PREMESSA
Accordo per la partecipazione al Polo RMS del Servizio Bibliotecario Nazionale (SBN)
PREMESSA
Il Sistema Bibliotecario Sapienza (SBS) e il Liceo Scientifico Linguistico Classico Amaldi (di seguito “Ente sottoscrittore”) afferendo al Polo RMS del Servizio Bibliotecario Nazionale (SBN), collaborano insieme agli altri soggetti aderenti allo sviluppo e alla gestione di un sistema informativo bibliografico e documentale territoriale e alla definizione di un servizio bibliotecario quale strumento di cooperazione interbibliotecaria, diffusione di servizi anche digitali ai lettori, articolazione del Servizio Bibliotecario Nazionale e partecipazione ad eventuali iniziative europee. Il Sistema Bibliotecario Sapienza identifica il Referente di Polo.
Art. 1. Attività connesse alla partecipazione al Polo
Il Sistema Bibliotecario Sapienza e l’Ente sottoscrittore si impegnano nello specifico a
a. incrementare il catalogo collettivo SBN tramite l’inserimento dei dati catalografici e/o inventariali relativi al proprio patrimonio
b. partecipare, secondo le proprie disponibilità, ad attività e programmi condivisi finalizzati al miglioramento della qualità dei servizi o all’introduzione di nuovi
c. garantire l'adozione di tutti gli standard, circolari e linee guida previsti
d. garantire la circolazione dei documenti in originale o in copia tramite prestito interbibliotecario
e. provvedere alla formazione e all'aggiornamento degli addetti a SBN secondo gli indirizzi scientifici e tecnici forniti dall'ICCU e definiti dal Polo
f. provvedere al reperimento dei finanziamenti relativi all’attivazione di SBN e dotarsi dei servizi informatici necessari, contribuendo in specifici casi alle spese per la gestione del polo nell'ambito delle disponibilità finanziarie dei singoli bilanci di esercizio e per mezzo di altri eventuali finanziamenti al fine di garantire continuità alla partecipazione alla rete SBN
g. condividere mezzi e modalità in relazione alla tutela dei dati personali
h. comunicare tempestivamente al referente di Polo tutte le iniziative che riguardano attività catalografiche che possono aver impatto a livello di Polo.
Il Referente di Polo si impegna a
i. diffondere a tutte le biblioteche le informazioni ricevute dall'ICCU sulle attività dell'Indice e della rete
x. svolgere il ruolo di riferimento e coordinatore delle biblioteche per ogni tipo di iniziativa che si renda necessaria nell’ambito della cooperazione.
SBS si impegna a
k. garantire l’accesso all’applicativo per la gestione integrata delle biblioteche in uso, anche tramite il supporto tecnico di InfoSapienza, il Centro con funzioni di programmazione e sviluppo tecnologico finalizzato al supporto della ICT/Information Communication Technology di Sapienza Università di Roma;
l. comunicare tempestivamente in caso di malfunzionamenti (ossia un disservizio che non consente l’ordinaria fruibilità dell’applicativo) o interruzioni di servizio (ossia la non disponibilità dell’applicativo per la gestione integrata delle biblioteche per un tempo superiore a 20 minuti consecutivi o nell’arco di un’ora) e di attivarsi presso InfoSapienza per la loro risoluzione.
Per l’assistenza di natura tecnica su specifiche funzionalità dell’applicativo, gli Enti sottoscrittori devono rivolgersi direttamente alla società che lo gestisce (a seguito di eventuali contratti individuali di manutenzione ordinaria).
Art. 2. Trattamento di dati personali (ex art. 26 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE)
La partecipazione al Polo SBN presuppone l’uso dell’applicativo per la gestione integrata delle biblioteche che permette di condividere dati catalografici e anagrafiche utenti con lo scopo di massimizzare l'efficienza e l'efficacia dei servizi bibliotecari erogati.
È necessario quindi definire finalità e modalità del trattamento, oltre agli obblighi in merito al diritto degli interessati e i rispettivi ruoli in merito alla comunicazione dell’informativa.
Art. 3. Ruoli e attività di trattamento di dati personali
3.1 Gli Enti sottoscrittori e i soggetti aderenti agiscono in regime di contitolarità dei trattamenti di dati personali, ai sensi e per gli effetti di cui all’art. 26 del Regolamento (EU) 2016/679.
