Il Consortium GARR e' titolare del trattamento dei dati personali gestiti tramite il Servizio, ai sensi dell'art.24 del GDPR 2016/679 e responsabile riguardo all'esercizio dei diritti dell'interessato e alla comunicazione delle informazioni di cui agli articoli 13 e 14 del GDPR 2016/679.

Giurisdizione e autorita' di controllo

Dati personali trattati e base legale per il trattamento

1. Alcuni o tutti tra i seguenti dati personali raccolti:
   1. uno o più identificativi univoci (uid, schacPersonalUniqueID, eduPersonOrcid, eduPersonTargetedID, SAML persistent identifier);
   2. credenziale di riconoscimento (userPassword);
   3. nome e cognome (sn, givenName, cn, displayName);
   4. indirizzo di posta elettronica (mail);
   5. ruolo nell’organizzazione (eduPersonAffiliation,eduPersonEntitlement);
   6. nome dell’organizzazione (schacHomeOrganization,schacHomeOrganizationType);
2. Dati personali raccolti direttamente presso l’interessato durante il normale utilizzo del servizio:
   1. Preferenze relative al consenso all’utilizzo di Risorse in rete;
   2. Record di log del servizio IDP: identificativo utente, data e ora di utilizzo, servizio richiesto, attributi trasmessi al servizio;
   3. Record di log degli altri servizi (http, ldap, …).

Il titolare del trattamento certifica che tutti i dati dell'interessato sono trattati in conformita' GDPR 2016/679.
Le credenziali di identificazione (nome utente/parola d'ordine) sono custodite nei sistemi informativi del Consortium GARR e non verranno mai trasmesse a terze parti.
In base al protocollo standard SAML gli attributi di profilazione utente, necessari per l'accesso alle risorse e rilasciati in base a criterio di minimizzazione, potranno essere trasmessi ai Resource Providers (siano esse in territorio UE o extracomunitario a seconda della collocazione geografica delle risorse) ai quali l'utente richiede accesso previa presentazione di opportuna schermata per il consenso.
I dati personali sono raccolti e conservati in Italia sui sistemi informativi del Consortium GARR in conformita' con il GDPR 2016/679 e successive modificazioni per le sole finalita' inerenti l'erogazione del servizio e l'accesso alle risorse richieste dall'interessato.
Il loro trattamento e' pertanto necessario per fornire il servizio.
Il trattamento dei dati personali dell'interessato e' soggetto alle limitazioni ai sensi Art.23 GDPR 2016/679

Finalita' del trattamento dei dati personali

I dati personali comunicati dall'interessato (sia in fase di registrazione che di utilizzo del presente servizio) sono quelli strettamente necessari ad autenticarlo permettendogli l'accesso alle risorse richieste.
Per natura intrinseca del servizio di autenticazione federata basata su protocollo SAML, le credenziali di autenticazione (username/password) non verranno mai trasmesse a terze entita' (siano esse altri Resource Providers o Identity Providers).
Gli attributi che concorrono all'identificazione dell'utente (come da protocollo SAML) vengono trasmessi a terze parti (Resource Providers) previo suo esplicito consenso allo scopo di ottenere l'accesso alla risorsa richiesta.
Proseguendo nella fruizione del servizio l'interessato acconsente al trattamento dei dati personali di cui al punto precedente in conformita' al GDPR 2016/679 e successive modificazioni.
I dati di log contenenti dati personali dell'interessato vengono raccolti allo scopo di verificare il funzionamento del servizio e per garantire la sicurezza dello stesso in conformita' alle vigenti normative nazionali.
Come contemplato dal GDPR 2016/679 art.2 punto d e art.23, qualora l'account dell'utente sia oggetto di violazione/compromissione e conseguenti attivita' malevole, previa notifica informativa allo stesso e dietro richiesta delle autorita' deputate alle azioni di prevenzione, indagine, individuazione e persecuzione di reati penali o esecuzione di provvedimenti penali, i logs potranno essere messi a disposizione degli stessi per ulteriori indagini.

