Documento Programmatico sulla Sicurezza (DPS)
(Art.34, Decreto Legislativo n.196 del 30 Giugno 2003)
Dal 1° gennaio 2004 è entrato in vigore il Decreto Legislativo 30 giugno 2003 n. 196,
denominato Codice in materia di protezione dei dati personali (d’ora in poi indicato
semplicemente con Codice). Esso riunisce in un testo unico una varietà di
provvedimenti stratificati nel tempo a livello nazionale e comunitario. In particolare,
l’art. 34 prevede una serie di misure a tutela dell’integrità e della riservatezza dei dati
personali trattati in modo elettronico. Il presente documento programmatico per la
sicurezza (in breve: DPS), redatto in accordo al suddetto articolo ed alle successive
raccomandazioni del Garante per la Privacy, descrive come l’Università della Calabria
tratta i dati personali di cui è titolare e le misure di sicurezza che pone in essere per
ridurre al minimo ogni rischio per tali dati. Il DPS è aggiornato almeno una volta
l’anno, entro il 31 marzo. La versione più aggiornata è sempre disponibile sulla rete
interna dell’Università della Calabria.
Il DPS è organizzato come segue:
1. Descrizione sintetica della struttura dell’Università della Calabria (UNICAL) e
delle sue finalità istituzionali.
2. Definizione delle varie categorie di dati personali e dei trattamenti che
l’UNICAL effettua su tali dati.
3. Definizione delle figure abilitate ad effettuare tali trattamenti.
4. Descrizione delle misure sicurezza che l’UNICAL pone in essere per tutelare i
dati personali da essa trattati.
5. Descrizione delle tipologie di rischi per i dati trattati presso l’UNICAL.
6. Descrizione dei trattamenti effettuati all’esterno dell’UNICAL.
7. Pianificazione delle attività formative previste.
8. Schede dettagliate relative a strutture dell’UNICAL che trattano dati sensibili o
giudiziari nelle quali sono specificati eventuali rischi peculiari per le strutture e
le conseguenti misure aggiuntive realizzate o previste per ridurre tali rischi.
Il DPS è affiancato dai regolamenti dell’UNICAL per il trattamento dei dati sensibili e
giudiziari e per il trattamento dei dati acquisiti mediante videosorveglianza, disponibili
sul portale Internet dell’UNICAL, insieme ad altri documenti relativi alla tutela dei dati
personali, quali il Vademecum della sicurezza informatica per gli incaricati dei
trattamenti e le informative sul trattamento.
1. L’Università della Calabria
L'UNICAL è un'istituzione pubblica dotata di personalità giuridica finalizzata alla
ricerca scientifica, alla formazione culturale ed al progresso civile della società in cui
opera.
Nel perseguimento di tali fini l'Università promuove anche forme di collaborazione con
altri organismi pubblici e privati, internazionali e nazionali, ed in particolare con la
Regione Calabria ed i suoi enti locali.
Per la maggiore efficacia della propria azione formativa, l'Università della Calabria, nel
rispetto della sua legge istitutiva, ha carattere residenziale e la frequenza dei suoi corsi è
obbligatoria e controllata.
Essa programma, in rapporto alle proprie risorse, il numero di studenti da
immatricolare, subordina l'iscrizione agli anni successivi al primo alla verifica dei
risultati conseguiti e favorisce la vita comunitaria di docenti, studenti e personale
tecnico-amministrativo in un apposito Centro Residenziale, dotato oltre che di alloggi e
di mense anche di impianti per attività culturali, sportive e ricreative.
I servizi erogati dal Centro Residenziale non sono in alcun caso totalmente gratuiti. La
quota a carico degli studenti è commisurata alle condizioni economiche dei rispettivi
nuclei familiari.
Per il suo carattere residenziale, l'Università della Calabria esercita anche funzioni in
materia di diritto allo studio.
L'Università persegue le proprie finalità nell'ambito della autonomia scientifica,
didattica ed amministrativa prevista dalla Costituzione della Repubblica e dalle leggi
vigenti.
E' garantita la libertà di insegnamento e di ricerca dei singoli docenti e ricercatori. Il
coordinamento delle corrispondenti attività viene esercitato dagli organi a ciò preposti
dalle leggi vigenti, nelle forme e secondo le modalità stabilite dal Regolamento
Generale di Ateneo, dal Regolamento Didattico di Ateneo e dai Regolamenti delle
strutture nelle quali l’insegnamento e la ricerca vengono svolti.
A tutte le componenti dell'Università è garantita pari dignità di rappresentanza e di
partecipazione nelle forme stabilite dalle leggi vigenti dallo Statuto, dal Regolamento
Generale di Ateneo e dai Regolamenti delle strutture operanti.
Il funzionamento o la gestione del Centro Residenziale sono disciplinati dallo Statuto e
da un apposito Regolamento.
Per l'organizzazione e la gestione delle attività didattiche e di ricerca scientifica
l'Università si articola in Facoltà e Dipartimenti.
Per l'erogazione dei servizi di supporto alle attività didattiche e scientifiche delle
Facoltà e dei dipartimenti sono istituiti i Centri di Servizio Interdipartimentali.
Per l'erogazione di servizi di supporto all'intera collettività universitaria, ivi comprese le
manifestazioni promosse dal Centro Residenziale, sono istituiti i Centri Comuni di
Servizio.
Per le attività scientifiche di rilevante impegno, connesse a specifici progetti di durata
almeno quinquennale, in cui siano coinvolti più Dipartimenti, sono istituiti i Centri di
Ricerca Interdipartimentali.
Per la raccolta, la conservazione e la gestione di informazioni e di materiali sperimentali
riguardanti i fenomeni antropici e fisici che interessano il territorio regionale e che
costituiscono oggetto di studio nell'Ateneo, sono istituiti i Centri di Sperimentazione e/o
Documentazione Scientifica.
Un elenco dettagliato delle strutture dell’UNICAL è riportato in Tabella 1.
2. Trattamenti di dati personali presso l’UNICAL
All’art. 4, il Codice definisce
a. dato personale, qualunque informazione relativa a persona fisica, persona
giuridica, ente od associazione, identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di
identificazione personale;
b. dati identificativi, i dati personali che permettono l'identificazione diretta
dell'interessato;
c. dati sensibili, i dati personali idonei a rivelare l'origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni politiche,
l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare
lo stato di salute e la vita sessuale;
d. dati giudiziari, i dati personali idonei a rivelare provvedimenti di cui all'articolo
3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313,
in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative
dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di
indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
Un trattamento su tali dati è qualunque operazione o complesso di operazioni, effettuati
anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione,
l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la
selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la
comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non
registrati in una banca di dati.
I trattamenti dei dati effettuati dall’UNICAL possono essere classificati nei seguenti
ambiti:
A. Gestione del rapporto di lavoro del personale dipendente (docente, dirigente,
tecnico–amministrativo), dei collaboratori esterni e dei soggetti che
intrattengono altri rapporti di lavoro diversi da quello subordinato.
B. Attività di ricerca scientifica.
C. Attività didattica e gestione delle iscrizioni e delle carriere degli studenti.
D. Gestione del contenzioso giudiziale, stragiudiziale e attività di consulenza.
E. Gestione Amministrativa e Contabile.
F. Attività del Centro Sanitario
Ricordiamo che, come previsto dall’art. 18 del Codice, qualunque trattamento di dati
personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle
funzioni istituzionali. Inoltre i soggetti pubblici (ad eccezione degli organismi sanitari)
non devono richiedere il consenso dell'interessato.
Pertanto, ad eccezione dei trattamenti di dati relativi ai servizi sanitari effettuati dal
Centro Sanitario, l’UNICAL non deve richiedere il consenso al trattamento dei dati
personali.
E’ importante ricordare che il trattamento dei dati sensibili da parte di soggetti pubblici
è consentito solo se autorizzato da espressa disposizione di legge nella quale sono
specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità
di rilevante interesse pubblico perseguite (art. 20 del Codice).
Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse
pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è
consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a
cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità
perseguite nei singoli casi e nel rispetto dei principi di cui all'articolo 22, con atto di
natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi
dell'articolo 154, comma 1, lettera g), anche su schemi tipo.
Insieme alla CRUI ed alle altre università italiane, è stato predisposto uno schema di
regolamento per il trattamento dei dati sensibili e giudiziari, poi specializzato alla realtà
dell’UNICAL ed attualmente disponibile sul portale Internet dell’Università.
Il regolamento individua, per ciascuno dei suddetti ambiti di trattamento, i dati sensibili
e giudiziari trattati dall’UNICAL, le finalità di interesse pubblico perseguite, i
riferimenti normativi ed i flussi informativi relativi a tali dati.
In particolare, ricordiamo qui i principali tipi di dati trattati dall’UNICAL per gli ambiti
A e C di cui sopra, distinti per tipologie di interessati (per gli altri ambiti e per maggiori
dettagli si rimanda alle schede particolareggiate per le diverse strutture):
a) Personale docente, tecnico-amministrativo e collaboratori esterni
-
-
-
dati anagrafici, identificativi e informativi contenuti nel curriculum vitae;
dati contenuti nel fascicolo individuale del personale docente o tecnicoamministrativo o dei collaboratori esterni;
dati contenuti nei certificati medici per giustificazione di assenze (malattie,
infortuni ecc.);
dati inerenti lo stato di salute per esigenze di gestione del personale, assunzioni
del personale appartenente alle c.d. categorie protette, igiene e sicurezza sul
luogo di lavoro, equo indennizzo, causa di servizio ecc.;
dati relativi alle carriere;
dati relativi agli stipendi ed alle voci retributive;
dati relativi alla adesione a sindacati o ad organizzazioni di carattere sindacale
per gli adempimenti connessi al versamento delle quote di iscrizione o
all’esercizio dei diritti sindacali;
dati relativi ai riscatti ed alle ricongiunzioni previdenziali, dei trattamenti
assicurativi e previdenziali obbligatori e contrattuali.
b) Studenti
-
dati anagrafici;
dati relativi agli esiti scolastici, intermedi e finali o comunque connessi alla
carriera universitaria;
dati relativi agli studenti diversamente abili;
dati sul reddito delle famiglie finalizzati ad eventuali esoneri dal versamento
delle tasse universitarie;
Si precisa che il trattamento di tutti i dati sopra citati avviene esclusivamente ai fini
dell’adempimento delle prescrizioni di legge anche relative al rapporto di lavoro e di
quelli connessi agli oneri fiscali e previdenziali, secondo quanto disposto sia dalla
legislazione vigente in materia, sia dai contratti collettivi nazionali ed integrativi,
ovvero per finalità di gestione amministrativa degli studenti e/o per finalità
didattiche e/o per finalità afferenti alle elezioni delle rappresentanze studentesche
negli Organi Accademici, ovvero per finalità connesse alle eventuali collaborazioni
a tempo parziale degli studenti presso le Strutture universitarie.
Si ricorda, altresì che i trattamenti sopra menzionati possono riguardare anche dati
sensibili e giudiziari, quali
− i dati relativi all’iscrizione ai sindacati, ai fini dell’effettuazione delle trattenute e
del versamento del contributo al sindacato indicato dal dipendente;
− i dati inseriti nelle certificazioni mediche, ai fini della verifica dell’attitudine a
determinati lavori, dell’idoneità al servizio, dell’avviamento al lavoro degli
inabili;
− i dati relativi allo stato di salute dei dipendenti assunti sulla base della L. 2 aprile
1968 n. 482 e successive modifiche;
− i dati relativi all’appartenenza ad organizzazioni o fedi religiose ai fini dei
permessi per festività;
− i dati relativi agli studenti diversamente abili ai fini di eventuali esoneri dal
versamento delle tasse universitarie;
3. Compiti e responsabilità di chi tratta i dati personali presso
l’UNICAL
I. Il Titolare del trattamento dei dati personali
Il Titolare dei trattamenti dei dati personali descritti nella precedente sezione è
l’Università della Calabria, che decide come effettuare tali trattamenti e come tutelare
l’integrità e la sicurezza dei dati trattati.
