INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
ai sensi degli artt. 13-14 del Regolamento (UE) 2016/679 (GDPR)
La presente informativa descrive le modalità di trattamento dei dati personali degli utenti del Portale Syllabus Community del Dipartimento della Funzione Pubblica, accessibile all'indirizzo https://community.syllabus.gov.it
1. Titolare del Trattamento dei dati personali
Il Titolare del trattamento dei dati è la Presidenza del Consiglio dei ministri. Le funzioni di Titolare sono esercitate per il Dipartimento della funzione pubblica, ai sensi del DPCM 25 maggio 2018, dal Capo del Dipartimento pro tempore (di seguito “Titolare”) con sede in Corso Vittorio Emanuele II, n. 116 – ROMA.
2. Responsabile della protezione dei dati (DPO)
Il Responsabile della Protezione dei Dati (DPO), figura prevista dall'art. 37 del Regolamento generale sulla protezione dei dati (RGPD) e che costituisce il punto di contatto per le questioni connesse al trattamento dei dati personali, è raggiungibile al seguente indirizzo:
3. Finalità del Trattamento e Base Giuridica
I dati personali sono trattati per le seguenti finalità, connesse alla gestione del Portale e ai compiti istituzionali del Dipartimento:
| Finalità | Dati trattati | Base giuridica |
|---|---|---|
| A) Autenticazione SPID/CIE | Attributi forniti dall’Identity Provider: nome, cognome, codice fiscale, email | Art. 6, par. 1, lett. c) ed e) GDPR – obbligo legale (art. 64 CAD) e interesse pubblico |
| B) Registrazione e candidatura Comunità di pratica | Dati anagrafici (nome, cognome, genere, data di nascita, codice fiscale); informazioni sulla formazione (titolo di studio principale, area di studio); informazioni professionali (ente o sotto-ente di appartenenza, anno di ingresso nella PA, tipologia contrattuale, qualifica, attività svolte, sede di lavoro); dati di contatto (email istituzionale, recapito telefonico) | Art. 6, par. 1, lett. e) GDPR – interesse pubblico; Art. 6, par. 1, lett. b) per esperti esterni |
| C) Gestione profilo e Community | Dati del profilo, contenuti pubblicati, interazioni e dati di utilizzo della piattaforma | Art. 6, par. 1, lett. e) GDPR – interesse pubblico (formazione della PA, art. 7-bis D.Lgs. 165/2001) |
| D) Invio comunicazioni via email | Indirizzo email, nome, cognome, preferenze di comunicazione, storico delle notifiche | Art. 6, par. 1, lett. e) GDPR – interesse pubblico (comunicazioni istituzionali relative al Progetto) |
| E) Monitoraggio attività formative | Partecipazione a webinar, sondaggi completati, contributi alle discussioni, ore formative maturate, punteggi acquisiti | Art. 6, par. 1, lett. e) GDPR – interesse pubblico (rendicontazione PNRR e monitoraggio della formazione continua nella PA) |
| F) Partecipazione a webinar (Zoom) | Nome del partecipante, email, orari di ingresso e uscita, durata della partecipazione, interazioni (chat e domande) | Art. 6, par. 1, lett. e) GDPR – interesse pubblico; Art. 6, par. 1, lett. b) per registrazione e tracciamento della partecipazione |
| G) Partecipazione a eventi in presenza | Dati anagrafici, documento di identità (per accesso a sedi istituzionali), firma di presenza | Art. 6, par. 1, lett. e) GDPR – interesse pubblico; Art. 6, par. 1, lett. c) GDPR per obblighi di sicurezza delle sedi istituzionali |
| H) Sicurezza informatica | Log di accesso (indirizzo IP, data e ora, user agent), log delle attività e cookie tecnici | Art. 6, par. 1, lett. c) e f) GDPR – obbligo legale (art. 32 GDPR, Direttiva NIS2) e legittimo interesse |
4. Categorie di Dati Trattati
Dati di navigazione: indirizzo IP, browser, sistema operativo, timestamp visite, URL pagine, referrer, user agent. Raccolti automaticamente dai sistemi informatici.
