Informativa sulla privacy — UniNaMove

Ultimo aggiornamento: 15 aprile 2026

Nell’ambito delle attività del Centro Nazionale per la Mobilità Sostenibile e della Flagship CCAM4Italy si sono svolte anche le ricerche per dotare le comunità studentesche di piattaforme di mobilità finalizzate alla sperimentazione e applicazione di soluzioni MaaS (Mobility as a Service). il risultato è stato l’applicazione UniNaMove, messa a disposizione della comunità degli studenti e dipendenti dell’Università degli Studi di Napoli Federico II.

Questa informativa descrive le modalità di trattamento dei dati personali degli utenti dell’applicazione mobile UniNaMove (di seguito, “l’App”), identificata sugli store con il bundle identifier it.unina.app.uninamove, pubblicata su Google Play Store e Apple App Store.

L’App è una piattaforma di Mobility as a Service (MaaS) rivolta principalmente alla comunità universitaria, che consente la pianificazione di viaggi multimodali, il carpooling, la sincronizzazione con il calendario personale e la gestione di segnalazioni relative ai servizi di mobilità, nonché la partecipazione, su base volontaria, a sondaggi e Azioni di Mobility Management per la comunità di riferimento.

L’App è sviluppata come parte integrante del Progetto di Ricerca CN-MOST (Centro Nazionale per la Mobilità Sostenibile).

L’informativa è resa ai sensi del Regolamento (UE) 2016/679 (“GDPR”) e del D.lgs. 196/2003 (Codice Privacy) come modificato dal D.lgs. 101/2018.

1. Titolare del trattamento

L’Università, nelle persone del Rettore e del Direttore Generale, in relazione alle specifiche previsioni normative e regolamentari, è il Titolare di tutti i trattamenti di dati personali, anche per le categorie particolari di dati ex art. 9 e condanne penali e reati ex art. 10 del GDPR 679/2016.
La sede legale dell’Università degli Studi di Napoli Federico II (p.IVA 00876220633) è in Corso Umberto I n.40 – 80138 Napoli; e-mail rettore@unina.it; PEC rettore@pec.unina.it.

Responsabile della Protezione dei Dati è la dott.ssa Gabriella Formica a decorrere dal 01/03/2023 (DG/2023/216 del 28/02/2023); email rpd@unina.it, PEC rpd@pec.unina.it

Per qualsiasi richiesta relativa al trattamento dei propri dati, l’utente può rivolgersi ai contatti indicati al paragrafo Diritti dell’interessato. I contatti indicate corrispondono al responsabile scientifico delle attività per il Progetto di ricercar nell’ambito del quale la App è sviluppata.

2. Tipologie di dati trattati

A seconda dell’utilizzo dell’App e delle funzionalità attivate dall’utente, possono essere trattate le seguenti categorie di dati personali:

2.1 Dati di account e profilo

·       Indirizzo email

·       Nome e cognome (o display name)

·       Username

·       Numero di telefono (se fornito)

·       Identificativo utente dell’Identity Provider (Casdoor)

·       Informazioni di autenticazione federata (SSO universitario, quando applicabile)

2.2 Dati di utilizzo dei servizi di mobilità

·       Coordinate di partenza e destinazione dei viaggi pianificati

·       Data, ora e preferenze del viaggio (es. modalità di trasporto, preferenza per minor cammino)

·       Itinerari proposti e scelti

·       Eventi di viaggio per scopi di audit / diagnostica del servizio di trip planning

2.3 Dati relativi al carpooling

·       Viaggi offerti come conducente (partenza, destinazione, orario, posti disponibili, costo, veicolo utilizzato)

·       Viaggi richiesti / prenotati come passeggero

·       Stato delle prenotazioni (in attesa, accettate, rifiutate)

·       Informazioni associate al veicolo dichiarato dal conducente

2.4 Dati relativi alle segnalazioni (ticket)

·       Tipologia di segnalazione (reclamo, suggerimento, altro)

·       Operatore di trasporto oggetto della segnalazione

·       Descrizione testuale

·       Foto allegate dall’utente (immagini JPEG)

·       Posizione e timestamp al momento della segnalazione

2.5 Dati del dispositivo

·       Token di notifica push (Apple APNs / Firebase Cloud Messaging)

·       Stato della connessione di rete

·       Identificativi tecnici necessari al funzionamento dell’App

2.6 Dati di localizzazione

·       Coordinate GPS del dispositivo, raccolte esclusivamente durante l’uso attivo dell’App e solo dopo esplicita autorizzazione dell’utente.

2.7 Dati fotografici

·       Immagini scattate con la fotocamera o selezionate dalla galleria, esclusivamente al fine di allegarle a una segnalazione (ticket).

