Riservatezza dati personali - In vigore fino al 13.03.2023
Art. 1 - Ambito di applicazione
1. Il presente regolamento èadottato in attuazione del Decreto Legislativo 30.6.2003 n. 196, di seguito denominato Codice, e disciplina il trattamento da parte dell'Università dei dati personali, anche raccolti in banche di dati, così come definito dall’articolo 4 del Codice medesimo.
2. L'Università degli Studi di Udine, di seguito denominata "Università", provvede al trattamento solamente nell'ambito del perseguimento dei propri fini istituzionali, in armonia con quanto previsto dalla legge 8 agosto 1990, n. 241 e dal relativo Regolamento interno di attuazione.
Art. 2 - Definizioni
1. Secondo l'art. 4 del Codice, si intende:
a) per "banca di dati", qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati, tali da facilitarne il trattamento;
b) per "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
c) per “dati sensibili”, i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche e di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
d) per “dati giudiziari”, i dati personali idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u) del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
e) per "trattamento" dei dati, qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di mezzi elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati;
f) per "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento dei dati personali;
g) per “incaricati”, le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.
Art. 3 - Circolazione dei dati all'interno dell'Università
1. Le disposizioni contenute negli articoli che seguono s'intendono riferite al trattamento, alla diffusione e alla comunicazione dei dati all'esterno dell’Università. L'accesso ai dati personali da parte delle strutture e dei dipendenti dell'Università, comunque limitato ai casi in cui sia finalizzato al perseguimento dei fini istituzionali, è ispirato al principio della circolazione delle informazioni, secondo il quale l'Università provvede alla organizzazione delle informazioni e dei dati a sua disposizione mediante strumenti, anche di carattere informatico, atti a facilitarne l'accesso e la fruizione, anche presso le strutture didattiche e di ricerca.
2. Ogni richiesta d'accesso ai dati personali da parte delle strutture e dei dipendenti dell'Università, debitamente motivata, deve essere soddisfatta nella misura necessaria al perseguimento dell'interesse istituzionale.
Art. 4 - Titolare, responsabili e incaricati
1. Ai fini dell'applicazione della normativa sulla protezione dei dati personali, l'Università è titolare del trattamento dei dati personali, ivi compresi i dati contenuti nelle banche di dati, automatizzate o cartacee, detenuti dall'Università.
2. Il Policlinico Universitario, quale azienda dotata di speciale autonomia, è titolare del trattamento dei dati inerenti l’attività di assistenza sanitaria.
3. Ai fini dell'attuazione della normativa sulla protezione dei dati personali, nell'ambito dell'Università, articolata in strutture amministrative, di servizio, didattiche e scientifiche, i 'responsabili' dei dati sono i Responsabili delle strutture stesse.
4. Il titolare, nella persona del Rettore, può comunque designare, con proprio provvedimento, un responsabile del trattamento dei dati diverso dai soggetti indicati al comma precedente. Il responsabile è un soggetto che, per esperienza, capacità e affidabilità, fornisce idonea garanzia del pieno rispetto delle disposizioni vigenti in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
5. Gli incaricati del trattamento vengono designati dal titolare con provvedimento scritto, nel quale è individuato l’ambito del trattamento consentito.
6. Tutto il personale, strutturato e non, dell’Università, assegnato stabilmente ad una struttura per la quale sia individuato l’ambito del trattamento consentito agli addetti della struttura medesima, è automaticamente incaricato del trattamento dei dati necessario all’espletamento delle funzioni svolte nell’ambito della struttura di appartenenza.
Art. 5 - Modalità di raccolta e requisiti dei dati personali
1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, e utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario per gli scopi per i quali i dati sono stati raccolti e successivamente trattati.
Art. 6 - Misure di sicurezza
1. Il titolare e il responsabile dei dati custodiranno i dati adottando tutte le misure idonee ad evitare i rischi di distruzione o perdita, anche accidentale, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
2. In particolare, il titolare ed i responsabili adottano, per la custodia dei dati personali raccolti negli archivi della struttura di appartenenza, le misure minime di sicurezza definite agli artt. 33, 34 e 35 e all'allegato B del Codice.
3. Il titolare deve aggiornare annualmente il Documento Programmatico sulla Sicurezza di cui all’allegato B del Codice, adottando la misure necessarie a raccogliere informazioni aggiornate.
Art. 7 - Comunicazione interna di avvio o di cessazione del trattamento dei dati
1 Il Responsabile di una struttura che intraprende o cessa il trattamento di dati è tenuto a comunicarlo al Rettore e al Direttore Amministrativo.
2. Se si tratta di un trattamento nuovo, la comunicazione contiene:
a) le finalità e le modalità del trattamento;
b) la natura dei dati, il luogo ove sono custodite le categorie di interessati cui i dati si riferiscono;
c) l'ambito di comunicazione e di diffusione dei dati;
d) una descrizione delle misure di sicurezza adottate;
e) l'eventuale connessione con altri trattamenti o banche di dati.
3. Le informazioni relative a nuovi trattamenti devono essere inviate al competente Ufficio, utilizzando l’apposito modulo, affinché venga integrato il Documento Programmatico sulla Sicurezza.
