IDP Privacy Policy

Nome del Servizio	Identity Provider
Descrizione del Servizio	Il servizio di autenticazione federata permette agli utenti dell’Istituto Superiore di Studi Musicali Claudio Monteverdi di Cremona di accedere a Risorse federate utilizzando le proprie credenziali istituzionali. Le Risorse possono essere fornite con il tramite della Federazione d’Identità italiana delle Università e degli Enti di ricerca (IDEM), o direttamente. Il Servizio di autenticazione federata è responsabile di autenticare l’utente e rilasciare un token di autenticazione e, se richiesto, un insieme minimo di dati personali per l’accesso alla Risorsa.
Titolari del Trattamento	Il titolare del trattamento dei dati personali gestiti tramite il servizio è l’I.S.S.M. Claudio Monteverdi di Cremona, con sede legale in Via Realdo Colombo, 1 – 26100 Cremona, rappresentata dal Presidente, Dott. Andrea Rurale. I dati di contatto sono: email: info@istitutomonteverdi.it PEC (posta elettronica certificata): istitutomonteverdi@pec.it
Responsabile della Protezione dei Dati (GDPR Sezione 4) (se applicabile)	Il Responsabile della protezione dei dati dell’I.S.S.M. Claudio Monteverdi di Cremona è
Giurisdizione e autorità di controllo	IT-IT Garante per la Protezione dei Dati Personali https://www.garanteprivacy.it
Dati personali trattati e base legale per il trattamento	uno o più identificativi univoci; credenziale di riconoscimento; nome e cognome; indirizzo di posta elettronica; ruolo nell’organizzazione; appartenenza a gruppi di lavoro; diritti specifici su risorse; nome dell’organizzazione di afferenza; Record di log del servizio IdP: identificativo utente, data e ora di utilizzo, Risorsa richiesta, attributi trasmessi; Record di log dei servizi necessari al funzionamento del servizio IdP. I dati personali raccolti sono conservati in Italia in conformità con il GDPR. Il loro trattamento è finalizzato alla fornitura del servizio di autenticazione. Le basi legali per il trattamento dei dati sono la prestazione del servizio di autenticazione (adempimento di obblighi contrattuali) ed il legittimo interesse del titolare.
Finalità del trattamento dei dati personali	Fornire il servizio di autenticazione federata al fine di accedere alle Risorse richieste dall’interessato. Verificare e monitorare il buon funzionamento del servizio e garantirne la sicurezza (interesse legittimo). Adempiere ad eventuali obblighi legali o richieste da parte dell’Autorità giudiziaria.
Scopo per il trattamento dei dati personali	Fornire il servizio di Identity Management as a Service e il servizio di Identity Provider as a Service al fine di autenticare l’interessato per l’accesso ai servizi in rete richiesti dall’interessato stesso. I dati personali (attributi) vengono trasmessi a terze parti (Risorse) su richiesta dell’interessato allo scopo di ottenere il servizio richiesto. I dati di log contengono dati personali dell’interessato che vengono raccolti allo scopo di verificare il funzionamento del servizio e per garantire la sicurezza dello stesso.
Terze parti a cui vengono comunicati i dati	Il Titolare del trattamento, al fine di erogare correttamente il servizio, comunica ai fornitori delle Risorse verso le quali l’Utente intende accedere la prova dell’avvenuta autenticazione ed i soli dati personali (attributi) richiesti, nel pieno rispetto del principio di minimizzazione. I dati personali sono trasmessi solamente nel momento in cui l’interessato chiede l’accesso alla Risorsa della terza parte. Per le finalità connesse all’interesse legittimo del Titolare o all’adempimento di obblighi di legge alcuni dati di log possono essere trattati da terzi (es. CERT, CSIRT, Autorità Giudiziaria).
Esercizio dei diritti degli interessati	Contattare il titolare del trattamento ai recapiti sopra indicati per chiedere l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, o per l’esercizio del diritto alla portabilità dei dati (articoli dal 15 al 22 del GDPR).
Revoca del consenso dell’interessato	Gli unici dati che vengono raccolti con il consenso dell’interessato sono le preferenze sulla visualizzazione degli attributi trasmessi alle Risorse. Le preferenze sono raccolte al momento del primo accesso alla Risorsa e possono essere modificate in seguito iniziando nuovamente la procedura di accesso.
Portabilità dei Dati	L’interessato può richiedere la portabilità dei propri dati relativi al servizio di autenticazione federata, comprese le preferenze sulla visualizzazione degli attributi trasmessi alle Risorse, che verranno forniti in formato aperto e ai sensi dell’Art. 20 del GDPR. Il servizio di portabilità dei dati è gratuito.
Durata della Conservazione dei Dati	Tutti i dati personali raccolti al fine di fornire il servizio di autenticazione federata sono conservati per tutto il tempo in cui sar’ necessario fornire il servizio stesso. Dopo 18 mesi dalla disattivazione, tutti i dati personali raccolti o generati dall’uso del servizio vengono cancellati.

Links