Definizioni
Titolare
Persona Giuridica o Fisica che determina i modi e i mezzi del trattamento dei dati personali di una specifica Organizzazione a cui afferiscono gli Utenti
Responsabile del trattamento
Persona giuridica o fisica che tratta i dati per conto del Titolare nei limiti di quanto con esso concordato.
Il Responsabile esegue le istruzioni del Titolare e ne accetta i controlli, in particolare sull’effettiva adozione di adeguate misure di protezione dei dati personali (coincide con la Persona giuridica che gestisce la “Risorsa”)
Identity Provider
Sistema informatico che fornisce il servizio di autenticazione federata per gli Utenti di una specifica Organizzazione
Risorse
Servizi di terze parti o del Titolare presso i quali l’Utente del servizio di autenticazione federata intende accedere
Federazione d’Identità
Un gruppo di Enti erogatori di servizi di autenticazione federata e di Enti erogatori di servizi di accesso alle risorse che decidono di interoperare secondo un insieme di regole comuni
Utente
Persona fisica che utilizza il servizio
Interessato
Persona fisica i cui dati personali sono oggetto di trattamento da parte del Titolare e di eventuali terzi (coincide con l’Utente)
Nome del Servizio
Identity Provider (IdP)
Descrizione del Servizio
Il servizio di autenticazione federata permette agli utenti di ASI di accedere a Risorse federate utilizzando le proprie credenziali istituzionali.
Le Risorse possono essere fornite con il tramite della Federazione d’Identità italiana delle Università e degli Enti di ricerca (IDEM), o direttamente.
Il Servizio di autenticazione federata è responsabile di autenticare l’utente e rilasciare un token di autenticazione e, se richiesto, un insieme minimo di dati personali per l’accesso alla Risorsa.
Titolare del Trattamento e Responsabile della Protezione dei Dati
Il Titolare del trattamento è l’AGENZIA SPAZIALE ITALIANA - ASI con sede legale in Roma, Via del Politecnico s.n.c., PEC asi@asi.postacert.it.
Il Responsabile della Protezione dei Dati (RPD) è raggiungibile all’indirizzo mail rpd@asi.it
Giurisdizione e autorità di controllo
IT-IT Garante per la Protezione dei Dati Personali
Categorie di dati personali diretti ed indiretti trattati
- uno o più identificativi univoci;
- credenziale di riconoscimento;
- nome e cognome;
- indirizzo di posta elettronica;
- ruolo nell’organizzazione;
- appartenenza a gruppi di lavoro;
- diritti specifici su risorse;
- nome dell’organizzazione di afferenza;
- record di log del servizio IdP: identificativo utente, data e ora di utilizzo, Risorsa richiesta, attributi trasmessi;
- record di log dei servizi necessari al funzionamento del servizio IdP.
Finalità e basi giuridiche del trattamento
I dati personali sono trattati per la seguente finalità:
- Fornitura del servizio di autenticazione federata per accedere alle Risorse richieste;
- Verifica e monitoraggio del corretto funzionamento del servizio e garanzia della sicurezza;
- Adempimento di obblighi legali e risposte a richieste da parte dell’Autorità giudiziaria.
Base giuridica del trattamento sono
Le basi giuridiche del trattamento sono:
- Art. 6 § 1.e GDPR: esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, in quanto ASI è ente pubblico che fornisce servizi istituzionali;
- Art. 6 § 1.c GDPR: adempimento di obblighi legali.
Terze parti a cui vengono comunicati i dati
Il Titolare del trattamento, al fine di erogare correttamente il servizio, comunica ai fornitori delle Risorse verso le quali l’Utente intende accedere la prova dell’avvenuta autenticazione ed i soli dati personali (attributi) richiesti, nel pieno rispetto del principio di minimizzazione.
I dati personali sono trasmessi solamente nel momento in cui l’interessato chiede l’accesso alla Risorsa della terza parte.
Per le finalità connesse all’interesse legittimo del Titolare o all’adempimento di obblighi di legge alcuni dati di log possono essere trattati da terzi (es. CERT, CSIRT, Autorità Giudiziaria).
Esercizio dei diritti degli interessati
Contattare il titolare del trattamento ai recapiti sopra indicati per chiedere l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, o per l’esercizio del diritto alla portabilità dei dati (articoli dal 15 al 22 del GDPR).
Revoca del consenso dell’interessato
Gli unici dati che vengono raccolti con il consenso dell’interessato sono le preferenze sulla visualizzazione degli attributi trasmessi alle Risorse. Le preferenze sono raccolte al momento del primo accesso alla Risorsa e possono essere modificate in seguito iniziando nuovamente la procedura di accesso.
Portabilità dei Dati
L’interessato può richiedere la portabilità dei propri dati relativi al servizio di autenticazione federata, comprese le preferenze sulla visualizzazione degli attributi trasmessi alle Risorse, che verranno forniti in formato aperto e ai sensi dell’Art. 20 del GDPR. Il servizio di portabilità dei dati è gratuito.
Durata della Conservazione dei Dati
Tutti i dati personali raccolti al fine di fornire il servizio di autenticazione federata sono conservati per tutto il tempo in cui sarà necessario fornire il servizio stesso. Dopo 12 mesi dalla disattivazione, tutti i dati personali raccolti o generati dall’uso del servizio vengono cancellati.