ISTITUTO NAZIONALE PER LA FISICA DELLA MATERIA

DECRETO 6 dicembre 1999

Regolamento per la disciplina del trattamento e dei casi di comunicazione e diffusione dei dati personali ai sensi dell'art. 27 della legge n. 675/1996 e successive modificazioni dell'Istituto.

(Pubblicato sulla GU n. 304 del 29-12-1999

Il Presidente

Visto l'art. 8, commi 4 e 5, della legge 9 maggio 1989, n. 168;

Visti gli articoli 5 e 6, comma 2, del decreto legislativo 30 giugno 1994, n. 506;

Visto l'art. 27 della legge 31 dicembre 1996, n. 675;

Vista la particolare autonomia organizzativa e regolamentare riconosciuta agli enti di ricerca a carattere non strumentale; Considerata la necessità di individuare, ai sensi dell'art. 27, commi 2 e 3, i soggetti cui è possibile comunicare o diffondere dati personali, per scopi comunque compatibili con le finalità istituzionali dell'ente e con quelle che legittimano la raccolta degli stessi e le successive operazioni, ai sensi dell'art. 1, comma 2, lettera b), della legge n. 675/1996;

Vista la delibera n. 560/1999 del 23 luglio 1999 ad oggetto "Regolamento per la disciplina del trattamento e dei casi di comunicazione e diffusione dei dati personali" con cui il consiglio direttivo ha approvato il regolamento di cui trattasi;

Vista la lettera protocollo n. 1532/99/REG del 28 luglio 1999 con cui il suddetto regolamento è stato trasmesso al Ministero dell'università e della ricerca scientifica e tecnologica per il previsto controllo di legittimità e di merito;

Constatata l'assenza di rilievi da parte degli organi vigilanti;

Decreta:

1. L'emanazione del regolamento per la disciplina del trattamento e dei casi di comunicazione e diffusione dei dati personali ai sensi dell'art. 27 della legge n. 675/1996 e successive modificazioni dell'Istituto nazionale per la fisica della materia.

2. La trasmissione del suddetto regolamento e del presente decreto al Ministero della giustizia per la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Genova, 6 dicembre 1999

Il presidente
Calandra Buonaura

Regolamento per la disciplina del trattamento e dei casi di comunicazione e diffusione dei dati personali ai sensi dell'art. 27 della legge n. 675/1996 e successive modificazioni.

Art. 1.
Oggetto e definizioni

Il presente regolamento disciplina il trattamento dei dati personali in seno all'INFM per lo svolgimento delle finalità di cui all'articolo 2, in attuazione della legge 31 dicembre 1996, n. 675 e successive modificazioni: in particolare vengono definiti i profili organizzativi e le responsabilità e disciplinati i casi e le modalità di comunicazione e diffusione dei dati personali.

Ai fini del presente regolamento si intende per:

a) "legge": la legge 31 dicembre 1996, n. 675 "Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali" (e successive modifiche);

b) "manuale": il manuale del trattamento dell'INFM, strumento tecnico di gestione del processo del trattamento dei dati personali;

c) "spin-off": le attività di ricerca ovvero entità produttive indipendenti, finalizzate allo sfruttamento dei risultati conseguiti in un particolare ramo della ricerca o fornitura di servizi ad alto contenuto tecnologico;

d) per le definizioni di banca dati, trattamento, dato personale, titolare, responsabile, interessato, si fa riferimento a quanto previsto dall'art. 1 comma 2 della legge 31 dicembre 1996, n. 675.

Art. 2.
Finalità istituzionali

Per finalità istituzionali, legittimanti il trattamento dei dati personali ai sensi dell'art. 27 comma 1 della legge, si intendono i compiti definiti dall'art. 2 del decreto legislativo 30 giugno 1994, n. 506, e successive modificazioni; in particolare:

a) attività di promozione, programmazione, coordinamento ed effettuazione di ricerche di base e tecnologiche nel campo della fisica della materia e nei campi affini, secondo quanto previsto da leggi e regolamenti;

b) le funzioni di cui alla lettera precedente svolte in sinergia con le università, gli altri enti di ricerca, il sistema industriale, sia a livello nazionale, sia internazionale;

c) L'INFM collabora con le università, gli istituti pubblici e privati per la formazione dei dottorandi, dei ricercatori e di esperti nei settori di attività dell'Istituto.

