Privacy
Informativa
Università Vita-Salute San Raffaele si impegna costantemente per tutelare la privacy on-line dei suoi utenti. Questo documento è stato redatto ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (di seguito: "GDPR") al fine di permetterle di conoscere la nostra politica sulla privacy quando naviga sul sito web www.unisr.it (di seguito anche “Sito”) ovvero usufruisce dei servizi resi attraverso lo stesso.
Le informazioni e i dati da Lei forniti o altrimenti acquisiti nell'ambito dell’utilizzo dei servizi erogati dall’Università Vita-Salute San Raffaele, come ad esempio l’iscrizione a specifiche attività (tra cui lezioni streaming, attività formative, virtual tour del campus, open day ed eventi organizzati), l’accesso ai servizi propri del Campus, nel proseguo meglio descritti, (di seguito complessivamente "Servizi") , saranno oggetto di trattamento nel rispetto delle disposizioni del GDPR e degli obblighi di riservatezza che ispirano l’attività dell’Università stessa.
Secondo le norme del GDPR, i trattamenti effettuati dall’Università saranno improntati ai principi di liceità, correttezza, trasparenza, limitazione delle finalità e della conservazione, minimizzazione dei dati, esattezza, integrità e riservatezza.
1. Titolare del trattamento e Responsabile per la protezione dei dati personali
Il Titolare delle attività di trattamento dei dati raccolti tramite il Sito è Università Vita-Salute San Raffaele, con sede in Milano, Via Olgettina 58, C.F. 97187560152 (di seguito anche “Università”, “UniSR” o “Titolare”). Per qualunque informazione inerente al trattamento dei dati personali da parte di UniSR, tra cui l’elenco dei responsabili del trattamento che trattano dati, può scrivere al seguente indirizzo: titolare.privacy@unisr.it.
Conformemente a quanto prescritto (i) dal GDPR (cfr. Art. 37) e (ii) dalle Linee Guida del CODAU, a mezzo delibera del Consiglio di Amministrazione del 22 gennaio 2018, l’Università ha nominato GSD SISTEMI E SERVIZI S.C.A.R.L., con sede in via Giovanni Spadolini, 4, Milano, P. IVA 06959200962 (di seguito, “GSDSS”), Responsabile per la protezione dei dati o Data Protection Officer (di seguito, il “RPD” o “DPO”).
Il professionista indicato da GSD ai fini dello svolgimento dell’incarico di RPD è contattabile al seguente indirizzo e-mail privacy@unisr.it e al numero di telefono 02912300237.
Il RPD è a disposizione per qualunque informazione inerente al trattamento dei dati personali svolto da parte dell’Università.
2. Categorie di Interessati
L’Università tratta i dati personali degli interessati, utenti del Sito.
3. Categorie dei dati trattati
3.1. Dati di navigazione:
- Dati tecnici
In questa categoria di Dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che esplorano il Sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente. Questi Dati vengono utilizzati solo per informazioni di tipo statistico, per controllare il corretto funzionamento del Sito, e vengono cancellati subito dopo l’elaborazione. I Dati potrebbero essere utilizzati per l’accertamento di responsabilità in caso di ipotetici reati informatici ai danni del Sito come meglio riportato nella sezione 4 della presente informativa.
- Cookie
Il Sito raccoglie Dati utilizzando i cookie o tecnologie similari. Per ulteriori informazioni, La invitiamo a visitare la “ Cookie Policy” del Sito.
3.2. Dati forniti spontaneamente dall’Interessato
Il Sito in alcune sue parti, quali a titolo esemplificativo la registrazione ai Servizi online (c.d. intranet universitaria) per la gestione della carriera universitaria dello studente, la compilazione di specifici form per ottenere informazioni di maggiore dettaglio su richieste avanzate dall’utente oppure per l’iscrizione agli eventi organizzati dall’ Università, o ancora per usufruire del servizio di simulazione dei test di ammissione, richiede all’Interessato l’inserimento di alcuni dati personali (sia di tipo comune che categorie particolari di dati).
3.3. Dati di Terzi
Qualora Lei decidesse di fornirci Dati di terzi, La preghiamo di assicurarsi che questi soggetti siano stati preventivamente e adeguatamente informati sulle modalità e le finalità di trattamento qui indicate.
