Cassa di Risparmio di Bolzano S.p.A. (la “Banca”), con sede in Bolzano, Via Cassa di Risparmio n. 12, in qualità di Titolare del Trattamento ai sensi della normativa europea Regolamento (UE) 2016/679 (GDPR), ai sensi dell’art. 13 della medesima normativa, sottopone alla Vs. attenzione la presente informativa generale relativa a quei dati personali raccolti per la gestione delle segnalazioni “Whistleblowing”.

1. TITOLARE DEL TRATTAMENTO E INDIRIZZI DI COMUNICAZIONE.

Titolare del trattamento è la Cassa di Risparmio di Bolzano S.p.A., con sede in Bolzano, via Cassa di Risparmio n.12. Il Titolare ha nominato un Responsabile alla protezione dei dati ("Data Protection Officer" - DPO), che Lei potrà contattare per ogni informazione relativa al trattamento dei Suoi dati personali e per l'esercizio dei Suoi diritti come meglio rappresentati di seguito ai seguenti recapiti di posta cartacea o e-mail:

• Cassa di Risparmio di Bolzano S.p.A., Bolzano, Via Cassa di Risparmio 12, alla c.a. del DPO

• Posta elettronica: privacy.crbz@sparkasse.it

Il Titolare e il DPO, anche tramite le strutture designate, provvederanno a prendere in carico la Sua richiesta e a fornirle, senza ingiustificato ritardo e comunque, al più tardi entro un mese dal ricevimento della stessa, le informazioni relative alla richiesta o le ragioni di un eventuale ritardo o diniego.

La informiamo che qualora il Titolare nutra dubbi circa l’identità della persona fisica che presenta la richiesta, potrà richiedere ulteriori informazioni necessarie a confermare l’identità dell’interessato.

2. TIPOLOGIA DI DATI TRATTATI.

Per le finalità riportate nella presente informativa e nella gestione delle segnalazioni in ambito Whistleblowing, la Banca potrebbe trattare i dati da Lei direttamente forniti, o raccolti presso terzi, (di seguito anche i “Dati”), quali a titolo esemplificativo:

• Dati di contatto (i.e. indirizzo di posta elettronica, numero di telefono);

• Dati anagrafici identificativi (i.e. nome e cognome);

• Dati relativi alla professione (i.e. direzione, servizio, unità di appartenenza);

• Dati personali relativi a persone terze (es: la persona segalata, la persona coinvolta o menzionata nella segnalazione);

• Qualsiasi ulteriore informazione o elemento della segnalazione, ivi inclusa la documentazione ad essa allegata che possa essere considerata quale “Dati Personali ” ai sensi del Regolamento (UE) 2016/679.

Inoltre, sempre ai fini della gestione della segnalazione, il Titolare potrebbe venire a conoscenza e trattare categorie particolari di dati personali ovvero dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza.

In ogni caso la segnalazione, anche se effettuata tramite l’utilizzo dell’applicativo web può essere effettuata - nella misura consentita dalla legge - senza la necessità da parte del segnalante di fornire propri dati personali.

3. FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO.

Il Titolare del trattamento tratterà i dati personali rinvenibili dalla segnalazione whistleblowing per le seguenti finalità:

• per la gestione della segnalazione Whistleblowing adempiendo al legittimo interesse del titolare nonché ad obblighi di legge di cui alla normativa in tema di Whistleblowing (art. 6, comma 1, lettere c) ed f) GDPR);

• per adempiere agli obblighi di legge (art. 6, comma 1, lettera c) del GDPR) previsti dal decreto Legislativo nr. 231/2001 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, ed in particolare dall’art. 6, comma 2-bis e dell’art. 52-bis del Decreto Legislativo 1° settembre 1993, nr. 385”;

• per salvaguardare gli interessi legittimi della società o di terzi (art. 6, comma 1, lettera f) del GDPR), in particolare per prevenire e rilevare le violazioni all'interno della società, per verificare la legalità dei processi interni e per salvaguardare l'integrità e la reputazione della società, anche per fini disciplinari;

• limitatamente ai dati identificativi del segnalante, questi sono trattati sulla base del consenso dell’interessato fornito al momento dell’inserimento dei dati nell’applicativo WEB o nelle comunicazioni (art. 6, comma 1 lettera a) del GDPR).

