In Unistudium è disponibile il mini corso "La protezione dei dati personali in Unipg", composto di brevi moduli tematici e slide in materia di protezione dati personali. Essi mirano a fornire una breve panoramica della normativa e degli adempimenti da essa richiesti nelle diversificate attività universitarie. Se ne consiglia  la visione a tutto il personale,  docente e tecnico amministrativo.

1. Cos'è la normativa in materia di protezione dei dati personali (detta anche normativa privacy)?

E’ la normativa che tutela ogni forma di trattamento dei dati personali, ossia di dati che consentono di identificare una persona in maniera diretta o indiretta. Comprende il Regolamento UE n. 2016/679 (di seguito GDPR) e il D.Lgs. n. 196/2003 (Codice in materia di protezione dei dati personali, di seguito Codice).

E’ completata da atti di "soft law" quali le Linee guida del gruppo europeo dei Garanti (EDPB), dell’Autorità garante per la protezione dei dati personali nazionale (GPDP) e le Regole deontologiche da questi adottate, nel seguito semplicemente "normativa privacy".

Un quadro sintetico della normativa è riportato nel "Regolamento sul trattamento dei dati personali" dell'Università degli Studi di Perugia (di seguito Regolamento di Ateneo), che è opportuno conoscere.

2. Cosa si intende per “dato personale” e per “interessato”?

Per “dato personale” si intende l’informazione che identifica o rende identificabile, direttamente o indirettamente, una persona fisica detta Interessato. Sono dati personali i dati anagrafici, la casella di posta elettronica, il numero di cellulare, la matricola studente o dipendente, etc.

Il termine ricomprende anche i dati che possono fornire informazioni sulle abitudini, lo stile di vita, le relazioni personali, lo stato di salute, la situazione economica, culturale o sociale, l’ubicazione, gli identificativi o in generale gli elementi caratteristici dell’identità on line dell’interessato.

3. Quando devo rispettare la normativa privacy?

Tutti i trattamenti di dati o informazioni personali svolti in ambito universitario devono essere conformi alla normativa in materia di protezione dei dati personali.

La raccolta di dati personali per le attività amministrative, oppure effettuata attraverso la somministrazione di questionari o interviste per finalità statistiche, di ricerca o di didattica vanno quindi svolte avendo cura di rispettare la normativa privacy.

Alcuni casi di esenzione dall’applicazione della normativa sono riportati in una FAQ successiva.

4. Cosa si intende per "trattamento"?

Il "trattamento" dei dati personali indica qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate ai dati personali o insiemi di dati personali.

Il "trattamento" ricomprende qualsiasi uso dei dati personali di persone fisiche, non effettuato in ambito domestico o personale. Sono trattamenti: la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento, la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione del dato personale.

NB: In nessun caso possono essere raccolte e diffuse immagini relative a minori dalle quali sia possibile la loro identificazione.

5. Che differenza c’è tra comunicazione e diffusione?

La "comunicazione" è il dare conoscenza dei dati personali a uno o più soggetti determinati, in qualunque modalità, anche consentendone l’accesso tramite sistemi web o interoperabilità tra banche dati.

La “diffusione" è il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque modalità, anche consentendone la consultazione o rendendoli disponibili a chiunque, ad esempio tramite pubblicazione su siti web.

6. Cosa si intende per "dato anonimo"?

Il "dato anonimo" è l’informazione raccolta senza alcun riferimento ad una persona fisica identificata o anche indirettamente identificabile.

E’ obbligatorio trattare dati anonimi quando la conoscenza dei dati personali dell’interessato non è necessaria per le finalità da raggiungere, ad esempio per taluni scopi della ricerca.

Ai trattamenti di dati anonimi non si applica la normativa europea e nazionale in materia di protezione dei dati personali.

7. Cosa si intende per "anonimizzazione"?

L’ "  anonimizzazione" è il procedimento che ha lo scopo di impedire l’identificazione dell’interessato a partire dai dati trattati. Per essere adeguatamente anonimizzati, non deve essere possibile invertire il processo e risalire all’identità della persona, neanche attraverso l’utilizzo di altre informazioni comunque acquisite. Il trattamento del dato personale, nella fase antecedente la sua anonimizzazione, ricade nella normativa in materia di protezione dei dati personali. Per approfondimenti: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_it.pdf

8. Cosa si intende per "dato particolare"?

Per "dato particolare" si intende il dato personale che riveli l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, i dati biometrici atti a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale. Vengono detti anche dati sensibili, al pari dei dati giudiziari, e non possono essere trattati se non in presenza di particolari condizioni (cfr. art. 9 GDPR).

