Re: [nexa] R: R: SPID e wi-fi federata con un sistema di accesso unico
Gentile professor Pizzetti ho letto nella precedente e.mail dei dubbi sull'uso che Poste farebbe dei dati acquisiti quando si accede con un'autenticazione SPID ad un servizio WIFI usando PosteID e forse posso dare una mano a fare chiarezza: a) come noto l'identità PosteID è già da tempo usata dai servizi di Poste Italiane per accedere al sito o autorizzare transazioni finanziarie e solo di recente è stata anche aperta al circuito SPID. In sintesi: chi prende l'identità PosteID non solo può usarla per i servizi di Poste ma può anche utilizzarla per accedere ai servizi che hanno aderito al circuito SPID e quindi espongono il bottone "Entra con Spid" o simili; b) durante la registrazione della nuova versione dell'identità digitale PosteID, che come noto è stata oggetto di verifica in ambito AGID per l'accreditamento, viene chiesto al cliente se, per i soli servizi di Poste Italiane, vuole rilasciare le autorizzazioni all'utilizzo dei dati ai fini di contatto commerciale da parte di Poste o di profilazione, sempre da parte di Poste, in quanto clienti. Se entrate nel processo di registrazione questa fase di autorizzazione è anche accessibile da tutte le pagine andando a leggere l'informativa privacy. Vi riporto di seguito solo la prima frase: "Informativa sul trattamento dei dati personali ai sensi dell'art. 13 del D. Lgs. 196/2003 (Codice in materia di protezione dei dati personali) - Persona Fisica o soggetto assimilabile - Servizio PosteID" "[...] Poste tratterà i dati personali dell'Interessato conformemente al consenso da questi prestato, per le finalità suindicate. Con riferimento alla finalità di "profilazione", l'Interessato prende atto che in caso di consenso, il trattamento dei Suoi dati personali non riguarderà né la fase di registrazione al Servizio PosteID né l'utilizzo dei servizi erogati online dai "Fornitori di servizi" tramite il Servizio PosteID, ma potrà riguardare - a meno di specifiche richieste delle Autorità competenti inerenti, per esempio, la rilevazione di dati in forma aggregata per fini statistici - la funzione delle altre tipologie di prodotti/servizi di Poste Italiane eventualmente in essere. In caso di cessazione del Servizio PosteID ma di vigenza di almeno un prodotto e/o servizio principale con Poste Italiane, i dati dell'Interessato concernenti tale prodotto/servizio continueranno ad essere trattati da Poste nel rispetto del consenso da questi prestato. In caso di cessazione dell'unico e/o ultimo prodotto e/o servizio principale, così come degli annessi prodotti e/o servizi opzionali aggiuntivi1, i dati dell'Interessato non saranno più trattati da Poste per le finalità suindicate. [...]" c) quindi non solo Poste chiede un consenso "specifico, libero, espresso ed informato" come prevede il codice privacy ma non cede i dati a terzi. L'unica cosa che esplicitamente è prevista, sempre chiedendo il consenso privacy, è la possibilità di "comunicare i dati di profilazione alle società del Gruppo Poste Italiane". d) mi sento quindi di tranquillizzarvi che nulla può accadere senza che il cliente lo consenta ed anche ove dia tutti i consensi sul fronte dei servizi di Poste bisogna ricordare cos'è l'identità digitale SPID. E' l'Identity Provider che semmai, su autorizzazione esplicita del cliente, fornisce al Service Provider SPID (colui che gestisce il servizio di WI FI in questo esempio) i dati del titolare dell'identità che servono ad espletare il servizio. Il viceversa non esiste in natura visto che all'Identity Provider, una volta forniti i dati ed autenticato l'accesso al servizio come prevede il servizio di autenticazione Spid, nulla perviene di quanto transita poi tra cliente e fornitore. Se Vi fa piacere ed avete altre perplessità su SPID e PosteID, che possono aiutare anche noi a contribuire a fare maggiore chiarezza, sono chiaramente a Vostra disposizione. Cordiali Saluti Anna Pia Sassano (in questo caso e su questo canale, Vi rispondo chiaramente a titolo personale ma pronta a procurarvi una risposta ufficiale di Poste se vi occorre). ________________________________ La presente comunicazione elettronica contiene informazioni aziendali non private. Eventuali risposte alla presente potrebbero essere conosciute, per motivi organizzativi e di sicurezza, dal personale di Poste Italiane S.p.A.
In data giovedì 28 luglio 2016 17:34:31, SASSANO ANNA PIA ha scritto:
durante la registrazione della nuova versione dell'identità digitale PosteID, che come noto è stata oggetto di verifica in ambito AGID per l'accreditamento, viene chiesto al cliente se, per i soli servizi di Poste Italiane, vuole rilasciare le autorizzazioni all'utilizzo dei dati ai fini di contatto commerciale da parte di Poste o di profilazione, sempre da parte di Poste, in quanto clienti. ah.. il Garante quindi non ha richiesto che il fornitore di SPID si astenga dal combinarne l'offerta con altri servizi? mi sembrerebbe importante evitarlo.
qualcuno sa se Google ha chiesto l'accreditamento per lo SPID? m.c.
ciao marco premesso che rinnovo la proposta (e spererei che nexxaa la accogliesse) di fare una mezza giornata dedicata, puoi specificare meglio cosa intendi per "combinare l'offerta" ? BTW, non credo proprio che google abbia i requisiti. On 30/07/2016 11:51, Marco Ciurcina wrote:
il Garante quindi non ha richiesto che il fornitore di SPID si astenga dal combinarne l'offerta con altri servizi?
