Privacy
Trattamento e protezione dei dati personaliGentile Interessato,
desideriamo informarLa che, in base al Regolamento Europeo 2016/679 (da ora in poi Regolamento), la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale costituisce un diritto fondamentale nell’Unione Europea. I principi di protezione dei dati si applicano a tutte le informazioni relative a una persona fisica identificata o identificabile, pertanto non si applicano a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato.
Qualsiasi trattamento di dati personali deve essere lecito e corretto e devono essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro.
Tale principio riguarda, in particolare, l'informazione agli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente.
Privacy
- Regolamento in materia di videosorveglianza presso le sedi dell' Università di Verona
-
Emanato con Decreto Rettorale rep. n. 11453 del 12 novembre 2019 - entrato in vigore il 28 novembre 2019
- Regolamento protezione dati personali
-
Emanato con Decreto Rettorale rep. n. 1555 del 26 settembre 2017 - entrato in vigore il 13 ottobre 2017
- Modulo per l'esercizio dei diritti in materia di protezione dei dati personali (artt. 7, 15 e ss Regolamento (UE) 2016/679)
-
Si tratta di un ruolo previsto dal Regolamento europeo 2016/679 (General Data Protection Regulation o GDPR), artt. 37-39, cui sono affidati questi compiti:
- informare e fornire consulenza all'Ateneo sugli obblighi derivanti dal GDPR e dalle altre disposizioni, europee e nazionali, relative alla protezione dei dati,
-sorvegliare l’osservanza, da parte dell'Ateneo, del GDPR e delle altre disposizioni relative alla protezione dei dati,
- fornire pareri in merito alla valutazione dei rischi di violazione dei dati personali (data protection impact assessment o DPIA) e sorvegliarne lo svolgimento,
- cooperare e fungere da punto di contatto con il Garante per la protezione dei dati personali,
- fungere da punto di contatto con gli interessati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti.
- Dati di contatto del Responsabile della Protezione dei Dati (DPO)
-
L'Ateneo ha l'obbligo (GDPR art. 37.7) di comunicare i dati di contatto del DPO, ad uso di tutti gli interessati:
E-mail: DPO@ateneo.univr.it
Le violazioni di dati personali o data breach sono gestite operativamente dall’UO Protezione Dati dell’Area Trasparenza e Protezione Dati – Direzione Affari Istituzionali, sotto la supervisione del DPO.
Ogni soggetto autorizzato a trattare dati, qualora venga a conoscenza di un potenziale caso di data breach, è tenuto ad informare tempestivamente il Titolare del trattamento, compilando l’apposito modulo 101-MODULO DI SEGNALAZIONE VIOLAZIONE/SOSPETTO DATA BREACH ed inviandolo all’Ufficio Protezione Dati, all’indirizzo di posta elettronica: privacy@ateneo.univr.it.
L’Ateneo ha adottato un’apposita procedura PR001-PROCEDURA DATA BREACH allo scopo di indicare a tutti i soggetti che operano al proprio interno le modalità di gestione di una violazione, anche solo potenzialmente data breach, ovvero di un episodio di violazione di dati personali, nel rispetto dei principi e delle disposizioni contenute nel GDPR.
- MODULO DA UTILIZZARE PER LA SEGNALAZIONE
-
- PROCEDURA ED ALTRI ALLEGATI DA UTILIZZARE PER GESTIRE IL DATA BREACH
-
103-SCHEMA VALUTAZIONE VIOLAZIONI - IT | 641Kb | 17/03/2023
102-REGISTRO EVENTI NEGATIVI DATA BREACH - IT | 86Kb | 17/03/2023
PR001-PROCEDURA DATA BREACH - IT | 649Kb | 17/03/2023
Informative
- Informativa sul trattamento dei dati personali degli studenti immatricolati ai Corsi di Laurea dell’Ateneo
-
Modalità di trattamento dei dati personali forniti dagli studenti immatricolati ai Corsi di Laurea dell’Ateneo
- Informativa sul trattamento dei dati personali dei partecipanti alle prove concorsuali/selezioni bandite a vario titolo dall'Ateneo
-
Modalità di trattamento dei dati personali forniti per partecipare alle prove concorsuali/selezioni bandite dall’Università di Verona
- Informativa sul trattamento dei dati personali degli studenti dei Corsi Post Lauream dell’Ateneo
-
Modalità di trattamento dei dati personali forniti dagli studenti dei Corsi Post Lauream dell’Ateneo
- Informativa sul trattamento dei dati personali nei servizi di orientamento
-
Modalità di trattamento dei dati personali dei soggetti che fruiscono servizi di orientamento dell’Università di Verona.
- Informativa sul trattamento dei dati personali in attività di job placement e orientamento al lavoro
-
Modalità di trattamento dei dati personali dei soggetti che fruiscono servizi servizi di job placement
e orientamento al lavoro dell’Università di Verona.
