Condizioni d’uso e informativa sul trattamento dei dati personali

Questa pagina descrive le condizioni d’uso e le modalità di trattamento dei dati personali (ai sensi degli artt. 13–14 del Regolamento (UE) № 679/2016 del Parlamento Europeo e del Consiglio (“Regolamento GDPR”) degli utenti che utilizzano l’add-on per il browser Firefox, denominato QWAC Validator.

QWAC Validator consente la verifica dello stato di qualifica, presso la Trust List (TL) europea, del certificato autenticazione di sito web utilizzato dal sito sul quale l’utente sta navigando, controllando che il certificato sia stato emesso da una CA accreditata per emettere certificati qualificati di autenticazione di siti web (QWAC), pubblicata nella TL europea.

Titolare del trattamento dei dati
AgID – Agenzia per l’Italia Digitale
Indirizzo: Via Liszt 21 – 00144 Roma
Indirizzo e-mail/PEC: protocollo@pec.agid.gov.it
Contatti del responsabile della protezione dei dati
Via Liszt 21 – 00144 Roma presso AgID
e-mail: responsabileprotezionedati@agid.gov.it

Autorità di controllo
Garante per la Protezione dei Dati Personali, sito web: https://www.garanteprivacy.it.

Finalità del trattamento e dati personali
La finalità del trattamento dei dati personali dell’utente (in qualità di ‘soggetto’) è quella di consentire la verifica, presso la TL europea, del QWAC utilizzato dal sito web sul quale l’utente sta navigando.

A tal fine, QWAC Validator, sviluppato dall’Agenzia per l’Italia Digitale (AgID), tratta temporaneamente i seguenti dati di navigazione dell’utente:
• l’indirizzo IP del dispositivo dell’utente su cui è in esecuzione il browser;
• il nome di dominio per il quale il certificato è verificato, così come comunicato dal browser all’add-on mediante l’URL del sito visitato;
• il certificato di autenticazione di sito web visitato, utilizzato per stabilire un canale di comunicazione tra il sito e il browser dell’utente e che contiene il nome di dominio come soggetto del certificato.

Operazioni e modalità del trattamento
I dati di navigazione dell’utente sono trattati in maniera automatizzata: a seguito dell’installazione, QWAC Validator comunica tali dati all’interfaccia applicativa di convalida (“API”) dei certificati della TL europea, di cui al sito web https://webgate.ec.europa.eu/tl-browser/#/ e li conserva esclusivamente all’interno del dispositivo utilizzato dall’utente, per il periodo di tempo strettamente necessario alla gestione della sessione di navigazione all’interno del dominio stesso.

Oltre alle operazioni di trattamento sopra indicate, effettuate in maniera automatizzata dal software, AgID non compie ulteriori operazioni di trattamento sui dati conservati da QWAC Validator e non compie, in generale, alcuna operazione di trattamento sui dati di navigazione al di fuori del dispositivo utilizzato dall’utente.

Base giuridica del trattamento
La base giuridica del trattamento è individuata nell’esecuzione dei compiti di interesse pubblico e/o comunque connessi all’esercizio dei pubblici poteri istituzionali di AgID, in particolare nell’art. 17 del Regolamento (UE) № 910/2014 (“Regolamento eIDAS”) e nell’art. 14-bis del D.Lgs. № 82 del 2005, che attribuisce ad AgID di svolgere le funzioni di organismo di vigilanza sui servizi fiduciari qualificati in ambito eIDAS e di promuovere l’innovazione digitale nel Paese e l’utilizzo delle tecnologie digitali nell'organizzazione della pubblica amministrazione e nel rapporto tra questa, i cittadini e le imprese.

Destinatari
La comunicazione all’API della TL europea di dati di navigazione dell’utente è un requisito necessario per poter procedere alla verifica: nel caso in cui l’interessato non effettui la comunicazione, QWAC Validator non potrebbe concludere le operazioni di verifica.

Quando si naviga su un sito protetto da un certificato di autenticazione di sito web, QWAC Validator mostra un’icona grigia sulla destra della barra di navigazione del browser, su cui l’utente può cliccare per iniziare la verifica del certificato. Perciò, l’utente può scegliere, liberamente, se comunicare i propri dati di navigazione all’API della TL europea, al fine di effettuare la verifica di quel particolare certificato elettronico.

Comunque, anche qualora l’utente decidesse di procedere con la verifica, QWAC Validator comunica i dati di navigazione dell’utente all’API della TL europea unicamente se il certificato elettronico X.509 utilizzato dal sito sul quale l’utente sta navigando possiede gli OID "0.4.0.1862.1.1", "0.4.0.1862.1.6.3". Qualora tale requisito minimo non fosse soddisfatto, la verifica si interromperebbe a priori con esito negativo senza trasmettere dati all’esterno.

Dopo aver cliccato sull’icona grigia, questa è sostituita da un logo UE blu/giallo, in caso il certificato sia qualificato (QWAC), ovvero l’icona è sbarrata in rosso ad indicare che il certificato è non qualificato.

Oltre alla richiesta di consenso al trattamento al termine della sua installazione, l’utente può cambiare i settaggi di QWAC Validator per disabilitare o ri-abilitare l’add-on in qualunque momento successivo.

Profilazione degli utenti e processi decisionali automatizzati
AgID garantisce che non è prevista alcuna forma di processo decisionale automatizzato che comporti effetti giuridici sull’utente.

Il software QWAC Validator non consente l’identificazione o la profilazione dell’utente, che può sempre scegliere di abilitare o disabilitare la funzione di verifica dei QWAC, intervenendo sulle impostazioni del software, secondo le modalità previste da Firefox.

Diritti degli interessati
In qualsiasi momento, gli utenti possono disinstallare QWAC Validator dal proprio browser Firefox, cancellando così i dati personali memorizzati nell’add-on.

Sulla base del funzionamento di QWAC Validator sopra descritto, non sussiste in capo agli utenti alcun diritto a chiedere al titolare del trattamento l’accesso, la rettifica o la cancellazione dei propri dati personali, o la limitazione del trattamento dei dati personali che lo riguardano, o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati.

Qualsiasi richiesta in merito al trattamento dei dati personali può essere rivolta ad AgID, contattando il responsabile della protezione dei dati (“DPO”).

È fatto, comunque, salvo il diritto dell’interessato di adire l’Autorità giudiziaria e di proporre reclamo al Garante per la Protezione dei Dati Personali qualora ritenga che il trattamento dei propri dati violi il Regolamento GDPR.

Responsabilità
QWAC Validator non è un servizio fiduciario qualificato di convalida di certificati, ma restituisce solo informazioni “di massima” sulla validità dei certificati di autenticazione di siti web, pertanto AgID non si assume alcuna responsabilità in merito all’effettiva qualificazione dei certificati elettronici esaminati con QWAC Validator.

Le informazioni rese nelle presenti condizioni d’uso e informativa non riguardano altri servizi online raggiungibili tramite l’addon ed in particolare all’API della TL europea, di cui all’indirizzo https://webgate.ec.europa.eu/tl-browser/#/.

In nessun caso AgID potrà essere considerata responsabile per il trattamento dei dati personali effettuato dalla suddetta API, ospitata presso il sto della Commissione Europea.