Contract

All. 1)

Disciplinare del Consiglio Nazionale delle Ricerche in materia di protezione dei dati personali particolari e relativi a condanne penali e reati in attuazione del Regolamento UE 2016/679.

ARTICOLO 1

(Oggetto del Disciplinare)

Il presente Disciplinare adottato in attuazione del Regolamento UE 2016/679 (e del Decreto Legislativo n. 196/2003 (di seguito “Codice in materia di protezione dei dati personali”), identifica le tipologie di dati personali particolari e relativi a condanne penali e reati, i trattamenti realizzabili dal CNR disciplinando la protezione delle persone fisiche in relazione al trattamento dei dati personali e della libera circolazione degli stessi di cui è titolare il CNR.

Il CNR effettua il trattamento dei dati personali, particolari e relativi a condanne penali e reati nel rispetto dei diritti, delle libertà fondamentali e della dignità dell’interessato, nell’ambito delle finalità attività istituzionali, con l’intento di instaurare e mantenere un rapporto di fiducia con il personale e i terzi interessati. Tali dati sono trattati dal personale autorizzato al trattamento. I trattamenti svolti dal CNR per il raggiungimento dei propri fini istituzionali si basano sulla condizione di liceità prevista dall’art. 6, paragrafo 1, lett. e) e art. 9, comma 2 lett. a), g) e j) del Regolamento (UE) 2016/679 (di seguito RGPD) e dall’art. 2-ter, comma 1 e 1-bis e art. 2- sexies, comma 1 del Codice in materia di protezione dei dati personali, aggiornato al Decreto Legislativo 01/2018 e al Decreto Legge 139/2021 (di seguito Codice)

Si intende per:

ARTICOLO 2

(Definizioni)

Dato personale (art. 4 par. 1 n. 1 RGPD): qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Trattamento (art. 4 par. 1 n. 2 RGPD): qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, la strutturazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

Categorie particolari di dati (art. 9 RGPD): i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, dati biometrici atti a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona;

- Dati genetici (art. 4 par. 1 n. 13 RGPD): i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione.

- Dati biometrici (art. 4 par. 1 n. 14 RGPD): i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.

- Dati relativi alla salute (art. 4 par. 1 n. 2 RGPD): i dati personali attinenti alla salute fisica o mentale

di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

- Dati personali relativi a condanne penali e reati (art. 10 RGPD): sono dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica. Ne sono degli esempi: la liberazione condizionale, le misure alternative alla detenzione, i provvedimenti penali di condanna definitivi, l’obbligo di soggiorno.

- Comunicazione (art. 4 lett. a) del Codice), dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato o dalle persone autorizzate al trattamento o coinvolte nelle attività di trattamento. La comunicazione fra titolari che effettuano trattamenti di dati personali, diversi da quelli ricompresi nelle particolari categorie di cui all'articolo 9 del Regolamento e di quelli relativi a condanne penali e reati di cui all'articolo 10 del Regolamento, per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri è ammessa se prevista ai sensi del comma 1 o se necessaria ai sensi del comma 1-bis (2). [In mancanza di tale norma, la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di compiti di interesse pubblico e lo svolgimento di funzioni istituzionali e può essere iniziata se è decorso il termine di quarantacinque giorni dalla relativa comunicazione al Garante, senza che lo stesso abbia adottato una diversa determinazione delle misure da adottarsi a garanzia degli interessati].

- Diffusione (art. 4 lett. b) del Codice: dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;

- Minimizzazione (art. 5 par. 1 lett. c) RGPD): uno dei principi di protezione del dato personale, che prevede che i dati raccolti debbano essere adeguati, pertinenti e limitati a quanto esattamente necessario rispetto alle finalità del trattamento previsto, senza eccedenze;

- Anonimizzazione: la tecnica che viene applicata ai dati personali in modo tale che le persone fisiche interessate non possano più essere identificate in nessun modo;

- Interessato: la persona fisica, la persona giuridica, l’Ente o l’associazione cui si riferiscono i dati personali;

- Responsabile della conservazione dei documenti informatici: figura i cui compiti sono definiti dall’art. 44 del Codice dell’Amministrazione Digitale (emanato con Decreto Legislativo n.82 del 7 marzo 2005, quale risultante dalle successive modifiche e integrazioni, inclusa l’ultima disposizione integrativa e correttiva di cui al Decreto Legislativo 13 dicembre 2017, n. 217);

- Archivio (art. 4, punto 6 - RGPD): qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico.

ARTICOLO 3

(Individuazione dei tipi di dati e di operazioni eseguibili)

In attuazione degli artt. 4, 9 e 10 del RGPD, l’indice dei trattamenti di cui alle schede allegate da 1 a 10 comprese, parte integrante e sostanziale del presente Regolamento, identificano i tipi dati personali particolari e relativi a condanne penali e reati per cui è consentito il relativo trattamento, nonché le operazioni eseguibili in riferimento alle specifiche finalità di rilevante interesse pubblico previste dalla legge nei suddetti allegati. I dati personali particolari e relativi a condanne penali e reati individuati dal presente Disciplinare sono trattati previa verifica della loro pertinenza, completezza e indispensabilità rispetto alle finalità perseguite nella singola fattispecie, in particolare nel caso in cui la raccolta non avvenga presso l’interessato.

Le operazioni di raccolta, registrazione, raffronto organizzazione, conservazione, strutturazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione o qualsiasi altra forma di messa a disposizione, raffronto o interconnessione, limitazione, cancellazione o distruzione individuate nel presente Disciplinare sono ammesse soltanto se indispensabili allo svolgimento degli obblighi o compiti di volta in volta indicati, per il perseguimento delle rilevanti finalità di interesse pubblico specificate e nel rispetto

delle disposizioni in materia di protezione dei dati personali, nonché degli altri limiti imposti dalla legge e dai regolamenti.

I raffronti e le interconnessioni con altri dati personali detenuti dall’Ente sono ammessi solo previa verifica della loro stretta indispensabilità e previa indicazione scritta dei motivi che ne giustificano l’effettuazione.

Le suddette operazioni, se svolte utilizzando banche dati di diversi titolari del trattamento, sono ammesse esclusivamente previa verifica della loro indispensabilità nei singoli casi e nel rispetto dei limiti e con le modalità stabiliti dalle disposizioni legislative.

Sono inutilizzabili i dati trattati in violazione della normativa in materia di trattamento dei dati personali.

Il RGPD prevede per alcune tipologie di trattamento, in particolare per i trattamenti dei dati personali particolari e relativi a condanne penali e reati svolti dai soggetti pubblici per finalità di rilevante interesse pubblico, nel rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22 Codice), potranno restare in vigore (art. 6, paragrafo 2, RGPD) le misure di sicurezza attualmente previste, ove tali regolamenti contengano disposizioni in materia di sicurezza dei trattamenti).

Con riferimento al trattamento di dati personali per finalità di interesse pubblico, ai sensi dell’articolo 6, paragrafo 3, lettera b) del regolamento, il Codice, così come novellato con le modifiche introdotte dal Decreto Legislativo 101/2018 e dall’art. 9 del Decreto Legge 139/2021 recante “Disposizioni urgenti in materia di protezione dei dati personali”, introduce all’art. 2-ter primo comma tra le basi giuridiche del trattamento gli atti amministrativi generali. In particolare, l’art. 2 sexies, comma 1 del Codice, recita: “Per l’adempimento di un compito svolto per l’esecuzione di un pubblico interesse, o connesso all’esercizio di pubblici poteri, è consentito il trattamento di categorie particolari di dati personali, qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato " .

L’art. 2-sexies, comma 1-bis, del Codice, recita: “I dati personali relativi alla salute, privi di elementi identificativi diretti, sono trattati, nel rispetto delle finalità istituzionali di ciascuno, dal Ministero della salute, dall'Istituto superiore di sanità, dall'Agenzia nazionale per i servizi sanitari regionali, dall'Agenzia italiana del farmaco, dall'Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà e, relativamente ai propri assistiti, dalle Regioni anche mediante l’interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, ivi incluso il Fasciolo Sanitario Elettronico (FSE), aventi finalità compatibili con quelle sottese al trattamento, con le modalità e per le finalità fissate con decreto del Ministro della salute, ai sensi del comma 1, previo parere del Garante, nel rispetto di quanto previsto dal Regolamento, dal presente Codice, dal Codice dell’Amministrazione Digitale, di cui al Decreto Legislativo 7 marzo 2005, n. 82, e dalle linee guida dell’Agenzia per l’Italia digitale in materia di interoperabilità.

L’art. 9 del Decreto Legge 139/2021 abroga l’art. 2-quinquiesdecies del Codice, che disciplinava il potere del Garante di intervenire sull’attività della pubblica amministrazione con provvedimenti di carattere generale per prescrivere misure obbligatorie a garanzia dei diritti dei cittadini nel caso di trattamenti a “rischio elevato” svolti nello svolgimento di un interesse pubblico.

ARTICOLO 4

(Principi)

1. Il trattamento dei dati personali viene svolto dal CNR in applicazione dei principi previsti dall’art. 5 del RGPD.

In particolare, i dati personali sono:

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. Un ulteriore trattamento dei dati personali ai fini di archiviazione nel

pubblico interesse, di ricerca scientifica o storica o a fini statistici non è considerato incompatibile con le finalità iniziali. Il periodo di conservazione dei dati e dei documenti è comunque individuabile, diviso per tipologia documentaria, nel Massimario di scarto – Piano di conservazione succitato. Lo scarto a norma e l’eliminazione dei documenti degli Enti pubblici, ai sensi del Decreto Legislativo 22 gen. 2004, n. 42, Codice dei beni culturali e del paesaggio, è soggetto ad ogni modo, alla preventiva autorizzazione della Soprintendenza archivistica territorialmente competente, secondo quanto disposto dall'art. 21, comma 1, lettera d) del suddetto codice.

