Regolamento di attuazione
delle norme sulla tutela delle persone e di altri soggetti
rispetto al trattamento di dati personali (D.R. n. 2173
del 6/10/1998)
Art. 1
Ambito di applicazione
1. Il presente regolamento è adottato
in attuazione della legge 31 dicembre 1996 n. 675 e disciplina
il trattamento, la comunicazione e la diffusione da parte
delle Università dei dati personali, anche raccolti
in banche dati.
2. LUniversità provvede al trattamento,
alla diffusione e alla comunicazione dei dati nellambito
del perseguimento dei propri fini istituzionali.
Art. 2
Circolazione dei dati allinterno dellUniversità
1. Le disposizioni contenute negli articoli
che seguono sintendono riferite al trattamento, alla
diffusione e alla comunicazione dei dati allesterno.
Laccesso ai dati personali da parte delle strutture
e dei dipendenti dellUniversità, comunque limitato
ai casi in cui esso sia rivolto al perseguimento dei fini
istituzionali e fatta salva la disposizione di cui allart.
8, comma 4, della legge 31 Dicembre 1996, n. 675, è
ispirato al principio della circolazione delle informazioni,
secondo il quale lUniversità provvede allorganizzazione
delle informazioni e dei dati a sua disposizione mediante
strumenti, anche di carattere informatico, atti a facilitarne
laccesso e la fruizione, anche presso le strutture
didattiche e di ricerca.
2. Ogni richiesta daccesso ai dati personali
da parte delle strutture e dei dipendenti dellUniversità,
debitamente motivata, devessere soddisfatta nella
misura strettamente necessaria al perseguimento dellinteresse
istituzionale dellattività volta a tale fine,
fatto salvo lesercizio dei diritti di cui allart.
13 della legge n. 675/1996.
Art. 3
Circolazione dei dati allesterno dellUniversità
1. Al fine di favorire linserimento
nel mondo del lavoro e della ricerca degli studenti che
hanno conseguito il titolo conclusivo dei corsi di studi
di ogni tipologia prevista nel proprio ordinamento didattico,
lUniversità può comunicare e diffondere
allesterno i dati personali attinenti alla carriera
degli studenti medesimi, su richiesta di soggetti pubblici,
aziende private, associazioni di categoria e altri soggetti
privati ovvero di propria iniziativa, anche mediante inserimento
in sito INTERNET o in altri circuiti informativi.
2. I dati dovranno riguardare esclusivamente
il nominativo, la data di nascita, il numero di matricola,
la data della seduta di laurea e di conseguimento del diploma
di specializzazione o del diploma di scuola diretta a fini
speciali, il titolo di dottore di ricerca, il voto conseguito
e, per quanto concerne il diploma di laurea, il titolo della
tesi e il relatore.
3. LUniversità avrà cura
di chiedere il preventivo assenso scritto degli studenti
interessati, previa infomativa ai sensi dellart. 10
della legge n. 675/1996.
4. Al fine di prevenire ed evitare possibili
speculazioni e di tutelare, altresì, la riservatezza
personale del laureato, del diplomato o di chi ha conseguito
il titolo di dottore di ricerca, non ne sarà diffuso
lindirizzo privato; gli enti, le aziende o altri interessati
che intendessero acquisire anche tale ultima informazione
dovranno farne domanda in forma scritta allUniversità,
dichiarando che il dato richiesto è finalizzato esclusivamente
ad un eventuale inserimento del soggetto nella propria organizzazione
lavorativa.
Art. 4
Definizioni
1. In base allart.1 della legge n. 675/1996,
per "banca dati" si intende "qualsiasi complesso
di dati personali, ripartito in una o più unità
dislocate in uno o più siti, organizzato secondo
una pluralità di criteri determinati, tali da facilitarne
il trattamento".
2. Per "dato personale" si intende
"qualunque informazione relativa a persona fisica,
persona giuridica, ente o associazione, identificati o identificabili,
anche indirettamente, mediante riferimento a qualsiasi altra
informazione, compreso un numero di identificazione personale".
3. Per "trattamento" dei dati si
intende "qualunque operazione o complesso di operazioni,
svolti con o senza lausilio di mezzi elettronici o
comunque automatizzati, concernenti la raccolta, la registrazione,
lorganizzazione, la conservazione, lelaborazione,
la modificazione, la selezione, lestrazione, il raffronto,
lutilizzo, linterconnessione, il blocco, la
comunicazione, la diffusione, la cancellazione e la distruzione
di dati".
4. Per "responsabile" si intende
"la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od
organismo preposti dal titolare al trattamento dei dati
personali".
Art. 5
Il titolare e il responsabile dei dati
1. Ai fini dellapplicazione della legge
n. 675/1996 lUniversità degli studi di Roma
"Tor Vergata" è titolare dei dati personali,
compresi i dati contenuti nelle banche di dati, automatizzate
o cartacee, detenuti dallUniversità.