4. Servizi offerti dal Sito. Finalità del trattamento, base giuridica e periodo di conservazione dei dati personali
1. Gestione della sezione - Contattaci
Il Titolare mette a disposizione degli utenti la sezione - Contattaci attraverso la quale richiedere le informazioni di cui si ha bisogno. A tal fine è previsto un form per la raccolta di dati personali (nome, cognome, indirizzo e-mail, numero di telefono) e per le informazioni che si intende inviare all’Università.
Il conferimento dei dati da parte dell’utente è facoltativo ma in ogni caso necessario per contattare l’Università attraverso la sezione-Contatti.
Base giuridica del trattamento: art. 6, par.1, lett. b), GDPR “il trattamento dei dati è necessario all’esecuzione di un contratto di cui l’interessato è parte”.
Tempi di conservazione: i dati sono conservati per 12 mesi dalla ultima attività di risposta alla Sua richiesta.
4.2. Gestione della sezione - Incontra UniSR
Il Titolare mette a disposizione degli utenti la sezione - Incontra UniSr consistente nella possibilità di prenotare un colloquio individuale con l’ufficio orientamento al fine di conoscere meglio i corsi di laurea, le iniziative di orientamento, le modalità di accesso e gli sbocchi professionali. Per la pianificazione del meeting il titolare ha previsto un form di raccolta dati (nome, cognome, fuso orario dell’utente, numero di telefono, indirizzo e-mail).
Il conferimento dei dati da parte dell’utente è facoltativo ma in ogni caso necessario per pianificare il colloquio individuale con l’ufficio orientamento.
Base giuridica del trattamento: art. 6, par.1, lett. b), GDPR “il trattamento dei dati è necessario all’esecuzione di un contratto di cui l’interessato è parte”.
Tempi di conservazione: I dati personali sono conservati sino al compimento dell'evento.
4.3. Registrazione e creazione dell’area riservata all’interno della intranet di ateneo
Il Titolare ha creato la intranet di ateneo all’interno della quale ogni utente può, previa registrazione, creare la propria area riservata per gestire tutte le attività, anche di natura amministrativa, afferenti al proprio percorso di studi. Nell’ambito di specifiche attività inerenti alla gestione del percorso accademico è possibile che il Titolare sia tenuto anche alla raccolta di informazioni afferenti allo stato di salute o ad altre informazioni strettamente personali dell’interessato.
Il conferimento dei dati da parte dell’interessato è necessario per la gestione del relativo percorso accademico.
Base giuridica del trattamento: per i dati comuni ai sensi dell’art. 6, par.1, lett. b) GDPR “il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte”; eventualmente, con riguardo a categorie particolari di dati ai sensi dell’art.9, par.2, lett. g) GDPR in combinato disposto con l’art. 2-sexies, par.2, lett. bb) del Codice Privacy “il trattamento è necessario per l’esecuzione di un compito di interesse pubblico di cui è investito il Titolare del trattamento”.
Tempi di conservazione: i dati personali sono conservati a tempo indeterminato per tutta la vita dell'Ateneo.
4.4. Gestione delle richieste di iscrizione ad attività, iniziative ed eventi promossi da UniSR
Il Titolare del trattamento organizza periodicamente giornate openday, eventi che permettono agli studenti e relativi familiari di conoscere l’organizzazione di UniSR, attività che consentono all’utente di prepararsi ai test di ammissione attraverso momenti di simulazione degli stessi, nonché la possibilità per gli studenti (sia di scuola secondaria che dell’ateneo) di seguire le lezioni direttamente online. A tal fine all’interno del Sito ha inserito specifici form che consentono all’interessato di iscriversi alla singola attività. Il Titolare raccoglie dati anagrafici quali nome, cognome, indirizzo mail e, a seconda del caso, anche il codice fiscale, la scuola superiore di provenienza e la nazionalità.
Il conferimento dei dati da parte dell’utente è facoltativo ma in ogni caso necessario per la partecipazione all’attività di proprio interesse.
Base giuridica del trattamento: art. 6, par.1, lett. b), GDPR “il trattamento dei dati è necessario all’esecuzione di un contratto di cui l’interessato è parte”.
Tempi di conservazione: i dati personali sono conservati sino al compimento dell'evento.
