INFORMATIVA IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 IN RELAZIONE ALLE SEGNALAZIONI DI “WHISTLEBLOWING”

1. Finalità del trattamento

I dati forniti dal Segnalante al fine di rappresentare le presunte condotte illecite delle quali sia venuto a conoscenza in ragione del proprio rapporto con la Società commesse dai soggetti che a vario titolo interagiscono con il medesimo, vengono trattati allo scopo di effettuare le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto di segnalazione e l’adozione dei conseguenti provvedimenti.

2. Tipologia di dati trattati

La ricezione e la gestione delle segnalazioni dà luogo a trattamenti di dati personali c.d. “comuni” (nome, cognome, ruolo lavorativo, ecc.), nonché può dar luogo, a seconda del contenuto delle segnalazioni e degli atti e documenti a queste allegati, a trattamenti di dati personali c.d. “particolari” (dati relativi a condizioni di salute, orientamento sessuale o appartenenza sindacale, di cui all’art. 9 GDPR) e di dati personali relativi a condanne penali e reati (di cui all’art. 10 GDPR).

3. Base giuridica del trattamento e modalità del trattamento

La base giuridica del trattamento dei Dati Personali è individuata nell’art. 6, comma 1, lett. c) del Regolamento (UE) 2016/679, ossia adempimento ad un obbligo legale al quale è soggetto il titolare del trattamento.
Con riferimento alla sola conservazione dei Dati Personali successivamente alla chiusura del procedimento di gestione della segnalazione, la base giuridica è rappresentata dal legittimo interesse del Titolare e dei soggetti interessati all’esercizio dei propri diritti, in tutti i casi in cui si renda necessario (e.g. apertura di procedimenti disciplinari, giudiziari, richieste di risarcimento danni correlate alla segnalazione).

Ai sensi dell’art. 5 del GDPR i dati trattati nell’ambito della gestione delle segnalazioni devono essere trattati in modo lecito, corretto e trasparente, raccolti per finalità determinate, esplicite e legittime, adeguati, pertinenti e limitati a quelli strettamente e obiettivamente necessari per verificare la fondatezza della segnalazione, esatti e se necessario aggiornati.

Nel corso delle attività volte a verificare la fondatezza della Segnalazione saranno adottate tutte le misure necessarie a proteggere i dati dalla distruzione accidentale o illecita, dalla perdita e dalla divulgazione non autorizzata.

Qualora la segnalazione si riveli infondata, i dati non saranno conservati oltre il termine previsto dalla legge per proporre denuncia o querela.

In base alle previsioni della normativa in materia di dati personali e del d.lgs. n. 24/2023, il Titolare del trattamento, il Responsabile del trattamento e le persone autorizzate a trattare i dati personali sono tenuti a rispettare i seguenti principi fondamentali:

• trattare i dati in modo lecito, corretto e trasparente nei confronti dei soggetti interessati («liceità, correttezza e trasparenza»);
• raccogliere i dati solo al fine di gestire e dare seguito alle segnalazioni effettuate da parte dei soggetti tutelati dal d.lgs. 24/2023 («limitazione della finalità»);
• garantire che i dati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»). I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non verranno raccolti o, se raccolti accidentalmente, verranno cancellati senza indugio;
• assicurare che i dati siano esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti relativi alla specifica segnalazione che viene gestita («esattezza»);
• garantire il divieto di tracciamento dei canali di segnalazione;
• garantire, ove possibile, il tracciamento dell’attività del personale autorizzato nel rispetto delle garanzie a tutela del segnalante, al fine di evitare l’uso improprio di dati relativi alla segnalazione. Deve essere evitato il tracciamento di qualunque informazione che possa ricondurre all’identità o all’attività del segnalante.

4. Ambito di comunicazione e trasferimento dei dati

I Dati Personali raccolti nell’ambito della ricezione e gestione della segnalazione non saranno diffusi all’estero e divulgati in alcun modo. Esclusivamente per le finalità indicate, i Dati Personali potranno essere comunicati a soggetti terzi ai quali la Società e/o il Gestore potrebbero affidare talune attività (o parte di esse); tali soggetti opereranno in qualità di Titolari autonomi o saranno designati Responsabili del trattamento e sono essenzialmente ricompresi nelle seguenti categorie:

• Consulenti (Studi Legali, ecc.);
• Società incaricate dell’amministrazione e gestione del personale;
• Agenzie investigative;
• Istituzioni e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia.

5. Conservazione dei dati personali

La Società conserva i dati personali secondo nei termini previsti dall’art. 14 del d.lgs. n. 24/2023, cioè per il tempo necessario al trattamento della segnalazione e comunque per non oltre 5 anni a decorrere dalla data di comunicazione dell’esito finale della Segnalazione al Gestore. I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati tempestivamente.

6. Diritti dell’interessato

L’interessato, nelle persone del Segnalante o del Facilitatore, ha diritto di accedere in ogni momento ai dati che lo riguardano e di esercitare i diritti previsti dagli articoli da 15 al 22 del GDPR, per quanto applicabili (diritto di accesso ai dati personali, diritto a rettificarli, diritto di ottenerne la cancellazione o cd. diritto all’oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati personali o quello di opposizione al trattamento), inviando una e-mail all’indirizzo indicato nell’informativa “whistleblowing” che ti è stata opportunamente fornita e comunque riportata nel sito web della tua azienda. Inoltre, l’interessato ha diritto di proporre un reclamo al Garante della protezione dei dati personali.
I suddetti diritti non sono esercitabili dalla persona coinvolta o dalla persona menzionata nella segnalazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, ai sensi dell’art. 2- undecies del Codice Privacy in quanto dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona segnalante.

7. Titolare del trattamento e Soggetti Autorizzati al trattamento

Il Titolare del trattamento dei Dati Personali raccolti nell’ambito della Segnalazione Interna è la Società.

Il Gestore, appositamente nominato quale Responsabile del trattamento ex art. 28 GDPR, nonché il Soggetto Interno Competente – come sopra definito – sono stati autorizzati al trattamento dei dati personali da parte della Società, dalla quale hanno ricevuto, altresì, adeguate istruzioni operative.

Per avere maggiori informazioni sul Gestore del canale e/o sulle modalità di gestione dello stesso, si rinvia espressamente a quanto contenuto nel Protocollo Whistleblowing adottato dalla tua azienda e agli altri documenti ad esso allegati.