Alle ore 15,55 il Rettore abbandona la Sala del Consiglio ed assume la Presidenza il Pro-Rettore, Prof. G.P.G. Milano.
II DIVISIONE - II RIPARTIZIONE - AREA DEGLI AFFARI GENERALI E DELLA NORMAZIONE INTERNA
2.1) REGOLAMENTO DI ATTUAZIONE DELLE NORME SULLA TUTELA DELLE PERSONE E DI ALTRI SOGGETTI RISPETTO AL TRATTAMENTO DI DATI PERSONALI.
Il Presidente sottopone allattenzione del Consiglio di
Amministrazione la necessità di dare attuazione alla normativa sulla "tutela delle
persone e di altri soggetti rispetto al trattamento dei dati personali" recata dalla
legge 31 dicembre 1996, n. 675 e dalle disposizioni correttive ed integrative della
stessa, recate dal decreto legislativo 9 maggio 1997, n. 123 su legge di delega al Governo
n. 676 del 31 dicembre 1996.
In proposito il Presidente richiama le non poche difficoltà di ordine
applicativo, e ancor prima interpretativo del complesso corpo di disposizioni, peraltro
ampiamente rilevata e dibattuta dai mass-media e tale che il legislatore medesimo nella
citata legge di delega n. 676/96 ha ritenuto di dover presentare un pacchetto di decreti
legislativi con i quali il Governo dovrà disciplinare i settori più delicati del
contesto socio- economico- amministrativo del Paese, sotto il profilo della tutela dei
soggetti rispetto al trattamento dei dati personali e con riguardo ai diritti dei soggetti
cui i dati si riferiscono e a correlati obblighi che gravano sui soggetti che trattano i
dati stessi.
Pur nelle notevoli incertezze sui punti controversi e nellattesa delle indicazioni
che verranno fornite con la legislazione delegata e dal Garante, appare necessario -
afferma il Presidente - che questo Ateneo si doti di un regolamento in materia,
suscettibile ovviamente di modificazioni e di integrazioni, analogamente a quanto fatto da
altri Atenei, ed il cui testo, nella sottoriportata stesura, sottopone al vaglio e
allapprovazione del Collegio, con lavvertenza che lo schema di regolamento è
stato rivisto, modificato ed integrato tenendo conto sia di alcuni utili ed autorevoli
suggerimenti presentati in ordine alla prima stesura che del "provvedimento" del
"Garante per la tutela delle persone e di altri soggetti rispetto al trattamento dei
dati personali", provvedimento pubblicato nella G.U. della Repubblica - Serie
generale - n. 272 del 21.11.1997.
Il Presidente comunica che lo schema di regolamento sottoriportato è stato approvato dal
Senato Accademico nella seduta del 03.12.1997.
REGOLAMENTO DI ATTUAZIONE DELLE NORME SULLA TUTELA DELLE PERSONE E DI ALTRI SOGGETTI RISPETTO AL TRATTAMENTO DI DATI PERSONALI.
Art. 1
Ambito di applicazione
1. Il presente regolamento è adottato in
attuazione della legge 31 dicembre 1996 n. 675 e disciplina il trattamento, la
comunicazione e la diffusione da parte delle Università dei dati personali, anche
raccolti in banche dati.
2. LUniversità provvede al trattamento, alla diffusione e alla
comunicazione dei dati nellambito del perseguimento dei propri fini istituzionali.
Art. 2
Circolazione dei dati allinterno dellUniversità
1. Le disposizioni contenute negli articoli che
seguono sintendono riferite al trattamento, alla diffusione e alla comunicazione dei
dati allesterno. Laccesso ai dati personali da parte delle strutture e dei
dipendenti dellUniversità, comunque limitato ai casi in cui esso sia rivolto al
perseguimento dei fini istituzionali e fatta salva la disposizione di cui allart. 8,
comma 4, della legge 31 Dicembre 1996, n. 675, è ispirato al principio della circolazione
delle informazioni, secondo il quale lUniversità provvede allorganizzazione
delle informazioni e dei dati a sua disposizione mediante strumenti, anche di carattere
informatico, atti a facilitarne laccesso e la fruizione, anche presso le strutture
didattiche e di ricerca.