3.2 I dati sono trattati dagli enti sottoscrittori e dai soggetti aderenti limitatamente alle finalità sopra descritte.
3.3 Ciascun Contitolare nomina quale Referente per la gestione dei dati, il Responsabile identificato da Sapienza.
3.4 Le Parti si impegnano altresì, ai sensi dell’art. 26, comma 2, del Regolamento (EU) 2016/679, a mettere a disposizione dell’interessato il contenuto essenziale del presente Accordo.
3.5 I Contitolari curano gli adempimenti derivanti dalla normativa in materia di protezione dei dati personali. Per assicurare omogeneità e flussi comunicativi sono utilizzati strumenti di condivisione di documenti e comunicazioni.
3.6 La ditta che opera come Gestore tecnologico dei sistemi e dell’applicativo per la gestione integrata delle biblioteche è nominata Responsabile esterno del trattamento dei dati personali e si impegna a prendere visione in ogni sua parte e rispettare pienamente la “Disciplina per il trattamento dei dati personali da parte del Responsabile esterno del trattamento dei dati” adottata da Sapienza e pubblicata sul sito istituzionale xxx.xxxxxxx0.xx. Il Responsabile esterno è autorizzato al trattamento dei dati personali secondo le finalità, l’ambito e le modalità descritte nella Scheda di descrizione del trattamento dei dati personali (Allegato C). Il Gestore esterno attua idonee e adeguate misure tecniche e organizzative al fine di mitigare eventuali rischi di violazione di dati. I compiti del Gestore possono essere i seguenti:
a. effettua l’attività di progettazione, sviluppo e manutenzione evolutiva, in aderenza alle Linee Guida di sicurezza nello sviluppo delle applicazioni pubblicate da AGID e, in ogni caso, garantendo misure di sicurezza adeguate ai rischi correlati ai trattamenti;
b. nella sua qualità di Responsabile del trattamento ex art. 28 del Regolamento UE 2016/679, tratta i dati personali solo ai fini dell’esecuzione dell’oggetto del contratto di affidamento delle attività di progettazione, sviluppo e manutenzione evolutiva;
c. non trasferisce i dati personali a soggetti terzi, se non a fronte di quanto disciplinato nel presente accordo;
d. adotta procedure atte a garantire l’aggiornamento, la modifica, la correzione e la cancellazione, su richiesta di SBS, dei dati personali di ogni interessato e/o a conformarsi alle istruzioni fornite in materia;
e. assicura la massima collaborazione al fine dell’esperimento delle valutazioni di impatto ex art. 35 del GDPR che SBS intenderà esperire sui trattamenti che rivelano, a Suo insindacabile giudizio, un rischio elevato per i diritti e le libertà delle persone fisiche;
f. implementa appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati;
g. conserva, direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema nell’applicativo per la gestione integrata delle biblioteche;
h. dà attuazione alla prescrizione di cui al punto 2 lettera e) “Verifica delle attività” del Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”;
i. adotta misure tecniche ed organizzative adeguate a salvaguardare la sicurezza di qualsiasi rete di comunicazione elettronica o dei servizi forniti al Polo, con specifico riferimento alle misure intese a prevenire l'intercettazione di comunicazioni o l'accesso non autorizzato a qualsiasi computer o sistema di propria competenza;
j. assicura massima cooperazione e assistenza al fine di dare effettività alle azioni di mitigazione previste da SBS per affrontare rischi correlati al trattamento;
x. xxxxxxxxxx competenze ed affidabilità dei propri dipendenti e collaboratori autorizzati al trattamento dei dati personali;
l. previa informazione al Committente è autorizzato alla designazione di altri responsabili del trattamento (d’ora in poi anche “sub-responsabili”), imponendo agli stessi condizioni vincolanti in materia di trattamento dei dati personali non meno onerose di quelle contenute nel presente Accordo;
m. in tutti i casi, si assume la responsabilità nei confronti degli enti Contitolari per qualsiasi violazione od omissione realizzati da un Sub-Responsabile o da altri terzi soggetti incaricati dallo stesso, indipendentemente dal fatto che il Responsabile del trattamento abbia o meno rispettato i propri obblighi contrattuali, ivi comprese le conseguenze patrimoniali derivanti da tali violazioni od omissioni;
n. non effettua trasferimenti dei dati personali oggetto di trattamento al di fuori dell’Unione Europea;
