INFORMATIVA AI SENSI DELL’ART. 13 GDPR
Whistleblowing
Le seguenti informazioni mirano a fornirLe (in qualità di segnalante, segnalato, testimone, o altro) una panoramica sull’utilizzo dei Suoi dati personali da parte del Fondo Pensione per il Personale del Gruppo UniCredit e dei diritti connessi alle segnalazioni whistleblowing, ai sensi del Regolamento Generale sulla Protezione dei Dati Personali – Regolamento (UE) 2016/679 (di seguito anche GDPR) e del D.Lgs. 2003/196 così come modificato dal D.Lgs. 2018/101.
1. Titolare del trattamento
1.1. Il Titolare del trattamento è il Fondo Pensione per il Personale delle Aziende del Gruppo UniCredit, (in seguito anche il “Fondo”), con sede legale in Genova, via Dante,1 e Direzione Generale in Milano, via G.B.Pirelli n.5 C.F. 80008710107.
1.2. Può contattare il Responsabile della protezione dei dati (DPO) presso:
- Data Protection Office
- c/o UniCredit spa
- Piazza Gae Aulenti n. 1, Torre A, 20154 Milano
- E-mail: [email protected], PEC: [email protected]
2. Finalità e base giuridica del trattamento
2.1. Il Fondo tratta i Suoi dati personali:
- per la finalità di adempiere agli obblighi di legge previste dal decreto legislativo n. 231/2001, Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, sub. art. 6, come modificato dal Decreto Legislativo del 10 Marzo 2023, n. 24, e dall’art. 52 – bis del Decreto Legislativo 1° settembre 1993, n. 385;
- sulla base del legittimo interesse del Fondo, di cui all’art. 6, comma 1 lett. f) del GDPR, di contrastare eventuali condotte illecite, ad esempio riferibili a violazioni del Codice Etico del Fondo.
3. Categorie di dati personali
3.1. Il Fondo tratta i dati personali raccolti direttamente presso di Lei, ovvero presso terzi, che includono, a titolo esemplificativo, dati anagrafici (es. nome, cognome, ecc.) in base al principio di minimizzazione e di necessità; verranno trattati solo i dati personali necessari per soddisfare la richiesta di segnalazione.
3.2. Le categorie particolari di dati personali (cioè dati sull’origine razziale o etnica, sulle opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale e dati riguardanti la salute o la vita sessuale), se non rilevanti per la fattispecie di segnalazione, dovrebbero essere escluse. In ogni caso, il Fondo tratterà questi dati esclusivamente per finalità strettamente connesse e strumentali alla verifica dell’autenticità delle segnalazioni di irregolarità ovvero al fine di adempiere a specifici obblighi di legge (connessi agli scopi della segnalazione).
3.2. I dati giudiziari (ovvero dati personali relativi a condanne penali e reati o relative misure di sicurezza), se non rilevanti per la fattispecie di segnalazione, dovrebbero essere esclusi. In ogni caso, il Fondo tratterà questi dati esclusivamente per finalità strettamente connesse e strumentali alla verifica dell’autenticità delle segnalazioni di irregolarità o al fine di adempiere a specifici obblighi di legge (connessi agli scopi della segnalazione).
4. Destinatari dei dati personali
4.1. I dati personali potranno essere resi accessibili esclusivamente ai soggetti che abbiano un ruolo previsto nella gestione del procedimento di Whistleblowing (l’Organismo di Vigilanza – OdV, Presidente del Consiglio di Amministrazione, Presidente del Collegio Sindacale, Direttore Generale, Titolare della funzione di Revisione Interna, e soggetti specificamente individuati dall’OdV, consulenti esterni eventualmente coinvolti nella gestione della segnalazione). Tali soggetti sono vincolati da un dovere di riservatezza e da specifiche istruzioni funzionali al mantenimento della riservatezza stessa.
4.2. Potranno avere accesso ai dati personali, per finalità strettamente tecniche ed attinenti alla piattaforma, i fornitori del servizio per la gestione della segnalazione, che agiranno in qualità di responsabili del trattamento sulla base di specifiche istruzioni fornite dal Titolare.
4.3. Potranno avere accesso ai dati ed informazioni raccolte anche l’Autorità giudiziaria, l’Autorità pubblica, l’ANAC (Autorità Nazionale Anticorruzione) e, in generale, tutti i soggetti a cui la comunicazione debba essere effettuata in forza di una legge.
4.4. I dati personali non saranno comunicati a soggetti diversi da quelli sopra individuati, né saranno diffusi.
4.5. I dati non saranno trasferiti a Paesi extra-Ue.
5. Diritti degli interessati
5.1. Lei potrà esercitare i diritti previsti dalla normativa agli artt. da 15 a 22 GDPR rivolgendosi a [email protected]
5.2. Secondo quanto previsto dall’art. 2-undecies D. Lgs. 196/2003, tali diritti non possono essere esercitati dagli interessati qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte ovvero che segnala violazioni ai sensi degli artt. 52-bis, 52-ter D. Lgs. 385/1993 o degli art. 4-undecies e 4-duodecies D. Lgs. 58/1998. In particolare, l’esercizio di tali diritti deve avvenire nel rispetto delle disposizioni di legge o di regolamento che disciplinano il “Whistleblowing”; potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessano a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato. In tale caso, i diritti dell’interessato possono essere esercitati anche tramite il Garante con le modalità previste dall’art. 160 D. Lgs. 196/2003.
6. Periodo di conservazione dei dati personali
6.1 Il Fondo tratta e conserva i Suoi dati personali per un periodo di tempo non superiore a quello necessario per conseguire le finalità per le quali sono raccolti o successivamente trattati.
6.2 La conservazione delle segnalazioni interne ed esterne e della relativa documentazione avverrà per il tempo necessario alla loro definizione e, comunque, per non più di cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.
6.3 Al termine del periodo di conservazione applicabile, i dati personali riferibili all’interessato verranno cancellati o conservati in una forma che non consenta la Sua identificazione (es. anonimizzazione), a meno che il loro ulteriore trattamento sia necessario per uno o più dei seguenti scopi: i) risoluzione di precontenziosi e/o contenziosi avviati prima della scadenza del periodo di conservazione; ii) per dare seguito ad indagini/ispezioni da parte di funzioni di controllo interno e/o autorità esterne avviati prima della scadenza del periodo di conservazione; iii) per dare seguito a richieste della pubblica autorità italiana e/o estera pervenute/notificate al Fondo prima della scadenza del periodo di conservazione.6.4 In caso di applicazione di una o più delle suddette ipotesi di sospensione del processo di cancellazione/anonimizzazione irreversibile dei dati personali, resta fermo il diritto del Titolare di limitare l’accesso al dato identificativo del segnalante, ai sensi e per gli effetti di cui all’art. 2-undecies, primo comma lett. f) del D.Lgs. 2003/196, così come modificato dal D.Lgs. 2018/101.
7. Reclamo o segnalazione al “Garante per la protezione dei dati personali”
7.1. Lei ha diritto di proporre reclamo ovvero di effettuare una segnalazione al Garante per la Protezione dei Dati Personali oppure, in alternativa, di presentare ricorso all’Autorità Giudiziaria. I contatti del Garante per la Protezione dei Dati Personali sono consultabili sul sito web http://www.garanteprivacy.it