INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI AI FINI DEL SERVIZIO DI POSTA ELETTRONICA
L’’Ateneo fornisce il servizio di posta elettronica istituzionale e i necessari strumenti di collaborazione “on line” alla sua comunità accademica, secondo quanto disciplinato con il “Regolamento del Servizio di Posta Elettronica Istituzionale e di Liste di Distribuzione”, emanate con D.R. n. 2771 del 1 ottobre 2024.
L'Università si impegna a trattare i dati personali nel rispetto del Regolamento Generale (UE) 2016/679 per la protezione dei dati personali, cd. “GDPR” e del Decreto Legislativo n. 196/2003 e s.m.i., cd. “Codice privacy”.
Ai fini della dovuta trasparenza, si rende disponibile la presente informativa.
Titolare del Trattamento, Responsabile della protezione dei dati
Il Titolare del Trattamento è l’Università degli Studi di Perugia, in persona del Magnifico Rettore, con sede legale in Perugia - Piazza dell’Università, 1 - Pec:
protocollo@pec.unipg.it
I dati di contatto del Responsabile della protezione dei dati (RPD) preposto alla tutela dell’esercizio dei diritti previsti dal Regolamento sono: rpd@unipg.it - tel. 075 585 2192.
Oggetto del trattamento
• dati anagrafici
• dati di contatto (indirizzo e-mail privato e istituzionale)
Per i dati oggetto di trattamenti non primari, necessari all’adozione di misure di sicurezza informatica, si rimanda inoltre all’informativa pubblicata sul sito web https://www.unipg.it/ateneo/protezione-dati-personali/informative
Finalità e base giuridica del trattamento
La casella di posta elettronica ed eventuali servizi accessori (come calendario, contatti, spazi di archiviazione on-line e altri) sono assegnati al singolo utente e da
questi gestiti nella propria responsabilità personale.
Sono strumenti istituzionali e non privati, disciplinati dal Regolamento del Servizio di Posta Elettronica Istituzionale e di Liste di Distribuzione, anche con riguardo alle modalità di controllo attuabili dal titolare.
Il trattamento è effettuato esclusivamente per le seguenti finalità, nel rispetto dei principi generali di liceità, correttezza, trasparenza, adeguatezza, pertinenza, necessità e non eccedenza di cui all’art. 5 del GDPR:
- attivare e disattivare l’account di posta;
- garantire il funzionamento del sistema di posta elettronica e dei servizi di collaborazione;
- garantire la sicurezza e la protezione dei dati trattati, mediante misure tecniche ed organizzative volte al contrasto della diffusione di malware e di messaggi di
phishing, alla prevenzione di illeciti e, in generale, volte al rispetto delle norme vigenti in tema di sicurezza informatica; - provvedere alla risoluzione dei guasti e degli incidenti di sicurezza e all’analisi e gestione dei problemi da essi derivanti;
- valutare l’uso del servizio e la qualità del servizio (es: rilevazioni statistiche basate sull’uso di tali strumenti);
- collaborare con le forze dell’ordine, nei casi previsti dalla legge.
La liceità del trattamento trova fondamento nella base giuridica relativa all’esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (art.6, paragrafo 1, lettera “e” del GDPR), secondo le previsioni del D.Lgs. 7 marzo 2005, n. 82 (Codice dell’Amministrazione digitale) e s.m.i., della L. 20 maggio 1970, n. 300 (in part. art. 4), dell’art. 111 del D.Lgs. 196/2003, del provvedimento "Lavoro: le linee guida del Garante per posta elettronica e internet" – docweb 1387522 Garante privacy, delle indicazioni dell’Agid e delle disposizioni in materia di controlli di sicurezza informatica.
Categoria di interessati
I destinatari del servizio sono indicati alle pagine:
https://www.unipg.it/servizi/servizi-on-line/posta-unipg
https://www.unipg.it/servizi/servizi-on-line/posta-studenti-unipg
Natura del conferimento dei dati
In considerazione delle finalità istituzionali perseguite con l’attribuzione dell’account di posta elettronica, il trattamento è obbligatorio e connesso all’avvio dello specifico rapporto con l’Università, sia per il personale universitario che per gli studenti. Per la creazione dell’account di posta vengono utilizzati i dati personali strettamente necessari, presenti nelle banche dati dell’Ateneo.
