logo unifi
linea di separazione
Bollettino Ufficiale > Indietro

intestazione bollettino Anno IV, Supplemento II al N. 12 - Dicembre 2005 - Registrazione Tribunale di Firenze n. 5223 del 4.12.2002

Decreto rettorale, 29 dicembre 2005, n. 1177 (prot. n. 79382)*

Modifica del "Regolamento di attuazione del Codice di protezione dei dati personali in possesso dell’Università degli Studi di Firenze".

IL RETTORE 

  • VISTO il "Regolamento di attuazione del codice di protezione dei dati personali in possesso dell’Università degli Studi di Firenze", emanato con Decreto Rettorale n° 449 del 7 luglio 2004;
  • VISTO il Codice di deontologia e buona condotta per i trattamenti di dati personali per scopi statistici e scientifici, allegato A.4 del D. Lgs. n° 196/2003, pubblicato nella G.U. del 14 agosto 2004;
  • PRESO ATTO di quanto espresso dal Garante in data 10 dicembre 2004;
  • CONSIDERATA la necessità di adeguare il Regolamento vigente;
  • VISTA la delibera del Senato Accademico in data 7 dicembre 2005;
  • VISTA la delibera del Consiglio di Amministrazione in data 16 dicembre 2005;

DECRETA

La modifica degli articoli 1, 2, 3, 4, 5, 6, 7, 10, 13, 16 e 17 del "Regolamento di attuazione del codice di protezione dei dati personali in possesso dell’Università degli Studi di Firenze", emanato con Decreto Rettorale n° 449 del 7 luglio 2004, nel testo come di seguito integralmente riportato:

Art. 1
Ambito di applicazione

1. Il presente regolamento disciplina il trattamento da parte dell’Ateneo dei dati personali ai sensi e per gli effetti di cui al D.lgs. 30 giugno 2003, n. 196.

2. Esula dalla disciplina del presente regolamento il trattamento dei dati sensibili e giudiziari di cui all’art. 20, c. 2, ed all’art. 21, c. 2, del predetto Decreto per i quali verrà emanato uno specifico regolamento ed il trattamento dei dati raccolti dal personale docente e ricercatore dell’Università per lo svolgimento della propria attività didattica e per finalità di ricerca esclusivamente individuali.

Art. 2
Definizioni

Ai fini del presente Regolamento si intende per:

  • "Codice", il D. lgs. 30 giugno 2003, n. 196;
  • "Codice di deontologia", Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici, allegato A.4 al Codice (G.U. n.190 del 14/8/2004)
  • "SBA", il Sistema Bibliotecario di Ateneo;
  • "CSIAF", il Centro Servizi Informatici dell’Ateneo Fiorentino;
  • "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
  • "dati sensibili", i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lostato di salute e la vita sessuale;
  • "dati giudiziari" i dati personali idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
  • "misure minime": il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto;
  • "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, ancheunitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
  • "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
  • "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
  • "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;
  • "interessato", la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali;
  • "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
  • "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione oconsultazione;
  • "archivio o banca dati", qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti.

Art. 3
Titolare, responsabile dei dati ed incaricati

1. L’Università è titolare dei dati personali contenuti negli archivi, automatizzati e cartacei, da essa detenuti.

2. Ai sensi dell’art. 29 del Decreto sono designati responsabili del trattamento, ognuno in relazione agli archivi, cartacei ed informatizzati, detenuti nelle rispettive strutture:

  • i responsabili delle unità amministrative;
  • i Dirigenti degli uffici dirigenziali dell’amministrazione centrale e di polo, dello SBA, dello CSIAF e del Museo di Storia Naturale;

Gli archivi detenuti dagli organismi di controllo e valutazione, quali il Collegio dei Revisori, il Nucleo di Valutazione ed ogni altro organo cui espresse disposizioni affidino funzioni di controllo e/o valutazione e verifica, ricadono sotto la diretta responsabilità del titolare.

