Information on the processing of personal data (Students)

Il Titolare del trattamento è l’Università degli Studi di Padova, con sede legale in Via VIII Febbraio n. 2, 35122 - Padova (indirizzo PEC: amministrazione.centrale@pec.unipd.it).

Presso l’Università è presente il Responsabile della protezione dei dati, nominato ai sensi dell’art. 37 del Regolamento UE, che può essere contattato al seguente indirizzo email: privacy@unipd.it.

L’Università provvede al trattamento dei dati personali forniti dall’interessato in fase di registrazione, preimmatricolazione, immatricolazione e iscrizione ai corsi di studi, di dottorato, di specializzazione, master e ogni altro corso di alta formazione o professionale attivato presso l’Università, anche in seguito al conseguimento dell’eventuale titolo finale.

I dati personali che possono essere oggetto di trattamento esclusivamente per le finalità indicate dal punto 4 sono:

a) dati anagrafici (nome, cognome, data di nascita, sesso), di contatto, di residenza, relativi alla carriera, alla partecipazione alle attività didattiche (presenza nel giorno, luogo e orario), relativi a titoli posseduti e alle condizioni reddituali;

b) dati di navigazione in sede di utilizzo delle piattaforme e dei servizi online;

c) immagini e videoriprese in sede di svolgimento dell’attività di didattica a distanza;

d) dati particolari (per es., dati relativi alla salute, all’origine razziale ed etnica, all’orientamento sessuale) il cui trattamento viene effettuato solo se autorizzato da espressa disposizione di legge, per il perseguimento di finalità di rilevante interesse pubblico, o da consenso dall’interessato espresso contestualmente all’insorgere di esigenze contingenti (quale, ad esempio, un eventuale infortunio);

e) dati relativi a condanne penali e reati.

Il trattamento dei dati è finalizzato esclusivamente allo svolgimento di tutte le attività connesse ai compiti istituzionali e di pubblico interesse di competenza dell’Università. In particolare, il trattamento è effettuato per le seguenti finalità:

I.   Gestione della carriera universitaria ed erogazione dei servizi

a) gestione delle procedure di ammissione a corsi di studio e a corsi post-lauream;
b) preimmatricolazione e immatricolazione per accesso a corsi di studio e iscrizione ad attività formative comunque denominate;
c) gestione della carriera universitaria, compreso il conseguimento del titolo di studio e di ogni altro attestato finale;
d) comunicazioni relative a pratiche amministrative;
e) calcolo degli importi delle tasse dovute e in generale fruizione dei benefici economici (ad es. premi, borse di studio, c.d. studenti ex 200 ore);
f) gestione del servizio di inclusione nella comunità studentesca di studenti con specifiche disabilità, DSA e BES, come meglio specificato nell’apposita Informativa Inclusione Studenti;
g) mobilità internazionale;
h) eventuale partecipazione a progetti di ricerca o ad altre attività istituzionali dell’Ateneo;
i) gestione delle procedure legate alle elezioni dei rappresentanti degli studenti e per l’eventuale svolgimento dei compiti inerenti la carica elettiva ricoperta dall’interessato negli organi di Ateneo;
j) gestione dei procedimenti disciplinari nei confronti degli studenti;
k) utilizzo dei servizi informativi, telematici e di posta elettronica forniti dall’Ateneo;
l) organizzazione della didattica anche a distanza, degli esami e degli esami di conseguimento del titolo di studio e di ogni altro attestato finale e rilevazione delle presenze;
m) utilizzo dei servizi bibliotecari;
n) accesso ai laboratori e ad altre strutture protette;
o) attivazione e gestione di tirocini curriculari ed extracurriculari anche presso enti convenzionati;
p) videosorveglianza delle strutture di Ateneo;
q) gestione delle pratiche relative a sinistri;
r) controllo della veridicità delle autocertificazioni rese ai sensi del D.P.R. n. 445/2000;
s) indagini statistiche svolte all’interno dell’Ateneo al fine di migliorare i servizi e l’assistenza agli studenti o al fine di migliorare l’attività didattica;
t) pubblicazione dei dati di laurea nel catalogo tesi di laurea di Ateneo;
u) archiviazione nel pubblico interesse, ricerca scientifica o storica o a fini statistici.

II. Altre finalità istituzionali

a) divulgazione dell’offerta formativa e degli eventi informativi e culturali organizzati o patrocinati dall’Università o dalle strutture di didattica e ricerca;
b) orientamento in ingresso, attività di tutorato e orientamento in uscita, attività volte all’inserimento nel mondo del lavoro (job placement), anche attraverso comunicazione dei dati a soggetti privati, pubblici e a consorzi interuniversitari per esclusive finalità occupazionali o professionali;
c)   comunicazione e gestione di iniziative volte al conferimento di borse, premi, onorificenze ed eventi di interesse pubblico, anche attraverso comunicazione dei dati a soggetti pubblici e privati;
d) divulgazione di comunicazioni relative ai negozi Unipd Store dell’Università, anche a seguito del conseguimento del titolo di laurea

I dati personali dell'interessato vengono trattati con il supporto di mezzi informatici e cartacei.

