it en

Privacy e protezione dei dati personali

Privacy e protezione dei dati personali

_

Introduzione

In questa pagina trovi descritte le modalità di trattamento dei dati personali da parte dell’Università degli studi di Genova (UniGe).

Riferimenti
Dal 25 maggio 2018 ha piena applicazione il Regolamento (UE) 2016/679, "Regolamento Generale per la Protezione dei Dati Personali" (GDPR - General Data Protection Regulation).
Con il D.Lgs. 10 agosto 2018, n. 101 il legislatore italiano ha adeguato la disciplina contenuta nel D.Lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) al GDPR.
In attuazione, è stato adottato il Regolamento dell’Università degli studi di Genova in materia di trattamento dei dati personali (Regolamento privacy UniGe).

Titolare del trattamento

Il Titolare del trattamento è l’Università degli studi di Genova nella persona del Rettore pro tempore.

Il Titolare, consapevole dell'importanza di adottare politiche di protezione dei dati personali trattati nell'esercizio dei propri compiti istituzionali, si impegna a effettuare il trattamento in applicazione dei principi di liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione.

Contatti

Responsabile della protezione dei dati

Il Responsabile della Protezione dei Dati (RDP/DPO) è il Prof. Matteo Timo, nominato con DR 1978 del 15.05.2021.

Contatti

La Privacy in UniGe

I dati personali sono trattati e resi accessibili ai dipendenti di UniGe e ai collaboratori, assegnati ai competenti uffici, nella loro qualità di autorizzati al trattamento a tal fine adeguatamente istruiti dal Titolare, secondo la procedura di autorizzazione al trattamento dei dati personali e patto di riservatezza.

I dati sono altresì trattati da soggetti terzi che, sulla base di specifici accordi/contratti, operano per attività di fornitura, sviluppo, manutenzione nel rispetto delle finalità istituzionali e, pertanto, sono nominati quali responsabili del trattamento a norma dell’art. 28 del GDPR.

Ruoli

Referente

Soggetto individuato dal Titolare tra i responsabili di struttura amministrativa e didattica. È formato dal Titolare riguardo al proprio ruolo (ex art. 9 del Regolamento privacy UniGe) e collabora funzionalmente con il DPO.
Sono referenti del trattamento dei dati personali i soggetti di cui all’allegato A del Regolamento privacy UniGe.

Subreferente

Ciascun referente, per l’espletamento delle sue attribuzioni, può individuare uno o più sub-referenti tra il personale strutturato, docente o tecnico amministrativo appartenente alla struttura di cui il referente è a capo.

Autorizzato

Soggetto che opera sotto la diretta autorità del referente ed effettua, con riguardo alle attività di propria competenza, i trattamenti dei dati personali nel rispetto delle misure di sicurezza previste e delle istruzioni ricevute (ex art. 10 del Regolamento privacy UniGe). In assenza di formale designazione, coloro che trattano dati personali nell’ambito del rapporto con l’Ateneo sono comunque ritenuti autorizzati al trattamento dei dati e sono obbligati a:

Contitolare

Soggetto esterno, pubblico o privato, che determina le finalità e i mezzi di un trattamento dei dati congiuntamente all’Ateneo attraverso un accordo specifico, i cui contenuti essenziali sono messi a disposizione dell'interessato.

Responsabile

Soggetto esterno, persona fisica o giuridica, che tratta dati personali per conto dell’Università (ex art. 8 del Regolamento privacy UniGe).
La nomina del responsabile esterno del trattamento dei dati è effettuata con provvedimento scritto, del titolare o dei referenti, che individui la natura, le finalità e la durata del trattamento, il tipo di dati personali trattati e le categorie di interessati e definisca gli obblighi del responsabile, nel rispetto delle previsioni di cui all'art. 28, par. 3, del GDPR.

