INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

PER GLI UTENTI DEL SITO

Informativa ai sensi dell’art 13 del Regolamento UE 2016/679 (Regolamento Europeo in materia di protezione dei dati personali)

L’Agenzia per il Diritto allo Studio Universitario dell’Umbria (di seguito ADISU), nel rispetto dei principi sanciti dal Reg. UE 679/2016 (General Data Protection Regulation – di seguito GDPR) e dalle altre normative vigenti italiane, offre agli utenti la possibilità di interagire con il proprio portale per consultare o utilizzare i relativi servizi accessibili attraverso l’indirizzo www.adisu.umbria.it corrispondente alla home-page del sito ufficiale dell’ ADiSU.

La presente pagina, oltre a descrivere le modalità di gestione del sito, ha lo scopo di informare gli utenti che si collegano al portale ADISU anche riguardo al trattamento dei dati personali e alle relative garanzie riconosciute dalla legge

Questa informativa è resa esclusivamente per il sito di ADISU non anche per altri siti web che possono essere consultati dall’utente tramite link.

Per ogni altra informazione sulla politica adottata dall’ADiSU nella gestione del sito web, si rinvia all'Informativa generale sulla protezione dei dati di seguito riportata.

Soggetti del trattamento

Il Titolare del trattamento è l ’Agenzia per il Diritto allo Studio Universitario dell’Umbria (ADISU) con sede in Perugia via Benedetta, 14, - telefono 0754693000 - e-mail: adisu@adisu.umbria.it – PEC: adisu@pec.it, in persona del legale rappresentante pro-tempore;

Il Responsabile della protezione dei dati Personali nominato da ADiSU è l’Avvocato Emanuele Florindi che potrà essere contattato all’indirizzo e-mail dpo@adisu.umbria.it;

Gli Autorizzati al trattamento dei dati personali sono il personale ADiSU, nominato dal Titolare, che tratta i dati personali in ragione delle mansioni e/o degli incarichi assegnati e per quanto di sua competenza.

L’elenco aggiornato dei responsabili e degli autorizzati al trattamento è conservato presso la sede del Titolare del trattamento.

Finalità, base giuridica del trattamento cui sono destinati i dati

ADiSU tratta i dati degli utenti in relazione ai servizi offerti attraverso il sito, esclusivamente per le finalità che rientrano nei compiti istituzionali dell'Amministrazione, al fine di garantire e promuovere il Diritto allo Studio Universitario, nell'ambito delle competenze affidate all’ADiSU dalla Regione Umbria (L.R. 6/2006), fornendo assistenza e sostegno agli studenti universitari mediante l'erogazione di benefici e servizi, orientamento allo studio, attività di tutoraggio e promozione di attività culturali e mobilità internazionali degli studenti. Il presupposto per il trattamento dei dati per tali finalità è l'esecuzione di un compito di interesse pubblico.

Il conferimento dei dati per queste finalità è necessario per poter accedere ai servizi e benefici erogati da ADiSU cui, altrimenti, non è possibile dare corso.

ADiSU potrà, inoltre, trattare i dati forniti dagli utenti per adempiere un obbligo legale e/o per difendere un proprio diritto in sede giudiziaria e per ottemperare ad ordini provenienti da autorità pubbliche. I dati personali forniti potranno, inoltre, essere trattati per l’accertamento di responsabilità in caso di reati informatici ai danni del portale o dei suoi utilizzatori.

Il portale è necessario per adempiere agli obblighi di legge relativi alle informazioni sulle attività svolte dall’amministrazione e per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri cui è investita l’ADiSU.

 Luogo e modalità del trattamento

Il trattamento dei dati connessi ai servizi web del sito si svolge prevalentemente presso ADISU e con la collaborazione di altri soggetti appositamente designati come Responsabili del trattamento. Il trattamento dei dati avviene per il tempo strettamente necessario a conseguire le finalità, anche mediante l’utilizzo di strumenti automatizzati osservando le misure di sicurezza volte a prevenire la perdita dei dati, gli usi illeciti o non corretti e gli accessi non autorizzati. L’ADiSU gestirà il trattamento dei dati personali forniti dall’utente per mezzo delle operazioni indicate all’art. 4, punto 2 del GDPR e precisamente: raccolta, registrazione, organizzazione, conservazione consultazione, la modifica, l’estrazione, la consultazione, l’uso, la comunicazione, la messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. I dati personali potranno essere sottoposti a trattamento sia cartaceo che elettronico automatizzato.