I predetti responsabili del trattamento, in relazione a ciascun archivio detenuto, o gruppo di essi, possono designare, con proprio provvedimento scritto, fra il personale afferente alla propria struttura o ufficio, altri soggetti responsabili del trattamento ai sensi dell’art. 29 del Decreto. Per gli archivi detenuti dallo CSIAF, fatto salvo per quelli ospitati, la nomina dei responsabili del trattamento viene effettuata dal dirigente dello CSIAF, con provvedimento scritto, di concerto con i rispettivi dirigenti di area ed i responsabili delle unità amministrative.

CSIAF ed i fornitori di servizi che ospitano archivi informatizzati dell’Ateneo, rispettivamente nelle persone del dirigente e dei loro rappresentanti legali, sono automaticamente designati quali responsabili del trattamento. A tal fine gli accordi / i contratti di fornitura dovranno riportare un’apposita clausola che ne definisce i compiti e responsabilità per le violazioni.

3. I responsabili del trattamento, ove designati, nominano e revocano, con propri atti scritti, nell’ambito della propria struttura o uffici afferenti, gli incaricati del trattamento ai sensi dell’art. 30 del Decreto.

Gli incaricati del trattamento degli archivi informatizzati detenuti dallo CSIAF,vengono nominati e revocati, con provvedimento scritto, dai responsabili del trattamento, ove designati, o dal dirigente dello CSIAF, d’intesa con i rispettivi dirigenti di area ed i responsabili delle unità amministrative.

Tutto il personale, strutturato e non, dell’Ateneo, preposto stabilmente ed in modo documentato ad una struttura per la quale siano individuate per iscritto l’ambito del trattamento consentito agli addetti della struttura medesima, è automaticamente incaricato del trattamento dei dati necessario all’espletamento delle funzioni svolte nell’ambito della struttura ed è pertanto obbligato al rispetto delle prescrizioni previste al successivo art. 13.

Tutto il personale docente e ricercatore, strutturato e non dell’Ateneo, è automaticamente incaricato, per documentata preposizione, del trattamento dei dati personali degli studenti tramite i servizi on-line forniti dallo CSIAF, limitatamente agli studenti iscritti agli insegnamenti loro affidati. Sono altresì designati quali incaricati del trattamento dei dati personali degli studentitramite i predetti servizi on-line, i presidenti di corsi di studio, limitatamente agli studenti iscritti al corso di studio medesimo.

4. L’elenco dei responsabili del trattamento è pubblicato sul sito web di Ateneo o sui siti web delle singole strutture, laddove esistenti. L’elenco degli incaricati è disponibile presso ciascun responsabile del trattamento.

Art. 4
Obblighi ed attribuzioni del Rettore

1. Il Rettore, può designare, con proprio provvedimento scritto, responsabili del trattamento diversi da quelli individuati all’articolo 3 del presente regolamento, anche esterni all’Ateneo.

2. Il Rettore, avvalendosi dello CSIAF, assicura:

  1. il massimo coordinamento nell’adempimento degli obblighi di tutela dei dati previsti dalla legge ed un più funzionale assolvimento dei compiti che il Decreto attribuisce ai titolari e responsabili del trattamento dei dati
  2. il controllo dell’uniforme applicazione delle misure minime di sicurezza di cui agli artt. 33-36 del Decreto e dei relativi Documento Programmatico della Sicurezza di cui al disciplinare tecnico allegato al medesimo Decreto, tenuto conto dell’articolazione delle strutture dell’Università e della pluralità delle unità amministrative esistenti
  3. la raccolta annuale dell’elenco degli archivi di dati personali e dei progetti, di cui al successivo art. 6, detenuti dalle strutture, nonché la dichiarazione dei rispettivi responsabili dell’avvenuta adozione delle misure minime previste dal Decreto e dell’eventuale redazione, nel caso di trattamento di archivi informatizzati, del Documento Programmatico per la Sicurezza di cui all’art. 13
  4. lo svolgimento di una riunione annuale di Ateneo, anche al fine di presentare al Consiglio di Amministrazione il piano di realizzazione progressiva dei miglioramenti dei livelli di sicurezza
  5. il piano annuale degli interventi formativi atti a rendere edotti i titolari, i responsabili e gli incaricati dei trattamenti dei rischi che incombono sui dati, delle misure di sicurezza atte a prevenire eventi dannosi e delle responsabilità che ne derivano.

