Portale istituzionale - Comune di Milano

          Informativa resa ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (GDPR)
Servizio di posta elettronica @milanosemplice.it e attività di chiusura
Premessa
Il Comune di Milano, in qualità di Titolare del trattamento, informa gli utenti del servizio di posta elettronica per i cittadini, disponibile all’indirizzo https://www.outlook.com/milanosemplice.it  e basato sul dominio @milanosemplice.it che i dati personali sono trattati nel rispetto del Regolamento (UE) 2016/679 (GDPR), del D.Lgs. 196/2003 e s.m.i., nonché delle policy interne dell’Ente. La presente informativa disciplina l’erogazione del servizio e le attività connesse alla sua chiusura e dismissione degli account.
Titolare del trattamento
Comune di Milano – Direzione Innovazione Tecnologica e Digitale
Sede: Piazza della Scala 2, 20121 Milano
PEC: protocollo@postacert.comune.milano.it 
Email: privacy@comune.milano.it 
Responsabile della Protezione dei Dati (RPD/DPO)
Email: dpo@comune.milano.it 
Finalità del trattamento
1)    Gestione del servizio di posta elettronica @milanosemplice.it: attivazione, utilizzo, assistenza tecnica e sicurezza degli account.
2) Chiusura del servizio: comunicazioni agli utenti, disattivazione degli account, gestione dei tempi tecnici di ripristino e cancellazione definitiva, nel rispetto delle impostazioni della piattaforma Microsoft e degli obblighi di legge.
Base giuridica del trattamento
Art. 6, par. 1, lett. e) GDPR – esecuzione di compiti di interesse pubblico correlati ai servizi digitali comunali; Art. 6, par. 1, lett. c) GDPR – adempimento di obblighi legali in materia di sicurezza, conservazione e cancellazione dei dati in coerenza con il Codice dell’Amministrazione Digitale - Promozione della digitalizzazione e semplificazione dei processi  
Categorie di dati trattati
•    Dati identificativi e di contatto (es.: nome, cognome, indirizzo email @milanosemplice.it).
•    Dati di autenticazione e log tecnici (eventi di accesso, sicurezza).
•    Contenuti di comunicazioni email presenti nelle caselle fino all’avvio della chiusura del servizio.
Principio di minimizzazione
I dati personali sono trattati nel rispetto del principio di minimizzazione (art. 5, par. 1, lett. c) GDPR):
•    vengono raccolti e utilizzati solo i dati strettamente necessari per la gestione del servizio e per le attività di chiusura;
•    non vengono trattati dati ulteriori rispetto a quelli indispensabili per le finalità indicate;
•    non sono più disponibili i dati di sottoscrizione originari, poiché non erano state previste specifiche policy di conservazione e tali dati sono stati eliminati nel tempo secondo le prassi tecniche e il ciclo di vita del servizio.
Modalità del trattamento
Il trattamento avviene con strumenti informatici e telematici, nel rispetto delle misure tecniche e organizzative adeguate (artt. 5 e 32 GDPR), nonché delle impostazioni di retention/archiviazione della piattaforma Microsoft 365 (Exchange Online/Outlook).
Categorie di destinatari dei dati
I trattamenti sono effettuati a cura delle persone autorizzate e impegnate alla riservatezza e preposte alle relative attività in relazione alle finalità perseguite. 
Il trattamento dei dati viene effettuato anche da personali di fornitori di servizi tecnologici e cloud (es. Microsoft, in qualità di Responsabile del trattamento), per l’erogazione e la sicurezza del servizio.
Periodo di conservazione
Durante l’erogazione del servizio, si applicano le impostazioni predefinite di Exchange Online (trasferimento in archivio dopo 2 anni; Posta eliminata/Posta indesiderata, per la conservazione dei dati, 30 giorni, con ulteriore 14 giorni di recupero in “Recoverable Items”), salvo diversa configurazione amministrativa.
In caso di disattivazione dell’account per chiusura del servizio la mailbox entra nello stato di soft‑deleted ed è recuperabile fino a 60 giorni dalla disattivazione: entro tale finestra è possibile ripristinare integralmente account e casella tramite gli strumenti di amministrazione Microsoft 365. Trascorsi i 60 giorni, l’account e la mailbox vengono rimossi definitivamente, salvo che sia stato applicato preventivamente un meccanismo di conservazione (es. retention policy o hold in Microsoft Purview), che prolunga la conservazione per la durata stabilita prima della disattivazione.
Decorsi i 60 giorni di soft-delete (senza che siano stati attivati hold o retention policy), i dati sono cancellati definitivamente e non più recuperabili dall'amministrazione.

Comunicazione e diffusione 
•    I dati personali potranno essere oggetto di comunicazione a terzi o di diffusione nei casi previsti dalle disposizioni normative applicabili
Trasferimenti di dati
Il servizio è erogato tramite piattaforma Microsoft 365 con dati localizzati nei data center situati nell’Unione Europea. Non è previsto trasferimento di dati personali verso Paesi extra‑UE.
Diritti degli interessati e modalità di esercizio
Gli interessati possono esercitare i diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione ai sensi del GDPR. 
Il Comune metterà a disposizione sul sito istituzionale una guida rapida per l'esportazione dei dati, in modo da facilitare l'autonomia degli utenti.
La richiesta va rivolta al Responsabile per la protezione dei dati personali del Comune di Milano (Data Protection Officer - “DPO”) raggiungibile al seguente indirizzo e-mail: dpo@comune.milano.it 

Identificazione dell’interessato (art. 11 GDPR).

Poiché il servizio è stato lanciato nel 2008 e non sono più disponibili i dati raccolti in fase di sottoscrizione, il Titolare potrebbe non essere in grado di associare autonomamente una casella @milanosemplice.it a uno specifico interessato. Ai sensi dell’art. 11 GDPR, il Titolare non è tenuto a mantenere, acquisire o trattare informazioni aggiuntive al solo scopo di identificare l’interessato; tuttavia, qualora l’interessato fornisca informazioni supplementari idonee all’identificazione (es. indirizzo email completo, header di messaggi inviati/ricevuti, periodo di utilizzo), il Titolare darà seguito alla richiesta nei limiti tecnici e organizzativi disponibili.
Facilitazione delle richieste (art. 12, par. 2 GDPR).

Il Titolare facilita l’esercizio dei diritti e potrà richiedere informazioni proporzionate per verificare l’identità. Se non è possibile identificare l’interessato anche dopo le informazioni aggiuntive, il Titolare ne fornirà riscontro motivato entro i termini di legge.
Strumenti self‑service per gli utenti.

Fino alla disattivazione dell’account, gli utenti possono utilizzare gli strumenti messi a disposizione da Microsoft Outlook sul Web per cancellare i propri dati o esportarli seguendo le istruzioni fornite. Dopo la disattivazione, la casella è ripristinabile per 30 giorni; decorso tale termine, i dati sono rimossi definitivamente, salvo meccanismi di conservazione attivati prima della disattivazione.
Informazioni aggiuntive
Ulteriori dettagli sono disponibili nella sezione Privacy del sito istituzionale: https://www2.comune.milano.it/policy/privacy