Informativa Privacy – Whistleblowing

INFORMATIVA PRIVACY EX ART 13 E 14 DEL REGOLAMENTO (UE) 2016/679 SEGNALAZIONI WHISTLEBLOWING ai sensi del D.Lgs. 24/2023

CiviBank - BANCA DI CIVIDALE S.p.A. - Società Benefit (la “Banca”), appartenente al Gruppo Cassa di Risparmio di Bolzano, iscritt all’Albo dei gruppi Bancari, con sede in Cividale del Friuli (UD) - 33043, Via Sen. Guglielmo Pelizzo n. 8/1, soggetta all’attività di Direzione e Coordinamento della Capogruppo Cassa di Risparmio di Bolzano S.p.A. – Südtiroler Sparkasse AG, in qualità di Titolare del trattamento ai sensi della normativa europea Regolamento (UE) 2016/679 (GDPR), ai sensi degli artt. 13 e 14 della medesima normativa, sottopone alla Vs. attenzione la presente informativa relativa a quei dati personali raccolti per la gestione delle segnalazioni “Whistleblowing”

1. TITOLARE DEL TRATTAMENTO E INDIRIZZI DI COMUNICAZIONE.

Il titolare del trattamento è la società CiviBank - BANCA DI CIVIDALE S.p.A. - Società Benefit iscritto all’Albo dei gruppi Bancari, con sede legale in Cividale del Friuli (UD), Via Sen. Guglielmo Pelizzo n. 8/1, soggetta all’attività di Direzione e Coordinamento della Capogruppo Cassa di Risparmio di Bolzano S.p.A. – Südtiroler Sparkasse AG. Per ogni necessità inerente alla presente informativa privacy e/o per l’esercizio dei diritti riservati agli interessati, come meglio rappresentati in seguito, potrete contattare il titolare e/o il Data Protection Officer (DPO) nominato dalla Banca, tramite posta cartacea e/o email ai seguenti indirizzi: -

  • CiviBank - BANCA DI CIVIDALE S.p.A. - Società Benefit, Cividale del Friuli (UD), Via Sen. Guglielmo Pelizzo n. 8/1, alla c.a. del DPO

  • Posta elettronica: dpo@civibank.it

  • Posta elettronica certificata: DPO@cert.civibank.it

Il Titolare e il DPO, anche tramite le strutture designate, provvederanno a prendere in carico la Sua richiesta e a fornirle, senza ingiustificato ritardo e comunque, al più tardi entro un mese dal ricevimento della stessa, le informazioni relative alla richiesta o le ragioni di un eventuale ritardo o diniego.

La informiamo che, qualora il Titolare nutra dubbi circa l’identità della persona fisica che presenta la richiesta, potrà richiedere ulteriori informazioni necessarie a confermare l’identità dell’interessato.

2. TIPOLOGIA DI DATI TRATTATI.

Per le finalità riportate nella presente informativa e nella gestione delle segnalazioni in ambito Whistleblowing, la Banca potrebbe trattare i dati da Lei direttamente forniti, o raccolti presso terzi, (di seguito anche i “Dati”), quali a titolo esemplificativo:

  • Dati di contatto (i.e. indirizzo di posta elettronica, numero di telefono);

  • Dati anagrafici identificativi (i.e. nome e cognome);

  • Dati relativi alla professione (i.e. direzione, servizio, unità di appartenenza);

  • Dati personali relativi a persone terze (es: la persona segalata, la persona coinvolta o menzionata nella segnalazione);

  • Qualsiasi ulteriore informazione o elemento della segnalazione, ivi inclusa la documentazione ad essa allegata che possa essere considerata quale “Dati Personali1 ” ai sensi del Regolamento (UE) 2016/679.

