Procedura per la nomina dei Responsabili e Incaricati Esterni del trattamento di dati personali

Transcript

1 UNIVERSITA CATTOLICA DEL SACRO CUORE SEDE DI ROMA POLICLINICO UNIVERSITARIO AGOSTINO GEMELLI Procedura per la nomina dei Responsabili e Incaricati Esterni del trattamento di dati personali REDAZIONE 10/06/2008 RESPONSABILE ING. VITO SCARDIGNO RESPONSABILE TECNICO AMM.VO S.I. ING. GIOVANNI SCAVINO UPSI-RM-15 VERSIONE N 2 APPROVAZIONE 30/06/2008 DIRETTORE DI SEDE DR. GIANCARLO FURNARI DATA 30/06/2008

2 INDICE DEGLI ARGOMENTI INDICE DEGLI ARGOMENTI SCOPO E CAMPO DI APPLICAZIONE RIFERIMENTI NORMATIVI ASPETTI RILEVANTI NELLE CLAUSOLE CONTRATTUALI RUOLI E RESPONSABILITÀ MODALITÀ OPERATIVE NOMINA RESPONSABILI ESTERNI DEL NOMINA FLUSSO DELLE ATTIVITÀ Nomina Responsabili esterni del Trattamento Nomina Incaricati esterni del Trattamento ALLEGATI MODULO A "LETTERA DI NOMINA A RESPONSABILE ESTERNO DEL DI DATI PERSONALI" MODULO B LETTERA DI NOMINA AD INCARICATO ESTERNO DEL DI DATI PERSONALI /06/2008 PAGINA 2/21

3 1. SCOPO E CAMPO DI APPLICAZIONE Scopo della presente procedura è illustrare le modalità operative cui UCSC deve attenersi per garantire il corretto assolvimento degli adempimenti prescritti dal Decreto Legislativo 30 giugno 2003, n. 196 "Codice in materia di protezione dei dati personali" (di seguito Codice), in materia di nomina dei Responsabili e Incaricati esterni del trattamento. Il documento viene suddiviso nelle seguenti sezioni: Riferimenti normativi: vengono illustrati i vari aspetti normativi da analizzare nella fase di stipulazione dei contratti di outsourcing Ruoli e responsabilità: vengono delineati i ruoli e le responsabilità delle figure coinvolte nell'applicazione della procedura Modalità operative: vengono descritte le modalità operative cui UCSC deve attenersi per garantire una corretta gestione delle nomine dei Responsabili ed Incaricati esterni del trattamento. Al fine di rendere più chiari i ruoli e le responsabilità delle figure coinvolte nell'applicazione della procedura, la presente sezione si conclude con una rappresentazione grafica tramite flow-chart delle attività descritte. In allegato si riportano i seguenti documenti: Modulo A - "Lettera di nomina a Responsabile esterno del trattamento di dati personali" Modulo B - "Lettera di nomina ad Incaricato esterno del trattamento di dati personali". 30/06/2008 PAGINA 3/21

4 2. RIFERIMENTI NORMATIVI Il Codice non fornisce alcuna definizione di outsourcer e non ne fa esplicito riferimento in nessun articolo, tuttavia, la possibilità di nominare Incaricati e Responsabili del trattamento esterni all azienda è confermata da una lettura generale delle disposizioni normative e dai provvedimenti assunti dal Garante, dai quali emerge che, per individuare correttamente tale figura è necessario verificare in quale modo siano gestiti i rapporti all interno della società o dell ente titolare del trattamento anche alla luce delle relazioni con i soggetti esterni di cui questo si serve per espletare le proprie funzioni. La designazione del Responsabile non è di per sé obbligatoria, ma diviene una soluzione in qualche modo obbligata quando una parte sia pure strumentale dei trattamenti necessari per perseguire le finalità del Titolare è curata, con una certa autonomia, da un soggetto esterno. Come il Responsabile interno anche quello esterno deve essere un soggetto od un organismo che per esperienza, capacità ed affidabilità fornisca idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29, comma 2 del D.Lgs 196/2003). 2.1 ASPETTI RILEVANTI NELLE CLAUSOLE CONTRATTUALI In tutti i casi in cui la gestione di servizi affidata a società terze implichi un trattamento di dati personali che rientrano nella titolarità di UCSC sarà necessario designare l outsourcer Responsabile esterno del trattamento tramite la redazione di apposite clausole contrattuali, affinchè le attività svolte dal personale esterno si conducano nel rispetto delle politiche e degli obiettivi di sicurezza fissati da UCSC. A causa dei diversi servizi erogati dall outsourcer e del diverso oggetto del contratto, è opportuno che i contratti siano valutati caso per caso. Tuttavia, nel predisporre i contratti, si può valutare l opportunità di inserire delle clausole di carattere generale che prevedano di: effettuare i trattamenti dei dati personali, ivi inclusi quelli sensibili e giudiziari ex artt. 4, comma 1, lettere d) ed e) del Codice, nel pieno rispetto delle norme e di ogni prescrizione contenuta nel Codice, nei relativi allegati compresi i codici deontologici, delle future modificazioni 30/06/2008 PAGINA 4/21

