Informativa Privacy per Identity Provider IDEM ENEA

Trattamento dei dati personali

(Informativa Privacy ai sensi degli artt. 13 e 14 del Regolamento UE 679/2016 – d’ora in avanti GDPR)

 

 

Nome del Servizio

 

(Identity Provider) IdP ENEA

 

Descrizione del Servizio

 

Il servizio di autenticazione federata permette agli utenti di ENEAdi accedere a Risorse federate utilizzando le proprie credenziali istituzionali (ASIE).

Le Risorse possono essere fornite per il tramite della Federazione d’Identità italiana delle Università e degli Enti di ricerca (IDEM) o direttamente.

Il Servizio di autenticazione federata è responsabile diautenticare l’utente e rilasciare un token di autenticazione e, se richiesto, un insieme minimo di dati personali per l’accesso alla Risorsa.

IDEM è una federazione di identità basata sullo standard SAML (Security Assertion Markup Language), tecnologia che permettelo scambio di dati di autenticazione e autorizzazione (asserzioni) tra domini di sicurezza distinti denominati identity provider (entità che fornisce informazioni di identità) e service provider (entità che fornisce servizi).

Grazie al servizio di federazione, gli Identity Provider (tra cui ENEA) forniscono ai propri utenti meccanismi di protezione della privacy e i Service Provider possono ottenere un miglior controllo degli accessi verso risorse protette eliminando la gestione account utenti cheviene demandata ai sistemi di gestione delle identità degli IdentityProvider.

 

Titolare del Trattamento

 

Nome: ENEA- Agenzia nazionale per le nuove tecnologie,l’energia e lo sviluppo economico sostenibile

 

Email: enea@cert.enea.it

Indirizzo: Lungotevere Thaon di Revel, 76 – 00196,Roma

 

ENEA è titolare del trattamento dei dati personali gestiti tramite il Servizio di autenticazione.

 

 

Responsabile della Protezione dei Dati (GDPR Sezione 4) (se applicabile)

 

Il DPO per ENEA è stato nominato con Disposizione n°34/2020/PRES del 6 febbraio 2020. Per comunicazioni relative esclusivamente al trattamento dei dati personali, può essere contattato al seguente indirizzo e-mail: uver.dpo@enea.it.

 

Giurisdizione e autorità di controllo

 

IT-IT

Garante per la Protezione dei Dati Personali https://www.garanteprivacy.it

 

Categorie di dati personali diretti ed indiretti trattati e base legale per il trattamento

 

1.     uno o più identificativi univoci;

2.     credenziale di riconoscimento;

3.     nome e cognome;

4.     indirizzo di posta elettronica;

5.     appartenenza a gruppi di lavoro;

6.     nome dell’organizzazione di afferenza;

7.     Record di log del servizio IdP: identificativoutente, data e ora di utilizzo, Risorsa richiesta, attributi trasmessi;

8.     Record di log dei servizi necessari alfunzionamento del servizio IdP.

 

I dati personali raccolti sono conservati in Italia in conformità con il GDPR. Il loro trattamento è finalizzato alla fornitura del servizio di autenticazione. Le basi legali per il trattamento dei dati sono la prestazione del servizio di autenticazione (adempimento di obblighi contrattuali) in relazione a qualsiasi tipologia di contrattoin essere tra gli interessati/utenti e l’ENEA (tempo indeterminato e determinato, definiti come tipologia di utente: membro o staff) e in relazione ad ulteriori forme di rapporto intercorrenti con ENEA che determini la necessità di attribuire un’identità di utente (tipologia di utente: affiliato) ed il consenso dell’utente: gli unici dati raccolti con il consenso dell’interessato sono le preferenze sulla visualizzazione degli attributi trasmessi alle Risorse.

 

 

Finalità del trattamento dei dati personali

 

Fornire il servizio di autenticazione federata al fine di accedere alle Risorse richieste dall’interessato.

Verificare e monitorare il buon funzionamento del servizio e garantirne la sicurezza.

Adempiere ad eventuali obblighi legali o richieste da parte dell’Autorità giudiziaria.

 

Terze parti a cui vengono comunicati i dati

 

Il Titolare del trattamento, al fine di erogare correttamente il servizio, comunica ai fornitori delle Risorse verso le quali l’Utente intende accedere la prova dell’avvenuta autenticazione ed i soli datipersonali (attributi) richiesti, nel pieno rispetto del principio di minimizzazione.

I dati personali sono trasmessi solamente nel momento in cui l’interessato chiede l’accesso alla Risorsa della terza parte.

Per l’adempimento di obblighi di legge alcuni dati di log possono essere comunicati e trattati da terzi (es. CERT, CSIRT, Autorità Giudiziaria) ovvero se la comunicazione si renderà necessaria perla tutela dell’ENEA in sede giudiziaria, nel rispetto delle vigenti disposizioni in materia di protezione dei dati personali.

 

Modalità del trattamento

 

L’utente si collega ad una risorsa web offerta da un fornitore diservizi di terze parti, ad esempio un servizio di consultazione di una rivista elettronica di uno specifico editore. Scegliendo la modalità di login “Accesso istituzionale” l’utente viene rediretto alla pagina di login dell’ENEA (Istituzione di appartenenza) ed usa le credenziali istituzionali ASIE.

Dopo un’autenticazione con successo, il sistema di identità istituzionale trasmette al fornitore di servizi l’identità dell’utente, rappresentata da un insieme minimo di attributi. Il fornitore diservizi utilizza queste informazioni per autorizzare l’utente all’accesso alla risorsa web.

Gli attributi sono trasmessi nel rispetto del principio diminimizzazione dei dati.

 

Esercizio dei diritti degli interessati

 

Contattare il titolare del trattamento ai recapiti sopra indicati per chiedere l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, o per l’esercizio deldiritto alla portabilità dei dati (articoli dal 15 al 22 del GDPR).

 

 

Revoca del consenso dell’interessato

 

Gli unici dati che vengono raccolti con il consenso dell’interessato sono le preferenze sulla visualizzazione degli attributi trasmessi alle Risorse. Le preferenze sono raccolte almomento del primo accesso alla Risorsa e possono essere modificate in seguito iniziando nuovamente la procedura di accesso.

 

Portabilità dei Dati

 

L’interessato può richiedere la portabilità dei propri dati relativi al servizio di autenticazione federata, comprese le preferenze sulla visualizzazione degli attributi trasmessi alle Risorse, che verranno forniti in formato aperto e ai sensi dell’Art. 20 del GDPR.Il servizio di portabilità dei dati è gratuito.

 

Durata della Conservazione dei Dati

 

Tutti i dati personali raccolti al fine di fornire il servizio di autenticazione federata sono conservati per il tempo in cui sarà necessario fornire il servizio stesso.

Dopo 7 giorni dall’accesso ed utilizzo della Risorsa, tutti i dati personali raccolti o generati dall’uso del servizio, per motivi diverifica e garantirne la sicurezza (es. in caso di violazioni), vengono cancellati.