Privacy e protezione dati personali

L’Università per Stranieri di Perugia conosce l’importanza della protezione dei dati personali e, nel suo ruolo di titolare dei dati, si impegna a trattarli adeguatamente e in maniera trasparente nei confronti dell’interessato, ossia della persona a cui tali dati personali si riferiscono.

Le informative sono uno degli strumenti di questa trasparenza perché forniscono un quadro completo dei trattamenti, delle finalità perseguite e delle modalità con cui essi vengono effettuati: al subentrare di nuovi servizi o finalità vengono aggiornate, per cui invitiamo a leggere con periodicità le informative pubblicate in questa sezione.

È importante sapere che l’Università per Stranieri di Perugia, di seguito nominata “Università”, istituita con regio decreto - legge 29 ottobre 1925, n. 1965, è un’istituzione pubblica di alta cultura ad ordinamento speciale ai sensi della legge 17 febbraio 1992, n. 204. Essa promuove e organizza lo svolgimento di attività di formazione e ricerca scientifica finalizzate alla conoscenza e alla diffusione della lingua, della cultura e della civiltà italiane, al dialogo interculturale, alla comunicazione e alla cooperazione internazionale, in raccordo con il territorio e le istituzioni di esso rappresentative e con le istituzioni nazionali e internazionali che perseguono scopi affini (art. 1 dello Statuto) ed è assimilata alle Pubbliche amministrazioni nell’esercizio delle sue funzioni (art.1, comma 2, del decreto legislativo 30 marzo 2001, n. 165).

Per tali motivi i trattamenti che effettua possono essere, ai sensi dell’art. 6 paragrafo 1 del Regolamento generale sulla protezione dei dati “Regolamento UE 679/2016” o GDPR:

  1. trattamenti necessari in esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso (lettera b)
  2. trattamenti per obblighi di legge (lettera c)
  3. trattamenti per ragioni di interesse pubblico (lettera e)
  4. trattamenti per legittimo interesse dell’Università, se non prevalgono gli interessi, diritti e libertà fondamentali dell’interessato, specie se minore (lettera f)

Se non rientrano in tali basi giuridiche, anche in forza di regolamenti o bandi dell’Ateneo, i trattamenti dei dati possono essere effettuati solo su consenso dell’interessato (art. 6 par. 1.a). Eccezionalmente, in caso di particolari emergenze, l'Università potrebbe trattare i dati personali comunque acquisiti, per la salvaguardia dell'interessato o di un'altra persona fisica (art. 6, par. 1.d)..

Principali trattamenti effettuati dall'Università per Stranieri di Perugia

Trattamenti principali inerenti gli studenti

  • Trattamento finalizzato all’orientamento universitario (rivolto anche a minori)
  • Trattamento finalizzato all’erogazione dei test di ingresso o alla verifica dei requisiti di accesso
  • Trattamento finalizzato per l’erogazione del percorso formativo e di gestione della carriera (dall’immatricolazione al conseguimento titolo, con erogazione della didattica, atti amministrativi, gestione tasse e rimborsi)
  • Trattamento finalizzato alla diffusione dell’elaborato finale o di elementi ad esso connessi
  • Trattamento finalizzato all’erogazione di servizi e benefici per il diritto allo studio
  • Trattamento finalizzato all’attività di tirocinio curricolare ed extra curricolare
  • Trattamento finalizzato ad attività di ricerca cui l’interessato partecipi
  • Trattamento finalizzato ad attività di job placement
  • Trattamento finalizzato a rilevazioni statistiche e valutazione della didattica
  • Trattamento finalizzato a servizi di tutorato, assistenza, inclusione sociale
  • Trattamento finalizzato ad attività di fundraising, di comunicazione e informazione istituzionale e sviluppo di community
  • Trattamento finalizzato alla gestione dell’elettorato attivo e passivo per le rappresentanze negli organi dell’ateneo
  • Trattamento ai fini della sicurezza nei luoghi universitari e delle coperture assicurative
  • Trattamenti trasversali o connessi ad attività trasversali (riportati a seguire)

