Osservatorio delle libertà ed istituzioni religiose
Notizie
Focus
Libri
Media
Documenti
Riviste
Contatti
Chi Siamo
Area riservata

Olir

Osservatorio delle Libertà ed Istituzioni Religiose

Documenti • 20 Dicembre 2005

Schema tipo di regolamento 17 novembre 2005

Conferenza dei Rettori delle Università Italiane. “Schema tipo di regolamento per il trattamento dei dati sensibili e giudiziari nel sistema universitario”, 17 novembre 2005.

SISTEMA UNIVERSITARIO

REGOLAMENTO PER IL TRATTAMENTO DEI DATI SENSIBILI E GIUDIZIARI IN ATTUAZIONE DEL D.lgs. 196/2003

L’UNIVERSITÀ DEGLI STUDI DI […]

Vista la legge 9 maggio 1989, n. 168;

Vista la direttiva n. 95/46/CE del Parlamento Europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonchè della libera circolazione dei dati;

Visto il Decreto legislativo 30 giugno 2003, n. 196, recante il “Codice in materia di protezione dei dati personali”, con particolare riferimento agli articoli 18, 20, 21, 22 e 181, comma 1, lett. a);

Visto il provvedimento del Garante del 30 giugno 2005 concernente il regolamento in materia di trattamento dei dati sensibili e giudiziari;

Ravvisata la necessità, ai fini dell’attuazione degli articoli 20 e 21, del D.lgs. n. 196/2003, di identificare: i tipi di dati sensibili e giudiziari trattati nell’ambito delle attività dell’Università degli studi di […]; le finalità di rilevante interesse pubblico perseguite dal trattamento e le operazioni eseguite con gli stessi dati;

Ritenuto di indicare sinteticamente le operazioni ordinarie che questa Università deve necessariamente svolgere per perseguire le finalità di rilevante interesse pubblico individuate per legge (operazioni di raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, utilizzo, blocco, cancellazione e distruzione);

Considerato che possono spiegare effetti maggiormente significativi per l’interessato le operazioni svolte, pressoché interamente mediante siti web, o volte a definire in forma completamente automatizzata profili o personalità di interessati, nonchè le interconnessioni e i raffronti tra banche di dati gestite da diversi titolari, oppure i raffronti con altre informazioni sensibili e giudiziarie detenute dal medesimo titolare del trattamento, nonché infine la comunicazione dei dati a terzi;

Ritenuto, altresì, di individuare analiticamente nelle schede allegate, con riferimento alle predette operazioni che possono spiegare effetti maggiormente significativi per l’interessato, quelle effettuate da questa Università, in particolare le operazioni di interconnessione, raffronto tra banche di dati gestite da diversi titolari, oppure con altre informazioni sensibili e giudiziarie detenute dal medesimo titolare del trattamento, nonché di comunicazione a terzi;

Considerato che per quanto concerne tutti i trattamenti di cui sopra è stato verificato il rispetto dei princìpi e delle garanzie previste dall’art. 22 del Codice, con particolare riferimento alla pertinenza, non eccedenza e indispensabilità dei dati sensibili e giudiziari utilizzati rispetto alle finalità perseguite; all’indispensabilità delle predette operazioni per il perseguimento delle finalità di rilevante interesse pubblico individuate per legge, nonché all’esistenza di fonti normative idonee a rendere lecite le medesime operazioni o, ove richiesta, all’indicazione scritta dei motivi;

Considerata l’attività specifica del Gruppo di lavoro CRUI-Università in materia di regolamento di dati sensibili e giudiziari;

Visto lo schema tipo di regolamento sul trattamento dei dati sensibili e giudiziari predisposto dalla CRUI-Università in conformità al parere espresso dal Garante per la protezione dei dati personali, ai sensi dell’art. 154, comma 1, lett. g), del D.lgs. 30 giugno 2003, n. 196, in data […];

VERIFICATA la rispondenza del presente Regolamento al predetto schema tipo e quindi la non necessità di sottoporlo al preventivo parere del Garante;

Vista l’intesa intervenuta il [….] fra la Conferenza dei Presidenti delle Regioni e delle Province Autonome e la Conferenza dei Rettori delle Università Italiane (CRUI), che, per quanto riguarda le strutture e aziende universitarie di qualsiasi tipo e natura operanti nell’ambito del Servizio Sanitario Nazionale, prevede in particolare che:

a) gli aspetti relativi alle attività istituzionali di didattica e di ricerca siano disciplinati secondo le disposizioni dello schema tipo di regolamento predisposto dalla CRUI insieme al Sistema universitario;

b) gli aspetti relativi alle attività assistenziali integrate con l’attività di didattica e di ricerca siano disciplinate secondo le disposizioni dello schema tipo di regolamento delle Regioni e delle Province autonome;

venga verificata la conformità alla normativa in materia di tutela dei dati sensibili e giudiziari e a quanto previsto nel presente Regolamento di quanto disposto nei protocolli di intesa e nelle convenzioni già esistenti tra Università e Regioni.