È assolutamente vietata la diffusione di dati particolari, a meno che non sia previsto espressamente da una norma di legge.

9. Quali sono i principi secondo i quali devono sempre essere trattati i dati personali?

I trattamenti devono sempre rispettare i principi di liceità, correttezza e trasparenza, di limitazione delle finalità e dei tempi di conservazione, di minimizzazione dei dati, di esattezza, di integrità e di riservatezza.

I trattamenti devono sempre trovare fondamento in una base giuridica tra quelle agli articoli 6 paragrafo 1 e, nel caso di dati particolari, deve ricorrere una condizione tra quelle previste all’art.9 paragrafo 2 GDPR (cfr. Finalità e basi giuridiche dei trattamenti).

Occorre utilizzare i soli dati necessari, pertinenti e non eccedenti le finalità da raggiungere, minimizzare i trattamenti ad essi applicati, i tempi di utilizzo e di conservazione nonché procedere alla cancellazione o anonimizzazione dei dati, una volta raggiunte le finalità e cessata ogni esigenza di eventuali ulteriori utilizzi dei dati, tenendo conto degli obblighi legali che talvolta sussistono.
I trattamenti devono avvenire in maniera trasparente e nel rispetto dei diritti degli interessati (articoli 15-22 GDPR), primo tra tutti quello di fornire loro l’informativa redatta ai sensi degli articoli 13 e 14 GDPR.

10. Cosa si intende per "informativa"?

Per Informativa si intende l’insieme delle informazioni che, ai sensi degli articoli 13 o 14 del GDPR, l’Università deve fornire all’Interessato. Con essa viene data piena trasparenza sui dati trattati, sulle finalità e modalità del trattamento, sui tempi di conservazione, su come l’Interessato potrà far valere i suoi diritti.

Deve essere sempre fornita prima dell’inizio dell’attività di trattamento, anche nel caso di raccolta on line dei dati, per favorire il diritto all’autodeterminazione informata dell’interessato.

Nei siti on line, l’informativa può essere fornita tramite un link, avendo cura di accertarsi che ne sia stata presa visione (p.e. con casella che deve essere spuntata per proseguire). In alcuni casi è possibile fornire un’informativa semplificata, contenente comunque tutte le informazioni obbligatorie. Clicca qui per visionare un’informativa realizzata tramite un breve video.

11. Cosa si intende per "consenso"?

Per consenso si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso acconsente, mediante dichiarazione o azione positiva indubitabile, al trattamento dei suoi dati personali. Affinché il consenso sia valido, deve essere richiesto dopo aver esplicitato con l’informativa ciò che è necessario debba conoscere, secondo la norma, sull’attività di trattamento.

Il consenso deve essere revocabile con la stessa facilità con cui è stato prestato, secondo modalità indicate nell’informativa, e non può essere costituito da campi preselezionati o pre-spuntati.

Il consenso può essere prestato solo dall'interessato, a meno che non si tratti di un soggetto minore di età, nel quale caso va acquisito il consenso dei genitori o di chi esercita la responsabilità genitoriale sul minore.

Il consenso deve essere acquisito in maniera “dimostrabile” (ad es. con la sua sottoscrizione o tramite registrazione, come avviene con i call center).

12. Chi è il Titolare del trattamento?

E’ la figura giuridica o fisica che decide le finalità del trattamento e le modalità con cui eseguirlo. Per i trattamenti di dati personali effettuati nel contesto universitario, quindi con finalità e modalità definite per esempio dal docente, (nell’ambito di una tesi di laurea di cui il docente sia il relatore), è l’Università ad essere il titolare dell’attività. Il titolare deve autorizzare le persone che operano sotto la sua diretta autorità al trattamento dei dati personali, istruendoli sulle corrette modalità di trattamento.

