Informativa ai sensi degli articoli 13 e 14 del Regolamento UE 2016/679 e della normativa nazionale vigente in materia di protezione dei dati personali – Segnalazioni di violazioni di norme nazionali ed europee (c.d. whistleblowing)
Si comunica che ai sensi del Regolamento (UE) 2016/679 (di seguito, “GDPR”) e della normativa nazionale vigente in materia di protezione dei dati personali (di seguito, unitamente al GDPR, “Normativa Privacy”), MBFACTA S.p.A., con sede in Milano, Via Siusi 7 (di seguito, la “Società” o il “Titolare”), in qualità di Titolare del trattamento, è tenuta a fornire l’informativa relativa all’utilizzo dei Suoi dati personali.
Il Titolare può trattare i Suoi dati personali nel contesto dei canali istituiti nel rispetto della normativa applicabile, per permettere la segnalazione di violazioni di norme nazionali ed europee che ledono l'interesse pubblico o l'integrità della Società (c.d. whistleblowing), nonché per la gestione di tali segnalazioni.
La presente informativa deve essere letta unitamente alla “Informativa whistleblowing” e, per i dipendenti, alla “Politica su whistleblowing”, che contengono informazioni sulle violazioni che possono essere segnalate, sui presupposti per l’effettuazione della segnalazione e sulle tutele riservate dalla normativa applicabile ai soggetti interessati dalla segnalazione.
La presente informativa si applica ai soggetti che segnalano le suddette violazioni, ai soggetti segnalati indicati come presunti responsabili, ai soggetti implicati nelle violazioni, ai soggetti al corrente dei fatti o comunque menzionati nella segnalazione.
Finalità e modalità del trattamento: il Titolare può trattare i dati personali per la ricezione e gestione delle segnalazioni, compresa l'istruttoria e l’investigazione delle stesse, l'applicazione di misure correttive, il monitoraggio della loro applicazione e l'aggiornamento del segnalante sui risultati del procedimento.
Il trattamento dei dati avviene mediante strumenti manuali, informatici e telematici con logiche strettamente correlate alle finalità indicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi, nel rispetto delle previsioni della normativa vigente in materia.
Base giuridica: le attività di trattamento sono svolte in base ad un obbligo legale a cui il Titolare è soggetto (art. 6, par. 1, lett. c) GDPR), ai sensi della normativa applicabile in materia di whistleblowing. Qualora, nell’ambito di una segnalazione, vengano fornite categorie particolari di dati, il Titolare le tratterà in virtù delle seguenti deroghe previsti dall’art. 9 GDPR consistenti: (i) nella necessità di assolvere gli obblighi ed esercitare i diritti specifici del Titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale (art. 9, par. 2, lett. b) GDPR); e (ii) nella necessità di accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali (art. 9, par. 2, lett. f) GDPR) per quanto concerne il trattamento dei dati personali necessari in sede di contenzioso o in sede precontenziosa, per far valere o difendere un diritto, anche del Titolare o di un terzo, in sede giudiziaria, nonché in sede amministrativa o di arbitrato e conciliazione.
Categorie di dati personali e fonti di origine dei dati: in base all’esperienza del Titolare, possono essere trattati i seguenti dati personali dei soggetti interessati:
- dati identificativi;
- dati di contatto;
- dati relativi alle presunte condotte segnalate, attribuite al segnalato, nelle quali l’interessato potrebbe essere coinvolto o delle quali potrebbe essere a conoscenza;
- immagini e altra documentazione allegata alle segnalazioni;
- categorie particolari di dati personali eventualmente contenuti nelle segnalazioni;
- contenuti delle comunicazioni scambiate tra il segnalante e i soggetti che gestiscono le segnalazioni.
I dati personali dei soggetti diversi dal segnalante sono solitamente forniti dal segnalante tramite la segnalazione oppure dagli altri soggetti interessati (qualora questi siano sentiti durante l’istruttoria o investigazione delle segnalazioni).
