Oggetto: Obblighi del tirocinante - Istruzioni per il trattamento dei dati personali ai sensi del Codice della privacy e del Regolamento dell Azienda USL Roma 3 per l organizzazione e la gestione dei trattamenti di dati personali e degli adempimenti in materia previsti. In attuazione dell art. 30 del d.lgs. n. 196/2003 (Codice della privacy) e dell art. 5 del Regolamento aziendale per l organizzazione e la gestione dei trattamenti di dati personali e degli adempimenti previsti dal Codice della privacy, il sottoscritto dott., quale Responsabile del trattamento dei dati personali effettuato nell ambito della U.O.C., giusta designazione del Titolare per atto prot. n. del, rappresenta, ai soggetti sotto indicati, l obbligo alla riservatezza su notizie connesse all attività svolta ed alla osservanza in modo scrupoloso di quanto previsto dalla normativa vigente in materia di privacy nonché dal Regolamento dell Azienda USL Roma D per l organizzazione e la gestione dei trattamenti di dati personali e adempimenti previsti dal Codice della Privacy con particolare riferimento agli artt. n 5 e n 6 dello stesso -. Nome Cognome Struttura Data e Firma del Tirocinante I soggetti sopra indicati sono tenuti all obbligo di eseguire le operazioni di trattamento, tramite elaboratori, documenti e/o supporti anche cartacei, ai fini dello svolgimento dei compiti ed
attività affidati attenendosi scrupolosamente alle istruzioni impartite dallo scrivente Responsabile e dall Azienda Titolare. Roma, Il Responsabile del trattamento
Allegato A Prot. n. del ISTRUZIONI PER I TIROCINANTI DELLA U.O.C.. Di seguito sono riportate le istruzioni impartite ai tirocinanti per il trattamento dei dati personali effettuato nell ambito delle strutture dell U.O.C.. Alla fine del presente documento è inoltre riportato un Glossario ad uso dei medesimi incaricati con la spiegazione del significato di alcuni termini più ricorrenti, così come definiti dal Codice Privacy. Ogni tirocinante è tenuto a: a) effettuare operazioni di trattamento di dati personali soltanto per le finalità e con le modalità strettamente correlate allo svolgimento delle attività affidate e secondo le prassi seguite in ambito aziendale; b) accedere solo ai dati personali, ivi compresi i dati sensibili ed eventuali dati giudiziari, strettamente necessari all esecuzione delle predette attività; c) verificare che i dati acquisiti dagli interessati siano esatti e completi e, che siano utilizzati in modo pertinente e non eccedente rispetto alle attività svolte e ai compiti assegnati; d) provvedere ad eseguire gli adempimenti previsti dal Codice della privacy secondo le istruzioni impartite in ambito aziendale e, in particolare, dal Responsabile del trattamento della U.O.C. di riferimento, nonché utilizzando la modulistica eventualmente messa a disposizione; e) mantenere la riservatezza sui dati personali, anche sensibili, di cui venga a conoscenza o in possesso per le attività svolte, senza divulgarli a terzi al di fuori dei casi connessi allo svolgimento delle stesse attività, secondo le prassi seguite in ambito aziendale od in base alle istruzioni ricevute dal Responsabile; f) garantire la dignità delle persone e la riservatezza dei dati trattati in relazione a richieste o fruizioni di prestazioni sanitarie, secondo la prassi seguita in azienda e le indicazioni del Titolare e del Responsabile di riferimento, nel rispetto dell art. 83 del Codice della privacy
g) astenersi, in caso di cessazione dell attività, dall effettuare operazioni di trattamento dei dati personali di cui sia venuto a conoscenza durante lo svolgimento dell incarico ed, in particolare, dal conservarli, duplicarli, comunicarli, o cederli a terzi; h) informare prontamente il Responsabile del trattamento di riferimento su ogni questione rilevante in relazione al trattamento di dati personali effettuato o su eventuali richieste ricevute dalle persone cui si riferiscono i dati; Inoltre, al fine di evitare rischi di accesso non consentito, perdita o distruzione anche accidentale dei dati, ogni tirocinante deve inoltre attenersi a tutte le prescrizioni e misure di sicurezza che vengono qui di seguito riportate: 1) riferire al Responsabile ogni e qualsiasi anomalia riscontrata nell esercizio della propria attività. 2) l interessato al momento dell inizio del tirocinio si deve rivolgere all amministratore di sistema che provvederà ad abilitarlo ed a fornirgli le credenziali di accesso; 3) controllare e custodire gli strumenti elettronici utilizzati per il trattamento dei dati e i documenti contenenti dati personali, di cui si è a conoscenza o in possesso per lo svolgimento delle attività e dei compiti assegnati, in modo tale da impedire l accesso a persone non autorizzate o trattamenti non consentiti; 4) utilizzare il codice identificativo (user-id) e la password riservata assegnati per l accesso ai dati trattati mediante strumenti elettronici e custodirli garantendone la segretezza. 5) la password deve esser composta da una sequenza di almeno otto caratteri, sia numerici che alfabetici (o, se il programma in uso non lo permetta, dal numero massimo di caratteri consentito); 6) nella generazione della password, si deve prestare la massima attenzione a non utilizzare elementi o notizie facilmente riconducibili all utilizzatore. Devono quindi, ad esempio, esser evitati riferimenti a: nome e cognome, data di nascita, numero di matricola, nome di familiari, numero di telefono di casa o dell ufficio, soprannomi noti, nonché nomi di personaggi famosi, ecc.; 7) la password deve essere modificata al primo utilizzo ed ogni volta che viene richiesto dal sistema (al massimo, 6 mesi o 3 mesi se i dati trattati sono sensibili e/o giudiziari) ovvero in caso vi sia il dubbio che ne sia stata violata la segretezza. Nella generazione della nuova password, non devono essere utilizzate sequenze di caratteri già usate in precedenza; 8) la password deve rimanere riservata e deve essere appositamente custodita la prassi aziendale (che prevede ad es. la consegna in busta chiusa delle credenziali da parte del Responsabile della struttura di riferimento). A tale fine deve essere evitata la digitazione in presenza di terzi ed è necessaria la conservazione in luogo non accessibile ad altri (va dunque assolutamente evitata l apposizione sul video-terminale di biglietti o adesivi contenti riferimenti alla password).
