Di seguito vi forniamo informazioni sul trattamento dei vostri dati personali nella piattaforma di collaborazione del Comune di Wiesbaden, basata su Nextcloud, nonché sui diritti che vi spettano ai sensi delle norme in materia di protezione dei dati. 

Il titolare del trattamento ai sensi del Regolamento generale sulla protezione dei dati (RGPD) e delle altre leggi nazionali in materia di protezione dei dati degli Stati membri, nonché di altre disposizioni normative in materia di protezione dei dati, è  

Per quanto riguarda i trattamenti dei dati connessi alla registrazione e alla gestione di Nextcloud da parte della città di Wiesbaden: 

Città di Wiesbaden
rappresentata dal Magistrato

Ufficio per l'innovazione, l'organizzazione e la digitalizzazione
Unità organizzativa: 150230
Hasengartenstraße 21
65189 Wiesbaden
Telefono: 0611 314163
E-mail: appservicewiesbadende 

Per quanto riguarda la conservazione dei dati personali contenuti nei file condivisi e la loro trasmissione da parte della città di Wiesbaden:

I rispettivi uffici e dipartimenti della Capitale dello Stato Federale di Wiesbaden
Schlossplatz 6
65183 Wiesbaden
Telefono: 0611 310
E-mail: buergerreferatwiesbadende 

Nella misura in cui persone esterne caricano dati tramite Nextcloud, la responsabilità ai sensi della normativa sulla protezione dei dati per la trasmissione alla città di Wiesbaden ricade su di esse. Lo stesso vale per quanto riguarda il riutilizzo dei dati ricevuti tramite Nextcloud. 

Responsabile della protezione dei dati della città di Wiesbaden
Responsabile della protezione dei dati della città di Wiesbaden
Wilhelmstraße 32
65183 Wiesbaden
Telefono: 0611 313083
E-mail: datenschutzwiesbadende

Responsabile della sicurezza informatica della città di Wiesbaden
Hasengartenstraße 21
65189 Wiesbaden
Telefono: 0611 31780
E-mail: it-sicherheitwiesbadende

La piattaforma basata sull'applicazione open source Nextcloud (di seguito denominata "Nextcloud") è un servizio di archiviazione cloud centralizzato con funzioni aggiuntive integrate per l'archiviazione e la condivisione di documenti. È a disposizione di tutti i dipendenti della città di Wiesbaden e serve alla collaborazione digitale all'interno dell'amministrazione e con i partner esterni. A tal fine, alcune persone esterne selezionate ricevono l'accesso alla piattaforma di collaborazione della città di Wiesbaden basata su Nextcloud, per scambiare file relativi a progetti specifici e collaborare.

Il sistema "Nextcloud" con il modulo "Nextcloud Files" serve all'archiviazione e alla condivisione di file ed è a disposizione di tutti i dipendenti della città di Wiesbaden. La base tecnologica è costituita dal software open source "Nextcloud" dell'azienda tedesca Nextcloud GmbH.

La fornitura e la gestione tecnica di Nextcloud sono a carico della WIVERTIS GmbH nel centro di calcolo comunale. La gestione tecnica del sistema è di competenza dei collaboratori dell'Ufficio per l'innovazione, l'organizzazione e la digitalizzazione, settore Gestione IT, della città di Wiesbaden.

L'applicazione "Keycloak" è responsabile dell'autenticazione e dell'autorizzazione degli utenti e viene utilizzata in combinazione con Nextcloud. Serve in particolare per l'autenticazione e l'autorizzazione degli account utente esterni, nonché per la gestione delle identità.  

Il trattamento dei vostri dati in Nextcloud avviene per i seguenti scopi di servizio:

• Archiviazione di file per l'utilizzo collaborativo a fini di servizio all'interno dell'amministrazione della città di Wiesbaden.
• Condivisione di file tra dipartimenti e uffici.
• Condivisione temporanea di file con partner esterni di servizi o di cooperazione della città di Wiesbaden.
• Gestione dei diritti di accesso per i file condivisi con soggetti esterni o per le condivisioni all'interno dell'amministrazione comunale.
• Garanzia della sicurezza e della funzionalità di tutti i servizi necessari al funzionamento del sistema.