- Informativa sul trattamento dei dati personali dei soggetti che partecipano alle attività di tirocinio svolte dagli studenti iscritti ai Corsi di Laurea in professioni sanitarie
-
Modalità di trattamento dei dati personali dei soggetti che partecipano alle attività di tirocinio svolte dagli studenti e dalle studentesse iscritti/e ai Corsi di Laurea in professioni sanitarie dell'Università degli studi di Verona
- Informativa sul trattamento dei dati personali dei partecipanti alle prove concorsuali/selezioni bandite a vario titolo dall'Ateneo
-
Modalità di trattamento dei dati personali forniti per partecipare alle prove concorsuali/selezioni bandite dall’Università di Verona
- Informativa sul trattamento dei dati personali del personale d'Ateneo con contratto di lavoro dipendente e assimilato
-
Modalità di trattamento dei dati personali forniti al momento dell’instaurazione del rapporto di lavoro - subordinato, parasubordinato o assimilato - con l’Università di Verona, in vigenza di rapporto o dopo la sua cessazione, relativi a chi svolge o ha svolto l’attività lavorativa e ai suoi familiari.
- Informativa sul trattamento dei dati personali nell’ambito della procedura di elezione del rettore dell’Università di Verona
-
Modalità di trattamento dei dati personali nell’ambito della procedura di elezione del rettore dell’Università di Verona
- Informativa sul trattamento dei dati personali degli utenti del Nido d'Infanzia dell'Università di Verona
-
Modalità di trattamento dei dati personali degli utenti (genitori/soggetti esercenti la responsabilità genitoriale e minori) del Nido d'Infanzia dell’Università di Verona
- Informativa sul trattamento dei dati personali dei soggetti che partecipano alle sedute degli Organi di Ateneo
-
Modalità di trattamento dei dati personali dei soggetti che partecipano alle sedute del Senato accademico e del Consiglio di Amministrazione dell'Università di Verona
- Informativa sul trattamento dei dati personali nell'ambito delle coperture assicurative d'Ateneo
-
Modalità di trattamento dei dati personali forniti nell’ambito d’operatività delle coperture assicurative stipulate dall’Ateneo
- Informativa sul trattamento dei dati personali in attività di ricerca
-
Modalità di trattamento dei dati personali nell’ambito delle attività di ricerca dell’Università di Verona.
- Informativa sul trattamento dei dati personali in attività di promozione della ricerca
-
Modalità di trattamento dei dati personali nell’ambito dei servizi di promozione delle attività di ricerca dell’Università di Verona.
- Informativa sul trattamento dei dati personali relativo all’applicazione “Il mio Capitale Verde”
-
Modalità di trattamento dei dati personali degli utenti che installano, accedono e/o utilizzano l’applicazione “Il mio Capitale Verde”
- Informativa sul trattamento dei dati personali dei partecipanti all'indagine MST
-
Modalità di trattamento dei dati personali dei soggetti partecipanti alle indagini predisposte dall’Università di Verona nell’ambito del Progetto di ricerca del Dipartimento di Diagnostica e Sanità Pubblica “Meglio Stare Tranquilli: un progetto per indagare conoscenze e comportamenti relativi alla Malattie Sessualmente Trasmesse presso gli studenti dell’Ateneo di Verona”
- Informativa sul trattamento dei dati personali dei soggetti che partecipano agli eventi dell’Università di Verona
-
Modalità di trattamento dei dati personali nell'ambito degli eventi (cerimonie, conferenze, convegni, seminari, mostre, altri incontri o attività) organizzati dall’Università di Verona
- Informativa sul trattamento dei dati personali dei soggetti che partecipano all'evento Kidsuniversity
-
Modalità di trattamento dei dati personali dei soggetti che partecipano all’evento di divulgazione della ricerca e di condivisione della conoscenza tra il mondo universitario, le istituzioni cittadine e le realtà culturali e sociali del territorio denominato “Kidsuniversity” promosso ed organizzato dall’Università di Verona in collaborazione con Gruppo Pleiadi. In allegato alla presente informativa la liberatoria/consenso per la raccolta e la pubblicazione di immagini fotografiche e riprese audio-video dei soggetti di minore età che partecipano all'evento.
