Privacy

Il diritto alla protezione dei dati personali è un diritto fondamentale dell'individuo ai sensi della Carta dei Diritti fondamentali dell'Unione europea (art. 8).
Le principali fonti normative vigenti in materia di protezione dei dati personali sono costituite da:

• il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), anche noto nell'acronimo di General Data Protection Regulation– GDPR (nella versione italiana: RGPD). Il Regolamento, entrato in vigore il 24 maggio 2016 e pienamente esecutivo in tutti gli Stati membri dell'Unione europea dal 25 maggio 2018, si prefigge di rafforzare le tutele poste a salvaguardia dei diritti e delle libertà fondamentali delle persone fisiche, con particolare riferimento alla protezione dei dati che le riguardano, favorendo al contempo la libera circolazione di tali dati;
• il lgs. 30 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali), come modificato ed integrato dal D.lgs. 10 agosto 2018, n. 101 di adeguamento della disciplina italiana al GDPR e regolamentazione di alcuni aspetti rimessi alla potestà legislativa nazionale (quali, ad esempio, la previsione di alcune fattispecie di illeciti penali).

Oltre alle fonti normative comunitarie e nazionali sopra citate, assumono rilevanza ai fini della protezione dei dati personali i provvedimenti dell'Autorità Garante per la protezione dei dati personali, le regole deontologiche, nonché protocolli, circolari, linee guida, prassi in generale, che contribuiscono, positivamente, ad aggiornare il settore in continua evoluzione.

GDPR è l'acronimo di General Data Protection Regulation (nella versione italiana: RGPD), utilizzato in riferimento al Regolamento n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

Un dato personale è qualsiasi informazione riferita ad una persona fisica (c.d. «interessato ») che consente di identificarla, direttamente o indirettamente.
L'Ateneo, nell'ambito delle proprie funzioni istituzionali, tratta dati personali quali: nomi; cognomi; codici fiscali; numeri di telefono; targhe di veicoli; informazioni relative all'ubicazione; identificativi online prodotti dai dispositivi, dalle applicazioni, dai protocolli utilizzati dagli utenti (ad es. gli indirizzi IP); altre informazioni riferite a uno o più elementi caratteristici della identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di un soggetto (persona fisica).
I medesimi dati identificativi, ove riferiti a soggetti aventi personalità giuridica (ad es.: società di capitali, aziende ed enti pubblici, associazioni e fondazioni) o ad organizzazioni in genere anche senza personalità giuridica come definita in Italia, non costituiscono dati personali. Pertanto il trattamento degli stessi esula dall’ambito di applicazione della normativa in materia di protezione dei dati personali.

Le categorie particolari di dati personali comprendono i dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica (c.d. «interessato»), i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Il titolare può trattare tali dati solamente se l’interessato ha prestato il proprio consenso esplicito o anche senza il suo consenso, se ricorre taluna delle eccezioni previste dall'art. 9 del GDPR (ad esempio, se il trattamento è necessario per motivi di interesse pubblico rilevante, per finalità di medicina preventiva o di medicina del lavoro, per motivi di interesse pubblico nel settore della sanità pubblica, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, etc).

I dati relativi alla salute sono i dati personali idonei a rivelare informazioni connesse allo stato di salute fisica o mentale, passata presente o futura, dell'interessato.
Tali dati comprendono ad esempio: qualsiasi informazione riguardante una malattia, una disabilità, il rischio di malattie; l'anamnesi medica; i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte (ad es.: personale medico o altro operatore sanitario, ospedale, dispositivo medico, test diagnostico); le informazioni risultanti da esami e controlli effettuati su una parte del  corpo  o  una  sostanza  organica,  compresi  i  dati  genetici  e  i  campioni  biologici; altre informazioni quali un numero, un  simbolo  o  un  elemento  specifico  attribuito  a  una  persona  fisica  per  identificarla in modo univoco a fini sanitari.

