Informativa sulla protezione dei dati
Di seguito desideriamo informarvi sulla raccolta, sul trattamento e sull’uso di dati personali nell’ambito del sistema di whistleblowing. Leggete con attenzione queste informazioni sulla protezione dei dati prima di inviare una segnalazione.
Finalità del sistema di whistleblowing
Il sistema di whistleblowing (BKMS® System) ha lo scopo di ricevere ed elaborare, tramite un canale protetto e riservato, segnalazioni relative a (presunte) violazioni di leggi o regolamenti interni del gruppo Schörghuber e segnalazioni riguardanti irregolarità nella propria area di attività o nella catena di fornitura del gruppo Schörghuber. L’obiettivo è quello di identificare, investigare, eliminare e sanzionare, con un alto grado di riservatezza, le infrazioni di leggi e le violazioni gravi degli obblighi dei dipendenti, compresi i comportamenti dannosi per l’azienda e i casi di reati economici che si verifichino in qualsiasi istanza all’interno del gruppo, nonché i comportamenti scorretti nei confronti di fornitori e partner commerciali, ed evitare danni e rischi di responsabilità associati a Schörghuber Stiftung & Co. Holding KG, alle società affiliate, a tutti i dipendenti, i clienti e i partner commerciali, nonché a tutte le altre persone e all’ambiente (paragrafi 30, 130 della legge tedesca sugli illeciti amministrativi [OWiG]).
Trattamento dei dati personali e base giuridica
I dati personali vengono raccolti e conservati nell’ambito del BKMS® System. La gestione di tali dati soddisfa le leggi vigenti in materia di protezione dei dati.
Verranno trattati solo i dati oggettivamente necessari per le finalità del sistema di whistleblowing (v. sopra).
I dati raccolti vengono utilizzati esclusivamente per le finalità del sistema di whistleblowing descritte sopra. I dati vengono forniti, in particolare, per soddisfare gli obblighi legali dell’azienda e i requisiti di compliance dell’azienda. Il trattamento dei dati avviene nell’ambito del soddisfacimento degli obblighi del contratto di lavoro, sulla base del paragrafo 26(1) della legge tedesca sulla protezione dei dati (BDSG) e in risposta agli interessi legittimi di Schörghuber Stiftung & Co. Holding KG, i quali prevalgono sugli interessi della persona interessata come disposto dall’art. 6(1)(f) del regolamento generale sulla protezione dei dati (RGPD). Tra gli interessi legittimi vi è quello di assicurare la compliance nell’azienda. Ciò comprende la scoperta e l’investigazione di infrazioni di leggi nonché violazioni gravi degli obblighi dei dipendenti, compresi comportamenti dannosi per l’azienda e reati economici, nonché comportamenti scorretti nella propria area di attività e nella catena di fornitura del gruppo Schörghuber, per la protezione di tutti i dipendenti, clienti e partner commerciali, di tutte le altre persone e dell’ambiente. Una base giuridica supplementare è rappresentata dall’art. 6 (1)(c) RGPD in riferimento alla legge tedesca sulla catena di fornitura.
Autorità responsabile e sicurezza dei dati
Il responsabile della protezione dei dati nel sistema di whistleblowing è:
Schörghuber Stiftung & Co. Holding KG
Möhlstrasse 10
81675 Monaco di Baviera
Telefono: +49 89 3074917-0
E-mail: kontakt@schoerghuber.group
Il sistema di whistleblowing è gestito da un’azienda specializzata, EQS Group GmbH, Bayreuther Str. 35, 10789 Berlino, Germania, per conto di Schörghuber Stiftung & Co. Holding KG.
I dati personali e le informazioni inseriti nel sistema di whistleblowing sono memorizzati in una banca dati di un centro dati ad alta sicurezza in Germania gestito da EQS Group GmbH, separatamente dagli altri dati conservati da Schörghuber Stiftung & Co. Holding KG. L’accesso ai dati è riservato unicamente a Schörghuber Stiftung & Co. Holding KG; EQS Group GmbH e altre terze parti non hanno accesso ai dati. Ciò è garantito nella procedura certificata tramite un apposito sistema di autorizzazioni e ampie misure tecniche e organizzative.
Tutti i dati sono memorizzati e cifrati con più livelli di protezione con password, per cui l’accesso è limitato a una cerchia molto ristretta di persone espressamente autorizzate presso Schörghuber Stiftung & Co. Holding KG. Inoltre, per assicurare un alto livello di protezione e sicurezza dei dati, è stato stipulato un contratto di trattamento dei dati ai sensi dell’art. 28 RGPD tra Schörghuber Stiftung & Co. Holding KG. e EQS Group GmbH.