A completezza di quanto sopra, si segnala che le informazioni anonimizzate potranno essere utilizzate a fini statistici.

4. MODALITÀ DI TRATTAMENTO DEI DATI PERSONALI.

Il trattamento dei dati personali avviene mediante strumenti manuali ed in ogni caso principalmente mediante strumenti informatici, telematici e attraverso canali dedicati (piattaforma web SaaS del fornitore EQS Group AG, denominata “EQS Integrity Line” che garantisce la crittografia dei dati, e-mail dedicata e posta ordinaria) con logiche strettamente collegate alle finalità stesse e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati. In ogni caso l’identità della persona segnalante e qualsiasi altra informazione da cui la si può evincer, anche indirettamente, non potrà essere rivelate senza il consenso espresso della stessa persona segnalante.

Anche in caso di apertura di un procedimento disciplinare, l’identità del segnalante non può essere rivelata ove la contestazione disciplinare sia fondata su accertamenti distinti e/o ulteriori rispetto al contenuto della segnalazione, anche se conseguenti alla stessa. Qualora, invece, il procedimento disciplinare sia fondato in tutto o in parte, sul contenuto di cui alla segnalazione e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’accusato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla relazione della sua identità. In caso di diniego del segnalante, si comunica che il procedimento potrebbe non trovare seguito per mancanza degli elementi essenziali necessari al proseguimento dell’istruttoria.

In ogni caso, tutti i dati personali di cui il titolare entra in possesso/tratta nell’ambito della segnalazione whistleblowing sono trattati in conformità alla vigente normativa in materia di Protezione dei Dati, osservando i principi di correttezza, liceità, trasparenza, nel rispetto delle finalità indicate, raccogliendoli nella misura necessaria ed esatta per il trattamento e nel rispetto delle specifiche prescrizioni contenute nel D.Lgs 10.03.2023, nr. 24 di tutela del soggetto segnalante e del soggetto segnalato, al fine di tutelare e mantenere riservata l’identità del segnalante, il contenuto della segnalazione e la relativa documentazione, anche con il ricorso a strumenti di crittografia.

5. PERIODO E LUOGO DI CONSERVAZIONE DEI DATI PERSONALI.

I dati personali raccolti per le finalità di cui sopra saranno conservati dal Titolare del trattamento per il tempo necessario alla corretta e completa gestione della segnalazione Whistleblowing e comunque non oltre 5 anni a decorrere dalla data di comunicazione dell’esito finale della procedura di segnalazione e, se del caso, dall’adozione dei provvedimenti disciplinari conseguenti e/o dall’esaurirsi di eventuali contenziosi avviati a seguito della segnalazione.

Ove per la segnalazione, il whistleblower utilizzi la piattaforma Web c.d. “EQS Integrity Line”, fornita dalla società EQS Group AG-appositamente nominata Responsabile del trattamento ai sensi dell’art. 28 del GDPR, i dati sono conservati su server virtuali criptati con sede in Europa.

6. CATEGORIE DI SOGGETTI A CUI POSSONO ESSERE COMUNICATI I DATI.

I dati raccolti sono trattati dal personale del Titolare appartenente alla Funzione Internal Audit, espressamente autorizzato al trattamento, specificatamente formato per la gestione dei canali di segnalazione, con particolare attenzione al canale Web, che agisce su specifiche istruzioni fornite dal Titolare del trattamento e dall’Organismo di Vigilanza ex 231/2001, ciascuno secondo le proprie attribuzioni in qualità di Responsabile dei sistemi interni di segnalazione delle violazioni, che in conformità a quanto previsto in materia e dalla Policy interna è tenuto a garantire la riservatezza dell’identità del segnalante e del segnalato. La piattaforma web c.d. “EQS Integrity Line” è fornita dalla società EQS Group AG, appositamente nominata Responsabile del trattamento ai sensi dell’art. 28 del GDPR; è possibile consultare l’informativa privacy di EQS Group AG direttamente dalla piattaforma web messa a disposizione per le segnalazioni seguendo la procedura di inserimento informazioni.

