In applicazione dell’art. 13 del Regolamento UE 2016/679 (GDPR) si informa che i suoi dati personali sono raccolti in occasione della configurazione del suo account nel Tenant Microsoft 365 del Gruppo Exprivia, per consentirle l’accesso. Qualora partecipa a riunioni, meeting ed eventi organizzati dalle Società del Gruppo sulla piattaforma "Teams" di Microsoft, l’eventuale registrazione e trascrizione della piattaforma Microsoft Teams comporta la raccolta di dati personali quali le immagini e la voce.

Le Società del Gruppo Exprivia, nella loro qualità di Titolari autonomi del trattamento, ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (di seguito “GDPR”) e del D. Lgs. 196/2003 (di seguito “Codice Privacy”), come modificato dal D. Lgs. 101/2018 recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del GDPR, le forniscono con la presente, le informazioni per il trattamento dei suoi dati personali nonché delle registrazioni video e audio raccolti durante riunioni, meeting ed eventi organizzati dalle Società del Gruppo sulla piattaforma "Teams" di Microsoft. Le Società Titolari si impegnano a tutelare i dati personali in osservanza e, secondo i principi dettati dalle norme citate.

Alcune delle Società del Gruppo Exprivia hanno sede in Paesi extra UE che non hanno una normativa considerata adeguata dalla Commissione UE, ai sensi dell’art. 45 del GDPR. Le Società del Gruppo che procedono al flusso extra UE verso le Società del Gruppo che si trovano in Paesi extra UE con tutela non adeguata hanno, comunque, provveduto alla stipula di specifiche Clausole contrattuali standard per legittimare detti flussi. Pertanto, le Società extra UE pur non essendo assoggettate alla normativa privacy UE, operano come Titolari del trattamento per quei trattamenti che coinvolgono cittadini UE o che vengono effettuati sul territorio di uno Stato UE, come potrebbero essere i trattamenti effettuati tramite TEAMS o altre funzionalità del sistema Microsoft 365.

Il tenant di Microsoft 365 è situato in Paesi del UE. Per maggiori informazioni di come Microsoft gestisce il tenant si veda la pagina web informativa https://learn.microsoft.com/it-it/microsoft-365/solutions/tenant-management-overview?view=o365-worldwide.

1. Titolari del trattamento

Ciascuna delle società del Gruppo Exprivia elencate di seguito, utilizzando il Tenant Microsoft 365 del Gruppo societario, potrà organizzare eventi (ad esempio riunioni o videocall) da cui derivano i trattamenti di dati personali degli interessati che partecipano agli eventi.

Per ogni singolo evento organizzato mediante Microsoft 365, il Titolare autonomo del trattamento dei dati personali è la Società che ha organizzato la riunione e che quindi, può attivare le funzioni di registrazione e trascrizione, per il tramite di un proprio lavoratore autorizzato che le ha inviato l’invito a partecipare.

I Titolari del trattamento sono:

• Exprivia SpA, con Sede Legale in via A. Olivetti, 11- Molfetta (BA);
• Exprivia Project S.r.l., con Sede Legale in Via della Bufalotta, 378 – Roma;
• Exprivia do Brasil Serviços de Informatica Ltda, con Sede legale in Av Franklin Roosevelt, 115, Conj 705 Parte Centro, Rio De Janeiro CEP 20021-120;
• Exprivia S.L.U., con Sede legale in Avenida de Europa, 19. 28108 – Alcobendas (Madrid);
• Exprivia Mexico SA de CV, con Sede legale in Av. Ejercito Nacional 216 Piso 12 Oficina 1210  Col. Anzures CP 11590 Ciudad de México;
• Exprivia IT Solutions (Shanghai) Ltd, con Sede legale in Shanghai Suite 1008 - J.D. Tower - 2790 Zhongshan North Road Putuo District Shanghai - P.R. China
• ACS -D GmbH, con Sede legale in Löwenstraße 4-8, D63067 Offenbach am Main;
• Balance S.p.A., con Sede Legale in Via Valtorta, 43 - Milano;
• BALANCE ALBANIA SH.P.K., con Sede Legale in Rruga "Ibrahim Rrugova", Pallati Nr.5 "Sky Tower", Apartamenti Nr.3, në Kati 8, Tirane.

Inoltre, Microsoft opera come Responsabile del trattamento nominato ai sensi dell’art. 28 del GDPR per la gestione del servizio Teams.

2. Fonte e categorie di dati trattati

Le immagini e gli audio saranno raccolti automaticamente dal software Teams di Microsoft che, tramite la funzione di recording and transcription, procede a registrare la schermata di meeting in corso o, in caso di trascrizione a registrare gli interventi dei partecipanti per produrre un summary dell’incontro. I dati personali trattati sono, a titolo esemplificativo, dati identificativi (ad es. nome, cognome, email) del partecipante, il volto, la voce ed eventuali ulteriori informazioni personali comunicate tramite chat o voce durante il meeting.

Nel caso sia necessario configurare un account per consentirle di accedere ad altre funzionalità, potranno essere raccolti ulteriori dati inerenti alla sua mansione lavorativa, alla sua società di appartenenza, e ulteriori dati anagrafici e di contatto.

