FAQ – Protezione dati personali

Il Titolare del trattamento è l’Università Roma Tre, nella persona del Magnifico Rettore Prof. Massimiliano Fiorucci, con sede in via Ostiense n. 133, 00154 – Roma
(indirizzo di posta elettronica: privacy@uniroma3.it e indirizzo PEC: privacy@ateneo.uniroma3.it).

Il Responsabile della protezione dei dati (DPO) è il Dott. Simeone Cimmino, nominato ai sensi dell’art. 37 del Regolamento UE 679/2016
(indirizzo di posta elettronica: rpd@uniroma3.it e indirizzo PEC: rpd@ateneo.uniroma3.it).

FAQ – Protezione dati personali

Il Trattamento dei dati personali

Il “trattamento” dei dati personali indica qualsiasi operazione o insieme di operazioni, compiute  con o senza l’ausilio di processi automatizzati e applicate ai dati personali o insiemi di dati  personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento, la modifica, l’estrazione, la consultazione, l’uso, la  comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a  disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (art. 4, co. 2, GDPR).

Le fonti in materia di protezione dei dati personali

Le principali fonti sono:

  • il Regolamento generale sulla protezione dei dati n. 679/2016 (“GDPR” General Data Protection Regulation) entrato in vigore il 25 maggio 2018. Tale Regolamento, strutturato in 173 “Considerando” e 99 articoli, prevede regole immediatamente e direttamente applicabili per tutti i soggetti coinvolti nella gestione e nella protezione dei dati personali;
  • il d.lgs. n. 196 del 30 giugno 2003 recante il “Codice in materia di protezione dei dati personali” come modificato dal d.lgs. n. 101 del 10 agosto 2018.

Principi applicabili al trattamento di dati personali

I dati degli interessati devono essere trattati applicando i principi previsti dall’art. 5 del GDPR:

  • liceità, correttezza e trasparenza (art. 5, lett. a);
  • limitazione delle finalità (art. 5, lett. b);
  • minimizzazione dei dati (art. 5, lett. c);
  • esattezza (art. 5, lett. d);
  • limitazione della conservazione (art. 5, lett. e);
  • integrità e riservatezza (art. 5, lett. f).

Principi di liceità del trattamento dei dati personali

Il GDPR dispone che un trattamento di dati personali deve trovare fondamento in una base giuridica. In assenza di una base legale il trattamento è illecito.

L’articolo 6 del GDPR elenca le condizioni in base alle quali il trattamento può dirsi lecito:

  • consenso dell’interessato (art. 6, lett. a); 
  • esecuzione di un contratto di cui l’interessato è parte o l’esecuzione di misure precontrattuali adottate su richiesta dello stesso (art. 6, lett. b); 
  • adempimento di un obbligo legale al quale è soggetto il titolare del trattamento (art. 6, lett. c); 
  • salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica (art. 6, lett. d); 
  • esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (art. 6. lett. e); 
  • perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore (art. 6, lett. f). 

Tipologie di dati personali

Per “dato personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può  essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (art. 4, co. 1, GDPR).

Dati personali comuni

Sono dati personali comuni, tra gli altri:

  • dati anagrafici (ad. es. nome, cognome, genere, età, data di nascita);
  • dati di contatto (ad. es. indirizzo, indirizzo e-mail, numero di telefono, Skype Id);
  • documenti di identità e numeri identificativi (ad. es. codice fiscale, numero di targa);
  • CV e relative esperienze professionali e accademiche;
  • le immagini da cui è possibile identificare una persona (ad. es. fotografie, riprese video);
  • i numeri identificativi utilizzati online (indirizzo IP, punti di geo-localizzazione).

Categorie particolari di dati personali

L’espressione “categorie particolari di dati personali” è stata introdotta dal GDPR (art. 9) ed ha sostituito la terminologia di “dato sensibile” contenuta nel Codice della privacy.

In particolare, con tale espressione vengono indicati i dati personali idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose, filosofiche, l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a verificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Dati giudiziari

Si tratta dei dati personali idonei a rivelare:

  • l’iscrizione nel casellario giudiziale (ad esempio: condanna penale, pene accessorie quali interdizione dai pubblici uffici, ecc.);
  • l’iscrizione nell’anagrafe delle sanzioni amministrative dipendenti da reato;
  • la sussistenza di carichi pendenti;
  • la qualità di imputato o di indagato.

