Informativa sul trattamento dei dati personali degli utenti istituzionali ed esterni del Centro Servizi Bibliotecari, ai sensi del Regolamento Generale per la Protezione dei Dati (GDPR, General Data Protection Regulation, Regolamento UE 2016/679)
Gli utenti del Centro Servizi Bibliotecari si suddividono in due categorie, istituzionali ed esterni.
Gli Utenti istituzionali sono coloro che hanno con l’Ateneo un rapporto formalmente regolato da atti normativi (studenti, docenti, personale tecnico, amministrativo e bibliotecario), ammessi a fruire dei servizi bibliotecari erogati dalle strutture bibliotecarie afferenti al Centro Servizi Bibliotecari, finalizzati alla trasmissione del sapere e dell'avanzamento della ricerca scientifica;
Gli utenti esterni sono coloro che, pur non avendo un rapporto di tipo istituzionale con l’Università degli Studi di Perugia, sono ammessi a fruire dei servizi bibliotecari erogati dalle strutture bibliotecarie afferenti al Centro Servizi Bibliotecari:
- in forza di accordi/convenzioni/protocolli d’intesa, stipulati con soggetti pubblici o privati, volti a regolare attività di interesse comune, ispirati al principio di reciprocità;
- previa autorizzazione del Responsabile della struttura bibliotecaria in ragione del motivato interesse personale esposto. Lo status di utente esterno è connesso alla vigenza degli accordi/convenzioni/protocolli d’intesa che regola il relativo rapporto e, nel caso di autorizzazioni individuali, può avere durata massima di un anno, rinnovabile.
I dati personali degli utenti (istituzionali ed esterni), necessari per l’erogazione dei servizi bibliotecari, sono trattati in conformità al Regolamento Generale per la Protezione dei dati, Regolamento UE 2016/679 (abbreviato d’ora in avanti in GDPR), per la quale viene resa la seguente informativa. I dati personali non saranno diffusi, né utilizzati per profilazioni.
1. Titolare del Trattamento, Responsabile della protezione dei dati
Il Titolare del Trattamento è l’Università degli Studi di Perugia, nella persona del Magnifico Rettore, quale rappresentante legale.
Il contatto del Titolare è: rettorato@unipg.it, protocollo@cert.unipg.it (PEC)
Il contatto del Responsabile della protezione dati è: rpd@unipg.it, tel. 075 585 2192.
2. Oggetto del trattamento
A. Per l’accesso e l’erogazione dei servizi bibliotecari verranno trattati i seguenti dati:
a) Codice Fiscale;
b) Cognome, nome e dati anagrafici;
c) Recapito telefonico, e-mail e di residenza;
d) Documento identificativo (carta di identità, patente, etc.);
e) Una foto;
f) Credenziali Uniche di Ateneo
g) Data di scadenza dell’iscrizione ai servizi
A partire dall’Anno Accademico 2018/2019, la foto viene richiesta agli studenti in fase di immatricolazione.
Per i dipendenti, invece, la foto verrà richiesta dal personale del prestito la prima volta che si accede ad una struttura bibliotecaria.
Escludendo la foto e le credenziali uniche di Ateneo, gli utenti istituzionali non devono comunicare nessuno dei dati indicati, in quanto essi sono già stati acquisiti in fase di immatricolazione/iscrizione (per lo studente) e/o di assunzione (per il dipendente).
Gli utenti esterni comunicano i dati richiesti al momento del primo accesso in biblioteca, contestualmente al rilascio da parte degli operatori delle credenziali uniche di Ateneo.
B. Per l’erogazione dei servizi di prestito, saranno trattati nel sistema gestionale Alma delle biblioteche d’Ateneo:
- Dati richiesti dal sistema
a) Codice Fiscale;
b) Cognome, nome
c) e-mail
- Dati necessari per l’espletamento del servizio
a) dati anagrafici e di genere;
b) Recapito telefonico, e indirizzo di residenza;
c) credenziali Uniche di Ateneo e QR Code
d) Status Utente, in conformità a quanto previsto dal Regolamento dei servizi bibliotecari;
e) Data di scadenza dell’iscrizione al servizio
f) lingua di preferenza,
g) informazioni relative a blocchi e sospensioni, in conformità a quanto previsto dal Regolamento dei servizi bibliotecari
- Dati facoltativi
a) eventuali note interne non obbligatorie, la cui mancanza non comporta l’esclusione dal servizio
Gli utenti istituzionali non devono comunicare nessuno dei dati indicati, in quanto essi sono già stati acquisiti in fase di immatricolazione/iscrizione (per lo studente) e/o di assunzione (per il dipendente).
Gli utenti esterni comunicano i dati richiesti al momento del primo accesso in biblioteca, contestualmente al rilascio da parte degli operatori delle credenziali uniche di Ateneo.
