Informativa per i trattamenti di informazioni non primarie nell’ambito dei servizi informatici

Ai sensi del Regolamento Generale per la Protezione dei Dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679, in seguito “GDPR”)

  

Titolare

Il Titolare del trattamento è l’Università degli Studi dell’Insubria, con sede legale in Varese (VA) Via Ravasi 2, nella persona del Magnifico Rettore. I dati di contatto del Titolare sono PEC: [email protected]

 

Gli Interessati possono rivolgersi al Responsabile della protezione dei dati per l’esercizio dei diritti previsti dal GDPR (artt. da 12 a 21) utilizzando il seguente indirizzo e-mail: [email protected]

 

Finalità dei trattamenti e base giuridica

La presente informativa riguarda i trattamenti di dati personali effettuati nell’ambito dell’erogazione dei servizi offerti agli Utenti attraverso i sistemi informatici dell’Ateneo. Nello specifico si fa qui riferimento ad informazioni personali non primarie, ovvero non strettamente connesse, ad esempio, ai trattamenti a supporto dei processi amministrativi. 

Tali dati personali, raccolti dall’Ateneo in qualità di Titolare del trattamento (di seguito “Ateneo” o “Titolare”), saranno trattati per la corretta e completa esecuzione dei servizi (di seguito “Servizi”) offerti agli Utenti, compresi:

  • i sistemi di identificazione degli Utenti (es. credenziali, badge)
  • i servizi online messi a disposizione degli utenti, eventualmente forniti da terze parti
  • le reti cablate o Wi-Fi alle quali gli utenti accedono, eventualmente attraverso dispositivi personali (es. computer portatili, tablet, smartphone)
  • le postazioni informatiche fisse e mobili in dotazione al personale amministrativo/docente, o fruibili da studenti e da eventuali visitatori
  • i sistemi di controllo accessi ad aule, laboratori e spazi dell’Ateneo
  • i sistemi di videosorveglianza
  • i sistemi di telefonia fissa e mobile

I dati dell’Utente, forniti volontariamente o comunque raccolti nella fruizione dei servizi saranno trattati dal Titolare per le seguenti finalità:

  1. per finalità istituzionali e amministrative;
  2. per adempiere ad ogni obbligo di legge connesso al rapporto dell’Utente con l’Ateneo;
  3. finalità inerenti l’erogazione dei Servizi richiesti (es: registrazione al portale dell’Ateneo, accesso all’area riservata, utilizzo delle reti Wi-Fi dell’Ateneo, ecc.)
  4. finalità di ricerche/analisi statistiche su dati aggregati o anonimi, senza dunque possibilità di identificare l’Utente e volti ad esempio a valutare e monitorare il funzionamento dei Servizi; 
  5. per adempiere a specifici obblighi derivanti dalla legge o da regolamenti;
  6. per garantire la protezione dei dati e/o dei sistemi informatici o per supportare attività di setup e troubleshooting dei servizi o per vincoli di natura tecnico/sistemistica
  7. per far valere o difendere diritti in giudizio o in fasi ad esso propedeutiche in caso di abusi e/o attività illecite operate dagli interessati o da terzi nell’ambito delle attività di cui alle finalità 1), 2), 3), 4), 5), 6).

 

La base giuridica del trattamento, ai sensi dell’art. 6 del Regolamento generale sulla protezione dei dati “Regolamento UE 679/2016”, comma 1 lettera c) (trattamenti per obblighi di legge) e lettera b) (trattamenti necessari in esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso).

Destinatari dei dati personali ed eventuali trasferimenti di dati all’estero

I dati trattati per le finalità di cui sopra saranno comunque accessibili ai dipendenti e collaboratori assegnati ai competenti uffici dell’Università degli Studi dell’Insubria autorizzati al trattamento ex art. 29 GDPR.

I dati trattati saranno pure accessibili a persone fisiche o giuridiche che prestano attività di consulenza o di servizio verso l’Ateneo ai fini dell’erogazione dei servizi offerti attraverso i sistemi informatici.   In questo caso, tali soggetti svolgeranno la funzione di responsabile del trattamento dei dati ai sensi e per gli effetti dell’art. 28 del Regolamento, oppure opereranno in totale autonomia come distinti titolari del trattamento.

La gestione e la conservazione dei dati personali raccolti avviene presso l’Università e/o presso fornitori di servizi che, ai soli fini della prestazione richiesta, potrebbero venire a conoscenza dei dati personali degli interessati nominati quali Responsabili del trattamento a norma dell’art. 28 del GDPR.

 

L’elenco completo ed aggiornato dei Responsabili del trattamento è conoscibile a mera richiesta presso la sede del titolare.

