Informativa per le segnalazioni Whistleblowing
ai sensi degli artt. 13 e 14 del Regolamento EU 2016/679
Data di aggiornamento dell’informativa: aprile 2024
Ai sensi degli artt. 13 e 14 del Regolamento (UE) 679/2016 in materia di protezione dei dati personali (di seguito, “GDPR”) e in conformità al D. Lgs. 24/2023 “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali” (di seguito, “Decreto”), AOSTA FACTOR S.p.a. (di seguito semplicemente “Società”), in qualità di Titolare del trattamento rende la presente informativa ai segnalanti, segnalati, facilitatori ed ogni altra persona fisica potenzialmente coinvolta (di seguito, “Interessato” o “Interessati”) nell’ambito della gestione delle segnalazioni di presunte condotte illecite (di seguito, “Segnalazione” o “Segnalazioni”) pervenute attraverso i canali previsti dalla “Policy aziendale in materia di Whistleblowing” (di seguito, “Policy”). La gestione della Segnalazione ricevuta sarà conforme a quanto disposto ai sensi del Decreto affinché possano essere svolte le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto della Segnalazione stessa, possano essere adottati i conseguenti provvedimenti e affinché possa essere garantita la tutela del segnalante.
Contatti utili
AOSTA FACTOR S.p.a. è la Società che tratta i Suoi dati ed ai fini di Legge, è considerata Titolare del trattamento dei dati. In tale veste essa è responsabile di garantire l’applicazione delle misure organizzative e tecniche necessarie e adeguate alla protezione dei Suoi dati. La sede legale della Società è in: Avenue du Conseil des Commis, 25 - 11100 Aosta.
La Società si avvale di Responsabili Esterni del trattamento appositamente designati il cui elenco è consultabile su richiesta all’indirizzo e-mail del DPO.
Inoltre, la Società ha nominato il Responsabile della Protezione dei Dati incaricato di garantire il rispetto delle norme per la tutela della Sua Privacy, contattabile per questioni inerenti il trattamento dei Suoi dati all’indirizzo Avenue du Conseil des Commis, 25 - 11100 Aosta C.A. Data Protection Officer oppure all’indirizzo email dpo@aostafactor.it.
Potrà trovare maggiori informazioni concernenti i Suoi diritti nella sezione “I suoi diritti”.
Informazioni sul trattamento
Tipologia di dati trattati
I dati personali raccolti e trattati dal Titolare nell’ambito della ricezione e della gestione delle Segnalazioni pervenute attraverso i canali previsti dalla Policy adottata dalla Società sono quelli contenuti nella Segnalazione nonché quelli acquisiti nel corso delle relative attività istruttorie. Tali dati possono appartenere alle seguenti categorie:
- dati personali comuni (ad es. le generalità o dati identificativi di chi effettua la segnalazione; la chiara e completa descrizione dei fatti oggetto di segnalazione; informazioni relative all’interesse privato del segnalante, collegato alla segnalazione; informazioni relative ad eventuali documenti che possono confermare la fondatezza dei fatti riportati; il nominativo e il ruolo, qualifica, posizione professionale o servizio in cui svolge l'attività; informazioni che consentono di identificare il soggetto/i che ha/hanno posto/i in essere i fatti segnalati;);
- dati personali appartenenti alle categorie cc.dd. “particolari” ex art. 9, par. 1 del GDPR (“l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”) riferibili ai soggetti interessati eventualmente forniti dal segnalante;
- dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza contenuti e/o che emergono nell’ambito della segnalazione ex art. 10 del GDPR.
Si precisa, inoltre, che, nel rispetto delle leggi applicabili, il Titolare potrà trattare dati personali, anche riferibili a soggetti terzi, che risultino già rientranti nella disponibilità del Titolare stesso.
