Maggio 2021
F‑Secure Elements for Microsoft 365 è un servizio di sicurezza basato su cloud progettato per ridurre i rischi aziendali delle e-mail nelle organizzazioni, con una protezione dalle minacce efficace per i messaggi e-mail di Microsoft 365 contro le e-mail interne pericolose, gli attacchi phishing avanzati e i contenuti e URL pericolosi. Oltre ai messaggi e-mail, vengono analizzati anche altri elementi di Exchange come attività, appuntamenti dei calendari, contatti e note in evidenza alla ricerca di contenuti e URL pericolosi.
La presente informativa specifica per il servizio si concentra sugli aspetti che riteniamo più rilevanti per te, in particolare: 1) il tipo di dati personali e privati raccolti dal servizio; 2) le finalità per cui li utilizziamo; 3) la base giuridica del trattamento; 4) i casi tipici di divulgazione e 5) il periodo di archiviazione. Ulteriori informazioni su tali argomenti e su altri aspetti (diritti dell’interessato, dati di contatto e così via) del trattamento dei dati personali sono disponibili anche tramite i collegamenti integrati.
F‑Secure Elements for Microsoft 365 elabora contenuti come messaggi e-mail, appuntamenti del calendario, attività, contatti e gruppi nelle cassette postali di Microsoft 365 dei dipendenti, definiti nell’informativa di sicurezza e con una licenza valida assegnata.
Durante l’elaborazione dei dati, la soluzione analizza gli allegati dei file, i link Web (URL) inclusi nei testi dei messaggi e alcune parti delle intestazioni dei messaggi. Per identificare le minacce di sicurezza, allegati e URL vengono inviati a F‑Secure Security Cloud per i controlli di reputazione e un’analisi delle minacce avanzate.
F‑Secure Security Cloud è un sistema di analisi delle minacce e reputazione basato su cloud che analizza i dati alla ricerca di contenuti pericolosi. I dati inviati a Security Cloud sono sempre resi anonimi e non possono essere associati in alcun modo a un utente singolo.
Se vengono rilevati contenuti pericolosi (come allegati o URL), la soluzione sposta o copia l’intero oggetto o le parti interessate nella cartella di quarantena nascosta situata nel tenant Microsoft 365 del cliente. Le proprietà rilevanti degli elementi in quarantena, come cassetta postale dell’utente, indirizzi di mittente e destinatario, soggetto, nome cartella e nome e URL degli allegati pericolosi vengono salvate nel database di quarantena.
Per gli utenti che gestiscono la soluzione tramite il portale F‑Secure Elements for Microsoft 365, le informazioni di contatto (indirizzo e-mail) e le credenziali (nome utente, password) vengono archiviate e usate per gestire l’accesso dell’amministratore al portale.
In merito ai dati raccolti dall’attività di analisi, i risultati sono resi disponibili agli utenti amministratori della soluzione tramite il portale F‑Secure Elements for Microsoft 365. I risultati possono includere:
F‑Secure elabora i dati per proteggere le reti e i dispositivi di destinazione e i dati in essi contenuti. In particolare:
Il portale F‑Secure Elements for Microsoft 365 raccoglie dati di telemetria non identificativi sull’utilizzo delle relative funzioni per scopi di miglioramento del servizio. L’amministratore può scegliere di non inviare tali dati anonimi nelle impostazioni dell’informativa.
F‑Secure verifica il tuo indirizzo e-mail periodicamente in caso di violazioni di dati. F‑Secure coinvolge un provider di terze parti con lo scopo di indagare e raccogliere informazioni sulle violazioni legate ai dati e all’indirizzo e-mail monitorato da F‑Secure.
L’elaborazione dei dati personali dei contatti rilevanti di un’azienda cliente è illustrata nell’informativa sulla privacy aziendale.
F‑Secure e ogni azienda cliente operano come controllori indipendenti nelle proprie rispettive aree di elaborazione dati nel contesto dei servizi.
Nella misura in cui i dati elaborati da F‑Secure nei servizi sono riferibili a un individuo specifico, i servizi elaborano i dati per salvaguardare i seguenti interessi legittimi:
L’elaborazione dei dati effettuata dal servizio è obbligatoria per una protezione efficiente dei dati dell’azienda cliente nella relativa organizzazione Microsoft 365. Le impostazioni di un servizio individuale possono consentire a un amministratore Microsoft 365/di IT di limitare l’elaborazione dei dati di sicurezza da parte di F‑Secure, ma tali regolazioni non sono consigliate in quanto rischiano di non permettere di raggiungere gli scopi dei servizi menzionati in precedenza.