C. Per la navigazione in Primo VE (Unico)
Primo VE può essere usato in forma anonima senza autenticazione. Alcune funzionalità sono tuttavia limitate agli utenti istituzionali autenticati. Il login può avvenire, a scelta dell'utente, tramite il sistema di autenticazione di Ateneo o il servizio SPID.
Primo VE utilizza cookie tecnici di sessione per tracciare informazioni sulla specifica sessione di lavoro nel browser, come l'ultima ricerca fatta, la pagina corrente, le informazioni di login.
Questi cookie sono necessari a visualizzare correttamente le pagine web e verranno quindi sempre utilizzati e inviati, a meno che l'utente modifichi le impostazioni nel proprio browser. I cookie di sessione vengono distrutti ogni volta che il browser viene chiuso.
Tutti i dati memorizzati a fini statistici in Primo Analytics sono anonimizzati, non viene trattenuta alcuna informazione che possa essere ricondotta a uno specifico utente e vengono rimosse le ultime due sezioni degli indirizzi IP. I file di log del server sono utilizzati esclusivamente per scopi operativi e sono conservati per un massimo di 10 settimane.
D. Per il servizio di consultazione delle tesi di laurea verranno invece trattati i seguenti dati:
a) Cognome e nome;
b) Recapito telefonico ed e-mail.
3. Finalità del trattamento e base giuridica
I dati sopra indicati saranno trattati per le seguenti finalità:
a) consentire l’accesso alle strutture e ai servizi bibliotecari: la base giuridica del trattamento è l’esecuzione di una richiesta dell’interessato per usufruire di servizi connessi all’istruzione e alla ricerca (art. 6.1.b GDPR);
b) adempiere ad obblighi di legge o per ottemperare ad ordini provenienti da pubbliche autorità (art. 6.1.c GDPR);
c) ricavare informazioni statistiche anonime degli utenti convenzionati e azioni volte al miglioramento del servizio (art. 6.1.e GDPR).
d) I dati verranno trattati per attivare automaticamente i seguenti servizi:
-Unipass: identificazione dell’utente tramite QR Code e gestione degli accessi alle strutture bibliotecarie;
-Postazioni Internet del CSB;
-Sistema gestionale delle biblioteche d’Ateneo (Alma): alimentazione dell’anagrafica e fruizione dei servizi bibliotecari (prestito, rinnovo, restituzione, prenotazione).
e) La fotografia viene utilizzata dal titolare per identificare in modo certo l’utente e costituisce un requisito necessario all’attivazione dei servizi sopra indicati.
Gli utilizzatori delle Postazioni Internet del CSB sono pregati di prendere visione dell’informativa dedicata a tale servizio.
4. Conseguenze della mancata comunicazione dei dati
Il conferimento dei dati è necessario per consentire all’utente di fruire dei servizi bibliotecari. La mancata comunicazione comporta l’impossibilità ad accedere ai suddetti servizi.
5. Modalità del trattamento
Il trattamento dei dati personali avverrà mediante strumenti manuali, informatici e telematici comunque idonei a garantire la sicurezza e la riservatezza dei dati stessi.
Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi ai dati non autorizzati, nel pieno rispetto dell’art. 32 del GDPR.
L’interfaccia utente di Alma (https://unico.unipg.it) e il sito della Documentazione Tecnica (https://docutecnicacsb.unipg.it/) impiegano una tecnologia denominata "cookies di sessione" tecnici e necessari memorizzati nel PC in modo non persistente e che svaniscono con la chiusura del browser. L’uso dei cookies è necessario e limitato alla trasmissione di identificativi di sessione (costituiti da numeri casuali generati dal server), necessari per consentire l'esplorazione sicura ed efficiente del Discovery tool Unico e della Documentazione Tecnica. Non viene fatto uso di cookies per la trasmissione di informazioni di carattere personale, né di sistemi per il tracciamento degli utenti.
I cookie di sessione utilizzati evitano il ricorso ad altre tecniche informatiche potenzialmente pregiudizievoli per la riservatezza della navigazione degli utenti e non consentono l'acquisizione di dati personali identificativi dell'utente.
Le licenze d'uso delle risorse elettroniche (banche dati, periodici elettronici e e-book) di fornitori terzi sottoscritte dal Centro Servizi Bibliotecari sono accessibili solo agli utenti istituzionali riconosciuti da IP di rete di ateneo o altro sistema di autenticazione e sottostanno alle informative del fornitore.
6. Periodo di conservazione dei dati
In relazione alle finalità di accesso ai servizi bibliotecari, i dati saranno conservati:
- Sistema gestionale delle biblioteche d’Ateneo (Alma):
- Utenti istituzionali: fino alla scadenza del ruolo (laurea, pensionamento, etc.);
- Utenti esterni: un anno solare, rinnovabile dietro richiesta dell’utente;
- Utenti convenzionati: fino alla scadenza della convenzione.
