Procedura per la nomina dei Responsabili e Incaricati Esterni del trattamento di dati personali

Documenti analoghi
ISTITUTO NAZIONALE PREVIDENZA SOCIALE. Direzione Centrale Risorse Strumentali CENTRALE UNICA ACQUISTI ALLEGATO E AL CONTRATTO

A) NOMINA DEL RESPONSABILE ESTERNO DEL TRATTAMENTO DEI DATI PERSONALI... 4

Allegato E Segnalazioni Appendice E. 1

DICHIARAZIONE SOSTITUTIVA DI ATTO DI NOTORIETA ( ART. 47 DPR. 445/2000 )

Incaricati del trattamento dei dati personali: linee guida e istruzioni operative ai sensi del decreto legislativo n.196/2003.

REGOLAMENTO PER L UTILIZZO DELL IMPIANTO DI VIDEOSORVEGLIANZA AL PENSIONATO PIAGGI

REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI CONTENUTI IN ARCHIVI E BANCHE DATI COMUNALI

TRATTAMENTO DEI DATI PERSONALI Informativa ex art. 13 d. lgs. 30 giugno 2003 n. 196

La tematica della privacy negli istituti penitenziari: criticità e prospettive

LA NORMATIVA SULLA PRIVACY

Decreto Legislativo 30giugno 2003, n. 196 Codice in materia di protezione dei dati personali

C O M U N E D I C O D O G N O. ( Provincia di Lodi ) REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

Legge 31 dicembre 1996 n Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali

Regolamento per il trattamento dei dati personali delle persone fisiche e di altri soggetti in attuazione del Dlgs. 30 giugno 2003 n.

ARPA Agenzia Regionale per la Prevenzione e l'ambiente dell'emilia - Romagna * * * Atti amministrativi

ART. 1 Norme generali

Il/La sottoscritto/a. nato/a a il. Codice Fiscale. residente a prov. c.a.p. Via n. Telefono n. Tel.Cell. Indirizzo

Circolare alla clientela TZ&A

NOMINA RESPONSABILE ESTERNO DEL TRATTAMENTO il Sig./Sig.ra. nato a. il. codice fiscale... ruolo nell Ente

STRUTTURA (Denominazione). COMPETENZE della Struttura...

Regolamento. Per il trattamento dei dati personali (legge , n. 675)

Oggetto: Richiesta di sospensione di pagamento della quota capitale delle rate del mutuo

La normativa sulla privacy è definita in Italia come normativa sulla PROTEZIONE DEI DATI PERSONALI

EVENTI CON PIANO B LINEE GUIDA. revisione 1.0

6(((((((((((((((((((((((((((((( )((((((((((((((((((((((((((((((

APAM ESERCIZIO SPA REGOLAMENTO DELL ORGANISMO DI VIGILANZA D. LGS. 231/01

Regolamento interno per l utilizzo delle fonti dati gestite dal Comune di MELLE e dal Comune di VALMALA

REGOLAMENTO DI ATENEO PER L ATTUAZIONE DELLA LEGGE 675/96 SULLA TUTELA DELLE PERSONE E DI ALTRI SOGGETTI RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

Art. 1 Ambito di applicazione

ASPETTI PRINCIPALI CODICE SULLA PRIVACY (D. Lgs. 196/2003)

Articolo 1 Oggetto e finalità

Comune di Assago. Provincia di MI. DOCUMENTO PROGRAMMATICO sulla SICUREZZA

STUDIO MURER COMMERCIALISTI

COMUNE DI ANDORNO MICCA PROVINCIA DI BIELLA REGOLAMENTO SULLA RISERVATEZZA DEI DATI PERSONALI

Fac-simile DICHIARAZIONE DI AUTORIZZAZIONE AL TRATTAMENTO DEI DATI PERSONALI, IDENTIFICATIVI, SENSIBILI e GIUDIZIARI ex D.LGS. 30 giugno 2003 n.

D.P.R. 28 luglio 1999, n. 318

QUESTIONARIO PER LA PREDISPOSIZIONE DEL PRIMO DPS SENZA STRUMENTI INFORMATICI

TED seminario robotica e reti. Genova - Ottobre Linda Giannini e Carlo Nati -

Nomina e istruzioni incaricati. Allegato 6

ORDINE DEI DOTTORI COMMERCIALISTI E DEGLI ESPERTI CONTABILI DI FERRARA (Circoscrizione del Tribunale di Ferrara)

ALLEGATO B CASA DI RIPOSO CESARE BERTOLI VIA CAMPAGNOLA NOGAROLE ROCCA VR REGOLAMENTO PER LA SICUREZZA DEI DATI PERSONALI

Centro Ricreativo estivo destinato ai ragazzi della scuola primaria e secondaria. Scheda di iscrizione

ORDINE DEI DOTTORI COMMERCIALISTI E DEGLI ESPERTI CONTABILI DI BOLOGNA (Circoscrizione del Tribunale di Bologna)