Schörghuber Stiftung & Co. Holding KG ha nominato un responsabile della protezione dei dati. Le richieste di informazioni relative alla protezione dei dati possono essere inviate a:
Schörghuber Stiftung & Co. Holding KG
Responsabile della protezione dei dati
Möhlstrasse 10
81675 Monaco di Baviera
Telefono: +49 89 3074917-0
E-mail: datenschutz@schoerghuber.group
Tipo di dati personali raccolti
L’uso del sistema di whistleblowing è volontario. Non sussistono vincoli legali o contrattuali di condivisione dei dati personali.
Se inviate una segnalazione tramite il sistema di whistleblowing, raccoglieremo i seguenti dati e informazioni personali:
- Nome e informazioni di contatto private e d’identificazione, se rivelate la vostra identità e tali specifici dati (segnalazione non anonima)
- Se siete dipendenti di un’azienda del gruppo Schörghuber, ossia informazioni di contatto professionali e affiliazione all’organizzazione, se le fornite (segnalazione non anonima)
- Nomi e altri dati personali di persone che indicate nella vostra segnalazione, se pertinenti
Gestione riservata delle segnalazioni
Le segnalazioni arrivano a una piccola cerchia di impiegati espressamente autorizzati e con una qualifica speciale dell’organizzazione di compliance di Schörghuber Stiftung & Co. Holding KG e sono sempre gestite in forma riservata. I dipendenti valutano la questione e procedono con le eventuali indagini necessarie a seconda del caso specifico. Solo questi dipendenti hanno accesso ai dati conservati nel sistema di whistleblowing.
Durante l’elaborazione di una segnalazione o lo svolgimento di un’indagine interna, in singoli casi giustificati può rendersi necessario condividere le segnalazioni con altri dipendenti di Schörghuber Stiftung & Co. Holding KG o con dipendenti di un’altra azienda del gruppo affiliata a Schörghuber Stiftung & Co. Holding KG, ad esempio se le segnalazioni fanno riferimento a fatti verificatisi presso sussidiarie di Schörghuber Stiftung & Co. Holding KG. Per le indagini può rendersi necessario condividere dati con sussidiarie del gruppo Schörghuber ubicate in Paesi al di fuori dell’Unione europea o dello Spazio economico europeo, in cui possono applicarsi normative diverse sulla tutela dei dati personali. Da parte nostra, quando condividiamo le segnalazioni, garantiamo sempre il rispetto delle norme vigenti sulla protezione dei dati e la messa in atto di garanzie adeguate per la protezione delle persone interessate ai sensi delle leggi sulla protezione dei dati (ad es. clausole europee standard in materia di protezione dei dati o esenzioni conformi all’art. 49 RGPD).
Se necessario, il testo della segnalazione inviato sarà condiviso con partner incaricati da EQS Group GmbH per la relativa traduzione. L’accordo sulla protezione dei dati concluso con EQS Group GmbH si applica anche a tali fornitori di servizi.
Laddove esista un corrispondente obbligo di legge oppure in caso di interesse legittimo di Schörghuber Stiftung & Co. Holding KG o di terzi a svolgere indagini sulla segnalazione, tra gli altri possibili destinatari possono esservi autorità incaricate dell’applicazione della legge, autorità antitrust, altre autorità amministrative e tribunali. Può inoltre rendersi necessario condividere le segnalazioni con studi legali, società di revisione contabile e responsabili della protezione dei dati e della sicurezza informatica esterni incaricati da Schörghuber Stiftung & Co. Holding KG o da un’altra azienda del gruppo affiliata a Schörghuber Stiftung & Co. Holding KG, nel qual caso tali destinatari saranno tenuti anch’essi, per professione o disposizione di legge, a mantenere la riservatezza.
Tutte le persone che hanno accesso ai dati hanno l’obbligo di mantenerne la riservatezza.
Informazioni sulla parte accusata
Chiunque sia menzionato in una segnalazione sarà informato a tempo debito delle accuse di presunte irregolarità formulate nei suoi confronti, tenendo presenti i nostri obblighi di notifica ai sensi delle leggi sulla protezione dei dati e degli artt. 13 e 14 RGPD, purché tale notifica non comprometta in modo significativo la prosecuzione delle indagini sul fatto. Se tale pericolo non esiste, la notifica avviene di solito entro un mese o non più tardi della conclusione delle indagini. In alcuni casi la persona accusata ha il diritto, ai sensi dell’art. 15 RGPD, di richiedere informazioni in merito ai dati conservati e alle informazioni che la riguardano.