Quando si utilizzano le applicazioni "Nextcloud", sono richiesti i seguenti tipi di dati, che vengono generati durante l'utilizzo dell'applicazione.

a. Dati di inventario e di autenticazione:

• Nome utente: l'identificativo (interno) e l'indirizzo e-mail (esterno) con cui è stata effettuata una modifica ai file;
• Gruppo di utenti riservato esclusivamente ai collaboratori della LHW;
• Informazioni di contatto (di servizio) (ad esempio indirizzo e-mail, telefono) o (private/esterne) (ad esempio indirizzo e-mail);
• Dati personali: nome e cognome:
• Ruolo e appartenenza al team: unità organizzativa per i collaboratori della LHW;
• Dati inseriti su base volontaria nelle informazioni personali di Nextcloud (numero di telefono, località, data di nascita, lingua, impostazioni regionali, primo giorno della settimana lavorativa, sito web, X-Handle, nome online nel Fediverse, immagine del profilo).

b. Dati amministrativi:

Ogni accesso a una pagina dell'applicazione "Nextcloud" e ogni recupero di un file archiviato viene registrato da un server web in file di log. La memorizzazione serve a scopi interni e relativi al sistema. Viene registrato:

• quale file è stato richiesto;
• il nome del file;
• la data e l'ora della richiesta;
• la quantità di dati trasferiti;
• lo stato dell'accesso (file non trovato, file trasferito ecc.).

c. Dati tecnici:

• l'indirizzo IP del dispositivo finale che accede (sia esterno che interno) al server web/proxy web;
• il tipo di browser web utilizzato;
• data di registrazione;
• Inizio della sessione;
• Dati tecnici di utilizzo (ad esempio contenuti della cache, dati di indice generati, versioni, messaggi di errore, file di log);
• Dati tecnici nel database (ad es. data di registrazione, inizio della sessione), che vengono letti direttamente dall'AD (Active Directory) comunale o da altri sistemi simili all'AD (ad esempio Keycloak). Non viene effettuata alcuna memorizzazione nella procedura e sui sistemi coinvolti.
• Cookie: sul sito interno https://cloud.wiesbaden.de (Si apre in una nuova scheda) e sul sito esterno https://ext.cloud.wiesbaden.de/login (Si apre in una nuova scheda) vengono utilizzati esclusivamente cookie indispensabili per l'utilizzo di Nextcloud. Al seguente link sono disponibili ulteriori informazioni sui cookie: https://docs.nextcloud.com/server/latest/admin_manual/gdpr/cookies.html (Si apre in una nuova scheda)

d. Dati relativi ai contenuti e categorie particolari di dati personali:

• Dati relativi ai contenuti e alle comunicazioni generati da utenti interni ed esterni (ad esempio documenti, grafici, immagini, file audio e video, note e commenti).
• Il contenuto dei documenti memorizzati in Nextcloud è indirettamente interessato. Non è tecnicamente possibile escludere che i documenti memorizzati contengano dati personali. Inoltre, è possibile che tali documenti o altri file di contenuto contengano informazioni sensibili, riservate o personali ai sensi dell'articolo 4, paragrafo 1, del GDPR. Ciò include, in particolare, i dati soggetti a una protezione speciale ai sensi dell'articolo 9, paragrafo 1, del GDPR, nonché le informazioni relative a persone fisiche vulnerabili, in particolare i bambini. Non viene effettuato alcun riconoscimento o trattamento automatico di tali contenuti.

Il trattamento dei dati personali dei dipendenti comunali avviene sulla base del contratto di lavoro o ai fini dell’adempimento dei compiti di servizio nell’ambito dell’attività quotidiana.

La responsabilità in materia di protezione dei dati per il trattamento (in particolare la conservazione e la trasmissione) dei dati personali contenuti nei documenti caricati dal Comune spetta ai rispettivi dipartimenti e uffici. Questi ultimi devono in particolare garantire che esista una base giuridica per la trasmissione dei dati tramite Nextcloud. Lo stesso vale per la conservazione e l'ulteriore trattamento dei dati caricati da persone esterne.

