I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Per quanto riguarda la sicurezza dei trattamenti dei dati effettuati con l’ausilio di strumenti elettronici i responsabili del trattamento operano secondo le modalità individuate nel Documento Programmatico sulla sicurezza (DPS) che garantisce l’adozione di idonee misure di sicurezza, la protezione degli accessi e l’integrità degli archivi.
Agli incaricati è richiesto di custodire i dati applicando le misure idonee ad evitare rischi di distruzione o perdita, anche accidentale, e di accesso non autorizzato riassunte nel “Manuale per la sicurezza ed il corretto trattamento dei dati personali nell’Università di Trieste” redatto dall’Ateneo.
Ai responsabili del trattamento dei dati è richiesto di vigilare sul rispetto, da parte degli incaricati, delle misure di sicurezza.

L’Università di Trieste provvede ad effettuare idonea notifica al Garante sulla protezione dei dati personali circa l’inizio ovvero la modifica o la cessazione di trattamenti riguardanti:

a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

L’Università provvede inoltre a comunicare previamente al Garante le seguenti circostanze:

a) la necessità di effettuare, in qualunque forma e anche mediante convenzione, una comunicazione di dati personali ad un altro soggetto pubblico, qualora la stessa non rientri nella previsione di una norma di legge o di regolamento;
b) il trattamento di dati idonei a rivelare lo stato di salute, finalizzato a scopi di ricerca scientifica in campo medico, biomedico o epidemiologico, quando la ricerca è prevista da un espressa disposizione di legge che prevede specificamente il trattamento o rientra in un programma di ricerca biomedica o sanitaria.

I trattamenti oggetto della comunicazione di cui sopra possono essere iniziati decorsi quarantacinque giorni dal ricevimento della comunicazione da parte del Garante.

Ciascun Responsabile deve tempestivamente informare il titolare, mediante comunicazione fornita alla Rip. Sistema Documentale e procedurale, circa l’inizio, la modifica ovvero la cessazione di uno dei trattamenti previsti dall’art. 10, 1 comma, ovvero circa la necessità di provvedere alle comunicazioni di cui all’art. 10, 2 comma.

L’inizio, la modifica ovvero la cessazione di un trattamento di dati personali non rientrante nelle ipotesi di cui all’art. 10 deve essere obbligatoriamente indicata, a cura del Responsabile, nell’apposita Anagrafe elettronica dei trattamenti dei dati personali.

Le richieste rivolte all’Università degli Studi di Trieste finalizzate ad ottenere il trattamento, la comunicazione o la diffusione di dati personali dovranno essere formulate per iscritto al responsabile della struttura.

La comunicazione di dati personali a soggetti pubblici non economici è ammessa quando è prevista da una norma di legge o di regolamento.
In mancanza di tale norma la comunicazione è ammessa quando è necessaria per lo svolgimento di funzioni istituzionali dell'ente richiedente;in tale caso l’Università, in qualità di titolare, è tenuta a comunicare previamente al Garante l’intenzione di operare tale comunicazione.
La struttura che ha rapporti con l’ente richiedente deve tempestivamente rappresentare l’esigenza al titolare, dandone comunicazione alla Rip. Sistema Documentale e Procedurale, per consentirgli di effettuare la comunicazione al Garante.
La comunicazione al soggetto pubblico può essere iniziata decorsi quarantacinque giorni dal ricevimento della comunicazione al Garante, salvo diversa determinazione anche successiva del medesimo.

Le richieste provenienti da soggetti privati possono essere accolte soltanto se previste da norme di legge, regolamento o da atti normativi speciali. Le richieste devono essere adeguatamente motivate e devono contenere:

a) il nome, la denominazione o la ragione sociale del richiedente;
b) i dati cui la domanda si riferisce, le finalità e le modalità di utilizzo dei dati richiesti;
c) l'eventuale ambito di comunicazione dei dati richiesti;
d) la dichiarazione che il richiedente si impegna ad utilizzare i dati ricevuti, esclusivamente per le finalità e nell’ambito delle modalità per cui sono stati richiesti.

La comunicazione e la diffusione dei dati sono comunque permesse quando:
a) siano necessarie per finalità di ricerca scientifica o di statistica e si tratti di dati anonimi;
b) siano richieste in conformità alla legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici per finalità di difesa di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati, con l'osservanza delle norme che regolano la materia.

Nel rispetto dei fini istituzionali, l’Università degli Studi di Trieste, specificamente al fine di agevolare l’orientamento, la formazione e l’inserimento professionale degli studenti e dei laureati dell’Ateneo, comunica dati relativi a studenti e laureati a soggetti pubblici e privati ed a consorzi interuniversitari che ne facciano richiesta in relazione alle predette finalità.

Il trattamento dei dati sensibili da parte dell'Università degli Studi di Trieste è consentito solo se autorizzato da espressa disposizione di legge nella quale siano specificati i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite.

Nelle ipotesi in cui la legge autorizzi il trattamento di dati sensibili per il perseguimento di finalità di rilevante interesse pubblico, senza specificare i tipi di dati sensibili e le operazioni eseguibili, il trattamento è consentito in quanto disciplinato all’interno del Regolamento per il trattamento dei dati sensibili e giudiziari adottato dall’Ateneo e conforme allo schema tipo per il sistema universitario approvato dal Garante per la protezione dei dati personali.

Nelle strutture dove sono in funzione degli strumenti elettronici di rilevamento immagini, anche con videoregistrazione, finalizzati alla protezione dei dipendenti, dei visitatori e del patrimonio, deve essere affissa apposita informativa che informi il pubblico della presenza degli impianti e delle finalità perseguite attraverso la videosorveglianza. I pannelli devono essere affissi in prossimità degli ingressi alle strutture ed essere visibili da chi vi accede. E’ inoltre necessario rispettare i seguenti principi:

a) una limitazione delle modalità di ripresa delle immagini (memorizzazione, conservazione, angolo visuale delle telecamere e limitazione della possibilità di ingrandimento dell’immagine) avendo attenzione alla individuazione del livello di dettaglio della ripresa dei tratti somatici delle persone in ordine alla pertinenza e non eccedenza dei dati rispetto agli scopi perseguiti;
b) individuazione dei soggetti legittimati ad accedere alle registrazioni;
c) l’indicazione del soggetto e della struttura cui l’interessato può rivolgersi e dei diritti che può esercitare.

I presupposti, le modalità, i limiti per l’esercizio del diritto di accesso a documenti amministrativi contenenti dati personali, e la relativa tutela, sono disciplinati dalla L. 241/1990 (e successive modifiche ed integrazioni) e dal relativo regolamento di attuazione.

Deve comunque essere garantito ai richiedenti l'accesso ai documenti amministrativi la cui conoscenza sia necessaria per curare o per difendere i propri interessi giuridici.
Nel caso di documenti contenenti dati idonei a rivelare lo stato di salute e la vita sessuale sensibili giudiziari, l'accesso è consentito nei limiti in cui sia strettamente indispensabile e nei termini previsti dall'articolo 60 del decreto legislativo 30 giugno 2003, n. 196.