Whistleblowing

Informativa Whistleblowing Segnalato

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

La Sampaolo Stampi srl informa i soggetti segnalati (“persone coinvolte”) riguardo il trattamento dei loro dati personali nell’ambito dell’attività di acquisizione e gestione delle segnalazioni di illeciti (c.d. “whistleblowing”).

Si precisa che tali soggetti hanno il diritto di essere informati della segnalazione che li riguarda esclusivamente nell’ambito del procedimento eventualmente avviato nei loro confronti a seguito della conclusione della attività istruttoria di verifica e analisi della segnalazione e nel caso in cui tale procedimento sia fondato in tutto o in parte sulla segnalazione. Questa limitazione del diritto di informazione si pone a tutela dello svolgimento dell’attività istruttoria, con particolare riferimento alle eventuali successive indagini, anche di natura penale (art 14 par 5 lett. b) e d) del GDPR).

Questa informativa integra l’informativa sul trattamento dei dati personali whistleblowing e viene resa ai sensi dell’art 14 Regolamento UE 2016/679 sulla protezione dei dati personali (“GDPR”) e del D.l. del 10 marzo 2023, n. 24, in accordo ai principi di trasparenza e correttezza e nel rispetto dei diritti degli interessati.

TITOLARE DEL TRATTAMENTO

Chi tratta i dati personali e a chi l’interessato può rivolgersi per avere informazioni ed esercitare i propri diritti

Il Titolare del trattamento è Sampaolo Stampi srl, sito in Montelupone via Peschiera 7/A 62010 (MC) stabilito nell’Unione Europea, che può essere contattato ai seguenti recapiti: SAMPAOLO@PEC.IT

REFERENTE PRIVACY

Il Titolare del trattamento ha individuato un referente privacy che opera in stretta collaborazione con il Titolare del trattamento. È possibile rivolgersi al referente privacy per qualunque informazione inerente il trattamento dei dati personali, l’esercizio dei diritti degli interessati, le politiche e le misure di sicurezza adottate, l’elenco dei responsabili che effettuano operazioni di trattamento sui dati personali.

Il referente privacy può essere contattato all’ all’indirizzo: info@sampaolo.it

INTERESSATI AL TRATTAMENTO

I soggetti di cui sono trattati i dati e a cui sono riconosciuti i diritti

Gli interessati al trattamento sono le persone coinvolte (soggetti segnalati).

ORIGINE DEI DATI

Da dove provengono i dati personali

I dati personali relativi alle persone segnalate l segnalato sono acquisiti in occasione della ricezione della segnalazione e delle relative informazioni fornite dal segnalante.

CATEGORIE DI DATI PERSONALI

Quali dati sono trattati

Il trattamento riguarda dati personali raccolti mediante la segnalazione e possono riguardare dati anagrafici (es. nome, cognome, luogo di nascita), dati di contatto (es. indirizzo email, numero di telefono indirizzo postale), dati di natura professionale (es. qualifica, area di appartenenza, ruolo aziendale, tipo di rapporto intrattenuto con l’organizzazione, professione) ed ogni altra informazione riferita alle persone segnalate che il segnalante ritiene di fornire per circostanziare la segnalazione.

In relazione alle necessità di gestione della segnalazione possono essere acquisite, anche su richiesta delle persone segnalate, osservazioni scritte e documenti.

Ai dati ricevuti in occasione della segnalazione possono aggiungersi quelli che possono essere già nella disponibilità del Titolare del trattamento o acquisiti nell’ambito delle attività volte alla verifica della fondatezza della denuncia e di quanto in essa descritto, sempre nel rispetto delle disposizioni di legge.

In relazione all’oggetto della segnalazione potrebbero essere trattati dati personali qualificabili come particolari (ovvero quei dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona)

Salvo specifiche disposizioni di legge, incluso il trattamento preordinato all’attività di prevenzione della responsabilità penale dell’impresa conformemente alle previsioni del D.lgs 231/2001 e nel rispetto delle previsioni di cui all’art. 10 del GDPR, non saranno trattati dati personali relativi a condanne penali e reati e  il Titolare del trattamento tratterà questi dati solamente qualora liberamente forniti dal segnalante quali elementi caratterizzanti della segnalazione.

