English:
Information on the processing of personal data pursuant to Articles 13 and 14 of EU Regulation 2016/679/EU
November 14, 2023
Dear Sir/Madam,
In accordance with Articles 13 and 14 of EU Regulation 2016/679 and in implementation of Legislative Decree 101 of 2018, we provide, in compliance with the principle of transparency, the following information to make you aware of the characteristics and methods of data processing:
a) Data Controller and Contact Details
The Data Controller is the University of Turin, represented by its current Legal Representative, the Rector, with its registered office at Via Verdi 8 – 10124 Turin (contact details: PEC email: ateneo@pec.unito.it – email address: rettore@unito.it; phone: 011 6706111).
b) Contact details of the Data Protection Officer (DPO)
The Data Protection Officer (DPO) of the University of Turin can be contacted via email at: rpd@unito.it.
c) Purpose of Processing and Legal Basis
The processing of personal data requested from the data subject is carried out in accordance with Article 6(1)(a) (data subject’s consent) of EU Regulation 2016/679 for the following purpose: access to the features of the I-Muse app. I-Muse is a mobile app dedicated to museums, supporting their activities and management. By installing QR codes near artworks, the app connects heterogeneous artworks through artificial intelligence, creating connections between museums.
d) Types of Data Processed
The personal data collected and processed by the Controller for the aforementioned purposes include:
- Personal information (gender, age range, residential ZIP code)
- Museum subscription card data (optional)
- Level of education (optional)
For the purposes mentioned above, personal data of a special category are collected and processed by the Controller according to Article 9 of EU Regulation No. 2016/679, specifically:
- Geolocation data to allow the user, during visits to museums adopting the I-Muse system, to connect to the nearest access point via WiFi or Bluetooth. Geolocation data are used to send notifications to the user when approaching artworks in I-Muse within a museum. It enhances a more engaging experience during museum tours. If the user wishes to receive specific information about museums or visited artworks even when the application is not in use, they can provide permissions to access the location in the background. This allows them to receive notifications and relevant information even when the application is not actively used.
For reasons related to service delivery, the user is required to grant the app access to certain functionalities and resources of the mobile device, specifically:
– Camera to scan QR-Codes in museums; – Bluetooth connection.
e) Data Provision
Providing data related to age range, gender, and residential ZIP code is mandatory. Providing personal data related to education level, museum subscription card, and geolocation is optional. Failure to provide such personal data does not prevent access to the I-Muse app but may restrict the use of certain application features.
f) Processing Methods
The processing of personal data will be carried out using computer and telematic tools suitable to ensure the security and confidentiality of the data. To achieve the aforementioned purposes, the data are processed within the University of Turin by authorized individuals responsible for data processing under the Controller’s supervision, and they are adequately trained for this purpose.
g) External Data Processors
The data may also be communicated and processed externally by third-party providers of certain services necessary for the execution of the processing, acting on behalf of the Controller solely for the purposes of the requested service and duly appointed as “Data Processors” in accordance with Article 28 of EU Regulation 2016/679.
h) Categories of Data Recipients
In compliance with current legal provisions, personal data will not be disclosed to third parties outside the University.
i) Data Transfer to Third Countries
Personal data may be transferred to third countries outside the European Union because the Controller uses Google services for the Educational sector. Google operates information technology infrastructures, necessary equipment for network and user interconnection, and logging centers located in non-EU states. For such services, Google complies with European data transfer regulations as indicated in the Amendment on data processing, signed by the University, which contains standard contractual clauses (see https://cloud.google.com/terms/sccs/eu-c2p). Furthermore, External Controller Synesthesia uses various subcontractors based in the United States who have adhered to the aforementioned Data Privacy Framework.
j) Data Retention Period
Personal data related to age range, gender, residential ZIP code, and education level are stored for the time strictly necessary to achieve the purposes of the processing and precisely for the proper access to the application’s features (in compliance with the principle of necessity and purpose of processing): therefore, the data provided will be deleted simultaneously upon the user’s account deletion request. Geolocation-related personal data are deleted at the end of each app usage session.