I servizi di spin-off presuppongono attività di raccolta e trattamento di dati anche personali finalizzate alla promozione e al sostegno dell'occupazione e delle iniziative imprenditoriali, secondo le modalità descritte nel manuale di cui all'art. 7 e con i limiti di cui all'art. 9 della legge.

Rientrano altresì nell'esercizio delle finalità istituzionali tutte le attività di trattamento di dati svolte a seguito della stipulazione di convenzioni, accordi e intese, sia con enti pubblici, sia con privati, ai sensi dell'art. 2 comma 4 del decreto legislativo 30 giugno 1994, n. 506.

Art. 3.
Trattamento dei dati

Il trattamento dei dati, la formazione e la comunicazione di documenti e atti avvengono di norma con strumenti informatici e telematici, secondo criteri e principi definiti nel decreto del Presidente della Repubblica n. 513/1997 e relative norme tecniche di attuazione, al fine di garantire la trasparenza e pubblicità dell'azione, nonchè l'efficienza e l'efficacia della stessa.

Nelle ipotesi in cui la legge o i regolamenti prevedano pubblicazioni obbligatorie, e comunque in tutti i casi di diffusione di dati, occorre adottare le misure eventualmente necessarie per garantire la riservatezza dei dati sensibili, ai sensi dell'art. 22 della legge, e valutare la pertinenza e non eccedenza dei dati stessi, nonchè la necessità rispetto alle finalità di cui all'art. 2 del presente regolamento.

Art. 4.
Titolare e responsabili del trattamento

Titolare del trattamento, ai sensi dell'art. 1 della legge, è l'Istituto nazionale per la fisica della materia (INFM).

Il presidente, con specifico atto, nomina responsabile del trattamento il direttore generale, impartendogli direttive, ai sensi dell'art. 8 della legge.

Il direttore, preposto all'organizzazione gestionale, svolge compiti di coordinamento e di controllo; in particolare:

a) assicura l'unità operativa e di indirizzo impartendo istruzioni per la corretta gestione e tutela dei dati personali, nonchè per la salvaguardia della loro integrità e sicurezza;

b) verifica la rispondenza delle attività svolte dai responsabili di cui al comma 4 rispetto alle istruzioni impartite;

c) riferisce annualmente al presidente sulle attività di trattamento svolte in seno all'istituto, provvedendo a segnalare le eventuali modifiche al presente regolamento.

Il presidente nomina altresì responsabili, per i trattamenti di dati di loro competenza, le unità di ricerca (UDR), preposte allo svolgimento e al coordinamento dell'attività dell'INFM in sede decentrata, e i laboratori, che hanno il fine di realizzare e gestire strutture di ricerca accessibili a tutti i partecipanti alle attività dell'Istituto e di fornire supporto a progetti di ricerca.

I responsabili svolgono le operazioni di trattamento di propria competenza in linea con le direttive contenute nell'atto di nomina e secondo le istruzioni impartite dal direttore generale.

Possono altresì essere nominati responsabili, secondo le forme e le modalità descritte nel manuale, anche soggetti, enti, organizzazioni che svolgano a vario titolo operazioni di trattamento di dati personali in nome e per conto dell'Istituto. La nomina dovrà avvenire in sede di stipulazione di convenzioni, accordi, intese o contratti.

Art. 5.
Incaricati del trattamento

Il direttore generale, nonchè i responsabili del trattamento, in relazione alle strutture e alle attività di propria competenza, nominano incaricati del trattamento i soggetti che svolgono le singole operazioni, di cui all'art. 1, comma 2, lettera b), della legge, impartendo loro istruzioni scritte, ai sensi dell'art. 8, comma 5, della legge e secondo le modalità e i modelli di riferimento allegati al manuale, di cui all'art. 7 del presente regolamento.

Possono essere nominati incaricati, nelle forme di cui all'art. 4, comma 6, anche soggetti esterni, che svolgano attività di trattamento dei dati personali in nome e per conto e sotto la diretta autorità dell'INFM.

