Sei sulla pagina 1di 10

ISTRUZIONI1 IN MATERIA DI TRATTAMENTO 

DEI DATI PERSONALI AI SENSI DEL 
REGOLAMENTO UE 679/2016 – 
REGOLAMENTO GENERALE SULLA 
PROTEZIONE DEI DATI  
UNIVERSITÀ DEGLI STUDI DELL’AQUILA 
 

Premessa 
Il Regolamento Generale sulla Protezione dei Dati – Regolamento UE 2016/679, meglio noto come GDPR, 
costituisce  normativa  di  riferimento  in  merito  al  trattamento  dei  dati  personali.  Per  quanto  da  esso  non 
previsto  e  per  quanto  demandato  alla  legislazione  nazionale,  norma  integrativa  è  costituita  dal  d.lgs. 
196/2003, meglio noto come Codice della Privacy, che oggi è ridotto a fonte di rango secondario, stante il 
primato spettante al GDPR.  

Principi 
Obiettivo del GDPR è mettere ogni cittadino europeo nelle condizioni di riprendere e mantenere il controllo 
sui  propri  dati  personali.  Per  perseguire  tale  fine,  esso  disciplina  in  maniera  dettagliata  le  attività  di 
trattamento, dalla raccolta, all’uso, alla conservazione, alla cancellazione, al trasferimento a terzi. Individua 
inoltre sette principi che costituiscono requisiti imprescindibili per una corretta esecuzione del trattamento 
e che sono di seguito riportati. 

Liceità, correttezza e trasparenza 
Benché numericamente i principi enunciati in questa sede siano tre, come si vedrà in seguito, essi sono in 
realtà talmente connessi l’un con l’altro, da non presentare confini definiti e non poter essere presi in esame 
in maniera del tutto autonoma.  

Ai  sensi  del  GDPR,  un  trattamento  si  definisce  lecito  se  è  conforme  alla  legge  e  se  persegue  uno  scopo 
legittimo  o  è  necessario  al  perseguimento  di  uno  scopo  legittimo.  A  tal  proposito  l’articolo  6  enuncia  6 
condizioni tassative che determinano la liceità di un trattamento: 

‐ Consenso libero e consapevole dell’interessato 
‐ Esecuzione di un contratto tra l’interessato e il titolare del trattamento 
‐ Adempimento di un obbligo legale cui è soggetto il titolare 
‐ Salvaguardia di interessi vitali dell’interessato o di altra persona fisica 
‐ Esecuzione di un compito di interesse pubblico 
‐ Perseguimento di un legittimo interesse del titolare prevalente su diritti e interessi dell’interessato 

                                                            
1
  Le  istruzioni  sono  soggette ad  aggiornamenti  ed  ampliamenti  anche  in  relazione  alle  mutate  esigenze  lavorative  o 
tecnologiche. Il documento è destinato esclusivamente ad uso interno.  
Un trattamento si definisce corretto se è effettuato in maniera tale da garantire all’interessato e all’intera 
collettività che i dati, acquisiti in maniera lecita, non saranno esposti a rischio. Un primo passo nella direzione 
della correttezza attiene alla chiarezza e alla trasparenza delle informative. Si tratta in effetti di un’estensione 
del preesistente principio di lealtà che vedeva come protagonisti i soli titolare ed interessato.  

Un  trattamento  si  definisce  trasparente  quanto  tutte  le  informazioni  che  lo  riguardano  sono  esposte  in 
maniera accessibile e comprensibile, scritte in un linguaggio semplice, adottando nel caso anche grafica ed 
icone, sicché gli interessati siano in grado di comprendere in maniera inequivocabile cosa accadrà ai propri 
dati a seguito del trattamento stesso. C’è da precisare che la trasparenza, oltre che un principio espresso, è 
un vero e proprio diritto dell’interessato, con particolare riferimento alle informative, ma più in generale a 
tutte le comunicazioni che intercorrono tra titolare ed interessato. Appare allora del tutto evidente che il 
principio di trasparenza sia parte integrante di quello di liceità precedentemente indicato.  

Si comprenderà meglio, giunti a questo punto, la ragione per cui, pur trattandosi di concetti diversi, nel GDPR 
essi  sono  contemplati  in  un  unico  principio:  un  trattamento,  per  essere  lecito,  dovrà  essere  infatti 
contestualmente corretto e trasparente. 

Limitazione della finalità 
I dati personali possono essere raccolti esclusivamente: 

‐ Per finalità determinate 
‐ Per finalità esplicite 
‐ Per finalità legittime 

Una  volta  raccolti,  i  dati  devono  essere  trattati  secondo  modalità  che  siano  compatibile  con  le  suddette 
finalità. In sostanza, Il principio di limitazione delle finalità si traduce nell’impossibilità che un dato personale 
sia trattato per scopi diversi da quelli per i quali è stato raccolto, salvo che l’interessato non proceda a fornire 
un’ulteriore autorizzazione (presti cioè un nuovo consenso) o che vi sia una apposita previsione di legge o 
ancora la tutela di un interesse pubblico prevalente che giustifichi l’ulteriore e differente trattamento.  

