Segnalazioni Whistleblowing

Informativa sul trattamento dei dati personali di coloro che

effettuano segnalazioni di whistleblowing

 

Ai sensi dell’art. 13, del Regolamento (UE) 2016/679, il presente documento descrive le modalità di trattamento dei dati personali di coloro che intendono presentare segnalazioni di whistleblowing.

La Società ha approvato un proprio regolamento per la gestione delle segnalazioni di whistleblowing (d’ora in poi “Regolamento”), in cui sono indicati i presupposti e le condizioni per poter presentare dette segnalazioni e conseguentemente ricevere le tutele e le protezioni previste dal d.lgs. 10 marzo 2023, n. 24.

Per ogni ulteriore informazione è possibile consultare la pagina “Whistleblowing”, dell’Autorità Nazionale Anticorruzione (ANAC), al seguente link https://www.anticorruzione.it/-/whistleblowing#p0.

La presente informativa è altresì presente sul sito istituzionale della Società.

 

Il Titolare del trattamento dei dati personali

Per Titolare del trattamento s’intende la persona fisica o giuridica che raccoglie e utilizza  dati personali per le finalità di seguito specificate. Nel caso di specie, il Titolare del trattamento è la società Ferrara Tua S.p.A., con sede in Ferrara (FE), Via Borso 1, c.f. e p.i. 01964880387, la quale interviene mediante il proprio Responsabile per la prevenzione della corruzione e della trasparenza (RPCT).  Il RPCT è stato autorizzato, ai sensi dell’art. 2-quaterdecies, del codice della privacy, a ricevere e dare seguito alle segnalazioni di whistleblowing, oltre che a trattare, nel rispetto delle regole e dei principi fissati dal d.lgs. 24/2023, i dati personali del segnalante e quelli riportati nelle segnalazioni in argomento. Qualora si configuri una situazione di conflitto di interessi in capo al RPCT, il titolare del trattamento potrà intervenire, in via eccezionale, mediante il sostituto RPCT, autorizzato ai sensi dell’art. 2-quaterdecies, del codice della privacy.

 

Le categorie di dati personali

Per dato personale si intende qualsiasi informazione riguardante la persona fisica che presenta una segnalazione di whistleblowing. Affinché siano riconosciute le tutele di riservatezza e le protezioni contro eventuali ritorsioni previste dal d.lgs. 10 marzo 2023, n. 24, il soggetto segnalante deve obbligatoriamente fornire i seguenti dati personali:

1. dati identificativi;
2. dati inerenti al rapporto con la società;

• dati inerenti alla violazione segnalata;

1. qualunque ulteriore dato personale che possa essere richiesto nel corso dell’istruttoria condotta dalle persone autorizzate se necessario al perseguimento delle finalità di seguito indicate.

I dati personali necessari per la gestione delle segnalazioni di whistleblowing possono essere forniti anche gradualmente dal segnalante. Pertanto, una segnalazione inizialmente non riconducibile alla normativa whistleblowing può successivamente rientrarvi ove integrata con i dati personali sopra indicati. Le tutele e le protezioni previste dal d.lgs. 24/2023 saranno comunque riconosciute anche ai soggetti la cui identità possa essere desunta, anche indirettamente, sulla base delle sole informazioni rese note tramite segnalazione. In entrambi i casi, qualunque altro dato personale volontariamente fornito, non strettamente necessario e manifestamente utile alle finalità sottoindicate, sarà immediatamente cancellato. La informiamo, inoltre, che l’accesso al Portale Whistleblowing della Società è soggetto alla politica “no log”, che significa che i sistemi informatici aziendali non sono in grado di identificare il punto di accesso al portale (indirizzo IP) anche nel caso in cui l’accesso venisse effettuato da un computer connesso alla rete aziendale.