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;

d) xxxxxx e, se necessario, aggiornati. A tal fine sono adottate misure per cancellare o rettificare i dati inesatti rispetto alle finalità per i quali sono trattati;

e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. I dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, e a condizione dell’attuazione di misure tecniche e organizzative adeguate richieste dal Regolamento UE;

f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale, compresa la protezione, mediante misure tecniche e organizzative adeguate.

2. Tenuto conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, il CNR adotta misure tecniche e organizzative adeguate in grado di comprovare il rispetto dei suddetti principi.

ARTICOLO 5

(Riferimenti normativi)

1. Al fine di semplificare la lettura del presente Disciplinare, le disposizioni di legge, nelle “fonti normative” citate negli allegati, si intendono come recanti le eventuali successive modifiche e integrazioni.

ARTICOLO 6

(Disposizioni finali e generali)

1. Per tutto quanto non previsto nel presente Disciplinare, si applicano le disposizioni ed i principi previsti dal RGPD, dalla Legge, dai Regolamenti, dalle Circolari e dai Disciplinari in materia di trattamento dei dati personali nell’ambito del CNR. Il presente disciplinare non pregiudica e non può essere interpretato in senso non conforme alla normativa dell’Unione europea e italiana in materia. Ogni trattamento dei dati personali particolari e relativi a condanne penali e reati da parte del CNR avviene nel rispetto dei diritti e delle libertà fondamentali dell’interessato ed è consentito solo per lo svolgimento delle funzioni istituzionali e/o gestionali correlate.

ARTICOLO 7

(disposizioni finali)

1. Il presente Disciplinare sostituisce il “Regolamento per il trattamento dei dati sensibili e giudiziari del Consiglio Nazionale delle Ricerche”, prot. n. 0002676 del 12 aprile 2007 e produce effetti fino a successiva modifica e/o revoca del presente documento. Il Titolare si riserva di adeguare, modificare o integrare il testo del presente Disciplinare per motivi organizzativi e/o in caso di eventuali modifiche normative.

ARTICOLO 8

(rinvio)

Per gli ulteriori trattamenti non espressamente individuati nel presente Disciplinare, si rinvia alla disamina della normativa vigente in materia di protezione dei dati personali come indicata all’art. 1 del presente documento.

ALLEGATO 1

Denominazione del trattamento

Attività di gestione del rapporto contrattuale con il personale che opera a vario titolo presso il CNR, ivi incluse le attività propedeutiche all’attivazione del rapporto di lavoro e le procedure di selezione.

Attività connesse per la nomina del rappresentante del personale nel Consiglio di amministrazione, per la nomina dei rappresentanti del personale del Consiglio scientifico di dipartimento, di istituto delle rappresentanze sindacali e dei rappresentanti del personale presso i Comitati delle Aree territoriali di ricerca.

Fonti normative

• Codice civile (artt. 2094-2134);

• D.P.R. del 16 aprile 2013 n. 62 (Codice di comportamento dei dipendenti pubblici);

• Decreto Legislativo n. 81 del 9 aprile 2008 (Attuazione dell'articolo 1 della Legge 3 agosto 2007, n. 123 in materia di tutela della salute e della sicurezza nei luoghi di lavoro;

• Delibera del XXX x. 000 xxx 00 xxxxxxx 0000 (Xxxxxx xx xxxxxxxxxxxxx xxx XXX);

• DPR del 30.06.1965 n. 1124 (T.U. Disposizioni per l’assicurazione obbligatoria contro gli infortuni sul lavoro e le malattie professionali);

• Decreto legislativo del 4 giugno 2003, n. 127 (Riordino del Consiglio Nazionale delle Ricerche);

• Decreto legislativo 31 dicembre 2009, n. 213 (Riordino degli Enti di Ricerca);

• Decreto legislativo 25 novembre 2016, n. 218; Statuto del Consiglio Nazionale delle Ricerche, emanato con provvedimento del Presidente n. 93, prot. AMMCNT-CNR n. 0051080 del 19 luglio 2018, entrato in vigore il 1 agosto 2018;

• Regolamento del personale del Consiglio Nazionale delle Ricerche emanato con decreto del Presidente prot. n. 25035 del 4 maggio 2005, pubblicato nel supplemento ordinario n. 101 nella Gazzetta Ufficiale della Repubblica Italiana n. 124 del 30 maggio 2005;

• Regolamento di Organizzazione e Funzionamento del Consiglio Nazionale delle Ricerche (ROF), emanato con provvedimento del Presidente n.14 di cui al protocollo AMMCNT-CNR n.12030 del 18 febbraio 2019, entrato in vigore in data 1° marzo 2019;

• Provv. n. 112 del 30 ottobre 2020 (Costituzione delle Aree territoriali di Ricerca, ai sensi dell’art. 29 del ROF;

• Regolamento UE 2016/679 (RGPD);

• Decreto Legislativo del 30 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali);

• DPR del 16 aprile 2013 n. 70 in materia di riordino del sistema di formazione dei dipendenti pubblici;

• Legge del 20 maggio n. 300 (Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e nell’attività sindacale nei luoghi di lavoro e norme sul collocamento);

• CCNL;

• Contratti collettivi decentrati;

• Legge del 7 febbraio 1990 n.19 (Modifiche in tema di circostanze, sospensione condizionale della pena e destituzione dei pubblici dipendenti);

• Legge del 12 marzo 1999 n. 68 (Norme per il diritto al lavoro dei disabili);

• Legge del 8 marzo 2000 n. 53 (“Disposizioni per il sostegno della maternità e della paternità, per il diritto alla cura e alla formazione e per il coordinamento dei tempi delle città”);

• Decreto Legislativo del 30 marzo 2001 n. 165 (Norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche);

• D.P.R. del 28 dicembre 2000 n. 445 (Disposizioni legislative in materia di documentazione amministrativa);

• Legge del 14 aprile 1982 n. 164 e s.m.i. (Norme in materia di rettificazione di attribuzione di sesso).

Basi giuridiche

Il trattamento dei dati personali e particolari viene effettuato per l’adempimento di un interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento”, ai sensi dell’art. 6 lettera e) del RGPD e dell’art. 2-ter del Codice.

Categorie di soggetti interessati del trattamento

Personale impiegato a vario titolo presso il CNR.

Tipi di dati trattati

Categorie particolari di dati personali:

• origine razziale o etnica

• opinioni politiche e convinzioni religiose o filosofiche, o appartenenza sindacale

• dati genetici

• dati biometrici

• dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona

• dati giudiziari relativi a condanne penali e reati

Operazioni eseguite

Trattamento ordinario dei dati con modalità informatizzata e cartacea (art. 4 del Regolamento UE 2016/679):

• Raccolta con modalità prevalentemente informatizzata e residualmente in forma cartacea

• Registrazione

• Organizzazione

• Strutturazione

• Conservazione

• Adattamento o modifica

• Estrazione

• Portabilità

• Consultazione

• Uso

• Comunicazione /diffusione:

o alle organizzazioni sindacali ai fini della gestione dei permessi e delle trattenute sindacali relativamente ai dipendenti che hanno rilasciato delega;

o agli Enti assistenziali, previdenziali e assicurativi e autorità locali di pubblica sicurezza;

o agli uffici competenti per il collocamento mirato, relativamente ai dati anagrafici degli assunti appartenenti alle “categorie protette”;

o comunicazioni inerenti: Short Term Mobility, Xxxxx Xxxxx, e eventuali trattamenti derivanti da altre forme analoghe di progetti;

o alle strutture sanitarie competenti per le visite fiscali (art. 5, L. n. 300/1970 e CCNL)

o agli Enti di appartenenza dei lavoratori comandati in entrata (per definire il trattamento retributivo del dipendente);

o all’ISPELS (Decreto Legislativo 9 aprile del 2008 n. 81) o altri Enti o organismi preposti alla vigilanza in materia di igiene e sicurezza nei luoghi di lavoro;

o alla Presidenza del Consiglio dei Ministri – Dipartimento della Funzione Pubblica, in relazione alla gestione ed alla rilevazione annuale dei permessi per cariche sindacali (art. 53 del Decreto Legislativo n. 165/2001, CCNQ in data 7 agosto 1998);

o all’ARAN, per la verifica della rappresentatività sindacale con indicazione numerica del personale amministrativo iscritto alle organizzazioni sindacali, per ogni sede istituzionale;

o all’Autorità giudiziaria ordinaria, amministrativa, Procura della Corte dei Conti.

• Raffronto e interconnessione con altri trattamenti o banche dati delle strutture di Ricerca del CNR;

• Elaborazione: Raffronti di dati con amministrazioni certificanti ai sensi del D.P.R. n. 445/2000;

• Limitazione;

• Cancellazione/Distruzione.

I dati personali di cui all’art. 2-septies comma 1 del Codice non possono essere diffusi.