I dati genetici sono i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano dall'analisi di un campione biologico della persona fisica in questione - in particolare dall'analisi dei cromosomi, del DNA o del RNA, ovvero dall'analisi di un altro elemento che consenta di ottenere informazioni equivalenti.

I dati biometrici sono i dati personali relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, trattati attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione della stessa (firma grafometrica, riconoscimento facciale, scansione dell’iride, etc).

I dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza (c.d. "giudiziari”) sono dati idonei a rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il titolare può trattare tali dati solamente sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati, secondo quanto disposto dal GDPR (art. 10).

Le immagini riprodotte nelle fotografie e le registrazioni audio-video, allorché si riferiscano a persone fisiche identificate o identificabili, costituiscono dati personali; pertanto, il trattamento delle stesse soggiace alle disposizioni normative in materia di protezione dei dati personali.
A titolo meramente esemplificativo, costituiscono dati personali le immagini di un soggetto invitato a passare attraverso uno specifico corridoio o cancello per accedere a una zona sottoposta a videosorveglianza.

Il dato anonimo non è un dato personale, è un’informazione che non si riferisce ad una persona fisica identificata o identificabile oppure un dato che è stato reso sufficientemente anonimo da non consentire più l’identificazione del soggetto.
Il trattamento di tali dati esula dall’ambito di applicazione della normativa in materia di protezione dei dati personali.

Sebbene il GDPR non trovi applicazione rispetto al trattamento di dati personali di persone decedute, lo Stato italiano ha previsto delle norme specifiche a tutela del trattamento di tali dati.
In particolare, il D. lgs. 10 agosto 2018, n. 101 di adeguamento del D. lgs. 196/2003 al GDPR, ha stabilito che i diritti di cui agli artt. 15-22 del medesimo Regolamento possono essere esercitati in riferimento a tali dati da parte di chi ha un interesse proprio, oppure agisce a tutela del defunto quale mandatario o per ragioni familiari meritevoli di protezione (all’art. 2-terdecies).

Il trattamento è una qualsiasi operazione o insieme di operazioni applicate a uno o più dati personali.
Costituiscono trattamenti di dati personali: la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
L'Ateneo può trattare i dati personali su supporti in formato cartaceo o elettronico, con o senza l'ausilio di processi automatizzati, quali ad esempio macchinari, algoritmi, software. 

Il GDPR individua i seguenti principi secondo i quali devono essere trattati i dati personali:

• liceità, correttezza e trasparenza: i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
• limitazione della finalità: i dati personali devono essere raccolti per finalità determinate, esplicite e legittime e successivamente trattati compatibilmente con tali finalità;
• minimizzazione dei dati: i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
• esattezza: i dati personali devono essere esatti e, se necessario, aggiornati;
• limitazione della conservazione: i dati personali devono essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
• integrità e riservatezza: i dati personali devono essere trattati in maniera da garantire un'adeguata sicurezza degli stessi, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

L’Ateneo, quale titolare del trattamento, è tenuto ad osservare detti principi e deve essere in grado di dimostrarne il rispetto, essendo responsabile di qualsiasi trattamento di dati personali che effettua direttamente o che altri effettuano per suo conto (c.d. principio di responsabilizzazione o accountability).

La profilazione è qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati al fine di valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica.
A titolo meramente esemplificativo, integra un’ipotesi di profilazione la raccolta di dati personali di un individuo o di un gruppo di individui (ad es. tramite questionari online) e la loro analisi ed elaborazione mediante suddivisione in gruppi omogenei in base a gusti, interessi e preferenze, per dar luogo ad ulteriori valutazioni o previsioni riguardanti la capacità di eseguire un’attività o un comportamento probabile.