2. Ogni richiesta daccesso ai dati personali da parte delle strutture e dei
dipendenti dellUniversità, debitamente motivata, devessere soddisfatta nella
misura strettamente necessaria al perseguimento dellinteresse istituzionale
dellattività volta a tale fine, fatto salvo lesercizio dei diritti di cui
allart. 13 della legge n. 675/1996.
Art. 3
Circolazione dei dati allesterno dellUniversità
1. Al fine di favorire linserimento nel mondo
del lavoro e della ricerca degli studenti che hanno conseguito il titolo conclusivo dei
corsi di studi di ogni tipologia prevista nel proprio ordinamento didattico,
lUniversità può comunicare e diffondere allesterno i dati personali
attinenti alla carriera degli studenti medesimi, su richiesta di soggetti pubblici,
aziende private, associazioni di categoria e altri soggetti privati ovvero di propria
iniziativa, anche mediante inserimento in sito INTERNET o in altri circuiti informativi.
2. I dati dovranno riguardare esclusivamente il nominativo, la data di nascita, il numero
di matricola, la data della seduta di laurea e di conseguimento del diploma di
specializzazione o del diploma di scuola diretta a fini speciali, il titolo di dottore di
ricerca, il voto conseguito e, per quanto concerne il diploma di laurea, il titolo della
tesi e il relatore.
3. LUniversità avrà cura di chiedere il preventivo assenso scritto degli studenti
interessati, previa infomativa ai sensi dellart. 10 della legge n. 675/1996.
4. Al fine di prevenire ed evitare possibili speculazioni e di tutelare, altresì, la
riservatezza personale del laureato, del diplomato o di chi ha conseguito il titolo di
dottore di ricerca, non ne sarà diffuso lindirizzo privato; gli enti, le aziende o
altri interessati che intendessero acquisire anche tale ultima informazione dovranno farne
domanda in forma scritta allUniversità, dichiarando che il dato richiesto è
finalizzato esclusivamente ad un eventuale inserimento del soggetto nella propria
organizzazione lavorativa.
Art. 4
Definizioni
1. In base allart.1 della legge n. 675/1996, per
"banca dati" si intende "qualsiasi complesso di dati personali, ripartito
in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di
criteri determinati, tali da facilitarne il trattamento".
2. Per "dato personale" si intende "qualunque informazione relativa a
persona fisica, persona giuridica, ente o associazione, identificati o identificabili,
anche indirettamente, mediante riferimento a qualsiasi altra informazione, compreso un
numero di identificazione personale".
3. Per "trattamento" dei dati si intende "qualunque operazione o complesso
di operazioni, svolti con o senza lausilio di mezzi elettronici o comunque
automatizzati, concernenti la raccolta, la registrazione, lorganizzazione, la
conservazione, lelaborazione, la modificazione, la selezione, lestrazione, il
raffronto, lutilizzo, linterconnessione, il blocco, la comunicazione, la
diffusione, la cancellazione e la distruzione di dati".
4. Per "responsabile" si intende "la persona fisica, la persona giuridica,
la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal
titolare al trattamento dei dati personali".
Art. 5
Il titolare e il responsabile dei dati
1. Ai fini dellapplicazione della legge n.
675/1996 lUniversità degli studi di Roma "Tor Vergata" è titolare dei
dati personali, compresi i dati contenuti nelle banche di dati, automatizzate o cartacee,
detenuti dallUniversità.
2. Ai fini dellattuazione della legge n. 675/96, nellambito
dellUniversità, articolata in strutture amministrative, di servizio, didattiche e
scientifiche, i "Responsabili" dei dati sono i responsabili delle strutture
stesse.
3. LUniversità, titolare dei dati, ai sensi dell'art. 3 della legge n. 675/96, può
comunque designare, con proprio provvedimento, uno o più responsabili del trattamento dei
dati, diversi dai soggetti sopra indicati, prevedendo una suddivisione dei compiti. Il
responsabile o i responsabili sono soggetti che forniscono idonea garanzia del pieno
rispetto delle disposizioni vigenti in materia.
Art. 6
Modalità di raccolta e requisiti dei dati personali
1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, e utilizzati in
altre operazioni del trattamento in termini non incompatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati
raccolti e successivamente trattati;
e) conservati in una forma che consenta lidentificazione dellinteressato per
un periodo di tempo non superiore a quello necessario per gli scopi per i quali i dati
sono stati raccolti e successivamente trattati.