Dati relativi alla ricerca scientifica

Le attività di ricerca svolte a Roma Tre presentano una significativa complessità sotto il profilo della disciplina e degli adempimenti in materia di trattamento di dati personali.

In particolare, è utile esaminare tre principali aspetti legati al trattamento dei dati personali con finalità di ricerca:

  • garantire il rispetto del principio della minimizzazione dei dati (non raccogliendo informazioni che non sono necessarie per il perseguimento delle finalità di ricerca);
  • informare gli interessati sull’uso dei propri dati personali nell’ambito del progetto di ricerca, fornendo tutte le informazioni previste dall’art. 13 del GDPR;
  • predisporre adeguate misure tecniche e organizzative per garantire la protezione dei dati, a seguito di un’accurata analisi dei rischi.

Le finalità di trattamento dei dati da parte dell’Ateneo

I dati potranno essere trattati per le seguenti finalità:

  • per rendere informazioni attinenti a servizi, o per comunicazioni istituzionali;
  • per fini di sicurezza e organizzazione interna;
  • a fini di ricerca e statistici (elaborazione sia su base non aggregata che su base anonima ed aggregata);
  • con il consenso dell’interessato, per l’invio all’indirizzo e-mail di pubblicazioni periodiche ossia, per le iniziative a supporto delle attività dell’Università; altre attività editoriali/digitali/cartacee per scopi di comunicazione/promozione dell’Università ecc.;
  • ai fini della gestione delle attività di biblioteca, per consentire l’accesso, tra l’altro, ai servizi e ai materiali in essa contenuti;
  • per esigenze logistiche, con elaborazione di dati di geolocalizzazione.

Il consenso al trattamento dei dati personali

Il consenso è una dichiarazione dell’interessato, con la quale lo stesso manifesta la volontà libera, specifica, informata e inequivocabile rispetto al trattamento dei dati personali che lo riguardano.

La dichiarazione scritta può essere resa anche attraverso mezzi elettronici, ad esempio attraverso la spunta (“flag”) di un’apposita casella in un sito web, oppure tramite qualsiasi altro comportamento che indichi chiaramente che l’interessato accetta il trattamento proposto in tale contesto. Non configura consenso il silenzio, l’inattività o la preselezione di caselle di spunta.

Il consenso deve applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. In quest’ultimo caso, il consenso deve essere prestato per ciascuna finalità. Qualora il titolare del trattamento intenda trattare i dati personali per una finalità diversa da quella per la quale sono stati raccolti, sarà tenuto a fornire all’interessato ulteriori informazioni in merito a tale finalità prima di procedere al trattamento.
Prima di prestare il proprio consenso, l’interessato deve essere informato della possibilità di revocare lo stesso e delle specifiche modalità di esercizio di tale diritto indicate dal titolare.

Il GDPR riconosce all’interessato il diritto di revocare il proprio consenso, in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basato sul consenso precedentemente prestato.

I Soggetti del trattamento

L’interessato
L’interessato è la persona fisica alla quale si riferiscono i dati trattati.
L’interessato è quindi il soggetto “proprietario” dei dati personali e su questi conserva dei diritti nei confronti del Titolare del trattamento: il GDPR, al Capo III, elenca nel dettaglio tali diritti, alcuni dei quali, a seconda della finalità per la quale i dati sono stati raccolti, potrebbero non essere esercitabili dagli interessati.

In tale ambito è possibile individuare le seguenti principali categorie di interessati: studenti, dottorandi, specializzandi, personale tecnico-amministrativo, personale docente, collaboratori; assegnisti, privati cittadini, clienti e fornitori.

Il Capo III del GDPR riconosce all’interessato una serie di diritti che gli garantiscono di esercitare un controllo sull’utilizzo dei suoi dati da parte di altri soggetti. In particolare, il GDPR disciplina:

  • il diritto di accesso (art. 15); 
  • il diritto di rettifica (art. 16); 
  • il diritto alla cancellazione (il c.d. “diritto all’oblio”) (art. 17);
  • il diritto di limitazione del trattamento (art. 18);
  • il diritto alla portabilità dei dati (art. 20);
  • il diritto di opposizione (art. 21);
  • il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona (art. 22).

Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), un (1) mese, estendibile fino a tre (3) mesi in casi di particolare complessità; il Titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.

Titolare del trattamento

Il titolare del trattamento è la persona fisica o giuridica, la pubblica amministrazione o altro organismo che, singolarmente o insieme ad altri (c.d. contitolari), determina le finalità e i mezzi del trattamento di dati personali.

