INFORMAZIONI SUL TRATTAMENTO DEI DATI PERSONALI NELL’AMBITO DEI SERVIZI DI AUTENTICAZIONE FEDERATA (IDEM – GARR)

icon

 

english flag English version

La presente informativa viene resa, ai sensi degli artt. 13-14 del Regolamento Generale sulla Protezione dei Dati Personali (Reg. UE n. 2016/679 o GDPR), con riferimento al trattamento dei dati personali nell’ambito dei servizi di autenticazione federata. Il trattamento dei dati personali sarà improntato ai principi di correttezza, liceità, trasparenza, pertinenza, responsabilizzazione e sarà effettuato utilizzando supporti informatici comunque idonei a garantirne la sicurezza e la riservatezza e comunque mediante l’utilizzo di procedure che evitino il rischio di smarrimento, sottrazione, accesso non autorizzato, uso illecito, modifiche indesiderate e diffusione dei dati personali, nel rispetto delle norme vigenti e del segreto professionale.

Nell’ambito dell’erogazione federata di servizi, è consentito a un utente che ha ricevuto le credenziali da un’organizzazione A di autenticarsi tramite esse ad un altro servizio erogato da un’organizzazione B.

Per semplificare e allo stesso tempo chiarire i ruoli delle organizzazioni coinvolte, occorre tenere conto che, tipicamente, ci sono quindi almeno due organizzazioni coinvolte:

  • l’Organizzazione A, c.d. “Identity Provider”, che conferma che quella persona corrisponde effettivamente a quella identità digitale;
  • l’Organizzazione B, c.d. “Service Provider” che espone un’applicazione o un servizio il cui accesso è ammesso solo se l’Identity Provider conferma l’esistenza di quella identità e se per il proprio servizio esposto è ammesso quel tipo di utente.

 

L’Università degli Studi del Molise agisce sia in qualità di Identity Provider che di Service Provider.

Quando agisce come Identity Provider:

  • accerta l’assegnazione corretta e sicura delle credenziali attribuite ai propri utenti;
  • verifica la correttezza delle credenziali digitate dall’utente per accedere a servizi del Service Provider;
  • fornisce, a seconda del servizio erogato dal Service Provider, i dati dell’utente, il cui elenco e finalità del trattamento sono definite nell’uso del servizio o nelle pagine web del Service Provider stesso.

Quando agisce come Service Provider, l’Università riceve e utilizza i dati rilasciati da un altro Identity Provider su richiesta dell’utente che desidera autenticarsi ai servizi dell’Università degli Studi del Molise

 

SCHEDA INFORMATIVA

 

Titolare del trattamento: Università degli Studi del Molise nella persona del Legale Rappresentante prof. Luca Brunese

Responsabile del trattamento dei dati:

 

 CINECA – Consorzio Interuniversitario – Via Magnanelli nr. 6/3 cap. 40033 Casalecchio di Reno (BO)
Finalità e modalità specifiche del trattamento
  1. Fornire il servizio di autenticazione federata al fine di accedere alle Risorse richieste dall’interessato;
  2. Verificare e monitorare il buon funzionamento del servizio e garantirne la sicurezza;
  3. Adempiere ad eventuali obblighi legali o richieste da parte dell’Autorità giudiziaria
Base giuridica e natura del conferimento
  • con riferimento alla finalità di cui al p.to a): art. 6 par. 1 lett. b) del GDPR: il trattamento dei dati personali è necessario all’esecuzione di un contratto di cui l’interessato è parte (contratto tra l’Università e il Consortium GARR);
  • con riferimento alla finalità di cui al p.to b): art. 6 par. 1 lett. f) del GDPR: il trattamento dei dati personali è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi;
  • con riferimento alla finalità di cui al p.to c): art. 6 par. 1 lett. c) del GDPR: il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento.
Tipologia dei dati trattati
  • l’indirizzo di posta elettronica (email);
  • il nome;
  • il cognome;
  • Identificativo dell’organizzazione di appartenenza;
  • Tipologia dell’organizzazione di appartenenza;
  • Tipologia di affiliazione all’organizzazione di appartenenza
  • Nome utente con identificativo dell’organizzazione di appartenenza;
  • Valori utilizzati per conferire dei privilegi sulla risorsa a cui si vuole accedere;
  • Identificativo che permette la gestione di sessioni in forma anonima calcolato grazie ad un algoritmo casuale e non riassegnabile.
Periodo di conservazione dei dati Tutti i dati personali raccolti al fine di fornire il servizio di autenticazione federata saranno conservati per tutto il tempo in cui è necessario fornire il servizio stesso nel rispetto dei termini contrattuali. Dopo 3 mesi dalla scadenza/cessazione del contratto, tutti i dati personali raccolti o generati dall’uso del servizio saranno cancellati.
Destinatari L’Università, al fine di erogare correttamente il servizio di autenticazione federata, comunicherà ai fornitori delle Risorse verso le quali l’Utente intende accedere la prova dell’avvenuta autenticazione ed i soli dati personali (attributi) richiesti, nel pieno rispetto del principio di minimizzazione. I dati personali sono trasmessi solamente nel momento in cui l’interessato chiede l’accesso alla Risorsa della terza parte. Per le finalità connesse all’interesse legittimo del Titolare o all’adempimento di obblighi di legge alcuni dati di log potranno essere comunicati a terzi legittimati (es. CERT, CSIRT, Autorità Giudiziaria).
Diritti esercitabili:

Accesso (Art. 15 GDPR);

Cancellazione (Art.17 GDPR);

Portabilità (Art. 20 GDPR);

Rettifica (Art. 16 GDPR);

Limitazione (Art. 18 GDPR);

Opposizione (Art. 21 GDPR);

Diritto alla comunicazione della violazione (Art. 34 GDPR);
Diritto al reclamo

Autorità competente all’Autorità Garante – art. 77. E’ possibile inoltrare reclami al Garante per la protezione dei dati personali – Piazza di Montecitorio n.121 – 00186 ROMA -fax: (+39) 06.696773785 – telefono: (+39) 06.696771 – Email:

garante@gpdp.it – PEC: protocollo@pec.gpdp.it
Dati di contatto per l’esercizio dei diritti Responsabile della Protezione dei dati
 dott.ssa Maria Scocca
mail:  scocca@unimol.it
mail:  supportoprivacy@unimol.it
Revoca del consenso Gli unici dati che vengono raccolti con il consenso dell’interessato sono le preferenze riguardanti la trasmissione degli attributi a terze parti. Le preferenze sono raccolte al momento del primo accesso alla Risorsa e possono essere eliminate, con il risultato di ritirare il consenso alla loro trasmissione, iniziando nuovamente la procedura di login e spuntando la casella “Rimuovi l’autorizzazione a rilasciare le tue informazioni a questo servizio”.
Previsione di processo decisionale
automatizzato – Profilazione		 I dati personali non saranno soggetti a diffusione, né ad alcun processo decisionale interamente automatizzato, ivi compresa la profilazione.
Trasferimento dati verso Paesi Terzi extra
UE		 Non sono previsti trasferimenti di dati verso Paesi extra UE, tuttavia il Titolare assicura sin d’ora che, ove necessario, il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili, ad esempio previa stipula delle clausole contrattuali standard adottate dall’Unione Europea.
Conferimento dei dati Il conferimento dei dati personali è necessario per la fruizione del servizio di autenticazione federata.
Fonte dei Dati I dati personali sono in gran parte già in possesso dell’Università, in qualità di Titolare del trattamento.