Privacy e protezione dei dati personali
Introduzione
In questa pagina trovi descritte le modalità di trattamento dei dati personali da parte dell’Università degli studi di Genova (UniGe).
Riferimenti
Dal 25 maggio 2018 ha piena applicazione il Regolamento (UE) 2016/679, "Regolamento Generale per la Protezione dei Dati Personali" (GDPR - General Data Protection Regulation).
Con il D.Lgs. 10 agosto 2018, n. 101 il legislatore italiano ha adeguato la disciplina contenuta nel D.Lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) al GDPR.
In attuazione, è stato adottato il Regolamento dell’Università degli studi di Genova in materia di trattamento dei dati personali (Regolamento privacy UniGe).
Titolare del trattamento
Il Titolare del trattamento è l’Università degli studi di Genova nella persona del Rettore pro tempore.
Il Titolare, consapevole dell'importanza di adottare politiche di protezione dei dati personali trattati nell'esercizio dei propri compiti istituzionali, si impegna a effettuare il trattamento in applicazione dei principi di liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione.
Contatti
- Rettorato
- Via Balbi, 5 - Genova
- +39 010 209 9221
+39 010 209 51929 - rettore@unige.it
- protocollo@pec.unige.it
Responsabile della protezione dei dati
Il Responsabile della Protezione dei Dati (RDP/DPO) è la società Liguria Digitale Spa, nominata con DR 2407 del 13.05.2022.
Contatti
- +39 338 5021237
- dpo@unige.it
- protocollo@pec.liguriadigitale.it
- Ufficio di supporto
- Ufficio trasparenza, anticorruzione e privacy
- privacy@unige.it
La Privacy in UniGe
I dati personali sono trattati e resi accessibili ai dipendenti di UniGe e ai collaboratori, assegnati ai competenti uffici, nella loro qualità di autorizzati al trattamento a tal fine adeguatamente istruiti dal Titolare, secondo la procedura di autorizzazione al trattamento dei dati personali.
I dati sono altresì trattati da soggetti terzi che, sulla base di specifici accordi/contratti, operano per attività di fornitura, sviluppo, manutenzione nel rispetto delle finalità istituzionali e, pertanto, sono nominati quali responsabili del trattamento a norma dell’art. 28 del GDPR.
Ruoli
Referente
Soggetto individuato dal Titolare tra i responsabili di struttura amministrativa e didattica. È formato dal Titolare riguardo al proprio ruolo (ex art. 9 del Regolamento privacy UniGe) e collabora funzionalmente con il DPO.
Sono referenti del trattamento dei dati personali i soggetti di cui all’allegato A del Regolamento privacy UniGe.
Subreferente
Ciascun referente, per l’espletamento delle sue attribuzioni, può individuare uno o più sub-referenti tra il personale strutturato, docente o tecnico amministrativo appartenente alla struttura di cui il referente è a capo.
Autorizzato
Soggetto che opera sotto la diretta autorità del referente ed effettua, con riguardo alle attività di propria competenza, i trattamenti dei dati personali nel rispetto delle misure di sicurezza previste e delle istruzioni ricevute (ex art. 10 del Regolamento privacy UniGe). In assenza di formale designazione, coloro che trattano dati personali nell’ambito del rapporto con l’Ateneo sono comunque ritenuti autorizzati al trattamento dei dati e sono obbligati a:
- osservare quanto previsto dal Regolamento privacy UniGe
- prendere visione delle istruzioni agli Autorizzati al trattamento dei dati personali
Contitolare
Soggetto esterno, pubblico o privato, che determina le finalità e i mezzi di un trattamento dei dati congiuntamente all’Ateneo attraverso un accordo specifico, i cui contenuti essenziali sono messi a disposizione dell'interessato.
Responsabile
Soggetto esterno, persona fisica o giuridica, che tratta dati personali per conto dell’Università (ex art. 8 del Regolamento privacy UniGe).
La nomina del responsabile esterno del trattamento dei dati è effettuata con provvedimento scritto, del titolare o dei referenti, che individui la natura, le finalità e la durata del trattamento, il tipo di dati personali trattati e le categorie di interessati e definisca gli obblighi del responsabile, nel rispetto delle previsioni di cui all'art. 28, par. 3, del GDPR.
Atti
- Atto di autorizzazione al trattamento dei dati personali
- Nomina Responsabile esterno del trattamento dei dati personali (ex art. 28 GDPR) integrare con allegati
- All. I alla Nomina Responsabile esterno
- All. II alla Nomina Responsabile esterno
Informative adottate da UniGe
I principi di trattamento corretto e trasparente implicano che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità e modalità (ex art. 13 del Reg. UE n. 2016/679). Le informazioni devono essere fornite al momento della raccolta presso l'interessato o, se i dati sono ottenuti da altra fonte (ex art. 14 del Reg. UE n. 2016/679), entro un termine ragionevole in funzione delle circostanze del caso e comunque entro i termini di cui all’art. 14 par. 3 del Reg. UE n. 2016/679.