Principali adempimenti privacy

ADESIONE ALLA DOMANDA DI CONCILIAZIONE

COMUNE DI CARPINETI Prov. di Reggio Emilia. REGOLAMENTO sulla TUTELA della RISERVATEZZA dei DATI PERSONALI

INFORMATIVA E CONSENSO SUL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL ART 13 DEL D. LGS: 196/03

Conoscenza delle norme di base in materia di protezione dei dati personali

ARPA Agenzia Regionale per la Prevenzione e l'ambiente dell'emilia - Romagna * * * Atti amministrativi

DELIBERAZIONE DEL DIRETTORE GENERALE N 260 DEL 29/07/2005 A D O T T A PROVVEDIMENTI ATTUATIVI DEL D.LGS. N. 196 DEL 30 GIUGNO 2003 (CODICE PRIVACY).

SEGRETERIA CENTRALE DEL SISTEMA STATISTICO NAZIONALE

Segreto Professionale

Legge 31 Dicembre 1996, n 675

LEGGE N. 675 REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

INFORMATIVA AI SENSI DEL TESTO UNICO SULLA PRIVACY (DECRETO LEGISLATIVO 30 GIUGNO 2003 N. 196)

COMUNE DI COMO DISCIPLINARE DI INCARICO

Il Politecnico di Milano (codice fiscale ; Partita IVA ), con sede in Milano,

Informativa e richiesta di consenso al trattamento dei dati personali ai sensi dell art. 13 del D.Lgs. 196/2003

COMUNE DI BORGOSATOLLO PROVINCIA DI BRESCIA SERVIZIO DI POLIZIA LOCALE

REGOLE PER IL TRATTAMENTO DEI DATI PERSONALI

REGOLAMENTO COMUNALE SULAL DISCIPLINA DELLA PRIVACY AI SENSI DELLA LEGGE 675/96 E DEL D. LGS. 135/99

COMUNE DI SPILAMBERTO

Procedure in materia di Privacy

Proposta di Cessione del Contratto Mobile

Informativa e consenso al trattamento dei dati personali

Regolamento per la disciplina di accesso e riutilizzo delle banche dati

REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

COMUNE DI CAMEROTA Tel Fax Pec:

SCUOLA DELL INFANZIA SANT ANNA VIA SAMMARINA SABBIUNO CASTEL MAGGIORE (BO) Tel. E Fax:

INFORMATIVA SULLA PRIVACY. Decreto Legislativo nr. 196 del 30 Giugno 2003 (Codice in materia di protezione dei dati personali)

CONSENSO INFORMATO DEL TRATTAMENTO DEI DATI PERSONALI, IDENTIFICATIVI E SENSIBILI EX D.Lgs. 196/2003

APPROVATO DAL: C.C. con atto n. 2/00

DISCIPLINARE PROGRAMMA PER L UTILIZZO DEGLI IMPIANTI DI VIDEOSORVEGLIANZA

OPENJOBMETIS S.P.A. AGENZIA PER IL LAVORO REGOLAMENTO DELL ELENCO DELLE PERSONE AVENTI ACCESSO A INFORMAZIONI PRIVILEGIATE

Consenso al trattamento dei dati personali, compresi quelli sensibili, per finalità istituzionali

ALPHA SGR S.p.A. MANUALE DELLE PROCEDURE INTERNE PARTE GENERALE

CONVENZIONE CON ASSOCIAZIONE CULTURALE ELISIR

(Artt. 46 e 47 - D.P.R. 28 dicembre 2000, n. 445)

DOMANDA DI MEDIAZIONE

Trento, 8 febbraio Privacy (d.lgs 196/03) e internet. Obblighi ed opportunità per il datore di lavoro

(indicare il numero della parte inserito nel modulo della domanda di mediazione)

COMUNE DI PIATEDA Prov. di Sondrio

REGOLAMENTO DELL ORGANISMO DI VIGILANZA

Università Popolare degli Studi di Milano INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO

DECRETI E DELIBERE DI ALTRE AUTORITÀ

STUDIO DOTT. FABIO FADA

REGOLAMENTO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

INFORMATIVA BENEFICIARI

DOMANDA DI CONCILIAZIONE

COMUNE DI VIGONE REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI CONTENUTI IN ARCHIVI E BANCHE DATI

SCHEDA DONATORE INFORMATIVA AI SENSI DEL CODICE PRIVACY AI FINI DELLA RACCOLTA DELLE DONAZIONI

Spett.le Consiglio direttivo. Il/La sottoscritto/a nato/a a il Residente in Via/Corso/Piazza n Comune CAP Provincia Tel Cell

PROCEDURE PRIVACY PER INCARICATI

DPR 318 e sua entrata in vigore

REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI TRATTATI DAGLI UFFICI COMUNALI

Il/la Sig./sig.ra Nato/a (prov. ) il / / Residente in CAP (prov. ) Via. Sede operativa (se diversa dalla residenza) in CAP (prov. ) Via Tel. Cell.

