Protezione dei dati personali
A partire dal 25 maggio 2018 è diventato direttamente applicabile in tutti gli Stati membri il Regolamento UE del 27 aprile 2016, n. 679, denominato “Regolamento Generale per la Protezione dei Dati Personali” (“General Data Protection Regulation”, d’ora in avanti “GDPR”). Quindi, con il d.lgs. del 10 ottobre 2018, n. 101 il legislatore italiano ha adeguato la disciplina contenuta nel d.lgs. 30 giugno 2003, n. 196 (“Codice in materia di protezione dei dati personali”) al GDPR.
L’Università degli Studi di Trento, consapevole dell’importanza del diritto di ciascun individuo alla tutela dei propri dati personali, si impegna a trattarli tenendo conto dei principi di liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione. Su tali presupposti, l’Ateneo intende assicurare un trattamento corretto e trasparente dei dati personali dei propri studenti, dipendenti, ricercatori, docenti e di qualsiasi altro soggetto con cui intrattiene rapporti.
Di seguito, quindi, si forniscono informazioni utili rese in attuazione della normativa sul trattamento dei dati personali.
Titolare del trattamento
Il Titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Il Titolare del trattamento è l’Università degli Studi di Trento con sede legale in via Calepina n. 14, 38122 Trento, rappresentata dal Magnifico Rettore.
I dati di contatto del Titolare sono:
- ateneo [at] pec.unitn.it
- ateneo [at] unitn.it
Con Regolamento interno in materia di protezione dei dati personali (DR del 6 aprile 2021, n. 281 vedi allegato sotto) e con successivi decreti, l’Università degli Studi di Trento ha definito l’organigramma privacy individuando le seguenti figure:
- Titolare del trattamento è l’Università di Trento in quanto determina le finalità e i mezzi del trattamento;
- Preposto al trattamento è il Responsabile di ciascuna struttura amministrativa e di servizio (Direttore o Direttrice generale e Dirigenti), il Responsabile delle singole strutture di didattica e di ricerca (Direttori o Direttrici) in relazione ai trattamenti di dati personali riconducibili alla loro struttura di competenza. È, altresì, Preposto al trattamento il Responsabile scientifico del progetto di ricerca la cui realizzazione comporti il trattamento di dati personali;
- Referenti privacy sono i soggetti individuati da ciascun Preposto all'interno della rispettiva struttura con lo scopo di fornirgli supporto nell'attuazione dei compiti in materia di protezione dei dati personali;
- Autorizzati al trattamento sono le persone fisiche istruite e formate dal Preposto (nella propria struttura o nel proprio gruppo di ricerca) a compiere, sotto la loro autorità e attenendosi alle istruzioni ricevute, operazioni di trattamento di dati;
- Amministratori di sistema sono i soggetti designati dal Preposto (per la struttura di appartenenza o per progetti di ricerca) alla gestione e la manutenzione degli impianti di elaborazione dati utilizzati in relazione ai trattamenti di dati personali.
Il Responsabile della protezione dei dati personali (RPD – o Data Protection Officer DPO) è la persona fisica designata dal Titolare o dal Responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del GDPR.
Il dato di contatto del RPD è:
- rpd [at] unitn.it
Il GDPR attribuisce alcuni diritti agli interessati, ossia alle persone fisiche cui si riferiscono i dati trattati dal Titolare. Ogni interessato ha diritto di esercitare nei confronti del Titolare i diritti di cui agli artt. 15 e ss. del GDPR.
L’Ateneo ha predisposto un Modulo per l'esercizio dei diritti in materia di protezione dei dati personali che può essere utilizzato dall’interessato. L’istanza può essere presentata senza particolari formalità anche unitamente alla copia del documento di identità, all’indirizzo email ateneo [at] unitn.it, oppure, tramite PEC, all'indirizzo di email ateneo [at] pec.unitn.it.
Resta salva la facoltà dell’interessato di proporre reclamo all’Autorità Garante per la protezione dei dati personali o di far valere direttamente le proprie ragioni nelle sedi giudiziarie, secondo quanto previsto dal GDPR.
Informative sul trattamento dei dati personali
Il GDPR sancisce il diritto di ogni persona alla protezione dei dati di carattere personale che la riguardano pertanto il trattamento dei dati personali dovrà essere improntato al rispetto dei principi e delle regole sancite dal GDPR.
