INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

RIFERIMENTI NORMATIVI
 Art. 13 Regolamento UE 2016/679 del 27/04/2016 - Regolamento Generale per la Protezione dei Dati Personali (“GDPR”)
 D.Lgs 24/2023 - Attuazione della direttiva (UE) 2019/1937 del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali (“Decreto Whistleblowing”)

TITOLARI DEL TRATTAMENTO
Universal Music Publishing Ricordi S.r.l., con sede legale in Via Nervesa, 21, 20139 Milano, codice fiscale e partita iva IT00846920155, in persona del legale rappresentante pro tempore. 

Casa Ricordi S.r.l., con sede legale in Via Nervesa, 21, 20139 Milano, codice fiscale e partita iva IT07877770961, in persona del legale rappresentante pro tempore.

FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO
I dati personali da Lei forniti verranno trattati esclusivamente per le seguenti finalità: 
a) ricezione, elaborazione e gestione delle segnalazioni inviate al Titolare del trattamento in conformità al Decreto Whistleblowing;
b) adempimento degli obblighi previsti dal Decreto Whistleblowing, da ulteriori disposizioni normative applicabili e da disposizioni impartite da autorità e organi di vigilanza e di controllo.
Il trattamento dei dati personali per le finalità di cui sopra non richiede il consenso espresso degli interessati; la base giuridica del trattamento è infatti costituita dall’obbligo del Titolare di adempiere a specifici obblighi normativi (art. 6.1.c del GDPR).

NATURA OBBLIGATORIA O FACOLTATIVA DEL CONFERIMENTO DEI DATI E CONSEGUENZE DI UN EVENTUALE RIFIUTO DI FORNIRE I DATI PERSONALI 
La segnalazione può essere anonima. In questo caso, tuttavia, potrebbe non essere possibile per il Titolare del trattamento dare ulteriore corso alla segnalazione o alla relativa attività istruttoria. 

Diversamente, qualora il segnalante indicasse nella segnalazione i propri dati identificativi e di contatto, questi dati verranno utilizzati dal Titolare del trattamento, o da soggetti da questo autorizzati, per la ulteriore gestione della segnalazione e per le sole finalità sopra specificate. 

Il Titolare tratterà altresì i dati personali delle persone segnalate, ovvero di eventuali ulteriori persone menzionate nella segnalazione, dei facilitatori e/o delle altre persone coinvolte all’interno delle società nella gestione della segnalazione. 

MODALITÀ DEL TRATTAMENTO DEI DATI
I Suoi dati personali saranno trattati, per le finalità di cui sopra, su supporto sia cartaceo che informatico, per mezzo di strumenti elettronici o automatizzati, nel rispetto della normativa vigente in particolare in materia di riservatezza e sicurezza e in conformità ai principi di correttezza, liceità e trasparenza previsti dal GDPR e rafforzati, per il caso di specie, dal Decreto Whistleblowing.
Il trattamento è svolto dal Titolare del trattamento o dai responsabili e/o autorizzati appositamente designati per iscritto; l’elenco dei responsabili e/o degli autorizzati può essere richiesto dagli interessati al Titolare del trattamento.

COMUNICAZIONE E DIFFUSIONE
I dati personali degli interessati potranno essere comunicati, nei limiti strettamente pertinenti agli obblighi, ai compiti ed alle finalità di cui sopra e nel rispetto della normativa vigente in materia, alle seguenti categorie di soggetti:
1. soggetti a cui tale comunicazione deve essere effettuata al fine di adempiere o per esigere l’adempimento di specifici obblighi previsti da leggi, da regolamenti e/o dalla normativa comunitaria;
2. persone fisiche e/o giuridiche che forniscono servizi strumentali alle attività del Titolare per le finalità sopra specificate (es. consulenti, organismo di vigilanza, collegio sindacale, società di auditing, avvocati, consulenti forensi ecc.). 
3. forze di polizia, autorità competenti (es. Autorità Nazionale Anticorruzione) ed altre amministrazioni pubbliche, che agiranno in qualità di autonomi titolari del trattamento.
I dati personali non saranno in alcun modo oggetto di diffusione.  

PERIODO DI CONSERVAZIONE DEI DATI 
I dati personali saranno conservati per l’intera durata di gestione della segnalazione e per massimo 5 anni dalla data di chiusura della segnalazione. Decorso tale termine, i dati saranno cancellati o anonimizzati.

TRASFERIMENTO DEI DATI
I dati personali sono conservati su server ubicati all’interno dell’Unione Europea. Resta in ogni caso inteso che il Titolare, ove si rendesse necessario, avrà facoltà di spostare i server o i dati anche al di fuori della Unione Europea. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili.

