Passa al contenuto principale

11.1. Collection Limitation (Limitazione della raccolta)

11.1. Collection Limitation (Limitazione della raccolta)

Con accesso a risorse contenenti dati personali, il client DOVREBBE limitare la raccolta a quanto consentito dalla legge e strettamente necessario agli scopi dichiarati.

Spesso l'utente non può verificare se i dati richiesti sono necessari. Una terza parte fidata può esaminare la richiesta del client, confrontarla con l'elaborazione prevista e certificarla. Dopo la certificazione il client può ottenere la Request Object URI dalla terza parte in due passi: (1) la terza parte esamina il processo e i claim necessari e rilascia credenziali per inviare Request Object e ottenere request_uri; (2) il client invia il Request Object con quelle credenziali; la terza parte verifica la coerenza con i claim autorizzati.

Ricevuta la Request Object URI, il server verifica che l'autorità dell'URI sia legittima per la terza parte, esegue GET, DEVE verificare l'identità TLS del server per quell'URI, poi ottiene il Request Object con client_id.

La schermata di consenso DEVE indicare il client e DOVREBBE indicare che la richiesta è stata verificata dalla terza parte rispetto al principio di limitazione della raccolta.

Ultimo aggiornamento il