Per il perseguimento delle finalità sopra descritte i dati potranno essere comunicati all’Autorità giudiziaria e/o agli Organi di polizia giudiziaria, secondo le modalità previste dalla normativa tempo per tempo vigente, su formale loro richiesta ovvero per legittimo interesse del Titolare del trattamento qualora dalla segnalazione emergessero gli estremi di un illecito.

In ogni caso, i dati personali non saranno oggetto di diffusione.

7. DIRITTI DELL’INTERESSATO.

In relazione ai trattamenti descritti nella presente Informativa, in qualità di interessato Lei potrà, alle condizioni previste dal GDPR, esercitare i diritti sanciti dagli articoli da 15 a 21 del GDPR e, in particolare, i seguenti diritti:

• diritto di accesso – articolo 15 GDPR: diritto di ottenere conferma che sia o meno in corso un trattamento di dati personali che La riguardano e, in tal caso, ottenere l'accesso ai Suoi dati personali, compresa una copia degli stessi;

• diritto di rettifica – articolo 16 GDPR: diritto di ottenere, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che La riguardano e/o l’integrazione dei dati personali incompleti;

• diritto alla cancellazione (diritto all’oblio) – articolo 17 GDPR: diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati personali che La riguardano;

• diritto di limitazione di trattamento – articolo 18 GDPR: diritto di ottenere la limitazione del trattamento, quando:

  • l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare per verificare l’esattezza di tali dati;

  • il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;

  • i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

  • l’interessato si è opposto al trattamento ai sensi dell’art. 21 GDPR, nel periodo di attesa della verifica in merito all’eventuale prevalenza di motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

• diritto alla portabilità dei dati – articolo 20 GDPR: diritto di ricevere, in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i dati personali che La riguardano forniti al Titolare e il diritto di trasmetterli a un altro titolare senza impedimenti, qualora il trattamento si basi sul consenso e sia effettuato con mezzi automatizzati. Inoltre, il diritto di ottenere che i Suoi dati personali siano trasmessi direttamente dalla Banca ad altro titolare qualora ciò sia tecnicamente fattibile;

• diritto di opposizione – articolo 21 GDPR: diritto di opporsi, in qualsiasi momento per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che La riguardano basati sulla condizione di liceità del legittimo interesse per l’esecuzione di un compito di interesse pubblico e/o per l’esercizio di pubblici poteri, compresa la profilazione, salvo che sussistano motivi legittimi per il Titolare di continuare il trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio e/o la difesa di un diritto in sede giudiziaria.

I diritti dell’interessato (in specie, il segnalato) potranno essere limitati ai sensi e per gli effetti di cui all’art. 2- undecies, primo comma, lettera f) del Codice Privacy, così come modificato dal D.Lgs. 2018/101, ed in conformità all’art. 23 del Regolamento (UE) 2016/679 GDPR, qualora dall’esercizio dei diritti sopra indicati possa derivare un pregiudizio concreto ed effettivo alla riservatezza dell’identità del segnalante.

I diritti di cui sopra potranno essere esercitati, nei confronti del Titolare contattandolo agli indirizzi riportati al punto 1 della presente informativa.

L’esercizio dei Suoi diritti in qualità di interessato è gratuito ai sensi dell’articolo 12 GDPR. Tuttavia, nel caso di richieste manifestamente infondate o eccessive, anche per la loro ripetitività, il Titolare potrebbe addebitarle un contributo spese ragionevole, alla luce dei costi amministrativi sostenuti per gestire la Sua richiesta, o negare la soddisfazione della sua richiesta.