13. Chi è il Responsabile del trattamento?

Il Responsabile del trattamento dati è un soggetto esterno all’Università che, in base ad un contratto/convenzione o altro atto giuridico, effettua trattamenti di dati personali per conto del Titolare (non sotto la diretta autorità, come ad esempio i dipendenti) e ne risponde in solido in caso di inadempienze. I trattamenti svolti dal Responsabile per conto del titolare sono disciplinati da un atto giuridico vincolante che deve specificare la materia disciplinata, la durata del trattamento, la natura e la finalità del trattamento e altre voci specificate all’art. 28 par. 3 GDPR.

Ogniqualvolta gestiamo attività universitarie che trattano dati personali attraverso servizi in cloud, ad esempio, al contratto di utilizzo/fornitura dei servizi deve essere accluso l’atto di nomina del fornitore del servizio a Responsabile del trattamento.

14. Ci sono casi di esenzione dall'applicazione della normativa in materia di protezione dei dati personali?

Si, ci sono dei casi in cui il trattamento dei dati personali esula dall’applicazione della normativa:

  1. dati personali relativi a persone giuridiche: il nome, la forma della persona giuridica e i suoi dati di contatto non richiedono l’applicazione della normativa.
    Come per qualunque altra persona fisica occorre invece fornire l’informativa e, nel caso di informazioni di natura particolare, acquisire il consenso, se il trattamento dei dati personali della persona giuridica avviene, ad esempio, in relazione a situazioni personali, estranee al contesto aziendale o al suo potere di rappresentanza.
  2. raccolta dei dati in forma anonima, senza richiesta di dati personali anche indirettamente identificativi della persona cui si riferiscono: il trattamento esula dal campo della normativa in materia di protezione dei dati personali. Attenzione però che i dati non devono consentire l’identificabilità dei soggetti cui si riferiscono, sia in relazione alla popolazione di riferimento sia correlandoli ad altre banche dati o altri archivi, anche in possesso di altri soggetti (p.e. elenchi anagrafici della scuola, che consentono di risalire all’identità tramite la classe, sesso , anno di nascita e altri fattori).
  3. trattamento di dati personali a soli fini personali o domestici: posso ad esempio scattare delle foto durante la seduta della tesi di laurea di un amico, per un uso privato, senza dover chiedere alcun consenso all’utilizzo dei dati personali acquisiti tramite le immagini. Se invece volessi pubblicare la foto on line o diffonderla su siti social, il trattamento esula dall’ambito domestico e dovrò prima chiedere il consenso alla pubblicazione a tutti i soggetti riconoscibili nella fotografia

15. E' possibile trattare dati personali nell'ambito di una ricerca finalizzata ad un elaborato, indagini conoscitive o altre attività in ambito didattico o di ricerca?

E’ possibile trattare dati personali identificativi solo ed esclusivamente se necessario al raggiungimento degli scopi dell’attività di ricerca condotta per fini istituzionali, anche se assegnata dal docente allo studente.

E’ obbligatorio trattare i dati esclusivamente in forma anonima ed eventualmente aggregata, qualora sia possibile raggiungere gli obiettivi in tal modo e, in tal caso, devono essere adottati tutti gli accorgimenti possibili per non consentire la re-identificabilità degli interessati.

Occorre considerare anche la possibile re-identificazione che potrebbe avvenire mediante riutilizzi successivi dei dati e correlazioni con informazioni raccolte per altre finalità di ricerca, oppure mediante incroci dei dati con altre banche dati o informazioni di contesto (tipo ambienti di lavoro o piccole realtà territoriali, relazioni familiari con persone conosciute, ruoli ricoperti in situazioni specifiche o competizioni agonistiche,…).

16. L'attività richiede necessariamente l'identificazione degli interessati. Cosa fare?

Se non posso trattare dati anonimi per raggiungere lo scopo prefissato, devo applicare la normativa in materia di protezione dei dati personali, rispettando gli adempimenti da essa richiesti.

Occorre rispettare la normativa anche nel caso di ricerche o attività affidate agli studenti, che richiedono la raccolta di dati personali, non anonimi, o la consultazione di banche di dati personali non pubbliche.

A fini di ricerca è possibile il trattamento dei dati personali di persone decedute se non vietato espressamente da chi ha un interesse proprio o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione (art. 2 terdecies del D.Lgs. n. 196/2003).

