Documento informativo articolo 13-14 Reg. UE 2016/679- GDPR – Informativa per trattamento di dati personali raccolti con il modulo per la segnalazione di presunte condotte illecite e irregolarità “WHISTLEBLOWING” (art. 13, comma 4, D.lgs. 10 marzo 2023 n. 24)

Con questa informativa L.GA. S.R.L. spiega come tratta i dati raccolti e quali sono i diritti riconosciuti all’interessato ai sensi del Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali del D.lgs. n. 196/2003, così come modificato dal D.lgs. n. 101/2018 e del D.lgs. n. 51/2018.

Titolare del trattamento e DPO:

• Il titolare del trattamento è L.GA. SRL A SOCIO UNICO rappresentata legale rappresentante pro tempore Sig.ra Locatelli Claudia, contattabile all’indirizzo segnalazioni@l-ga.it
• Il data Protection Officer (responsabile protezione dati) è contattabile all’indirizzo mail privacy@digitalpa.it

Dati personali trattabili:

I dati personali oggetto di trattamento rientrano nelle seguenti categorie:

Dati personali della persona segnalante in caso di segnalazioni effettuate in forma non anonima mediante la piattaforma dedicata:

▪ Comuni:

• Obbligatori: nome, cognome, rapporti con L.GA.S.R.L.;
• Facoltativi: inquadramento, ruolo qualifica/rapporto, contatto telefonico, indirizzo e-mail.

Dati personali della persona segnalante in caso di segnalazioni effettuate in forma non anonima mediante altri canali:

• le segnalazioni possono essere inviate anche mediante canali alternativi, quali posta ordinaria ed elettronica, casetta dedicata, oltre che verbalmente, mediante dichiarazione rilasciata in apposita audizione, al Comitato Etico e Segnalazioni/all’Organismo di Vigilanza di L.GA. S.R.L.

In questo caso, i dati personali trattati sono quelli volontariamente comunicati dalla persona segnalante.

Dati personali riferiti alla(e) persona(e) coinvolta(e) nella segnalazione:

• i dati che la persona segnalante ha inteso fornire per rappresentare i fatti descritti nella segnalazione.

Si specifica che in questo caso L.GA. S.R.L. non è in grado di determinare a priori i dati oggetto della segnalazione, che potrà quindi contemplare anche dati particolari (ad esempio condanne penali, reati, etc.).

I già menzionati dati saranno trattati con supporti informatici e cartacei che ne garantiscono la sicurezza e la riservatezza. La documentazione in formato cartaceo è limitata al minimo indispensabile e archiviata e custodita con la massima riservatezza possibile.

La trasmissione dei dati forniti dalla persona segnalante mediante accesso alla piattaforma è gestita con S.a.a.S. (Software as a Service), garantendo la terzietà del sistema. Sono garantiti continui aggiornamenti di sicurezza del software ed efficienza dell’Help Desk dedicato. Trattasi di un software accessibile tramite la rete internet, i dati inseriti nel sistema vengono cifrati sia nella trasmissione, tramite il protocollo HTTPS, sia in memorizzazione, tramite un avanzato sistema di cifratura.

Sono inoltre applicate tecniche di cifratura basate su Algoritmo AES e tutti i dati sono completamente criptati, garantendo in questo modo la riservatezza delle informazioni trasmesse.

Non viene fatto uso di cookie per la trasmissione di informazioni di carattere personale, né vengono utilizzati cookie persistenti per il tracciamento degli utenti. Vengono utilizzati esclusivamente cookie tecnici nella misura strettamente necessaria al corretto ed efficiente utilizzo della piattaforma. L’uso dei cookie di sessione (che non vengono memorizzati in modo persistente sul computer dell’utente e svaniscono con la chiusura del browser) è strettamente limitato alla trasmissione di identificativi di sessione (costituiti da numeri casuali generati dal server) necessari per consentire l’esplorazione sicura ed efficiente della piattaforma: codice fiscale ed altri numeri di identificazione personale, Nominativo, indirizzo o altri elementi di, identificazione personale, Coordinate bancarie, Natura dei beni, Indirizzo e-mail, Dati di contatto e comunicazione: Telefono, Fax, E-mail, Cellulare, Indirizzo, PEC.

