Regolamento di attuazione delle norme sulla tutela delle persone e di altri soggetti rispetto al trattamento di dati personali

(D.R. n. 2173 del 6/10/1998)

Art. 1
Ambito di applicazione

1. Il presente regolamento è adottato in attuazione della legge 31 dicembre 1996 n. 675 e disciplina il trattamento, la comunicazione e la diffusione da parte delle Università dei dati personali, anche raccolti in banche dati.
2. L'Università provvede al trattamento, alla diffusione e alla comunicazione dei dati nell'ambito del perseguimento dei propri fini istituzionali.

Art. 2
Circolazione dei dati all'interno dell'Università

1. Le disposizioni contenute negli articoli che seguono s'intendono riferite al trattamento, alla diffusione e alla comunicazione dei dati all'esterno. L'accesso ai dati personali da parte delle strutture e dei dipendenti dell'Università, comunque limitato ai casi in cui esso sia rivolto al perseguimento dei fini istituzionali e fatta salva la disposizione di cui all'art. 8, comma 4, della legge 31 Dicembre 1996, n. 675, è ispirato al principio della circolazione delle informazioni, secondo il quale l'Università provvede all'organizzazione delle informazioni e dei dati a sua disposizione mediante strumenti, anche di carattere informatico, atti a facilitarne l'accesso e la fruizione, anche presso le strutture didattiche e di ricerca.

2. Ogni richiesta d'accesso ai dati personali da parte delle strutture e dei dipendenti dell'Università, debitamente motivata, dev'essere soddisfatta nella misura strettamente necessaria al perseguimento dell'interesse istituzionale dell'attività volta a tale fine, fatto salvo l'esercizio dei diritti di cui all'art. 13 della legge n. 675/1996.

Art. 3
Circolazione dei dati all'esterno dell'Università

1. Al fine di favorire l'inserimento nel mondo del lavoro e della ricerca degli studenti che hanno conseguito il titolo conclusivo dei corsi di studi di ogni tipologia prevista nel proprio ordinamento didattico, l'Università può comunicare e diffondere all'esterno i dati personali attinenti alla carriera degli studenti medesimi, su richiesta di soggetti pubblici, aziende private, associazioni di categoria e altri soggetti privati ovvero di propria iniziativa, anche mediante inserimento in sito INTERNET o in altri circuiti informativi.
2. I dati dovranno riguardare esclusivamente il nominativo, la data di nascita, il numero di matricola, la data della seduta di laurea e di conseguimento del diploma di specializzazione o del diploma di scuola diretta a fini speciali, il titolo di dottore di ricerca, il voto conseguito e, per quanto concerne il diploma di laurea, il titolo della tesi e il relatore.

3. L'Università avrà cura di chiedere il preventivo assenso scritto degli studenti interessati, previa infomativa ai sensi dell'art. 10 della legge n. 675/1996.

4. Al fine di prevenire ed evitare possibili speculazioni e di tutelare, altresì, la riservatezza personale del laureato, del diplomato o di chi ha conseguito il titolo di dottore di ricerca, non ne sarà diffuso l'indirizzo privato; gli enti, le aziende o altri interessati che intendessero acquisire anche tale ultima informazione dovranno farne domanda in forma scritta all'Università, dichiarando che il dato richiesto è finalizzato esclusivamente ad un eventuale inserimento del soggetto nella propria organizzazione lavorativa.

Art. 4
Definizioni

1. In base all'art.1 della legge n. 675/1996, per "banca dati" si intende "qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati, tali da facilitarne il trattamento".
2. Per "dato personale" si intende "qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, compreso un numero di identificazione personale".

3. Per "trattamento" dei dati si intende "qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati".

4. Per "responsabile" si intende "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento dei dati personali".

Art. 5
Il titolare e il responsabile dei dati

1. Ai fini dell'applicazione della legge n. 675/1996 l'Università degli studi di Roma "Tor Vergata" è titolare dei dati personali, compresi i dati contenuti nelle banche di dati, automatizzate o cartacee, detenuti dall'Università.
2. Ai fini dell'attuazione della legge n. 675/96, nell'ambito dell'Università, articolata in strutture amministrative, di servizio, didattiche e scientifiche, i "Responsabili" dei dati sono i responsabili delle strutture stesse.