Art. 5
Circolazione dei dati all’interno dell’Università

1. Nell’ambito delle strutture e dei dipendenti dell’Università l’accesso ai dati personali ed il relativo trattamento è consentito esclusivamente ai soggetti all’uopo nominati responsabili od incaricati.

Art. 6
Raccolta e cessazione delle banche di dati

1. Chiunque voglia intraprendere o cessare il trattamento di dati personali strumentali ad attività didattiche ed organizzative, deve darne previa comunicazione al responsabile della struttura di afferenza di cui all’art. 3. A tal fine, per i nuovi trattamenti, deve inviare una comunicazione scritta che contenga:

  1. le finalità e modalità del trattamento;
  2. la natura dei dati, il luogo ove sono custoditi e le categorie di interessati cui i dati si riferiscono ;
  3. l’ambito di comunicazione e diffusione dei dati;
  4. gli eventuali trasferimenti di dati previsti verso Paesi non appartenenti all’Unione Europea o, qualora si tratti di dati sensibili o di dati relativi a provvedimenti di cui all’art. 686 c.p.p., fuori dal territorio nazionale;
  5. una descrizione delle misure di sicurezza adottate, che comunque non possono essere inferiori a quelle previste dagli artt. 34 e 35 del Decreto;
  6. l’eventuale connessione con altri trattamenti o banche dati;

In tal caso il proponente diventa automaticamente responsabile del trattamento dei relativi dati.

2. La tenuta e l’aggiornamento dell’inventario degli archivi di cui al precedente c. 1 esistenti presso le strutture dell’Università è effettuato dai rispettivi responsabili, i quali dovranno altresì provvedere agli adempimenti di cui agli artt. 37-41 del Decreto ed a comunicare al titolare, entro il 31 marzo di ciascun anno, l’elenco degli archivi di dati personali attivi e la dichiarazione dell’avvenuta adozione delle misure di sicurezza in conformità a quanto previsto dal Decreto.

3. I trattamenti di dati personali effettuati per scopi statistici e scientifici sono soggetti al Codice di deontologia.

I progetti di ricerca di cui all’art. 3, c. 1 e 2, del Codice di deontologia e quelli di cui all’art. 8, c. 2, devono essere depositati presso la struttura di afferenza del responsabile della ricerca. Il responsabile della struttura ne cura la conservazione in forma riservata per cinque anni dalla conclusione programmata della ricerca e comunica al titolare, entro il 31 marzo di ciascun anno, l’elenco dei progetti attivi e la dichiarazione dell’avvenuta adozione delle misure di sicurezza in conformità a quanto previsto dal Decreto e dal Codice di deontologia.

Art. 7
Informazioni rese al momento della raccolta

1. Le informazioni per iscritto di cui all’art. 13 del Decreto, possono essere date anche mediante affissioni o depliant o moduli e/o volantini contenenti la clausola "i dati richiesti dall’Università sono raccolti in conformità al D. lgs. 30 giugno 2003, n. 196, ovvero annunci sulle pagine Web.

2. Ogni struttura dell’Università, responsabile del trattamento di dati personali, provvederà ad assolvere agli obblighi di informativa imposti nei confronti dell’interessato ogni qualvolta si provveda alla raccolta di dati personali.

