DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS) DEL

COLLEGIO PROFESSIONALE DEI TECNICI SANITARI DI RADIOLOGIA

MEDICA INTERPROVINCIALE DI PERUGIA E TERNI

Il Consiglio Direttivo del Collegio Professionale dei Tecnici sanitari di radiologia

medica Interprovinciale di Perugia e Terni, nella seduta del 21 giugno 2006 delibera ed
adotta in data odierna il presente Documento Programmatico sulla Sicurezza (DPS) per il
trattamento dei dati personali e sensibili con/senza lausilio di strumenti elettronici, che
dome previsto nellallegato B del D.Lgs. n. 196/2003 dovr essere aggiornato
annualmente entro il 31 marzo.
A) SOGGETTI DEL DOCUMENTO:
1) TITOLARE: Oscar FIORUCCI
2) RESPONSABILI:

Massimo ANGELINI
Claudio DI BARTOLOMEO
Massimo GUASTICCHI
Graziano LEPRI
Francesco MINUTILLO
Mariangela PIETRARELLI

3) INCARICATO:

Societ DATAKEY

B) ELENCO TRATTAMENTO DATI PERSONALI: dati anagrafici iscritti

C) ELENCO TRATTAMENTO DATI SENSIBILI: dati anagrafici iscritti.
Ai Responsabili (di cui al p. 2 del DPS) : Graziano LEPRI, Massimo ANGELINI, Massimo
GUASTICCHI, Mariangela PIETRARELLI, Claudio DI BARTOLOMEO e Francesco
MINUTILLO, in data 21 giugno 2006 stato affidato il compito del trattamento dati
personali e sensibili con lettera prot. n. 14/U del 22 giugno 2006.
LIncaricato (di cui al p. 3 del DPS) in data 21 giugno 2006 stato autorizzato a compiere
operazioni di trattamento con lettera prot. n. 15/U del 22 giugno 2006 e sono state fornite
le istruzioni operative (vademecum) e le principali nozioni relative al Codice in materia di
protezione dei dati personali e sensibili.
MISURE DI PROTEZIONE ADOTTATE PER EVITARE RISCHI DI DISTRUZIONE,
DANNEGGIAMENTO O PERDITA DEI DATI, ACCESSO NON AUTORIZZATO O
TRATTAMENTO NON CONSENTITO O NON CONFORME ALLA FINALITA DELLA
RACCOLTA
Computer e supporti informatici:
o parola chiave per accesso elaboratore (conosciuta solo dal Titolare e dai
Responsabili)
o periodica modifica parola chiave (3 mesi);
o aggiornamento automatico e periodico del programma antivirus
dellelaboratore;

o adozione misure idonee per il ripristino dellaccesso ai dati (password

custodita in busta chiusa; copia di sicurezza custodita).
Supporti cartacei
o i dati trattati sono conservati agli atti in apposite cartelline custodite
nellarmadio denominato archivio chiuso a chiave situato presso la sede del
Collegio;
o porta di accesso al locale ove sito larmadio archivio chiusa a chiave.
Il presente documento stato redatto in aderenza alle disposizioni di cui al D.Lgs.
30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) nonch al
disciplinare tecnico contenuto nellAllegato B del suddetto decreto.
In fede.
IL TITOLARE
Data 21 giugno 2006
Prot. n. 20/E

Allegato 1
NOMINA RESPONSABILI AL TRATTAMENTO DEI DATI PERSONALI DEGLI ISCRITTI
ALLALBO
Prot.n. 14/U
del 22 giugno 2006
Al componenti Consiglio Direttivo:
Massimo ANGELINI
Claudio DI BARTOLOMEO
Massimo GUASTICCHI
Graziano LEPRI
Francesco MINUTILLO
Mariangela PIETRARELLI
Oggetto: nomina Responsabili al trattamento dei dati personali degli Iscritti allAlbo.
Il Sottoscritto TSRM Oscar FIORUCCI nato a Perugia 8 luglio 1956, in qualit di
Titolare del trattamento dei dati del Collegio Interprovinciale di Perugia e Terni, sito in
Ponte Valleceppi di Perugia, Via Isonzo 15
NOMINO
QUALI RESPONSABILI AL TRATTAMENTO DEI DATI PERSONALI
-

Massimo ANGELINI nato a Citt di Castello il 12 aprile 1959,

Claudio DI BARTOLOMEO

Massimo GUASTICCHI

Graziano LEPRI nato a Bastia Umbra il 4 luglio 1968,

Francesco MINUTILLO

Mariangela PIETRARELLI

nato a Orvieto il 14 aprile 1964,

nato a Perugia 25 ottobre 1962,

nato a Terni il 4 ottobre 1973,

nata a Foligno 1 giugno 1951.

