À., oY g a = pi. ò = Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 Valutazione di impatto sulla protezione dei dati (DPIA) — Art. 35 del Regolamento Il presente documento è finalizzato a porre in essere la valutazione di impatto sulla protezione dei dati (DPIA) ex Art. 35 del Regolamento UE/2016/679 nel Premessa giuridica alla stesura della valutazione di impatto sulla protezione dei dati (DPIA) scaturisce dalla contestuale presenza di due diversi ordini di fattori da individuare nella natura tipologica dei dati trattati e nella conseguente definizione del livello di gravità da questi posseduti. Dall'analisi preliminare operata sui dati oggetto di trattamento da parte di questa istituzione scolastica è emersa la contestuale presenza dei fattori appena sopra enunciati che si riportano analiticamente: A) Elenco delle tipologie di trattamenti soggetti al meccanismo di coerenza da sottoporre a valutazione di impatto 1) Dati relativi a soggetti idonei ad essere soggetti a_ profilazioni; 2) Dati relativi particolari categorie trattati su larga scala: condizioni salute-origini etniche -orientamento politico-orientamento religioso-condanne penali- appartenenza sindacale; 3) Dati derivanti dall'attività di Videosorveglianza; 4) Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche. B) Indicatori per la definizione dei dati trattati in grado Elevato e Comunicazioni nell'utilizzazione della piattaforma G.meet ; *\ VEAY \> 99 a sala - ee » Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 comunicazioni finanziarie nella gestione della contabilità con il sistema bancario OIL; comunicazioni elettroniche con uso di posta elettronica PEO e PEG; Dati di minori trasmessi per motivi istituzionali a soggetti autorizzati, Enti Pubblici. In ossequio alle disposizioni di cui al Regolamento UE/2016/679 l’inizio delle attività di trattamento dati viene ad essere posta in essere con tempi e modalità differenziati che possono essere esemplificati come riportato: 1) Trattamento dati relativi al personale dell’Istituzione scolastica : L’inizio trattamento dati decorre dall'assunzione in servizio del personale e prosegue a tempo indefinito vista la natura di P.A. dell'Ente deputato al trattamento e la perpetuità dei documenti contenuti negli archivi come da vigente normativa in materia gestionale degli archivi pubblici. 2) Trattamento dati alunni: L’inizio trattamento dati decorre dell'iscrizione dell’alunno e prosegue a tempo indefinito vista la natura di P.A. dell'Ente deputato al trattamento e la perpetuità dei documenti contenuti negli archivi come da vigente normativa in materia gestionale degli archivi pubblici. 3) Trattamento dati contabili/fornitori L’inizio trattamento dati decorre dall'assunzione al protocollo della disponibilità a stipulare contratti con l’ente/lettera di presentazione e prosegue a tempo indefinito vista la natura di P.A. dell'Ente deputato al trattamento e la perpetuità dei documenti contenuti negli archivi come da vigente normativa in materia gestionale degli archivi pubblici. 4) Trattamento dati video sorveglianza esterna agli edifici nei confronti di soggetti interni ed esterni : Inizio dall'ingresso dei soggetti nel perimetro pertinenziale esterno agli edifici scolastici e termina con la cancellazione delle dei dati alle 24h successive. ?) ì na) 4 id! . PA ® n pp Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 PRIVACY BY DESING ex art.25 co.1 Regolamento UE/2016/679 — Protezione dati fin dalla progettazione delle attività amministrative e didattiche La gestione organizzativa è stata progettata ed adottata dall’1.C. “ V. Brancati” , per il perseguimento delle finalità istituzionali dell'Ente e per la tutela del patrimonio mobiliare di sua pertinenza, prevede la trattazione di dati sensibili di elevata gravità. | dati rilevanti vengono trattati attraverso l'ausilio, in ragione dei processi peculiari e della loro natura stessa, attraverso tre diversi canali gestionali e relative piattaforme cloud: 1) Il trattamento dei dati relativi alla gestione Contabile, gestione giuridica del personale scolastico e degli alunni venga in modalità informatizzata attraverso l'ausilio degli applicativi web-cloud realizzati della Argo Software, società iscritta nell'elenco dei fornitori di servizi SaaS qualificati AgID secondo la circolare N. 3 del 9 aprile 2018; 2) Il Trattamento dei dati relativi alle Attività didattiche in DAD e meeting video per riunioni di organi collegiali ha luogo tramite la piattaforma Google Workspace for Education; 3) Videosorveglianza, tenuta per ragioni di sicurezza, i cui dati vengono raccolti e gestiti ad opera della ditta di vigilanza FuturSystem srls. Si procede all’analisi delle caratteristiche peculiari delle