Gentile dr. Ciurcina provo a rispondere alle sue domande: “Poste Italiane, quando fornisce servizi ad utenti che accedono agli stessi tramite PosteID, si ritiene vincolata dagli obblighi previsti per il Service Provider dall'art. 6 della Convenzione?” http://www.agid.gov.it/sites/default/files/circolari/spid_schema_convenzione... La convenzione che Lei cita riguarda le regole a cui devono attenersi i Service Provider Privati Spid, e non ha quindi nulla a che vedere né con Poste come ID Provider Spid né con le regole a cui Poste si attiene per l’erogazione diretta dei propri servizi. Se Poste Italiane dovesse in futuro sottoscrivere la convenzione Spid, al momento in cui il cliente accedesse ad uno dei suoi servizi usando il processo di autenticazione Spid di certo dovrebbe attenersi a quanto disposto dall’articolo 6 della Convenzione per il trattamento dei dati ricevuti dall’ID Provider. “Se la risposta è si, mi aiuta a capire a quali dati si applicano gli obblighi di cui all'art. 6 della Convenzione (in particolare, in caso di trattamento per finalità di profilazione) e a quali no? Mi scusi, ma fatico ad arrivare ad una interpretazione univoca del testo della privacy policy” https://posteid.poste.it/risorse/condivise/doc/informativa_privacy.pdf Si applica ai soli dati necessari all’espletamento del servizio che il Service Provider chiede e riceve, su autorizzazione del titolare dell’identità, da un ID Provider durante un processo di autenticazione Spid. Tutto questo non ha nulla a che vedere con il testo della privacy che viene esposto sul sito di Poste e che riguarda il trattamento dei dati per i servizi erogati da Poste. Cordiali Saluti Anna Pia Sassano Da: Marco Ciurcina [mailto:ciurcina@studiolegale.it] Inviato: martedì 2 agosto 2016 11:39 A: SASSANO ANNA PIA (ADPA) Cc: Stefano Quintarelli; nexa@server-nexa.polito.it Oggetto: Re: R: [nexa] R: R: SPID e wi-fi federata con un sistema di accesso unico In data lunedì 1 agosto 2016 16:45:54, SASSANO ANNA PIA ha scritto: PosteID è il nome dell'identità digitale che Poste Italiane da tempo utilizza per rendere più sicuro l'accesso ai propri servizi e che ora può essere anche utilizzata per accedere ai servizi che aderiscono al sistema SPID. Per fare questo l'abbiamo chiaramente adeguata, sia come processo di identificazione/registrazione che come processo di autenticazione, alle regole ed agli standard del Sistema Pubblico di Identità Digitale (SPID) e, avendo verificato AGID che avessimo i necessari requisiti, abbiamo aderito al sistema sottoscrivendo la convenzione come Identity Provider. Tanto premesso se una persona decide di prendere la nostra identità PosteID, essendo come noto libero sul mercato il diritto di scegliere l’ID Provider con cui contrattualizzare il servizio, potrà utilizzarla: * per accedere ai servizi di Poste. Già in sede di registrazione dell’identità viene chiesto di indicare i consensi privacy, che è possibile variare in qualsiasi momento, da applicare ai servizi di Poste nel caso in cui il cliente dovesse decidere di utilizzarne alcuni; * per accedere ai servizi che aderiscono al sistema SPID. In questo caso, per quanto riguarda l'uso che i Service Provider potranno fare dei dati ricevuti dall'ID Provider per l'espletamento del servizio, avendo sempre chiesto preventivamente l’autorizzazione del cliente a fornirli, valgono le regole che AGID ha introdotto nelle Convenzioni dei Service Provider di cui l'ultima, quella dei privati, è stata appena posta in visione in bozza sul sito di AGID. Grazie mille per le informazioni fornite. Ho un dubbio. Poste Italiane, quando fornisce servizi ad utenti che accedono agli stessi tramite PosteID, si ritiene vincolata dagli obblighi previsti per il Service Provider dall'art. 6 della Convenzione? http://www.agid.gov.it/sites/default/files/circolari/spid_schema_convenzione... Se la risposta è si, mi aiuta a capire a quali dati si applicano gli obblighi di cui all'art. 6 della Convenzione (in particolare, in caso di trattamento per finalità di profilazione) e a quali no? Mi scusi, ma fatico ad arrivare ad una interpretazione univoca del testo della privacy policy https://posteid.poste.it/risorse/condivise/doc/informativa_privacy.pdf Cordiali saluti, m.c.
Spero di essere stata chiara. Ciao Anna Pia Sassano
-----Messaggio originale-----
Da: Stefano Quintarelli [mailto:stefano@quintarelli.it]
Inviato: domenica 31 luglio 2016 20:10
A: Marco Ciurcina
Cc: nexa@server-nexa.polito.it<mailto:nexa@server-nexa.polito.it>
Oggetto: Re: [nexa] R: R: SPID e wi-fi federata con un sistema di accesso
unico
non capisco bene (io non uso poste)
On 31/07/2016 10:37, Marco Ciurcina wrote:
Quindi, utilizzando la procedura, ho ottenuto "ex novo" il servizio
SPID e il servizio di registrazione PosteID in "bundle": non ho avuto
la possibilità di esprimere il mio consenso ed aderire al solo servizio
SPID.
"posteID" afaik e' il nome del servizio di poste che fa parte del sistema
SPID io uso infocert ed il servizio si chiama infocertid (che fantasia)
Nel quadro della procedura ho avuto la possibilità di negare il mio
consenso alle modalità di trattamento dei dati che sono indicate come
facoltative nella privacy policy
https://posteid.poste.it/risorse/condivise/doc/informativa_privacy.pdf.
quindi non hai dato il consenso ad altro se non a quello, right ?
non hai avuto attivati altri servizi di poste, right ?
cmq. lascio risponcedere Annapia Sassano, che ne sa certamente piu' di me
del loro servizio
ciao, s.
________________________________
La presente comunicazione elettronica contiene informazioni aziendali non
private. Eventuali risposte alla presente potrebbero essere conosciute, per
motivi organizzativi e di sicurezza, dal personale di Poste Italiane
S.p.A.
________________________________ La presente comunicazione elettronica contiene informazioni aziendali non private. Eventuali risposte alla presente potrebbero essere conosciute, per motivi organizzativi e di sicurezza, dal personale di Poste Italiane S.p.A.