Università degli Studi di Perugia

E' la normativa che tutela ogni forma di trattamento dei dati personali, ossia di dati che consentono di identificare una persona in maniera diretta o indiretta. Comprende il Regolamento UE n. 679/2016 (di seguito GDPR) e il D.Lgs. n. 196/2003 (Codice in materia di protezione dei dati personali, di seguito Codice).

E' completata da atti di "soft law" quali le Linee guida del gruppo europeo dei Garanti (EDPB), dell'Autorità garante per la protezione dei dati personali nazionale (GPDP) e le Regole deontologiche da questi adottate, nel seguito semplicemente "normativa privacy".

Un quadro sintetico della normativa è riportato nel "Regolamento sul trattamento dei dati personali" dell'Università degli Studi di Perugia (di seguito Regolamento di Ateneo), che è opportuno conoscere.

La normativa si applica a tutte le attività che utilizzano dati personali per finalità che esulano dall'ambito domestico o familiare. I trattamenti di dati o informazioni personali svolti in ambito universitario devono pertanto essere conformi alla normativa in materia di protezione dei dati personali.

Ad esempio, la somministrazione di questionari o interviste per finalità di ricerca o di didattica con richiesta di dati identificativi di una persona, anche diversa dall'intervistato, la gestione delle iscrizioni ad un convegno o degli esiti degli esami degli studenti, devono avvenire nel rispetto della normativa privacy.

Alcuni casi di esenzione dall'applicazione della normativa sono riportati nell'ultimo argomento di queste FAQ.

Il "trattamento" dei dati personali indica qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate ai dati personali o insiemi di dati personali.

L'articolo 4, paragrafo 2 del GDPR individua i trattamenti nella raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento, la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione del dato personale.

Il termine "trattamento" ricomprende qualsiasi uso dei dati personali di persone fisiche, non effettuato in ambito domestico o personale, purché effettuato in maniera anche parzialmente automatizzata, oppure trattamenti non automatizzati di dati personali contenuti in un archivio (insieme strutturato di dati) o destinati a figurarvi.

NB: In nessun caso possono essere raccolte e diffuse immagini relative a minori dalle quali sia possibile la loro identificazione.

Per "comunicazione" si intende il dare conoscenza dei dati personali a uno o piu' soggetti determinati, diversi dall'interessato, dal titolare o altri soggetti autorizzati, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione.

Per "diffusione" si intende il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

La diffusione di dati personali (ad esempio tramite pubblicazione su siti web pubblici) è esclusa dall'ambito domestico, quindi deve sempre rispettare la normativa in materia di protezione dei dati personali.

Per "dato anonimo" si intendono le informazioni raccolte senza alcun riferimento ad una persona fisica identificata o identificabile (anche indirettamente), alla quale il dato potrebbe riferirsi: ad essi non si applica la normativa europea e nazionale in materia di protezione dei dati personali.

E' obbligatorio trattare dati anonimi quando la conoscenza dei dati personali dell'interessato non è necessaria per le finalità da raggiungere, ad esempio per il raggiungimento degli scopi della ricerca.

Per "anonimizzazione" si intende il procedimento che ha lo scopo di impedire l'identificazione dell'interessato a partire dai dati trattati. Per essere adeguatamente anonimizzati, dovrebbe essere impossibile poter invertire il processo, risalendo così all'identità della persona, anche attraverso l'utilizzo di altre informazioni acquisite in altre modalità o disponibili in rete. Sulle tecniche di anonimizzazione si veda: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/3070528wp29. La normativa in materia di protezione dei dati personali si applica per le fasi antecedenti all'anonimizzazione dei dati personali.

Per "dato personale" si intende l'informazione che identifica o rende identificabile, direttamente o indirettamente, una persona fisica (detta perciò Interessato). L'interessato è la persona fisica alla quale si riferiscono i dati trattati, "proprietario" dei dati personali su cui conserva dei diritti nei confronti del Titolare del trattamento. Esempi di dati personali sono, oltre al nominativo, un numero di cellulare, una casella di posta, un numero di matricola, una foto o una registrazione audio video della persona da cui sia possibile identificarla, anche indirettamente, mediante l'utilizzo di informazioni reperite altrove. Il termine ricomprende inoltre i dati che possono fornire informazioni sulle abitudini, lo stile di vita, le relazioni personali, lo stato di salute, la situazione economica, culturale o sociale, l'ubicazione, gli identificativi o in generale gli elementi caratteristici dell'identità on line dell'interessato.