Vista l’intesa intervenuta il […], fra la Regione […] e le Università ubicate nel territorio regionale, in attuazione dell’intesa fra la Conferenza dei Presidenti delle Regioni e delle Province Autonome e la Conferenza dei Rettori delle Università Italiane (CRUI);

Adotta
il seguente Regolamento:

ART. 1 – AMBITO

Il presente Regolamento, in attuazione del Codice in materia di protezione dei dati personali (art. 20, comma 2 e art. 21, comma 2, del D.lgs. 30 giugno 2003, n. 196), identifica le tipologie di dati sensibili e giudiziari, nonchè le operazioni eseguibili per lo svolgimento delle finalità istituzionali delle Università.

ART. 2 – OGGETTO

Il presente regolamento, in attuazione delle disposizioni di cui all’art. 20, comma 2, e 21, comma 2, del D.lgs. 30 giugno 2003, n. 196, riproduce nelle schede allegate, che formano parte integrante del Regolamento, i tipi di dati sensibili e giudiziari per i quali è consentito il relativo trattamento da parte degli Uffici e delle Strutture dell’Università, nonché le operazioni eseguibili in riferimento alle specifiche finalità di rilevante interesse pubblico perseguite nei singoli casi ed espressamente elencate nella Parte II del D.lgs. n. 196/2003 (artt. 62-73, 86, 95, 98 e 112).
Ai sensi dell’art. 22, del D.lgs. n. 196/2003, in relazione alla identificazione effettuata, è consentito il trattamento dei soli dati sensibili e giudiziari indispensabili per svolgere le attività istituzionali, previa verifica della loro pertinenza e completezza, ferma restando l’inutilizzabilità dei dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali secondo quanto disposto dall’art. 11 del D.lgs. n. 196/2003. Qualora l’Università, nell’espletamento della propria attività istituzionale, venga a conoscenza, ad opera dell’interessato o, comunque, non a richiesta dell’Ateneo, di dati sensibili o giudiziari non indispensabili allo svolgimento dei fini istituzionali sopra citati, tali dati, ai sensi degli artt. 11 e 22 del D.lgs. n. 196/2003, non potranno essere utilizzati in alcun modo, salvo che per l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene.
Le operazioni di interconnessione, raffronto e comunicazione individuate nel presente regolamento sono ammesse soltanto se indispensabili allo svolgimento degli obblighi o compiti di volta in volta indicati, per il perseguimento delle rilevanti finalità di interesse pubblico specificate e nel rispetto delle disposizioni rilevanti in materia di protezione dei dati personali, nonché degli altri limiti stabiliti dalla legge e dai regolamenti. I raffronti e le interconnessioni con altre informazioni sensibili e giudiziarie detenute dall’Università sono consentite soltanto previa verifica della loro stretta indispensabilità nei singoli casi ed indicazione scritta dei motivi che ne giustificano l’effettuazione. Le predette operazioni, se effettuate utilizzando banche di dati di diversi titolari del trattamento, sono ammesse esclusivamente previa verifica della loro stretta indispensabilità nei singoli casi e nel rispetto dei limiti e con le modalità stabiliti dalle disposizioni legislative che le prevedono (art. 22 del D.lgs. n. 196/2003).
A tal fine, ed in relazione alle finalità di rilevante interesse pubblico previste dal D.lgs. 196/2003, sono state identificate quattro macro categorie recanti le seguenti denominazioni dei trattamenti:

A – Gestione del rapporto di lavoro del personale docente, dirigente, tecnico-amministrativo, dei collaboratori esterni e dei soggetti che intrattengono altri rapporti di lavoro diversi da quello subordinato;
B – Attività di ricerca scientifica;
C – Attività didattica e gestione delle iscrizioni e delle carriere degli studenti;
D – Gestione del contenzioso giudiziale, stragiudiziale e attività di consulenza.

Per ciascuna di queste categorie di trattamento è stata redatta una scheda che specifica:

A – denominazione del trattamento;
B – indicazione del trattamento, descrizione riassuntiva del contesto;
C – principali fonti normative legittimanti il trattamento. In relazione a tali fonti ogni successiva modifica o integrazione legislativa sarà automaticamente da intendersi come recepita, sempre che non modifichi i tipi di dati trattati e le operazioni effettuate in relazione alle specifiche finalità perseguite;
D – rilevanti finalità di interesse pubblico perseguite dal trattamento;
E – tipi di dati trattati;
F – operazioni eseguibili, distinguendo fra il trattamento “ordinario” dei dati (raccolta registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, utilizzo, blocco, cancellazione e distruzione) e particolari forme di trattamento (interconnessione e raffronto di dati, comunicazione e diffusione).

ART. 3 – ENTRATA IN VIGORE E PUBBLICITÀ

Il presente regolamento è adottato dai competenti organi accademici, è emanato con decreto del Rettore ed entra in vigore […]
Sarà cura dell’Università, una volta adottato il presente Regolamento tramite i propri organi accademici, dare ad esso, con atto di rilevanza esterna, la massima diffusione, secondo le regole ordinarie di pubblicità legale e nelle forme di comunicazione ritenute più idonee ed efficaci.

Il Rettore

Il parere del Garante per la protezione dei dati personali

Autore: Conferenza dei Rettori delle Università italiane
Dossier: Tutela dati personali
Nazione: Italia
Parole chiave: Personale docente, Università, Attività didattica, Dati giudiziari, Personale amministrativo, Dati sensibili, Rettori, Interesse pubblico, Attività di ricerca, Soggetti pubblici, Studenti, Regolamento, Dati personali
Natura: Schema tipo di regolamento