Finalità e basi giuridiche del trattamento
I dati personali saranno trattati per gestire la segnalazione ricevuta a carico del soggetto segnalato, relativa a comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, ai sensi dell’art. 2, comma 1 lett. a), del D.lgs. n. 24/2023, per svolgere le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto di segnalazione, per l’adozione dei conseguenti provvedimenti e per garantire la tutela del segnalante. Per tali finalità, la base giuridica dei trattamenti dei dati personali forniti è:
- la necessità di adempiere ad obblighi legali cui è soggetto il Titolare ai sensi dell’art. 6, par. 1, lett. c) del Regolamento, (tra i quali il D. Lgs. 8 giugno 2001, n. 231 e il D. Lgs. 10 marzo 2023, n. 24);
- l’interesse legittimo del Titolare, ai sensi dell’art. 6, par. .1, lett. f) del GDPR che, venuto a conoscenza della segnalazione, intenda garantire e preservare l’integrità del patrimonio aziendale e/o accertare, esercitare o difendere un diritto in sede giudiziaria, in caso fosse necessario
- lo specifico consenso ex artt. 6, par. 1, lett. a) del GDPR che il segnalante potrà manifestare per il tramite della presente informativa, affinché possa essere rivelata la propria identità a persone diverse dai gestori delle segnalazioni muniti di autorizzazione a trattare tali dati;
Per i dati personali appartenenti alle categorie cc.dd. “particolari”, tale trattamento è legittimo ai sensi dell’art. 9, par. 2, lett. b) del Regolamento. In ogni caso, il segnalante è invitato a non conferire dati personali appartenenti alle categorie cc.dd. “particolari” ex art. 9, par. 1 del Regolamento ove ciò non risulti strettamente necessario.
L’eventuale trattamento di dati personali relativi a potenziali reati o condanne oggetto di segnalazione è effettuato in base alle disposizioni dall’art. 10 del GDPR in quanto autorizzato dalle normative specifiche in materia di whistleblowing, oltre che per la tutela o difesa di diritti in sede giudiziaria [v. art. 2-octies co. 3 lett. e) del D.lgs. n. 196/2003 – cd. “Codice privacy”].
Il trattamento dei dati su indicati è necessario per la gestione delle segnalazioni Whistleblowing, pertanto, il suo rifiuto renderà impossibile la gestione delle segnalazioni in questione.
Modalità del trattamento
I dati saranno trattati con strumenti prevalentemente manuali e informatizzati, con logiche di organizzazione ed elaborazione strettamente correlate alle finalità sopra indicate e comunque in modo da garantire la sicurezza, l'integrità e la riservatezza dei dati stessi nel rispetto delle misure organizzative, fisiche e logiche previste dalle disposizioni vigenti, in particolare dal. D.Lgs. 24/2023. I canali dedicati e utilizzati per l’invio delle Segnalazioni ai sensi della Policy adottata dal Titolare offrono una elevata garanzia di riservatezza delle informazioni. Il Titolare attua idonee misure per garantire che i dati forniti vengano trattati in modo adeguato e conforme alle finalità per cui vengono gestiti.
Il Titolare impiega idonee misure di sicurezza, organizzative, tecniche e fisiche, per tutelare le informazioni dall’alterazione, dalla distruzione, dalla perdita, dal furto o dall’utilizzo improprio o illegittimo. I dati personali che manifestamente non sono utili al trattamento di una specifica Segnalazione non sono raccolti o, se raccolti accidentalmente, sono prontamente cancellati.
Periodo di conservazione dei dati
I dati personali saranno conservati solo per il tempo strettamente necessario ai fini per cui sono raccolti, rispettando il principio di minimizzazione e il principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. c) ed e) del GDPR.
In particolare, i dati personali contenuti nella Segnalazione e nella relativa documentazione a corredo sono conservati in una forma che consenta l'identificazione degli interessati per il tempo necessario al trattamento della specifica Segnalazione e comunque non oltre cinque (5) anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione. Il Titolare si riservano, tuttavia, di conservare i predetti dati personali anche per tutto il tempo necessario per l’adempimento di obblighi normativi e per soddisfare eventuali esigenze difensive. Resta inteso che nel caso in cui sia instaurato un giudizio, i termini sopra indicati potranno essere prolungati fino alla conclusione del giudizio medesimo e ai conseguenti termini di prescrizione dei diritti. Trascorsi i tempi sopra indicati, le segnalazioni e l’eventuale documentazione a corredo saranno cancellate e/o anonimizzate
Soggetti ai quali i dati potranno essere comunicati
I Suoi dati personali e quelli delle persone indicate come possibili responsabili delle condotte illecite, nonché delle persone a vario titolo coinvolte nelle vicende segnalate, non saranno oggetto di diffusione. In particolare, i Suoi dati potranno essere condivisi, nel rispetto di quanto previsto dalla normativa in materia di trattamento dei dati personali, con i seguenti soggetti:
- personale specificamente individuato, autorizzato al trattamento dei dati personali e debitamente istruito ai sensi degli artt. 29 del GDPR e 2-quaterdecies del D. Lgs. 196/2003 (“Codice Privacy”), così come declinato nella Policy;
- Organismo di Vigilanza;
- enti e autorità pubbliche e/o private, in qualità di autonomi titolari, a cui sia obbligatorio comunicare i dati personali in forza di disposizioni di legge o di ordini delle autorità, in particolar modo in relazione alle attività istruttorie relative a fatti segnalati sui quali sia nota l’esistenza di indagini in corso da parte di pubbliche Autorità;
- soggetti esterni alla realtà aziendale del Titolare che agiscono in qualità di responsabili del trattamento ai sensi dell’art. 28 del Regolamento (il fornitore della piattaforma informatica di gestione delle segnalazioni).