Descrizione sintetica del trattamento

Il trattamento di dati personali concerne i dati indispensabili all’instaurazione ed alla gestione del rapporto contrattuale a vario titolo con l’Ente (contratti a tempo determinato, indeterminato, part-time, di consulenza, eventuali xx.xx.xx se ammessi, assegnisti, ecc) a partire dai procedimenti concorsuali ivi incluse le attività ad essi propedeutiche o da altre procedure di selezione. I dati personali sono oggetto di trattamento presso le competenti strutture del CNR per quanto riguarda la gestione dell’orario di servizio, le certificazioni di malattie ed altri giustificativi delle assenze; vengono inoltre effettuati trattamenti statistici e di controllo di gestione e l’accertamento dei requisiti per la fruizione di borse di studio o altre agevolazioni. I dati sulle convinzioni religiose possono rendersi necessari per la concessione di permessi per quelle festività la cui fruizione è connessa all’appartenenza a determinate confessioni religiose o in relazione a particolari preferenze alimentari laddove sia previsto un servizio di mensa; quelli sulle opinioni filosofiche o di altro genere possono venire in evidenza dalla documentazione connessa allo svolgimento del servizio di leva come obiettore di coscienza, le informazioni sulla vita sessuale possono desumersi unicamente in caso di rettificazione di attribuzione di sesso. Possono essere raccolti anche dati sulla salute relativi ai familiari del dipendente ai fini della concessione di benefici di natura assistenziale nei soli casi previsti dalla legge. I dati giudiziari vengono trattati nel caso in cui a seguito di comunicazione giudiziaria occorra instaurare un procedimento disciplinare. I dati pervengono su iniziativa dei dipendenti e/o previa richiesta da parte dell’Ente. I dati vengono trattati ai fini dell’applicazione dei vari istituti contrattuali disciplinati dalla legge e dal CCNL (gestione giuridica, economica, previdenziale, pensionistica, attività di aggiornamento e formazione). Vengono effettuati raffronti con Amministrazioni e gestori di pubblici servizi: tali operazioni sono finalizzate esclusivamente all’accertamento d’ufficio di stati, qualità e fatti ovvero al controllo sulle dichiarazioni sostitutive ai sensi dell’art. 43 del D.P.R. n. 445/2000. L’Amministrazione nell’ambito delle attività connesse all’esercizio dei diritti sindacali provvede a comunicare all’ARAN l’elettorato attivo e a raccogliere gli elenchi dell’elettorato passivo degli iscritti delle varie XX.XX. maggiormente rappresentative (artt. 42 e 43 del Decreto Legislativo 30.3.2001, n.165).

Trattamento e misure di sicurezza - Dati particolari

I trattamenti delle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, del RGPD, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato (Art. 2-sexies, comma 1 e del Codice).

Si applicano le misure di sicurezza di cui all’art. 32 del RGPD, ivi comprese la cifratura, la minimizzazione e la pseudonimizzazione. E’ necessario condurre una preventiva analisi dei rischi che consenta di calcolare il livello di rischio intrinseco dell’attività svolta. Quando un trattamento, considerati una serie di fattori quali la natura, l’oggetto, il contesto e la finalità di trattamento, presenti un rischio elevato per i diritti e le libertà delle persone, occorre effettuare la valutazione d’impatto, ai sensi dell’art. 35 del RGPD.

Trattamento e misure di sicurezza - Dati relativi a condanne penali e reati

L’art. 2-octies del Decreto Legislativo 196/2003 che disciplina la materia trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza sulla base dell'art. 6, paragrafo 1, del RGPD, che non avviene sotto il controllo dell'autorità pubblica, è consentito, ai sensi dell'art. 10 del medesimo regolamento, solo se autorizzato da una norma di legge o, nei casi previsti dalla legge o dal regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

In mancanza delle predette disposizioni di legge o di regolamento, i trattamenti dei dati di cui al comma 1 nonché le garanzie di cui al medesimo comma sono individuati con decreto del Ministro della giustizia, da adottarsi, ai sensi dell'art. 17, comma 3, della legge 23 agosto 1988, n. 400, sentito il Garante.

È in ogni caso fatta salva, nell’ambito dell’esecuzione del trattamento l’applicazione delle regole deontologiche nonché delle autorizzazioni generali del Garante per la protezione dei dati personali.

Tempi di conservazione

I fascicoli nominativi del personale o di chiunque instauri, a qualsiasi titolo, un rapporto di lavoro con l’Ente, come pure i fascicoli nominativi dei membri degli organismi collegiali dell’Ente saranno conservati a tempo illimitato presso l’archivio dell’Ente. Essi possono essere sottoposti a sfoltimento (eliminando fotocopie ridondanti, bozze di lavoro, appunti, etc.), operazione che verrà eseguita seguendo la tempistica prevista per le singole classi documentali. Tale attività, inoltre, ove fosse necessaria, così come lo scarto a norma, verrà effettuata sulla base di quanto xxxxxxx nel citato Massimario di scarto/Piano di conservazione dei documenti d’archivio del CNR. La documentazione relativa alle selezioni o alle procedure concorsuali sulla base delle quali i suddetti soggetti sono risultati vincitori, verrà anch’essa conservata a tempo illimitato. In particolare verranno conservati: i bandi, gli atti di nomina delle commissioni esaminatrici, i verbali/delibere prodotte dalle commissioni e le graduatorie di merito. La documentazione prodotta dai vincitori e idonei delle summenzionate selezioni sarà conservata anch’essa a tempo illimitato.

ALLEGATO N. 2

Denominazione del trattamento

Attività relativa al riconoscimento di benefici connessi all’invalidità civile per il personale impiegato a vario titolo presso il CNR e all’invalidità derivante da cause di servizio, nonché da riconoscimento di inabilità a svolgere attività lavorativa.

Fonti normative

• D.P.R. 30.06.1965, n. 1124 - (Testo unico delle disposizioni per l'assicurazione obbligatoria contro gli infortuni sul lavoro e le malattie professionali). Ultimo aggiornamento L. 28 giugno 2019, n. 58;

• L. 24.05.1970, n. 336 – (Norme a favore dei dipendenti civili dello Stato ed Enti pubblici ex combattenti ed assimilati). Ultimo aggiornamento L. 23 dicembre 1992, n. 498;

• L. 05.02.1992, n. 104 – (L. quadro per l'assistenza, l'integrazione sociale ed i diritti delle persone handicappate). Ultimo aggiornamento Decreto Legge 19 maggio 2020, n. 34;

• L. 12.03.1999, n. 68 – (Norme per il diritto al lavoro dei disabili). Ultimo aggiornamento L. 17 luglio 2020, n. 77;

• D.P.R. 29.10.2001, n.461 – (Regolamento recante semplificazione dei procedimenti per il riconoscimento della dipendenza delle infermità da causa di servizio, per la concessione della pensione privilegiata ordinaria e dell'equo indennizzo, nonché per il funzionamento e la composizione del comitato per le pensioni privilegiate ordinarie). Ultimo aggiornamento D.P.R. 24 febbraio 2012, n. 40;

• L. 08.08.1995, n. 335 – (Riforma del sistema pensionistico obbligatorio e complementare). Ultimo aggiornamento Decreto del Ministero del lavoro e delle politiche sociali del 1 giugno 2020;

• L. 23.12.2000, n. 388 – Xxxxxx xxxxxxxxxxxxx X.X. 00 xxxxxx 0000, x. 00;

• D. P.R. 28.12.2000, n. 445 Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa - Ultimo aggiornamento D.L. 16 luglio 2020, n. 76;

• Regolamento del Personale D.P. CNR prot. n. 25035 del 4 maggio 2005 (G.U. n. 124 del 30 maggio 2005).

Basi giuridiche del trattamento

Il trattamento dei dati personali e particolari viene effettuato per l’adempimento di un interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento, ai sensi dell’art. 6 lettera e) del RGPD e dell’art. 2-sexies, comma 1 del Codice.

Categorie di soggetti interessati del trattamento

Personale impiegato a vario titolo presso il CNR.

Tipi di dati trattati:

Categorie particolari di dati personali:

• Origine razziale/etnica

• Stato di salute

• Patologie attuali/patologie pregresse/terapie in corso anche relative ai familiari

Operazioni eseguite

Raccolta con modalità prevalentemente informatizzata e residualmente in forma cartacea (art. 4 del RGPD UE 2016/679):

• Raccolta presso gli interessati/presso terzi

• Registrazione

• Organizzazione

• Strutturazione

• Conservazione

• Adattamento o modifica

• Estrazione

• Consultazione

• Uso

• Comunicazione /diffusione:

o all’INAIL (per verificare la liquidazione in caso di equo indennizzo ai sensi del D.P.R. n. 1124/1965);

o al Comitato di verifica per le cause di servizio e Commissione medica territorialmente competente (per conseguire il parere definitivo di riconoscimento della causa di servizio ai sensi del d.P.R. n. 461/2001);

o all’INPS (in caso di inabilità assoluta e permanente a qualsiasi attività lavorativa ai fini dell’erogazione del relativo trattamento di pensione e del riconoscimento del diritto alla pensione privilegiata ai sensi della L. n. 335/1995 e del D.P.R. 29.10.2001, n. 461);

o alle società assicuratrici (per la valutazione e la copertura economica degli indennizzi per infortuni e per malattie contratte per causa di servizio).

