Informativa sul trattamento dei dati personali
ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR)
Ultimo aggiornamento:
Premessa
La presente informativa descrive le modalità di trattamento dei dati personali degli utenti che accedono al portale Simplia – Servizi Digitali per l'Integrazione Scolastica (di seguito “Portale”), erogato dalla Provincia di Lecce per la gestione dei servizi di assistenza specialistica e di trasporto scolastico a favore degli studenti con disabilità.
L'informativa è resa esclusivamente per il presente Portale e non per altri siti web eventualmente consultati tramite link esterni.
1. Titolare del trattamento
Il titolare del trattamento è la:
Provincia di Lecce
Palazzo del Governo – Via Umberto I, 13 – 73100 Lecce (LE)
CF: 80000840753
PEC:
Posta Elettronica Certificata
(si apre in una nuova finestra)
2. Responsabile della Protezione dei Dati (DPO)
Il Responsabile della Protezione dei Dati (Data Protection Officer) della Provincia di Lecce è contattabile al seguente indirizzo:
- E-mail: dpo@provincia.le.it
- PEC: [inserire PEC del DPO]
Nota: aggiornare i recapiti del DPO con quelli effettivi prima della pubblicazione.
3. Finalità e base giuridica del trattamento
I dati personali vengono trattati per le finalità di seguito indicate, ciascuna associata alla relativa base giuridica.
| Finalità | Dati trattati | Base giuridica |
|---|---|---|
|
Autenticazione tramite SPID Identificazione e accesso sicuro dell'utente al Portale attraverso il Sistema Pubblico di Identità Digitale. |
Nome, cognome, codice fiscale, e-mail, data di nascita e ulteriori attributi SPID restituiti dall'Identity Provider (IdP). | Esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (art. 6, par. 1, lett. e) GDPR). |
|
Erogazione del servizio Gestione delle richieste di assistenza specialistica e trasporto scolastico, inclusa l'istruttoria delle domande, l'assegnazione dei servizi e le comunicazioni correlate. |
Dati anagrafici dello studente e del richiedente, dati relativi alla disabilità (diagnosi funzionale, verbale di accertamento), dati scolastici (istituto, classe), informazioni sul nucleo familiare, recapiti. |
Esecuzione di un compito di interesse pubblico
(art. 6, par. 1, lett. e) GDPR); per i dati relativi alla salute: art. 9, par. 2, lett. g) GDPR (motivi di interesse pubblico rilevante). |
|
Gestione tecnica del Portale Funzionamento della piattaforma, gestione delle sessioni, sicurezza informatica e prevenzione di abusi. |
Indirizzo IP, dati di navigazione, log di accesso, cookie tecnici di sessione. | Legittimo interesse del titolare alla sicurezza e al corretto funzionamento del servizio (art. 6, par. 1, lett. f) GDPR). |
|
Adempimenti di legge Obblighi normativi, contabili, fiscali e di archiviazione connessi all'erogazione del servizio pubblico. |
Tutti i dati necessari all'adempimento degli obblighi previsti dalla normativa vigente. | Adempimento di un obbligo legale (art. 6, par. 1, lett. c) GDPR). |
4. Categorie particolari di dati
Nell'ambito delle finalità di servizio, il Portale può trattare dati relativi alla salute (diagnosi funzionali, certificazioni di disabilità) ai sensi dell'art. 9, par. 2, lett. g) del GDPR, in combinato disposto con l'art. 2-sexies del D.lgs. 196/2003, per motivi di interesse pubblico rilevante, nel rispetto delle garanzie previste dalla normativa.
5. Modalità del trattamento
I dati personali sono trattati con strumenti elettronici, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza, e con l'adozione di misure tecniche e organizzative adeguate a garantire la sicurezza dei dati (art. 32 GDPR), tra cui:
- cifratura delle comunicazioni tramite protocollo HTTPS/TLS;
- autenticazione forte tramite SPID (livello 2);
- protezione CSRF su tutti i moduli;
- politiche di accesso basate su ruoli e profili autorizzativi;
- log di accesso e audit trail;
- backup periodici e procedure di disaster recovery.