Inoltre, saranno raccolti i dati come le credenziali di accesso e la cronologia per consentirLe di fare uso di Teams, nonché dati di log per fini di sicurezza.

La registrazione della Sua immagine e della Sua voce avverrà solo nel caso in cui Lei l’autorizzi nella specifica riunione l’attivazione del suo microfono e/o la sua telecamera. In caso di diniego Lei potrà fare uso della sola modalità di ascolto.

3. Finalità del trattamento

La registrazione di immagini video e voce dell’Interessato tramite la funzione di recording di Teams, e successivo trattamento da parte delle Società, è svolto, a seconda dei casi, per una o più delle seguenti finalità:

a) Necessità di registrare l’incontro per scopi formativi/informativi a favore del proprio personale o di terzi (es. webinar, eventi o presentazione di servizi);

b) Necessità di business, per cui sia necessario condividere le registrazioni ad altri componenti del team interno ad Exprivia o ad un terzo autorizzato, al fine di aggiornarsi sulle attività in corso oggetto dell'incontro;

c) Per riunioni in cui vanno assunte decisioni di importanza rilevante in ottica core business al fine di documentare l’incontro ed evitare fraintendimenti o interpretazioni errate e perseguire, quindi, un fine difensivo in via stragiudiziale;

d) Necessità di documentare l'incontro ai fini di legge o di contratto (ad esempio, registrazioni da allegare a verbali di fine progetto, stato avanzamento lavori, assemblee degli organi societari, ecc.). Per le assemblee degli organi societari viene consentita la modalità alternativa della presenza in azienda al fine di garantire gli aventi diritto.

e) Oltre ai casi sopra elencati, per ulteriori circostanze per le quali diviene necessaria la trascrizione in differita dei punti chiave dell’incontro.

f) Per fini di sicurezza informatica.

 

La base giuridica:

• per le finalità di cui alla lettera a), nei confronti dei dipendenti è costituita dal legittimo interesse mentre nei confronti di terzi è costituita dall’adempimento degli obblighi contrattuali o precontrattuali.
• per le finalità di cui alla lettera b), per il trattamento relativo ai dipendenti è costituito dal legittimo interesse mentre nei confronti dei terzi è dato dall’obbligo contrattuale o precontrattuale.
• per le finalità di cui alla lettera d) è obbligo legale al quale è soggetto il Titolare del trattamento, oppure per l’adempimento di obblighi precontrattuali e contrattuali.
• per le ulteriori finalità, è data dal legittimo interesse.

Per tutte queste finalità, tuttavia, le viene richiesto il consenso con riferimento ai dati costituiti dalle immagini e dalla voce; tale consenso le sarà richiesto all’accesso dell’evento o, comunque, all’attivazione della registrazione e/o della trascrizione. Un suo eventuale diniego le consentirà di ascoltare gli interventi dei partecipanti ma non le consentirà di interagire e, pertanto, non potrà riattivare il microfono e la webcam. In particolare, prima all'avvio della funzionalità di recording i partecipanti vengono avvisati dal Titolare in modo da consentire agli stessi di abbandonare la sede di incontro virtuale oppure di fornire un diniego alla richiesta di consenso. Il sistema Le consente tecnicamente, in taluni casi, di autorizzare la funzione di registrazione audio ma non la registrazione video ma ciò non sarà possibile in caso di assemblee aventi valore legale.

Lei potrà, inoltre, sempre revocare, in modo agevole e gratuito, il consenso. La revoca del consenso, in ogni caso, non inficia i precedenti trattamenti e il Titolare valuterà nel caso specifico se esimersi da ogni successivo trattamento dei suoi dati personali basati sul consenso o se potrà continuare a trattarli in presenza di un obbligo di legge (es. assemblee degli organi societari di ciascuna società Titolare) o per il legittimo interesse del Titolare a seguito della valutazione del bilanciamento di interessi, se emerge che gli interessi legittimi perseguiti dal Titolare non prevalgono sugli interessi o sui diritti o sulle libertà fondamentali dell’interessato (es. in caso di esigenze difensive sopravvenute). Ciò anche in ragione del fatto che all'avvio della funzionalità di recording i partecipanti vengono avvisati dal Titolare per consentire agli stessi di abbandonare il meeting.

Se si renderà necessario crearle un account, la finalità di trattamento è di consentirle di accedere con credenziali al tenant del Gruppo Exprivia al fine di facilitare la comunicazione e la collaborazione con il Titolare. In tal caso la base giuridica è costituita dagli accordi contrattuali o precontrattuali stipulati con lei o con la sua Organizzazione di appartenenza

4. Modalità del trattamento

I dati sono trattati dal Titolare del trattamento con modalità e procedure elettroniche, anche con l’ausilio di mezzi elettronici, telefonici, telematici o comunque automatizzati. Sono utilizzate le medesime modalità e procedure anche quando i dati sono comunicati per i suddetti fini ai soggetti terzi, indicati nella presente informativa, i quali, a loro volta, sono impegnati a trattarli per le specifiche finalità indicate nella presente informativa, con modalità e procedure conformi alla normativa vigente.