Anche se ci avete fornito il vostro nome o altri dati personali (segnalazione non anonima), la vostra identità di whistleblower non verrà rivelata nei limiti di quanto legalmente possibile, sia in relazione all’adempimento dei nostri obblighi di notifica, sia nella fornitura di informazioni alla persona accusata; ci assicureremo, inoltre, che non sia possibile risalire alla vostra identità di whistleblower. Se acconsentite a rivelare la vostra identità o se vige un relativo obbligo legale, possono applicarsi regole diverse. In particolare, ciò avviene se la rivelazione è indispensabile affinché le persone interessate dalla segnalazione possano esercitare il proprio diritto a un’udienza. In ogni caso, verrete informati in anticipo della rivelazione della vostra identità. Tuttavia non avverrà alcuna rivelazione da parte nostra se il whistleblower ha un interesse legittimo prevalente a mantenere riservata la propria identità (paragrafo 29(1) BDSG). In linea di principio, ciò avviene se non sono ancora state concluse le indagini sul fatto oggetto della segnalazione. Dato che, in linea di principio, tutte le informazioni riguardanti il whistleblower vengono cancellate o rese interamente anonime una volta concluse le indagini (v. sotto), in particolare se le indagini non hanno avuto alcun esito, anche in questo caso si può in gran parte escludere una rivelazione dell’identità.
Diritti delle persone interessate
Secondo il RGPD, voi e i soggetti menzionati nella segnalazione avete il diritto, oltre a quello già menzionato, di ottenere l’accesso ai dati e di ricevere informazioni, di rettificare, cancellare, limitare, bloccare e opporvi al trattamento dei vostri dati personali. Se vi avvalete del diritto di opposizione al trattamento dei dati personali, valuteremo immediatamente se i dati conservati sono necessari per l’analisi di una segnalazione e informeremo la persona interessata degli interessi prevalenti che giustificano il trattamento. Per la durata di tale valutazione verrà bloccato l’uso dei dati per tali finalità. I dati che non sono più necessari saranno cancellati subito.
Se i dati sono stati condivisi con una terza parte, informeremo il destinatario della rettifica, della cancellazione o del blocco dei dati in conformità con le disposizioni legislative. Avete inoltre il diritto di presentare un reclamo presso l’autorità di controllo della protezione dei dati. L’autorità competente nel nostro caso è l’autorità di protezione dei dati della Baviera.
Periodo di conservazione dei dati personali
I dati personali sono conservati fino a quando sia necessario per chiarire la situazione descritta nella segnalazione ed effettuare una valutazione conclusiva, nonché oltre tale termine se la legge, il contratto o lo statuto prevedono specifici periodi di conservazione. Se una segnalazione dà luogo a procedimenti penali, disciplinari o civili, la durata dell’archiviazione può estendersi fino alla definitiva conclusione del procedimento in questione. I dati raccolti con una segnalazione che non siano rilevanti per il procedimento verranno cancellati immediatamente. Una volta conclusa l’elaborazione della segnalazione, i dati verranno cancellati o resi anonimi secondo gli obblighi stabiliti dalla legge. In tal modo qualsiasi collegamento alla vostra identità di whistleblower sarà rimosso in modo definitivo e irreversibile quando i dati vengono resi anonimi.
Uso del sistema di whistleblowing
La comunicazione tra il vostro computer e il sistema di whistleblowing avviene tramite una connessione crittografata (SSL). Il vostro indirizzo IP non verrà memorizzato durante l’uso del sistema di whistleblowing. Per mantenere la connessione tra il vostro computer e il BKMS® System viene memorizzato sul computer un cookie che contiene semplicemente l’ID di sessione (chiamato anche cookie di sessione). Questo cookie è valido solo fino al termine della sessione e scade alla chiusura del browser.
Nel sistema di whistleblowing potete creare una casella di posta protetta con uno pseudonimo/ un nome utente e una password scelti da voi. Questo vi permette di inviare le segnalazioni al dipendente responsabile presso Schörghuber Stiftung & Co. Holding KG in forma nominativa o anonima, in maniera sicura. I dati vengono conservati solo all’interno del sistema di whistleblowing, che è altamente sicuro. Non si tratta di una modalità classica di comunicazione tramite e-mail.
Nota sull’invio di allegati
Quando inviate una segnalazione o un’informazione supplementare, potete inviare anche allegati al dipendente responsabile di Schörghuber Stiftung & Co. Holding KG. Se desiderate inviare una segnalazione anonima, tenete presente la seguente nota sulla sicurezza: i file elettronici possono contenere dati personali nascosti che potrebbero compromettere il vostro anonimato. Rimuovete tali informazioni prima di inviare un file. Se non siete in grado di eliminare questi dati o non avete la certezza di come farlo, copiate il testo dell’allegato nel testo della segnalazione o inviate il documento stampato in forma anonima (con i dati personali cancellati) all’indirizzo indicato a piè di pagina, citando il numero di riferimento ricevuto al termine della procedura di segnalazione.
Versione: 15 marzo 2023