiente per originare l'obbligo di svolgimento
della DPIA;
-         maggiore è il numero di criteri soddisfatti dal trattamento, più è probabile che sia presente un rischio elevato
per i diritti e le libertà degli interessati e, di conseguenza, che sia necessario realizzare una valutazione d'impatto
sulla protezione dei dati;
 La DPIA non è richiesta nei seguenti casi:
-         quando, sulla base di predetti criteri, risulta che il trattamento non è tale da "presentare un rischio elevato
peri diritti e le libertà delle persone fisiche";
-         quando la natura, l'ambito di applicazione, il contesto e le finalità del trattamento sono molto simili a un
trattamento per il quale è stata svolta una valutazione d'impatto sulla protezione dei dati. In tali casi, si possono
utilizzare i risultati della valutazione d'impatto sulla protezione dei dati per un trattamento analogo;
-         quando le tipologie di trattamento sono state verificate da un'autorità di controllo prima del maggio 2018 in
condizioni specifiche che non sono cambiate;
-         qualora un trattamento, effettuato a norma dell'articolo 6, paragrafo 1, lettere c) o e) GPDR, trovi una base
giuridica nel diritto dell'Unione o nel diritto dello Stato membro, tale diritto disciplini il trattamento specifico o sia già
stata effettuata una valutazione d'impatto sulla protezione dei dati nel contesto dell'adozione di tale base giuridica
(articolo 35, paragrafo 10 GPDR).
Secondo quanto disposto dall’art. 35, paragrafo 7 del RGPD, la DPIA deve contenere almeno:
-         una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove
applicabile, l'interesse legittimo perseguito dal Titolare del trattamento;
-         una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
-         una valutazione dei rischi peri diritti e le libertà degli interessati;
-         le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per
garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei
diritti e degli interessi legittimi degli interessati e delle altre persone in questione. Quando insorgono variazioni del
rischio rappresentato dalle attività relative al trattamento, il titolare del trattamento, se necessario, procede a un
riesame della valutazione d'impatto sulla protezione dei dati.
 Laddove la DPIA riveli la presenza di rischi residui elevati, il titolare è tenuto a richiedere la consultazione preventiva
dell'autorità di controllo in relazione al trattamento ai sensi dell'art. 36, paragrafo 1 RGPD.

                                                           Art. 32
                                   Pubblicazione sintesi della valutazione d'impatto - DPIA
Il titolare, previa analisi interna sulle potenziali ricadute, effettua la pubblicazione della DPIA o di una sintesi della
stessa al fine di contribuire a stimolare la fiducia nei confronti dei trattamenti effettuati dal titolare, nonché di
dimostrare la responsabilizzazione e la trasparenza.
La DPIA pubblicata non deve contenere l'intera valutazione qualora essa possa presentare informazioni specifiche
relative ai rischi per la sicurezza per il titolare o divulgare segreti commerciali o informazioni commerciali sensibili. In
queste circostanze, la versione pubblicata potrebbe consistere soltanto in una sintesi delle principali risultanze della
DPIA o addirittura soltanto in una dichiarazione nella quale si afferma che la DPIA è stata condotta.

                                                           Art. 33
                                                    Consultazione preventiva
 1.        Nei casi in cui si è proceduto nella valutazione di impatto sulla protezione dei dati ed è emerso che l’Istituto
 non riesce a trattare in maniera sufficiente tutti i rischi elevati, poiché ne restano ancora alcuni per questi ultimi
 residui, va consultato preventivamente il Garante per la privacy.
2.         L’Istituto, tramite il Responsabile della protezione dei dati ai sensi degli artt. 36 e 39, par. 1, lett. e),
 Regolamento UE n. 679/2016, invia richiesta di consultazione al Garante comunicando:
a.        i dati dell’Istituto in quanto Titolare del trattamento ed i propri dati in quanto punto di contatto e referente
 per la consultazione;
b.        le finalità ed i mezzi di trattamento previsti;
C.        le misure di garanzia previste per proteggere i diritti e le libertà fondamentali degli interessati;
d.        la valutazione di impatto sulla protezione dei dati in versione completa; - ogni altra informazione ritenuta
 necessaria.
3.         Il Garante formula parere scritto entro otto settimane dal ricevimento della richiesta di consultazione nel
 caso in cui ritenga che il trattamento comunicato violi le norme sulla protezione dei dati ed in particolare qualora
 ritenga che il Titolare non abbia sufficientemente attenuato o identificato il rischio. In base alla complessità del
 trattamento previsto il Garante può prorogare la sua risposta di un termine aggiuntivo di sei settimane informando il
 Responsabile della protezione dei dati, entro un mese dal ricevimento della richiesta di consultazione.
4.         In caso sia necessario, il Garante può richiedere al Responsabile della protezione dei dati informazioni
 aggiuntive a quelle già comunicate e può sospendere la decorrenza dei termini di cui al comma 3 in attesa della loro
 trasmissione.
5.         In assenza di parere espresso del Garante entro le otto settimane dal ricevimento della richiesta di
 consultazione, l’Istituto può procedere nel trattamento dei dati.

                                                           Art. 34
                                                 Modulistica e procedure
Il titolare, al fine di agevolare e semplificare la corretta e puntuale applicazione delle disposizioni del Codice, del