Informativa sul trattamento dei dati personali ai sensi del Regolamento (UE) n. 2016/679
La presente informativa sul trattamento dei dati personali raccolti nell’ambito della gestione delle Segnalazioni di whistleblowing è resa ai sensi degli artt. 13 e 14 del Regolamento 2016/679/UE (“GDPR”).
In particolare, possono formare oggetto delle Segnalazioni cd. whistleblowing:
- le segnalazioni circostanziate di condotte illecite rilevanti ai sensi del D. Lgs. 231/2001 e fondate su elementi di fatto precisi e concordanti;
- le segnalazioni di violazioni del modello di organizzazione e gestione volto a prevenire la commissione dei reati implementato da OCF ai sensi dell’art. 6, comma 1, lett. a) del D. Lgs. 231/2001 (“Modello di Organizzazione, Gestione e Controllo”), di cui i segnalanti siano venuti a conoscenza in ragione delle funzioni da loro svolte;
- le segnalazioni di violazioni di norme nazionali e/o dell’Unione Europea elencate nel D.Lgs. 24/2023.
Abbreviazioni:
- GDPR: il Regolamento (UE) n. 2016/679;
- Codice Privacy: il D.lgs. 196/2003;
- Procedura whistleblowing: “Procedura per la gestione delle segnalazioni di condotte illecite – Whistleblowing ai sensi del D.Lgs. 10 marzo 2023, n. 24” adottata da OCF e pubblicata nell’apposita sezione dedicata al Whistleblowing del sito internet di OCF e nella intranet aziendale;
- Segnalazioni di whistleblowing: segnalazioni effettuate ai sensi del D.Lgs. 10 marzo 2023, n. 24 di violazioni che siano state inviate attraverso i canali di segnalazione interna istituiti da OCF;
- OdC: Organismo di Controllo dell’OCF (Organismo di Vigilanza ai sensi del D. Lgs. 231/2001).
TITOLARE DEL TRATTAMENTO E RESPONSABILE PER LA PROTEZIONE DEI DATI PERSONALI (“DPO”)
Il Titolare del trattamento è l’Organismo di vigilanza e tenuta dell’albo unico dei Consulenti Finanziari (di seguito “OCF”), con sede legale in via Tomacelli 146 - 00186, Roma, e-mail: info@organismocf.it.
Il Responsabile per la protezione dei dati personali (di seguito “Data Protection Officer” o “DPO”) è contattabile ai seguenti indirizzi: e-mail, all’indirizzo dpo@organismocf.it; posta ordinaria, all’indirizzo Via Tomacelli n. 146 – 00187, Roma, c.a. del Data Protection Officer.
DATI PERSONALI
La informiamo che, in caso di segnalazione, il Titolare tratta le seguenti categorie di dati personali riferibili al segnalante, alle persone segnalate e a eventuali ulteriori soggetti coinvolti nei fatti oggetto della Segnalazione, contenuti all’interno delle Segnalazioni pervenute e/o raccolti nell’ambito delle attività istruttorie di verifica della relativa fondatezza:
- dati personali comuni (ad es. nome, cognome, e-mail, altri dati di contatto, la voce in caso di utilizzo del sistema di messaggistica vocale registrata ecc.) nonché le ulteriori informazioni riportate nella segnalazione (a titolo esemplificativo e non esaustivo, la descrizione dei fatti e delle circostanze di tempo e di luogo in cui si è verificata la violazione segnalata; le informazioni che consentono di identificare il soggetto a cui è attribuita la violazione nonché i dati identificativi, il ruolo, la mansione di eventuali soggetti terzi in grado di riferire circostanze utili in merito ai fatti segnalati; i dati contenuti nell’eventuale documentazione allegata alla Segnalazione);
- dati personali appartenenti a particolari categorie di dati ex art. 9, par. 1 del GDPR (“l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”);
- dati personali relativi a condanne penali e reati di cui all’art. 10 del GDPR, eventualmente forniti dal segnalante.
FINALITÀ DEL TRATTAMENTO E BASE GIURIDICA
I dati personali sono raccolti e trattati per effettuare le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto della Segnalazione e l’adozione dei conseguenti provvedimenti previsti dalla predetta Procedura whistleblowing e dal Sistema Disciplinare dell’OCF.
