Dichiarazione sulla protezione dei dati nell'uso dei sistemi di segnalazione di Merck
Grazie per l'interesse mostrato verso il trattamento dei dati personali presso Merck Serono S.p.A. (“Merck”, “noi”). Per noi la protezione e la riservatezza dei dati sono molto importanti e rispettiamo tutte le normative vigenti nazionali ed europee sulla protezione dei dati.
La presente Dichiarazione sulla protezione dei dati spiega come trattiamo i suoi dati quando li riceviamo da lei o da qualcun altro, tramite il sistema di segnalazione whistleblowing, ossia tramite la piattaforma dedicata (c.d. SpeakUpLine), la linea telefonica dedicata o l’incontro di persona. Puoi trovare maggiori informazioni al riguardo nelle Linee Guida Whistleblowing pubblicate sul nostro sito nell’apposita sezione e sulla intranet.
1 Titolare del trattamento e responsabile della protezione dei dati
Il titolare del trattamento ai sensi dell'Articolo 4 N. 7 del Regolamento generale sulla protezione dei dati ("GDPR: General Data Protection Regulation") è:
Merck Serono S.p.A.
Via Casilina 125
00176, Roma (RM)
Il Responsabile della protezione dei dati è contattabile ai seguenti recapiti:
Merck KGaA
Konzern-Datenschutzbeauftragter
Frankfurter Straße 250
64293 Darmstadt
privacy@merckgroup.com
2 Oggetto della protezione dei dati e riconducibilità alla persona dei suoi dati
L'oggetto della protezione dei dati sono i dati personali. In base all'Art. 4 n. 1 del GDPR, ciò include qualsiasi informazione relativa a una persona identificata o identificabile. Può trattarsi del suo nome, ma anche di un comportamento documentato associato alla tua persona.
Trattiamo i suoi dati personali all'interno del sistema di segnalazione quando lei ci fornisce le informazioni e il suo nome o quando rileviamo un riferimento alla sua persona da una segnalazione fornita da terzi. Questo ultimo caso si verifica qualora venisse accusato di un possibile comportamento scorretto o quando la sua persona viene solo menzionata dal segnalante nel contesto di un presunto comportamento scorretto di un'altra persona.
3 Categorie di dati trattati
Quando usiamo il sistema di segnalazione, trattiamo il suo nome e i suoi dati di contatto, se ci vengono forniti, come pure il contenuto della segnalazione e gli ulteriori dati personali eventualmente raccolti nel contesto delle attività connesse alla gestione della segnalazione.
Quando riceviamo le informazioni da un'altra società del Gruppo Merck memorizziamo la fonte dei dati, nel rispetto della normativa applicabile.
4 Finalità del trattamento
Trattiamo i suoi dati personali per le seguenti finalità:
a. dar seguito alle segnalazioni effettuando le necessarie attività volte a verificare la fondatezza del fatto oggetto di segnalazione, nonché adottare le conseguenti azioni e collaborare con le autorità competenti; e
b. trasferire alla società Merck KGaA (Frankfurter Straße 250, 64293 Darmstadt), ovvero alle altre società del gruppo (società collegate, controllate e/o che ne detengono il controllo), i dati relativi alla segnalazione, inclusi quelli che rivelano direttamente o indirettamente l’identità del segnalante, affinché il gruppo, in particolare Merck KgaA (funzione Global Compliance Investigations & Case Management), possa gestire la segnalazione e le relative attività.
5 Basi legali
Trattiamo i suoi dati personali per le finalità di cui al punto 4 sulle seguenti basi legali:
- per la finalità di cui al punto (a) che precede, l’adempimento degli obblighi previsti dalla normativa italiana in materia di whistleblowing (Decreto Legislativo 10 marzo 2023, n. 24 – “Decreto”) a cui siamo soggetti. Nel caso in cui trattiamo, per le finalità di cui al punto (a), le informazioni comunicateci da un’altra società del Gruppo Merck in merito a segnalazioni ricevute da quest’ultime, la base legale è il nostro legittimo interesse a prevenire e investigare possibili violazioni delle leggi vigenti, del nostro Codice di Condotta e di altre linee guida, nonché possibili condotte illecite e/o dannose per la nostra azienda; e
- per la finalità di cui al punto (b) che precede, il consenso espresso del segnalante.
Il segnalante ha il diritto di revocare il proprio consenso in qualsiasi momento inviando una comunicazione in tal senso tramite la piattaforma dedicata (c.d. SpeakUpLine). La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.
6 Nessun obbligo di fornire i dati e la scelta di restare anonimi
Non è obbligato a fornirci i suoi dati personali. Tuttavia, in questo caso potremmo non riuscire, o riuscire solo in parte, a procedere contro un comportamento scorretto.