Trattamenti principali inerenti a dipendenti e/o collaboratori

  • Trattamento finalizzato allo svolgimento di prove concorsuali/selezioni
  • Trattamento finalizzato alla gestione del rapporto di lavoro
  • Trattamento di dati personali ai fini di formazione e aggiornamento professionale
  • Trattamento di dati personali per la gestione dell’offerta formativa e della copertura degli incarichi
  • Trattamento di dati personali necessario alla gestione di progetti di ricerca
  • Trattamento di dati personali al fine di garantire il monitoraggio e la valutazione della ricerca
  • Trattamento di dati personali nell’ambito di attività di trasferimento tecnologico
  • Trattamento necessario per politiche Welfare e per la fruizione di agevolazioni
  • Trattamenti per la salute e la sicurezza delle persone nei luoghi di lavoro
  • Trattamento dei dati personali nell’ambito dell’erogazione del servizio di telefonia fissa e mobile
  • Trattamento dei dati per la valutazione del personale
  • Trattamento dei dati inerenti i procedimenti disciplinari
  • Trattamenti trasversali o connessi ad attività trasversali (riportati di seguito)

Trattamenti trasversali o connessi ad attività trasversali

  • Trattamento dei dati nell’ambito della gestione degli spazi, anche con sistemi di videosorveglianza
  • Trattamento dei dati personali per la gestione delle postazioni, l’accesso e utilizzo dei servizi dell’ateneo, inclusi i servizi on line
  • Trattamento per attività di gestione degli organi e delle cariche istituzionali
  • Trattamento per la gestione degli infortuni
  • Trattamento per l’utilizzo dei servizi bibliotecari
  • Trattamento di dati nell’ambito dei servizi di protocollo e conservazione documentale
  • Trattamento finalizzato all’acquisto di beni e servizi, stipula di contratti, recupero crediti, gestione del contenzioso
  • Trattamento di dati nell’ambito dei servizi di posta elettronica e strumenti di collaboration
  • Trattamento di dati personali nell’ambito dell’erogazione federata di servizi

In aggiunta a quanto sopra indicato, nell’erogazione dei servizi informatici offerti agli utenti dell’Ateneo vengono raccolte e trattate informazioni personali non primarie, ovvero collegabili ai dati personali non a seguito di raccolta diretta presso l’interessato bensì per consentire i trattamenti informatici (p.e. la userid o l’indirizzo IP del dispositivo da cui è avvenuto il collegamento).

Per il trattamento dei dati di chi naviga sul portale web di ateneo è stata predisposta un'apposita informativa, riportata anche nella sezione sottostante.

Tempo di conservazione dei dati personali

I dati raccolti saranno conservati per i tempi necessari al raggiungimento delle finalità di raccolta e stabiliti dalla normativa vigente o dai regolamenti d’Ateneo.

In particolare si segnala che i dati personali inerenti la carriera universitaria saranno conservati illimitatamente, tenuto conto degli obblighi di tenuta e archiviazione imposti dalla normativa vigente.

Diritti degli interessati

Il regolamento riconosce numerosi diritti alla persona a cui si riferiscono i dati:

  1. diritto di accesso ai dati personali
  2. diritto di rettifica
  3. nei casi previsti dalla legge e in mancanza di interessi legittimi prevalenti dell’Università, il diritto alla cancellazione dei dati (cd. diritto all’oblio)
  4. nei casi previsti dalla legge, il diritto alla limitazione del trattamento dei dati
  5. nei casi previsti dalla legge e se il trattamento è basato sul consenso, il diritto alla portabilità dei dati
  6. nei casi previsti dalla legge e se il trattamento è basato sul consenso, il diritto di opporsi alle attività di trattamento
  7. in caso di trattamento basato sul consenso, la possibilità di revocarlo in ogni tempo fermo restando la liceità del trattamento basato sul consenso successivamente revocato

Per esercitare questi diritti, è possibile inoltrare richiesta al contatto del Titolare, rettore@unistrapg.it o, via PEC, protocollo@pec.unistrapg.it e al contatto del Responsabile della protezione dati rpd@unistrapg.it, o ancora a protocollo@pec.unistrapg.it utilizzando l'appostito modello.