Per "dato particolare" si intende il dato personale che riveli l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, i dati genetici, dati biometrici atti a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale. Vengono detti anche dati sensibili, al pari dei dati giudiziari. I dati non sensibili vengono detti "dati personali comuni". E' assolutamente vietata la diffusione di dati particolari in assenza di una norma di legge.

I dati degli interessati devono essere trattati applicando i principi previsti dall'articolo 5 del GDPR. Sono i principi di liceità, correttezza e trasparenza, di limitazione delle finalità e della conservazione, di minimizzazione dei dati, di esattezza, di integrità e riservatezza. Perché tali princìpi siano rispettati, i trattamenti devono trovare fondamento in una base giuridica tra quelle agli articoli 6 paragrafo 1 o 9 paragrafo 2 GDPR (cfr. Finalità e basi giuridiche dei trattamenti) e utilizzare solo i dati necessari, pertinenti e non eccedenti le finalità da raggiungere. Occorre inoltre minimizzare i dati trattati, i trattamenti ad essi applicati, i tempi di utilizzo e di conservazione nonché procedere alla cancellazione o anonimizzazione dei dati, una volta raggiunte le finalità e cessata ogni esigenza di eventuali ulteriori utilizzi dei dati, ad esempio per obblighi legali.

I trattamenti devono avvenire nel rispetto dei diritti degli interessati (articoli 15-22 GDPR), primo tra tutti quello di fornire loro l'informativa redatta ai sensi degli articoli 13 e 14 GDPR.

Per "informativa" si intendono le informazioni che, ai sensi degli articoli 13 o 14 del GDPR l'Università deve fornire all'Interessato per comunicargli come i suoi dati verranno trattati, per quale finalità, con quali mezzi, per quanto tempo, da chi e come l'Interessato potrà far valere i suoi diritti. Deve essere sempre fornita prima dell'inizio dell'attività di trattamento, anche nel caso di raccolta on line dei dati.

Per "consenso" si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'Interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva indubitabile, a che i dati personali che lo riguardano siano oggetto di trattamento. Deve essere chiesto dopo aver descritto con l'informativa a cosa acconsente ("consenso informato"). Il consenso deve essere revocabile con la stessa facilità con cui è stato prestato, secondo modalità indicate nell'informativa, e non può essere costituito da campi preselezionati o pre-spuntati.

Il consenso può essere prestato solo dall'interessato, a meno che non si tratti di un soggetto minore di età, nel quale caso va acquisito il consenso dei genitori o di chi esercita la patria potestà sul minore. E' necessario che il consenso sia rilasciato dall'interessato in maniera tale che sia dimostrabile che sia stato acquisito (ad es. con la sua sottoscrizione o tramite registrazione, come avviene con i call center).

E' la figura giuridica o fisica che decide le finalità del trattamento e le modalità con cui eseguirlo. Per i trattamenti di dati personali effettuati nell'ambito di attività svolte nel contesto istituzionale universitario, quindi con finalità e modalità definite per esempio dal docente, (nell'ambito di una tesi di laurea di cui il docente sia il relatore), è l'Università ad essere il titolare dell'attività. Il titolare deve autorizzare le persone che operano sotto la sua diretta autorità al trattamento dei dati personali, istruendoli sulle corrette modalità di trattamento.

Il Responsabile del trattamento dati è un soggetto esterno che esegue, in base ad un contratto/convenzione o altro atto giuridico, dei trattamenti di dati personali per conto del Titolare e ne risponde in solido in caso di inadempienze. Ad esso spettano tutti i compiti del Titolare all'interno del proprio organismo (valutazione d'impatto, registro dei trattamenti, eventuale nomina del proprio DPO ecc.). Il Responsabile esterno, così individuato, non può a sua volta nominare un altro Responsabile (sub-Responsabile) se non dietro autorizzazione scritta del Titolare: la catena delle responsabilità deve essere nota al Titolare. Inoltre, nei contratti con sub-responsabili devono essere riportati gli stessi obblighi in materia di protezione dei dati personali previsti dal contratto tra Responsabile e Titolare.