Tutte le categorie di utenti non verranno rimosse da Alma in presenza di pendenze attive (ad es. prestiti non restituiti) .
- Identity Manager d’Ateneo e altro gestionale con funzioni di archivio: non è prevista scadenza;
- Modulo on-line o e-mail: un massimo di dodici mesi dal termine del servizio erogato;
- Moduli cartacei: cinque anni dal termine del servizio erogato o durata diversa indicata nel modulo;
I moduli cartacei per la consultazione della tesi o contenenti obblighi di riservatezza e utilizzo dei dati, saranno conservati per cinque anni.
7. Soggetti, o categorie di soggetti, ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di Responsabili o Autorizzati
I dati possono essere accessibili al personale del Centro Servizi Bibliotecari e degli uffici dell’Ateneo, nonché ai collaboratori esterni, tutti autorizzati al trattamento.
I dati inerenti il servizio di consultazione delle tesi di laurea, sono accessibili al solo personale della Segreteria amministrativa.
Il Titolare inoltre potrà comunicare i dati ad Organismi di vigilanza, Autorità giudiziarie nonché a tutti gli altri soggetti ai quali la comunicazione sia obbligatoria per legge per l’espletamento delle finalità dette.
I dati personali non saranno diffusi e non verranno effettuati trattamenti dei dati volti a tracciare un profilo dell’utente.
8. Trasferimento dati all’estero
Il sistema gestionale delle biblioteche di Ateneo (Alma) è fornito dalla società Ex Libris in modalità cloud SaaS; il servizio, e i dati con esso trattati, sono ospitati in un data center con sede nel territorio dell’Unione Europea (Francoforte, Germania).
Ex Libris è proprietaria e gestore di tutta la strumentazione per l’elaborazione dei dati e ha stipulato un contratto con il provider del data center (Digital Frankfurt GmbH) per l’occupazione degli spazi, la fornitura di elettricità, il raffrescamento, la sicurezza fisica e servizi similari.
L’Università, titolare del trattamento, ha provveduto ad incaricare la società Ex Libris Italy S.R.L. quale Responsabile del trattamento, perché tratti i dati in conformità al Regolamento Generale per la Protezione dei dati, Regolamento UE 2016/679 (GDPR) e secondo principi di sicurezza e riservatezza.
Le condizioni di trattamento dei dati, per tutti i contratti in essere per la fornitura di servizi erogati dalla società Ex Libris in modalità SaaS, sono stabilite in Appendice agli stessi contratti.
La documentazione relativa all’applicazione del GDPR da parte della società Ex Libris è consultabile all’indirizzo: https://live-exlibris-trust-center.pantheonsite.io/gdpr.
E’ disponibile un documento specifico per il software Alma:https://knowledge.exlibrisgroup.com/@api/deki/files/61928/What_You_Need_to_Know_About_Addressing_GDPR_Data_Subject_Rights_in_Alma.pdf?revision=7.
La documentazione relativa alle politiche di sicurezza adottate dalla società Ex Libris è disponibile all’indirizzo: https://knowledge.exlibrisgroup.com/Cross-Product/Security/Policies.
9. Diritti dell’interessato
Nella Sua qualità di interessato al trattamento, l’utente può esercitare una serie di diritti nei confronti dell’Università degli Studi di Perugia, quale Titolare del trattamento, ai sensi degli articoli 15, 16, 17, 18, 19 e 21 del GDPR.
In particolare tali diritti sono:
- diritto di accesso ai dati personali (art. 15 del GDPR);
- diritto di rettifica (artt. 16 e 19 del GDPR);
- nei casi previsti dalla legge, il diritto alla cancellazione dei dati (cosidetto diritto all’oblio – artt. 17 e 19 del GDPR);
- nei casi previsti dalla legge, il diritto alla limitazione del trattamento dei dati (artt. 18 e 19 del GDPR);
- nei casi previsti dalla legge, il diritto alla portabilità dei dati (art. 20 del GDPR);
- nei casi previsti dalla legge, il diritto di opporsi alle attività di trattamento (art. 21 del GDPR).
Infine, l’interessato ha il diritto di avanzare un reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) o all’Autorità Garante dello Stato dell’UE in cui l’interessato risiede abitualmente o lavora, oppure del luogo ove si è verificata la presunta violazione, in relazione a un trattamento che consideri non conforme.
Per l’esercizio di questi diritti l’interessato può rivolgersi al Titolare del trattamento, inviando una richiesta a protocollo@cert.unipg.it o al Responsabile del trattamento dati all'indirizzo rpd@unipg.it. Sarà necessario identificare con certezza il richiedente prima della risposta.
10. Modifiche alla presente Informativa
La presente Informativa può subire variazioni, consigliamo quindi di controllarla regolarmente e di fare sempre riferimento alla versione più aggiornata.
Ultimo aggiornamento: novembre 2023