Per coloro che richiedono espressamente una casella istituzionale, in assenza dei dati necessari richiesti nella modulistica non sarà possibile procedere nell’attivazione del servizio.
Soggetti o categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza
I dati verranno trattati o saranno comunque accessibili, per le sole finalità prima descritte, al personale dei competenti uffici dell’Università degli Studi di Perugia,regolarmente autorizzati al trattamento ai sensi dell’art. 29 del GDPR e dell’art. 2- quaterdecies del Codice.
Le attività di monitoraggio sono svolte solo da soggetti appositamente a ciò preposti e autorizzati dell’area informatica. Essi potranno effettuare controlli mirati sull’area di rischio, anche potenziale, messa in evidenza dai controlli sistematici di sicurezza, sempre nel massimo riserbo, nel rispetto della normativa sulla protezione dei dati e del principio di segretezza della corrispondenza. Per tali attività possono essere affiancati dal provider di posta.
L’account di posta istituzionale del personale universitario viene pubblicato sul sito web dell’Università al solo fine di favorirne l’utilizzabilità per scopi correlati alle finalità istituzionali. Utilizzi difformi possono essere segnalati a rpd@unipg.it
I dati sono trattati dai fornitori di servizi: Cineca, per le banche dati anagrafiche degli interessati, e Microsoft per i servizi di posta e di collaborazione.
Al di fuori di tali casi, i dati non saranno comunicati a terzi se non per ottemperare ad obblighi di legge o rispondere ad istanze legali e giudiziarie e non saranno in alcun modo diffusi.
Modalità del trattamento
I trattamenti sono sempre improntati ai principi di correttezza e trasparenza,rendendo note all’intestatario della casella le caratteristiche essenziali dei trattamenti, effettuati per finalità determinate, esplicite e legittime, secondo principi di pertinenza e non eccedenza e trattando i dati nella misura meno invasiva possibile nei confronti degli interessati.
L’Università, nel riservarsi il diritto di procedere ai controlli necessari per gli scopi generali di sicurezza e di verifica del corretto funzionamento del sistema, ne impronta le modalità di effettuazione ai principi di gradualità, avvalendosi di controlli sistematici del sistema informatico, degli strumenti e dei dati di log, anche con il supporto del provider del servizio di posta. I dati di log potranno includere:
- indirizzo IP, data e ora di accesso al servizio di posta
- indirizzi e-mail mittente e destinatario, campo oggetto dell’e-mail
- dati sui dispositivi utilizzati (nome del dispositivo, sistema operativo, applicazione client di posta utilizzata)
Solo nel caso in cui dovessero emergere indizi e/o segnalazioni di rischio su account specifici (ad esempio un'attività sospetta di spam rilevata dall'attività di monitoraggio,oppure la segnalazione diretta di un utente), si potrà procedere con verifiche più puntuali e dettagliate sulla casella individuale, includendo eventualmente anche i dati in essa contenuti (ad esempio un allegato di un'e-mail, necessario per l'analisi del malware).
Tali verifiche saranno effettuate previa comunicazione dell’attività all’intestatario della casella di posta, salvo diversa indicazione, se del caso, delle autorità giudiziarie.
La casella di posta elettronica può infatti essere sottoposta a verifica dell’autorità giudiziaria, secondo quanto previsto dalle normative vigenti. In questi casi l’accesso alla casella, da parte dei preposti all’attività, è specificatamente autorizzato dal Titolare e debitamente documentato.
Trasferimento dati all’estero
La gestione del servizio, e dei dati con esso trattati, avviene mediante servizi affidati in outsourcing a Microsoft, fornitore del servizio di posta elettronica e degli strumenti di collaborazione, nominato Responsabile del Trattamento dei Dati tramite un accordo con il quale si impegna a rispettare tutte le misure previste dall’art.28 del GDPR e ad assicurare il più elevato standard di sicurezza per la protezione dei dati personali.