Il trattamento dei suddetti dati personali è necessario per l’adempimento degli obblighi normativi incombenti sul Titolare ai sensi degli artt. 6.1, lett. c), fra cui gli obblighi previsti dal D.Lgs. 24/2023; 9.2, lett. b) e 88.1 del GDPR; qualora venissero trattati anche dati personali relativi a condanne penali e reati, il trattamento è effettuato ai sensi degli artt. 6.1, lett. c) e 10 del GDPR e dell’art. 2-octies del Codice Privacy.
I dati personali comuni potrebbero essere trattati anche per soddisfare eventuali esigenze di carattere difensivo sulla base dell’art. 6.1, lett. f) del GDPR ovvero, ove la Segnalazione contenga anche dati personali appartenenti alle categorie particolari, dell’art. 9.2, lett. f) del GDPR ovvero, ove vengano trattati dati personali relativi a condanne penali e reati, degli artt. 10 del GDPR e 2-octies, comma 3, lett. e) del Codice Privacy.
In caso di segnalazione inviata utilizzando la funzione di messaggistica vocale, il segnalante, dopo aver terminato la registrazione del messaggio, confermando l’inoltro della registrazione vocale al gestore delle segnalazioni acconsente alla trascrizione integrale del contenuto della registrazione o al suo trasferimento su supporto idoneo alla conservazione e all’ascolto ai sensi dell’art. 14, co. 2 del D.Lgs. 24/2023. In caso di trascrizione, il segnalante ha la facoltà di verificare, rettificare o confermare il contenuto della trascrizione mediante la propria sottoscrizione.
Il trattamento dei dati personali relativi all’identità del segnalante avviene in base al consenso ai sensi dell’art. 6.1, lett. a) del GDPR unicamente nel seguente caso. Nel caso in cui, a seguito della Segnalazione, si instauri un procedimento disciplinare, l’identità del segnalante potrà essere rivelata alla persona a cui sono attribuiti i fatti a condizione che il segnalante abbia rilasciato un consenso espresso a tale comunicazione e solo nei casi in cui l’addebito risulti fondato – in tutto o in parte – sulla Segnalazione e la conoscenza dell’identità del segnalante risulti indispensabile alla difesa dell’incolpato. In mancanza di detto consenso, l’identità del segnalante non potrà essere comunicata alla persona segnalata e, contestualmente, non potrà essere proseguito il procedimento disciplinare. Nei casi predetti, al segnalante sarà data comunicazione scritta delle ragioni che hanno reso necessaria la rivelazione della sua identità.
In ogni caso, il segnalante è invitato a non conferire dati personali appartenenti alle categorie cc.dd. “particolari” ex art. 9.1 del GDPR ove ciò non risulti strettamente necessario. Si rinvia inoltre a quanto previsto nella Procedura whistleblowing (parr.3 e ss. contenenti indicazioni operative circa oggetto, contenuti, destinatari e modalità di trasmissione delle Segnalazioni, nonché circa le forme di tutela che gli vengono offerte nel nostro ordinamento). In particolare, si rammenta che non saranno presi in considerazione, in quanto estranei all’oggetto della Segnalazione, fatti attinenti alla sfera privata del segnalante e del/dei segnalato/i e che l’OdC dell’OCF prende in considerazione anche le Segnalazioni anonime, ove queste siano adeguatamente circostanziate e rese con dovizia di particolari, tali cioè da far emergere fatti e situazioni riferibili a contesti determinati.
NATURA DEL CONFERIMENTO DEI DATI PERSONALI ALL’OCF
Nell’evidenziare che l’invio di una Segnalazione è facoltativo, si precisa che:
- il conferimento di dati personali relativi all’identità del segnalante è in ogni caso facoltativo;
- il conferimento di dati personali, diversi dall’identità del segnalante, che risulti necessario per l’assolvimento della finalità indicata, ossia per la gestione della Segnalazione, è facoltativo, ma in difetto non sarà possibile gestire la Segnalazione.
CONSERVAZIONE DEI DATI PERSONALI
I dati personali saranno conservati solo per il tempo necessario ai fini per cui sono raccolti, nel rispetto dei principi di minimizzazione del trattamento e limitazione della conservazione.
I dati personali contenuti nella Segnalazione e nella relativa documentazione a corredo sono conservati in una forma che consenta l'identificazione degli interessati per il tempo necessario al trattamento della specifica Segnalazione e comunque non oltre cinque (5) anni a decorrere dalla data della comunicazione dell'esito finale della procedura di Segnalazione.