Ad esempio, ogniqualvolta utilizziamo dei servizi in cloud per attività universitarie che trattano dati personali, dobbiamo allegare al contratto di utilizzo/fornitura l'atto di nomina a Responsabile del trattamento del fornitore del servizio (o verificare che vi sia già incluso).

  1. La normativa è a tutela dei dati delle persone fisiche, non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto, se minimizzati rispetto alle finalità da perseguire.
    Se il trattamento riguarda invece dati personali e trattamenti diversi da quelli relativi al loro potere di rappresentanza, per esempio vengono intervistati in relazione a loro situazioni personali, estranee al contesto aziendale che rappresentano, occorre attenersi alla normativa in materia, quindi ad esempio fornire loro l'informativa e, nel caso di informazioni di natura particolare, acquisire il loro consenso per l'utilizzo dei loro dati personali, come per qualunque altro soggetto privato.
  2. Se la raccolta dei dati avviene in forma anonima, senza richiesta di dati personali anche indirettamente identificativi della persona cui si riferiscono, il trattamento esula dal campo della normativa in materia di protezione dei dati personali. Attenzione però che i dati non devono consentire l'identificabilità dei soggetti cui si riferiscono, sia in relazione alla popolazione di riferimento sia correlandoli ad altre banche dati o altri archivi, anche detenuti da altri soggetti (p.e. elenchi anagrafici scolastici per ricerche effettuate nell'ambito della scuola).
  3. Se raccolgo o comunque tratto i dati a soli fini personali o domestici: posso ad esempio scattare delle foto durante la seduta della tesi di laurea di un amico, per un uso privato, senza dover chiedere alcun consenso all'utilizzo dei dati personali acquisiti tramite le immagini. Se invece volessi pubblicare la foto on line o diffonderla su siti social, in quanto "diffusione" che rientra nel campo di azione della normativa privacy, per poter procedere in maniera lecita dovrò prima chiedere il consenso alla pubblicazione a tutti i soggetti riconoscibili nella fotografia.

E' possibile trattare dati personali identificativi solo ed esclusivamente se necessario al raggiungimento degli scopi dell'attività di ricerca condotta per fini istituzionali, oppure assegnata dal docente allo studente.

E' obbligatorio trattare i dati esclusivamente in forma anonima ed eventualmente aggregata, qualora sia possibile raggiungere gli obiettivi in tal modo e, in tal caso, devono essere adottati tutti gli accorgimenti possibili per non consentire la re-identificabilità degli interessati. Occorre considerare anche la possibile re-identificazione che potrebbe avvenire mediante riutilizzi successivi dei dati e informazioni per altre finalità di ricerca, oppure mediante incroci dei dati con altre banche dati o informazioni di contesto (tipo ambienti di lavoro o piccole realtà territoriali, relazioni familiari con persone conosciute, ruoli ricoperti in situazioni specifiche o competizioni agonistiche,…).

Se non posso trattare dati anonimi per raggiungere lo scopo prefissato, devo applicare la normativa in materia di protezione dei dati personali, rispettando gli adempimenti da essa richiesti.

Anche nel caso di attività di raccolta di dati personali, non anonimi, o consultazione di banche di dati personali non pubbliche, affidate agli studenti, occorre rispettare gli adempimenti richiesti dalla norma per i trattamenti di dati personali.

Il trattamento dei dati personali di persone decedute è possibile a fini di ricerca se non vietato espressamente da chi ha un interesse proprio o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione (art. 2 terdecies del D.Lgs. n. 196/2003).

Nel caso della Ricerca scientifica, è utile esaminare tre principali aspetti: garantire il rispetto del principio della minimizzazione dei dati (trattando ove possibile dati anonimi e raccogliendo le sole informazioni strettamente necessarie per il perseguimento delle finalità di ricerca); informare gli interessati sull'uso dei propri dati personali nell'ambito del progetto di ricerca, fornendo tutte le informazioni previste dall'articolo 13 del GDPR ed acquisendo eventualmente il consenso, libero e revocabile; predisporre adeguate misure tecniche e organizzative per garantire la protezione dei dati, a seguito di un'accurata analisi dei rischi.

