INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI NELL’AMBITO DELLE SEGNALAZIONI WHISTLEBLOWING
ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”)
Gentile Utente,
la società DA GROUP S.r.l. con sede legale in Via Giuseppe Mazzini, 3 – 33070 Brugnera (PN) – P.IVA 00066840935, in qualità di titolare del trattamento (di seguito la “Società” o il “Titolare”), è tenuta a fornirLe alcune informazioni riguardanti il trattamento dei dati personali raccolti mediante i canali che la Società ha messo a disposizione di coloro che intendono inviare, secondo quanto previsto dalla procedura di whistleblowing (di seguito, la “Procedura Whistleblowing” o “Procedura“), una segnalazione con la relativa documentazione (di seguito “Segnalazione”) delle violazioni indicate nella Procedura stessa, in attuazione di quanto previsto dal D. Lgs 10 marzo 2023, n. 24 (di seguito il “Decreto”).
1. QUALI DATI PERSONALI POSSONO ESSERE RACCOLTI
Qualora venga effettuata una Segnalazione, la Società per il tramite del Comitato Whistleblowing (di seguito “Gestore delle segnalazioni” o “Gestore”) con riferimento ai seguenti interessati (“Interessati”) già definiti dal Decreto:
- persona segnalante (di seguito anche “Segnalante”),
- persona coinvolta, persona menzionata nella segnalazione ed il facilitatore,
raccoglierà e tratterà i dati personali pertinenti e inseriti dal Segnalante (es. tramite i campi di testo libero nel modulo di registrazione) nella Segnalazione, quali ad esempio:
- dati identificativi e di contatto quali ad es. nome e cognome, e-mail, numero di telefono. I dati identificativi del Segnalante non saranno raccolti qualora sia effettuata una segnalazione anonima che contenga gli elementi essenziali previsti dalla Procedura;
- dati relativi all’occupazione quali ad occupazione, funzione, ruolo aziendale;
- fatti, atti inerenti ogni altro contenuto della Segnalazione;
- dati finanziari ed economici quali ad es. informazioni relative a conti correnti, carte di credito, somme di denaro, emolumenti;
- immagini, foto, audio e voce;
(di seguito congiuntamente anche “Dati personali”).
Le Segnalazioni potranno essere effettuate mediante invio di una lettera raccomandata (come meglio definito dalla Procedura) al Comitato. Nell’ambito della Procedura possono essere effettuate Segnalazioni sia in forma scritta sia in forma orale chiedendo un incontro con il Comitato o suo componente.
I Dati personali delle Segnalazioni potranno essere trattati, su richiesta del Segnalante, con un incontro diretto con il Gestore delle segnalazioni ovvero mediante gli ulteriori canali esterni previsti dal Decreto.
Le Segnalazioni effettuate oralmente nel corso di un incontro richiesto dal Segnalante, saranno documentate, previo consenso di quest’ultimo, o mediante registrazione su dispositivo idoneo alla conservazione e all’ascolto o mediante verbalizzazione.
La Segnalazione non dovrà contenere fatti non rilevanti ai fini della stessa, né categorie particolari di dati personali, di cui all’art. 9 del GDPR (di seguito anche “Categorie particolari di dati”, cioè quelli da cui possono eventualmente desumersi, fra l’altro, l’origine razziale ed etnica, le convinzioni filosofiche e religiose, l’adesione a partiti o sindacati, nonché lo stato di salute la vita sessuale o l’orientamento sessuale), né dati relativi a condanne penale e reati di cui all’art. 10 del GDPR, salvo i casi in cui ciò sia inevitabile e necessario ai fini della Segnalazione stessa.
Fermo quanto sopra, il Titolare con la presente mette a disposizione degli Interessati le informazioni relative al trattamento dei dati personali che li riguardano, riservandosi eventualmente di fornirla nuovamente agli Interessati in un momento successivo alla Segnalazione, al fine di assicurare l’efficacia della Procedura Whistleblowing e di non compromettere le eventuali indagini avviate dalla Società o dalle Autorità.
