Informativa sulla Protezione dei Dati Personali - Whistleblowing

La presente informativa sulla protezione dei dati ha lo scopo di informare gli interessati sul trattamento dei loro dati personali effettuato mediante l'utilizzo dei nostri canali di segnalazione “whistleblowing”, nonché dei loro diritti ai sensi del Regolamento Generale sulla Protezione dei Dati (UE) 679/2016 (“GDPR”) e delle ulteriori leggi in materia di protezione dei dati applicabili al suddetto trattamento.

Occorre fare una precisazione circa la titolarità del trattamento dei dati effettuato per il tramite dei nostri canali di segnalazione “whistleblowing”:

Nel caso di un canale di segnalazione locale di una società del gruppo METRO (ad esempio quando la segnalazione viene fatta utilizzando i dati di contatto dell’ufficio Compliance di tale società del gruppo) per il quale è responsabile un dipendente della predetta società, la società del gruppo è contitolare del trattamento ai sensi dell'art. 26 GDPR insieme a METRO AG.

Nel caso di un canale di segnalazione locale di una società del gruppo METRO (ad esempio quando la segnalazione viene fatta utilizzando dati di contatto messi a disposizione da tale società del gruppo) per il quale è responsabile un dipendente di un'altra società del gruppo (“Società di assistenza”), la predetta società del gruppo è contitolare del trattamento ai sensi dell'art. 26 GDPR insieme a METRO AG e alla Società di assistenza.

Qualora per la segnalazione venga utilizzato il sistema online centralizzato di whistleblowing (“Sistema Whistleblowing”), la società del gruppo interessata per la quale viene fatta la segnalazione è contitolare del trattamento ai sensi dell'art. 26 GDPR insieme a METRO AG.

METRO AG è responsabile del funzionamento del Sistema Whistleblowing e dell'assegnazione delle segnalazioni ricevute tramite questo sistema alle rispettive società del gruppo. Il Dipartimento Corporate Compliance di METRO AG è generalmente responsabile della gestione e del follow-up di tutte le segnalazioni di whistleblowing all'interno del gruppo. La responsabilità di METRO AG si limita a questo per le segnalazioni ricevute attraverso i canali di segnalazione locali, a meno che non sia essa stessa interessata dalla segnalazione.

La Società di assistenza svolge i compiti di gestore del canale interno di segnalazione per la rispettiva società del gruppo e, in questo contesto, è titolare del trattamento dei dati. Di norma, la Società di assistenza è METRO AG.

La società del gruppo interessata dalla segnalazione è responsabile della gestione e dell'elaborazione di tale segnalazione. Ciò include, in particolare, l’adozione di misure per porre rimedio a una violazione e l'obbligo di fornire una conferma di ricevimento e un riscontro alla persona che ha fatto la segnalazione.

L'indirizzo di contatto di METRO AG è Metro-Straße 1, 40235 Düsseldorf. Gli indirizzi di contatto delle varie società del gruppo METRO sono riportati nelle informative sulla protezione dei dati presenti sui siti web in cui è pubblicato il rispettivo canale di segnalazione locale. Per l’Italia, gli indirizzi di contatto sono i seguenti:
- METRO Italia S.p.A., con sede in Viale XXV Aprile, n.23, 20097 San Donato Milanese (MI);
- METRO Dolomiti S.p.A., con sede in Viale XXV Aprile, n.23, 20097 San Donato Milanese (MI).

Gli elementi essenziali dell’accordo di contitolarità tra le società METRO sono disponibili all'indirizzo:
https://www.metroag.de/en/data-privacy/jointcontrol

È possibile contattare in qualsiasi momento i responsabili della protezione dei dati (DPO) ai seguenti recapiti:

- METRO AG, Responsabile della protezione dei dati, Metro-Straße 1, 40235 Düsseldorf, E-Mail: datenschutz@metro.de
- METRO Italia S.p.A., Responsabile della protezione dei dati, Via XXV Aprile, 23 – 20097 San Donato Milanese (MI) – Tel. 02/51712229 – e-mail dpo@metro.it.
- METRO Dolomiti S.p.A., Responsabile della protezione dei dati, Via XXV Aprile, 23 – 20097 San Donato Milanese (MI) – Tel. 02/51712229 – e-mail dpo@metro.it.

I canali di segnalazione hanno lo scopo di ricevere, consentire di elaborare e di gestire in modo sicuro e riservato le segnalazioni relative alle violazioni delle regole Compliance del Gruppo METRO (METRO). Per l’Italia, i canali di segnalazione hanno altresì lo scopo di permettere la gestione di segnalazioni di violazioni del D.Lgs. 231/2001.

Nella misura in cui una società del gruppo è obbligata per legge a mantenere un canale di segnalazione (come previsto, per le società italiane del gruppo, dal D.Lgs. 24/2023), il trattamento dei dati personali che segue alla segnalazione si basa sull’art. 6.1 lett. c) GDPR e, nel caso di categorie particolari di dati personali, sull'art. 9.2 lett. g) GDPR o 9.2 lett. b) GDPR.
Per il resto, il trattamento dei dati si basa sul legittimo interesse delle società del gruppo ad individuare e a prevenire comportamenti scorretti e quindi a evitare danni a METRO, ai suoi dipendenti, ai suoi clienti e ai suoi fornitori, nonché ad accertare o difendere un diritto in sede giudiziale o stragiudiziale, ai sensi dell’art. 6.1 lett. f) GDPR. Il trattamento di categorie particolari di dati per questa finalità si basa sull’art. 9 par. 2 lett. f) GDPR.
In alcuni casi il trattamento potrebbe basarsi sul consenso espresso dell’interessato (ad esempio qualora la rivelazione dell’identità del segnalante sia indispensabile nell’ambito di un procedimento disciplinare) ai sensi dell’art. 6.1 lett. a) GDPR e, per le categorie particolari di dati personali, dell’art. 9.2 lett. a) GDPR.
Eventuali misure di follow-up intraprese dalle singole società del gruppo, necessarie per l'esecuzione o la cessazione dei rapporti di servizio o di lavoro, si basano sull’art. 6.1 lett. b) GDPR.