L’Università adotta misure organizzative e tecniche appropriate per proteggere e garantire la riservatezza dei dati personali in suo possesso, in particolare contro la perdita, il furto, nonché l'uso, la divulgazione o la modifica non autorizzata dei dati personali.

L’Università non ricorre a processi decisionali automatizzati relativi ai diritti dell’interessato sulla base dei dati personali, compresa la profilazione, nel rispetto delle garanzie previste dall’art. 22 del Regolamento UE.

Il trattamento eventuale dei dati particolari è effettuato nel rispetto del “Regolamento per il trattamento dei dati sensibili e giudiziari dell'Università”, consultabile in www.unipd.it/regolamenti-interesse-generale.

La casella di posta elettronica personale, il contatto telefonico eventualmente comunicato dall’interessato e la casella di posta elettronica istituzionale, assegnata al momento dell’immatricolazione o iscrizione, sono gli strumenti tramite i quali saranno inviate tutte le comunicazioni e le informazioni relative alla gestione della carriera e al perseguimento di tutte le finalità indicate al punto 4.

Single Sign On (SSO). L'accesso alle piattaforme e ai servizi online messi a disposizione dall’Università avviene tramite credenziali istituzionali fornite dall'Università e protette dal sistema di controllo accessi centralizzato denominato Single Sign On (SSO). Le credenziali degli utenti non sono accessibili, nemmeno in forma cifrata, dai fornitori dei servizi e dalle applicazioni web e mobile, in quanto il processo di identificazione avviene sempre all’interno del sistema di autenticazione dell’Università, basato su protocollo Security Assertion Markup Language (SAML).

Ai fini della rilevazione delle presenze e della gestione del calendario delle lezioni e degli esami l’Università si avvale della suite EasyAcademy, servizio SaaS qualificato da AgID (consulta Cloud MarketPlace di AgID).

La rilevazione della presenza degli studenti e delle studentesse è richiesta per i corsi con frequenza obbligatoria, per l’organizzazione delle attività didattiche e per garantire la sicurezza e la tutela della salute pubblica.

L'accesso ai servizi online della suite EasyAcademy avviene di tramite credenziali istituzionali fornite dall'Università e protette dal sistema di controllo accessi centralizzato denominato Single Sign On (SSO) oppure tramite “credenziali locali”, in ogni caso completamente criptate.

I dati di navigazione possono essere utilizzati esclusivamente:

• per verificare il corretto funzionamento dell’app OrariUniPD o per identificare anomalie o abusi e per l'accertamento di responsabilità in caso di ipotetici reati informatici ai danni dell’applicazione o di terzi;
• in modo aggregato e previa pseudonimizzazione, per ricavare informazioni statistiche sull'uso dell’applicazione.

I log di navigazione vengono cancellati dopo 5 settimane dalla loro registrazione.

Esclusivamente ai fini dell’erogazione della didattica a distanza, l’Università si avvale di software e piattaforme online, quali Moodle, Zoom, Kaltura, Compilatio e altri strumenti innovativi dedicati all’e-learning. Nell’utilizzo di tali piattaforme, l’Università opera nel rispetto del principio di minimizzazione, trattando solo i dati personali strettamente necessari al perseguimento delle finalità didattiche, senza effettuare indagini sulla sfera privata dell’interessato.

Registrazione. Se lo svolgimento delle videolezioni prevede la registrazione anche delle immagini e degli interventi dei partecipanti, tutti gli interessati sono preventivamente informati in modo chiaro e diretto, con la precisazione che ogni partecipante può autonomamente oscurare la propria telecamera.

Le sessioni di esame online possono essere videoregistrate esclusivamente per verificare la regolarità formale della procedura. I video sono conservati al massimo per 14 giorni all’interno di un’area ad accesso riservato al personale specificatamente autorizzato.

Pubblicazione. La pubblicazione o diffusione delle videoregistrazioni che includono immagini o videointerventi dei partecipanti sono consentite soltanto con il consenso documentato degli interessati, di cui deve in ogni caso essere rispettato il decoro, l’onore e la reputazione. La pubblicazione è limitata a finalità didattiche, culturali e non lucrative.

Il trattamento dei dati personali nell’ambito delle finalità indicate al punto 4 viene effettuato dall’Università sulla base di almeno una delle seguenti basi giuridiche.

I dati personali anagrafici e comuni (punto 3, lett. a) e le immagini e riprese video (punto 3, lett. c) sono trattati per l’esecuzione di compiti di interesse pubblico come definiti dalla legge, dallo Statuto di Ateneo e dalla regolamentazione interna.

Il conferimento dei dati personali per le finalità indicate nella sezione I del punto 4 (“I. Gestione della carriera universitaria ed erogazione dei servizi”) è indispensabile per l’instaurazione e la gestione del rapporto tra l’interessato e Università, per l’erogazione dei servizi e per l’adempimento dei connessi obblighi di legge.

