INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI EX ARTT. 13-14 DEL REGOLAMENTO (UE) 2016/679 NELL’AMBITO DELLA PROCEDURA WHISTLEBLOWING
Con la presente informativa Vecomp Spa (di seguito la “Società”) intende fornire le indicazioni previste dagli articoli 13 e 14 del Regolamento (UE) 2016/679 (o “General Data Protection Regulation” − “GDPR”), in merito al trattamento dei dati personali effettuati dalla Società nell’ambito della propria “Procedura Whistleblowing”, adottata in conformità al D.lgs. 10 marzo 2023 n. 24[1] e, segnatamente, di tutte le attività e adempimenti connessi al funzionamento del sistema aziendale per la gestione delle segnalazioni whistleblowing.
Le informazioni che seguono vengono rese ai soggetti “segnalanti” e a tutti gli altri soggetti potenzialmente “interessati”, quali, ad esempio, le persone indicate come possibili responsabili delle condotte illecite, eventuali soggetti “facilitatori” (come definiti dalla normativa di riferimento), nonché ogni altro soggetto a diverso titolo coinvolto nella “Procedura Whistleblowing”.
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali è Vecomp Spa.
2. Categorie di dati personali trattati e finalità di trattamento.
Secondo l’impostazione della disciplina in oggetto, i dati personali potranno essere acquisiti dalla Società in quanto contenuti nelle segnalazioni whistleblowing, ovvero negli atti e documenti a queste allegati, pervenute alla stessa attraverso i canali previsti dalla suddetta Policy.
La ricezione e la gestione di tali segnalazioni potrà dare luogo, a seconda del loro contenuto, al trattamento delle seguenti categorie di dati personali:
dati personali “comuni” di cui all’art. 4, punto 1, del GDPR, tra i quali, ad esempio, i dati anagrafici (nome, cognome, data e luogo di nascita), i dati di contatto (numero telefonico fisso e/o mobile, indirizzo postale/e-mail), il ruolo/mansione lavorativa;
dati personali “particolari” di cui all’art. 9 del GDPR, tra i quali, ad esempio, le informazioni relative a condizioni di salute, opinioni politiche, convinzioni religiose o filosofiche, orientamento sessuale o appartenenza sindacale;
dati personali “giudiziari” di cui all’art. 10 del GDPR, relativi a condanne penali e reati, o a connesse misure di sicurezza.
Riguardo alle suddette categorie di dati personali, si rimarca l’importanza che le segnalazioni inoltrate risultino prive di informazioni manifestamente irrilevanti ai fini della disciplina di riferimento, invitando in particolare i soggetti segnalanti ad astenersi dall’utilizzare dati personali di natura “particolare” e “giudiziaria” se non ritenuti necessari ed imprescindibili ai fini delle stesse, in ottemperanza all’art. 5 del GDPR. Le suddette informazioni verranno trattate dalla Società – Titolare del trattamento – secondo le disposizioni prescritte dal D.lgs. n. 24/2023 e, pertanto, in via generale, al fine di effettuare le necessarie attività istruttorie volte a verificare la fondatezza dei fatti oggetto di segnalazione e l’adozione dei conseguenti provvedimenti.
Inoltre, i dati potranno essere utilizzati dal Titolare del trattamento per finalità connesse ad esigenze di difesa o accertamento di propri diritti nel contesto di procedimenti giudiziali, amministrativi o stragiudiziali e nell’ambito di contenziosi civili, amministrativi o penali sorti in relazione alla segnalazione effettuata.
3. Basi giuridiche del trattamento dei dati personali
La base giuridica del trattamento dei dati personali è principalmente costituita dall’adempimento ad un obbligo legale a cui è soggetto il Titolare del trattamento − art. 6, par. 1, lett. c) del GDPR − che, in particolare, in forza della normativa sopra menzionata, è tenuto ad implementare e gestire canali informativi dedicati alla ricezione delle segnalazioni di condotte illecite lesive dell’integrità della Società e/o dell’interesse pubblico.
Nei casi contemplati dalla medesima disciplina potrà essere richiesto uno specifico e libero consenso al soggetto segnalante − ai sensi dell’art. 6, par. 1, lett. a) del GDPR – e, segnatamente, laddove si ravveda la necessità di disvelarne l’identità, oppure qualora sia prevista la registrazione delle segnalazioni raccolte in forma orale, via telefono o tramite sistemi di messaggistica vocale, ovvero attraverso incontri diretti con il Responsabile della gestione delle segnalazioni.
Il trattamento di dati personali “particolari”, eventualmente inclusi nelle segnalazioni, si fonda sull’assolvimento di obblighi e sull’esercizio di diritti specifici del Titolare del trattamento e dell’interessato in materia di diritto del lavoro, ai sensi dell’art. 9, par. 2, lett. b) del GDPR.
Quanto alla finalità di accertare, esercitare o difendere un diritto in sede giudiziaria, la relativa base giuridica del trattamento di dati personali è costituita dal legittimo interesse del Titolare in tal senso, di cui all’art. 6, par. 1, lett. f), del GDPR; per la medesima finalità, i trattamenti di dati personali di natura “particolare”, se presenti, si fondano sull’art. 9, par. 2, lett. f) del GDPR.
