Informativa sul trattamento dei dati personali (Studenti)

Art. 13 Regolamento UE 2016/679 - Regolamento generale sulla protezione dei dati

Questa informativa viene resa ai sensi dell'art. 13 del Regolamento UE 2016/679 (Regolamento Generale sulla Protezione dei Dati, in seguito Regolamento UE), in relazione ai dati personali di cui l’Università degli Studi di Padova (in seguito Università), in qualità di Titolare del trattamento, entra in possesso in sede di registrazione, preimmatricolazione, immatricolazione o iscrizione, per la gestione della carriera dei soggetti interessati (studenti, laureati e iscritti a qualsiasi corso o attività formativa erogata dall’Ateneo) e di ogni altro servizio e adempimento ulteriore che si rendesse necessario in forza dell’esistenza di tale rapporto.

Il trattamento dei dati personali è improntato ai principi di correttezza, liceità, trasparenza e di tutela della riservatezza e di tutti i diritti degli interessati, secondo quanto precisato nelle seguenti informazioni.

  1. Titolare del trattamento dei dati

Il Titolare del trattamento è l’Università degli Studi di Padova, con sede legale in Via VIII Febbraio n. 2, 35122 - Padova
(indirizzo PEC: amministrazione.centrale@pec.unipd.it).

  2. Responsabile della protezione dei dati

Presso l’Università è presente il Responsabile della protezione dei dati, nominato ai sensi dell’art. 37 del Regolamento UE, che può essere contattato al seguente indirizzo e-mail: privacy@unipd.it.

  3. Fonti e tipologia di dati

L’Università provvede al trattamento dei dati personali forniti dall’interessato in fase di registrazione, preimmatricolazione, immatricolazione e iscrizione ai corsi di studi, di dottorato, di specializzazione, master e ogni altro corso di alta formazione o professionale attivato presso l’Università, anche in seguito al conseguimento dell’eventuale titolo finale.

I dati personali che possono essere oggetto di trattamento esclusivamente per le finalità indicate dal punto 4 sono:

  1. dati anagrafici (nome, cognome, data di nascita, sesso), di contatto, di residenza, relativi alla carriera, alla partecipazione alle attività didattiche (presenza nel giorno, luogo e orario), relativi a titoli posseduti e alle condizioni reddituali; 
  2. dati di navigazione in sede di utilizzo delle piattaforme e dei servizi online;
  3. immagini e videoriprese in sede di svolgimento dell’attività di didattica a distanza;
  4. dati particolari (per es., dati relativi alla salute, all’origine razziale ed etnica, all’orientamento sessuale) il cui trattamento viene effettuato solo se autorizzato da espressa disposizione di legge, per il perseguimento di finalità di rilevante interesse pubblico, o da consenso dall’interessato espresso contestualmente all’insorgere di esigenze contingenti (quale, ad esempio, un eventuale infortunio);
  5. dati relativi a condanne penali e reati.

  4. Finalità del trattamento

Il trattamento dei dati è finalizzato esclusivamente allo svolgimento di tutte le attività connesse ai compiti istituzionali e di pubblico interesse di competenza dell’Università. In particolare, il trattamento è effettuato per le seguenti finalità:

I. Gestione della carriera universitaria ed erogazione dei servizi

  1. gestione delle procedure di ammissione a corsi di studio e a corsi post-lauream;
  2. preimmatricolazione e immatricolazione per accesso a corsi di studio e iscrizione ad attività formative comunque denominate;
  3. gestione della carriera universitaria, compreso il conseguimento del titolo di studio e di ogni altro attestato finale;
  4. comunicazioni relative a pratiche amministrative;
  5. calcolo degli importi delle tasse dovute e in generale fruizione dei benefici economici (ad es. premi, borse di studio, c.d. studenti ex 200 ore);
  6.  gestione del servizio di inclusione nella comunità studentesca di studenti con specifiche disabilità, DSA e BES;
  7. mobilità internazionale;
  8. eventuale partecipazione a progetti di ricerca o ad altre attività istituzionali dell’Ateneo;
  9. gestione delle procedure legate alle elezioni dei rappresentanti degli studenti e per l’eventuale svolgimento dei compiti inerenti la carica elettiva ricoperta dall’interessato negli organi di Ateneo;
  10. gestione dei procedimenti disciplinari nei confronti degli studenti;
  11. utilizzo dei servizi informativi, telematici e di posta elettronica forniti dall’Ateneo;
  12. organizzazione della didattica anche a distanza, degli esami e degli esami di conseguimento del titolo di studio e di ogni altro attestato finale e rilevazione delle presenze;
  13. utilizzo dei servizi bibliotecari;
  14. accesso ai laboratori e ad altre strutture protette;
  15. attivazione e gestione di tirocini curriculari ed extracurriculari anche presso enti convenzionati;
  16. videosorveglianza delle strutture di Ateneo;
  17. gestione delle pratiche relative a sinistri;
  18. controllo della veridicità delle autocertificazioni rese ai sensi del D.P.R. n. 445/2000;
  19. indagini statistiche svolte all’interno dell’Ateneo al fine di migliorare i servizi e l’assistenza agli studenti o al fine di migliorare l’attività didattica;
  20. pubblicazione dei dati di laurea nel catalogo tesi di laurea di Ateneo;
  21. archiviazione nel pubblico interesse, ricerca scientifica o storica o a fini statistici.