P.S. Nexa ha già accolto la proposta, potrebbe essere il "Nexa Lunch Seminar" di mercoledì 28 settembre alle ore 13. More soon. jc On 30/07/16 13:03, Stefano Quintarelli wrote:
ciao marco
premesso che rinnovo la proposta (e spererei che nexxaa la accogliesse) di fare una mezza giornata dedicata, puoi specificare meglio cosa intendi per "combinare l'offerta" ?
BTW, non credo proprio che google abbia i requisiti.
On 30/07/2016 11:51, Marco Ciurcina wrote:
il Garante quindi non ha richiesto che il fornitore di SPID si astenga dal combinarne l'offerta con altri servizi?
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
In data sabato 30 luglio 2016 13:03:36, hai scritto:
puoi specificare meglio cosa intendi per "combinare l'offerta" ? questo https://posteid.poste.it/identificazione/identificazione_fd.shtml
trovo inaccettabile che mentre acquisisco il servizio SPID possa "inavvertitamente" fornire il consenso a far trattare i miei dati per fini commerciali. capisco gli interessi commerciali di chi offre il servizio, ma IMHO l'adesione al servizio SPID e l'adesione ad altri servizi dovrebbero restare chiaramente separate. Queste (legittime, perchè consentite) pratiche commerciali danneggiano la credibilità di SPID.
BTW, non credo proprio che google abbia i requisiti.
perchè? di quali requisiti sono carenti? m.c.
marco, non e' cosi' portate pazienza, non riesco a scrivere, cercare link e rispondere a tutti (non sono cose di mia competenza e anche io ho info parziali) bene che Nexa fa la mezza giornata e vengo anche io a trovarvi che mi fa piacere :-) oppure magari se si fa a roma (che forse e' piu' facile.,.) posso prenotare un'aula all acamera suggerirei di invitare gli idp, agid, gpdp.. magari se Nexa raccoglie le osservazioni, cosi' arrivano con risposte dettagliate.. ciao!, s. On 30/07/2016 16:43, Marco Ciurcina wrote:
In data sabato 30 luglio 2016 13:03:36, hai scritto:
puoi specificare meglio cosa
intendi per "combinare l'offerta" ?
questo
https://posteid.poste.it/identificazione/identificazione_fd.shtml
trovo inaccettabile che mentre acquisisco il servizio SPID possa "inavvertitamente" fornire il consenso a far trattare i miei dati per fini commerciali.
capisco gli interessi commerciali di chi offre il servizio, ma IMHO l'adesione al servizio SPID e l'adesione ad altri servizi dovrebbero restare chiaramente separate.
Queste (legittime, perchè consentite) pratiche commerciali danneggiano la credibilità di SPID.
BTW, non credo proprio che google abbia i requisiti.
perchè?
di quali requisiti sono carenti?
m.c.
In data sabato 30 luglio 2016 19:28:06, Stefano Quintarelli ha scritto:
marco, non e' cosi' Confermo.
Ho utilizzato la procedura raggiungibile da questa pagina https://posteid.poste.it/ ed ho scelto l'opzione "Con Firma Digitale" https://posteid.poste.it/identificazione/identificazione_fd.shtml Preciso che non ero utente di BancoPosta (o di altri servizi di Poste Italiane). Quindi, utilizzando la procedura, ho ottenuto "ex novo" il servizio SPID e il servizio di registrazione PosteID in "bundle": non ho avuto la possibilità di esprimere il mio consenso ed aderire al solo servizio SPID. Nel quadro della procedura ho avuto la possibilità di negare il mio consenso alle modalità di trattamento dei dati che sono indicate come facoltative nella privacy policy https://posteid.poste.it/risorse/condivise/doc/informativa_privacy.pdf. m.c.
non capisco bene (io non uso poste) On 31/07/2016 10:37, Marco Ciurcina wrote:
Quindi, utilizzando la procedura, ho ottenuto "ex novo" il servizio SPID e il servizio di registrazione PosteID in "bundle": non ho avuto la possibilità di esprimere il mio consenso ed aderire al solo servizio SPID.
"posteID" afaik e' il nome del servizio di poste che fa parte del sistema SPID io uso infocert ed il servizio si chiama infocertid (che fantasia)
Nel quadro della procedura ho avuto la possibilità di negare il mio consenso alle modalità di trattamento dei dati che sono indicate come facoltative nella privacy policy https://posteid.poste.it/risorse/condivise/doc/informativa_privacy.pdf.
quindi non hai dato il consenso ad altro se non a quello, right ? non hai avuto attivati altri servizi di poste, right ? cmq. lascio risponcedere Annapia Sassano, che ne sa certamente piu' di me del loro servizio ciao, s.
