Whistleblowing

Informativa sul trattamento dei dati personali
ai sensi degli artt. 13 e 14 del Reg. (UE) 2016/679 (“GDPR”)

 

Premessa

Di seguito IMPEA srl in qualità di Titolare del trattamento, fornisce le informazioni relative al trattamento di dati personali degli interessati effettuato nell’ambito della gestione delle segnalazioni di whistleblowing, ovvero di condotte illecite o violazioni di cui all’art. 2.1, lett. a) del D.Lgs. 24/2023 (di seguito, “Decreto whistleblowing”).

Ai sensi del GDPR, “interessati” sono le persone fisiche a cui i dati si riferiscono. In questo caso, gli interessati sono i segnalanti, il segnalato ed eventuali soggetti citati nella segnalazione.

Le segnalazioni possono essere effettuate tramite i canali e le modalità previsti nella procedura whistleblowing (di seguito, “Procedura”) ed in particolare:

  1. in forma scritta, mediante l’apposita piattaforma software disponibile al link https://whistleblowing.impea.it;
  2. in forma orale, tramite l’apposita funzionalità disponibile mediante la piattaforma software di cui al punto precedente, con acquisizione del relativo file audio;
  3. in via eccezionale, su richiesta del segnalante, nell’ambito di un incontro di persona (da richiedere comunque tramite la piattaforma online).

 

1. Titolare del trattamento

Titolare del trattamento è IMPEA srl, C.F. e P. IVA 00111040192, con sede legale in Viale Trento Trieste, 106 (26100 - Cremona), Italy, tel. 0375 98316, indirizzo email  impea@fastpiu.it (di seguito, “Titolare”).

 

2. Referente Privacy

Il Il Referente Privacy è contattabile all’indirizzo mail privacy@areaiso.it

 

3. Categorie e fonte dei dati trattati

Nell’ambito della segnalazione di whistleblowing saranno trattati i seguenti dati:

  • Dati anagrafici e di contatto del segnalante, qualora da questi volontariamente rivelati;
  • Dati relativi al segnalato e ad altre persone coinvolte nella segnalazione, inclusi potenzialmente dati relativi alla commissione di illeciti;
  • Dati relativi all'attività lavorativa svolta nell'ambito dell'organizzazione aziendale;
  • Eventuali altri dati (potenzialmente anche particolari, se pertinenti alla segnalazione) contenuti nella segnalazione o acquisiti nella fase istruttoria.

I dati del segnalante, quelli del segnalato e/o di terzi sono forniti direttamente dal segnalante stesso e/o acquisiti nel corso delle conseguenti attività istruttorie.

 

4. Finalità del trattamento, basi giuridiche e tempi di conservazione dei dati

Perché vengono trattati i dati personali?

Qual è la base giuridica del trattamento?

Per la gestione delle segnalazioni di whistleblowing, incluse le attività istruttorie conseguenti alla segnalazione. L’adempimento di un obbligo di legge al quale è soggetto
il Titolare, come previsto dall’art. 6, comma 1, lett. c) del
GDPR.
Se necessario, al fine dell’adozione dei provvedimenti conseguenti alla segnalazione e, in generale, per la tutela dei diritti del Titolare. Legittimo interesse del Titolare di cui all’art. 6 co.1 lett. f)
del GDPR.
Per la rivelazione dell’identità del segnalante (se
conosciuta) nei soli casi previsti dalla legge, ad es. per
consentire al segnalato di difendersi nell’ambito di un
procedimento disciplinare, (art. 12 co. 5 e 6 del Decreto whistleblowing).
Consenso dell’interessato di cui all’art. 6 co. 1 lettera a) del GDPR
Per la documentazione di una segnalazione effettuata mediante il sistema di messaggistica vocale registrato, tramite ulteriore registrazione su un dispositivo idoneo alla conservazione e all'ascolto oppure mediante trascrizione integrale (art. 14 co. 2 del Decreto whistleblowing). Consenso dell’interessato di cui all’art. 6 co. 1 lettera a) del GDPR
Per la gestione di eventuali dati, inclusi nella segnalazione o emersi nell’ambito dell’istruttoria, relativi a condanne penali e ai reati o a connesse misure di sicurezza. Il trattamento è autorizzato dal diritto dell'Unione o degli
Stati membri (nello specifico, dal Decreto
Whistleblowing), come previsto dall’art. 10 del GDPR
Per la gestione di dati particolari (ovvero dati relativi
all’origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, all’appartenenza sindacale e dati riguardanti la salute o la vita sessuale) rilevanti per la fattispecie di segnalazione.
Il trattamento è consentito per motivi di interesse
pubblico rilevante (nello specifico, per adempiere alle
previsioni del Decreto Whistleblowing) e/o il trattamento
è necessario per accertare, esercitare o difendere un
diritto in sede giudiziaria, ai sensi dell’art. 9 co. 2 lettere f)
e g) del GDPR

 

Qual è il tempo di conservazione dei dati?

I dati sono conservati per un periodo massimo di 5 anni dalla data della comunicazione dell’esito finale della procedura di gestione della segnalazione, salvo l’instaurazione di procedimento giudiziario o disciplinare conseguente alla
segnalazione stessa. tal caso, i dati saranno conservati per tutta la durata del procedimento, fino alla sua conclusione e al decorso dei termini per eventuali impugnazioni.I dati personali che manifestamente non sono utili alla gestione di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente.Decorsi i termini di conservazione sopra indicati, i dati saranno distrutti, cancellati o resi anonimi, compatibilmente con le tempistiche tecniche di cancellazione e backup.