Minimizzazione dei dati 
Ai sensi del GDPR qualunque attività di trattamento deve riguardare esclusivamente dati personali adeguati, 
pertinenti e limitati a quanto strettamente necessario al perseguimento della finalità sottesa. Ciò si traduce 
nell’obbligo  cogente  che  ciascun  trattamento  sia  effettuato  utilizzando  solo  ed  esclusivamente  i  dati 
effettivamente funzionali al raggiungimento dell’obiettivo prefissato, escludendo tutti quelli che invece non 
sono indispensabili.  

Esattezza dei dati 
L’esattezza  dei  dati  trattati  è  contestualmente  un  principio  ed  un  vero  e  proprio  obbligo  posto  in  capo  a 
titolari e responsabili del trattamento: tulle le informazioni conservate devono essere accurate e aggiornate. 
A tal proposito, il GDPR sancisce  che  ogni soggetto interessato ha diritto di  richiedere la  correzione delle 
informazioni non corrette e/o obsolete (diritto di rettifica) senza ingiustificato ritardo.  

Limitazione della conservazione 
La conservazione dei dati personali è considerata, ai sensi del GDPR, attività di trattamento degli stessi e, 
come  tutte  le  attività  di  trattamento,  deve  prevedere  che  sia  soddisfatta  una  delle  condizioni  di  liceità 
precedentemente individuate. Da ciò è possibile desumere che l’attività di conservazione sia consentita per 
un periodo che non può essere più lungo di quanto necessario per il perseguimento delle finalità connesse. 
Tempi  più  lunghi  sono  consentiti  esclusivamente  a  fini  di  archiviazione  nel  pubblico  interesse,  di  ricerca 
storica o a fini statistici, fermo restando gli obblighi in materia di adozione di adeguate misure tecniche e 
organizzative a tutela dei diritti e delle libertà dei soggetti interessati.  
 

Integrità e riservatezza 
Anche  in  questo  caso  si  è  di  fronte  a  due  principi  concettualmente  diversi,  ma  intrinsecamente 
complementari.  Per  integrità  dei  dati  si  intende  il  mantenimento  dell’identità  tra  i  dati  ricevuti 
dall’interessato o da terzo e quelli conservati. In altre parole, i dati personali oggetto di trattamento non 
devono essere, in alcun modo, alterati, persi o distrutti durante il processo di conservazione. La nozione di 
riservatezza  rimanda  invece  alla  necessità  di  proteggere  i  dati  personali  da  trattamenti  non  autorizzati  o 
illeciti,  quali  ad  esempio  diffusione  e  comunicazione.  In  entrambi  i  casi,  elemento  cardine  è  l’uso  della 
crittografia  

Responsabilizzazione (Accountability) 
Il GDPR pone particolare accento sul concetto di accountability, termine inglese che è stato impropriamente 
tradotto  in  italiano  con  “responsabilizzazione”.  In  effetti,  il  termine  nostrano  indica  l’atto  di  rendere  un 
determinato  soggetto  responsabile,  ovvero  capace  di  rispondere  circa  la  motivazione  sottesa  ai  propri 
comportamenti, in particolare in presenza di una violazione dolosa o colposa. Il concetto di accountability 
non si limita solo a questo, ma include anche le capacità di comprensione del tipo di responsabilità assunta, 
di  assunzione  di  comportamenti  proattivi  funzionali  alla  tutela  dell’oggetto  posto  sotto  la  propria 
responsabilità, di garanzia della liceità e correttezza del proprio operato. In altre parole: non basta agire per 
il meglio e accettare le conseguenze di eventuali errori, bisogna essere in grado di dimostrare che le proprie 
azioni sono effettivamente improntate al perseguimento del miglior risultato.  

Soggetti del trattamento 
Titolare del trattamento (data controller)  
È “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme 
ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, punto 7 GDPR). In pratica il 
titolare non è necessariamente chi gestisce i dati, bensì chi decide lo scopo e le finalità del trattamento. Nel 
caso specifico, il titolare del trattamento è l’Ateneo nel suo complesso.  

Responsabile del trattamento (data processor)  
È “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per 
conto del titolare del trattamento” (art. 4, punto 8 GDPR). Sostanzialmente si tratta di un soggetto, diverso 
dal  titolare  (inteso  come  organizzazione),  scelto  da  quest’ultimo  in  funzione  della  sua  capacità  di  fornire 
adeguate garanzie tecniche ed organizzative in materia di trattamento di dati personali, nonché della sua 
capacità di garantire i diritti degli interessati. Stante la definizione, è del tutto evidente che il responsabile 
del  trattamento  può  essere  solo  ed  esclusivamente  un  soggetto  esterno  rispetto  al  titolare:  scompare, 
rispetto al passato, la figura del responsabile interno del trattamento.  

