Informativa sulla protezione dei dati
La protezione dei vostri dati personali è importante per noi e i nostri processi aziendali prendono in considerazione questo aspetto. Trattiamo i dati (personali) da voi condivisi nell’ambito di una segnalazione in modo strettamente riservato ed esclusivamente in conformità con le disposizioni di legge.
Di seguito desideriamo informarvi sulla raccolta, sul trattamento e sull’uso di dati personali nel quadro del sistema di whistleblowing. Leggete con attenzione queste informazioni sulla protezione dei dati prima di inviare una segnalazione.
1 Titolare del trattamento
Il titolare del trattamento per il sistema di whistleblowing (BKMS® System, accessibile all’indirizzo https://www.bkms-system.net/voestalpine), in conformità con il regolamento generale sulla protezione dei dati 1 (“RGPD”) è
1. voestalpine AG
voestalpine-Straße 1
4020 Linz, Austria
E-mail: group-dataprotection@voestalpine.com
2. le sue società controllate
(i dati di contatto aggiornati sono disponibili all’indirizzo https://www.voestalpine.com/locations)
in qualità di titolari del trattamento indipendenti (di seguito “voestalpine”, “noi” o “ci”)
1 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
2 Finalità e base giuridica del sistema di whistleblowing
Il sistema di whistleblowing (BKMS® System) ha lo scopo di ricevere ed elaborare segnalazioni relative a (presunte) violazioni delle leggi o dei regolamenti di compliance di voestalpine mediante un canale protetto e riservato. Il trattamento dei dati (personali) condivisi nell’ambito del BKMS® System ha lo scopo di individuare e prevenire pratiche illecite ed evitare i danni che ne conseguono non solo per il gruppo voestalpine, ma anche per i dipendenti e clienti. La base giuridica del trattamento dei dati (personali) è l’articolo 6 comma 1 lettera f del RGPD (interesse legittimo del titolare del trattamento a individuare e prevenire pratiche illecite ed evitare i danni che ne conseguono non solo per il gruppo voestalpine, ma anche per i dipendenti e clienti). Inoltre, il trattamento dei dati avviene per motivi di interesse pubblico rilevante (art. 6 comma 1 lettera e del RGPD) allo scopo di individuare e portare alla luce reati grazie alle informazioni ricevute e dissuadere le persone dal commetterli grazie alla presenza di sistemi di whistleblowing. Per le società controllate per le quali è obbligatorio un sistema di whistleblowing ai sensi della direttiva sul whistleblowing e relative leggi nazionali di attuazione, è necessario ricorrere anche all’art. 6 comma 1 lettera c del RGPD (adempimento di un obbligo legale) come base giuridica.
Vi chiediamo di non includere nella segnalazione categorie particolari di dati personali (compresi i dati che indicano l’origine etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati genetici e biometrici, dati sulla salute o dati relativi all’attività sessuale o all’orientamento sessuale di una persona fisica). In caso di condivisione di dati di questo tipo, la base giuridica del trattamento è l’articolo 9 comma 2 lettera f del RGPD (accertamento, esercizio o difesa di un diritto in sede giudiziaria).
I dati relativi a sentenze penali e atti penali o relative misure di sicurezza sono trattati solo nella misura consentita dalle leggi dell’Unione europea o degli Stati membri, che forniscono garanzie adeguate per i diritti e le libertà delle persone coinvolte.
3 Uso del sistema di whistleblowing e tipologia di dati personali raccolti
3.1 Tipologie di dati personali raccolti
L’uso del sistema di whistleblowing avviene su base volontaria. Se inviate una segnalazione tramite il sistema di whistleblowing, noi raccogliamo i dati e le informazioni personali relativi alle persone coinvolte elencati di seguito, da voi forniti volontariamente nell’ambito della segnalazione:
Whistleblower/persona che invia la segnalazione: - Nome, se scegliete di rivelare (volontariamente) la vostra identità
- Se siete dipendenti dell’azienda in questione
- Il rapporto con l’azienda in questione
- Definizione e breve descrizione della situazione
- Altri dati personali che riguardano voi e le persone menzionate nella segnalazione che fornite volontariamente nell’ambito della segnalazione stessa
Nel corso delle indagini è possibile che vi venga richiesto di fornire ulteriori dati che potrebbero aiutare nell’elaborazione della segnalazione. La condivisione delle informazioni avviene sempre su base volontaria. Questi dati rientrano nelle seguenti categorie:
- Informazioni di contatto private e professionali (ad es. nome, numero di telefono, e-mail, indirizzo)
- Data di nascita
- Rapporto con voestalpine (ad es. fornitore, dipendente, cliente, partner commerciale)
- Dati dei dipendenti voestalpine
- Altri dati personali utili all’elaborazione del caso in questione e che vengono condivisi volontariamente
Altri soggetti interessati menzionati nella segnalazione dal whistleblower (ad es. persone accusate, testimoni, persone in possesso di informazioni): - Nomi e altri dati personali condivisi dal whistleblower nell’ambito della segnalazione
Fornire risposte complete alle domande poste nell’ambito della segnalazione ci aiuta a elaborarla. Nel caso in cui i dati (personali) indicati non siano forniti o non siano forniti nella misura necessaria oppure se non siamo in grado di raccogliere tali dati, potremmo non essere in grado di elaborare la segnalazione o l’elaborazione della segnalazione potrebbe subire ritardi.