Qualora vi sia necessità di acquisire e trattare dati di tipo particolare o relativi a condanne penali e reati sarà cura del Titolare del trattamento informare gli interessati in merito.

FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO

Per quale motivo sono trattati i dati

Il trattamento dei dati personali avviene per le finalità di acquisizione e gestione delle segnalazioni di fatti illeciti e per la gestione dell’eventuale istruttoria per i successivi procedimenti.

La base giuridica di tale trattamento è rappresentata dall’art. 6, c. 1, lett. c) del GDPR (adempimento di un obbligo legale al quale è soggetto il titolare del trattamento).

I dati, inclusi quelli di natura sensibile, possono essere trattati in relazione alla la necessità di accertare, esercitare o difendere un diritto in sede giudiziaria, qualora risultasse necessario in base alle evidenze rilevate nel corso dell’istruttoria (art 9 par 2 lett f) del GDPR), per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale (art. 9, par. 2, lett. b) GDPR).

I dati possono essere trattati sulla base dell’interesse legittimo del Titolare per finalità di tutela del patrimonio aziendale, in relazione alle evidenze contenute nella segnalazione (art 9 par 2 lett f) del GDPR).

I dati possono inoltre essere trattati per finalità relative ad ulteriori obblighi legali al quale la nostra organizzazione può essere soggetta, ovvero:

  • adempiere agli obblighi generali previsti dalla legge, dai regolamenti, dalla normativa comunitaria o da ordini impartiti dalle Autorità ed altre Istituzioni competenti
  • dare seguito a richieste da parte dell’Autorità amministrativa o giudiziaria competente e, più in generale, di soggetti pubblici nel rispetto delle formalità di legge

MODALITÀ DEL TRATTAMENTO

In che modo sono trattati i dati

Le Segnalazioni vengono ricevute esclusivamente dalle funzioni dedicate alla gestione delle segnalazioni che gestiscono le medesime secondo una procedura prestabilita.

Il trattamento avviene mediante l’utilizzo di procedure e strumenti, anche informatici, idonei a garantire l’integrità e la disponibilità dei dati, nonché la riservatezza dell’identità’ delle persone coinvolte e della persona comunque menzionata nella segnalazione, nonché’ del contenuto della segnalazione e della relativa documentazione.

Fa eccezione a questo dovere di riservatezza delle persone coinvolte o menzionate nella segnalazione il caso in cui le segnalazioni siano oggetto di denuncia alle Autorità giudiziarie.

I dati personali sono trattati esclusivamente da parte di personale autorizzato ed istruito, competente a ricevere o a dare seguito alle segnalazioni, obbligato alla riservatezza ed al quale è consentito l’accesso ai dati personali nella misura e nei limiti in cui esso è necessario per lo svolgimento delle attività di trattamento.

PROCESSO DECISIONALE AUTOMATIZZATO E PROFILAZIONE

Nel trattamento dei dati personali non è adottato un processo decisionale automatizzato, compresa la profilazione, di cui all’art. 22, paragrafi 1 e 4, del GDPR.

DURATA DEL TRATTAMENTO

Per quanto tempo vengono trattati i dati

Le segnalazioni e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e, se del caso, all’adozione dei provvedimenti disciplinari conseguenti e/o all’esaurirsi di eventuali contenziosi avviati a seguito della segnalazione.

Il trattamento non si protrarrà oltre 5 anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.

Successivamente tali dati potranno essere trattati in forma anonima per finalità statistiche o di storicizzazione.

GESTIONE DELLE VIOLAZIONI (“DATA BREACH”)

I dati saranno conservati con decorrenza dalla rilevazione dell’evento di pericolo o di violazione dei dati (data breach), per il tempo necessario a procedere alla notificazione all’Autorità della violazione dei dati rilevati e per adottare le relative misure di ripristino e messa in sicurezza.