Art. 7
Dati sensibili
1. I dati "sensibili", cioè i dati
personali idonei a rivelare lorigine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche, ladesione a partiti, ad
organizzazioni sindacali, nonché i dati personali idonei a rivelare lo stato di salute,
possono essere oggetto di trattamento solo con il consenso scritto dellinteressato e
previa autorizzazione del Garante.
2. Il trattamento dei dati indicati al comma 1 è consentito solo se autorizzato da
espressa disposizione di legge nella quale siano specificati i dati che possono essere
trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico
perseguite.
Art. 8
1.Ai sensi delle disposizioni emanate con
provvedimento del Garante per la protezione dei dati personali, provvedimento datato 19
novembre 1997 e pubblicato nella G.U. della Repubblica - Serie generale - n. 272 del 21
novembre 1997, è autorizzato, in via generale e preventiva, ai sensi dellart. 41,
comma 7, della legge n. 675/1996, il trattamento dei dati sensibili di cui allart.
22, comma 1, della legge n. 675/1996, finalizzato alla gestione dei rapporti di lavoro,
alle condizioni indicate nel provvedimento medesimo, cui si fa rinvio circa:
1) Lambito di applicazione;
2) gli interessati ai quali i dati si riferiscono;
3) le finalità del trattamento;
4) le categorie dei dati;
5) le modalità di trattamento;
6) la conservazione dei dati;
7) la comunicazione e diffusione dei dati.
2. I titolari dei trattamenti che rientrano nellambito di
applicazione dellautorizzazione preventiva standard non sono tenuti a presentare una
richiesta di autorizzazione al Garante qualora il trattamento che si intende effettuare
sia conforme alle prescrizioni di cui al precedente comma 1.
3. Il Garante non prenderà in considerazione le richieste ad esso
pervenute per trattamenti da effettuarsi in difformità alle prescrizioni del
provvedimento richiamato al precedente comma 1, salvo che il loro accoglimento sia
giustificato da circostanze del tutto particolari o da situazioni eccezionali non
considerate nellambito dellautorizzazione generale preventiva.
4. Restano fermi gli obblighi di acquisire il consenso scritto dellinteressato e di
informare linteressato medesimo, in conformità a quanto previsto dagli artt. 10 e
22 della legge n. 675/1996.
5. Restano fermi, comunque, gli obblighi previsti da norme di legge o di regolamento,
ovvero dalla normativa comunitaria, che stabiliscono divieti o limiti in materia di
trattamento di dati personali e, in particolare, dalle disposizioni contenute:
a) nellart. 8 della legge 20 maggio 1970, n. 300, che vieta al datore di lavoro, ai
fini dellassunzione e nello svolgimento del rapporto di lavoro, di effettuare
indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del
lavoratore, nonché su fatti non rilevanti ai fini della valutazione dellattitudine
professionale del lavoratore;
b) nellart. 6 della legge 5 giugno 1990, n. 135, che vieta ai datori di lavoro lo
svolgimento di indagini volte ad accertare nei dipendenti o in persone prese in
considerazione per listaurazione di un rapporto di lavoro, lesistenza di uno
stato di sieropositività;
c) nelle norme in materia di pari opportunità o volte a prevenire discriminazioni.
5. Lautorizzazione generale preventiva standard di cui al precedente comma 1 ha
efficacia, a decorrere dal 30 novembre 1997, fino al 30 settembre 1998.
6. Qualora alla data del 30 novembre 1997 il trattamento non sia già conforme alle
prescrizioni della presente autorizzazione, il titolare può adeguarsi ad esse entro il 31
dicembre 1997, sempreché le caratteristiche del trattamento non permettano un adeguamento
entro un termine più breve.
Art. 9
Misure di sicurezza
1. Il titolare e il responsabile o i responsabili dei dati custodiranno i dati adottando tutte le misure idonee ad evitare i rischi di distruzione o perdita, anche accidentale, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Art. 10
Notificazione delle banche dati
1. Il titolare della banca di dati che intenda procedere
ad un trattamento di dati personali è tenuto a darne notificazione al Garante ai sensi e
con le modalità previste nellart. 7 della legge n. 675/96.
