Centro InfoSapienza

Ai sensi dell’art.13 del Regolamento Europeo sulla Protezione dei Dati personali (di seguito “GDPR”), e ai sensi delle vigenti normative nazionali in tema di trattamento dati, nella sua qualità di interessato, la informiamo che:

 

SOGGETTI DEL TRATTAMENTO

Titolare del trattamento dei dati personali è l’Università degli Studi di Roma “La Sapienza” (di seguito “Sapienza”) nella persona del suo legale rappresentante protempore, la Magnifica Rettrice, domiciliato per la carica presso la sede dell’Università, p.le Aldo Moro 5 – 00185 Roma.

Email: rettoresapienza@uniroma1.it

PEC: protocollosapienza@cert.uniroma1.it

 

Il Responsabile per la Protezione dei Dati (RPD):

Dott. Andrea Bonomolo – Direttore Area Affari Legali

Email: responsabileprotezionedati@uniroma1.it

PEC: rpd@cert.uniroma1.it

 

DESCRIZIONE DEL TRATTAMENTO

Il servizio di autenticazione federata (Identity Provider) permette agli utenti di Sapienza di accedere a Risorse federate utilizzando le proprie credenziali istituzionali.

Le Risorse possono essere fornite con il tramite della Federazione d’Identità italiana delle Università e degli Enti di ricerca (IDEM), o direttamente.

Il Servizio di autenticazione federata è responsabile di autenticare l’utente e rilasciare un token di autenticazione e, se richiesto, un insieme minimo di dati personali per l’accesso alla Risorsa.

 

FINALITA’ DEL TRATTAMENTO E BASE GIURIDICA

I dati oggetto del trattamento, forniti dall’interessato al momento dell’iscrizione e necessari all’utilizzo del servizio di Identity Provider (IdP), sono raccolti e utilizzati nei limiti stabiliti dalla legge e trattati per finalità istituzionali.

Si precisa che il trattamento è effettuato nel rispetto dei principi generali di liceità, correttezza, trasparenza, adeguatezza, pertinenza, necessità e non eccedenza di cui all’art. 5 del GDPR e che i dati saranno trattati esclusivamente, anche con l’ausilio di sistemi elettronici per le seguenti finalità:

 

• Fornire il servizio di autenticazione federata al fine di accedere alle Risorse richieste dall’interessato.
• Verificare e monitorare il buon funzionamento del servizio e garantirne la sicurezza (interesse legittimo).
• Adempiere ad eventuali obblighi legali o richieste da parte dell’Autorità giudiziaria.

 

Le basi giuridiche per il trattamento dei dati in oggetto sono l’adempimento di obblighi contrattuali (prestazione del servizio di autenticazione) ed il legittimo interesse del titolare.

 

SOGGETTI INTERESSATI E CATEGORIE DI DATI

I soggetti interessati al trattamento dati del servizio di Identity Provider sono:

• Personale docente
• Personale tecnico-amministrativo
• Studenti

Il conferimento dei dati personali è da ritenersi obbligatorio per l’utilizzo del servizio.  

I dati personali richiesti e necessari per l’accesso al servizio sono i seguenti:

1. uno o più identificativi univoci;
2. credenziale di riconoscimento;
3. nome e cognome;
4. indirizzo di posta elettronica;
5. ruolo nell’organizzazione;
6. appartenenza a gruppi di lavoro;
7. diritti specifici su risorse;
8. nome dell’organizzazione di afferenza.

I dati personali raccolti direttamente presso l’interessato durante il normale utilizzo del servizio sono i seguenti:

• Preferenze relative al consenso all’utilizzo di Risorse in rete;
• Record di log del servizio IDP: identificativo utente, data e ora di utilizzo servizio richiesto, attributi trasmessi al servizio;
• Record di log degli altri servizi necessari al funzionamento del servizio (http, ldap, …).

Gli unici dati che vengono raccolti con il consenso dell’interessato sono le preferenze riguardo la trasmissione degli attributi a terze parti. Vengono raccolti on-line al momento del primo accesso alla Risorsa e possono essere eliminati, con il risultato di ritirare il consenso alla loro trasmissione, durante la procedura di login.

