Documento vincolante — Ultimo aggiornamento: 06/07/2026
INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI AI SENSI DEGLI ARTICOLI 13 E 14 DEL REGOLAMENTO (UE) 2016/679 (REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI) E DEL D.LGS. 196/2003 COME MODIFICATO DAL D.LGS. 101/2018, RELATIVA ALL'UTILIZZO DELLA PIATTAFORMA INTERNA DI GESTIONE AZIENDALE DENOMINATA "TALENT EXTARK"
La presente informativa è redatta in ossequio ai principi di liceità, correttezza, trasparenza, esattezza, limitazione delle finalità, minimizzazione, integrità, riservatezza e responsabilizzazione di cui all'articolo 5 del Regolamento (UE) 2016/679 (di seguito anche "GDPR" o "Regolamento"). La sua piena e attenta lettura è preliminare e necessaria all'utilizzo della piattaforma. Si raccomanda all'Interessato di prenderne visione integrale prima di accedere al sistema o di proseguire la sessione di lavoro.
ART. 1 — TITOLARE DEL TRATTAMENTO E PUNTI DI CONTATTO
Titolare del trattamento dei dati personali, ai sensi e per gli effetti dell'articolo 4, paragrafo 1, numero 7), del Regolamento, è la persona giuridica che amministra l'istanza della piattaforma Talent Extark presso la quale l'Interessato risulta registrato come utente, dipendente, collaboratore, consulente o soggetto terzo riconducibile alla compagine aziendale. La denominazione, la sede legale, il codice fiscale, la partita IVA e gli ulteriori recapiti istituzionali del Titolare del trattamento sono resi disponibili all'interno della piattaforma medesima nella sezione "Amministrazione → Aziende", ovvero comunicati con apposita comunicazione interna a cura della funzione Risorse Umane. L'Interessato è invitato a rivolgersi al Titolare del trattamento, ovvero, ove formalmente designato ai sensi dell'articolo 37 del Regolamento, al Responsabile della Protezione dei Dati (Data Protection Officer), per ogni questione attinente al trattamento dei propri dati personali, ivi inclusa la facoltà di esercizio dei diritti di cui agli articoli da 15 a 22 del Regolamento.
ART. 2 — TIPOLOGIE DI DATI PERSONALI OGGETTO DI TRATTAMENTO
Nell'ambito dell'utilizzo della piattaforma Talent Extark, il Titolare del trattamento procede al trattamento delle seguenti categorie di dati personali, fermo restando che la concreta tipologia dei dati raccolti dipende dal ruolo dell'Interessato, dalle funzionalità da costui utilizzate e dai contenuti che il medesimo o terzi autorizzati immettono nella piattaforma:
2.1 Dati di registrazione e accesso: nome, cognome, data di nascita, codice fiscale, indirizzo di residenza o domicilio, indirizzo di posta elettronica ordinaria, recapiti telefonici, immagine fotografica del profilo (ove caricata), nome utente, password (conservata in forma di hash crittografico irreversibile), data ed ora dell'ultimo accesso, indirizzi IP di connessione, identificativi di sessione, intestazioni del client di navigazione (User-Agent).
2.2 Dati relativi al rapporto di lavoro o di collaborazione: qualifica professionale, ruolo gerarchico, riferimento al responsabile diretto, sede di lavoro, tipologia contrattuale, data di assunzione e data di cessazione, monte ore settimanale, retribuzione (ove gestita dalla piattaforma), elementi di natura previdenziale e assicurativa eventualmente associati al contratto.
2.3 Dati relativi alla disponibilità lavorativa e alla condivisione del calendario: calendario delle disponibilità, ore lavorate o pianificate, modalità di esecuzione della prestazione (in sede o da remoto), assegnazioni a progetti, ruoli funzionali, team di appartenenza, condivisione in sola lettura del proprio calendario con specifici colleghi autenticati abilitati dall'Interessato medesimo (con eventuale termine di scadenza e revoca in qualsiasi momento), generazione di link di esportazione iCal in sola lettura attivati dall'Interessato per consentire la sincronizzazione del proprio calendario in applicazioni di terze parti.
2.4 Dati di valutazione e di natura organizzativa: note descrittive redatte dal responsabile gerarchico nei limiti delle proprie attribuzioni, indicatori di performance (KPI) elaborati a fini gestionali, sintesi periodiche di analisi prodotte dal sistema con il supporto di modelli linguistici di intelligenza artificiale (di seguito "Insight"), posizione dell'Interessato all'interno dell'organigramma aziendale, ruoli di governance e funzionali ricoperti.
