Privacy IDEM
(Informativa Privacy ai sensi degli artt. 13 e 14 Regolamento UE 679/2016 - d'ora in avanti GDPR)
Il nuovo Regolamento Europeo - Regolamento (UE) 679/2016, Regolamento Generale sulla protezione dei dati (RGPD), unitamente al D. Lgs 196/2003 Codice in materia dei dati personali, come modificato dal D. Lgs 101/2018, definiscono norme riguardanti la protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione dei dati.
Definizioni
- Dato personale: è "qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale".
- Titolare: Persona Giuridica o Fisica che determina i modi e i mezzi del trattamento dei dati personali di una specifica Organizzazione a cui afferiscono gli Utenti;
- Responsabile del trattamento: persona giuridica o fisica che tratta i dati per conto del Titolare nei limiti di quanto con esso concordato, Il Responsabile esegue le istruzioni del Titolare e ne accetta i controlli, in particolare sull'effettiva adozione di adeguate misure di protezione dei dati personali (coincide con la Persona giuridica che gestisce la "Risorsa");
- Identity Provider: sistema informatico che fornisce il servizio di autenticazione federata per gli Utenti di una specifica Organizzazione;
- Risorse: servizi di terze parti o del Titolare presso i quali l'Utente del servizio di autenticazione federata intende accedere;
- Federazione d'Identità: Un gruppo di Enti erogatori di servizi di autenticazione federata e di Enti erogatori di servizi di accesso alle risorse che decidono di interoperare secondo un insieme di regole comuni.
- Utente: persona fisica che utilizza il servizio;
- Interessato: persona fisica i cui dati personali sono oggetto di trattamento da parte del Titolare e di eventuali terzi (coincide con l'Utente);
Nome del Servizio | Identity Provider (IdP) |
---|---|
Descrizione del Servizio | Il servizio di autenticazione federata permette agli utenti del Politecnico di Torino di accedere a Risorse federate utilizzando le proprie credenziali istituzionali. Le Risorse possono essere fornite con il tramite della Federazione d'Identità italiana delle Università e degli Enti di ricerca (IDEM), o direttamente. Il Servizio di autenticazione federata è responsabile di autenticare l'utente e rilasciare un token di autenticazione e, se richiesto, un insieme minimo di dati personali per l'accesso alla Risorsa. | Titolare del Trattamento | Nome: Politecnico di Torino Email: politenicoditorino@pec.polito.it Indirizzo: Corso Duca degli Abruzzi, 24 – 10129 Torino - Italy Il Politecnico di Torino, nella persona del suo rettore pro-tempore è titolare del trattamento dei dati personali gestiti tramite il Servizio. |
Responsabile della Protezione dei Dati (GDPR Sezione 4) | Il Responsabile della protezione dei dati del Politecnico di Torino, nella versione inglese Data protection officer, al quale gli interessati (persone fisiche cui si riferiscono i dati) possono rivolgersi per questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti, è l'avv. Nicoletta Roz, contattabile al seguente indirizzo: dpo@polito.it; PEC: dpo@pec.polito.it. Il Coordinatore per la sicurezza informatica di Ateneo è l'ing. Enrico VENUTO. I dati di contatto sono: ciso@polito.it. |
Categorie di dati personali trattati e base legale per il trattamento |
|
Finalità del trattamento dei dati personali | Fornire il servizio di autenticazione federata al fine di accedere alle Risorse richieste dall'interessato. Verificare e monitorare il buon funzionamento del servizio e garantirne la sicurezza (interesse legittimo). Adempiere ad eventuali obblighi legali o richieste da parte dell'Autorità giudiziaria. |
Principi del trattamento | Tutti i trattamenti sono improntati ai principi previsti dall'art. 5 del RGPD, con particolare riguardo alla liceità, correttezza e trasparenza dei trattamenti, all'utilizzo dei dati per finalità legittime e connesse alle attività istituzionali del Politecnico di Torino, come indicate all'art. 2 dello Statuto dell'Ateneo, in modo pertinente rispetto al trattamento, rispettando i principi di minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, responsabilizzazione. | Terze parti a cui vengono comunicati i dati | Il Titolare del trattamento, al fine di erogare correttamente il servizio, comunica ai fornitori delle Risorse verso le quali l'Utente intende accedere la prova dell'avvenuta autenticazione ed i soli dati personali (attributi) richiesti, nel pieno rispetto del principio di minimizzazione. I dati personali sono trasmessi solamente nel momento in cui l'interessato chiede l'accesso alla Risorsa della terza parte. Per il perseguimento di finalità istituzionali le finalità connesse all'interesse legittimo del Titolare o per all'adempimento di obblighi di legge alcuni dati di log possono essere trattati da terzi (es. CERT, CSIRT, Autorità Giudiziaria). |
Diritti degli interessati |
|
Esercizio dei diritti degli interessati | Contattare il titolare del trattamento ai recapiti sopra indicati per chiedere l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, o per l'esercizio del diritto alla portabilità dei dati (articoli dal 15 al 22 del GDPR). |
Revoca del consenso dell'interessato | Gli unici dati che vengono raccolti con il consenso dell'interessato sono le preferenze riguardanti la trasmissione degli attributi a terze parti. Le preferenze sono raccolte al momento del primo accesso alla Risorsa e possono essere modificate in seguito iniziando nuovamente la procedura di accesso. |
Portabilità dei Dati | L'interessato può richiedere la portabilità dei propri dati relativi al servizio di autenticazione federata, comprese le preferenze riguardo la trasmissione degli attributi a terze parti, che verranno forniti in formato aperto e ai sensi dell'Art. 20 del GDPR. Il servizio di portabilità è gratuito alla cessazione del servizio. |
Durata della Conservazione dei Dati | Tutti i dati personali raccolti al fine di fornire il servizio di autenticazione federata sono conservati per tutto il tempo in cui è necessario fornire il servizio stesso. Dopo 12 mesi dalla disattivazione, tutti i dati personali raccolti o generati dall'uso del servizio vengono cancellati. |