3. L'Università, titolare dei dati, ai sensi dell´art. 3 della legge n. 675/96, può comunque designare, con proprio provvedimento, uno o più responsabili del trattamento dei dati, diversi dai soggetti sopra indicati, prevedendo una suddivisione dei compiti. Il responsabile o i responsabili sono soggetti che forniscono idonea garanzia del pieno rispetto delle disposizioni vigenti in materia.

Art. 6
Modalità di raccolta e requisiti dei dati personali

1. I dati personali oggetto di trattamento sono:

a) trattati in modo lecito e secondo correttezza;

b) raccolti e registrati per scopi determinati, espliciti e legittimi, e utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;

c) esatti e, se necessario, aggiornati;

d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati;

e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario per gli scopi per i quali i dati sono stati raccolti e successivamente trattati.

Art. 7
Dati sensibili

1. I dati "sensibili", cioè i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, ad organizzazioni sindacali, nonché i dati personali idonei a rivelare lo stato di salute, possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante.

2. Il trattamento dei dati indicati al comma 1 è consentito solo se autorizzato da espressa disposizione di legge nella quale siano specificati i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite.

Art. 8

1. Ai sensi delle disposizioni emanate con provvedimento del Garante per la protezione dei dati personali, provvedimento datato 19 novembre 1997 e pubblicato nella G.U. della Repubblica - Serie generale - n. 272 del 21 novembre 1997, è autorizzato, in via generale e preventiva, ai sensi dell'art. 41, comma 7, della legge n. 675/1996, il trattamento dei dati sensibili di cui all'art. 22, comma 1, della legge n. 675/1996, finalizzato alla gestione dei rapporti di lavoro, alle condizioni indicate nel provvedimento medesimo, cui si fa rinvio circa:

  1. L'ambito di applicazione;
  2. gli interessati ai quali i dati si riferiscono;
  3. le finalità del trattamento;
  4. le categorie dei dati;
  5. le modalità di trattamento;
  6. la conservazione dei dati;
  7. la comunicazione e diffusione dei dati.

2. I titolari dei trattamenti che rientrano nell'ambito di applicazione dell'autorizzazione preventiva standard non sono tenuti a presentare una richiesta di autorizzazione al Garante qualora il trattamento che si intende effettuare sia conforme alle prescrizioni di cui al precedente comma 1.

3. Il Garante non prenderà in considerazione le richieste ad esso pervenute per trattamenti da effettuarsi in difformità alle prescrizioni del provvedimento richiamato al precedente comma 1, salvo che il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nell'ambito dell'autorizzazione generale preventiva.

4. Restano fermi gli obblighi di acquisire il consenso scritto dell'interessato e di informare l'interessato medesimo, in conformità a quanto previsto dagli artt. 10 e 22 della legge n. 675/1996.

5. Restano fermi, comunque, gli obblighi previsti da norme di legge o di regolamento, ovvero dalla normativa comunitaria, che stabiliscono divieti o limiti in materia di trattamento di dati personali e, in particolare, dalle disposizioni contenute:

a) nell'art. 8 della legge 20 maggio 1970, n. 300, che vieta al datore di lavoro, ai fini dell'assunzione e nello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore;

b) nell'art. 6 della legge 5 giugno 1990, n. 135, che vieta ai datori di lavoro lo svolgimento di indagini volte ad accertare nei dipendenti o in persone prese in considerazione per l'istaurazione di un rapporto di lavoro, l'esistenza di uno stato di sieropositività;

c) nelle norme in materia di pari opportunità o volte a prevenire discriminazioni.


5. L'autorizzazione generale preventiva standard di cui al precedente comma 1 ha efficacia, a decorrere dal 30 novembre 1997, fino al 30 settembre 1998.

6. Qualora alla data del 30 novembre 1997 il trattamento non sia già conforme alle prescrizioni della presente autorizzazione, il titolare può adeguarsi ad esse entro il 31 dicembre 1997, sempreché le caratteristiche del trattamento non permettano un adeguamento entro un termine più breve.