DESTINATARI DEI DATI

 A quali soggetti vengono comunicati i dati

AMBITO DI CONOSCENZA INTERNO ALL’ORGANIZZAZIONE

Vengono a conoscenza dei dati personali le funzioni autonome dedicate alla gestione delle segnalazioni e dell’eventuale istruttoria per i successivi procedimenti.

Qualora, all’esito della verifica, non si ravvisino elementi di manifesta infondatezza del fatto segnalato, la funzione provvederà a trasmettere l’esito dell’accertamento per approfondimenti istruttori o per l’adozione dei provvedimenti di competenza:

  • alla funzione Responsabile delle risorse umane nonché al Responsabile dell’unità organizzativa di appartenenza dell’autore della violazione, affinché sia espletato, ove ne ricorrano i presupposti, l’esercizio dell’azione disciplinare;
  • agli organi e alle strutture competenti organizzazione affinché adottino gli eventuali ulteriori provvedimenti e/o azioni ritenuti necessari, anche a tutela dell’organizzazione stessa;

COMUNICAZIONE DEI DATI ALL’ESTERNO

La comunicazione dei dati personali avviene per l’espletamento delle attività inerenti alla gestione della segnalazione, nonché per rispondere a determinati obblighi di legge. In particolare, la comunicazione potrà avvenire nei confronti di:

  • soggetti pubblici o privati in presenza di violazioni delle normative applicabili o che possono accedervi in forza di disposizione di legge, di regolamenti o di normativa comunitaria, nei limiti previsti da tali norme (Istituzioni, Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia)
  • consulenti e professionisti (es. studi legali) eventualmente coinvolti nella fase istruttoria della segnalazione, nei limiti necessari per svolgere il loro incarico presso la nostra organizzazione, previa designazione quali responsabili del trattamento che impone il rispetto di istruzioni e doveri di riservatezza e sicurezza al fine di poter garantire la riservatezza e la protezione dei dati.
  • fornitori di servizi strumentali al perseguimento delle finalità di gestione delle segnalazioni, previa designazione quali responsabili del trattamento

L’elenco dei responsabili del trattamento è disponibile presso il Titolare del trattamento.

La comunicazione dei Suoi dati personali è limitata esclusivamente ai dati necessari per il raggiungimento delle specifiche finalità cui sono destinati. 

I dati personali non verranno diffusi (ad esempio tramite pubblicazione).

TRASFERIMENTO DEI DATI PERSONALI AL DI FUORE DELL’UE

I Suoi dati personali non saranno trasferiti in terzi non appartenenti all’Unione Europea.

I DIRITTI DELL’INTERESSATO

L’esercizio dei diritti di cui agli articoli da 15 a 22 del GDPR (accesso, rettifica, cancellazione, limitazione del trattamento, opposizione al trattamento, portabilità) non sono preclusi in termini assoluti al soggetto interessato ma non possono essere esercitati, anche in relazione alla conoscenza dell’origine dei dati, qualora dall’esercizio dei diritti possa derivare un pregiudizio alla tutela della riservatezza dell’identità del segnalante o della persona menzionata nella segnalazione.

L’esercizio dei diritti potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata finalizzata alla salvaguardia della riservatezza dell’identità del segnalante nonché di altri interessi, come lo svolgimento delle investigazioni difensive o l’esercizio del diritto di difesa.

In tal caso i diritti potranno essere esercitati per tramite del Autorità Garante per la protezione dei dati personali (con le modalità di cui all’articolo 160 del Codice Privacy). In tale ipotesi, l’Autorità Garante informa l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché’ del diritto dell’interessato di proporre ricorso giurisdizionale.

Per esercitare tali diritti l’interessato può rivolgersi, con richiesta rivolta senza formalità, al Titolare del trattamento, i cui dati di contatto sono indicati all’inizio di questa informativa, che procederà in tal senso senza ritardo.

AGGIORNAMENTI

Il Titolare del trattamento aggiorna le politiche e le prassi interne adottate nella protezione dei dati personali ogni qualvolta sia necessario ed in caso di modifiche normative e organizzative che abbiano rilevanza sul trattamento dei dati personali.

Ogni aggiornamento della presente informativa sarà reso disponibile tempestivamente e mediante mezzi congrui.