Comunicazione e diffusione dei dati: potranno venire a conoscenza dei dati solo i soggetti specificatamente autorizzati della Società, eventualmente coinvolti nell’analisi e nell’approfondimento o istruttoria della segnalazione. In ogni caso, l’identità del segnalante, e qualsiasi altra informazione da cui si può evincere, possono essere rivelate a soggetti diversi dal personale dipendente o dai soggetti esterni autorizzati a gestire la segnalazione o l’istruttoria per conto del Titolare, solo con l’autorizzazione del segnalante oppure quando obbligatorio o legittimo ai sensi della normativa applicabile. In casi eccezionali, qualora la rivelazione dell’identità sia indispensabile per la difesa del segnalato (nell’ambito di un procedimento disciplinare) o della persona coinvolta (nell’ambito delle procedure interne), il segnalante sarà informato per iscritto dalla Società in merito ai motivi di tale comunicazione. La tutela della riservatezza viene garantita anche agli altri soggetti interessati, fino alla conclusione dei procedimenti avviati in ragione della segnalazione e nel rispetto delle medesime garanzie previste in favore del segnalante. Tuttavia, nel caso in cui le segnalazioni siano oggetto di denuncia alle autorità competenti, l’obbligo di riservatezza dell’identità delle persone coinvolte o menzionate nella segnalazione potrebbe venire meno nei modi e alle condizioni previste dalla normativa applicabile.
Inoltre, i dati potrebbero essere condivisi con i seguenti soggetti esterni, a seconda dei casi agenti in qualità di titolari autonomi del trattamento o responsabili del trattamento:
- avvocati e consulenti, che forniscono servizi di consulenza o di indagine;
- autorità giudiziarie, di vigilanza, supervisione o di polizia, nei casi previsti dalla legge.
Nella misura di quanto strettamente indispensabile e, comunque, a fronte di apposite garanzie, i dati potrebbero essere trattati da società che forniscono al Titolare sistemi informativi e/o società che sono coinvolte nella loro manutenzione e sicurezza.
I dati personali non vengono diffusi, non sono trasferiti al di fuori dello Spazio Economico Europeo, né saranno soggetti a processi decisionali interamente automatizzati.
Data retention: nel rispetto dei principi di proporzionalità e necessità, i dati personali saranno conservati in una forma che consenta l’identificazione degli interessati per il tempo necessario a evadere la segnalazione e, comunque, non oltre cinque anni a decorrere dalla data della comunicazione al segnalante dell’esito finale della procedura di segnalazione. Sono fatti salvi eventuali specifici obblighi normativi o la sopravvenuta necessità del Titolare di agire o difendersi in giudizio, che rendano necessario il trattamento e la conservazione dei dati per periodi di tempo ulteriori.
Obbligatorietà del conferimento dei dati: è possibile inoltrare una segnalazione in forma anonima o non anonima. In caso di segnalazione anonima, il Titolare potrebbe non essere in grado di investigare efficacemente la segnalazione e di proteggere adeguatamente la riservatezza dell’identità. Pertanto, ove applicabile, La invitiamo a segnalare qualsiasi violazione fornendo tutte le informazioni richieste (ivi inclusa la Sua identità), così da permettere al Titolare di chiedere ulteriori informazioni. In ogni caso, il Titolare assicurerà che tutti i dati personali trattati nel contesto della segnalazione rimangano strettamente riservati.
Diritti dell’interessato: Lei ha il diritto in qualunque momento di ottenere la conferma dell’esistenza o meno dei Suoi dati e di conoscerne il contenuto e l’origine, verificarne l’esattezza o chiederne l’integrazione o l’aggiornamento, oppure la rettifica (artt. 15 e 16 del GDPR).
Inoltre, ha il diritto di chiedere la cancellazione, la limitazione al trattamento, la revoca del consenso, la portabilità dei dati nonché di proporre reclamo all’autorità di controllo e di opporsi in ogni caso, per motivi legittimi, al loro trattamento (art. 17 e ss. del GDPR).
Tali diritti sono esercitabili mediante comunicazione scritta da inviarsi a: privacy@mbfacta.it.
Il Titolare, anche tramite le strutture designate, provvederà a prendere in carico la Sua richiesta e a fornirLe, senza ingiustificato ritardo, le informazioni relative all’azione intrapresa riguardo alla Sua richiesta. Le segnaliamo, tuttavia, che l’esercizio dei Suoi diritti potrebbe essere limitato o escluso, ai sensi di quanto previsto dalla Normativa Privacy, nel caso in cui dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante.
Titolare del trattamento e Data Protection Officer: Il Titolare del trattamento dei dati è MBFACTA S.p.A. con sede in Milano, Via Siusi 7.
MBFACTA ha designato un Responsabile della protezione dei dati personali (c.d. Data Protection Officer). Il Data Protection Officer può essere contattato ai seguenti indirizzi: dpo.mediobanca@mediobanca.com; dpomediobanca@pec.mediobanca.com.
Ultimo aggiornamento marzo 2024