Responsabile della protezione dei dati personali (data protection officer)  
È  una  figura  introdotta  dal  GDPR  i  cui  compiti  sono  sostanzialmente  di  supporto  al  titolare  in  materia  di 
conformità dei trattamenti alle previsioni del regolamento, informazione e sensibilizzazione del titolare e dei 
suoi dipendenti in materia di protezione  dati,  cooperazione  con il Garante su ogni  questione  connessa al 
trattamento dei dati personali, supporto al titolare in ogni attività connessa al trattamento dei dati personali, 
con particolare riguardo alla tenuta (non alla stesura) del registro delle attività di trattamento. Può essere un 
dipendente del titolare oppure un soggetto esterno ad uopo incaricato tramite contratto.  

Soggetti istruiti al trattamento 
Si tratta di figure che operano sotto l’autorità diretta del titolare e che sono da questi istruite sul trattamento 
dei  dati  personali.  Sono  ricompresi  in  questa  categoria  tutti  i  dipendenti  e  i  collaboratori  del  titolare, 
indipendentemente dalla qualifica e dalle mansioni svolte. Il d.lgs. 101/2018, nell’ambito dei soggetti istruiti, 
opera una distinzione tra soggetti designati e soggetti autorizzati: i primi ricevono specifici compiti e funzioni 
connessi  al  trattamento  dei  dati  personali,  i  secondi  invece  hanno  compiti  di  natura  operativa.  Entrambi 
rientrano nella categoria dei soggetti istruiti di cui al GDPR, ma con un ruolo che evidentemente è alquanto 
diverso:  i  designati  hanno  competenze  in  materia  di  coordinamento  del  complesso  delle  attività  di 
trattamento ad essi affidate, mentre gli autorizzati si occupano di singoli trattamenti oppure di singole fasi di 
un trattamento. Deve comunque escludersi qualunque idea di equiparazione tra i precedenti responsabili 
interni del trattamento e i soggetti designati: con il GDPR infatti, è sempre e solo il titolare, inteso nel suo 
complesso, che risponde delle eventuali violazioni commesse da soggetti che operano sotto la sua autorità.  

Soggetto interessato  
È la persona fisica identificata o identificabile cui si riferiscono i dati personali trattati. 

Identificazione dei soggetti 
Titolare del trattamento è l’Università nel suo complesso, non la Rettrice/il Rettore. Sono parte del titolare 
tanto le strutture centrali, quanto quelle periferiche. Per essere ulteriormente espliciti: sono parte del titolare 
tutte le sue articolazioni, ivi compresi i dipartimenti che non possono, ad alcun titolo, considerarsi titolare 
autonomo per alcuna delle funzioni esercitate come struttura deputata allo svolgimento di attività didattiche, 
di ricerca o relative alla terza missione. 

Rappresentante del titolare è la Rettrice/ il Rettore, soggetto che, in quanto dotato di poteri decisionali e di 
impulso,  è  chiamato,  insieme  al  Senato  Accademico  e  al  Consiglio  di  Amministrazione,  ad  adottare  ogni 
provvedimento funzionale alla promozione della cultura e alla gestione del sistema di protezione dei dati 
personali. Il rappresentante del titolare è certamente figura esposta, ha potere di firma ed è tenuto a vigilare, 
anche avvalendosi del supporto del Responsabile della Protezione dei Dati personali, sulla correttezza delle 
attività di trattamento effettuate dall’Ateneo. Non deve però essere confuso con il Titolare del trattamento 
che era, è e resta l’Università intesa come organizzazione.  

Responsabile della Protezione dei Dati personali può essere un dipendente dell’Amministrazione nominato 
allo scopo, oppure un soggetto esterno dotato di specifiche competenze in materia di protezione dei dati 
personali.  Indipendentemente  dalla  scelta  operata,  deve  essere  unico  per  tutta  l’organizzazione  e  le  sue 
articolazioni:  l’Ateneo  nomina  il  Responsabile  della  Protezione  dei  Dati  personali  e  questi  riveste  tale 
mansione  

Soggetto  designato  è  il  Direttore  Generale,  il  Direttore  di  dipartimento,  il  Dirigente  (se  previsto),  il 
Responsabile  di  Area.  A  ciascuna  delle  figure  individuate  devono  essere  assegnati  compiti  e  funzioni 
specifiche in merito ai trattamenti effettuati, alle modalità di trattamento da adottare, alle risorse umane e 
strumentali  necessarie  per  garantire  che  ciascun  trattamento  sia  effettuato  in  maniera  conforme  alle 
previsioni del GDPR. Nell’ambito dei soggetti designati è possibile individuare ulteriori livelli gerarchici.  

Soggetto autorizzato è il responsabile di ufficio, il componente di ufficio, il collaboratore indipendentemente 
dalla sua qualifica. È del tutto evidente che le categorie individuate presentino profili differenti e possano 
necessitare  di  istruzioni  diverse.  Ciò  non  di  meno,  esse  operano  materialmente  sui  dati  personali  e  sono 
pertanto assimilabili in un’unica categoria.  