Comune di San Cipriano d Aversa (Prov. di Caserta)

Videosorveglianza Decalogo e regole per la privacy

CODICI IDENTIFICATIVI, TIPOLOGIA, FINALITA, TIPO DI ARCHIVIO E CATEGORIE INTERESSATE AL TRATTAMENTO DEI DATI PERSONALI

Transcript:

UNIVERSITA CATTOLICA DEL SACRO CUORE SEDE DI ROMA POLICLINICO UNIVERSITARIO AGOSTINO GEMELLI Procedura per la nomina dei Responsabili e Incaricati Esterni del trattamento di dati personali REDAZIONE 10/06/2008 RESPONSABILE ING. VITO SCARDIGNO RESPONSABILE TECNICO AMM.VO S.I. ING. GIOVANNI SCAVINO UPSI-RM-15 VERSIONE N 2 APPROVAZIONE 30/06/2008 DIRETTORE DI SEDE DR. GIANCARLO FURNARI DATA 30/06/2008

INDICE DEGLI ARGOMENTI INDICE DEGLI ARGOMENTI... 2 1. SCOPO E CAMPO DI APPLICAZIONE... 3 2. RIFERIMENTI NORMATIVI... 4 2.1 ASPETTI RILEVANTI NELLE CLAUSOLE CONTRATTUALI... 4 3. RUOLI E RESPONSABILITÀ... 7 4. MODALITÀ OPERATIVE... 8 4.1 NOMINA RESPONSABILI ESTERNI DEL... 8 4.2 NOMINA... 9 4.3 FLUSSO DELLE ATTIVITÀ... 10 4.3.1 Nomina Responsabili esterni del Trattamento... 11 4.3.2 Nomina Incaricati esterni del Trattamento... 12 5. ALLEGATI... 13 MODULO A... 13 "LETTERA DI NOMINA A RESPONSABILE ESTERNO DEL DI DATI PERSONALI"... 13 MODULO B... 18 LETTERA DI NOMINA AD INCARICATO ESTERNO DEL DI DATI PERSONALI... 18 30/06/2008 PAGINA 2/21

1. SCOPO E CAMPO DI APPLICAZIONE Scopo della presente procedura è illustrare le modalità operative cui UCSC deve attenersi per garantire il corretto assolvimento degli adempimenti prescritti dal Decreto Legislativo 30 giugno 2003, n. 196 "Codice in materia di protezione dei dati personali" (di seguito Codice), in materia di nomina dei Responsabili e Incaricati esterni del trattamento. Il documento viene suddiviso nelle seguenti sezioni: Riferimenti normativi: vengono illustrati i vari aspetti normativi da analizzare nella fase di stipulazione dei contratti di outsourcing Ruoli e responsabilità: vengono delineati i ruoli e le responsabilità delle figure coinvolte nell'applicazione della procedura Modalità operative: vengono descritte le modalità operative cui UCSC deve attenersi per garantire una corretta gestione delle nomine dei Responsabili ed Incaricati esterni del trattamento. Al fine di rendere più chiari i ruoli e le responsabilità delle figure coinvolte nell'applicazione della procedura, la presente sezione si conclude con una rappresentazione grafica tramite flow-chart delle attività descritte. In allegato si riportano i seguenti documenti: Modulo A - "Lettera di nomina a Responsabile esterno del trattamento di dati personali" Modulo B - "Lettera di nomina ad Incaricato esterno del trattamento di dati personali". 30/06/2008 PAGINA 3/21

2. RIFERIMENTI NORMATIVI Il Codice non fornisce alcuna definizione di outsourcer e non ne fa esplicito riferimento in nessun articolo, tuttavia, la possibilità di nominare Incaricati e Responsabili del trattamento esterni all azienda è confermata da una lettura generale delle disposizioni normative e dai provvedimenti assunti dal Garante, dai quali emerge che, per individuare correttamente tale figura è necessario verificare in quale modo siano gestiti i rapporti all interno della società o dell ente titolare del trattamento anche alla luce delle relazioni con i soggetti esterni di cui questo si serve per espletare le proprie funzioni. La designazione del Responsabile non è di per sé obbligatoria, ma diviene una soluzione in qualche modo obbligata quando una parte sia pure strumentale dei trattamenti necessari per perseguire le finalità del Titolare è curata, con una certa autonomia, da un soggetto esterno. Come il Responsabile interno anche quello esterno deve essere un soggetto od un organismo che per esperienza, capacità ed affidabilità fornisca idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29, comma 2 del D.Lgs 196/2003). 2.1 ASPETTI RILEVANTI NELLE CLAUSOLE CONTRATTUALI In tutti i casi in cui la gestione di servizi affidata a società terze implichi un trattamento di dati personali che rientrano nella titolarità di UCSC sarà necessario designare l outsourcer Responsabile esterno del trattamento tramite la redazione di apposite clausole contrattuali, affinchè le attività svolte dal personale esterno si conducano nel rispetto delle politiche e degli obiettivi di sicurezza fissati da UCSC. A causa dei diversi servizi erogati dall outsourcer e del diverso oggetto del contratto, è opportuno che i contratti siano valutati caso per caso. Tuttavia, nel predisporre i contratti, si può valutare l opportunità di inserire delle clausole di carattere generale che prevedano di: effettuare i trattamenti dei dati personali, ivi inclusi quelli sensibili e giudiziari ex artt. 4, comma 1, lettere d) ed e) del Codice, nel pieno rispetto delle norme e di ogni prescrizione contenuta nel Codice, nei relativi allegati compresi i codici deontologici, delle future modificazioni 30/06/2008 PAGINA 4/21