I dati dell’utente nel portale di gestione sono visualizzabili per scopi simili dall’amministratore IT della tua azienda, interno o esterno. Se l’amministrazione IT dell’azienda è gestita da terzi, i dati saranno disponibili anche al partner esterno in questione (il "partner di distribuzione"/"partner rivenditore" di F‑Secure), in modo che quest’ultimo possa fornire supporto e servizi IT corrispondenti alla tua azienda.
Scambiamo (invio e ricezione) alcuni dei dati personali degli utenti con i nostri partner di distribuzione (rivenditori o servizi IT aziendali, operatori, negozi online e così via) che trattano, distribuiscono, gestiscono e offrono assistenza per i nostri servizi. Forniamo accesso a queste aziende a tali dati personali di cui hanno bisogno per le attività concordate. Lo scopo alla base di questa condivisione di dati è la fornitura di un’esperienza cliente senza soluzione di continuità. Questo include attività quali la gestione dei clienti, l’assistenza e la risoluzione di incidenti e problemi, il marketing diretto e la fatturazione.
È probabile che tra i nostri partner di distribuzione e l’utente o, nel caso dei nostri servizi aziendali, con il datore di lavoro, sia in essere un rapporto preesistente. Tali partner e clienti aziendali elaborano i dati personali dell’utente come entità indipendenti, in base alle proprie informative sulla privacy applicabili. Indipendentemente da ciò, i nostri partner di distribuzione e i clienti aziendali devono rispettare anche gli accordi e la legislazione applicabile nel trattare i dati personali degli utenti. Ognuna di tali entità è automaticamente responsabile in via autonoma del trattamento dei dati personali svolto per i propri scopi.
Possiamo trasferire o divulgare alcuni dei dati personali dell’utente alle società del gruppo F‑Secure e ai nostri subappaltatori che ci aiutano nella creazione dei servizi.
Nel caso in cui i dati personali dei nostri clienti debbano essere trasferiti o divulgati ai nostri sub-fornitori, richiediamo, nei nostri contratti con questi ultimi, che utilizzino tali informazioni unicamente per la fornitura dei servizi concordati (ad esempio, per risolvere un caso di assistenza, per inoltrarlo ai partner della logistica per la consegna del prodotto o per inviare e‑mail di marketing per conto nostro). Chiediamo ai sub-fornitori di elaborare i dati degli utenti in modo conforme alle disposizioni presenti.
F‑Secure opera a livello globale. Di conseguenza, alcuni dei nostri affiliati, subappaltatori, distributori e partner hanno sede al di fuori dello Spazio Economico Europeo per garantire la portata e la disponibilità globale dei nostri servizi. Le sedi degli affiliati F‑Secure possono essere consultate dalle pagine web pubbliche di F‑Secure
Quando i dati personali vengono trasferiti al di fuori dello Spazio Economico Europeo, ci assicuriamo che vengano protetti in base ai requisiti di legge, imponendo appropriate misure tecniche e contrattuali con i sub-fornitori interessati e le aziende del gruppo F‑Secure, ad esempio utilizzando le clausole di trasferimento dati approvate dall’Unione europea, il cui contenuto è reperibile qui.
Effettuiamo trasferimenti di dati globali o transfrontalieri solo per motivazioni fondate e dopo aver valutato il conseguente rischio per la privacy.
Conserviamo i dati più sensibili dei clienti in Finlandia o nello Spazio Economico Europeo per mantenerli sotto il nostro controllo.
Ci sono circostanze non coperte da questi criteri sulla privacy in cui l’utilizzo o divulgazione di dati personali può essere giustificato o permesso, o in cui siamo obbligati dalle leggi applicabili a divulgare informazioni senza richiedere il consenso del cliente o indipendenti dalla fornitura del servizio.
Un esempio include il rispetto di un’ingiunzione del tribunale o un mandato emesso dalle autorità nella giurisdizione competente per la produzione di informazioni.
Allo stesso modo, possono esservi altre circostanze in cui vi è un interesse legittimo a divulgare serie limitate di informazioni a terzi. Esempi di tali divulgazioni includono casi in cui è necessario proteggersi da possibili responsabilità o prevenire attività fraudolente, casi in cui analizziamo il tuo utilizzo dei nostri prodotti per assicurarci che questi ultimi funzionino nel modo previsto e che siamo in grado di intervenire in caso di problemi, laddove sia necessario risolvere o mitigare un problema in corso o soddisfare i legittimi requisiti di informazione dei nostri assicuratori o di agenzie governative di regolamentazione. In casi del genere, F‑Secure agirà secondo le leggi applicabili.