In particolare, nel contesto della nuova normativa, la trasparenza assume un ruolo decisivo, garantendo il diritto degli interessati al controllo sui propri dati personali e sancendo il dovere di ogni Titolare del trattamento di fornire le informazioni concernenti il trattamento di tali dati.
L’Università degli Studi di Trento – nella sua veste di Titolare – ai sensi degli artt. 12, 13 e 14 del GDPR, è tenuta a fornire un’informativa chiara, concisa e facilmente intellegibile con riferimento a tutti i trattamenti dei dati personali svolti.
Di seguito sono riportate alcune informative relative ai principali trattamenti di dati personali effettuati dall’Ateneo.
Studenti
- Corsi di studio: Informativa sul trattamento dei dati personali degli studenti
- Questionario prove d’esame: Informativa sul trattamento dei dati personali relativa alla somministrazione di questionario sulle prove d’esame
- Questionario qualità della didattica: Informativa sul trattamento dei dati personali relativa alla somministrazione del questionario sulla valutazione della qualità della didattica
- Collaborazione a tempo parziale: Informativa sul trattamento dei dati personali effettuato nell’ambito delle attività di collaborazione a tempo parziale
Dottorandi
- Corsi di Dottorato: Informativa sul trattamento dei dati personali nell’ambito dei corsi di dottorato di Ateneo
Altro
- Esame di abilitazione professionale: Informativa sul trattamento dei dati personali per partecipanti a un esame di abilitazione professionale
Personale in servizio
-
Personale tecnico amministrativo
Informativa sul trattamento dei dati personali del personale dipendente -
Personale coinvolto nei progetti finanziati
Informativa sul trattamento dei dati personali relativi al personale coinvolto nei progetti finanziati
Procedure concorsuali e selettive
Identità digitale
-
Creazione di un’identità digitale UniTrento
Informativa sul trattamento dei dati personali nell’ambito della creazione di un’identità digitale presso l’Università degli Studi di Trento -
Gestione delle identità e accessi guest
Informativa sul trattamento dei dati personali nell’ambito del sistema di gestione delle Identità e accessi Guest di UniTrento
Accordi e Convenzioni
-
Stipulazione di convenzioni e accordi
Informativa sul trattamento dei dati personali nell’ambito della stipula di Convenzioni e Accordi con UniTrento
Fornitori di beni e servizi
-
Operatori economici e fornitori di lavori, beni e servizi (Appalti)
Informativa sul trattamento dei dati personali degli operatori economici e fornitori di lavori, beni e servizi
Servizi del Patrimonio Immobiliare
-
Gestione integrata del patrimonio immobiliare
Informativa sul trattamento dei dati personali nell’ambito del Sistema informativo per la gestione integrata del Patrimonio immobiliare
Operazioni elettorali
Procedura di gestione delle violazioni di dati personali - Data Breach
Per “violazione dei dati personali” (c.d. data breach) si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.
Per la segnalazione di incidenti di sicurezza che possono comportare un data breach è necessario seguire la Procedura per la gestione delle violazioni di dati personali utilizzando il Modulo allegato.
Per problematiche generali relative ai data breach chiunque può contattare il RPD all’indirizzo email rpd [at] unitn.it oppure il CERT all’indirizzo email cert [at] unitn.it.
Privacy e ricerca scientifica
La corretta gestione dei dati personali raccolti direttamente o indirettamente nell’attività di ricerca svolta nel contesto dell’Università degli Studi di Trento assume primaria importanza.
In quest’ottica, è stata creata una sezione specifica del portale di Ateneo che funge da riferimento per tutti coloro che sono coinvolti in attività di ricerca.
Per maggiori informazioni si veda la pagina dedicata Privacy e ricerca scientifica sul portale di Ateneo.
Sono altresì consultabili dal personale di Ateneo le pagine dedicate sul Portale di Ateneo:
- Infoservizi – Protezione dei dati personali – Attività di ricerca scientifica;
- Service Desk
Normativa di riferimento e altre informazioni utili
Regolamento (UE) 2016/697 (“regolamento per la protezione dei dati personali”) del 27 aprile 2016.