In particolare ogni Responsabile dovr:

a) raccogliere, registrare, trattare i dati personali che devono essere riportati nellAlbo,
sia su supporto cartaceo che informatico, avendo cura che laccesso agli stessi sia
consentito solo ai soggetti abilitati;

b) adempiere alla comunicazione dei dati ai soggetti esterni nelle forme previste.
Le rammento che dovr adottare la parola chiave riservata per laccesso alla banca dati
elettronica che dovr essere periodicamente modificata.
Data 22 giugno 2006
Oscar Fiorucci
Allegato
- Istruzioni
- art. 7,8,11,13, e 33 del D. Lgs. n. 196/03
Per ricevuta
FIRMA DEI RESPONSABILI
Massimo ANGELINI

_______________________________________

Claudio DI BARTOLOMEO

________________________________________

Massimo GUASTICCHI

________________________________________

Graziano LEPRI

________________________________________

Francesco MINUTILLO

________________________________________

Mariangela PIETRARELLI

________________________________________

Allegato 2
NOMINA INCARICATO AL TRATTAMENTO DEI DATI PERSONALI DEGLI ISCRITTI
ALLALBO
Prot.n. 15/U
del 22 giugno 2006
Al DATAKEY.
Oggetto: nomina Incaricato al trattamento dei dati personali degli Iscritti allAlbo.
Il Sottoscritto TSRM Oscar FIORUCCI nato a Perugia 8 luglio 1956, in qualit di Titolare
del trattamento dei dati del Collegio Interprovinciale di Perugia e Terni, sito in Ponte
Valleceppi di Perugia, Via Isonzo 15
NOMINO
QUALI INCARICATO AL TRATTAMENTO DEI DATI PERSONALI
la Societ DATAKEY, sita in.. via. che gestisce lanagrafica del
Collegio.
In particolare dovr raccogliere, registrare ai soli fini dellinserimento negli albi - e
conservare i dati personali degli iscritti contenuti nelle pratiche di Sua competenza, su
supporto informatico, avendo cura che laccesso agli stessi sia consentito solo ai soggetti
abilitati.
Data 22 giugno 2006
Oscar Fiorucci
Allegato
- Istruzioni
- art. 7,8,11,13, e 33 del D. Lgs. n. 196/03
Per ricevuta
FIRMA DELLINCARICATO

INFORMAZIONI E ISTRUZIONI
1. I dati personale e sensibili oggetto del trattamento devono essere:
a. trattati in modo lecito e secondo correttezza;
b. raccolti, registrati, aggiornati e verificati unicamente per scopi connessi con
le attivit di ufficio svolte dal Titolare dellEnte.
2. LIncaricato deve garantire il rispetto del segreto dufficio connesso con
lattivit dufficio e in particolare:
a. prevenire, durante colloqui, lindebita conoscenza da parte di terzi di
informazioni idonee a rivelare i dati personali:
b. rispettare le dignit dellinteressato in occasione del trattamento dei dati
personali e sensibili;
c. la comunicazione e/o diffusione dei dati personali non deve avvenire, salvo
la specifica autorizzazione del Titolare.
3. I dati personali e sensibili oggetto del trattamento devono essere custoditi e
controllati in modo da ridurre al minimo i rischi di distruzione o perdita dei
dati stessi, di accesso non autorizzato o di trattamento non consentito o non
conforme alla finalit della raccolta, mediante rispetto delle seguenti misure
di sicurezza:
a. laccesso ai dati consentito unicamente durante lorario di lavoro e
limitatamente alle proprie mansioni;
b. non consentito il trasferimento di dati personali oggetto di trattamento al di
fuori del luogo di lavoro;
c. lo strumento elettronico non deve essere lasciato incustodito ed accessibile
a terzi durante una sessione di trattamento;
d. la custodia e luso dei supporti rimuovibili su cui sono memorizzati i dati
sensibili devono essere organizzati in modo da evitare accessi non
autorizzati e trattamenti non consentiti. I supporti rimuovibili, se non utilizzati,
sono distrutti o resi inutilizzabili;
e. le credenziali di autocertificazione sono personali e devono essere
mantenute riservate;
f. gli obblighi derivanti dal mantenimento del segreto professionale, della
riservatezza, del divieto di comunicazione e/o diffusione permangono anche
dopo la cessazione o la modifica dellincaricato.