piattaforme sopra citate che costituiscono la progettazione iniziale dell’azione amministrativa dell'Ente (PRIVACY BY DESING ex art.25 co.1 Regolamento UE/2016/679). Si procede con l’analisi dell’architettura progettuale degli applicativi adottati per il trattamento dati. 1) SPECIFICHE TECNICHE ADOTTATE DA ARGO SOFTWARE trattamento dei dati relativi alla gestione Contabile, gestione giuridica del personale scolastico e degli alunni L’ Argo Software adotta tutti gli accorgimenti organizzativi, le soluzioni tecniche e procedurali idonee al mantenimento e ripristino delle condizioni di funzionamento e di operatività antecedenti ad eventuali eventi disastrosi ed è impegnata, con continuità, ad adottare tutte le misure di sicurezza che trovano fondamento e riferimento all'interno del quadro normativo italiano e europeo (Regolamento UE 2016/679, Linee guida AglD per il Disaster Recovery, Circolare AgiD nr. 2/2017 sulle misure minime di sicurezza ICT per le PP.AA. ) e dei più elevanti standard di sicurezza delle informazioni. Il Sistema di Gestione della Sicurezza delle Informazioni di Argo Software , nell'ambito dei servizi di progettazione, sviluppo, erogazione, in modalità cloud SaaS e on-premises, assistenza e manutenzione di software gestionale per le scuole di ogni ordine e grado e privati e di erogazione di servizi in modalità Cloud SaaS di gestione di ) è “ 4 9g , i n pi. o = Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 | dati trattati sono conservati da Argo Software all’interno dei database degli applicativi secondo la logica di raccolta e standardizzazione del singolo software ed etichettati secondo la classificazione delle informazioni del sistema di gestione. Architettura del sistema informatico di Argo software | database server, i repository di documenti e le relative copie di backup sono ospitati presso la piattaforma cloud AWS [omissis] . Il Cloud AWS è strutturato in "regioni", costituite da più "zone di disponibilità" (AZ), ognuna delle quali è una partizione completamente isolata dell'infrastruttura AWS, costituita da data center provvisti di alimentazione, rete e connettività ridondanti, ognuno in una propria struttura separata. Con la loro infrastruttura di alimentazione, le zone di disponibilità sono fisicamente separate tra loro da una distanza significativa di molti chilometri. I file dei documenti sono conservati negli storage (contenitori) di Amazon S3. | backup di database e file sono conservati negli storage di Amazon S3. Per i dati dei propri clienti, Argo Software ha scelto la regione Europa Irlanda, situata nella Repubblica d'Irlanda, composta da 3 zone di disponibilità e la regione Europa Milano, anch'essa composta da 3 zone di disponibilità. L'amministrazione dei servizi di gestione delle applicazioni e dei database è affidata esclusivamente a personale interno alla Argo Software. Gli addetti all'amministrazione delle applicazioni e dei database sono nominati amministratori di sistema. L'accesso ai servizi di amministrazione è eseguito attraverso utenze di dominio nominative adottando il meccanismo di autenticazione forte a due fattori secondo un approccio basato sull’analisi dei rischi. Con periodicità infrannuale, sulla base del piano degli audit interni, viene eseguito il monitoraggio sui log degli accessi degli amministratori di sistema da parte del personale all'uopo designato (auditor incaricato, DPO o responsabile del SGSI). | log degli accessi eseguiti dagli amministratori di sistema sono archiviati per un periodo di 18 mesi. Modalità di gestione dei dati e di erogazione del servizio di Argo software "I À, 99: ” ® cl “ en “n Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 Tutti i dati archiviati sui dischi all'interno di cluster Amazon e tutti i backup in Amazon S3 sono protetti con la crittografia, mediante l'Advanced Encryption Standard AES-256. Il sistema di gestione delle istanze delle applicazioni e dei database adottato da Argo consente di avere una facile ridondanza e replicazione dei sistemi informatici e dei dati, preservando così i clienti da rischi di interruzione prolungata dei servizi e/o di perdita delle informazioni. Ogni cluster di database è formato da due tipi di istanze: primaria e replica. Per ogni istanza primaria, ci sono più repliche posizionate in zone di disponibilità differenti. L'istanza database primaria viene replicata in modo sincrono. Nel caso in cui l'istanza primaria non sia disponibile, viene eseguita automaticamente la commutazione su una replica. Backup e ripristino dei dati, garanzie di continuità operativa di Argo software Per ogni istanza di database, il servizio Amazon RDS esegue uno snapshot giornaliero sul e conserva i log delle modifiche al database