Finalità del trattamento

Il trattamento è finalizzato alla ricezione, analisi, istruttoria e gestione delle segnalazioni e di eventuali azioni conseguenti, ed in particolare all’accertamento dei fatti segnalati e all’adozione di eventuali provvedimenti. Ai sensi dell’art. 6, comma 1 lettera f) del Regolamento Europeo n. 679/2016 (di seguito anche “Regolamento”),

tutti i dati personali raccolti nell’ambito del presente trattamento sono strettamente funzionali e necessari per il perseguimento di quanto previsto dal D.lgs. n. 24/2023, oltre che per eventuali esigenze di controllo interno, di monitoraggio dei rischi aziendali, di difesa di un diritto in sede giudiziaria o per ulteriori legittimi interessi del Titolare. I dati di contatto eventualmente forniti dalla persona segnalante saranno utilizzati nel caso in cui dovesse rendersi necessario un contatto diretto con la stessa e per aggiornamenti rispetto allo stato della segnalazione.

Base giuridica del trattamento

Tenuto conto della normativa di riferimento si precisa che:

• il trattamento dei dati “comuni” si fonda sull’obbligo di legge a cui è soggetto il Titolare del trattamento (art. 6, par. 1, lett. c) del GDPR), nonché sull’esecuzione di compiti di interesse pubblico assegnati dalla legge a L.GA. S.R.L. (art. 6, par. 1, lett. e) del GDPR);
• il trattamento di dati “particolari” si fonda sull’assolvimento di obblighi e sull’esercizio di diritti specifici del Titolare del trattamento e dell’Interessato in materia di diritto del lavoro (art. 9, par. 2, lett. b), GDPR), nonché sull’esecuzione di un compito di interesse pubblico rilevante assegnato dalla legge a L.GA. S.R.L. (art. 9, par. 2, lett. g), GDPR), in ragione dell’art. 2-sexies lett. dd) del D.lgs. n. 196/2003;
• il trattamento di dati relativi a condanne penali e reati, tenuto conto di quanto disposto dall’art. 10 GDPR, si fonda sull’obbligo di legge a cui è soggetto il Titolare del trattamento (art. 6, par. 1, lett. c), GDPR) e sull’esecuzione di compiti di interesse pubblico assegnati dalla legge a L.GA. S.R.L. (art. 6, par. 1, lett. e), GDPR), in ragione dell’art. 2-octies lett. a) del D.lgs. 196/2003.

Si precisa che nel caso in cui la segnalazione portasse all’instaurazione di un procedimento disciplinare nei confronti del responsabile della condotta illecita, l’identità del segnalante non verrà mai rivelata. Qualora la conoscenza dell’identità del segnalante fosse indispensabile per la difesa dell’incolpato, verrà domandato al segnalante se intende rilasciare un apposito, libero consenso ai fini della rivelazione della propria identità.

Soggetti destinatari dei dati (chi tratterà i dati e a chi verranno comunicati)

Per il perseguimento delle finalità suddette, i dati personali forniti sono resi accessibili solo a coloro i quali, all'interno della Società, sono competenti a ricevere o a dare seguito alle attività di analisi, istruttoria e gestione delle segnalazioni e di eventuali azioni conseguenti. Tali soggetti sono opportunamente istruiti al fine di evitare la perdita, l’accesso ai dati da parte di soggetti non autorizzati o trattamenti non consentiti dei dati stessi e, più in generale, in relazione agli obblighi in materia di protezione dei dati personali. I dati possono essere trattati, inoltre, da Consulenti esterni e Terze Parti con funzioni tecniche (ad esempio, il provider della piattaforma IT), che agiscono in qualità di Responsabili del trattamento e hanno sottoscritto un apposito contratto che disciplina puntualmente i trattamenti loro affidati e gli obblighi in materia di protezione dei dati e sicurezza del trattamento ai sensi dell’art. 28, comma 3 del Regolamento.

Infine, i dati personali potranno essere trasmessi anche ad altri soggetti autonomi titolari del trattamento, in base a norme di legge o di regolamento (es. Autorità Pubbliche, Autorità Giudiziaria, etc.).

I dati delle persone indicate come possibili responsabili delle condotte illecite, nonché delle persone a vario titolo coinvolte nelle vicende segnalate, non saranno oggetto di diffusione, tuttavia, se necessario, su loro richiesta, possono essere trasmessi all’Autorità Giudiziaria, alla Corte dei conti e all’ANAC, Autorità nazionale anticorruzione. Tali soggetti sono, tutti, Titolari autonomi del trattamento.

Alla segnalazione e all’identità del segnalato non è possibile accedere né a mezzo accesso documentale, né a mezzo accesso civico generalizzato.

I dati potranno essere comunicati ai seguenti destinatari:

• il gestore della segnalazione
• l’organismo di vigilanza
• il fornitore del software di gestione delle segnalazioni
• l’autorità giudiziaria e le pubbliche autorità (ivi compresa l’ANAC).

