Dichiarazione sulla protezione dei dati per la partecipazione a eventi online, teleconferenze e webinar

La protezione dei dati è fondata sulla fiducia. La presente dichiarazione sulla protezione dei dati fornisce ai partecipanti, tra le varie cose, informazioni in merito alla tipologia di dati personali raccolti, trattati, utilizzati e conservati e alle relative finalità, a coloro che hanno accesso ai dati personali, ai tempi di conservazione, ai diritti spettanti ai partecipanti e alle modalità di contatto dell’organizzatrice per domande relative alla protezione dei dati.

In conformità con la presente dichiarazione sulla protezione dei dati, la responsabilità del trattamento spetta alla relativa organizzatrice. I partecipanti possono rivolgersi direttamente all’organizzatrice oppure contattare BKW Management AG, all’indirizzo Viktoriaplatz 2, 3013 Berna specificando l’oggetto «Protezione dei dati» o tramite l’indirizzo datenschutz@bkw.ch, al fine di esercitare i propri diritti o per questioni relative alla protezione dei dati. La presente dichiarazione sulla protezione dei dati non costituisce parte integrante di un contratto, anche se vi si fa riferimento in un contratto, e BKW si riserva il diritto di apportare modifiche al documento in qualsiasi momento. Si applica la versione aggiornata pubblicata sulla pagina bkw.ch/it/dichiarazione-sulla-protezione-dei-dati.

Microsoft è responsabile del trattamento dei dati nel caso in cui i partecipanti accedano ai siti web di Microsoft durante la partecipazione agli eventi di BKW. Per domande in merito alla protezione dei dati presso Microsoft, i partecipanti possono consultare l’informativa sulla privacy di Microsoft.

I dati personali sono informazioni che possono essere messe in correlazione con una specifica persona. L’organizzatrice tratta diverse categorie di tali dati personali. Le categorie più importanti nell’ambito della partecipazione agli eventi sono elencate di seguito a titolo indicativo:

• dati dell’utente, quali nome, cognome, numero di telefono, indirizzo e-mail, password e immagine del profilo;
• metadati della riunione, quali argomento, descrizione, indirizzo IP, dispositivi e informazioni sull’hardware;
• dati di accesso, quali dettagli sul numero di telefono in entrata e in uscita, nome del Paese, ora di inizio e di fine e dati di connessione; e
• dati testuali, audio e video in caso di utilizzo della funzione chat, domande o sondaggi. A tal proposito, gli inserimenti di testo effettuati dal partecipante vengono elaborati di conseguenza per essere visualizzati e registrati. Al fine di consentire la visualizzazione di video e la riproduzione di audio, i dati del microfono e dell’eventuale webcam del dispositivo vengono gestiti nella misura adeguata per la durata dell’evento. I partecipanti possono spegnere o disattivare la webcam o il microfono in qualsiasi momento tramite «Microsoft Teams»;
• se un evento viene registrato (si veda di seguito), anche i commenti (vocali) e le immagini o i video saranno modificati.

Per prendere parte a un evento online, i partecipanti devono fornire dati personali quali cognome, nome, appellativo, indirizzo, NPA, località, indirizzo e-mail e numero di telefono. Qualora ciò sia necessario ai fini della registrazione dei risultati di un evento, verranno elaborati, ad esempio, i contenuti delle chat e dei campi di testo. Se i partecipanti effettuano la registrazione con «Microsoft Teams» o partecipano a un evento utilizzando la funzione ospite, è possibile che vengano salvati rapporti sugli eventi (ad es. metadati o i dati di chiamata).

Ai fini dell’organizzazione di eventi, oltre che per rispondere a domande precedenti e successive all’evento e per finalità pubblicitarie, vengono trattati i seguenti dati personali:

• dati anagrafici, quali ad es. appellativo, titolo, nome e cognome;
• dati di contatto, quali ad es. indirizzo di recapito, indirizzo e-mail e numero di telefono;
• informazioni sull’evento pianificato o svolto; e
• dati professionali, quali ad es. azienda, posizione e funzione.

L’organizzatrice tratta i dati di contatto in particolare per fornire ai partecipanti i dati di accesso. L’organizzatrice ha altresì la facoltà di trattare questi dati per misurare la soddisfazione dei partecipanti e condurre sondaggi. Mediante la partecipazione a un evento, le persone interessate acconsentono alla trasmissione dei messaggi corrispondenti da parte dell’organizzatrice.

L’organizzatrice può anche registrare gli eventi. I partecipanti saranno informati di qualsiasi registrazione prevista, compresa l’eventuale pubblicazione della registrazione, e la registrazione in corso verrà di solito visualizzata in modo continuo, a seconda del software utilizzato. La partecipazione a un evento, comprese le relative informazioni, è considerata come consenso alla registrazione.