o. provvede alla restituzione o cancellazione dei dati personali trattati per l’esecuzione delle attività sopra indicate al termine dell’affidamento;
p. si rende disponibile a specifici audit in tema di privacy e sicurezza informatica da parte del Polo;
q. in virtù di quanto previsto dall’art. 33 del Regolamento e nei limiti di cui al perimetro delle attività affidate, deve comunicare a mezzo di posta elettronica certificata nel minor tempo possibile, e comunque non oltre 24 (ventiquattro) ore da quando ne abbia avuto notizia, qualsiasi violazione di sicurezza che abbia comportato accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati, ivi incluse quelle che abbiano riguardato i propri sub-Fornitori. Tale comunicazione deve contenere ogni informazione utile alla gestione del data breach, oltre a:
i. descrivere la natura della violazione dei dati personali
ii. le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
iii. i recapiti del DPO nominato o del soggetto competente alla gestione del data breach;
iv. la descrizione delle probabili conseguenze della violazione dei dati personali;
v. una descrizione delle misure adottate o che si intende adottare per affrontare la violazione della sicurezza, compreso, ove opportuno, misure per mitigare i suoi possibili effetti negativi
r. fornisce tutto il supporto necessario ai fini delle indagini e sulle valutazioni in ordine alla violazione di dati, anche al fine di individuare, prevenire e limitare gli effetti negativi della stessa, conformemente ai suoi obblighi ai sensi del presente articolo e per svolgere qualsiasi azione che si renda necessaria per porre rimedio alla violazione stessa;
s. amministra il database curandone tutti gli aspetti che non attengono la gestione sistemistica (es: progettazione logica, integrità dei dati, ecc.) e all’applicazione dei principi di privacy by design e privacy by default;
t. cura alcuni aspetti della gestione delle password (a titolo esemplificativo, cifratura, caratteristiche di robustezza della password, ecc.), salvo il caso in cui gli enti sottoscrittori utilizzino un sistema diverso.
Art. 4. Informativa per il trattamento dei dati personali
4.1 Ciascuno dei Contitolari monitora l’aggiornamento e l’adeguatezza dell’informativa per il trattamento dei dati personali da rendere agli interessati ai sensi dell’art. 13 del Regolamento (EU) 2016/679.
4.2 Nei casi in cui i dati siano raccolti in presenza fisica dell’interessato, l’informativa per il trattamento dei dati personali definita dai Contitolari è fornita dalla biblioteca presso la quale il dato è stato raccolto secondo il modello A in allegato. Per gli utenti esterni, l’informativa per il trattamento dei dati è disponibile nel modello B in allegato.
4.3 In ogni caso l’informativa per il trattamento dei dati personali è messa a disposizione degli utenti con modalità telematiche.
4.4 I Contitolari possono utilizzare i dati personali degli utenti per finalità ulteriori compatibili, ai sensi e nei limiti del Considerando 50 e dell’art. 6 par. 4 del Regolamento (EU) 2016/679.
Art. 5. L’esercizio dei diritti da parte degli interessati
5.1 Gli interessati possono esercitare i diritti loro riconosciuti dalla normativa in materia di protezione dei dati personali, presentando istanza nei confronti di qualsiasi Ente aderente al Polo, direttamente nelle biblioteche o tramite modalità telematiche.
5.2 L’Ente destinatario dell’istanza informa senza indugio gli altri Contitolari e, sulle indicazioni di questi, procede al riscontro all’interessato nei termini previsti dalla normativa.
5.3 Al fine di semplificare le modalità di inoltro e di ridurre i tempi per il riscontro, nell’informativa per il trattamento dei dati personali viene suggerito agli interessati di utilizzare un unico punto di contatto.
5.4 Le Parti possono addebitare all’interessato un contributo spese ragionevole basato sui costi amministrativi solo nel caso in cui siano richieste più copie di dati in formato cartaceo.
5.5 Le parti conservano i dati personali degli interessati per un periodo non superiore a quello necessario per il perseguimento delle attività all’art. 1 del presente accordo. Nei casi in cui l’utente richieda la cancellazione dei propri dati personali le Parti eliminano ogni dato personale in proprio possesso ad esso riferito, ad eccezione dei casi in cui vi siano transazioni (ad esempio prestiti) in corso.