Atti

Informative adottate da UniGe

I principi di trattamento corretto e trasparente implicano che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità e modalità (ex art. 13 del Reg. UE n. 2016/679). Le informazioni devono essere fornite al momento della raccolta presso l'interessato o, se i dati sono ottenuti da altra fonte (ex art. 14 del Reg. UE n. 2016/679), entro un termine ragionevole in funzione delle circostanze del caso e comunque entro i termini di cui all’art. 14 par. 3 del Reg. UE n. 2016/679.

Il consenso al trattamento è rappresentato da qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, a che i dati personali che lo riguardano siano oggetto di trattamento (ex art. 14 del Reg. UE n. 2016/679).

Se oggetto del trattamento sono dati personali particolari (ex artt. 9 e 10 del Reg. UE n. 2016/679) il consenso deve essere esplicito.

Accesso agli edifici universitari (Emergenza Covid-19)

A causa dell'emergenza Covid-19, leggi l'Informativa per l’accesso negli edifici dell’Università degli Studi di Genova.

Web e strumenti automatizzati

Studenti

Personale

Ricerca scientifica

Immagini, video e videosorveglianza

Altro

Diritti degli interessati

L’interessato ha diritto di ottenere dal Titolare l’informativa e l’accesso ai trattamenti dei propri dati personali, la conferma della loro esistenza, verificarne l’esattezza, di richiedere l’integrazione, l’aggiornamento, il cambiamento, la limitazione, la revoca del consenso, l’opposizione o la cancellazione scrivendo a privacy@unige.it.

Riferimenti
Artt. n. 15-22 del Reg. UE 2016/679

Atti a uso interno

Segnala una violazione dei dati personali (data breach)

Il data breach è la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione o l’accesso ai dati personali trasmessi, conservati o, comunque, trattati dall’Università.

UniGe ha adottato una procedura di gestione delle violazioni di dati personali.

Tipologie di violazione

Violazione della Riservatezza (Confidentiality Breach)

Divulgazione o accesso non autorizzati o accidentali ai dati personali.

Violazione dell’Integrità (Integrity Breach)

Modifica dei dati personali in modo accidentale o senza autorizzazione.

Violazione della Disponibilità (Availability Breach)

Perdita, accesso o distruzione accidentali o non autorizzati di dati personali. L'impossibilità di accedere ai dati anche in via temporanea costituisce comunque una violazione.

Quando segnalare un data breach

Devi segnalare un data breach in caso di:

  • perdita o furto di dispositivi informatici (es. pc, computer portatili, chiavetta usb, hard disk esterno, smartphone, ecc) nei quali i dati personali sono memorizzati
  • perdita o furto di documenti cartacei contenenti dati personali
  • accesso o acquisizione di dati personali da parte di terzi non autorizzati
  • perdita o distruzione di dati personali a causa di incidenti, eventi avversi, allagamenti, incendi o altre calamità
  • violazione di misure di sicurezza fisica (ad esempio: forzatura di porte o finestre di stanze di sicurezza o archivi)
  • impossibilità di accedere ai dati personali per cause accidentali o per attacchi esterni, quali virus, malware, o altri attacchi al sistema informatico o alla rete aziendale
  • i documenti contenenti dati personali risultano alterati rispetto agli originali senza autorizzazione rilasciata dal relativo proprietario
  • divulgazione di dati personali non autorizzata (anche involontaria) a mailing list
  • indisponibilità, anche solo temporanea, delle liste di attesa per visite mediche o trattamenti sanitari.

Segnalazione

Se rilevi una concreta, potenziale o sospetta violazione dei tuoi dati personali devi:

  • segnalarla entro 24 ore e comunque senza giustificato ritardo, all’indirizzo e-mail abuse@assistenza.unige.it
  • compilare il Form di segnalazione di un incidente di sicurezza e di una potenziale violazione di dati personali che riceverai via mail.

Il DPO valuta la segnalazione e verifica che i fatti riportati costituiscano effettivamente una violazione dei dati personali e, in caso positivo, avvia la fase di gestione del data breach.

Contatti