 

I dati personali non saranno oggetto di comunicazione verso terzi, se non nei confronti di:

  • soggetti, enti o Autorità, verso i quali la comunicazione sia obbligatoria in forza di disposizioni di legge o di regolamento.
  • fornitori, limitatamente alle necessità strettamente connesse all’erogazione dei servizi di cui sopra.

 

Tempo di conservazione dei dati personali

I dati raccolti saranno conservati per i tempi stabiliti dalla normativa vigente o dai regolamenti d’Ateneo.

Diritti degli interessati

L’interessato ha diritto a:

  • Chiedere al titolare, ai sensi degli artt. 15, 16, 17, 18, 19 e 21 del Regolamento (UE) 2016/679, l’accesso ai propri dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento. Data la natura dei dati, potrebbero risultare non consentite azioni di rettifica o cancellazione e, in taluni casi, l’opposizione al trattamento potrebbe pregiudicare l’accesso a specifici servizi.
  • Proporre reclamo a un’autorità di controllo. 

Modalità di trattamento

Il trattamento dei dati personali avverrà mediante strumenti manuali, informatici e telematici comunque idonei a garantire la sicurezza e la riservatezza dei dati stessi. 

Sono adottate misure di sicurezza, in conformità alle previsioni dell’art. 32 del GDPR per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati ed in rispondenza con la Circolare AgID n. 2/2017 “Misure minime di sicurezza ICT per le pubbliche amministrazioni”.

Con riferimento a tutti gli utenti, potrebbero essere operate estrazioni ed elaborazioni dei file di log (relativi alle attività compiute attraverso i Servizi) per identificare i responsabili di abusi e/o attività illecite operate dagli interessati o da terzi.

Tipologie di dati trattati

I dati trattati sono riconducibili ai seguenti ambiti:

Dati di navigazione ed utilizzo delle applicazioni e dei servizi

I sistemi informatici dell’Ateneo, le procedure software e gli applicativi che ne supportano il funzionamento e l’erogazione dei servizi acquisiscono, nel corso del loro normale esercizio, alcuni dati personali sull’utilizzo degli applicativi messi a disposizione dall’Ateneo.

Suddetti dati non vengono raccolti per essere posti in relazione con le attività di soggetti identificati, tuttavia per loro stessa natura, attraverso successive elaborazioni ed eventuali integrazioni con dati detenuti da terzi, potrebbero venire correlati agli utenti. 

In questa categoria di dati rientrano ad esempio: la data e l’ora della richiesta, gli l’indirizzi IP del server e del richiedente, il nome del server, il protocollo, la porta ed il metodo (POST/GET) utilizzati per sottoporre la richiesta al server, il browser impiegato, lo username, il servizio acceduto, le risorse richieste e gli eventuali cookie associati, il numero di byte inviati e ricevuti, il codice di errore restituito, il tempo richiesto per l’esecuzione della richiesta. 

Nell’ambito dell’interazione di un utente con servizi web resi disponibili dall’Ateneo in un contesto autenticato, vengono tracciate su log informazioni di base relative all’accesso al singolo servizio (timestamp, username, servizio) ed informazioni di sessione strutturate in conformità al formato W3C standard www.w3.org/TR/WD-logfile.html.

Per la gestione del single sign on ai servizi vengono utilizzati cookie di sessione.

Al fine di supportare elaborazioni aggregate di carattere statistico sull’uso dei servizi, vengono utilizzati cookie anonimi con registrazione limitata alle seguenti informazioni: lingua di visualizzazione, paese e città di provenienza, browser utilizzato, sistema operativo, provider del servizio internet, risoluzione schermo.

Dati di connessione alla rete di Ateneo

A fronte dell’accesso da parte di un utente ai servizi di rete (ad esempio: connessione alla rete dati wired/wireless autenticata, utilizzo di una postazione gestita, assegnazione dinamica di un IP address, accesso da remoto tramite VPN, utilizzo di proxy, ecc.), vengono registrati nei log generati dai sistemi e dagli apparati alcuni dati tecnici specifici relativi al servizio acceduto. Ad esempio: indirizzo IP dell’utente, data e ora di connessione, MAC address e nome del dispositivo dal quale viene effettuato l’accesso, ID utente, tipo di rete utilizzata, ecc.

Si tratta di informazioni che non vengono raccolte per essere poste in relazione con l’attività di soggetti identificati, tuttavia per loro stessa natura, attraverso successive elaborazioni ed eventuali integrazioni con dati detenuti da terzi, potrebbero essere correlate agli utenti a fronte di specifiche richieste o segnalazioni ad esempio da parte dell’autorità giudiziaria.

La presente informativa potrà essere oggetto di successivi aggiornamenti ed integrazioni, si invita pertanto a prenderne periodicamente visione.