En aplicación del art. 13 del Reglamento UE 2016/679 (GDPR), se le informa que sus datos personales se recogen con ocasión de la configuración de su cuenta en el Tenant Microsoft 365 del Grupo Exprivia, con el fin de permitirle el acceso. En caso de que participe en reuniones, encuentros o eventos organizados por las Empresas del Grupo a través de la plataforma “Teams” de Microsoft, la eventual grabación y transcripción realizada por Microsoft Teams implica la recopilación de datos personales como imágenes y voz.
Las Empresas del Grupo Exprivia, en su calidad de Responsables autónomos del tratamiento, conforme al art. 13 del Reglamento (UE) 2016/679 (en adelante “GDPR”) y al Decreto Legislativo 196/2003 (en adelante “Código de Privacidad”), modificado por el Decreto Legislativo 101/2018, le proporcionan la presente información relativa al tratamiento de sus datos personales, así como de las grabaciones de vídeo y audio recogidas durante reuniones y eventos organizados a través de la plataforma “Teams” de Microsoft. Los Responsables se comprometen a proteger los datos personales conforme a los principios establecidos por la normativa citada.
Algunas Empresas del Grupo Exprivia tienen su sede en países no pertenecientes a la UE que no cuentan con una normativa considerada adecuada por la Comisión Europea conforme al art. 45 del GDPR. Las empresas del Grupo que realizan transferencias internacionales hacia países sin nivel adecuado han firmado Cláusulas Contractuales Tipo para legitimar dichos flujos. Por tanto, las sociedades extra UE, aun no estando sujetas a la normativa europea, actúan como Responsables del tratamiento cuando procesan datos de ciudadanos de la UE o realizan actividades dentro del territorio de un Estado miembro, como puede ocurrir con el uso de TEAMS o distintas funcionalidades de Microsoft 365.
El tenant de Microsoft 365 está ubicado en países de la UE. Para más información sobre cómo Microsoft gestiona el tenant, consulte la página informativa correspondiente.
Cada una de las sociedades del Grupo Exprivia listadas a continuación, al utilizar el Tenant Microsoft 365 del Grupo, podrá organizar eventos (como reuniones o videollamadas) que generan tratamientos de datos personales de los participantes.
Para cada evento organizado mediante Microsoft 365, el Responsable autónomo del tratamiento es la Sociedad que haya organizado la reunión y que puede activar las funciones de grabación y transcripción a través de un empleado autorizado que le remitió la invitación.
Los responsables del tratamiento son:
Exprivia SpA – Via A. Olivetti, 11 – Molfetta (BA), Italia
Exprivia Project S.r.l. – Via della Bufalotta, 378 – Roma, Italia
Exprivia do Brasil Serviços de Informatica Ltda – Av Franklin Roosevelt, 115, Conj 705 Parte Centro, Río de Janeiro, Brasil
Exprivia S.L.U. – Avenida de Europa, 19, 28108 Alcobendas (Madrid), España
Exprivia Mexico SA de CV – Av. Ejercito Nacional 216 Piso 12 Oficina 1210, Col. Anzures CP 11590 Ciudad de México
Exprivia IT Solutions (Shanghai) Ltd – Suite 1008, J.D. Tower, 2790 Zhongshan North Road, Putuo District, Shanghái, China
ACS-D GmbH – Löwenstraße 4-8, 63067 Offenbach am Main, Alemania
Microsoft actúa como Encargado del tratamiento conforme al art. 28 GDPR para la gestión del servicio Teams.
2. Origen y categorìas de datos tratados
Las imágenes y audios se recopilan automáticamente mediante Microsoft Teams, que al activar la función de grabación o transcripción registra la pantalla de la reunión o las intervenciones de los participantes. Los datos tratados pueden incluir: datos identificativos (nombre, apellidos, email), rostro, voz y cualquier información personal comunicada por chat o voz durante la reunión.
En caso de que sea necesario configurar una cuenta, podrán recogerse datos relativos a su puesto de trabajo, empresa de pertenencia y otros datos personales o de contacto.
Además, se recopilan datos como credenciales de acceso, historial de uso y datos de registro con fines de seguridad.
La grabación de su imagen y voz se realizará únicamente si usted autoriza el uso de su micrófono y/o cámara. En caso de negativa, podrá acceder solo en modalidad de escucha.