Il Titolare del trattamento di tutti i dati personali in ambito universitario è l’Università Roma Tre, con sede in Via Ostiense, n. 133 – 00146 Roma, in persona del suo Legale Rappresentante, il Magnifico Rettore Prof. Massimiliano Fiorucci.

“Contitolarità” del trattamento

Si parla di contitolarità del trattamento nei casi in cui le decisioni relative alle finalità ed ai mezzi del trattamento vengono assunte da un titolare assieme a un altro o più soggetti. Sussiste, ad esempio, una situazione di contitolarità nel trattamento dei dati personali degli studenti tra due o più Atenei convenzionati per l’attivazione di un Corso di Laurea o di un Dottorato di ricerca interateneo.

Nel caso in cui sussista una situazione di contitolarità, i contitolari sono tenuti a stipulare un accordo al fine di disciplinare i rispettivi ruoli, compiti e responsabilità in ordine all’esercizio dei diritti dell’interessato; le rispettive funzioni relativamente alla comunicazione dell’informativa nonché l’indicazione di un punto di contatto utile agli interessati (c.d. accordo di contitolarità). Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato che, indipendentemente dalle disposizioni ivi contenute, può esercitare i propri diritti nei confronti di e contro ciascun titolare del trattamento.

I soggetti autorizzati al trattamento

I soggetti autorizzati al trattamento sono coloro che effettuano materialmente le operazioni connesse al trattamento dei dati personali (ad es.: raccolta, elaborazione, archiviazione, comunicazione, diffusione, cancellazione dei dati personali). Tali soggetti devono essere adeguatamente istruiti dal titolare o dal responsabile in merito al trattamento dei dati.

Sono soggetti autorizzati dall’Ateneo al trattamento dei dati personali: docenti, ricercatori, collaboratori a qualsiasi titolo, personale tecnico-amministrativo la cui mansione preveda il trattamento di tali dati.

Il responsabile del trattamento

Il responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Il Responsabile del trattamento è designato dal titolare con apposito atto scritto (un contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri) e deve presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a che il trattamento soddisfi i requisiti del GDPR e per la tutela dei diritti dell’interessato.

Anche l’Ateneo può essere designato responsabile del trattamento, in virtù di contratto o altro atto giuridico, ove svolga operazioni di trattamento dei dati personali per conto di altro soggetto (titolare).

Il Sub-Responsabile

Il responsabile può ricorrere ad altro responsabile (c.d. sub-responsabile) esclusivamente con l’autorizzazione scritta preventiva, specifica o generale, del titolare del trattamento. Il sub-responsabile, secondo quanto disposto dal GDPR, è tenuto a rispettare i medesimi obblighi contrattuali che legano il titolare al primo responsabile, prevedendo in particolare garanzie sufficienti e la messa in atto di misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento

Il Responsabile della Protezione dei Dati personali (RPD) o Data Protection Officer (DPO) nell’Università Roma Tre

Il Responsabile della Protezione dei Dati personali – RPD (DPO) è il soggetto, designato dal titolare del trattamento, che svolge funzioni di supporto e di controllo; funzioni consultive, formative e informative relativamente all’applicazione del GDPR.

Il DPO coopera con il Garante e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali. I suoi compiti sono elencati nell’art. 39 del GDPR.

A decorrere dal 1 febbraio 2022 è stato nominato il Dott. Simeone Cimmino, quale Responsabile della Protezione dei Dati personali (RPD) o Data Protection Officer (DPO) per l’Università Roma Tre.

L’informativa privacy

Il GDPR prevede che il Titolare del trattamento, al fine di assicurare la trasparenza e correttezza del trattamento medesimo, debba fornire agli interessati – salvo la legge espressamente non lo richieda o l’interessato sia già in possesso delle informazioni ovvero nei casi limite della forza maggiore e dell’impossibilità di reperire i destinatari se non a costi sproporzionati – le informazioni richieste dalle norme (art. 12 – 13 GDPR).

L’informativa è una comunicazione rivolta all’interessato che ha lo scopo di informare il cittadino, anche prima che diventi interessato (cioè prima che inizi il trattamento), sulle finalità e le modalità dei trattamenti operati dal Titolare del trattamento. Il testo deve essere conciso, trasparente, intelligibile per l’interessato e facilmente accessibile.

In particolare, l’art. 13 del GDPR elenca le informazioni che devono essere fornite qualora i dati personali siano raccolti presso l’interessato, mentre l’art. 14 del GDPR elenca le informazioni che devono essere fornite qualora i dati personali non sia stati ottenuti presso l’interessato.