In data domenica 31 luglio 2016 20:10:12, Stefano Quintarelli ha scritto:
non capisco bene (io non uso poste)
On 31/07/2016 10:37, Marco Ciurcina wrote:
Quindi, utilizzando la procedura, ho ottenuto "ex novo" il servizio SPID e il servizio di registrazione PosteID in "bundle": non ho avuto la possibilità di esprimere il mio consenso ed aderire al solo servizio SPID.
"posteID" afaik e' il nome del servizio di poste che fa parte del sistema SPID sul piano tecnico, non so come stanno le cose. sul piano funzionale, nel sito scrivono: "*PosteID* è la soluzione di identità Digitale utilizzabile per i servizi di Poste Italiane abilitati e per l'accesso a tutti i servizi aderenti al Sistema Pubblico di Identità digitale (SPID) che espongono il logo "SPID"." https://posteid.poste.it/index.shtml
io uso infocert ed il servizio si chiama infocertid (che fantasia)
Nel quadro della procedura ho avuto la possibilità di negare il mio consenso alle modalità di trattamento dei dati che sono indicate come facoltative nella privacy policy https://posteid.poste.it/risorse/condivise/doc/informativa_privacy.pdf.
quindi non hai dato il consenso ad altro se non a quello, right ? ho acquisito (perchè non avevo alternativa) il servizio PosteID (vedi sopra).
non hai avuto attivati altri servizi di poste, right ? ho attivato il servizio PosteID così come descritto sopra. al momento non ho usato PosteID (nemmeno per accedere ai siti della PA).
m.c.
cmq. lascio risponcedere Annapia Sassano, che ne sa certamente piu' di me del loro servizio
ciao, s.
On 01/08/2016 09:18, Marco Ciurcina wrote:
"posteID" afaik e' il nome del servizio di poste che fa parte del sistema SPID
sul piano tecnico, non so come stanno le cose.
sul piano funzionale, nel sito scrivono:
"PosteID è la soluzione di identità Digitale utilizzabile per i servizi di Poste Italiane abilitati e per l'accesso a tutti i servizi aderenti al Sistema Pubblico di Identità digitale (SPID) che espongono il logo "SPID"."
appunto il sistema SPID mica e' esclusivo per la PA. anzi, ci sono incentivi regolamentari affinche' i privati lo usino anche per i propri servizi! poste correttamente ti chiede se cuoi usarlo anche per i servizi poste, tu gli hai detto di no, da quanto ho capito
In data lunedì 1 agosto 2016 09:24:27, Stefano Quintarelli ha scritto:
On 01/08/2016 09:18, Marco Ciurcina wrote:
"posteID" afaik e' il nome del servizio di poste che fa parte del sistema SPID
sul piano tecnico, non so come stanno le cose.
sul piano funzionale, nel sito scrivono:
"PosteID è la soluzione di identità Digitale utilizzabile per i servizi di Poste Italiane abilitati e per l'accesso a tutti i servizi aderenti al Sistema Pubblico di Identità digitale (SPID) che espongono il logo "SPID"."
appunto il sistema SPID mica e' esclusivo per la PA. anzi, ci sono incentivi regolamentari affinche' i privati lo usino anche per i propri servizi!
poste correttamente ti chiede se cuoi usarlo anche per i servizi poste, tu gli hai detto di no, da quanto ho capito No. Io non ho avuto la possibilità di dire no all'uso di PosteID per i servizi Poste.
Nell'acquisire il servizio PosteID+SPID (forzosamente congiunti) ho avuto la possibilità di negare il mio consenso al trattamento dei miei dati per: - comunicazioni commerciali dei servizi di Poste, - comunicazioni commerciali dei servizi di terzi da parte di Poste, - profilazione, - comunicazione dei dati di profilazione a società del gruppo Poste. m.c.
forse ho capito la ragione del tuo dubbio non esiuste un servizio "posteID + SPID" come non esiste un "servizio SPID" On 01/08/2016 09:47, Marco Ciurcina wrote:
Nell'acquisire il servizio PosteID+SPID
il sistema SPID e' un insieme di soggetti pubblici e privati che, previo accreditamento da parte di Agid, autenticano persone per consentire loro l’accesso a servizi in rete. cosi' e' definito. uno di questi soggetti e' poste con il servizio posteid ciao, s.
In data lunedì 1 agosto 2016 15:18:35, Stefano Quintarelli ha scritto:
forse ho capito la ragione del tuo dubbio non esiuste un servizio "posteID + SPID" IMHO abbiamo un problema terminologico. Sostituisci (anche nelle mie precedenti email) il segno "+" con le parole "abilitato a". Scusami per la semplificazione: l'espressione "abilitato a" è, effettivamente, quella utilizzata (diffusamente) da poste sul suo sito.
come non esiste un "servizio SPID" Anche in questo caso, forse, l'uso delle definizioni tecniche può aiutare a capirci ed evitare semplificazioni confusive. Quando scrivo "servizio SPID" mi riferisco ai servizio fornito da quelli che, all'art. 1, comma 1, lett. l), del DPCM 24.10.2014 ("Definizione delle caratteristiche del sistema pubblico per la gestione dell'identita' digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese") http://www.agid.gov.it/sites/default/files/leggi_decreti_direttive/dpcm_24_o... sono definiti "gestori dell'identità digitale, e cioè "le persone giuridiche accreditate allo SPID che, in qualità di *gestori di servizio pubblico*, previa identificazione certa dell'utente, assegnano, rendono disponibili e gestiscono gli attributi utilizzati dal medesimo utente al fine della sua identificazione informatica. Essi inoltre, *forniscono i servizi necessari a* gestire l'attribuzione dell'identità digitale degli utenti, la distribuzione e l'interoperabilità delle credenziali di accesso, la riservatezza delle informazioni gestite e l'autenticazione informatica degli utenti".