4. Se si tratta di modifiche a un trattamento già in essere, la comunicazione deve fare riferimento al codice attribuito e deve indicare chiaramente le modifiche o le integrazioni apportate.
5. I responsabili di ogni struttura sono tenuti ad effettuare annualmente un censimento delle banche di dati esistenti presso la struttura e ad inviarne comunicazione al Rettore e al Direttore Amministrativo.
Art. 8 - Diritti dell'interessato
1. Il soggetto i cui dati sono trattati ha il diritto di ottenere, previamente, per iscritto od oralmente, l’informativa di cui all’art. 13 del Codice. Ha diritto inoltre ad ottenere:
a) la conferma dell'esistenza o meno di trattamenti di dati che lo riguardano, anche se non ancora registrati, e la comunicazione in forma intellegibile dei medesimi dati e della loro origine, nonché della logica e delle finalità del trattamento;
b) gli estremi identificativi del titolare e del responsabile del trattamento;
c) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge;
d) l'aggiornamento, la rettificazione, ovvero, qualora vi abbia interesse, l'integrazione dei dati;
e) l'attestazione che le operazioni di cui ai nn. 2 e 3 sono state portate a conoscenza dei terzi.
2. L'interessato ha, inoltre, il diritto di opporsi, per motivi legittimi, al trattamento dei dati che lo riguardano, ancorché pertinenti allo scopo della raccolta.
3. L'interessato può esercitare tali diritti con una richiesta scritta al responsabile del trattamento.
4. L'interessato può conferire, per iscritto, delega o procura a persone fisiche o ad associazioni.
Art. 9 - Comunicazione e diffusione dei dati a terzi
1. La comunicazione dei dati personali, diversi da quelli sensibili e giudiziari, a soggetti pubblici è sempre consentita, se necessaria per lo svolgimento delle funzioni istituzionali di tali soggetti.
2. La comunicazione a soggetti privati dei dati personali, diversi da quelli sensibili e giudiziari, è consentita quando prevista da norme di legge o regolamento.
3. Ogni richiesta rivolta da privati all'Università dev'essere scritta e motivata, nonché redatta in conformità con quanto previsto dal successivo art. 10.
4. L’Università provvede alla comunicazione dei dati stessi a soggetti privati nella misura e secondo le modalità strettamente necessarie a soddisfare la richiesta, previa valutazione della spettanza del diritto, anche in connessione con la normativa sul diritto di accesso agli atti e documenti amministrativi.
5. In caso di rifiuto l’Università comunicherà le motivazioni dello stesso all’interessato.
6. L’Università può comunicare o diffondere, anche di propria iniziativa, i dati riguardanti il personale docente, ricercatore e tecnico amministrativo nonché collaboratore esterno a qualsiasi titolo, limitatamente al nome e cognome, qualifica, sede di servizio, numero di telefono, struttura di appartenenza, organo collegiale del quale sia membro e dati sintetici riguardo alla attività di docenza o di ricerca (settore disciplinare, materie di insegnamento, corsi tenuti e pubblicazioni).
7. L’esito delle prove di valutazione intermedia e degli esami di profitto sostenuti dagli studenti può essere reso noto, se necessario alle esigenze della procedura valutativa, mediante affissione nelle bacheche di Facoltà o mediante strumenti analoghi, anche informatizzati, per il tempo necessario ad assolvere alla funzione informativa.
8. Sono comunque sempre consentite la diffusione e la comunicazione di dati statistici in forma anonima.
Art. 10 - Modalità di comunicazione e diffusione dei dati
1. Al fine di ottenere la comunicazione dei dati, i soggetti privati presentano una richiesta scritta al responsabile, indicando:
a) il nome, la denominazione o la ragione sociale;
b) le finalità e le modalità di utilizzo dei dati richiesti;
c) l'eventuale ambito di comunicazione dei dati richiesti e impegnandosi ad utilizzare i dati esclusivamente per le finalità e nell'ambito delle modalità indicate;
d) il riferimento alla normativa, ove esistente, dalla quale si evince il diritto a conoscere i dati richiesti.
Art. 11 - Trattamento dei dati personali per scopi statistici e scientifici
1. Si intendono per “scopi statistici” le finalità di indagine statistica o di produzione di risultati statistici, anche a mezzo di sistemi informativi statistici. Si intendono per “scopi scientifici” le finalità di studio e di indagine sistematica finalizzata allo sviluppo delle conoscenze scientifiche in uno specifico settore.
2. La disciplina del trattamento di tali dati è contenuta in apposito Codice di deontologia e di buona condotta, di cui allo specifico provvedimento del Garante per la protezione dei dati personali.
Art. 12 - Disposizioni finali
1. Il presente Regolamento ha la natura di Regolamento di Ateneo, secondo quanto previsto dall'art. 64, comma 6 dello Statuto.
2. I costi relativi al trattamento, alla comunicazione e alla diffusione dei dati personali sono da determinare con delibera del Consiglio di Amministrazione dell'Ateneo.
Art. 13 - Entrata in vigore
1. Il presente Regolamento entra in vigore il giorno successivo a quello della sua emanazione con decreto rettorale.