Inoltre, sempre ai fini della gestione della segnalazione, il Titolare potrebbe venire a conoscenza e trattare categorie particolari2 di dati personali ovvero dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza. In ogni caso la segnalazione, anche se effettuata tramite l’utilizzo dell’applicativo web p

3. FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO.

Il Titolare del trattamento tratterà i dati personali rinvenibili dalla segnalazione whistleblowing per le seguenti finalità:

a) per la gestione della segnalazione Whistleblowing adempiendo al legittimo interesse del titolare nonché ad obblighi di legge di cui alla normativa in tema di Whistleblowing (art. 6, comma 1, lettere c) ed f) GDPR);

b) per adempiere agli obblighi di legge (art. 6, comma 1, lettera c) del GDPR) previsti dal decreto Legislativo nr. 231/2001 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, ed in particolare dall’art. 6, comma 2-bis e dell’art. 52-bis del Decreto Legislativo 1° settembre 1993, nr. 385”;

c) per salvaguardare gli interessi legittimi della società o di terzi (art. 6, comma 1, lettera f) del GDPR), in particolare per prevenire e rilevare le violazioni all'interno della società, per verificare la legalità dei processi interni e per salvaguardare l'integrità e la reputazione della società, anche per fini disciplinari;

d) limitatamente ai dati identificativi del segnalante, questi sono trattati sulla base del consenso dell’interessato fornito al momento dell’inserimento dei dati nell’applicativo WEB o nelle comunicazioni (art. 6, comma 1 lettera a) del GDPR). A completezza di quanto sopra, si segnala che le informazioni anonimizzate potranno essere utilizzate a fini statistic

4. MODALITÀ DI TRATTAMENTO DEI DATI PERSONALI.

Il trattamento dei dati personali avviene mediante strumenti manuali ed in ogni caso principalmente mediante strumenti informatici, telematici e attraverso canali dedicati (piattaforma web SaaS del fornitore EQS Group AG, denominata “EQS Integrity Line” che garantisce la crittografia dei dati, e-mail dedicata e posta ordinaria) con logiche strettamente collegate alle finalità stesse e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati. In ogni caso l’identità della persona segnalante e qualsiasi altra informazione da cui la si può evincer, anche indirettamente, non potrà essere rivelate senza il consenso espresso della stessa persona segnalante. Anche in caso di apertura di un procedimento disciplinare, l’identità del segnalante non può essere rivelata ove la contestazione disciplinare sia fondata su accertamenti distinti e/o ulteriori rispetto al contenuto della segnalazione, anche se conseguenti alla stessa. Qualora, invece, il procedimento disciplinare sia fondato in tutto o in parte, sul contenuto di cui alla segnalazione e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’accusato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla relazione della sua identità. In caso di diniego del segnalante, si comunica che il procedimento potrebbe non trovare seguito per mancanza degli elementi essenziali necessari al proseguimento dell’istruttoria. In ogni caso, tutti i dati personali di cui il titolare entra in possesso/tratta nell’ambito della segnalazione whistleblowing sono trattati in conformità alla vigente normativa in materia di Protezione dei Dati, osservando i principi di correttezza, liceità, trasparenza, nel rispetto delle finalità indicate, raccogliendoli nella misura necessaria ed esatta per il trattamento e nel rispetto delle specifiche prescrizioni contenute nel D.Lgs 10.03.2023, nr. 24 di tutela del soggetto segnalante e del soggetto segnalato, al fine di tutelare e mantenere riservata l’identità del segnalante, il contenuto della segnalazione e la relativa documentazione, anche con il ricorso a strumenti di crittografia.

5. PERIODO DI CONSERVAZIONE DEI DATI PERSONALI.

I dati possono essere conservati per il periodo massimo di 7 giorni di calendario dalla ripresa, dopodiché sono automaticamente cancellati, fatte salve speciali esigenze di conservazione per tempi ulteriori per l’espletamento di richieste investigative dell'Autorità giudiziaria o di Polizia per l’accertamento e la repressione di reati.

6. SOGGETTI O CATEGORIE DI SOGGETTI CUI POSSONO ESSERE COMUNICATI I DATI O CHE POSSONO VENIRNE A CONOSCENZA.

Per il perseguimento delle finalità descritte al precedente punto 3, i Dati potranno essere trattati da nostri dipendenti e collaboratori espressamente autorizzati e nominati incaricati del trattamento, nonché dai soggetti terzi che operano in qualità di Responsabili Esterni del Trattamento (es: per l’esecuzione di attività connesse all’installazione e manutenzione delle apparecchiature di videoregistrazione, ed eventuale estrazione delle immagini). L’elenco di tali soggetti, costantemente aggiornato, può essere richiesto ai riferimenti sopra riportati. I Dati potranno essere altresì trattati dalla società Sparim S.p.A., società controllata dalla Capogruppo Cassa di Risparmio di Bolzano S.p.A. – Südtiroler Sparkasse AG, con compiti ausiliari nella gestione dei beni, i.a., immobili, nell’ambito del rapporto contrattuale di erogazione di servizi in essere tra le parti.

