2. Fonti normative e regolamentari di riferimento

Transcript

1 ISTRUZIONI PER IL TRATTAMENTO E LA PROTEZIONE DEI DATI PERSONALI (ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati) 1. Premessa Il Regolamento (UE) 2016/679 (d ora in avanti GDPR) prevede la predisposizione e l implementazione di misure organizzative e tecniche al fine di garantire una consapevole applicazione del nuovo quadro normativo in materia di trattamento dei dati personali. L Università degli Studi di Bari Aldo Moro, in qualità di Titolare del trattamento, adotta politiche per la protezione dei dati personali sia per adempiere alle prescrizioni dettate in materia dalla normativa vigente sia per sensibilizzare, formare e orientare la comunità universitaria in relazione all importanza di tutelare i diritti degli interessati. Le presenti istruzioni sono sottoposte ad aggiornamento periodico e non sostituiscono la necessaria conoscenza del quadro normativo e regolamentare in evoluzione - sinteticamente (e non esaustivamente) rappresentato al punto Fonti normative e regolamentari di riferimento - Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati - D.Lgs. 196/2003 come novellato dal D. Lgs. n. 101/ Provvedimenti in materia emanati dall Autorità Garante - Regolamento in materia di protezione dei dati personali in attuazione del regolamento UE 2016/679 del parlamento europeo e del consiglio e del Decreto Legislativo 30 giugno 2016, n. 196 Codice in materia di protezione dei dati personali, emanato con D.R del Regolamento per la sicurezza dei servizi ICT dell Università degli studi di Bari Aldo Moro emanato con D.R del Regolamento per l accesso, l utilizzo e la protezione delle risorse informatiche dell Università degli studi di Bari Aldo Moro emanato con D.R del Regolamento per l accesso e l utilizzo del servizio di posta elettronica di Ateneo emanato con D.R. 428 del Regolamento della rete telematica dell Università di Bari emanato con D.R. n del Ogni altra normativa nazionale e/o dell Unione Europea rilevante in materia di tutela della riservatezza e dei dati personali - 3. Definizioni Ai fini del presente documento si intende per: - trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l organizzazione, la conservazione, la strutturazione, l adattamento o la modifica, l estrazione, la consultazione, l uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l interconnessione, la limitazione, la cancellazione o la distruzione; - dato personale: qualunque informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi 1

2 2 all ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; - categorie particolari di dati: i dati personali che rivelino l origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l appartenenza sindacale, i dati genetici, dati biometrici atti a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all orientamento sessuale; - titolare del trattamento: la persona fisica o giuridica, l autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; - responsabile esterno: la persona fisica o giuridica, l autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento; - responsabile interno: i responsabili delle strutture nell ambito delle quali i dati personali sono gestiti per le finalità istituzionali, individuati sulla base delle competenze attribuite alla funzione organizzativa o carica istituzionale che ricoprono. All'interno dell'ateneo i responsabili interni sono così individuati: - per le strutture amministrative: il direttore generale, per i dati relativi alle proprie attività, e i dirigenti delle direzioni e dell avvocatura per le attività di propria competenza; - per le strutture didattiche e di ricerca: i direttori dei dipartimenti di didattica e di ricerca e dei centri, i presidenti delle scuole, i responsabili di altre tipologie di strutture; - autorizzati al trattamento: le persone fisiche istruite a trattare i dati personali sotto l autorità diretta del Titolare e/o del Responsabile interno e per le finalità stabilite dal Titolare (artt. 4, 29, 32, 39 del RGDP); - interessato al trattamento: la persona fisica, la persona giuridica, l ente o l associazione cui si riferiscono i dati personali; - consenso dell interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento; - responsabile per la protezione dei dati: figura specializzata nel supporto al Titolare del trattamento prevista come obbligatoria negli enti pubblici (RPD); - registro attività di trattamento: elenco, in forma cartacea o digitale, delle attività di trattamento dei dati personali effettuate sotto la propria responsabilità dal Titolare e dal Responsabile esterno per la protezione secondo le rispettive competenze - violazione dei dati personali: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l accesso ai dati personali trasmessi, conservati o comunque trattati. 4. Regole generali per tutti i trattamenti Nello svolgimento del trattamento devono essere osservate le norme di legge e di regolamento in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali. In particolare: il trattamento dei dati personali, ai sensi dell art. 5 del GDPR, deve rispettare i principi di liceità, correttezza e trasparenza nei confronti dell interessato, e di limitazione delle finalità che devono essere determinate, esplicite e legittime; i dati trattati devono essere pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (minimizzazione dei dati) e devono essere esatti e, se necessario, aggiornati. Coloro che trattano dati personali che competono alla unità organizzativa cui afferiscono, purché abbiano ricevuto le istruzioni al trattamento da parte del diretto superiore gerarchico, sono ritenuti soggetti autorizzati al trattamento dei dati per preposizione ad unità organizzativa. I soggetti autorizzati al trattamento, nello svolgimento di qualunque operazione di trattamento (raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estrazione,

