1. Sono individuati, quali Responsabili interni del trattamento dei dati personali, sulla base delle competenze attribuite alla funzione organizzativa o carica istituzionale che ricoprono, i Responsabili apicali delle strutture nell’ambito della quale i dati personali sono gestiti per le finalità istituzionali.

2. Il Responsabile interno può farsi supportare da un referente per compiti di cui al successivo comma 3. La nomina a referente è formalizzata con apposito atto, contiene puntualmente i compiti previsti ed è corredata dalle relative istruzioni. Di tale nomina è data comunicazione al RPD dell’Università ed al Privacy Manager, nonché è data evidenza nel Registro dei trattamenti.

3. I Responsabili interni, con l’eventuale supporto dei referenti, opportunamente formati riguardo alle competenze anche decisionali in materia di protezione dei dati, operano nell’ambito delle competenze loro affidate, supportando funzionalmente il RPD dell’Università e sono incaricati, nell’ambito della struttura di afferenza, dei seguenti compiti:

- vigilare, monitorare e garantire il rispetto di quanto previsto dalle norme vigenti in materia di protezione dei dati personali;

- rispettare ed applicare le disposizioni previste dal presente Regolamento;

- collaborare con il Privacy Manager all’aggiornamento delle informative e delle relative modulistiche, avvalendosi del supporto del RPD;

- aggiornare il registro delle attività di trattamento nell’ambito del coordinamento del Privacy manager, così come previsto dall’art. 29 del presente Regolamento;

- impartire idonee istruzioni in materia di privacy e di misure di sicurezza al personale autorizzato al trattamento;

- vigilare sul rispetto delle misure di sicurezza finalizzate ad evitare i rischi, anche accidentali, di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta;

- stipulare un accordo di responsabilità, ai sensi dell’art. 28 del GDPR con i Responsabili esterni del trattamento;

- assicurare il costante monitoraggio degli adempimenti e delle attività effettuati dai soggetti autorizzati con particolare riferimento alla gestione della comunicazione delle violazioni di dati “data breach” e alla valutazione d’impatto privacy;

- designare per la propria struttura i soggetti autorizzati, come definiti dall’art. 13 e verificare periodicamente i relativi livelli di autorizzazione;

- fornire un riscontro tempestivo, per i trattamenti di competenza, nel caso di richieste di esercizio dei diritti sui dati, così come previsto dagli artt.15-22 del Regolamento UE;

- garantire l’esecuzione di ogni altra operazione richiesta o necessaria per ottemperare agli obblighi derivanti dalle disposizioni di legge e/o da regolamenti vigenti in materia di protezione dei dati personali e collaborare con l’ufficio preposto per individuare i bisogni formativi delle risorse della propria struttura;

- partecipare obbligatoriamente alle sessioni informative/formative e di sensibilizzazione in materia di protezione dei dati personali;

- per i trattamenti che hanno come base giuridica il consenso, predisporre le misure organizzative atte a garantire la conservazione della copia del consenso acquisito, sia esso cartaceo o elettronico.