Si ribadisce che la distinzione tra soggetti designati e soggetti autorizzati è puramente formale e tende solo 
a rispecchiare un’organizzazione complessa che prevede, per sua stessa natura, la suddivisione tra mansioni 
di coordinamento e mansioni operative. Ciò premesso, le istruzioni in materia di trattamento si applicano 
tanto ai soggetti designati, quanto ai soggetti autorizzati.  

Soggetto  interessato  è  il  futuro  studente,  lo  studente,  il  dipendente,  il  familiare  dello  studente  o  del 
dipendente,  il  collaboratore,  il  rappresentante  legale  del  fornitore,  il  relatore  di  convegno,  l’utente,  in 
generale la persona fisica che conferisce i propri dati personali all’Ateneo. In questa categoria devono essere 
considerati anche i partecipanti a convegni e manifestazioni pubbliche, in particolare laddove si effettuino 
registrazioni audiovisive o fotografie.  

Istruzioni  ai  dipendenti  (docenti  e  personale  tecnico  amministrativo)  e  ai 


collaboratori per il trattamento dei dati personali  
Istruzioni generali per il trattamento dei dati personali 
Raccolta dei dati 
 Prima di procedere alla raccolta dei dati, è indispensabile assicurarsi che gli interessati abbiano preso 
visione  dell’informativa  sul  trattamento  dei  dati  personali.  In  ambiente  tradizionale,  l’informativa 
dovrà essere presentata in forma cartacea all’atto della compilazione della modulistica. In ambiente 
digitale è necessario raccogliere preventivamente la dichiarazione di presa visione dell’informativa. 
 Qualora sia necessario accertare l’identità dell’interessato prima di procedere alla raccolta dei suoi 
dati personali, è obbligatorio richiedere l’esibizione di un documento di identità o di riconoscimento.  
 Qualora  la  raccolta  dei  dati  sia  effettuata  in  ambiente  digitale,  è  essenziale  che  siano  garantire 
adeguate misure di sicurezza a protezione delle informazioni inserite ed inviate tramite i moduli. 
 Qualora la raccolta dei dati personali sia effettuata mediante modulistica cartacea o comunque non 
informatizzata,  assicurarsi  che  le  informazioni  conferite  dall’interessato  non  siano  visibili  a  terzi 
durante la compilazione. 
 Qualora  la  raccolta  dei  dati  sia  effettuata  sotto  dettatura  dell’interessato,  è  necessario  porre 
particolare  attenzione  alla  digitazione  e  all’inserimento  dei  dati,  al  fine  di  evitare  errori  che 
potrebbero pregiudicare una successiva identificazione dell’interessato o metterne a rischio diritti e 
libertà individuali. 
Utilizzo dei dati personali 
 I dati personali devono essere trattati secondo i principi di liceità, correttezza e trasparenza. 
 I dati personali devono essere utilizzati esclusivamente per le finalità per cui sono stati raccolti e/o 
acquisiti. 
 Durante le attività di trattamento è necessario astenersi dal trattare informazioni non necessarie. 
 I dati personali utilizzati devono essere adeguati e pertinenti rispetto alla finalità perseguita. 
 Indipendentemente  dalle  proprie  possibilità  di  accesso,  nell’esercizio  delle  mansioni  assegnate,  è 
fatto obbligo di utilizzare esclusivamente i dati strettamente necessari all’esecuzione delle stesse. 
 Qualora un dipendente o un collaboratore dovessero constatare di avere accesso a dati non necessari 
per lo svolgimento dei propri compiti e delle proprie funzioni, devono astenersi dal prenderne visione 
(e conseguentemente dal farne uso) e comunicare immediatamente la situazione al responsabile di 
struttura e al Responsabile della Protezione dei Dati.  
 Nell’esecuzione di qualunque compito, i soggetti autorizzati sono tenuti a seguire le istruzioni di cui 
al  presente  documento  e  le  indicazioni  dei  responsabili  di  settore,  dei  coordinatori  di  area,  dei 
direttori di dipartimento, del direttore generale. Qualora un soggetto ritenesse che il rispetto di una 
prescrizione  o  di  un’istruzione  impartita  sia  incompatibile  con  il  normale  svolgimento  dell’attività 
lavorativa o con le previsioni del regolamento, è tenuto a contattare il Responsabile della Protezione 
dei Dati. 