Art. 6.
Gruppo di lavoro privacy

È istituito il Gruppo di lavoro privacy (di seguito gruppo privacy), organo di staff del direttore generale, operante sulla base delle direttive e istruzioni dallo stesso impartite, secondo quanto specificato nel manuale.

È composto da un numero variabile di soggetti (da un minimo di cinque a un massimo di dieci) nominati dal direttore tra personale adeguatamente formato e che per esperienza, capacità ed affidabilità fornisca idonea garanzia del rispetto delle disposizioni vigenti in materia di trattamento di dati personali. Si riunisce con cadenza almeno quadrimestrale e provvede:

a) alla verifica delle attività connesse al trattamento, riferendo al direttore generale sulle necessità di interventi organizzativi e/o di ordine tecnico;

b) alla promozione di iniziative di informazione e di formazione del personale in base alle novità occorse;

c) alla cura e all'aggiornamento del manuale, proponendo modifiche al direttore generale, che procederà alla verifica e approvazione delle stesse, secondo gli indirizzi ricevuti dal titolare.

Art. 7.
Manuale del trattamento dei dati personali

Il manuale è uno strumento tecnico e costituisce il documento fondamentale di riferimento per la gestione dell'attività del trattamento dei dati personali, sia in termini di controllo del processo, sia per garantire la qualità dei dati, ai sensi dell'art. 9 della legge: vengono in esso specificate e descritte le attività svolte, le istruzioni impartite ai responsabili e agli incaricati, gli obblighi e gli adempimenti necessari, nonchè le misure di sicurezza adottate dall'ente ai sensi dell'art. 15 della legge.

Il manuale è distribuito dal gruppo privacy anche per via telematica ai responsabili del trattamento, che provvederanno a consegnarlo ad ogni incaricato con le forme più idonee a garantirne la massima conoscenza.

Il manuale è sottoposto a revisione annuale da parte del gruppo privacy e comunque ogni volta che si renda necessario. Possono proporre altresì delle modifiche al gruppo privacy i responsabili e incaricati del trattamento, ogni volta che lo riterranno opportuno: si procederà secondo quanto previsto all'art. 6, comma 3, lettera c).

Art. 8.
Comunicazione dei dati

Per comunicazione, ai sensi dell'art. 1, lettera g), della legge, si intende il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, in qualunque forma. L'INFM favorisce la trasmissione e lo scambio di informazioni e documenti alle amministrazioni pubbliche, che sviluppino in collaborazione attività connesse alle finalità istituzionali dell'ente, di cui all'art. 2, nonchè relativamente ai dati e alle informazioni necessarie al raggiungimento degli obiettivi e per l'esercizio delle attività oggetto di accordi, intese, convenzioni o simili, valutando la pertinenza e la non eccedenza dei dati comunicati rispetto alle finalità stesse.

Negli atti e provvedimenti di cui al comma precedente vengono previste le modalità e i limiti del trattamento dei dati, nonchè gli obblighi connessi all'adozione delle misure di sicurezza, secondo quanto specificato nel manuale.

Ai sensi dell'art. 27, comma 3, della legge la comunicazione di dati personali, oltre alle ipotesi specifiche previste da leggi o regolamenti, può riguardare:

a) il trasferimento ad agenzie di viaggio, hotel e alberghi, operatori turistici in genere per finalità di organizzazione e sistemazione logistica, prenotazione di biglietti e soggiorni in occasione di convegni, missioni, trasferte sia in Italia, sia all'estero di dati nominativi, indirizzi, dati contabili di ricercatori, professori, collaboratori dell'INFM, nonchè di ogni altra informazione che sia da considerarsi pertinente e non eccedente gli scopi in oggetto;

b) nominativi, indirizzi e dati professionali di partecipanti a convegni, mostre, meeting organizzati o patrocinati dall'INFM comunicati a ditte, società, espositori che ne facciano richiesta per finalità scientifiche, di collaborazione o di promozione di iniziative simili o comunque compatibili con quelle della manifestazione in oggetto, salva la possibilità degli interessati di esercitare il diritto di opposizione e le altre facoltà di cui all'art. 13 della legge;