I dati sono trattati esclusivamente da personale, prevalentemente tecnico, incaricato del trattamento o da eventuali incaricati per occasionali operazioni di manutenzione, secondo i principi di correttezza, liceità, trasparenza, pertinenza e non eccedenza rispetto alle finalità di raccolta e di successivo trattamento.

La gestione e la conservazione dei dati personali raccolti da ADiSU avviene su server ubicati presso il centro servizi regionali che, per finalità di gestione tecnica del sistema informatizzato, potrebbe venire a conoscenza dei dati personali degli interessati. I soggetti che gestiscono tali servizi sono stati debitamente nominati come Responsabili del trattamento a norma dell’art. 28 del GDPR.

I dati personali forniti dagli utenti che si registrano o utilizzano i servizi del sito dell’ADISU sono a titolo esplicativo ADICOD (codice identificativo numerico studente), dati anagrafici e di contatto (ad esempio nome, cognome, data e luogo di nascita, indirizzo, codice fiscale, cittadinanza, numero di telefono, numero di cellulare, indirizzo e-mail), dati relativi ai recapiti (ad esempio informazioni relative alla residenza e/o domicilio), dati del documento di riconoscimento, informazioni relative al bando di concorso cui intende partecipare o alla tipologia di beneficio/servizio richiesto, dati relativi all'iscrizione universitaria e al percorso accademico, (ad esempio Ateneo/Istituto universitario, corso di laurea, numero di matricola etc…), informazioni sul merito (come ad esempio numero di crediti maturati), informazioni sul reddito e patrimonio (Attestazione ISEE per le prestazioni per il Diritto allo Studio Universitario e redditi esteri), dati relativi alla condizione di studente (fuori sede, pendolare, in sede), informazioni sulle modalità con cui utilizza il Sito, vengono aperte e inoltrate le comunicazioni di ADiSU, incluse le informazioni raccolte tramite cookie. I dati personali forniti dagli utenti possono essere utilizzati per altre operazioni di trattamento in termini compatibili con gli scopi della raccolta come ad esempio l’invio, mediante posta elettronica, di comunicazioni istituzionali e di pubblica utilità.

Per l’erogazione di alcuni servizi ADiSU potrebbe raccogliere anche alcuni dati appartenenti alle categorie particolari di dati personali di cui all'art. 9 del GDPR come, a titolo esplicativo, quelli di disabilità e del relativo grado e di salute. Tali dati potranno essere trattati esclusivamente nei limiti di quanto previsto dal medesimo articolo 9.

I dati personali degli utenti che chiedono documenti o materiale informativo (newsletter, risposte a quesiti, atti e provvedimenti, ecc.) sono utilizzati solo per eseguire il servizio o la prestazione richiesta e sono comunicati a terzi nel solo caso in cui sia a tal fine necessario (servizi di spedizione e simili).

I dati relativi al servizio on-line non sono oggetto di comunicazione o diffusione, salvo che disposizioni di legge o di regolamento dispongano diversamente.

Se i dati personali vengono forniti per conto di qualcun altro è necessario che gli interessati abbiamo preso visione della presente informativa.

Periodo  di conservazione dei dati

 I dati di natura personale forniti sono conservati solo per il conseguimento delle finalità per le quali sono stati raccolti o per qualsiasi altra legittima finalità collegata. I dati sono custoditi in una forma che consenta l’identificazione degli interessati e seguono i tempi di durata dei procedimenti amministrativi ai quali afferiscono. Nello specifico si rimanda al “massimario di selezione e scarto” allegato al Manuale di gestione del protocollo informatico, pubblicato nel sito istituzionale dell’ADiSU.

L’accesso ai dati è limitato solamente a coloro che necessitano di utilizzarli per finalità rilevanti. I dati, qualora non siano più necessari o per i quali non vi sia più presupposto giuridico per la relativa conservazione, vengono anonimizzati o distrutti in modo sicuro.

 Ambito di comunicazione e diffusione dei dati

 Per poter svolgere correttamente tutte le attività di trattamento necessarie a perseguire le finalità descritte nella presente informativa, i dati personali forniti dagli utenti potranno essere comunicati a:

·         Soggetti terzi che svolgono parte delle attività di trattamento o attività connesse e strumentali alle stesse per conto di ADiSU;

·         Dipendenti, collaboratori di ADiSU autorizzati dal Titolare, a cui sono state affidate specifiche o più attività di trattamento dei dati personali e a cui sono state impartite specifiche istruzioni in tema di sicurezza e corretto uso dei dati stessi;

·         Enti pubblici o all’Autorità giudiziaria ove richiesto per legge o per prevenire o reprimere la commissione di un reato;

·         Ad eventuali soggetti controinteressati che abbiano esercitato il diritto di accesso ex legge 241/90 o il diritto di accesso civico generalizzato ex DLGS 33/2013.