 

5. Natura del conferimento dei dati

Nella fase di segnalazione il conferimento dei dati è a discrezione del segnalante, fermo restando che segnalazioni eccessivamente generiche e non circostanziate non potranno essere gestite efficacemente.

Nella fase di istruttoria il titolare può acquisire ulteriori dati, chiedendoli agli interessati o effettuando indagini in proprio.

Il procedimento di gestione delle segnalazioni garantisce la riservatezza dell’identità del segnalante (qualora rivelata), sin dalla ricezione e in ogni contatto successivo, nonché delle persone oggetto della segnalazione o comunque menzionate nella stessa.

In ogni caso, eventuali segnalazioni anonime saranno prese in carico solo qualora adeguatamente circostanziate, basate su elementi concreti e rese con dovizia di particolari, essendo tali da far apparire attendibili i fatti segnalati.

 

6. Destinatari dei dati

I dati personali relativi alla gestione delle segnalazioni di cui sopra sono trattati dai seguenti soggetti:

  • Marilena Spaggiari, in qualità di Gestori delle segnalazioni, designati come autorizzati ai sensi della normativa applicabile;
  • la società Sinervis Solution S.r.l.., fornitrice della piattaforma software di whistleblowing, designata come Responsabile del Trattamento ex art. 28 del Reg. (UE) 2016/679.

L’eventuale condivisione della segnalazione e della documentazione prodotta dal segnalante con altre funzioni aziendali o con professionisti esterni a scopo di indagine viene svolta nel rispetto della Procedura e del Decreto whistleblowing, con la massima attenzione a tutelare la riservatezza del segnalante e del segnalato, omettendo qualsiasi comunicazione di dati che non sia strettamente necessaria.

Resta fermo che l’identità del segnalante (e qualsiasi altra informazione da cui la si può evincere, direttamente o indirettamente) non sarà rivelata, senza il consenso dello stesso, a soggetti diversi dai Gestori delle segnalazioni e (quando necessario) ai professionisti che li assistono nell’attività istruttoria, fatto salvo quanto prescritto dalla normativa applicabile.
I dati possono essere comunicati all’Autorità Giudiziaria e ad altri soggetti pubblici legittimati a riceverli, quale ad esempio l’ANAC, nei casi e nelle modalità previsti dal Decreto whistleblowing e dalla Procedura.

Nell'ambito di un eventuale procedimento penale, l’identità della persona segnalante è coperta dal segreto nei modi e nei limiti previsti dall'articolo 329 del codice di procedura penale.

Nell'ambito di un eventuale procedimento dinanzi alla Corte dei conti, l’identità della persona segnalante non può essere rivelata fino alla chiusura della fase istruttoria.

 

7. Trasferimenti di dati extra UE

I dati non sono trasferiti al di fuori dell’Unione Europea.

 

8. Caratteristiche della piattaforma software per l’invio delle segnalazioni

La piattaforma per l’invio delle segnalazioni ha le seguenti caratteristiche:

  • Utilizza il software open source Globaleaks, sviluppato seguendo le linee guida di sviluppo di OWASP e già utilizzato da ANAC per la realizzazione del proprio portale OpenWhistleblowing;
  • è fornita e manutenuta dal fornitore Sinervis Solution S.r.l.;
  • genera esclusivamente log anonimi in relazione alle attività svolte dal segnalante, al fine di impedirne l’identificazione;
  • è protetta mediante misure di sicurezza adeguate al rischio, tra cui anzitutto la cifratura dei dati conservati.

 

9. Diritti degli interessati

È possibile esercitare, in relazione ai trattamenti dei dati sopra descritti, i diritti riconosciuti dal GDPR agli interessati, ivi incluso il diritto di:

  • chiedere l’accesso ai dati e alle informazioni di cui all’art. 15 (finalità del trattamento, categorie di dati personali, etc.);
  • ottenere la rettifica dei dati inesatti o l’integrazione dei dati incompleti ai sensi dell’art. 16;
  • chiedere la cancellazione dei dati personali nelle ipotesi previste dall’art. 17, se il Titolare non ha più diritto di trattarli;
  • ottenere la limitazione del trattamento (cioè la temporanea sottoposizione dei dati alla sola operazione di conservazione), nei casi previsti dall’art. 18 GDPR;
  • opporsi in qualsiasi momento, per motivi connessi a situazioni particolari, al trattamento dei propri dati personali sulla base del legittimo interesse ai sensi dell'articolo 6.1 lett. f) del GDPR.

Per esercitare i propri diritti è possibile rivolgersi al Referente Privacy inviando una e-mail all'indirizzo privacy@areaiso.it ovvero, a discrezione degli interessati, ai Gestori delle segnalazioni, tramite la Piattaforma.

Gli interessati hanno il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali o di adire le competenti sedi giudiziarie qualora ritengano che il trattamento dei propri dati personali sia contrario alla normativa vigente.

Si segnala che, ai sensi dell’art. 2-undecies del d. Lgs. n. 196/2003 (“Codice Privacy”), i diritti di cui agli articoli da 15 a 22 del GDPR non possono essere esercitati qualora dall'esercizio degli stessi possa derivare un pregiudizio effettivo e concreto alla
riservatezza dell’identità del segnalante. In tale ipotesi i diritti in questione possono essere esercitati per il tramite del Garante per la Protezione dei Dati Personali, con le modalità di cui all’art. 160 del Codice Privacy.