INFORMATIVA PRIVACY a norma del Reg UE 2016/679 (GDPR) e del DLGS n. 24/2023 (WHISTLEBLOWING)
Il Regolamento Europeo in materia di protezione dei dati personali, all’art. 13, comma. 1, impone l’obbligo di informare l’interessato sugli elementi fondamentali del trattamento delle informazioni che lo riguardano.
In questa informativa, l’interessato a cui ci si rivolge è principalmente colui che decida di segnalare potenziali violazioni della normativa nazionale ed europea, di cui sia venuto a conoscenza nel proprio contesto di lavoro, secondo quanto previsto dal D.Lgs. 24/2023 attuativo della Direttiva UE 2019/1937, utilizzando la Piattaforma “Legality Whistleblowing Segnalazione illeciti” (di seguito, per brevità, “Piattaforma”), che il Titolare del trattamento sotto indicato ha adottato per ottemperare all’obbligo di istituzione di un canale interno di segnalazione protetto e riservato per l’invio delle comunicazioni.
Nei documenti pubblicati sulla Piattaforma, denominati: “Whistleblowing Policy” e “Manuale segnalante” potranno rinvenirsi altre informazioni, sia sulle violazioni segnalabili ai sensi del D. Lgs. 24/2023, che sui canali di segnalazione interno ed esterni utilizzabili.
IDENTITA’ E DATI DI CONTATTO DEL TITOLARE DEL TRATTAMENTO (di seguito, per brevità, “Titolare”)
Isaf srl - P.IVA 01049590399
Sede Legale: via Bassano del Grappa n°4 – 00195 Roma (RM)
TEL 0542 643999 E-MAIL isaf@isafsrl.eu PEC isafsrl@legalmail.it
FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO
I dati sono raccolti per dare seguito all’effettuazione delle operazioni strumentali alla corretta ricezione e gestione delle segnalazioni inviate attraverso la Piattaforma implementata dal Titolare del trattamento, vale a dire compiere le attività indispensabili a verificare la fondatezza del fatto oggetto di segnalazione, predisporre il debito riscontro alle comunicazioni ricevute ed adottare i conseguenti provvedimenti.
La base giuridica di questo trattamento è rappresentata, quindi, dalla legge ed, in particolar modo, dal D.Lgs. 24/2023 attuativo della Dir. UE 2019/1937, nonché dalle Linee Guida ANAC, approvate con Delibera n. 311 del 12 luglio 2023 e ss. modifiche.
TIPOLOGIA DI DATI OGGETTO DI TRATTAMENTO
I dati personali oggetto di trattamento sono quelli sotto indicati con riferimento alle diverse categorie di interessati coinvolti nella procedura di segnalazione, con la precisazione che verranno trattati solo i dati strettamente ed oggettivamente necessari per verificare la fondatezza della segnalazione e procedere alla sua risoluzione e saranno cancellati quelli raccolti manifestamente non necessari per la sua gestione.
Dati del Segnalante. Le persone fisiche che possono inviare la segnalazione sono tutti i principali stakeholders del Titolare del trattamento, quali: lavoratori subordinati, autonomi, collaboratori, liberi professionisti e consulenti, tirocinanti, soci della società, nonché persone con funzioni di amministrazione, direzione, controllo, vigilanza, rappresentanza, come indicati nella Whistleblowing Policy disponibile sulla Piattaforma.
Nelle sezioni della Piattaforma che accolgono le segnalazioni, i campi da compilarsi richiedono al Segnalante di indicare i propri dati personali identificativi, consistenti nelle seguenti informazioni: nome, cognome, qualifica o mansione lavorativa all’epoca dei fatti segnalati, qualifica attuale ed indirizzo email personale, nonché ogni altra informazione o dato, anche personale, connessi alla descrizione dell’illecito.
L’indirizzo email, indicato dal Segnalante tra i propri dati personali, potrà essere utilizzato per la trasmissione di comunicazioni riguardanti la segnalazione (es. avviso di lettura e aggiornamenti sulla gestione della Segnalazione), auspicandosi, per questo motivo, l’utilizzo di recapiti email ad uso personale ed esclusivo, evitando gli indirizzi email aziendali e/o condivisi con altri soggetti, a salvaguardia della piena riservatezza delle comunicazioni.
Potrebbero essere oggetto di trattamento da parte del Titolare anche “dati particolari” (art 9 Regolamento UE 16/679) o dati relativi a reati e condanne penali (art. 10 del Regolamento medesimo), qualora ciò fosse necessario per accertare la condotta segnalata e dare seguito alla segnalazione ricevuta.
Il Segnalante può scegliere di effettuare la segnalazione attraverso una registrazione vocale, conferendo in questo caso tutti i dati contenuti in tale registrazione, compresa la propria voce che, comunque, a tutela della riservatezza, verrà resa non riconoscibile attraverso una funzionalità automatica specifica presente sulla Piattaforma.
L’identità del Segnalante è comunque protetta dal fatto che un suo eventuale disvelamento a persone diverse da quelle competenti a trattare le segnalazioni è subordinato al suo consenso espresso.
Dati di terzi. All’interno della propria segnalazione, il Segnalante potrebbe comunicare dati personali riferibili a terzi che ritenga essere a conoscenza dei fatti od essere gli stessi esecutori della condotta che si presume illecita, e, conseguentemente, tale indicazione potrebbe determinare la raccolta di dati personali di terzi come: dati identificativi e di contatto, ente o azienda di appartenenza, mansione aziendale o ruolo rivestito od altro.