Obblighi di riservatezza 
 Non leggere mai ad alta voce documenti contenenti dati personali.  
 Non  trasmettere  all’esterno  ed  a  soggetti  terzi,  informazioni  circa  i  dati  personali  conosciuti  in 
ragione  del  proprio  ufficio,  salvo  che  si  tratti  di  comunicazione  funzionale  allo  svolgimento  dei 
compiti affidati, previa autorizzazione del Responsabile della protezione dei dati personali.  
 Rispettare il suddetto obbligo di riservatezza anche nel periodo successivo all’eventuale cessazione 
del  rapporto  di  lavoro  o  al  trasferimento  ad  altro  settore,  almeno  fino  a  quando  le  suddette 
informazioni  non  vengano  divulgate  da  parte  del  Titolare,  da  parte  dell’interessato,  oppure 
divengano di dominio pubblico.  
Comunicazione dei dati 
 Qualora,  nello  svolgimento  della  propria  attività,  sia  necessario  procedere  a  comunicare  dati 
personali a destinatari interni o esterni, è necessario assicurarsi dell’identità del destinatario, della 
natura  e  della  tipologia  dei  dati  da  trasmettere,  della  legittimità  della  motivazione  sottesa  alla 
comunicazione. 
 La comunicazione deve riguardare i dati strettamente necessari al perseguimento del fine per il quale 
vengono comunicati. Prima di procedere è quindi necessario porsi le seguenti domande: 
o È  possibile  raggiungere  la  finalità  individuata  utilizzando  dati  in  forma  aggregata?  Se  è 
possibile procedere in questa direzione. Se non è possibile porsi la domanda successiva. 
o È  possibile  raggiungere  la  finalità  individuata  utilizzando  dati  in  forma  anonimizzata 
(eliminando cioè i riferimenti a dati che consentono l’identificazione diretta o indiretta del 
soggetto interessato)? Se è possibile procedere in questa direzione. Se non è possibile porsi 
la domanda successiva. 
o È  possibile  raggiungere  la  finalità  individuata  utilizzando  dati  in  forma  pseudonimizzata 
(separando  i  dati  identificativi  dalle  altre  informazioni,  sostituendo  i  primi  con  degli 
pseudonimi,  così  da  rendere  impossibile  l’identificazione  diretta  o  indiretta  del  soggetto 
interessato) Se è possibile procedere in questa direzione. Se non è possibile porsi la domanda 
successiva. 
o Qualora nessuna delle procedure precedentemente indicate sia utilizzabile, quali sono i dati 
necessari per il perseguimento della finalità individuata? Una volta individuato il set di dati 
effettivamente indispensabili, procedere con la comunicazione. 
 Qualora la comunicazione sia rivolta a più soggetti per finalità diverse, diversificare il set di dati inviati 
in base al destinatario e allo scopo da esso perseguito. 
 Qualora la comunicazione avvenga attraverso la posta elettronica, è necessario seguire le indicazioni 
previste nella sezione “come usare la posta elettronica”. 
 
Comportamento  da  tenere  in  caso  di  istanza  di  accesso  ai  propri  dati  personali  da  parte  degli 
interessati o di loro delegati 
Ai sensi del GDPR gli interessati hanno diritti di accedere ai propri dati personali conservati dall’Ateneo ed 
esercitare i diritti di cui agli articoli 15, 16, 17, 18, 19, 20, 21 (diritto di accesso, di cancellazione, di limitazione 
del trattamento, diritto alla portabilità dei dati, diritto di opposizione).  

 In caso di richiesta di accesso ai dati personali o di esercizio dei propri diritti da parte dell’interessato, 
è necessario contattare immediatamente il Responsabile della Protezione dei Dati personali. 
 La richiesta di accesso ai dati personali può essere effettuata in presenza o in formato elettronico. È 
esclusa la possibilità di fornire qualunque informazione concernente dati personali via telefono, in 
quanto risulterebbe impossibile accertare l’identità dell’interessato.  
 Prima  di  fornire  qualunque  informazione,  è  necessario  accertarsi  dell’identità  dell’interessato. 
Qualora la richiesta sia effettuata in presenza, l’accertamento avviene tramite esibizione di valido 
documento  di  identità.  In  mancanza  dello  stesso,  è  possibile  procedere  tramite  documento  di 
riconoscimento. Qualora la richiesta pervenga in formato elettronico, è necessario adottare tutte le 
cautele del caso per la verifica dell’identità dell’interessato. Allo scopo sono preferibili:  
o L’utilizzo  di  casella  di  posta  elettronica  certificata  e  l’apposizione  della  firma  digitale  sui 
documenti  
o L’utilizzo del Sistema Pubblico di Identità Digitale (SPID) 
 Qualora il richiedente utilizzi una casella di posta elettronica semplice, potrebbe non essere possibile 
risalire con ragionevole certezza alla sua identità. In questo caso è prassi che alla richiesta sia allegata 
un’autocertificazione resa ai sensi del DPR 445/2000 e una scansione di documento di identità. In 
realtà  sia  il  documento,  sia  l’autocertificazione  non  avrebbero  valore  legale  in  quanto  documenti 
facilmente  alterabili.  Ove  possibile,  è  opportuno  richiedere  che  le  comunicazioni  si  svolgano 
mediante  una  casella  di  posta  elettronica  istituzionale,  così  da  avere  un  ulteriore  elemento  a 
conferma dell’identità del richiedente. In caso contrario, è necessario adottare ulteriori cautele che 
possono concretizzarsi nella richiesta di ulteriori informazioni da mettere a confronto con quelle in 
possesso dell’Ateneo, così da avere ragionevole certezza dell’identità del richiedente. 
 È fatto obbligo di dare riscontro all’interessato nel più breve tempo possibile e comunque entro 30 
giorni dalla ricezione della richiesta. 
 L’esercizio del diritto di accesso è personale ed è posto, ai sensi del GDPR, solo il capo all’interessato. 
Si ritiene ammissibile l’uso della delega, purché redatta e compilata nei modi e nelle forme previste 
dalla legge.  
Come comportarsi in presenza di ospiti o di altro personale di servizio 
 Qualora si ricevano nella propria stanza ospiti o colleghi di altro settore e si tengano sulla propria 
scrivania  cartelle  e  fascicoli,  si  consiglia  di  fare  attenzione  a  rivoltare  le  cartelle  o  di  apporre  sul 
frontespizio  delle  stesse  dati  ed  informazioni  che  non  permettano  a  terzi  estranei  di  percepire 
l’identità dei soggetti interessati dal trattamento; 

