Informativa sulla Privacy per le riunioni virtuali tramite Microsoft Teams

In conformità con quanto disposto dalla normativa europea e nazione in materia di privacy, si informa che la Banca d'Italia, via Nazionale 91, Roma, effettua il trattamento dei dati personali acquisiti durante le riunioni virtuali effettuate mediante l'uso di strumenti dedicati.

Categorie di dati trattati e soggetti interessati

Nell'ambito delle riunioni virtuali vengono trattate le seguenti categorie di dati personali, necessari a consentire la connessione, l'accesso e l'utilizzo efficace della piattaforma, riferibili a diverse categorie di soggetti interessati:

  • per il personale Banca d'Italia, tali dati includono: nome utente, nome, cognome, indirizzo e-mail, unità organizzativa, numero di telefono mobile, numero d'ufficio, stato di presenza.
  • per gli ospiti delle riunioni, i dati comprendono: nome visualizzato, indirizzo e-mail.

Oltre a questo dataset iniziale, ulteriori dati personali sono generati dalle interazioni degli utenti all'interno della riunione virtuale. Contenuti generati dagli utenti possono includere report di partecipazione (orari di ingresso e uscita dalla riunione), chat della riunione, video, audio, documenti, registrazioni, trascrizioni e riassunti intelligenti generati con gli strumenti di Intelligenza Artificiale generativa integrati.

Finalità del trattamento

I dati personali raccolti nelle riunioni virtuali sono trattati per facilitare una comunicazione e una collaborazione sicure ed efficienti tra il personale della Banca d'Italia e gli utenti esterni con cui la Banca d'Italia coopera tramite tali riunioni.

Nello specifico, i dati personali sono raccolti nell'ambito delle funzionalità proprie del prodotto utilizzate a fini lavorativi.

Base giuridica

I dati personali sono trattati dalla Banca d'Italia in quanto l'attività di comunicazione e collaborazione tramite le riunioni virtuali è necessaria per l'espletamento dei compiti di interesse pubblico svolti dalla Banca d'Italia nell'ambito delle sue funzioni ufficiali, in linea con quanto stabilito dall'art. 6, par. 1, lett. e) del Regolamento UE 2016/679 (GDPR), che autorizza il trattamento di dati necessari all'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri.

In questa fattispecie ricadono le riunioni virtuali a carattere strumentale, funzionali allo svolgimento di attività istituzionali o amministrative dell'Istituto, come ad esempio riunioni di organi collegiali o gruppi di lavoro. In tali casi non è necessario richiedere il consenso al trattamento dei dati personali dei partecipanti, raccolti anche tramite le funzioni di registrazione e trascrizione delle riunioni, in quanto attività funzionali allo svolgimento di compiti di pubblico interesse.

Qualora invece le riunioni virtuali abbiano una funzione principalmente di carattere formativo o divulgativo, l'organizzatore della riunione che intenda attivare la registrazione e trascrizione avrà cura di acquisire il consenso esplicito degli interessati in occasione dell'invito alla riunione o comunque prima dell'inizio della riunione stessa, informando anche dell'eventuale successiva pubblicazione della registrazione.

Responsabile del trattamento

Il fornitore di tali strumenti di comunicazione dedicati all'organizzazione di riunioni virtuali è stato nominato dalla Banca responsabile del trattamento ai sensi dell'art. 28 GDPR. Il responsabile del trattamento, su autorizzazione della Banca, può avvalersi di sub-responsabili per lo svolgimento di alcune attività, nel rispetto delle condizioni previste dall'art. 28, par.4 del GDPR.

Gli accordi contrattuali garantiscono che il fornitore rispetti le norme sulla protezione dei dati e adotti misure tecniche e organizzative adeguate. I dati personali raccolti sono infatti trattati con l'impiego di misure di sicurezza idonee a garantirne la riservatezza nonché ad evitare l'indebito accesso ai dati stessi da parte di soggetti terzi o di personale non autorizzato.

Il Responsabile del trattamento e i sub-responsabili trattano i dati personali all'interno dell'UE, conformemente ai termini dell'accordo. In casi eccezionali, i dati personali possono essere trattati fuori dall'UE, solo verso Paesi con adeguate garanzie (decisione di adeguatezza, standard contractual clauses, o equivalenti). In assenza di altre basi legali, ciò sarà possibile solo in presenza delle deroghe previste dall'art. 49 del GDPR.