Le basi giuridiche per il trattamento dei dati sono:

• Art. 6, comma 1, lett. a del RGPD, nella misura in cui il trattamento avvenga sulla base del consenso dell'interessato.
• Art. 6, comma 1, lett. b del RGPD, nella misura in cui il trattamento sia necessario per l'esecuzione di un contratto di cui l'interessato è parte o per l'attuazione di misure precontrattuali adottate su richiesta dell'interessato.
• Art. 6, comma 1, lett. c) del RGPD in combinato disposto con una disposizione del diritto comunitario o del diritto nazionale, qualora il trattamento sia necessario per l'adempimento di un obbligo legale;
• Art. 6, comma 1, lett. e) del RGPD in combinato disposto con una base giuridica del diritto comunitario o nazionale, nella misura in cui il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Per le finalità sopra indicate è assolutamente necessario raccogliere e trattare i dati personali citati, poiché le singole fasi del processo si basano l'una sull'altra. Vengono trattati solo i dati necessari per la creazione di un profilo e per il corretto funzionamento tecnico del software. 

In linea di principio, trattiamo e conserviamo i Suoi dati personali solo per il tempo necessario al raggiungimento delle finalità del trattamento.

Se di seguito non è indicata espressamente una durata di conservazione, i vostri dati saranno cancellati o bloccati non appena verrà meno la finalità della conservazione. 

I dati personali dei dipendenti comunali vengono conservati per tutta la durata del loro impiego e della loro appartenenza all'amministrazione comunale. Ciò vale in particolare:

• in caso di utilizzo attivo di Nextcloud,
• durante l'appartenenza a un ufficio, un dipartimento o una sezione della città di Wiesbaden (LHW),

Al momento delle dimissioni, i dati personali presenti su Nextcloud vengono automaticamente cancellati.

I dati degli utenti esterni sprovvisti di account utente vengono conservati fintantoché sussiste almeno una delle seguenti condizioni:

• Esistono condivisioni attive di cartelle o file da parte dei dipendenti comunali.
• Sussiste un obbligo di conservazione previsto dalla legge.
• La data di scadenza definita nell'ambito della condivisione non è ancora stata raggiunta.

Una volta venute meno tutte le condizioni sopra menzionate, i dati degli utenti vengono cancellati, a meno che non sussistano altri motivi legali che ne impediscano la cancellazione.

I dati degli utenti esterni titolari di un account utente vengono memorizzati allo stesso modo dei dati degli utenti esterni senza account utente. Inoltre, per gli account utente esterni vengono raccolti i seguenti dati:

• I dati personali degli utenti esterni vengono raccolti e memorizzati solo nella misura necessaria alla creazione di un account utente con accesso completo all'istanza Nextcloud esterna.
• La gestione e l'assegnazione delle autorizzazioni vengono effettuate dal supporto tecnico tramite un'interfaccia utente esterna separata.
• Gli account utente esterni vengono disattivati dopo tre mesi di inattività e cancellati dopo un periodo di blocco definito.
• La riattivazione degli account utente esterni disattivati è possibile esclusivamente tramite il supporto tecnico dell'ufficio competente, responsabile della gestione degli utenti esterni.

Una volta venuti meno tutti i requisiti sopra menzionati, i dati degli utenti vengono cancellati, a meno che non sussistano altri motivi legali che ne impediscano la cancellazione.

• All'interno dell'interfaccia di Nextcloud, gli utenti possono fornire su base volontaria informazioni personali (ad es. dati del profilo).
• Questi dati possono essere cancellati autonomamente in qualsiasi momento.
• Se non viene effettuata una cancellazione manuale, i dati forniti volontariamente vengono rimossi automaticamente con la cancellazione del rispettivo account utente.

La cancellazione dei dati personali avviene in conformità con i requisiti previsti dalla normativa sulla protezione dei dati. Essa dipende dalla finalità di trattamento, dalle competenze organizzative e dalle caratteristiche tecniche del sistema.

Cancellazione dei documenti

• In linea di principio, la cancellazione dei documenti da parte degli amministratori non avviene a livello di sistema.
• La responsabilità della cancellazione dei dati relativi ai contenuti e alle comunicazioni (ad es. file nelle cartelle di gruppo o di progetto) spetta ai rispettivi utenti. Questi ultimi hanno in qualsiasi momento la possibilità di cancellare autonomamente i contenuti da loro generati.
• I documenti salvati nella cartella personale dei dipendenti comunali vengono cancellati dopo la loro uscita dal servizio, in conformità con le direttive del processo di gestione degli utenti.