• Raffronto e interconnessione con amministrazioni certificanti ai sensi del D.P.R. n. 445/2000

• Elaborazione

• Limitazione

Descrizione sintetica del trattamento

I dati sanitari vengono acquisiti dall’interessato e da terzi previa richiesta dell’interessato (in particolare dalla Commissione medico ospedaliera territorialmente competente per l’accertamento delle condizioni di idoneità al servizio e dal Comitato di verifica per le cause di servizio in caso di richiesta di riconoscimento di invalidità dipendente da causa di servizio e/o equo indennizzo). In caso di richiesta di pensione privilegiata, i dati vengono trasmessi all'I.N.P.S. per l’erogazione del trattamento pensionistico. Uguale trasmissione si ha nell’ipotesi di richiesta di riconoscimento alla contribuzione figurativa di cui all’art. 80, L. n. 388/2000. Esperita l’istruttoria, la determinazione dirigenziale relativa al riconoscimento all’invalidità viene comunicata all’INAIL (per gli accertamenti connessi alla liquidazione ai sensi dell’art. 130 n Decreto Legislativo. 112/1998). Vengono effettuati raffronti e sono raccolti altresì dati presso altre amministrazioni e gestori di pubblici servizi: tale tipo di operazioni sono finalizzate esclusivamente all’accertamento d’ufficio di stati, qualità e fatti ovvero al controllo sulle dichiarazioni sostitutive ai sensi dell’art. 43 del D.P.R. n. 445/2000. I dati sull’origine etnica sono trattati soltanto ove indispensabili per l’acquisizione di benefici in favore di profughi e internati in campi di sterminio. I dati sull'origine etnica sono trattati per verificare i requisiti per l'accesso ai benefici di legge per i reduci civili dall'internamento, laddove l'interessato ne faccia richiesta.

Trattamento e misure di sicurezza - Dati particolari

I trattamenti delle categorie particolari di dati personali di cui all'art. 9, paragrafo 1, del RGPD, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato (art. 2-sexies, comma 1 del Codice).

Trattamento e misure di sicurezza - Dati relativi a condanne penali e reati

non avviene sotto il controllo dell'autorità pubblica, è consentito, ai sensi dell'art. 10 del medesimo regolamento, solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

Tempi di conservazione

I fascicoli nominativi del personale o di chiunque instauri, a qualsiasi titolo, un rapporto di lavoro con l’Ente saranno conservati a tempo illimitato presso l’archivio dell’Ente. Essi possono essere sottoposti a sfoltimento in itinere di documentazione (fotocopie ridondanti, bozze di lavoro, appunti, etc.) operazione che verrà eseguita rispettando la tempistica prevista per le singole classi documentali. Tale attività, inoltre, ove fosse necessaria, così come lo scarto a norma, verrà effettuata sulla base di quanto sancito nel Massimario di scarto/Piano di conservazione dei documenti d’archivio del CNR. La documentazione e i dati relativi alle malattie, invalidità, infortuni (anche di servizio) o infermità (anche per causa di servizio) dei dipendenti trova collocazione in un’apposita sotto partizione del fascicolo nominativo il cui accesso è controllato. Relativamente ai tempi di conservazione si distinguono due tipologie di certificazioni sanitarie: quelle legate a una malattia momentanea e priva di ricadute sul dipendente che saranno conservati per 10 anni data del certificato e quelle legate a una malattia professionale o comunque da un ipotetico danno c.d. “lungolatente” i cui tempi di conservazione sono 40 anni dalla cessazione del rapporto di lavoro o della quiescenza) in assenza di pendenze disciplinari o giudiziarie.

ALLEGATO N. 3

Denominazione del trattamento

Attività relativa all’infortunistica stradale

Fonti normative

• Decreto legislativo 30 aprile 1992, n. 285, recante «nuovo codice della strada»;

• D.P.R. 16.12.1992, n. 495, recante «Regolamento di esecuzione e di attuazione del nuovo codice della strada»;

• D.P.R. 23.08.1988, n. 395 art.6 – Copertura assicurativa;

• D.P.R. 12.2.1991, n. 171 art.9 – Copertura assicurativa;

• CCNL Comparto Istituzioni ed Enti di Ricerca

Basi giuridiche del trattamento

Tipi di dati trattati

Categorie particolari di dati personali (artt. 9 -10 RGPD):

• Origine razziale/etnica

• Stato di salute

• Patologie attuali/patologie pregresse/terapie in corso

• Dati giudiziari relativi a condanne penali e reati

Operazioni eseguite

Raccolta con modalità prevalentemente informatizzata e residualmente in forma cartacea (art. 4 del RGPD UE 2016/679):

• Raccolta presso gli interessati/presso terzi

• Registrazione

• Organizzazione

• Strutturazione

• Conservazione

• Adattamento o modifica

• Estrazione

• Consultazione

• Uso

• Comunicazione /diffusione:

o alla società di noleggio delle autovetture in base a quanto previsto dal contratto;

o alle imprese di assicurazione nei casi consentiti dalla legge ai fini del risarcimento dei danni;

• Raffronto e interconnessione con amministrazioni certificanti ai sensi del D.P.R. n. 445/2000 Elaborazione

Limitazione

Descrizione sintetica del trattamento

I dati vengono acquisiti in occasione della rilevazione di incidenti e/o infortuni; gli stessi sono trattati nei limiti strettamente indispensabili per l’accertamento dei fatti al fine del risarcimento danni.

Trattamento e misure di sicurezza - Dati particolari

I trattamenti delle categorie particolari di dati personali di cui all'art. 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato (art. 2-sexies, comma 1 del Codice).

Trattamento e misure di sicurezza - Dati relativi a condanne penali e reati

L’art. 2-octies del Decreto Legislativo 196/2003 che disciplina la materia trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza sulla base dell'art. 6, paragrafo 1, del Regolamento, che non avviene sotto il controllo dell'autorità pubblica, è consentito, ai sensi dell'art. 10 del medesimo regolamento, solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

Tempi di conservazione

La documentazione, anche sanitaria, relativa ad infortuni/incidenti sul lavoro dei dipendenti che convoglia nel fascicolo personale, trova collocazione in una apposita sotto partizione il cui accesso è controllato, essa, come l’intero fascicolo nominativo del dipendente è sottoposto a conservazione illimitata. La documentazione, anche sanitaria, relativa all’infortunio, che, altresì, è convogliata all’intero di documentazione giudiziaria in caso di contenzioso è sottoposta a conservazione illimitata, così come il fascicolo del contenzioso. I provvedimenti relativi a infortuni sul lavoro e a malattie professionali dipendenti da cause di servizio, dichiarazioni di infermità ed equo indennizzo, le pratiche di riconoscimento di infermità per cause di servizio sono conservati a tempo illimitato. Le richieste generiche del personale relative ad infortuni sul lavoro e a malattie professionali dipendenti da cause di servizio saranno conservate per10 anni dalla cessazione del rapporto di lavoro in assenza di pendenze disciplinari o giudiziarie. Relativamente ai tempi di conservazione si distinguono due tipologie di certificazioni sanitarie: quelle legate a una malattia momentanea e priva di ricadute sul dipendente che saranno conservati per 10 anni dalla data del certificato e quelle legate a una malattia professionale o comunque da un ipotetico danno c.d. “lungolatente” i cui tempi di conservazione sono 40 anni dalla cessazione del rapporto di lavoro o della quiescenza) in assenza di pendenze disciplinari o giudiziarie, Se, di contro, si tratta di incidenti/infortuni che danno luogo a contenziosi, civili o penali, essi sono conservati illimitatamente per le ragioni sopra descritte.

ALLEGATO 4

Denominazione del trattamento e categorie dei soggetti interessati

Attività relative alla consulenza giuridica, gestione del contenzioso giudiziale e stragiudiziale nonché alla consulenza e copertura assicurativa in caso di responsabilità civile verso terzi dell’amministrazione, per finalità volte a fare valere il diritto di difesa in sede amministrativa o giudiziaria e correlate alla gestione del rapporto di lavoro.

Fonti normative

• Decreto Legislativo del 4 giugno 2003, n. 127; Decreto legislativo 31 dicembre 2009, n. 213;

• Decreto Legislativo 5 novembre 2016, n. 218;

• Statuto del Consiglio Nazionale delle Ricerche, emanato con provvedimento del Presidente n. 93, prot. AMMCNT-CNR n. 0051080 del 19 luglio 2018, entrato in vigore il 1 agosto 2018;

• Regolamento di organizzazione e funzionamento del Consiglio Nazionale delle Ricerche, emanato con provvedimento del Presidente n.14 di cui al protocollo AMMCNT-CNR n.12030 del 18 febbraio 2019, entrato in vigore in data 1°marzo 2019;

• Regolamento di amministrazione contabilità e finanza del Consiglio Nazionale delle Ricerche, emanato con decreto del Presidente del 4 maggio 2005, prot. n. 25034 e pubblicato nel supplemento ordinario n. 101 alla Gazzetta Ufficiale della Repubblica Italiana n. 124 del 30 maggio 2005;

• Regolamento del personale del Consiglio Nazionale delle Ricerche emanato con decreto del Presidente prot. n. 25035 in data 4 maggio 2005, pubblicato nel supplemento ordinario n. 101 alla Gazzetta Ufficiale della Repubblica Italiana n. 124 del 30 maggio 2005;

• Regolamento UE 2016/679; Decreto legislativo del 30.06.2003 n. 196;

• Decreto legislativo 33 del 2013;

• Leggi sulla giustizia amministrativa;

• Decreto Legge 30.03.2001, n 165;

• Xxxxxxx xxx Xxxxxxxxxx xxxxx Xxxxxxxxxx 00 Ottobre 2001 n. 461.