5 ed integrazioni nonché informarsi e tenere conto dei provvedimenti, dei comunicati ufficiali, delle autorizzazioni generali emessi dall' Autorità Garante per la Protezione dei Dati Personali (di seguito indicato come il Garante ) eseguire i trattamenti funzionali alle mansioni attribuite all Azienda e comunque non incompatibili con le finalità per cui i dati sono stati raccolti, attenendosi alle disposizioni in materia e alle istruzioni relative alle modalità di trattamento impartite da UCSC, ovvero integrando, al meglio, dette istruzioni nelle procedure già in essere all interno della struttura aziendale. Qualora sorgesse la necessità di trattamenti sui dati personali diversi ed eccezionali rispetto a quelli normalmente eseguiti, l'azienda dovrà preventivamente informare UCSC attivare le necessarie procedure aziendali, per identificare gli "Incaricati del Trattamento, sia dipendenti dell Azienda che esterni alla stessa, nominarli per iscritto, fornire loro istruzioni scritte sulle modalità del trattamento dei dati personali ed organizzarli nei loro compiti in maniera che le singole operazioni di trattamento risultino coerenti con le disposizioni impartite e facendo anche in modo che, sulla base delle suddette istruzioni operative, i trattamenti non si discostino dalle finalità per le quali i dati sono stati raccolti. Inoltre, le nomine ad Incaricato di personale esterno non dipendente dell'azienda dovranno essere limitate al solo periodo necessario a svolgere le operazioni di trattamento che saranno indicate nelle relative istruzioni, e non dovranno essere riferite a soggetti sui quali l'azienda non sia in grado di esercitare una diretta autorità e/o controllo verificare la costante adeguatezza delle misure di sicurezza per la protezione dei trattamenti alle misure minime di sicurezza di cui agli artt. da 33 a 35 del Codice, da adottarsi nei modi previsti dal Disciplinare Tecnico allegato B al Codice e secondo le previsioni dell art. 180, e delle eventuali modificazioni o integrazioni che dovessero intervenire ai sensi dell art. 36 nonché a quelle idonee e preventive tali da ridurre al minimo i rischi di perdita e distruzione, anche accidentale, dei dati stessi, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta informare periodicamente UCSC sull'andamento dell'applicazione del Codice relativamente ai dati trattati per conto di quest ultima, segnalando le necessità di intervento e consentendo le azioni di verifica sull'organizzazione dei trattamenti collaborare nell aggiornamento periodico, almeno annuale, del Documento Programmatico sulla Sicurezza di UCSC, previsto dal punto 19 del Disciplinare Tecnico citato, relativamente ai trattamenti di dati personali affidati all Azienda in forza del contratto 30/06/2008 PAGINA 5/21