Il Garante vara il piano delle ispezioni per il primo semestre 2006 - Comunicato
stampa - 03 febbraio 2006
03/02/2006

Garante privacy

Comunicato stampa - 03 febbraio 2006

Il Garante vara il piano delle ispezioni per il primo semestre 2006

Siti Internet, vendite a distanza, case farmaceutiche, sistemi di informazioni creditizie. L'Autorit Garante, composta da Francesco
Pizzetti, Giuseppe Chiaravalloti, Mauro Paissan e Giuseppe Fortunato, ha stabilito il programma di accertamenti per il primo semestre
2006 e ha definito criteri, principi e priorit di intervento per verificare se chi gestisce banche dati raccolga, usi e conservi i dati
personali dei cittadini lecitamente e nel rispetto di quanto previsto dalle norme a tutela della privacy.
Ultimato il ciclo di ispezioni disposto lo scorso anno, con il conseguente avvio di procedimenti volti ad applicare sanzioni, a vietare
trattamenti di dati e ad impartire prescrizioni, l'Autorit prosegue dunque nel potenziamento delle attivit ispettive con un articolato
ciclo di controlli sul territorio, in vari settori ed aree di intervento.
Gli accertamenti ispettivi punteranno alla verifica del rispetto delle norme da parte di quanti trattano dati personali per la fornitura di
beni e servizi mediante varie forme di vendita a distanza e da parte dei siti web. Inoltre verr verificata la correttezza dei trattamenti
effettuati da societ farmaceutiche e la gestione dei dati personali da parte di banche o finanziarie relativi alle segnalazioni nei sistemi
di informazioni creditizie.
Ulteriori ispezioni riguarderanno soggetti privati e pubbliche amministrazioni per accertare in particolare il rispetto degli obblighi di
notificazione, cio la comunicazione al Garante da parte di determinati soggetti dell'avvio di una banca dati, e di informazione ai
cittadini sull'uso che verr fatto dei loro dati.
Verranno comunque assicurate anche le eventuali attivit ispettive che si rendessero necessarie in sede istruttoria su reclami,
segnalazioni o ricorsi, nonch le attivit svolte in collaborazione e su richiesta dell'autorit giudiziaria penale.
Le ispezioni verranno effettuate direttamente presso le sedi dove si svolgono i trattamenti di dati personali anche in collaborazione con
il Nucleo speciale funzione pubblica e privacy della Guardia di Finanza.
Proprio allo scopo di dare ancora maggiore sviluppo alla collaborazione con la Guardia di Finanza e di intensificare l'attivit di vigilanza
e controllo sul rispetto delle norme, anche alla luce delle modifiche intervenute con il Codice sulla protezione dei dati personali, nei
mesi scorsi stato sottoscritto un nuovo protocollo di intesa con la Guardia di Finanza che prevede l'impiego, oltre che del Nucleo
speciale funzione pubblica e privacy, anche dei reparti territoriali del Corpo.
Roma, 3 febbraio 2006