Art. 9
Misure di sicurezza

1. Il titolare e il responsabile o i responsabili dei dati custodiranno i dati adottando tutte le misure idonee ad evitare i rischi di distruzione o perdita, anche accidentale, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Art. 10
Notificazione delle banche dati

1. Il titolare della banca di dati che intenda procedere ad un trattamento di dati personali è tenuto a darne notificazione al Garante ai sensi e con le modalità previste nell'art. 7 della legge n. 675/96.

2. Per consentire al titolare la notificazione delle banche di dati prevista dalla legge n. 675/96, chi intraprende o cessa il trattamento di dati, nell'ambito delle strutture universitarie, è tenuto a comunicarlo al Rettore, al Direttore Amministrativo e al responsabile della struttura.

3. La comunicazione deve contenere:

a. le finalità e le modalità del trattamento;

b. la natura dei dati, il luogo ove sono custoditi e le categorie di interessati cui i dati si riferiscono;

c) l'ambito di comunicazione e di diffusione dei dati;

d) gli eventuali trasferimenti di dati previsti verso Paesi non appartenenti all'Unione europea o, qualora si tratti di dati sensibili e di dati relativi ai provvedimenti di cui all'art. 686 c.p.p., fuori dal territorio nazionale;

e) una descrizione delle misure di sicurezza adottate;

f) l'indicazione della banca o delle banche dati cui si riferisce il trattamento e l'eventuale connessione con altri trattamenti o banche di dati.

4. L'informativa di cui ai precedenti commi va effettuata anche nei confronti degli interessati.

5. La notificazione al Garante può avvenire in forma semplificata, cioè può non contenere gli elementi di cui ai numeri a), b), d), f) individuati dal Garante ai sensi dell'emanando regolamento di cui all'art. 33, comma 3, della legge n. 675/96.

6. In sede di prima applicazione del presente regolamento, i responsabili di ogni struttura sono tenuti ad effettuare un censimento delle banche di dati esistenti presso la struttura e ad inviarne comunicazione al Rettore e al Direttore Amministrativo.

7. Il trattamento non è soggetto a notificazione quando:

a. è necessario per l'assolvimento di un compito previsto dalla legge, da un regolamento o dalla normativa comunitaria, relativamente a dati diversi da quelli indicati negli articoli 22 e 24 della legge n. 675/96;

b. riguarda dati contenuti o provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità di cui all'articolo 20, comma 1, lettera b), della legge n. 675/96;

c. è effettuato per esclusive finalità di gestione del protocollo, relativamente ai dati necessari per la classificazione della corrispondenza inviata per fini diversi da quelli di cui all'articolo 13, comma 1, lettera e), della legge n. 675/96, con particolare riferimento alle generalità e ai recapiti degli interessati, alla loro qualifica e all'organizzazione di appartenenza;

d. riguarda rubriche telefoniche o analoghe non destinate alla diffusione, utilizzate unicamente per ragioni d'ufficio e di lavoro e comunque per fini diversi da quelli di cui all'articolo 13, comma 1, lettera e) della legge 675/96.

e. è finalizzato unicamente all'adempimento di specifici obblighi contabili, retributivi, previdenziali, assistenziali e fiscali, ed è effettuato con riferimento alle sole categorie di dati, di interessati e di destinatari della comunicazione e diffusione strettamente collegate a tale adempimento, conservando i dati non oltre il periodo necessario all'adempimento medesimo;

f. è effettuato per esclusive finalità dell'ordinaria gestione di biblioteche e mostre, in conformità alle leggi e ai regolamenti, ovvero per la organizzazione di iniziative culturali o sportive o per la formazione di cataloghi e bibliografie;

g. è effettuato da associazioni, fondazioni, comitati anche a carattere politico, filosofico, culturale o sindacale, ovvero da loro organismi rappresentativi, istituiti per scopi non di lucro e per il perseguimento di finalità lecite, relativamente a dati inerenti agli associati e ai soggetti che in relazione a tali finalità hanno contatti regolari con l'associazione, la fondazione, il comitato o l'organismo, fermi restando gli obblighi di informativa degli interessati e di acquisizione del consenso, ove necessario;

h. è effettuato temporaneamente ed è finalizzato esclusivamente alla pubblicazione o diffusione occasionale di articoli, saggi e altre manifestazioni del pensiero, nel rispetto del codice di deontologia di cui all'articolo 25 della legge n. 675/96;

i. è effettuato anche con mezzi elettronici o comunque automatizzati, per la redazione di periodici o pubblicazioni aventi finalità di informazione giuridica, relativamente a dati desunti da provvedimenti dell'autorità giudiziaria o di altre autorità;

j. è effettuato temporaneamente per esclusive finalità di raccolta di adesioni a petizioni o ad appelli.


