Informativa sulla privacy per la piattaforma whistleblowing della BCE
Quadro normativo per la protezione dei dati applicabile alla BCE
Il trattamento di tutti i dati personali avviene in conformità alla legislazione dell’UE in materia di protezione dei dati, ossia il Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il Regolamento (CE) n. 45/2001 e la Decisione n. 1247/2002/CE.
Che tipo di dati acquisisce la BCE e in che modo?
La BCE acquisisce informazioni sensibili e dati personali relativi ai soggetti che segnalano sospette violazioni del pertinente diritto dell’Unione, ai soggetti presunti responsabili di tali violazioni nonché alle altre parti coinvolte menzionate nelle segnalazioni inviate tramite la piattaforma whistleblowing. I dati trattati dalla BCE riguardano inoltre il suo personale o quello impiegato presso le autorità nazionali competenti (autorità nazionali di vigilanza) nonché ogni altro soggetto citato nelle segnalazioni di violazione o nei relativi fascicoli. I dati riguardanti tali soggetti non saranno più trattati dalla BCE ove si ritenga che questi non rilevino ai fini del caso in questione.
Poiché le sospette violazioni della legislazione pertinente dell’UE possono essere segnalate tramite la piattaforma whistleblowing anche in forma anonima, i soggetti che le trasmettono non sono in alcun modo tenuti a rendere noti i propri dati personali. Tuttavia, non si può escludere che nel corso dell’esame delle segnalazioni la BCE riceva informazioni contenenti dati identificativi (ad esempio nome, cognome, data e luogo di nascita, recapito, numero di telefono, fax, indirizzo e-mail e indirizzo IP), dati professionali (professione, datore di lavoro e funzione) oppure dati finanziari (buste paga, conti correnti bancari e portafogli titoli) riguardanti tali soggetti.
A chi è affidato il trattamento dei dati personali acquisiti tramite la piattaforma whistleblowing?
La BCE è titolare del trattamento dei dati personali acquisiti tramite la piattaforma whistleblowing. La Divisione Analisi delle irregolarità e sanzioni della BCE è l’unità responsabile del trattamento di tali dati.
Inoltre, le informazioni inviate alla piattaforma whistleblowing sono gestite in maniera sicura per conto della BCE dal fornitore esterno EQS Group AG, che non ha accesso al contenuto delle segnalazioni.
Quali sono i motivi nonché la base giuridica del trattamento dei dati personali da parte della BCE?
La BCE ha introdotto la piattaforma whistleblowing affinché chiunque abbia ragione di ritenere, in buona fede, che un soggetto vigilato o un’autorità competente (un’autorità nazionale di vigilanza, nota anche come autorità nazionale competente, oppure la BCE) abbia violato gli atti giuridici di cui all’articolo 4, paragrafo 3, del Regolamento (UE) n. 1024/2013 (regolamento sull’MVU) possa trasmettere le relative informazioni alla BCE.
I dati personali sono acquisiti e trattati ai sensi dall’articolo 5, paragrafo 1, lettera a), del Regolamento (UE) 2018/1725 dalla Divisione Analisi delle irregolarità e sanzioni e da EQS Group AG.
Chi ha accesso alle informazioni inviate e a chi sono comunicate?
Le informazioni inviate tramite la piattaforma whistleblowing sono gestite esternamente per conto della BCE dal fornitore terzo EQS Group AG ed elaborate da un sistema di archiviazione su cloud con server situati in Germania. Soltanto gli utenti appartenenti alla BCE hanno accesso alle informazioni trasmesse.
All’interno della BCE, il trattamento delle segnalazioni ricevute tramite la piattaforma whistleblowing è di competenza della Divisione Analisi delle irregolarità e sanzioni, il cui personale è vincolato da un rigoroso regime di riservatezza. La Divisione Analisi delle irregolarità e sanzioni decide se inoltrare le informazioni alle aree operative competenti all’interno della BCE e/o alle autorità competenti (autorità nazionali di vigilanza) ai sensi del regolamento sull’MVU.
La BCE fornisce la piattaforma whistleblowing unicamente per ricevere informazioni riguardanti violazioni del pertinente diritto dell’Unione europea a carico di soggetti vigilati, autorità nazionali di vigilanza oppure della stessa BCE.
Se la BCE riceve segnalazioni relative a violazioni della legislazione pertinente dell’UE, le informazioni sono inoltrate all’area operativa competente all’interno della BCE e/o alle autorità nazionali di vigilanza. Tuttavia, tali segnalazioni sono trattate dalla BCE come “segnalazioni soggette a tutela”. Ciò significa che la BCE non rivela l’identità o i dati personali di chiunque abbia trasmesso tale segnalazione tramite la piattaforma whistleblowing senza averne ottenuto previamente l’esplicito consenso – sempre che la sua divulgazione non sia richiesta da un’ordinanza nel contesto di ulteriori indagini o successivi procedimenti giudiziari.