Cancellazione e modifica delle autorizzazioni utente

• La modifica o la cancellazione delle autorizzazioni utente, nonché l'adeguamento delle appartenenze ai gruppi, avviene nell'ambito del processo standardizzato di gestione degli utenti comunali. La cancellazione dei contenuti personali avviene in modo automatizzato con la rimozione dell'account utente al momento della cessazione del rapporto di lavoro con l'amministrazione comunale.
• Questo processo è consolidato dal punto di vista organizzativo e tecnico ed è costantemente monitorato dagli uffici competenti.
• I processi e i termini per la cancellazione degli account utente esterni sono contenuti nelle informazioni sulla protezione dei dati dell'applicazione "Keycloak".

Dati di protocollo e di log

• I file di log generati durante l'utilizzo del sistema vengono archiviati in modo sicuro su tutti i sistemi coinvolti di WIVERTIS GmbH per circa 30 giorni.
• La cancellazione di questi dati di log avviene con una procedura a rotazione: i dati vecchi vengono automaticamente sovrascritti da quelli nuovi.
• L'analisi o l'aggregazione delle informazioni di log avviene esclusivamente nell'ambito di un'analisi degli errori, nella misura in cui ciò sia tecnicamente necessario.
• Di norma non è possibile un riferimento diretto alla persona; non viene effettuato alcun collegamento sistematico con altre banche dati.
• Non viene effettuata alcuna ulteriore memorizzazione o valutazione dei log.

Tuttavia, la conservazione può avvenire anche in caso di (imminente) controversia legale con l'utente o di altro procedimento legale, oppure se la conservazione è prevista da disposizioni di legge a cui siamo soggetti in qualità di responsabili del trattamento. Il blocco o la cancellazione dei dati avviene anche alla scadenza del periodo di conservazione prescritto dalle norme citate, a meno che non sia necessaria un'ulteriore conservazione da parte nostra e sussista una base giuridica a tal fine.

I dati personali dei dipendenti comunali vengono integrati in Nextcloud esclusivamente tramite l'Active Directory comunale. I dati personali degli utenti esterni con un account utente esterno vengono memorizzati esclusivamente nell'applicazione "Keycloak". Oltre a ciò, attualmente non vengono raccolti e memorizzati ulteriori dati personali in Nextcloud.

I file di log generati sono ridotti al minimo tecnicamente necessario e vengono conservati in modo sicuro per circa 30 giorni su tutti i sistemi di WIVERTIS GmbH coinvolti nel trattamento. Successivamente vengono sovrascritti tramite una procedura automatizzata a rotazione. Non viene effettuata alcuna registrazione degli orari di accesso e di uscita degli utenti del servizio comunale. L’analisi o l’unione delle informazioni in essi contenute avviene esclusivamente nell’ambito di una necessaria analisi degli errori. Non è possibile risalire a singole persone e non viene effettuata alcuna ulteriore memorizzazione o combinazione con altri dati.

La cancellazione dei documenti nell'area delle cartelle di gruppo o di progetto non avviene a livello amministrativo. Gli utenti hanno in qualsiasi momento la possibilità di cancellare autonomamente i dati relativi ai contenuti e alle comunicazioni da loro generati. I documenti archiviati nella cartella personale vengono cancellati di conseguenza al momento della cessazione del rapporto di lavoro del dipendente comunale o della cancellazione dell'account utente esterno.

I dati condivisi dalla città di Wiesbaden tramite Nextcloud vengono trasmessi ai destinatari delle condivisioni. Per il resto, i dati da noi conservati non vengono di norma trasmessi a terzi.

Per l'adempimento dei nostri compiti e obblighi può tuttavia essere necessario che divulghiamo i dati personali a voi relativi a persone fisiche e giuridiche, autorità, istituzioni o altri enti. 

In particolare, sono prese in considerazione le seguenti categorie di destinatari:

All'interno del fornitore di servizi IT municipale WIVERTIS GmbH, tutti gli amministratori di Nextcloud hanno accesso a tutti i dati di tutte le persone. WIVERTIS GmbH è responsabile del trattamento per conto della città di Wiesbaden ai sensi dell'art. 28 del GDPR.