 

Le finalità del trattamento dei dati personali

I dati personali saranno trattati dal RPCT o dal suo sostituto per le seguenti finalità:

1. identificare il segnalante;
2. verificare la riconducibilità della segnalazione all’ambito di applicazione della normativa whistleblowing;

• rilasciare al segnalante avviso di ricevimento della segnalazione;

1. mantenere le interlocuzioni con il segnalante e ricevere da quest’ultimo integrazioni se necessario;
2. dare diligentemente seguito alle segnalazioni ricevute;
3. valutare la sussistenza e fondatezza dei fatti segnalati;

• fornire riscontro alla segnalazione ricevuta;
• dare seguito alle segnalazioni nei modi e nei tempi previsti dal regolamento e dalla legge;

1. tutelare l’interesse pubblico e l’integrità della Società;
2. adottare ogni altro atto di competenza del soggetto autorizzato;

 

La base giuridica di trattamento

La legittimità del presente trattamento di dati personali trova giustificazione nelle seguenti base giuridiche:

1. ai sensi dell’articolo 6, c. 1, lett. c), del Regolamento (UE) 679/2016, nell’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento:
2. ai sensi dell’articolo 6, c. 1, lett. f) del Regolamento (UE) 679/2016, nel perseguimento di un legittimo interesse del titolare del trattamento o della società;
3. ai sensi dell’art. 6, c. 1, lett. a), del Regolamento (UE) 679/2016, nel Suo espresso consenso, nei casi previsti dall’art. 12, cc. 2 e 5, II periodo, del d.lgs. 24/2023.
4. ai sensi dell’art. 9, c. 2, del Regolamento (UE) 679/2016, qualora siano comunicati anche dati particolari del segnalante, se ritenuti dallo stesso necessari ai fini della segnalazione.

 

Le modalità del trattamento dei dati personali

Gli interessati possono presentare segnalazioni in forma elettronica tramite il portale appositamente dedicato. È inoltre ammessa la possibilità di effettuare segnalazioni whistleblowing in forma orale, in conformità con quanto previsto dal Regolamento Whistleblowing approvato dall’azienda. Anche in questo caso, i fatti segnalati verranno verbalizzati all’interno della piattaforma, che garantisce elevati standard di sicurezza.Per assicurare la massima protezione dei dati, le informazioni non saranno trascritte su supporti cartacei, evitando così il rischio di smarrimento e garantendo un livello di sicurezza adeguato. A ogni segnalazione verrà assegnato un codice identificativo personale, attraverso il quale l’interessato potrà accedere alla propria area riservata sulla piattaforma e monitorare lo stato di avanzamento della segnalazione. Tenendo conto di quanto previsto dall’art. 6 del Regolamento Whistleblowing, i Suoi dati personali potranno essere trattati con strumenti elettronici, unicamente con operazioni nonché con logiche e mediante forme di organizzazione dei dati, strettamente indispensabili in rapporto agli obblighi, ai compiti e alle finalità indicate e, comunque, in modo da garantirne costantemente la sicurezza e la riservatezza dei tuoi dati personali. Per prevenire accessi non autorizzati, la distruzione o la perdita accidentale di detti dati, il Titolare del trattamento ha previsto una serie di misure di sicurezza di tipo sia tecnico che organizzativo, volte a ridurre al minimo la possibilità che si verifichino tali rischi. Il trattamento dei dati personali avverrà sempre nel rispetto dei principi di liceità, correttezza e trasparenza, nonché per finalità determinate, esplicite e legittime e in modo compatibile alle stesse. Inoltre, i Suoi dati personali saranno trattati in modo che siano adeguati, pertinenti e limitati a quanto necessario al raggiungimento degli scopi per i quali sono stati raccolti, nonché esatti e, se necessario, aggiornati e conservati in una forma che consenta l’identificazione della persona a cui si riferiscono solo per l’arco di tempo necessario al raggiungimento delle suddette finalità. La informiamo, inoltre, che i Suoi dati personali non saranno attratti a processi decisionali automatizzati.

 

L’ambito di comunicazione dei dati personali

I dati personali del segnalante e qualsiasi altra informazione da cui possa evincersi, direttamente o indirettamente, tale identità, saranno trattati – e quindi conosciuti – solo dal RPCT e/o dal suo sostituto. Ove il segnalante abbia espresso il proprio consenso e/o purché siano soddisfatte le condizioni previste dall’art. 12 del d.lgs. 24/2023, detti dati personali potranno essere comunicati a persone diverse dal RPCT o dal suo sostituto, come, a titolo esemplificativo, l’Organismo di Vigilanza (art. 18 del Regolamento Whistleblowing) e/o liberi professionisti specializzati sulle tematiche segnalate (art. 19 del Regolamento Whistleblowing). Detti terzi soggetti, ai quali potranno essere comunicati i dati personali, interverranno come titolari autonomi del trattamento e/o come responsabili o sub responsabili del trattamento e/o come soggetti autorizzati e/o designati al trattamento.

