Per noi la protezione dei dati è importante
In quanto azienda pubblica, per OeBB la riservatezza dei dati è d’importanza fondamentale. Questo riguarda soprattutto la gestione di segnalazioni di comportamenti illegali o non conformi alle norme aziendali.
Affinché tutti abbiano l’opportunità di inviare informazioni pertinenti, OeBB non solo ha creato l’indirizzo e-mail compliance@oebb.at, ma fornisce anche una piattaforma web. Questa piattaforma fornita da OeBB è gestita da un noto provider esterno di soluzioni IT nel campo della compliance.
La presente dichiarazione sulla protezione dei dati indica in che modo verranno utilizzati i dati ricevuti a questo indirizzo e-mail e dalla piattaforma web nonché eventuali altri dati raccolti in relazione a tali informazioni.
Regolamento generale sulla protezione dei dati
Gli articoli citati nel presente documento fanno riferimento al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito denominato “RGPD”). L’RGPD è direttamente applicabile in tutti gli Stati membri della UE.
Whistleblower Protection Act
La legge austriaca sulla protezione dei whistleblower (Whistleblower Protection Act) e i regolamenti corrispondenti negli ordinamenti giuridici nazionali (HSchG) attuano nella legge nazionale la Direttiva europea sul whistleblowing 2019/1937. Le aziende sono tenute a fornire dei canali di segnalazione per consentire ai whistleblower di segnalare in modo riservato i loro dubbi di eventuali violazioni. La legge HSchG concede una protezione speciale ai whistleblower. I riferimenti a paragrafi e passaggi di testo specifici rimandano alla HschG austriaca.
Titolare del trattamento
Il titolare del trattamento dei dati personali nel corso del whistleblowing (ad es. la persona del whistleblower o più persone coinvolte dalle violazioni giuridiche descritte) come definito nell’art. 4 cpv. 7 dell’RGDP è ciascuna azienda del gruppo OeBB a danno della quale è stato commesso l’atto oggetto d’indagine o il cui diritto è stato violato dall’atto oggetto d’indagine. Questo si applica anche nel caso in cui l’azienda non sia espressamente menzionata o sia nominata in modo scorretto nelle informazioni ricevute.
Le aziende del gruppo OeBB si avvalgono congiuntamente del sistema di whistleblowing ai sensi del comma 8 riga 4 HSchG e hanno stipulato un contratto come “contitolari" ai sensi dell’art. 26 RGPD. La contitolarità riguarda esclusivamente il fatto di ricevere informazioni e di adempiere agli obblighi di divulgazione di cui al comma 13 riga 9 HSchG.
L’ufficio Compliance della ÖBB-Holding AG, Am Hauptbahnhof 2, 1100 Vienna (Compliance Office) rappresenta l’organizzazione interna definita nel comma 5 riga 6 HSchG.
Avvio delle indagini
Le informazioni ricevute all’indirizzo e-mail compliance@oebb.at, attraverso la piattaforma web o tramite altri mezzi (ad es. tramite posta o telefono) vengono innanzitutto esaminate per accertarne la plausibilità. In seguito, le informazioni vengono inoltrate all’azienda di competenza del gruppo. Ciascuna azienda del gruppo è tenuta a garantire che vengano svolte indagini in merito al sospetto su cui si basano le informazioni. Tale azienda del gruppo è anche il “gestore dei dati" che emergono nel corso dell’indagine, ed è quindi il “titolare del trattamento” ai sensi di quanto previsto dall’RGPD.
Un collegamento alle principali aziende del gruppo OeBB con le relative informazioni legali è disponibile all’indirizzo: https://konzern.oebb.at/en/imprint. Nelle informazioni legali sono indicati anche gli oggetti sociali delle diverse aziende appartenenti al gruppo.
Responsabili del trattamento del gruppo
Nell’ambito dell’analisi delle informazioni ricevute, le aziende del gruppo sono supportate dall’Ufficio Compliance di ÖBB-Holding AG, diretto dal responsabile dell’Ufficio compliance di OeBB.
ÖBB-Holding AG partecipa pertanto all’analisi delle informazioni pervenute in qualità di “responsabile del trattamento" in conformità all’art. 4 par. 8 RGPD. L’ufficio Compliance assegna le informazioni pervenute all’azienda del gruppo e la supporta nelle indagini interne e nella stesura della relativa documentazione.
La piattaforma web utilizzata per ricevere segnalazioni è fornita a OeBB dall’azienda EQS Group GmbH (ex EQS Group GmbH), 80333 Monaco di Baviera, Germania. Per EQS Group GmbH è tecnicamente impossibile avere accesso ai dati trasmessi attraverso la piattaforma web o accedere alle informazioni ivi memorizzate. EQS Group GmbH non è pertanto un “responsabile del trattamento” ai sensi dell’art. 4 riga 8 RGPD.