Art. 6. Le misure di sicurezza
6.1 I Contitolari utilizzano sistemi affidabili che garantiscano la sicurezza dei procedimenti, in conformità ai criteri riconosciuti in ambito europeo o internazionale, allineando le proprie procedure di sicurezza agli standard internazionali.
6.2 Gli Stessi implementano misure adeguate a prevenire ogni possibile contraffazione, nonché idonee anche a garantire la riservatezza, l’integrità e la sicurezza del procedimento e delle attività di generazione delle credenziali di accesso.
6.3 I Contitolari formano adeguatamente i soggetti autorizzati al trattamento di dati personali.
6.4 I Contitolari, nell’ambito della gestione tecnologica del servizio, effettuano attività di monitoraggio della sicurezza degli strumenti informatici.
Art. 7 Disservizi, incidenti di sicurezza e data breach
7.1 Gli Enti sottoscrittori e i soggetti aderenti al Polo RMS in qualità di Contitolari comunicano immediatamente a InfoSapienza qualsiasi distruzione, perdita, alterazione, divulgazione o accesso non autorizzato ai dati e alle informazioni trattate.
7.2 InfoSapienza comunica agli Enti sottoscrittori e ai soggetti aderenti eventuali malfunzionamenti e/o interruzioni di servizio (programmate e non). Per malfunzionamento si intende un disservizio che non consenta l’ordinaria fruibilità dell’applicativo per la gestione integrata delle biblioteche. Per Interruzione di Servizio si intende la non disponibilità dell’applicativo per la gestione integrata delle biblioteche per un tempo superiore a 20 minuti consecutivi o nell’arco di un’ora.
7.3 Nel caso di ricezione di informazioni inerenti una presunta violazione, i Contitolari, in aderenza agli artt. 33 e 34 del Regolamento (UE) 2016/679, valutano congiuntamente la probabilità che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche e procede all’eventuale notifica.
7.4 In tali casi, InfoSapienza, anche alla luce delle indicazioni fornite dai Contitolari
a. prepara il personale ad affrontare situazioni anomale e non codificate;
b. minimizza i danni relativi all’incidente e ne impedisce la propagazione;
c. gestisce correttamente il processo di ripristino dei sistemi e delle applicazioni;
d. acquisisce nel modo appropriato le eventuali evidenze digitali di reato.
7.5 I Contitolari, nei casi di cui al comma 3:
a. individuano congiuntamente i parametri atti ad identificare un incidente di sicurezza e/o data breach;
b. gestiscono correttamente il processo di notifica al Garante e di comunicazione agli interessati;
c. documentano qualsiasi violazione dei dati personali, anche qualora non sia stata oggetto di comunicazione all’Autorità Garante per la protezione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio, inviando tale documentazione agli enti contitolari tramite un canale di comunicazione (posta elettronica) appositamente individuato.
Art. 8 Registro delle attività di trattamento
8.1 I Contitolari, in aderenza all’art. 30 del Regolamento (UE) 2016/679 con riferimento ai trattamenti di dati personali effettuati di cui all’art. 1.2, riportano, nel proprio registro dei trattamenti, tutte le informazioni richieste dalla norma.
8.2 Nel registro dei trattamenti deve specificatamente essere riportato che tali trattamenti di dati personali sono effettuati in regime di contitolarità.
Art. 9 Durata dell’accordo
9.1 La durata del presente accordo è correlata alla somministrazione dei servizi bibliotecari del Polo RMS.
9.2 Il presente accordo deve intendersi risolto nel caso di cessazione della somministrazione del servizio.
Art. 10 Miscellanea
10.1 Le eventuali modifiche al presente Accordo sono apportate per iscritto.
10.2 L’invalidità, anche parziale, di una o più delle clausole del presente Accordo non pregiudica la validità delle restanti clausole.
Luogo e data
Roma, 27 aprile 2022
IL DIRIGENTE SCOLASTICO
Prof.ssa Xxxxx Xxxxxxx Xxxxxxx*
(*) Il documento è firmato digitalmente
ai sensi del D.Lgs. 82/2005 s.m.i. e norme collegate
e sostituisce il documento cartaceo e la firma autografa.
.
