Informativa sul trattamento dati IDEM

(Informativa Privacy ai sensi degli artt. 13 e 14 Regolamento UE 2016/679 - d'ora in avanti GDPR)

Il nuovo Regolamento Europeo - Regolamento (UE) 2016/679, Regolamento Generale sulla protezione dei dati (RGPD), unitamente al D. Lgs 196/2003 Codice in materia dei dati personali, come modificato dal D. Lgs 101/2018, definiscono norme riguardanti la protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione dei dati.

Definizioni

  • Dato personale: è "qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale".
  • Titolare: Persona Giuridica o Fisica che determina i modi e i mezzi del trattamento dei dati personali di una specifica Organizzazione a cui afferiscono gli Utenti;
  • Responsabile del trattamento: persona giuridica o fisica che tratta i dati per conto del Titolare nei limiti di quanto con esso concordato, Il Responsabile esegue le istruzioni del Titolare e ne accetta i controlli, in particolare sull'effettiva adozione di adeguate misure di protezione dei dati personali (coincide con la Persona giuridica che gestisce la "Risorsa");
  • Identity Provider: sistema informatico che fornisce il servizio di autenticazione federata per gli Utenti di una specifica Organizzazione;
  • Risorse: servizi di terze parti o del Titolare presso i quali l'Utente del servizio di autenticazione federata intende accedere;
  • Federazione d'Identità: Un gruppo di Enti erogatori di servizi di autenticazione federata e di Enti erogatori di servizi di accesso alle risorse che decidono di interoperare secondo un insieme di regole comuni.
  • Utente: persona fisica che utilizza il servizio;
  • Interessato: persona fisica i cui dati personali sono oggetto di trattamento da parte del Titolare e di eventuali terzi (coincide con l'Utente);
Nome del Servizio Identity Provider (IdP)
Descrizione del Servizio Il servizio di autenticazione federata permette agli utenti del Politecnico di Torino di accedere a Risorse federate utilizzando le proprie credenziali istituzionali. Le Risorse possono essere fornite con il tramite della Federazione d'Identità italiana delle Università e degli Enti di ricerca (IDEM), o direttamente. Il Servizio di autenticazione federata è responsabile di autenticare l'utente e rilasciare un token di autenticazione e, se richiesto, un insieme minimo di dati personali per l'accesso alla Risorsa.
Titolare del Trattamento Nome: Politecnico di Torino
Email: politenicoditorino@pec.polito.it
Indirizzo: Corso Duca degli Abruzzi, 24 – 10129 Torino - Italy

Il Politecnico di Torino, nella persona del suo Rettore pro tempore è titolare del trattamento dei dati personali gestiti tramite il Servizio.
Responsabile della Protezione dei Dati (GDPR Sezione 4) Il Responsabile della protezione dei dati del Politecnico di Torino, nella versione inglese Data Protection Officer, al quale gli interessati (persone fisiche cui si riferiscono i dati) possono rivolgersi per questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti, è l'avv. Nicoletta Roz, contattabile al seguente indirizzo: dpo@polito.it; PEC: dpo@pec.polito.it.