Sarà in ogni caso garantita la massima riservatezza della Sua identità, quale soggetto segnalante, in conformità al Regolamento adottato. In particolare, nel caso di trasmissione della segnalazione ad altre strutture/organi/terzi per lo svolgimento delle attività istruttorie, verrà privilegiato l’inoltro del solo contenuto della segnalazione, espungendo tutti i riferimenti dai quali sia possibile risalire, anche indirettamente, all’identità del segnalante. Qualora, ai fini istruttori, fosse necessario rilevare l’identità del segnalante a soggetti diversi da quelli autorizzati a ricevere e a dare seguito alle segnalazioni, verrà espressamente richiesto il consenso del soggetto segnalante alla rivelazione della sua identità.
Trasferimento dei dati
I Suoi dati personali sono trattati dal Titolare del trattamento all’interno del territorio dell’Unione Europea e non vengono diffusi. Se necessario, per ragioni di natura tecnica o operativa, la Società si riserva di trasferire i Suoi dati personali verso Paesi al di fuori dell’Unione Europea o organizzazioni internazionali per i quali esistono decisioni di “adeguatezza” della Commissione Europea, ovvero sulla base di adeguate garanzie fornite dal paese in cui i dati devono essere trasferiti o sulla base delle specifiche deroghe previste dal Regolamento.
I Suoi diritti
Con riferimento ai Suoi dati, la normativa riconosce all’interessato specifici diritti, quali:
- ottenere la conferma dell’esistenza o meno dei Suoi dati personali e il relativo accesso;
- ottenere l’aggiornamento, la rettificazione o l’integrazione dei Suoi dati;
- richiedere la cancellazione dei Suoi dati, nei termini consentiti dalla normativa;
- opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che La riguardano;
- limitare il trattamento, in caso di violazione, richiesta di rettifica o opposizione;
- chiedere la portabilità dei dati trattati elettronicamente, forniti sulla base di consenso o contratto;
- evocare il consenso al trattamento dei Suoi dati, qualora previsto.
A tal scopo, la Società comunica che i diritti di cui sopra potranno essere esercitati inviando un’e-mail all’indirizzo: dpo@aostafactor.it.
La informiamo che la Società si impegna a rispondere alle Sue richieste entro il termine di un mese, salvo caso di particolare complessità, per cui potrebbe impiegare massimo 3 mesi. In ogni caso, la Società provvederà a spiegarle il motivo dell’attesa entro un mese dalla sua richiesta.
L’esito della Sua richiesta Le verrà fornito per iscritto o su formato elettronico. Nel caso Lei chieda la rettifica, la cancellazione nonché la limitazione del trattamento, la Società si impegna a comunicare gli esiti delle Sue richieste a ciascuno dei destinatari dei suoi dati, salvo che ciò risulti impossibile o implichi uno sforzo sproporzionato.
Si ricorda che la revoca del consenso, non pregiudica la liceità del trattamento basata sul consenso prima della revoca.
La Società specifica che Le potrà essere richiesto un eventuale contributo qualora le sue domande risultino manifestamente infondate, eccessive o ripetitive, a tal proposito la Società si è dotata di un registro per tracciare le sue richieste di intervento.
In ultimo, qualora lo ritenga opportuno, potrà presentare reclamo all’Autorità Italiana Garante per la Protezione dei Dati Personali, nei modi e nelle forme previste per legge. Per ottenere maggiori informazioni può consultare il sito del Garante.
Si prega di considerare che, al fine di proteggere la riservatezza dell’identità del soggetto che effettua la segnalazione, potrà essere preclusa la possibilità di esercitare i diritti previsti dagli artt. da 15 a 22 del GDPR, qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante, ai sensi dell’art. 23, par. 1, lett. i) del GDPR e dell’art. 2-undecies, co. 1, lett. f) del Codice Privacy.
In ogni caso lei ha sempre diritto di proporre reclamo al Garante per la Protezione dei Dati Personali, ai sensi dell'art. 77 del GDPR, qualora ritenga che il trattamento dei suoi dati sia contrario alla normativa in vigore. Per ottenere maggiori informazioni può consultare il sito del Garante.
*************