2.5 Dati tecnici di registro e di amministrazione: log di sistema, registro delle azioni amministrative effettuate da utenti dotati di privilegi elevati nei confronti di altri Interessati (a titolo esemplificativo: reset delle credenziali, generazione di password temporanee, abilitazione e disabilitazione degli account, eventuale assunzione temporanea dell'identità dell'Interessato — c.d. "impersonificazione" — a fini di assistenza, debug o verifica del corretto funzionamento), tracciamento delle modifiche apportate ai dati gestiti dalla piattaforma, finalizzati esclusivamente all'amministrazione del sistema, alla diagnostica, alla sicurezza informatica, alla tutela contro accessi non autorizzati e all'eventuale ricostruzione di episodi rilevanti ai fini disciplinari o di legge.
2.6 Dati provenienti da integrazioni di calendari elettronici di terze parti: qualora l'Interessato decida volontariamente di collegare un calendario personale (a titolo non esaustivo: Google Calendar, Apple iCloud Calendar, feed iCal/ICS), il sistema accede esclusivamente in sola lettura ai dati strettamente necessari (titolo dell'evento, data e orario di inizio e fine, stato libero/occupato, identificativo dell'evento) per visualizzarli all'interno del solo calendario aziendale dell'Interessato. Non è effettuata alcuna scrittura, modifica o cancellazione sui calendari di origine, né alcuna condivisione dei contenuti con altri utenti della piattaforma. Le credenziali di accesso (token OAuth e affini) sono conservate in forma cifrata mediante algoritmi di crittografia autenticata simmetrica conformi allo stato dell'arte.
2.7 Dati elaborati da modelli di intelligenza artificiale: per la generazione degli Insight di cui al punto 2.4, una selezione minimizzata dei dati di contesto dell'Interessato (a titolo esemplificativo: dati di anagrafica essenziali, indicatori di performance, note interne pertinenti) può essere trasmessa al fornitore esterno del servizio di modello linguistico (OpenAI, L.L.C., con sede negli Stati Uniti d'America) ai soli fini della restituzione di una sintesi testuale destinata a costituire ausilio informativo per il responsabile gerarchico. Tale fornitore opera in qualità di Responsabile del trattamento ai sensi dell'articolo 28 del Regolamento e si impegna contrattualmente a non utilizzare i dati ricevuti per finalità di addestramento dei propri modelli.
Sono in ogni caso esclusi dal trattamento, salvo specifico ed espresso consenso ulteriore dell'Interessato, i dati appartenenti alle categorie particolari di cui all'articolo 9 del Regolamento (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, biometrici, dati relativi alla salute, alla vita sessuale o all'orientamento sessuale).
ART. 3 — FINALITÀ E BASI GIURIDICHE DEL TRATTAMENTO
I dati personali di cui all'articolo 2 sono trattati per le seguenti finalità, ciascuna delle quali si fonda sulla corrispondente base giuridica indicata di seguito, ai sensi dell'articolo 6 del Regolamento:
3.1 Esecuzione del rapporto di lavoro o di collaborazione di cui l'Interessato è parte, ivi compresa la gestione contrattuale, retributiva, previdenziale e fiscale, l'organizzazione delle attività lavorative, la pianificazione delle disponibilità, l'assegnazione a progetti, l'archiviazione documentale e la conservazione delle evidenze gestionali (base giuridica: articolo 6, paragrafo 1, lettera b) del Regolamento — esecuzione di un contratto del quale l'Interessato è parte).
3.2 Adempimento di obblighi di legge cui è soggetto il Titolare del trattamento, ivi compresi gli obblighi in materia giuslavoristica, previdenziale, fiscale, di sicurezza sul lavoro e di prevenzione di condotte illecite (base giuridica: articolo 6, paragrafo 1, lettera c) del Regolamento — adempimento di un obbligo legale).
3.3 Perseguimento del legittimo interesse del Titolare del trattamento alla corretta gestione, organizzazione, amministrazione, sicurezza e razionalizzazione delle risorse aziendali, alla tutela del proprio patrimonio materiale e immateriale, alla prevenzione di abusi, frodi ed accessi non autorizzati al sistema informatico, nonché alla difesa in giudizio (base giuridica: articolo 6, paragrafo 1, lettera f) del Regolamento — legittimo interesse del Titolare). Il bilanciamento tra il legittimo interesse e i diritti dell'Interessato è stato preventivamente effettuato e documentato dal Titolare del trattamento ed è disponibile, su richiesta motivata, agli Interessati medesimi.
