Informativa sulla privacy per le missioni di audit
Qual è il quadro normativo applicabile?
Tutti i dati personali sono trattati in conformità alla legislazione dell’Unione europea in materia di protezione dei dati, ossia in linea con il Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il Regolamento (CE) n. 45/2001 e la Decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).
Perché trattiamo dati personali?
I dati personali sono trattati nel contesto dei servizi di audit interno della Direzione Revisione interna (D/IA), definiti dal Comitato esecutivo nella Carta dell’audit della BCE. Il trattamento è inteso a identificare, valutare, appurare e registrare tutte le informazioni pertinenti per le attività di verifica e consulenza. I dati personali che ricadono in tali ambiti di attività sono raccolti dalle aree operative della BCE. In generale, la D/IA tratta i dati personali che sono rilevanti per un compito specifico.
In particolare, la D/IA può trattare dati personali per assolvere i seguenti compiti:
- attuare il piano di audit della BCE e il programma di lavoro del Comitato dei revisori interni (IAC) svolgendo attività di verifica e consulenza e riferendo in merito;
- valutare lo stato di attuazione delle raccomandazioni di audit;
- elaborare le segnalazioni di incidenti provenienti dalle aree operative della BCE (escluse le segnalazioni relative a violazioni dei doveri professionali).
Inoltre, la D/IA tratta i dati al fine di prestare supporto agli audit (ad esempio in qualità di segretariato dello IAC) e di coordinare i servizi di audit esterno (ad esempio da parte di revisori esterni o della Corte dei conti europea).
Qual è la base giuridica per il trattamento dei dati personali?
I dati personali sono trattati dalla BCE nell’adempimento di un compito di interesse pubblico, ai sensi dell’articolo 5, paragrafo 1, lettera a), del Regolamento (UE) 2018/1725, in combinato disposto con il Protocollo (n. 4) sullo Statuto del sistema europeo di banche centrali (SEBC) e della Banca centrale europea (GU C 202 del 7.6.2016, pag. 230) e il Regolamento (UE) n. 1024/2013 del Consiglio, del 15 ottobre 2013, che attribuisce alla Banca centrale europea compiti specifici in merito alle politiche in materia di vigilanza prudenziale degli enti creditizi (GU L 287 del 29.10.2013, pag. 63) come precisato ulteriormente nella Carta dell’audit della BCE.
A chi compete il trattamento dei dati personali?
La BCE è titolare del trattamento dei dati personali, mentre la D/IA è incaricata del trattamento.
Chi riceverà i dati personali?
Sono destinatari dei dati personali:
- i rispettivi interessati;
- i membri del personale della BCE designati;
- i membri del personale designati delle banche centrali nazionali appartenenti al SEBC e delle autorità nazionali competenti nell’ambito del Meccanismo di vigilanza unico (incluso il personale distaccato);
- gli esterni (consulenti, revisori esterni e tirocinanti) che partecipano alle attività di audit interno.
Su richiesta, i membri del Comitato esecutivo della BCE, del Consiglio direttivo, del Consiglio di vigilanza e il Responsabile generale dei servizi della BCE possono ricevere dati personali.
Se del caso, sulla base della necessità di disporre di determinate informazioni e nel rispetto del pertinente quadro giuridico, possono ricevere dati personali gli organismi incaricati di compiti di controllo o di ispezione in conformità al diritto dell’Unione, ad esempio la Corte dei conti europea, l’Ufficio europeo per la lotta antifrode, la Procura europea, le autorità nazionali competenti, il Garante europeo della protezione dei dati, il Comitato etico e il Comitato di audit.
Quali sono le tipologie di dati personali raccolti?
La D/IA ha pieno accesso al personale, agli archivi, alle informazioni, ai sistemi e agli immobili laddove ritenuto necessario per l’espletamento delle sue funzioni nell’ambito delle missioni di audit e può trattare i relativi dati personali.
La BCE può trattare i seguenti dati personali in relazione alle missioni di audit:
- dati identificativi e recapiti (ad esempio nome, indirizzo postale ecc.);
- dati relativi all’istruzione e alla formazione professionale;
- dati sui rapporti di lavoro;
- dati finanziari;
- circostanze familiari, sociali e stile di vita;
- informazioni su beni o servizi forniti;
- informazioni relative a procedimenti civili o amministrativi o ad altre indagini regolamentari;
- informazioni relative a procedimenti penali;
- informazioni relative a sanzioni amministrative, anche pecuniarie;
- ogni altro dato personale rilevante per una particolare missione di audit;
- categorie speciali di dati che rientrano nell’ambito di applicazione dell’articolo 10 del Regolamento (UE) 2018/1725, ove giustificato.
Per quanto tempo la BCE conserva i dati personali?
I dati personali sono conservati per un massimo di 15 anni dalla data di cessazione dell’attività prima di essere cancellati, a meno che non siano necessari per un periodo più lungo per eventuali azioni successive, quali procedimenti disciplinari o giudiziari.
Di norma, le informazioni presentate nei rapporti di audit sono rese anonime.
Quali sono i diritti dell’interessato?
È riconosciuto il diritto di accedere ai propri dati personali e di correggere qualsiasi informazione che sia inesatta o incompleta. È inoltre garantito il diritto (a determinate condizioni) di cancellare i propri dati personali, di opporsi al loro trattamento o di limitarlo ai sensi del Regolamento (UE) 2018/1725.
Chi contattare in caso di domande o richieste?
Per esercitare i propri diritti è sufficiente contattare la D/IA all’indirizzo DIAManagement@ecb.europa.eu. Per domande relative ai dati personali è inoltre possibile contattare direttamente il funzionario responsabile della protezione dei dati presso la BCE all’indirizzo dpo@ecb.europa.eu.
Rivolgersi al Garante europeo della protezione dei dati
Se si ravvisa una violazione dei propri diritti ai sensi del Regolamento (UE) 2018/1725 in seguito al trattamento dei dati personali, è riconosciuta la facoltà di presentare reclamo in qualsiasi momento al Garante europeo della protezione dei dati.
Ulteriori informazioni sono disponibili nel registro delle attività di trattamento dei dati della BCE.