Per facilitare queste attività, in Area riservata, nella sezione "Documentazione -> Protezione dati personali -> Ricerca scientifica" sono disponibili per docenti e ricercatori alcune guide operative sui trattamenti per la Ricerca e dei modelli della documentazione necessaria.

Il principio di minimizzazione richiede di trattare i soli dati personali essenziali per le finalità perseguite e non eccedenti le stesse. Non possono essere trattati dati o informazioni che non siano pertinenti e necessari, ad esempio dati che "potrebbero essere utili", in alcuna raccolta di dati. Nel caso di dati facoltativi, occorrerà specificare quale parte della finalità non potrà essere raggiunta senza quei dati (ad esempio un dato di contatto, senza il quale non sarà possibile avere comunicazioni circa l'esito della ricerca o variazioni nell'agenda di un convegno).

Ciò premesso, secondo la normativa e il modello organizzativo di Ateneo:

  1. Il designato della struttura, sotto la cui responsabilità ricade il trattamento (cfr. DR 2128/2020), deve valutare la necessità o meno di trattare dati personali identificativi e provvedere ad autorizzare ai trattamenti dei dati o informazioni personali coloro che tratteranno tali informazioni personali. Nel caso di progetti di ricerca o attività di raccolta dati assegnati allo studente, sarà il docente relatore, il soggetto responsabile dell'attività da svolgere, o del progetto di ricerca, a provvedere ad autorizzare ai trattamenti dei dati o informazioni personali lo studente, i collaboratori o i componenti del gruppo di ricerca, prima di iniziare l'attività di trattamento, su delega del designato della struttura se necessaria.
  2. Per la valutazione dei trattamenti da svolgere e dei rischi ad essi connessi nei progetti di ricerca, o nelle raccolte di dati assegnate a studenti, deve essere compilata la Scheda del trattamento, disponibile nell'Area riservata in due versioni:
    • la Scheda di valutazione del progetto di ricerca, per progetti svolti direttamente da docenti, ricercatori o personale strutturato dell'Ateneo, da compilare a cura del responsabile del progetto (e da conservare per 5 anni dal termine del progetto);
    • la Scheda per il trattamento di dati personali, per attività di raccolta o consultazioni di banche dati, non pubbliche, affidate a studenti, da compilare con il docente che segue l'attività.
    Esse costituiscono una guida alla comprensione di tutti gli adempimenti necessari affinché l'attività risulti effettuata in conformità alla normativa privacy.
  3. E' necessario fornire ai partecipanti l'informativa di cui agli articoli 13 o 14 del GDPR, predisposta sulla base dell'apposito modello "Informativa sul trattamento dei dati personali comuni e particolari". Il modello deve essere adattato alla specifica attività, attingendo alcuni contenuti dalle sezioni della Scheda, di cui al precedente punto B, come indicato all'interno dello stesso modello. In altri casi di raccolta dati, p.e. per iscrizione ad un convegno, è possibile fornire un'informativa semplificata comunque contenente tutte le informazioni obbligatorie (cfr. https://www.unipg.it/protezione-dati-personali/informative). Nei siti on line l'informativa può essere presente tramite un link, avendo cura di accertarsi che ne sia stata presa visione (p.e. con casella di spunta).
  4. Nei casi dovuti (cfr. FAQ successive), bisogna acquisire lo specifico consenso dell'interessato al trattamento dei suoi dati personali. In tal caso va utilizzata anche la parte finale del modello dell'Informativa proposto.
  5. Nello svolgere le interviste, proporre questionari o altre attività di raccolta con contatto diretto, occorre rendere nota all'interessato la propria identità, la propria funzione e le finalità della raccolta, ad esempio mediante esposizione di un cartellino sul proprio abbigliamento o altra modalità.
  6. I dati raccolti dovranno essere sempre trattati applicando opportune misure di sicurezza finalizzate ad evitare che i dati possano essere utilizzati per altre finalità o conosciuti da altri; tra di esse la pseudonimizzazione o cifratura dei dati, al fine di scongiurare o ridurre il rischio derivante da accessi abusivi alle informazioni trattate, l'utilizzo di password robuste a protezione di sistemi e dispositivi.