6 conservare e gestire la documentazione, richiesta per legge, inerente alle attività oggetto del contratto ed ai dati personali trattati e comunicare tempestivamente qualsiasi richiesta ricevuta ai sensi dell'art. 7 del Codice, per consentirne l'evasione nei termini previsti dalla legge ed, in particolare, disporre l'organizzazione interna per l'eventuale modifica, rettifica, integrazione e cancellazione dei dati, nonché il blocco del trattamento ove venisse disposto dal Garante o dall' Autorità Giudiziaria fornire a UCSC una dichiarazione scritta di conformità delle misure di sicurezza adottate per il trattamento dei dati, nell ambito dei servizi erogati, alle disposizioni del Codice ed in particolare del Disciplinare Tecnico e promuovere le verifiche tecniche sui meccanismi di sicurezza, permettendo i relativi riscontri periodici da parte degli incaricati che UCSC provvederà a designare ed a comunicare. Come i Responsabili, anche gli Incaricati del trattamento possono essere esterni all azienda. Nel caso di trattamenti effettuati in nome e per conto del Titolare, tali soggetti devono essere designati formalmente tramite Lettera di Nomina ad Incaricato esterno del trattamento dei dati. Si evidenzia in proposito che il modello organizzativo adottato da UCSC prevede la nomina, quali incaricati esterni del trattamento, dei seguenti soggetti che nello svolgimento delle proprie mansioni effettuano un trattamento di dati personali: lavoratori interinali collaboratori stagisti 30/06/2008 PAGINA 6/21

7 3. RUOLI E RESPONSABILITÀ Vengono di seguito delineati i ruoli e le responsabilità delle figure UCSC coinvolte nell'attuazione della presente procedura. Titolare del trattamento, il quale ha il compito di: nominare i Responsabili esterni del trattamento (sottoscrizione lettere di nomina) U.O. Privacy e Sicurezza delle Informazioni, la quale ha il compito di: predisporre la documentazione richiamata dalla presente procedura archiviare la documentazione sottoscritta dall outsourcer aggiornare l elenco dei Responsabili esterni del trattamento nonchè la lista degli Incaricati presente nel Data Base Privacy Repository U.O. Convenzioni e Contratti ha il compito di: raccogliere i dati della società outsourcer verificare se il contratto stipulato prevede trattamenti di dati personali, e in tal caso informare l U.O. "Privacy e Sicurezza delle Informazioni" che provvederà a redigere la Lettera di nomina supportare l'u.o. "Privacy e Sicurezza delle Informazioni" nella redazione della Lettera di nomina analizzare il documento Lettera di nomina a Responsabile esterno ed inviarlo al Titolare per la sottoscrizione consegnare all outsourcer la Lettera di nomina sottoscritta dal Titolare e il relativo contratto consegnare copia della lettera di nomina, sottoscritta dall outsourcer, all U.O. "Privacy e Sicurezza delle Informazioni" per l archiviazione Responsabile interno del trattamento ha il compito di: comunicare all U.O. Privacy e Sicurezza delle Informazioni i riferimenti dell incaricato esterno, nonchè l oggetto e la natura del contratto supportare l U.O. Privacy e Sicurezza delle Informazioni nella predisposizione della lettera di Nomina ad Incaricato esterno del trattamento dei dati e procedere alla sottoscrizione della stessa. Spetta, inoltre, al Titolare del trattamento approvare ed emanare la presente procedura. 30/06/2008 PAGINA 7/21

8 4. MODALITÀ OPERATIVE Il presente capitolo illustra le modalità operative cui il personale UCSC deve attenersi per garantire la corretta attuazione degli adempimenti prescritti dal Codice in merito alla nomina dei Responsabili esterni e degli Incaricati esterni del trattamento. 4.1 NOMINA RESPONSABILI ESTERNI DEL La presente sezione si propone di illustrare le modalità operative per la nomina a Responsabile esterno del trattamento di società terze cui UCSC ha affidato in outsourcing la gestione di servizi che implicano il trattamento di dati personali. Spetta all U.O. "Convenzioni e contratti": valutare se al momento della raccolta dei dati il contratto prevede un trattamento di dati personali: in caso di valutazione positiva procedere ad inoltrare i dati dell outsourcer all U.O. Privacy e Sicurezza delle Informazioni e collaborare con quest ultima alla redazione della Lettera di Nomina a Responsabile esterno (Modulo A) in caso di valutazione negativa procedere alla stipula del contratto inviare la lettera di nomina al Titolare per la sottoscrizione consegnare il contratto e la lettera di nomina all outsorurcer inviare la lettera di nomina sottoscritta dall outsourcer all U.O. Privacy e Sicurezza delle Informazioni per l archiviazione. Spetta all U.O. Privacy e Sicurezza delle Informazioni : predisporre le lettere di Nomina a Responsabile esterno inviare la lettera di nomina all U.O. Convenzioni e Contratti archiviare la lettera di nomina sottoscritta dall outsourcer aggiornare l elenco dei Responsabili del Trattamento, presente nel Data Base Privacy Repository. Spetta al Titolare del Trattamento: sottoscrivere la Lettera di nomina a Responsabile esterno. 30/06/2008 PAGINA 8/21