Il sistema di segnalazione le permette di comunicare le informazioni anche in forma anonima.
Prima di fornire la sua identità, rifletta con attenzione se fornire le informazioni in forma anonima, al riguardo le ricordiamo che le segnalazioni presentate in forma anonima non ricadono nell’ambito di applicazione del Decreto quindi non si applicheranno le nostre Linee Guida Whistleblowing (disponibili sul sito nell’apposita sezione e sulla intranet aziendale) e, di conseguenza, non potrà beneficiare delle tutele previste dal Decreto, a meno lei non venga successivamente identificato da parte di chi gestisce la segnalazione. Infatti, ricorda che possiamo risalire alla sua persona non solo tramite il suo nome, ma anche in altri modi. Ciò può verificarsi, ad esempio, se solo lei può essere considerato testimone di un evento, data la sua posizione nell'azienda, la sua presenza fisica o una speciale autorizzazione di accesso. Se lei è un dipendente di un'impresa del Gruppo Merck, troverà maggiori informazioni sulla possibilità di trasmettere i suoi dati in forma anonima nell'intranet.
7 Fonte dei dati e misure adottate per garantire l'anonimato
Riceviamo i suoi dati personali dai segnalanti nell'ambito di una segnalazione. Riceviamo inoltre i dati personali correlati alle segnalazioni ricevute dalle imprese del Gruppo Merck, nel rispetto della normativa applicabile.
Il sistema di segnalazione “SpeakUpLine” viene gestito per conto del Gruppo Merck, compresa Merck, dalla società altamente specializzata EQS Group GmbH, Bayreuther Str. 35, 10789 Berlino, Germania.
Quando il segnalante fornisce le informazioni tramite il sistema di registrazione vocale, previo consenso secondo quanto previsto dal Decreto, i dati vengono memorizzati in formato criptato in un centro di elaborazione dati altamente protetto presso terze parti che agiscono per conto di Merck e sono a tal fine debitamente nominate ai sensi dell’articolo 28 del GDPR. Solo i soggetti autorizzati da Merck possono decodificare e interpretare tali dati. Ciò è garantito attraverso una procedura certificata da misure tecniche e organizzative complete.
Tutti i dati vengono criptati e memorizzati attraverso una protezione con più password in modo che l'accesso sia limitato solo alle persone autorizzate da Merck.
EQS Group deve trattare i dati esclusivamente per gli scopi specificati da noi e nel rispetto delle nostre istruzioni ed è contrattualmente obbligata da noi a trattare i suoi dati esclusivamente in base alle leggi vigenti sulla protezione dei dati.
Se necessario, EQS Group si avvarrà di ulteriori service provider vincolati da istruzioni per fornire i servizi descritti. In questo caso, EQS Group obbligherà i service provider al rispetto della riservatezza dei dati personali.
In ogni caso, per il trattamento dei suoi dati personali ai fini della presente dichiarazione ci avvarremo solo di soggetti debitamente autorizzati da Merck ai sensi dell’articolo 29 del GDPR e 2-quaterdecies del Codice Privacy (Decreto Legislativo 196/2003 ss. mm. e ii.).
8 Destinatari dei dati e trasferimento a paesi terzi
Comunichiamo i suoi dati personali senza il suo consenso solo se previsto e consentito dalla legge. La comunicazione dei dati può essere legalmente consentita, in particolare quando il trattamento è necessario per ottemperare a un obbligo di legge, ad esempio in seguito a una richiesta di comunicazione da parte delle autorità competenti.
Inoltre, come descritto in precedenza, possiamo inserire i dati personali in formato criptato nel Sistema BKMS®, fornito da EQS Group, per poter comunicare con il segnalante in caso di domande, nonché con altre imprese del Gruppo Merck in merito alle informazioni ricevute in quelle sedi e/o alle informazioni che le riguardano, sul presupposto che condivideremo i dati relativi alla segnalazione con il nostro gruppo solo ove il segnalante abbia fornito il suo consenso.
Per garantire la protezione dei suoi diritti personali, Merck trasferisce i dati solo in quei paesi al di fuori dell'Area Economica Europea, laddove è garantito un livello di protezione dei dati equivalente al GDPR. In caso contrario, Merck farà uso di uno dei meccanismi illustrati nell'Art. 44 et seq. del GDPR, in particolare applicando quanto espresso nelle clausole standard di protezione dei dati adottate dalla Commissione in base all'Art. 46 para. 2 lit. c del GDPR. È possibile consultarle in qualsiasi momento all'indirizzo https://eur-lex.europa.eu/legal-content/IT/ALL/?uri=celex%3A32004D0915.