c) curricula raccolti in sede di selezione di personale o tramite la banca dati on-line Jost comunicati a imprese, società di lavoro interinale, redazioni di giornali specializzati che li richiedano per finalità di selezione e avviamento al lavoro;

d) dati personali di dipendenti, afferenti, collaboratori e consulenti a banche e assicurazioni per finalità contabili, amministrative, di copertura dei rischi ove le stesse operazioni non siano previste da una specifica copertura normativa e comunque salvi i limiti di pertinenza e non eccedenza dei dati rispetto alle finalità in oggetto.

Art. 9.
Diffusione di dati personali

Per diffusione, ai sensi dell'art. 1, lettera h), della legge, si intende il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma.

In applicazione dei principi di cui all'art. 1 della legge n. 241/1990 e successive modificazioni, nonchè dell'art. 6, comma 4, del decreto legislativo n. 204/1998 e successive modificazioni, l'INFM promuove iniziative idonee alla diffusione delle attività di ricerca programmate e realizzate, nonchè dei relativi risultati, nel rispetto dei segreti industriali e degli eventuali diritti connessi alle creazioni intellettuali.

Per favorire i rapporti istituzionali con le UdR e con la comunità scientifica vengono diffusi in Internet e con ogni altra forma considerata idonea nominativi, indirizzo e-mail, numero di telefono e fax, nonchè qualifica del personale di sede, degli afferenti, collaboratori e simili.

I dati raccolti e registrati nella banca dati JOST e i progetti e i dati relativi agli spin-off possono essere consultati in rete da chiunque con le modalità e i limiti previsti nel manuale. Sono comunque garantiti l'aggiornamento programmato dei dati da parte dell'interessato e l'accesso controllato degli utenti.

Art. 10.
Limiti e casi di esclusione del diritto di accesso ai documenti per motivi di riservatezza

Considerati i limiti al diritto di accesso ai documenti amministrativi, per esigenze di tutela della riservatezza, di cui agli articoli 24, comma 2, lettera d), della legge n. 241/1990, sono sottratti all'accesso, salvo quanto previsto dall'art. 8 del decreto del Presidente della Repubblica n. 352/1992:

a) i rapporti informativi e le relazioni sul personale dipendente dell'INFM nelle parti in cui contengano dati idonei a rivelare opinioni di carattere religioso, politico e sindacale, ai sensi dell'art. 22 della legge n. 675/1996, o relativi a valutazioni su qualità morali delle persone;

b) documentazione relativa ad accertamenti medici e alla salute delle persone, nonchè cartelle sanitarie di rischio dei soggetti sottoposti a sorveglianza medica;

c) documentazione attinente a procedimenti o controversie legali, giudiziali, disciplinari e cautelari, nonchè atti relativi all'istruzione di ricorsi presentati dal personale dipendente, sempre che ad essi non si faccia riferimento nei provvedimenti conclusivi dei procedimenti, nonchè tutti quegli atti oggetto di vertenze giudiziarie la cui divulgazione possa compromettere l'esito dei giudizi o comporti violazione del segreto istruttorio;

d) documentazione attinente ai provvedimenti di cessazione dal servizio per causa di malattia o di invalidità;

e) segnalazioni ed atti istruttori in materia di esposti di privati, di organizzazioni di categoria o sindacali e similari limitatamente alle parti che contengono dati, informazioni e notizie su soggetti comunque identificabili;

f) documentazione, atti e progetti soggetti a segreto o privativa industriale.

Gli incaricati del trattamento e comunque coloro che per qualsiasi ragione prendono conoscenza di documenti, per i quali non è consentito l'accesso in via generale, sono tenuti al segreto; è altresì vietato diffondere od utilizzare a fini commerciali le informazioni ottenute attraverso l'esercizio del diritto di accesso o comunque per finalità non compatibili con la richiesta stessa.