II. Il Responsabile del trattamento dei dati personali
Il Codice per la tutela dei dati personali prevede la facoltà, per il Titolare, di nominare
uno o più Responsabili del trattamento. Il Titolare individua il Responsabile tra i
soggetti che per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno
rispetto delle vigenti disposizioni in materia di trattamento dei dati personali, ivi
compreso il profilo della sicurezza. E’altresì previsto che possa essere nominato
“Responsabile” non solo una persona fisica ma anche una società o altri organismi come
gli enti, le associazioni, ecc. La designazione può inoltre riguardare più soggetti.
Un Responsabile di trattamenti di dati presso l’UNICAL ha il compito di:
• Nominare gli incaricati dei trattamenti, cioè individuare le persone fisiche che
dovranno effettuare i trattamenti di cui è responsabile ed autorizzarli al trattamento,
impartendo loro adeguate istruzioni e, in particolare, istruendoli sulle misure di
sicurezza per i dati personali adottate presso l’UNICAL e meglio individuate nella
sezione 4.
• Verificare con l’ausilio degli amministratori dei sistemi informatici che le istruzioni
impartite agli incaricati siano rispettate e, in particolare, che le misure descritte nella
sezione 4 siano effettivamente adottate.
• Nominare uno o più preposti alla custodia delle credenziali di autenticazione, i cui
compiti sono meglio descritti al successivo punto V.
• Definire le modalità di accesso ai locali in cui sono custoditi dati personali, sia in
formato cartaceo sia in formato elettronico.
• In caso di trattamenti sensibili o giudiziari, inviare al Titolare le schede di cui
all’Allegato 1, opportunamente compilate con le informazioni sulle modalità con cui
vengono effettuati i trattamenti di cui è responsabile, complete di eventuali
indicazioni su particolari rischi che incombono su tali dati o su eventi che possono
averne compromesso l’integrità e/o la riservatezza.
• Informare tempestivamente il Titolare di ogni possibile aggiornamento alle
informazioni di cui al punto precedente.
•
Evadere tempestivamente le richieste degli interessati o del Garante per la Privacy e
dare immediata esecuzione alle eventuali indicazioni da parte del Garante.
L’Università della Calabria ha nominato i seguenti “Responsabili” del trattamento dei
dati:
A. Per ciò che attiene i trattamenti nell’ambito delle attività della Segreteria del
Rettorato, della Struttura in Staff denominata “Gabinetto del Rettore”, il Rettore.
B. Per ciò che attiene i trattamenti nell’ambito delle attività delle Strutture
amministrative e tecniche afferenti alla Amministrazione Centrale:
Il Direttore Amministrativo, relativamente ai trattamenti effettuati dalle seguenti
strutture:
- Segreteria della Direzione Amministrativa
- Ufficio Controllo di Gestione
- Ufficio Nucleo di Valutazione
- Ufficio Formazione
- Ufficio Prevenzione e Protezione
- Ufficio Energy Manager
I Dirigenti responsabili d’Area, ciascuno per i trattamenti effettuati nell’ambito
delle attività dell’Area di intervento amministrativo e/o tecnico da lui diretta.
C. Per ciò che attiene i trattamenti effettuati nell’ambito delle attività delle Facoltà
(ufficio di presidenza, uffici amministrativi e tecnici), i Presidi di Facoltà.
D. Per ciò che attiene i trattamenti effettuati dai Dipartimenti (ufficio di direzione,
uffici amministrativi e tecnici), i Direttori di Dipartimento.
E. Per ciò che attiene i trattamenti effettuati nell’ambito delle attività di coordinamento
didattico dei Corsi di Laurea e dei Corsi di Laurea specialistica, i loro Presidenti.
F. Per ciò che attiene i trattamenti effettuati nell’ambito delle attività di coordinamento
didattico delle Scuole di Specializzazione, i loro Direttori.
G. Per ciò che attiene i trattamenti effettuati nell’ambito delle attività di coordinamento
scientifico e di gestione dei Centri di sperimentazione e/o documentazione
scientifica, i Presidenti dei loro Comitati tecnico scientifici (CTS).
H. Per ciò che attiene i trattamenti effettuati nell’ambito delle attività di servizio e di
gestione dei Centri di Servizio Interdipartimentali, dei Centri Comuni di Servizio e
delle Biblioteche, i Presidenti dei loro Comitati tecnico scientifici (CTS).
I. Per ciò che attiene i trattamenti effettuati nell’ambito delle attività delle Strutture
amministrative e tecniche afferenti al Centro Residenziale:
- il Presidente del Centro Residenziale relativamente ai trattamenti effettuati
dall’Ufficio di Presidenza;
- il Direttore Amministrativo del Centro Residenziale, relativamente ai
trattamenti effettuati dalla Segreteria di Direzione;
- i Dirigenti (Responsabili d’Area), ciascuno relativamente ai trattamenti
effettuati dalle rispettive Aree di intervento amministrativo e/o tecnico.
J. La C.M.D. Sud s.r.l. per i dati relativi alla sorveglianza sanitaria dei lavoratori
dell’UNICAL.
K. Il consorzio universitario CINECA, per i dati relativi alla gestione degli stipendi dei
dipendenti UNICAL.
L. L’Istituto di Vigilanza “La Torpedine” per il trattamento dei dati acquisiti attraverso
il sistema di Videosorveglianza, meglio descritto nell’apposito regolamento.
L’UNICAL può comunque nominare ulteriori responsabili, nel caso di trattamenti che
non siano compresi nei suddetti ambiti.
III. L’Incaricato del trattamento dei dati personali
L’Incaricato è la persona fisica alla quale, nell’ambito delle proprie attività, il Titolare o
il Responsabile affidano il trattamento dei dati personali (raccolta, elaborazione,
archiviazione, cancellazione, ecc.). L’Incaricato è colui che operativamente effettua uno
o più trattamenti su dati personali, attenendosi alle istruzioni del Responsabile e
limitandosi ad effettuare solo i trattamenti per i quali è autorizzato. E’ compito del
responsabile assicurarsi che l’incaricato conosca ed applichi le misure di sicurezza
previste dall’UNICAL per i trattamenti di sua competenza.
Ad esempio, il preside di una facoltà, nella sua qualità di responsabile del trattamento,
nomina i docenti che afferiscono a quella facoltà (così come eventuali docenti a
contratto) incaricati dei trattamenti di dati relativi ad attività didattiche quali lo
svolgimento di esami, relazioni e controrelazioni di laurea, etc. Si noti che in generale lo
stesso dato può essere trattato da diversi incaricati, in modi e con finalità differenti,
anche relativi a diverse aree d’intervento e con diversi responsabili. Nel caso in esame,
gli stessi dati sugli esami degli studenti sono trattati anche dagli impiegati della
segreteria studenti, per le opportune verifiche, per il rilascio di certificati, etc., e dagli
impiegati dell’Area Informatica e Telematica, che non sono però autorizzati alla
consultazione di tali dati, ma solo alla loro conservazione (e devono quindi garantirne la
sicurezza e l’integrità).
IV. L’Amministratore di Sistema
Un Amministratore di Sistema è un incaricato che si occupa della gestione e
manutenzione di un determinato insieme di risorse informatiche e telematiche in
dotazione all’UNICAL. Ove necessario, l’Amministratore è nominato da un
responsabile del trattamento dei dati, che individua con la lettera d’incarico l’insieme
delle risorse di cui l’Amministratore deve occuparsi. In particolare, compete
all’Amministratore di Sistema:
-
assegnare e gestire gli aggiornamenti periodici dei codici identificativi personali
degli incaricati che abbiano accesso alle risorse di sua competenza;
provvedere affinché tali risorse siano protette contro il rischio di intrusione,
mediante idonei strumenti software aggiornati con cadenza almeno semestrale;
disporre misure organizzative e tecniche che prevedano il back-up dei dati
personali con cadenza almeno settimanale;
assistere il Responsabile del trattamento nell’analisi dei rischi che incombono su
tali risorse e nell’individuazione di opportune misure di sicurezza per contrastare
tali rischi, da inviare al Titolare per l’aggiornamento annuale del DPS.
V. Preposti alla custodia delle credenziali di autenticazione
Il “Disciplinare tecnico in materia di misure minime di sicurezza” (all. B) del Codice
prevede espressamente che, nel caso in cui l'accesso ai dati e agli strumenti elettronici
sia consentito esclusivamente ad uno o più incaricati mediante la propria credenziale per
l’autenticazione (tipicamente una coppia username-password), il titolare sia comunque
in grado di assicurare la disponibilità di tali dati o strumenti elettronici in caso di
prolungata assenza o impedimento degli incaricati.
Pertanto, per i casi in cui si renda indispensabile e indifferibile intervenire per esclusive
necessità di operatività e di sicurezza del sistema, deve essere possibile accedere alle
credenziali riservate. A tal fine, il responsabile del trattamento dei dati individua e
nomina almeno due preposti alla custodia delle credenziali riservate degli incaricati la
cui assenza prolungata impedirebbe l’accesso ai dati di cui è responsabile.
Un preposto alla custodia delle credenziali di autenticazione svolge i seguenti compiti:
-
-
Garantisce la sicurezza e la segretezza delle credenziali, conservandole in busta
chiusa in armadio con serratura e luogo protetto, nel caso di conservazione
cartacea, ovvero in file crittografati nel caso di conservazione elettronica.
In particolare, custodisce anche le credenziali di autenticazione degli altri
preposti in modo da poter accedere agli armadi o ai file crittografati degli
incaricati di loro competenza, nel caso in cui gli altri preposti non siano presenti
né reperibili in tempi brevi.
Nel caso in cui sia necessario accedere alla parte riservata della credenziale di
autenticazione di un incaricato, il preposto provvede ad avvisarlo
tempestivamente. Al suo rientro, all’incaricato dovrà avere assegnata una nuova
credenziale di autenticazione.
Si noti che l’unico trattamento sulle credenziali per il quale il preposto è autorizzato
è la loro conservazione. Egli non può quindi conoscerne il contenuto.
Occorre inoltre osservare che non è necessario che esistano più armadi protetti e
quindi più copie delle credenziali. E’ invece importante che in ogni momento vi sia
almeno un preposto in grado di accedere alle credenziali in tempi appropriati.
4. Misure di sicurezza adottate presso l’UNICAL
In questa sezione sono descritte le misure minime di sicurezza che l’UNICAL adotta
per il trattamento dei dati personali da essa trattati. Ogni incaricato di un trattamento
viene informato dal responsabile del trattamento che lo nomina di queste misure di
sicurezza a cui deve obbligatoriamente attenersi nell’esercizio delle sue funzioni.
Nel caso in cui l’incaricato non sia in grado di adottare una o più di tali misure (per
es. per problemi tecnici), egli deve immediatamente darne avviso al responsabile,
perché provveda tempestivamente, eventualmente chiedendo l’ausilio del titolare.
Distinguiamo le misure di sicurezza in funzione della modalità di trattamento e della
natura del dato trattato.
A. Trattamenti di dati con strumenti elettronici
- Il trattamento di dati personali con strumenti elettronici è consentito solo
agli incaricati dotati di credenziali che consentano il superamento di una
procedura di autenticazione relativa ai trattamenti per i quali sono stati
autorizzati.
o Le credenziali di autenticazione consistono in un codice per
l'identificazione dell'incaricato associato a una parola chiave
riservata conosciuta solamente dal medesimo oppure in un
dispositivo di autenticazione in possesso e uso esclusivo
dell'incaricato, eventualmente associato a un codice identificativo o
a una parola chiave, oppure in una caratteristica biometrica
dell'incaricato, eventualmente associata a un codice identificativo o a
una parola chiave.
o Ad ogni incaricato sono assegnate o associate individualmente una o
più credenziali per l'autenticazione.
-
-
-
-
-
-
-
o L’incaricato è responsabile della segretezza della componente
riservata della sua credenziale e/o della custodia dei dispositivi di
autenticazione in suo possesso.
o La parola chiave, quando è prevista dal sistema di autenticazione, è
composta da almeno otto caratteri oppure, nel caso in cui lo
strumento elettronico non lo permetta, da un numero di caratteri pari
al massimo consentito; essa non contiene riferimenti agevolmente
riconducibili all'incaricato ed è modificata da quest'ultimo al primo
utilizzo e poi almeno ogni tre mesi.
o Il codice per l'identificazione, laddove utilizzato, non può essere
assegnato ad altri incaricati, neppure in tempi diversi.
o Le credenziali di autenticazione non utilizzate da almeno sei mesi
sono disattivate, salvo quelle preventivamente autorizzate per soli
scopi di gestione tecnica.
o Una credenziale è disattivata anche nel caso in cui un incaricato non
sia più autorizzato ad effettuare uno dei trattamenti a cui tale
credenziale dava accesso.