9 4.2 NOMINA La presente sezione illustra le modalità operative per la nomina ad Incaricati esterni del trattamento dei lavoratori interinali, collaboratori e stagisti che nello svolgimento dello proprie mansioni effettuano un trattamento di dati personali. Spetta al Responsabile del trattamento interessato al momento della stipula del contratto: comunicare all U.O. Privacy e Sicurezza delle Informazioni i dati del personale esterno che, all'interno della propria struttura organizzativa, effettua operazioni di trattamento di dati personali sottoscrivere la Lettera di nomina a Incaricato esterno del trattamento consegnare agli Incaricati esterni del trattamento la lettera di nomina per la sottoscrizione ed invitarli a prendere visione del Disciplinare interno sull utilizzo delle risorse informatiche e delle "Istruzioni operative per i Responsabile e gli Incaricati del trattamento di dati personali", entrambi disponibili sulla Intranet aziendale consegnare la lettera di nomina sottoscritta dagli Incaricati esterni del trattamento all'u.o. "Privacy e Sicurezza delle Informazioni" per l'archiviazione supportare l'u.o. "Privacy e Sicurezza delle Informazioni", nella predisposizione e/o aggiornamento dell elenco degli Incaricati esterni, riportato nel Data Base Privacy Repository comunicare, entro congruo termine, all'u.o. "Privacy e Sicurezza delle Informazioni" eventuali cambiamenti di mansioni che richiedono un aggiornamento della Lista degli Incaricati esterni. Spetta all'u.o. "Privacy e Sicurezza delle Informazioni": predisporre la Lettera di nomina ad Incaricato esterno del trattamento (Modulo B) e consegnarla al Responsabile per la sottoscrizione archiviare le lettere di nomina sottoscritte dagli Incaricati esterni comunicare al Responsabile del trattamento l avvenuta archiviazione aggiornare, con il supporto del Responsabile del trattamento la Lista degli Incaricati presente nel Data Base Privacy Repository. 30/06/2008 PAGINA 9/21

10 4.3 FLUSSO DELLE ATTIVITÀ Vengono di seguito di rappresentati, tramite flow-chart, il flusso delle attività delle varie figure coinvolte nell applicazione della procedura di nomina a Responsabile esterno, e il flusso delle attività delle varie figure coinvolte nella procedura di nomina ad Incaricato esterno, al fine di renderne più chiari i ruoli e le responsabilità. I simboli utilizzati nel flow-chart, con una breve descrizione degli stessi, sono illustrati nella seguente tabella. Simbolo Denominazione Descrizione evento Inizio Rappresenta l inizio della procedura FINE Fine Rappresenta la fine della procedura attività decision e Fase <nome documento> Attività Decisione Linee di flusso Connettore di attività congiunte Connettore di fase Documento standard Rappresenta la singola attività Rappresenta un momento decisionale Connette le attività fra di loro indicando il flusso delle informazioni Connette le attività che devono essere eseguite da più attori congiuntamente Indica il proseguimento del flusso in un altro diagramma che descrive la fase successiva del processo Indica un documento per cui è disponibile lo standard (1) Nota Indica un riferimento a note allegate al diagramma 30/06/2008 PAGINA 10/21