ed integrazioni nonché informarsi e tenere conto dei provvedimenti, dei comunicati ufficiali, delle autorizzazioni generali emessi dall' Autorità Garante per la Protezione dei Dati Personali (di seguito indicato come il Garante ) eseguire i trattamenti funzionali alle mansioni attribuite all Azienda e comunque non incompatibili con le finalità per cui i dati sono stati raccolti, attenendosi alle disposizioni in materia e alle istruzioni relative alle modalità di trattamento impartite da UCSC, ovvero integrando, al meglio, dette istruzioni nelle procedure già in essere all interno della struttura aziendale. Qualora sorgesse la necessità di trattamenti sui dati personali diversi ed eccezionali rispetto a quelli normalmente eseguiti, l'azienda dovrà preventivamente informare UCSC attivare le necessarie procedure aziendali, per identificare gli "Incaricati del Trattamento, sia dipendenti dell Azienda che esterni alla stessa, nominarli per iscritto, fornire loro istruzioni scritte sulle modalità del trattamento dei dati personali ed organizzarli nei loro compiti in maniera che le singole operazioni di trattamento risultino coerenti con le disposizioni impartite e facendo anche in modo che, sulla base delle suddette istruzioni operative, i trattamenti non si discostino dalle finalità per le quali i dati sono stati raccolti. Inoltre, le nomine ad Incaricato di personale esterno non dipendente dell'azienda dovranno essere limitate al solo periodo necessario a svolgere le operazioni di trattamento che saranno indicate nelle relative istruzioni, e non dovranno essere riferite a soggetti sui quali l'azienda non sia in grado di esercitare una diretta autorità e/o controllo verificare la costante adeguatezza delle misure di sicurezza per la protezione dei trattamenti alle misure minime di sicurezza di cui agli artt. da 33 a 35 del Codice, da adottarsi nei modi previsti dal Disciplinare Tecnico allegato B al Codice e secondo le previsioni dell art. 180, e delle eventuali modificazioni o integrazioni che dovessero intervenire ai sensi dell art. 36 nonché a quelle idonee e preventive tali da ridurre al minimo i rischi di perdita e distruzione, anche accidentale, dei dati stessi, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta informare periodicamente UCSC sull'andamento dell'applicazione del Codice relativamente ai dati trattati per conto di quest ultima, segnalando le necessità di intervento e consentendo le azioni di verifica sull'organizzazione dei trattamenti collaborare nell aggiornamento periodico, almeno annuale, del Documento Programmatico sulla Sicurezza di UCSC, previsto dal punto 19 del Disciplinare Tecnico citato, relativamente ai trattamenti di dati personali affidati all Azienda in forza del contratto 30/06/2008 PAGINA 5/21

conservare e gestire la documentazione, richiesta per legge, inerente alle attività oggetto del contratto ed ai dati personali trattati e comunicare tempestivamente qualsiasi richiesta ricevuta ai sensi dell'art. 7 del Codice, per consentirne l'evasione nei termini previsti dalla legge ed, in particolare, disporre l'organizzazione interna per l'eventuale modifica, rettifica, integrazione e cancellazione dei dati, nonché il blocco del trattamento ove venisse disposto dal Garante o dall' Autorità Giudiziaria fornire a UCSC una dichiarazione scritta di conformità delle misure di sicurezza adottate per il trattamento dei dati, nell ambito dei servizi erogati, alle disposizioni del Codice ed in particolare del Disciplinare Tecnico e promuovere le verifiche tecniche sui meccanismi di sicurezza, permettendo i relativi riscontri periodici da parte degli incaricati che UCSC provvederà a designare ed a comunicare. Come i Responsabili, anche gli Incaricati del trattamento possono essere esterni all azienda. Nel caso di trattamenti effettuati in nome e per conto del Titolare, tali soggetti devono essere designati formalmente tramite Lettera di Nomina ad Incaricato esterno del trattamento dei dati. Si evidenzia in proposito che il modello organizzativo adottato da UCSC prevede la nomina, quali incaricati esterni del trattamento, dei seguenti soggetti che nello svolgimento delle proprie mansioni effettuano un trattamento di dati personali: lavoratori interinali collaboratori stagisti 30/06/2008 PAGINA 6/21