Basi giuridiche

Il trattamento delle categorie particolari di dati personali viene effettuato per l’adempimento di un interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento, ai sensi dell’art. 6 lettera e) del RGPD e dell’art. 2-sexies, comma 1 del “Codice”.

Categorie di soggetti interessati del trattamento

Personale impiegato a vario titolo presso il CNR.

Tipi di dati trattati

Categorie particolari di dati personali:

• origine razziale o etnica

• opinioni politiche e convinzioni religiose o filosofiche, o appartenenza sindacale

• dati genetici

• dati biometrici

• dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona

• dati giudiziari relativi a condanne penali e reati

Operazioni eseguite

Trattamento ordinario dei dati con modalità informatizzata e cartacea (art. 4 del Regolamento UE 2016/679):

• Raccolta con modalità prevalentemente informatizzata e residualmente in forma cartacea

• Registrazione

• Organizzazione

• Strutturazione

• Conservazione

• Adattamento o modifica

• Estrazione

• Portabilità

• Consultazione

• Uso

• Comunicazione /diffusione:

o Autorità giudiziaria e Corte dei Conti qualora indispensabile per i giudizi davanti alla Corte o altra giurisdizione, Consiglio di Stato, Avvocatura Generale dello Stato, Avvocati e consulenti tecnici incaricati dall’Autorità giudiziaria, Uffici provinciali del lavoro, Enti previdenziali (INAIL, INPS, INPDAP), sindacati, incaricati di indagini difensive proprie e altrui, consulenti della controparte (per le finalità di corrispondenza sia in fase pregiudiziale, sia in corso di causa, per la gestione dei sinistri causati direttamente o indirettamente a terzi);

o Società assicuratrici (per la valutazione e la copertura economica degli indennizzi per la responsabilità civile verso terzi);

o Alle amministrazioni coinvolte nel caso in cui venga presentato ricorso straordinario al Capo di Stato (per la relativa trattazione, ai sensi della legge n.1199/1971);

o Ministero del Lavoro (Uff. Prov. Lav.) per tentativo obbligatorio di conciliazione

o Raffronto e interconnessione con altri trattamenti o banche dati delle strutture di Ricerca del CNR;

o Elaborazione: raffronti di dati con amministrazioni certificanti ai sensi del D.P.R. n. 445/2000

o Limitazione

o Cancellazione/Distruzione.

I dati personali di cui all’art. 2-septies comma 1 del Codice non possono essere diffusi.

Descrizione sintetica del trattamento

I trattamenti di dati personali particolari e giudiziari sono effettuati nei limiti necessari per l’esercizio delle funzioni istituzionali dei singoli organi. In particolare, la predisposizione degli atti e della documentazione prodotta nell’esercizio delle funzioni istituzionali degli organi.

I trattamenti possono riguardare comunicazioni alla Corte dei Conti, altra giurisdizione o altre Autorità Garanti (Garante per la protezione dei dati personali, Garante ANAC etc.) qualora siano indispensabili per giudizi, comunicazioni al Ministero vigilante in base a disposizioni di leggi o regolamenti e per fornire elementi di risposta ad atti di sindacato ispettivo rivolti da parlamentari al Ministro o ad altri esponenti del Governo.

Inoltre, potrebbero essere oggetto di trattamento i dati relativi ad eventuali Whistleblower, L. 30 novembre 2017, n. 179 “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato”.

Trattamento e misure di sicurezza - Dati particolari

I trattamenti delle categorie particolari di dati personali di cui all'art.9, paragrafo 1, del RGPD, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato (art. 2-sexies, comma 1 e del Codice), oltre che dall’art. 24 e dall’art. 113 della Costituzione.

Trattamento e misure di sicurezza - Dati relativi a condanne penali e reati

L’art. 2-octies del Decreto Legislativo 196/2003 che disciplina la materia trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza sulla base dell'art. 6, paragrafo 1, del Regolamento, che non avviene sotto il controllo dell'autorità pubblica, è consentito, ai sensi dell'art. 10 del medesimo regolamento, solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di Regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

Tempi di conservazione

La documentazione inerente il contenzioso giudiziale e stragiudiziale, i ricorsi amministrativi, le ordinanze- ingiunzioni, i procedimenti penali, i procedimenti disciplinari, è conservata a tempo illimitato. In dettaglio: gli atti relativi al contenzioso civile, amministrativo, giuslavoristico, i decreti di rappresentanza e difesa in giudizio dell'Ente, i pignoramenti verso terzi aventi ad oggetto trattamenti retributivi, le segnalazioni, denunce, querele all'autorità giudiziaria, violazioni amministrative e reati, documentazione relativa a comportamenti antigiuridici, liberi e volontari punibili per legge (es: multe, contravvenzioni). Relativamente alla responsabilità civile, penale e amministrativa del personale si conserva sempre illimitatamente: la documentazione inerente danno a terzi, incidenti, infortuni (es: lettera di denuncia, certificati medici, trasmissione documentazione per apertura pratica con compagnia assicurativa, dichiarazioni, decreti di nomina periti o legali), segnalazioni e richieste della Corte dei Conti, altra giurisdizione o altre Autorità Garanti, richieste risarcimento danni, atti della procura o autorità di PS, atti relativi a sospesi cautelari, atti relativi alla sospensione per effetto di condanna penale, atti concernenti giudizi di responsabilità verso l’amministrazione o verso terzi. Tale documentazione può essere sottoposta a sfoltimento (eliminando fotocopie ridondanti, bozze di lavoro, appunti, etc.).

ALLEGATO 5

Denominazione del trattamento

Trattamento dei dati personali nell’ambito dell’attività istituzionale degli organi dell’Ente.

Fonti normative

• Decreto legislativo del 4 giugno 2003, n. 127;

• Decreto legislativo 31 dicembre 2009, n. 213;

• Decreto legislativo 25 novembre 2016, n. 218;

• Statuto del Consiglio Nazionale delle Ricerche, emanato con provvedimento del Presidente n. 93, prot. AMMCNT-CNR n. 0051080 del 19 luglio 2018, entrato in vigore il 1° agosto 2018;

• Regolamento di Organizzazione e Funzionamento del Consiglio Nazionale delle Ricerche, emanato con provvedimento del Presidente n.14 di cui al protocollo AMMCNT-CNR n.12030 del 18 febbraio 2019, entrato in vigore in data 1°marzo 2019;

• Regolamento UE 2016/679;

• Decreto legislativo del 30.06.2003, n. 196; Decreto legislativo 33 del 2013;

• Decreto legislativo 30 luglio 1999 n. 286;

• Provv. Ordinamentale n. 102 del DG prot. 0046788/2019 del 27.06.2019.

Basi giuridiche del trattamento

Categorie dei soggetti interessati

Presidente, Consiglio di amministrazione, Consiglio Scientifico, Collegio dei revisori dei conti.

Tipi di dati trattati

Categorie particolari di dati personali:

• origine razziale o etnica;

• le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale

• dati genetici

• dati biometrici

• dati relativi alla salute

• alla vita sessuale o all’orientamento sessuale della persona.

• dati giudiziari: dati personali relativi alle condanne penali, reati e o a connesse misure di sicurezza.

Operazioni eseguite

Trattamento ordinario dei dati prevalentemente in modalità informatizzata e residualmente in forma cartacea (art.4 del Regolamento UE 2016/679):

• Raccolta presso gli interessati/presso terzi

• Registrazione

• Organizzazione

• Strutturazione

• Conservazione

• Adattamento o modifica

• Estrazione

• Consultazione

• Portabilità

• Uso

• Comunicazione /diffusione:

o Ministero vigilante nell’ambito delle richieste formulate per l’espletamento delle funzioni di vigilanza e per fornire elementi di risposta agli atti di sindacato ispettivo del Parlamento;

o Autorità giudiziaria e Corte dei Conti qualora indispensabile per i giudizi davanti alla Corte o altra giurisdizione;

• Raffronto e interconnessione con amministrazioni certificanti ai sensi del D.P.R. n. 445/2000

• Elaborazione

• Limitazione

Descrizione sintetica del trattamento

I trattamenti possono riguardare comunicazioni alla Corte dei Conti, altra giurisdizione o altre Autorità Garanti (Garante per la protezione dei dati personali, Garante ANAC etc) qualora siano indispensabili per giudizi, comunicazioni al Ministero vigilante in base a disposizioni di leggi o regolamenti e per fornire elementi di risposta ad atti di sindacato ispettivo rivolti da parlamentari al Ministro o ad altri esponenti del Governo.

Inoltre, potrebbero essere oggetto di trattamento i dati relativi ad eventuali Whistelblower (L. 30 novembre 2017, n. 179 “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato”).

Trattamento e misure di sicurezza - Dati particolari

Trattamento e misure di sicurezza - Dati relativi a condanne penali e reati

L’art. 2-octies del Decreto Legislativo 196/2003 che disciplina la materia trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza sulla base dell'art. 6, paragrafo 1, del Regolamento, che non avviene sotto il controllo dell'autorità pubblica, è consentito, ai sensi dell'art. 10 del medesimo Regolamento, solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

In mancanza delle predette disposizioni di legge o di regolamento, i trattamenti dei dati di cui al comma 1 nonché le garanzie di cui al medesimo comma sono individuati con decreto del Ministro della giustizia, ai sensi dell'art. 17, comma 3, della legge 23 agosto 1988, n. 400, sentito il Garante.