La pseudonimizzazione è un trattamento dei dati personali finalizzato a rendere gli stessi non più attribuibili a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative tali da garantire che i dati trattati non siano attribuiti a una persona fisica identificata o identificabile.
La pseudonimizzazione può essere realizzata, ad esempio, sostituendo alcuni identificatori con pseudonimi (o token, letteralmente “simbolo” o “simbolico”), cioè dati realistici, ma non veritieri. I dati originali, vengono conservati in un database separato costituito da una tabella delle corrispondenze tra dati originali e gli pseudonimi utilizzati. Tutto ciò permette di re-identificare le persone fisiche, in quanto il titolare, o il responsabile del trattamento, possiede le “informazioni aggiuntive” per poter risalire all’identità degli interessati: si parla perciò di un processo reversibile. I dati pseudonimizzati non possono essere attribuiti ad un individuo senza utilizzare le predette “informazioni aggiuntive”, che in questo caso sono rappresentate dalla tabella delle corrispondenze tra pseudonimi e dati originali.

L’anonimizzazione è un trattamento che opera una de-identificazione irreversibile del dato, attraverso l’eliminazione della correlazione tra lo stesso e una determinata persona fisica interessata.
L’anonimizzazione può essere realizzata, ad esempio, tramite la rimozione, la sostituzione, la distorsione, la generalizzazione o l’aggregazione degli identificatori diretti, come il nome completo o altre caratteristiche rilevanti della persona fisica, e indiretti, cioè attributi che combinati con altre informazioni disponibili rendono identificabile una persona, come per esempio una combinazione di occupazione, stipendio ed età.

L’interessato è la persona fisica identificata o identificabile alla quale si riferiscono i dati personali oggetto di trattamento.
Tra le categorie di interessati al trattamento dei dati personali svolto dall'Ateneo vi sono ad esempio: studenti, docenti, assegnisti di ricerca, dottorandi, specializzandi, collaboratori a qualunque titolo, personale tecnico-amministrativo, lavoratori con contratti atipici e temporanei, coloro che partecipano, previa registrazione, agli eventi organizzati dall'Ateneo.

Il titolare del trattamento è la persona fisica o giuridica, la  pubblica amministrazione o altro organismo che, singolarmente o insieme ad altri  (c.d. contitolari), determina le finalità e i mezzi del trattamento di dati personali.
Il Titolare del trattamento di tutti i dati personali in ambito universitario è l’Università degli Studi di Verona, con sede in Via dell'Artigliere, n. 8 – 37129 Verona, in persona del suo Legale Rappresentante, il Rettore pro tempore.
L’Ateneo ha affidato il coordinamento generale degli aspetti inerenti alla protezione dei dati personali in ambito universitario alla Direzione Affari Istituzionali e Legali. Tale funzione è esercitata attraverso l’U.O. Protezione Dati, raggiungibile all'indirizzo di posta elettronica: privacy@ateneo.univr.it.

Per finalità del trattamento deve intendersi il risultato perseguito dal titolare, i motivi per i quali i dati personali vengono trattati.
Per mezzi del trattamento si intendono non solo gli strumenti con i quali si svolgono le relative attività di trattamento, ma anche le modalità (tecniche, informatiche, organizzative, etc.) con le quali il trattamento viene effettuato, incluse le decisioni su quali dati trattare, i tempi di conservazione dei dati, etc.

Si parla di contitolarità del trattamento nei casi in cui le decisioni relative alle finalità ed ai mezzi del trattamento vengono assunte da un titolare assieme a un altro o più soggetti. Sussiste, ad esempio, una situazione di contitolarità nel trattamento dei dati personali degli studenti tra due o più Atenei convenzionati per l’attivazione di un Corso di Laurea o di un Dottorato di ricerca interateneo.
Nel caso in cui sussista una situazione di contitolarità, i contitolari sono tenuti a stipulare un accordo al fine di disciplinare i rispettivi ruoli, compiti e responsabilità in ordine all’esercizio dei diritti dell’interessato; le rispettive funzioni relativamente alla comunicazione dell’informativa nonché l’indicazione di un punto di contatto utile agli interessati (c.d. accordo di contitolarità). Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato che, indipendentemente dalle disposizioni ivi contenute, può esercitare i propri diritti nei confronti di e contro ciascun titolare del trattamento.