3. Finalidades del tratamiento
La grabación de imágenes y voz mediante Teams y el posterior tratamiento por parte de las Empresas se realiza para una o más de las siguientes finalidades:
a) Necesidad de grabar la reunión con fines formativos/informativos en favor de su propio personal o de terceros (p. ej., seminarios web, eventos o presentación de servicios).
b) Necesidad de negocio, por la cual resulte necesario compartir las grabaciones con otros miembros del equipo interno de Exprivia o con un tercero autorizado, con el fin de mantenerse actualizado sobre las actividades en curso objeto del encuentro.
c) Para reuniones en las que deban tomarse decisiones de importancia relevante en el ámbito del core business, con el fin de documentar el encuentro y evitar malentendidos o interpretaciones erróneas y, por tanto, perseguir un fin defensivo en vía extrajudicial.
d) Necesidad de documentar la reunión a efectos legales o contractuales (por ejemplo, grabaciones que deban adjuntarse a actas de fin de proyecto, informes de avance de los trabajos, asambleas de los órganos societarios, etc.). Para las asambleas de los órganos societarios se permite la modalidad alternativa de la presencia física en la empresa, con el fin de garantizar la participación de los titulares del derecho.
e) Además de los casos enumerados anteriormente, para otras circunstancias en las que resulte necesaria la transcripción diferida de los puntos clave del encuentro.
f) Para fines de seguridad informática.
Base jurìdica
Para las finalidades mencionadas en la letra a), la base jurídica respecto a los empleados está constituida por el interés legítimo, mientras que respecto a terceros está constituida por el cumplimiento de obligaciones contractuales o precontractuales.
Para las finalidades mencionadas en la letra b), la base jurídica para el tratamiento relativo a los empleados está constituida por el interés legítimo, mientras que respecto a terceros deriva de la obligación contractual o precontractual.
Para las finalidades mencionadas en la letra d), la base jurídica es la obligación legal a la que está sujeto el Responsable del tratamiento, o bien el cumplimiento de obligaciones precontractuales y contractuales.
Para las finalidades adicionales, la base jurídica está constituida por el interés legítimo.
Para todos estos fines, sin embargo, se le solicita el consentimiento con referencia a los datos constituidos por las imágenes y la voz; dicho consentimiento le será solicitado al acceder al evento o, en cualquier caso, al activarse la grabación y/o la transcripción. Una eventual negativa por su parte le permitirá escuchar las intervenciones de los participantes, pero no le permitirá interactuar y, por lo tanto, no podrá volver a activar el micrófono ni la cámara web. En particular, antes de iniciar la funcionalidad de grabación, los participantes son informados por el Responsable con el fin de permitirles abandonar la sala de reunión virtual o bien denegar el consentimiento solicitado. El sistema le permite técnicamente, en algunos casos, autorizar la función de grabación de audio pero no la de vídeo, pero esto no será posible en el caso de asambleas con valor legal.
Usted podrá, además, revocar siempre, de manera sencilla y gratuita, el consentimiento. La revocación del consentimiento, en cualquier caso, no afecta los tratamientos anteriores y el Responsable evaluará, en el caso específico, si debe abstenerse de cualquier tratamiento posterior de sus datos personales basado en el consentimiento o si podrá continuar tratándolos en presencia de una obligación legal (p. ej., asambleas de los órganos societarios de cada sociedad Responsable) o por el interés legítimo del Responsable tras la evaluación del equilibrio de intereses, si se evidencia que los intereses legítimos perseguidos por el Responsable no prevalecen sobre los intereses o los derechos o las libertades fundamentales del interesado (p. ej., en caso de necesidades de defensa sobrevenidas). Esto también debido al hecho de que, al iniciarse la funcionalidad de grabación, los participantes son informados por el Responsable para permitirles abandonar la reunión.
Si fuese necesario crearle una cuenta, la finalidad del tratamiento es permitirle acceder con credenciales al tenant del Grupo Exprivia con el fin de facilitar la comunicación y la colaboración con el Responsable. En tal caso, la base jurídica está constituida por los acuerdos contractuales o precontractuales celebrados con usted o con su Organización de pertenencia.
4. Modalidades del tratamiento
Los datos son tratados por el Responsable del tratamiento mediante modalidades y procedimientos electrónicos, también con la ayuda de medios electrónicos, telefónicos, telemáticos o, en cualquier caso, automatizados. Se utilizan las mismas modalidades y procedimientos incluso cuando los datos se comunican, para los fines antes mencionados, a los terceros indicados en la presente información, quienes, a su vez, se comprometen a tratarlos para las finalidades específicas indicadas en esta información, con modalidades y procedimientos conformes a la normativa vigente.