Art. 11
Diritti dell'interessato

1. Il soggetto i cui dati sono contenuti in una banca di dati ha il diritto di ottenere, senza ritardo:

a. la conferma dell'esistenza o meno di trattamenti che lo riguardano, anche se non ancora registrati, e la comunicazione in forma intelligibile dei medesimi dati e della loro origine, nonché della logica e delle finalità del trattamento;

b. la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge;

c. l'aggiornamento, la rettificazione, ovvero, qualora vi abbia interesse, l'integrazione dei dati;

d. l'attestazione che le operazioni di cui ai nn. 2 e 3 sono state portate a conoscenza dei terzi.


2. L'interessato ha, inoltre, il diritto di opporsi, per motivi legittimi, al trattamento dei dati che lo riguardano, ancorché pertinenti allo scopo della raccolta, l'interessato può esercitare tali diritti con una richiesta scritta al responsabile della banca dati.

3. L'interessato può conferire, per iscritto, delega o procura a persone fisiche o ad associazioni.

Art. 12
Richieste e modalità di trattamento, diffusione e comunicazione di dati personali

1. Ogni richiesta rivolta da soggetti privati o da enti pubblici all'Università e finalizzata ad ottenere il trattamento, la diffusione e la comunicazione dei dati personali, anche contenuti in banche di dati, di cui sia in possesso l'Università, dev'essere scritta e motivata; la richiesta, rivolta al Rettore e al responsabile del trattamento, dovrà indicare, oltre che i dati cui essa fa riferimento:
a. il nome, la denominazione o la ragione sociale del richiedente;

b. le finalità e le modalità di utilizzo dei dati richiesti;

c. l'eventuale ambito di comunicazione dei dati richiesti, impegnandosi ad utilizzare i dati esclusivamente per le finalità e nell'ambito delle modalità indicate;

d. l'eventuale richiesta dell'indirizzo ai sensi e per le finalità di cui al precedente art. 3, comma 4;

e. il domicilio, la residenza o la sede del titolare richiedente e, se designato, del responsabile;

f. l'impegno, debitamente sottoscritto dal titolare richiedente e dal responsabile, se designato, di utilizzare i dati esclusivamente per le finalità, nell' ambito e con le modalità indicati, nonché di provvedere tempestivamente all'informativa di cui all'art. 10 della legge n. 675/1996.


2. La comunicazione e la diffusione dei dati sono comunque permesse quando:

a. siano necessarie per finalità di ricerca scientifica o di statistica e si tratti di dati anonimi;

b. siano richieste dai soggetti di cui all'art.4, comma 1, lettere b), d), c) della legge n. 675/96, per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati, con l'osservanza delle norme che regolano la materia.


3. L'Università, dopo avere valutato che il trattamento, la diffusione e la comunicazione dei dati sono compatibili con i propri fini istituzionali, provvede alla trasmissione dei dati stessi nella misura e secondo le modalità strettamente necessarie a soddisfare la richiesta.

4. Nei limiti di cui all'art. 27 della legge n. 675/1996, e previa comunicazione al Garante, le richieste provenienti da soggetti pubblici, esclusi gli enti pubblici economici, finalizzate al trattamento, alla diffusione e alla comunicazione dei dati sono soddisfatte quando necessarie al perseguimento dei fini istituzionali dell'ente richiedente.

Art. 13
Disposizioni finali

1. I costi relativi al trattamento, alla comunicazione e alla diffusione dei dati personali sono da determinare con delibera del Consiglio di Amministrazione dell'Ateneo.


Roma lì 6.10.1998

IL RETTORE

Allegati