all'interno del periodo di "retention" che segue. La creazione degli snapshot non provoca alcuna interruzione delle operazioni di scrittura e lettura in quanto gli "snapshot" vengono eseguiti su una copia di standby. I log delle transazioni per le istanze database vengono caricate in Amazon S83 ogni 5 minuti. Per ciascuna istanza di database viene mantenuta una copia di backup giornaliera per 35 giorni (periodo di retention dei backup). Settimanalmente (domenica), è inoltre effettuata una ulteriore copia di tutti i dati, Durante questo periodo, è possibile eseguire il ripristino di una istanza di database a un punto temporale specifico. Decorso questo periodo, viene mantenuta una copia settimanale per ulteriori 25 giorni. Per offrire un pari livello di protezione anche ai documenti, la Argo ha attivato la funzione Versioning che consente di recuperare e ripristinare qualsiasi versione di ogni file di documento memorizzato nello storage Amazon S3. Il servizio di AWS garantisce una durabilità dei dati pari ad oltre il 99,9% perchè crea e mantiene automaticamente copie di tutti gli oggetti su più sistemi. Per tutelare i propri clienti, la Argo ha messo in funzione un piano di continuità operativa molto dettagliato, che mira a garantire il ripristino di tutte le informazioni contenute nelle repliche anche in caso di disastro, secondo i seguenti SLA: RTO: il tempo massimo di recupero e ripristino delle informazioni è fissato in 4 ore dall’incidente. RPO: il punto massimo di perdita di dati in caso di incidente è 24 ore (per via del backup giornaliero, se l'incidente avviene prima della copia, il massimo di dati persi è fino all'ultima esecuzione del backup del giorno precedente). À, 99: ” LC cl “ en “n Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 I due SLA, combinati, mirano a garantire ai clienti dei servizi cloud che in caso di disastro, la Argo sarà in grado di ripristinare la disponibilità di tutti i dati, fatti salvi quelli registrati nelle ultime 24 ore, in un massimo di 4 ore. Gestione e Profilazione delle utenze di Argo software La gestione e profilazione delle utenze degli applicativi web Argo, attraverso il portale Argo, è di esclusiva pertinenza del Supervisor [omissis] dell’I.C. “V. Brancati”. In fase di attivazione di una nuova utenza, viene richiesta l'indicazione di un'indirizzo mail, a cui saranno comunicati l'attivazione e i successivi reset password dell'utenza e, su richiesta, l'invio di notifiche relative agli accessi effettuati dall'utente all'area di gestione utenza del portale Argo. L'indirizzo mail può essere modificato in qualsiasi momento dal singolo utente dalla Gestione delle Utenze del Portale Argo, accedendo alla gestione “Anagrafe Utente”. Dietro esplicito consenso da parte dell'utente, l'indirizzo mail potrà essere utilizzato da parte della Argo Software per l'invio di comunicazioni di natura esclusivamente tecnica sull'utilizzo dei programmi Argo a cui l'utente risulta abilitato (faq, guide, videoguide, manuali d'uso, comunicazioni sulle novità riguardanti gli aggiornamenti, nuove soluzioni). L'opzione di scelta per l'invio delle suddette comunicazioni può essere modificata dall'utente in qualsiasi momento sempre dalla gestione "Anagrafe Utente". Accesso ai servizi web di Argo software L‘acceso da parte degli utenti ai servizi web Argo avviene usando il protocollo di autenticazione/autorizzazione OAuth2. Il token di accesso ha durata di 1 ora e nel caso l'utente abbia scelto di accedere con modalità Single Sign On (SSO), mettendo la spunta sull'opzione “Ricordami“ nel pannellodi login, questo viene rinnovato in automatico per 24 ore. Alla scadenza del token o in caso di logout, l'utente potrà riaccedere reinserendo le credenziali di accesso. La modalità SSO consente all'utente di accedere a tutti gli applicativi Argo sui cui l’utente è stato autorizzato, senza reimmettere le credenziali di accesso (nello stesso browser e sullo stesso dispositivo). L‘ utilizzo del SSO è vivamente sconsigliato in caso di postazione/dispositivo condiviso: in questo caso è bene ricordarsi di effettuare il logout dalla sessione corrente prima di allontanarsi definitivamente dalla postazione e di chiudere tutte le eventuali finestre di lavoro attive. L'accesso ai servizi può essere effettuato oltre che tramite le credenziali fornite dalla scuola, anche mediante SPID di livello 1 (se l'utente è stato abilitato dal gestore delle utenze della scuola e qualora la scuola abbia sottoscritto l‘accordo di servizio per la registrazione in AglD) o mediante ArgolID. ArgolD è un servizio di accesso facilitato messo a disposizione direttamente da Argo agli utenti e serve a facilitare l'autenticazione, in presenza di più utenze, ’ ®, i