L’utilizzo del servizio in modalità cloud SaaS (Software as a Service), su datacenter stabiliti per contratto in UE, potrà prevedere alcune attività sui dati anche fuori dal territorio europeo. La legittimità di tali attività, così come previsto dall’art. 46 del GDPR, è stata garantita con la sottoscrizione di apposite clausole contrattali definite nell’accordo siglato con Microsoft. Esse prevedono opportune garanzie al trattamento extra UE, la definizione delle quali è stata principalmente negoziata dalla CRUI, per tutte le Università.
Periodo di conservazione dei dati e cancellazione dei contenuti
La casella di posta personale viene disattivata in ragione della cessazione del proprio rapporto di lavoro o di collaborazione con l’Università o del proprio percorso accademico. Successivamente a tali eventi la casella può rimanere attiva per una finestra temporale più o meno estesa, finalizzata a fornire una continuità del servizio nel caso di rinnovi del contratto, proroghe e/o re-iscrizioni ai corsi di studio, di qualsiasi livello.
Lo schema riepilogativo di tali finestre temporali è pubblicato agli indirizzi:
• https://www.unipg.it/servizi/servizi-on-line/posta-unipg/attivazione
• https://www.unipg.it/servizi/servizi-on-line/posta-studenti-unipg/attivazione
L’utente viene avvisato della disattivazione con 4 comunicazioni, inviate all’indirizzo da dismettere ad intervallo di 8gg, a far data da 30gg prima della data di disattivazione.
La gestione e la conservazione dei dati personali raccolti avvengono presso l’Università e/o presso i fornitori dei servizi.
ATTENZIONE: La disattivazione della casella di posta elettronica personale comporta la disabilitazione di tutti i servizi fruiti sulla piattaforma Microsoft 365. Alla disattivazione della casella consegue la cancellazione dei dati ivi contenuti, e di tutti i dati inseriti e condivisi tramite i servizi connessi al proprio account come, a titolo esemplificativo e non esaustivo, Microsoft OneDrive for Business e Microsoft Teams.
Diritti dell’Interessato
I diritti esercitabili sono (nelle ipotesi di cui agli artt.15 -21 del GDPR):
- diritto di accesso ai propri dati personali;
- diritto di rettifica dei propri dati personali inesatti e l’integrazione di quelli incompleti;
- diritto di cancellazione dei propri dati, fatta eccezione per quelli contenuti in atti che devono essere obbligatoriamente conservati dall’Università e salvo che sussista un motivo legittimo prevalente per procedere al trattamento;
- diritto alla limitazione del trattamento e di opporsi al trattamento dei propri dati personali, fermo quanto previsto con riguardo alla necessità ed obbligatorietà del trattamento ai fini dell’instaurazione del rapporto o dell’adozione del provvedimento per cui i dati sono necessari.
Per l’esercizio di questi diritti l’Interessato può rivolgersi al Responsabile della protezione dei dati inviando la richiesta via mail all’indirizzo rpd@unipg.it o al Titolare, ai riferimenti inizialmente riportati. Prima della risposta sarà necessario accertarsi dell’identità dell’interessato.
La presente Informativa potrebbe subire variazioni che verranno comunicate. E’ possibile verificare regolarmente questa Informativa sul sito web https://www.unipg.it/ateneo/protezione-dati-personali/informative
Reclamo
L’Interessato ha diritto di proporre reclamo all’Autorità Garante per la Protezione dei dati personali, qualora ritenga che il trattamento dei suoi dati non avvenga in conformità alle disposizioni vigenti e alla presente informativa, o che la risposta dell'Università ad una sua istanza, relativa ai trattamenti dei suoi dati personali, non sia soddisfacente. Le modalità sono riportate all’indirizzo: https://www.garanteprivacy.it/i-miei-diritti
Versione 1.1 giugno 2022