ITALIA: INFORMATIVA AI SENSI DELL’ART. 13 GDPR
WHISTLEBLOWING
La presente informativa descrive i trattamenti effettuati a partire dal canale di segnalazione delle violazioni di illeciti e irregolarità introdotto dall’art. 2 co. 1 L. 179/2017 (cd. “whistleblowing”) e regolato, tra gli altri, dal D. Lgs. 24/2023.
1. Titolare del trattamento
1.1. Il titolare del trattamento è Biosensors Europe SA, con sede legale in rue de Lausanne 29, 1110 Morges, Svizzera, nella persona del legale rappresentante pro-tempore.
1.2. Dati di contatto: a) telefono: +41218048000; b) e-mail: privacy.office@biosensors.com
2. Finalità e base giuridica del trattamento, natura del conferimento
2.1. I trattamenti saranno effettuati per la gestione del procedimento di Whistleblowing in conformità alla vigente normativa, procedere alla verifica della fondatezza del fatto segnalato, all’adozione dei provvedimenti conseguenti, alla tutela in giudizio di un diritto ed alla risposta ad un’eventuale richiesta dell’Autorità giudiziaria.
2.2. La base giuridica del trattamento risiede, rispetto alla segnalazione da lei fatta, nel legittimo interesse del titolare del trattamento e nell’adempimento degli obblighi di legge.
2.3. Il conferimento dei dati è necessario per la gestione del procedimento di Whistleblowing e per tutti gli adempimenti successivi.
2.4. In relazione ai cookie, si rimanda alla specifica sezione della piattaforma di segnalazione.
3. Destinatari dei dati personali
3.1. I dati personali potranno essere resi accessibile esclusivamente ai soggetti che abbiano un ruolo previsto nella gestione del procedimento di Whistleblowing (soggetti interni specificamente individuati, OdV e soggetti da questi specificamente individuati, consulenti esterni eventualmente coinvolti nella gestione della segnalazione). Tali soggetti sono vincolati da un dovere di riservatezza e da specifiche istruzioni.
3.2. Potranno avere accesso ai dati personali, per finalità strettamente tecniche ed attinenti alla piattaforma, i fornitori del servizio per la gestione della segnalazione, che agiranno in qualità di responsabili del trattamento sulla base di specifiche istruzioni fornite dal titolare.
3.3. Potranno avere accesso ai dati ed informazioni raccolte anche l’Autorità giudiziaria, l’Autorità pubblica, l’ANAC e, in generale, tutti i soggetti a cui la comunicazione debba essere effettuata in forza di una legge.
3.4. I dati personali non saranno comunicati a soggetti diversi da quelli sopra individuati, né saranno diffusi.
3.5. I dati saranno trasferiti a Paesi extra-Ue con l’applicazione delle seguenti misure di sicurezza:
- Paesi soggetti a decisione di adeguatezza della Commissione dell'Unione Europea, in mancanza delle Clausole Contrattuali Tipo pubblicate dalle autorità competenti verranno sottoscritte prima del trasferimento dei dati
- La valutazione dell'impatto del trasferimento dei dati sarà condotta prima del trasferimento dei dati e della firma delle pertinenti clausole contrattuali standard.
4. Periodo di conservazione
4.1. I dati personali potranno essere conservati per un periodo di tempo limitato al raggiungimento delle finalità per cui sono raccolti.
4.2. Le segnalazioni e la relativa documentazione sono conservate per il tempo necessario e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.
4.3. È fatto salvo un ulteriore periodo di conservazione imposto dalla legge o necessario alla tutela di un diritto.
5. Diritti degli interessati
5.1. Lei potrà esercitare i diritti previsti dalla normativa agli artt. da 15 a 22 GDPR rivolgendosi al titolare ad uno dei punti di contatto indicati nella presente informativa.
5.2. Lei potrà esercitare il diritto di reclamo previsto dall’art. 77 GDPR.
5.3. Secondo quanto previsto dall’art. 2-undecies D. Lgs. 196/2003, tali diritti non possono essere esercitati dagli interessati qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte ovvero che segnala violazioni ai sensi degli artt. 52-bis, 52-ter D. Lgs. 385/1993 o degli art. 4-undecies e 4-duodecies D. Lgs. 58/1998. In particolare, l’esercizio di tali diritti deve avvenire nel rispetto delle disposizioni di legge o di regolamento che regolano il settore; potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessano a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato. In tale caso, i diritti dell’interessato possono essere esercitati anche tramite il Garante con le modalità previste dall’art. 160 D. Lgs. 196/2003.