II. Altre finalità istituzionali

  1. divulgazione dell’offerta formativa e degli eventi informativi e culturali organizzati o patrocinati dall’Università o dalle strutture di didattica e ricerca;
  2. orientamento in ingresso, attività di tutorato e orientamento in uscita, attività volte all’inserimento nel mondo del lavoro (job placement), anche attraverso comunicazione dei dati a soggetti privati, pubblici e a consorzi interuniversitari per esclusive finalità occupazionali o professionali;
  3. comunicazione e gestione di iniziative volte al conferimento di borse, premi, onorificenze ed eventi di interesse pubblico, anche attraverso comunicazione dei dati a soggetti pubblici e privati;
  4. divulgazione di comunicazioni relative ai negozi Unipd Store dell’Università;
  5. divulgazione delle attività connesse alla raccolta fondi a favore dell’Università, anche a seguito del conseguimento del titolo di laurea.

  5. Modalità del trattamento dei dati

I dati personali dell'interessato vengono trattati con il supporto di mezzi informatici e cartacei.

L’Università adotta misure organizzative e tecniche appropriate per proteggere e garantire la riservatezza dei dati personali in suo possesso, in particolare contro la perdita, il furto, nonché l'uso, la divulgazione o la modifica non autorizzata dei dati personali.

L’Università non ricorre a processi decisionali automatizzati relativi ai diritti dell’interessato sulla base dei dati personali, compresa la profilazione, nel rispetto delle garanzie previste dall’art. 22 del Regolamento UE.

Il trattamento eventuale dei dati particolari è effettuato nel rispetto del “Regolamento per il trattamento dei dati sensibili e giudiziari dell'Università”, consultabile in www.unipd.it/regolamenti-interesse-generale.

  5.1. Servizi e piattaforme online

La casella di posta elettronica personale, il contatto telefonico eventualmente comunicato dall’interessato e la casella di posta elettronica istituzionale, assegnata al momento dell’immatricolazione o iscrizione, sono gli strumenti tramite i quali saranno inviate tutte le comunicazioni e le informazioni relative alla gestione della carriera e al perseguimento di tutte le finalità indicate al punto 4.

Single Sign On (SSO). L'accesso alle piattaforme e ai servizi online messi a disposizione dall’Università avviene tramite credenziali istituzionali fornite dall'Università e protette dal sistema di controllo accessi centralizzato denominato Single Sign On (SSO), utilizzando sempre la stessa coppia di credenziali (login e password) generata per la gestione della casella di posta di Ateneo (@unipd.it o @studenti.unipd.it). La tecnologia utilizzata per il servizio di Single Sign On è Shibbolet (https://wiki.shibboleth.net/confluence/display/CONCEPT). Le credenziali degli utenti non sono accessibili, nemmeno in forma cifrata, dai fornitori dei servizi e dalle applicazioni web e mobile, in quanto il processo di identificazione avviene sempre all’interno del sistema di autenticazione dell’Università, basato su protocollo Security Assertion Markup Language (SAML).

  5.2. Rilevazione delle presenze

Ai fini della rilevazione delle presenze e della gestione del calendario delle lezioni e degli esami l’Università si avvale della suite EasyAcademy, servizio SaaS qualificato da AgID (consulta Cloud MarketPlace di AgID).

La rilevazione della presenza degli studenti e delle studentesse è richiesta per i corsi con frequenza obbligatoria, per l’organizzazione delle attività didattiche e per garantire la sicurezza e la tutela della salute pubblica.

L'accesso ai servizi online della suite EasyAcademy avviene di tramite credenziali istituzionali fornite dall'Università e protette dal sistema di controllo accessi centralizzato denominato Single Sign On (SSO) oppure tramite “credenziali locali”, in ogni caso completamente criptate.