On 01/08/2016 09:47, Marco Ciurcina wrote:
Nell'acquisire il servizio PosteID+SPID
il sistema SPID e' un insieme di soggetti pubblici e privati che, previo accreditamento da parte di Agid, autenticano persone per consentire loro l’accesso a servizi in rete.
Chi "autentica persone per consentire loro l’accesso a servizi in rete" è "gestore dell'identità digitale" e fornisce servizi, sia tecnicamente che giuridicamente. ciao, m.c.
cosi' e' definito. uno di questi soggetti e' poste con il servizio posteid
ciao, s.
C'è credo un tema di fondo che intravedo dietro a questo interessante thread: che PA vogliamo e immaginiamo? Oggi su Agenda Digitale vi è un articolo che vedo intimamente connesso alla problematica SPID in parte qui sollevata: http://www.agendadigitale.eu/identita-digitale/stiamo-costruendo-una-pa-digi tale-self-service-ma-ne-vorremmo-una-invisibile_2401.htm La PA proattiva immaginata e auspicata (sic!) nel pezzo è una specie di GoogleNow, in cui la profilazione (ma possiamo anche chiamarla "trasparenza" che fa più digitalPA) è elemento essenziale per servizi efficienti: il modello Silicon Valley applicato allo Stato. Dietro il sistema SPID appaltato ai privati a costo zero - meraviglia della tecnica che offre soluzioni senza intaccare il bilancio, il cui pareggio è diventato improvvido principio costituzionale- c'è una questione di fondo che sta diventando ineludibile: quale rapporto "bio-politico" immaginiamo tra i cittadini e la PA? I fornitori di SPID sono imprese a movente ideale che mettono le loro macchine al servizio della comunità o sono imprese commerciali che faranno profitto? E si badi, personalmente un sistema win-win in cui il privato mette a profitto e lo Stato offre servizi efficienti magari è davvero una figata: basta aver chiari i costi collaterali. Ma il problema temo sia più complesso della privacy policy di questa o quella impresa, del consenso e dell'informativa; che su questi temi una soluzione si trova, come abbiamo risolto il problema cookie, che adesso siamo tutti allenati a fare clik su qualsiasi banner appaia in homepage... Il problema è a monte, e non so davvero quale sia la soluzione, senza diventare un gufo luddista che ha letto troppo Morozov. Buona estate C. -----Messaggio originale----- Da: nexa [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Stefano Quintarelli Inviato: lunedì 1 agosto 2016 09:24 A: Marco Ciurcina Cc: nexa@server-nexa.polito.it Oggetto: Re: [nexa] R: R: SPID e wi-fi federata con un sistema di accesso unico On 01/08/2016 09:18, Marco Ciurcina wrote:
"posteID" afaik e' il nome del servizio di poste che fa parte del sistema SPID
sul piano tecnico, non so come stanno le cose.
sul piano funzionale, nel sito scrivono:
"PosteID è la soluzione di identità Digitale utilizzabile per i servizi di Poste Italiane abilitati e per l'accesso a tutti i servizi aderenti al Sistema Pubblico di Identità digitale (SPID) che espongono il logo "SPID"."
