Informativa sul trattamento

Informativa ai sensi dell’art. 13 e !4 del regolamento (UE) 2016/679 sul trattamento dei dati personali in relazione alle segnalazioni di “whistleblowing”

 

Ad integrazione dell’informativa generale sul trattamento dei dati personali nell’ambito del rapporto in essere con la Società, quest’ultima provvede in qualità di Titolare del Trattamento a fornire le informazioni necessarie in merito al trattamento dei dati personali derivante dal sistema di Segnalazione adottato dalla Società per uniformarsi alla normativa vigente in materia di Whistleblowing anche per gli enti privati.

 

  1. Quali dati vengono trattati nell’ambito della Segnalazione, perché vengono trattati e in forza di quale base giuridica?

1.1.          Il sistema di Segnalazione prevede il trattamento dei soli dati personali strettamente necessari e pertinenti alla gestione della Segnalazione.

1.2.          Verranno quindi trattati i dati personali del segnalante e quelli da questo forniti per rappresentare le presunte condotte illecite, delle quali sia venuto a conoscenza in ragione del proprio rapporto con la società, commesse dai soggetti che a vario titolo interagiscono con ess e quindi anche i dati dei segnalati e di eventuali terzi coinvolti o comunque citati nella Segnalazione.

1.3.          La ricezione e la gestione della Segnalazione dà luogo di norma a trattamenti di dati personali c.d. “comuni” (nome, cognome, ruolo lavorativo, etc.), nonché può comportare, a seconda del contenuto delle segnalazioni e degli atti e documenti a queste allegati, a trattamenti di dati personali c.d. “particolari” (dati relativi a condizioni di salute, orientamento sessuale o appartenenza sindacale, di cui all’art. 9 GDPR) qualora riportati dal segnalante.

1.4.          Resta fermo che i dati personali che manifestamente non sono utili al trattamento di una specifica Segnalazione non sono raccolti o, se raccolti accidentalmente, verranno cancellati immediatamente.

1.5.          I dati personali saranno trattati per

  • gestire la Segnalazione e quindi per effettuare le necessarie attività istruttorie volte a verificare la fondatezza del fatto segnalato e l’adozione dei conseguenti provvedimenti (tra cui le misure necessarie a garantire la tutela del segnalante, come l’osservanza del divieto di compiere atti di ritorsione o discriminatori, diretti o indiretti, nei confronti dello stesso per motivi collegati, direttamente o indirettamente, alla segnalazione);
  • per fare valere e difendere i diritti della Società, nonché prevenire o identificare condotte illecite o irregolarità, violazioni di norme, o comunque alti fatti/condotte suscettibili di arrecare pregiudizio patrimoniale o di immagine della Società.

1.6.          La base giuridica del trattamento consiste:

             per i dati comuni: (i) nella necessità di adempiere ad obblighi legali cui è soggetto il Titolare (derivanti dalla combinazione delle previsioni del D.lgs. 10 marzo 2023, n. 24 e del D.lgs. 8 giugno 2001, n. 231); (ii) nonché, in caso fosse necessario, nella necessita di accertare, esercitare o difendere un diritto in sede giudiziaria e nel legittimo interesse della stessa di tutelare il proprio patrimonio e la propria immagine;

             per i dati particolari, in quanto previsto all’art. 9, par. 2, lett. f), GDPR, ossia l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria e nell’ambito del rapporto di lavoro (quando configurabile) l’assolvimento di obblighi e l’esercizio di diritti specifici del Titolare o dell’interessato in materia di diritto del lavoro, e della sicurezza sociale e protezione sociale, di cui alla lett. b) della medesima previsione normativa.

  1. Chi può conoscere i dati personali inerenti alla Segnalazione e come vengono trattati?

2.1.          Le operazioni di trattamento saranno affidate a persone specificamente formate in relazione all’esecuzione delle procedure di gestione delle segnalazioni, con particolare riferimento alle misure di sicurezza e alla tutela della riservatezza dei soggetti coinvolti e delle informazioni contenute nella Segnalazione.

2.2.          I dati personali contenuti nella Segnalazione potranno essere conosciuti esclusivamente

X          dall’Organismo di Vigilanza;

X          dalle funzioni aziendali eventualmente coinvolte nell’attività di ricezione, esame e valutazione delle segnalazioni;

X          dai consulenti esterni (per es. studi legali) eventualmente coinvolti nella fase istruttoria della Segnalazione o comunque incaricati per fare valere diritti, interessi, pretese del Titolare nascenti dalla Segnalazione;

X          dalle istituzioni e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia ai fini dell’attivazione delle procedure necessarie a garantire, in conseguenza della Segnalazione, idonea tutela giudiziaria e/o disciplinare nei confronti del/i soggetto/i segnalato/i, laddove dagli elementi raccolti e dagli accertamenti effettuati emerga la fondatezza delle circostanze inizialmente segnalate;

2.3.          I soggetti indicati potranno operare, a seconda dei casi, come titolari autonomi, responsabili del trattamento o soggetti autorizzati. Viene indicata solo la categoria dei destinatari, in quanto oggetto di possibili aggiornamenti. Per conoscere l’elenco aggiornato dei destinatari, è possibile scrivere all’email dell’ODV;

2.4.          L’identità del Segnalante e qualsiasi altra informazione da cui possa evincersi tale identità (direttamente o indirettamente) potranno essere rivelate a persone diverse da quelle sopra indicate dietro consenso espresso del Segnalante medesimo, che verrà raccolto in caso ciò dovesse rendersi necessario.