3.2 Uso del portale di whistleblowing
La comunicazione tra il vostro dispositivo (PC, tablet, smartphone, ecc.) e il sistema di whistleblowing avviene tramite una connessione crittografata (SSL). Il vostro indirizzo IP non verrà memorizzato durante l’uso del sistema di whistleblowing. Per mantenere la connessione tra il vostro dispositivo e BKMS® System viene memorizzato sul vostro dispositivo un cookie che contiene semplicemente l’ID di sessione (chiamato anche cookie di sessione). Questo cookie è valido solo fino al termine della sessione e scade alla chiusura del browser.
Di norma, tutte le informazioni ricevute saranno trattate dal Whistleblowing Committee di voestalpine AG oppure, in determinati casi, direttamente dalla società controllata e sempre nella massima riservatezza.
4 Trasferimento e ulteriore condivisione
Nell’ambito dell’elaborazione di una segnalazione, è necessario condividere una segnalazione in tutto o in parte con i dipendenti di voestalpine AG responsabili dell’elaborazione, gli uffici competenti e le società controllate coinvolte nell’oggetto della segnalazione nonché, in alcuni casi, con consulenti esterni (ad es. avvocati, revisori, interpreti/traduttori o esperti forensi che indagano sulla segnalazione per conto di voestalpine).
A tal proposito, voestalpine AG e le rispettive aziende del gruppo interessate hanno un interesse legittimo al trasferimento e al trattamento dei dati da parte di voestalpine AG nell’ambito dell’elaborazione del caso, dal momento che spesso le potenziali violazioni non sono chiarite ed escluse a livello locale (o comunque non in modo adeguato) e quindi richiedono il controllo e l’intervento della capogruppo. Per questo motivo, l’azienda del gruppo in questione ha un interesse legittimo al trattamento e al trasferimento dei dati a voestalpine AG e voestalpine AG ha un interesse legittimo alla ricezione e all’ulteriore trattamento dei dati tramite il BKMS® System.
Le vostre informazioni saranno messe esclusivamente a disposizione delle persone che ne devono essere necessariamente in possesso al fine di elaborare la segnalazione. Da parte nostra, garantiamo sempre il rispetto delle norme sulla protezione dei dati quando condividiamo le segnalazioni. Tutte le persone che hanno accesso ai dati hanno l’obbligo di mantenerne la riservatezza.
Inoltre, i dati possono essere condivisi con altri soggetti legittimati (ad es. autorità pubbliche) nella misura in cui sussiste un obbligo da parte nostra sulla base di disposizioni di legge o decisioni esecutive di autorità pubbliche o tribunali.
4.1 Responsabili del trattamento
Il sistema di whistleblowing è gestito da un’azienda specializzata, EQS Group GmbH, Bayreuther Str. 35, 10789 Berlino, Germania, per conto di voestalpine.
voestalpine AG agisce in qualità di responsabile del trattamento ai sensi dell’art. 28 del RGPD in relazione all’uso del BKMS® System e del supporto di primo livello per le aziende del gruppo.
I dati e le informazioni personali inseriti nel sistema di whistleblowing sono conservati in una banca dati di un centro dati ad alta sicurezza gestito da EQS Group GmbH. Solo voestalpine può accedere ai dati. EQS Group GmbH e altre terze parti non vi hanno accesso. Questo aspetto è garantito nella procedura certificata tramite ampie misure tecniche e organizzative. Tutti i dati sono cifrati e memorizzati con vari livelli di protezione con password, per cui l’accesso è limitato a una cerchia molto ristretta di persone espressamente autorizzate presso voestalpine (v. sotto “Trasferimento e ulteriore condivisione”). Il video del prodotto presente sul sito web di EQS Group GmbH (www.eqs.bkms-system.com) fornisce una spiegazione breve e concisa del funzionamento del BKMS® System.
