In relazione alle differenti attività, i dati personali sono trattati dal personale tecnico-amministrativo e docente dell'Università, o da collaboratori che, operando sotto la diretta autorità dell'Università, sono a ciò autorizzati.
Potranno essere trattati anche da soggetti esterni, formalmente individuati, che ricevono una formazione e delle istruzioni operative adeguate allo scopo.
I dati personali potrebbero essere comunicati anche ad altre amministrazioni pubbliche, qualora queste debbano trattare i medesimi per eventuali procedimenti di propria competenza istituzionale.
L'Università si avvale di società esterne per l'erogazione e la gestione di particolari servizi. Tali società, qualora dovessero trattare dati personali ai fini della prestazione richiesta, verranno qualificate come responsabili esterni del trattamento, In tal modo saranno vincolate contrattualmente per garantire il trattamento dei dati personali secondo le modalità previste dal GDPR.
I dati personali potranno essere comunicati anche ad autorità pubbliche o soggetti privati presso le quali potrebbero svolgersi attività didattiche, di ricerca o di tirocinio inerenti il percorso di studio prescelto o l'attività lavorativa, come pure ad autorità giudiziarie su loro richiesta.
L'informativa di ciascuna attività di trattamento fornisce indicazioni più precise sui possibili e diversi destinari dei dati personali trattati.
All'art. 3 del Regolamento sul trattamento dei dati universitari si trovano le definizioni dei termini qui adoperati.
Trasferimenti in paesi extra UE o organizzazioni internazionali
I dati personali potranno essere oggetto di trasferimento all'estero verso altre istituzioni universitarie o enti di ricerca, per attività di ricerca e di didattica ovvero nell'ambito di progetti di mobilità internazionale. Le garanzie che fornirà il titolare saranno conformi a quanto richiesto al Capo V del GDPR, alle disposizioni del Miur o alle normative di settore. Per l’applicazione delle deroghe in specifiche situazioni, previste all’articolo 49 del GDPR, è riportata qui una scheda di sintesi.
I servizi di posta e di collaborazione "on line" (Teams) sono affidati in outsourcing a Microsoft, nominato Responsabile del Trattamento dei Dati tramite un accordo con il quale si impegna a rispettare tutte le misure previste dall’art.28 del GDPR e ad assicurare il più elevato standard di sicurezza per la protezione dei dati personali.
L’utilizzo del servizio in modalità cloud SaaS (Software as a Service), su datacenter stabiliti per contratto in UE, potrà prevedere alcune attività sui dati anche fuori dal territorio europeo. La legittimità di tali attività, così come previsto dall’art. 46 del GDPR, è stata garantita con la sottoscrizione di apposite clausole contrattali definite nell’accordo siglato con Microsoft. Esse prevedono opportune garanzie al trattamento extra UE, la definizione delle quali è stata principalmente negoziata dalla CRUI, per tutte le Università.