 

CATEGORIE DI DESTINATARI DEI DATI ED EVENTUALE TRASFERIMENTO DEI DATI

L’accesso ai dati raccolti per le finalità di cui sopra è consentito al Titolare, a soggetti interni all’Ateneo da lui delegati come gli Amministratori di Sistema e incaricati al trattamento o a soggetti esterni (fornitori del servizio) in qualità di Responsabili del Trattamento, debitamente nominati come da art.28 del GDPR, per lo svolgimento di lavori di assistenza, supporto e manutenzione necessari al corretto funzionamento della piattaforma o per la gestione di ulteriori funzionalità aggiuntive.

Al di fuori dei casi di cui sopra, i dati non saranno comunicati a terzi se non per ottemperare ad obblighi di legge o rispondere ad istanze legali e giudiziarie e non saranno in alcun modo diffusi.

I dati raccolti sono conservati in Italia e non saranno oggetto di trasferimento in altri paesi.

 

TERZE PARTI A CUI VENGONO COMUNICATI I DATI

Il Titolare del trattamento, al fine di erogare correttamente il servizio, comunica ai fornitori delle Risorse verso le quali l’Utente intende accedere la prova dell’avvenuta autenticazione ed i soli dati personali (attributi) richiesti, nel pieno rispetto del principio di minimizzazione.

I dati personali sono trasmessi solamente nel momento in cui l’interessato chiede l’accesso alla Risorsa della terza parte.

Al di fuori dei casi di cui sopra, i dati non saranno comunicati a terzi se non per ottemperare ad obblighi di legge o rispondere ad istanze legali e giudiziarie e non saranno in alcun modo diffusi.

I dati raccolti sono conservati in Italia e non saranno oggetto di trasferimento in altri paesi.

 

PERIODO DI CONSERVAZIONE DEI DATI

Tutti i dati personali raccolti al fine di fornire il servizio di autenticazione federata saranno conservati per tutto il tempo in cui è necessario fornire il servizio stesso e in ogni caso non superiore al conseguimento delle finalità e con specifico riguardo al principio di limitazione della conservazione.

Dopo 18 mesi dalla disattivazione dell’account, se non è stata richiesta una riattivazione, tutti i dati personali raccolti o generati dall’uso del servizio vengono cancellati.

I dati di log vengono conservati per 6 mesi dalla raccolta, dopodichè vengono rimossi.

I dati personali raccolti sono raccolti e conservati in Italia in conformità con il GDPR. Il loro trattamento è necessario per fornire il servizio.

 

PORTABILITA’ DEI DATI

L’interessato può richiedere la portabilità dei propri dati relativi al servizio di autenticazione federata, comprese le preferenze riguardo la trasmissione degli attributi a terze parti, che verranno forniti in formato aperto e ai sensi dell’Art. 20 del GDPR. Il servizio di portabilità è gratuito alla cessazione del servizio.

 

DIRITTI DELL’INTERESSATO

Ai sensi degli artt. 15-21 del Regolamento UE 679/2016 e della normativa vigente, l’interessato ha il diritto di chiedere al titolare del trattamento: l’accesso ai dati personali e la rettifica, la cancellazione degli stessi, la limitazione del trattamento che li riguardano, l’opposizione al loro trattamento e alla portabilità dei dati.

In particolare potrà:

1. Conoscere l’esistenza di trattamenti di dati che possono riguardarlo;
   Ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la comunicazione in forma intelligibile dei medesimi dati e della loro origine, nonché della logica e delle finalità su cui si basa il trattamento;
2. Ottenere la cancellazione dei propri dati, fatta eccezione per quelli contenuti in atti che devono essere obbligatoriamente conservati da Sapienza e salvo che sussista un motivo legittimo prevalente in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
3. Ottenere l’aggiornamento, la rettifica ovvero, qualora vi abbia interesse, l’integrazione dei dati;
4. Opporsi, in tutto o in parte, per motivi legittimi al trattamento dei propri dati personali, fermo quanto previsto con riguardo alla necessità ed obbligatorietà del trattamento ai fini dell’instaurazione del rapporto;
5. Trasferire liberamente i propri dati personali ad altri fornitori di servizi;
6. Presentare un reclamo all’autorità di controllo (www.garanteprivacy.it).

 

L’interessato potrà esercitare tutti i diritti di cui sopra inviando una comunicazione per e-mail ai riferimenti del Titolare o del Responsabile della Protezione dei Dati indicati sopra.