Destinatari del trattamento dei dati personali

L'Identity Provider Direzione Consortium GARR comunica alle risorse cui l'interessato richiede accesso (Resource Providers) gli attributi necessari rispettando il principio di minimizzazione.
I dati personali vengono trasmessi solamente nel momento in cui l'interessato richiede l'accesso alla Risorsa della terza parte ed unicamente allo scopo di ottenere il servizio fornito dalla Risorsa.

Tali Risorse sono:

• Tutte le Risorse della Federazione IDEM (https://www.idem.garr.it/servizi/sp);
• Le Risorse della Federazione eduGAIN che sono conformi al Data Protection Code of Conduct (http://monitor.edugain.org/coco/?show=list_sps);
• Le Risorse di eduGAIN che sono conformi a Research and Scholarship (https://wiki.refeds.org/display/ENT/Research+and+Scholarship+Review+2017);
• Tutte le Risorse della Federazione eduGAIN (https://technical.edugain.org/entities);

Terze parti fuori dalla EEA:

• Altre Risorse conformi al Data Protection Code of Conduct;
• Alcune Risorse conformi a Research and Scholarship;
• Risorse e Servizi riservati al solo personale della Direzione Consortium GARR;

Accesso, rettifica e cancellazione dei dati personali ed opposizione al loro trattamento.

Contattare i titolari del trattamento indicati precedentemente.

In caso di rettifica o cancellazione dei dati personali dell'interessato o limitazione del trattamento il titolare del trattamento provvedera' a darne comunicazione ai destinatari ai sensi art.19 GDPR 2016/679

Revoca del consenso dell'interessato

Gli unici dati che vengono raccolti con il consenso dell’interessato sono le preferenze riguardo la trasmissione degli attributi a terze parti. Essi vengono raccolti on-line al momento del primo accesso alla Risorsa e possono essere eliminati, con il risultato di ritirare il consenso alla loro trasmissione, iniziando nuovamente la procedura di login e spuntando la casella "Rimuovi l'autorizzazione a rilasciare le tue informazioni a questo servizio"

Portabilita' dei Dati

L'interessato ha facolta' di richiedere al titolare del trattamento la portabilita' dei dati relativi alle identita' digitali, comprese le credenziali e le informazioni relative al consenso, che verranno forniti conformemente a quanto indicato nell'Art. 20 del GDPR 2016/679 .

La portabilita' qualora richiesta e' gratuita alla cessazione del servizio.

Durata della Conservazione dei Dati

I dati personali sono conservati per il tempo in cui e' necessario fornire il servizio richiesto. Il Consortium GARR, previa comunicazione al diretto interessato, si riserva la facolta' di rimuoverne i dati personali qualora il presente servizio (Identity Provider Direzione Consortium GARR) venga dismesso. L'interessato ha facolta' di richiedere la sospensione/dismissione della propria utenza tramite richiesta motivata al Responsabile o al Titolare del Trattamento dei Dati (vedi punti precedenti). In caso di sospensione dell'utenza dell'interessato i dati sono conservati fino ad un periodo massimo di 6 mesi per poter valutare se l'utente deve/puo' essere riattivato, scaduti i quali, in assenza di esplicita richiesta di riabilitazione, i dati e relativo account vengono cancellati in via definitiva. In caso di dismissione l'account utente e relativi dati vengono immediatamente cancellati.

I dati di log vengono conservati in conformita' alla normativa vigente per un periodo di 6 mesi.
Alla scadenza di tale periodo i logs verranno cancellati.
Qualora tuttavia pervenga al titolare del trattamento specifica richiesta delle autorita' di PS per attivita' di indagini informatiche legate alla fruizione del servizio da parte dell'interessato i logs potranno essere conservati per un periodo massimo di altri 6 mesi.