I soggetti autorizzati al trattamento sono coloro che effettuano materialmente le operazioni connesse al trattamento dei dati personali (ad es.: raccolta, elaborazione, archiviazione, comunicazione, diffusione, cancellazione dei dati personali). Tali soggetti devono essere adeguatamente istruiti dal titolare o dal responsabile in merito al trattamento dei dati.
Sono soggetti autorizzati dall’Ateneo al trattamento dei dati personali: docenti, ricercatori, collaboratori a qualsiasi titolo, personale tecnico-amministrativo la cui mansione preveda il trattamento di tali dati.
Tali soggetti sono autorizzati al trattamento dei dati mediante designazione da parte dell'Ateneo. Si considera come designazione la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima. Tra gli autorizzati vanno considerati anche i Responsabili scientifici di un progetto di ricerca ed i componenti del gruppo di ricerca.

È considerato Amministratore di sistema ogni soggetto, autorizzato al trattamento e appositamente nominato, preposto alla gestione e alla manutenzione di un impianto di elaborazione dati o di sue componenti.
Sono Amministratori di Sistema: gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza, e gli amministratori di sistemi software complessi.
L’Amministratore di Sistema: progetta, sviluppa e gestisce l’infrastruttura di rete, i server, il software ed i servizi applicativi di base occupandosi spesso della sicurezza e della protezione dei dati e delle risorse. Inoltre fornisce supporto tecnico (help desk) e informatico su software e hardware.

Il responsabile del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Il Responsabile del trattamento è designato dal titolare con apposito atto scritto (un contratto o altro atto giuridico a norma del diritto dell'Unione o degli Stati membri) e deve presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a che il trattamento soddisfi i requisiti del GDPR e per la tutela dei diritti dell'interessato.
Sono ad esempio responsabili del trattamento i fornitori di servizi cloud o di servizi informatici per l’Ateneo che effettuano trattamenti di dati personali per conto e sulla base delle istruzioni dell’Ateneo stesso, nell’adempimento delle obbligazioni contrattualmente assunte. Con specifico riferimento ai profili di sicurezza del trattamento dei dati personali nell’ambito dei servizi cloud si raccomanda ai responsabili amministrativi di tutte le strutture universitarie - Dipartimenti, Scuole, Centri e Direzioni – di attenersi alle prescrizioni del Piano Triennale per l’Informatica 2017 - 2019 (ulteriormente sviluppata nella versione 2019-2021) per l’adozione del cloud computing nella Pubblica Amministrazione ed ai requisiti fissati dall’Agenzia per l’Italia Digitale - AgID. Per ulteriori informazioni, è possibile consultare una breve sintesi tecnico-normativa disponibile on line nel sito web di Ateneo, sezione “Documenti” dell’Area Sistemi di Calcolo della Direzione Servizi Informativi e Tecnologie.
Anche l'Ateneo può essere designato responsabile del trattamento, in virtù di contratto o altro atto giuridico, ove svolga operazioni di trattamento dei dati personali per conto di altro soggetto (titolare).

Il responsabile può ricorrere ad altro responsabile (c.d. sub-responsabile) esclusivamente con l’autorizzazione scritta preventiva, specifica o generale, del titolare del trattamento. Il sub-responsabile, secondo quanto disposto dal GDPR, è tenuto a rispettare i medesimi obblighi contrattuali che legano il titolare al primo responsabile, prevedendo in particolare garanzie sufficienti e la messa in atto di misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento. A rispondere davanti al titolare di eventuali inadempienze del sub-responsabile è il primo responsabile che ha un rapporto diretto con il titolare, la responsabilità grava in capo al primo responsabile anche ai fini del risarcimento di eventuali danni causati dal trattamento, a meno che il sub- responsabile dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3).