3.4 Trattamenti ulteriori che richiedono lo specifico ed espresso consenso dell'Interessato, manifestato mediante atto positivo inequivocabile (a titolo esemplificativo: l'integrazione di calendari elettronici di terzi, l'attivazione di funzionalità di analisi avanzate sui dati comportamentali). In tali casi il consenso può essere revocato in qualsiasi momento, senza pregiudizio per la liceità del trattamento eseguito anteriormente alla revoca, ai sensi dell'articolo 7, paragrafo 3, del Regolamento (base giuridica: articolo 6, paragrafo 1, lettera a) del Regolamento — consenso).
ART. 4 — NATURA DEL CONFERIMENTO E CONSEGUENZE DEL MANCATO CONFERIMENTO
Il conferimento dei dati personali necessari all'esecuzione del rapporto di lavoro o di collaborazione e all'adempimento degli obblighi di legge connessi è obbligatorio: il mancato conferimento, parziale o totale, può determinare l'impossibilità per il Titolare del trattamento di dare corretto adempimento alle obbligazioni contrattuali e di legge, nonché l'impossibilità di consentire all'Interessato l'accesso alle funzionalità della piattaforma Talent Extark. Il conferimento dei dati relativi a trattamenti facoltativi, fondati sul consenso, è invece libero e l'eventuale rifiuto comporta esclusivamente l'impossibilità di fruire della specifica funzionalità ad essi correlata.
ART. 5 — MODALITÀ DEL TRATTAMENTO E MISURE DI SICUREZZA
Il trattamento dei dati personali è effettuato con strumenti elettronici e in forma automatizzata, mediante archiviazione su sistemi informatici di proprietà del Titolare del trattamento o in regime di hosting presso fornitori qualificati nominati Responsabili del trattamento ai sensi dell'articolo 28 del Regolamento. Sono adottate misure tecniche ed organizzative adeguate, in conformità all'articolo 32 del Regolamento, atte a garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento. Tali misure includono, a titolo non esaustivo, l'autenticazione mediante credenziali individuali con password sottoposte a hashing crittografico, la protezione contro accessi non autorizzati, la segregazione dei privilegi su base ruolo, il tracciamento delle azioni amministrative su apposito registro di audit, la cifratura a riposo dei segreti di integrazione (token OAuth, chiavi di firma e affini) mediante algoritmi di crittografia autenticata simmetrica conformi allo stato dell'arte, l'utilizzo di token opachi e non riconducibili matematicamente all'identità dell'Interessato per i collegamenti pubblici di esportazione del calendario, l'impiego di protocolli di trasporto sicuri (TLS in versione non inferiore alla 1.2), l'esecuzione periodica di copie di sicurezza dei dati, procedure documentate di gestione degli incidenti di sicurezza e meccanismi di versionamento delle informative e di registrazione del consenso prestato dall'Interessato (con conservazione di data, ora, indirizzo IP, intestazioni del client di navigazione e impronta crittografica del testo accettato).
ART. 6 — PERIODO DI CONSERVAZIONE
I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per le quali sono stati raccolti, e comunque, ove applicabile, per i termini imposti dalla legge. A titolo orientativo: i dati relativi al rapporto di lavoro o di collaborazione sono conservati per la durata del rapporto medesimo e successivamente, ai fini di adempimento degli obblighi di legge e di prescrizione delle azioni civili, per un periodo non superiore a dieci anni dalla cessazione del rapporto. I dati tecnici di registro e di accesso sono conservati per il tempo strettamente necessario alla finalità di sicurezza informatica e di diagnostica, e comunque non oltre i termini previsti dai provvedimenti del Garante per la protezione dei dati personali. I dati raccolti sulla base del consenso sono conservati fintanto che il consenso non venga revocato, fatti salvi gli obblighi di legge eventualmente sopraggiunti.
