Titolare del Trattamento dati:
Politecnico di Milano - Direttore Generale su delega del Rettore pro-tempore – contatto: dirgen@polimi.it
Responsabile della protezione dei dati: privacy@polimi.it , tel.: 0223999378
Finalità dei trattamenti e base giuridica
La presente informativa riguarda i trattamenti di dati personali effettuati nell’ambito dell’erogazione dei servizi offerti agli Utenti attraverso i sistemi informatici dell’Ateneo. Nello specifico si fa qui riferimento ad informazioni personali non primarie, ovvero non strettamente connesse, ad esempio, ai trattamenti a supporto dei processi amministrativi.
Tali dati personali, raccolti dall’Ateneo in qualità di Titolare del trattamento (di seguito “Ateneo” o “Titolare”), saranno trattati per la corretta e completa esecuzione dei servizi (di seguito “Servizi”) offerti agli Utenti, compresi:
- i sistemi di identificazione degli Utenti (es. credenziali, badge)
- i servizi online messi a disposizione degli utenti, eventualmente forniti da terze parti
- le reti cablate o Wi-Fi alle quali gli utenti accedono, eventualmente attraverso dispositivi personali (es. computer portatili, tablet, smartphone)
- le postazioni informatiche fisse e mobili in dotazione al personale amministrativo/docente, o fruibili da studenti e da eventuali visitatori
- i sistemi di controllo accessi ad aule, laboratori e spazi dell’Ateneo
- i sistemi di videosorveglianza
- i sistemi di telefonia fissa e mobile
I dati dell’Utente, forniti volontariamente o comunque raccolti nella fruizione dei Servizi previa richiesta di consenso ove necessario, saranno trattati dal Titolare per le seguenti finalità:
- per finalità istituzionali e amministrative;
- per adempiere ad ogni obbligo di legge connesso al rapporto dell’Utente con l’Ateneo;
- finalità inerenti l’erogazione dei Servizi richiesti (es: registrazione al portale dell’Ateneo, accesso all’area riservata, utilizzo delle reti Wi-Fi dell’Ateneo, ecc.)
- finalità di ricerche/analisi statistiche su dati aggregati o anonimi, senza dunque possibilità di identificare l’Utente e volti ad esempio a valutare e monitorare il funzionamento dei Servizi;
- per adempiere a specifici obblighi derivanti dalla legge o da regolamenti;
- per garantire la protezione dei dati e/o dei sistemi informatici o per supportare attività di setup e troubleshooting dei servizi o per vincoli di natura tecnico/sistemistica
- per far valere o difendere diritti in giudizio o in fasi ad esso propedeutiche in caso di abusi e/o attività illecite operate dagli interessati o da terzi nell’ambito delle attività di cui alle finalità 1), 2), 3), 4), 5), 6).
Destinatari dei dati personali ed eventuali trasferimenti di dati all'estero
I dati personali potranno essere trattati da dipendenti o collaboratori del Titolare che, operando sotto la diretta autorità di quest’ultimo, sono nominati responsabili o autorizzati del trattamento e ricevono al riguardo adeguata formazione ed istruzioni operative.
I dati personali non saranno oggetto di comunicazione verso terzi, se non nei confronti di:
- soggetti, enti o Autorità, verso i quali la comunicazione sia obbligatoria in forza di disposizioni di legge o di regolamento.
- fornitori, limitatamente alle necessità strettamente connesse all’erogazione dei servizi di cui sopra
Tempo di conservazione dei dati personali
I dati raccolti saranno conservati per i tempi stabiliti dalla normativa vigente o dai regolamenti d’Ateneo.
Diritti degli interessati
L’interessato ha diritto a:
- Chiedere al titolare, ai sensi degli artt. 16, 17, 18, 19 e 21 del Regolamento (UE) 2016/679, l’accesso ai propri dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento. Data la natura dei dati, potrebbero risultare non consentite azioni di rettifica o cancellazione e, in taluni casi, l’opposizione al trattamento potrebbe pregiudicare l’accesso a specifici servizi.
- Proporre reclamo a un’autorità di controllo.
Modalità di trattamento
Il trattamento dei dati personali avverrà mediante strumenti manuali, informatici e telematici comunque idonei a garantire la sicurezza e la riservatezza dei dati stessi.
