INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL'ART. 13 DEL REGOLAMENTO (UE) N. 679/2016
La presente informativa è rilasciata ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (“GDPR”) e fornisce informazioni sul trattamento dei dati personali svolto nell’ambito delle attività di ricerca scientifica del Politecnico di Milano – Dipartimento di Elettronica, Informazione e Bioingegneria (“DEIB”).
Titolare del trattamento dati
Titolare del trattamento è il Politecnico di Milano (“Politecnico”), nella figura del Direttore Generale su delega del Rettore pro-tempore (punto di contatto: dirgen@polimi.it).
Responsabile protezione dati e punti di contatto
Mail: privacy@polimi.it
Finalità del trattamento
Le attività di ricerca scientifica svolte dal DEIB hanno l’obiettivo di contribuire allo sviluppo di nuove conoscenze, metodologie e tecnologie nei settori dell'automazione, della bioingegneria, dell’elettrica, dell'elettronica, dei sistemi informativi e delle telecomunicazioni.
In via di principio, i principali filoni di ricerca scientifica possono riguardare i seguenti ambiti:
| Principali aree di ricerca | Finalità specifiche |
|---|---|
| Salute Digitale |
|
| Cybersecurity e Protezione dei Dati |
|
| Interazione Uomo-Macchina (HMI) |
|
| Innovazione Tecnologica |
|
| Intelligenza Artificiale |
|
Eventuali riutilizzi dei dati per ulteriori analisi scientifiche strettamente connesse agli obiettivi originari saranno effettuati nel rispetto del principio di compatibilità (art. 5(1)(b) GDPR).
Base giuridica
Il trattamento dei dati personali per finalità di ricerca scientifica è lecito quando ricorre una delle condizioni previste dagli articoli 6 e 9 del GDPR. Per i progetti di ricerca svolti dal DEIB, le basi giuridiche applicabili sono le seguenti:
1. Articolo 6, paragrafo 1, lettera e) del GDPR – esecuzione di un compito di interesse pubblico:
la ricerca scientifica rientra tra le finalità istituzionali del Politecnico-DEIB, come previsto dalla normativa vigente e dallo Statuto di Ateneo;
2. Articolo 9, paragrafo 2, lettera j) del GDPR – trattamento di categorie particolari di dati per finalità di ricerca scientifica o statistica:
questa condizione consente il trattamento di categorie particolari di dati personali effettuato per scopi di ricerca scientifica o per scopi statistici.
3. Articolo 6, paragrafo 1, lettera a) GDPR e articolo 9, paragrafo 2, lettera a) del GDPR – consenso dell’interessato:
la revoca del consenso non pregiudica la liceità del trattamento basato su altre basi giuridiche.
Categorie di dati
Le categorie di dati personali trattati possono includere quelle riportate di seguito, in funzione delle specifiche esigenze dei singoli progetti di ricerca:
| Tipologia di dati | Descrizione |
|---|---|
| Dati comportamentali | Analisi dell’interazione dell’utente con tecnologie, sistemi di controllo elettronico/elettrico e interfacce uomo-macchina; possono includere dati di posizione per migliorare l’esperienza utente. |
| Foto | Raccolta di immagini per finalità di ricerca scientifica. |
| Categorie particolari di dati (come dati relativi alla salute, biometrici, dati idonei a rivelare l’origine razziale o etnica) | Informazioni da dispositivi indossabili e sistemi di monitoraggio; parametri fisiologici e dati di performance fisica; altre categorie particolari quando pertinenti al progetto. |
| Dati di tracciamento e logistica | Dati utilizzati per monitorare spostamenti di beni o persone; possono essere usati anche per finalità di sicurezza o assistenza in emergenza. |
| Dati geografici | Dati di localizzazione impiegati per analisi basate sulla posizione (es. mappe, navigazione, servizi di prossimità). |
| Dati tecnici e di utilizzo | Log di utilizzo di sistemi elettronici, software e telecomunicazioni; dati di traffico; dati di interazione; dati di simulazione; dati da dispositivi che monitorano prestazioni fisiche. |
| Dati raccolti in ambito di cybersecurity | Informazioni trattate nell’ambito di attività di sicurezza informatica, incluse analisi di attacco/difesa e altre informazioni tecniche. |
| Dati per analisi e identificazione | Immagini o altri dati trattati per analisi tecniche, anche di natura sanitaria, riconoscimento di oggetti o persone o altre forme di identificazione. |
| Dati identificativi | Dati anagrafici (nome, cognome, data/luogo di nascita, residenza) usati per associare i partecipanti ai dati raccolti. |
| Dati di contatto | Indirizzi e-mail, numeri di telefono e indirizzi postali per comunicazioni con i partecipanti. |
| Video | Immagini e filmati raccolti esclusivamente per finalità scientifiche. |
| Dati di sicurezza | Dati raccolti per garantire la sicurezza di persone o luoghi, quando pertinenti alla ricerca. |
Modalità di trattamento
I dati personali sono trattati esclusivamente per le finalità del progetto di ricerca da personale appositamente autorizzato e istruito. Il trattamento è svolto mediante strumenti adeguati a garantirne la sicurezza e la riservatezza, nel rispetto della normativa vigente. Quando il progetto prevede l’anonimizzazione dei dati personali, i dati anonimizzati possono essere conservati nell’archivio di ricerca ed essere utilizzati per finalità scientifiche future, senza possibilità di identificare gli interessati.