4.2 Condivisione con destinatari che non si trovano in UE o nello SEE
I destinatari menzionati nella sezione 4 del presente documento potrebbero trovarsi in paesi al di fuori dell’Unione europea (“Paesi terzi”) in cui le leggi vigenti non garantiscono lo stesso livello di protezione dei dati del Paese di origine. In questo caso, l’eventuale trasmissione secondo i requisiti di legge avviene solo se esiste una decisione di adeguatezza della Commissione europea per il Paese terzo, sono state concordate adeguate garanzie con il destinatario (ad es. clausole contrattuali tipo dell’UE), il destinatario fa parte di un sistema di certificazione approvato, esistono regole aziendali vincolanti ai sensi dell’articolo 47 del RGPD o esiste una deroga per situazioni specifiche ai sensi dell’articolo 49 del RGPD (ad es. il trasferimento è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria). Potete richiederci un elenco dei destinatari in Paesi terzi e una copia delle disposizioni concordate nello specifico che garantiscono il livello di protezione dei dati appropriato, tramite le informazioni presenti nella sezione Contatti.
5 Durata della conservazione, periodi di conservazione
I dati personali sono conservati fino a quando risulta necessario per chiarire la situazione ed effettuare una valutazione finale, finché sussiste un interesse legittimo da parte dell’azienda o se la conservazione è richiesta dalla legge. Successivamente, i dati saranno cancellati o resi anonimi secondo le disposizioni di legge.
6 Diritti degli interessati
Secondo la legge europea sulla protezione dei dati, i whistleblower e gli altri interessati menzionati nella segnalazione hanno il diritto di informazione, rettifica, cancellazione, limitazione del trattamento, portabilità dei dati e opposizione al trattamento dei dati personali. Hanno inoltre il diritto di presentare un reclamo presso l’autorità di controllo.
7 Informazioni relative agli altri interessati
In presenza di un obbligo legale, informeremo gli altri interessati (ad es. persone accusate, testimoni, persone in possesso di informazioni, ecc.) di aver ricevuto una segnalazione che li riguarda. L’identità del whistleblower non verrà rivelata nei limiti di quanto legalmente possibile e ci assicureremo inoltre che non sia possibile risalirvi. In caso di invio intenzionale di false segnalazioni con l’intento di screditare una persona (denuncia), non possiamo garantire il mantenimento della riservatezza. La base giuridica di questo trattamento dei dati personali è l’articolo 6 comma 1 lettera c del RGPD (adempimento di un obbligo legale).
8 Nota sull’invio di allegati
Insieme a una segnalazione o a un’informazione supplementare potete inviare anche allegati al dipendente responsabile presso voestalpine. Se desiderate inviare una segnalazione anonima, tenete presente la seguente nota sulla sicurezza: i file possono contenere dati personali nascosti che potrebbero compromettere l’anonimato. Eliminate questi dati prima di inviare documenti. Se non siete in grado di eliminare questi dati o non sapete come farlo, copiate il testo dell’allegato nel testo della segnalazione o inviate il documento stampato in forma anonima all’indirizzo indicato a piè di pagina, citando il numero di riferimento ricevuto al termine del processo di segnalazione.
9 Contatti
In caso di domande sul tema della protezione dei dati e per l’esercizio dei diritti precedentemente indicati, potete contattare l’ufficio responsabile per la protezione dei dati di voestalpine all’indirizzo group-dataprotection@voestalpine.com o
voestalpine AG, Legal, M&A and Compliance, voestalpine-Straße 1, 4020 Linz, Austria.
10 Modifiche all’Informativa sulla protezione dei dati
La presente Informativa sulla protezione dei dati subisce modifiche periodiche. Vi chiediamo quindi di consultare sempre la versione aggiornata della nostra dichiarazione sulla protezione dei dati.
Versione: ottobre 2022
(Allo scopo di semplificare la lettura abbiamo scelto di non utilizzare un linguaggio neutrale in termini di genere all’interno di questo documento. I riferimenti alle persone al maschile indicano allo stesso modo tutti i generi.)