Gli incaricati consegnano al preposto per la custodia delle credenziali una
busta chiusa per ogni loro credenziale di autenticazione, contenente la parte
riservata di tale credenziale, ovvero inviano al preposto un documento
crittografato con la medesima informazione. Nel caso di documenti
crittografati, il preposto dovrà avere la chiave necessaria a decrittografare le
informazioni sulla credenziale, ove necessario (si veda la descrizione dei
compiti del preposto, nella precedente sezione).
Gli incaricati non dovranno mai lasciare incustodito e accessibile il proprio
terminale durante una sessione di trattamento. Dovendosi allontanare
temporaneamente avranno cura di chiudere la sessione o avviare un
salvaschermo con password, o altre misure che richiedano per l’accesso una
procedura di autenticazione di sicurezza almeno pari a quella che permette
di identificare l’incaricato su quel terminale.
Nel caso di trattamento di dati con Personal Computer (PC), gli incaricati
verificano che il PC a loro assegnato sia dotato di un programma antivirus e
di un programma per la protezione da spyware aggiornati almeno
semestralmente (possono anche essere parte di uno stesso prodotto
informatico).
L’Area Informatica e Telematica rende costantemente disponibili sulla rete
telematica interna dell’UNICAL i suddetti prodotti, corredati delle
informazioni per l’installazione e l’aggiornamento degli stessi.
L’Area Informatica e Telematica mette anche a disposizione nello stesso
sito un prodotto per la crittografia e per la cancellazione fisica di documenti
(per esempio, il programma freeware PGP che integra entrambe le
funzionalità), che possono essere utilizzati per la gestione sicura delle
credenziali e per la distruzione di dati personali che non occorre più trattare.
Ove sia necessario prevedere profili di autorizzazione di ambito diverso, i
responsabili dei trattamenti, coadiuvati dagli amministratori dei sistemi
informatici, progettano e gestiscono tali profili per singolo incaricato o per
classi omogenee di incaricati. Tali profili sono verificati almeno
annualmente.
I server delle banche dati dell’UNICAL sono collocati in aree sicure e
protette da intrusioni e accessi indesiderati da opportuni sistemi di allarme.
Ogni Amministratore prepara una descrizione dettagliata delle procedure
per il salvataggio ed il ripristino dei dati, nel caso in cui le risorse
elettroniche di cui è responsabile siano a rischio di danneggiamento o
distruzione. Anche l’organizzazione del database o archivio contenente i
dati deve essere puntualmente descritta, così come il luogo di custodia delle
copie dei dati, che deve essere comunque diverso dal luogo dove è collocato
il computer in cui sono memorizzati. L’Amministratore conserva tale
descrizione in un luogo sicuro ed accessibile anche in caso di sua assenza,
comunicando la procedura per reperirla ad un preposto per la conservazione
delle credenziali di autenticazione, il cui nominativo deve essere segnalato a
tutti i responsabili dei trattamenti su quei dati (si ricordi infatti che gli stessi
dati possono essere oggetto di diversi trattamenti da parte di diverse
strutture dell’UNICAL). E’ prevista anche una pianificazione delle prove di
ripristino dei dati.
B. Trattamenti senza l’ausilio di strumenti elettronici
- Nelle ore d’ufficio gli incaricati controllano e custodiscono gli atti ed i
documenti contenenti i dati personali da loro trattati, attenendosi alle
istruzioni ricevute insieme alla nomina.
- L’UNICAL è inoltre costantemente sorvegliata da un istituto di vigilanza.
C. Ulteriori misure per trattamenti di dati sensibili o giudiziari
- Nel caso di memorizzazione e trasporto di dati sensibili o giudiziari su
supporti elettronici rimovibili e nel caso di trasmissione per via telematica,
tali dati devono essere opportunamente crittografati, o viaggiare su
connessioni protette.
- Nel caso in cui un dato sensibile o giudiziario non sia più necessario, esso
deve essere fisicamente cancellato utilizzando appropriati prodotti
informatici (come il summenzionato PGP). Nel caso in cui sia memorizzato
su un supporto che non consenta tale cancellazione, il supporto deve essere
distrutto o comunque reso inutilizzabile.
- Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari
sono affidati agli incaricati del trattamento per lo svolgimento dei relativi
compiti, i medesimi atti e documenti sono controllati e custoditi dagli
incaricati fino alla restituzione, in maniera che ad essi non accedano persone
prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
- L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le
persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono
identificate e registrate. Quando gli archivi non sono dotati di strumenti
elettronici per il controllo degli accessi o di specifici incaricati della
vigilanza di tali dati, le persone che vi accedono sono preventivamente
autorizzate.
- Le informazioni idonee a rivelare lo stato di salute e la vita sessuale e le
informazioni genetiche sono memorizzate in archivi o banche dati disgiunte
dalle altre informazioni necessarie per identificare l’interessato (es.,
informazioni anagrafiche). Ove ciò sia indispensabile per il trattamento, ad
ogni interessato sarà quindi associato un codice univoco che lo identifica sia
nella banca dati (archivio) anagrafico, sia nella banca dati con le
informazioni sanitarie. Nel caso di trattamenti senza l’ausilio di strumenti
elettronici, i due archivi sono conservati in armadi diversi e protetti da
chiavi.
5. Analisi dei rischi
In questa sezione descriviamo le principali tipologie di rischio che incombono sui dati
trattati presso l’UNICAL e che sono contrastate mediante una scrupolosa osservazione
da parte di tutti gli incaricati delle misure di sicurezza descritte nella precedente sezione,
favorita dalle attività di sensibilizzazione e formazione previste dall’UNICAL per le
varie tipologie di incaricati.
1. Comportamenti degli operatori: sottrazione di credenziali di autenticazione per
carenza di consapevolezza, disattenzione o incuria, comportamenti sleali o
fraudolenti, errore materiale.
2. Eventi relativi agli strumenti: azione di virus informatici o di programmi
suscettibili di recare danno, spamming o tecniche di sabotaggio, malfunzionamento,
indisponibilità o degrado degli strumenti, accessi esterni non autorizzati
intercettazione di informazioni in rete.
3. Eventi relativi al contesto fisico-ambientale: ingressi non autorizzati a locali/aree
ad accesso ristretto, sottrazione di strumenti contenenti dati, eventi distruttivi
naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi,
allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad
incuria e guasto di sistemi complementari (impianto elettrico, climatizzazione, ecc.),
errori umani nella gestione della sicurezza fisica.
In generale le probabilità che si verifichino tali rischi sono ritenute basse presso
l’UNICAL, considerando le misure di sicurezza adottate, sia in termini di protezione da
attacchi informatici, sia in termini di protezione da intrusioni fisiche presso le strutture
dell’Università. Molta attenzione viene inoltre rivolta alla manutenzione delle
apparecchiature.
E’ chiaro comunque che in una realtà così grande e complessa tali eventi sono
certamente possibili. Le conseguenze per i dati trattati dipendono dalla tipologia di
evento: eventi di tipo distruttivo (da virus informatici, incendi, etc.) sono contrastati
dalle procedure per il ripristino dei dati, così come eventi dovuti a malfunzionamenti di
strumenti elettronici. E’ invece molto difficile azzerare le probabilità di eventi
fraudolenti da parte di dipendenti dell’Università o esterni, specialmente nel caso di
modifiche non distruttive dei dati o di semplici consultazioni non autorizzate. In questi
casi le misure di contrasto sono di tipo preventivo ed affidate soprattutto all’azione
deterrente delle procedure che registrano gli accessi alle banche dati (log). In tal caso
infatti la scoperta di trattamenti non autorizzati potrebbe con buona probabilità essere
seguita dall’individuazione dell’autore dell’accesso illegale ai dati.
Per alcune strutture dell’UNICAL alcuni rischi sono ritenuti più probabili e sono quindi
descritti in modo più approfondito nelle corrispondenti schede allegate al presente DPS,
insieme alle misure specifiche previste per ridurli, con i relativi tempi di attuazione.
In particolare, l’Area Informatica e Telematica ha effettuato un’approfondita analisi dei
rischi da attacchi informatici alla rete d’ateneo ed ha previsto una serie di contromisure
per ridurre efficacemente tali rischi. Il documento prodotto è disponibile insieme al DPS
presso l’Amministrazione dell’UNICAL.
6. Trattamenti effettuati all’esterno dell’UNICAL
Nel caso di trattamenti delegati a soggetti esterni all’università, l’UNICAL vigila che le
misure di sicurezza previste dal presente DPS siano adottate anche da tali soggetti e che
essi operino solo i trattamenti per i quali sono stati autorizzati.
L’UNICAL nomina questi soggetti responsabili di tali trattamenti e contestualmente
nomina un responsabile che si occupi specificamente di tale attività di controllo.
Attualmente i soggetti esterni che trattano dati di cui è titolare l’UNICAL sono i
seguenti:
A. La C.M.D. Sud s.r.l. per i dati relativi alla sorveglianza sanitaria dei lavoratori
dell’UNICAL.
B. Il consorzio universitario CINECA, per i dati relativi alla gestione degli stipendi dei
dipendenti UNICAL.
C. L’Istituto di Vigilanza “La Torpedine” per il trattamento dei dati acquisiti attraverso
il sistema di Videosorveglianza, meglio descritto nell’apposito regolamento.
Vi sono poi alcuni trattamenti di dati per i quali il compito dei soggetti esterni non può
essere considerato subordinato a quello dell’UNICAL, perché essi hanno pari diritto
dell’UNICAL a decidere in merito alle finalità e modalità con cui tali trattamenti sono
effettuati. Tali soggetti esterni sono co-titolari di quei trattamenti di dati. E’ il caso del
Ministero dell'Istruzione, dell'Università e della Ricerca , che tratta dati relativi agli
studenti ed ai docenti dell’UNICAL.
7. Interventi Formativi Previsti
L’UNICAL prevede una serie di interventi formativi per sensibilizzare il personale alle
problematiche relative al trattamento dei dati personali.
In particolare il portale dell’UNICAL contiene due sezioni dedicate alla “Privacy”, una
accessibile a tutti e l’altra riservata ai dipendenti.
Nel primo sono disponibili le Informative sul trattamento dei dati personali ed i
regolamenti per i trattamenti di dati sensibili e giudiziari e per la videosorveglianza.
Nel secondo è disponibile la parte generale del DPS, i modelli per le lettere di nomina
per responsabili ed incaricati dei trattamenti ed un vademecum che aiuta gli incaricati a
verificare se si è in regola con tutte le misure di sicurezza previste dall’UNICAL.
Sono inoltre previsti degli incontri periodici con i responsabili dei trattamenti per
verificare l’applicazione del DPS e in generale monitorare le modalità di trattamento dei
dati.
E’ compito dei responsabili effettuare degli incontri con gli incaricati prima o subito
dopo averne effettuato la nomina, in modo da istruirli su limiti, finalità, modalità e
misure di sicurezza dei trattamenti a loro affidati e sul materiale informativo da
consultare prima di iniziare i trattamenti.
Ad esempio, in sede di prima applicazione del presente DPS, un direttore di
dipartimento può svolgere tale funzione nell’ambito di un consiglio di dipartimento,
ponendo all’ordine del giorno il trattamento dei dati personali e presentando il DPS, i
trattamenti da affidare nell’ambito delle attività del dipartimento ed il relativo materiale
informativo.