Firmato da:
Dirigente Scolastica
Prof.ssa XXXXX XXXXXXX XXXXXXX 27/04/2022 09:57:59
Allegato A
INFORMATIVA PER GLI UTENTI INTERNI DEL POLO RMS
Ai sensi degli artt. 13 e 14 del Regolamento UE n. 679/2016 del 27.04.2016 “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”) e del D.Lgs. n. 196/2003 “Codice in materia di protezione dei dati personali”, come modificato dal D.Lgs. n. 101 del 10.08.2018, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento europeo
Titolare del trattamento dei dati e informazioni di contatto | Sapienza Università di Roma nella persona del legale rappresentante pro tempore domiciliato per la carica in Xxxxxxxx Xxxx Xxxx x. 0, 00000 Xxxx E-mail: xxxxxxxxxxxxxxxx@xxxxxxx0.xx Pec: xxxxxxxxxxxxxxxxxx@xxxx.xxxxxxx0.xx |
Contitolare del trattamento e informazioni di contatto | IIS “Xxxxxxx Xxxxxx” nella persona del legale rappresentante pro tempore domiciliato per la carica in Xxx Xxxxxxxx Xxxxxxxxxx 00, 00000 Xxxx mail: …xxxx000000@xxxxxxxxxx.xx Pec: xxxx000000@xxx.xxxxxxxxxx.xx |
Responsabile della protezione dei dati (DPO) | Dati di contatto: e-mail: xxxxxxxxxxxxxxxxxxxxxxxxxx@xxxxxxx0.xx Pec: xxx@xxxx.xxxxxxx0.xx |
Base giuridica del trattamento | Ai sensi dell’art. 6, lett. e, del Regolamento, “il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. In particolare, il trattamento dei dati personali viene effettuato per fornire un servizio bibliotecario integrato tra tutte le biblioteche che afferiscono al Polo (ad es. la gestione del prestito, l’invio di comunicazioni inerenti il servizio bibliotecario ecc.). |
Descrizione del trattamento | I Contitolari trattano i dati per le finalità istituzionali connesse con l’Accordo per la partecipazione al Polo RMS del Servizio Bibliotecario Nazionale (SBN) avvalendosi del software “Sebina” prodotto da “DM Cultura”. I dati sono raccolti all’interno dell’applicativo Sebina al fine di consentire agli utenti (personale docente, tecnico amministrativo e popolazione studentesca del Polo RMS) di accedere ai servizi centralizzati offerti dalla biblioteca e, di conseguenza, dal Sistema Bibliotecario Sapienza e dalle altre biblioteche del Polo SBN (consultazione e prestito patrimonio bibliografico e documentale su supporto cartaceo e elettronico, prestito interbibliotecario e document delivery, reference, ecc.) e per informazioni sulle attività e servizi offerti. I dati sono trattati, inoltre, ai fini della verifica dei requisiti di iscrizione. I dati possono essere oggetto di trattamento in forma anonima per lo svolgimento di attività statistiche e rilevazioni del grado di soddisfazione finalizzate al miglioramento dei servizi offerti. Nell’ipotesi in cui la biblioteca eroghi servizi specificamente o esclusivamente rivolti a utenti con disabilità (es. postazioni o dispositivi con tecnologie assistive, ecc.) saranno trattate le categorie particolari di dati specificate nella sezione “Natura dei dati”. |
Natura dei dati | Personali: Dati anagrafici e di contatto (indirizzo di residenza/domicilio, telefono, email), estremi documento identificativo, dati di carriera accademica. Categorie particolari di dati personali: È altresì possibile che la biblioteca tratti dati relativi alle condizioni di salute (in particolare, dati relativi a disabilità motorie e/o sensoriali) nel caso eroghi servizi specificamente o esclusivamente rivolti a utenti con disabilità (es. postazioni o dispositivi con tecnologie assistive, ecc.). |
Quali sono i dati personali strettamente necessari per perseguire la finalità descritta | Dati anagrafici,di contatto e categorie particolari di dati personali (come specificati nella sezione “Natura dei dati”). |
Modalità per fornire l’informativa e, ove necessario, acquisire il consenso | Le informazioni inerenti il trattamento di dati personali per questa finalità devono essere rese nel momento in cui l’utente richiede di usufruire di un servizio della biblioteca. |
Natura del conferimento dei dati e conseguenze di un eventuale rifiuto | Il conferimento dei dati è necessario per consentire all’utente di fruire dei servizi bibliotecari. La mancata comunicazione comporta l’impossibilità ad accedere ai suddetti servizi. |