WIVERTIS GmbH non ricorre a subappaltatori per la gestione di Nextcloud e, di conseguenza, non trasmette dati a terzi nell'ambito della gestione tecnica.

All'interno degli uffici, dei dipartimenti, dei settori e dei reparti comunali, l'accesso ai dati in relazione all'utilizzo di Nextcloud è regolato dal concetto di diritti e ruoli.

L'utilizzo del servizio è soggetto a un concetto differenziato di ruoli e autorizzazioni, che regola l'accesso ai dati e alle funzioni a seconda del ruolo assegnato. I dipendenti comunali ricevono un accesso di base alle cartelle ufficiali e personali a loro rilevanti.

Le autorizzazioni amministrative avanzate per la gestione delle cartelle di progetto, dei gruppi o per l'amministrazione tecnica del sistema sono riservate esclusivamente a ruoli specializzati come amministratori di progetto, di ufficio o di sistema. Agli utenti esterni può essere concesso l'accesso a contenuti esplicitamente condivisi con loro, sia temporaneamente tramite link pubblici senza un proprio account, sia in modo permanente tramite un account utente separato con accesso all'interfaccia web.

Ogni utente è tenuto a utilizzare il servizio esclusivamente nell'ambito del ruolo assegnatogli e delle autorizzazioni ad esso associate.

Le persone esterne che accedono a Nextcloud dall'esterno della rete comunale ottengono l'accesso ai dati solo se esiste una base giuridica per la divulgazione dei dati o se è stato ottenuto il consenso.

I dati da noi conservati non vengono, in linea di principio, trasmessi a soggetti situati in paesi terzi né a organizzazioni internazionali. Ciò può avvenire solo in casi eccezionali ben definiti, alle condizioni previste dagli articoli 44 e seguenti del RGPD.

Se i vostri dati personali vengono elaborati, siete un soggetto interessato ai sensi del GDPR e avete i seguenti diritti nei confronti del responsabile del trattamento:

Potete richiedere informazioni sui vostri dati personali da noi trattati ai sensi dell'art. 15 GDPR. Nella vostra richiesta di informazioni, dovreste specificare la vostra richiesta in modo da facilitare la compilazione dei dati necessari da parte nostra. Si prega di notare che il vostro diritto all'informazione è limitato dalle disposizioni degli articoli 24 (2), 25 (2), 26 (2) e 33 HDSIG.

Se le informazioni che vi riguardano non sono (o non sono più) corrette, potete richiedere una correzione ai sensi dell'art. 16 GDPR. Se i vostri dati sono incompleti, potete richiederne il completamento.

Potete richiedere la cancellazione dei vostri dati personali ai sensi dell'art. 17 GDPR e dell'art. 34 HDSIG. Il vostro diritto alla cancellazione dipende, tra l'altro, dal fatto che i dati che vi riguardano siano ancora necessari per l'adempimento dei nostri obblighi di legge.

Nell'ambito delle disposizioni dell'art. 18 GDPR, avete il diritto di richiedere la limitazione del trattamento dei dati che vi riguardano.

Ai sensi dell'art. 21 GDPR, avete il diritto di opporvi in qualsiasi momento al trattamento dei dati che vi riguardano per motivi derivanti dalla vostra particolare situazione. Tuttavia, non possiamo sempre rispettarlo, ad esempio se una disposizione di legge ci obbliga a trattare i dati ai sensi dell'articolo 35 dell'HDSIG nell'ambito dell'adempimento dei nostri compiti ufficiali.

Se il trattamento dei dati si basa sul Suo consenso (art. 6, par. 1, lett. a) del RGPD, art. 9, par. 2, lett. a) del RGPD), Lei ha il diritto di revocare tale consenso in qualsiasi momento con effetto per il futuro. Si prega di notare che la revoca non pregiudica la liceità del trattamento dei dati effettuato sulla base del consenso fino al momento della revoca; pertanto, tale trattamento non diventa retroattivamente illecito a seguito della revoca. 

L'autorità di controllo competente in materia di protezione dei dati è:
Il Garante per la protezione dei dati e la libertà
di informazione dell'Assia Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefono: 0611 14080
E-mail: poststelledatenschutz.hessende