Tabella 1
Strutture
Rettorato
- Segreteria
Amministrazione Centrale
• Direzione Amministrativa
- Segreteria
- Ufficio Controllo di Gestione
- Ufficio Nucleo di Valutazione
- Ufficio Formazione
- Ufficio Prevenzione e Protezione
- Ufficio Energy Manager
•
Aree
o Area Didattica
- Segreteria
- Ufficio Attività connesse all’Orientamento degli Studenti (Supporto al
delegato)
- Settore Segreterie Studenti
- Settore Ammissione Studente
- Poli didattici distaccati
- Ufficio Modifiche di Statuto, Corsi di perfezionamento, Scuole di
specializzazione, Regolamento didattico
- Ufficio Relazioni con il Pubblico
- Ufficio Informatico per base dati Studenti
- Ufficio Esami di Stato
o Area Finanziaria
- Segreteria
- Settore Ragioneria
- Settore Fiscale
- Ufficio intersettoriale spese fisse e oneri riflessi
- Ufficio intersettoriale per le entrate diverse e coordinamento centri di Spesa
o Area Informatica e Telematica
- Segreteria
- Settore Integrazione Sistemi ed Applicazioni
- Settore Telematica ed Infrastrutture
o Area Organi Collegiali e Coordinamento
- Segreteria
- Ufficio Stampa
- Ufficio Statistico
- Ufficio di supporto ai delegati
- Automazione delle Biblioteche
- Ufficio Gestione sistema telefonico generale d’Ateneo
- Settore Affari Generali
- Settore Servizi di Coordinamento e di Promozione
- Ufficio Servizio per Studenti con Disabilità
- Servizio Comunicazione, Orientamento e Promozione dell’Immagine
o Area Ricerca Scientifica e Rapporti Comunitari
- Segreteria
- Settore Ricerca
- Settore Relazioni Estere
- Ufficio ERASMUS
- Ufficio Orientamento Laureati
o Area Risorse Umane
- Segreteria
- Ufficio per le attività connesse allo sviluppo degli organici (Supporto al
delegato)
- Settore Personale
- Settore Stipendi
- Ufficio intersettoriale Concorsi
- Ufficio intersettoriale Pensioni
o Area Attività Negoziali
- Segreteria
- Ufficio Legale
- Ufficio per le attrezzature didattiche e scientifiche (Supporto al delegato)
- Settore Appalti e Contratti
- Settore Economato e Patrimonio
o Area Risorse Mobiliari ed Immobiliari
- Segreteria
- Ufficio per le attività connesse allo sviluppo delle strutture edilizie e
urbanistiche (Supporto al delegato)
- Ufficio servizi generali
- Ufficio Energy Manager
- Settore Nuove Opere
- Settore Manutenzione
- Settore Progetti e Direzione Lavori
Facoltà
• Facoltà di Economia
• Facoltà di Farmacia
• Facoltà di Ingegneria
• Facoltà di Lettere e Filosofia
• Facoltà di Scienze Matematiche, Fisiche e Naturali
• Facoltà di Scienze Politiche
a cui fanno capo
• I Corsi di Laurea
• I Corsi di Laurea specialistica
Scuole
• Scuola di Specializzazione per la Formazione degli insegnanti della scuola
secondaria (SSIS)
Dipartimenti
• Archeologia e Storia delle Arti
• Biologia Cellulare
• Chimica
• Difesa del Suolo “V. Marone”
• Ecologia
• Economia e Statistica
• Elettronica Informatica e Sistemistica
• Farmaco-biologico
• Filologia
• Filosofia
• Fisica
• Ingegneria Chimica e dei Materiali
• Linguistica
• Matematica
• Meccanica
• Pianificazione Territoriale
• Scienze Aziendali
• Scienze dell’Educazione
• Scienze della Terra
• Scienze Farmaceutiche
• Scienze Giuridiche
• Sociologia e Scienza Politica
• Storia
• Strutture
a cui fanno capo
• I Corsi di Dottorato di Ricerca
Centri
• Centri di Servizio Interdipartimentali
o Centro Editoriale e Librario
o Centro Radio Televisivo
o Centro dei servizi linguistici d’Ateneo
o Laboratorio Statistico-informatico
•
Centri Comuni di servizio
o Centro Sportivo
o Centro Arti Musica e Spettacolo
o Centro Sanitario
•
Centri di sperimentazione e/o documentazione scientifica
o Museo di Storia Naturale della Calabria ed Orto Botanico
o Women’s Studies
o C.I.R.D. (Centro interdipartimentale per la ricerca didattica)
o C.I.D.D. (Centro interdipartimentale di Documentazione Demoantropologica)
o C.I.S.R. (Centro interdipartimentale di Scienze Religiose)
o C.S.D.I.M. (Centro servizi didattici informatici e multimediali)
Biblioteche
o Biblioteca Area Umanistica “E. Fagiani”
o Biblioteca Area Tecnico-scientifica
o Biblioteca Interdipartimentale di Scienze Economiche e Sociali “E. Tarantelli”
Centro Residenziale
• Direzione Amministrativa
- Segreteria
• Aree
o Area Servizi Amministrativi e Assistenziali
o Area Servizi Residenziali e Socio-Culturali
o Area Finanziaria
o Area Servizi Tecnici
Allegato 1
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS):
Modello di scheda dettagliata per strutture che trattano dati sensibili o giudiziari
<Struttura>
UNITA’ ORGANIZZATIVA RESPONSABILE:
<Area, Settore, Ufficio>
RESPONSABILE DEL TRATTAMENTO:
<Il Preside, Il Direttore, Il Dirigente, Il Responsabile>
<Nome Cognome>
ELENCO DEI TRATTAMENTI DI DATI PERSONALI (regola 19.1)
Contenuti
In questa sezione deve essere inserito l’elenco dei trattamenti effettuati dal titolare
(Università della Calabria), direttamente o attraverso collaborazioni esterne, con
l’indicazione della natura dei dati trattati dalla struttura (facoltà, dipartimento, centro,
amministrazione, area, settore, ufficio, funzione, ecc.) interna o esterna che
operativamente effettua il trattamento.
Nella redazione della lista può essere utile fare riferimento alle informazioni contenute
nelle eventuali notificazioni inviate al Garante.
Descrizione dei campi (Tabella 1)
Identificativo del trattamento (IDT): ogni trattamento è identificato con un numero
associato alla sua descrizione per favorire un’identificazione univoca e più rapida di
ciascun trattamento nella compilazione delle altre tabelle.
Descrizione sintetica del trattamento: citare il trattamento dei dati personali attraverso
l’indicazione della finalità perseguita o dell’attività svolta (es.: fornitura di beni o
servizi, gestione del personale, ecc.) e delle categorie di persone interessate,
precisamente a cui i dati si riferiscono, (clienti, utenti, dipendenti, collaboratori,
fornitori, ecc.) (Vedi anche Tabelle in Allegati).
Natura dei dati trattati: indicare se, tra i dati personali, sono presenti dati sensibili o
giudiziari.
Struttura di riferimento: indicare la organizzazione interna (settore, ufficio, laboratorio,
servizio, funzione, ecc.) nella quale viene effettuato il trattamento (es.: settore stipendi,
ufficio contratti, sviluppo risorse, controversie sindacali, amministrazione-contabilità,
servizio legale).
Altre strutture che concorrono al trattamento: nel caso in cui un trattamento, per essere
completato, comporta l’attività di diverse strutture è opportuno indicare, oltre quella che
cura primariamente l’attività, le altre principali strutture che concorrono al trattamento
anche dall’esterno.
Descrizione degli strumenti elettronici utilizzati: va indicata la tipologia di strumenti
elettronici impiegati (elaboratori o PC anche portatili, collegati o meno in una rete
locale, di campo, geografica o Internet; sistemi informatici più complessi).
Tabella 1 - Elenco dei trattamenti: informazioni di base (regola 19.1)
(1)
IDT
n. 1
(2)
(3)
Descrizione sintetica del trattamento 2
Finalità
perseguita o
attività svolta
Categorie di
persone
interessate
(4)
(5)
(6)
Natura
Struttura di
Altre
dei dati riferimento:
Strutture Descrizione
degli
trattati 3 organizzazione
(anche
strumenti
interna
esterne) che
6
(settore, ufficio, concorrono utilizzati
laboratorio, ecc.)
al
S G
ove viene
trattamento 5
realizzato il
trattamento 4
Rende, ....................................
Firma
Responsabile del trattamento
1
2
Numero da utilizzare per identificare ciascun trattamento anche nella compilazione delle altre tabelle.
Descrivere il trattamento dei dati personali attraverso l’indicazione della finalità perseguita ( fornitura
di beni e servizi, gestione del personale …) o dell’attività svolta e delle categorie di persone interessate
(clienti, utenti, dipendenti, fornitori, ecc.).
3
Natura dei dati: S = sensibili (dati personali idonei a rilevare l’origine razziale ed etnica, convinzioni
religiose, filosofiche, opinioni politiche, adesione a partiti, organizzazioni a carattere religioso, filosofico,
politico, stato di salute e vita sessuale); G = giudiziari.
4
Indicare la organizzazione interna di riferimento (settore, ufficio, funzione, servizio, ecc.).
5
6
Indicare le altre principali strutture che concorrono al trattamento anche dall’esterno.
Elaboratori, PC, portatili, sistemi informatici più complessi collegati o meno in una rete dati.
Ulteriori elementi per descrivere gli strumenti
Descrizione dei campi (Tabella 2)
Identificativo del trattamento (IDT): numero identificativo del trattamento inserito nella
Tabella 1.
Eventuale Banca dati: indicare l’eventuale banca dati (ovvero il data base o l’archivio
informatico), in cui sono contenuti i dati con le relative applicazioni. Uno stesso
trattamento può richiedere l’utilizzo di dati che risiedono in più di una banca dati. In tal
caso le banche dati potranno essere elencate.
Ubicazione fisica dei supporti di memorizzazione: indicare il luogo in cui risiedono
fisicamente gli strumenti e i supporti di memorizzazione dei dati, ovvero dove si
trovano (in quale sede, centrale o periferica, o presso quale fornitore di servizi, ecc.) gli
elaboratori su i cui dischi sono memorizzati i dati, i luoghi di conservazione dei supporti
magnetici utilizzati per le copie di sicurezza (nastri magnetici, floppy disk, dischi ottici,
CD, DVD, DAT, ecc.) ed ogni altro supporto rimovibile.
Tipologia di dispositivi di accesso: elenco e descrizione sintetica degli strumenti
utilizzati dagli incaricati per effettuare il trattamento: PC, portatili, console di sistema,
video terminale, palmare, telefonino
Tipologia interconnessione: descrizione sintetica e qualitativa della rete dati che collega
i dispositivi d’acceso ai dati utilizzati dagli incaricati: rete (cablata o wireless) locale
(LAN), rete di campo, rete geografica (WAN) con o senza accesso ai servizi Internet;
con architettura Client/Server o Peer to Peer File sharing.
Tabella 2. - Elenco dei trattamenti: descrizione degli strumenti utilizzati (regola 19.1)
(1)
(2)
(3)
(4)
(5)
IDT
n. 7
Eventuale banca dati 8
Ubicazione fisica
dei supporti di
memorizzazione 9
Tipologia di
dispositivi di
accesso 10
Tipologia di
interconnessione 11
Rende, ....................................
Firma
Responsabile del trattamento
7
8
Numero identificativo del singolo trattamento, indicato nella Tabella 1
Il nome o l’identificativo della eventuale banca dati, ovvero del database (es. PROTOCOLLO, FATTURE,
ISOIVA, ANAGRAFE, ecc) o dell’archivio informatico (documenti Word, fogli elettronici, ecc) in cui sono
contenuti i dati che sono trattati.
9
Indicazione del luogo in cui risiedono fisicamente i dati; ovvero il luogo dove si trovano (sede centrale
o periferica, terzo fornitore di servizi) gli elaboratori sui cui dischi sono memorizzati i dati; luoghi di
conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri, CD, ecc.)
10
Strumenti utilizzati dagli incaricati: PC, portatili, console di sistema, video terminale, palmare,
telefonino, ecc.
11
Rete (cablata o wireless) locale (LAN), rete di campo, rete geografica (WAN) con o senza accesso ai
servizi Internet; con architettura Client/Server o Peer to Peer File sharing.
ANALISI DEI RISCHI CHE INCOMBONO SUI DATI (regola 19.3)
Contenuti
Descrivere in questa sezione i principali eventi potenzialmente dannosi per la sicurezza
dei dati, e valutarne le possibili conseguenze e la gravità in relazione al contesto fisico–
ambientale di riferimento e agli strumenti software ed elettronici utilizzati.