Tempi di conservazione

Tutta la documentazione relativa alle nomine, dimissioni, revoche, indennità, funzioni di rappresentanza degli organi direttivi e collegiali, come pure la attestazione documentale prodotta dagli organi nell’esercizio del proprie funzioni e/o durante lo svolgimento della sedute degli stessi, i documenti di analisi, di studio e di valutazione strategica, la documentazione relativa all’organizzazione interna, regolamentazione e funzionamento, dotazione organica dell’Ente, è sottoposta a conservazione illimitata. Essa può essere sottoposta a sfoltimento prima del passaggio all’Archivio di Deposito dell’Ente, ossia all’eliminazione del materiale che non ha valenza giuridica e che quindi può essere inviato al macero senza richiedere l’autorizzazione della Soprintendenza Archivistica e bibliografica territorialmente competente, si tratta di appunti, fotocopie, bozze di documenti, copie di lavoro, etc. Relativamente alle attività di dettaglio si rimanda al prontuario per la conservazione, selezione e scarto allegato al Massimario di scarto/Piano di Conservazione e allo Scadenziario allegato allo stesso. La documentazione inerente le misure di prevenzione per la riduzione del rischio, piani, atti di prevenzione della corruzione e adempimenti, obblighi in materia di anticorruzione e adempimenti, verbali di lavoro, segnalazioni di illeciti e irregolarità (whistleblower) è conservata a tempo illimitato.

ALLEGATO 6

Denominazione del trattamento

Attività di gestione delle biblioteche, dei centri di documentazione aperti al pubblico e dei musei

Fonti normative:

• Decreto legislativo del 4 giugno 2003, n. 127 (Riordino del CNR);

• Statuto del Consiglio Nazionale delle Ricerche, emanato con provvedimento del Presidente n. 93, prot. AMMCNT-CNR n. 0051080 del 19 luglio 2018, entrato in vigore il 1°agosto 2018;

• Regolamento generale sulla protezione dei dati - RGPD (Regolamento UE 2016/679);

• 3 Decreto Legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) come modificato dal Decreto Legislativo 10 agosto 2018;

• Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica pubblicate ai sensi dell’art. 20, comma 4, del Decreto Legislativo 10 agosto 2018, n. 101 - 19 dicembre 2018;

• Prescrizioni contenute nelle autorizzazioni generali ai sensi dell’art. 21 Decreto Legislativo n. 101/2018 nelle specifiche materie (Provvedimento dell’Autorità Garante n. 146/2019);

• Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del Decreto Legislativo 10 agosto 2018, n. 101 - 19 dicembre 2018;

Basi giuridiche del trattamento

Il trattamento delle categorie particolari di dati personali viene effettuato per l’adempimento di un interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento dati”, ai sensi dell’art. 6 lettera e) del RGPD e dell’art. 2-ter del “Codice”.

Tipi di dati trattati

Categorie particolari di dati personali:

• Stato di salute: patologie attuali.

Operazioni eseguite

Trattamento ordinario dei dati prevalentemente con modalità informatizzata e residualmente cartacea (art.4 del RGPD):

• Raccolta presso gli interessati

• Registrazione

• Organizzazione

• Strutturazione

• Portabilità

• Conservazione

• Adattamento o modifica

• Estrazione

• Consultazione

• Uso

• Comunicazione /diffusione:

o altri enti, istituzioni e organismi pubblici e esclusivamente per finalità previste dalla legge;

• Limitazione

• Cancellazione/Distruzione

Categorie di soggetti interessati del trattamento

Il trattamento dei dati riguarda minori e soggetti bisognosi, non autosufficienti e incapaci, ai sensi dell’art. 73 del Decreto Legislativo 101/2018 UE 2016/679, comma 1, lettera s) e disabili previa informativa che indica: il tipo di dati; le operazioni eseguite; le basi giuridiche e le modalità di trattamento, la comunicazione.

Descrizione sintetica del trattamento

Le attività di trattamento sono mirate alla promozione della cultura scientifica, ai sensi dell’art. 6, comma 1, lett. e) e dell’art. 9, comma 2, lett. g) del Regolamento (UE) 2016/679, nonché per attività socio assistenziali a tutela dei minori e dei soggetti bisognosi, non autosufficienti e incapaci, ai sensi dell’art. 73, comma 1, lettera

s) e art. 86, lettera a) del Decreto Legislativo 101/2018.

Alcuni dati sulle condizioni di salute possono essere acquisiti al solo fine di consentire l'utilizzo di specifici ausili atti a garantire ai diversamente abili — ai sensi della legge 104/92 — il pieno ed autonomo godimento dei servizi e delle risorse informatiche della biblioteca, dei centri di documentazione e dei musei.

Trattamento e misure di sicurezza - Dati particolari

Trattamento e misure di sicurezza - Dati relativi a condanne penali e reati

L’art. 2-octies del 1 Decreto Legislativo 96/2003 che disciplina la materia trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza sulla base dell'art. 6, paragrafo 1, del RGPD, che non avviene sotto il controllo dell'autorità pubblica, è consentito, ai sensi dell'art. 10 del medesimo regolamento, solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, dal regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

Tempi di conservazione

La documentazione di indirizzo strategico e operativo, le linee guida i regolamenti, i rapporti con gli organi vigilanti e tutta la documentazione relativa al funzionamento, gestione organizzativa e funzionale, le attività di recupero, conservazione, tutela e valorizzazione delle Biblioteche, della Sezione storica di Archivio, delle Teche CNR, dei Centri di documentazione come pure dei Musei (cataloghi, inventari, titolari, banche dati, schedari, piattaforme documentali, rubriche, indici, repertori, documenti relativi a riordinamenti, scarti archivistici e bibliografici, ed, in generale, interventi sui beni storico-culturali e ogni strumento di gestione archivistica, bibliografica, di fonti storiche o multimediali, su supporto cartaceo o informatico o sottoforma di banche dati) sono sottoposti a conservazione illimitata. La documentazione che contiene le istanze di accesso/informazione/consultazione/riproduzione/autorizzazione alla pubblicazione avanzate da utenti esterni o interni verrà raccolta in serie archivistiche omogenee i cui tempi di conservazione sono 10 anni.

ALLEGATO N. 7

Denominazione del trattamento

Attività di ricerca scientifica

Fonti normative

• Decreto Legislativo del 4 giugno 2003, n. 127 (Riordino del CNR);

• Statuto del Consiglio Nazionale delle Ricerche, emanato con provvedimento del Presidente n. 93, prot. AMMCNT-CNR n. 0051080 del 19 luglio 2018, entrato in vigore il 1° agosto 2018;

• Regolamento generale sulla protezione dei dati - RGPD (Regolamento UE 2016/679);

• Decreto Legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) come modificato dal. Decreto Legislativo 10 agosto 2018;

• Prescrizioni contenute nelle autorizzazioni generali ai sensi dell’art. 21 Decreto Legislativo n. 101/2018 nelle specifiche materie (Provvedimento dell’Autorità Garante n. 146/2019);

• Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del Decreto Legislativo 10 agosto 2018, n. 101 - 19 dicembre 2018;

• Guidelines 07/2020 on the concepts of controller and processor in the RGPD, del Comitato europeo per la protezione dei dati;

Basi giuridiche del trattamento

Il trattamento delle categorie particolari di dati personali viene effettuato per il perseguimento dell’interesse pubblico ai fini di ricerca scientifica ai sensi dell’art. 6, comma 1, lett. e), art. 9 comma 2, lett. a), g), i) , j) e art. 2-sexies del Decreto Legislativo 196/2003.

Tipi di dati trattati

Categorie particolari di dati personali:

• Origine razziale/etnica

• Orientamento sessuale, politico e religioso

• Geolocalizzazione

• Abitudini e stili di vita

Operazioni eseguite

Trattamento ordinario dei dati con modalità informatizzata e cartacea (art. 4 del Regolamento UE 2016/679):

• Raccolta presso gli interessati/presso terzi

• Registrazione

• Organizzazione

• Strutturazione

• Conservazione: in conformità all’art. 5, comma 1, lett. e) del Regolamento UE 2016/679 e secondo le specifiche di cui al c. 2, art. 3 delle Regole deontologiche del Garante privacy.

• Adattamento o modifica

• Estrazione

• Consultazione

• Portabilità

• Uso

• Comunicazione /diffusione:

o altri enti, istituzioni e organismi pubblici e privati aventi finalità di ricerca, esclusivamente nell’ambito di progetti congiunti;

o altri enti, istituzioni e organismi pubblici e privati, aventi finalità di ricerca e non partecipanti a progetti congiunti, limitatamente a informazioni prive di dati identificativi e per scopi storici o scientifici chiaramente determinati per iscritto nella richiesta dei dati in tali casi si applicano gli artt. 6, 9 e 10 del Reg. (EU) 2016/679 e degli artt. 2-ter, 2-sexies, 2-septies e 2-octies del Decreto Legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) come modificato dal 1 Decreto Legislativo 10 agosto 2018.

• Raffronto e interconnessione con altri trattamenti o banche dati delle strutture di Ricerca del CNR.

• Limitazione

• Cancellazione/Distruzione

Categorie di soggetti interessati del trattamento

Il trattamento dei dati riguarda abitanti dei paesi oggetto di studio, campioni di popolazione e individui.