4. Natura del conferimento dei dati personali
Il conferimento dei dati personali è obbligatorio in quanto, conformemente alla “Procedura Whistleblowing” aziendale, non vengono prese in considerazione segnalazioni anonime, ovvero segnalazioni dalle quali non è possibile ricavare l’identità del segnalante. I dati personali conferiti saranno trattati per gestire la segnalazione secondo i limiti e con le garanzie di riservatezza imposti dalla normativa di riferimento.
5. Modalità di trattamento e periodo di conservazione dei dati personali
Il trattamento dei dati personali inclusi nelle segnalazioni inoltrate in conformità alla “Procedura Whistleblowing” verrà effettuato dai soggetti “incaricati-autorizzati” dalla Società e sarà improntato ai principi di correttezza, liceità e trasparenza, di cui all’art. 5 del GDPR.
Il trattamento dei dati personali potrà essere effettuato in modalità analogiche e/o informatiche/telematiche, funzionali a memorizzarli, gestirli e trasmetterli, comunque in applicazione di adeguate misure, di tipo fisico, tecnico ed organizzativo, atte a garantire la loro sicurezza e la riservatezza in ogni fase della procedura, ivi compresa l’archiviazione della segnalazione e dei relativi documenti - fatto salvo quanto previsto dall’art. 12 del D. lgs. n. 24/2023 - con particolare riferimento all’identità del segnalante, delle persone coinvolte e/o comunque menzionate nelle segnalazioni, del contenuto delle stesse e relativa documentazione.
Le segnalazioni ricevute dalla Società, unitamente agli atti e documenti acclusi, verranno conservate per il tempo necessario alla gestione delle stesse e, in ogni caso, come prevede la normativa, per un periodo non eccedente cinque (5) anni dalla data delle comunicazioni dei relativi esiti finali. Successivamente a tale termine, le segnalazioni verranno eliminate dal sistema.
Coerentemente con le indicazioni fornite al paragrafo 1, i dati personali inclusi nelle segnalazioni manifestamente irrilevanti ai fini delle stesse verranno immediatamente cancellati.
6. Ambiti di comunicazione e trasferimento dei dati personali
Oltre che dalle predette figure interne, specificatamente autorizzate dal Titolare, i dati personali raccolti potranno essere trattati, nell’ambito della “Procedura Whistleblowing” e nel perseguimento delle finalità indicate, anche dai seguenti soggetti terzi, formalmente designati quali Responsabili del trattamento qualora si rilevino le condizioni previste dall’art. 28 del GDPR:
fornitori di servizi di consulenza ed assistenza nell’implementazione della “Procedura Whistleblowing”;
società e professionisti IT relativamente all’applicazione di adeguate misure di sicurezza tecnico-informatiche e/o organizzative sulle informazioni processate dal sistema aziendale;
membri dell’Organismo di Vigilanza.
Sussistendone gli estremi, i dati personali potranno essere trasmessi all’Autorità Giudiziaria e/o Organi di Polizia che ne facciano richiesta nel contesto di indagini giudiziarie.
I dati personali verranno trattati all’interno dello Spazio Economico Europeo (SEE) e conservati in server ivi ubicati. Tuttavia, qualora la “Procedura Whistleblowing” aziendale contempli l’utilizzo di piattaforme elettroniche per la ricezione e gestione delle segnalazioni, vi potrà essere la necessità per i soggetti providers extra UE di accedere ai dati per finalità strettamente correlate ai loro adempimenti contrattuali, afferenti alle imprescindibili attività di implementazione e manutenzione del sistema.
Il conseguente trasferimento di dati personali extra UE verrebbe comunque consentito solo in virtù della sussistenza delle condizioni e garanzie previste dagli artt. 44 e seguenti del GDPR, ad esempio, in presenza di una decisione della Commissione UE circa l’adeguatezza del livello di protezione dei dati del Paese destinatario.
In nessun caso i dati personali saranno oggetto di diffusione.
7. Diritti dell’interessato
Ciascun soggetto interessato ha il diritto di esercitare i diritti di cui agli articoli 15 e seguenti del GDPR, al fine di ottenere dal Titolare del trattamento, ad esempio, l'accesso ai propri dati personali, la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda, ferma restando la possibilità, in mancanza di soddisfacente riscontro, di proporre reclamo all’Autorità Garante per la protezione dei dati personali.
Per l’esercizio di tali diritti, è necessario inoltrare specifica richiesta in forma libera al seguente recapito del Titolare: Vecomp Spa, via A. Dominutti n. 2, 37135 Verona, mail: protezionedati@vecomp.it, ovvero trasmettere al medesimo indirizzo il modulo disponibile sul sito web dell’Autorità Garante per la protezione dei dati personali.
Al riguardo, si informa che i predetti diritti in capo agli interessati al trattamento di dati personali potranno venire limitati ai sensi e per gli effetti di cui all'art. 2-undecies del D. lgs. 30 giugno 2003, n. 196 (“Codice privacy”, come modificato dal D. lgs. n. 101/2018), per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, qualora dal loro esercizio possa derivare un pregiudizio concreto ed effettivo alla riservatezza dell’identità dei soggetti segnalanti.
In tali fattispecie, gli interessati avranno comunque facoltà di rivolgersi all’Autorità Garante affinché quest’ultima valuti se ricorrono i presupposti per agire con le modalità previste dall’articolo 160 del D. lgs. n. 196/2003.
[1] Decreto legislativo recante attuazione della Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019.