ART. 7 — DESTINATARI E COMUNICAZIONE A TERZI
I dati personali possono essere comunicati, nei limiti e per le finalità di cui all'articolo 3, ai soggetti interni autorizzati al trattamento dal Titolare ai sensi dell'articolo 29 del Regolamento e dell'articolo 2-quaterdecies del D.Lgs. 196/2003, segnatamente al personale della funzione Risorse Umane, agli amministratori di sistema, ai responsabili gerarchici nei limiti delle rispettive attribuzioni, nonché ad ulteriori soggetti esterni che operino quali Responsabili del trattamento ai sensi dell'articolo 28 del Regolamento. Tra questi ultimi rientrano, a titolo esemplificativo e non esaustivo: (i) il fornitore di servizi di hosting e infrastruttura cloud presso il quale è eseguita la Piattaforma; (ii) Google L.L.C., limitatamente ed esclusivamente ai casi in cui l'Interessato abbia volontariamente attivato l'integrazione con Google Calendar e nei soli limiti dell'autorizzazione di sola lettura concessa; (iii) Apple Inc., con analoghe limitazioni, qualora l'Interessato abbia attivato l'integrazione con iCloud Calendar; (iv) OpenAI L.L.C., limitatamente alla generazione degli Insight di cui all'articolo 2.4 e con i vincoli contrattuali di non utilizzo dei dati per addestramento di modelli; (v) consulenti del lavoro, studi professionali, fornitori di assistenza informatica e ulteriori soggetti incaricati nominati Responsabili del trattamento. I dati possono altresì essere comunicati ad autorità giurisdizionali, amministrative o di vigilanza qualora ciò sia richiesto da disposizioni di legge o di regolamento, ovvero per la difesa in giudizio del Titolare. Non è prevista alcuna diffusione dei dati personali, salvo che ciò sia espressamente richiesto da norme di legge ovvero quanto previsto al successivo articolo 11-bis in ordine alle funzionalità di condivisione del calendario attivate dall'Interessato.
ART. 8 — TRASFERIMENTI DI DATI VERSO PAESI TERZI
In considerazione dei fornitori esterni utilizzati dal Titolare per l'erogazione del servizio, alcuni trattamenti possono comportare un trasferimento di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo, segnatamente verso gli Stati Uniti d'America in caso di attivazione, da parte dell'Interessato, dell'integrazione con Google Calendar (Google L.L.C.) ovvero di generazione di Insight elaborati da OpenAI L.L.C. ai sensi dell'articolo 2.7. Tali trasferimenti avvengono esclusivamente nei limiti e secondo le garanzie previste dal Capo V del Regolamento, con particolare riguardo alle decisioni di adeguatezza adottate dalla Commissione europea (ivi inclusa, ove applicabile, la decisione di adeguatezza UE-USA Data Privacy Framework e successive evoluzioni), all'adozione di clausole contrattuali tipo (Standard Contractual Clauses), ovvero, in mancanza, alla previsione di garanzie equivalenti idonee ai sensi dell'articolo 46 del Regolamento. Copia delle garanzie applicate è messa a disposizione dell'Interessato, su richiesta motivata, dal Titolare del trattamento.
ART. 9 — DIRITTI DELL'INTERESSATO
All'Interessato sono in ogni tempo riconosciuti, ai sensi degli articoli da 15 a 22 del Regolamento, i seguenti diritti: diritto di accesso ai propri dati personali e alle informazioni di cui all'articolo 15, diritto di rettifica dei dati inesatti o incompleti, diritto di cancellazione dei dati nelle ipotesi di cui all'articolo 17 (cosiddetto "diritto all'oblio"), diritto di limitazione del trattamento ai sensi dell'articolo 18, diritto di opposizione al trattamento ai sensi dell'articolo 21, diritto alla portabilità dei dati ai sensi dell'articolo 20, diritto a non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici o incida in modo analogamente significativo sulla persona, ai sensi dell'articolo 22. È inoltre riconosciuto il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali, con sede in Piazza Venezia 11, 00187 Roma, recapito di posta elettronica protocollo@gpdp.it, ovvero ad altra autorità di controllo competente ai sensi dell'articolo 77 del Regolamento. L'esercizio dei diritti è gratuito e non soggetto ad alcun particolare formalismo, salvo i casi previsti dall'articolo 12, paragrafo 5, del Regolamento.
