Servizi per attività gestionale
Servizio DPO
L'incarico contempla le attività necessarie all’adeguamento dell'organizzazione scolastica alle normative sulla tutela della riservatezza e sul trattamento dei dati personali, ex GDPR (General Data Protection Regulation) n. 679/2016 ed ISO 27001 (Sistemi di gestione della sicurezza delle informazioni), nonché la nomina del responsabile della protezione dei dati (DPO - Data Protection Officer).
In ossequio alle normative di riferimento sopra riportate, le attività di cui al contratto saranno le seguenti: Check up iniziale; Audit dell’organizzazione scolastica propedeutico all’analisi degli asset organizzativi di partenza dell’istituto e alla valutazione dei dati trattati; Comunicazione del DPO all’Autorità Garante per la Privacy; Predisposizione del DPIA (Data Protection Impact Analysis); Valutazione d’impatto e rischio del trattamento; Assessment tecnologico; Predisposizione del piano di gestione, protezione e trattamento del dato, implementazione delle misure di sicurezza fisiche e digitali per lo storage dei dati, adeguamento dell’organigramma scolastico al GDPR; Predisposizione dei moduli per i diritti degli interessati; Somministrazione delle informative sul trattamento e la raccolta dei dati, formulazione dei modelli per il conferimento delle informazioni e degli accordi di riservatezza, approntamento dei registri cartacei e digitali per la conservazione dei dati; Attività formative per il trasferimento all’organizzazione della piena conoscenza della normativa sulla protezione ed il trattamento dei dati personali nonché della metodologia per l’utilizzo adeguato e responsabile degli strumenti individuati per la tutela del dato:
- Compliance dell’istituto al GDPR e alla ISO 27001;
- Tutoraggio per l’utilizzo degli strumenti elettronici di protezione del dato
Predisposizione del piano di data breach, nel caso di eventuale divulgazione accidentale dei dati a terzi non autorizzati, smarrimento, furto, distruzione dei registri cartacei o blocco dei registri digitali; Due audit di monitoraggio e controllo (dopo 6 e 12 mesi dalla stipula del contratto di prestazione di servizi); Help desk.
In particolare, saranno effettuate le seguenti attività:
- analisi di banche dati e profili degli utenti;
- elaborazione di tutte le informative necessarie ad ottenere il consenso al trattamento;
- produzione di tutte le circolari interne necessarie al recepimento della normativa Privacy ed al suo corretto adempimento;
- produzione della modulistica necessaria agli adempimenti relativi alla tutela della privacy;
- predisposizione delle misure di sicurezza adeguate;
- strutturazione di percorsi formativi ed informativi sul tema della tutela della privacy.
L’incarico non contempla l’assistenza, la difesa e la rappresentanza in un eventuale giudizio dinanzi all’Autorità Giudiziaria o contenzioso davanti al Garante per la Privacy.
L’attività avrà la durata di 12 mesi, con decorrenza dalla data di sottoscrizione delle parti e la tempistica sarà organizzata tenendo conto delle esigenze per l’espletamento delle attività contemplate.