 

Ambito di diffusione dei dati personali

I dati personali del segnalante non saranno oggetto di diffusione.

 

Tempo di conservazione dei dati personali

I dati personali riportati in segnalazioni di whistleblowing saranno conservati per un periodo di tempo massimo di cinque anni, decorrenti dalla data della comunicazione dell’esito finale della procedura. Raggiunto il tempo massimo di conservazione o ritenuti non più necessari, i dati personali saranno cancellati e i supporti su cui detti dati sono memorizzati, siano essi cartacei o digitali, saranno distrutti. I tempi di conservazione potranno subire variazioni in aumento qualora siano pendenti procedimenti giudiziari.

 

Trasferimento dati all’estero

I dati personali non saranno trasferiti verso un Paese terzo o ad una organizzazione internazionale diversi dai Paesi o dalle organizzazioni soggette alle norme di diritto UE. L’intero trattamento dei dati personali, infatti, si svolge all’interno dei confini del territorio italiano.

 

Diritti fondamentali dell’interessato

Nel rispetto dei limiti previsti dal d.lgs. 24/2023, Lei potrà esercitare i diritti previsti dagli artt. 15-22 del Regolamento (UE) 679/2016, nei limiti di quanto previsto dall’art. 2-undicies del d.lgs. 30 giugno 2003, n. 196, richiedendo al Titolare del trattamento:

1. la conferma che sia o meno in corso un trattamento di dati personali che Vi riguarda e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

• dell’origine dei dati personali, qualora non rientrino nei dati da Lei forniti;
• delle finalità e modalità del trattamento dei dati;
• dei destinatari o delle categorie di destinatari a cui i dati personali saranno comunicati, qualora venisse richiesto il Suo consenso;
• di chiedere al Titolare del trattamento quali soggetti verranno a conoscenza dei dati personali qualora venga espresso il Suo consenso;
• di chiedere al Titolare del trattamento che venga effettuata la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano;
• della possibilità di ottenere copia dei dati personali oggetto di trattamento;

1. l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;
2. la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
3. la limitazione del trattamento dei dati personali;
4. di opporsi in qualsiasi momento, qualora non venga rilasciato il consenso, al trattamento dei dati personali che Vi riguardano, per le finalità previste dall’art. 6, par. 1, lett. e) o f).
5.  con riferimento all’art 7, c. 3, del Regolamento (UE) 679/2016, la possibilità di revocare l’eventuale consenso prestato. Nel caso in cui abbia dato il consenso alla rivelazione della sua identità nell’ambito dei procedimenti disciplinari, ha diritto di revocare tale consenso in qualsiasi momento, senza che però ciò pregiudichi la liceità del trattamento, basato sul consenso, effettuato prima della revoca.

Per esercitare i suddetti diritti, sarà sufficiente inviare una richiesta scritta al RPCT o al suo sostituto tramite la piattaforma predisposta dalla società. Solo in caso eccezionale, qualora non fosse possibile utilizzare la piattaforma, la richiesta potrà essere inviata all’indirizzo e-mail [*** indicare indirizzo email del RPCT]. Si precisa che l’esercizio dei diritti previsti dal Regolamento (UE) 2016/679 potrà essere subordinato alla verifica dell’identità del richiedente, che dovrà avvenire mediante l’esibizione di un documento di identità in corso di validità.

Reclamo all’Autorità Garante

Qualora ritenesse che il trattamento dei dati personali sia avvenuto in violazione di quanto previsto dal Regolamento ha il diritto di proporre reclamo al Garante per la protezione dei dati personali, come previsto dall’art. 77 del Regolamento stesso, o di adire alle opportune sedi giudiziarie, come previsto dall’art. 79 del Regolamento.

 

Ti invitiamo, inoltre, a prendere visione del regolamento whistleblowing della società per ricevere maggiori informazioni sulla procedura di gestione delle segnalazioni in argomento (regolamento).