2.8 Dati del calendario (integrazione Microsoft)

·       Eventi del calendario dell’utente acceduti per il tramite dell’API Microsoft Graph, dietro autorizzazione OAuth2 esplicita. Si veda il paragrafo dedicato Integrazione con il calendario.

3. Finalità del trattamento e basi giuridiche

L’App non effettua trattamenti di profilazione pubblicitaria e non utilizza strumenti di analytics di terze parti sui comportamenti degli utenti.

4. Autorizzazioni del dispositivo

L’App richiede le seguenti autorizzazioni, ciascuna finalizzata a una specifica funzionalità e in ogni caso subordinata al consenso dell’utente al momento del primo utilizzo.

4.1 Posizione (geolocalizzazione)

·       Quando viene richiesta: al primo utilizzo di funzionalità che richiedono la posizione (ricerca di un viaggio dalla posizione corrente, navigazione verso punti di interesse, carpooling).

·       Finalità: calcolare itinerari di partenza/arrivo e mostrare servizi di mobilità nelle vicinanze.

·       Modalità: la posizione è letta solo in foreground (quando l’App è attivamente in uso). Non è previsto il tracciamento in background.

·       Revocabilità: l’utente può in ogni momento revocare il permesso dalle impostazioni del sistema operativo.

4.2 Fotocamera e libreria foto

·       Quando viene richiesta: al momento dell’invio di una segnalazione (ticket) con allegato fotografico.

·       Finalità: consentire all’utente di allegare una foto a una segnalazione.

·       Modalità: l’immagine viene caricata sul backend solo a seguito di esplicita azione di invio da parte dell’utente.

4.3 Notifiche push

·       Quando viene richiesta: al primo avvio o alla prima attivazione di funzionalità che generano notifiche.

·       Finalità: invio di notifiche di servizio relative a:

·       promemoria di viaggi pianificati (inizio e fine viaggio);

·       aggiornamenti sulle richieste e prenotazioni di carpooling;

·       notifiche DSRM (Dynamic Service Request Manager – gestito dal Ministero delle Infrastrutture e Trasporti nell’ambito del Progetto PNRR MaaS4Italy) relative a variazioni o avvisi sul servizio di trasporto.

·       Dato raccolto: token push del dispositivo, utilizzato esclusivamente per recapitare le notifiche.

·       Revocabilità: le notifiche possono essere disattivate dalle impostazioni del sistema operativo o, ove previsto, dalle impostazioni dell’App.

4.4 Rete

L’autorizzazione all’uso della rete è necessaria per tutte le funzionalità online. Non vengono raccolti dati sul comportamento di navigazione.

4.5 Calendario (Microsoft)

L’integrazione con il calendario è gestita tramite OAuth2 con Microsoft e non richiede un’autorizzazione di sistema dedicata. Si veda la sezione successiva per i dettagli.

5. Integrazione con il calendario dell’utente

L’integrazione con il calendario è una funzionalità opzionale e il suo comportamento è disciplinato come segue:

·       L’accesso ai dati del calendario è richiesto esclusivamente dal proprietario dell’account, tramite esplicita autorizzazione (flusso OAuth2 con PKCE verso i servizi Microsoft).

·       La finalità dell’accesso e del trattamento è unicamente quella di:

·       permettere all’utente (e proprietario del dato) di arricchire il proprio calendario con viaggi ricorrenti da lui pianificati nell’App;

·       pianificare viaggi in corrispondenza di eventi già presenti nel calendario.

·       La piattaforma non effettua alcun trasferimento, copia o persistenza dei dati del calendario su sistemi esterni (backend o altri servizi), ma opera esclusivamente come tramite verso il calendario dell’utente.

·       L’accesso ai dati del calendario avviene solo nel contesto della sessione utente e non è previsto alcun utilizzo ulteriore dei dati (es. analytics, profilazione, marketing).

·       Nessuna informazione del calendario viene letta e salvata altrove: tutti i dati rimangono esclusivamente nel calendario dell’utente e sono accessibili solo al proprietario. Non vi è alcun trasferimento, copia o elaborazione dei dati in luogo diverso dal calendario stesso.

·       L’integrazione dell’App con il calendario è:

·       opzionale;

·       attivata esplicitamente dall’utente, con chiara indicazione delle finalità e delle modalità di trattamento;

·       revocabile in qualsiasi momento dall’App (disconnessione del calendario) e dal pannello di sicurezza Microsoft dell’utente.

Il token di accesso Microsoft, necessario a mantenere la sessione di sincronizzazione, è conservato in modo sicuro sul dispositivo (Keychain su iOS, KeyStore su Android) e non viene mai trasmesso a sistemi di terze parti diversi da Microsoft stessa.