6. Ulteriori informazioni
6.1. Il titolare resta a disposizione per qualsiasi necessità di chiarimento.
7. Responsabile della protezione dei dati
7.1. Il responsabile della protezione dei dati (RPD/DPO), a cui potrà rivolgersi per tutte le questioni inerenti al trattamento dei dati personali ed all’esercizio dei diritti, è reperibile ai seguenti punti di contatto: a) telefono: +443339005555; b) e-mail: dpoaas@grcilaw.com
ITALY: PRIVACY NOTICE PURSUANT TO ART. 13 GDPR
WHISTLEBLOWING
This privacy notice describes the processing carried out from the channel for reporting violations of offences and irregularities introduced by Article 2 co. 1 L. 179/2017 (so-called "whistleblowing") and regulated, among others, by Legislative Decree 24/2023.
1. Data controller
1.1. The data controller is Biosensors Europe SA, with registered office in rue de Lausanne 29, 1110 Morges, Switzerland, in the person of the pro-tempore legal representative.
1.2. Contact details: (a) telephone: +41218048000; (b) e-mail: privacy.office@biosensors.com
2. Purpose and legal basis of the processing, nature of the conferment
2.1. The processing operations will be carried out for the management of the Whistleblowing procedure in compliance with the applicable legislation, to proceed to the verification of the merits of the reported fact, to the adoption of the consequent measures, to the legal protection of a right and to the response to a possible request of the Judicial Authority.
2.2. The legal basis of the processing resides, with respect to the report you made, in the legitimate interest of the data controller and the fulfilment of legal obligations.
2.3. The provision of data is necessary for the management of the Whistleblowing procedure and for all subsequent fulfilments.
2.4. In relation to cookies, please refer to the specific section of the whistleblowing platform.
3. Recipients of personal data
3.1. Personal data may only be made accessible to those persons who have an envisaged role in the management of the Whistleblowing procedure (specifically identified internal persons, Supervisory Board/OdV and persons specifically identified by them, external consultants who may be involved in the management of the report). Such persons are bound by a duty of confidentiality and specific instructions.
3.2. Personal data may be accessed, for strictly technical and platform-related purposes, by the service providers for the management of the report, who will act as data processors on the basis of specific instructions provided by the data controller.
3.3. The data and information collected may also be accessed by the Judicial Authority, the Public Authority, the ANAC and, in general, all the subjects to whom the communication must be made under a law.
3.4. Personal data will not be communicated to subjects other than those identified above, nor will they be disseminated.
3.5. The data may be transferred to non-EU countries with the application of the following security measures:
- countries subject to adequacy decision from the European Union Commission, if not Standard Contractual Clauses as published by the competent authorities will be signed prior to the transfer of the data
- Data transfer impact assessment will be conducted prior to the data transfer and signature of the relevant standard contractual clauses.
4. Storage period
4.1. Personal data may be kept for a period of time limited to the achievement of the purposes for which they are collected.
4.2. Reports and related documentation shall be kept for as long as necessary and in any case no longer than five years from the date of communication of the final outcome of the reporting procedure.
4.3. This is without prejudice to any further retention period required by law or necessary for the protection of a right.
5. Rights of the data subjects
5.1. You may exercise your rights under the legislation in Articles 15 to 22 GDPR by contacting the data controller at one of the contact points indicated in this notice.
5.2. You may exercise your right to lodge a complaint in accordance with Art. 77 GDPR.
5.3. In accordance with the provisions of Article 2-undecies of Legislative Decree 196/2003, these rights may not be exercised by the persons concerned if the exercise of such rights may result in actual and concrete prejudice to the confidentiality of the identity of the person who reports breaches of which he/she has become aware by reason of his/her employment relationship or duties performed or who reports breaches pursuant to Articles 52-bis, 52-ter of Legislative Decree 385/1993 or Article 52-ter of Legislative Decree 385/1993. Legislative Decree 385/1993 or Articles 4-undecies and 4-duodecies of Legislative Decree 58/1998. In particular, the exercise of such rights must be in compliance with the provisions of the law or regulations governing the sector; it may be delayed, limited or excluded by reasoned communication made without delay to the party concerned unless such communication would jeopardise the purpose of the limitation, for the time and within the limits in which this constitutes a necessary and proportionate measure, taking into account the fundamental rights and legitimate interests of the party concerned. In such a case, the rights of the data subject may also be exercised through the Garante in the manner provided for in Art. 160 D. Legislative Decree 196/2003.
6. Further information
6.1. The owner remains available for any need for clarification.
7. Data Protection Officer
7.1. The Data Protection Officer (DPO), whom you may contact for all matters concerning the processing of personal data and the exercise of your rights, can be reached at the following contact points: (a) telephone: +443339005555; (b) e-mail: dpoaas@grcilaw.com