Art. 8
Comunicazione e diffusione di dati personali

1. Il trattamento, la comunicazione e la diffusione di dati personali detenuti dall’Università a soggetti pubblici, a privati o ad enti pubblici economici sono ammessi nei casi previsti dagli articoli 18, 19, 20, 22, 23, 26, 39, 76 , 82, 84 e 135 del Decreto, salvo quanto previsto dai successivi artt. 10 e 11. Qualora la comunicazione e la diffusione di dati personali detenuti dall’Università siano consentite perché necessarie per lo svolgimento delle funzioni istituzionali dell’ente richiedente, il titolare procederà agli adempimenti di cui agli artt. 37 e 38, c 1 e 4, del Decreto.

Art. 9
Modalità di comunicazione e diffusione di dati

1. I soggetti privati e gli enti pubblici economici interessati all’acquisizione di dati in possesso dell’Università devono presentare al titolare una richiesta scritta e motivata da cui risulti:

  1. il nome, la denominazione o la ragione sociale;
  2. le finalità e le modalità di utilizzo dei dati richiesti;
  3. l’eventuale ambito di utilizzo dei dati richiesti;
  4. l’impegno ad utilizzare i dati esclusivamente per le finalità e nell’ambito delle modalità indicate.
  5. la norma di legge o di regolamento in base a cui la richiesta è avanzata.

2. Il titolare o responsabile del trattamento, ove designato, dopo aver valutato che il trattamento, la comunicazione o la diffusione dei dati siano compatibili con i fini istituzionali dell’Ateneo, provvede alla trasmissione degli stessi nella misura e secondo le modalità strettamente necessarie a soddisfare la richiesta.

3. Per la disciplina attinente ai soggetti pubblici si rinvia all’art. 19, c. 2 del Decreto.

Art. 10
Dati personali diffondibili incondizionatamente

1. Salvo quanto previsto dagli artt. 24 e 137 del Decreto e salvo opposizione dell’interessato ai sensi dell’art. 7, comma 4, lettera a) dello stesso Decreto, è comunque permessa la diffusione e la comunicazione a terzi di dati relativi al personale, anche cessato, docente, ricercatore e tecnico-amministrativo dell’Università, nonché dei collaboratori professionali anche esterni, aventi a qualsiasi titolo un rapporto di lavoro con l’Ateneo e dei soggetti estranei all’Amministrazione, membri di organi collegiali e commissioni dell’Università, quando siano indicati esclusivamente:

  • nome, qualifica e dati ad essa relativi (quali il sommario dei corsi tenuti, le materie insegnate, l’elenco delle pubblicazioni effettuate, dati relativi ad attività di studio e di ricerca);
  • sede di servizio, ivi compreso il numero di telefono, di fax e l’indirizzo di e-mail istituzionale;
  • struttura di appartenenza dell’interessato ed organo collegiale di cui sia eventualmente membro.

In ogni caso non potranno essere diffusi o comunicati a terzi dati relativi allo stato matricolare, al rendimento ed all’efficienza, alla cessazione dallo status di docente o dipendente, alle azioni di responsabilità davanti alla Corte dei Conti, ai procedimenti penali, disciplinari e ad inchieste ispettive ad essi preliminari, salvi i casi di giustizia o previsti da altra disposizione di regolamento o di legge.

2. Il titolare di un corso può comunicare e diffondere anche mediante affissioni di elenchi gli esiti di esami, corsi e prove anche intermedie di vario tipo sostenute. La comunicazione via Web è consentita solo all’interessato con accesso autenticato.