11 4.3.1 Nomina Responsabili esterni del Trattamento 30/06/2008 PAGINA 11/21

12 4.3.2 Nomina Incaricati esterni del Trattamento Responsabili interni U.O. Privacy e Sicurezza delle Informazioni Raccolta dati degli Incaricati esterni Modulo B Comunicazione all'u.o. "Privacy e Sicurezza delle Informazioni" della natura e dell'oggetto del contratto Predisposizione lettera di Nomina a Incaricato esterno (Modulo B) Sottoscrizione Lettera di Nomina Consegna lettera di Nomina al Responsabile del trattamento Consegna lettera di nomina agli Incaricati esterni Consegna all'u.o. "Privacy e Sicurezza delle Informazioni" lettera sottoscritta dagli Incaricati esterni Archiviazione Lettera di nomina sottoscritta Ricezione comunicazione Comunicazione al Responsabile dell'avvenuta archiviazione Aggiornamento Data Base " Privacy Repository" FINE 30/06/2008 PAGINA 12/21

13 5. ALLEGATI MODULO A "LETTERA DI NOMINA A RESPONSABILE ESTERNO DEL DI DATI PERSONALI" 30/06/2008 PAGINA 13/21

14 (carta intestata) Luogo e data Spett.le <denominazione società> Sede <Indirizzo completo> Oggetto: conferimento dell'incarico di "Responsabile esterno" al trattamento dei dati personali, ai sensi degli artt.4, comma 1, lettera g) e 29 del Decreto Legislativo 30 giugno 2003, n. 196 (di seguito Codice) L Università Cattolica del Sacro Cuore, con sede in Via, n. CAP, in qualità di Titolare del Trattamento dei dati personali della sede di Roma, del Policlinico "A. Gemelli" e delle strutture ad esso afferenti, nella persona del Direttore pro-tempore di Sede Dott. Giancarlo Furnari, PRESO ATTO che il D.Lgs. 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali (di seguito Codice ) garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità dell interessato, con particolare riferimento alla riservatezza e al diritto di protezione dei dati personali, che le attività, oggetto del contratto di <inserire descrizione del contratto>, implicano da parte del < inserire denominazione della società>, il trattamento dei dati personali di cui è Titolare l Università Cattolica del Sacro Cuore, che ai sensi del comma 2 dell art. 29 del Codice, < inserire denominazione della società> dispone delle autonomie operative necessarie, dell esperienza, delle capacità ed affidabilità necessarie a fornire idonee garanzie del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza, NOMINA la <inserire denominazione della società> RESPONSABILE DEL DEI DATI PERSONALI, ai sensi e per gli effetti delle 30/06/2008 PAGINA 14/21

15 disposizioni contenute negli artt.4, comma 1, lettera g) e 29 del Codice, con riguardo alle operazioni di trattamento connesse all esecuzione del suddetto contratto. Nella qualità di "Responsabile del trattamento dei dati personali deve attenersi alle disposizioni operative contenute nella presente nomina e di seguito enunciate. I trattamenti dovranno essere svolti nel pieno rispetto delle previsioni legislative vigenti in materia di protezione dei dati personali, nonché tenendo conto dei provvedimenti e dei comunicati ufficiali emessi dall'autorità Garante per la Protezione dei Dati Personali. <inserire denominazione della società> in qualità di Responsabile del trattamento è autorizzata a procedere all'organizzazione di ogni operazione di trattamento dei dati nei limiti stabiliti dalle vigenti disposizioni contenute nel Codice. Allo scopo, per "trattamento" si intende qualunque operazione o complesso di operazioni, effettuate anche senza l ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l organizzazione, la conservazione, la consultazione, l elaborazione, la modificazione, la selezione, l estrazione, il raffronto, l utilizzo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca dati. <inserire denominazione della società> dovrà eseguire i trattamenti funzionali alle mansioni ad esso attribuite e comunque non incompatibili con le finalità per cui i dati sono stati raccolti. Qualora sorgesse la necessità di trattamenti sui dati personali diversi ed eccezionali rispetto a quelli normalmente eseguiti, <inserire denominazione della società> dovrà informare il Titolare dei dati. <inserire denominazione della società> dovrà attivare le necessarie procedure aziendali, per identificare gli "Incaricati del trattamento, sia dipendenti della società che esterni alla stessa, ed organizzarli nei loro compiti in maniera che le singole operazioni di trattamento risultino coerenti con le disposizioni di cui alla presente nomina e facendo anche in modo che, sulla base delle istruzioni operative loro impartite, i trattamenti non si discostino dalle finalità istituzionali per cui i dati sono stati raccolti. Le nomine ad Incaricato di personale esterno non dipendente di <inserire denominazione della società>, dovranno essere limitate al solo periodo necessario a svolgere le operazioni di trattamento che saranno indicate nelle relative istruzioni, e non dovranno essere riferite a soggetti sui quali la 30/06/2008 PAGINA 15/21

