Whistleblowing

Informativa Whistleblowing

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI WHISTLEBLOWING

La Sampaolo Stampi srl informa gli interessati riguardo il trattamento dei loro dati personali nell’ambito dell’attività di acquisizione e gestione delle segnalazioni di illeciti (c.d. “whistleblowing”).

Questa informativa viene resa ai sensi degli artt. 13 e 14 Regolamento UE 2016/679 sulla protezione dei dati personali (“GDPR”) e del D.l. del 10 marzo 2023, n. 24, in accordo ai principi di trasparenza e correttezza e nel rispetto dei diritti degli interessati.

TITOLARE DEL TRATTAMENTO

Chi tratta i dati personali e a chi l’interessato può rivolgersi per avere informazioni ed esercitare i propri diritti

Il Titolare del trattamento è Sampaolo Stampi srl, sito in Montelupone via Peschiera 7/A 62010 (MC), stabilito nell’Unione Europea, che può essere contattato ai seguenti recapiti: SAMPAOLO@PEC.IT

REFERENTE PRIVACY

Il Titolare del trattamento ha individuato un referente privacy che opera in stretta collaborazione con il Titolare del trattamento. È possibile rivolgersi al referente privacy per qualunque informazione inerente il trattamento dei dati personali, l’esercizio dei diritti degli interessati, le politiche e le misure di sicurezza adottate, l’elenco dei responsabili che effettuano operazioni di trattamento sui dati personali.

Il referente privacy può essere contattato all’indirizzo: info@sampaolo.it

INTERESSATI AL TRATTAMENTO

I soggetti di cui sono trattati i dati e a cui sono riconosciuti i diritti

Gli interessati al trattamento sono coloro che interagiscono il Titolare del trattamento: il soggetto segnalante, la persona coinvolta (segnalato), il facilitatore, le altre persone eventualmente menzionate nella segnalazione.

ORIGINE DEI DATI

Da dove provengono i dati personali

I dati del segnalante sono acquisiti presso l’interessato in occasione della ricezione e gestione della segnalazione. I dati personali del segnalato e/o di terzi sono forniti dal soggetto segnalante.

CATEGORIE DI DATI PERSONALI

Quali dati sono trattati

Il trattamento riguarda dati personali del segnalante e delle persone coinvolte, raccolti mediante la segnalazione, quali nome, cognome, indirizzo email, indirizzo postale, qualifica professionale.

In relazione alle necessità di gestione della segnalazione possono essere acquisiti anche telefono, codice fiscale, copia del documento di identità qualora necessario all’identificazione del segnalante.

Ai dati ricevuti in occasione della segnalazione possono aggiungersi quelli che possono essere già nella disponibilità del Titolare del trattamento o acquisiti nell’ambito delle attività volte alla verifica della fondatezza della segnalazione e di quanto in essa descritto, sempre nel rispetto delle disposizioni di legge.

In relazione all’oggetto della segnalazione potrebbero essere trattati dati personali qualificabili come particolari (ovvero quei dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati relativi alla salute).

Salvo specifiche disposizioni di legge, incluso il trattamento preordinato all’attività di prevenzione della responsabilità penale dell’impresa conformemente alle previsioni del D.lgs 231/2001 e nel rispetto delle previsioni di cui all’art. 10 del GDPR, non saranno trattati dati personali relativi a condanne penali e reati e  Il Titolare del trattamento tratterà questi dati solamente qualora liberamente forniti dal segnalante quali elementi caratterizzanti della segnalazione.

Qualora vi sia necessità di acquisire e trattare dati di tipo particolare o relativi a condanne penali e reati sarà cura del Titolare del trattamento informare gli interessati in merito.

FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO

Per quale motivo sono trattati i dati

Il trattamento dei dati personali avviene per le finalità di acquisizione e gestione delle segnalazioni di fatti illeciti e per la gestione dell’eventuale istruttoria per i successivi procedimenti.

La base giuridica di tale trattamento è rappresentata dall’art. 6, c. 1, lett. c) del GDPR (adempimento di un obbligo legale al quale è soggetto il titolare del trattamento).

La segnalazione potrà essere utilizzata per un eventuale il procedimento disciplinare solo in caso di un espresso consenso del segnalante a rivelare la sua identità (art 6 par 1 lett a) del GDPR), ove la stessa sia necessaria per lo svolgimento del procedimento.

La segnalazione telefonica o tramite messaggistica potrà essere registrata o trascritta solo con espresso consenso del segnalante (art 6 par 1 lett a) del GDPR).

I dati, inclusi quelli di natura sensibile, possono essere trattati in relazione alla la necessità di accertare, esercitare o difendere un diritto in sede giudiziaria, qualora risultasse necessario in base alle evidenze rilevate nel corso dell’istruttoria (art 9 par 2 lett. f) del GDPR), per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale (art. 9, par. 2, lett. b) GDPR).