Modalità, logiche del trattamento e tempi di conservazione

Il soggetto designato all’interno di L.GA. S.R.L. effettua un’attività istruttoria preliminare della segnalazione. Se a seguito dell’attività svolta ravvisa elementi di manifesta infondatezza ne dispone l’archiviazione. Nel caso, invece ravvisi il fumus di fondatezza della segnalazione, trasmette la stessa, priva dei dati del segnalante, agli organi preposti interni o esterni, ognuno secondo le proprie competenze.

I dati personali vengono conservati per un periodo di 5 anni e, comunque, sino alla definizione dei procedimenti avviati dagli uffici o dagli Enti destinatari della segnalazione.

Natura del conferimento dei dati e conseguenze dell’eventuale mancato conferimento

Al fine di classificare la segnalazione come whistleblowing i suoi dati identificativi (nome, cognome) devono essere forniti obbligatoriamente. Nel caso in cui il segnalante volesse comunque procedere con segnalazione anonima, quest’ultima verrà gestita con diverse modalità e dovrà essere inoltrata a mezzo posta ordinaria, all’attenzione degli organi preposti; tale segnalazione verrà presa in considerazione esclusivamente laddove adeguatamente circostanziata, resa con dovizia di particolari e dunque in grado di far emergere fatti e situazioni relazionandoli a contesti determinati.

È rimessa invece a ciascun segnalante la decisione circa quali ulteriori dati personali conferire. Maggiori sono i dettagli presenti nella segnalazione, maggiori saranno le possibilità per L.GA. S.R.L. di intervenire nell’interesse dell’integrità della persona giuridica.

Diritti dell’interessato

Il Regolamento UE 2016/679 (artt. da 15 a 22) conferisce agli interessati l’esercizio di specifici diritti. In particolare, in relazione al trattamento dei propri dati personali oggetto della presente informativa, l’interessato ha diritto di chiedere a L.GA. S.R.L.:

• l’accesso: l’interessato può chiedere conferma che sia o meno in essere un trattamento di dati che lo riguardi, oltre a maggiori chiarimenti circa le informazioni di cui alla presente informativa;
• la rettifica: l’interessato può chiedere di rettificare o integrare i dati che ha fornito, qualora inesatti o incompleti;
• la cancellazione: l’interessato può chiedere che i suoi dati vengano cancellati, qualora non siano più necessari alle suddette finalità, in caso di revoca del consenso o sua opposizione al trattamento, in caso di trattamento illecito, ovvero sussista un obbligo legale di cancellazione;
• la limitazione: l’interessato può chiedere che i suoi dati siano trattati solo ai fini della conservazione, con esclusioni di altri trattamenti, per il periodo necessario alla rettifica dei suoi dati, in caso di trattamento illecito per il quale si oppone alla cancellazione, qualora debba esercitare i suoi diritti in sede giudiziaria e i dati conservati possano essere utili e, infine, in caso di opposizione al trattamento e sia in corso una verifica sulla prevalenza dei motivi legittimi di L.GA.S.R.L. rispetto ai suoi;
• l’opposizione: l’interessato può opporsi in qualunque momento al trattamento dei suoi dati, salvo che vi siano

 

motivi legittimi per procedere al trattamento che prevalgano sui suoi, per esempio per l’esercizio o la difesa in sede giudiziaria;

• la portabilità: l’interessato può chiedere di ricevere i suoi dati, o di farli trasmettere ad altro titolare dallo stesso indicato, in un formato strutturato, di uso comune e leggibile da dispositivo automatico.

Inoltre, l’interessato ha diritto di proporre reclamo, qualora ritenga che i suoi diritti siano stati violati, nei confronti dell’Autorità di Controllo, che in Italia è il Garante per la Protezione dei Dati Personali.

Ai sensi dell’articolo 2-undecies del D.lgs. n. 196/2003 e s.m.i. (di seguito “Nuovo Codice Privacy”) ed in attuazione dell’articolo 23 del Regolamento, si informa che i già menzionati diritti non possono essere esercitati da parte delle persone coinvolte nella segnalazione, qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità della persona segnalante.

In particolare, l’esercizio di tali diritti:

• sarà effettuabile conformemente alle disposizioni di legge o di regolamento che regolano il settore (D.lgs. 24/2023);
• potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare la riservatezza dell’identità della persona segnalante;

In tali casi, i diritti dell’interessato possono essere esercitati anche tramite il Garante per la Protezione dei Dati Personali con le modalità di cui all’articolo 160 del Nuovo Codice Privacy, nel qual caso il Garante informa l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale.

In qualsiasi momento, l’interessato potrà chiedere di esercitare i suoi diritti a L.GA. SR.L. rivolgendosi al Data Protection Officer, contattabile all’indirizzo mail privacy@digitalpa.it.

Data di aggiornamento: 15/01/2024

Potete scaricare copia del documento in versione pdf cliccando qui