In singoli casi, i dati trattati possono anche essere degni di particolare protezione (ad esempio, se si fa riferimento allo stato di salute nel contesto di una teleconferenza). Tuttavia, l’organizzatrice non tratta in maniera specifica dati particolarmente sensibili nell’ambito della presente dichiarazione sulla protezione dei dati.

È possibile che venga applicato il Regolamento generale europeo sulla protezione dei dati (GDPR). Ciò riguarda in particolare le organizzatrici di eventi con sede nel SEE; tuttavia, in singoli casi può valere anche per altre organizzatrici di eventi. Nello specifico, con il termine «dati personali» si intende «dati di carattere personale» e con il termine «trattamento» si intende «elaborazione». In questo caso, il trattamento avviene sulla base dell’art. 6 cpv. 1 frase 1 lett. a) e, se applicabile, dell’art. 9 cpv. 2 lett. a) del GDPR. Al momento dell’ottenimento del consenso, l’organizzatrice fornirà informazioni sulle finalità specifiche del trattamento previsto (in particolare la pubblicazione dell’evento). Il consenso prestato può essere revocato in qualsiasi momento con effetto per il futuro.

Infine, l’organizzatrice tratta i dati personali in presenza di un interesse legittimo, a condizione che non prevalgano gli interessi dei partecipanti. In questo caso, il trattamento avviene sulla base dell’art. 6 cpv. 1 frase 1 lit. f) del GDPR. Questo trattamento include la registrazione dell’evento al fine di documentare le domande e i contributi più frequenti e tenerne conto in occasione di eventi futuri. L’organizzatrice persegue così l’obiettivo di ottimizzare gli eventi e i contenuti. Gli interessi legittimi includono anche il trattamento ai fini della comunicazione precedente e successiva all’evento e della pubblicità diretta, nella misura in cui non viene ottenuto il consenso per quest’ultima, e per motivi di osservanza del diritto svizzero.

L’organizzatrice tratta i dati specifici raccolti durante lo svolgimento dell’evento al fine di presentare i contenuti e comunicare con i partecipanti. In questo caso, il trattamento avviene sulla base dell’art. 6 cpv. 1 frase 1 lit. b) del GDPR, nella misura in cui sia necessario all’adempimento di un contratto, e altrimenti sulla base dell’art. 6 cpv. 1 lit. f) del GDPR (interessi legittimi).

I dati personali trattati in relazione alla partecipazione a eventi vengono trasmessi ad altri partecipanti nella misura in cui la trasmissione risulti dalla partecipazione stessa. In caso contrario, non vengono in linea di massima trasmessi a terzi. Nell’ambito dell’organizzazione, i reparti specializzati che necessitano di dati personali per la pianificazione e la realizzazione dell’evento (ad es. il reparto vendite per l’invio degli inviti) avranno accesso a tali dati. Inoltre, i dati personali verranno trasmessi a quei reparti specializzati che li trattano sulla base di un interesse legittimo, come il marketing a fini pubblicitari. L’organizzatrice ha facoltà di trasmettere i dati personali anche a fornitori di servizi (principalmente a fornitori di servizi informatici per lo svolgimento dell’evento o l’invio di messaggi, ma anche a fornitori di servizi postali).

Ad esempio, i dati personali vengono comunicati a Microsoft Ireland Ltd. per l’utilizzo del software di videoconferenza «Microsoft Teams». A tal fine, l’organizzatrice ha stipulato con Microsoft Ireland Ltd. un accordo per il trattamento. Infine, i dati vengono trasmessi a terzi in caso di obbligo legale (ad esempio, alle autorità inquirenti).

Sebbene il trattamento dei dati avvenga generalmente in centri calcolo in Svizzera o all’interno dell’Unione Europea, l’organizzatrice non può escludere la possibilità che i dati vengano inoltrati attraverso server Internet situati al di fuori della Svizzera o dell’UE, in particolare negli Stati Uniti. Anche alcuni fornitori di servizi possono trovarsi al di fuori dell’UE. Per proteggere i dati personali dei partecipanti, questi vengono criptati durante la trasmissione via Internet.