Il Responsabile della Protezione dei Dati personali – RPD (DPO) è il soggetto, designato dal titolare del trattamento, che svolge funzioni di supporto e di controllo; funzioni consultive, formative e informative relativamente all'applicazione del GDPR.
Il DPO coopera con il Garante e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali. I suoi compiti sono declinati all’art. 39 del GDPR.
L’Ateneo ha nominato un DPO esterno che può essere contattato all'indirizzo di posta elettronica: dpo@ateneo.univr.it.

Il GDPR ha ampliato i diritti riconosciuti all'interessato con riferimento ai dati che lo riguardano, rendendoli maggiormente incisivi in una realtà permeata sempre più dal ricorso alle nuove tecnologie e all'utilizzo della rete.
In particolare, vengono riconosciuti all’interessato i seguenti diritti:

• diritto di accesso: diritto di ottenere dal titolare conferma che sia in atto o meno un trattamento di dati personali che lo riguardano e ottenere l’accesso a tali dati;
• diritto di rettifica: diritto di richiedere la rettifica dei dati personali inesatti o l’integrazione dei dati incompleti, anche fornendo una dichiarazione integrativa;
• diritto alla cancellazione (c.d. diritto all’oblio): diritto di ottenere la cancellazione dei dati personali che lo riguardano in presenza di specifici motivi, salvi eventuali obblighi di legge (ad esempio, lo studente non può chiedere la cancellazione dei propri dati di carriera);
• diritto di limitazione: diritto di chiedere ed ottenere il blocco o la limitazione dei dati trattati in violazione di legge e quelli dei quali non è più necessaria la conservazione in relazione agli scopi del trattamento;
• diritto alla portabilità: diritto di ricevere i dati personali forniti, in un formato strutturato, di uso comune e leggibile da dispositivo automatico e di trasmetterli ad un altro titolare dei dati;
• diritto di opposizione: diritto di opporsi in tutto o in parte al trattamento dei dati che lo riguardano;
• diritto di non essere sottoposto a trattamenti automatizzati: diritto di non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati, compresa la profilazione, che producano effetti giuridici che lo riguardano.

L’interessato ha inoltre il diritto di ricevere l’informativa relativa al trattamento dei propri dati personali, il diritto di revocare il proprio consenso in qualsiasi momento, con la stessa facilità con cui è accordato, secondo le modalità indicate di volta in volta dal titolare, nonché la facoltà di proporre reclamo all’Autorità Garante per la protezione dei dati personali e/o di far valere direttamente le proprie ragioni nelle sedi giudiziarie, secondo quanto previsto dal GDPR.

L'interessato può rivolgersi direttamente al titolare del trattamento per l'esercizio dei propri diritti. L’istanza può essere presentata senza particolari formalità (ad es.: lettera raccomandata, telefax, posta elettronica) oppure mediante apposita modulistica.
L’Ateneo ha predisposto un Modulo per l'esercizio dei diritti in materia di protezione dei dati personali, disponibile online alla pagina www.univr.it/privacy, che può essere utilizzato dall’interessato, in riferimento ai trattamenti di dati personali effettuati dall’Università. L’istanza può essere inviata all’U.O. Protezione Dati, all’indirizzo di posta elettronica: privacy@ateneo.univr.it, ovvero al DPO, all'indirizzo di posta elettronica: dpo@ateneo.univr.it.

L’informativa è la comunicazione resa in forma scritta ovvero con altri mezzi (anche elettronici) all’interessato, finalizzata a fornire allo stesso le indicazioni in merito al trattamento dei dati personali svolto dal titolare.
L’informativa deve essere rilasciata:

• in forma concisa, trasparente, intellegibile, facilmente accessibile, con un linguaggio semplice e chiaro;
• prima o al momento stesso della raccolta dei dati personali, se questa avviene presso l'interessato, o entro un termine ragionevole, in ogni caso entro un mese dalla raccolta dei dati o al momento della prima comunicazione all'interessato, se i dati personali sono raccolti presso terzi.