Responsabile della protezione dei dati
All’interno del gruppo OeBB, per ciascuna azienda del gruppo è stato nominato un responsabile della protezione dei dati. Per una panoramica, si prega di consultare: https://konzern.oebb.at/en/imprint/data-protection-officers.
Il responsabile della protezione dei dati del gruppo è disponibile anche all’indirizzo e-mail datenschutz.konzern@oebb.at.
Basi giuridiche del trattamento dei dati
Le basi giuridiche del trattamento dei dati sono
- Art. 6 par 1 lit a RGPD, ovvero il consenso dato dal whistleblower al trattamento dei propri dati,
- Art. 6 par 1 lit c RGPD, ovvero l’obbligo giuridico derivante dalla legge HSchG a carico del titolare del trattamento (l’azienda di competenza del gruppo OeBB) di configurare dei canali attraverso i quali segnalare e documentare violazioni di norme e indagare sulle segnalazioni ricevute,
- Art. 6 par 1 lit f RGPD, ovvero gli interessi legittimi perseguiti dal titolare del trattamento (l’azienda di competenza del gruppo OeBB) di indagare sulle segnalazioni di comportamenti scorretti a danno dell’azienda.
Se l’utilizzo dei dati si basa sul consenso del whistleblower, la revoca di tale consenso non influisce sulla legalità del trattamento e della trasmissione dei dati eseguiti sulla base del consenso vigente fino alla revoca dello stesso (art. 8 par 2 e par 4 HSchG). Una volta fornite, le informazioni non possono pertanto essere né ritirate, né “revocate”.
Descrizione e finalità del trattamento dei dati
La finalità del trattamento è quella di indagare su fatti
- che riguardano violazioni delle leggi europee negli ambiti a cui si fa riferimento nell’art. 2 della Direttiva (UE) 2019/1937 del 23 ottobre 2019 e nelle corrispondenti disposizioni attuative nazionali (HSchG) oppure
- che altrimenti possano dare adito a sospetti di comportamenti scorretti,
- che rientrino nelle competenze dell’Ufficio Compliance secondo la Linea guida 15 del gruppo OeBB o
- che servano a evitare gravi svantaggi per il titolare del trattamento derivanti da comportamenti scorretti dei suoi dipendenti causati da altri comportamenti illeciti.
Anonimato del whistleblower
In linea generale, l'identità del whistleblower verrà divulgata esclusivamente previo suo consenso. Sulla piattaforma web i whistleblower possono inviare suggerimenti in forma anonima e in seguito comunicare in forma anonima anche con dei dipendenti dell’Ufficio Compliance.
Se l’identità del whistleblower è nota all’Ufficio Compliance, in questi casi verrà divulgata indipendentemente dal suo consenso:
- Ai sensi del diritto pubblico vi è l’obbligo di divulgare l’identità del whistleblower a un tribunale o a un’autorità amministrativa, ad es. quando viene interrogato un testimone (i dipendenti del gruppo OeBB che si occupano di questioni di compliance sono soggetti all’obbligo di testimonianza e non hanno il diritto di rifiutare di testimoniare)
- Informazioni fornite agli interessati in conformità all’art. 15 RGDP, se la segnalazione non è vera ed è stata inviata in cattiva fede e pertanto il whistleblower non ha nessun interesse legittimo nel mantenere segreta la sua identità.
Segnalazione di interessati
Se le informazioni fornite da un whistleblower menzionano una persona specifica (in particolare se oggetto di un sospetto), i dati verranno memorizzati in correlazione alle informazioni e gli interessati verranno informati immediatamente dell’archiviazione dei dati in conformità all’art. 14 RGDP, non appena tali informazioni non possano più compromettere le finalità dell’indagine.
In linea di massima, ciò avviene durante l’indagine interna mentre la persona chiamata in causa viene interrogata dall’Ufficio Compliance, in quanto una notifica antecedente potrebbe compromettere il risultato dell’indagine.
L’interessato verrà informato a tempo debito in merito al sospetto. Verranno inoltre informate l’azienda del gruppo OeBB che indaga sul caso e qualsiasi altra azienda del gruppo OeBB coinvolta. Verranno altresì indicate le modalità per l’esercizio dei diritti di difesa e di altri diritti all’informazione.
Gestione di altre informazioni
Eventuali informazioni ricevute non necessarie allo scopo descritto sopra, ovvero che non siano legate, ad esempio, a un comportamento scorretto di un dipendente o di un organo di un’azienda OeBB o a un comportamento che evidentemente non abbia provocato né danni, né altri svantaggi a OeBB, né abbia violato le leggi della UE, non verranno esaminate in termini di compliance e, se opportuno, verranno inoltrate ai reparti interni di competenza.