2.5.          Il trattamento dei dati per le finalità esposte ha luogo a mezzo di supporti cartacei o strumenti informatic

informatici/elettronici e con modalità manuali o automatizzate e comunque esclusivamente da parte di soggetti a ciò appositamente autorizzati e istruiti.

  1. Quanto tempo verranno conservati i dati personali inerenti alle Segnalazioni e dove verranno trattati?

3.1.          Nel corso delle attività volte a verificare la fondatezza della Segnalazione saranno adottate tutte le misure necessarie a proteggere i dati dalla distruzione accidentale o illecita, dalla perdita e dalla divulgazione non autorizzata.

3.2.          Ai sensi dell’art. 14 del D.L. vo n. 24/2023 la Segnalazione, interna ed esterna, e la relativa documentazione di supporto (compresi gli originali) viene conservata – in formato cartaceo e/o elettronico – per il tempo necessario alla gestione della segnalazione stessa e all’implementazione delle azioni indicate nella relazione d’indagine (e quindi per il tempo necessario al perseguimento delle procedure e finalità indicate nella presente informativa) e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui alla normativa europea e nazionale in materia di protezione di dati personali, fatto salvo il superamento di tale termine per la sussistenza di particolari circostanze (come, ad esempio, la pendenza di controversie giudiziali o amministrative) o nei casi in cui la conservazione per un periodo successivo sia richiesta dalle autorità competenti (e quindi per adempiere a eventuali obblighi od ordini da queste avanzate) o ai sensi della normativa applicabile.

3.3.          Resta fermo che la Segnalazione che siano valutate non rilevanti vengono archiviate e non ulteriormente trattate (con conseguente interruzione immediata del trattamento dei dati lì contenuti, ad eccezione della conservazione dei relativi documenti in conformità a quanto indicato al punto 2.2. in merito alle tempistiche di conservazione).

3.4.          Di norma i dati personali non saranno trasferiti in Paesi al di fuori dello SEE. In ogni caso, qualora dovesse rendersi necessario il trasferimento dei Dati Personali verso Paesi Terzi, tale trasferimento avverrà in conformità ai requisiti prescritti dalla normativa europea e quindi in presenza di condizioni e garanze tali da assicurare un livello di protezione dei Dati Personali conforme a quello richiesto dal GDPR (come previa verifica dell’esistenza di decisioni di adeguatezza, l’adozione di clausole contrattuali standard, etc.).

  1. Quali diritti sono esercitabili in relazione ai dati personali inerenti alla Segnalazione?

4.1.          I soggetti cui si riferiscono i dati personali oggetto di trattamento hanno i diritti di cui agli artt. 15 e ss. del GDPR.

4.2.          Tuttavia, ai sensi dell’art. 2-undecies del decreto legislativo 30 giugno 2003, n. 196 (Codice Privacy), al fine di salvaguardare la riservatezza dell’identità del segnalante o taluni ulteriori interessi come lo svolgimento delle investigazioni difensive o l’esercizio del diritto di difesa, l’esercizio dei su richiamati diritti potrà essere ritardato, limitato o escluso per previsione di legge, nel caso in cui da tale esercizio possano derivare pregiudizi effettivi e concreti; tali limitazioni ai dritti dovranno essere motivate e comunicate senza ritardo all’interessato – a meno che la comunicazione possa compromettere la finalità della limitazione – per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato stesso. In nessuna circostanza può essere permesso al Segnalato di avvalersi del suo diritto di accesso per ottenere informazioni sull’identità del Segnalante, salvo la malafede di quest’ultimo

4.3.          L’art. 2-undecies del Codice, infatti, stabilisce al comma 3, in relazione alle specifiche limitazioni ai diritti dell’interessato dallo stesso previste con riferimento all’istituto del whistleblowing, che in tale ipotesi i diritti in questione possono essere esercitate per il tramite del Garante con le modalità di cui all’art. 160 del Codice medesimo, nel qual caso il Garante informa l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale.

4.4.          Fermo restando quanto sopra, per esercitare i diritti o chiedere informazioni è possibile inviare un’email al referente privacy della società rinvenibile sul sito della stessa.