- Informativa sul trattamento dei dati personali nell'ambito delle iniziative di educazione economica e finanziaria
-
Modalità di trattamento dei dati personali dei soggetti che partecipano alle iniziative di educazione economica e finanziaria promosse, organizzate e realizzate dalla Regione del Veneto e dall’Università di Verona
- Informativa sul trattamento dei dati personali nell’ambito di procedure di scelta del contraente ovvero ai fini della stipula di contratti o convenzioni
-
Modalità di trattamento dei dati personali dei soggetti che partecipano alle procedure di scelta del contraente ovvero che stipulano contratti o convenzioni con l’Università di Verona
- Informativa sul trattamento dei dati personali dei partecipanti a eventi istituzionali pubblici ad accesso controllato per esigenze di sicurezza
-
Modalità di trattamento dei dati personali dei partecipanti a eventi istituzionali pubblici ad accesso controllato per esigenze di sicurezza
- Informativa sul trattamento dei dati personali rilevati dai sistemi di videosorveglianza dell’Ateneo
-
Modalità di trattamento dei dati personali dei soggetti che accedono alle strutture e agli spazi di pertinenza dell’Università di Verona rilevati dai sistemi di videosorveglianza ivi presenti
- Informativa sul trattamento dei dati personali degli utenti che consultano i siti web dell’Università
-
Modalità di trattamento dei dati personali degli utenti che consultano i siti web dell’Università di Verona.
- Informativa sul trattamento dei dati personali in caso di iscrizioni a newsletter dell’Università
-
Modalità di trattamento dei dati personali degli utenti che si iscrivono a newsletter dell’Università di Verona.
- Informativa sul trattamento dei dati personali degli utenti che consultano la piattaforma “Portale dei pagamenti pagoPA”
-
Modalità di trattamento dei dati personali degli utenti della piattaforma “Portale dei pagamenti pagoPA” per l’effettuazione di pagamenti nei confronti dell’Università di Verona.
- Informativa sul trattamento dei dati personali relativa al questionario sulla Customer Satisfaction
-
Modalità di trattamento dei dati personali dei dati personali forniti da studenti, docenti, dottorandi, assegnisti e personale tecnico-amministrativo dell’Università di Verona, per analisi di customer satisfaction sui servizi forniti dall’Ateneo
FAQ
Domande frequenti sulla PrivacyFAQ
Il diritto alla protezione dei dati personali è un diritto fondamentale dell'individuo ai sensi della Carta dei Diritti fondamentali dell'Unione europea (art. 8).
Le principali fonti normative vigenti in materia di protezione dei dati personali sono costituite da:- il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), anche noto nell'acronimo di General Data Protection Regulation– GDPR (nella versione italiana: RGPD). Il Regolamento, entrato in vigore il 24 maggio 2016 e pienamente esecutivo in tutti gli Stati membri dell'Unione europea dal 25 maggio 2018, si prefigge di rafforzare le tutele poste a salvaguardia dei diritti e delle libertà fondamentali delle persone fisiche, con particolare riferimento alla protezione dei dati che le riguardano, favorendo al contempo la libera circolazione di tali dati;
- il lgs. 30 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali), come modificato ed integrato dal D.lgs. 10 agosto 2018, n. 101 di adeguamento della disciplina italiana al GDPR e regolamentazione di alcuni aspetti rimessi alla potestà legislativa nazionale (quali, ad esempio, la previsione di alcune fattispecie di illeciti penali).
Oltre alle fonti normative comunitarie e nazionali sopra citate, assumono rilevanza ai fini della protezione dei dati personali i provvedimenti dell'Autorità Garante per la protezione dei dati personali, le regole deontologiche, nonché protocolli, circolari, linee guida, prassi in generale, che contribuiscono, positivamente, ad aggiornare il settore in continua evoluzione.
GDPR è l'acronimo di General Data Protection Regulation (nella versione italiana: RGPD), utilizzato in riferimento al Regolamento n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
FAQ
Un dato personale è qualsiasi informazione riferita ad una persona fisica (c.d. «interessato ») che consente di identificarla, direttamente o indirettamente.
L'Ateneo, nell'ambito delle proprie funzioni istituzionali, tratta dati personali quali: nomi; cognomi; codici fiscali; numeri di telefono; targhe di veicoli; informazioni relative all'ubicazione; identificativi online prodotti dai dispositivi, dalle applicazioni, dai protocolli utilizzati dagli utenti (ad es. gli indirizzi IP); altre informazioni riferite a uno o più elementi caratteristici della identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di un soggetto (persona fisica).
I medesimi dati identificativi, ove riferiti a soggetti aventi personalità giuridica (ad es.: società di capitali, aziende ed enti pubblici, associazioni e fondazioni) o ad organizzazioni in genere anche senza personalità giuridica come definita in Italia, non costituiscono dati personali. Pertanto il trattamento degli stessi esula dall’ambito di applicazione della normativa in materia di protezione dei dati personali.
Le categorie particolari di dati personali comprendono i dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica (c.d. «interessato»), i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Il titolare può trattare tali dati solamente se l’interessato ha prestato il proprio consenso esplicito o anche senza il suo consenso, se ricorre taluna delle eccezioni previste dall'art. 9 del GDPR (ad esempio, se il trattamento è necessario per motivi di interesse pubblico rilevante, per finalità di medicina preventiva o di medicina del lavoro, per motivi di interesse pubblico nel settore della sanità pubblica, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, etc).