ART. 10 — PROCESSI DECISIONALI AUTOMATIZZATI E PROFILAZIONE
Il Titolare del trattamento non effettua, allo stato, processi decisionali interamente automatizzati, ivi comprese forme di profilazione, idonei a produrre effetti giuridici sull'Interessato o ad incidere in modo analogamente significativo sulla sua persona, ai sensi dell'articolo 22, paragrafo 1, del Regolamento. Gli Insight generati con l'ausilio di modelli linguistici di intelligenza artificiale (di cui all'articolo 2.7) costituiscono mere sintesi testuali a supporto del responsabile gerarchico, hanno funzione esclusivamente informativa, sono sempre soggetti a verifica e validazione umana e non sostituiscono in alcun caso la valutazione discrezionale del medesimo responsabile. Nessuna determinazione idonea a produrre effetti giuridici sull'Interessato (a titolo esemplificativo: assunzione, cessazione, promozione, sanzione disciplinare, modifica delle condizioni economiche o normative del rapporto) è assunta sulla base esclusiva dell'output di tali modelli.
ART. 11 — FUNZIONI DI CONDIVISIONE DEL CALENDARIO ATTIVATE DALL'INTERESSATO
La piattaforma mette a disposizione dell'Interessato, su sua libera ed esclusiva iniziativa, due distinte funzionalità di condivisione del proprio calendario delle disponibilità, fermo restando che l'attivazione e la conseguente esposizione dei dati avvengono unicamente in forza di un atto positivo dell'Interessato medesimo, il quale ne è personalmente e direttamente responsabile.
11.1 Condivisione interna con specifici colleghi: l'Interessato può autorizzare uno o più colleghi, individualmente identificati e autenticati nella piattaforma, a visualizzare in sola lettura il proprio calendario delle disponibilità. La condivisione è unilaterale, può essere corredata di un termine di scadenza ed è revocabile in qualsiasi momento dalla sezione dedicata. Il colleghi autorizzato non potrà in alcun caso modificare i contenuti del calendario condiviso.
11.2 Esportazione mediante collegamento iCal: l'Interessato può generare un collegamento URL univoco e protetto da token opaco, da utilizzare in applicazioni di calendario di terze parti (a titolo esemplificativo: Google Calendar, Apple Calendar, Microsoft Outlook) per la sincronizzazione in sola lettura. Il collegamento, una volta generato, consente l'accesso ai contenuti senza ulteriore autenticazione: pertanto, l'Interessato è tenuto a custodirlo con la massima diligenza e, in caso di sospetta divulgazione non autorizzata, a procedere senza ritardo alla sua revoca e rigenerazione, mediante l'apposita funzione disponibile nella piattaforma.
Il Titolare del trattamento non assume responsabilità per gli usi che l'Interessato faccia, di propria volontà, dei collegamenti di esportazione né per le condotte dei terzi cui l'Interessato medesimo abbia consentito l'accesso. Resta inteso che la cessazione del rapporto sottostante o la disabilitazione dell'account comportano l'automatica invalidazione delle condivisioni e dei collegamenti attivi.
ART. 11-BIS — INFORMATIVE ULTERIORI E SPECIFICHE
La presente informativa ha portata generale ed è integrata, ove pertinenti, da informative specifiche relative a singole funzionalità della piattaforma Talent Extark che, per la propria peculiarità, richiedono un'autonoma manifestazione di volontà dell'Interessato. Tali informative sono presentate al momento dell'attivazione della rispettiva funzionalità e ne è registrata l'accettazione mediante meccanismi di versionamento documentati. Rientrano in questa categoria, in particolare, l'informativa relativa all'integrazione di calendari elettronici di terze parti e l'informativa relativa alla condivisione del calendario con i colleghi. In caso di contrasto interpretativo tra la presente informativa e un'informativa specifica, prevale quest'ultima limitatamente al trattamento ivi disciplinato.
ART. 12 — MODIFICHE E AGGIORNAMENTI
Il Titolare del trattamento si riserva la facoltà di apportare modifiche e integrazioni alla presente informativa, anche in conseguenza di interventi normativi sopravvenuti, di pronunce dell'Autorità Garante o dell'Autorità giudiziaria, ovvero di evoluzioni tecnologiche e funzionali della piattaforma. Le modifiche di portata sostanziale saranno comunicate all'Interessato con adeguato preavviso e con modalità idonee a garantirne l'effettiva conoscenza, ivi inclusa, ove necessario, la richiesta di rinnovata manifestazione del consenso.
La piena ed integrale lettura della presente informativa costituisce condizione necessaria per il legittimo utilizzo della piattaforma Talent Extark da parte dell'Interessato. Per ogni questione interpretativa o per l'esercizio dei diritti riconosciuti dalla normativa vigente, si invita l'Interessato a rivolgersi al Titolare del trattamento ai recapiti istituzionali resi noti all'interno della piattaforma medesima.