3 consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto, interconnessione, limitazione, cancellazione, distruzione) compiuta con o senza l ausilio di processi automatizzati e applicata a dati personali o insiemi di dati personali sono tenuti a: visionare, nel Registro delle attività di trattamento, i trattamenti assegnati alla struttura cui si afferisce; assicurarsi che sia stata fornita agli interessati la relativa informativa prima di procedere alla raccolta dei dati; consentire l esercizio dei diritti e delle facoltà previste dagli artt.15, 16, 17, 18, 20, 21 del GDPR (diritto di accesso, di cancellazione, di limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione) nel rispetto delle indicazioni fornite dal Titolare e dai Responsabili interni nominati con D.R del ; collaborare, con gli altri soggetti autorizzati al medesimo trattamento, esclusivamente per i fini dello stesso e nel rispetto delle indicazioni fornite dal Titolare e dai relativi Responsabili interni; non trasmettere all esterno ed a soggetti terzi, informazioni circa i dati personali conosciuti in ragione del proprio ufficio, salvo che si tratti di comunicazione funzionale allo svolgimento dei compiti affidati, previa autorizzazione del Responsabile interno; rispettare il suddetto obbligo di riservatezza anche nel periodo successivo all eventuale cessazione del rapporto di lavoro o al trasferimento ad altra struttura organizzativa, fino a quando le suddette informazioni non vengano divulgate da parte del Titolare, oppure divengano di dominio pubblico; accertarsi dell identità del diretto interessato, prima di fornire informazioni circa i dati personali o il trattamento effettuato; segnalare qualsiasi anomalia e stranezza da cui si possa desumere una anche solo presunta violazione di dati personali al proprio Responsabile interno; nel caso di presenza in ufficio di un ospite o altro personale di servizio: - farlo attendere in luoghi in cui non sono presenti informazioni riservate o dati personali; - evitare di allontanarsi dalla scrivania in sua presenza, riporre i documenti e attivare il salvaschermo del PC prima di allontanarsi. Nel caso di trasferimento, anche temporaneo, ad altra struttura/ufficio, o nell ipotesi di cessazione del rapporto di lavoro, l autorizzato perde i privilegi di accesso ai dati personali riconosciuti all ufficio di provenienza. L autorizzazione al trattamento dei dati si intenderà revocata con la cancellazione del soggetto dall elenco dei dipendenti e collaboratori afferenti alla struttura interessata dal trattamento come risultante dal Registro delle attività di trattamento. 5. Trattamento cartaceo dei dati personali Per quanto riguarda la documentazione cartacea contenente dati personali, gli autorizzati al trattamento sono tenuti a: conservare gli atti e i documenti contenenti dati personali per la durata del trattamento e successivamente riporli in archivi ad accesso controllato al fine di escludere l accesso, agli stessi, da parte di persone non autorizzate al trattamento. A questo proposito sono tenuti a segnalare al relativo Responsabile interno le eventuali necessità di dotazioni e arredi, in modo da poter adempiere a quanto prescritto; non lasciare gli atti e i documenti contenenti dati personali incustoditi su scrivanie o tavoli di lavoro e riporli nei relativi archivi a fine giornata; utilizzare gli appositi apparecchi distruggi documenti qualora si renda necessario distruggere i documenti contenenti dati personali. In assenza di tali strumenti, i documenti dovranno essere sminuzzati in modo da non essere più ricomponibili; 3