I dati di navigazione possono essere utilizzati esclusivamente:

  • per verificare il corretto funzionamento dell’app OrariUniPD o per identificare anomalie o abusi e per l'accertamento di responsabilità in caso di ipotetici reati informatici ai danni dell’applicazione o di terzi;
  • in modo aggregato e previa pseudonimizzazione, per ricavare informazioni statistiche sull'uso dell’applicazione.

I log di navigazione vengono cancellati dopo 5 settimane dalla loro registrazione.

  5.3. Didattica a distanza

Esclusivamente ai fini dell’erogazione della didattica a distanza, l’Università si avvale di software e piattaforme online, quali Moodle, Zoom, Kaltura, Compilatio e altri strumenti innovativi dedicati all’e-learning. Nell’utilizzo di tali piattaforme, l’Università opera nel rispetto del principio di minimizzazione, trattando solo i dati personali strettamente necessari al perseguimento delle finalità didattiche, senza effettuare indagini sulla sfera privata dell’interessato.

Registrazione. Se lo svolgimento delle videolezioni prevede la registrazione anche delle immagini e degli interventi dei partecipanti, tutti gli interessati sono preventivamente informati in modo chiaro e diretto, con la precisazione che ogni partecipante può autonomamente oscurare la propria telecamera.

Le sessioni di esame online possono essere videoregistrate esclusivamente per verificare la regolarità formale della procedura. I video sono conservati al massimo per 14 giorni all’interno di un’area ad accesso riservato al personale specificatamente autorizzato.

Pubblicazione. La pubblicazione o diffusione delle videoregistrazioni che includono immagini o videointerventi dei partecipanti sono consentite soltanto con il consenso documentato degli interessati, di cui deve in ogni caso essere rispettato il decoro, l’onore e la reputazione. La pubblicazione è limitata a finalità didattiche, culturali e non lucrative.

  6. Base giuridica del trattamento e natura del conferimento

Il trattamento dei dati personali nell’ambito delle finalità indicate al punto 4 viene effettuato dall’Università sulla base di almeno una delle seguenti basi giuridiche.

I dati personali anagrafici e comuni (punto 3, lett. a) e le immagini e videoriprese (punto 3, lett. c) sono trattati per l’esecuzione di compiti di interesse pubblico come definiti dalla legge, dallo Statuto di Ateneo e dalla regolamentazione interna (ai sensi dell’art. 6, par. 1, lett. e) del Regolamento UE).

Il conferimento dei dati personali per le finalità indicate nella sezione I del punto 4 (“I. Gestione della carriera universitaria ed erogazione dei servizi”) è indispensabile per l’instaurazione e la gestione del rapporto tra l’interessato e Università, per l’erogazione dei servizi e per l’adempimento dei connessi obblighi di legge.

I dati personali particolari (quali per es. quelli relativi alla salute, alle opinioni politiche o convinzioni religiose, ecc.) e giudiziari (punto 3, lett. d) ed  e) sono trattati esclusivamente per le finalità indicate al punto 4 e in presenza di una delle seguenti condizioni:

  1. per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione europea o nazionale ai sensi dell’art. 9, par. 2, lett. g), del Regolamento UE e art. 2-sexies, comma 2, lett. bb), del d. lgs. n. 196/2003;
  2. per fini di archiviazione nel pubblico interesse, ricerca scientifica o storica o a fini statistici ai sensi dell’art. 9, par. 2, lett. j), del Regolamento UE e art. 2-sexies, comma 2, lett. cc), del d. lgs. n. 196/2003;
  3. per accertare, esercitare o difendere un diritto in sede giudiziaria.

  7. Soggetti destinatari dei dati

Sono destinatari dei dati le persone fisiche incaricate dall’Università per il trattamento dei dati, tra cui i dipendenti e i collaboratori anche autonomi dell’Università degli Studi di Padova e di enti convenzionati.

Responsabili del trattamento
Sono destinatari dei dati anche i Responsabili del trattamento nominati dall’Università, tra cui:

  • CINECA, quale principale fornitore di servizi informatici, con sede in via Magnanelli 6/3, 40033 Casalecchio di Reno (BO) - Privacy policy CINECA;
  • Google Ireland Limited, quale fornitore del servizio di posta elettronica, con sede in Gordon House, Barrow Street, Dublino 4, Irland  - Privacy policy GSUITE.

Esclusivamente ai fini della gestione dell’attività didattica, in presenza o a distanza, sono nominati Responsabili del trattamento:

Soggetti terzi
I dati personali, in ogni caso, possono essere comunicati a terzi in relazione ad adempimenti di obblighi di legge e contrattuali, specifiche richieste dell'interessato, gestione di eventuali reclami o contenziosi e per la prevenzione e repressione di frodi e di qualsiasi attività illecita.