x) di) No si = o Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 attraverso l'utilizzo di una unica coppia di credenziali. All‘ArgolD vengono collegate tutte le singole utenze create dalle scuole. | dati richeisti per la creazione dell’ArgolD sono personali (nome, cognome, mail, codice fiscale ed eventualmente numero di telefono) e sono trattati dalla Argo Software srl in qualità di Titolare del Trattamento, come specificato nella informativa disponibile al link Gestione degli Argo ID. 2) SPECIFICHE TECNICHE ADOTTATE DA GOOGLE WORKSPACE FOR EDUCATION Trattamento dei dati relativi alle Attività didattiche in DAD e meeting video per riunioni di organi collegiali Tipologia dati raccolti L'account Google Workspace for Education è un Account Google creato e gestito da una scuola e destinato all'utilizzo da parte di studenti e insegnanti. L'account può essere utilizzato sia per i servizi principali sia per i servizi aggiuntivi e le informazioni che raccogliamo e archiviamo nell'account dell'utente sono trattate come informazioni personali. Gli amministratori gestiscono il modo in cui gli utenti utilizzano i servizi principali e i servizi aggiuntivi con i loro account Google Workspace for Education, compresa l'acquisizione del consenso dei genitori per i servizi aggiuntivi che scelgono di attivare per gli studenti. Tipologia delle informazioni raccolte Per fornire i Servizi Cloud, Google tratta: 1) Dati della scuola, Dati del partner; 2) Dati di servizio; | Dati della scuola e i Dati del partner sono definiti nel contratto o nei contratti relativi ai Servizi Cloud e rappresentano i dati che l'utente e i nostri clienti forniscono per l'elaborazione nei Servizi Cloud. Per ulteriori informazioni sulle modalità di trattamento dei Dati del cliente e dei Dati del partner, consultare Google Workspace Data Processing Amendment, Google Cloud Platform Data Processing and Security Terms (Customers) e Google Cloud Platform Data Processing and Security Terms (Partners). | Dati del cliente e i Dati del partner sono definiti nel contratto o nei contratti relativi ai Servizi Cloud e rappresentano i dati che l'utente e i nostri clienti forniscono per l'elaborazione nei Servizi Cloud. Per ulteriori informazioni sulle modalità di trattamento dei Dati Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 del cliente e dei Dati del partner, consultare Google Workspace Data Processing Amendment, Google Cloud Platform Data Processing and Security Terms (Customers) e Google Cloud Platform Data Processing and Security Terms (Partners). Per Dati di servizio si intendono le informazioni personali che Google raccoglie o genera durante la fornitura e l'amministrazione dei Servizi Cloud, esclusi eventuali Dati del cliente e Dati del partner. | Dati di servizio includono: e Pagamentie transazioni relativi al cloud. Conserviamo ragionevoli record aziendali su addebiti, pagamenti, dettagli di fatturazione e problemi. e Impostazioni e configurazioni del cloud. Registriamo la configurazione e le impostazioni dell'utente, tra cui attributi e identificatori di risorsa. Sono incluse le impostazioni relative a servizi e sicurezza per i dati e altre risorse. e Dettagli tecnici e operativi dell'utilizzo dei Servizi Cloud da parte dell'utente. Raccogliamo informazioni sull'utilizzo, lo stato operativo, rapporti su errori di software e arresti anomali, credenziali di autenticazione, metriche di qualità e prestazioni e altri dettagli tecnici necessari per il funzionamento e il mantenimento dei Servizi Cloud e del software correlato. Queste informazioni possono includere identificatori dei dispositivi, identificatori da cookie o token e indirizzi IP. e Comunicazioni dirette degli utenti. Conserviamo documentazione sulle comunicazioni e interazioni con noi e i nostri partner, ad esempio quando l'utente fornisce un feedback o informazioni di contatto, pone domande o richiede assistenza tecnica. Finalità del trattamento dei dati Google tratta i Dati di servizio per le seguenti finalità: Fornire i Servizi Cloud richiesti dall'utente. | Dati di servizio vengono utilizzati principalmente per fornire i Servizi Cloud richiesti dall'utente e dai nostri clienti. Ciò comprende diverse attività di elaborazione che sono necessarie per fornire i Servizi Cloud, tra cui l'elaborazione per la fatturazione relativa all'utilizzo dei servizi, per assicurare che i servizi funzionino come previsto, per rilevare e impedire interruzioni o altri problemi che potrebbero verificarsi e per proteggere i dati dell'utente e i servizi che l'utente utilizza e nello specifico: -Offrire suggerimenti per ottimizzare l'utilizzo dei Servizi Cloud; "I À, 99: ” ® cl “ en “n Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 -Offrire