2. PER QUALI FINALITÀ POSSONO ESSERE UTILIZZATI I DATI PERSONALI
Salvo le ipotesi di Segnalazione anonima in cui i dati identificativi del Segnalante non sono raccolti, in tutti gli altri casi i Dati personali saranno trattati per finalità connesse alla ricezione e gestione della Segnalazione nel rispetto del Decreto e della Procedura Whistleblowing. Presupposto per il trattamento è l’adempimento di un obbligo di legge cui è soggetto il Titolare ex art. 6, par. 1, lettera c) del GDPR come previsto dal Decreto. Il conferimento dei Dati personali è obbligatorio, poiché in difetto la Società si troverebbe nell’impossibilità di adempiere agli specifici obblighi di legge relativi alla gestione delle Segnalazioni e, di conseguenza, non potrebbe garantire le misure di protezione previste dal Decreto a favore degli Interessati
I Dati personali saranno tratti per finalità connesse ad esigenze di difesa dei diritti nel corso di procedimenti giudiziali, amministrativi o stragiudiziali e nell’ambito di controversie sorte in relazione alla Segnalazione effettuata. Inoltre, i Dati personali potranno essere trattati dalla Società per agire in giudizio o per avanzare pretese.
Presupposto per il trattamento è il legittimo interesse della Società ex art. 6, par. 1, lett. f) del GDPR alla tutela dei propri diritti. In questo caso, non è richiesto un nuovo e specifico conferimento, poiché la Società perseguirà la presente ulteriore finalità, ove necessario, trattando i Dati personali raccolti per le finalità di cui sopra, ritenute compatibili con la presente (anche in ragione del contesto in cui i Dati personali sono stati raccolti, del rapporto tra Lei e la Società, della natura dei dati stessi e delle garanzie adeguate per il loro trattamento, oltre che del nesso tra la finalità sub A. e la presente ulteriore finalità).
Come precisato nel precedente paragrafo 1, la Segnalazione non deve contenere Categorie particolari di dati personali, salvo i casi in cui ciò sia inevitabile e necessario ai fini della Segnalazione stessa. In tal caso, il presupposto di liceità del trattamento di tali dati personali si fonda sull’art. 9, secondo paragrafo, lett. b) del GDPR relativamente alla finalità sub A, e sull’art. 9, secondo paragrafo, lett. f) del GDPR relativamente alla finalità sub B.
Per quanto riguarda gli eventuali dati relativi a condanne penali e reati la condizione di legittimità è da rinvenirsi in base all’art. 2-octies del D.lgs. 196/2003, come modificato dal D.lgs. 101/2018 e dal Decreto (“Codice Privacy”) – nell’adempimento degli obblighi di legge di cui al Decreto.
3. COME MANTENIAMO SICURI I DATI PERSONALI E PER QUANTO TEMPO
Il trattamento dei Dati personali è improntato ai principi di correttezza, liceità, trasparenza, integrità e riservatezza. Il trattamento è effettuato anche attraverso modalità automatizzate atte a memorizzarli, gestirli e trasmetterli. Il trattamento avverrà mediante strumenti idonei e garantire la sicurezza e la riservatezza mediante l’utilizzo di procedure idonee ad evitare il rischio di perdita, accesso non autorizzato, uso illecito e diffusione. Ciò avviene tramite l’adozione di tecniche di cifratura e l’attuazione di misure di sicurezza tecnico- organizzative definite, valutate ed implementate anche alla luce di una valutazione d’impatto ai sensi dell’art. 35 del GDPR, come ad esempio il camuffamento della voce nella messaggistica vocale.
I Dati personali contenuti nella Segnalazione saranno conservati non oltre 5 anni a decorrere dalla data di comunicazione dell’esito finale della procedura di segnalazione. I Dati personali che manifestamente non sono utili al trattamento di una specifica Segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente.