I dati relativi alla salute sono i dati personali idonei a rivelare informazioni connesse allo stato di salute fisica o mentale, passata presente o futura, dell'interessato.
Tali dati comprendono ad esempio: qualsiasi informazione riguardante una malattia, una disabilità, il rischio di malattie; l'anamnesi medica; i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte (ad es.: personale medico o altro operatore sanitario, ospedale, dispositivo medico, test diagnostico); le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; altre informazioni quali un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari.
I dati genetici sono i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano dall'analisi di un campione biologico della persona fisica in questione - in particolare dall'analisi dei cromosomi, del DNA o del RNA, ovvero dall'analisi di un altro elemento che consenta di ottenere informazioni equivalenti.
I dati biometrici sono i dati personali relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, trattati attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione della stessa (firma grafometrica, riconoscimento facciale, scansione dell’iride, etc).
I dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza (c.d. "giudiziari”) sono dati idonei a rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il titolare può trattare tali dati solamente sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati, secondo quanto disposto dal GDPR (art. 10).
Le immagini riprodotte nelle fotografie e le registrazioni audio-video, allorché si riferiscano a persone fisiche identificate o identificabili, costituiscono dati personali; pertanto, il trattamento delle stesse soggiace alle disposizioni normative in materia di protezione dei dati personali.
A titolo meramente esemplificativo, costituiscono dati personali le immagini di un soggetto invitato a passare attraverso uno specifico corridoio o cancello per accedere a una zona sottoposta a videosorveglianza.
Il dato anonimo non è un dato personale, è un’informazione che non si riferisce ad una persona fisica identificata o identificabile oppure un dato che è stato reso sufficientemente anonimo da non consentire più l’identificazione del soggetto.
Il trattamento di tali dati esula dall’ambito di applicazione della normativa in materia di protezione dei dati personali.
Sebbene il GDPR non trovi applicazione rispetto al trattamento di dati personali di persone decedute, lo Stato italiano ha previsto delle norme specifiche a tutela del trattamento di tali dati.
In particolare, il D. lgs. 10 agosto 2018, n. 101 di adeguamento del D. lgs. 196/2003 al GDPR, ha stabilito che i diritti di cui agli artt. 15-22 del medesimo Regolamento possono essere esercitati in riferimento a tali dati da parte di chi ha un interesse proprio, oppure agisce a tutela del defunto quale mandatario o per ragioni familiari meritevoli di protezione (all’art. 2-terdecies).
FAQ
Il trattamento è una qualsiasi operazione o insieme di operazioni applicate a uno o più dati personali.
Costituiscono trattamenti di dati personali: la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
L'Ateneo può trattare i dati personali su supporti in formato cartaceo o elettronico, con o senza l'ausilio di processi automatizzati, quali ad esempio macchinari, algoritmi, software.
Il GDPR individua i seguenti principi secondo i quali devono essere trattati i dati personali:
- liceità, correttezza e trasparenza: i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- limitazione della finalità: i dati personali devono essere raccolti per finalità determinate, esplicite e legittime e successivamente trattati compatibilmente con tali finalità;
- minimizzazione dei dati: i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- esattezza: i dati personali devono essere esatti e, se necessario, aggiornati;
- limitazione della conservazione: i dati personali devono essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
- integrità e riservatezza: i dati personali devono essere trattati in maniera da garantire un'adeguata sicurezza degli stessi, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
L’Ateneo, quale titolare del trattamento, è tenuto ad osservare detti principi e deve essere in grado di dimostrarne il rispetto, essendo responsabile di qualsiasi trattamento di dati personali che effettua direttamente o che altri effettuano per suo conto (c.d. principio di responsabilizzazione o accountability).
La profilazione è qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati al fine di valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica.
A titolo meramente esemplificativo, integra un’ipotesi di profilazione la raccolta di dati personali di un individuo o di un gruppo di individui (ad es. tramite questionari online) e la loro analisi ed elaborazione mediante suddivisione in gruppi omogenei in base a gusti, interessi e preferenze, per dar luogo ad ulteriori valutazioni o previsioni riguardanti la capacità di eseguire un’attività o un comportamento probabile.
La pseudonimizzazione è un trattamento dei dati personali finalizzato a rendere gli stessi non più attribuibili a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative tali da garantire che i dati trattati non siano attribuiti a una persona fisica identificata o identificabile.