Descrizione dei campi (Tabella 3)
Elenco degli eventi: individuare ed elencare gli eventi che possono generare danni e che
comportano, quindi, rischi per la sicurezza dei dati personali.
Indicazione
In particolare, si può prendere in considerazione la lista esemplificativa dei seguenti
eventi:
1) comportamenti degli operatori:
• Sottrazione di credenziali di autenticazione
• Carenza di consapevolezza
• Disattenzione o incuria
• Comportamenti sleali o fraudolenti
• Errore materiale
• <altro evento>
2) eventi relativi agli strumenti:
• Azione di virus informatici o di programmi suscettibili di recare danno
(trojan horse, worm, backdoor, spyware, ecc)
• Strumenti sw peer-to-peer (come vettori di virus o altro)
• Spamming; (in ricezione: vettore di virus o altro; in trasmissione: violazione della
privacy altrui)
•
•
•
•
Tecniche di sabotaggio (DOS, DDOS, spoofing, brute force, ecc.)
Malfunzionamento, indisponibilità o degrado degli strumenti
Accessi esterni non autorizzati
Intercettazione di informazioni in rete (sniffing interno ed esterno, port
scanning, ecc.)
• <altro evento>
3) eventi relativi al contesto fisico-ambientale:
• Ingressi non autorizzati a locali/aree ad accesso ristretto
• Sottrazione di strumenti o supporti di memorizzazione contenenti dati
• Eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche
atmosferiche, incendi, allagamenti, condizioni ambientali, ecc.)
• Eventi distruttivi dolosi, accidentali o dovuti ad incuria
• Guasto a sistemi complementari (impianto elettrico, impianto di
climatizzazione, impianto anti-incendio, impianto anti-furto, ecc.)
• <altro evento>
Impatto sulla sicurezza: descrivere le principali conseguenze individuate per la
sicurezza dei dati, in relazione a ciascun evento e valutare la loro gravità anche in
relazione alla rilevanza e alla probabilità stimata dell’evento (anche in termini sintetici:
alta/media/bassa).
Tabella 3 – Analisi dei rischi (regola 19.3)
(individuazione dei principali eventi potenzialmente dannosi per la sicurezza dei dati)
Comportamenti degli operatori
(1)
Elenco degli eventi
(Rischi)
Sottrazione di credenziali di autenticazione
Carenza di consapevolezza
Disattenzione o incuria
Comportamenti sleali o fraudolenti
Errore materiale
<altro evento>
(2)
(3)
SI / NO
Impatto sulla sicurezza
(Gravità: alta / media / bassa)
Eventi relativi agli strumenti
Elenco degli eventi
(Rischi)
SI / NO
Descrizione dell’impatto sulla
sicurezza
(Gravità: alta / media / bassa)
SI / NO
Descrizione dell’impatto sulla
sicurezza
(Gravità: alta / media / bassa)
Azione di virus informatici o di programmi suscettibili di recare
danno
Strumenti sw peer-to-peer
Spamming
Tecniche di sabotaggio
Malfunzionamento, indisponibilità o degrado degli strumenti
Accessi esterni non autorizzati
Intercettazione di informazioni in rete
<altro evento>
Eventi relativi al contesto fisico/ambientale
Elenco degli eventi
(Rischi)
Ingressi non autorizzati a locali/aree ad accesso ristretto
Sottrazione di strumenti o supporti di memorizzazione
contenenti dati
Eventi distruttivi, naturali o artificiali (movimenti tellurici,
scariche atmosferiche, incendi, allagamenti, condizioni
ambientali, ecc.)
Azioni distruttive dolose, accidentali o dovuti ad incuria
Guasto ai sistemi complementari (impianto elettrico, impianto di
climatizzazione, impianto anti-incendio, impianto anti-furto,
ecc.)
<altro evento>
Rende, ....................................
Firma
Responsabile del trattamento
MISURE DI SICUREZZA IN ESSERE E DA ADOTTARE (regola 19.4)
Contenuti
In questa sezione vanno riportate, in forma sintetica, le misure in essere e da adottare
per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico
od organizzativo posto in essere (per prevenire, contrastare o ridurre gli effetti relativi
ad una specifica minaccia), come pure quelle attività di verifica e controllo nel tempo,
essenziali per assicurarne l’efficacia. Le misure da adottare possono essere inserite in
una sezione dedicata ai programmi per migliorare la sicurezza.
Descrizione dei campi (Tabella 4)
Misure: descrivere sinteticamente le misure adottate (seguendo anche le indicazioni
contenute nelle altre regole dell’Allegato B del Codice).
Descrizione dei rischi: per ciascuna misura indicare sinteticamente i rischi che si intende
contrastare (anche qui, si possono utilizzare le indicazioni fornite dall’Allegato B).
Trattamenti interessati: indicare i trattamenti interessati per ciascuna delle misure
adottate. (Determinate misure possono non essere riconducibili a specifici trattamenti o
banche di dati ad esempio, con riferimento alle misure per la protezione delle aree e dei
locali).
Specificare rispettivamente in col.(4) e col.(5) se la misura è già in essere o da adottare,
con eventuale indicazione, in tale ultimo caso, dei tempi previsti per la sua messa in
opera.
Struttura o persone addette all’adozione: indicare la struttura o la persona responsabili o
preposte all’adozione delle misure indicate.
Indicazione (Suggerimento)
Con riferimento ai rischi di cui al punto precedente, sono state adottate le seguenti
misure:
•
•
•
•
•
Politica ed organizzazione della sicurezza
o elaborazione di una nota informativa con l’enunciazione di una chiara e
definita politica della sicurezza;
o predisposizione di documenti ad hoc per le attività legate alla sicurezza;
o sensibilizzazione degli utenti e degli incaricati sui rischi di sicurezza,
mediante un’apposita nota informativa;
o previsione di revisioni periodiche dei sistemi di sicurezza, ecc.
Classificazione dati e informazioni
o classificazione o meno dei dati personali;
o tipologia dell’autorizzazione degli accessi ai dati dell’Ateneo;
o proprietà degli oggetti informatici, ecc.
Sicurezza e personale
o assegnazione o meno di ruoli e responsabilità di Sicurezza nelle mansioni;
o modalità di identificazione visibile del personale;
o formazione sulla sicurezza;
Rapporti con terze parti (altri Enti pubblici, Società, Consulenti, ecc.)
o modalità di accesso di terze parti ai dati dell’Ateneo;
o eventuali accordi di riservatezza e sicurezza con le parti stesse, ecc.
Sicurezza dei sistemi
•
•
•
•
o in relazione alla diffusione di virus, la presenza ed il tipo di antivirus
installato;
o procedure di manutenzione degli strumenti Hardware e Software
o aggiornamento del software di base (Sistemi operativi e Ambienti operativi)
o aggiornamento del software applicativo
o installazione di patch per l’eliminazioni delle vulnerabilità,
o procedure di back-up per la salvaguardia dei dati;
o procedure per il controllo degli accessi alle informazioni;
o l’autorizzazione per l’accesso ai dati e alle applicazioni;
o procedure per gestione dei profili di autorizzazione
o procedure per la gestione della password (lunghezza minima, cambio al
primo utilizzo, ecc.);
o sistema di identificazione ed autenticazione per l’accesso ai sistemi
informatici (basata su User-Id e password);
o procedure per la gestione dei sistemi (se organizzate in forma scritta o meno,
se vengono rispettate), ecc.
Sicurezza Fisica
o presenza o meno del Responsabile di sede per la Sicurezza (ex legge 626);
o eventuale previsione e tipologia dei Controlli di Sicurezza per gli spazi
interni sia accessibili a tutti che ad accesso ristretto;
Sicurezza logica della Rete
o organizzazione della gestione e delle interconnessioni;
o tipo di protezione contro le intrusioni e gestione della stessa;
o tipo di controllo della connessione (esterna) via Internet e dello scambio di
dati, ecc.
Adeguamento
o esistenza o meno di un processo di verifica dell’adeguamento alle procedure
di sicurezza;
Organizzazione e conservazione degli archivi di dati personali (sensibili e/o
giudiziari)
Indicare il nome dell’archivio, la struttura di riferimento, il trattamento di utilizzo, la
categoria dei dati archiviati, l’ubicazione e la tipologia (se cartaceo, informatico o
altro).
o Archivio informatico - indicare la modalità di accesso, il sistema di
autenticazione, il profilo di accesso, il tipo di Sistema operativo, il supporto
di memorizzazione, la durata prevista di conservazione, ecc.
o Archivio cartaceo - l’organizzazione e la conservazione degli archivi
cartacei; indicare il sistema di sicurezza utilizzato (cassaforte, armadio con
serratura, lettore di badge, ufficio presidiato, ecc.), il profilo di accesso (se
ristretto o consentito a tutti), la durata prevista di conservazione.
Ulteriori misure di sicurezza per il trattamento dei dati sensibili e/o giudiziari si possono
suddividere in base all’ausilio o meno di strumenti elettronici nell’effettuazione del
trattamento.
Tabella 4 - Le misure di sicurezza adottate o da adottare (regola 19.4)
(1)
(2)
(3)
(4)
(5)
(6)
Misure 12
Descrizione
dei rischi
contrastati 13
Trattamenti
interessati 14
Misure già in
essere 15
Misure da
adottare
Struttura o
persone addette
all’adozione 16
Rende, ....................................
Firma
Responsabile del trattamento
12
13
14
15
Descrizione sintetica delle misure adottate.
Per ciascuna misura, indicare sinteticamente i rischi che si intende contrastare.
Indicare i trattamenti interessati per ciascuna delle misure adottate
Specificare se la misura è già in essere o da adottare con eventuale indicazione, in tale ultimo caso,
dei tempi previsti per la sua messa in opera.
16
Indicare la struttura o la persona responsabili o preposte all’adozione delle misure indicate.
CRITERI E MODALITA’ DI RIPRISTINO DELLA DISPONIBILITA’ DEI
DATI (regola 19.5)
Contenuti
In questa sezione sono descritti i criteri e le procedure adottati per il ripristino dei dati in
caso di loro danneggiamento o di inaffidabilità della base dati. L’importanza di queste
attività deriva dall’ eccezionalità delle situazioni in cui il ripristino ha luogo: è
essenziale che, quando sono necessarie, le copie dei dati siano disponibili e che le
procedure di reinstallazione siano efficaci. Pertanto, è opportuno descrivere
sinteticamente anche i criteri e le procedure adottate per il salvataggio dei dati al fine di
una corretta esecuzione del loro ripristino.
Informazioni essenziali (tabella 5.1)
Per quanto riguarda il ripristino, le informazioni essenziali sono:
Banca dati/Data base/Archivio: indicare la banca dati, il data base o l’archivio
interessati.
Criteri e procedure per il salvataggio e il ripristino dei dati: descrivere sinteticamente le
procedure e i criteri individuati per il salvataggio e il ripristino dei dati, con eventuale
rinvio ad un’ulteriore scheda operativa o a documentazioni analoghe.
Pianificazione delle prove di ripristino: indicare i tempi previsti per effettuare i test di
efficacia delle procedure di salvataggio/ripristino dei dati adottate.
Indicazione
Tutti i dati sono sottoposti al salvataggio e, comunque, a procedure di backup che
garantiscano la loro salvaguardia e ripristino. I dati raccolti sono conservati dal titolare o
dagli incaricati da lui delegati e posti in sicurezza mediante l’organizzazione di un
archivio, di un database, ecc. E’ prevista anche una pianificazione delle prove di
ripristino dei dati. Sono stabiliti determinati criteri sia per il salvataggio sia per il
ripristino dei dati e sono individuate specifiche strutture o persone a ciò incaricate.
Anche l’organizzazione del database o archivio contenente i dati deve essere
puntualmente descritta, così come il luogo di custodia delle copie dei dati.
Tab. 5.1 – Criteri e procedure per il ripristino della disponibilità dei dati (regola 19.5)
(1)
(2)
(3)
Banca dati / Data base /
Archivio di dati 17
Criteri e procedure per il
salvataggio ed il
ripristino dei dati in (1)
Pianificazione delle prove di ripristino in
(2)
Rende, ....................................