In relazione ad un trattamento che non ritiene conforme alla normativa, può contattare il Responsabile della protezione dati all’indirizzo rpd@unistrapg.it e/o proporre reclamo alla competente autorità di controllo che, per l’Italia, è il Garante per la protezione dei dati personali. In alternativa può proporre reclamo presso l’Autorità Garante dello Stato UE in cui risiede o abitualmente lavora oppure nel luogo ove si è verificata la presunta violazione.

Informative

Nel caso di minorenni, prima di comunicare i dati all’Ateneo è necessario che le informative siano lette attentamente insieme ai genitori o a chi ne fa le veci. I genitori o eventuali rappresentanti legali degli utenti minorenni possono esercitare i diritti secondo quanto indicato alla sezione precedente.

L’informativa, redatta ai sensi dell’art.13 R.UE 679/2016, contiene tantissime informazioni che riportiamo di seguito:

  1. I dati e i contatti del Titolare del trattamento e del Responsabile della protezione dati, che per l’Università di Perugia sono i seguenti:
    1. il Titolare del trattamento è l’Università per Stranieridi Perugia, nella persona del Rettore quale rappresentante legale
    2. il contatto del Titolare è: rettore@unistrapg.it o, via PEC, protocollo@pec.unistrapg.it
    3. il contatto del Responsabile della protezione dati è: rpd@unistrapg.it, tel. 075 57 46 302
  2. le finalità e le basi giuridiche del trattamento dei dati personali e se sussista un legittimo interesse del Titolare
  3. la natura (personale/particolare) e la tipologia dei dati trattati (anagrafici, di contatto,..)
  4. se la comunicazione dei dati sia obbligatoria o meno e le conseguenze del mancato conferimento dei dati
  5. nel caso in cui sia stato richiesto un consenso al trattamento di alcuni dati particolari, l’esistenza del diritto di revocare il consenso e le modalità e condizioni per esercitare tale diritto
  6. le modalità con cui verrà effettuato il trattamento, se prevede profilazioni (trattamenti decisionali completamente automatizzati basati su alcuni dati dell’interessato), quale sia il periodo di conservazione dei dati o le logiche di conservazione applicate
  7. se è possibile che i dati vengano trattati anche da altre amministrazioni o ditte esterne, trasferiti fuori dell’Unione Europea e secondo quali garanzie poste in essere dal Titolare
  8. i diritti esercitabili (dettagliati in precedenza), le modalità e contatti presso cui presentare richiesta, il diritto a presentare un reclamo presso l’autorità garante

In taluni casi i trattamenti comportano alcuni obblighi di trasmissione o scambio dei dati personali con altre Pubbliche Amministrazioni mentre alcuni trattamenti vengono svolti con il supporto di società specializzate che divengono responsabili esterne del trattamento dei dati: nelle informative vengono specificati anche queste modalità di trattamento.

È comprensibile che la completezza dell’informativa richieda tempo per la lettura, per cui in taluni casi è prevista un’informativa semplificata, che rimanderà a quella estesa per chi volesse approfondire.

Informative aggiornate

(in corso di pubblicazione)

Destinatari dei dati personali

I dati personali potranno essere trattati dal personale tecnico-amministrativo e docente o da collaboratori del Titolare che, operando sotto la diretta autorità di quest’ultimo, sono autorizzati al trattamento o nominati responsabili esterni, ricevendo una formazione ed istruzioni operative adeguate allo scopo, in relazione alle differenti attività previste dai trattamenti di competenza.