2. Ai fini dellattuazione della legge
n. 675/96, nellambito dellUniversità,
articolata in strutture amministrative, di servizio, didattiche
e scientifiche, i "Responsabili" dei dati sono
i responsabili delle strutture stesse.
3. LUniversità, titolare dei
dati, ai sensi dell'art. 3 della legge n. 675/96, può
comunque designare, con proprio provvedimento, uno o più
responsabili del trattamento dei dati, diversi dai soggetti
sopra indicati, prevedendo una suddivisione dei compiti.
Il responsabile o i responsabili sono soggetti che forniscono
idonea garanzia del pieno rispetto delle disposizioni vigenti
in materia.
Art. 6
Modalità di raccolta e requisiti dei dati personali
1. I dati personali oggetto di trattamento
sono:
- trattati in modo lecito e secondo correttezza;
- raccolti e registrati per scopi determinati, espliciti
e legittimi, e utilizzati in altre operazioni del trattamento
in termini non incompatibili con tali scopi;
- esatti e, se necessario, aggiornati;
- pertinenti, completi e non eccedenti rispetto alle
finalità per le quali sono stati raccolti e successivamente
trattati;
- conservati in una forma che consenta lidentificazione
dellinteressato per un periodo di tempo non superiore
a quello necessario per gli scopi per i quali i dati sono
stati raccolti e successivamente trattati.
Art. 7
Dati sensibili
1. I dati "sensibili", cioè
i dati personali idonei a rivelare lorigine razziale
ed etnica, le convinzioni religiose, filosofiche o di altro
genere, le opinioni politiche, ladesione a partiti,
ad organizzazioni sindacali, nonché i dati personali
idonei a rivelare lo stato di salute, possono essere oggetto
di trattamento solo con il consenso scritto dellinteressato
e previa autorizzazione del Garante.
2. Il trattamento dei dati indicati al comma
1 è consentito solo se autorizzato da espressa disposizione
di legge nella quale siano specificati i dati che possono
essere trattati, le operazioni eseguibili e le rilevanti finalità
di interesse pubblico perseguite.
Art. 8
1.Ai sensi delle disposizioni emanate con provvedimento
del Garante per la protezione dei dati personali, provvedimento
datato 19 novembre 1997 e pubblicato nella G.U. della Repubblica
- Serie generale - n. 272 del 21 novembre 1997, è autorizzato,
in via generale e preventiva, ai sensi dellart. 41,
comma 7, della legge n. 675/1996, il trattamento dei dati
sensibili di cui allart. 22, comma 1, della legge n.
675/1996, finalizzato alla gestione dei rapporti di lavoro,
alle condizioni indicate nel provvedimento medesimo, cui si
fa rinvio circa:
-
Lambito di applicazione;
-
gli interessati ai quali i dati si riferiscono;
-
le finalità del trattamento;
-
le categorie dei dati;
-
le modalità di trattamento;
-
la conservazione dei dati;
-
la comunicazione e diffusione dei dati.
2. I titolari dei trattamenti che rientrano
nellambito di applicazione dellautorizzazione
preventiva standard non sono tenuti a presentare una richiesta
di autorizzazione al Garante qualora il trattamento che si
intende effettuare sia conforme alle prescrizioni di cui al
precedente comma 1.
3. Il Garante non prenderà in considerazione
le richieste ad esso pervenute per trattamenti da effettuarsi
in difformità alle prescrizioni del provvedimento richiamato
al precedente comma 1, salvo che il loro accoglimento sia
giustificato da circostanze del tutto particolari o da situazioni
eccezionali non considerate nellambito dellautorizzazione
generale preventiva.
4. Restano fermi gli obblighi di acquisire il
consenso scritto dellinteressato e di informare linteressato
medesimo, in conformità a quanto previsto dagli artt.
10 e 22 della legge n. 675/1996.
5. Restano fermi, comunque, gli obblighi previsti
da norme di legge o di regolamento, ovvero dalla normativa
comunitaria, che stabiliscono divieti o limiti in materia
di trattamento di dati personali e, in particolare, dalle
disposizioni contenute:
- nellart. 8 della legge 20 maggio 1970, n. 300,
che vieta al datore di lavoro, ai fini dellassunzione
e nello svolgimento del rapporto di lavoro, di effettuare
indagini, anche a mezzo di terzi, sulle opinioni politiche,
religiose o sindacali del lavoratore, nonché su
fatti non rilevanti ai fini della valutazione dellattitudine
professionale del lavoratore;
- nellart. 6 della legge 5 giugno 1990, n. 135,
che vieta ai datori di lavoro lo svolgimento di indagini
volte ad accertare nei dipendenti o in persone prese in
considerazione per listaurazione di un rapporto
di lavoro, lesistenza di uno stato di sieropositività;
- nelle norme in materia di pari opportunità o
volte a prevenire discriminazioni.