9 Periodo di conservazione
9.1 Periodo di conservazione per segnalazioni infondate
Se riceviamo delle informazioni queste verranno trattate con la necessaria cura. Se verifichiamo che una segnalazione non è sufficientemente provata, cancelleremo immediatamente i dati correlati, al più tardi entro due mesi successivi alla fine dell'indagine, se non è possibile conservare tali dati in maniera consentita su altre basi legali.
9.2 Periodo di conservazione per segnalazioni fondate
Se le segnalazioni sono fondate, conserveremo i dati per il periodo necessario a chiarire i fatti e a perseguirli. Tale periodo di solito è di tre anni dalla fine delle indagini e, in ogni caso, non supera i cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione.
10 Possibili conseguenze per abuso del sistema / accusa premeditata
Faccia attenzione quando utilizza il sistema di segnalazione per segnalare un comportamento scorretto.
Se ha dubbi le chiediamo di informarci in merito in modo da non creare l'impressione di una falsa certezza.
Nel caso in cui fornisce consapevolmente informazioni false sul presunto comportamento scorretto di un'altra persona, potrebbe avere gravi conseguenze in ottemperanza alla normativa sul lavoro, civile e penale.
Ci sforziamo inoltre di promuovere un'atmosfera di fiducia e di collaborazione all'interno del Gruppo Merck per evitare di denunciare i dipendenti Merck per presunti comportamenti scorretti di minore entità. La preghiamo quindi di limitare i suoi riferimenti a sospette violazioni delle leggi vigenti, del Codice di Condotta o di altre linee guida. Per maggiori informazioni consulta le Linee Guida Whistleblowing pubblicate sul nostro sito nell’apposita sezione.
Se lei è un dipendente di un'impresa del Gruppo Merck, troverà maggiori informazioni nell'intranet.
11 I suoi diritti come interessato
Preliminarmente, ai sensi del Decreto e dell’art. 2-undecies del Codice Privacy, i diritti che seguono non possono essere esercitati con richiesta a Merck né con reclamo al Garante per la protezione dei dati personali, qualora dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità della persona che segnala violazioni del Modello 231.
Di conseguenza, Merck potrà acconsentire a fornire informazioni solo nei casi in cui le segnalazioni si siano rivelate fondate e solo dopo aver avuto il consenso del segnalante a comunicare le informazioni. Per quanto riguarda la riservatezza dell'identità del segnalante e la tutela delle informazioni fornite, faremo riferimento al regolamento aziendale (Decreto Privacy). Le ricordiamo che il suo datore di lavoro, a prescindere dal luogo in cui opera, potrebbe avere il diritto di accedere alle informazioni fornite per prendere provvedimenti all'interno della sua impresa a seguito di una segnalazione.
La preghiamo di comprendere che per i dipendenti il rapporto di lavoro potrebbe prevedere obblighi e restrizioni più stringenti rispetto alle leggi di protezione dei dati e alla presente informativa. Per ulteriori informazioni, la preghiamo di rivolgersi al responsabile della riservatezza dei dati della sua impresa.
11.1 Diritto di accesso
In qualsiasi momento, ha il diritto di richiederci l'accesso ai suoi dati personali da noi trattati, secondo quanto previsto dall'Art. 15 del GDPR.
11.2 Diritto di rettifica
In base all'Art. 16 del GDPR, ha il diritto di chiederci di rettificare i suoi dati personali se questi risultano imprecisi o incompleti.
11.3 Diritto di cancellazione
Ha il diritto di chiederci la cancellazione dei suoi dati personali in base ai prerequisiti descritti nell'Art. 17 del GDPR, vale a dire nel caso in cui i dati personali non sono più necessari allo scopo per il quale erano stati raccolti o nel caso in vengano trattati da noi in modo non conforme alla legge.
11.4 Diritto alla limitazione del trattamento
In base all'Art. 18 del GDPR, può richiederci di trattare i suoi dati solo in misura limitata.
11.5 Diritto di opposizione
Lei ha il diritto di opporsi in qualsiasi momento al trattamento dei suoi dati personali fondato sull’interesse legittimo da noi perseguito secondo quanto previsto dalla sezione 5 della presente Dichiarazione.
11.7 Esercizio di questi diritti
Se desidera esercitare questi diritti, ci può contattare tramite la piattaforma dedicata (c.d. SpeakUpLine).
11.8 Diritto di reclamo
Ha inoltre il diritto di presentare un reclamo presso un'autorità di supervisione, in particolare nello Stato Membro dove risieda, del suo posto di lavoro o del luogo in cui è avvenuta la violazione, se pensa che il trattamento dei suoi dati personali violi la legge vigente sulla protezione dei dati.