PRIVACY POLICY SERVIZIO IDEM
(IDENTITY MANAGEMENT FEDERATO)


INGLESE ITALIANO

Trattamento dei dati personali (Privacy Policy)

Nome del Servizio

Identity Provider
Descrizione del Servizio

Servizio di autenticazione federata offerto dall'organizzazione di appartenenza.
Titolari del Trattamento

Contraente:

  • Nome: IRCCS Azienda Ospedaliero-Universitaria di Bologna
  • Email: support.idem@aosp.bo.it
  • Indirizzo: Via Albertoni 15 40138 Bologna (BO) - IT

Fornitore del servizio:

  • Nome: Consortium GARR
  • Email: info@garr.it
  • Indirizzo: Via dei Tizii, 6 - 00185 ROMA, IT

Il Contraente e il Consortium GARR sono contitolari del trattamento dei dati personali gestiti tramite il Servizio, ai sensi dell'art.26 del GDPR.


Il Contraente è responsabile riguardo all'esercizio dei diritti dell'interessato a alla comunicazione delle informazioni di cui agli articoli 13 e 14 del GDPR.
Responsabile della Protezione dei Dati (GDPR Sezione 4)

DPO:

  • Nome: Data Protection Officer (DPO) di IRCCS Azienda Ospedaliero-Universitaria di Bologna
  • Email: dpo@aosp.bo.it
  • Indirizzo: Via Albertoni 15 40138 Bologna (BO) - IT

Giurisdizione e

autorità di controllo

IT-IT

Garante per la Protezione dei Dati Personali
Come presentare una denuncia all'autorità competente per la protezione dei dati:
https://www.garanteprivacy.it/home/diritti/come-agire-per-tutelare-i-tuoi-dati-personali

Dati personali trattati e base legale per il trattamento
  1. Alcuni o tutti tra i seguenti dati personali raccolti presso l'interessato da parte del Contraente:
    1. uno o più identificativi univoci (uid, schacPersonalUniqueID, eduPersonOrcid, eduPersonTargetedID, SAML persistent identifier);
    2. credenziale di riconoscimento (userPassword);
    3. nome e cognome (sn, givenName, cn, displayName);
    4. indirizzo di posta elettronica (mail);
    5. ruolo nell'organizzazione (eduPersonAffiliation,eduPersonEntitlement);
    6. nome dell'organizzazione (schacHomeOrganization,schacHomeOrganizationType);
  2. Dati personali raccolti direttamente presso l'interessato durante il normale utilizzo del servizio:
    1. Preferenze relative al consenso all'utilizzo di Risorse in rete;
    2. Record di log del servizio IDP: identificativo utente, data e ora di utilizzo, servizio richiesto, attributi trasmessi al servizio;
    3. Record di log degli altri servizi (http, ldap, ...).

I dati personali raccolti sono raccolti e conservati in Italia in conformità con il GDPR. Il loro trattamento è necessario per fornire il servizio.

Scopo per il trattamento dei dati personali

Fornire il servizio di Identity Management as a Service e il servizio di Identity Provider as a Service al fine di autenticare l'interessato per l'accesso ai servizi in rete richiesti dall'interessato stesso.

I dati personali (attributi) vengono trasmessi a terze parti (Risorse) su richiesta dell'interessato allo scopo di ottenere il servizio richiesto.

I dati di log contengono dati personali dell'interessato che vengono raccolti allo scopo di verificare il funzionamento del servizio e per garantire la sicurezza dello stesso.

Terze parti a cui vengono comunicati i dati

Il Contraente decide a quali terze parti comunicare i dati personali degli interessati, rispettando il principio di minimizzazione. I dati personali vengono trasmessi solamente nel momento in cui l'interessato richiede l'accesso alla Risorsa della terza parte ed allo scopo di ottenere il servizio fornito dalla Risorsa.

Tali Risorse sono:

  • Tutte le Risorse della Federazione IDEM;
  • Le Risorse della Federazione eduGAIN che sono conformi al Data Protection Code of Conduct;
  • Le Risorse di eduGAIN che sono conformi a Research and Scholarship;

Terze parti fuori dalla EEA:

  • Alcune Risorse conformi al Data Protection Code of Conduct;
  • Alcune Risorse conformi a Research and Scholarship;

Come accedere, correggere, cancellare i dati personali e opporsi al loro trattamento.

Contattare i titolari del trattamento indicati precedentemente.

Ritiro del consenso dell'interessato

Gli unici dati che vengono raccolti con il consenso dell'interessato sono le preferenze riguardo la trasmissione degli attributi a terze parti. Essi vengono raccolti on-line al momento del primo accesso alla Risorsa e possono essere eliminati, con il risultato di ritirare il consenso alla loro trasmissione, iniziando nuovamente la procedura di login e spuntando la casella "Ripulisci i permessi di rilascio di informazioni dati a questo servizio in precedenza"

Portabilità dei Dati

Il Contraente può richiedere la portabilità dei dati relativi alle identità digitali, comprese le credenziali e le informazioni relative al consenso, che verranno forniti in formato aperto e ai sensi dell'Art. 20 del GDPR. Il servizio di portabilità è gratuito alla cessazione del servizio.

Durata della Conservazione dei Dati

Tutti i dati personali dell'interessato (attributi) sono conservati per tutto il tempo in cui è necessario fornire il servizio all'interessato. Se non è più necessario fornire il servizio, il contraente può disattivare un utente. Anche l'interessato può chiedere la disattivazione della propria utenza. In caso di disattivazione dell'utenza dell'interessato i dati sono conservati per ulteriori 18 mesi per poter valutare se l'utente deve/può essere riattivato. Dopo 18 mesi dalla disattivazione, se non è stata richiesta una riattivazione, tutti i dati dell'interessato vengono cancellati.

I dati di log vengono conservati per 1 mese dalla raccolta, dopo di ché vengono rimossi.

Qui puoi trovare la pagina di informazioni per l'istituto IRCCS Azienda Ospedaliero-Universitaria di Bologna: Pagina Informativa