all'utente e ai nostri clienti suggerimenti e consigli. Questi suggerimenti possono includere modi per proteggere meglio l'account o i dati dell'utente, opzioni per ridurre gli addebiti relativi ai servizi o migliorare le prestazioni e informazioni su prodotti e funzionalità nuovi o correlati; -Mantenere e migliorare i Servizi Cloud; -Valutazione dei dati di servizio per poter migliorare le prestazioni e la funzionalità dei Servizi Cloud. Quando ottimizziamo i Servizi Cloud per l'utente, questi potrebbero migliorare per nostri i clienti e viceversa; -Fornire e migliorare altri servizi richiesti dall'utente, inclusi servizi di Google o di terze parti abilitati tramite i Servizi Cloud, le console amministrative, le API, Google Cloud Platform Marketplace o Google Workspace Marketplace. -Fornire assistenza all'utente, anche tecnica, e servizi professionali secondo quanto richiesto dall'utente e dai nostri clienti e per valutare se le esigenze dell'utente sono state soddisfatte. -Migliorare l'assistenza online e per comunicare con l'utente. Ciò include le notifiche sugli aggiornamenti ai Servizi Cloud e la risposta alle richieste di assistenza. -Proteggere gli utenti, il pubblico e Google; -Utilizzare i Dati di servizio per migliorare la sicurezza e l'affidabilità dei servizi. Ciò include il rilevamento, la prevenzione e la risposta a frodi, utilizzi illeciti, rischi per la sicurezza e problemi tecnici che potrebbero danneggiare gli utenti, i clienti, il pubblico o Google; -Ottemperare agli obblighi di legge (ad esempio per rispondere a un procedimento giudiziario o a una richiesta del governo con forza esecutiva o per ottemperare agli obblighi relativi alla tenuta e alla conservazione dei registri contabili). -Altre finalità con il consenso dell'utente( esempio richiedere il consenso dell'utente per trattare le informazioni per altre finalità non coperte da questa Informativa sulla privacy). L'utente ha il diritto di ritirare il consenso in qualsiasi momento. Per queste finalità, Google può utilizzare i Dati di servizio in combinazione con le informazioni raccolte da altri prodotti e servizi Google. Può utilizzare algoritmi per riconoscere partern nei Dati di servizio. È possibile anche che la raccolta e revisione di Dati di servizio avvenga manualmente, ad esempio quando l'utente interagisce direttamente con i team di fatturazione o di assistenza. Possono essere aggregati e anonimizzati i Dati di servizio per eliminare | dettagli personali, e possiamo utilizzare i Dati di Servizio per la reportistica interna e l'analisi del prodotto e delle operazioni commerciali applicabili. Google data center in tutto il mondo e fornsce Google Workspace e Google Workspace for Education da queste località e Google Cloud Platform da queste località. Il trattamento dei Dati di servizio può avvenire su server situati fuori dal paese in cui si trovano i nostri utenti e clienti perché i Dati di servizio vengono generalmente trattati da unità operative centralizzate o regionalizzate come fatturazione, assistenza e sicurezza. "\ \s> A >»d ® i n e = Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 Indipendentemente da dove vengono trattati i Dati di servizio, applichiamo le stesse protezioni descritte in questa Informativa per la privacy. Quando trasferiamo i Dati di servizio fuori dallo Spazio economico europeo, Google è tenuta al rispetto determinati quadri giuridici: Normative vigenti sul trasferimento dei Dati Decisioni di adeguatezza La Commissione europea ha stabilito che alcuni paesi esterni allo Spazio economico europeo (SEE) sono tenuti a proteggere i dati personali in maniera adeguata, il che significa che i dati possono essere trasferiti dall'Unione europea (UE), dalla Norvegia, dal Liechtenstein e dall'Islanda al paese terzo senza che siano necessarie ulteriori salvaguardie. Il Regno Unito e la Svizzera hanno approvato decisioni di adeguatezza simili. In alcuni casi Google si uniforma alle seguenti decisioni di adeguatezza: Decisioni di adeguatezza della Commissione europea Decisioni di adeguatezza del Regno Unito Decisioni di adeguatezza della Svizzera Protezione dei dati Google crea i Servizi Cloud con funzionalità di sicurezza solide per la protezione delle informazioni. Le informazioni che ottenute nel fornire i servizi aiutano a rilevare e bloccare automaticamente le minacce alla sicurezza, affinché gli utenti non siano coinvolti. Per proteggere l'utente e Google da accessi non autorizzati alle informazioni in nostro possesso e dall'alterazione, dalla divulgazione e dalla distruzione non autorizzate di tali informazioni. In particolare: e Criptai Dati di servizio inattivi e in transito tra le nostre strutture. e Esamina regolarmente le nostre