Firma
Responsabile del trattamento
17
Riguardo ai criteri ed alle procedure di salvataggio e di ripristino dei dati relativi a banche dati (es.
Datawarehouse, Uniwex ecc.) residenti su sistemi server centralizzati tecnicamente gestiti dal personale
dell’Area Informatica e Telematica, le informazioni richieste dalla presente tabella saranno compilate dal
Responsabile del trattamento della stessa Area.
Ulteriori elementi per specificare i criteri e le procedure per il salvataggio e il
ripristino dei dati (Tabella 5.2)
Data base: identificare la banca, la base o l’archivio elettronico di dati interessati.
Criteri e procedure per il salvataggio dei dati: descrivere sinteticamente la tipologia di
salvataggio e la frequenza con cui viene effettuato.
Modalità di custodia delle copie: indicare il luogo fisico in cui sono custodite le copie
dei dati salvate.
Struttura o persona incaricata del salvataggio: indicare la struttura o le persone
incaricate di effettuare il salvataggio e/o di controllarne l’esito.
Tab. 5.2 – Criteri e procedure per il salvataggio dei dati (regola 19.5)
(1)
(2)
(3)
(4)
Banca dati
/ data base
/ archivio di
dati 18
Criteri e procedure per il
salvataggio dei dati
Luogo di
custodia
delle copie
Struttura o persona incaricata
del salvataggio
Rende, ....................................
Firma
Responsabile del trattamento
18
Riguardo ai criteri ed alle procedure di salvataggio e di ripristino dei dati ed al luogo di custodia delle
copie relativi a banche dati (es. Datawarehouse, Uniwex ecc.) residenti su sistemi server centralizzati
tecnicamente gestiti dal personale dell’Area Informatica e Telematica, le informazioni richieste dalla
presente tabella saranno compilate dal Responsabile del trattamento della stessa Area.
TRATTAMENTI AFFIDATI ALL’ESTERNO (regola 19.7)
Contenuti
Redigere un quadro sintetico delle attività affidate a terzi che comportano il trattamento
di dati, con l’indicazione sintetica del quadro giuridico o contrattuale (nonché
organizzativo e tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni
assunti, anche all’esterno, per garantire la protezione dei dati stessi
Informazioni essenziali
Descrizione dell’attività “esternalizzata”: indicare sinteticamente l’attività affidata
all’esterno.
Trattamenti di dati interessati: indicare i trattamenti di dati, sensibili o giudiziari,
effettuati nell’ambito della predetta attività.
Soggetto esterno: indicare la società, l’ente o il consulente cui è stata affidata l’attività, e
il ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o
responsabile del trattamento).
Descrizione dei criteri: perché sia garantito un adeguato trattamento dei dati è
necessario che la società a cui viene affidato il trattamento rilasci specifiche
dichiarazioni o documenti, oppure assuma alcuni impegni anche su base contrattuale,
con particolare riferimento, ad esempio, a:
1. trattamento di dati ai soli fini dell’espletamento dell’incarico ricevuto;
2. adempimento degli obblighi previsti dal Codice per la protezione dei dati personali;
3. rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati
personali o integrazione delle procedure già in essere;
4. impegno a relazionare periodicamente sulle misure di sicurezza adottate –anche
mediante eventuali questionari e liste di controllo- e ad informare immediatamente il
titolare del trattamento in caso di situazioni anomale o di emergenze.
Esempi validi possono essere la redazione delle buste paga; la trasmissione di dati
sanitari alle ASL ed il loro trattamento, ecc.. In tali casi è necessario descrivere:
1. l’attività affidata all’esterno;
2. i trattamenti di dati effettuati nell’ambito della suddetta attività;
3. il soggetto esterno (società, ente, consulente) cui è affidata l’attività stessa; si
consiglia di nominare tale soggetto esterno titolare o responsabile del
trattamento, mediante lettera formale recante descrizione dei criteri per il
trattamento stesso.
E’ necessario inoltre l’impegno da parte del soggetto esterno a relazionare
periodicamente sulle misure di sicurezza adottate (anche mediante questionari) e ad
informare tempestivamente il titolare del trattamento in caso di situazioni anomale o di
emergenze.
Tab. 6 – Trattamenti affidati all’esterno (regola19.7)
(1)
(2)
(3)
(4)
Descrizione
sintetica
dell’attività
esternalizzata 19
Trattamenti di dati
interessati
Soggetto
esterno 20
Descrizione dei criteri e degli
impegni assunti per l’adozione
delle misure 21
Rende, ....................................
Firma
Responsabile del trattamento
19
20
Indicare sinteticamente l’attività affidata all’esterno
Indicare la società, l’ente o il consulente cui è stata affidata l’attività, e il ruolo ricoperto agli effetti
della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento)
21
Perché sia garantito un adeguato trattamento dei dati, è necessario che il soggetto esterno a cui viene
affidato il trattamento assuma alcuni impegni su base contrattuale. In questa casella sono riportati gli
impegni contrattualmente assunti nel caso specifico
CIFRATURA DEI DATI O SEPARAZIONE DEI DATI IDENTIFICATIVI
(regola 19.8)
Contenuti
In questa sezione vanno rappresentate le modalità di protezione adottate in relazione ai
dati per cui è richiesta la cifratura o la separazione fra dati identificativi e dati sensibili,
nonché i criteri e le modalità con cui viene assicurata la sicurezza di tali trattamenti.
Questo punto riguarda solo organismi sanitari e esercenti professioni sanitarie (regola
24).
Informazioni essenziali
Trattamenti di dati: descrivere i trattamenti (le banche o le basi di) dati oggetto della
protezione
Protezione scelta: riportare la tipologia di protezione adottata, scelta fra quelle indicate
dal Codice o in base a considerazioni specifiche del titolare.
Tecnica adottata: descrivere sinteticamente, in termini tecnici ed eventualmente
organizzativi, la misura adottata. Ad esempio, in caso di utilizzo di cifratura, le modalità
di conservazione delle chiavi e le procedure di utilizzo.
Questo punto riguarda solo gli organismi sanitari ed esercenti professioni sanitarie;
devono essere descritti:
•
•
•
i trattamenti di dati oggetto della protezione;
le tipologie e gli strumenti di protezione adottati (ad es. password con 8 caratteri);
la tecnica adottata (ad es. le modalità di conservazione delle chiavi, ecc.).
Tab. 7 - Cifratura dei dati o separazione dei dati identificativi (regola 19.8)
In questa sezione debbono essere rappresentate le modalità di protezione adottate per i dati
(es. idonei a rivelare lo stato di salute) per cui è richiesta la cifratura o la separazione dagli
altri dati personali dell’interessato, nonché i criteri e le modalità con le quali viene assicurata
la sicurezza di tali trattamenti.(Questo punto riguarda gli organismi sanitari e gli esercenti
professioni sanitarie)
(1)
(2)
Trattamenti
di dati 22
Protezione scelta
(Cifratura/Separazione) 23
(3)
Tecnica adottata 24
Descrizione
Informazioni utili
Rende, ....................................
Firma
Responsabile del trattamento
22
23
24
descrivere i trattamenti (le banche o le basi di dati) oggetto della protezione
tipologia di protezione adottata
descrizione sintetica tecnica ed eventualmente organizzativa della misura adottata. Es.: in caso di
utilizzo di cifratura, le modalità di conservazione delle chiavi e le procedure di utilizzo delle stesse
Allegato 2
Nomina a Responsabile del trattamento di dati personali
(Art. 29 del D.lgs. 196/2003)
L’Università della Calabria, in qualità di “Titolare” del trattamento di dati personali
effettuati presso di essa,
NOMINA
............................................................................. 25 “Responsabile” del trattamento di
dati personali effettuati presso 26 .......................................................................................
La S.V. dovrà attenersi ai criteri previsti dalla normativa vigente sulla tutela dei dati
personali e sulle relative misure di sicurezza, anche con riferimento alle norme ed alle
modalità tecniche adottate da questa Università, disponibili nelle sezioni del portale
dell’UNICAL dedicate alla Privacy.
In particolare, si ricorda che le mansioni di un responsabile dei trattamenti di dati
personali presso l’Università della Calabria sono le seguenti:
• Nominare gli incaricati dei trattamenti, cioè individuare le persone fisiche che
dovranno effettuare i trattamenti di cui è responsabile ed autorizzarli al trattamento,
impartendo loro adeguate istruzioni e, in particolare, istruendoli sulle misure di
sicurezza per i dati personali adottate presso l’UNICAL e meglio individuate nella
sezione 4 del DPS.
• Verificare con l’ausilio degli amministratori dei sistemi informatici che le istruzioni
impartite agli incaricati siano rispettate e, in particolare, che le misure descritte nella
sezione 4 siano effettivamente adottate.
• Nominare, ove necessario, uno o più preposti alla custodia delle delle credenziali di
autenticazione (i cui compiti sono descritti nel DPS).
• Definire le modalità di accesso ai locali in cui sono custoditi dati personali, sia in
formato cartaceo sia in formato elettronico.
• In caso di trattamenti sensibili o giudiziari, inviare al Titolare le schede di cui
all’allegato 2 del DPS, opportunamente compilate con le informazioni sulle
modalità con cui vengono effettuati i trattamenti di cui è responsabile, complete di
eventuali indicazioni su particolari rischi che incombono su tali dati o su eventi che
possono averne compromesso l’integrità e/o la riservatezza.
• Informare tempestivamente il Titolare di ogni possibile aggiornamento alle
informazioni di cui al punto precedente.
• Evadere tempestivamente le richieste degli interessati o del Garante per la Privacy e
dare immediata esecuzione alle eventuali indicazioni da parte del Garante.
Rende, ................................
Il Rettore
................................
25
26
Indicare in modo preciso la persona fisica o giuridica da nominare
Indicare la struttura (centro, dipartimento, etc.) presso la quale sono effettuati i trattamenti di cui si
sta nominando il responsabile
Allegato 3
Nomina individuale ad Incaricato del trattamento di dati personali
(Art. 30 del D.lgs. 196/2003)
Il sottoscritto Prof./Dott. ............................................... in qualità di “Responsabile” del
trattamento di dati personali effettuati presso ............................................... (indicare
Facoltà, Dipartimento, Centro, Area,Ufficio, ecc.),
NOMINA
il Prof./Dott./Sig. .......................................................... in servizio presso il/la
..................................................... quale “Incaricato” del trattamento di dati personali,
autorizzandolo al trattamento delle seguenti tipologie di dati:
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
(descrivere l’ambito del trattamento consentito ai singoli incaricati come previsto dall’art. 30 del D.lgs
196/2003), contenuti in atti e documenti riguardanti archivi di tipo cartaceo o effettuati con strumenti
automatizzati e/o contenuti nelle eventuali banche dati elettroniche automatizzate).
La S.V. dovrà attenersi ai criteri previsti dalla normativa vigente sulla tutela dei dati
personali e sulle misure di sicurezza relative, anche con riferimento alle norme ed alle
modalità tecniche adottate da questa Università, disponibili nelle sezioni del portale
dell’UNICAL dedicate alla Privacy.
Al riguardo, la S.V. si impegna ad effettuare il trattamento dei dati di competenza
osservando le istruzioni per il trattamento dei dati allegate alla presente ed in ogni altra
indicazione che potrà essere fornita dal Responsabile del trattamento.
Rende, ................................
Il Responsabile del trattamento
................................
Rende, ................................
L’Incaricato del trattamento
................................
Allegato 4
Nomina collettiva ad Incaricato del trattamento dei dati personali
(docenti/ricercatori)
(Art. 30 del D.lgs.196/2003)
Il sottoscritto Prof. ................................ Preside della Facoltà di ................................ in
qualità di “Responsabile” del trattamento di dati personali effettuati presso la stessa
Struttura
NOMINA
il personale docente e/o ricercatore, individualmente menzionato nell’unito elenco,
“Incaricato” del trattamento di dati personali relativi allo svolgimento della propria
attività istituzionale, contenuti in atti e documenti di tipo cartaceo o trattati con
strumenti automatizzati e/o contenuti nelle eventuali banche dati elettroniche
automatizzate.