5. Lautorizzazione generale preventiva
standard di cui al precedente comma 1 ha efficacia, a decorrere
dal 30 novembre 1997, fino al 30 settembre 1998.
6. Qualora alla data del 30 novembre 1997 il
trattamento non sia già conforme alle prescrizioni
della presente autorizzazione, il titolare può adeguarsi
ad esse entro il 31 dicembre 1997, sempreché le caratteristiche
del trattamento non permettano un adeguamento entro un termine
più breve.
Art. 9
Misure di sicurezza
1. Il titolare e il responsabile o i responsabili
dei dati custodiranno i dati adottando tutte le misure idonee
ad evitare i rischi di distruzione o perdita, anche accidentale,
di accesso non autorizzato o di trattamento non consentito
o non conforme alle finalità della raccolta.
Art. 10
Notificazione delle banche dati
1. Il titolare della banca di dati che intenda
procedere ad un trattamento di dati personali è tenuto
a darne notificazione al Garante ai sensi e con le modalità
previste nellart. 7 della legge n. 675/96.
2. Per consentire al titolare la notificazione
delle banche di dati prevista dalla legge n. 675/96, chi intraprende
o cessa il trattamento di dati, nellambito delle strutture
universitarie, è tenuto a comunicarlo al Rettore, al
Direttore Amministrativo e al responsabile della struttura.
3. La comunicazione deve contenere:
- le finalità e le modalità del trattamento;
- la natura dei dati, il luogo ove sono custoditi e le
categorie di interessati cui i dati si riferiscono;
- lambito di comunicazione e di diffusione dei
dati;
- gli eventuali trasferimenti di dati previsti verso
Paesi non appartenenti allUnione europea o, qualora
si tratti di dati sensibili e di dati relativi ai provvedimenti
di cui allart. 686 c.p.p., fuori dal territorio
nazionale;
- una descrizione delle misure di sicurezza adottate;
- lindicazione della banca o delle banche dati
cui si riferisce il trattamento e leventuale connessione
con altri trattamenti o banche di dati.
4. Linformativa di cui ai precedenti commi
va effettuata anche nei confronti degli interessati.
5. La notificazione al Garante può avvenire
in forma semplificata, cioè può non contenere
gli elementi di cui ai numeri a), b), d), f) individuati dal
Garante ai sensi dellemanando regolamento di cui allart.
33, comma 3, della legge n. 675/96.
6. In sede di prima applicazione del presente
regolamento, i responsabili di ogni struttura sono tenuti
ad effettuare un censimento delle banche di dati esistenti
presso la struttura e ad inviarne comunicazione al Rettore
e al Direttore Amministrativo.
7. Il trattamento non è soggetto a notificazione
quando:
- è necessario per lassolvimento di un compito
previsto dalla legge, da un regolamento o dalla normativa
comunitaria, relativamente a dati diversi da quelli indicati
negli articoli 22 e 24 della legge n. 675/96;
- riguarda dati contenuti o provenienti da pubblici registri,
elenchi, atti o documenti conoscibili da chiunque, fermi
restando i limiti e le modalità di cui allarticolo
20, comma 1, lettera b), della legge n. 675/96.
- è effettuato per esclusive finalità di
gestione del protocollo, relativamente ai dati necessari
per la classificazione della corrispondenza inviata per
fini diversi da quelli di cui allarticolo 13, comma
1, lettera e), della legge n. 675/96, con particolare
riferimento alle generalità e ai recapiti degli
interessati, alla loro qualifica e allorganizzazione
di appartenenza;
- riguarda rubriche telefoniche o analoghe non destinate
alla diffusione, utilizzate unicamente per ragioni dufficio
e di lavoro e comunque per fini diversi da quelli di cui
allarticolo 13, comma 1, lettera e) della legge
675/96.