F‑Secure potrebbe anche aver bisogno di trasferire i dati personali dell’utente nel quadro di una transazione aziendale, come ad esempio in caso di vendita, fusione, scissione o altra riorganizzazione aziendale di F‑Secure, dove le informazioni sono fornite alla nuova entità di controllo nel regolare corso degli affari. Il gruppo F‑Secure divulga e trasferisce i dati internamente come richiesto dal nostro attuale modello operativo. Tuttavia, le comunicazioni sono limitate internamente solo alle società, le unità, i team e i membri del gruppo che hanno necessità di conoscere tali informazioni per gli scopi previsti per il trattamento.
Valutiamo attentamente ogni requisito di divulgazione e prendiamo in considerazione la possibilità di dover far fronte a tali richieste di divulgazione al momento di decidere dove e come archiviare i dati personali degli utenti.
Mentre F‑Secure raccoglie la maggior parte dei dati citati in precedenza direttamente dal cliente o dal suo dispositivo, riceve dati anche dagli affiliati, dai partner di distribuzione (come gli operatori e i rivenditori) e dalle entità del gruppo da cui sono stati acquistati i servizi. Tali entità possono essere i rivenditori, ma possono includere anche i partner esterni del negozio online. F‑Secure acquisisce anche alcuni dati personali di base (data degli ordini per gli acquisti) e aggrega i dati analitici degli app store in cui vengono venduti i servizi. Queste altre fonti possono anche includere gli appaltatori che hanno fornito al cliente assistenza per i nostri servizi o i partner pubblicitari che hanno assistito F‑Secure nelle attività di marketing.
Tutto questo serve per garantire al cliente un’esperienza coerente e avere le informazioni necessarie per risolvere i casi di assistenza.
Alcuni esempi tipici di fonti di terze parti sono:
I nostri servizi sono forniti in collaborazione con i partner; i nostri servizi e siti Web possono incorporare o interoperare con servizi di terze parti. La presente informativa sulla privacy si applica solo ai dati personali purché tali dati si trovino sotto l’influenza di F‑Secure. Laddove i dati personali dell’utente siano trattati da altre entità per i loro scopi indipendenti, tali entità saranno responsabili del trattamento dei dati personali in modo giuridicamente corretto, in conformità con le rispettive politiche e nel rispetto dei diritti accordati all’utente dalla legge sulla protezione dei dati.
Gli scenari prevalenti di questo genere sono i seguenti:
Dati controllati dal cliente
Gli elementi in quarantena e le relative proprietà vengono rimossi in base ai criteri definiti dal cliente.
Dati controllati da F‑Secure
I dati vengono conservati per la durata della fornitura del servizio all’azienda del cliente e sono visibili nel portale F‑Secure Elements for Microsoft 365 per lo stesso periodo di tempo. Dopo la cessazione del contratto di servizio o della licenza del cliente, i dati vengono conservati da F‑Secure per 4 (quattro) mesi, prima dell’eliminazione e dell’anonimizzazione finali.
I dati di sicurezza e statistici resi anonimi vengono archiviati nei server F‑Secure senza una data di scadenza, fino a quando risulteranno utili per gli scopi per cui sono stati raccolti.
Gli altri tipi di dati (come dati di supporto tecnico o informazioni di contatto) menzionati in precedenza sono conservati per la durata indicata nelle rispettive informative sulla privacy. Dopodiché, vengono eliminati o resi anonimi.
Il testo presente integra le indicazioni specifiche sui tempi di conservazione del servizio. La regola predefinita di legge prevede che i dati personali siano cancellati o resi anonimi una volta che non sono più necessari per lo scopo previsto.
Tuttavia, alcuni dati personali devono essere comunque archiviati per periodi più lunghi di durata variabile, per ragioni diverse.
I motivi tipici per cui i tempi di conservazione primari vengono prorogati includono gli esempi seguenti:
La rimozione definitiva dell’account dell’utente potrebbe essere ritardata per evitare di interrompere altre interazioni tra l’utente e F‑Secure. Questo è il caso quando si ha un account F‑Secure (ad esempio, se si è abbonati ai servizi a consumo con il proprio indirizzo e‑mail) e inoltre i) si possiede un account nella community F‑Secure o ii) l’iscrizione ai messaggi di marketing non viene annullata. La politica di cancellazione dell’account sulla community F‑Secure è indicata nei termini di servizio. È possibile disattivare l’invio di messaggi di marketing in qualsiasi momento.
Se l’utente ha acquistato il servizio tramite i nostri partner operatore, l’eliminazione dell’account viene controllata da tale partner operatore. Quando il partner ci avvisa della risoluzione dell’abbonamento, F‑Secure rimuove l’account ed elimina o rende anonimi i dati personali a esso associati.
Se F‑Secure ha ricevuto i dati dell’utente per fornire assistenza tecnica, tali informazioni vengono archiviate finché il rispettivo caso di assistenza non viene risolto. Una volta chiuso, le informazioni vengono gradualmente cancellate o anonimizzate entro due anni dalla chiusura del caso.