L’informativa deve sempre riportare i contenuti indicati dal GDPR (artt. 13 e 14).
L’Ateneo mette a disposizione degli interessati le informative specifiche sul trattamento dei dati personali nel proprio sito istituzionale, alla pagina www.univr.it/privacy.

Il consenso è una dichiarazione o azione positiva dell'interessato, con la quale lo stesso manifesta la volontà libera, specifica, informata e inequivocabile rispetto al trattamento dei dati personali che lo riguardano.
La dichiarazione scritta - da preferirsi, ove possibile, rispetto a quella orale, in quanto documentabile in modo più agevole da parte del titolare -, può essere resa anche attraverso mezzi elettronici, ad esempio attraverso la spunta (“flag”) di un'apposita casella in un sito web, oppure tramite qualsiasi altro comportamento che indichi chiaramente che l'interessato accetta il trattamento proposto in tale contesto. Non configura consenso il silenzio, l'inattività o la preselezione di caselle di spunta.
Il consenso deve applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. In quest’ultimo caso, il consenso deve essere prestato per ciascuna finalità. Qualora il titolare del trattamento intenda trattare i dati personali per una finalità diversa da quella per la quale sono stati raccolti, sarà tenuto a fornire all’interessato ulteriori informazioni in merito a tale finalità prima di procedere al trattamento.

Il GDPR riconosce all’interessato il diritto di revocare il proprio consenso, in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basato sul consenso precedentemente prestato.
Prima di prestare il proprio consenso, l'interessato deve essere informato della possibilità di revocare lo stesso e delle specifiche modalità di esercizio di tale diritto indicate dal titolare.

Il data breach è una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Tale violazione dei dati personali può determinare un rischio per i diritti e le libertà degli interessati.
Può aversi, ad esempio, data breach in caso di accesso o acquisizione dei dati trattati da parte di terzi non autorizzati, ma anche in caso di furto o smarrimento di dispositivi informatici contenenti dati personali (ad es. furto o smarrimento del pc in dotazione dall'Ateneo, di usb, etc.).

In caso di violazione dei dati personali che possa comportare un rischio per i diritti e le libertà degli interessati, il titolare del trattamento senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali.
La violazione deve inoltre essere comunicata alle singole persone fisiche i cui dati personali siano stati violati, ove non sia soddisfatta una delle seguenti condizioni:

• il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione applicate ai dati personali oggetto della violazione;
• il titolare del trattamento ha adottato successivamente alla violazione misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
• la comunicazione agli interessati richiederebbe sforzi sproporzionati.

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto invece ad informare il titolare del trattamento senza ingiustificato ritardo, in modo che quest'ultimo possa attivarsi e adempiere agli obblighi sopra descritti.
Eventuali anomalie, incidenti, furti, perdite accidentali di dati personali devono essere segnalate con tempestività all'indirizzo e-mail: privacy@ateneo.univr.it, al fine di consentire all'Ateneo l'attivazione delle inerenti procedure di verifica e di eventuale notifica e comunicazione.

La DPIA è una procedura che mira a descrivere un trattamento dati, con l’obiettivo fondamentale di valutarne l’effettiva necessità, la proporzionalità e facilitare la gestione dei rischi ad esso connessi. Deve essere svolta dal titolare, con la consultazione del DPO, prima di effettuare un trattamento basato sull'utilizzo di nuove tecnologie (ad esempio, nuovi applicativi) che possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche.