4.5. Invio una tantum di questionari di gradimento/valutazione delle attività offerte da UniSr
Il Titolare del trattamento agli utenti che si registrano, tramite appositi form, alle singole attività organizzate da UniSr (si veda paragrafo 4.4.), tratta i dati personali contenuti negli stessi per la trasmissione agli iscritti di un apposito questionario di gradimento e valutazione dell’attività di interesse al fine ricevere un feedback sul servizio reso e comprendere le eventuali aree di miglioramento dello stesso.
Per il trattamento dei dati personali condivisi all’interno del questionario, il Titolare del trattamento rende apposita informativa privacy ex art. 13 del GDPR prima della compilazione dello stesso.
Base giuridica del trattamento: art. 6, comma 1, lett. f) del GDPR, “il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento”.
4.6. Invio periodico di questionari reputazionali
Il Titolare del trattamento, previa libera scelta dell’utente, tratta i dati personali contenuti nei form di registrazione a singole attività organizzate da UniSr, per la trasmissione agli utenti registrati di questionari – con cadenza periodica – reputazionali (“survey reputazionale”) al fine di comprendere i punti di forza e le eventuali aree di miglioramento e crescita.
Per il trattamento dei dati personali condivisi all’interno del questionario, il Titolare del trattamento rende apposita informativa privacy ex art. 13 del GDPR prima della compilazione dello stesso.
Base giuridica del trattamento: art. 6, par.1, lett. a), GDPR “il trattamento dei dati richiede il consenso dell’interessato”.
Il conferimento del consenso è facoltativo. L’interessato può in qualsiasi momento revocare il proprio consenso cliccando sulla voce unsubscribe/disiscriviti in calce alla comunicazione ricevuta oppure scrivendo al Titolare e/o al DPO all’indirizzo e-mail sopra indicato, ferma restando la liceità del trattamento basata sul consenso prestato prima della revoca.
4.7. Invio di comunicazioni di natura promozionale e di marketing
Il Titolare, previa libera scelta dell’utente, prevede l’invio di comunicazioni promozionali e marketing, compresa l’attività di newsletter, a seguito della compilazione di specifici form distribuiti all’interno del Sito per la raccolta di dati anagrafici (quali nome, cognome, indirizzo e-mail).
Base giuridica del trattamento: art. 6, par.1, lett. a), GDPR “il trattamento dei dati richiede il consenso dell’interessato”.
Il conferimento del consenso è facoltativo. L’interessato può in qualsiasi momento revocare il proprio consenso cliccando sulla voce unsubscribe/disiscriviti in calce alla comunicazione ricevuta oppure scrivendo al Titolare e/o al DPO all’indirizzo e-mail sopra indicato, ferma restando la liceità del trattamento basata sul consenso prestato prima della revoca.
Tempi di conservazione: i dati personali saranno conservati fino alla richiesta di revoca del consenso da parte dell’interessato.
4.8. Gestione delle richieste di informazione continua sui convegni scientifici organizzati dal CeNRI
Il Titolare mette a disposizione degli utenti nella sezione – Ricerca dedicata al Centro per la ricerca e l’innovazione infermieristica (CeNRI) un apposito form dal quale – inserendo nome, cognome e indirizzo e-mail – è possibile richiedere di essere costantemente informato sui convegni scientifici organizzati dal medesimo centro per la ricerca.
Il conferimento dei dati da parte dell’utente è facoltativo ma in ogni caso necessario per la gestione della richiesta.
Base giuridica del trattamento: art. 6, par.1, lett. b), GDPR “il trattamento dei dati è necessario all’esecuzione di un contratto di cui l’interessato è parte”.
Tempi di conservazione: i dati personali sono conservati per il periodo di 1 anno dall’ultima partecipazione ad un convegno organizzato dal CeNRI, salvo comunque la possibilità di disiscrizione, in ogni momento, dal servizio tramite il footer presente in calce a ciascuna comunicazione. In quest’ultimo caso i dati personali saranno immediatamente cancellati.
4.9. Accertamento, esercizio e difesa dei diritti in sede stragiudiziale e/o giudiziaria
Il Titolare, ove necessario, tratta i dati personali degli Interessati, raccolti per mezzo del Sito, al fine di accertare, esercitare o difendere un proprio diritto in sede stragiudiziale e/o giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali.
Base giuridica del trattamento: art. 6, comma 1, lett. f) del GDPR, “il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento”.