Il Titolare si riserva, tuttavia, di conservare i predetti dati personali anche per tutto il tempo necessario per l’adempimento di obblighi normativi e per soddisfare eventuali esigenze difensive.
Trascorsi i tempi sopra indicati, le Segnalazioni e l’eventuale documentazione allegata saranno cancellate e/o anonimizzate.
È possibile avere maggiori informazioni, su richiesta, presso il Titolare e/o il DPO ai contatti sottoindicati.
MODALITÁ DEL TRATTAMENTO
I dati personali contenuti nelle Segnalazioni saranno trattati con strumenti informatici, anche automatizzati, e non, da parte di soggetti autorizzati al trattamento.
DESTINATARI DEI DATI PERSONALI
I dati personali contenuti nelle Segnalazioni pervenute ad OCF non saranno comunicati a terzi né diffusi, se non nei casi previsti dal diritto nazionale e dell’Unione europea. In particolare, i dati potranno essere comunicati, nei limiti di quanto previsto dalle leggi e dai regolamenti in materia di trattamento dei dati personali, ai seguenti soggetti:
- OdC ed eventualmente altri soggetti specificamente individuati dal Titolare, i quali siano stati autorizzati al trattamento dei dati personali contenuti nelle Segnalazioni e debitamente istruiti ai sensi degli artt. 29 e 32, par. 4 del GDPR e 2-quaterdecies del Codice Privacy, in base a quanto previsto dalla Procedura whistleblowing. A questo proposito, si evidenzia che l’identità del segnalante non sarà rivelata a persone diverse da quelle sopra richiamate, salvo che il segnalante rilasci un espresso e specifico consenso a tale comunicazione;
- soggetti esterni al Titolare che agiscono in qualità di responsabili del trattamento ai sensi dell’art. 28 del Regolamento (il fornitore della Piattaforma informatica di gestione delle violazioni);
- autorità pubbliche e soggetti pubblici e/o privati che agiscono in qualità di autonomi titolari a cui sia obbligatorio comunicare i dati personali in forza di disposizioni di legge o di ordini delle autorità.
L’elenco completo ed aggiornato dei destinatari dei dati potrà essere richiesto al Titolare e/o al DPO, ai recapiti sottoindicati.
LUOGO DEL TRATTAMENTO
I dati personali saranno trattati da OCF esclusivamente all’interno del territorio dell’Unione europea.
ESERCIZIO DEI DIRITTI DEGLI INTERESSATI
Gli interessati hanno il diritto di esercitare e ottenere, nei casi previsti e nei limiti di quanto previsto dall’art. 2-undecies del Codice Privacy, l’accesso ai propri dati personali, la rettifica, la cancellazione degli stessi la limitazione del trattamento che li riguarda, (artt. 15 e ss., Regolamento (UE) n. 2016/679, “GDPR”) e di proporre reclamo al Garante per la Protezione dei dati personali (art. 77, GDPR).
Con riferimento al diritto di opposizione previsto dall’art. 21 del GDPR, Lei potrà formulare una richiesta nella quale dare evidenza delle ragioni che giustifichino l’opposizione. OCF si riserva di valutare la Sua istanza che non sarà accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Si consideri che l’esercizio dei diritti previsti dagli artt. da 15 a 22 del GDPR, potrà essere ritardato, limitato o escluso nel caso in cui ciò si renda effettivamente e strettamente necessario, ossia qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto e per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato, al fine di salvaguardare : (i) la riservatezza dell’identità del segnalante, ai sensi dell’art. 2-undecies, comma 1, lett. f) del Codice Privacy; ovvero (ii) lo svolgimento da parte dell’OCF delle attività di controllo dei mercati finanziari, ai sensi dell’art. 2-undecies, comma 1, lett. d) del Codice Privacy; (iii) lo svolgimento delle investigazioni difensive connesse alla gestione delle Segnalazioni o per l’esercizio di un diritto in sede giudiziaria da parte del Titolare, ai sensi dell’art. 2-undecies, comma 1, lett. e) del Codice Privacy.
L’apposita istanza per l’esercizio dei diritti degli interessati è presentata al Titolare OCF contattando il Responsabile della protezione dei dati ai seguenti recapiti:
- OCF - Responsabile della Protezione dei dati personali, Via Tomacelli n. 146, 00186, Roma;
- e-mail: dpo@organismocf.it .