Spamming o spam è l'invio, talora massiccio e ripetuto, tramite operatore o con modalità automatizzate, di comunicazioni non richieste (via telefono, e-mail, fax, sms o mms), senza che il destinatario abbia ricevuto un’informativa sul trattamento dei dati personali o abbia prestato il consenso a ricevere messaggi.
Negli ultimi tempi, lo spamming sta interessando anche il mondo dei social network e quello dei sistemi di messaggistica per smartphone e tablet.
Scopo dello spamming è veicolare messaggi pubblicitari, ma tale pratica è legata anche a veri e propri tentativi di truffa, come il phishing.
In Italia l'invio di messaggi automatizzati a fini promozionali non desiderati è soggetto a sanzioni amministrative e penali.

Lo spammer - cioè colui che invia lo spam - utilizza riferimenti (e-mail, numeri telefonici, ecc.) per l'invio di messaggi promozionali spesso raccolti in modo non lecito o anche in maniera automatica via Internet (su gruppi Usenet, newsgroups, forum, ecc.), mediante speciali programmi (spambot, ecc.) o, più semplicemente, facendo invii massivi a caso ad indirizzi e-mail basati sull'uso di nomi comuni.

Se il contatto e-mail o telefonico è stato raccolto con il consenso del destinatario o secondo le modalità previste dalla legge (es: nell'ambito di un contratto per la fornitura di un qualche servizio), non si può parlare di spam.
In ogni caso, se le comunicazioni pubblicitarie o altro tipo richieste (es: invio di newsletter, ecc.) risultano ad un certo punto indesiderate, è diritto dell’interessato (destinatario della e-mail) opporsi al trattamento dei suoi dati e chiedere la sospensione dell'invio, anche utilizzando, se disponibili, procedure on-line per la cancellazione dei suoi dati dal database del mittente.

NO.
La mera conoscibilità di fatto di un indirizzo di posta elettronica non legittima il titolare del trattamento ad inviare messaggi promozionali in assenza del preventivo consenso dell’interessato.
In particolare, la circostanza che un indirizzo e-mail, sia conoscibile da chiunque, perché reperibile in Internet, non autorizza i terzi all’invio indiscriminato di messaggi pubblicitari, dovendosi avere riguardo alle specifiche finalità cui è preordinata la pubblicità dell’indirizzo di posta elettronica.
Ad esempio, in assenza del prescritto consenso dell’interessato, è illecito l’invio, da parte di una società, di messaggi pubblicitari alla casella di posta elettronica assegnata ad un docente universitario, riportata, per ragioni istituzionali, nel sito web dell’università.

Come già evidenziato sin dalle Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013, il Garante Privacy ha recentemente confermato che “senza il consenso (…) non è possibile inviare comunicazioni promozionali con i predetti strumenti neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da chiunque”.

Anche per questo caso il Garante Privacy ha ribadito che “senza il consenso preventivo degli interessati, non è lecito utilizzare per inviare e-mail promozionali gli indirizzi PEC contenuti nell’indice nazionale degli indirizzi PEC delle imprese e dei professionisti (…) istituito per favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica”.

Non è lecito, con la comunicazione del primo messaggio promozionale, chiedere il consenso al trattamento dati per finalità promozionali, neppure se, nella medesima comunicazione, si avvisa l’interessato della possibilità di opporsi a ulteriori invii.

È possibile promuovere qualsiasi iniziativa dell’Ateneo utilizzando altri canali di comunicazione istituzionale, quali il sito univr.it o i siti dipartimentali, le pagine dei social media riconducibili all’Ateneo, ecc. In questi canali, a mezzo di appositi form o moduli di registrazione che consentono l’inserimento anche dell’indirizzo di posta elettronica dell’interessato, è possibile raccogliere specifici consensi necessari, ad esempio, all’invio di una newsletter, di un calendario di eventi nuovi o simili ad altri a cui si è partecipato, ecc. Il suddetto modulo dovrà anche fornire direttamente od indirettamente un’informativa sul trattamento dei dati personali, al fine di rendere il consenso informato, libero e consapevole.