I Dati Personali e le immagini raccolte attraverso il sistema di videosorveglianza potranno essere inoltre comunicati all’Autorità giudiziaria e alle Autorità pubbliche competenti nelle ipotesi e con le modalità previste dalla legge.

Il Titolare non diffonde i Dati e non li trasferisce verso Paesi che si trovano al di fuori dello Spazio Economico Europeo (“Extra SEE”).

7. DIRITTI DELL’INTERESSATO.

In relazione ai trattamenti descritti nella presente Informativa, in qualità di interessato Lei potrà, alle condizioni previste dal GDPR, esercitare i diritti sanciti dagli articoli da 15 a 21 del GDPR e, in particolare, i seguenti diritti:

  • diritto di accesso – articolo 15 GDPR: diritto di ottenere conferma che sia o meno in corso un trattamento di dati personali che La riguardano e, in tal caso, ottenere l'accesso ai Suoi dati personali, compresa una copia degli stessi;

  • diritto di rettifica – articolo 16 GDPR: diritto di ottenere, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che La

  • riguardano e/o l’integrazione dei dati personali incompleti;

  • diritto alla cancellazione (diritto all’oblio) – articolo 17 GDPR: diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati personali che La riguardano;

  • diritto di limitazione di trattamento – articolo 18 GDPR: diritto di ottenere la limitazione del trattamento, quando:

    i. l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare per verificare l’esattezza di tali dati;

    ii. il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;

    iii. i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

    iv. l’interessato si è opposto al trattamento ai sensi dell’art. 21 GDPR, nel periodo di attesa della verifica in merito all’eventuale prevalenza di motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

  • diritto alla portabilità dei dati – articolo 20 GDPR: diritto di ricevere, in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i dati personali che La riguardano forniti al Titolare e il diritto di trasmetterli a un altro titolare senza impedimenti, qualora il trattamento si basi sul consenso e sia effettuato con mezzi automatizzati. Inoltre, il diritto di ottenere che i Suoi dati personali siano trasmessi direttamente dalla Banca ad altro titolare qualora ciò sia tecnicamente fattibile;

  • diritto di opposizione – articolo 21 GDPR: diritto di opporsi, in qualsiasi momento per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che La riguardano basati sulla condizione di liceità del legittimo interesse per l’esecuzione di un compito di interesse pubblico e/o per l’esercizio di pubblici poteri, compresa la profilazione, salvo che sussistano motivi legittimi per il Titolare di continuare il trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio e/o la difesa di un diritto in sede giudiziaria.

I diritti dell’interessato (in specie, il segnalato) potranno essere limitati ai sensi e per gli effetti di cui all’art. 2- undecies, primo comma, lettera f) del Codice Privacy, così come modificato dal D.Lgs. 2018/101, ed in conformità all’art. 23 del Regolamento (UE) 2016/679 GDPR, qualora dall’esercizio dei diritti sopra indicati possa derivare un pregiudizio concreto ed effettivo alla riservatezza dell’identità del segnalante.

I diritti di cui sopra potranno essere esercitati, nei confronti del Titolare contattandolo agli indirizzi riportati al punto 1 della presente informativa.

L’esercizio dei Suoi diritti in qualità di interessato è gratuito ai sensi dell’articolo 12 GDPR. Tuttavia, nel caso di richieste manifestamente infondate o eccessive, anche per la loro ripetitività, il Titolare potrebbe addebitarle un contributo spese ragionevole, alla luce dei costi amministrativi sostenuti per gestire la Sua richiesta, o negare la soddisfazione della sua richiesta.

Download e Link

Informativa privacy – Whistleblowing