La pseudonimizzazione può essere realizzata, ad esempio, sostituendo alcuni identificatori con pseudonimi (o token, letteralmente “simbolo” o “simbolico”), cioè dati realistici, ma non veritieri. I dati originali, vengono conservati in un database separato costituito da una tabella delle corrispondenze tra dati originali e gli pseudonimi utilizzati. Tutto ciò permette di re-identificare le persone fisiche, in quanto il titolare, o il responsabile del trattamento, possiede le “informazioni aggiuntive” per poter risalire all’identità degli interessati: si parla perciò di un processo reversibile. I dati pseudonimizzati non possono essere attribuiti ad un individuo senza utilizzare le predette “informazioni aggiuntive”, che in questo caso sono rappresentate dalla tabella delle corrispondenze tra pseudonimi e dati originali.
L’anonimizzazione è un trattamento che opera una de-identificazione irreversibile del dato, attraverso l’eliminazione della correlazione tra lo stesso e una determinata persona fisica interessata.
L’anonimizzazione può essere realizzata, ad esempio, tramite la rimozione, la sostituzione, la distorsione, la generalizzazione o l’aggregazione degli identificatori diretti, come il nome completo o altre caratteristiche rilevanti della persona fisica, e indiretti, cioè attributi che combinati con altre informazioni disponibili rendono identificabile una persona, come per esempio una combinazione di occupazione, stipendio ed età.
FAQ
L’interessato è la persona fisica identificata o identificabile alla quale si riferiscono i dati personali oggetto di trattamento.
Tra le categorie di interessati al trattamento dei dati personali svolto dall'Ateneo vi sono ad esempio: studenti, docenti, assegnisti di ricerca, dottorandi, specializzandi, collaboratori a qualunque titolo, personale tecnico-amministrativo, lavoratori con contratti atipici e temporanei, coloro che partecipano, previa registrazione, agli eventi organizzati dall'Ateneo.
Il titolare del trattamento è la persona fisica o giuridica, la pubblica amministrazione o altro organismo che, singolarmente o insieme ad altri (c.d. contitolari), determina le finalità e i mezzi del trattamento di dati personali.
Il Titolare del trattamento di tutti i dati personali in ambito universitario è l’Università degli Studi di Verona, con sede in Via dell'Artigliere, n. 8 – 37129 Verona, in persona del suo Legale Rappresentante, il Rettore pro tempore.
L’Ateneo ha affidato il coordinamento generale degli aspetti inerenti alla protezione dei dati personali in ambito universitario alla Direzione Affari Istituzionali e Legali. Tale funzione è esercitata attraverso l’U.O. Protezione Dati, raggiungibile all'indirizzo di posta elettronica: privacy@ateneo.univr.it.
Per finalità del trattamento deve intendersi il risultato perseguito dal titolare, i motivi per i quali i dati personali vengono trattati.
Per mezzi del trattamento si intendono non solo gli strumenti con i quali si svolgono le relative attività di trattamento, ma anche le modalità (tecniche, informatiche, organizzative, etc.) con le quali il trattamento viene effettuato, incluse le decisioni su quali dati trattare, i tempi di conservazione dei dati, etc.
Si parla di contitolarità del trattamento nei casi in cui le decisioni relative alle finalità ed ai mezzi del trattamento vengono assunte da un titolare assieme a un altro o più soggetti. Sussiste, ad esempio, una situazione di contitolarità nel trattamento dei dati personali degli studenti tra due o più Atenei convenzionati per l’attivazione di un Corso di Laurea o di un Dottorato di ricerca interateneo.
Nel caso in cui sussista una situazione di contitolarità, i contitolari sono tenuti a stipulare un accordo al fine di disciplinare i rispettivi ruoli, compiti e responsabilità in ordine all’esercizio dei diritti dell’interessato; le rispettive funzioni relativamente alla comunicazione dell’informativa nonché l’indicazione di un punto di contatto utile agli interessati (c.d. accordo di contitolarità). Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato che, indipendentemente dalle disposizioni ivi contenute, può esercitare i propri diritti nei confronti di e contro ciascun titolare del trattamento.
I soggetti autorizzati al trattamento sono coloro che effettuano materialmente le operazioni connesse al trattamento dei dati personali (ad es.: raccolta, elaborazione, archiviazione, comunicazione, diffusione, cancellazione dei dati personali). Tali soggetti devono essere adeguatamente istruiti dal titolare o dal responsabile in merito al trattamento dei dati.
Sono soggetti autorizzati dall’Ateneo al trattamento dei dati personali: docenti, ricercatori, collaboratori a qualsiasi titolo, personale tecnico-amministrativo la cui mansione preveda il trattamento di tali dati.
Tali soggetti sono autorizzati al trattamento dei dati mediante designazione da parte dell'Ateneo. Si considera come designazione la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima. Tra gli autorizzati vanno considerati anche i Responsabili scientifici di un progetto di ricerca ed i componenti del gruppo di ricerca.
È considerato Amministratore di sistema ogni soggetto, autorizzato al trattamento e appositamente nominato, preposto alla gestione e alla manutenzione di un impianto di elaborazione dati o di sue componenti.