Formazione 
 Tutti i dipendenti di Ateneo sono tenuti a frequentare i corsi di formazione in materia di protezione 
dei dati personali organizzati dall’Ateneo. La mancata partecipazione ai corsi di formazione incide 
negativamente sulla valutazione individuale e, in caso di violazioni, può dar luogo a responsabilità 
disciplinare.  

Trattamenti  concernenti  particolari  categorie  di  dati  personali  (origine  razziale,  etnica, 
opinioni politiche, convinzioni religiose, convinzioni filosofiche, appartenenza sindacale, dati 
genetici, dati biometrici intesi a identificare in modo univoco la persona fisica, dati relativi allo 
stato  di  salute,  alla  vita  sessuale,  all’orientamento  sessuale  della  persona)  o  dati  relativi  a 
condanne penali e reati. 
 I dati particolari e i dati relativi a condanne penali e reati non possono essere oggetto di trattamento, 
se non alle condizioni previste dal GDPR. 
 È fatto assoluto divieto di richiedere informazioni a dati ascrivibili alle succitate categorie, qualora 
non sia strettamente necessario per il soddisfacimento di obblighi di legge o per il perseguimento di 
un rilevante interesse pubblico. 
 È fatto assoluto divieto di comunicazione di dati ascrivibili alle succitate categorie, qualora non si sia 
assolutamente certi dell’identità del destinatario e delle finalità sottese all’eventuale comunicazione. 
 È fatto assoluto divieto di invio, via fax o e‐mail, di documenti in chiaro contenenti dati ascrivibili alle 
succitate  categorie.  Laddove  ciò  sia  strettamente  necessario,  si  proceda  alla  protezione  del 
documento  con  password  e  alla  comunicazione  della  stessa  al  destinatario  con  un  secondo 
messaggio.  
 È  fatto  assoluto  divieto  di  conservazione  di  dati  ascrivibili  alle  succitate  categorie  in  formato 
elettronico su supporti mobili quali chiavette usb, memory card, hard disk rimovibili.  

Istruzioni  specifiche  per  il  trattamento  dei  dati  personali  trattamenti  senza  l’ausilio  di 
strumenti elettronici 
Custodia 
 I documenti contenenti dati personali devono essere custoditi in maniera tale da essere accessibili 
esclusivamente a personale autorizzato. Allo scopo, essi devono essere conservati, previa corretta 
fascicolazione, in armadi o cassetti chiusi a chiave possibilmente all’interno degli uffici. 
 I documenti contenenti dati personali di uso quotidiano o che vengono prelevati dagli archivi o dagli 
armadi  o  dai  cassetti  in  cui  sono  custoditi,  devono  essere  nuovamente  conservati  alla  fine  della 
giornata, sicché non possano essere, anche incidentalmente, accessibili a soggetti non autorizzati. 
 I  documenti  contenenti  dati  personali  non  devono  essere  visionati  da  persone  non  autorizzate. 
Laddove un soggetto terzo entrasse in ufficio o nel luogo di consultazione, è opportuno che, prima 
di farlo avvicinare, si provveda alla copertura dei documenti (chiusura del fascicolo, sovrapposizione 
di un foglio che renda non visibile il contenuto dei documenti, etc.) 
 I  documenti  contenenti  dati  personali  non  devono  mai  rimanere  incustoditi  su  scrivanie,  tavoli  o 
mobilio di qualunque genere. 

Distruzione 
 In presenza di richiesta da parte dell’interessato, qualora i dati personali non siano più necessari per 
il perseguimento della finalità per cui sono stati raccolti e fermo restando che non vi siano norme di 
legge che ne impongano la conservazione, è possibile procedere, previa consultazione del DPO, alla 
distruzione dei documenti che contengono i suddetti dati 
 Qualora, per ragioni connesse allo svolgimento dell’attività lavorativa, si renda necessario effettuare 
copie  di  documenti  contenenti  dati  personali,  è  obbligatorio  procedere  alla  loro  distruzione  non 
appena abbiano esaurito le funzioni per le quali sono state prodotte.  
 La distruzione di documenti contenenti dati personali (copie o originali che siano) deve avvenire in 
maniera  tale  da  rendere  impossibile  l’eventuale  ricomposizione.  Si  suggerisce  l’uso  di 
apparecchiature trita documenti.  