appunto il sistema SPID mica e' esclusivo per la PA. anzi, ci sono incentivi regolamentari affinche' i privati lo usino anche per i propri servizi! poste correttamente ti chiede se cuoi usarlo anche per i servizi poste, tu gli hai detto di no, da quanto ho capito _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
E' un piacere vedere i cari Amici Blengino, Ciurcina e il Prof Pizzetti usare quello che dovremmo sempre tenere a mente quando parliamo di norme: una solida ed indipendente cultura giuridica. LeggerVi è sempre uno stimolo al ragionamento ed all'approfondimento!. Un cordiale saluto FS -----Messaggio originale----- Da: nexa [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Blengino Inviato: lunedì 1 agosto 2016 11.07 A: 'Stefano Quintarelli' <stefano@quintarelli.it>; 'Marco Ciurcina' <ciurcina@studiolegale.it> Cc: nexa@server-nexa.polito.it Oggetto: [nexa] R: R: R: SPID e wi-fi federata con un sistema di accesso unico C'è credo un tema di fondo che intravedo dietro a questo interessante thread: che PA vogliamo e immaginiamo? Oggi su Agenda Digitale vi è un articolo che vedo intimamente connesso alla problematica SPID in parte qui sollevata: http://www.agendadigitale.eu/identita-digitale/stiamo-costruendo-una-pa-digi tale-self-service-ma-ne-vorremmo-una-invisibile_2401.htm La PA proattiva immaginata e auspicata (sic!) nel pezzo è una specie di GoogleNow, in cui la profilazione (ma possiamo anche chiamarla "trasparenza" che fa più digitalPA) è elemento essenziale per servizi efficienti: il modello Silicon Valley applicato allo Stato. Dietro il sistema SPID appaltato ai privati a costo zero - meraviglia della tecnica che offre soluzioni senza intaccare il bilancio, il cui pareggio è diventato improvvido principio costituzionale- c'è una questione di fondo che sta diventando ineludibile: quale rapporto "bio-politico" immaginiamo tra i cittadini e la PA? I fornitori di SPID sono imprese a movente ideale che mettono le loro macchine al servizio della comunità o sono imprese commerciali che faranno profitto? E si badi, personalmente un sistema win-win in cui il privato mette a profitto e lo Stato offre servizi efficienti magari è davvero una figata: basta aver chiari i costi collaterali. Ma il problema temo sia più complesso della privacy policy di questa o quella impresa, del consenso e dell'informativa; che su questi temi una soluzione si trova, come abbiamo risolto il problema cookie, che adesso siamo tutti allenati a fare clik su qualsiasi banner appaia in homepage... Il problema è a monte, e non so davvero quale sia la soluzione, senza diventare un gufo luddista che ha letto troppo Morozov. Buona estate C. -----Messaggio originale----- Da: nexa [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Stefano Quintarelli Inviato: lunedì 1 agosto 2016 09:24 A: Marco Ciurcina Cc: nexa@server-nexa.polito.it Oggetto: Re: [nexa] R: R: SPID e wi-fi federata con un sistema di accesso unico On 01/08/2016 09:18, Marco Ciurcina wrote:
"posteID" afaik e' il nome del servizio di poste che fa parte del sistema SPID
sul piano tecnico, non so come stanno le cose.
sul piano funzionale, nel sito scrivono:
"PosteID è la soluzione di identità Digitale utilizzabile per i servizi di Poste Italiane abilitati e per l'accesso a tutti i servizi aderenti al Sistema Pubblico di Identità digitale (SPID) che espongono il logo "SPID"."
appunto il sistema SPID mica e' esclusivo per la PA. anzi, ci sono incentivi regolamentari affinche' i privati lo usino anche per i propri servizi! poste correttamente ti chiede se cuoi usarlo anche per i servizi poste, tu gli hai detto di no, da quanto ho capito _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa --- Questa e-mail è stata controllata per individuare virus con Avast antivirus. https://www.avast.com/antivirus
PosteID è il nome dell'identità digitale che Poste Italiane da tempo utilizza per rendere più sicuro l'accesso ai propri servizi e che ora può essere anche utilizzata per accedere ai servizi che aderiscono al sistema SPID. Per fare questo l'abbiamo chiaramente adeguata, sia come processo di identificazione/registrazione che come processo di autenticazione, alle regole ed agli standard del Sistema Pubblico di Identità Digitale (SPID) e, avendo verificato AGID che avessimo i necessari requisiti, abbiamo aderito al sistema sottoscrivendo la convenzione come Identity Provider. Tanto premesso se una persona decide di prendere la nostra identità PosteID, essendo come noto libero sul mercato il diritto di scegliere l’ID Provider con cui contrattualizzare il servizio, potrà utilizzarla: * per accedere ai servizi di Poste. Già in sede di registrazione dell’identità viene chiesto di indicare i consensi privacy, che è possibile variare in qualsiasi momento, da applicare ai servizi di Poste nel caso in cui il cliente dovesse decidere di utilizzarne alcuni; * per accedere ai servizi che aderiscono al sistema SPID. In questo caso, per quanto riguarda l'uso che i Service Provider potranno fare dei dati ricevuti dall'ID Provider per l'espletamento del servizio, avendo sempre chiesto preventivamente l’autorizzazione del cliente a fornirli, valgono le regole che AGID ha introdotto nelle Convenzioni dei Service Provider di cui l'ultima, quella dei privati, è stata appena posta in visione in bozza sul sito di AGID. Spero di essere stata chiara. Ciao Anna Pia Sassano -----Messaggio originale----- Da: Stefano Quintarelli [mailto:stefano@quintarelli.it] Inviato: domenica 31 luglio 2016 20:10 A: Marco Ciurcina Cc: nexa@server-nexa.polito.it Oggetto: Re: [nexa] R: R: SPID e wi-fi federata con un sistema di accesso unico non capisco bene (io non uso poste) On 31/07/2016 10:37, Marco Ciurcina wrote:
Quindi, utilizzando la procedura, ho ottenuto "ex novo" il servizio SPID e il servizio di registrazione PosteID in "bundle": non ho avuto la possibilità di esprimere il mio consenso ed aderire al solo servizio SPID.