prassi di raccolta, archiviazione e trattamento delle informazioni, comprese le misure sulla sicurezza fisica, per impedire l'accesso non autorizzato ai sistemi. e Consentell'accesso alle informazioni personali soltanto a dipendenti, terzisti e agenti Google che necessitano di tali informazioni per poterle elaborare per noi. Tutti coloro a cui viene concesso tale accesso devono rispettare rigidi obblighi contrattuali in merito alla riservatezza e potrebbero essere soggetti a sanzioni o risoluzione del contratto qualora non rispettassero tali obblighi. "\ \s> A >»d ® i n e = Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 Modalità di condivisione i dati Non vengono condivisi Dati di servizio con società, organizzazioni o privati che non fanno parte di Google, ad eccezione dei seguenti casi: e Conil consenso dell'utente La condivisione di Dati di servizio al di fuori di Google solo ed esclusivamente con il consenso dell'utente. Ad esempio, quando l'utente o un nostro cliente sceglierà di usufruire di un servizio di terze parti tramite Google Cloud Platform Marketplace o Google Workspace Marketplace, oppure sceglierà di utilizzare un'applicazione di terze parti che richiede l'accesso ai suoi dati, chiederemo l'autorizzazione a condividere tali dati con la terza parte in questione. e Congli amministratori dell'utente e i rivenditori autorizzati Quando l'utente utilizza i Servizi Cloud, l'amministratore dell'utente e i rivenditori autorizzati a gestire l'account dell'utente o dell'organizzazione dell'utente avranno accesso a determinati Dati di servizio. Ad esempio, potrebbero essere in grado di: o Visualizzare informazioni sull'account e dati di fatturazione, attività e statistiche o Modificare la password dell'account o Sospendere o interrompere l'accesso all'account da parte dell'utente o Accedereai dati dell'account per ottemperare a una legge o una norma vigente, un procedimento giudiziario o una richiesta del governo con forza esecutiva o Limitare la capacità dell'utente di eliminare o modificare le informazioni o le impostazioni sulla privacy e Pertrattamenti esterni Google fornisce informazioni alle società consociate, ai partner e ad altre aziende o persone di loro fiducia affinché si occupino del trattamento per suo conto, in base alle nostre istruzioni e nel rispetto della Informativa sulla privacy e di altre misure appropriate relative a riservatezza e sicurezza. e Permotivilegali Potrà condividere Dati di servizio all'esterno di Google se riterrà in buona fede che l'accesso, l'utilizzo, la conservazione o la divulgazione di tali informazioni siano ragionevolmente necessari per: e Ottemperare a leggi o norme vigenti, procedimenti giudiziari o richieste del governo con forza esecutiva. Condividiamo informazioni relative al numero e al tipo di richieste che riceviamo dai governi nel Rapporto sulla trasparenza. e Applicare accordi vigenti, comprese le indagini in merito a potenziali violazioni. "\ \s> o 9 » 99 a sala - Ls » Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 L'insieme delle misure preventive e protettive costituisce un programma di fondamentale importanza nell'ambito della politica per la Sicurezza, poiché fornisce una guida operativa, che permette di gestire la Sicurezza con organicità e sistematicità e in modo dinamico. Per definire uno scadenzario degli interventi l'Istituto Scolastico ha adottato un criterio di "n" mesi crescenti in funzione inversa all'indice di gravità (e quindi al valore del numero "R"). Vedere esempio seguente: R = 16 intervento entro 01 mesi e verifica entro 10 giorni R = 12 intervento entro 04 mesi e verifica entro 20 giorni R=08 intervento entro 08 mesi e verifica entro 30 giorni R = 04 intervento entro 12 mesi e verifica entro 40 giorni R = 01 intervento entro 16 mesi e verifica entro 60 giorni. Il programma delle misure di sicurezza adottate o da adottare per ogni categoria di rischi (aree e locali, integrità dei dati e trasmissioni) è sistematicamente aggiornato nell'ottica di un miglioramento continuo del Sistema Sicurezza dell'Istituto Scolastico : esso è sottoposto a riesame ogni anno, salvo diversa indicazione del titolare del trattamento o per iniziativa dei responsabili, che riscontrino necessità di intervento o non conformità (tecniche o normative). Obiettivo delle misure programmate è comunque ridurre al minimo valore possibile l'indice di rischio relativo "R" a seguito dell'adozione, da parte dei singoli responsabili, delle misure idonee di protezione proposte al Titolare del Trattamento. Protezione dati trattati con strumenti multimediali ed applicative Web-Cloud ARGO SOFTWARE trattamento dei dati relativi alla gestione Contabile, gestione giuridica del personale scolastico