Archiviazione e conservazione (tempi, modi, quali dati) | I dati verranno gestiti e conservati, in formato elettronico, mediante il software “Sebina” prodotto da “DM Cultura”, i cui server di hosting sono presso il Centro InfoSapienza di Sapienza Università di Roma. |
“DM Cultura” è stata nominata Responsabile esterno del trattamento dei dati personali ai sensi dell’art. 28 del GDPR e la nomina è stata formalizzata attraverso l’accettazione delle condizioni contrattuali. I dati raccolti verranno conservati per il tempo necessario al raggiungimento della finalità indicata, in conformità alla normativa nazionale ed europea in materia di protezione dei dati personali (Regolamento Generale sulla protezione dei dati GDPR) I tempi di conservazione sono strettamente dipendenti dall’esistenza di vincoli di archiviazione di tali informazioni. | |
Diritti dell’interessato | L’interessato ha il diritto di esercitare, ricorrendone le condizioni, tutti i diritti previsti dagli artt. 15 e ss. del Regolamento. In particolare, l’interessato ha il diritto di chiedere l’accesso ai dati personali ai sensi dell’art. 15 del Regolamento, la rettifica degli stessi ai sensi dell’art. 16 del Regolamento, la cancellazione degli stessi ai sensi dell’art. 17 del Regolamento (ove quest’ultima non contrasti con la normativa vigente sulla conservazione dei dati stessi e con la necessità di tutelare, in caso di contenzioso giudiziario, l’Università ed i professionisti che li hanno trattati) o la limitazione del trattamento ai sensi dell’art. 18 del Regolamento, ovvero potrà opporsi al loro trattamento ai sensi dell’art. 21 del Regolamento, oltre a poter esercitare il diritto alla portabilità dei dati ai sensi dell’art. 20 del Regolamento. |
Modalità di esercizio dei diritti e reclamo all’Autorità Garante per la Protezione dei dati personali | Fermo restando quanto sopra specificato, l’interessato può far valere i suoi diritti ai sensi degli articoli 15-22 del GDPR contattando, come concordato con la parte contitolare, ai seguenti indirizzi email: xxx@xxxxxxx0.xx xxxxxxxxxxxxxxxxxxxxxxxxxx@xxxxxxx0.xx Per ulteriori informazioni, l’interessato può consultare il Vademecum per l’esercizio dei diritti pubblicato sulla pagina web xxxxx://xxx.xxxxxxx0.xx/xx/xxxxxx/xxxxxxx-xxxxxxx nell’apposita sezione “Esercizio dei diritti in materia di protezione dei dati personali”. In caso di violazione delle disposizioni del Regolamento, l’interessato ha altresì il diritto di proporre reclamo all’Autorità di controllo ai sensi dell’art. 77 del Regolamento. In Italia, tale funzione è esercitata dal Garante per la Protezione dei dati personali (xxxxx://xxx.xxxxxxxxxxxxxx.xx). |
Note sui diritti dell’interessato | La cancellazione è possibile solo dopo l’espletamento degli obblighi di legge o del regolamento interno (es. completata restituzione di materiale bibliografici e documentali in prestito, ecc.) e in assenza di vincoli archivistici. |
Categorie di interessati | Personale docente, tecnico amministrativo, popolazione studentesca di Sapienza del Polo RMS |
Categorie di destinatari | Biblioteca, altre biblioteche del Polo di appartenenza, Sistema Bibliotecario Sapienza. Eventuali aziende/cooperative che prestano servizio per le biblioteche dell’ente. Biblioteche di altre istituzioni e università, nel caso in cui i servizi bibliotecari siano integrati con quelli di altri enti sottoscrittori di una convenzione ad hoc (prestito interbibliotecario/document delivery). |
Comunicazione e trasferimento all’estero | Per l’erogazione dei servizi il Titolare e il Responsabile del trattamento si avvalgono di supporti informatici che possono trovare ubicazione al di fuori del territorio dell’Unione Europea (in particolare, nel caso di utilizzo in cloud di soluzioni Integrated Library Systems (ILS) ed altri applicativi per servizi di biblioteca quali Discovery tool, link resolver, Ask a librarian, ecc.). Pertanto, i dati personali raccolti possono essere comunicati all’estero. |