Le SS.LL. dovranno attenersi ai criteri previsti dalla normativa vigente sulla tutela dei
dati personali e sulle misure di sicurezza relative, anche con riferimento ai regolamenti
ed alle modalità tecniche adottate da questa Università, disponibili nelle sezioni del
portale dell’UNICAL dedicate alla Privacy.
Al riguardo, le SS.LL si impegnano ad effettuare il trattamento dei dati di competenza
osservando le istruzioni per il trattamento dei dati allegate alla presente ed in ogni altra
indicazione che potrà essere fornita dal Responsabile del trattamento.
Rende, ................................
Il Responsabile del trattamento
................................
ELENCO NOMINATIVO
Gli Incaricati
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
Firma
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
_____________________________
Allegato 5
Nomina ad Amministratore di Sistema
(D.lgs.196/2003)
Il sottoscritto Prof./Dott. ................................ in qualità di “Responsabile” del
trattamento di dati personali effettuati presso ................................ (indicare Facoltà,
Dipartimento, Centro, Area,Ufficio, ecc.), con riferimento ai Sistemi Informatici
operanti presso la sede ................................ (indicare l’ubicazione),
NOMINA
il Dott./Sig. ................................ in relazione alle mansioni dal medesimo svolte ed in
considerazione delle specifiche competenze ed esperienze acquisite, quale
“Amministratore di Sistema”.
In relazione al Suo incarico di “Amministratore di sistema”, Lei sovrintenderà alle
risorse dei sistemi operativi e/o dei sistemi di base dati, di tutti gli elaboratori in uso
presso la sede menzionata e ne consentirà l’utilizzazione.
Lei sarà tenuto a compilare, per ogni Sua credenziale di accesso agli elaboratori in uso,
la scheda riservata (All. 7) relativa all’indicazione della parola chiave prescelta,
consegnandola al “Preposto” alla custodia delle medesime.
In particolare, sarà Suo specifico compito:
1. Attribuire a ciascun incaricato del trattamento, un codice identificativo personale per
l’utilizzazione dell’elaboratore; uno stesso codice non potrà neppure in tempi
diversi, essere assegnato a persone diverse;
2. Assegnare e gestire i codici identificativi personali prevedendone la disattivazione
nel caso di perdita della qualità che ne consente l’accesso all’elaboratore, ovvero nel
caso di loro mancato utilizzo per un periodo superiore a sei mesi;
3. Disporre ogni opportuna misura e ogni adeguata verifica, per evitare che soggetti
non autorizzati possano avere accesso agli archivi delle parole chiave se leggibili;
4. Provvedere affinché gli elaboratori del sistema informativo siano protetti contro il
rischio di intrusione ad opera di programmi di cui all’art. 615 quinquies cod.pen.,
mediante idonei programmi la cui efficacia ed aggiornamento siano verificati con
cadenza almeno semestrale;
5. Assistere il Responsabile del trattamento in particolare per quanto concerne l’analisi
dei rischi presso la propria Struttura e per le informazione che il Responsabile è
tenuto ad inviare al Titolare per la stesura annuale del Documento Programmatico
sulla Sicurezza (DPS).
Rende, ................................
Il Responsabile del trattamento
................................
Rende, ................................
L’Amministratore di Sistema
................................
Allegato 6
Nomina a Preposto alla custodia delle credenziali di
autenticazione
(D.lgs. 196/2003)
(punto 10 dell’all. B “Disciplinare tecnico in materia di misure minime di sicurezza”)
Il sottoscritto Prof./Dott. ................................ in qualità di “Responsabile” del
trattamento di dati personali effettuati presso ................................ (indicare Facoltà,
Dipartimento, Centro, Area,Ufficio, ecc.), con riferimento con riferimento al punto 10
dell’allegato B - Disciplinare tecnico in materia di misure minime di sicurezza - del
“Codice in materia di protezione dei dati personali” che individua la figura del
“Preposto alla custodia delle credenziali di autenticazione”
NOMINA
Il Dott./Sig. ................................ in servizio presso la ................................ quale
“Preposto” alla custodia delle credenziali di autenticazione.
In relazione al Suo incarico di “Preposto alla custodia delle credenziali di
autenticazione”, Lei svolgerà i seguenti compiti:
•
•
Custodire, per un eventuale accesso di emergenza, la busta chiusa, controfirmata
contenente la scheda riservata (All. 7) utilizzata dal singolo incaricato per indicare la
parola chiave dallo stesso prescelta o una copia della parte privata della credenziale
di autenticazione (nel caso essa non sia una parola chiave ma, ad esempio, un
dispositivo elettronico);
Informare tempestivamente l’incaricato la cui busta riservata sia stata aperta per
effettuare in sua assenza interventi indispensabili ed indifferibili.
Rende, ................................
Il Responsabile del trattamento
................................
Rende, ................................
Il Preposto alla custodia
delle credenziali di autenticazione
................................
Allegato 7
Scheda riservata
Custodia credenziali di autenticazione
Persona:
______________________
_____________________
______________
(nome)
(cognome)
(data di nascita)
Credenziale
Tipo macchina:
__________________________
(Personal Computer, Server, Work Station, ecc.)
Nome macchina:
Sistema Operativo:
Indirizzo IP:
Applicazione:
Nome-utente (username):
Parola chiave (password):
Rende, ................................
__________________________
__________________________
__________________________
__________________________
__________________________
__________________________
Allegato 8
Istruzioni per gli Incaricati del trattamento di dati personali
In ottemperanza alle disposizioni del Codice in materia di protezione dei dati personali
(D.Lgs 196/03) ed in relazione alle attività svolte nell’ambito della Struttura
universitaria di appartenenza, l’Incaricato, dovrà effettuare i trattamenti di dati
personali di competenza attenendosi scrupolosamente alle seguenti istruzioni ed ad ogni
ulteriore indicazione, anche verbale, che potrà essere fornita dal Responsabile del
trattamento che lo ha nominato.
I dati personali devono essere trattati:
a. in osservanza dei criteri di riservatezza;
b. in modo lecito e secondo correttezza;
c. per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono
stati raccolti o successivamente trattati;
d. nel pieno rispetto delle misure minime di sicurezza, custodendo e controllando i dati
oggetto di trattamento in modo da evitare i rischi, anche accidentali, di distruzione o
perdita, di accesso non autorizzato o di trattamento non consentito o non conforme
alle finalità della raccolta.
Le misure minime di sicurezza (di cui agli artt. 33 – 36 ed allegato B del citato Dlgs.
196/03) sono obbligatorie e sono distinte in funzione delle seguenti modalità di
trattamento dei dati:
1. senza l’ausilio di strumenti elettronici (es.: dati in archivi cartacei);
2. con strumenti elettronici (es.: Personal Computer).
1.
TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI
•
I documenti contenenti dati personali, devono essere custoditi in modo da non
essere accessibili a persone non incaricate del trattamento (es. armadi o cassetti
chiusi a chiave).
•
I documenti contenenti dati personali che vengono prelevati dagli archivi per
l’attività quotidiana devono esservi riposti a fine giornata.
•
I documenti contenenti dati personali non devono rimanere incustoditi su
scrivanie o tavoli di lavoro.
•
Le misure di sicurezza applicate alle copie o alle riproduzioni dei documenti
contenenti dati personali devono essere identiche a quelle applicate agli
originali.
•
I dati personali non devono essere condivisi, comunicati o inviati a persone, a
meno che ciò non sia parte integrante del trattamento per il quale si è stati
autorizzati.
•
Qualora sia necessario distruggere i documenti contenti dati personali, questi
devono essere distrutti utilizzando gli appositi apparecchi “distruggi documenti”
o, in assenza, devono essere sminuzzati in modo da non essere più
ricomponibili.
•
I supporti magnetici od ottici contenenti dati personali devono essere cancellati
prima di essere riutilizzati. Se ciò non è possibile, essi devono essere distrutti.
Ulteriori istruzioni in caso di trattamento di dati sensibili e/o giudiziari
•
I documenti contenenti dati sensibili e/o giudiziari devono essere controllati e
custoditi dagli Incaricati in modo che non vi accedano persone prive di
autorizzazione. Ad esempio, la consultazione di documenti/certificati per
l’inserimento in procedure informatiche di gestione/amministrazione del
personale di dati relativi a permessi sindacali, assenze per malattie ecc., deve
avvenire per il tempo strettamente necessario alla digitazione stessa e, subito
dopo, i documenti devono essere archiviati in base alle presenti istruzioni.
•
L’archiviazione dei documenti cartacei contenenti dati sensibili e/o giudiziari
deve avvenire in locali ad accesso controllato, utilizzando armadi o cassetti
chiusi a chiave.
•
Per accedere agli archivi contenenti dati sensibili e/o giudiziari fuori orario di
lavoro è necessario ottenere una preventiva autorizzazione da parte del
Responsabile oppure farsi identificare e registrare su appositi registri.
2.
TRATTAMENTI CON STRUMENTI ELETTRONICI
•
Il trattamento di dati personali con strumenti elettronici è consentito solo agli
incaricati in possesso di credenziali che consentano il superamento di una
procedura di autenticazione relativa ai trattamenti per i quali sono stati
autorizzati.
•
Le credenziali di autenticazione consistono in un codice per l'identificazione
dell'incaricato associato a una parola chiave riservata conosciuta solamente dal
medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo
dell'incaricato, eventualmente associato a un codice identificativo o a una parola
chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente
associata a un codice identificativo o a una parola chiave.
•
Ad ogni incaricato sono assegnate o associate individualmente una o più
credenziali per l'autenticazione.
•
L’incaricato è responsabile della segretezza della componente riservata della sua
credenziale e/o della custodia dei dispositivi di autenticazione in suo possesso.
•
La parola chiave, quando è prevista dal sistema di autenticazione, è composta da
almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo
permetta, da un numero di caratteri pari al massimo consentito; essa non
contiene riferimenti agevolmente riconducibili all'incaricato (es., il nome) ed è
modificata da quest'ultimo al primo utilizzo e poi almeno ogni tre mesi.
•
Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad
altri incaricati, neppure in tempi diversi.
•
Le credenziali di autenticazione non utilizzate da almeno sei mesi sono
disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione
tecnica.
•
Una credenziale è disattivata anche nel caso in cui un incaricato non sia più
autorizzato ad effettuare uno dei trattamenti a cui tale credenziale dava accesso.
•
Gli incaricati consegnano al preposto per la custodia delle credenziali una busta
chiusa per ogni loro credenziale di autenticazione, contenente la parte riservata
di tale credenziale, ovvero inviano al preposto un documento crittografato con la
medesima informazione. Nel caso di documenti crittografati, il preposto dovrà
avere la chiave necessaria a decrittografare le informazioni sulla credenziale,
ove necessario (si veda la descrizione dei compiti del preposto, nella precedente
sezione).
•
Gli incaricati non dovranno mai lasciare incustodito e accessibile il proprio
terminale durante una sessione di trattamento. Dovendosi allontanare
temporaneamente avranno cura di chiudere la sessione o avviare un
salvaschermo con password, o altre misure che richiedano per l’accesso una
procedura di autenticazione di sicurezza almeno pari a quella che permette di
identificare l’incaricato su quel terminale.
•
Nel caso di trattamento di dati con Personal Computer (PC), gli incaricati
verificano che il PC a loro assegnato sia dotato di un programma antivirus e di
un programma per la protezione da spyware aggiornati almeno semestralmente
(possono anche essere parte di uno stesso prodotto informatico).
•
L’Area Informatica e Telematica rende costantemente disponibili sulla rete
telematica interna dell’UNICAL i suddetti prodotti, corredati delle informazioni
per l’installazione e l’aggiornamento degli stessi.
•
L’Area Informatica e Telematica mette anche a disposizione nello stesso sito un
prodotto per la crittografia e per la cancellazione fisica di documenti (per
esempio, il programma freeware PGP che integra entrambe le funzionalità), che
possono essere utilizzati per la gestione sicura delle credenziali e per la
distruzione di dati personali che non occorre più trattare.
3. ISTRUZIONI DI CARATTERE GENERALE
Come scegliere e usare la password (Regole sulla costruzione ed utilizzo delle
password)
•
Usare almeno 8 caratteri, o nel caso in cui lo strumento elettronico non lo permetta,
usare un numero di caratteri pari al massimo consentito.