17. Nel caso della Ricerca scientifica, quali attenzioni devono essere poste ai trattamenti di dati personali?

Ai trattamenti svolti per la Ricerca scientifica si applicano gli stessi principi del GDPR. In particolare vanno rispettati tre aspetti principali: garantire il rispetto del principio della minimizzazione dei dati (trattando ove possibile dati anonimi e raccogliendo le sole informazioni strettamente necessarie per il perseguimento delle finalità di ricerca); informare gli interessati sull’uso dei propri dati personali nell’ambito del progetto di ricerca, fornendo tutte le informazioni previste dall’articolo 13 del GDPR ed acquisendo eventualmente il consenso, libero e revocabile; predisporre adeguate misure tecniche e organizzative per garantire la protezione dei dati, a seguito di un’accurata analisi dei rischi.
Per facilitare queste attività, in Area riservata, nella sezione “Documentazione -> Protezione dati personali -> Ricerca scientifica” sono disponibili per docenti e ricercatori alcune guide operative sui trattamenti per la Ricerca e dei modelli della documentazione necessaria.

18. Quali sono gli adempimenti da rispettare quando si effettua una raccolta di dati personali?

Il principio di minimizzazione richiede di trattare i soli dati personali essenziali per le finalità perseguite e non eccedenti le stesse. Non possono essere trattati dati o informazioni che non siano pertinenti e necessari, ad esempio dati che “potrebbero essere utili”, in alcuna raccolta di dati. Nel caso di dati facoltativi, occorrerà specificare quale parte della finalità non potrà essere raggiunta senza quei dati (ad esempio un dato di contatto, senza il quale non sarà possibile avere comunicazioni circa le variazioni nell’agenda di un convegno o l’esito della ricerca).

Ciò premesso, secondo la normativa e il modello organizzativo di Ateneo:

  1. Il designato della struttura, sotto la cui responsabilità ricade il trattamento (cfr. DR 2128/2020), prima di iniziare l’attività di trattamento, deve valutare la necessità o meno di trattare dati personali identificativi e provvedere ad autorizzare ai trattamenti dei dati o informazioni personali coloro che tratteranno tali informazioni personali. Nel caso di progetti di ricerca o attività di raccolta dati assegnati allo studente, sarà il soggetto responsabile del progetto di ricerca o il docente relatore, a provvedere ad autorizzare ai trattamenti dei dati personali tutti i componenti del gruppo di ricerca, i collaboratori o gli studenti, nel caso del docente previa delega del direttore del dipartimento.
  2. E’ necessario fornire agli interessati l'informativa, predisposta con i contenuti obbligatori previsti dalla normativa (art.13 del GDPR o, nel caso di dati non raccolti direttamente dall’interessato, art. 14GDPR, cfr. https://www.unipg.it/ateneo/protezione-dati-personali/informative), a meno che l’attività non ricada in una categoria di trattamenti per cui è stata già fornita l’informativa.
  3. Nei casi dovuti (cfr. FAQ successive), bisogna acquisire lo specifico consenso dell’interessato al trattamento dei suoi dati personali. In tal caso bisogna richiederlo in modalità utile a dimostrare di averlo acquisito in maniera libera, specifica e informata.
  4. Occorre una valutazione dei rischi connessi all’attività di trattamento, avendo cura di definire il ciclo di vita dei dati personali (obiettivi da raggiungere, raccolta dei dati, registrazione e trattamenti connessi, eventuali interconnessioni con altre banche dati, modalità e tempi di conservazione, eventuali esigenze di riuso) e individuando gli strumenti , per il trattamento dei dati, maggiormente idonei a proteggerne la riservatezza, integrità e disponibilità, specie nel caso di utilizzo di dati sensibili. In Area riservata è possibile reperire della documentazione a supporto.
  5. I dati raccolti dovranno essere sempre trattati applicando opportune misure di sicurezza finalizzate ad evitare che i dati possano essere utilizzati per altre finalità o conosciuti da altri; tra di esse la pseudonimizzazione o cifratura dei dati, al fine di scongiurare o ridurre il rischio derivante da accessi abusivi alle informazioni trattate, l’utilizzo di password robuste a protezione di sistemi e dispositivi.
  6. Nello svolgere le interviste, proporre questionari o altre attività di raccolta con contatto diretto, occorre rendere nota all’interessato la propria identità, la propria funzione e le finalità della raccolta, ad esempio mediante esposizione di un cartellino sul proprio abbigliamento.

