Informativa sul trattamento dei dati personali del servizio di accesso alle Postazioni Internet del CSB, dislocate presso le Biblioteche del Centro Servizi Bibliotecari, ai sensi del Regolamento Generale per la Protezione dei Dati (GDPR, General Data Protection Regulation, Regolamento UE 2016/679).

I dati personali forniti in relazione all’uso del servizio Postazioni Internet del CSB (abbreviato da questo momento in Postazioni Internet), dislocate presso le strutture bibliotecarie, sono trattati in conformità al Regolamento Generale per la Protezione dei dati, Regolamento UE 2016/679 (abbreviato d’ora in avanti in GDPR).

La presente informativa è resa, ai sensi del GDPR, agli utenti che utilizzano il servizio Postazioni Internet presso le strutture bibliotecarie del Centro Servizi Bibliotecari dell’Università degli Studi di Perugia.

1. Titolare del Trattamento, Responsabile della protezione dei dati

Il Titolare del Trattamento è l’Università degli Studi di Perugia, nella persona del Magnifico Rettore, quale rappresentante legale. Il contatto del Titolare è: rettorato@unipg.it o, via PEC, protocollo@cert.unipg.it

Il contatto del Responsabile della protezione dati è: rpd@unipg.it, tel. 075 585 2192.
Ulteriori informazioni

2. Oggetto del trattamento

Per l’erogazione del servizio e nell’ambito dello stesso verranno trattati i seguenti dati:

  1. La Credenziale Unica di Ateneo;
  2. I dati di navigazione: i sistemi informatici e le procedure software relative al funzionamento del servizio acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet. Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti. In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che utilizzano il servizio, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l'orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all'ambiente informatico dell'utente.

3. Finalità del trattamento e base giuridica

I dati sopra indicati saranno trattati per le seguenti finalità:

  1. Per consentire l’accesso al servizio; la base giuridica del trattamento è l’esecuzione di una richiesta dell’interessato ex art. 6.1.b GDPR.
  2. Per adempiere ad obblighi di legge o per ottemperare ad ordini provenienti da pubbliche autorità (art. 6.1.c GDPR).
  3. Per ricavare informazioni statistiche anonime sull'uso del servizio, controllarne il corretto funzionamento, svolgere attività di monitoraggio a supporto della sicurezza del servizio e per individuarne le azioni volte al miglioramento dello stesso, in relazione ad un legittimo interesse del titolare (art. 6.1.f GDPR).
  4. Per l’accertamento di responsabilità in caso di ipotetici reati informatici ai danni del servizio o dei suoi utilizzatori in relazione ad un legittimo interesse del titolare (art. 6.1.f e 49 GDPR).

4. Conseguenze della mancata comunicazione dei dati

Alla luce di quanto sopra circa le finalità, il conferimento dei dati è un requisito necessario per fruire del servizio ed è pertanto obbligatoria e la mancata comunicazione comporta l’impossibilità di accedere al servizio.

5.Modalità del trattamento

Il trattamento dei dati personali avverrà mediante strumenti manuali, informatici e telematici comunque idonei a garantire la sicurezza e la riservatezza dei dati stessi.

Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati nel pieno rispetto dell’art. 32 del GDPR.

I trattamenti effettuati sono relativi alle finalità descritte al punto 3 e rispettano le indicazioni del GDPR agli artt. da 5 a 11 e in osservanza di questi principi così come enunciati dal GDPR:

  • Liceità nel rispetto dei consensi espressi dall'utente;
  • Minimizzazione, ovvero i trattamenti effettuati utilizzano il minimo dei dati indispensabili alla finalità per la quale sono stati raccolti;
  • Limitazione, ovvero i trattamenti sono limitati alle finalità descritte al punto 3;
  • Sicurezza, ovvero Università degli Studi di Perugia garantisce l’applicazione delle misure di sicurezza previste dagli standard internazionali e suggerite dalle migliori pratiche del settore;
  • Correttezza, ovvero Università degli Studi di Perugia mette a disposizione gli strumenti per mantenerli aderenti alla realtà dei fatti;
  • Integrità, ovvero Università degli Studi di Perugia adotta le migliori pratiche di gestione dei dati affinché vengano ridotti al minimo gli errori nella gestione degli stessi.

Potranno essere operate estrazioni dei file di log (relativi alle attività compiute attraverso il servizio), anche mediante incroci ed elaborazioni di tali dati per identificare i responsabili di abusi e/o attività illecite operate dagli interessati o da terzi.

Nell’ambito dell’interazione di un utente con i servizi web dei contesti con autenticazione, vengono tracciate su log informazioni di base relative all’accesso al singolo servizio ed informazioni di sessione strutturate in conformità al formato W3C standard https://www.w3.org/TR/WD-logfile.html

6. Periodo di conservazione dei dati

In relazione alla finalità di accesso al servizio, i dati saranno conservati per il tempo strettamente necessario all’erogazione dello stesso.

In relazione alle finalità sub b), c) e d) i dati saranno conservati per il tempo strettamente necessario al perseguimento delle predette finalità ed in particolare ai fini di sicurezza informatica per un massimo di 6 mesi.

7. Soggetti o categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di Responsabili o Autorizzati

I dati possono essere accessibili al personale bibliotecario e della società che offre servizi di biblioteca, personale del Centro Servizi Bibliotecari e dell’Ateneo preposti all’assistenza, tutti autorizzati dal Titolare al trattamento dei dati e all’espletamento delle proprie mansioni, anche ai fini del soddisfacimento delle richieste dell’interessato.

Il Titolare inoltre potrà comunicare i dati ad Organismi di vigilanza, Autorità giudiziarie nonché a tutti gli altri soggetti ai quali la comunicazione sia obbligatoria per legge per l’espletamento delle finalità dette.

I dati personali non saranno diffusi.

8. Trasferimento dati all’estero

Non sono previsti trasferimenti di dati all’estero.

9. Diritti dell’interessato

Nella Sua qualità di interessato al trattamento, l’utente può esercitare una serie di diritti nei confronti dell’Università degli Studi di Perugia, quale Titolare del trattamento, ai sensi degli artt. 15, 16, 17, 18, 19 e 21 del GDPR.

In particolare tali diritti sono:

  1. Diritto di accesso ai dati personali.
  2. Diritto di rettifica.
  3. Nei casi previsti dalla legge, il diritto alla cancellazione dei dati (cd. diritto all’oblio).
  4. Nei casi previsti dalla legge, il diritto alla limitazione del trattamento dei dati.
  5. Nei casi previsti dalla legge, il diritto alla portabilità dei dati.
  6. Nei casi previsti dalla legge, il diritto di opporsi alle attività di trattamento.
  7. In caso di trattamento basato sul consenso, la possibilità di revocarlo in ogni tempo fermo restando la liceità del trattamento basato sul consenso successivamente revocato.

Infine, l’interessato ha il diritto di avanzare un reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) o all’Autorità Garante dello Stato dell’UE in cui l’interessato risiede abitualmente o lavora, oppure del luogo ove si è verificata la presunta violazione, in relazione a un trattamento che consideri non conforme.

Per l’esercizio di questi diritti l’interessato può rivolgersi al Titolare del trattamento, inviando una richiesta a protocollo@cert.unipg.it o al Responsabile del trattamento dati all'indirizzo rpd@unipg.it. Sarà necessario identificare con certezza il richiedente prima della risposta.

10. Modifiche alla presente Informativa

La presente Informativa può subire variazioni, consigliamo quindi di controllarla regolarmente e di fare sempre riferimento alla versione più aggiornata. Revisione 0.0.4 del 11/10/2018.

 

Condividi su