Sono Amministratori di Sistema: gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza, e gli amministratori di sistemi software complessi.
L’Amministratore di Sistema: progetta, sviluppa e gestisce l’infrastruttura di rete, i server, il software ed i servizi applicativi di base occupandosi spesso della sicurezza e della protezione dei dati e delle risorse. Inoltre fornisce supporto tecnico (help desk) e informatico su software e hardware.
Il responsabile del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Il Responsabile del trattamento è designato dal titolare con apposito atto scritto (un contratto o altro atto giuridico a norma del diritto dell'Unione o degli Stati membri) e deve presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a che il trattamento soddisfi i requisiti del GDPR e per la tutela dei diritti dell'interessato.
Sono ad esempio responsabili del trattamento i fornitori di servizi cloud o di servizi informatici per l’Ateneo che effettuano trattamenti di dati personali per conto e sulla base delle istruzioni dell’Ateneo stesso, nell’adempimento delle obbligazioni contrattualmente assunte. Con specifico riferimento ai profili di sicurezza del trattamento dei dati personali nell’ambito dei servizi cloud si raccomanda ai responsabili amministrativi di tutte le strutture universitarie - Dipartimenti, Scuole, Centri e Direzioni – di attenersi alle prescrizioni del Piano Triennale per l’Informatica 2017 - 2019 (ulteriormente sviluppata nella versione 2019-2021) per l’adozione del cloud computing nella Pubblica Amministrazione ed ai requisiti fissati dall’Agenzia per l’Italia Digitale - AgID. Per ulteriori informazioni, è possibile consultare una breve sintesi tecnico-normativa disponibile on line nel sito web di Ateneo, sezione “Documenti” dell’Area Sistemi di Calcolo della Direzione Servizi Informativi e Tecnologie.
Anche l'Ateneo può essere designato responsabile del trattamento, in virtù di contratto o altro atto giuridico, ove svolga operazioni di trattamento dei dati personali per conto di altro soggetto (titolare).
Il responsabile può ricorrere ad altro responsabile (c.d. sub-responsabile) esclusivamente con l’autorizzazione scritta preventiva, specifica o generale, del titolare del trattamento. Il sub-responsabile, secondo quanto disposto dal GDPR, è tenuto a rispettare i medesimi obblighi contrattuali che legano il titolare al primo responsabile, prevedendo in particolare garanzie sufficienti e la messa in atto di misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento. A rispondere davanti al titolare di eventuali inadempienze del sub-responsabile è il primo responsabile che ha un rapporto diretto con il titolare, la responsabilità grava in capo al primo responsabile anche ai fini del risarcimento di eventuali danni causati dal trattamento, a meno che il sub- responsabile dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3).
Il Responsabile della Protezione dei Dati personali – RPD (DPO) è il soggetto, designato dal titolare del trattamento, che svolge funzioni di supporto e di controllo; funzioni consultive, formative e informative relativamente all'applicazione del GDPR.
Il DPO coopera con il Garante e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali. I suoi compiti sono declinati all’art. 39 del GDPR.
L’Ateneo ha nominato un DPO esterno che può essere contattato all'indirizzo di posta elettronica: dpo@ateneo.univr.it.
FAQ
Il GDPR ha ampliato i diritti riconosciuti all'interessato con riferimento ai dati che lo riguardano, rendendoli maggiormente incisivi in una realtà permeata sempre più dal ricorso alle nuove tecnologie e all'utilizzo della rete.
In particolare, vengono riconosciuti all’interessato i seguenti diritti:- diritto di accesso: diritto di ottenere dal titolare conferma che sia in atto o meno un trattamento di dati personali che lo riguardano e ottenere l’accesso a tali dati;
- diritto di rettifica: diritto di richiedere la rettifica dei dati personali inesatti o l’integrazione dei dati incompleti, anche fornendo una dichiarazione integrativa;
- diritto alla cancellazione (c.d. diritto all’oblio): diritto di ottenere la cancellazione dei dati personali che lo riguardano in presenza di specifici motivi, salvi eventuali obblighi di legge (ad esempio, lo studente non può chiedere la cancellazione dei propri dati di carriera);
- diritto di limitazione: diritto di chiedere ed ottenere il blocco o la limitazione dei dati trattati in violazione di legge e quelli dei quali non è più necessaria la conservazione in relazione agli scopi del trattamento;
- diritto alla portabilità: diritto di ricevere i dati personali forniti, in un formato strutturato, di uso comune e leggibile da dispositivo automatico e di trasmetterli ad un altro titolare dei dati;
- diritto di opposizione: diritto di opporsi in tutto o in parte al trattamento dei dati che lo riguardano;
- diritto di non essere sottoposto a trattamenti automatizzati: diritto di non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati, compresa la profilazione, che producano effetti giuridici che lo riguardano.