OeBB si riserva tuttavia il diritto di inoltrare alle pubbliche autorità eventuali informazioni che a prima vista potrebbero non apparire rilevanti per la compliance, ma che potrebbero essere rilevanti ai sensi del diritto penale, mantenendo l’anonimato della persona che ha fornito le informazioni, come descritto sopra.
Destinatari dei dati
- Destinatari interni a OeBB
I dati personali vengono utilizzati per effettuare la segnalazione all’organo responsabile della gestione esecutiva, che decide in ultima istanza quale procedura adottare (ad es. conseguenze disciplinari).
I dati vengono utilizzati anche per segnalare agli organi esecutivi delle aziende affiliate al gruppo, nonché alla ÖBB-Holding AG quali misure sono state adottate all’interno del gruppo OeBB.
- Destinatari esterni
I dati raccolti nell’ambito del trattamento delle segnalazioni possono essere trasmessi ad autorità di sicurezza, organismi di regolamentazione, pubblici ministeri e tribunali ai fini di un procedimento penale per fornire, all’occorrenza, delle prove in materia penale. I dati possono essere utilizzati anche nei processi civili a supporto dei diritti rivendicati e per fornire delle prove. L’azienda OeBB coinvolta può nominare dei rappresentanti professionali (avvocati) che la rappresentino nei rispettivi procedimenti.
In tali casi l’identità della persona che ha fornito le informazioni viene rivelata solo previo suo assenso o qualora un atto ufficiale ne imponga la divulgazione. In tale contesto occorre considerare che i dipendenti del gruppo OeBB interessati da questioni di compliance sono soggetti all'obbligo di testimonianza e non hanno il diritto di rifiutarsi di testimoniare.
Fornitore di servizi
Oltre alla piattaforma web per la gestione del caso, ÖBB-Holding AG si avvale di un’applicazione software gestita da ÖBB-BCC GmbH.
In alcuni casi, per svolgere indagini su fatti complessi, ÖBB-Holding AG si avvale anche di ulteriori incaricati, nello specifico fornitori di servizi forensi, le cui attività sono protette dall’obbligo del segreto professionale.
Vengono stipulati dei contratti con tutti gli incaricati. In ogni caso, agli incaricati non è consentito decidere in merito all’utilizzo dei dati.
Periodo di conservazione
I dati raccolti nell’ambito dell’indagine vengono conservati per cinque anni. Inoltre, i dati vengono conservati per il tempo necessario a svolgere le procedure amministrative o giudiziarie già avviate o le procedure investigative ai sensi dell’StPo (comma 8 riga 11 HschG). Qualora, conformemente alla legge nazionale applicabile, siano richiesti periodi più brevi, questi verranno opportunamente considerati.
Le informazioni legate al caso, in particolare le trascrizioni di colloqui, note e copie di altri file vengono archiviate elettronicamente al termine di tale periodo di conservazione. L’archiviazione viene effettuata in modo che i dipendenti e organi aziendali della OeBB non possano più accedere ai file archiviati. L’accesso è consentito esclusivamente al responsabile della compliance, che non è soggetto a istruzioni da parte degli organi aziendali in merito alle sue attività e che agisce solo su richiesta ufficiale. Le attività di trattamento eseguite vengono registrate. I dati di accesso a tali procedure vengono cancellati tre anni dopo il termine dell’obbligo di conservazione (comma 8 riga 11 HschG).
I dati vengono cancellati completamente dopo sette anni.
Le segnalazioni infondate che non rientrano nell’ambito della legge HschG vengono archiviate per due mesi dal termine delle indagini.
Diritti degli interessati
Per quanto riguarda l’utilizzo dei vostri dati personali, avete i seguenti diritti:
- Diritto di accesso
- Diritto di rettifica
- Diritto di cancellazione
- Diritto alla limitazione del trattamento
- Diritto alla portabilità dei dati
- Diritto di opposizione
Qualora vogliate esercitare i suddetti diritti nei confronti di ÖBB-Holding AG o di qualsiasi altra azienda del gruppo, siete pregati di inviare un messaggio ai referenti sopra indicati o al responsabile della protezione dei dati indicato nelle informazioni legali di ciascuna affiliata. Nel campo dell’oggetto dovrete indicare i diritti da voi rivendicati in conformità con l’RGPD, il contesto della vostra domanda (trattamento dei dati nel contesto di uno specifico caso di compliance).
N.B.: Un’indagine sulla compliance non si basa sul consenso e non vi è quindi alcun diritto alla portabilità dei dati.
Avete il possibilità di presentare un reclamo a un'autorità di vigilanza della protezione dei dati. L’autorità di vigilanza responsabile del gruppo OeBB è: Austrian Data Protection Authority (Österreichische Datenschutzbehörde), Barichgasse 40-42, 1030 Vienna; e-mail: dsb@dsb.gv.at.