INFORMATIVA AI SENSI DEGLI ARTT. 13 E 14 DEL REGOLAMENTO EUROPEO 2016/679 SUL TRATTAMENTO DEI DATI PERSONALI NELL’AMBITO DEL SISTEMA DI SEGNALAZIONE DI PRESUNTI ILLECITI (“WHISTLEBLOWING”)
In attuazione alla vigente normativa in materia (D. Lgs. n. 24/2023 “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali”, “Decreto Whistleblowing”), Orlandi S.p.A. (“Società” o “Titolare”) ha adottato una specifica piattaforma per la gestione delle segnalazioni di presunti illeciti.
La piattaforma è dedicata alla ricezione e gestione delle segnalazioni, anche in forma anonima, pervenute alla Società dai dipendenti e/o da soggetti terzi e relative ad eventuali violazioni di cui al citato Decreto Whistleblowing.
Ai sensi degli artt. 13 e 14 del Regolamento Europeo n. 679/2016 (“GDPR”), la Società, quale Titolare del trattamento, rende l'informativa sul trattamento dei dati/informazioni (“Dati”) che La riguardano (in qualità di “Segnalante”), acquisiti direttamente o altrimenti acquisiti, in riferimento alla “Segnalazione” da Lei effettuata, nonché sul trattamento dei Dati dei soggetti interessati dalla Segnalazione stessa.
La presente Informativa è resa disponibile e a conoscenza dei potenziali interessati mediante pubblicazione sul sito istituzionale del Titolare.
1. TITOLARE DEL TRATTAMENTO
Orlandi S.p.A. è Titolare del trattamento dei Suoi dati personali, quale Segnalante e/o degli altri soggetti interessati dalla Segnalazione, per le attività di gestione del Whistleblowing.
2. TIPOLOGIE DI DATI TRATTATI
Nell’ambito del procedimento di “Whistleblowing”, i Dati personali oggetto di trattamento sono i Dati del “Segnalante”, del “Segnalato” e delle persone coinvolte e/o collegate ai fatti oggetto della Segnalazione, quali, per esempio, eventuali testimoni (in seguito “Interessati”).
Tali Dati, raccolti e trattati dal Titolare, possono includere Dati personali “comuni” degli Interessati (dati anagrafici, la posizione lavorativa ricoperta nella Società, recapiti quali: indirizzo E-mail, indirizzo postale, numero telefonico), ogni altra informazione presente nella Sua segnalazione, e, eventualmente, in alcuni casi, ove necessario, anche dati appartenenti a particolari categorie ex art. 9 GDPR o dati relativi a condanne penali e reati ex art. 10 del GDPR per i motivi di interesse pubblico rilevanti ai sensi del Decreto Whistleblowing e comunque nei limiti di quanto consentito dalla normativa in materia, inclusi gli articoli 9 e 10 del GDPR.
I Dati possono essere raccolti sia direttamente presso il Segnalato sia per il tramite di altri soggetti coinvolti nella Segnalazione.
I Dati sono forniti volontariamente dal Segnalante, anche in forma anonima, al Titolare, il quale non tratterà dati che non siano strettamente necessari alle finalità di cui al successivo punto 3.
A titolo esemplificativo e non esaustivo, la Segnalazione può avvenire da parte di: dipendenti del Titolare e/o soggetti terzi che intrattengono un rapporto con il Titolare.
3. FINALITA’ E BASE GIURIDICA DEL TRATTAMENTO
I Dati personali sono trattati esclusivamente per le finalità di istruttoria ed accertamento dei fatti oggetto della Segnalazione e di adozione degli eventuali conseguenti provvedimenti, secondo quanto previsto dal Decreto Whistleblowing.
In particolare, i Dati personali raccolti sono solo quelli necessari e pertinenti per il raggiungimento delle finalità sopra indicate, sulla base del “principio di minimizzazione”.
Rispetto a questi dati, il loro conferimento è volontario e il Segnalante e/o Segnalato devono fornire soltanto i dati necessari a descrivere i fatti oggetto della Segnalazione senza comunicare dati personali ulteriori a quelli necessari alla gestione della Segnalazione. Nel caso siano forniti Dati superflui alla gestione della Segnalazione, il Titolare si asterrà dall’utilizzare tali Dati e li cancellerà.
4. MODALITA’ DEL TRATTAMENTO
I Dati sono raccolti, nel rispetto delle norme vigenti, a mezzo di strumenti elettronici, con logiche strettamente connesse alle finalità sopra indicate, in modo da garantire la sicurezza e la riservatezza dei dati stessi.