L’interessato ha inoltre il diritto di ricevere l’informativa relativa al trattamento dei propri dati personali, il diritto di revocare il proprio consenso in qualsiasi momento, con la stessa facilità con cui è accordato, secondo le modalità indicate di volta in volta dal titolare, nonché la facoltà di proporre reclamo all’Autorità Garante per la protezione dei dati personali e/o di far valere direttamente le proprie ragioni nelle sedi giudiziarie, secondo quanto previsto dal GDPR.
L'interessato può rivolgersi direttamente al titolare del trattamento per l'esercizio dei propri diritti. L’istanza può essere presentata senza particolari formalità (ad es.: lettera raccomandata, telefax, posta elettronica) oppure mediante apposita modulistica.
L’Ateneo ha predisposto un Modulo per l'esercizio dei diritti in materia di protezione dei dati personali, disponibile online alla pagina www.univr.it/privacy, che può essere utilizzato dall’interessato, in riferimento ai trattamenti di dati personali effettuati dall’Università. L’istanza può essere inviata all’U.O. Protezione Dati, all’indirizzo di posta elettronica: privacy@ateneo.univr.it, ovvero al DPO, all'indirizzo di posta elettronica: dpo@ateneo.univr.it.
FAQ
L’informativa è la comunicazione resa in forma scritta ovvero con altri mezzi (anche elettronici) all’interessato, finalizzata a fornire allo stesso le indicazioni in merito al trattamento dei dati personali svolto dal titolare.
L’informativa deve essere rilasciata:- in forma concisa, trasparente, intellegibile, facilmente accessibile, con un linguaggio semplice e chiaro;
- prima o al momento stesso della raccolta dei dati personali, se questa avviene presso l'interessato, o entro un termine ragionevole, in ogni caso entro un mese dalla raccolta dei dati o al momento della prima comunicazione all'interessato, se i dati personali sono raccolti presso terzi.
L’informativa deve sempre riportare i contenuti indicati dal GDPR (artt. 13 e 14).
L’Ateneo mette a disposizione degli interessati le informative specifiche sul trattamento dei dati personali nel proprio sito istituzionale, alla pagina www.univr.it/privacy.
Il consenso è una dichiarazione o azione positiva dell'interessato, con la quale lo stesso manifesta la volontà libera, specifica, informata e inequivocabile rispetto al trattamento dei dati personali che lo riguardano.
La dichiarazione scritta - da preferirsi, ove possibile, rispetto a quella orale, in quanto documentabile in modo più agevole da parte del titolare -, può essere resa anche attraverso mezzi elettronici, ad esempio attraverso la spunta (“flag”) di un'apposita casella in un sito web, oppure tramite qualsiasi altro comportamento che indichi chiaramente che l'interessato accetta il trattamento proposto in tale contesto. Non configura consenso il silenzio, l'inattività o la preselezione di caselle di spunta.
Il consenso deve applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. In quest’ultimo caso, il consenso deve essere prestato per ciascuna finalità. Qualora il titolare del trattamento intenda trattare i dati personali per una finalità diversa da quella per la quale sono stati raccolti, sarà tenuto a fornire all’interessato ulteriori informazioni in merito a tale finalità prima di procedere al trattamento.
Il GDPR riconosce all’interessato il diritto di revocare il proprio consenso, in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basato sul consenso precedentemente prestato.
Prima di prestare il proprio consenso, l'interessato deve essere informato della possibilità di revocare lo stesso e delle specifiche modalità di esercizio di tale diritto indicate dal titolare.
Il data breach è una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Tale violazione dei dati personali può determinare un rischio per i diritti e le libertà degli interessati.
Può aversi, ad esempio, data breach in caso di accesso o acquisizione dei dati trattati da parte di terzi non autorizzati, ma anche in caso di furto o smarrimento di dispositivi informatici contenenti dati personali (ad es. furto o smarrimento del pc in dotazione dall'Ateneo, di usb, etc.).
In caso di violazione dei dati personali che possa comportare un rischio per i diritti e le libertà degli interessati, il titolare del trattamento senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali.
La violazione deve inoltre essere comunicata alle singole persone fisiche i cui dati personali siano stati violati, ove non sia soddisfatta una delle seguenti condizioni:- il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione applicate ai dati personali oggetto della violazione;
- il titolare del trattamento ha adottato successivamente alla violazione misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
- la comunicazione agli interessati richiederebbe sforzi sproporzionati.
Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto invece ad informare il titolare del trattamento senza ingiustificato ritardo, in modo che quest'ultimo possa attivarsi e adempiere agli obblighi sopra descritti.
Eventuali anomalie, incidenti, furti, perdite accidentali di dati personali devono essere segnalate con tempestività all'indirizzo e-mail: privacy@ateneo.univr.it, al fine di consentire all'Ateneo l'attivazione delle inerenti procedure di verifica e di eventuale notifica e comunicazione.
