INFORMATIVA PER IL TRATTAMENTO DI DATI PERSONALI RESA PER LA GESTIONE DELLE SEGNALAZIONI WHISTLEBLOWING EX D.LGS. N. 24/2023
ai sensi degli articoli 13 e 14 del Regolamento UE 679/2016 (GDPR) in materia di protezione dei dati personali
Gentile Utente,
R&C Studio Aziendale (P.IVA 14406021007) e R&C Studio Aziendale (P.IVA 02711700548), entrambe con sede in Via Reno, 30, Roma, in qualità di Contitolari del trattamento (di seguito anche congiuntamente “Contitolari” o “Società”), in ottemperanza alla vigente normativa in materia di Whistleblowing, come prescritto dal Regolamento Europeo 2016/679 (GDPR) e dal D.Lgs. 24/2023 (Decreto Whistleblowing), Le forniscono le informazioni che seguono.
1. Contitolari del trattamento
I Contitolari del trattamento dei dati personali, ovvero i soggetti cui spettano congiuntamente le decisioni riguardo alle finalità, modalità di trattamento e sicurezza dei dati personali, sono R&C Studio Aziendale (P.IVA 14406021007) e R&C Studio Aziendale (P.IVA 02711700548), nella persona dei rispettivi legali rappresentanti p.t. I reciproci rapporti sono regolati da apposito accordo di contitolarità.
Per qualunque domanda o richiesta legata al trattamento dei Suoi dati personali può contattarci inviando una richiesta ai seguenti recapiti:
R&C Studio Aziendale S.r.l., Via Reno, 30, 00198 Roma
E-mail: info@rcstudiosrl.it
PEC: rcstudioaziendalesrls@pec.it
2. Tipologia dei dati personali oggetto di trattamento
La ricezione e la gestione delle segnalazioni whistleblowing può dare luogo a trattamenti di dati personali c.d. “comuni” (nome, cognome, ruolo lavorativo, ecc.) e può dar luogo, a seconda del contenuto delle segnalazioni e degli atti e documenti a queste allegati, a trattamenti di dati personali c.d. “particolari” (dati relativi a condizioni di salute, orientamento sessuale o appartenenza sindacale e di dati personali relativi a condanne penali e reati).
In ogni caso, si ricorda che la segnalazione non dovrà contenere fatti non rilevanti ai fini della stessa, né categorie particolari di dati personali, di cui all’art. 9 del GDPR (di seguito anche “Categorie particolari di dati”, cioè quelli da cui possono eventualmente desumersi, fra l’altro, l’origine razziale ed etnica, le convinzioni filosofiche e religiose, l’adesione a partiti o sindacati, nonché lo stato di salute la vita sessuale o l’orientamento sessuale), né dati relativi a condanne penale e reati di cui all’art. 10 del GDPR, salvo i casi in cui ciò sia inevitabile e necessario ai fini della Segnalazione stessa.
Le Società avranno comunque cura di trattare unicamente i dati strettamente necessari alla gestione della singola segnalazione, andando a cancellare qualsiasi dato ulteriore eventualmente conferito alla stessa, in ragione del principio di minimizzazione.
I dati oggetto di trattamento si riferiscono al soggetto segnalante e possono altresì riferirsi a persone indicate come possibili responsabili delle violazioni, nonché a quelle a vario titolo coinvolte o menzionate nella segnalazione.
3. Finalità e basi giuridiche del trattamento
1)
Finalità (perchè trattiamo i suoi dati): per dare seguito alle segnalazioni pervenute; per svolgere le necessarie attività istruttorie volte a verificare la fondatezza di quanto segnalato
Base giuridica (sulla base di quale disposizione di legge li trattiamo):
Art. 6, Par. 1, Lett. c) GDPR (il trattamento è necessario all’adempimento degli obblighi previsti a carico della Società dal D.lgs. 24/2023 e s.m.i.)
Art. 9, par. 2, Lett. b) GDPR (il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato) - per quanto concerne i dati particolari.
Art. 10 GDPR e art. 2-octies D.Lgs. 196/2003 per i dati relative a condanne penali e reati – nell’adempimento degli obblighi di legge di cui al Decreto
Conseguenze (cosa accade se Lei rifiuta di conferire i dati personali e/o di autorizzare il trattamento):
Il conferimento dei dati è necessario per godere delle tutele di cui al D.Lgs. 24/2023. Le segnalazioni possono comunque essere inviate anche con modalità anonima. La invitiamo, a riguardo, a voler consultare la Procedura Whistleblowing adottata dalla Società
2)
Finalità (perchè trattiamo i suoi dati): Per esigenze di difesa dei diritti nel corso di procedimenti giudiziali, amministrativi o stragiudiziali e nell'ambito di controversie sorte in relazione alla segnalazione effettuata; per agire in giudizio o avanzare pretese
Base giuridica (sulla base di quale disposizione di legge li trattiamo): Art. 6, Par. 1, Lett. f) GDPR (il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali)
Conseguenze (cosa accade se Lei rifiuta di conferire i dati personali e/o di autorizzare il trattamento):
In questo caso non è richiesto un nuovo e specifico conferimento di dati personali, poichè saranno trattati i medesimi dati già trattati per la gestione della segnalazione di cui al punto precedente.