Allegato B
INFORMATIVA PER GLI UTENTI ESTERNI DEL POLO RMS
Ai sensi degli artt. 13 e 14 del Regolamento UE n. 679/2016 del 27.04.2016 “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”) e del D.Lgs. n. 196/2003 “Codice in materia di protezione dei dati personali”, come modificato dal D.Lgs. n. 101 del 10.08.2018, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento europeo
Titolare del trattamento dei dati e informazioni di contatto | Sapienza Università di Roma nella persona del legale rappresentante pro tempore domiciliato per la carica in Xxxxxxxx Xxxx Xxxx x. 0, 00000 Xxxx E-mail: xxxxxxxxxxxxxxxx@xxxxxxx0.xx Pec: xxxxxxxxxxxxxxxxxx@xxxx.xxxxxxx0.xx |
Contitolare del trattamento e informazioni di contatto | IIS “Xxxxxxx Xxxxxx” nella persona del legale rappresentante pro tempore domiciliato per la carica in Xxx Xxxxxxxx Xxxxxxxxxx 00, 00000 Xxxx mail: …xxxx000000@xxxxxxxxxx.xx Pec: xxxx000000@xxx.xxxxxxxxxx.xx |
Responsabile della protezione dei dati (DPO) | Dati di contatto: e-mail: xxxxxxxxxxxxxxxxxxxxxxxxxx@xxxxxxx0.xx Pec: xxx@xxxx.xxxxxxx0.xx |
Base giuridica del trattamento | Ai sensi dell’art. 6, lett. e, del Regolamento, “il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. In particolare, il trattamento dei dati personali viene effettuato per fornire un servizio bibliotecario integrato tra tutte le biblioteche che afferiscono al Polo (ad es. la gestione del prestito, l’invio di comunicazioni inerenti il servizio bibliotecario ecc.). |
Descrizione del trattamento | I Contitolari trattano i dati per le finalità istituzionali connesse con l’Accordo per la partecipazione al Polo RMS del Servizio Bibliotecario Nazionale (SBN) avvalendosi del software “Sebina” prodotto da “DM Cultura”. I dati sono raccolti all’interno dell’applicativo “Sebina” al fine di consentire agli utenti di accedere ai servizi centralizzati offerti dalla biblioteca e, di conseguenza, dal Sistema Bibliotecario Sapienza e dalle altre biblioteche del Polo SBN (consultazione e prestito patrimonio bibliografico e documentale su supporto cartaceo e elettronico, prestito interbibliotecario e document delivery, reference, ecc.) e per informazioni sulle attività e servizi offerti. I dati sono trattati, inoltre, ai fini della verifica dei requisiti di iscrizione. I dati possono essere oggetto di trattamento in forma anonima per lo svolgimento di attività statistiche e rilevazioni del grado di soddisfazione finalizzate al miglioramento dei servizi offerti. Nell’ipotesi in cui la biblioteca eroghi servizi specificamente o esclusivamente rivolti a utenti con disabilità (es. postazioni o dispositivi con tecnologie assistive, ecc.) saranno trattate le categorie particolari di dati specificate nella sezione “Natura dei dati”. |
Natura dei dati | Personali: Dati anagrafici e di contatto (indirizzo di residenza/domicilio, telefono, email), estremi documento identificativo Categorie particolari di dati personali: È altresì possibile che la biblioteca tratti dati relativi alle condizioni di salute (in particolare, dati relativi a disabilità motorie e/o sensoriali) nel caso eroghi servizi specificamente o esclusivamente rivolti a utenti con disabilità (es. postazioni o dispositivi con tecnologie assistive, ecc.). |
Quali sono i dati personali strettamente necessari per perseguire la finalità descritta | Dati anagrafici, di contatto e categorie particolari di dati personali (come specificati nella sezione “Natura dei dati”). |
Modalità per fornire l’informativa e, ove necessario, acquisire il consenso | Le informazioni inerenti il trattamento di dati personali per questa finalità devono essere rese nel momento in cui l’utente richiede di usufruire di un servizio della biblioteca. |
Natura del conferimento dei dati e conseguenze di un eventuale rifiuto | Il conferimento dei dati è necessario per consentire all’utente di fruire dei servizi bibliotecari. La mancata comunicazione comporta l’impossibilità ad accedere ai suddetti servizi. |