Nel caso di dati particolari, prima richiamati e anche evincibili semplicemente dal contesto dell'elaborato (ad esempio informazioni sanitarie o relative a dipendenze, anche desumibili dalle abitudini alimentari, trattamenti biometrici quali algoritmi di riconoscimento facciale), è sempre obbligatorio richiedere il consenso al trattamento. Negli altri casi (trattamento di soli dati comuni) dipende dalla tipologia e portata dei dati richiesti e dal contesto dell'attività. Per approfondimenti consultare il sito web.

Il consenso deve essere richiesto per ogni specifica finalità per cui si intendono trattare i dati personali raccolti. Se, per esempio, i dati personali saranno divulgati in forma cartacea o elettronica, a qualunque titolo, va preventivamente richiesto ed ottenuto il consenso dell'interessato anche a questo particolare scopo.

Il modello di acquisizione del consenso dell'interessato è contenuto all'interno e in calce del modello di informativa di cui alla FAQ sugli adempimenti.

Con riguardo solo alle informazioni da fornire agli interessati, nell'ambito di attività di natura didattica e/o di ricerca universitaria è possibile che un dato raccolto da altri enti sia poi utilizzato, anche se in forma pseudonimizzata, nell'ambito di attività proprie dell'Ateneo. L'articolo 14 del GDPR esonera l'Università dal rendere un'informativa specifica agli interessati (i cui dati potrebbero essere stati raccolti, ad esempio, da una Scuola o Struttura Sanitaria per finalità diverse da quelle di ricerca), a patto che risulti impossibile o comporti uno sforzo sproporzionato contattare l'interessato e, comunque, a condizione che esistano adeguate misure di salvaguardia. E' importante, tuttavia, che in tal caso le informazioni (di cui all' articolo 13 del GDPR) siano comunque rese pubbliche, anche mediante pubblicazione sui siti istituzionali o, nel caso di provenienza scolastica, con comunicazione alla scuola.

Prima di procedere al trattamento dei dati occorre individuare quale strumento utilizzare tra quelli che, sia dal punto di vista dei dati che raccoglie sia delle modalità con cui li tratta, consente di rispettare i principi di protezione dei dati in tutte le fasi del trattamento (minimizzazione dei dati, dei trattamenti e dei tempi di conservazione, uso non eccedente le finalità della ricerca, anonimizzazione o pseudonimizzazione dei dati, gestione delle autorizzazioni all'accesso ai dati nel caso di sistemi informatici, ..…). In particolare, i dati personali devono essere conservati in modo da evitarne la dispersione, la sottrazione, la protezione da accessi abusivi, e ogni altro uso non conforme alla legge, alle finalità perseguite e alle istruzioni ricevute al momento dell'autorizzazione.

Qualora si ricorresse a piattaforme on line o strumenti di fornitori di servizi telematici, occorre verificare che siano stabiliti in Unione Europea, diversamente l'attività si configurerà come trasferimento extra UE di dati personali e quindi occorrerà assicurare il rispetto di specifiche condizioni di garanzia al trasferimento dei dati personali previsti dal Regolamento UE 679/2016.

Ulteriori misure adottabili sono riportate agli artt. 20-24 del "Regolamento sul trattamento dei dati personali" e, per la ricerca, nelle "Indicazioni su Misure di sicurezza nei progetti di ricerca" disponibile in Area riservata, sezione "Documentazione -> Protezione dati personali -> Ricerca scientifica".

E' molto probabile che troverai una risposta nel "Regolamento sul trattamento dei dati personali": in esso sono riportate tutte le definizioni utili e una maggiore descrizione sia della normativa che dei ruoli e responsabilità derivanti dal trattamento dei dati personali in ambito universitario.

Se così non fosse, inoltra una e-mail a rpd@unipg.it descrivendo con chiarezza il dubbio o quesito. Allo stesso indirizzo puoi segnalare eventuali violazioni osservate nel trattamento dei dati personali nell'ambito universitario.