I dati personali particolari (quali per es. quelli relativi alla salute, alle opinioni politiche o convinzioni religiose, ecc.) e giudiziari (punto 3, lett. d) ed  e) sono trattati esclusivamente per le finalità indicate al punto 4 e in presenza di una delle seguenti condizioni:

a) per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione europea o nazionale ai sensi dell’art. 9, par. 2, lett. g), del Regolamento UE e art. 2-sexies, comma 2, lett. bb), del d. lgs. n. 196/2003;
b) per fini di archiviazione nel pubblico interesse, ricerca scientifica o storica o a fini statistici ai sensi dell’art. 9, par. 2, lett. j), del Regolamento UE e art. 2-sexies, comma 2, lett. cc), del d. lgs. n. 196/2003;
c) per accertare, esercitare o difendere un diritto in sede giudiziaria.

The recipients of the data are natural persons appointed by the University for the processing of data, including employees and collaborators, including independent ones, of the University of Padua and affiliated bodies.

Data Processors

The recipients of the data are also the Data Processors appointed by the University, including:

• CINECA, as the main provider of IT services, with campus in via Magnanelli 6/3, 40033 Casalecchio di Reno (BO) - Privacy policy CINECA;
• Google Ireland Limited, as the provider of the e-mail service, with its campus at Gordon House, Barrow Street, Dublin 4, Ireland  - Privacy policy GSUITE.

Exclusively for the purpose of managing the teaching activity, in presence or remotely, the following are appointed as Data Processors:

• Zoom Video Communications, Inc. - San Jose, CA 95113, 55 Almaden Blvd, Suite 600 - Privacy policy Zoom
• Kaltura, Inc. - New York, NY 10003, 250 Park Avenue South - Privacy policy Kaltura;
• Compilatio SAS - Francia, 74650 Chavanod, 47 rue Cassiopée - Privacy policy Compilatio;
• EasyStaff srl, with registered campus in via Adriatica, 278 - 33030 Campoformido (UD) - EasyStaff privacy policy.

Third parties

Personal data, in any case, may be communicated to third parties in relation to the fulfilment of legal and contractual obligations, specific requests by the data subject, management of any complaints or disputes and for the prevention and repression of fraud and any illegal activity.

For the purposes indicated in point 4, personal data may be communicated to third parties, including:

a) ESU of Padua - Regional Agency for the Right to University Education;

b) Regional Management Bodies (Bodies with administrative-managerial autonomy established under the 14 pursuant to Law 390/91 on the right to university studies) and other institutes to promote the international mobility of students, for the purpose of assessing economic benefits and assigning housing (Law 390/1991 and Regional Law No. 37 of 14.09.87);

c) MIUR for inclusion in the National Student Registry (established by Law no. 170/2003) to monitor the development of university students' careers and for the performance of all the functions assigned by law;

d) Treasurer Institute pro-tempore of the University of Padua and other credit institutions for the fulfilment of pecuniary obligations, in particular, for the payment and reimbursement of university fees;

e) public bodies, including international ones, for the performance of the institutional functions of the University;

f) Region, other accredited or authorized public and private operators and potential employers for the purpose of orientation and integration into the world of work;

g) affiliated bodies with which the interested parties carry out traineeship activities;

h) insurance companies affiliated with the University;

i) Ministry of Foreign Affairs, Police Headquarters, Embassies, Public Prosecutor's Office with regard to residence permits, the recognition of particular statuses;

j) private and public entities and inter-university consortia for the performance of third mission activities;

k) health authorities and public safety authorities.

Personal data are not subject to dissemination, unless expressly consented to by the interested party.

Personal data are stored for the entire period necessary to carry out the purposes set out in point 4, in accordance with the provisions of current legislation and the University Regulations on the Waste Ceiling with regard to the student file.

Electronic traffic data (e.g. time and duration of connection) are deleted or anonymised when they are no longer required for the transmission of the communication, unless otherwise provided for by law (maximum 12 months).

The data subject may exercise the rights provided for in Articles 15 et seq. of the EU Regulation, such as the right of access, the right to rectification or integration of their data, the right to erasure (right to be forgotten) and to restriction of processing and the right to data portability, under the conditions and within the limits indicated by the EU Regulation.

The request for erasure of personal data cannot be accepted to the extent that the processing is necessary for the fulfillment of a legal obligation, for the performance of institutional tasks, for the ascertainment, exercise or defense of a right in campus and in any other case provided for by art. 17, paragraph 3 of the EU Regulation.

The data subject has the right to object at any time to the processing of his or her personal data, in accordance with the provisions of art. 21 EU Regulation.

The data subject may lodge  a complaint with the Guarantor for the protection of personal data.

To exercise their rights, the interested party may contact the University, by writing to the e-mail address urp@unipd.it  or to the certified e-mail address amministrazione.centrale@pec.unipd.it.
Alternatively, the interested party can write to: University of Padua, via VIII Febbraio n. 2, Padua.

The University is required to provide a response within one month of the request, extendable up to three months in the event of particular complexity of the request.

Changes and additions to this policy are published in the privacy section of the institutional website at www.unipd.it/privacy.

In any case, the University undertakes to communicate directly to the data subjects, through its institutional channels, any changes in the purposes of the processing, the identity of the data controller and any other changes that may significantly affect the rights of the data subjects or their exercise.