Archiviazione e conservazione (tempi, modi, quali dati) | I dati verranno gestiti e conservati, in formato elettronico, mediante il software “Sebina” prodotto da “DM Cultura”, i cui server di hosting sono presso il Centro InfoSapienza di Sapienza Università di Roma. “DM Cultura” è stata nominata Responsabile esterno del trattamento dei dati personali ai sensi dell’art. 28 del GDPR e la nomina è stata formalizzata attraverso l’accettazione delle condizioni contrattuali. |
I dati raccolti verranno conservati per il tempo necessario al raggiungimento della finalità indicata, in conformità alla normativa nazionale ed europea in materia di protezione dei dati personali (Regolamento (UE) Generale sulla protezione dei dati - GDPR). I tempi di conservazione sono strettamente dipendenti dall’esistenza di vincoli di archiviazione di tali informazioni. | |
Diritti dell’interessato | L’interessato ha il diritto di esercitare, ricorrendone le condizioni, tutti i diritti previsti dagli artt. 15 e ss. del Regolamento. In particolare, l’interessato ha diritto di chiedere l’accesso ai dati personali ai sensi dell’art. 15 del Regolamento, la rettifica degli stessi ai sensi dell’art. 16 del Regolamento, la cancellazione degli stessi ai sensi dell’art. 17 del Regolamento (ove quest’ultima non contrasti con la normativa vigente sulla conservazione dei dati stessi e con la necessità di tutelare, in caso di contenzioso giudiziario, l’Università ed i professionisti che li hanno trattati) o la limitazione del trattamento ai sensi dell’art. 18 del Regolamento, ovvero potrà opporsi al loro trattamento ai sensi dell’art. 21 del Regolamento, oltre a poter esercitare il diritto alla portabilità dei dati ai sensi dell’art. 20 del Regolamento. |
Modalità di esercizio dei diritti e reclamo all’Autorità Garante per la Protezione dei dati personali | Fermo restando quanto sopra specificato, l’interessato può far valere i loro diritti ai sensi degli articoli 15-22 del GDPR contattando, come concordato con la parte contitolare, i seguenti indirizzi e-mail: xxx@xxxxxxx0.xx xxxxxxxxxxxxxxxxxxxxxxxxxx@xxxxxxx0.xx Per ulteriori informazioni, l’interessato può consultare il Vademecum per l’esercizio dei diritti pubblicato sulla pagina web xxxxx://xxx.xxxxxxx0.xx/xx/xxxxxx/xxxxxxx-xxxxxxx nell’apposita sezione “Esercizio dei diritti in materia di protezione dei dati personali”. In caso di violazione delle disposizioni del Regolamento, l’interessato ha altresì il diritto di proporre reclamo all’Autorità di controllo ai sensi dell’art. 77 del Regolamento. In Italia, tale funzione è esercitata dal Garante per la Protezione dei dati personali (xxxxx://xxx.xxxxxxxxxxxxxx.xx). |
Note sui diritti dell’interessato | La cancellazione è possibile solo dopo l’espletamento degli obblighi di legge o del regolamento interno (es. completata restituzione di materiale bibliografici e documentali in prestito, ecc.) e in assenza di vincoli archivistici. |
Categorie di interessati | Utenti esterni che hanno richiesto di accedere ai servizi del Polo RMS |
Categorie di destinatari | Biblioteca, altre biblioteche del Polo di appartenenza, Sistema Bibliotecario Sapienza. Eventuali aziende/cooperative che prestano servizio per le biblioteche dell’ente. Biblioteche di altre istituzioni e università, nel caso in cui i servizi bibliotecari siano integrati con quelli di altri enti sottoscrittori di una convenzione ad hoc (prestito interbibliotecario/document delivery). |
Comunicazione e trasferimento all’estero | Per l’erogazione dei servizi il Titolare e il Responsabile del trattamento si avvalgono di supporti informatici che possono trovare ubicazione al di fuori del territorio dell’Unione Europea (in particolare, nel caso di utilizzo in cloud di soluzioni Integrated Library Systems (ILS) ed altri applicativi per servizi di biblioteca quali Discovery tool, link resolver, Ask a librarian, ecc.). Pertanto, i dati personali raccolti possono essere comunicati all’estero. |
Allegato C
Scheda di descrizione del trattamento dati personali Gestore esterno