I dati analitici raccolti con il consenso dell’utente vengono conservati per scopi statistici e non vengono eliminati durante la rimozione dei dati personali e dell’account utente. I dati analitici non possono essere associati a un utente specifico dopo che l’account è stato eliminato.
I dati che non contengono dati personali (ad es. dati analitici aggregati) vengono conservati fintantoché sono utili allo scopo per il quale sono stati raccolti.
Informazioni sulle pratiche di sicurezza attuate per proteggere i tuoi dati.
Applichiamo strette misure di sicurezza per proteggere la riservatezza, l’integrità e la disponibilità dei dati personali durante il trasferimento, l’archiviazione o l’elaborazione degli stessi.
F‑Secure utilizza misure di sicurezza fisiche, amministrative e tecniche per ridurre il rischio di perdita, l’utilizzo non corretto o l’accesso non autorizzato, la divulgazione o la modifica dei tuoi dati personali.
Tutti i dati personali vengono archiviati su server sicuri gestiti da F‑Secure o dai nostri partner con accesso limitato al solo personale autorizzato.
Informazioni sui tuoi diritti legali e su come contattarci.
Tu detieni dei diritti sui dati in nostro possesso che ti riguardano. In particolare, hai i seguenti diritti nei confronti dei tuoi dati personali in nostro possesso:
Puoi esercitare i tuoi diritti tramite la nostra funzione di assistenza clienti. I link per contattarci sono reperibili nella sezione "Informazioni di contatto".
Potrebbero verificarsi alcune situazioni per cui i nostri obblighi di riservatezza, il nostro diritto al segreto professionale e/o i nostri obblighi a fornire i nostri servizi (ad esempio, al tuo datore di lavoro) potrebbero impedirci di comunicare o eliminare i tuoi dati personali o comunque impedirti di esercitare i tuoi diritti. I tuoi diritti di cui sopra dipendono anche dalla base legale del trattamento dei tuoi dati personali.
Qualora desideri presentare un reclamo sul trattamento dei tuoi dati personali da parte di F‑Secure o desideri ulteriori informazioni, ti invitiamo a contattarci in qualsiasi momento. Se ritieni che i tuoi diritti legali non siamo rispettati, hai facoltà per sporgere denuncia presso un’autorità di vigilanza. Nella maggior parte dei casi, questa autorità è il Difensore civico finlandese per la protezione dei dati (www.tietosuoja.fi).
In caso di domande o dubbi sugli argomenti trattati nel presente nelle nostre informative sulla privacy, ti invitiamo a contattare:
F‑Secure Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Finlandia
Come contattarci:
Informazioni sulle definizioni e sulla gestione delle modifiche.
Ecco cosa si intende con determinati riferimenti a questo regolamento.
"Cliente" si riferisce a un utente privato o aziendale o a eventuali altri soggetti interessati che acquistano, registrano per l’utilizzo o utilizzano i nostri servizi, i cui dispositivi e il cui traffico dati sono protetti dai nostri servizi o che potrebbero aver inviato informazioni personalmente identificabili a F‑Secure. Queste informazioni potrebbero essere state inviate attraverso l’utilizzo dei nostri servizi, i siti Web, il telefono, l’e‑mail, i moduli di registrazione o altri canali simili.
Il termine "Dati personali" si riferisce alle informazioni sui soggetti privati attraverso le quali il soggetto si identifica o viene identificato dalla propria famiglia o da altri membri a esso relativi. Queste informazioni includono i nomi, gli indirizzi e‑mail e di posta, i numeri di telefono e le informazioni di fatturazione e relative all’account, nonché altre informazioni più tecniche che possono essere associate all’utente, al dispositivo o al comportamento di entrambi, informazioni che elaboriamo per fornire i nostri servizi.
Il termine "Servizi" si riferisce ai servizi e ai prodotti creati o distribuiti da F‑Secure, inclusi il software, le soluzioni Web, gli strumenti e i servizi di assistenza correlati.
Per "sito Web" si intende il sito Web f-secure.com o altri siti ospitati o controllati da F‑Secure, inclusi i siti secondari e i portali di servizi basati su browser.
Questa versione della politica chiarisce, aggiorna e sostituisce la versione precedente. Per mantenere questo documento aggiornato, F‑Secure apporterà di volta in volta modifiche e aggiunte, anche in futuro.
La versione aggiornata dell’Informativa sulla privacy verrà pubblicata sul sito Web di F‑Secure o su un altro punto di interazione dov’era in precedenza stata resa disponibile. In caso di modifiche sostanziali, l’utente potrebbe ricevere un’ulteriore notifica con altri mezzi. Le eventuali modifiche diventeranno effettive a partire dalla data di pubblicazione dell’Informativa aggiornata.