I dati possono essere trattati sulla base del legittimo interesse del Il Titolare del trattamento per finalità di tutela del patrimonio aziendale, in relazione alle evidenze contenute nella segnalazione (art 6 par 1 lett f) del GDPR).

I dati possono inoltre essere trattati per finalità relative ad ulteriori obblighi legali al quale la nostra organizzazione può essere soggetta, ovvero:

  • adempiere agli obblighi generali previsti dalla legge, dai regolamenti, dalla normativa comunitaria o da ordini impartiti dalle Autorità ed altre Istituzioni competenti
  • dare seguito a richieste da parte dell’Autorità amministrativa o giudiziaria competente e, più in generale, di soggetti pubblici nel rispetto delle formalità di legge

MODALITÀ DEL TRATTAMENTO

In che modo sono trattati i dati

Le Segnalazioni vengono ricevute esclusivamente dalle funzioni dedicate alla gestione delle segnalazioni che gestiscono le medesime secondo una procedura prestabilita.

Le Segnalazioni sono acquisite nelle modalità indicate nella Procedura delle segnalazioni whisteblowing.

Il trattamento avviene mediante l’utilizzo di procedure e strumenti, anche informatici, idonei a garantire l’integrità e la disponibilità dei dati, nonché la riservatezza dell’identità’ della persona segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché’ del contenuto della segnalazione e della relativa documentazione. L’identità del segnalante viene protetta ad eccezione dei casi in cui sia configurabile una responsabilità a titolo di calunnia e di diffamazione e delle ipotesi in cui l’anonimato non sia opponibile per legge.

I dati personali sono trattati esclusivamente da parte di personale autorizzato ed istruito, competente a ricevere o a dare seguito alle segnalazioni, obbligato alla riservatezza ed al quale è consentito l’accesso ai dati personali nella misura e nei limiti in cui esso è necessario per lo svolgimento delle attività di trattamento.

La trasmissione di dati ed informazioni tramite posta elettronica, personale o istituzionale, o PEC non può ritenersi sicura ed alcune informazioni digitali esteriori (tra cui i metadati, LOG, indirizzi IP e sorgenti del messaggio) possono consentire l’identificazione del mittente: si raccomanda pertanto l’utilizzo delle altre modalità messe a disposizione allo scopo.

PROCESSO DECISIONALE AUTOMATIZZATO E PROFILAZIONE

Nel trattamento dei dati personali non è adottato un processo decisionale automatizzato, compresa la profilazione, di cui all’art. 22, paragrafi 1 e 4, del GDPR.

DURATA DEL TRATTAMENTO

Per quanto tempo vengono trattati i dati

Le segnalazioni e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e, se del caso, all’adozione dei provvedimenti disciplinari conseguenti e/o all’esaurirsi di eventuali contenziosi avviati a seguito della segnalazione.

Il trattamento non si protrarrà oltre 5 anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.

Successivamente tali dati potranno essere trattati in forma anonima per finalità statistiche o di storicizzazione.

GESTIONE DELLE VIOLAZIONI (“DATA BREACH”)

I dati saranno conservati con decorrenza dalla rilevazione dell’evento di pericolo o di violazione dei dati (data breach), per il tempo necessario a procedere alla notificazione all’Autorità della violazione dei dati rilevati e per adottare le relative misure di ripristino e messa in sicurezza.

OBBLIGO O FACOLTÀ DI CONFERIRE I DATI

Il conferimento dei dati personali da parte del segnalante è facoltativo, essendo comunque possibile la forma della “segnalazione anonima”. Il mancato conferimento potrebbe tuttavia pregiudicare l’istruttoria, in qualora i dati siano necessari all’esecuzione della stessa.

Nel caso in cui la Segnalazione portasse all’instaurazione di un procedimento disciplinare nei confronti del responsabile della condotta illecita, l’identità del Segnalante non verrà mai rivelata. Qualora la conoscenza della identità del Segnalante fosse indispensabile per la difesa del soggetto presunto autore dell’illecito, verrà domandato al Segnalante se intenda rilasciare un apposito, libero consenso ai fini della rivelazione della propria identità.

Si ricorda che le segnalazioni effettuate in forma anonima possono essere prese in considerazione solo se adeguatamente circostanziate e rese con dovizia di particolari ovvero con tutti gli elementi informativi utili per verificarle.

DESTINATARI DEI DATI

 A quali soggetti vengono comunicati i dati

AMBITO DI CONOSCENZA INTERNO ALL’ORGANIZZAZIONE

Vengono a conoscenza dei dati personali le funzioni autonome dedicate alla gestione delle segnalazioni e dell’eventuale istruttoria per i successivi procedimenti.