  I soggetti appartenenti alle categorie suddette svolgono la funzione di Responsabile del trattamento dei dati, oppure operano in totale autonomia come distinti Titolari del trattamento oppure svolgono la funzione di Contitolari. L’elenco di eventuali responsabili è costantemente aggiornato e disponibile presso la sede del Titolare.

Un elenco indicativo dei soggetti a cui possono essere comunicati i dati personali degli utenti è riportato nell’informativa generale sul trattamento dei dati.

Trasferimento dei dati

I dati forniti non sono trasferiti all’estero o all’esterno dell’Unione Europea.

Qualora per questioni di qualsiasi natura si renda necessario il trasferimento dei dati al di fuori dell’Unione Europea i soggetti che tratteranno tali dati saranno nominati Responsabile del trattamento ai sensi e per gli effetti dell’art. 25 del GDPR. L’eventuale trasferimento di dati personali a tali soggetti avverrà limitatamente allo svolgimento di specifiche attività di trattamento. Saranno, tuttavia adottate le garanzie necessarie per tutelare e proteggere i dati personali. In particolare l’eventuale trasferimento avverrà dopo la valutazione:

· delle decisioni di adeguatezza dei paesi terzi destinatari espresse dalla Commissione Europea;

· dell’esistenza di garanzie adeguate espresse dal soggetto terzo destinatario ai sensi dell’art. 46 del GDPR.

E comunque sarà regolato in conformità a quanto previsto dal Capo V del GDPR e l’interessato sarà messo a conoscenza delle specifiche garanzie adottate.

Diritti degli interessati

L’utente ha il diritto, oltre che di avanzare un reclamo al Garante per la protezione dei dati personali, di esercitare nei confronti del Titolare del trattamento (ADiSU): 

Diritto di accesso (art. 15 GDPR): diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle informazioni riguardanti il trattamento;

Diritto di rettifica (art. art. 16 GDPR): diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa;

Diritto alla cancellazione (diritto all’oblio) (art. 17 GDPR): diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali.

Diritto di limitazione del trattamento (art. 18 GDPR): diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

a) l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l'esattezza di tali dati personali;

b) il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo;

c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;

d) l'interessato si è opposto al trattamento ai sensi dell'articolo 21, paragrafo 1, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.

Diritto alla portabilità dei dati (art.20 GDPR): diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti. Nell'esercitare i propri diritti relativamente alla portabilità dei dati l'interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all'altro, se tecnicamente fattibile. Nell’ambito dell’esercizio di tale diritto il Titolare del trattamento fornirà all’interessato, in un formato strutturato, di uso comune e leggibile, da dispositivo automatico, i dati personali che lo riguardano, fatto salvo i paragrafi 3 e 4 dell’art. 20 del GDPR.

Diritto di opposizione (art. 21 GDPR): diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell'articolo 6, paragrafo 1, lettere e) o f) del GDPR, compresa la profilazione sulla base di tali disposizioni.

Diritto di non essere sottoposto a processo decisionale automatizzato, compresa la profilazione (art.22 GDPR): diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

L’interessato potrà far valere tali diritti rivolgendo apposita richiesta al Titolare del trattamento oppure al Responsabile del trattamento o al Responsabile della protezione.

L'esercizio di tali diritti è sottoposto ad alcune eccezioni finalizzate alla salvaguardia dell'interesse pubblico (ad esempio la prevenzione o l'identificazione di crimini) e degli interessi di ADiSU. Nel caso in cui l’interessato volesse esercitare uno qualsiasi dei diritti sopra riportati, sarà onere dell’ADiSU verificare che lo stesso soggetto richiedente sia legittimato ad esercitarli e verrà dato riscontro, di regola, entro un mese.

Tipologia e natura dei dati trattati

Dati di navigazione. I sistemi informatici e le procedure software preposte al funzionamento del sito acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso di protocolli di comunicazione di Internet. Si tratta di informazioni che non sono raccolte per essere associate a soggetti identificati, tuttavia, per loro stessa natura, potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti. In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resourse Identifier) delle risorse richieste, l'orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato di risposta data dal server (buon fine, errore etc.) ed altri parametri relativi al sistema operativo e all'ambiente informatico dell'utente. Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso del sito e per controllarne il corretto funzionamento e vengono cancellati immediatamente dopo l'elaborazione. I dati potrebbero essere utilizzati per l'accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito, salvo questa eventualità, i dati stessi sono conservati per i tempi definiti dalla normativa legale di riferimento per il tempo strettamente necessario a fornire all'Utente il servizio richiesto a garantire la trasmissione della comunicazione.