Conservazione dei dati
La durata della conservazione dei dati personali è determinata in relazione alle finalità del progetto di ricerca e alle esigenze di verifica, valutazione e rendicontazione. I documenti informativi (Consenso informato – Informativa speciica), qualora forniti, indicano la durata del progetto e l’eventuale necessità di conservare i dati personali in forma identificabile per tutto il periodo previsto.
I dati personali possono essere conservati in forma identificabile anche per un periodo aggiuntivo oltre la durata del progetto, che può variare normalmente tra 5 e 10 anni dopo la conclusione, quando ciò sia necessario, ad esempio, per collegare i risultati della ricerca a ulteriori studi, per verificare l’accuratezza dei risultati, o per permettere analisi di follow-up o adempiere a richieste relative allo studio, come quelle di valutazione o audit da parte di enti finanziatori o organismi istituzionali.
Quando la ricerca è oggetto di obblighi specifici previsti da finanziatori o dalla normativa (ad esempio nel caso di progetti in collaborazione con strutture ospedaliere), i dati possono essere conservati per periodi più lunghi.
Quando i dati non sono più necessari per le finalità della ricerca o per gli obblighi connessi, essi sono anonimizzati o cancellati in modo sicuro, assicurando che non siano più accessibili o recuperabili. Per i dati appartenenti a categorie particolari, la conservazione è limitata esclusivamente al tempo necessario al conseguimento delle finalità del progetto e il processo di anonimizzazione garantisce l’irreversibilità dell’operazione.
Trasferimento dei dati
Nell’ambito del progetto di ricerca, l’accesso ai dati personali in forma identificabile può essere consentito a soggetti terzi quando necessario per lo svolgimento delle attività previste. Tale possibilità è illustrata anche nei documenti informativi (Consenso informato – Informativa speciica), qualora forniti.
Il trasferimento o la comunicazione dei dati può avvenire quando la ricerca è svolta in collaborazione con altre università, enti finanziatori, partner di progetto, organizzazioni esterne o soggetti pubblici che richiedono informazioni per obblighi di legge o per attività di audit, monitoraggio o rendicontazione. Rientrano tra i destinatari anche Ministeri ed enti istituzionali qualora la comunicazione sia richiesta da norme o da autorità competenti.
Quando tali soggetti si trovano fuori dall’Unione Europea, il trasferimento dei dati avviene nel rispetto delle condizioni previste dal GDPR.
In tutti i casi, sono predisposti accordi o impegni contrattuali che garantiscono che i soggetti terzi trattino i dati esclusivamente per le finalità del progetto di ricerca e adottino misure di sicurezza adeguate.
Esercizio dei diritti
Ai sensi del Regolamento (UE) 2016/679 (“GDPR”), l’interessato può esercitare in qualsiasi momento i diritti elencati di seguito nei confronti del Politecnico di Milano, Titolare del trattamento. Alcuni diritti possono essere soggetti a limitazioni quando, ai sensi dell’art. 89 GDPR, il loro esercizio rischierebbe di compromettere la validità, l’integrità, l’affidabilità o il raggiungimento delle finalità della ricerca scientifica. In tali casi il Titolare applica misure adeguate a garantire la tutela dei diritti e delle libertà dell’interessato.
Diritto di accesso (art. 15 GDPR)
L’interessato ha diritto di ottenere conferma del trattamento dei propri dati personali e di ricevere informazioni su finalità, categorie di dati, destinatari, tempi di conservazione e copia dei dati trattati. L’accesso può essere limitato quando comprometterebbe attività sperimentali, analisi statistiche o aspetti essenziali della ricerca.
Diritto di rettifica (art. 16 GDPR)
L’interessato può richiedere la correzione dei dati inesatti e l’integrazione di quelli incompleti. La rettifica può non essere possibile quando i dati sono pseudonimizzati o inclusi in modelli e dataset già utilizzati a fini scientifici.
Diritto alla cancellazione (art. 17 GDPR)
Il diritto può essere esercitato nei casi previsti dal GDPR. Tuttavia, non si applica quando la conservazione è necessaria per finalità di ricerca scientifica conformi all’art. 17(3)(d). In tali casi possono essere adottate misure alternative, come la pseudonimizzazione.
Diritto alla limitazione del trattamento (art. 18 GDPR)
Può essere esercitato quando l’esattezza dei dati è contestata o il trattamento è illecito. Nella ricerca scientifica la limitazione può non essere applicabile se compromette la continuità o l’integrità del progetto.
Diritto di opposizione (art. 21 GDPR)
L’interessato può opporsi ai trattamenti basati sull’interesse pubblico. Il Titolare può rigettare l’opposizione quando il trattamento è necessario per lo svolgimento della ricerca o per l’esecuzione di un compito di interesse pubblico.
Diritto alla portabilità dei dati (art. 20 GDPR)
Applicabile solo ai trattamenti basati su consenso o contratto e svolti con mezzi automatizzati. In genere non si applica ai trattamenti per finalità di ricerca del DEIB basati sull’interesse pubblico.
Diritto di non essere sottoposto a decisioni automatizzate (art. 22 GDPR)
Il DEIB non effettua trattamenti che comportano decisioni automatizzate con effetti giuridici o impatti significativi sull’interessato. Eventuali attività future saranno oggetto di informativa specifica.
Modalità di esercizio dei diritti
Le richieste possono essere inviate a: privacy@polimi.it
Reclamo all’Autorità di Controllo
L’interessato può proporre reclamo al Garante per la protezione dei dati personali: www.garanteprivacy.it