Qualora, all’esito della verifica, non si ravvisino elementi di manifesta infondatezza del fatto segnalato, la funzione provvederà a trasmettere l’esito dell’accertamento per approfondimenti istruttori o per l’adozione dei provvedimenti di competenza:

  • alla funzione Responsabile delle risorse umane nonché al Responsabile dell’unità organizzativa di appartenenza dell’autore della violazione, affinché sia espletato, ove ne ricorrano i presupposti, l’esercizio dell’azione disciplinare;
  • agli organi e alle strutture competenti organizzazione affinché adottino gli eventuali ulteriori provvedimenti e/o azioni ritenuti necessari, anche a tutela dell’organizzazione stessa;

COMUNICAZIONE DEI DATI ALL’ESTERNO

La comunicazione dei dati personali avviene per l’espletamento delle attività inerenti alla gestione della segnalazione, nonché per rispondere a determinati obblighi di legge. In particolare, la comunicazione potrà avvenire nei confronti di:

  • soggetti pubblici o privati in presenza di violazioni delle normative applicabili o che possono accedervi in forza di disposizione di legge, di regolamenti o di normativa comunitaria, nei limiti previsti da tali norme (Istituzioni, Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia)
  • consulenti e professionisti (es. studi legali) eventualmente coinvolti nella fase istruttoria della segnalazione, nei limiti necessari per svolgere il loro incarico presso la nostra organizzazione, previa designazione quali responsabili del trattamento che impone il rispetto di istruzioni e doveri di riservatezza e sicurezza al fine di poter garantire la riservatezza e la protezione dei dati.
  • fornitori di servizi, strumentali al perseguimento delle finalità di gestione delle segnalazioni, previa designazione quali responsabili del trattamento

L’elenco dei responsabili del trattamento è disponibile presso il Titolare del trattamento.

La comunicazione dei Suoi dati personali è limitata esclusivamente ai dati necessari per il raggiungimento delle specifiche finalità cui sono destinati. 

I dati personali non verranno diffusi (ad esempio tramite pubblicazione).

TRASFERIMENTO DEI DATI PERSONALI AL DI FUORE DELL’UE

I Suoi dati personali non saranno trasferiti in paesi terzi non appartenenti all’Unione Europea.

I DIRITTI DELL’INTERESSATO

L’interessato ha il diritto esercitare i diritti che gli sono riconosciuti, ai sensi degli artt. da 15 a 22 del Regolamento UE 2016/679, ovvero:

  1. chiedere la conferma dell’esistenza o meno di propri dati personali trattati;
  1. ottenere le indicazioni circa le finalità del trattamento, le categorie dei dati personali trattati, i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, il periodo di conservazione dei dati o i criteri utili per determinarlo;
  2. aggiornare, rettificare, integrare i dati personali, affinché siano sempre esatti e completi;
  3. cancellare i dati personali quando non più necessari per le finalità del trattamento, qualora sussistano le condizioni di legge ed il trattamento non sia giustificato da altro legittimo motivo;
  4. limitare il trattamento dei dati personali, qualora ne sussistano le condizioni, tra cui l’inesattezza, l’opposizione al trattamento, il trattamento illecito.
  5. opporsi al trattamento in qualsiasi momento
  6. revocare il consenso, qualora fornito per specifiche attività di trattamento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso svolto prima della revoca stessa;
  7. il diritto di proporre reclamo a un’Autorità di Controllo (Autorità Nazionale: Garante Per la Protezione dei Dati Personali, email: garante@gpdp.it): fatta salva ogni altra azione in sede amministrativa o giudiziaria, il reclamo può essere presentato all’Autorità Garante per la protezione dei dati personali. Oppure, qualora ve ne siano le condizioni, tra cui la Sua diversa residenza o il diverso Stato membro presso cui sia avvenuta la violazione della normativa, presso le autorità di controllo stabilite in altro paese UE.

Per esercitare tali diritti può rivolgersi, con richiesta rivolta senza formalità, al Titolare del trattamento, i cui dati di contatto sono indicati all’inizio di questa informativa, che procederà in tal senso senza ritardo.

Se dall’esercizio dei diritti possa derivare un pregiudizio alla tutela della riservatezza dell’identità del segnalante, alla persona coinvolta o la persona menzionata nella segnalazione è preclusa la possibilità di rivolgersi al Titolare del trattamento. In tal caso i diritti potranno essere esercitati per tramite del Autorità Garante per la protezione dei dati personali (con le modalità di cui all’articolo 160 del Codice Privacy). In tale ipotesi, l’Autorità Garante informa l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché’ del diritto dell’interessato di proporre ricorso giurisdizionale.

Qualora il Titolare del trattamento intenda avviare un trattamento dei dati per finalità ulteriori rispetto a quelle di cui alla presente informativa, provvederà, prima di procedervi, ad informarLa e ad ottenere, se necessario, il relativo consenso.

AGGIORNAMENTI

Il Titolare del trattamento aggiorna le politiche e le prassi interne adottate nella protezione dei dati personali ogni qualvolta sia necessario ed in caso di modifiche normative e organizzative che abbiano rilevanza sul trattamento dei dati personali.

Ogni aggiornamento della presente informativa sarà reso disponibile tempestivamente e mediante mezzi congrui.