Mappatura dei Servizi Informatici della Scuola
Al fine di ottemperare alle normative e linee guida vigenti in tema di Trattamento dati e Sicurezza informatica, tutti i titolari di fondi o responsabili di progetto, in relazione a server, siti web, database e servizi informatici di loro competenza, sono chiamati ad indicare entro il 15 Ottobre 2020, e convalidare poi con cadenza semestrale, attraverso il Form https://forms.gle/nupeqHRXGNaPMbte6, le seguenti informazioni:
- URL, Hostname, o indirizzo IP del servizio
- Tipologia di servizio: sito web progetto, server calcolo, server web, database, altro
- Descrizione sintetica del servizio erogato
- Responsabile interno del servizio (con contratto con la Scuola in corso di validita'): email
- Amministratore di Sistema: email e recapiti; eventuali altri contatti tecnici
- Tipologia dati trattati: personali o non personali; se personali, specificare
La normativa non consente di avere siti web, server, database o altri servizi informatici privi di un Amministratore di Sistema. Pertanto tutti i servizi informatici che risulteranno privi di un Amministratore di Sistema non potranno piu’ essere disponibili.
Amministratori di Sistema
Gli Amministratori di Sistema possono essere interni alla Scuola (personale contrattualizzato SNS) o esterni (tecnici di fornitori di servizi esterni). L'Amministratore di Sistema provvede alla gestione, manutenzione e aggiornamenti di tutti i sistemi di elaborazione di propria competenza al fine di garantirne funzionalità' e sicurezza, nel rispetto delle normative vigenti, provvedendo ad alcune attività' specifiche: dalla realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati), alla custodia delle credenziali, alla gestione dei sistemi di autenticazione e di autorizzazione.
La nomina ad Amministratore di Sistema, salvo diversa disposizione contrattuale, dura un anno. Ogni ulteriore modifica deve essere comunicata a cura del responsabile interno del servizio.
Gli Amministratori di Sistema sono proposti dal titolare dei fondi o responsabile di progetto, e nominati dal Titolare del trattamento della Scuola (Direttore).
- se interno: seguira', sulla base delle indicazioni fornite dal titolare dei fondi o responsabile di progetto, previa valutazione dell'esperienza, della capacità' e dell'affidabilita' del soggetto individuato, la designazione da parte del Titolare del trattamento della Scuola.
- se esterno: la nomina avviene nell'ambito del contratto di affidamento. NB: laddove il sistema coinvolga dati personali occorre altresi' nominare chi eroga il servizio quale responsabile del trattamento ex art. 28 GDPR. E' necessario, tuttavia, che siano conservati direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali Amministratori di Sistema.
Formazione e aggiornamento
Ai soggetti interni alla Scuola individuati attraverso la mappatura come Amministratore di Sistema sara' proposto un percorso di informazione e aggiornamento.
A cadenza annuale saranno organizzate attivita' di audit interno/verifica delle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali.
Privacy e Sicurezza ICT: Riferimenti normativi
Normativa Europea
-
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati
https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679
Normativa Italiana
-
Decreto Legislativo 30 giugno 2003, n. 196 e successive integrazioni e modificazioni ("Codice in materia di protezione dei dati personali")
https://www.camera.it/parlam/leggi/deleghe/Testi/03196dl.htm
Garante per la Protezione dei Dati Personali
-
Linee Guida del Garante Privacy su Posta Elettronica e Internet (Deliberazione n. 13 del 1° marzo 2007 - G.U. n. 58 del 10 marzo 2007)
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1387522 -
Provvedimento del Garante Privacy del 27 novembre 2008 e successive modificazioni relativo a "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di Amministratore di sistema":
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1577499
AGiD: Agenzia per l'Italia Digitale
-
Circolare dell'Agenzia per l'Italia Digitale - AGID n. 2 del 18 aprile 2017 relativo a "Misure minime di sicurezza ICT per le pubbliche amministrazioni"
https://www.agid.gov.it/it/sicurezza/misure-minime-sicurezza-ict
GARR: Rete nazionale Istruzione e Ricerca
- GARR Acceptable Use Policy AUP
https://garr.it/it/regole-di-utilizzo-della-rete-aup - GARR Procedura di Gestione Incidenti
https://www.cert.garr.it/it/gestione-incidenti/procedura-di-gestione
Note/FAQ per la compilazione del Form
- La dicitura Amministratore di Sistema si riferisce a: Sistemisti amministratori di server o macchine virtuali, WebMaster gestori di siti web, Database administrator
- Ricordo che l'amministratore di sistema, se interno alla Scuola, deve essere una persona fisica; il campo "System Administrator eMail" non puo' pertanto corrispondere ad un indirizzo email di un gruppo. Al fine di agevolare eventuali interventi in urgenza verra' pertanto inviata una mail all'Amministratore di Sistema e a tutti gli eventuali altri contatti tecnici indicati
- Non indicare eventuali numeri di porta nel campo "IT service URL/IP"
- Non indicare sia URL che indirizzo IP nel campo "IT service URL/IP": riportare l'indirizzo IP solo nel caso non esistano una URL o un Hostname
- Non indicare il protocollo ("http[s]://") nei campi "IT service URL/IP" e "URL Alias"
- Nel caso i dati trattati NON siano personali, vi prego di spuntare la casella "NON-Personal data" nel campo "Processed data"; in caso contrario i dati trattati saranno ritenuti personali
- Non devono essere segnalati servizi attestati su domini esterni alla Scuola (es: xxx.unipi.it) di cui foste Amministratori di Sistema o WebMaster
- Eventuali software acquistati ed utilizzati sul proprio pc non rientrano tra i servizi di interesse di questa analisi