3. RUOLI E RESPONSABILITÀ Vengono di seguito delineati i ruoli e le responsabilità delle figure UCSC coinvolte nell'attuazione della presente procedura. Titolare del trattamento, il quale ha il compito di: nominare i Responsabili esterni del trattamento (sottoscrizione lettere di nomina) U.O. Privacy e Sicurezza delle Informazioni, la quale ha il compito di: predisporre la documentazione richiamata dalla presente procedura archiviare la documentazione sottoscritta dall outsourcer aggiornare l elenco dei Responsabili esterni del trattamento nonchè la lista degli Incaricati presente nel Data Base Privacy Repository U.O. Convenzioni e Contratti ha il compito di: raccogliere i dati della società outsourcer verificare se il contratto stipulato prevede trattamenti di dati personali, e in tal caso informare l U.O. "Privacy e Sicurezza delle Informazioni" che provvederà a redigere la Lettera di nomina supportare l'u.o. "Privacy e Sicurezza delle Informazioni" nella redazione della Lettera di nomina analizzare il documento Lettera di nomina a Responsabile esterno ed inviarlo al Titolare per la sottoscrizione consegnare all outsourcer la Lettera di nomina sottoscritta dal Titolare e il relativo contratto consegnare copia della lettera di nomina, sottoscritta dall outsourcer, all U.O. "Privacy e Sicurezza delle Informazioni" per l archiviazione Responsabile interno del trattamento ha il compito di: comunicare all U.O. Privacy e Sicurezza delle Informazioni i riferimenti dell incaricato esterno, nonchè l oggetto e la natura del contratto supportare l U.O. Privacy e Sicurezza delle Informazioni nella predisposizione della lettera di Nomina ad Incaricato esterno del trattamento dei dati e procedere alla sottoscrizione della stessa. Spetta, inoltre, al Titolare del trattamento approvare ed emanare la presente procedura. 30/06/2008 PAGINA 7/21

4. MODALITÀ OPERATIVE Il presente capitolo illustra le modalità operative cui il personale UCSC deve attenersi per garantire la corretta attuazione degli adempimenti prescritti dal Codice in merito alla nomina dei Responsabili esterni e degli Incaricati esterni del trattamento. 4.1 NOMINA RESPONSABILI ESTERNI DEL La presente sezione si propone di illustrare le modalità operative per la nomina a Responsabile esterno del trattamento di società terze cui UCSC ha affidato in outsourcing la gestione di servizi che implicano il trattamento di dati personali. Spetta all U.O. "Convenzioni e contratti": valutare se al momento della raccolta dei dati il contratto prevede un trattamento di dati personali: in caso di valutazione positiva procedere ad inoltrare i dati dell outsourcer all U.O. Privacy e Sicurezza delle Informazioni e collaborare con quest ultima alla redazione della Lettera di Nomina a Responsabile esterno (Modulo A) in caso di valutazione negativa procedere alla stipula del contratto inviare la lettera di nomina al Titolare per la sottoscrizione consegnare il contratto e la lettera di nomina all outsorurcer inviare la lettera di nomina sottoscritta dall outsourcer all U.O. Privacy e Sicurezza delle Informazioni per l archiviazione. Spetta all U.O. Privacy e Sicurezza delle Informazioni : predisporre le lettere di Nomina a Responsabile esterno inviare la lettera di nomina all U.O. Convenzioni e Contratti archiviare la lettera di nomina sottoscritta dall outsourcer aggiornare l elenco dei Responsabili del Trattamento, presente nel Data Base Privacy Repository. Spetta al Titolare del Trattamento: sottoscrivere la Lettera di nomina a Responsabile esterno. 30/06/2008 PAGINA 8/21