Descrizione sintetica del trattamento

Il trattamento è effettuato, tramite acquisizione del consenso degli interessati, con modalità tali da rendere anonimi i dati personali successivamente alla raccolta. In particolare, laddove gli scopi scientifici non possono essere raggiunti mediante l’utilizzo di dati anonimi, il trattamento successivo alla raccolta non deve permettere di identificare gli interessati, a meno che l’abbinamento al materiale di ricerca dei dati identificativi di questi ultimi non sia temporaneo ed essenziale per il risultato della ricerca, e sia altresì motivato per iscritto nel progetto di ricerca. I risultati della ricerca non sono diffusi se non in forma anonima; con riferimento a particolari modalità di raccolta si precisa che i dati possono essere desunti anche dal trattamento delle immagini e/o dalle dichiarazioni raccolte nel corso di eventuali video conferenze, teleconsulti, videoregistrazioni o interviste previa informativa all'interessato. Il trattamento deve avvenire previo espletamento delle procedure previste dalla legge e dai regolamenti per l’autorizzazione, nonché previo parere del Comitato etico per i rispettivi casi di competenza.

Trattamento e misure di sicurezza - Dati particolari

Tempi di conservazione

La documentazione relativa alle attività scientifiche e di ricerca dell’Ente, in primis, i progetti sono conservati a tempo illimitato previo sfoltimento, anche in itinere, del materiale informativo, di appunti, fotocopie, bozze di documenti, copie di lavoro, etc. e/o dei documenti di carattere transitorio o strumentale. I tempi di conservazione della documentazione contabile relativa alla rendicontazione e della documentazione giustificativa delle voci di spesa sono di 10 anni salvo i casi in cui vi siano pendenze disciplinari o giudiziarie.

I dati personali raccolti nell’ambito dell’attività di ricerca potranno essere conservati per un periodo ulteriore rispetto alla conclusione programmata della ricerca, ai sensi dell’art. 5 comma 1 lett. e) e dell’art. 89 comma 1 e 2 del RGPD, nonché in conformità alle Regole deontologiche per la ricerca scientifica e statistica emanate dal Garante.

Tale periodo ulteriore dovrà essere esplicitato nell’informativa resa all’interessato prima dell’avvio del trattamento.

ALLEGATO N. 8

Denominazione del trattamento

Attività di ricerca medica, biomedica ed epidemiologica.

Fonti normative

• Decreto Legislativo del 4 giugno 2003, n. 127 (Riordino del CNR);

• Statuto del Consiglio Nazionale delle Ricerche, emanato con provvedimento del Presidente n. 93, prot. AMMCNT-CNR n. 0051080 del 19 luglio 2018, entrato in vigore il 1° agosto 2018;

• Regolamento generale sulla protezione dei dati - RGPD (Regolamento UE 2016/679);

• Decreto Legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) come modificato dal. Decreto Legislativo 10 agosto 2018;

• Prescrizioni contenute nelle autorizzazioni generali ai sensi dell’art. 21. n. Decreto Legislativo 101/2018 nelle specifiche materie (Provvedimento dell’Autorità Garante n. 146/2019);

• Recommendation CM/Rec (2016) of the Committee of Ministers to member States on research on biological materials of human origin, Consiglio d’Europa;

• Provvedimento n. 146 del 5 giugno 2019 (“Prescrizioni relative al trattamento dei dati genetici”);

• Dichiarazione di Helsinki dell’Ottobre 2013;

• Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del 10 agosto 2018, n. 101 - 19 dicembre 2018;

• Guidelines 07/2020 on t Decreto Legislativo he concepts of controller and processor in the RGPD, del Comitato europeo per la protezione dei dati;

• Guidelines 05/2020 on consent under Regulation 2016/679, del Comitato europeo per la protezione dei dati.

Basi giuridiche del trattamento

Il trattamento delle categorie particolari di dati personali, viene effettuato per il perseguimento dell’interesse pubblico ai fini di ricerca scientifica ai sensi dell’art. 6, comma 1, lett. e), art. 9 comma 2, lett. a), g), i), j) e art. 2-sexies e art. 2-septies del Codice.

Tipi di dati trattati

Categorie particolari di dati personali:

• Origine razziale/etnica

• Stato di salute

• Patologie attuali/patologie pregresse/terapie in corso anche relativi ai familiari

• Vita sessuale

• Dati genetici

• Dati biometrici

• Campioni Biologici

Operazioni eseguite

Trattamento ordinario dei dati con modalità informatizzata e cartacea (art. 4 del Regolamento UE 2016/679):

• Raccolta presso gli interessati/presso terzi

• Registrazione

• Organizzazione

• Strutturazione

• Conservazione: in conformità all’art. 5, comma 1, lett. e) del Regolamento UE 2016/679 e secondo le specifiche di cui al c. 2, art. 3 delle Regole deontologiche del Garante privacy.

• Adattamento o modifica

• Estrazione

• Consultazione

• Portabilità

• Uso

• Comunicazione /diffusione:

o altri Enti, istituzioni e organismi pubblici e privati aventi finalità di ricerca, esclusivamente nell’ambito di progetti congiunti;

• Raffronto e interconnessione con altri trattamenti o banche dati delle strutture di Ricerca del CNR.

• Limitazione

• Cancellazione/Distruzione

Categorie di soggetti interessati del trattamento

Il trattamento dei dati riguarda abitanti dei paesi oggetto di studio, campioni di popolazione, individui affetti da patologie in studio, previo consenso informato sugli scopi della ricerca e sul trattamento dati personali.

Descrizione sintetica del trattamento

Il trattamento è effettuato con modalità tali da rendere anonimi i dati personali successivamente alla raccolta. In particolare, laddove gli scopi scientifici non possono essere raggiunti mediante l’utilizzo di dati anonimi, il trattamento successivo alla raccolta non deve permettere di identificare gli interessati, a meno che l’abbinamento al materiale di ricerca dei dati identificativi di questi ultimi non sia temporaneo (temporaneità valutata in base al trattamento effettuato) ed essenziale per il risultato della ricerca, e sia altresì motivato per iscritto nel progetto di ricerca. I risultati della ricerca non sono diffusi se non in forma anonima; con riferimento a particolari modalità di raccolta si precisa che i dati possono essere desunti anche dal trattamento delle immagini e/o dalle dichiarazioni raccolte nel corso di eventuali video conferenze, teleconsulti, videoregistrazioni o interviste previa informativa all'interessato. Il trattamento deve avvenire previo espletamento delle procedure previste dalla legge e dai regolamenti per l’autorizzazione, nonché previo parere del Comitato etico per i rispettivi casi di competenza e nel caso di riuso dei dati, nel rispetto degli art.110 e 110-bis.

Trattamento e misure di sicurezza - Dati particolari

Per i dati personali relativi allo stato di salute, dati personali biometrici e dati personali genetici, campioni biologici, sono richieste specifiche misure di garanzia disposte dal Garante in coerenza con l’art. 2-septies del Codice, ferme restando le condizioni e le garanzie di cui all'articolo 89, paragrafo 1 del RGPD.

Le misure di garanzia individuano altresì le misure di sicurezza di cui all’art. 32 del RGPD, ivi comprese la cifratura, la minimizzazione e la pseudonimizzazione. E’ necessario condurre una preventiva analisi dei rischi che consenta di calcolare il livello di rischio intrinseco dell’attività svolta. Quando un trattamento, considerati una serie di fattori quali la natura, l’oggetto, il contesto e la finalità di trattamento, presenti un rischio elevato per i diritti e le libertà delle persone, occorre effettuare la valutazione d’impatto, ai sensi dell’art. 35 del RGPD.

Tempi di conservazione

conservazione della documentazione contabile relativa alla rendicontazione e della documentazione giustificativa delle voci di spesa sono di 10 anni salvo i casi in cui vi siano pendenze disciplinari o giudiziarie. I dati personali raccolti nell’ambito dell’attività di ricerca potranno essere conservati per un periodo ulteriore rispetto alla conclusione programmata della ricerca, ai sensi dell’art. 5 comma 1 lett. e) e dell’Art. 89 comma 1 e 2 del RGPD, nonché in conformità alle Regole deontologiche per la ricerca scientifica e statistica emanate dal Garante. Tale periodo ulteriore dovrà essere esplicitato nell’informativa resa all’interessato.

ALLEGATO N. 9

Denominazione del trattamento

Attività di ricerca scientifica nelle scienze tecnico/umanistiche

Fonti normative:

• Decreto Legislativo del 4 giugno 2003, n. 127 (Riordino del CNR);

• Statuto del Consiglio Nazionale delle Ricerche, emanato con provvedimento del Presidente n. 93, prot. AMMCNT-CNR n. 0051080 del 19 luglio 2018, entrato in vigore il 1° agosto 2018;

• Regolamento generale sulla protezione dei dati - RGPD (Regolamento UE 2016/679);

• Decreto Legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) come modificato dal Decreto Legislativo 10 agosto 2018;

• Prescrizioni contenute nelle autorizzazioni generali ai sensi dell’art. 21. Decreto Legislativo n. 101/2018 nelle specifiche materie (Provvedimento dell’Autorità Garante n. 146/2019);

• Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del Decreto Legislativo 10 agosto 2018, n. 101 - 19 dicembre 2018;

• Guidelines 07/2020 on the concepts of controller and processor in the RGPD, del Comitato europeo per la protezione dei dati;

• Guidelines 05/2020 on consent under Regulation 2016/679, del Comitato europeo per la protezione dei dati.