5. Ambito di comunicazione dei dati personali

Una volta terminata la registrazione, questa viene memorizza di default sul cloud di TEAMS in una cartella della riunione visualizzabile e accessibile solo all’organizzatore e agli utenti delle Società Titolari del Gruppo Exprivia che abbiano partecipato alla riunione. Eventuali utenti guest esterni alla rete del Gruppo Exprivia che partecipano alla riunione possono esclusivamente visualizzare la registrazione tramite il proprio browser sul computer o dispositivo mobile. La condivisione delle registrazioni all'esterno dell'ambiente cloud di TEAMS è ammessa solo ai fini di eseguire un adempimento legale o contrattuale cui è soggetto il Titolare. Per eventuali ulteriori informazioni su come Microsoft tratta detti dati personali, si faccia riferimento al link https://www.microsoft.com/it-it/privacy/privacystatement.

Inoltre, i dati personali dell’Interessato potranno essere acquisiti ed utilizzati, esclusivamente per le finalità della presente Informativa, anche da soggetti che trattino i dati per conto del Titolare, designati da quest’ultimo quali responsabili del trattamento ai sensi dell’art. 28 GDPR. Per maggiori informazioni sulla DPA (Data Protection Addendum) di Microsoft, nella sua qualità di Responsabile del trattamento si veda il link https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA.

La comunicazione dei dati personali inoltre, potrà essere eseguita in adempimento di obblighi di legge e per difendere o esercitare un diritto in sede giudiziaria.

I dati personali raccolti non saranno oggetto di diffusione, ovvero non ne verrà data conoscenza a soggetti indeterminati, in nessuna possibile forma, inclusa quella della loro messa a disposizione o semplice consultazione.

6. Trasferimenti al di fuori dell’Unione Europea

I dati personali verranno archiviati ed elaborati all’interno dell'Unione Europea.  In particolare, il tenant di Microsoft 365, dove risiedono i dati personali trattati, è ospitato in datacenter Microsoft situati in UE. Il trattamento dei dati è eseguito da personale autorizzato e dall’Italia. In ogni caso, per casi di trattamento eccezionali e rari in cui sono autorizzati personale del Gruppo Exprivia di Società situate fuori dal UE, Exprivia SpA ha provveduto alla stipula con i Titolari appartenenti al Gruppo Exprivia situati in Paesi extra UE - nei cui confronti non esista una decisione di adeguatezza della Commissione europea per la protezione dei dati personali - alla stipula di clausole contrattuali tipo approvate dalla medesima Commissione ai sensi della normativa applicabile. Per un elenco aggiornato delle Società del Gruppo Exprivia si faccia riferimento al pagina web del sito istituzionale del Gruppo Exprivia https://www.exprivia.it/it/location/.

7. Politica in materia di conservazione dei dati

Le registrazioni vengono automaticamente salvate sul cloud Teams dove sono conservate per 120 giorni prima di essere spostate di default nel cestino. Gli organizzatori della riunione possono estendere la data di conservazione modificando il pannello dei dettagli del file delle registrazioni della riunione conformemente alle specifiche finalità di trattamento dei dati (finalità contrattuale, finalità precontrattuale). Le registrazioni delle riunioni possono essere recuperate dal cestino fino a 93 giorni dopo l’eliminazione. Qualora ci siano finalità difensive la conservazione potrà estendersi fino al passaggio in giudicato della sentenza.

I dati personali raccolti per generare il suo account saranno conservati fino al termine del suo rapporto, o di quello della sua Organizzazione di appartenenza, con il Titolare di riferimento.

8. Diritti dell’Interessato

Gli interessati al trattamento possono esercitare i diritti previsti dagli articoli 15 e ss. del Regolamento UE 679/2016 compatibilmente con la natura e la tipologia dei dati trattati.

Per esercitare i diritti, gli interessati dovranno presentare apposita istanza rivolgendosi alla Società di riferimento, nella sua qualità di Titolare del trattamento,  per il tramite della funzione della capogruppo, all’indirizzo mail ufficio.privacy@exprivia.com, specificando il Titolare a cui si rivolge, oppure al Data Protection Officer della capogruppo dpo_expriviaspa@exprivia.com. I medesimi diritti potranno essere esercitati scrivendo alla Sede del Titolare, agli indirizzi riportati in premessa, ed indicando, preferibilmente, nell’oggetto “privacy”. Può visionare l’elenco aggiornato dei Responsabili del trattamento facendone richiesta con le medesime modalità di cui sopra.

Inoltre, gli interessati che ritengano che il trattamento dei dati personali a loro riferiti avvenga in violazione del Regolamento in materia di privacy hanno il diritto di proporre reclamo al Garante per la protezione dei dati personali (ai sensi dell’art. 77 del Regolamento stesso) agli indirizzi specificatamente pubblicati sul sito istituzionale dell’Autorità stessa (www.garanteprivacy.it) con sede in Roma Piazza Venezia, 11 CAP 00187) o di adire le opportune sedi giudiziarie (art. 79 Regolamento).