k) Rights on Data
Data subjects have the right, in applicable cases, to exercise their rights concerning personal data pursuant to Articles 15-21 of EU Regulation 2016/679 against the University of Turin by sending a specific request with the subject: “privacy rights” to the Director of the Department of Economic-Social and Mathematical-Statistical Sciences at the following email address: esomas@unito.it. Data subjects have the right, pursuant to Article 7(3) of EU Regulation 2016/679, to withdraw consent previously given at any time and concurrently exercise the right to erase their personal data as provided for in Article 17 of EU Regulation 2016/679 or GDPR. The withdrawal of consent does not affect the lawfulness of the processing based on consent before its withdrawal.
l) Complaints
Data subjects have the right to lodge a complaint with the supervisory authority and may contact the Italian Data Protection Authority (website: www.garanteprivacy.it).
m) Profiling
The Data Controller does not employ automated processes for profiling personal data.
Italiano:
Informativa sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del Regolamento europeo 2016/679/UE
14/11/2023
Gent.ma/Gent.mo,
ai sensi degli art. 13 e 14 del Regolamento UE 2016/679 e in attuazione del D.Lgs. 101 del 2018, si forniscono, nel rispetto del principio di trasparenza, le seguenti informazioni al fine di rendere consapevoli rispetto alle caratteristiche ed alle modalità del trattamento dei dati:
a) Titolare del trattamento e dati di contatto
Il Titolare del Trattamento dei dati è l’Università di Torino, in persona del legale rappresentante pro-tempore il Magnifico Rettore) con sede legale in Via Verdi 8 – 10124 Torino (dati di contatto: indirizzo pec: ateneo@pec.unito.it – indirizzo mail: rettore@unito.it: telefono 011 6706111).
b) Dati di contatto del responsabile della protezione dei dati personali (DPO)
Il Responsabile per la protezione dei dati personali (RPD) o Data Protection Officer dell’Università di Torino (DPO) è contattabile all’indirizzo di posta elettronica: rpd@unito.it.
c) Finalità del trattamento e base giuridica
I trattamenti dei dati personali richiesti all’interessato sono effettuati ai sensi dell’art. 6 paragrafo 1 lettera a) (consenso dell’interessata/o) del Regolamento UE 2016/679 per la seguente finalità: accesso alle funzionalità dell’app I-muse. I-Muse è un’app mobile dedicata ai musei a supporto delle loro attività e gestione. Con l’installazione di codici QR vicino ad alcune opere d’arte, l’app è in grado di connettere opere d’arte eterogenee attraverso l’intelligenza artificiale, creando connessioni tra i musei.
d) Tipi di dati trattati
I dati personali raccolti e trattati dal Titolare per le finalità sopra indicate sono i seguenti:
- Dati anagrafici (genere, fascia d’età, cap di residenza);
- Dati relativi alla carta abbonamento musei (facoltativi);
- Livello di istruzione (facoltativo).
Per le finalità sopra indicate, sono raccolti e trattati dal Titolare dati personali di categoria particolare
ai sensi dell’art. 9 del Regolamento UE n. 2016/679 e precisamente:
– dati relativi alla geolocalizzazione per consentire all’utente, durante la visita ai musei che adottano il sistema I-muse al fine di migliorare i servizi offerti agli utenti, il collegamento all’access point più vicino tramite WiFi o Bluetooth. I dati relativi alla geolocalizzazione sono utilizzati per inviare all’utente notifiche quando si avvicina in un museo ad opere d’arte presenti in I-Muse. È un modo per offrire un’esperienza più coinvolgente durante i tour museali. Se l’utente desidera ricevere informazioni specifiche sui musei o sulle opere d’arte visitate anche quando l’applicazione non è in uso, ha la possibilità di fornire i permessi per consentire l’accesso alla posizione in background. In tal modo, potrà ricevere notifiche e informazioni pertinenti anche quando l’applicazione non è attivamente utilizzata.