In particolare, i Dati sono raccolti tramite la piattaforma on line Whistleblowing, quale “canale di segnalazione interna”, ex art. 4 Decreto Whistleblowing, fornita da un provider esterno selezionato che adotta un sistema di segnalazioni di illeciti aziendali conforme alla Direttiva (UE) 2019/1937, il quale garantisce la sicurezza e la protezione dei dati oltre che la riservatezza delle informazioni, attraverso un sistema avanzato di criptazione delle comunicazioni e del database, in linea con quanto previsto dalla normativa di riferimento. Tale piattaforma consente l’invio di segnalazioni sia in forma scritta, anonima ovvero non anonima, sia in forma orale, e permette di mantenere le interlocuzioni con il Segnalante e fornire riscontro alla Segnalazione, nel rispetto delle tempistiche previste dalla normativa. La segnalazione viene gestita tempestivamente dal gestore delle segnalazioni al fine di garantire la gestione del caso segnalato conformemente alle prescrizioni della normativa in materia, come indicato al successivo Paragrafo 6.
I dati raccolti a mezzo degli strumenti elettronici non saranno oggetto di trattamento completamente automatizzato così come specificato all’art. 22 GDPR.
Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.
Inoltre, specifiche misure tecnico-organizzative, quali la crittografia, sono adottate, ai sensi dell’art. 32 GDPR, per garantire la tutela dell’identità dei soggetti, nonché l’eventuale anonimia del Segnalante ed il completo anonimato nell’accesso alla piattaforma (no log).
5. TEMPI DI CONSERVAZIONE DEI DATI
I Dati personali saranno conservati solo per il tempo necessario alle finalità per le quali vengono raccolti nel rispetto del principio di minimizzazione ex art. 5.1.c) GDPR ed, in particolare, alle finalità di gestione dell’istruttoria, di conclusione dell’attività di definizione della Segnalazione e di adozione dei relativi provvedimenti, in caso di accertamento, e comunque non oltre 5 anni a decorrere dalla data di comunicazione dell’esito finale della procedura di segnalazione, in conformità a quanto previsto dall’art. 14, comma 1 del Decreto Whistleblowing e dall’art. 5, comma 1 del GDPR.
6. DESTINATARI DEI DATI
All’interno della Società, possono venire a conoscenza dei Dati personali forniti esclusivamente i soggetti incaricati del trattamento dal Titolare e autorizzati a compiere le operazioni di trattamento nell’ambito delle suddette attività secondo quanto previsto all’art. 4, comma 2, del Decreto Whistleblowing.
Può venire a conoscenza dei predetti Dati il gestore della segnalazione e il fornitore che gestisce l’operatività, nonché la manutenzione degli strumenti informatici su cui è possibile inserire la Segnalazione, come indicato al precedente par. 4, tenuto a trattare i dati per le medesime finalità di cui al precedente punto 3, che sono, all’uopo, nominati “Responsabili del trattamento”, ai sensi dell’art. 28 GDPR.
Possono venire a conoscenza di tali Dati, altresì, ai sensi dell’art. 13 Decreto Whistleblowing, l’Anac, l’Autorità giudiziaria ed altri Enti/organismi competenti in relazione alla fattispecie segnalata.
In nessun caso i dati personali saranno oggetto di diffusione.
7. DIRITTI DEGLI INTERESSATI
Gli artt. 15-22 GDPR conferiscono la possibilità di esercitare specifici diritti, quali, per esempio, il diritto di accesso, di rettifica, di cancellazione, di limitazione del trattamento.
I diritti di cui sopra potranno essere esercitati dall’Interessato con richiesta rivolta senza formalità al Titolare del trattamento all’indirizzo info@orlandispa.it.
L’Interessato potrà proporre reclamo ai sensi dell’art. 57 lett. f) GDPR all’Autorità Garante per la Protezione dei Dati Personali.
Nel caso in cui l’esercizio dei diritti di cui sopra da parte del Segnalato possa comportare un pregiudizio effettivo e concreto alla protezione e riservatezza dei dati personali del Segnalante, il Titolare potrà limitare, ritardare ovvero escludere tale esercizio, ai sensi dell’art. 2-undecies, co. 1, lett. f) del Codice Privacy (D.Lgs. 196/2003), e non dare seguito all’istanza.
In tali casi, i diritti dell’Interessato, ai sensi dell’art. 2-undecies, co. 3 del Codice Privacy, possono essere esercitati tramite il Garante con le modalità di cui all’art. 160 del Codice Privacy.
8. EVENTUALE TRASFERIMENTO ALL’ESTERO DEI DATI PERSONALI
La gestione e la conservazione dei dati avvengono su server di società terza nominata Responsabile del trattamento, come indicato al precedente par. 6, ubicata in Italia e all’interno dell’Unione Europea.
I dati personali non sono oggetto di trasferimento al di fuori dell’Unione Europea.