Il consenso al trattamento è rappresentato da qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, a che i dati personali che lo riguardano siano oggetto di trattamento (ex art. 14 del Reg. UE n. 2016/679).
Se oggetto del trattamento sono dati personali particolari (ex artt. 9 e 10 del Reg. UE n. 2016/679) il consenso deve essere esplicito.
Accesso agli edifici universitari (Emergenza Covid-19)
A causa dell'emergenza Covid-19, leggi l'Informativa per l’accesso negli edifici dell’Università degli Studi di Genova.
Web e strumenti automatizzati
Studenti
- Informativa per i preimmatricolati, gli studenti e gli iscritti ad attività formative dell'Ateneo
- Informativa per gli studenti con disabilità con invalidità e/o con disturbi specifici dell’apprendimento
- Informativa per i servizi di orientamento in ingresso, in itinere, tutorato e orientamento in uscita
- Informativa servizi easylesson, easystaff e easyacademy
Personale
- Atto di autorizzazione al trattamento dei dati personali e relative istruzioni
- Informativa per il personale e collaboratori
- Informativa servizi easylesson, easystaff e easyacademy
- Informativa per il servizio di counseling psicologico a favore del personale dell'Ateneo
- Informativa per chi trasmette certificazioni alla casella covid@unige.it
Ricerca scientifica
Immagini, video e videosorveglianza
Informativa e liberatoria immagini, eventi (foto e video)
ALL. C Lettera di nomina autorizzato
Nota rettorale del 11.06.2019 in materia di videosorveglianza allegati variati vedi sopra
Altro
- Informativa per presentazione di candidature a organi dell’Ateneo
- Informativa per la raccolta di dati personali per gli stakeholders dell'Ateneo
- Informativa per gli utenti che usufruiscono del servizio “Portale dei Pagamenti”
- Informativa per gli utenti che usufruiscono del repository “Iris”
Diritti degli interessati
L’interessato ha diritto di ottenere dal Titolare l’informativa e l’accesso ai trattamenti dei propri dati personali, la conferma della loro esistenza, verificarne l’esattezza, di richiedere l’integrazione, l’aggiornamento, il cambiamento, la limitazione, la revoca del consenso, l’opposizione o la cancellazione scrivendo a privacy@unige.it.
Riferimenti
Artt. n. 15-22 del Reg. UE 2016/679
Atti a uso interno
- Circolare dirigenziale del 4.10.2018 per la corretta citazione della normativa privacy in documenti, atti e modelli
- Nota rettorale del 12.3.2020 Indicazioni per la pubblicazione di atti e documenti in Amministrazione Trasparente - CV
- Nota rettorale del 11.06.2019 in materia di videosorveglianza
Segnala una violazione dei dati personali (data breach)
Il data breach è la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione o l’accesso ai dati personali trasmessi, conservati o, comunque, trattati dall’Università.
UniGe ha adottato una procedura di gestione delle violazioni di dati personali.
Tipologie di violazione
Violazione della Riservatezza (Confidentiality Breach)
Divulgazione o accesso non autorizzati o accidentali ai dati personali.
Violazione dell’Integrità (Integrity Breach)
Modifica dei dati personali in modo accidentale o senza autorizzazione.
Violazione della Disponibilità (Availability Breach)
Perdita, accesso o distruzione accidentali o non autorizzati di dati personali. L'impossibilità di accedere ai dati anche in via temporanea costituisce comunque una violazione.
Quando segnalare un data breach
Devi segnalare un data breach in caso di:
- perdita o furto di dispositivi informatici (es. pc, computer portatili, chiavetta usb, hard disk esterno, smartphone, ecc) nei quali i dati personali sono memorizzati
- perdita o furto di documenti cartacei contenenti dati personali
- accesso o acquisizione di dati personali da parte di terzi non autorizzati
- perdita o distruzione di dati personali a causa di incidenti, eventi avversi, allagamenti, incendi o altre calamità
- violazione di misure di sicurezza fisica (ad esempio: forzatura di porte o finestre di stanze di sicurezza o archivi)
- impossibilità di accedere ai dati personali per cause accidentali o per attacchi esterni, quali virus, malware, o altri attacchi al sistema informatico o alla rete aziendale
- i documenti contenenti dati personali risultano alterati rispetto agli originali senza autorizzazione rilasciata dal relativo proprietario
- divulgazione di dati personali non autorizzata (anche involontaria) a mailing list
- indisponibilità, anche solo temporanea, delle liste di attesa per visite mediche o trattamenti sanitari.
Segnalazione
Se rilevi una concreta, potenziale o sospetta violazione dei tuoi dati personali devi:
- segnalarla entro 24 ore e comunque senza giustificato ritardo, all’indirizzo e-mail abuse@assistenza.unige.it
- compilare il Form di segnalazione di un incidente di sicurezza e di una potenziale violazione di dati personali che riceverai via mail.
Il DPO valuta la segnalazione e verifica che i fatti riportati costituiscano effettivamente una violazione dei dati personali e, in caso positivo, avvia la fase di gestione del data breach.
Contatti
DPO
dpo@unige.it
protocollo@pec.liguriadigitale.it
Ufficio di supporto