4 adottate misure organizzative idonee per salvaguardare la riservatezza dei dati personali nei flussi di documenti cartacei all'interno degli uffici (es. trasmettere documenti in buste chiuse). 6. Trattamento con strumenti elettronici Per quanto riguarda le elaborazioni e le altre fasi dei trattamenti effettuati attraverso strumenti informatici, ai soggetti autorizzati al trattamento dei dati è richiesto il rispetto delle regole per la sicurezza informatica come da normativa vigente e secondo le indicazioni contenute nei Regolamenti di Ateneo di cui al punto 2. L Università considera rischioso il trasporto di dati personali su ogni supporto (computer portatili, copie cartacee, pen-drive etc.). Ciò vale prioritariamente per le categorie particolari di dati, i grandi volumi di dati personali e le informazioni che comportano particolari rischi per l interessato nel caso di perdita o distruzione. Solo in circostanze eccezionali tali dati possono essere trasportati fuori dagli ambienti dell Università e sotto la diretta responsabilità di personale autorizzato. In particolare, il personale autorizzato è tenuto a: - ove possibile, fare uso di accesso remoto tramite login e password alle informazioni; - trasportare solo la quantità minima necessaria di dati personali; - assicurarsi che i dispositivi mobili e i dispositivi di archiviazione esterna utilizzati per il trasporto di dati personali fuori dagli ambienti universitari siano dotati di sistemi di crittografia. Qualunque perdita e/o furto di dati deve essere tempestivamente segnalato e trattato secondo la procedura di gestione delle violazioni di dati personali ( 7. Trattamenti concernenti particolari categorie di dati personali o dati relativi a condanne penali o reati Si intendono per categorie particolari di dati quelli relativi a: origine razziale, etnica, opinioni politiche, convinzioni religiose, convinzioni filosofiche, appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco la persona fisica, dati relativi allo stato di salute, dati relativi alla vita sessuale, dati relativi all orientamento sessuale della persona. Nel caso di trattamento delle suddette categorie di dati agli autorizzati al trattamento è richiesto il rispetto di norme di sicurezza aggiuntive quali: non fornire dati o informazioni di carattere sensibile per telefono, qualora non si abbia certezza assoluta sull identità del destinatario; evitare di inviare, per fax o , documenti in chiaro contenenti dati sensibili; conservare i documenti, ancorché non definitivi, e i supporti contenenti tali categorie di dati, in elementi di arredo muniti di serratura e non lasciarli incustoditi in assenza del soggetto autorizzato al trattamento; conservare i supporti e i documenti recanti dati relativi a categorie particolari di dati in contenitori muniti di serratura, separatamente da ogni altro documento; non memorizzare mai tali particolari categorie di dati su supporti removibili (pennette usb, hard disk esterni, pc portatili etc.). 4

5 8. Formazione Tutti i soggetti, designati come Responsabili interni e/o Autorizzati al trattamento dei dati personali di cui l Università degli Studi di Bari è titolare, sono tenuti a frequentare i corsi di formazione e aggiornamento organizzati dall Ateneo sulle procedure e sulle misure di sicurezza organizzative, logiche e fisiche atte a tutelare il trattamento, la conservazione e l'integrità dei dati personali affidatigli per il trattamento e ad attenersi alle seguenti istruzioni. 9. Sezione intranet Privacy Uniba La sezione Intranet Privacy Uniba è dedicata alla politica istituzionale di protezione dei dati. Questa sezione, accessibile tramite autenticazione con credenziali UniBA e continuamente aggiornata, contiene informazioni, documenti, norme, regolamenti, modulistica relative alle politiche e alle misure di sicurezza organizzative e tecniche adottate dall'università degli Studi di Bari al fine di garantire la sicurezza del trattamento dei dati personali nello svolgimento di compiti istituzionali e assicurare l'adeguamento al Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679). 10. Nel concreto è opportuno ricordare che I dati personali altrui vanno trattati con la medesima cura con cui trattiamo i nostri! I sistemi come DROPBOX FREE e GOOGLE DRIVE CONSUMER prevedono condizioni di utilizzo che potrebbero non essere adeguate alla tipologia di dati che si intendono trattare. L informativa e l eventuale consenso raccolti presso i partecipanti contengono dati personali, quindi, è necessario custodirli con cura. Per ogni raccolta di dati è opportuno minimizzare la registrazione e l utilizzo di dati personali, consentire l accesso al solo personale autorizzato e garantire la sicurezza dei dati tramite sistemi di autenticazione. Ogni raccolta di dati deve necessariamente essere compatibile con le finalità dichiarate nell informativa. Non associare mai dati di contatto a dati personali o a dati particolari della persona (dato relativo alla salute, origine razziale ed etnica, dato genetico etc.). In questo modo non si potrà incorrere nel rischio di lasciare l elenco dei soggetti con i relativi dati di contatto e personali in vista sulla propria scrivania. Valutare sempre le soluzioni a disposizione per garantire la sicurezza dei dati personali. La regola generale è quella di limitare l accesso ai dati personali al minor numero di persone possibile, vincolando tale accesso ad una particolare postazione di Lavoro. Qualora, invece per esigenze ben motivate, sia necessario garantire l accesso ai dati personali a più persone, valutare tecnicamente la soluzione più efficiente e sicura. Non inviare e/o scambiare con i collaboratori dati personali, ancorché anonimizzati o pseudononimizzati, via mail. Verificare eventuali altri metodi per inviare i dati in modo sicuro. Contattare il Responsabile della Protezione dei Dati rpd@uniba.it in caso di dubbi sul trattamento dei dati che si intende effettuare e per una corretta valutazione del rischio e delle misure di sicurezza da applicare. 5