Tempi di conservazione: i dati personali saranno conservati per il periodo strettamente limitato alla durata del contenzioso, fino all’esaurimento dei termini di esperibilità delle azioni di impugnazione.
4.10. Sicurezza del Sito
Il Titolare, ove necessario, tratta i dati personali degli Interessati, raccolti per mezzo del Sito, al fine di assicurare la sicurezza dello stesso.
Base giuridica del trattamento: art. 6, comma 1, lett. f) del GDPR, “il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento”.
Tempi di conservazione: i dati personali saranno conservati per il periodo strettamente limitato a verificare la sicurezza del Sito.
5. Modalità di trattamento e comunicazione dei dati personali
Nel perseguimento delle finalità di cui al paragrafo 4 il trattamento dei dati personali è effettuato prevalentemente mediante mezzi elettronici o comunque automatizzati, in ogni caso, idonei a garantirne la sicurezza e la riservatezza, nonché a evitare accessi non autorizzati ai dati personali da parte di terzi. Ad ogni modo i dati personali potranno essere comunicati a:
- persone autorizzate dal Titolare al trattamento di dati personali (ai sensi dell’art. 29 GDPR e 2-quaterdecies Codice Privacy), in qualità di personale dipendente e/o collaboratore, che abbiano ricevuto adeguate istruzioni operative, si siano impegnate alla riservatezza o siano sottoposte ad un adeguato obbligo legale di riservatezza;
- persone, società o studi professionali che prestano attività di assistenza e consulenza al Titolare, debitamente nominati Responsabili del trattamento ai sensi dell’art. 28, GDPR. L’elenco nominativo dei responsabili del trattamento è a disposizione degli Interessati presso il Titolare. A titolo esemplificativo si riportano di seguito alcune categorie di soggetti che trattano i dati per conto del Titolare: società che offrono servizi di hosting, di comunicazione e marketing, di gestione dell’amministrazione universitaria;
- Soggetti, enti od autorità a cui la comunicazione dei dati personali dell’interessato sia obbligatoria in forza di disposizioni di legge o di ordini delle autorità competenti.
La gestione e la conservazione dei Dati avvengono su server del Titolare e/o di società terze nominate Responsabili del trattamento. Tali server sono ubicati all’interno dell’Unione europea.
6. Trasferimento dei dati fuori dall’Unione Europea
I Dati Personali non sono oggetto di trasferimento verso Paesi terzi rispetto all’Unione europea e allo Spazio Economico Europeo.
7. Diritti degli Interessati
7. Diritti degli Interessati
Ai sensi degli artt. dal 15 al 22 del GDPR, l’Interessato ha il diritto di ottenere, a cura del Titolare, la conferma che sia o meno in corso un trattamento di Dati Personali che la riguardano e in tal caso, di ottenere l’accesso ai suoi dati.
Inoltre, l’Interessato ha diritto di:
- ottenere dal titolare la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, ottenere l'accesso ai dati personali e a tutte le informazioni inerenti ai trattamenti posti in essere dal titolare;
- chiedere al titolare del trattamento la rettifica o la cancellazione dei dati o la limitazione del trattamento dei dati che la riguardano;
- opporsi al trattamento dei dati, fatto salvo il diritto del Titolare di valutare la Sua istanza, che potrebbe non essere accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui Suoi interessi, diritti e libertà;
- qualora i dati non siano raccolti presso l’Interessato, ricevere tutte le informazioni disponibili sulla loro origine;
- essere messo a conoscenza dell’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’art. 22, par. 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste per tale trattamento nei confronti dell’Interessato;
- nei casi e con i limiti previsti dal GDPR, dal Codice Privacy e da eventuali normative di settore, ottenere la portabilità dei dati, ossia riceverli dal Titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad un altro Titolare del trattamento senza impedimenti;
- revocare il consenso prestato per la finalità di cui al paragrafo 4.5, in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca.
Si informa altresì che ai sensi dell’art. 140-bis del Codice Privacy, l’Interessato potrà proporre reclamo al Garante per la Protezione dei Dati Personali o ricorso dinanzi all’Autorità Giudiziaria.
Le richieste vanno rivolte per iscritto al Titolare ovvero al DPO ai recapiti indicati in epigrafe.
La presente Informativa è in vigore dal 19/4/2024