  1. Per le finalità indicate al punto 4, i dati personali possono essere comunicati a soggetti terzi, tra cui:
  2. ESU di Padova - Azienda regionale per il diritto allo studio universitario;
  3. Organismi Regionali di Gestione (Enti dotati di autonomia amministrativo-gestionale istituiti ai 14 sensi della L. 390/91 in materia di diritto agli studi universitari) ed altri istituti per favorire la mobilità internazionale degli studenti, ai fini della valutazione dei benefici economici e dell’assegnazione degli alloggi (Legge 390/1991 e L.R. n. 37 del 14.09.87);
  4. MIUR per l'inserimento nell'Anagrafe Nazionale degli Studenti (istituita con la Legge n. 170/2003) per monitorare lo svolgimento delle carriere degli studenti universitari e per l’espletamento di tutte le funzioni attribuite dalla legge;
  5. Istituto tesoriere pro-tempore dell’Università degli Studi di Padova e altri istituti di credito per l'adempimento di obbligazioni pecuniarie, in particolare, per il pagamento e il rimborso di tasse universitarie;
  6. enti pubblici, anche internazionali, per lo svolgimento delle funzioni istituzionali dell'Università;
  7.  Regione, altri operatori pubblici e privati accreditati o autorizzati e potenziali datori di lavoro ai fini dell’orientamento e inserimento nel mondo del lavoro;
  8. enti convenzionati presso i quali gli interessati svolgono attività di tirocinio;
  9. compagnie assicurative convenzionate con l’Università;
  10. Ministero degli Affari esteri, Questure, Ambasciate, Procura della Repubblica relativamente a permessi di soggiorno, al riconoscimento di particolari status;
  11. soggetti privati, pubblici e consorzi interuniversitari per lo svolgimento delle attività di terza missione;
  12. autorità sanitarie e autorità di pubblica sicurezza.

I dati personali non sono soggetti a diffusione, salvo espresso consenso dell'interessato.

  8. Conservazione dei dati

I dati personali sono conservati per tutto il periodo necessario allo svolgimento delle finalità riportate al punto 4, in accordo a quanto stabilito dalla normativa vigente e dal Regolamento di Ateneo sul Massimario di scarto per quanto riguarda il fascicolo dello studente.

I dati relativi al traffico elettronico (es. ora e durata connessione) vengono cancellati o resi anonimi quando non sono più necessari per la trasmissione della comunicazione, salvo diverse previsioni di legge (massimo 12 mesi).

  9. Diritti dell’interessato

L’interessato può esercitare i diritti previsti dagli articoli 15 e seguenti del Regolamento UE, quali il diritto di accesso, il diritto di rettifica o integrazione dei propri dati, il diritto di cancellazione (diritto all’oblio) e alla limitazione del trattamento e il diritto alla portabilità dei dati, alle condizioni e nei limiti indicati dal Regolamento UE.

La richiesta di cancellazione dei dati personali non può essere accolta nella misura in cui il trattamento è necessario per l’adempimento di un obbligo giuridico, per l’esecuzione di compiti istituzionali, per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria e in ogni altro caso previsto dall’art. 17, paragrafo 3 Regolamento UE.

L’interessato ha diritto di opporsi in qualsiasi momento al trattamento dei propri dati personali, secondo quanto previsto dall’art. 21 Regolamento UE.  L’interessato può proporre  reclamo al Garante per la protezione dei dati personali.

  10. Modalità di esercizio dei diritti

Per l’esercizio dei propri diritti, l’interessato può rivolgersi all’Università, scrivendo all’indirizzo di posta elettronica certificata amministrazione.centrale@pec.unipd.it oppure all’indirizzo e-mail urp@unipd.it. In alternativa, l’interessato può scrivere a: Università degli Studi di Padova, via VIII Febbraio n. 2, Padova.

L’Università è tenuta a fornire una risposta entro un mese dalla richiesta, estensibili fino a tre mesi in caso di particolare complessità della richiesta.

  11. Eventuali modifiche all’informativa

Le modifiche e integrazioni a questa informativa sono pubblicate nella sezione privacy del sito istituzionale all’indirizzo www.unipd.it/privacy.

In ogni caso, l’Università si impegna a comunicare direttamente agli interessati, tramite i propri canali istituzionali, le eventuali modifiche delle finalità del trattamento, dell’identità del titolare del trattamento e ogni altra modifica in grado di incidere in modo significativo sui diritti degli interessati o sul loro esercizio.

Ultimo aggiornamento: 30 settembre 2020

Responsabile della protezione dei dati  RPD:  Maria Rosaria Falconetti 

email: privacy@unipd.it