L'utilizzo dei canali di whistleblowing avviene su base volontaria. Se viene inviata una segnalazione tramite i canali di segnalazione (Sistema Whistleblowing o canali di segnalazione locali), raccogliamo i seguenti dati e informazioni personali:

- il nome della persona che effettua la segnalazione, se decide di rivelare la propria identità,
- se si tratta di dipendenti di METRO o di soggetti esterni a METRO, e
- i nomi e gli altri dati personali delle persone citate nella segnalazione (es. persona alla quale è attribuita la violazione o comunque implicata nella violazione, facilitatore, ecc.),
- eventuali altre informazioni personali sul segnalante o sulle predette persone (es. ruolo aziendale).

Le informazioni potrebbero anche includere categorie particolari di dati o dati riferiti a condanne penali e reati.

Le segnalazioni in arrivo vengono ricevute e analizzate da una ristretta selezione di dipendenti del Dipartimento Compliance di METRO, espressamente autorizzati e appositamente formati, e sono sempre trattate in modo riservato. I dipendenti dell'Ufficio Compliance di METRO valuteranno la questione e svolgeranno ogni ulteriore indagine richiesta dal caso specifico. Durante la gestione di una segnalazione o la conduzione di un'indagine speciale, può rendersi necessario condividere le segnalazioni con altri dipendenti di METRO o con dipendenti di altre società del gruppo, ad esempio se le segnalazioni si riferiscono a incidenti avvenuti in altre società del gruppo. Queste ultime possono avere sede in Paesi al di fuori dell'Unione Europea o dello Spazio Economico Europeo con normative diverse in materia di protezione dei dati personali. Quando condividiamo le segnalazioni, ci assicuriamo sempre che vengano rispettate le norme applicabili in materia di protezione dei dati. Tutte le persone che hanno accesso ai dati sono obbligate a mantenere la riservatezza. In Italia, le segnalazioni potrebbero anche essere condivise con l’Organismo di Vigilanza di METRO Italia S.p.A. e di METRO Dolomiti S.p.A.
Come principio di base, siamo tenuti a informare le persone accusate che abbiamo ricevuto una segnalazione che le riguarda, a meno che ciò non metta a rischio ulteriori indagini sulla segnalazione. Nel fare ciò, l’identità della persona che effettua la segnalazione non viene rivelata salvo espresso consenso, per quanto possibile dal punto di vista legale.
Con il consenso del segnalante, le informazioni contenute nelle segnalazioni potrebbero essere trasmesse a soggetti esterni (es. società incaricate di svolgere indagini o investigazioni); in caso contrario, saranno trasmesse - nella misura consentita dalla legge - solo alle autorità investigative e giudiziarie competenti o, in questo contesto, a tribunali e consulenti tenuti al segreto professionale.

I Dati saranno trattati e conservati per il tempo necessario alla gestione della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione. Decorsi i termini di conservazione sopra indicati, i Dati saranno cancellati o resi anonimi. I Dati che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente.

La comunicazione tra il computer dell'utente segnalante e il Sistema Whistleblowing avviene tramite una connessione crittografata (SSL). L'indirizzo IP dell'utente non viene memorizzato durante l'utilizzo del Sistema Whistleblowing. Per mantenere la connessione tra il computer dell'utente e il Sistema Whistleblowing, sul computer dell'utente viene memorizzato un cookie che contiene semplicemente l'ID della sessione (un cosiddetto cookie nullo). Questo cookie è valido solo fino alla fine della sessione e scade quando si chiude il browser. All'interno del Sistema Whistleblowing è possibile creare una casella postale protetta da uno pseudonimo/nome utente e una password scelti individualmente. In questo modo è possibile inviare segnalazioni a METRO sia per nome che in modo anonimo e sicuro. Questo sistema memorizza i dati solo all'interno del Sistema Whistleblowing, il che lo rende particolarmente sicuro. Non è una forma di comunicazione regolare via e-mail.

Quando si invia una segnalazione o un'integrazione della segnalazione, è possibile inviare contemporaneamente degli allegati al Dipartimento Compliance che gestisce tale segnalazione. Se si desidera inviare una segnalazione anonima, occorre tenere conto dei seguenti consigli di sicurezza: I file possono contenere dati personali nascosti che potrebbero compromettere l'anonimato. Questi dati devono essere rimossi prima dell'invio. Se non è possibile rimuovere questi dati o non si conosce come farlo, si consiglia di copiare il testo dell'allegato nel testo della segnalazione o inviare il documento stampato in forma anonima all'indirizzo indicato in calce, citando il numero di riferimento ricevuto al termine della procedura di segnalazione.

Il Sistema Whistleblowing è gestito da una società specializzata, Business Keeper AG, Bayreuther Str. 35, 10789 Berlino in Germania, per conto di METRO. I dati personali e le informazioni inserite nel Sistema Whistleblowing sono conservati in un database gestito da Business Keeper AG in un centro dati ad alta sicurezza. Solo METRO ha accesso ai dati. Business Keeper AG e altri terzi non hanno accesso ai dati. Ciò è garantito dalla procedura certificata attraverso ampie misure tecniche e organizzative. Tutti i dati sono archiviati in modo criptato con diversi livelli di protezione tramite password, in modo che l'accesso sia limitato a una ristretta cerchia di persone espressamente autorizzate da METRO.