4.2 NOMINA La presente sezione illustra le modalità operative per la nomina ad Incaricati esterni del trattamento dei lavoratori interinali, collaboratori e stagisti che nello svolgimento dello proprie mansioni effettuano un trattamento di dati personali. Spetta al Responsabile del trattamento interessato al momento della stipula del contratto: comunicare all U.O. Privacy e Sicurezza delle Informazioni i dati del personale esterno che, all'interno della propria struttura organizzativa, effettua operazioni di trattamento di dati personali sottoscrivere la Lettera di nomina a Incaricato esterno del trattamento consegnare agli Incaricati esterni del trattamento la lettera di nomina per la sottoscrizione ed invitarli a prendere visione del Disciplinare interno sull utilizzo delle risorse informatiche e delle "Istruzioni operative per i Responsabile e gli Incaricati del trattamento di dati personali", entrambi disponibili sulla Intranet aziendale consegnare la lettera di nomina sottoscritta dagli Incaricati esterni del trattamento all'u.o. "Privacy e Sicurezza delle Informazioni" per l'archiviazione supportare l'u.o. "Privacy e Sicurezza delle Informazioni", nella predisposizione e/o aggiornamento dell elenco degli Incaricati esterni, riportato nel Data Base Privacy Repository comunicare, entro congruo termine, all'u.o. "Privacy e Sicurezza delle Informazioni" eventuali cambiamenti di mansioni che richiedono un aggiornamento della Lista degli Incaricati esterni. Spetta all'u.o. "Privacy e Sicurezza delle Informazioni": predisporre la Lettera di nomina ad Incaricato esterno del trattamento (Modulo B) e consegnarla al Responsabile per la sottoscrizione archiviare le lettere di nomina sottoscritte dagli Incaricati esterni comunicare al Responsabile del trattamento l avvenuta archiviazione aggiornare, con il supporto del Responsabile del trattamento la Lista degli Incaricati presente nel Data Base Privacy Repository. 30/06/2008 PAGINA 9/21

4.3 FLUSSO DELLE ATTIVITÀ Vengono di seguito di rappresentati, tramite flow-chart, il flusso delle attività delle varie figure coinvolte nell applicazione della procedura di nomina a Responsabile esterno, e il flusso delle attività delle varie figure coinvolte nella procedura di nomina ad Incaricato esterno, al fine di renderne più chiari i ruoli e le responsabilità. I simboli utilizzati nel flow-chart, con una breve descrizione degli stessi, sono illustrati nella seguente tabella. Simbolo Denominazione Descrizione evento Inizio Rappresenta l inizio della procedura FINE Fine Rappresenta la fine della procedura attività decision e Fase <nome documento> Attività Decisione Linee di flusso Connettore di attività congiunte Connettore di fase Documento standard Rappresenta la singola attività Rappresenta un momento decisionale Connette le attività fra di loro indicando il flusso delle informazioni Connette le attività che devono essere eseguite da più attori congiuntamente Indica il proseguimento del flusso in un altro diagramma che descrive la fase successiva del processo Indica un documento per cui è disponibile lo standard (1) Nota Indica un riferimento a note allegate al diagramma 30/06/2008 PAGINA 10/21

4.3.1 Nomina Responsabili esterni del Trattamento 30/06/2008 PAGINA 11/21

4.3.2 Nomina Incaricati esterni del Trattamento Responsabili interni U.O. Privacy e Sicurezza delle Informazioni Raccolta dati degli Incaricati esterni Modulo B Comunicazione all'u.o. "Privacy e Sicurezza delle Informazioni" della natura e dell'oggetto del contratto Predisposizione lettera di Nomina a Incaricato esterno (Modulo B) Sottoscrizione Lettera di Nomina Consegna lettera di Nomina al Responsabile del trattamento Consegna lettera di nomina agli Incaricati esterni Consegna all'u.o. "Privacy e Sicurezza delle Informazioni" lettera sottoscritta dagli Incaricati esterni Archiviazione Lettera di nomina sottoscritta Ricezione comunicazione Comunicazione al Responsabile dell'avvenuta archiviazione Aggiornamento Data Base " Privacy Repository" FINE 30/06/2008 PAGINA 12/21

5. ALLEGATI MODULO A "LETTERA DI NOMINA A RESPONSABILE ESTERNO DEL DI DATI PERSONALI" 30/06/2008 PAGINA 13/21

(carta intestata) Luogo e data Spett.le <denominazione società> Sede <Indirizzo completo> Oggetto: conferimento dell'incarico di "Responsabile esterno" al trattamento dei dati personali, ai sensi degli artt.4, comma 1, lettera g) e 29 del Decreto Legislativo 30 giugno 2003, n. 196 (di seguito Codice) L Università Cattolica del Sacro Cuore, con sede in Via, n. CAP, in qualità di Titolare del Trattamento dei dati personali della sede di Roma, del Policlinico "A. Gemelli" e delle strutture ad esso afferenti, nella persona del Direttore pro-tempore di Sede Dott. Giancarlo Furnari, PRESO ATTO che il D.Lgs. 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali (di seguito Codice ) garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità dell interessato, con particolare riferimento alla riservatezza e al diritto di protezione dei dati personali, che le attività, oggetto del contratto di <inserire descrizione del contratto>, implicano da parte del < inserire denominazione della società>, il trattamento dei dati personali di cui è Titolare l Università Cattolica del Sacro Cuore, che ai sensi del comma 2 dell art. 29 del Codice, < inserire denominazione della società> dispone delle autonomie operative necessarie, dell esperienza, delle capacità ed affidabilità necessarie a fornire idonee garanzie del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza, NOMINA la <inserire denominazione della società> RESPONSABILE DEL DEI DATI PERSONALI, ai sensi e per gli effetti delle 30/06/2008 PAGINA 14/21