19. E' sempre necessario acquisire preventivamente il consenso del soggetto di cui vuoi trattare i dati personali?

Il consenso è una base giuridica che legittima l’attività di trattamento e, nel caso dell’Università, è da considerarsi residuale. L’Università dovrebbe infatti trattare solo i dati necessari per le sue finalità istituzionali e per le quali quindi esistono leggi che ne autorizzano la raccolta e il trattamento.
Il consenso deve essere sempre revocabile, senza conseguenze per l’interessato. Per approfondimenti consultare il sito web.
Nel caso di trattamenti di dati particolari, anche evincibili semplicemente dal contesto del trattamento (ad esempio informazioni sanitarie o relative a dipendenze, eventualmente desumibili dalle abitudini alimentari, o nei trattamenti biometrici per riconoscimento facciale o tramite impronta digitale), è sempre obbligatorio richiedere il consenso al trattamento, a meno che esso non sia previsto espressamente da disposizioni con rango di legge.
Il modello di acquisizione del consenso dell’interessato è contenuto all’interno e in calce del modello di informativa in area riservata.

20. Posso riutilizzare i dati raccolti ad altri scopi? 

Nell’ambito di attività di natura amministrativa, didattica e/o di ricerca universitaria è possibile che un dato personale già disponibile, anche perché raccolto da altri enti, sia riutilizzato nell’ambito di altre finalità o attività dell’Ateneo. In tal caso deve essere fornita un’informativa aggiuntiva agli interessati e, se del caso, chiedere il consenso al trattamento per le ulteriori finalità. L’articolo 14 del GDPR esonera dal rendere un’informativa specifica agli interessati solo a patto che risulti impossibile contattare l’interessato o comporti uno sforzo sproporzionato e, comunque, a condizione che esistano adeguate misure di salvaguardia dei suoi diritti. In tal caso le informazioni, di cui all’ articolo 13 del GDPR, vanno comunque rese pubbliche, ad esempio mediante pubblicazione sui siti istituzionali o, nel caso ad esempio di dati di provenienza scolastica, con comunicazione alla scuola da trasmettere agli interessati, se maggiorenni, o alle loro famiglie, se minorenni.

21. Quali misure vanno adottate per proteggere i dati personali raccolti?

I dati personali devono essere protetti da accessi abusivi e da ogni altro uso non conforme alla legge e alle finalità perseguite. Prima di procedere al trattamento dei dati occorre quindi individuare lo strumento da prediligere per assicurare il rispetto della riservatezza, integrità e disponibilità dei dati in tutte le fasi del trattamento, la minimizzazione dei dati raccolti, dei loro trattamenti e dei tempi di conservazione, l’anonimizzazione o pseudonimizzazione dei dati quando non sia necessario trattarli in chiaro. Occorre utilizzare sistemi informatici che consentano la gestione delle autorizzazioni all’accesso ai dati al solo personale opportunamente identificato e istruito sull’uso del sistema.

Nel ricorso a piattaforme on line o a strumenti di fornitori di servizi telematici, occorre verificare che questi siano stabiliti in Unione Europea; diversamente l’attività si configura come trasferimento extra UE di dati personali con l’obbligo di applicare specifiche condizioni di garanzia previste dal Regolamento UE 2016/679.

Ulteriori misure adottabili sono riportate agli artt. 20-24 del  "Regolamento sul trattamento dei dati personali” e, per la ricerca, nelle “Indicazioni su Misure di sicurezza nei progetti di ricerca” disponibile in Area riservata, sezione “Documentazione -> Protezione dati personali -> Ricerca scientifica”.

22. Non hai trovato una risposta ad un dubbio o hai un quesito?

E’ molto probabile che troverai una risposta nel  "Regolamento sul trattamento dei dati personali": in esso sono riportate tutte le definizioni utili e una maggiore descrizione sia della normativa che dei ruoli e responsabilità derivanti dal trattamento dei dati personali in ambito universitario.

Se così non fosse, inoltra una e-mail a rpd@unipg.it descrivendo con chiarezza il dubbio o quesito. Allo stesso indirizzo puoi segnalare eventuali violazioni osservate nel trattamento dei dati personali nell’ambito universitario.

Condividi su