Per motivi connessi all’erogazione del servizio, viene richiesto all’utente di rendere accessibili all’app alcune funzionalità e risorse del dispositivo mobile. Nello specifico:
– fotocamera per scansionare i QR-Code presenti nei musei;
– connessione bluetooth.
e) Conferimento dei dati
Il conferimento dei dati relativi alla fascia di età, genere e cap di residenza è obbligatorio. Il conferimento dei dati personali relativi al livello di istruzione, alla carta abbonamento musei e alla geolocalizzazione è facoltativo. Il mancato conferimento di tali dati personali non preclude l’accesso all’app I-muse, ma non consentirà di usufruire di alcune funzioni dell’applicazione.
f) Modalità del Trattamento
Il trattamento dei dati personali avverrà mediante strumenti informatici e telematici comunque idonei a garantire la sicurezza e la riservatezza dei dati stessi.
Per il raggiungimento delle finalità sopra riportate, i dati sono trattati all’interno dell’Università di Torino da soggetti autorizzati al trattamento dei dati sotto la responsabilità del Titolare, i quali sono a tal fine adeguatamente istruiti e formati.
g) Responsabili Esterni del trattamento
I dati potrebbero essere comunicati e trattati altresì all’esterno da parte di soggetti terzi fornitori di alcuni servizi necessari all’esecuzione del trattamento, che agiscono per conto del Titolare ai soli fini della prestazione richiesta e che sono debitamente nominati “Responsabili del trattamento” a norma dell’art. 28 del Regolamento UE 2016/679.
h) Categorie di destinatari dei dati personali
I dati personali, nel rispetto delle disposizioni normative vigenti, non saranno comunicati a terzi esterni all’Ateneo.
i) Trasferimento dati a Paese Terzo
I dati personali possono essere trasferiti verso Paesi terzi rispetto all’Unione Europea, in quanto il Titolare utilizza i servizi di Google per il settore Educational. Google si avvale di infrastrutture informatiche, di apparecchiature necessarie all’interconnessione di reti ed utenti e logging centers ubicati in Stati extra UE e per tali servizi rispetta la normativa europea sul trasferimento dei dati come indicato nell’Emendamento sul trattamento dei dati, sottoscritto dall’Ateneo, in cui sono contenute le clausole contrattuali tipo (vedi https://cloud.google.com/terms/sccs/eu-c2p). Con Decisione di esecuzione (UE) 2021/914 del 4 giugno 2021 la Commissione Europea ha emanato le clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio.
Inoltre, il Responsabile Esterno Synesthesia utilizza diversi sub-fornitori che hanno sede negli Stati Uniti. Tali subfornitori hanno aderito al Data Privacy Framework sopra richiamato.
i) Periodo di conservazione dei dati
I dati personali relativi alla fascia di età, genere, cap di residenza e al livello di istruzione sono conservati per il tempo strettamente necessario al perseguimento delle finalità del trattamento e precisamente per il corretto accesso alle funzionalità dell’app (nel rispetto del principio di necessità e finalità del trattamento): pertanto saranno i dati conferiti saranno cancellati contestualmente alla richiesta di cancellazione account da parte dell’utente.
I dati personali relativi alla geolocalizzazione sono cancellati al termine di ogni sessione di utilizzo dell’app.
l) Diritti sui dati
Le/Gli interessate/i (soggetti a cui si riferiscono i dati) possono fare valere, nei casi previsti, i propri diritti sui dati personali ai sensi degli artt. 15-21 del Regolamento UE 2016/679, ove applicabili, nei confronti dell’Università di Torino inviando una specifica istanza ad oggetto: “diritti privacy” alla/al Direttrice/Direttore del Dipartimento di Scienze Economico-sociali e Matematico-statistiche al seguente indirizzo di posta: esomas@unito.it
Le/Gli interessate/i ai sensi dell’art. 7 par. 3 del Regolamento UE 2016/679 hanno il diritto di revocare in qualsiasi momento il consenso prestato in precedenza ed al contempo esercitare il diritto alla cancellazione dei loro dati personali secondo quanto stabilito dall’art. 17 del Regolamento UE 2016/679 o GDPR.
La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso ottenuto prima di detta revoca.
m) Reclamo
Si informa l’interessato che ha diritto di proporre reclamo all’autorità di controllo e può rivolgersi all’Autorità Garante per la protezione dei dati personali (website: www.garanteprivacy.it)
n) Profilazione
Il Titolare del trattamento dei dati personali non utilizza processi automatizzati finalizzati alla profilazione.