disposizioni contenute negli artt.4, comma 1, lettera g) e 29 del Codice, con riguardo alle operazioni di trattamento connesse all esecuzione del suddetto contratto. Nella qualità di "Responsabile del trattamento dei dati personali deve attenersi alle disposizioni operative contenute nella presente nomina e di seguito enunciate. I trattamenti dovranno essere svolti nel pieno rispetto delle previsioni legislative vigenti in materia di protezione dei dati personali, nonché tenendo conto dei provvedimenti e dei comunicati ufficiali emessi dall'autorità Garante per la Protezione dei Dati Personali. <inserire denominazione della società> in qualità di Responsabile del trattamento è autorizzata a procedere all'organizzazione di ogni operazione di trattamento dei dati nei limiti stabiliti dalle vigenti disposizioni contenute nel Codice. Allo scopo, per "trattamento" si intende qualunque operazione o complesso di operazioni, effettuate anche senza l ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l organizzazione, la conservazione, la consultazione, l elaborazione, la modificazione, la selezione, l estrazione, il raffronto, l utilizzo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca dati. <inserire denominazione della società> dovrà eseguire i trattamenti funzionali alle mansioni ad esso attribuite e comunque non incompatibili con le finalità per cui i dati sono stati raccolti. Qualora sorgesse la necessità di trattamenti sui dati personali diversi ed eccezionali rispetto a quelli normalmente eseguiti, <inserire denominazione della società> dovrà informare il Titolare dei dati. <inserire denominazione della società> dovrà attivare le necessarie procedure aziendali, per identificare gli "Incaricati del trattamento, sia dipendenti della società che esterni alla stessa, ed organizzarli nei loro compiti in maniera che le singole operazioni di trattamento risultino coerenti con le disposizioni di cui alla presente nomina e facendo anche in modo che, sulla base delle istruzioni operative loro impartite, i trattamenti non si discostino dalle finalità istituzionali per cui i dati sono stati raccolti. Le nomine ad Incaricato di personale esterno non dipendente di <inserire denominazione della società>, dovranno essere limitate al solo periodo necessario a svolgere le operazioni di trattamento che saranno indicate nelle relative istruzioni, e non dovranno essere riferite a soggetti sui quali la 30/06/2008 PAGINA 15/21

<inserire denominazione della società> non sia in grado di esercitare una diretta autorità. <inserire denominazione della società> si attiverà per la verifica delle misure di sicurezza adottate a protezione dei trattamenti dei dati e, sulla base delle risultanze derivate dall'analisi dei rischi predisporrà misure organizzative per l'ottimizzazione di tali misure. <inserire denominazione della società> trasmetterà al Titolare la documentazione tecnica relativa sia alle misure di sicurezza in atto sia alle modifiche in seguito riportate. Le misure di sicurezza dovranno: - soddisfare i contenuti del Codice nonché del Disciplinare Tecnico (allegato B del Codice) - essere correlate alle necessità di prevenire eventi accidentali o volontari che possano alterare o distruggere i dati personali o renderli conoscibili a persone non autorizzate - risultare particolarmente efficaci e di livello superiore per tutte le banche dati composte da informazioni di natura sensibile o giudiziaria. <inserire denominazione della società>, ove riscontrasse carenze nelle misure di sicurezza o in qualunque aspetto relativo ai trattamenti, informerà immediatamente l Università Cattolica del Sacro Cuore al fine di adottare le cautele necessarie <inserire denominazione della società> periodicamente informerà il Titolare sull'andamento dell'applicazione del Codice relativamente ai dati trattati per conto dell Università Cattolica del Sacro Cuore, segnalando le necessità di intervento e consentendo al Titolare stesso le azioni di verifica sull'organizzazione dei trattamenti. Si ricorda che il Codice prevede, per chi viola o disattende le istruzioni di cui alla presente lettera di nomina, l applicazione di sanzioni civili e penali nonché l emanazione di provvedimenti da parte dell Autorità Garante che, ove ravvisasse ipotesi di trattamenti illeciti o non conformi, potrà disporre le ispezioni di verifica ed imporre il blocco dei trattamenti ed, in generale, effettuare accertamenti e controlli. In aggiunta a quanto sopra descritto, <inserire denominazione della società> provvederà ad avvisare immediatamente l Università Cattolica del Sacro Cuore, in qualità di Titolare, di ogni eventuale richiesta, provvedimento ovvero attività di controllo da parte dell Autorità Garante per la protezione dei dati personali o dell Autorità Giudiziaria. 30/06/2008 PAGINA 16/21