Dati forniti dall'utente: dati anagrafici e professionali, contenuti pubblicati, file caricati, dati profilo (biografia, competenze, foto).
Dati sensibili (art. 9-10 GDPR): è vietato agli utenti pubblicare dati che rivelino origine razziale/etnica, opinioni politiche, convinzioni religiose, appartenenza sindacale, dati genetici, biometrici, relativi alla salute, vita sessuale o condanne penali.
5. Natura del Conferimento e Conseguenze del Rifiuto
Dati di navigazione e sicurezza: raccolta automatica e obbligatoria, necessaria per il funzionamento tecnico e gli obblighi di sicurezza
Dati di candidatura e profilo essenziale: obbligatorio; il rifiuto impedisce l'accesso al Portale
Dati di profilo aggiuntivo: facoltativo, senza conseguenze negative
Contenuti pubblicati: facoltativo; l'utente può limitarsi alla fruizione passiva
6. Modalità di Trattamento e Misure di Sicurezza
I dati personali sono trattati nel pieno rispetto dei principi di liceità, correttezza e trasparenza sanciti dall'art. 5, par. 1, del GDPR. Il Dipartimento adotta tutte le misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, in conformità a quanto prescritto dall'art. 32 del GDPR.
Architettura tecnica: la piattaforma è basata su un'architettura integrata composta da Drupal (CMS per autenticazione SPID/CIE e gestione profili) e Discourse (forum per discussioni), connessi tramite Single Sign-On (SSO) con token SAML 2.0 firmati crittograficamente. L'hosting è garantito dal Polo Strategico Nazionale, con data center ubicati esclusivamente nell'UE e certificati ISO 27001, ISO 22301 e ISO 27017/18.
Principali misure di sicurezza adottate: cifratura in transito (TLS 1.3 con HTTPS obbligatorio), cifratura a riposo (AES-256 per database e storage), protezione perimetrale (firewall stateful, WAF, sistemi IDS/IPS, anti-DDoS), autenticazione forte (SPID L2+/CIE per utenti, MFA per staff amministrativo), controllo accessi granulare basato su ruoli (RBAC), audit log completi con conservazione in storage immutabile.
7. Destinatari dei Dati
I dati personali degli Utenti trattati nell'ambito della Piattaforma potranno essere comunicati o resi accessibili ad altri soggetti, in qualità di Responsabili del trattamento o titolari autonomi.
Nello specifico, i dati potranno essere comunicati a:
- l'amministrazione/ente di appartenenza dell'Utente (in qualità di titolare autonomo del trattamento) per il perseguimento delle proprie finalità istituzionali;
- enti e/o istituzioni ai fini del monitoraggio degli indicatori PNRR;
soggetti che forniscono supporto tecnologico nell'erogazione e il funzionamento del Sito. - I dati relativi al tracciamento delle attività formative svolte potranno essere importati sulla Piattaforma Syllabus (www.syllabus.gov.it) di proprietà del Dipartimento ai fini dell’alimentazione del fascicolo della formazione e del monitoraggio degli indicatori PNRR.
Per assicurare la continua disponibilità dei propri servizi e migliorarne le modalità di fruizione, il Titolare si avvale di fornitori terzi nominati ai sensi dell’art. 28 GDPR che presentano garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguando il livello di protezione al rischio del trattamento dei dati personali. Alcuni di questi fornitori potrebbero, nell’ambito di ordinarie attività di supporto e manutenzione, trasferire ed elaborare i dati personali di navigazione in regioni esterne allo Spazio Economico Europeo sulla base di decisioni di adeguatezza della Commissione UE o di equivalenti garanzie adeguate in ottemperanza alla normativa vigente.