e degli alunni Evento Trattamenti interessati |Probabilità Magnitudo Indice Livello di del danno di di accadiment rischi rischio o o Accesso abusivo ai dati ALUNNI 2 4 8 Significativo % 5À »/ 7 LC ACLI n ) = Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 FORNITORI 2 4 8 Significativo PERSONALE 2 4 8 Significativo PROTOCOLLO E CORRISPONDENZA 2 4 8 Significativo Alterazione HW o SW ALUNNI 1 4 4 Basso FORNITORI 1 4 4 Basso PERSONALE 1 4 4 Basso PROTOCOLLO E CORRISPONDENZA 1 4 4 Basso Copia abusiva dei dati ALUNNI 2 3 6 Significativo ALUNNI CARTACEO 2 3 6 Significativo FORNITORI 2 3 6 Significativo PERSONALE 2 3 6 Significativo PROTOCOLLO E CORRISPONDENZA 2 3 6 Significativo Distruzione HW ALUNNI 1 1 1 Accettabile FORNITORI 1 1 1 Accettabile PERSONALE 1 1 1 Accettabile PROTOCOLLO E CORRISPONDENZA 1 1 1 Accettabile Malfunzionamento HW ALUNNI 3 1 3 Basso FORNITORI 3 1 3 Basso PERSONALE 3 1 3 Basso PROTOCOLLO E CORRISPONDENZA 3 1 3 Basso Malfunzionamento SW PERSONALE 2 4 8 Significativo Mancanza di alimentazione ALUNNI 3 1 3 Basso FORNITORI 3 1 3 Basso PERSONALE 3 1 3 Basso % 5À » 9: LC n ) nl= Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 PROTOCOLLO E CORRISPONDENZA 3 1 3 Basso Mancata distruzione del supporto magnetico raggiunta ALUNNI 4 4 16 Elevato lafinalità PERSONALE 4 4 16 Elevato Perdita dei dati PERSONALE 2 4 8 Significativo PROTOCOLLO E CORRISPONDENZA 2 4 8 Significativo Presa visione abusiva dei dati ALUNNI 2 4 8 Significativo ALUNNI CARTACEO 2 4 8 Significativo FORNITORI 2 4 8 Significativo PERSONALE 2 4 8 Significativo PROTOCOLLO E CORRISPONDENZA 2 4 8 Significativo Uso non autorizzato dei dati ALUNNI 2 4 8 Significativo ALUNNI CARTACEO 2 4 8 Significativo FORNITORI 2 4 8 Significativo PERSONALE 2 4 8 Significativo PROTOCOLLO E CORRISPONDENZA 2 4 8 Significativo Virus informatico ALUNNI 3 4 12 Elevato FORNITORI 3 4 12 Elevato PERSONALE 3 4 12 Elevato PROTOCOLLO E CORRISPONDENZA 3 4 12 Elevato Protezione trasmissione dati Evento Trattamenti interessati |Probabilità Magnitudo Indice Livello di del danno di di accadiment rischi rischio o o % 5À »/ 7 LC ACLI n ) = Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 Alterazione dati ALUNNI 2 4 8 elevato FORNITORI 2 4 8 Significativo PERSONALE 2 4 8 Significativo PROTOCOLLO E CORRISPONDENZA 2 4 8 Significativo Danneggiamento allegati ALUNNI 2 3 6 Significativo FORNITORI 2 3 6 Significativo PERSONALE 2 3 6 Significativo PROTOCOLLO E CORRISPONDENZA 2 3 6 Significativo Errore invio ALUNNI 2 4 8 Significativo PERSONALE 2 4 8 Significativo Guasto tecnologico ALUNNI 3 2 6 Significativo PERSONALE 3 2 6 Significativo PROTOCOLLO E CORRISPONDENZA 3 2 6 Significativo Intercettazione dati ALUNNI 2 4 8 Significativo FORNITORI 2 4 8 Significativo PERSONALE 2 4 8 Significativo PROTOCOLLO E CORRISPONDENZA 2 4 8 Significativo Interruzione trasmissione ALUNNI 2 1 2 Accettabile FORNITORI 2 1 2 Accettabile PERSONALE 2 1 2 Accettabile PROTOCOLLO E CORRISPONDENZA 2 1 2 Accettabile Mancata ricezione ALUNNI 3 2 6 Significativo FORNITORI 3 2 6 Significativo PERSONALE 3 2 6 Significativo 2. À, Ù PÒ ® a n - Ls » Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 Perdita dei dati PERSONALE 1 4 4 Basso PROTOCOLLO E CORRISPONDENZA 1 4 4 Basso Protezione dati trattati con strumenti multimediali ed applicativo Web-Cloud GOOGLE WORKSPACE FOR EDUCATION Trattamento dei dati relativi alle Attività didattiche in DAD e meeting video per riunioni di organi collegiali Evento Trattamenti Probabilità di | Magnitudodel Indice di Livello dirischio interessati accadimento danno rischio Accesso abusivo ai dati ALUNNI 2 4 8 Significativo PERSONALE 2 4 8 Significativo Copia abusiva dei dati ALUNNI 2 4 8 Significativo PERSONALE 2 4 8 Significativo Malfunzionamento SW ALUNNI 2 2 8 Significativo PERSONALE 2 2 8 Significativo Mancata distruzione del supporto magnetico ALUNNI 2 4 8 Significativo raggiunta lafinalità PERSONALE 2 4 8 Significativo Perdita dei dati ALUNNI 2 4 8 Significativo PERSONALE 2 4 8 Significativo Presa visione abusiva dei dati ALUNNI 2 4 8 Significativo PERSONALE 2 4 8 Significativo Uso non autorizzato dei dati ALUNNI 2 4 8 Significativo PERSONALE 2 4 8 Significativo Virus informatico ALUNNI 2 4 8 Significativo PERSONALE 2 4 8 Significativo ?) \°o a so 9g PÒ a n pi. o = Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara # È 0922 —- 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 zione dati trattati con strumenti multimediali ed applicativo web CarecamPro DA FUTURSYSTEM SRLS Videosorveglianza, tenuta per ragioni di sicurezza Evento Trattamenti Probabilità di | Magnitudodel Indice di Livello dirischio interessati accadimento danno rischio Accesso abusivo ai dati ALUNNI 2 4 8 Significativo PERSONALE 