Ulteriori approfondimenti sono disponibili alla pagina del sito istituzionale del Garante per la protezione dei dati personali. Per Garante per la Protezione dei Dati Personali (noto anche come Garante della privacy), si intende un'autorità amministrativa indipendente italiana istituita dalla legge 31 dicembre 1996, n. 675, per assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali.
Il Garante per la protezione dei dati personali si occupa, tra l’altro, di controllare che i trattamenti di dati personali siano conformi al Regolamento nonché a leggi e regolamenti nazionali e prescrivere, ove necessario, ai titolari o ai responsabili dei trattamenti le misure da adottare per svolgere correttamente il trattamento nel rispetto dei diritti e delle libertà fondamentali degli individui; esaminare reclami; collaborare con le altre autorità di controllo e prestare assistenza reciproca al fine di garantire l'applicazione e l'attuazione coerente del Regolamento; segnalare, anche di propria iniziativa, al Parlamento e altri organismi e istituzioni l’esigenza di adottare atti normativi e amministrativi relativi alle questioni riguardanti la protezione dei dati personali.
Provvedimenti del Garante per la protezione dei dati personali.
Link utile alla pagina dedicata al GDPR.
FAQ sulla protezione dei dati personali
La disciplina in materia di protezione dei dati personali è particolarmente complessa in quanto presenta una vasta produzione normativa Europea e Nazionale con effetti concreti in tutti i settori in cui vi è trattamento di dati.
Le principali fonti normative sono:
- Il Regolamento (UE) 679/2016 (“GDPR”), entrato in vigore il giorno 25 maggio 2018 prevede regole immediatamente e direttamente applicabili per tutti i soggetti coinvolti nella gestione dei dati personali
- D. lgs. 196/2003 come modificato dal D.lgs. n. 101/2018 (“Codice della privacy”)
Per quanto concerne l’Ateneo, i principali riferimenti in tema di protezione dei dati personali sono i seguenti:
- con DR del 6 aprile 2021, n. 281 l’Ateneo ha implementato una struttura organizzativa individuando diverse figure (organi, uffici e personale) e le rispettive funzioni svolte nel trattamento di dati personali;
- con il DR del 30 settembre 2021, n. 981 sono stati indicati gli specifici adempimenti in capo a ciascuna figura (Preposti, quali responsabili di struttura; Preposti, quali responsabili scientifici; Referenti privacy) nonché fornite le istruzioni rivolte a tutti gli autorizzati;
- con ulteriori e diversi documenti (linee guida, policy, articoli in Service Desk…) anche disponibili nelle pagine interne del portale di Ateneo, per i diversi servizi in essere ha dato indicazioni e regole di comportamento.
Il “dato personale” è qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. All’estremo opposto del dato personale si trova il “dato anonimo”, il quale non consente in alcun modo l’identificazione della persona e non rientra nell’ambito di applicazione della normativa privacy.
Vi sono poi, i dati de-identificati (o pseudonimizzati), ovvero dati personali che non permettono di identificare immediatamente un individuo, ma che, se associati ad altre informazioni, possono permettere di risalire all’identità del soggetto. I dati de-identificati costituiscono dati personali e sono, pertanto, soggetti alla normativa privacy.
Se la nozione di persona “identificata” è facilmente comprensibile, va precisato che “identificabile” è quella che può essere individuata direttamente (es. nome) o indirettamente (es. indirizzo, ruolo ricoperto), anche attraverso uno o più elementi specifici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Esempi di dati personali:
- dati anagrafici (ad. es. nome, cognome, genere, età, data di nascita);
- dati di contatto (ad. es. indirizzo e-mail, numero di telefono, Skype Id);
- documenti di identità e numeri identificativi (ad. es. codice fiscale, numero di targa);
- CV e relative esperienze professionali e accademiche;
- voce registrata, non alterata, da cui è possibile identificare una persona;
- immagini da cui è possibile identificare una persona (ad. es. fotografie, riprese video).
L’Interessato è la persona fisica a cui i dati personali si riferiscono.
Sono Interessati le persone fisiche, non le persone giuridiche.