Allegati
Link esterni

Decreto Legislativo 30 giugno 2003, n. 196

"Codice in materia di protezione dei dati personali"
pubblicato nella Gazzetta Ufficiale n. 174 del 29 luglio 2003 - Supplemento Ordinario n. 123
(..omissis)
Art. 7 - (Diritto di accesso ai dati personali ed altri diritti)
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano,
anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalita' e modalita' del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo
5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono
venirne a conoscenza in qualita' di rappresentante designato nel territorio dello Stato, di responsabili o
incaricati.
3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge,
compresi quelli di cui non e' necessaria la conservazione in relazione agli scopi per i quali i dati sono stati
raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per
quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in
cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato
rispetto al diritto tutelato.
4. L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorche' pertinenti allo scopo della
raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta
o per il compimento di ricerche di mercato o di comunicazione commerciale.
Art. 8 - (Esercizio dei diritti)
1. I diritti di cui all'articolo 7 sono esercitati con richiesta rivolta senza formalita' al titolare o al responsabile,
anche per il tramite di un incaricato, alla quale e' fornito idoneo riscontro senza ritardo.
2. I diritti di cui all'articolo 7 non possono essere esercitati con richiesta al titolare o al responsabile o con
ricorso ai sensi dell'articolo 145, se i trattamenti di dati personali sono effettuati:
a) in base alle disposizioni del decreto-legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla
legge luglio 1991, n. 197, e successive modificazioni, in materia di riciclaggio;
b) in base alle disposizioni del decreto-legge 31 dicembre 1991, n. 419, convertito, con modificazioni, dalla
legge 18 febbraio 1992, n. 172, e successive modificazioni, in materia di sostegno alle vittime di richieste
estorsive;
c) da Commissioni parlamentari d'inchiesta istituite ai sensi dell'articolo 82 della Costituzione;
d) da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge,
per esclusive finalita' inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli
intermediari e dei mercati creditizi e finanziari, nonche' alla tutela della loro stabilita';
e) ai sensi dell'articolo 24, comma 1, lettera f), limitatamente al periodo durante il quale potrebbe derivarne
un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive o per l'esercizio del diritto
in sede giudiziaria;
f) da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni
telefoniche in entrata, salvo che possa derivarne un pregiudizio effettivo e concreto per lo svolgimento delle
investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397;
g) per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o il Consiglio superiore della
magistratura o altri organi di autogoverno o il Ministero della giustizia;
h) ai sensi dell'articolo 53, fermo restando quanto previsto dalla legge 1 aprile 1981, n. 121.

3. Il Garante, anche su segnalazione dell'interessato, nei casi di cui al comma 2, lettere a), b), d), e) ed f)
provvede nei modi di cui agli articoli 157, 158 e 159 e, nei casi di cui alle lettere c), g) ed h) del medesimo
comma, provvede nei modi di cui all'articolo 160.
4. L'esercizio dei diritti di cui all'articolo 7, quando non riguarda dati di carattere oggettivo, puo' avere luogo
salvo che concerna la rettificazione o l'integrazione di dati personali di tipo valutativo, relativi a giudizi,
opinioni o ad altri apprezzamenti di tipo soggettivo, nonche' l'indicazione di condotte da tenersi o di decisioni
in via di assunzione da parte del titolare del trattamento.
Art. 11 - (Modalita' del trattamento e requisiti dei dati)
1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento
in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalita' per le quali sono raccolti o successivamente
trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non
superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non
possono essere utilizzati.
(omissis)
Art. 13 - (Informativa)
1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati
oralmente o per iscritto circa:
a) le finalita' e le modalita' del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono
venirne a conoscenza in qualita' di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi
dell'articolo 5 e del responsabile. Quando il titolare ha designato piu' responsabili e' indicato almeno uno di
essi, indicando il sito della rete di comunicazione o le modalita' attraverso le quali e' conoscibile in modo
agevole l'elenco aggiornato dei responsabili. Quando e' stato designato un responsabile per il riscontro
all'interessato in caso di esercizio dei diritti di cui all'articolo 7, e' indicato tale responsabile.
2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni del presente
codice e puo' non comprendere gli elementi gia' noti alla persona che fornisce i dati o la cui conoscenza puo'
ostacolare in concreto l'espletamento, da parte di un soggetto pubblico, di funzioni ispettive o di controllo
svolte per finalita' di difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di
reati.
3. Il Garante puo' individuare con proprio provvedimento modalita' semplificate per l'informativa fornita in
particolare da servizi telefonici di assistenza e informazione al pubblico.
4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva
delle categorie di dati trattati, e' data al medesimo interessato all'atto della registrazione dei dati o, quando e'
prevista la loro comunicazione, non oltre la prima comunicazione.
5. La disposizione di cui al comma 4 non si applica quando:
a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa
comunitaria;
b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000,
n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati
esclusivamente per tali finalita' e per il periodo strettamente necessario al loro perseguimento;
c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure
appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del
Garante, impossibile.
Art. 33 - (Misure minime)
1. Nel quadro dei piu' generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i
titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai
sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.
(omissis)