"posteID" afaik e' il nome del servizio di poste che fa parte del sistema SPID io uso infocert ed il servizio si chiama infocertid (che fantasia)
Nel quadro della procedura ho avuto la possibilità di negare il mio consenso alle modalità di trattamento dei dati che sono indicate come facoltative nella privacy policy https://posteid.poste.it/risorse/condivise/doc/informativa_privacy.pdf.
quindi non hai dato il consenso ad altro se non a quello, right ? non hai avuto attivati altri servizi di poste, right ? cmq. lascio risponcedere Annapia Sassano, che ne sa certamente piu' di me del loro servizio ciao, s. ________________________________ La presente comunicazione elettronica contiene informazioni aziendali non private. Eventuali risposte alla presente potrebbero essere conosciute, per motivi organizzativi e di sicurezza, dal personale di Poste Italiane S.p.A.
In data lunedì 1 agosto 2016 16:45:54, SASSANO ANNA PIA ha scritto:
PosteID è il nome dell'identità digitale che Poste Italiane da tempo utilizza per rendere più sicuro l'accesso ai propri servizi e che ora può essere anche utilizzata per accedere ai servizi che aderiscono al sistema SPID.
Per fare questo l'abbiamo chiaramente adeguata, sia come processo di identificazione/registrazione che come processo di autenticazione, alle regole ed agli standard del Sistema Pubblico di Identità Digitale (SPID) e, avendo verificato AGID che avessimo i necessari requisiti, abbiamo aderito al sistema sottoscrivendo la convenzione come Identity Provider.
Tanto premesso se una persona decide di prendere la nostra identità PosteID, essendo come noto libero sul mercato il diritto di scegliere l’ID Provider con cui contrattualizzare il servizio, potrà utilizzarla:
* per accedere ai servizi di Poste. Già in sede di registrazione dell’identità viene chiesto di indicare i consensi privacy, che è possibile variare in qualsiasi momento, da applicare ai servizi di Poste nel caso in cui il cliente dovesse decidere di utilizzarne alcuni; * per accedere ai servizi che aderiscono al sistema SPID. In questo caso, per quanto riguarda l'uso che i Service Provider potranno fare dei dati ricevuti dall'ID Provider per l'espletamento del servizio, avendo sempre chiesto preventivamente l’autorizzazione del cliente a fornirli, valgono le regole che AGID ha introdotto nelle Convenzioni dei Service Provider di cui l'ultima, quella dei privati, è stata appena posta in visione in bozza sul sito di AGID. Grazie mille per le informazioni fornite.
Ho un dubbio. Poste Italiane, quando fornisce servizi ad utenti che accedono agli stessi tramite PosteID, si ritiene vincolata dagli obblighi previsti per il Service Provider dall'art. 6 della Convenzione? http://www.agid.gov.it/sites/default/files/circolari/spid_schema_convenzione... Se la risposta è si, mi aiuta a capire a quali dati si applicano gli obblighi di cui all'art. 6 della Convenzione (in particolare, in caso di trattamento per finalità di profilazione) e a quali no? Mi scusi, ma fatico ad arrivare ad una interpretazione univoca del testo della privacy policy https://posteid.poste.it/risorse/condivise/doc/informativa_privacy.pdf Cordiali saluti, m.c.
Spero di essere stata chiara. Ciao Anna Pia Sassano
-----Messaggio originale----- Da: Stefano Quintarelli [mailto:stefano@quintarelli.it] Inviato: domenica 31 luglio 2016 20:10 A: Marco Ciurcina Cc: nexa@server-nexa.polito.it Oggetto: Re: [nexa] R: R: SPID e wi-fi federata con un sistema di accesso unico
non capisco bene (io non uso poste)
On 31/07/2016 10:37, Marco Ciurcina wrote:
Quindi, utilizzando la procedura, ho ottenuto "ex novo" il servizio SPID e il servizio di registrazione PosteID in "bundle": non ho avuto la possibilità di esprimere il mio consenso ed aderire al solo servizio SPID.
"posteID" afaik e' il nome del servizio di poste che fa parte del sistema SPID io uso infocert ed il servizio si chiama infocertid (che fantasia)
Nel quadro della procedura ho avuto la possibilità di negare il mio consenso alle modalità di trattamento dei dati che sono indicate come facoltative nella privacy policy https://posteid.poste.it/risorse/condivise/doc/informativa_privacy.pdf.
quindi non hai dato il consenso ad altro se non a quello, right ? non hai avuto attivati altri servizi di poste, right ?
cmq. lascio risponcedere Annapia Sassano, che ne sa certamente piu' di me del loro servizio
ciao, s.
________________________________ La presente comunicazione elettronica contiene informazioni aziendali non private. Eventuali risposte alla presente potrebbero essere conosciute, per motivi organizzativi e di sicurezza, dal personale di Poste Italiane S.p.A.