Dati forniti volontariamente dall’utente. L’invio facoltativo, esplicito e volontario di posta elettronica agli indirizzi indicati nei differenti canali di accesso al sito e la compilazione dei format (maschere) comportano la successiva acquisizione dell’indirizzo del mittente, necessario per rispondere alle richieste, nonché degli eventuali altri dati personali inseriti nella missiva. In tal caso i dati acquisiti saranno trattati esclusivamente per rispondere alle richieste degli utenti, per esempio, sull’utilizzo di un servizio, su problemi di connessione al sito, su problemi di navigazione al sito, su problemi di accesso ai servizi del sito o su problemi di accesso al proprio account. Al fine di contestualizzare meglio la domanda gli utenti potranno essere contattati via e-mail, al telefono o mediante altri sistemi di comunicazione da un operatore incaricato dall'Amministrazione. In caso di dati trattati per lo svolgimento di attività istituzionali, si rimanda all’informativa generale di seguito riportata. Ulteriori, specifiche informative di sintesi verranno riportate o visualizzate nelle pagine del sito predisposte per particolari servizi a richiesta.

Obbligo o facoltà di conferire i dati. A parte quanto specificato per i dati di navigazione, l’utente è libero di fornire i dati personali riportati nei moduli di richiesta o comunque indicati in contatti con l’ ADISU per l’invio di comunicazioni o di eventuale documentazione. Il mancato conferimento di alcuni dati (es. dati anagrafici, indirizzo e-mail, ecc.) necessari a rendere il servizio può comportare l’impossibilità di ottenere quanto richiesto.

Cookie

Il Sito dell’ADiSU utilizza i cookie che sono delle brevi stringhe di testo che vengono inviate dal server del sito al browser dell’utente/visitatore del sito e vengono salvati automaticamente sul pc dell’utente/visitatore. La loro finalità principale è quella di rendere più fruibile la navigazione del sito e quindi si consiglia di configurare il proprio browser in modo da accettarli. Quasi tutti i browser sono impostati per accettare i cookie, tuttavia l’utente/visitatore può autonomamente modificare la configurazione del proprio browser e bloccare i cookie (opt-out). È necessario sapere che in caso di blocco dei cookie la fruizione del sito ADiSU e l’utilizzo di alcuni servizi può risultare molto limitata o impossibile, in particolare di tutti i servizi ai quali si accede attraverso una registrazione.
I cookie poi si distinguono in “di sessione” e “persistenti”, i primi una volta scaricati vengono poi eliminati alla chiusura del browser, i secondi invece vengono memorizzati sul disco rigido dell’utente/visitatore fino alla loro scadenza. I cookie persistenti vengono utilizzati principalmente per facilitare la navigazione del sito, per capire quali sezioni del sito hanno generato un certo numero di pagine e utenti e anche per l’erogazione dei formati pubblicitari. Questi cookie possono sempre essere disattivati (opt-out) anche quando sono anonimi, cioè non raccolgono informazioni personali che possono portare all’identificazione dell’utente (p.es. l’indirizzo IP). A questo proposito si sottolinea che i dati di browser eventualmente identificati (personally identifiable information: PII) tramite un cookie non possono far risalire all’utente e non vengono collezionati. I cookie di sessione invece vengono principalmente utilizzati in fase di autenticazione, autorizzazione e navigazione nei servizi ai quali si accede tramite una registrazione.

INFORMATIVA SULL’USO DEI COOKIE http://www.adisu.umbria.it/note-legali

Ulteriori informazioni sui cookie sono disponibili nel sito del Garante per la protezione dei dati personali al seguente link: https://www.garanteprivacy.it/cookie

 Terze parti

Qualora l’accesso al sito avvenga tramite l’utilizzo di un profilo social (facebook o Instagram), laddove previsto, la raccolta dei dati personali sarà effettuata anche dal Titolare del trattamento presso terzi ossia presso il gestore del social che ha utilizzato per accedere al sito ADiSU. IN tal caso l’utente potrà prendere visione dell’informativa sul trattamento dati presente all’interno della sezione Privacy di ciascuno dei siti.