Con la sottoscrizione del presente atto, <inserire denominazione della società> accetta la nomina e, in ottemperanza di quanto disposto dall art.29 comma 5 del Codice, si impegna a presiedere ed a procedere attenendosi alle istruzioni impartite dal Titolare, il quale potrà disporre verifiche periodiche sull osservanza delle presenti disposizioni. Inoltre, codesta Azienda dichiara espressamente la conformità dei servizi erogati alle disposizioni del Codice ed, in particolare, del Disciplinare Tecnico (allegato B del Codice). Ogni altra pattuizione contenuta nel suddetto contratto resta pienamente confermata ed impregiudicata. Infine, la presente designazione a Responsabile esterno del trattamento resta valida per eventuali successivi rinnovi del contratto. In relazione a quanto sopra esposto La preghiamo di voler restituire copia della presente nomina sottoscritta per accettazione. (Responsabile del trattamento) (Titolare del trattamento) 30/06/2008 PAGINA 17/21

MODULO B LETTERA DI NOMINA AD INCARICATO ESTERNO DEL DI DATI PERSONALI 30/06/2008 PAGINA 18/21

Carta intestata Luogo e data Egregio Sig./ra <nome e cognome> Università Cattolica del Sacro Cuore <Indirizzo completo> Il D.Lgs. 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali (di seguito Codice ) garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità dell interessato, con particolare riferimento alla riservatezza e al diritto di protezione dei dati personali. Premesso che ai fini del Codice per: trattamento si intende, qualunque operazione o complesso di operazioni, effettuate anche senza l ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l organizzazione, la conservazione, la consultazione, l elaborazione, la modificazione, la selezione, l estrazione, il raffronto, l utilizzo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca dati dato personale si intende, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale dati sensibili si intendono, i dati personali idonei a rivelare l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni od organizzazione a carattere religioso, filosofico, politico o sindacale, i dati personali idonei a rivelare lo stato di salute e la vita sessuale dati giudiziari si intendono, i dati personali idonei a rivelare provvedimenti di cui all art. 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli artt. 60 e 61 del c.p.p. Con la presente comunicazione, nell'ambito <nome dell'unità Organizzativa>, il sottoscritto <nome responsabile>, Responsabile del trattamento dei dati 30/06/2008 PAGINA 19/21

personali effettuati nell'ambito della propria struttura, ai sensi del Codice, La nomina INCARICATO ESTERNO DEL DEI DATI PERSONALI con riguardo alle operazioni di trattamento connesse all esecuzione del contratto avente ad oggetto <descrizione dell oggetto del contratto> concluso con Università Cattolica del Sacro Cuore in data <inserire data>. Con riferimento alle operazioni di trattamento dei dati personali di titolarità dell Università Cattolica del Sacro Cuore queste devono essere strettamente inerenti all attività di: 1. <descrizione delle attività poste in essere in esecuzione del contratto> 2. 3. Nella qualità di "Incaricato del trattamento dei dati personali deve attenersi alle disposizioni operative contenute nella presente nomina e di seguito enunciate. Nel trattare i dati personali, si deve operare garantendo la massima riservatezza delle informazioni di cui si viene in possesso considerando tutti i dati personali confidenziali e, di norma, soggetti ad un dovere di riservatezza. Pertanto, non si dovrà divulgare a terzi le informazioni di cui si è venuti a conoscenza. La condotta tenuta in ogni fase di lavoro dovrà evitare che i dati personali siano soggetti a rischi di perdita o distruzione anche accidentale; che ai dati possano accedere persone non autorizzate, che vengano svolte operazioni di trattamento non consentite o non conformi ai fini istituzionali per i quali i dati sono stati raccolti e per i quali vengono trattati. In ogni fase del trattamento non si possono eseguire operazioni per fini non previsti tra i compiti che assegnati e, si potrà accedere ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere tali compiti. In particolare, per i trattamenti dei dati personali che comportino l uso di sistemi informatici e telematici (PC, PC portatile o altro), l accesso a tali dati può avvenire solo attraverso password o codici di accesso secondo quanto disposto nel documento Disciplinare interno sull utilizzo delle risorse informatiche. 30/06/2008 PAGINA 20/21

Ogni Incaricato deve mantenere segreta la password di accesso al proprio p.c. evitando di divulgarla a terzi o di trascriverla su fogli. Nessun dato personale, su supporto magnetico, digitale o cartaceo, potrà essere lasciato incustodito. Tutto il materiale cartaceo contenente dati personali deve essere riposto in un luogo sicuro e conservato in maniera tale da non risultare facilmente visibile a persone terze o comunque ai non autorizzati al trattamento. Tali misure devono essere applicate anche a tutte le forme di riproduzione dei dati personali (es. floppy disk, cd-rom, fotocopie, ecc). Si informa, altresì, che il Disciplinare interno sull utilizzo delle risorse informatiche e le Istruzioni operative per i Responsabili e gli Incaricati del trattamento dei dati personali sono disponibili sulla Intranet dell Università. Con i migliori saluti. (Incaricato del trattamento) (il Responsabile del Trattamento) 30/06/2008 PAGINA 21/21

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back