Gentile dr. Ciurcina provo a rispondere alle sue domande: “Poste Italiane, quando fornisce servizi ad utenti che accedono agli stessi tramite PosteID, si ritiene vincolata dagli obblighi previsti per il Service Provider dall'art. 6 della Convenzione?” http://www.agid.gov.it/sites/default/files/circolari/spid_schema_convenzione... La convenzione che Lei cita riguarda le regole a cui devono attenersi i Service Provider Privati Spid, e non ha quindi nulla a che vedere né con Poste come ID Provider Spid né con le regole a cui Poste si attiene per l’erogazione diretta dei propri servizi. Se Poste Italiane dovesse in futuro sottoscrivere la convenzione Spid, al momento in cui il cliente accedesse ad uno dei suoi servizi usando il processo di autenticazione Spid di certo dovrebbe attenersi a quanto disposto dall’articolo 6 della Convenzione per il trattamento dei dati ricevuti dall’ID Provider. “Se la risposta è si, mi aiuta a capire a quali dati si applicano gli obblighi di cui all'art. 6 della Convenzione (in particolare, in caso di trattamento per finalità di profilazione) e a quali no? Mi scusi, ma fatico ad arrivare ad una interpretazione univoca del testo della privacy policy” https://posteid.poste.it/risorse/condivise/doc/informativa_privacy.pdf Si applica ai soli dati necessari all’espletamento del servizio che il Service Provider chiede e riceve, su autorizzazione del titolare dell’identità, da un ID Provider durante un processo di autenticazione Spid. Tutto questo non ha nulla a che vedere con il testo della privacy che viene esposto sul sito di Poste e che riguarda il trattamento dei dati per i servizi erogati da Poste. Cordiali Saluti Anna Pia Sassano Da: Marco Ciurcina [mailto:ciurcina@studiolegale.it] Inviato: martedì 2 agosto 2016 11:39 A: SASSANO ANNA PIA (ADPA) Cc: Stefano Quintarelli; nexa@server-nexa.polito.it Oggetto: Re: R: [nexa] R: R: SPID e wi-fi federata con un sistema di accesso unico In data lunedì 1 agosto 2016 16:45:54, SASSANO ANNA PIA ha scritto: PosteID è il nome dell'identità digitale che Poste Italiane da tempo utilizza per rendere più sicuro l'accesso ai propri servizi e che ora può essere anche utilizzata per accedere ai servizi che aderiscono al sistema SPID. Per fare questo l'abbiamo chiaramente adeguata, sia come processo di identificazione/registrazione che come processo di autenticazione, alle regole ed agli standard del Sistema Pubblico di Identità Digitale (SPID) e, avendo verificato AGID che avessimo i necessari requisiti, abbiamo aderito al sistema sottoscrivendo la convenzione come Identity Provider. Tanto premesso se una persona decide di prendere la nostra identità PosteID, essendo come noto libero sul mercato il diritto di scegliere l’ID Provider con cui contrattualizzare il servizio, potrà utilizzarla: * per accedere ai servizi di Poste. Già in sede di registrazione dell’identità viene chiesto di indicare i consensi privacy, che è possibile variare in qualsiasi momento, da applicare ai servizi di Poste nel caso in cui il cliente dovesse decidere di utilizzarne alcuni; * per accedere ai servizi che aderiscono al sistema SPID. In questo caso, per quanto riguarda l'uso che i Service Provider potranno fare dei dati ricevuti dall'ID Provider per l'espletamento del servizio, avendo sempre chiesto preventivamente l’autorizzazione del cliente a fornirli, valgono le regole che AGID ha introdotto nelle Convenzioni dei Service Provider di cui l'ultima, quella dei privati, è stata appena posta in visione in bozza sul sito di AGID. Grazie mille per le informazioni fornite. Ho un dubbio. Poste Italiane, quando fornisce servizi ad utenti che accedono agli stessi tramite PosteID, si ritiene vincolata dagli obblighi previsti per il Service Provider dall'art. 6 della Convenzione? http://www.agid.gov.it/sites/default/files/circolari/spid_schema_convenzione... Se la risposta è si, mi aiuta a capire a quali dati si applicano gli obblighi di cui all'art. 6 della Convenzione (in particolare, in caso di trattamento per finalità di profilazione) e a quali no? Mi scusi, ma fatico ad arrivare ad una interpretazione univoca del testo della privacy policy https://posteid.poste.it/risorse/condivise/doc/informativa_privacy.pdf Cordiali saluti, m.c.
Spero di essere stata chiara. Ciao Anna Pia Sassano
-----Messaggio originale-----
Da: Stefano Quintarelli [mailto:stefano@quintarelli.it]
Inviato: domenica 31 luglio 2016 20:10
A: Marco Ciurcina
Cc: nexa@server-nexa.polito.it<mailto:nexa@server-nexa.polito.it>
Oggetto: Re: [nexa] R: R: SPID e wi-fi federata con un sistema di accesso
unico
non capisco bene (io non uso poste)
On 31/07/2016 10:37, Marco Ciurcina wrote:
Quindi, utilizzando la procedura, ho ottenuto "ex novo" il servizio
SPID e il servizio di registrazione PosteID in "bundle": non ho avuto
la possibilità di esprimere il mio consenso ed aderire al solo servizio
SPID.
"posteID" afaik e' il nome del servizio di poste che fa parte del sistema
SPID io uso infocert ed il servizio si chiama infocertid (che fantasia)
Nel quadro della procedura ho avuto la possibilità di negare il mio
consenso alle modalità di trattamento dei dati che sono indicate come
facoltative nella privacy policy
https://posteid.poste.it/risorse/condivise/doc/informativa_privacy.pdf.
quindi non hai dato il consenso ad altro se non a quello, right ?
non hai avuto attivati altri servizi di poste, right ?
cmq. lascio risponcedere Annapia Sassano, che ne sa certamente piu' di me
del loro servizio
ciao, s.