Dati del Gestore della segnalazione. Per attendere alle attività di ricezione e riscontro delle segnalazioni, il Gestore della segnalazione, individuato dal Titolare del trattamento, riceverà apposite credenziali di accesso alla Piattaforma (account “Responsabile della segnalazione”), dovendo all’uopo conferire preventivamente le seguenti tipologie di dati che lo riguardano: nome, cognome, indirizzo email.
Dati di navigazione e cookie tecnici. Le operazioni effettuate sulle segnalazioni dai diversi utenti sono registrate in maniera anonima e criptata nei log di sistema. La Piattaforma, attraverso le quali le segnalazioni vengono trattate, utilizza esclusivamente cookie tecnici di sessione e sono assenti cookie di profilazione e/o di terze parti.
MODALITÀ DI GESTIONE DEI DATI CONFERITI
I dati conferiti dal Segnalante attraverso la Piattaforma implementata dal Titolare del trattamento sono raccolti e gestiti mediante un avanzato sistema di cifratura che garantisce, sia in fase di trasmissione che di memorizzazione, la riservatezza e la sicurezza delle informazioni inserite dall’interessato e la sua identità.
DESTINATARI DEI DATI ED EVENTUALE TRASFERIMENTO IN PAESI TERZI
I dati trasmessi da parte del Segnalante, attraverso il canale istituito dal Titolare del trattamento, saranno portati a conoscenza dell’incaricato individuato come Gestore della segnalazione.
L’identità del Segnalante e qualsiasi altra informazione dalla quale la stessa possa evincersi non saranno rivelate a persone diverse da quelle competenti a gestire la segnalazione, se non con il consenso espresso del diretto interessato e, nei casi previsti dalla legge, previa condivisione delle ragioni del disvelamento.
La gestione della Piattaforma prescelta dal Titolare del trattamento per le attività inerenti al Whistleblowing è affidata alla società fornitrice DigitalPA s.r.l., con sede legale a Cagliari, via T. D’Aquino, 18, che, nominata Responsabile del trattamento, ne garantisce il funzionamento e mantenimento tecnico, senza accedere ai dati delle segnalazioni, ma assicurandone sicurezza e riservatezza, conformemente alla normativa sulla protezione dei dati.
In base a quanto disposto dalle norme vigenti, i dati personali verranno comunicati, ove richiesto o necessario, alle competenti Autorità, le quali agiranno come autonomi e distinti Titolari del Trattamento.
I dati non saranno oggetto di diffusione, né ne è previsto il trasferimento al di fuori dell’UE.
PERIODO DI CONSERVAZIONE
I dati saranno conservati negli archivi informatici e cartacei del Titolare, protetti da idonee misure di sicurezza, per il periodo di tempo non superiore a quello indispensabile al raggiungimento degli scopi per i quali sono stati raccolti e per il maggior periodo eventualmente necessario per adempiere a disposizioni di legge e/o ai fini di tutela giudiziaria, nel rispetto dei termini prescrizionali di legge. In particolare, i dati inerenti alla segnalazione saranno trattati per la durata di gestione della stessa e conservati non oltre cinque anni dalla data della comunicazione dell'esito finale della procedura, fatti salvi i casi nei quali la conservazione per un periodo successivo sia richiesta per eventuali contenziosi, richieste delle autorità competenti o ai sensi della normativa applicabile.
NATURA DEL CONFERIMENTO DEI DATI
Il conferimento dei dati richiesti con il simbolo (*), nei form presenti sulla Piattaforma, è obbligatorio, al fine di dar corso alla procedura e, in mancanza degli stessi, la segnalazione non potrà essere gestita con successo.
Il mancato consenso alla trasmissione dei dati del Segnalante a persone diverse da quelle competenti a ricevere e dare seguito alla segnalazione determinerà l’impossibilità di trasmettere tali informazioni.
DIRITTI DELL’INTERESSATO
L’interessato potrà esercitare i diritti di accesso, rettifica, cancellazione, portabilità presso altro titolare, limitazione del trattamento, nonché opposizione, ai sensi e per gli effetti degli artt. 15-22 del Reg. UE 679/16, scrivendo ad uno dei recapiti del Titolare del trattamento sopra riportati.
Se l’interessato, su richiesta del Gestore della segnalazione, abbia prestato consenso espresso alla rivelazione della propria identità a persone diverse da quelle competenti a trattare le segnalazioni, potrà revocare tale consenso in ogni momento, purché il Gestore della segnalazione non abbia già provveduto a renderla nota, sulla base del consenso previamente ottenuto.
Comunque, il Titolare non potrà dare corso alle istanze di esercizio dei diritti sopra indicati qualora dallo stesso possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del Segnalante, ai sensi e per gli effetti dell’art. 2-undecies, lettera f) del D.Lgs. 196/03 e ss. modifiche. In tali casi, i diritti dell’interessato potranno essere esercitati anche tramite il Garante per la protezione dei dati personali con le modalità di cui all’art. 160 della medesima normativa.
All’interessato è riconosciuto il diritto di proporre reclamo alla medesima Autorità di controllo, Garante per la protezione dei dati personali, e/o di presentare ricorso all’Autorità Giudiziaria.