- è finalizzato unicamente alladempimento
di specifici obblighi contabili, retributivi, previdenziali,
assistenziali e fiscali, ed è effettuato con riferimento
alle sole categorie di dati, di interessati e di destinatari
della comunicazione e diffusione strettamente collegate
a tale adempimento, conservando i dati non oltre il periodo
necessario alladempimento medesimo;
- è effettuato per esclusive finalità dellordinaria
gestione di biblioteche e mostre, in conformità
alle leggi e ai regolamenti, ovvero per la organizzazione
di iniziative culturali o sportive o per la formazione
di cataloghi e bibliografie;
- è effettuato da associazioni, fondazioni, comitati
anche a carattere politico, filosofico, culturale o sindacale,
ovvero da loro organismi rappresentativi, istituiti per
scopi non di lucro e per il perseguimento di finalità
lecite, relativamente a dati inerenti agli associati e
ai soggetti che in relazione a tali finalità hanno
contatti regolari con lassociazione, la fondazione,
il comitato o lorganismo, fermi restando gli obblighi
di informativa degli interessati e di acquisizione del
consenso, ove necessario;
- è effettuato temporaneamente ed è finalizzato
esclusivamente alla pubblicazione o diffusione occasionale
di articoli, saggi e altre manifestazioni del pensiero,
nel rispetto del codice di deontologia di cui allarticolo
25 della legge n. 675/96;
- è effettuato anche con mezzi elettronici o comunque
automatizzati, per la redazione di periodici o pubblicazioni
aventi finalità di informazione giuridica, relativamente
a dati desunti da provvedimenti dellautorità
giudiziaria o di altre autorità;
- è effettuato temporaneamente per esclusive finalità
di raccolta di adesioni a petizioni o ad appelli;
Art. 11
Diritti dellinteressato
1. Il soggetto i cui dati sono contenuti in
una banca di dati ha il diritto di ottenere, senza ritardo:
-
la conferma dellesistenza o meno
di trattamenti che lo riguardano, anche se non ancora
registrati, e la comunicazione in forma intelligibile
dei medesimi dati e della loro origine, nonché
della logica e delle finalità del trattamento;
-
la cancellazione, la trasformazione in
forma anonima o il blocco dei dati trattati in violazione
di legge;
-
laggiornamento, la rettificazione,
ovvero, qualora vi abbia interesse, lintegrazione
dei dati;
-
lattestazione che le operazioni
di cui ai nn. 2 e 3 sono state portate a conoscenza dei
terzi.
2. Linteressato ha, inoltre, il diritto
di opporsi, per motivi legittimi, al trattamento dei dati
che lo riguardano, ancorché pertinenti allo scopo della
raccolta, linteressato può esercitare tali diritti
con una richiesta scritta al responsabile della banca dati.
3. Linteressato può conferire,
per iscritto, delega o procura a persone fisiche o ad associazioni.
Art. 12
Richieste e modalità di trattamento, diffusione
e comunicazione di dati personali
1. Ogni richiesta rivolta da soggetti privati
o da enti pubblici allUniversità e finalizzata
ad ottenere il trattamento, la diffusione e la comunicazione
dei dati personali, anche contenuti in banche di dati, di
cui sia in possesso lUniversità, devessere
scritta e motivata; la richiesta, rivolta al Rettore e al
responsabile del trattamento, dovrà indicare, oltre
che i dati cui essa fa riferimento:
- il nome, la denominazione o la ragione sociale del
richiedente;
- le finalità e le modalità di utilizzo
dei dati richiesti;
- leventuale ambito di comunicazione dei dati richiesti,
impegnandosi ad utilizzare i dati esclusivamente per le
finalità e nellambito delle modalità
indicate;
- leventuale richiesta dellindirizzo ai sensi
e per le finalità di cui al precedente art. 3,
comma 4;
- il domicilio, la residenza o la sede del titolare
richiedente e, se designato, del responsabile;
-
limpegno, debitamente sottoscritto
dal titolare richiedente e dal responsabile, se
designato, di utilizzare i dati esclusivamente per
le finalità, nell ambito e con le modalità
indicati, nonché di provvedere tempestivamente
allinformativa di cui allart. 10 della
legge n. 675/1996.
2. La comunicazione e la diffusione dei dati
sono comunque permesse quando:
- siano necessarie per finalità di ricerca scientifica
o di statistica e si tratti di dati anonimi;
- siano richieste dai soggetti di cui allart.4,
comma 1, lettere b), d), c) della legge n. 675/96, per
finalità di difesa o di sicurezza dello Stato o
di prevenzione, accertamento o repressione di reati, con
losservanza delle norme che regolano la materia.
3. LUniversità, dopo avere valutato
che il trattamento, la diffusione e la comunicazione dei dati
sono compatibili con i propri fini istituzionali, provvede
alla trasmissione dei dati stessi nella misura e secondo le
modalità strettamente necessarie a soddisfare la richiesta.
4. Nei limiti di cui allart. 27 della
legge n. 675/1996, e previa comunicazione al Garante, le richieste
provenienti da soggetti pubblici, esclusi gli enti pubblici
economici, finalizzate al trattamento, alla diffusione e alla
comunicazione dei dati sono soddisfatte quando necessarie
al perseguimento dei fini istituzionali dellente richiedente.
Art. 13
Disposizioni finali
1. I costi relativi al trattamento, alla comunicazione
e alla diffusione dei dati personali sono da determinare con
delibera del Consiglio di Amministrazione dellAteneo.
Roma lì 6.10.1998
IL RETTORE
|