6. Servizi di terze parti

L’App si interfaccia con i seguenti fornitori terzi, a ciascuno dei quali vengono comunicati solo i dati strettamente necessari alla funzionalità richiesta:

Nessun dato viene comunicato a piattaforme di advertising o a fornitori di analytics comportamentale.

L’App può inoltre aprire applicazioni di terze parti installate sul dispositivo (es. app di mobilità come Amicar o Lime) tramite deep link: in questi casi non viene trasmesso alcun dato personale a tali app; l’utente viene semplicemente reindirizzato all’applicazione esterna.

7. Modalità di trattamento e sicurezza

I dati sono trattati con strumenti informatici e telematici, con logiche strettamente correlate alle finalità indicate. Sono adottate misure tecniche e organizzative adeguate a proteggere i dati da accessi non autorizzati, perdita, distruzione o divulgazione, tra cui:

·       trasmissione dei dati tramite canali cifrati (HTTPS/TLS);

·       archiviazione delle credenziali e dei token in aree protette del dispositivo (Keychain su iOS, KeyStore su Android);

·       controllo degli accessi ai sistemi di backend tramite autenticazione e autorizzazione (OAuth2/JWT);

·       segregazione logica tra dati di diversi utenti;

·       politiche di backup e continuità operativa sui sistemi server.

I dati sono trattati all’interno dell’Unione Europea. Eventuali trasferimenti extra-UE (es. tramite servizi Microsoft o Apple/Google per le notifiche) avvengono sulla base delle garanzie previste dagli artt. 44 e seguenti del GDPR (clausole contrattuali standard approvate dalla Commissione Europea).

8. Periodo di conservazione

I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per le quali sono stati raccolti e, in ogni caso:

·       Dati di account: per tutto il periodo di iscrizione dell’utente al servizio e fino a 30 giorni dopo la cancellazione dell’account, salvo ulteriori obblighi di legge.

·       Dati di viaggio e carpooling: fino a 24 mesi dall’evento, salvo diversa richiesta dell’utente.

·       Segnalazioni (ticket): fino alla chiusura della segnalazione e per ulteriori 24 mesi a fini di rendicontazione e gestione di contenziosi.

·       Dati di localizzazione: non conservati oltre la sessione in corso, salvo quando incorporati in un itinerario esplicitamente salvato dall’utente.

·       Dati del calendario: non conservati dal titolare (si veda par. 5).

·       Log tecnici e di sicurezza: fino a 12 mesi.

Al termine del periodo di conservazione i dati sono cancellati o resi anonimi in modo irreversibile.

9. Diritti dell’interessato

In qualità di interessato, l’utente ha il diritto, ai sensi degli artt. 15-22 GDPR, di:

·       accedere ai propri dati personali e ottenerne copia;

·       chiedere la rettifica di dati inesatti o l’integrazione di dati incompleti;

·       chiedere la cancellazione (“diritto all’oblio”) dei dati, nei casi previsti dall’art. 17 GDPR;

·       chiedere la limitazione del trattamento, nei casi previsti dall’art. 18 GDPR;

·       ottenere la portabilità dei dati forniti, in formato strutturato e leggibile da dispositivo automatico;

·       opporsi al trattamento per motivi connessi alla propria situazione particolare;

·       revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;

·       proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).

Le richieste possono essere inoltrate all’indirizzo email indicato al paragrafo Titolare del trattamento.

L’utente può inoltre:

·       disconnettere l’integrazione con il calendario direttamente dall’App o revocando il permesso dal proprio account Microsoft;

·       revocare i permessi di sistema (posizione, fotocamera, notifiche) dalle impostazioni del dispositivo;

·       richiedere la cancellazione dell’account dall’interno dell’App o contattando il titolare.

10. Minori

L’App è rivolta a un pubblico maggiorenne (studenti universitari e cittadini). Non è destinata a minori di 14 anni. Il titolare non raccoglie consapevolmente dati personali di minori di 14 anni. Qualora si venga a conoscenza di tale circostanza, i dati saranno tempestivamente cancellati.

11. Modifiche all’informativa

Il titolare si riserva la facoltà di modificare la presente informativa in qualsiasi momento, dandone comunicazione agli utenti tramite l’App e/o il sito web istituzionale. La versione aggiornata è sempre consultabile all’URL di pubblicazione indicato sugli store.

12. Contatti

Per qualsiasi domanda relativa al trattamento dei dati personali o per esercitare i propri diritti, è possibile contattare:

·       Email: gnbifulc@unina.it

·       DPO: gnbifulc@unina.it

·       Indirizzo postale: Gennaro Nicola Bifulco, Via Claudio 21 – Edificio 5, 80125 Napoli

Documento redatto in conformità al Regolamento (UE) 2016/679 e alle linee guida di Google Play e Apple App Store per la pubblicazione delle applicazioni mobili.