2. Per consentire al titolare la notificazione delle banche di dati prevista dalla legge
n. 675/96, chi intraprende o cessa il trattamento di dati, nellambito delle
strutture universitarie, è tenuto a comunicarlo al Rettore, al Direttore Amministrativo e
al responsabile della struttura.
3. La comunicazione deve contenere:
a) le finalità e le modalità del trattamento;
b) la natura dei dati, il luogo ove sono custoditi e le categorie di interessati cui i
dati si riferiscono;
c) lambito di comunicazione e di diffusione dei dati;
d) gli eventuali trasferimenti di dati previsti verso Paesi non appartenenti
allUnione europea o, qualora si tratti di dati sensibili e di dati relativi ai
provvedimenti di cui allart. 686 c.p.p., fuori dal territorio nazionale;
e) una descrizione delle misure di sicurezza adottate;
f) lindicazione della banca o delle banche dati cui si riferisce il trattamento e
leventuale connessione con altri trattamenti o banche di dati.
4. Linformativa di cui ai precedenti commi va effettuata anche nei confronti degli
interessati.
5. La notificazione al Garante può avvenire in forma semplificata, cioè può non
contenere gli elementi di cui ai numeri a), b), d), f) individuati dal Garante ai sensi
dellemanando regolamento di cui allart. 33, comma 3, della legge n. 675/96.
6. In sede di prima applicazione del presente regolamento, i responsabili di ogni
struttura sono tenuti ad effettuare un censimento delle banche di dati esistenti presso la
struttura e ad inviarne comunicazione al Rettore e al Direttore Amministrativo.
7. Il trattamento non è soggetto a notificazione quando:
a) è necessario per lassolvimento di un compito previsto dalla legge, da un
regolamento o dalla normativa comunitaria, relativamente a dati diversi da quelli indicati
negli articoli 22 e 24 della legge n. 675/96;
b) riguarda dati contenuti o provenienti da pubblici registri, elenchi, atti o documenti
conoscibili da chiunque, fermi restando i limiti e le modalità di cui allarticolo
20, comma 1, lettera b), della legge n. 675/96.
c) è effettuato per esclusive finalità di gestione del protocollo, relativamente ai dati
necessari per la classificazione della corrispondenza inviata per fini diversi da quelli
di cui allarticolo 13, comma 1, lettera e), della legge n. 675/96, con particolare
riferimento alle generalità e ai recapiti degli interessati, alla loro qualifica e
allorganizzazione di appartenenza;
d) riguarda rubriche telefoniche o analoghe non destinate alla diffusione, utilizzate
unicamente per ragioni dufficio e di lavoro e comunque per fini diversi da quelli di
cui allarticolo 13, comma 1, lettera e) della legge 675/96.
e) è finalizzato unicamente alladempimento di specifici obblighi contabili,
retributivi, previdenziali, assistenziali e fiscali, ed è effettuato con riferimento alle
sole categorie di dati, di interessati e di destinatari della comunicazione e diffusione
strettamente collegate a tale adempimento, conservando i dati non oltre il periodo
necessario alladempimento medesimo;
f) è effettuato per esclusive finalità dellordinaria gestione di biblioteche e
mostre, in conformità alle leggi e ai regolamenti, ovvero per la organizzazione di
iniziative culturali o sportive o per la formazione di cataloghi e bibliografie;
g) è effettuato da associazioni, fondazioni, comitati anche a carattere politico,
filosofico, culturale o sindacale, ovvero da loro organismi rappresentativi, istituiti per
scopi non di lucro e per il perseguimento di finalità lecite, relativamente a dati
inerenti agli associati e ai soggetti che in relazione a tali finalità hanno contatti
regolari con lassociazione, la fondazione, il comitato o lorganismo, fermi
restando gli obblighi di informativa degli interessati e di acquisizione del consenso, ove
necessario;
h) è effettuato temporaneamente ed è finalizzato esclusivamente alla pubblicazione o
diffusione occasionale di articoli, saggi e altre manifestazioni del pensiero, nel
rispetto del codice di deontologia di cui allarticolo 25 della legge n. 675/96;
i) è effettuato anche con mezzi elettronici o comunque automatizzati, per la redazione di
periodici o pubblicazioni aventi finalità di informazione giuridica, relativamente a dati
desunti da provvedimenti dellautorità giudiziaria o di altre autorità;
j) è effettuato temporaneamente per esclusive finalità di raccolta di adesioni a
petizioni o ad appelli;
Art. 11
Diritti dellinteressato
1. Il soggetto i cui dati sono contenuti in una banca di
dati ha il diritto di ottenere, senza ritardo:
a) la conferma dellesistenza o meno di trattamenti che lo riguardano, anche se non
ancora registrati, e la comunicazione in forma intelligibile dei medesimi dati e della
loro origine, nonché della logica e delle finalità del trattamento;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in
violazione di legge;
c) laggiornamento, la rettificazione, ovvero, qualora vi abbia interesse,
lintegrazione dei dati;
d) lattestazione che le operazioni di cui ai nn. 2 e 3 sono state portate a
conoscenza dei terzi.