I dati personali potrebbero essere comunicati anche ad altre amministrazioni pubbliche, qualora queste debbano trattare i medesimi per eventuali procedimenti di propria competenza istituzionale. In alcuni casi, l’Università si avvale di società esterne per l’erogazione e la gestione di particolari servizi. Esse potrebbero venire a conoscenza dei dati personali trattati ai soli fini della prestazione richiesta e pertanto verranno qualificate come responsabili esterni del trattamento, vincolate contrattualmente al Titolare per garantire il trattamento dei dati personali secondo le modalità previste dal GDPR.

I dati personali potranno essere comunicati anche ad autorità pubbliche o soggetti privati presso le quali potrebbero svolgersi attività didattiche, di ricerca o di tirocinio inerenti il percorso di studio prescelto o l’attività lavorativa, come pure ad autorità giudiziarie su loro richiesta.

I dati personali per attività di ricerca e di didattica potranno essere oggetto di trasferimento all’estero verso altre istituzioni universitarie e o enti di ricerca, ovvero nell’ambito di progetti di mobilità internazionale. Le garanzie che fornirà il titolare saranno conformi a quanto richiesto al Capo V del GDPR, alle disposizioni del Miur o alle normative di settore.

Documentazioni disponibili

Si riportano i collegamenti a documenti che potrebbero essere di interesse per approfondimento sul trattamento dei dati personali:

Segnalazione violazioni dati personali

Deve essere considerata violazione di dati personali ogni infrazione alla sicurezza dei sistemi informatici o ai trattamenti dei dati personali che comporti accidentalmente o in modo illecito l’accesso, la distruzione, la perdita, la modifica, la divulgazione non autorizzata inerente dati personali conservati, trasmessi o comunque trattati dall’Università.

In caso di sospetta e/o accertata violazione dei dati personali, è di estrema importanza assicurare che la stessa venga affrontata immediatamente e correttamente, per minimizzare le conseguenze della violazione ed evitare che possa ripetersi. Ad esempio, qualora possa riguardare accessi illegittimi alla posta o aree riservate, una delle misure da adottare immediatamente è cambiare la password di accesso a tali servizi.

Nel caso in cui si sia verificata una violazione o si sia a conoscenza di una presunta violazione di dati personali, occorre compilare un modulo da inoltrare a databreach@unistrapg.it il più tempestivamente possibile, tenendo conto dei due diversi scenari:

L’utilizzo del modulo è obbligatorio per consentire all’Università la disponibilità immediata di un set di informazioni necessarie per valutare adeguatamente la situazione di rischio che si è creata.

Le violazioni possono verificarsi per un ampio numero di ragioni, tra le quali:

  • perdita, furto di dati o di dispositivi (pc portatili, smartphone, chiavi usb, ...) nei quali essi sono memorizzati o resi accessibili
  • virus, malware o altri attacchi al proprio computer di lavoro, al sistema informatico o alla rete universitaria
  • divulgazione di dati confidenziali a persone non autorizzate (ad esempio presenti in allegati inoltrati per email a errato destinatario o acceduti per violazione della casella di posta che li conteneva)
  • perdita o furto di documenti cartacei contenenti dati personali riservati
  • accesso abusivo o comunque non autorizzato ai sistemi informatici, pirateria informatica
  • banche dati utilizzate in ambito lavorativo alterate, rese inutilizzabili o distrutte senza autorizzazione
  • violazione di misure di sicurezza fisica volte a proteggere archivi contenenti informazioni riservate
  • perdita di sicurezza delle credenziali d’accesso ai servizi universitari, per phishing o conoscibilità da parte di terzi

Quando questa violazione può comportare un rischio per i diritti e le libertà delle persone fisiche, sussiste l’obbligo per il Titolare (l’Università) di notificare la violazione all’autorità Garante, non oltre le 72h solari da quando ne è venuta a conoscenza. L’Università ha anche l’obbligo di comunicare la violazione all’interessato secondo i termini riportati all’art. 34 del R. UE. 679/2016.