Autorizzati al trattamento

Dei dati personali raccolti durante le riunioni virtuali possono venire a conoscenza i partecipanti alla riunione nonché il personale della Banca d'Italia autorizzato e il fornitore del servizio sulla base del principio di necessità ("need to know"). Ecco alcuni esempi:

  • gli organizzatori delle riunioni possono avere accesso ai dettagli delle riunioni, come nomi e indirizzi e-mail dei partecipanti, report di partecipazione, eventuali registrazioni o trascrizioni;
  • i partecipanti alle riunioni possono accedere alle chat della riunione, al contenuto condiviso, all'elenco dei partecipanti e alle eventuali registrazioni o trascrizioni, se applicabili;
  • gli amministratori di sistema e il personale tecnico autorizzato della Banca d'Italia possono accedere a dati personali limitati (ad esempio indirizzi IP o dettagli di appartenenza a gruppi) per supporto tecnico e risoluzione dei problemi, sempre secondo il principio della minima necessità. Essi non avranno accesso ai contenuti creati dagli utenti (es. contenuto delle riunioni o registrazioni);
  • il responsabile e i sub-responsabile del trattamento possono avere accesso a dati personali limitati (es. indirizzi IP o dettagli di appartenenza a gruppi) per scopi di supporto tecnico o manutenzione, solo quando strettamente necessario. Le politiche del fornitore del servizio prevedono che i tecnici non abbiano accesso permanente ai dati della Banca d'Italia e che eventuali incaricati possano accedere solo a dati aggregati o pseudonimizzati;
  • un numero minimo di personale autorizzato può accedere ai dati personali per fornire riscontro alle richieste degli interessati che abbiano esercitato i diritti previsti dal GDPR.

Periodo di conservazione

I dati personali raccolti sono conservati per un periodo di tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti. Il periodo specifico di conservazione dipende dallo scopo specifico del trattamento e dal contesto aziendale per cui i dati sono stati raccolti. In particolare:

  • i file delle registrazioni e trascrizioni sono conservati per un massimo di dieci giorni, a partire dalla data di creazione, trascorsi i quali vengono automaticamente cancellati dal sistema del fornitore. L'organizzatore può cancellare tali file manualmente anche prima di tale termine. Le registrazioni e le trascrizioni sono accessibili dall'organizzatore della riunione e, se previsto, dagli altri partecipanti autorizzati fino al momento della cancellazione;
  • i dati generati dal servizio (metadati necessari per il funzionamento del sistema) sono conservati fino a 180 giorni;
  • quando un account utente viene cessato, i dati personali sono conservati per un massimo di 90 giorni prima della cancellazione.
  • se l'utente (o la Banca d'Italia, per conto dell'utente) elimina i dati, il fornitore cancella tutte le copie dei dati personali entro 30 giorni.
  • se la Banca d'Italia termina il contratto con il fornitore, tutti i dati personali vengono cancellati entro 90-180 giorni dalla cessazione del servizio, in conformità ai termini dell'accordo.

Diritti dell'interessato

I soggetti interessati potranno esercitare nei confronti del Titolare del trattamento - Banca d'Italia - Servizio Organizzazione - via Nazionale 91, 00184 ROMA, e-mail org.privacy@bancaditalia.it - il diritto di accesso ai dati personali, nonché gli altri diritti riconosciuti dalla legge, tra i quali sono compresi il diritto di ottenere la rettifica o l'integrazione dei dati, nonché la cancellazione o la trasformazione in forma anonima (ove possibile) o il diritto di opporsi in tutto o in parte, per motivi legittimi, al trattamento o di richiederne la limitazione.

Sono fatti salvi i limiti all'esercizio di tali diritti nei casi previsti dalla legge. Il Responsabile della protezione dei dati della Banca d'Italia può essere contattato presso via Nazionale 91, 00184, Roma, oppure all'indirizzo responsabile.protezione.dati@bancaditalia.it .

L'interessato, qualora ritenga che il trattamento che lo riguarda sia effettuato in violazione di legge, può proporre reclamo al Garante Privacy.