Il Coordinatore per la sicurezza informatica di Ateneo è l'ing. Enrico VENUTO.
I dati di contatto sono: ciso@polito.it.
Categorie di dati personali trattati e base legale per il trattamento
  1. uno o più identificativi univoci;
  2. credenziale di riconoscimento;
  3. nome e cognome;
  4. indirizzo di posta elettronica;
  5. ruolo nell'organizzazione;
  6. appartenenza a gruppi di lavoro;
  7. diritti specifici su risorse;
  8. nome dell'organizzazione di afferenza;
  9. Record di log del servizio IdP: identificativo utente, data e ora di utilizzo, Risorsa richiesta, attributi trasmessi;
  10. Record di log dei servizi necessari al funzionamento del servizio IdP.
I dati personali raccolti sono conservati in Italia in conformità con il GDPR. Il loro trattamento è finalizzato alla fornitura del servizio di autenticazione. Le basi legali per il trattamento dei dati sono la prestazione del servizio di autenticazione (adempimento di obblighi contrattuali) ed il perseguimento delle finalità istituzionali del Titolare.
Finalità del trattamento dei dati personali Fornire il servizio di autenticazione federata al fine di accedere alle Risorse richieste dall'interessato.
Verificare e monitorare il buon funzionamento del servizio e garantirne la sicurezza (interesse legittimo).
Adempiere ad eventuali obblighi legali o richieste da parte dell'Autorità giudiziaria.
Principi del trattamento Tutti i trattamenti sono improntati ai principi previsti dall'art. 5 del RGPD, con particolare riguardo alla liceità, correttezza e trasparenza, all'utilizzo dei dati per finalità legittime e connesse alle attività istituzionali del Politecnico di Torino, come indicate all'art. 2 dello Statuto dell'Ateneo. I dati sono trattati in modo pertinente rispetto al trattamento, rispettando i principi di minimizzazione, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione del Titolare.
Terze parti a cui vengono comunicati i dati Il Titolare del trattamento, al fine di erogare correttamente il servizio, comunica ai fornitori delle Risorse verso le quali l'Utente intende accedere la prova dell'avvenuta autenticazione ed i soli dati personali (attributi) richiesti, nel pieno rispetto del principio di minimizzazione.
I dati personali sono trasmessi solamente nel momento in cui l'interessato chiede l'accesso alla Risorsa della terza parte.
Per il perseguimento di finalità istituzionali del Titolare o per l'adempimento di obblighi di legge alcuni dati di log possono essere trattati da terzi (es. CERT, CSIRT, Autorità Giudiziaria).
Diritti degli interessati
  • l'interessato ha diritto di ottenere conferma del fatto che vengano trattati i suoi dati personali, ha il diritto ad accedere ai propri dati personali, così come a richiedere la rettifica dei dati inesatti o, in caso, a richiedere la loro eliminazione, il blocco o la modifica solo se ciò non pregiudica lo svolgimento del compito istituzionale del Politecnico di Torino;
  • l'interessato, in determinate circostanze e per motivi in relazione con la propria situazione particolare, ha diritto ad opporsi al trattamento dei propri dati, a richiedere la portabilità dei dati, così come a revocare i consensi prestati, in qualsiasi momento, senza che ciò infici la liceità del trattamento basato sul consenso precedente al ritiro;
  • il diritto dell'interessato a rivolgersi al Titolare del trattamento per esercitare i propri diritti;
  • la facoltà di proporre reclamo al Garante per la protezione dei dati personali secondo le modalità indicate nella pagina "Che cos'è il reclamo e come si presenta al Garante".
Esercizio dei diritti degli interessati Contattare il Titolare del trattamento ai recapiti sopra indicati per chiedere l'accesso ai dati personali, la rettifica, la cancellazione degli stessi, la limitazione del trattamento che lo riguardano, di opporsi al loro trattamento o per l'esercizio del diritto alla portabilità dei dati (articoli dal 15 al 22 del GDPR).
Revoca del consenso dell'interessato Gli unici dati che vengono raccolti con il consenso dell'interessato sono le preferenze riguardanti la trasmissione degli attributi a terze parti. Le preferenze sono raccolte al momento del primo accesso alla Risorsa e possono essere modificate in seguito iniziando nuovamente la procedura di accesso.
Portabilità dei Dati L'interessato può richiedere la portabilità dei propri dati relativi al servizio di autenticazione federata, comprese le preferenze riguardo la trasmissione degli attributi a terze parti, che verranno forniti in formato aperto e ai sensi dell'Art. 20 del GDPR. Il servizio di portabilità è gratuito alla cessazione del servizio.
Durata della Conservazione dei Dati Tutti i dati personali raccolti al fine di fornire il servizio di autenticazione federata sono conservati per tutto il tempo in cui è necessario fornire il servizio stesso.
Dopo 12 mesi dalla disattivazione, tutti i dati personali raccolti o generati dall'uso del servizio vengono cancellati.