Istruzioni specifiche per il trattamento dei dati personali con l’ausilio di strumenti elettronici 
Accesso ai dispositivi informatici in uso ai dipendenti di Ateneo 
 A tutela dei dati personali memorizzati sui dispositivi in uso ai dipendenti di Ateneo, è fatto divieto 
di accesso, in presenza o da remoto, a dispositivo informatico in uso ad un dipendente dell’Ateneo 
da parte di altro dipendente, senza la preventiva autorizzazione del primo. Tale divieto non si applica 
per i controlli in materia di sicurezza ICT.  

Gestione delle credenziali di autenticazione 
 Nome utente (user‐id) e password non devono mai essere condivise tra più utenti (anche se operanti 
nel medesimo settore). 
 Nome utente e password non devono essere accessibili ad altri soggetti: laddove sia indispensabile 
per l’utente trascrivere tali informazioni su supporti personali, tali supporti dovranno essere custoditi 
con la massima cura. 
 La password deve essere sostituita, a cura del singolo utente, al primo utilizzo e con una periodicità 
di  almeno  una  volta  ogni  tre  mesi  e,  in  generale,  in  ogni  occasione  in  cui  venga  richiesto  dagli 
amministratori  di  sistema.  Si  tenga  comunque  presente  che  la  modifica  della  password,  senza 
ulteriori accorgimenti, non protegge da attacchi informatici del tipo brute force attack.  
 È  fatto  divieto  di  memorizzare  le  credenziali  di  accesso  sul  browser  o  sul  sistema  informatico 
utilizzato. 

Come scegliere ed usare una password 
 La  sicurezza  di  una  password  è  direttamente  proporzionale  alle  sue  lunghezza,  complessità  ed 
imprevedibilità.  La  password  non  deve  contenere  riferimenti  agevolmente  riconducibili  all’utente 
(data di nascita, luogo di nascita, nomi di familiari) e deve essere composta di almeno otto caratteri 
o, nel caso lo strumento elettronico adoperato non lo consenta, di un numero di caratteri pari al 
massimo consentito.  
 Si  sconsiglia  fortemente  l’uso  di  password  predefinite  (es.  password),  password  che  vedono  la 
sostituzione di alcuni caratteri con quelli del linguaggio leet (es. sabatino con s4b4t1n0), password 
composte password composte da solo parole (es. bassotto) o solo numeri (es. 12345678), password 
composte da parole e numeri facilmente associabili all’utente o ai propri familiari (es. antonio74), 
parole ripetute (es. fabiofabio), password con parole in altre lingue (es. bonjour), parole al contrario 
(es. francesco ‐> ocsecnarf). L’uso di passphrase (frasi di sicurezza) è solo apparentemente funzionale 
allo  scopo:  una  passphrase  può  avere  una  buona  resistenza  ad  un  brute  attack,  ma  è  facilmente 
individuabile da un attacco a dizionario. 
 Si consiglia l’utilizzo di una combinazione di lettere maiuscole, lettere minuscole, numeri, simboli (es. 
!, ?, #, *), non associabile a termini presenti nei dizionari delle lingue più comuni.  

Come gestire la posta elettronica 
 Il servizio di posta elettronica è implementato ai fini della comunicazione da e verso soggetti interni 
all’amministrazione, da e vero soggetti terzi per finalità istituzionali, per finalità connesse a quelle 
istituzionali, per finalità correlate all’attività lavorativa e al benessere lavorativo.  
 È attiva una casella di posta elettronica per ciascun dipendente di Ateneo. 
 È attiva una casella di posta elettronica per ciascuna articolazione funzionale di Ateneo.  
 Qualora  si  renda  necessario  inviare  comunicazioni  contenenti  dati  personali,  è  indispensabile 
assicurare: 
o La  certezza  del  destinatario,  verificando  in  maniera  scrupolosa  l’indirizzo  al  quale  si  sta 
inviando il messaggio di posta elettronica 
o L’assenza di riferimenti a stati, fatti o qualità idonei a rilevale dati particolari di qualsivoglia 
interessato 
o La presenza, nel corpo del messaggio o in calce allo stesso, di un’indicazione standardizzata 
con la quale si avverta della riservatezza del messaggio 
o Ove  possibile,  la  protezione  dei  file  allegati  tramite  password  o  cifratura  o  qualsiasi 
strumento volto a impedire eventuali accessi non autorizzati. 
 Le  comunicazioni  tra  articolazioni  funzionali  (es.  tra  dipartimento  e  altro  dipartimento)  devono 
avvenire esclusivamente attraverso le relative caselle di posta e non attraverso quelle personali.  
 Le  comunicazioni  via  posta  elettronica  verso  soggetti  terzi  devono  avvenire  esclusivamente 
attraverso PEC. Qualora il destinatario non sia dotato di PEC, è ammesso in via eccezionale il ricorso 
alla casella di posta elettronica dell’articolazione funzionale.  