2 4 8 Significativo Copia abusiva dei dati ALUNNI 2 4 8 Significativo PERSONALE 2 4 8 Significativo Malfunzionamento SW ALUNNI 2 2 8 Significativo PERSONALE 2 2 8 Significativo Mancata distruzione del supporto magnetico ALUNNI 2 4 8 Significativo raggiunta lafinalità PERSONALE 2 4 8 Significativo Perdita dei dati ALUNNI 2 4 8 Significativo PERSONALE 2 4 8 Significativo Presa visione abusiva dei dati ALUNNI 2 4 8 Significativo PERSONALE 2 4 8 Significativo Uso non autorizzato dei dati ALUNNI 2 4 8 Significativo PERSONALE 2 4 8 Significativo Virus informatico ALUNNI 2 4 8 Significativo PERSONALE 2 4 8 Significativo % 5À »/ 0% ) ® ACLI n = Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 PRIVACY BY DEFAULT ex art.25 c0o.2 Regolamento UE/2016/679 — Protezione dei dati per impostazione predefinita Il presente documento pone in esame, altresì, il complesso delle misure tecniche e organizzative adottate ed adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento del personale scolastico incaricato al trattamento . ELENCO ANALITICO DELLE MISURE ADOTTATE E DA ADOTTARE ire adottate per la protezione dati trattati con strumenti elettronici ed applicativi Argo software N Misura Ulteriore misura da adottare Trattamenti interessati Adottata [omissis] Crittografia - ALUNNI 2. [Backup archivi (operati da Argo software) Nessuna - FORNITORI - PERSONALE - ALUNNI - PROTOCOLLO E CORRISPONDENZA “ I \> Dé A n° Istituto Comprensivo V Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara # È 0922 —- 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 Formazione del personale Nessuna PERSONALE ALUNNI PROTOCOLLO E CORRISPONDENZA Gruppo di continuità Nessuna FORNITORI PERSONALE ALUNNI PROTOCOLLO E CORRISPONDENZA Istruzioni incaricati Nessuna - FORNITORI PERSONALE ALUNNI PROTOCOLLO E CORRISPONDENZA Manutenzione periodica hardware Nessuna FORNITORI PERSONALE ALUNNI PROTOCOLLO E CORRISPONDENZA Manutenzione periodica software Nessuna FORNITORI PERSONALE ALUNNI PROTOCOLLO E CORRISPONDENZA *\) To » A - ® n = Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 Scheda segnalazione eventi dannosi Nessuna _ FORNITORI - PERSONALE - ALUNNI - PROTOCOLLO E CORRISPONDENZA Screensaver con password N essuna FORNITORI - PERSONALE - ALUNNI - PROTOCOLLO E CORRISPONDENZA 10 icaz Sistema di autenticazione utenti (user e Nessuna FORNITORI password) - PERSONALE - ALUNNI - PROTOCOLLO E CORRISPONDENZA 11 Software anti-intrusione Nessuna - FORNITORI - PERSONALE - ALUNNI - PROTOCOLLO E CORRISPONDENZA D N essuna 12 Software anti-malware - FORNITORI - PERSONALE - ALUNNI - PROTOCOLLO E CORRISPONDENZA Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 Misure adottate per la Protezione trasmissione dati Misura Ulteriore misura da adottare Trattamenti Adottata interessati Variazione periodica password Nessuna FORNITORI PERSONALE ALUNNI PROTOCOLLO E CORRISPONDENZA Firewall Nessuna FORNITORI PERSONALE ALUNNI Firma digitale Nessuna FORNITORI PERSONALE ALUNNI Formazione del personale Nessuna FORNITORI PERSONALE ALUNNI PROTOCOLLO E CORRISPONDENZA *\) To “ 4 A a LC n = Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 5 Manutenzione periodica della rete Nessuna - FORNITORI - PERSONALE - ALUNNI - PROTOCOLLO E CORRISPONDENZA 6 Revisione disciplinare tecnico Nessuna - FORNITORI - PERSONALE - ALUNNI - PROTOCOLLO E CORRISPONDENZA 7 Utilizzo della PEC Nessuna - FORNITORI - PERSONALE - ALUNNI - PROTOCOLLO E CORRISPONDENZA Misure adottate per la Protezione dati Web-Cloud GOOGLE WORKSPACE FOR EDUCATION Misura Ulteriore misura da adottare Trattamenti Adottata interessati Sistema di autenticazione utenti (user e password) Nessuna - PERSONALE - ALUNNI Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 Firewall Nessuna - PERSONALE - ALUNNI Backup archivi (operati da Google) Nessuna - PERSONALE - ALUNNI Misure adottate per la Protezione dati web CarecamPro DA FUTURSYSTEM Videosorveglianza, tenuta per ragioni di sicurezza Misura Ulteriore misura da adottare Trattamenti adottata interessati Sistema di autenticazione utenti (user e password) Nessuna - PERSONALE - ALUNNI - SOGGETTI ESTERNI Firewall Nessuna - PERSONALE - ALUNNI - SOGGETTI ESTERNI Antivirus Nessuna - PERSONALE - ALUNNI - SOGGETTI ESTERNI “ VoD' ° 7 AS 2. at = Istituto Comprensivo V. Brancati - Favara (AG) Ministero Istruzione Università e Ricerca Istituto Comprensivo “V.Brancati"' Via Grotte — 92026 Favara È È 0922 - 31248 — 0922 - 438760 e-mail agic83100g@istruzione.it Cod. Mecc. - AGIC83100G Cod. Fisc. 80005140845 Manutenzione periodica della rete Nessuna - PERSONALE - ALUNNI - SOGGETTI ESTERNI Screensaver con password Nessuna - [omissis] Titolare del Trattamento [omissis] Referente privacy ex art.2 quatordecies D.lgs.101-2019 [omissis]