3. La comunicazione e diffusione di dati statistici è regolata dal Codice di deontologia.

Art. 11
Dati personali diffondibili condizionatamente

1. Al fine di agevolare l’orientamento, la formazione e l’inserimento professionale e nel mondo del lavoro, anche all’estero, dei giovani studenti e laureati, ed ove la diffusione sia necessaria al raggiungimento degli scopi istituzionali dell’Ateneo o comunque se non incompatibili con essi, si possono comunicare e diffondere, anche a privati e per via telematica, i dati:

  • relativi alle attività ed ai soggetti, compresi i diplomati universitari, di cui all’art. 100 del Decreto e solo per gli scopi ivi indicati;
  • relativi agli esiti scolastici, intermedi e finali, degli studenti, dei giovani laureati e laureandi, borsisti, specializzandi, dottorandi, allievi di corsi di formazione professionale o altri soggetti che comunque svolgano attività di studio e di ricerca presso l’Ateneo anche al fine di consentire l’invio ai soggetti sopra indicati, di inviti ad incontri, manifestazioni, riunioni, congressi, aventi ad oggetto tematiche connesse all’ambito universitario.

I predetti dati possono essere successivamente trattati per le sole finalità in base alle quali sono comunicati o diffusi.

2. Resta fermo il diritto dell’interessato di opporsi per motivi legittimi ai sensi dell’art. 7, comma 4, lettera a) del Decreto.

Art. 12
Rilascio dei certificati relativi agli studenti

1. Agli uffici ed alle segreterie dell’Università è consentito comunque il rilascio a terzi di certificati contenenti dati personali relativi a studenti o laureati presso l’Ateneo, ivi compresi dati riguardanti la partecipazione dello studente ai programmi universitari Erasmus, Socrates e comunque ad altri accordi culturali, nonché la sua reperibilità all’estero, purché dietro esibizione di atto di delega con firma autenticata dell’interessato, anche inviata via fax, oppure di atto di delega, senza firma autentica, accompagnato dall’esibizione del documento d’identità del delegante e del delegato anche in fotocopia o trasmesso mediante fax.

Art. 13
Misure minime di sicurezza e documento programmatico della sicurezza

1. I responsabili delle strutture che detengono dati personali ed i responsabili della sicurezza dei dati, se designati, adottano, per la custodia dei dati personali raccolti negli archivi informatizzati e cartacei della struttura di appartenenza, le misure minime di sicurezza definite agli art. 33, 34,35 ed all’allegato B del Decreto.

2. I responsabili delle strutture che detengono dati personali trattati con strumenti elettronici, entro il 31 marzo di ciascun anno, devono redigere e/o aggiornare il relativo Documento Programmatico della Sicurezza di cui allegato B del Decreto, sentito il dirigente dello CSIAF, dando comunicazione al titolare entro la stessa data dell’avvenuta emanazione e/o aggiornamento.

3. Il Documento Programmatico della Sicurezza di Ateneo è costituito dall’insieme dei Documenti programmatici delle singole strutture .

Art. 14
Sanzioni

1. L’eventuale applicazione delle sanzioni previste dal Codice, determinate dalla mancata osservanza di quanto disposto nel presente regolamentoe dal Codice stesso, da parte delle strutture che detengono i dati, saranno a carico dei responsabili del trattamento delle stesse strutture.

Art. 15
Disposizione transitoria

1. In sede di prima applicazione, entro il 31 gennaio del 2006, i responsabili delle strutture di cui all’art. 3 devono comunicare al titolare gli elenchi e le dichiarazioni previsti all’art. 4, c. 2c.

Art. 16
Disposizione finale

1. In sede di prima applicazione del presente regolamento i titolari di ogni struttura sono tenuti ad effettuare un censimento delle banche di dati esistenti presso la struttura, entro il termine che l’Amministrazione provvederà ad indicare.

Art. 17
Entrata in vigore

1. Il presente regolamento è approvato dal Consiglio di Amministrazione ed emanato con decreto del Rettore. Entra in vigore il giorno successivo dalla sua emanazione.

IL RETTORE
Prof. Augusto Marinelli

* Il testo pubblicato il 30 dicembre e visibile on line fino a martedì 3 gennaio 2006, a causa di errori nella trasmissione del file da parte degli estensori, è sostituito integralmente dal presente testo, inserito il 04/01/2006.

 
Inserito il 04/01/2006
 
Bollettino Ufficiale > Indietro