È altresì sottratta all'accesso la documentazione relativa al trattamento economico individuale del personale in servizio, per la parte che contenga dati idonei a rivelare opinioni sindacali, politiche o convinzioni religiose (iscrizione al sindacato e mandato per il versamento delle quote associative, versamento del 4 per mille, devoluzione dell'8 per mille) o comunque situazioni che l'impiegato può avere interesse a mantenere segrete (ad esempio assegni o indennità personali o familiari, pignoramenti, cessione del quinto dello stipendio).

Le modalità per l'esercizio del diritto d'accesso sono specificate, in base ai principi generali di cui alla legge n. 241/1990 e al regolamento di attuazione (decreto del Presidente della Repubblica n. 352/1992), nel manuale di cui all'art. 7.

In sede di accoglimento della richiesta di accesso oltre all'interesse giuridicamente rilevante, di cui all'art. 22 della legge n. 241/1990 e successive modificazioni, occorre valutare la natura dei dati personali contenuti nei documenti richiesti, nonchè la pertinenza e la non eccedenza degli stessi, ai sensi dell'art. 9 della legge, rispetto alle finalità della richiesta avanzata.

Art. 11.
Informativa agli interessati

Le informative sono predisposte secondo le regole e i modelli

descritti nel manuale e vengono fornite in calce ai bandi e alle schede di raccolta dati, inserite negli schemi di accordo, convenzione, intesa e simili, nonchè diffuse a mezzo Internet.

Art. 12.
Misure di sicurezza

I responsabili del trattamento, di cui all'art. 4 del presente regolamento, provvedono all'adozione delle misure di sicurezza sulla base delle direttive e delle istruzioni ricevute dal presidente e dal direttore generale e in relazione ai diversi profili organizzativi. In particolare le misure di sicurezza devono prevenire:

a) i rischi di distruzione, perdita o danneggiamento delle banche dati;

b) l'accesso non autorizzato ai sistemi e ai dati;

c) il trattamento non consentito o non conforme alle finalità della raccolta.

Il manuale è corredato di istruzioni e linee guida sulla sicurezza, costituenti modelli di riferimento da valutarsi secondo i criteri di cui ai commi 1 e 2.

Le misure adottate devono essere sottoposte a controlli periodici, con cadenza annuale, da parte dei responsabili, finalizzati a valutare l'idoneità delle stesse, ai sensi dell'art. 15, comma 1, della legge.

Art. 13.
Diritti dell'interessato

Il manuale individua le modalità per l'esercizio e la concreta soddisfazione dei diritti dell'interessato di cui all'art. 13 della legge.

Art. 14.
Controlli

Il direttore generale, assistito dal gruppo privacy, dispone controlli, anche a campione, al fine di verificare la sicurezza delle banche dati e la corrispondenza delle attività di trattamento alle disposizioni di legge e del presente regolamento, nonchè alle modalità e ai criteri definiti nel manuale di cui all'art. 7.

Se del caso, a fronte di non conformità riscontrate, ai sensi del comma 1, o di intervenute novità normative, possono essere proposte al direttore generale dal gruppo privacy idonee azioni correttive e preventive, secondo le modalità di cui all'art. 6 comma 3 lettera c) del presente regolamento.

Art. 15.
Disposizioni finali

Per quanto non previsto dalle disposizioni del presente

regolamento si applicano le norme della legge 31 dicembre 1996, n. 675 e successive modificazioni, nonchè, relativamente al diritto di accesso ai documenti amministrativi e ai casi di esclusione, della legge 7 agosto 1990, n. 241 e del decreto del Presidente della Repubblica 27 giugno 1992, n. 352.

Si applicano altresì, per i casi di comunicazione e diffusione, norme e principi di cui alla legge 9 maggio 1989, n. 168, e successive modificazioni, istitutiva del Ministero dell'università e della ricerca scientifica e tecnologica, del decreto legislativo 30 giugno 1994 n. 506, istitutivo dell'Istituto nazionale per la fisica della materia e del decreto legislativo 5 giugno 1998, n. 204.

Il presente regolamento, deliberato dal consiglio direttivo ai sensi dell'art. 6 del decreto legislativo n. 506/1994, è adottato con provvedimento del presidente dell'Ente ed entra in vigore 15 giorni dopo la pubblicazione nella Gazzetta Ufficiale, acquisito il parere del MURST.