16 <inserire denominazione della società> non sia in grado di esercitare una diretta autorità. <inserire denominazione della società> si attiverà per la verifica delle misure di sicurezza adottate a protezione dei trattamenti dei dati e, sulla base delle risultanze derivate dall'analisi dei rischi predisporrà misure organizzative per l'ottimizzazione di tali misure. <inserire denominazione della società> trasmetterà al Titolare la documentazione tecnica relativa sia alle misure di sicurezza in atto sia alle modifiche in seguito riportate. Le misure di sicurezza dovranno: - soddisfare i contenuti del Codice nonché del Disciplinare Tecnico (allegato B del Codice) - essere correlate alle necessità di prevenire eventi accidentali o volontari che possano alterare o distruggere i dati personali o renderli conoscibili a persone non autorizzate - risultare particolarmente efficaci e di livello superiore per tutte le banche dati composte da informazioni di natura sensibile o giudiziaria. <inserire denominazione della società>, ove riscontrasse carenze nelle misure di sicurezza o in qualunque aspetto relativo ai trattamenti, informerà immediatamente l Università Cattolica del Sacro Cuore al fine di adottare le cautele necessarie <inserire denominazione della società> periodicamente informerà il Titolare sull'andamento dell'applicazione del Codice relativamente ai dati trattati per conto dell Università Cattolica del Sacro Cuore, segnalando le necessità di intervento e consentendo al Titolare stesso le azioni di verifica sull'organizzazione dei trattamenti. Si ricorda che il Codice prevede, per chi viola o disattende le istruzioni di cui alla presente lettera di nomina, l applicazione di sanzioni civili e penali nonché l emanazione di provvedimenti da parte dell Autorità Garante che, ove ravvisasse ipotesi di trattamenti illeciti o non conformi, potrà disporre le ispezioni di verifica ed imporre il blocco dei trattamenti ed, in generale, effettuare accertamenti e controlli. In aggiunta a quanto sopra descritto, <inserire denominazione della società> provvederà ad avvisare immediatamente l Università Cattolica del Sacro Cuore, in qualità di Titolare, di ogni eventuale richiesta, provvedimento ovvero attività di controllo da parte dell Autorità Garante per la protezione dei dati personali o dell Autorità Giudiziaria. 30/06/2008 PAGINA 16/21

17 Con la sottoscrizione del presente atto, <inserire denominazione della società> accetta la nomina e, in ottemperanza di quanto disposto dall art.29 comma 5 del Codice, si impegna a presiedere ed a procedere attenendosi alle istruzioni impartite dal Titolare, il quale potrà disporre verifiche periodiche sull osservanza delle presenti disposizioni. Inoltre, codesta Azienda dichiara espressamente la conformità dei servizi erogati alle disposizioni del Codice ed, in particolare, del Disciplinare Tecnico (allegato B del Codice). Ogni altra pattuizione contenuta nel suddetto contratto resta pienamente confermata ed impregiudicata. Infine, la presente designazione a Responsabile esterno del trattamento resta valida per eventuali successivi rinnovi del contratto. In relazione a quanto sopra esposto La preghiamo di voler restituire copia della presente nomina sottoscritta per accettazione. (Responsabile del trattamento) (Titolare del trattamento) 30/06/2008 PAGINA 17/21

