Informativa Privacy

relativa al trattamento dei dati personali che segnalano illeciti (“Whistleblowing”)

La informiamo che i Suoi dati personali saranno trattati nel rispetto della normativa in materia di protezione dei dati personali (Regolamento (UE) 2016/679, “GDPR”), e D. Lgs. 196/2003 e ss.mm.ii. (“Codice Privacy”).

1. Titolare del trattamento

Il Titolare del trattamento è l’Università Commerciale “Luigi Bocconi”, con sede legale in Via Sarfatti n. 25, 20100 Milano (MI).

2. Data Protection Officer

L’Università ha designato il Data Protection Officer (di seguito, “DPO”) contattabile all’indirizzo dpo@unibocconi.it.

3. Trattamento dei dati personali

1. Modalità di trattamento dei dati

L’Università si è dotata di un canale di segnalazione che - implementata di ogni opportuna misura di sicurezza anche crittografica - garantisce la riservatezza dell’identità del segnalante, della persona eventualmente coinvolta e della persona segnalata, nonché del contenuto della segnalazione e della relativa documentazione, così come documentato analiticamente nella valutazione di impatto, ai sensi dell’art. 35 del GDPR.

2. Comunicazione dei dati personali

Per il perseguimento delle finalità sopra indicate, i dati personali raccolti potranno essere comunicati a:

         a.  personale autorizzato, ai sensi dell’art. 29 del GDPR e dell’art. 2-quaterdecies del Codice Privacy.

La gestione del canale di segnalazione è affidata ad un Organo Collegiale (di seguito “Pool”) da personale formato per l’istruttoria e la gestione delle segnalazioni.

Il Pool si compone di tre componenti Staff designati dal Consigliere Delegato all’interno della Direzione Institutional Affairs and Compliance Governance, della Direzione Legal Affairs e della Direzione People and Culture e un componente Faculty designato dal Rettore fra i componenti del Comitato Rettorale in qualità di membri effettivi e di due componenti Staff designati dal Consigliere Delegato in qualità di membri supplenti.

Nel caso in cui le esigenze istruttorie richiedessero che altri soggetti, all’interno dell’Università, debbano essere messi a conoscenza del contenuto della segnalazione o della documentazione ad essa allegata, non verrà rivelata l’identità del segnalante, né verranno rivelati elementi che possano, anche indirettamente, consentire l’identificazione dello stesso, a meno che non sia il segnalante ad autorizzare la rivelazione della propria identità oppure l’anonimato non sia opponibile per motivi di indagine giudiziaria e/o di procedimento disciplinare.

2. b.  società terze nominate Responsabili del trattamento, ai sensi dell’art. 28 del GDPR. Nel dettaglio:

   1. DigitalPA s.r.l., con sede in Via Tommaso D’Aquino 18/A, 09134 Cagliari.

   2. Aruba s.p.a. (Sub-responsabile), via San Clemente, 53 - 24036 Ponte San Pietro (BG).

3. c.  i dati potranno inoltre essere comunicati a soggetti, enti, organismi o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.

I suoi dati personali non saranno in alcun modo oggetto di comunicazione e diffusione fuori dai casi sopraindicati, né di trasferimento in un Paese terzo extra europeo, né di processi decisionali automatizzati compresa la profilazione.

3. Trasferimento dei dati extra UE

Il trattamento dei dati personali avverrà in Italia su server ivi ubicati. I Suoi dati personali non sono pertanto oggetto di trasferimento al di fuori dell’Unione Europea.

Nell’ipotesi in cui si rendesse necessario trasferire i dati personali fuori dall’Unione Europea o verso organizzazioni internazionali, il Titolare rende comunque noto che il trattamento avverrà secondo una delle modalità consentite dalla legge vigente, in osservanza con quanto disposto agli artt. 44-49 del GDPR.

In ogni caso, potrà sempre avere maggiori dettagli dal Titolare richiedendo evidenza delle specifiche garanzie adottate ai contatti sopraindicati.

4.    I diritti dell'interessato

Lei ha il diritto di accedere in qualunque momento ai dati che La riguardano, ai sensi degli artt. 15-22 del Regolamento. In particolare, in qualità di interessato Lei ha il diritto di:

1. ottenere la conferma dell’esistenza o meno dei dati forniti;

2. chiedere, nelle forme previste dall’ordinamento, la rettifica dei dati personali inesatti e l’integrazione di quelli incompleti;

3. esercitare ogni altro diritto ai sensi degli articoli da 18 a 22 del GDPR, laddove applicabili.

Si precisa che non trova applicazione il diritto di accesso, di cui all’art. 15 del GDPR, con riguardo all’identità del segnalante; quest’ultima può essere rivelata soltanto in presenza di consenso espresso o qualora la conoscenza sia indispensabile per la difesa del segnalato o l’anonimato non sia opponibile per motivi di indagine giudiziaria e/o di procedimento disciplinare.

Allo stesso modo, non trova applicazione la revoca del consenso nel momento in cui il soggetto segnalante lo abbia prestato ai fini della rilevazione della sua identità, anche a persone diverse rispetto a quelle competenti a ricevere o a dare seguito alla segnalazione.

Le richieste devono essere rivolte per iscritto al Titolare ovvero al DPO ai recapiti sopraindicati.

Qualora ritenga che il trattamento che La riguarda violi la disciplina vigente in materia di protezione dei dati personali, Lei ha inoltre il diritto di proporre reclamo (art. 77 GDPR) al Garante Privacy (www.garanteprivacy.it).

Ultimo aggiornamento: 11 luglio 2023