•
Usare lettere, numeri e almeno un carattere tra . ; $ ! @ - > <
•
Non utilizzare date di nascita, nomi o cognomi propri o di parenti
•
Non sceglierla uguale alla matricola o alla user-id
•
Custodirla sempre in un luogo sicuro e non accessibile a terzi
•
Non divulgarla a terzi
•
Non condividerla con altri utenti
Come comportarsi in presenza di ospiti o di personale di servizio
•
Fare attendere gli ospiti in luoghi in cui non siano presenti informazioni riservate o
dati personali.
•
Se è necessario allontanarsi dalla scrivania in presenza di ospiti, riporre i documenti
e attivare il salvaschermo del PC .
•
Non rivelare o fare digitare le password dal personale di assistenza tecnica.
•
Non rivelare le password al telefono né inviarla via fax - nessuno è autorizzato a
chiederle.
•
Segnalare qualsiasi anomalia o stranezza al Responsabile.
Molti pericoli arrivano per Posta elettronica
•
Non aprire messaggi con allegati di cui non si conoscono l’origine, possono
contenere virus in grado di cancellare i dati sul PC.
•
Evitare di aprire filmati e presentazioni non attinenti l’attività lavorativa per evitare
situazioni di pericolo per i dati contenuti sul vostro PC.
Allegato 9
INFORMATIVA SUL TRATTAMENTO DI DATI PERSONALI
(art. 13 del D.lgs. 30 giugno 2003, n. 196 – “Codice in materia di protezione dei dati personali”)
I trattamenti di dati personali di cui l’Università della Calabria è “Titolare” ai sensi del
D.lgs 30 giugno 2003 n. 196, possono essere distinti nelle seguenti tipologie:
A. Gestione del rapporto di lavoro del personale docente, dirigente, tecnicoamministrativo, dei collaboratori esterni e dei soggetti che intrattengono altri
rapporti di lavoro diversi da quello subordinato;
B. Attività di ricerca scientifica;
C. Attività didattica e gestione delle iscrizioni e delle carriere degli studenti;
D. Gestione del contenzioso giudiziale, stragiudiziale e attività di consulenza;
E. Gestione Amministrativa e Contabile.
L’Università della Calabria effettua tali trattamenti al solo fine di svolgere le
proprie attività istituzionali.
Qualora l’Università venga a conoscenza, ad opera dell’interessato o, comunque, non a
richiesta dell’Ateneo, di dati sensibili o giudiziari non indispensabili allo svolgimento
dei fini istituzionali sopra citati, tali dati, ai sensi degli artt. 11 e 22 del D.lgs. n.
196/2003, non potranno essere utilizzati in alcun modo, salvo che per l’eventuale
conservazione, a norma di legge, dell’atto o del documento che li contiene. Per maggiori
informazioni in merito e per i riferimenti legislativi che specificano le finalità di
rilevante interesse pubblico perseguite, si veda il Regolamento per il trattamento dei
dati sensibili e giudiziari adottato dall’Università della Calabria e approvato
dall’Autorità Garante per la Privacy, disponibile sul portale http://www.unical.it nella
sezione dedicata alla privacy.
I dati trattati possono essere sia in formato cartaceo sia in formato elettronico.
I dati conferiti all’Università della Calabria sono indispensabili per lo
svolgimento delle proprie attività istituzionali.
Un eventuale rifiuto di fornire tali dati non permette pertanto all’Università di
fornire i propri servizi e/o corrispettivi e/o agevolazioni.
I trattamenti sono effettuati sotto la responsabilità dei dipendenti dell’Università
della Calabria o di altri soggetti che effettuano trattamenti per conto di essa, quali la
C.M.D. Sud s.r.l., per i dati relativi alla sorveglianza sanitaria dei lavoratori, il consorzio
universitario CINECA, per i dati relativi alla gestione degli stipendi dei dipendenti e
l’Istituto di Vigilanza “La Torpedine” per il trattamento dei dati acquisiti attraverso il
sistema di Videosorveglianza, meglio descritto nell’apposito regolamento disponibile
sul portale dell’Università.
Il Responsabile per le relazioni con il pubblico è il Direttore Amministrativo,
presso il quale sono disponibili gli elenchi completi dei responsabili dei diversi
trattamenti a cui fare riferimento in caso di necessità.
Si noti che operazioni di interconnessione, raffronto e comunicazione di dati
sono ammesse soltanto se indispensabili allo svolgimento degli obblighi o compiti di
volta in volta indicati, per il perseguimento delle rilevanti finalità di interesse pubblico
specificate e nel rispetto delle disposizioni rilevanti in materia di protezione dei dati
personali, nonché degli altri limiti stabiliti dalla legge e dai regolamenti.
In particolare, per i dati relativi al personale docente, tecnico, amministrativo e ai
collaboratori esterni, tali dati potranno essere comunicati ad Istituti previdenziali,
assistenziali ed assicurativi, INAIL, Società assicuratrici, Avvocatura dello Stato,
nonché alle Forze di polizia dello Stato e ad eventuali Responsabili esterni del
trattamento dei dati, limitatamente agli scopi istituzionali ed al principio di pertinenza
per i quali verranno trattati e limitatamente alla sola durata del rispettivo trattamento per
il quale sono stati chiesti.
Si ricordano infine i diritti di cui l’interessato gode ai sensi dell’art. 7 del Dlgs. N.
196/2003:
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali
che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma
intelligibile.
2. L'interessato ha diritto di conoscere:
a) l'origine dei dati personali;
b) le finalità e modalità del trattamento;
c) la logica applicata in caso di trattamento effettuato con l'ausilio di strumenti
elettronici;
d) gli estremi identificativi del titolare, dei responsabili e del rappresentante
designato ai sensi dell'articolo 5, comma 2;
e) i soggetti o le categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualità di rappresentante
designato nel territorio dello Stato, di responsabili o incaricati.
3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse,
l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati
trattati in violazione di legge, compresi quelli di cui non è necessaria la
conservazione in relazione agli scopi per i quali i dati sono stati raccolti o
successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a
conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati
sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si
rivela impossibile o comporta un impiego di mezzi manifestamente
sproporzionato rispetto al diritto tutelato.
4. L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano,
ancorchè pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale
pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di
comunicazione commerciale.
Allegato 10
INFORMATIVA SUL TRATTAMENTO DI DATI PERSONALI
EFFETTUATO PRESSO IL CENTRO SANITARIO
(art. 13 del D.lgs. 30 giugno 2003, n. 196 – “Codice in materia di protezione dei dati personali”)
Il titolare del trattamento dei dati personali a cui si fa riferimento nella presente
informativa è L’Università della Calabria, avente sede legale in via Bucci, Arcavacata di
Rende (CS).
Il Responsabile per tali trattamenti è il Presidente del Centro Sanitario e gli incaricati
sono coloro che operano presso tale struttura.
Il Centro Sanitario svolge le seguenti attività: laboratorio accreditato con la Regione
Calabria per chimica clinica e tossicologia, e metodiche RIA; osservatorio
epidemiologico regionale gozzo endemico; Centro Regionale diagnosi e terapia
nanismo ipofisario; servizio di Counseling Psicologico; Servizio di Informazione sulle
Dipendenze; servizio consultoriale ginecologico; servizio donazione sangue in
collaborazione con l'AVIS; Progetto Donna UNICAL.
a) Finalità e modalità del trattamento cui sono destinati i dati.
1) Il Centro Sanitario tratta sia i dati personali ad esso forniti dall’interessato sia
quelli che possono essere conosciuti nel corso del trattamento (informazioni sullo stato
di salute dell’interessato), al fine di effettuare il servizio richiesto dall’interessato e con
il consenso scritto dell’interessato stesso.
Eventuali informazioni inattese che possono essere conosciute a fronte dei dati ottenuti
nel corso di tale prestazione non vengono trattati dal Centro Sanitario, a meno che
l’interessato non ne faccia esplicita richiesta scritta e ciò non sia in violazione di
qualche norma di legge.
2) Il Centro Sanitario può inoltre trattare alcuni tipi di dati per scopi di ricerca
scientifica, anche statistica, finalizzata alla tutela della salute dell’interessato, di terzi o
della collettività, in campo medico, biomedico o epidemiologico, allorché si debbano
intraprendere indagini su interventi sanitari di tipo diagnostico, terapeutico o preventivo,
o sulle relazioni tra i fattori di rischio e la salute umana. Il trattamento successivo alla
raccolta dei dati per questa finalità avviene in forma anonima e non permette di
identificare l’interessato anche indirettamente, salvo che l’abbinamento dei dati
identificativi al materiale di ricerca sia temporaneo ed essenziale per il risultato della
ricerca e sia motivato per iscritto. In ogni caso i risultati della ricerca non possono
essere diffusi, se non in forma anonima. Anche in questi casi, il trattamento è
subordinato al consenso scritto dell’interessato.
Tutti i trattamenti effettuati, anche in forma elettronica, sono conformi a quanto previsto
dalla normativa in materia e, in particolare, sono garantiti i requisiti minimi di sicurezza
per la conservazione sicura dei dati (ove prevista dal trattamento) e per la loro
protezione da accessi non autorizzati o non conformi alle finalità del trattamento.
b) Consenso al trattamento dei dati.
Il conferimento dei dati ed il consenso al loro trattamento per la finalità di cui al
punto 1 sopra descritto sono essenziali per effettuare la prestazione richiesta
dall’interessato. Pertanto il Centro Sanitario non potrà fornire tali prestazioni in
assenza di tale consenso.
In particolare, l’interessato che richiede un servizio al Centro Sanitario viene invitato a
firmare la seguente dichiarazione:
“Dichiaro di aver preso visione dell’informativa sul trattamento dei dati
personali effettuato dal Centro Sanitario dell’Università della Calabria e di
fornire pertanto il consenso al trattamento dei dati di mia pertinenza finalizzata
all’erogazione della prestazione da me richiesta, per come descritto al punto 1
della suddetta informativa.”
Il consenso al trattamento dei dati in forma anonima per le finalità di ricerca scientifica
e con le modalità descritte al punto 2 è invece facoltativo e non preclude al Centro
Sanitario la possibilità di fornire la prestazione richiesta dall’interessato.
Chi desidera fornire tale consenso può firmare la seguente dichiarazione:
“Dichiaro di fornire il consenso al trattamento dei dati di mia pertinenza per
scopi di ricerca scientifica, per come descritto al punto 2 dell’informativa sul
trattamento dei dati personali, di cui ho preso visione. In particolare, la
diffusione di tali dati non potrà avvenire se non in forma anonima. Sono
consapevole che la presente dichiarazione è facoltativa e non preclude
l’espletamento di eventuali prestazioni da me richieste al Centro Sanitario.”
c) Soggetti o categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza.
I dati trattati dal Centro Sanitario con le finalità di cui al punto 1) possono essere
conosciuti solo dagli incaricati del trattamento non possono essere diffusi e sono
comunicati solo all’interessato.
I dati trattati dal Centro Sanitario per le finalità scientifiche e con le modalità di cui al
punto 2), ove l’interessato abbia dato il suo consenso a questo tipo di trattamento,
possono essere diffusi nell’ambito di pertinenza delle ricerche scientifiche per le quali
sono stati trattati e solo in forma anonima, nella stretta osservanza dei limiti e delle
finalità di tali ricerche.
d) Diritti dell’interessato.
L’art. 7 del Dlgs. N. 196/2003 conferisce all’interessato il diritto di conoscere tutte le
notizie relative al trattamento dei suoi dati e che il titolare descrive nella presente
informativa.
In particolare si ricorda che l’interessato ha diritto di ottenere:
i) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione
dei dati;
ii) la cancellazione, la trasformazione in forma anonima o in blocco dei dati
trattati in violazione di legge, compresi quelli di cui non è necessaria la
conservazione in relazione agli scopi per i quali i dati sono stati raccolti o
successivamente trattati;
iii) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a
conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati
sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si
rivela impossibile o comporta un impiego di mezzi manifestamente
sproporzionato rispetto al diritto tutelato.
L’interessato ha diritto di opporsi in tutto o in parte per motivi legittimi al trattamento
dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta.