Informativa sui trattamenti di informazioni non primarie nell’ambito dei servizi informatici

Il Titolare del trattamento è l'Università di Perugia, nella persona del Rettore quale rappresentante legale.

Il contatto del Titolare è: rettorato@unipg.it o, via PEC, protocollo@cert.unipg.it

Il contatto del Responsabile della protezione dati è: rpd@unipg.it, tel. 075 585 2192

Ulteriori informazioni

Finalità dei trattamenti

La presente informativa riguarda i trattamenti di dati personali effettuati nell’ambito dell’erogazione dei servizi offerti agli Utenti attraverso i sistemi informatici dell’Ateneo. Nello specifico si fa qui riferimento ad informazioni personali non primarie, ovvero non strettamente connesse, ad esempio, ai trattamenti svolti nell’ambito dei processi amministrativi gestionali.

Tali dati personali, raccolti dall’Ateneo in qualità di Titolare del trattamento saranno trattati per la corretta e completa esecuzione dei servizi offerti agli Utenti (di seguito “Servizi”), compresi:

  • i sistemi di identificazione degli Utenti (es. credenziali, badge), anche per integrazione con servizi di terze parti
  • i servizi online messi a disposizione degli utenti, eventualmente forniti da terze parti
  • le reti cablate o Wi-Fi alle quali gli utenti accedono, anche attraverso dispositivi personali (es. computer portatili, tablet, smartphone)
  • le postazioni informatiche fisse e mobili in dotazione al personale amministrativo/docente, o fruibili da studenti e da eventuali visitatori
  • i sistemi di controllo accessi ad aule, laboratori e spazi dell’Ateneo.

I dati dell’Utente, forniti volontariamente o comunque raccolti nella fruizione dei Servizi previa richiesta di consenso ove necessario, saranno trattati dal Titolare per le seguenti finalità:

  1. garantire la protezione dei dati e/o dei sistemi informatici o per supportare attività di setup e troubleshooting dei servizi o per vincoli di natura tecnico/sistemistica
  2. finalità istituzionali e amministrative;
  3. adempiere ad obbligo di legge connesso al rapporto dell’Utente con l’Ateneo;
  4. finalità inerenti l’erogazione dei Servizi richiesti (es: accesso al portale dell’Ateneo, accesso all’area riservata, utilizzo delle reti Wi-Fi dell’Ateneo, ecc.);
  5. finalità di ricerche/analisi statistiche su dati aggregati o anonimi, senza dunque possibilità di identificare l’Utente e volti ad esempio a valutare e monitorare il funzionamento dei Servizi;
  6. adempiere a specifici obblighi derivanti dalla legge (Art. 123 D.Lgs. 196/2003 e ss.mm.ii) o da regolamenti interni.
  7. far valere o difendere diritti in giudizio o in fasi ad esso propedeutiche in caso di abusi e/o attività illecite operate dagli interessati o da terzi nell’ambito delle attività di cui alle finalità 1), 2), 3), 4), 5), 6).

Base giuridica

I trattamenti dei dati personali richiesti all’interessato sono effettuati ai sensi dell’art. 6 lettera e) del Regolamento UE 2016/679 (esecuzione compito di interesse pubblico e esercizio di pubblici poteri del Titolare).

Tipologie di dati trattati

I dati trattati sono riconducibili ai seguenti ambiti:

Dati di navigazione ed utilizzo delle applicazioni e dei servizi

I sistemi informatici dell’Ateneo, le procedure software e gli applicativi che ne supportano il funzionamento e l'erogazione dei servizi acquisiscono, nel corso del loro normale esercizio, alcuni dati personali sull'utilizzo degli applicativi messi a disposizione dall’Ateneo.

Suddetti dati non vengono raccolti per essere posti in relazione con le attività di soggetti identificati, tuttavia per loro stessa natura, attraverso successive elaborazioni ed eventuali integrazioni con dati detenuti da terzi, potrebbero venire correlati agli utenti.

In questa categoria di dati rientrano ad esempio: la data e l’ora della richiesta, gli l’indirizzi IP del server e del richiedente, il nome del server, il protocollo, la porta ed il metodo (POST/GET) utilizzati per sottoporre la richiesta al server, il browser impiegato, lo username, il servizio acceduto, le risorse richieste e gli eventuali cookie associati, il numero di byte inviati e ricevuti, il codice di errore restituito, il tempo resosi necessario per l’esecuzione della richiesta. Alcuni non sono dati personali ma possono concorrere, nel loro insieme, a risalire ed identificare l’utente

Nell’ambito dell'interazione di un utente con servizi web resi disponibili dall’Ateneo in un contesto autenticato, vengono tracciate su log informazioni di base relative all’accesso al singolo servizio (timestamp, username, servizio) ed informazioni di sessione strutturate in conformità al formato W3C standard www.w3.org/TR/WD-logfile.html.