4. CON CHI POSSIAMO CONDIVIDERE I DATI PERSONALI
L’accesso ai Dati personali sarà consentito esclusivamente al Gestore delle segnalazioni nell’ambito del quale è stato autorizzato il personale ai sensi degli artt. 29 GDPR e 2-quaterdecies del Codice Privacy.
Successivamente, nella fase di accertamento della fondatezza della Segnalazione, laddove si renda necessario per esigenze connesse alle attività istruttorie, i Dati personali potranno essere inoltrati nel rispetto del principio di riservatezza al personale appositamente autorizzato. Informazioni più dettagliate del processo di gestione della Segnalazione e i soggetti coinvolti, sono disponibili all’interno della Procedura Whistleblowing.
Inoltre, i Dati personali potranno essere comunicati, ove necessario e ne ricorrano i presupposti, alle pubbliche autorità (iv incluse quelle amministrative, giudiziarie e di pubblica sicurezza).
5. TRASFERIMENTO INTERNAZIONALE
I Dati personali saranno trattati all’interno dello Spazio Economico Europeo (SEE) e conservati in server ubicati all’interno del medesimo.
6. I DIRITTI IN MATERIA DI PROTEZIONE DEI DATI E IL DIRITTO DI AVANZARE RECLAMI DINNANZI ALL’AUTORITÀ DI CONTROLLO
Ogni Interessato ha il diritto di chiedere alla Società, previa sussistenza dei presupposti di cui al GDPR ed al Codice Privacy:
- l’accesso ai Dati personali, come previsto dall’art. 15 del GDPR;
- la rettifica o l’integrazione dei Dati personali in possesso della Società ritenuti inesatti, come previsto dall’art. 16 del GDPR;
- la cancellazione dei Dati personali per il quale la Società non ha più alcun presupposto giuridico per il trattamento come previsto dall’art. 17 del GDPR;
- la limitazione del modo in cui la Società tratta i Dati personali qualora ricorra una delle ipotesi previsti dall’art. 18 del GDPR;
- la copia dei Dati personali da forniti alla Società, in un formato strutturato, di uso comune e leggibile da dispositivo automatico e la trasmissione di tali Dati personali ad un altro titolare del trattamento (cd. portabilità), come previsto dall’art. 20 del GDPR;
- di proporre reclamo al Garante per la protezione dei dati personali come previsto all’art. 77 del GDPR, utilizzando i riferimenti disponibili sul sito internet garanteprivacy.it, o di adire le opportune sedi giudiziarie.
Diritto di opposizione: oltre ai diritti sopra elencati, l’Interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla Sua situazione particolare, al trattamento dei Dati personali che Lo riguardano da parte della Società per il perseguimento del proprio legittimo interesse, come previsto dall’art. 21 del GDPR.
I predetti diritti potranno essere limitati ai sensi e per gli effetti di cui all’art. 2-undecies, primo comma lett.
- f) del Codice Privacy, qualora dall’esercizio degli stessi possa derivare un pregiudizio concreto ed effettivo alla riservatezza dell’identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte, ai sensi del Decreto.
In tali casi, i diritti dell’Interessato possono essere esercitati anche tramite il Garante Privacy con le modalità di cui all’articolo 160 del Codice Privacy. In tale ipotesi, il Garante Privacy informa l’Interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale.
7. CONTATTI
I dati di contatto della Società, quale Titolare del trattamento, sono i seguenti: privacy@dallagnese.it.
Per ogni ulteriore informazione in merito al trattamento dei Dati personali e per esercitare i diritti, al di fuori delle ipotesi di cui sopra, potrà contattare la Società ai seguenti indirizzi: email privacy@dallagnese.it o una PEC al dallagnese@pec.it o con lettera raccomandata a/r al seguente indirizzo: Da Group S.r.l. – Via Mazzini n. 3 – 33070 Brugnera (PN).
In tal caso nessuna informazione specifica o indiretta alla propria eventuale qualità di Segnalante (o Interessato) dovrà essere indicata nella comunicazione.