Se la BCE riceve segnalazioni che non riguardano violazioni del pertinente diritto dell’UE, ma che hanno ciò nondimeno attinenza con altre funzioni della BCE, le informazioni sono inoltrate all’area operativa competente all’interno della BCE e si applicano gli standard generali di protezione dei dati della BCE.
Se la BCE ritiene che le segnalazioni ricevute riguardino violazioni di legislazione non pertinente dell’UE (ad esempio il riciclaggio di denaro e il contrasto del finanziamento del terrorismo, la tutela dei consumatori o la vigilanza sui servizi di pagamento) e non siano attinenti ad altre funzioni della BCE, cancella i dati personali ricevuti senza inoltrare alcuna informazione; si applicano in questo caso gli standard generali di protezione dei dati della BCE.
Tuttavia, le violazioni di disposizioni della legislazione non pertinente dell’UE possono rivelare violazioni di requisiti prudenziali. Ad esempio, le violazioni di disposizioni relative al riciclaggio di denaro e/o al contrasto del finanziamento del terrorismo possono essere sintomo di un’inadeguatezza dei meccanismi di governance e di controllo interno, la cui struttura è definita nelle norme in materia di vigilanza prudenziale degli enti creditizi. Pertanto, valutando caso per caso, tali segnalazioni possono essere trattate dalla BCE come “segnalazioni soggette a tutela” riguardanti violazioni del diritto pertinente dell’UE, e le relative informazioni sono inoltrate alle aree operative competenti all’interno della BCE e/o alle autorità nazionali di vigilanza ai sensi del regolamento sull’MVU.
In aggiunta, le informazioni ricevute nell’ambito delle segnalazioni di violazioni possono essere inoltrate dalla BCE alle autorità nazionali competenti in materia di antiriciclaggio se: 1) le segnalazioni contengono informazioni rilevanti e necessarie all’assolvimento dei compiti di tali autorità previsti dall’accordo multilaterale sulle modalità pratiche dello scambio di informazioni tra la BCE e le autorità degli Stati membri del SEE preposte a contrastare il riciclaggio di denaro e il finanziamento del terrorismo; 2) le informazioni riguardano i sistemi e controlli interni di un ente vigilato.
Per quanto tempo la BCE conserva i dati personali trasmessi tramite la piattaforma whistleblowing?
Dopo la chiusura del fascicolo di una segnalazione tutti i pertinenti dati personali sono archiviati per un determinato periodo di conservazione, come specificato di seguito.
Se una segnalazione ricevuta dalla BCE è considerata rilevante per le funzioni di vigilanza della BCE, i dati sono conservati per cinque anni. Se una segnalazione non è considerata rilevante per le funzioni di vigilanza della BCE, ma riguarda ciò nondimeno altre funzioni della BCE, i dati sono conservati per dodici mesi. Se la BCE decide che una segnalazione non è attinente ad alcuna delle sue funzioni, i dati sono conservati per tre mesi.
Trasferimento di dati personali a paesi non appartenenti all’UE
La BCE aderisce a vari accordi di cooperazione e continuerà a concludere accordi di questo tipo con altre autorità od organizzazioni internazionali. Tali organizzazioni possono richiedere dati personali contenuti nei fascicoli delle segnalazioni whistleblowing di violazioni del diritto dell’UE. In questi casi la BCE è tenuta a rispettare regole specifiche sul trasferimento di dati personali a destinatari ubicati in paesi non appartenenti all’UE in cui non si applica la legislazione dell’UE in materia di protezione dei dati. Queste regole sono definite nel capo V del regolamento sulla protezione dei dati.
I tuoi diritti
Hai il diritto di accedere ai tuoi dati personali e rettificarli, di non acconsentire al loro trattamento o limitarlo e, a determinate condizioni, di richiederne la cancellazione. Puoi esercitare i tuoi diritti contattando la Divisione Analisi delle irregolarità e sanzioni al seguente indirizzo:
European Central Bank
Directorate General SSM Governance and Operations – Enforcement and Sanctions Division
Whistleblowing mechanism
60640 Frankfurt am Main
Hai anche la facoltà di contattare in qualsiasi momento il Garante europeo della protezione dei dati in relazione al trattamento dei tuoi dati personali.
Ulteriori informazioni
Per eventuali chiarimenti sul trattamento dei tuoi dati personali o sui tuoi diritti puoi contattare il funzionario responsabile della protezione dei dati presso la BCE (dpo@ecb.europa.eu).