Protezione dei dispositivi informatici in dotazione e dei dati personali 
 Tutti i dispositivi informatici devono prevedere l’accesso controllato tramite username e password. 
Laddove  il  proprio  non  ne  faccia  richiesta,  contattare  immediatamente  il  settore  informatico  di 
riferimento. 
 Tutti  i  dispositivi  informatici  utilizzati  devono  essere  dotati  di  firewall  e  software  antivirus, 
antispyware, antimalware costantemente attivi 
 Sui  dispositivi  informatici  utilizzati  devono  essere  installati  esclusivamente  i  software  necessari 
all’attività  lavorativa,  dotati  di  licenza  e  forniti  dalle  strutture  di  appartenenza.  È  fatto  divieto  di 
installazione di software scaricati da Internet o acquistati autonomamente. Laddove fosse necessario 
procedere  al  download  o  all’installazione  di  un  sistema  non  in  dotazione,  contattare  l’area 
informatica di riferimento.  
 Sui  dispositivi  informatici  utilizzati  devono  essere  installati  tutti  gli  aggiornamenti  software  non 
appena vengono resi disponibili, in particolare laddove riguardino difetti e vulnerabilità. Rinviare gli 
aggiornamenti comporta l’esposizione dei sistemi a rischio di violazione. 
 In caso di allontanamento dal proprio pc fisso, assicurarsi di aver attivato la funzione salvaschermo 
con  password  o  di  aver  provveduto  alla  disconnessione.  È  ammesso  altresì  l’uso  della  funzione 
cambia‐utente senza effettuare ulteriori accessi.  
 In caso di uso di dispositivo mobile, oltre alle previsioni di cui al punto precedente, si rende necessario 
che esso non sia mai lasciato incustodito.  
 Laddove  sul  dispositivo  siano  memorizzati  documenti  informatici  contenenti  dati  personali  è 
necessario procedere all’apposizione di una password sul documento o sulla cartella di salvataggio.  
 I dati personali conservati sui dispositivi informatici devono essere cancellati in modo sicuro, prima 
che siano destinati ad usi diversi. 
 È fatto divieto di memorizzazione dei dati personali su dispositivi informatici mobili quali chiavette 
USB,  memory  card,  hard  disk  portatili.  Qualora  sia  indispensabile  derogare  a  tale  precetto,  per 
circostanziate ragioni connesse all’attività lavorativa, è essenziale che i dati personali siano cancellati 
dal dispositivo, in maniera permanente, nel più breve tempo possibile.  

Protezione dei dati e uso di dispositivi personali 
 Qualora un dipendente utilizzi dispositivi personali (es. smartphone, notebook, pc domestico) per 
accedere  a  dati  in  possesso  dell’Ateneo,  deve  assicurarsi  di  non  esporre  questi  ultimi  a  rischio  di 
violazione. È fatto obbligo di adottare i medesimi accorgimenti previsti per i sistemi informatici di 
ufficio in materia di aggiornamento e controllo degli accessi.  
 L’uso di dispositivi personali è consentito a fini di consultazione ed elaborazione: i dati personali in 
possesso  dell’Ateneo  non  devono  essere  memorizzati  su  dispositivi  personali.  Qualora  sia 
indispensabile derogare a tale precetto, per circostanziate ragioni connesse all’attività lavorativa, è 
essenziale che i dati personali siano cancellati dal dispositivo, in maniera permanente, nel più breve 
tempo possibile. Tale principio si applica anche alle informazioni scambiate per e‐mail.  
 In  caso  di  cambio  di  dispositivo  personale,  è  necessario  verificare  l’effettiva  cancellazione 
permanente di tutte le informazioni che potrebbero, direttamente o indirettamente, comportare un 
potenziale rischio per i dati personali di Ateneo.  
 Qualora si verifichino incidenti quali la perdita del dispositivo o eventuali accessi non autorizzati, è 
necessario darne immediata comunicazione al Responsabile della Protezione dei Dati personali di 
Ateneo. 

Gestione degli output 
 Qualora  si  proceda  alla  stampa  di  documenti  contenenti  dati  personali,  in  particolar  modo  in 
presenza di dati particolari o relativi a condanne penali e reati, è fatto obbligo di rimozione immediata 
delle copie cartacee dalla stampante, in maniera tale da evitare che soggetti terzi non autorizzati 
possano accedere alle informazioni in esse contenute. 
 Qualora  una  stampa  non  sia  andata  a  buon  fine  o  presenti  informazioni  ritenute  non  corrette, 
procedere alla sua distruzione con modalità che ne rendano impossibile la ricomposizione.  
 Qualora si effettuino trattamenti che producono report visibili sul monitor della propria postazione, 
evitare  che  essi  possano  essere  accessibili  a  soggetti  terzi.  Allo  scopo,  posizionare  il  monitor  in 
maniera tale che sia visibile al solo operatore.  
 Qualora si utilizzi un sistema di audiolettura di documenti contenenti dati personali, è fatto obbligo 
dell’uso di cuffie.