18 MODULO B LETTERA DI NOMINA AD INCARICATO ESTERNO DEL DI DATI PERSONALI 30/06/2008 PAGINA 18/21

19 Carta intestata Luogo e data Egregio Sig./ra <nome e cognome> Università Cattolica del Sacro Cuore <Indirizzo completo> Il D.Lgs. 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali (di seguito Codice ) garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità dell interessato, con particolare riferimento alla riservatezza e al diritto di protezione dei dati personali. Premesso che ai fini del Codice per: trattamento si intende, qualunque operazione o complesso di operazioni, effettuate anche senza l ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l organizzazione, la conservazione, la consultazione, l elaborazione, la modificazione, la selezione, l estrazione, il raffronto, l utilizzo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca dati dato personale si intende, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale dati sensibili si intendono, i dati personali idonei a rivelare l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni od organizzazione a carattere religioso, filosofico, politico o sindacale, i dati personali idonei a rivelare lo stato di salute e la vita sessuale dati giudiziari si intendono, i dati personali idonei a rivelare provvedimenti di cui all art. 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli artt. 60 e 61 del c.p.p. Con la presente comunicazione, nell'ambito <nome dell'unità Organizzativa>, il sottoscritto <nome responsabile>, Responsabile del trattamento dei dati 30/06/2008 PAGINA 19/21

20 personali effettuati nell'ambito della propria struttura, ai sensi del Codice, La nomina INCARICATO ESTERNO DEL DEI DATI PERSONALI con riguardo alle operazioni di trattamento connesse all esecuzione del contratto avente ad oggetto <descrizione dell oggetto del contratto> concluso con Università Cattolica del Sacro Cuore in data <inserire data>. Con riferimento alle operazioni di trattamento dei dati personali di titolarità dell Università Cattolica del Sacro Cuore queste devono essere strettamente inerenti all attività di: 1. <descrizione delle attività poste in essere in esecuzione del contratto> Nella qualità di "Incaricato del trattamento dei dati personali deve attenersi alle disposizioni operative contenute nella presente nomina e di seguito enunciate. Nel trattare i dati personali, si deve operare garantendo la massima riservatezza delle informazioni di cui si viene in possesso considerando tutti i dati personali confidenziali e, di norma, soggetti ad un dovere di riservatezza. Pertanto, non si dovrà divulgare a terzi le informazioni di cui si è venuti a conoscenza. La condotta tenuta in ogni fase di lavoro dovrà evitare che i dati personali siano soggetti a rischi di perdita o distruzione anche accidentale; che ai dati possano accedere persone non autorizzate, che vengano svolte operazioni di trattamento non consentite o non conformi ai fini istituzionali per i quali i dati sono stati raccolti e per i quali vengono trattati. In ogni fase del trattamento non si possono eseguire operazioni per fini non previsti tra i compiti che assegnati e, si potrà accedere ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere tali compiti. In particolare, per i trattamenti dei dati personali che comportino l uso di sistemi informatici e telematici (PC, PC portatile o altro), l accesso a tali dati può avvenire solo attraverso password o codici di accesso secondo quanto disposto nel documento Disciplinare interno sull utilizzo delle risorse informatiche. 30/06/2008 PAGINA 20/21

21 Ogni Incaricato deve mantenere segreta la password di accesso al proprio p.c. evitando di divulgarla a terzi o di trascriverla su fogli. Nessun dato personale, su supporto magnetico, digitale o cartaceo, potrà essere lasciato incustodito. Tutto il materiale cartaceo contenente dati personali deve essere riposto in un luogo sicuro e conservato in maniera tale da non risultare facilmente visibile a persone terze o comunque ai non autorizzati al trattamento. Tali misure devono essere applicate anche a tutte le forme di riproduzione dei dati personali (es. floppy disk, cd-rom, fotocopie, ecc). Si informa, altresì, che il Disciplinare interno sull utilizzo delle risorse informatiche e le Istruzioni operative per i Responsabili e gli Incaricati del trattamento dei dati personali sono disponibili sulla Intranet dell Università. Con i migliori saluti. (Incaricato del trattamento) (il Responsabile del Trattamento) 30/06/2008 PAGINA 21/21