Trattamento dei dati personali (Privacy Policy)

Nome del Servizio

Identity Provider

Descrizione del Servizio

Servizio di autenticazione federata offerto dall’organizzazione di appartenenza.

Titolari del Trattamento

Contraente:

  • Nome: IRCCS INMI Spallanzani - Roma
  • Email: sia@inmi.it
  • Indirizzo: Via Portuense, 292, 00149 Roma RM

Fornitore del servizio:

  • Nome: Consortium GARR
  • Email: info@garr.it
  • Indirizzo: Via dei Tizii, 6 - 00185 ROMA, IT

Il Contraente e il Consortium GARR sono contitolari del trattamento dei dati personali gestiti tramite il Servizio, ai sensi dell’art.26 del GDPR.


Il Contraente è responsabile riguardo all'esercizio dei diritti dell'interessato a alla comunicazione delle informazioni di cui agli articoli 13 e 14 del GDPR.

Responsabile della Protezione dei Dati (GDPR Sezione 4) (se applicabile) Non applicabile

Giurisdizione e

autorità di controllo

IT-IT

Garante per la Protezione dei Dati Personali
Come presentare una denuncia all'autorità competente per la protezione dei dati:
https://www.garanteprivacy.it/home/diritti/come-agire-per-tutelare-i-tuoi-dati-personali

Dati personali trattati e base legale per il trattamento

  1. Alcuni o tutti tra i seguenti dati personali raccolti presso l’interessato da parte del Contraente:
    1. uno o più identificativi univoci (uid, schacPersonalUniqueID, eduPersonOrcid, eduPersonTargetedID, SAML persistent identifier);
    2. credenziale di riconoscimento (userPassword);
    3. nome e cognome (sn, givenName, cn, displayName);
    4. indirizzo di posta elettronica (mail);
    5. ruolo nell’organizzazione (eduPersonAffiliation,eduPersonEntitlement);
    6. nome dell’organizzazione (schacHomeOrganization,schacHomeOrganizationType);
  2. Dati personali raccolti direttamente presso l’interessato durante il normale utilizzo del servizio:
    1. Preferenze relative al consenso all’utilizzo di Risorse in rete;
    2. Record di log del servizio IDP: identificativo utente, data e ora di utilizzo, servizio richiesto, attributi trasmessi al servizio;
    3. Record di log degli altri servizi (http, ldap, …).

I dati personali raccolti sono raccolti e conservati in Italia in conformità con il GDPR. Il loro trattamento è necessario per fornire il servizio.

Scopo per il trattamento dei dati personali

Fornire il servizio di Identity Management as a Service e il servizio di Identity Provider as a Service al fine di autenticare l’interessato per l’accesso ai servizi in rete richiesti dall’interessato stesso.

I dati personali (attributi) vengono trasmessi a terze parti (Risorse) su richiesta dell’interessato allo scopo di ottenere il servizio richiesto.

I dati di log contengono dati personali dell’interessato che vengono raccolti allo scopo di verificare il funzionamento del servizio e per garantire la sicurezza dello stesso.

Terze parti a cui vengono comunicati i dati

Il Contraente decide a quali terze parti comunicare i dati personali degli interessati, rispettando il principio di minimizzazione. I dati personali vengono trasmessi solamente nel momento in cui l’interessato richiede l’accesso alla Risorsa della terza parte ed allo scopo di ottenere il servizio fornito dalla Risorsa.

Tali Risorse sono:

  • Tutte le Risorse della Federazione IDEM;
  • Le Risorse della Federazione eduGAIN che sono conformi al Data Protection Code of Conduct;
  • Le Risorse di eduGAIN che sono conformi a Research and Scholarship;

Terze parti fuori dalla EEA:

  • Alcune Risorse conformi al Data Protection Code of Conduct;
  • Alcune Risorse conformi a Research and Scholarship;

Come accedere, correggere, cancellare i dati personali e opporsi al loro trattamento.

Contattare i titolari del trattamento indicati precedentemente.

Ritiro del consenso dell’interessato

Gli unici dati che vengono raccolti con il consenso dell’interessato sono le preferenze riguardo la trasmissione degli attributi a terze parti. Essi vengono raccolti on-line all'accesso della Risorsa ed eliminati alla chiusura del proprio browser web.

Portabilità dei Dati

Il Contraente può richiedere la portabilità dei dati relativi alle identità digitali, comprese le credenziali e le informazioni relative al consenso, che verranno forniti in formato aperto e ai sensi dell’Art. 20 del GDPR. Il servizio di portabilità è gratuito alla cessazione del servizio.

Durata della Conservazione dei Dati

Tutti i dati personali dell’interessato (attributi) sono conservati per tutto il tempo in cui è necessario fornire il servizio all’interessato. Se non è più necessario fornire il servizio, il contraente può disattivare un utente. Anche l’interessato può chiedere la disattivazione della propria utenza. In caso di disattivazione dell’utenza dell’interessato i dati sono conservati per ulteriori 18 mesi per poter valutare se l’utente deve/può essere riattivato. Dopo 18 mesi dalla disattivazione, se non è stata richiesta una riattivazione, tutti i dati dell’interessato vengono cancellati.

I dati di log vengono conservati per 1 mese dalla raccolta, dopo di ché vengono rimossi.