3)
Finalità (perchè trattiamo i suoi dati): Per rivelare la sua identità come persona segnalante a persone diverse a quelle preposte alla gestione della segnalazione, nei casi espressamente previsti dall’art. 12 D.Lgs. 24/2023, salvo obblighi di legge (es. procedimento penale instaurato a seguito della segnalazione)
Base giuridica (sulla base di quale disposizione di legge li trattiamo): Art. 6, Par. 1, Lett. a) GDPR (l’interessato ha espresso il consenso a rivelare la sua identità nei casi previsti dall’art. 12 D.Lgs. 24/2023 per dar seguito alla segnalazione; in tal caso, il consenso le verrà richiesto al momento del verificarsi delle circostanze normativamente previste)
Conseguenze (cosa accade se Lei rifiuta di conferire i dati personali e/o di autorizzare il trattamento):
Il conferimento dei dati è necessario per godere delle tutele di cui al D.Lgs. 24/2023. Le segnalazioni possono comunque essere inviate anche con modalità anonima. La invitiamo, a riguardo, a voler consultare la Procedura Whistleblowing adottata dalla Società
4. Modalità di trattamento
I dati forniti al momento della segnalazione e i dati contenuti nelle segnalazioni saranno trattati secondo i principi di correttezza, liceità, trasparenza e di tutela della riservatezza e dei diritti, suoi e di tutti gli interessati, nel rispetto degli obblighi di riservatezza imposti dalla normativa sulla privacy e dalla legge sul whistleblowing.
Il trattamento sarà effettuato con strumenti informatici e telematici con logiche di organizzazione ed elaborazione strettamente correlate alle finalità sopra indicate e comunque in modo da garantire la sicurezza, l'integrità e la riservatezza dei dati stessi nel rispetto delle misure organizzative, fisiche e logiche previste dalle disposizioni vigenti.
In particolare, i Contitolari del trattamento, in conformità a quanto previsto dal Decreto Whistleblowing, si sono dotati di una piattaforma informatica comune, quale canale di segnalazione interna.
La piattaforma informatica protegge i dati personali mediante un sistema di crittografia, garantendo in questo modo la riservatezza delle informazioni trasmesse.
La documentazione in formato cartaceo è limitata al minimo indispensabile e archiviata e custodita in armadi e locali dotati di serrature di sicurezza.
In ogni caso, i dati personali degli interessati non saranno oggetto di diffusione.
5. Soggetti operanti il trattamento
I dati personali da Lei forniti ed i successivi eventualmente acquisiti nel corso della prestazione saranno trattati esclusivamente da personale all’uopo autorizzato o da responsabili del trattamento all’uopo designati.
Tali soggetti sono tutti formalmente designati/autorizzati al trattamento, nonché tenuti a mantenere il segreto su quanto appreso in ragione delle proprie mansioni, fatti salvi gli obblighi di segnalazione e di denuncia di cui all'art. 331 c.p.p.
Ulteriori informazioni sui designati, i responsabili del trattamento e gli amministratori di sistema possono essere richieste ai Contitolari del trattamento ai contatti sopra indicati.
6. Comunicazione dei dati personali a soggetti terzi
I dati personali, pur non potendo essere oggetto di diffusione, possono essere trasmessi alle pubbliche amministrazioni legittimate ex lege (es. Autorità Giudiziaria, Corte dei Conti, ANAC, etc.), che si configurano quali Titolari autonomi del trattamento.
Le Società si avvalgono di DigitalPA, in qualità di partner tecnologico, al quale è affidata la gestione della piattaforma digitale, designato per questo Responsabile del trattamento dei dati ai sensi dell’art. 28 GDPR.
7. Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali – Processi automatizzati
I Suoi dati personali non sono trasferiti al di fuori dell’Unione Europea, né sono trattati in processi decisionali automatizzati.
8. Tempi e durata della conservazione dei dati
La Società conserva i dati personali ai sensi dell’art. 14 del d.lgs. n. 24/2023, cioè per il tempo strettamente necessario all’accertamento della segnalazione ricevute e, comunque, per non oltre 5 anni a decorrere dalla data di comunicazione dell’esito finale della procedura di segnalazione, salvo il caso in cui, durante il periodo di 5 anni dovesse sorgere un procedimento giudiziario derivante dalla segnalazione medesima. In quest’ultimo caso il periodo di conservazione dei dati seguirà il percorso di detto procedimento giudiziario.
I dati personali che sono manifestamente inutili alla gestione di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati tempestivamente.
Decorsi i termini di conservazione sopra indicati, i dati saranno distrutti, cancellati o resi anonimi, compatibilmente con le procedure tecniche di cancellazione e backup.
9. Diritti degli interessati
La informiamo che ha la facoltà di esercitare i seguenti diritti in relazione ai dati personali oggetto della presente informativa:
- Diritto di accesso e rettifica (articoli 15 e 16 del Regolamento UE)
- Diritto alla cancellazione dei dati (Art. 17 del Regolamento UE)
- Diritto di limitazione di trattamento (Art. 18 del Regolamento UE)
- Diritto alla portabilità dei dati (Art. 20 del Regolamento UE)
- Diritto di opposizione (Art. 21 del Regolamento UE)
- Diritto di proporre reclamo (Art. 77 del Regolamento UE)
- Diritto di revocare il consenso prestato (Art. 13 del Regolamento UE)
In qualunque momento, potrà esercitare i Suoi diritti con riferimento agli specifici trattamenti di dati personali operati dai Contitolari del trattamento, agli indirizzi di contatto indicati al punto 1 della presente informativa.
I suddetti diritti non sono esercitabili dalla persona coinvolta o dalla persona menzionata nella segnalazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, ai sensi dell’art. 2 undecies del Codice Privacy, in quanto dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona segnalante.
10. Misure di sicurezza organizzative e tecniche
I Contitolari adottatno adeguate misure di sicurezza organizzative e tecniche atte a salvaguardare la riservatezza, l'integrità, la completezza, la disponibilità dei dati personali che tratta. Sono messi a punto accorgimenti tecnici, logistici ed organizzativi che hanno come obiettivo la prevenzione di danni, perdite anche accidentali, alterazioni, utilizzo improprio e non autorizzato dei dati trattati.