Per la gestione del single sign on ai servizi vengono utilizzati cookie di sessione.

Al fine di supportare elaborazioni aggregate di carattere statistico sull’uso dei servizi, vengono utilizzati cookie anonimi con registrazione limitata alle seguenti informazioni: lingua di visualizzazione, paese e città di provenienza, browser utilizzato, sistema operativo, provider del servizio internet, risoluzione schermo.

Dati di connessione alla rete di Ateneo

A fronte dell’accesso da parte di un utente ai servizi di rete (ad esempio: connessione alla rete dati wired/wireless autenticata, utilizzo di una postazione gestita, assegnazione dinamica di un IP address, accesso da remoto tramite VPN, utilizzo di proxy, ecc.), vengono registrati nei log generati dai sistemi e dagli apparati alcuni dati tecnici specifici relativi al servizio acceduto. Ad esempio: indirizzo IP dell’utente, data e ora di connessione, MAC address e nome del dispositivo dal quale viene effettuato l'accesso, ID utente, tipo di rete utilizzata, ecc.

Si tratta di informazioni che non vengono raccolte per essere poste in relazione con l’attività di soggetti identificati, tuttavia per loro stessa natura, attraverso successive elaborazioni ed eventuali integrazioni con dati detenuti da terzi, potrebbero essere correlate agli utenti a fronte di specifiche richieste o segnalazioni ad esempio da parte dell’autorità giudiziaria.

Modalità di trattamento

Il trattamento dei dati personali avverrà mediante strumenti manuali, informatici e telematici comunque idonei a garantire la sicurezza e la riservatezza dei dati stessi.

Sono adottate misure di sicurezza, in conformità alle previsioni dell’art. 32 del GDPR per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati ed in rispondenza con la Circolare AgID n. 2/2017 “Misure minime di sicurezza ICT per le pubbliche amministrazioni”.

Con riferimento a tutti gli utenti, potrebbero essere operate estrazioni ed elaborazioni dei file di log (relativi alle attività compiute attraverso i Servizi) al solo scopo di identificare i responsabili di abusi e/o attività illecite che siano stati operati dagli interessati o da terzi

Destinatari dei dati personali ed eventuali trasferimenti di dati all'estero

I dati personali potranno essere trattati da dipendenti o collaboratori del Titolare che, operando sotto la diretta autorità di quest’ultimo, sono autorizzati al trattamento e ricevono al riguardo adeguata formazione ed istruzioni operative.

I dati personali non saranno oggetto di comunicazione verso terzi, se non nei confronti di:

  1. Soggetti, enti o Autorità, verso i quali la comunicazione sia obbligatoria in forza di disposizioni di legge o di regolamento;
  2. Fornitori servizi di assistenza tecnica, limitatamente alle necessità strettamente connesse all’erogazione dei servizi contrattualmente previsti e per le quali sono nominati responsabili del trattamento dei dati ai sensi dell’art.28 R.UE 679/2016 con gli effetti di legge conseguenti. I dati sono accessibili da parte dei Fornitori di servizio autorizzati all’accesso remoto in modalità sicura (VPN) ai sistemi dell’Ateneo, oppure inviati su "spazi remoti" del fornitore.

La gestione e la conservazione dei dati personali raccolti avviene presso l’Università e/o presso fornitori di servizi informatici che, nominati quali Responsabili del trattamento a norma dell’art.28 R.UE 679/2016, potrebbero venire a conoscenza dei dati personali degli interessati, ai soli fini della prestazione richiesta.

Non saranno trasmessi o trattati dati al di fuori dell’Unione Europea. Può rendersi necessario il trasferimento occasionale di log di sistema verso fornitori di servizi di assistenza sull’infrastruttura sistemistica (sistemi operativi e di virtualizzazione, database,…) con sedi al di fuori dell’UE che hanno garantito l’applicazione di clausole di salvaguardia del trattamento dei dati quali, ad esempio, standard contrattuali approvati dalla Commissione europea.

Tempo di conservazione dei dati personali

I dati raccolti saranno conservati per un periodo da 6 a 12 mesi, nel rispetto delle finalità, dei tempi e dei modi stabiliti dalla normativa vigente o dai regolamenti d’Ateneo.

Diritti degli interessati

L’interessato ha diritto a:

  • Chiedere al Titolare, l'accesso ai propri dati personali e la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento ai sensi degli artt. 15, 17, 18 e 21 del Regolamento (UE) 2016/679,. Data la natura dei dati, potrebbero risultare non consentite azioni di cancellazione e, in taluni casi, l’opposizione al trattamento potrebbe pregiudicare l'accesso a specifici servizi;
  • presentare reclamo presso l’Autorità Garante, secondo le modalità riportate all’indirizzo https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9041356

La presente informativa potrà essere oggetto di successivi aggiornamenti ed integrazioni, si invita pertanto a prenderne periodicamente visione.

 

Dettagli
Condividi su