________________________________
La presente comunicazione elettronica contiene informazioni aziendali non
private. Eventuali risposte alla presente potrebbero essere conosciute, per
motivi organizzativi e di sicurezza, dal personale di Poste Italiane
S.p.A.
________________________________ La presente comunicazione elettronica contiene informazioni aziendali non private. Eventuali risposte alla presente potrebbero essere conosciute, per motivi organizzativi e di sicurezza, dal personale di Poste Italiane S.p.A.
In data giovedì 4 agosto 2016 14:10:32, SASSANO ANNA PIA ha scritto:
Gentile dr. Ciurcina
provo a rispondere alle sue domande:
“Poste Italiane, quando fornisce servizi ad utenti che accedono agli stessi tramite PosteID, si ritiene vincolata dagli obblighi previsti per il Service Provider dall'art. 6 della Convenzione?”
http://www.agid.gov.it/sites/default/files/circolari/spid_schema_convenzion e_sp_privati.pdf
La convenzione che Lei cita riguarda le regole a cui devono attenersi i Service Provider Privati Spid, e non ha quindi nulla a che vedere né con Poste come ID Provider Spid né con le regole a cui Poste si attiene per l’erogazione diretta dei propri servizi.
Grazie mille per la risposta. Le suggerisco di suggerire a Poste Italiane di separare l'offerta del servizio di "gestore dell'identità digitale" ai sensi dell'art. 1, comma 1, lett. l), del DPCM 24.10.2014 dall'offerta del servizio di identificazione che consente all'utente di accedere ai servizi di Poste Italiane. IMHO in futuro il Garante della Privacy potrebbe imporre (e spero imponga) di non offrire in bundling il servizio di "gestore dell'identità digitale" con altri servizi (e le connesse espressioni di consenso al trattamento dei dati personali), anche alla luce dell'art. 7, comma 4, del Regolamento 2016/679. In ogni caso, credo Poste Italiane concordi sull'opportunità di sottrarre argomenti a quanti vogliano ipotizzare che Poste Italiane fornisce il servizio pubblico "SPID" per acquisire più ampi margini d'azione nel corpo digitale dei cittadini italiani. Cordiali saluti, m.c.
Se Poste Italiane dovesse in futuro sottoscrivere la convenzione Spid, al momento in cui il cliente accedesse ad uno dei suoi servizi usando il processo di autenticazione Spid di certo dovrebbe attenersi a quanto disposto dall’articolo 6 della Convenzione per il trattamento dei dati ricevuti dall’ID Provider.
“Se la risposta è si, mi aiuta a capire a quali dati si applicano gli obblighi di cui all'art. 6 della Convenzione (in particolare, in caso di trattamento per finalità di profilazione) e a quali no?
Mi scusi, ma fatico ad arrivare ad una interpretazione univoca del testo della privacy policy”
https://posteid.poste.it/risorse/condivise/doc/informativa_privacy.pdf
Si applica ai soli dati necessari all’espletamento del servizio che il Service Provider chiede e riceve, su autorizzazione del titolare dell’identità, da un ID Provider durante un processo di autenticazione Spid. Tutto questo non ha nulla a che vedere con il testo della privacy che viene esposto sul sito di Poste e che riguarda il trattamento dei dati per i servizi erogati da Poste.
Cordiali Saluti
Anna Pia Sassano
Da: Marco Ciurcina [mailto:ciurcina@studiolegale.it] Inviato: martedì 2 agosto 2016 11:39 A: SASSANO ANNA PIA (ADPA) Cc: Stefano Quintarelli; nexa@server-nexa.polito.it Oggetto: Re: R: [nexa] R: R: SPID e wi-fi federata con un sistema di accesso unico
In data lunedì 1 agosto 2016 16:45:54, SASSANO ANNA PIA ha scritto:
PosteID è il nome dell'identità digitale che Poste Italiane da tempo utilizza per rendere più sicuro l'accesso ai propri servizi e che ora può essere anche utilizzata per accedere ai servizi che aderiscono al sistema SPID.
Per fare questo l'abbiamo chiaramente adeguata, sia come processo di identificazione/registrazione che come processo di autenticazione, alle regole ed agli standard del Sistema Pubblico di Identità Digitale (SPID) e, avendo verificato AGID che avessimo i necessari requisiti, abbiamo aderito al sistema sottoscrivendo la convenzione come Identity Provider.
Tanto premesso se una persona decide di prendere la nostra identità PosteID, essendo come noto libero sul mercato il diritto di scegliere l’ID Provider con cui contrattualizzare il servizio, potrà utilizzarla:
* per accedere ai servizi di Poste. Già in sede di registrazione dell’identità viene chiesto di indicare i consensi privacy, che è possibile
participants (6)
-
Blengino -
Fulvio Sarzana -
J.C. DE MARTIN -
Marco Ciurcina -
SASSANO ANNA PIA (ADPA) -
Stefano Quintarelli