5. Comunicaciòn de los datos personales
Una vez finalizada la grabación, esta se almacena por defecto en la nube de TEAMS, en una carpeta de la reunión que solo puede ser visualizada y accesible por el organizador y por los usuarios de las Sociedades Responsables del Grupo Exprivia que hayan participado en la reunión. Los posibles usuarios invitados externos a la red del Grupo Exprivia que participen en la reunión pueden únicamente visualizar la grabación a través de su navegador en el ordenador o dispositivo móvil. La compartición de las grabaciones fuera del entorno cloud de TEAMS está permitida únicamente para cumplir una obligación legal o contractual a la que esté sujeto el Responsable. Para cualquier información adicional sobre cómo Microsoft trata dichos datos personales, puede consultarse el enlace https://www.microsoft.com/it-it/privacy/privacystatement.
Además, los datos personales del Interesado podrán ser adquiridos y utilizados, exclusivamente para las finalidades de la presente Información, también por sujetos que traten los datos por cuenta del Responsable, designados por este último como encargados del tratamiento conforme al art. 28 del RGPD. Para más información sobre el DPA (Data Protection Addendum) de Microsoft, en su calidad de Encargado del tratamiento, véase el enlace https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA.
La comunicación de los datos personales, además, podrá efectuarse en cumplimiento de obligaciones legales y para defender o ejercer un derecho en sede judicial.
Los datos personales recogidos no serán objeto de difusión, es decir, no serán puestos en conocimiento de sujetos indeterminados, en ninguna forma posible, incluida su puesta a disposición o simple consulta.
6. Transferencias fuera de la Uniòn Europea
Los datos personales serán archivados y tratados dentro de la Unión Europea. En particular, el tenant de Microsoft 365, donde residen los datos personales tratados, se aloja en centros de datos de Microsoft situados en la UE. El tratamiento de los datos es realizado por personal autorizado y desde Italia. En cualquier caso, para los casos excepcionales y poco frecuentes en los que personal del Grupo Exprivia perteneciente a sociedades situadas fuera de la UE esté autorizado a realizar tratamientos, Exprivia S.p.A. ha procedido a la firma, con los Responsables pertenecientes al Grupo Exprivia situados en países extra UE —para los cuales no exista una decisión de adecuación por parte de la Comisión Europea en materia de protección de datos personales—, de las cláusulas contractuales tipo aprobadas por la propia Comisión de conformidad con la normativa aplicable. Para una lista actualizada de las Sociedades del Grupo Exprivia, puede consultarse la página web del sitio institucional del Grupo Exprivia: https://www.exprivia.it/it/location.
7. Polìtica de conservaciòn de datos
Las grabaciones se guardan automáticamente en la nube de Teams, donde se conservan durante 120 días antes de trasladarse por defecto a la papelera. Los organizadores de la reunión pueden ampliar la fecha de conservación modificando el panel de detalles del archivo de las grabaciones de la reunión, conforme a las finalidades específicas del tratamiento de los datos (finalidad contractual, finalidad precontractual). Las grabaciones de las reuniones pueden recuperarse de la papelera hasta 93 días después de su eliminación. En caso de que existan finalidades de defensa, la conservación podrá extenderse hasta que la sentencia quede firme.
Los datos personales recopilados para generar su cuenta se conservarán hasta la finalización de su relación, o de la de su Organización de pertenencia, con el Responsable correspondiente.
8. Derechos del interesado
Los interesados en el tratamiento pueden ejercer los derechos previstos en los artículos 15 y siguientes del Reglamento UE 679/2016, de forma compatible con la naturaleza y el tipo de datos tratados.
Para ejercer sus derechos, los interesados deberán presentar una solicitud específica dirigiéndose a la Sociedad de referencia, en su calidad de Responsable del tratamiento, a través de la función de la sociedad matriz, en la dirección de correo electrónico ufficio.privacy@exprivia.com, especificando el Responsable al que se dirigen, o bien al Delegado de Protección de Datos (Data Protection Officer) de la sociedad matriz, en dpo_expriviaspa@exprivia.com. Los mismos derechos podrán ejercerse escribiendo a la Sede del Responsable, a las direcciones indicadas en el preámbulo, indicando preferiblemente en el asunto “privacy”. Puede consultar la lista actualizada de los Encargados del tratamiento solicitándola mediante los mismos procedimientos antes mencionados.
Además, los interesados que consideren que el tratamiento de los datos personales que les conciernen se realiza en violación del Reglamento en materia de privacidad tienen derecho a presentar una reclamación ante la Autoridad de Control para la protección de datos personales (de conformidad con el art. 77 del propio Reglamento), a las direcciones específicamente publicadas en el sitio institucional de la Autoridad (www.garanteprivacy.it), con sede en Roma, Piazza Venezia 11, CP 00187, o a acudir a las instancias judiciales competentes (art. 79 del Reglamento).