L’informativa viene solitamente resa per iscritto o utilizzando mezzi informatici e digitali.

Le varie informazioni possono essere anche rese oralmente, ma solo quando l’interessato ne faccia esplicita richiesta.

L’informativa è gratuita e non comporta alcun onere o esborso a carico dell’interessato.

Quanto al momento in cui l’informativa deve essere fornita, occorre distinguere:

  • se i dati siano raccolti presso l’interessato, deve essere resa prima della raccolta dei dati;
  • quando i dati sono ottenuti da un soggetto diverso dall’interessato, l’informativa deve essere fornita a quest’ultimo – sempre se è possibile rintracciarlo e ciò non risulta particolarmente difficile o eccessivo, come potrebbe essere, ad esempio, per una ricerca che coinvolga un numero elevatissimo di persone – entro un termine ragionevole dall’ottenimento dei dati, al più tardi entro un mese o comunque, nel caso in cui i dati personali permettano proprio di prendere contatto con l’interessato, nella prima comunicazione.

Il Registro dei trattamenti

Tra gli adempimenti principali del Titolare e del Responsabile della protezione dati, l’art. 30 del Regolamento UE individua la tenuta del “Registro delle attività di trattamento”. Quest’ultimo è uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione e, pertanto, costituisce uno dei principali elementi di accountability del Titolare.

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del Titolare (art. 30, par. 1 del GDPR) e in quello del Responsabile (art. 30, par. 2 del GDPR). Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Violazione dei dati personali (c.d. data breach)

Per “data breach” sì intende una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (ad esempio, la divulgazione non autorizzata dei dati personali). Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

L’art. 33 del GDPR dispone che la notifica di violazione dei dati personali all’Autorità di controllo competente debba essere effettuata dal Titolare del trattamento senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne ha avuto conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Inoltre, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento, ai sensi dell’art. 34 del Regolamento UE, deve comunicare la violazione all’interessato senza ingiustificato ritardo. In caso di violazione dei dati avvenuta nell’ambito dell’Ateneo, i Dirigenti, i Rappresentanti di Area o di Ufficio, al fine di consentirne la prevista comunicazione all’Autorità di controllo, entro e non oltre 48 ore dall’acquisizione della conoscenza dell’accadimento, devono informare, con urgenza immediata, il Responsabile della protezione dei dati. Anche i responsabili esterni del trattamento devono, in caso di violazione dei dati personali, informare con urgenza immediata, il Responsabile della protezione dei dati.

Le conseguenze di una violazione delle norme in materia di protezione dei dati personali possono essere di diverso tipo:

  • di natura penale: gli illeciti penali, di seguito indicati, sono disciplinati al Capo II del Titolo III, dagli artt. 167 al 172 del Codice privacy (trattamento illecito di dati; comunicazione e diffusione illecita di dati personali; acquisizione fraudolenta di dati personali; false attestazioni al Garante; interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante; inosservanza di provvedimenti del Garante; violazioni in materia di controlli a distanza dei lavoratori) e dal codice penale (interferenze illecite nella vita privata, art. 615 bis c.p.);
  • di natura civile: l’omissione di idonee misure determina un obbligo risarcitorio ai sensi dell’art. 2050 c.c.;
  • di natura amministrativa e pecuniaria (art. 83 GDPR): il Regolamento europeo suddivide le violazioni della privacy in due categorie: 1) di tipo meno grave, prevede un’ammenda fino a 10 milioni di euro, o una sanzione amministrativa fino al 2 % del fatturato mondiale dell’impresa (intesa come gruppo). Rientrano in questa categoria le violazioni relative alle modalità di esecuzione del trattamento dei dati prescritte dal GDPR, ad esempio, la mancanza del registro del trattamento del Titolare o del Responsabile, l’omessa notifica di data breach, ecc. 2) di tipo più grave, prevede una multa fino a 20 milioni di euro, o una sanzione amministrativa fino al 4% del fatturato mondiale dell’impresa (intesa come gruppo). Rientrano in questa categoria le violazioni ai principi generali stabiliti dal GDPR, ad esempio, la mancanza del consenso al trattamento, la violazione dei diritti dell’interessato, ecc. Il GDPR non indica un importo minimo delle sanzioni, ma stabilisce dei criteri per cui la sanzione deve essere effettiva, dissuasiva e proporzionata.
Informazioni di sistema 08 Aprile 2024