Se in futuro l’organizzatrice dovesse incaricare altri fornitori di servizi per il software di videoconferenza che trattano i dati personali dei partecipanti al di fuori della Svizzera o dell’Unione Europea, ciò avverrà solo se il Paese terzo interessato dispone di un livello di protezione adeguato o se esistono garanzie conformi per la protezione dei dati personali, di norma sulla base delle clausole contrattuali standard dell’UE, a meno che il destinatario non sia già soggetto a un insieme di norme legalmente riconosciute al fine di garantire la protezione dei dati e l’organizzatrice non possa fare affidamento su una disposizione derogatoria. Un’eccezione può essere applicata in particolare in caso di procedimenti legali all’estero, ma anche in caso di interessi pubblici prevalenti o se l’adempimento di un contratto richiede tale divulgazione, in presenza di un consenso o se i dati in questione sono stati resi generalmente accessibili e il loro trattamento non è stato oggetto di obiezione.

L’organizzatrice conserva i dati personali dei partecipanti per l’intera durata della preparazione e dello svolgimento degli eventi e per un periodo di tempo ragionevole successivo per prendere contatto con i partecipanti. Nel caso in cui dati personali dei partecipanti vengano trattati per altri scopi in conformità ad altre dichiarazioni sulla protezione dei dati, può essere applicato un periodo di conservazione più lungo.

Se l’organizzatrice conserva i dati personali anche a scopo pubblicitario sulla base di un interesse legittimo, sarà tenuta a cancellare tali dati nel momento in cui il partecipante si oppone al ricevimento di ulteriori messaggi pubblicitari. Ciò non vale se i dati personali sono soggetti a un periodo di conservazione legale. In questo caso, tuttavia, i dati personali saranno esclusi dai fini pubblicitari. Lo stesso vale se il partecipante revoca il consenso prestato per il trattamento dei dati personali. Se i dati personali sono soggetti a obblighi di conservazione ai sensi del diritto fiscale, del diritto commerciale o di altri obblighi di conservazione previsti dalla legge, l’organizzatrice li conserverà fino alla scadenza dei termini.

In base al diritto applicabile e fatte salve le limitazioni e le eccezioni di legge, i partecipanti hanno il diritto all’informazione, il diritto alla rettifica, il diritto alla cancellazione, il diritto alla limitazione del trattamento e il diritto di revocare il consenso con effetto per il futuro. I partecipanti hanno la facoltà di presentare reclamo a un’autorità di vigilanza competente laddove persistano dubbi circa la conformità alla legge del trattamento dei dati personali. L’autorità di vigilanza competente in Svizzera è l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).

I partecipanti hanno il diritto di opporsi al trattamento dei dati personali che li riguardano per motivi che possono derivare da situazioni particolari. Se il partecipante si oppone al trattamento, i dati personali non verranno più elaborati, a meno che l’organizzatrice non dimostri l’esistenza di motivi legittimi e impellenti per il trattamento che prevalgono sugli interessi, i diritti e le libertà del partecipante, o che il trattamento sia necessario per affermare, esercitare o difendere rivendicazioni legali.

L’organizzatrice elabora i dati personali anche a fini pubblicitari ed esegue il trattamento a tale scopo per allineare le misure di marketing agli interessi dei partecipanti. Questo trattamento a scopo di pubblicità diretta avviene sulla base di un interesse legittimo dell’organizzatrice, qualora non sia stato ottenuto il relativo consenso. I partecipanti possono opporsi al trattamento a fini pubblicitari in qualsiasi momento. Ciò vale anche per la profilazione nella misura in cui è associata ai messaggi pubblicitari. Se i partecipanti si oppongono al trattamento per finalità di marketing diretto, i dati non saranno più trattati per questo scopo. L’obiezione può essere trasmessa all’organizzatrice senza necessità di attenersi a una forma particolare.

Per partecipare agli eventi è necessario raccogliere e trattare i dati personali summenzionati. In assenza di tali dati personali, l’organizzatrice non sarà in grado di svolgere gli eventi. In caso di richiesta di consenso da parte dell’organizzatrice, il consenso e la fornitura di dati personali basati sullo stesso sono volontari.

Con il termine «processo decisionale individuale automatizzato» si intendono le decisioni che vengono prese in modo completamente automatico, vale a dire senza l’intervento umano, e che hanno conseguenze legali per la persona interessata o che in altro modo la pregiudicano significativamente. Qualora venga presa una decisione di questo tipo, gli utenti saranno informati con una comunicazione separata. Gli utenti hanno inoltre la possibilità di far verificare la decisione da una persona reale se sono in disaccordo con essa.

L’organizzatrice tratta i dati personali in parte in modo automatizzato con l’obiettivo di informare i partecipanti su servizi e prodotti nel modo più pertinente possibile ai loro interessi. A tal fine, l’organizzatrice tiene conto del comportamento di utilizzo, come la frequenza di partecipazione agli eventi, il contenuto dei webinar frequentati e le richieste di informazioni su servizi e prodotti.