Con l’espressione “dati sensibili” vengono comunemente intesi i dati personali idonei a rivelare l’origine razziale ed etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi ad identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
In pratica, si tratta di dati che toccano la sfera più intima della persona e, di conseguenza, devono essere raccolti predisponendo particolari cautele e solo in presenza di reali necessità e condizioni particolari che ne permettano il legittimo trattamento. La terminologia adoperata di “dato sensibile”, un tempo contenuta nel “Codice della Privacy”, risulta oggi sostituita da quella di “categorie particolari di dati personali” introdotta dal GDPR.
Infine, soggetti a particolari cautele, sono anche i dati personali relativi a condanne penali e reati.
Esempi di categorie particolari di dati personali:
- Dati che rivelino l’origine razziale o etnica (ad es. indicazione nella compilazione di un modulo del gruppo etnico di appartenenza o del colore della pelle);
- Dati che rivelino opinioni politiche (ad es. elenco degli iscritti ad un partito politico);
- Dati che rivelino le convinzioni religiose o filosofiche (ad es. indicazione nella compilazione di un modulo della preferenza per alimenti koscher o halal);
- Dati che rivelino l’appartenenza sindacale (ad es. elenco degli iscritti ad un sindacato);
- Dati genetici (ad es. esito di un esame genetico);
- Dati biometrici (ad es. impronta digitale);
- Dati relativi alla salute (ad. es. indicazione nella compilazione di un modulo della presenza di una disabilità).
- Dati relativi alla vita sessuale o all’orientamento sessuale (ad es. indicazione in un modulo di appartenenza alla comunità LGBT).
- Dati relativi a condanne penali e reati (ad. es. dati contenuti nel casellario giudiziale).
Il titolare del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Il Responsabile del trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Sono per esempio Responsabili del trattamento i fornitori di servizi cloud, di servizi informatici e di archiviazione.
Il Titolare trattamento dei dati personali deve rispettare i seguenti principi:
- deve essere lecito, giusto e trasparente (liceità, equità, trasparenza);
- deve essere vincolato a finalità specifiche (limitazione delle finalità);
- i dati personali trattati dovrebbero essere adeguati, pertinenti e limitati a quanto necessario (minimizzazione dei dati);
- i dati personali devono essere esatti (esattezza);
- i dati personali non devono essere conservati più a lungo del necessario (limitazione della conservazione);
- i dati personali devono rimanere ben protetti e riservati (integrità e riservatezza).
Il Titolare del Trattamento è responsabile della conformità a questi principi delle operazioni di trattamento dati da lui operate e dovrebbe essere in grado di dimostrare tale conformità (principio di accountability).
Il Titolare del trattamento dei dati personali deve:
- documentare le loro operazioni di trattamento con la tenuta del Registro attività di trattamento (art. 30 GDPR);
- effettuare, se necessario, una valutazione d'impatto sulla protezione dei dati (DPIA) prima delle operazioni che comportano un rischio elevato per i diritti e le libertà delle persone interessate;
- in determinate circostanze, consultare il Garante per la protezione dei dati personali prima di iniziare attività di trattamento ad alto rischio;
- nella progettazione delle operazioni di trattamento, tenere presenti i principi di privacy by design e privacy by default;
- adottare adeguate misure di sicurezza per proteggere i dati personali;
- in caso di violazione di dati personali informare, se necessario, il Garante per la protezione dei dati personali e, in determinate circostanze, le persone interessate;
- concludere accordi/contratti solo con i Responsabili del trattamento che forniscono garanzie adeguate di sicurezza e riservatezza;
- concludere accordi con altri titolari in caso di contitolarità per disciplinare i rispettivi obblighi e doveri;
- trasferire dati personali, verso altri paesi dell'UE, verso paesi non appartenenti all'UE o organizzazioni internazionali solo se sono rispettate le condizioni del GDPR;
- cooperare con il Garante per la protezione dei dati personali.
Infine, il Titolare del trattamento deve fornire alle persone interessate informazioni chiare e accessibili sul trattamento, rispettare e garantire i diritti delle persone interessate.
Il GDPR ha ampliato i diritti riconosciuti all'interessato con riferimento ai dati che lo riguardano, rendendoli maggiormente incisivi in una realtà permeata sempre più dal ricorso alle nuove tecnologie e all'utilizzo della rete.