Sono adottate misure di sicurezza, in conformità alle previsioni dell’art. 32 del GDPR per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati ed in rispondenza con la Circolare AgID n. 2/2017 “Misure minime di sicurezza ICT per le pubbliche amministrazioni”.
Nell'ambito degli accessi alla rete effettuati utilizzando gli strumenti di lavoro in dotazione (PC, tablet, smartphone), può essere effettuato un controllo sul traffico Internet crittografato (siti https) finalizzato alla prevenzione di reati che possano rappresentare una potenziale compromissione dell'ambiente informatico.
Con riferimento a tutti gli utenti, potrebbero essere operate estrazioni ed elaborazioni dei file di log (relativi alle attività compiute attraverso i Servizi) per identificare i responsabili di abusi e/o attività illecite operate dagli interessati o da terzi.
Tipologie di dati trattati
I dati trattati sono riconducibili ai seguenti ambiti:
Dati di navigazione ed utilizzo delle applicazioni e dei servizi
I sistemi informatici dell’Ateneo, le procedure software e gli applicativi che ne supportano il funzionamento e l’erogazione dei servizi acquisiscono, nel corso del loro normale esercizio, alcuni dati personali sull’utilizzo degli applicativi messi a disposizione dall’Ateneo.
Suddetti dati non vengono raccolti per essere posti in relazione con le attività di soggetti identificati, tuttavia per loro stessa natura, attraverso successive elaborazioni ed eventuali integrazioni con dati detenuti da terzi, potrebbero venire correlati agli utenti.
In questa categoria di dati rientrano ad esempio: la data e l’ora della richiesta, gli l’indirizzi IP del server e del richiedente, il nome del server, il protocollo, la porta ed il metodo (POST/GET) utilizzati per sottoporre la richiesta al server, il browser impiegato, lo username, il servizio acceduto, le risorse richieste e gli eventuali cookie associati, il numero di byte inviati e ricevuti, il codice di errore restituito, il tempo richiesto per l’esecuzione della richiesta.
Nell’ambito dell’interazione di un utente con servizi web resi disponibili dall’Ateneo in un contesto autenticato, vengono tracciate su log informazioni di base relative all’accesso al singolo servizio (timestamp, username, servizio) ed informazioni di sessione strutturate in conformità al formato W3C standard www.w3.org/TR/WD-logfile.html.
Per la gestione del single sign on ai servizi vengono utilizzati cookie di sessione.
Al fine di supportare elaborazioni aggregate di carattere statistico sull’uso dei servizi, vengono utilizzati cookie anonimi con registrazione limitata alle seguenti informazioni: lingua di visualizzazione, paese e città di provenienza, browser utilizzato, sistema operativo, provider del servizio internet, risoluzione schermo.
Dati di connessione alla rete di Ateneo
A fronte dell’accesso da parte di un utente ai servizi di rete (ad esempio: connessione alla rete dati wired/wireless autenticata, utilizzo di una postazione gestita, assegnazione dinamica di un IP address, accesso da remoto tramite VPN, utilizzo di proxy, ecc.), vengono registrati nei log generati dai sistemi e dagli apparati alcuni dati tecnici specifici relativi al servizio acceduto. Ad esempio: indirizzo IP dell’utente, data e ora di connessione, MAC address e nome del dispositivo dal quale viene effettuato l’accesso, ID utente, tipo di rete utilizzata, ecc.
Si tratta di informazioni che non vengono raccolte per essere poste in relazione con l’attività di soggetti identificati, tuttavia per loro stessa natura, attraverso successive elaborazioni ed eventuali integrazioni con dati detenuti da terzi, potrebbero essere correlate agli utenti a fronte di specifiche richieste o segnalazioni ad esempio da parte dell’autorità giudiziaria.
La presente informativa potrà essere oggetto di successivi aggiornamenti ed integrazioni, si invita pertanto a prenderne periodicamente visione.
Nel caso di postazioni gestite dall’Ateneo è attiva la TLS inspection, che consente ai firewall di effettuare un controllo automatizzato approfondito per la rilevazione delle minacce che possono danneggiare il patrimonio dell’Ateneo. Tale controllo viene effettuato nel rispetto del principio di minimizzazione e limitazione dei dati raccolti: non vengono registrati e/o conservati i contenuti (payload) del traffico e sono state previste exclusion list automatiche per determinate categorie di siti riferiti al settore sanitario o bancario.
Ultimo aggiornamento: 9 febbraio 2023