DIRITTI DELL’INTERESSATO
Gli interessati potranno esercitare i diritti di cui all’art. 15 del GDPR: 
1. ottenere la conferma dell'esistenza o meno di dati personali che li riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile;
2. ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare e dei responsabili; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati;
3. ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;
4. opporsi, in tutto o in parte per motivi legittimi al trattamento dei dati personali che li riguardano, ancorché pertinenti allo scopo della raccolta. 
Ove applicabili, gli interessati potranno altresì esercitare i diritti di cui agli artt. 16-21 del GDPR (Diritto di rettifica, diritto all’oblio, diritto di limitazione di trattamento, diritto alla portabilità dei dati, diritto di opposizione), nonché il diritto di reclamo al Garante Privacy (https://www.garanteprivacy.it/).

Ai sensi di quanto previsto dal comma 1, lett. e ed f, dell’art. 2-undecies del D.lgs. 196/2003 (“Codice Privacy”), i soggetti interessati sono informati che i loro diritti individuati dagli artt. 15 a 22 del GDPR e, in particolare il diritto di accesso, non potranno essere esercitati con richiesta al Titolare, ovvero con reclamo al Garante Privacy ai sensi dell’art. 77 GDPR, ove dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dei soggetti interessati che effettuano una segnalazione,  e/o allo svolgimento delle investigazioni o all’esercizio di un diritto in sede giudiziaria. Ai sensi del comma 3, dell’art. 2-undecies del Codice Privacy, l’esercizio di tali diritti potrà, inoltre, essere ritardato, limitato o escluso per tutto il tempo in cui ciò costituisca una misura necessaria e proporzionata, tenendo conto dei diritti fondamentali e dei legittimi interessi dei soggetti interessati, al fine di salvaguardare gli interessi difensivi dei Titolare e la riservatezza dei soggetti interessati. 
In tali casi:
(i) i soggetti interessati ne saranno informati con comunicazione motivata e resa senza ritardo, a meno che tale comunicazione possa compromettere la finalità della limitazione dell’esercizio dei diritti;
(ii) i soggetti interessati potranno esercitare i propri diritti tramite il Garante Privacy, con le modalità di cui all’art. 160 del Codice Privacy. In tale ipotesi, il Garante per la protezione dei dati personali informa i soggetti interessati di avere eseguito tutte le verifiche necessarie o di aver svolto un riesame.

Rimane fermo il diritto dei soggetti interessati di proporre ricorso giurisdizionale.

Per l’esercizio dei diritti sopra specificati o per domande o informazioni in ordine al trattamento dei dati ed alle misure di sicurezza adottate, gli interessati potranno in ogni caso inoltrare richiesta al Titolare del trattamento.


***

INFORMATION ON THE PROCESSING OF PERSONAL DATA

REGULATORY REFERENCES:
 art. 13 of EU Regulation 2016/679 of 27/04/2016 - General Data Protection Regulation (“GDPR”)
 Legislative Decree 24/2023 - Implementation of EU Directive 2019/1937 of 23 October 2019 on the protection of persons who report breaches of European law and on provisions for the protection of persons who report breaches of national law (“Whistleblowing Decree”)

DATA CONTROLLER
Universal Music Publishing Ricordi S.r.l, with registered office in Via Nervesa, 21, 20139 Milano, tax code and VAT no. IT00846920155, in the person of its legal representative pro tempore.

Casa Ricordi S.r.l, with registered office in Via Nervesa, 21, 20139 Milano, tax code and VAT no. IT07877770961, in the person of its legal representative pro tempore.

PURPOSE OF THE PROCESSING AND LEGAL BASIS FOR THE PROCESSING
The personal data will be processed exclusively for the following purposes:
a) receipt, processing and management of the reports you send to the Data Controller in accordance with Whistleblowing Decree;
b) fulfilment of the obligations provided for by the Whistleblowing Decree, by other applicable regulatory provisions and by provisions issued by supervisory and control authorities and bodies.
The processing of personal data for the aforementioned purposes does not require the data subject’s express consent; the legal basis for the processing is in fact the obligation of the Data Controller to fulfil specific regulatory obligations (Art. 6.1.c of the GDPR).

COMPULSORY OR OPTIONAL NATURE OF THE SUBMISSION OF DATA AND CONSEQUENCES OF A REFUSAL TO PROVIDE PERSONAL DATA
Reports may be anonymous. In this case, however, it may not be possible for the Data Controller to further process the report or the related investigation. 
Otherwise, if the reporting person provides their identification and contact data in the report, these data will be processed by the Data Controller or persons authorised by the Data Controller for the further handling of the report and only for the purposes specified above.

The Data Controller will also process the personal data of the persons reported, i.e. any additional persons mentioned in the report, facilitators, and/or other persons involved within the company in handling the report.