9) in tutti i casi di allontanamento, anche temporaneo, dalla stazione di lavoro è necessario chiudere la propria sessione di lavoro. Tale accorgimento deve essere adottato soprattutto in caso di utilizzazione, da parte di più soggetti, della medesima stazione di lavoro; 10) i trattamenti di dati contenuti in atti e documenti cartacei devono essere svolti garantendo sempre la corretta custodia degli stessi. I documenti non possono, pertanto, esser lasciati incustoditi sulla propria scrivania e/o in luoghi aperti al pubblico in assenza di altri incaricati addetti al medesimo trattamento; non devono esser consultati da altri incaricati non abilitati al trattamento; non possono esser riprodotti o fotocopiati se non per esigenze connesse alla finalità del trattamento; 11) gli atti ed i documenti che contengono dati sensibili e/o giudiziari e/o in ogni caso quelli tali da rendere necessaria un particolare livello di riservatezza sono conservati in fascicoli e folder separati, accessibili esclusivamente agli incaricati autorizzati. I tirocinanti addetti ad operazioni di trattamento su tali documenti, oltre alle accortezze di cui al punto precedente, sono tenuti alla fine della sessione di lavoro a depositare gli atti nei relativi archivi; 12) alla fine del periodo di tirocino deve darne comunicazione all Amministratore di Sistema che provvederà a disabilitare l utente per impedire accessi oltre il termine del periodo autorizzato; 13) in tutte le ipotesi in cui venga utilizzata una stampante o fax condivisi da vari utenti situata al di fuori dei locali ove è posta la singola stazione di lavoro, le stampe devono essere raccolte immediatamente e custodite con le modalità descritte nei punti precedenti; 14) è fatto assoluto divieto di entrare in locali ad accesso limitato, se non previa espressa autorizzazione del Responsabile /o di un suo incaricato. Si ricorda, infine, che la violazione degli obblighi previsti dal Codice Privacy può esporre l Azienda quale Titolare, i relativi esponenti ed anche i singoli Responsabili e/o Incaricati del trattamento a rischi sul piano delle responsabilità e delle sanzioni previste per legge a livello civile, amministrativo ed anche penale. Roma, Il Responsabile del trattamento Per ricevuta Il Tirocinante
Glossario privacy Trattamento: Dati personali: Dati sensibili: Dati giudiziari: qualunque operazione o complesso di operazioni; concernenti la raccolta, la registrazione, l organizzazione, la conservazione, la consultazione, l elaborazione, la modificazione, la selezione, l estrazione, il raffronto, l utilizzo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distribuzione di dati personali, anche se non registrati in una banca dati. qualunque informazione relativa alla persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. i dati relativi allo stato di salute di una persona, alla sua origine razziale ed etnica, preferenze sessuali, appartenenza sindacale o politica e convinzioni religiose o filosofiche. i dati che attengono alla qualità d indagato od imputato in un procedimento penale ovvero i dati relativi a provvedimenti giudiziari penali che rilevano dalle iscrizioni del casellario giudiziale. Misure minime di sicurezza: il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Strumenti elettronici: Autenticazione informatica: Credenziali di autenticazione: gli elaboratori (computers o PC), i programmi informatici (software, applicativi) e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento. l insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell identità dell incaricato utente del corrispettivo programma o sistema. codice identificativo (user-id, log-in, user-name) e parola chiave (password), nonché i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente
correlati, utilizzati per l autenticazione informatica (come una smart card o penna USB). Parola chiave o password: Sistema di autorizzazione: Titolare del trattamento : la componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica. l insieme degli strumenti e delle procedure che abilitano l accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione dell incaricato. l Azienda USL Roma D cui competono le decisioni in ordine alla finalità, alle modalità del trattamento di dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Responsabile del trattamento: la persona fisica, persona giuridica, la pubblica amministrazione e qualsiasi altro ente associazione od organismo preposto dal titolare al trattamento di dati personali. L Azienda ha designato internamente i direttori/dirigenti delle U.O.C.. Incaricato: le persone fisiche autorizzate, nell ambito delle strutture aziendali, a compiere operazioni di trattamento dal Titolare o dal Responsabile. Tirocinante: studente regolarmente iscritto ad un ciclo di studi presso l Università, ovvero giovane laureato che frequenta scuole o corsi di perfezionamento e specializzazione, dottorati di ricerca, nonché giovane che frequenta scuole o corsi di perfezionamento e specializzazione post-secondari, soggetto in tirocinio curriculare (obbligatorio o facoltativo, ma sempre riconducibile e funzionale al piano del curriculum di studi o all acquisizione di attestati o abilitazioni professionali).