PRIVACY POLICY Whistleblowing

Ai sensi del Regolamento 2016/679/UE (Regolamento Generale sulla Protezione dei Dati – di seguito GDPR) L’Azienda fornisce, qui di seguito, l’informativa sui trattamenti dei Suoi dati personali effettuati in relazione alla gestione delle segnalazioni disciplinate dalla “Procedura Whistleblowing”.
‍
1) Finalità per le quali il trattamento dei dati è necessario e relativa base giuridica
I dati personali degli interessati sono trattati per le finalità connesse all’applicazione della procedura sopra citata e per adempiere gli obblighi previsti dalla legge, dai regolamenti o dalla normativa comunitaria.
Il conferimento dei dati è obbligatorio per il conseguimento delle finalità di cui sopra. Il mancato, parziale o inesatto conferimento potrebbe avere come conseguenza l’impossibilità di gestire le segnalazioni ricevute.
‍
2) Conservazione dei dati personali
L’AZIENDA conserva i Suoi dati per il tempo previsto dalla “Procedura Whistleblowing” che stabilisce la cancellazione delle segnalazioni e della relativa documentazione dopo 5 anni e, comunque, per un periodo di tempo non superiore al conseguimento delle finalità per le quali sono raccolti o successivamente trattati.
‍
3) Modalità e logica del trattamento
Il trattamento dei dati è effettuato attraverso lo strumento automatizzato (procedura dedicata) o manualmente (ad esempio, su supporto cartaceo) con logiche correlate alle finalità sopraindicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati. Il sistema di gestione delle segnalazioni garantisce, in ogni fase, la riservatezza del contenuto della segnalazione (incluse le informazioni su eventuali segnalati) e dell'identità del segnalante, anche tramite l'uso di comunicazioni crittografate, ad eccezione dei casi in cui:

- la segnalazione risulti infondata ed effettuata al solo scopo di nuocere al segnalato o per grave imprudenza, negligenza o imperizia del segnalante;
- l’anonimato non sia opponibile per legge (es. indagini penali, ispezioni di organi di controllo, etc.);
- nella segnalazione vengano rivelati fatti tali che, seppur estranei alla sfera aziendale, rendano dovuta la segnalazione all’Autorità Giudiziaria (ad es. reati di terrorismo, spionaggio, attentati, etc.).
La violazione dell’obbligo di riservatezza (fatte salve le eccezioni di cui sopra) è fonte di responsabilità disciplinare.
‍
4) Titolare, Data Protection Officer e categorie di persone autorizzate al trattamento dei dati in AZIENDA
‍
5) Categorie di soggetti terzi ai quali i dati potrebbero essere comunicati in qualità di Titolari o che potrebbero venirne a conoscenza in qualità di Responsabili
Oltre che dai dipendenti dell’AZIENDA, alcuni trattamenti dei Suoi dati personali potranno essere effettuati da soggetti terzi, ai quali l’AZIENDA affida talune attività (o parte di esse) per perseguire le finalità di cui al punto 1). Tali soggetti terzi potrebbero essere stabiliti anche all’estero, in Paesi Ue o extra Ue; in quest’ultimo caso, il trasferimento dei dati è effettuato in virtù dell’esistenza di una decisione della Commissione europea circa l’adeguatezza del livello di protezione dei dati del Paese extra UE oppure sulla base delle appropriate e opportune garanzie previste dagli artt. 46 o 47 del GDPR (es. sottoscrizione delle “clausole tipo” di protezione dei dati adottate dalla Commissione europea) o degli ulteriori presupposti di legittimità al trasferimento previsti dall’art. 49 del GDPR. Tali soggetti opereranno in qualità di Titolari autonomi o saranno designati Responsabili del trattamento e sono essenzialmente ricompresi nelle seguenti categorie:
- Consulenti (Organizzazione, Contenzioso, Studi Legali, ecc.)
- Società incaricate dell’amministrazione e gestione del personale, della conservazione dei dati personali dei dipendenti, dello sviluppo e/o esercizio dei sistemi informativi a ciò dedicati
- Società incaricate per la gestione degli archivi aziendali, ivi inclusi i dati personali dei dipendenti cessati dal servizio
- Società di Revisione/auditing
- Istituzioni e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia, Agenzie investigative.
‍
6) Diritto di accesso ai dati personali ed altri diritti
Il segnalante ha diritto di accedere in ogni momento ai dati che lo riguardano e di esercitare gli altri diritti previsti dalla normativa sulla protezione dei dati personali (es. chiedere l’origine dei dati, la rettifica dei dati inesatti o incompleti, la limitazione del trattamento, la cancellazione o l’oblio, la portabilità dei dati, nonché opporsi al loro utilizzo per motivi legittimati), inviando richiesta apposita. Infine, Lei ha diritto di proporre eventualmente un reclamo al Garante per la protezione dei dati personali per rilevate inadempienze sul trattamento.