6. Destinatari e comunicazione dei dati
I dati personali potranno essere comunicati a:
- Personale autorizzato della Provincia di Lecce, limitatamente alle operazioni necessarie allo svolgimento delle proprie funzioni;
- Responsabili del trattamento ex art. 28 GDPR: fornitori di servizi tecnologici e di hosting che gestiscono l'infrastruttura del Portale, vincolati da specifici accordi contrattuali;
- Identity Provider SPID: esclusivamente per la fase di autenticazione, nel rispetto delle regole tecniche AgID;
- Istituti scolastici coinvolti nell'erogazione dei servizi di integrazione scolastica;
- Altri enti pubblici (es. ASL, INPS, Comuni) qualora previsto da obblighi normativi o necessario per l'erogazione del servizio;
- Autorità giudiziaria o di vigilanza, su espressa richiesta e nei casi previsti dalla legge.
I dati non sono oggetto di diffusione né di trasferimento verso Paesi terzi al di fuori dello Spazio Economico Europeo.
7. Periodo di conservazione
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati di autenticazione SPID (log di accesso) | 24 mesi dalla data di accesso |
| Dati relativi alle pratiche di integrazione scolastica | Per tutta la durata del procedimento amministrativo e successivamente per il periodo previsto dalla normativa sull'archiviazione e conservazione degli atti della PA (D.P.R. 445/2000) |
| Dati di navigazione e cookie tecnici | Durata della sessione di navigazione |
| Dati necessari per obblighi di legge | Per il periodo previsto dalla normativa applicabile |
Al termine dei periodi indicati, i dati saranno cancellati o anonimizzati in modo irreversibile.
8. Diritti dell'interessato
L'utente, in qualità di interessato, ha il diritto di:
- Accesso (art. 15 GDPR) – ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati;
- Rettifica (art. 16 GDPR) – ottenere la correzione di dati inesatti o l'integrazione di dati incompleti;
- Cancellazione (art. 17 GDPR) – ottenere la cancellazione dei dati, nei limiti previsti dalla legge;
- Limitazione (art. 18 GDPR) – ottenere la limitazione del trattamento in determinate circostanze;
- Portabilità (art. 20 GDPR) – ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico;
- Opposizione (art. 21 GDPR) – opporsi al trattamento per motivi connessi alla propria situazione particolare.
Per esercitare i propri diritti, l'interessato può inviare una richiesta a:
Il titolare fornirà riscontro entro 30 giorni dalla ricezione della richiesta, salvo proroga motivata di ulteriori 60 giorni nei casi di particolare complessità.
9. Diritto di reclamo
Qualora l'interessato ritenga che il trattamento dei propri dati personali avvenga in violazione del GDPR, ha il diritto di proporre reclamo al:
Garante per la protezione dei dati personali
Piazza Venezia, 11 – 00187 Roma
Sito web:
www.garanteprivacy.it
(si apre in una nuova finestra)
E-mail:
protocollo@gpdp.it
PEC:
protocollo@pec.gpdp.it
10. Natura del conferimento
Il conferimento dei dati personali per le finalità di autenticazione SPID e di erogazione del servizio è obbligatorio. Il mancato conferimento comporta l'impossibilità di accedere al Portale e di usufruire dei servizi offerti.
11. Processi decisionali automatizzati
Il Portale non effettua processi decisionali interamente automatizzati né attività di profilazione ai sensi dell'art. 22 del GDPR.
12. Cookie
Il Portale utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento del servizio. Per informazioni dettagliate si rinvia alla Cookie Policy.
13. Modifiche all'informativa
Il titolare si riserva il diritto di aggiornare la presente informativa per adeguarla a eventuali modifiche normative o a variazioni nelle modalità di trattamento. Eventuali modifiche sostanziali saranno comunicate attraverso avviso pubblicato sul Portale. Si invita l'utente a consultare periodicamente questa pagina per prendere visione dell'informativa più aggiornata.