Responsabili del trattamento (art. 28 GDPR): provider hosting (PSN), Advant S.r.l., Leonardo SpA, Sogei SpA, Eutalia SpA per backup, email transazionale, monitoring, sicurezza, consulenti tecnici. Tutti vincolati da DPA conforme al GDPR.
Elenco completo disponibile su richiesta al DPO (risposta entro 15 giorni).
8. Trasferimenti Internazionali
Strategia data residency europea: tutti i dati sono conservati all'interno dello Spazio Economico Europeo. Nessun trasferimento verso Paesi terzi. Hosting presso Polo Strategico Nazionale con data center UE. Tutti i fornitori sono contrattualmente vincolati al divieto di trasferimento extra-UE.
9. Periodo di Conservazione
I dati sono conservati per il tempo strettamente necessario (art. 5, par. 1, lett. e, GDPR):
| Categoria dati | Durata di conservazione |
|---|---|
| Candidature respinte | 24 mesi |
| Account e profilo utente | Durata del rapporto + 10 anni (obblighi contabili e amministrativi) |
| Contenuti pubblicati | Permanente, in quanto rilevanti per finalità di archiviazione nel pubblico interesse (art. 89 GDPR; D.Lgs. 42/2004) |
| Log di sicurezza | 12 mesi |
| Cookie tecnici e di analytics (Matomo) | Sessione o fino a 13 mesi |
| Dati di monitoraggio della formazione (ore e punteggi) | Fino al completamento delle verifiche PNRR e per i successivi 5 anni |
| Dati di partecipazione ai webinar (Zoom) | 24 mesi dalla data dell’evento |
10. Diritti dell'Interessato
In qualità di interessato al trattamento dei dati personali, l'utente del Portale Community dispone dei seguenti diritti previsti dal Capo III del GDPR (artt. 15-22). Il Dipartimento garantisce l'esercizio di tali diritti nel rispetto delle tempistiche e delle modalità previste dalla normativa:
Diritto di accesso (art. 15 GDPR): ottenere conferma che sia o meno in corso un trattamento e, in caso affermativo, accedere ai propri dati e alle informazioni sul trattamento
Diritto di rettifica (art. 16 GDPR): ottenere la correzione dei dati inesatti o l'integrazione di quelli incompleti
Diritto di cancellazione (art. 17 GDPR): ottenere la cancellazione dei dati, ove non sussistano obblighi legali di conservazione o interessi pubblici prevalenti
Diritto di limitazione (art. 18 GDPR): ottenere la limitazione del trattamento in casi specifici (contestazione esattezza, trattamento illecito)
Diritto alla portabilità (art. 20 GDPR): ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico, ove applicabile
Diritto di opposizione (art. 21 GDPR): opporsi al trattamento per motivi legittimi, per trattamenti basati su legittimo interesse
Contatti per l'esercizio dei diritti: DPO
Tempistiche di risposta: il Dipartimento fornisce riscontro entro 30 giorni dalla ricezione della richiesta. Tale termine può essere prorogato di ulteriori 60 giorni in caso di richieste complesse.
11. Diritto di Reclamo
L'interessato può proporre reclamo all'Autorità Garante (art. 77 GDPR), senza obbligo di esaurire preventivamente i ricorsi interni:
Garante per la Protezione dei Dati Personali
Sede: Piazza Venezia, 11 - 00187 Roma
Sito web: www.garanteprivacy.it
PEC per reclami: protocollo@pec.gpdp.it
12. Modifiche all'Informativa
Il Dipartimento si riserva di modificare la presente informativa per adeguamenti normativi, organizzativi o di sicurezza. La versione aggiornata sarà pubblicata sul Portale; modifiche significative saranno comunicate via email.
Normativa di riferimento: Reg. (UE) 2016/679, D.Lgs. 196/2003 e s.m.i., D.Lgs. 138/2024 (NIS2), D.Lgs. 82/2005 (CAD)