La DPIA è una procedura che mira a descrivere un trattamento dati, con l’obiettivo fondamentale di valutarne l’effettiva necessità, la proporzionalità e facilitare la gestione dei rischi ad esso connessi. Deve essere svolta dal titolare, con la consultazione del DPO, prima di effettuare un trattamento basato sull'utilizzo di nuove tecnologie (ad esempio, nuovi applicativi) che possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche.
FAQ
Spamming o spam è l'invio, talora massiccio e ripetuto, tramite operatore o con modalità automatizzate, di comunicazioni non richieste (via telefono, e-mail, fax, sms o mms), senza che il destinatario abbia ricevuto un’informativa sul trattamento dei dati personali o abbia prestato il consenso a ricevere messaggi.
Negli ultimi tempi, lo spamming sta interessando anche il mondo dei social network e quello dei sistemi di messaggistica per smartphone e tablet.
Scopo dello spamming è veicolare messaggi pubblicitari, ma tale pratica è legata anche a veri e propri tentativi di truffa, come il phishing.
In Italia l'invio di messaggi automatizzati a fini promozionali non desiderati è soggetto a sanzioni amministrative e penali.
Lo spammer - cioè colui che invia lo spam - utilizza riferimenti (e-mail, numeri telefonici, ecc.) per l'invio di messaggi promozionali spesso raccolti in modo non lecito o anche in maniera automatica via Internet (su gruppi Usenet, newsgroups, forum, ecc.), mediante speciali programmi (spambot, ecc.) o, più semplicemente, facendo invii massivi a caso ad indirizzi e-mail basati sull'uso di nomi comuni.
Se il contatto e-mail o telefonico è stato raccolto con il consenso del destinatario o secondo le modalità previste dalla legge (es: nell'ambito di un contratto per la fornitura di un qualche servizio), non si può parlare di spam.
In ogni caso, se le comunicazioni pubblicitarie o altro tipo richieste (es: invio di newsletter, ecc.) risultano ad un certo punto indesiderate, è diritto dell’interessato (destinatario della e-mail) opporsi al trattamento dei suoi dati e chiedere la sospensione dell'invio, anche utilizzando, se disponibili, procedure on-line per la cancellazione dei suoi dati dal database del mittente.
NO.
La mera conoscibilità di fatto di un indirizzo di posta elettronica non legittima il titolare del trattamento ad inviare messaggi promozionali in assenza del preventivo consenso dell’interessato.
In particolare, la circostanza che un indirizzo e-mail, sia conoscibile da chiunque, perché reperibile in Internet, non autorizza i terzi all’invio indiscriminato di messaggi pubblicitari, dovendosi avere riguardo alle specifiche finalità cui è preordinata la pubblicità dell’indirizzo di posta elettronica.
Ad esempio, in assenza del prescritto consenso dell’interessato, è illecito l’invio, da parte di una società, di messaggi pubblicitari alla casella di posta elettronica assegnata ad un docente universitario, riportata, per ragioni istituzionali, nel sito web dell’università.
Come già evidenziato sin dalle Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013, il Garante Privacy ha recentemente confermato che “senza il consenso (…) non è possibile inviare comunicazioni promozionali con i predetti strumenti neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da chiunque”.
Anche per questo caso il Garante Privacy ha ribadito che “senza il consenso preventivo degli interessati, non è lecito utilizzare per inviare e-mail promozionali gli indirizzi PEC contenuti nell’indice nazionale degli indirizzi PEC delle imprese e dei professionisti (…) istituito per favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica”.
Non è lecito, con la comunicazione del primo messaggio promozionale, chiedere il consenso al trattamento dati per finalità promozionali, neppure se, nella medesima comunicazione, si avvisa l’interessato della possibilità di opporsi a ulteriori invii.
È possibile promuovere qualsiasi iniziativa dell’Ateneo utilizzando altri canali di comunicazione istituzionale, quali il sito univr.it o i siti dipartimentali, le pagine dei social media riconducibili all’Ateneo, ecc. In questi canali, a mezzo di appositi form o moduli di registrazione che consentono l’inserimento anche dell’indirizzo di posta elettronica dell’interessato, è possibile raccogliere specifici consensi necessari, ad esempio, all’invio di una newsletter, di un calendario di eventi nuovi o simili ad altri a cui si è partecipato, ecc. Il suddetto modulo dovrà anche fornire direttamente od indirettamente un’informativa sul trattamento dei dati personali, al fine di rendere il consenso informato, libero e consapevole.
Le FAQ pubblicate in questa pagina sono revisionate regolarmente dall'UO Protezione Dati Personali. L'utente che desidera inviare suggerimenti e/o proporre ulteriori quesiti in materia, può scrivere a privacy@ateneo.univr.it.