2. Linteressato ha, inoltre, il diritto di opporsi, per motivi legittimi, al
trattamento dei dati che lo riguardano, ancorché pertinenti allo scopo della raccolta,
linteressato può esercitare tali diritti con una richiesta scritta al responsabile
della banca dati.
3. Linteressato può conferire, per iscritto, delega o procura a persone fisiche o
ad associazioni.
Art. 12
Richieste e modalità di trattamento,
diffusione e comunicazione di dati personali
1. Ogni richiesta rivolta da soggetti privati o da
enti pubblici allUniversità e finalizzata ad ottenere il trattamento, la diffusione
e la comunicazione dei dati personali, anche contenuti in banche di dati, di cui sia in
possesso lUniversità, devessere scritta e motivata; la richiesta, rivolta al
Rettore e al responsabile del trattamento, dovrà indicare, oltre che i dati cui essa fa
riferimento:
a) il nome, la denominazione o la ragione sociale del richiedente;
b) le finalità e le modalità di utilizzo dei dati richiesti;
c) leventuale ambito di comunicazione dei dati richiesti, impegnandosi ad utilizzare
i dati esclusivamente per le finalità e nellambito delle modalità indicate;
d) leventuale richiesta dellindirizzo ai sensi e per le finalità di cui al
precedente art. 3, comma 4;
a) il domicilio, la residenza o la sede del titolare richiedente e, se designato, del
responsabile;
b) limpegno, debitamente sottoscritto dal titolare richiedente e dal responsabile,
se designato, di utilizzare i dati esclusivamente per le finalità, nell ambito e
con le modalità indicati, nonché di provvedere tempestivamente allinformativa di
cui allart. 10 della legge n. 675/1996.
2. La comunicazione e la diffusione dei dati sono comunque permesse
quando:
a) siano necessarie per finalità di ricerca scientifica o di statistica e
si tratti di dati anonimi;
b) siano richieste dai soggetti di cui allart.4, comma 1, lettere b), d), c) della
legge n. 675/96, per finalità di difesa o di sicurezza dello Stato o di prevenzione,
accertamento o repressione di reati, con losservanza delle norme che regolano la
materia.
3. LUniversità, dopo avere valutato che il trattamento, la diffusione e la
comunicazione dei dati sono compatibili con i propri fini istituzionali, provvede alla
trasmissione dei dati stessi nella misura e secondo le modalità strettamente necessarie a
soddisfare la richiesta.
4. Nei limiti di cui allart. 27 della
legge n. 675/1996, e previa comunicazione al Garante, le richieste provenienti da soggetti
pubblici, esclusi gli enti pubblici economici, finalizzate al trattamento, alla diffusione
e alla comunicazione dei dati sono soddisfatte quando necessarie al perseguimento dei fini
istituzionali dellente richiedente.
Art. 13
Disposizioni finali
1. I costi relativi al trattamento, alla comunicazione e alla diffusione dei dati personali sono da determinare con delibera del Consiglio di Amministrazione dellAteneo.
OMISSIS .
IL CONSIGLIO
- Ascoltata la relazione del Presidente;
- esaminato il testo del regolamento;
- preso atto della delibera del Senato Accademico del 03.12.1997;
- con voto unanime espresso nelle forme di legge;
DELIBERA
di approvare il "regolamento di attuazione della normativa sulla tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali dellUniversità degli Studi di Roma Tor Vergata".
LETTO, APPROVATO E SOTTOSCRITTO SEDUTA STANTE
IL DIRETTORE AMMINISTRATIVO |
IL PRO-RETTORE |
torna all'o.d.g | vai al successivo |