Privacy Statement

1. Name of the service 1. Nome del servizio
Identity Provider (IdP)  Identity Provider (IdP) 
2. Description of the service 2. Descrizione del servizio
The federated authentication service allows users of the Mediterranean University of Reggio Calabria to access federated resources using their institutional credentials. Resources can be provided through the Italian Identity Federation of Universities and Research Institutions (IDEM), or directly. The Federated Authentication Service is responsible for authenticating the user and issuing an authentication token and, if required, a minimum set of personal data for accessing the Resource. Il servizio di autenticazione federata permette agli utenti dell'UniversitÓ degli Studi Mediterranea di Reggio Calabria di accedere a Risorse federate utilizzando le proprie credenziali istituzionali. Le Risorse possono essere fornite con il tramite della Federazione d IdentitÓ  italiana delle UniversitÓ e degli Enti di ricerca (IDEM), o direttamente. Il Servizio di autenticazione federata Ŕ responsabile di autenticare l’utente e rilasciare un token di autenticazione e, se richiesto, un insieme minimo di dati personali per l’accesso alla Risorsa.
3. Data controller and a contact person 3. Titolare del trattamento e contatti

 Name: UniversitÓ degli Studi Mediterranea di Reggio Calabria

 Email: rettore@unirc.it PEC amministrazione@pec.unirc.it 

 Address: Via dell'UniversitÓ, 25 (giÓ Salita Melissari) - 89124 Reggio Calabria 

The Mediterranean University of Reggio Calabria is the owner of the processing of personal data managed through the Service.

Nome: UniversitÓ degli Studi Mediterranea di Reggio Calabria 

Email: rettore@unirc.it PEC: amministrazione@pec.unirc.it 

Indirizzo: Via dell'UniversitÓ, 25 (giÓ Salita Melissari) - 89124 Reggio Calabria

L’ UniversitÓ degli Studi Mediterranea di Reggio Calabria Ŕ titolare del'trattamento dei dati personali gestiti tramite il Servizio.

4. Jurisdiction 4. Giurisdizione
IT-IT Italian Data Protection Authority https://www.garanteprivacy.it IT-IT Garante per la Protezione dei Dati Personali https://www.garanteprivacy.it
5. Personal data processed 5. Dati personali trattati
During a federated authentication following data is retrieved from your Home Organisation:
  1. For all users:
    • IP address
    • Referer address
  1. Only for authenticated users:
    • any attribute released from your Home Organisation
The following attributes are declared as required (R) to facilitate its release by the idp:
  • email
  • eduPersonEntitlement
  • eduPersonPrincipalName
  • eduPersonTargetedID
  • eduPersonScopedAffiliation
  • displayName
  • schacHomeOrganization
  • schacHomeOrganizationType
Nel caso di autenticazione federata i seguenti dati sono recuperati dalla connessione alla sua Organizzazione:
  1. Per tutti gli utenti:
    • Indirizzo IP
    • Indirizzo HTTP Referer
  1. Solo per gli utenti autenticati:
    • qualsiasi attributo venga rilasciato
I seguenti attributi sono dichiarati come required (R) per favorirne il rilascio da parte dell idp:
  • email
  • eduPersonEntitlement
  • eduPersonPrincipalName
  • eduPersonTargetedID
  • eduPersonScopedAffiliation
  • displayName
  • schacHomeOrganization
  • schacHomeOrganizationType
6. Purpose of the processing of personal data 6. Finalità del trattamento
 Provide the federated authentication service in order to access the Resources requested by the interested party. Verify and monitor the proper functioning of the service and ensure its security (legitimate interest). Fulfill any legal obligations or requests from the Judicial Authority. Fornire il servizio di autenticazione federata al fine di accedere alle Risorse richieste dall’interessato. Verificare e monitorare il buon funzionamento del servizio e garantirne la sicurezza (interesse legittimo). Adempiere ad eventuali obblighi legali o richieste da parte dell’AutoritÓ giudiziaria.
7. Third parties to whom personal data is disclosed 7. Terze parti alle quali i dati sono trasmessi
The Data Controller, in order to correctly provide the service, communicates to the suppliers of the Resources to which the User intends to access the proof of authentication and only the personal data (attributes) requested, in full compliance with the principle of minimization. Personal data is transmitted only when the data subject requests access to the Third Party Resource. For purposes related to the legitimate interest of the Data Controller or to the fulfillment of legal obligations, some log data may be processed by third parties (e.g. CERT, CSIRT, Judicial Authorities).  Il Titolare del trattamento, al fine di erogare correttamente il servizio, comunica ai fornitori delle Risorse verso le quali l’Utente intende accedere la prova dell’avvenuta autenticazione ed i soli dati personali (attributi) richiesti, nel pieno rispetto del principio di minimizzazione. I dati personali sono trasmessi solamente nel momento in cui l’interessato chiede l’accesso alla Risorsa della terza parte. Per le finalitÓ connesse all’interesse legittimo del Titolare o all’adempimento di obblighi di legge alcuni dati di log possono essere trattati da terzi (es. CERT, CSIRT, AutoritÓ Giudiziaria).
8. How to access, rectify and delete the personal data 8. Accedere, rettificare e rimuovere i dati personali
 Contact the data controller at the contact details indicated above to request access to personal data and to correct or cancel them or limit their processing or to oppose their processing, or to exercise the right to data portability. data (articles 15 to 22 of the GDPR). Contattare il titolare del trattamento ai recapiti sopra indicati per chiedere l accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, o per l’esercizio del diritto alla portabilitÓ dei dati (articoli dal 15 al 22 del GDPR).
9. Data retention 9. Durata del trattamento
Personal data, IP address and referrer are only stored in log files created by the web server and the SAML software. Log files are kept only for 6 months and are deleted automatically after this time. I dati personali, gli indirizzi IP e HTTP Refere sono salvati nei file di log creati dal server web e dal software SAML. I file di log sono conservati per 6 mesi e cancellati automaticamente.
10. Data Protection Code of Conduct 10. Codice di Condotta per la protezione dei dati
Personal data will be protected according to the Code of Conduct for Service Providers, a common standard for the research and higher education sector to protect the user's privacy. I suoi dati personali saranno protetti secondo il Codice di Condotta per Service Provider, uno standard per la protezione della privacy nel settore dell università e della ricerca.