DATA PROCESSING METHODS
Personal data will be processed, for the above-mentioned purposes, on both paper and computer media, by means of electronic or automated tools, in compliance with the regulations in force in particular on confidentiality and security and in accordance with the principles of fairness, lawfulness and transparency provided for by the GDPR and further strengthened by the Whistleblowing Decree.
The processing is carried out by the Data Controller or by specifically appointed Data Processors and/or authorized persons; the list of Data Processors and/or authorized persons may be requested by you from the Data Controller.

COMMUNICATION AND DISSEMINATION
Personal data may be communicated to the following categories of subjects, within the limits strictly relevant to the obligations, the tasks and the purposes set out above and in compliance with current legislation:
1. subjects to whom such communication must be delivered in order to fulfill or to demand the fulfillment of specific obligations provided for by laws, regulations and/or EU legislation;
2. persons and/or legal entities that provide services that are instrumental to the activities of the Data Controller for the purposes referred above (consultants, supervisory body, board of statutory auditors etc.); 
3. police forces, competent authorities (e.g., National Anticorruption Authority) and other public administrations, who will act as autonomous data controllers.
Personal data will not be disseminated.

DATA RETENTION PERIOD
Personal data will be stored for the entire duration of the handling of the report and for a maximum of 5 years from the closing date of the report. After this period, the data will be deleted or anonymized.

DATA TRANSFER
Personal data are stored on servers located within the European Union. In any case, it is understood that the Data Controller, if necessary, will have the right to move the servers or the data even outside the EU. In this case, the Data Controller hereby ensures that the transfer of Data outside of EU will take place in accordance with the provisions of applicable law.

RIGHTS OF DATA SUBJECT
Data subjects have the rights set forth in art. 15 GDPR, and in particular:
1. to obtain confirmation of the existence of personal data concerning them, even if not yet registered, and their communication in an intelligible form;
2. to obtain the indication: a) of the origin of personal data; b) of the purposes and methods of the processing; c) the existence of an electronic decision-making process, including profiling, and of the logic applied, as well as of the importance and consequences envisaged for the interested party in case of processing carried out with the aid of electronic instruments; d) the contact details of the Controller and of the Data Processor; e) of the subjects or categories of subjects to whom the personal data may be communicated or who can learn about them as appointed representative in the territory of the State, as data processors or authorized persons;
3. to obtain: a) updating, rectification or, when interested, integration of data; b) the cancellation, transformation into anonymous form or blocking of unlawful data processed, including data that retention is unnecessary for the purposes for which the data were collected or subsequently processed; c) the attestation that the operations referred to in letters a) and b) have been brought to the attention, also with regard to their content, of those to whom the data have been communicated, except in the case in which this fulfillment proves impossible or involve a use of means manifestly disproportionate to the protected right;
4. to object, in whole or in part for legitimate reasons, to the processing of personal data concerning them, even if pertinent to the purpose of the collection. 
Where applicable, data subjects are also entitled to exercise the rights referred to in Articles 16-21 GDPR (right of rectification, right to cancellation ("right to be forgotten"), right to limitation of processing, right to data portability, right of opposition), as well as the right to lodge a complaint with the Supervisory Privacy Authority (https://www.garanteprivacy.it/).
Pursuant to the provisions of paragraph 1, letters e and f, of Article 2-undecies of Legislative Decree 196/2003 ("Privacy Code"), the data subjects are informed that their rights identified in Articles 15 to 22 of the GDPR, and in particular the right of access, may not be exercised by request to the Data Controller, or by complaint to the Supervisory Privacy Authority pursuant to Art. 77 GDPR, where the exercise of such rights may result in actual and concrete prejudice to the confidentiality of the data subjects making a report, and/or to the conduct of investigations or the exercise of a right in court.  Pursuant to paragraph 3, Art. 2-undecies of the Privacy Code, the exercise of such rights may, in addition, be delayed, limited or excluded for as long as this constitutes a necessary and proportionate measure, taking into account the fundamental rights and legitimate interests of the data subjects, in order to safeguard the defensive interests of the Data Controller and the confidentiality of the data subjects. 
In such cases:
(i) data subjects will be informed by reasoned notice given without delay, unless such notice would undermine the purpose of the limitation of the exercise of rights;
(ii) data subjects will be able to exercise their rights through the Supervisory Privacy Authority, in the manner set forth in Article 160 of the Privacy Code. In this case, the Privacy Guarantor shall inform the data subjects that it has carried out all the necessary verifications or has conducted a review.
This is without prejudice to the right of the data subjects to file a judicial appeal.
To exercise the rights referred above or for questions or information regarding the processing of your data and the security measures adopted, you can send your request to the Data Controller.

.