Basi giuridiche del trattamento

Tipi di dati trattati

Categorie particolari di dati personali:

• Origine razziale/etnica

• Convinzioni religiose/filosofiche/politiche/sindacali/d’altro genere

• Stato di salute

• Patologie attuali/patologie pregresse/terapie in corso anche relativi ai familiari

• Vita sessuale

• Dati biometrici

• Dati a carattere giudiziario

Operazioni eseguite

Trattamento ordinario dei dati con modalità informatizzata e cartacea (art. 4 del Regolamento UE 2016/679):

• Raccolta presso gli interessati/presso terzi

• Registrazione

• Organizzazione

• Strutturazione

• Conservazione: in conformità all’art. 5, comma 1, lett. e) del Regolamento UE 2016/679 e secondo le specifiche di cui al c. 2, art. 3 delle Regole deontologiche del Garante privacy

• Adattamento o modifica

• Estrazione

• Consultazione

• Portabilità

• Uso

• Comunicazione /diffusione:

o altri enti, istituzioni e organismi pubblici e privati aventi finalità di ricerca, esclusivamente nell’ambito di progetti congiunti;

• Raffronto e interconnessione con altri trattamenti o banche dati delle strutture di Ricerca del CNR

• Limitazione

• Cancellazione/Distruzione

Categorie di soggetti interessati del trattamento

Descrizione sintetica del trattamento

I dati sensibili e giudiziari sono trattati, previa acquisizione del consenso dell’Interessato, nell’ambito delle attività di ricerca inerenti le scienze tecniche (agraria, architettura, chimica, fisica, biologia, ingegneria) e umanistiche (economiche, sociali, giuridiche, politiche, sociologiche e letterarie) in conformità a quanto previsto dalle Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica pubblicate ai sensi dell’art. 20, comma 4, del 1 Decreto Legislativo 10 agosto 2018, n. 101 - 19 dicembre 2018 e per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del Decreto Legislativo 10 agosto 2018, n. 101 - 19 dicembre 2018.

In particolare, il tipo di dati trattati e le operazioni in concreto eseguite sono indicati nel progetto di ricerca e laddove gli scopi scientifici non possono essere raggiunti mediante l’utilizzo di dati anonimi, il trattamento successivo alla raccolta non deve permettere di identificare gli interessati, a meno che l’abbinamento al materiale di ricerca dei dati identificativi di questi ultimi non sia temporaneo ed essenziale per il risultato della ricerca e sia altresì motivato nel progetto di ricerca. I risultati della ricerca non sono diffusi se non in forma anonima.

Con riferimento a particolari modalità di raccolta i dati possono essere desunti anche dal trattamento delle immagini e/o dalle dichiarazioni raccolte nel corso di eventuali video conferenze, teleconsulti, videoregistrazioni o interviste pervia informativa all’interessato. Il trattamento di dati sensibili può essere effettuato nei limiti strettamente indispensabili per la gestione delle attività di formazione laddove si tratti di attività rivolte a particolari categorie di soggetti (disabili) o si tratti di aderire a specifiche richieste dell’interessato.

Trattamento e misure di sicurezza - Dati particolari

Tempi di conservazione

ALLEGATO 10

Denominazione del trattamento

Attività di servizio di diagnosi e cura anche nell’ambito del Servizio Sanitario Nazionale.

Fonti normative

• Decreto Legislativo del 4 giugno 2003, n. 127 (Riordino del CNR);

• Statuto del Consiglio Nazionale delle Ricerche, emanato con provvedimento del Presidente n. 93, prot. AMMCNT-CNR n. 0051080 del 19 luglio 2018, entrato in vigore il 1° agosto 2018;

• Regolamento generale sulla protezione dei dati - RGPD (Regolamento UE 2016/679);

• Decreto Legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) come modificato dal Decreto Legislativo 10 agosto 2018;

• Prescrizioni contenute nelle autorizzazioni generali ai sensi dell’art. 21 d.lgs. n. 101/2018 nelle specifiche materie (Provvedimento dell’Autorità Garante n. 146/2019);

• Recommendation CM/Rec (2016) of the Committee of Ministers to member States on research on biological materials of human origin, Consiglio d’Europa;

• Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del 1 Decreto Legislativo 0 agosto 2018, n. 101 - 19 dicembre 2018;

• Provvedimento n. 146 del 5 giugno 2019 (“Prescrizioni relative al trattamento dei dati genetici”);

• Dichiarazione di Helsinki dell’Ottobre 2013;

• Guidelines 07/2020 on the concepts of controller and processor in the RGPD, del Comitato europeo per la protezione dei dati;

• Guidelines 05/2020 on consent under Regulation 2016/679, del Comitato europeo per la protezione dei dati.

Basi giuridiche del trattamento

Il trattamento delle categorie particolari di dati personali viene effettuato per l’adempimento di un interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento”, ai sensi dell’art. 6 lettera e) del RGPD e dell’art. 2-sexies, comma 1 del “Codice”.

Categorie di soggetti interessati del trattamento

Il trattamento dei dati riguarda pazienti ricoverati presso le strutture ospedaliere pubbliche e private

Tipi di dati trattati

Categorie particolari di dati personali:

• Origine razziale/etnica

• Stato di salute

• Patologie attuali/patologie pregresse/terapie in corso anche relativi ai familiari

• Vita sessuale

• Dati genetici

• Dati giudiziari

Operazioni eseguite

Trattamento ordinario dei dati con modalità informatizzata e cartacea (art. 4 del Regolamento UE 2016/679):

• Raccolta presso gli interessati/presso terzi

• Registrazione

• Organizzazione

• Strutturazione

• Conservazione: in conformità all’art. 5, comma 1, lett. e) del Regolamento UE 2016/679 e secondo le specifiche di cui al c. 2, art. 3 delle Regole deontologiche del Garante privacy.

• Adattamento o modifica

• Estrazione

• Consultazione

• Portabilità

• Uso

• Comunicazione /diffusione:

o altri Enti, istituzioni e organismi pubblici e privati aventi finalità di ricerca, esclusivamente nell’ambito di progetti congiunti;

o altri enti, istituzioni e organismi pubblici e privati, aventi finalità di ricerca e non partecipanti a progetti congiunti, limitatamente a informazioni prive di dati identificativi e per scopi storici o scientifici chiaramente determinati per iscritto nella richiesta dei dati in tali casi si applicano gli artt. 6, 9 e 10 del Reg. (EU) 2016/679 e degli artt. 2-ter, 2-sexies, 2- septies e 2-octies del 3 Decreto Legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) come modificato dal Decreto Legislativo 10 agosto 2018;

• Raffronto e interconnessione con altri trattamenti o banche dati delle strutture di Ricerca del CNR

• Limitazione

• Cancellazione/Distruzione

Descrizione sintetica del trattamento

Il trattamento dei dati riguarda le attività correlate alle attività di ricovero ospedaliero che può avvenire sia in modo programmato, sia in urgenza.

Nell’ambito dell’attività di ricovero ospedaliero di particolare interesse è il trattamento dei dati correlato alle seguenti finalità: cartelle cliniche di ricovero; diari clinici relativi ai ricoverati; registri nosologici; registri delle prenotazioni; schede di dimissione; relazione clinica di dimissione diretta al medico di famiglia; archivi di attività diagnostiche e terapeutiche; registri di sala operatoria; registri delle trasfusioni; registri dei decessi, delle autopsie e delle certificazioni di morte; registri e documenti relativi alle sperimentazioni cliniche; raccolte dei dati con finalità amministrativo - contabili. I dati relativi alle convinzioni religiose sono trattati in seguito alla richiesta di assistenza spirituale avanzata dall’interessato ovvero quando egli rifiuti trattamenti sanitari in contrasto con la propria confessione religiosa. I dati riguardanti l’origine razziale ed etnica sono trattati in sede di assistenza sanitaria erogata a cittadini stranieri. Il ricovero può dar luogo al trattamento dei dati giudiziari quando questo riguardi cittadini detenuti. In caso di decesso presso la struttura ospedaliera si eseguono attività certificatorie finalizzate alla autorizzazione alla sepoltura o alla cremazione. L’attività autoptica viene svolta solamente per l’accertamento diagnostico in caso di decesso in cui sussistono dubbi sulla causa della morte. L’ospedale detiene il registro delle cause di morte. Vengono redatte le schede di morte (ISTAT) con finalità di statistica sanitaria. La raccolta dei dati sensibili avviene presso l'interessato e presso le strutture sanitarie pubbliche e private dai quali viene trasferito il malato.

Inoltre, eventuali unita di sangue e di emocomponenti vengono raccolte in sacche etichettate conformemente al DM 25 gennaio 2001 che in particolare recano il numero identificativo della donazione attraverso il quale è possibile risalire al donatore ove ciò risulti necessario. I dati relativi al ricevente sono trattati e conservati sia dalla struttura immunoematologia e trasfusionale, sia dalla struttura di degenza presso la quale il paziente è sottoposto al trattamento trasfusionale.

Trattamento e misure di sicurezza - Dati particolari

Tempi di conservazione

La produzione documentale destinata ad implementate le cartelle cliniche intestate a singoli pazienti sarà conservata a tempo illimitato così come la cartella clinica di riferimento. Le cartelle cliniche, unitamente ai relativi referti, vanno, infatti, conservate illimitatamente, poiché rappresentano un atto ufficiale indispensabile a garantire la certezza del diritto, oltre a costituire preziosa fonte documentaria per le ricerche di carattere storico sanitario. La documentazione diagnostica, inoltre, dovrà, indipendentemente dalla specifica tipologia, essere conservata per un periodo minimo di vent’anni, a meno che non sia documentazione che confluisce in una cartella clinica, in tal caso il tempo di conservazione, diventa illimitato.

Document Metadata

Table of Contents

Contract

Document Metadata