In particolare, vengono riconosciuti all’interessato i seguenti diritti:
- diritto di accesso: diritto di ottenere dal Titolare conferma che sia in atto o meno un trattamento di dati personali che lo riguardano e ottenere l’accesso a tali dati;
- diritto di rettifica: diritto di richiedere la rettifica dei dati personali inesatti o l’integrazione dei dati incompleti, anche fornendo una dichiarazione integrativa;
- diritto alla cancellazione (c.d. diritto all’oblio): diritto di ottenere la cancellazione dei dati personali che lo riguardano in presenza di specifici motivi, salvi eventuali obblighi di legge;
- diritto di limitazione: diritto di chiedere ed ottenere il blocco o la limitazione dei dati trattati in violazione di legge e quelli dei quali non è più necessaria la conservazione in relazione agli scopi del trattamento;
- diritto alla portabilità: diritto di ricevere i dati personali forniti, in un formato strutturato, di uso comune e leggibile da dispositivo automatico e di trasmetterli ad un altro Titolare dei dati;
- diritto di opposizione: diritto di opporsi in tutto o in parte al trattamento dei dati che lo riguardano;
- diritto di non essere sottoposto a trattamenti automatizzati: diritto di non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati, compresa la profilazione, che producano effetti giuridici che lo riguardano.
Resta salva la facoltà di proporre reclamo all’Autorità Garante per la protezione dei dati personali e/o di far valere direttamente le proprie ragioni nelle sedi giudiziarie, secondo quanto previsto dal GDPR.
L’interessato ha inoltre il diritto di ricevere l’informativa relativa al trattamento dei propri dati personali nonché il diritto di revocare il proprio consenso in qualsiasi momento, con la stessa facilità con cui è accordato, secondo le modalità indicate di volta in volta dal Titolare.
Nell’ambito dei compiti istituzionali dell’Ateneo, i dati personali potranno essere oggetto di trasferimento in Paesi extra UE, ad esempio verso università, istituti di ricerca, soggetti pubblici e privati nell’ambito di programmi di mobilità internazionale, tirocinio, progetti di ricerca e altre attività che debbano essere svolte al di fuori del territorio dell’Unione Europea.
Tale trasferimento sarà effettuato nei limiti e alle condizioni di cui agli artt. 44 e ss. del GDPR, es. in presenza di una decisione di adeguatezza della Commissione europea o di garanzie adeguate tra le quali le clausole tipo di protezione dei dati adottate dalla Commissione europea.
Puoi trovare maggiori informazioni nella pagina di Infoservizi.
La normativa in tema di protezione dei dati personali prevede che il Titolare del trattamento fornisca all’interessato una spiegazione chiara, semplice e specifica sui vari aspetti del trattamento così da spiegare all’interessato come i propri dati personali saranno trattati e rendere effettivo il diritto alla protezione degli stessi.
Vengono in questo modo rese note tutte le informazioni che possono, in generale, garantire un sicuro ed efficace trattamento dei dati personali e senz’altro agevolare l’esercizio dei poteri di controllo spettanti alla persona dei cui dati si sta parlando: per questo motivo, è necessario dotare l’informativa non solo del contenuto minimo previsto dalla legge, ma anche di adattare il contenuto dell’informativa così che riporti in concreto informazioni circa le operazioni su dati personali compiute, tenendo a mente il canone generale di trasparenza da seguire.
L’informativa riguardante il trattamento dei dati personali viene solitamente resa per iscritto o utilizzando mezzi informatici e digitali (anche in combinazione con icone standardizzate, per dare, in modo facilmente visibile e chiaramente leggibile, un quadro d'insieme). Naturalmente, l’informativa è gratuita e non comporta alcun onere o esborso a carico dell’interessato.
Quanto al momento in cui l’informativa deve essere fornita, occorre distinguere:
- se i dati siano raccolti presso l’interessato, deve essere resa prima della raccolta dei dati;
-
quando i dati sono ottenuti da un soggetto diverso dall’interessato, l’informativa deve essere fornita a quest’ultimo – sempre se è possibile rintracciarlo e ciò non risulta particolarmente difficile o eccessivo, come potrebbe essere, ad esempio, per una ricerca che coinvolga un numero elevatissimo di persone – entro un termine ragionevole dall'ottenimento dei dati, al più tardi entro un mese o comunque, nel caso in cui i dati personali permettano proprio di prendere contatto con l'interessato, nella prima comunicazione.