INFORMATIVA AI SENSI DELL’ART. 13 E 14 DEL REGOLAMENTO (UE) 2016/679 (“GDPR”)
RELATIVA AL TRATTAMENTO DEI DATI PERSONALI DEI SEGNALANTI, SEGNALATI ED
EVENTUALI ALTRI SOGGETTI TERZI COINVOLTI (“INTERESSATI”), EFFETTUATI DA FerraraTUA E
LE SUE CONTROLLATE E/O PARTECIPATE, IN RELAZIONE ALLA GESTIONE DELLE SEGNALAZIONI
DISCIPLINATE DALLA “WHISTLEBLOWING POLICY”.
Ferrara Tua Spa (semplicemente “FerraraTUA”, nel prosieguo) e le sue società controllate e/o partecipate (AFM, ACOSEA, AMSEF, SIPRO) forniscono, qui di seguito, l’informativa sui trattamenti dei dati
personali dei segnalanti, segnalati ed eventuali altri soggetti terzi coinvolti (tutti “Interessati al
trattamento”, ai termini della normativa privacy applicabile), effettuati dalla stessa in relazione alla
gestione delle segnalazioni disciplinate dalla “Whistleblowing Policy” approvata dal Consiglio di
Amministrazione di FerraraTUA in data 29 gennaio 2019.
1. Dati personali trattati
Dati del segnalante, Dati del segnalato e Dati personali di terze persone che dovessero essere riportati
nella segnalazione effettuata.
2. Categorie particolari di Dati personali trattati
Eventuali Dati cosiddetti “sensibili” (art. 9.1 GDPR, definizione degli ex “dati sensibili”).
3. Fonte dei Dati e categorie di dati raccolti c/o terzi.
Il Titolare raccoglie i dati attraverso le segnalazioni. I dati degli Interessati possono essere forniti dal
medesimo interessato, segnalante, oppure da terzi come, ad esempio, quelli della persona fisica oggetto di
segnalazione (segnalato). Segnalanti possono essere dipendenti e/o collaboratori, amministratori,
consulenti ed in generale tutti gli stakeholder del Titolare oppure di società del Gruppo. Le segnalazioni
possono essere nominali oppure anonime. Per preservare le finalità investigative, l’interessato, oggetto di
segnalazione, può non essere immediatamente messo a conoscenza del trattamento dei propri dati da parte
del Titolare, fintanto che sussista il rischio di compromettere la possibilità di verificare efficacemente la
fondatezza della denuncia o di raccogliere le prove necessarie. Tale rinvio verrà valutato caso per caso dai
soggetti incaricati di svolgere le attività di indagine, in accordo con il Titolare, tenendo in debito conto
l’interesse alla protezione delle prove, evitandone la distruzione o l’alterazione da parte del denunciato, e
i più ampi interessi in gioco.
4. Finalità del trattamento e base giuridica
I dati personali degli interessati sono trattati per le finalità connesse all’applicazione della sopra citata
“Whistleblowing Policy”. L’adozione di tale Policy, nonché il trattamento dei dati avviene sulla scorta di
un obbligo di legge a cui è assoggettato il Titolare. La Policy prevede la riservatezza dell’identità del
segnalante, gestendo i dati personali separatamente dal contenuto della segnalazione effettuata.
L’eventuale abbinamento può essere eseguito solo nei casi eccezionali indicati nella policy (es. per
esercitare il diritto di difesa dell’incolpato, previo consenso del segnalante; nei casi in cui sia accertata,
anche con sentenza di primo grado, la responsabilità penale del segnalante per i reati di calunnia o
diffamazione; nei casi di segnalazioni che si rivelino infondate, effettuate con dolo o colpa grave).
L’interesse del Titolare ad utilizzare un sistema di ricognizione delle informazioni (anche se ottenute in
forma anonima), tale da preservare la riservatezza dell’identità del segnalante, in relazione a possibili
frodi, pericoli o altri seri rischi che possano minacciare la reputazione della società, prevale su quello
dell’interessato ad esprimere il proprio consenso al trattamento dei dati personali, salvo che di quelli che
afferiscono a categorie particolari.
5. Modalità, logica del trattamento e tempi di conservazione
I trattamenti dei dati sono effettuati manualmente (ad esempio, su supporto cartaceo) e/o attraverso
strumenti automatizzati (oltre che tramite la piattaforma Whistleblowing, ad esempio, utilizzando
procedure e supporti elettronici), con logiche correlate alle finalità sopraindicate e, comunque, in modo da
garantire la sicurezza e la riservatezza dei dati. In particolare, i dati trattati sono conservati per un tempo
almeno sufficiente per l’espletamento delle finalità indicate e, comunque, sono cancellati al massimo
entro sei mesi dalla chiusura di tutte le eventuali attività conseguenti all’accertamento dei fatti esposti
nella segnalazione.
6.DPO.
FerraraTUA ha nominato un Data Protection Officer, “DPO” ai sensi degli articoli 37-39 del GDPR. Il DPO di
FerraraTUA può essere contattato, mediante e-mail all’indirizzo: dpo@ferraratua.it, da qualsiasi Interessato
per ogni questione relativa ai propri dati personali od all’esercizio dei diritti che gli derivano dal GDPR
(segnatamente, articoli da 15 a 22).
7. Natura del conferimento e conseguenze dell’eventuale rifiuto
Il conferimento dei dati del segnalante è obbligatorio nella “segnalazione nominativa”. Un eventuale
rifiuto al conferimento dei dati nella “segnalazione nominativa” rende impossibile seguire l’iter della
procedura descritta nella “Whistleblowing Policy”. Il conferimento dei dati del segnalante è facoltativo
nella “segnalazione anonima”, tuttavia l’applicazione della procedura di segnalazione sarà possibile solo
qualora le segnalazioni siano adeguatamente circostanziate e rese con dovizia di particolari, ove cioè
siano in grado di far emergere fatti e situazioni relazionandoli a contesti determinati.
8. Categorie di soggetti terzi ai quali i dati potrebbero essere comunicati
I soggetti terzi a cui i dati potrebbero essere comunicati sono ricompresi nelle seguenti categorie: a)
Consulenti (Studi Legali, ecc.) b) Società incaricate per la gestione degli archivi aziendali, ivi inclusi i
dati personali dei dipendenti cessati dal servizio c) Istituzioni e/o Autorità Pubbliche, Autorità
Giudiziaria, Organi di Polizia, Agenzie investigative d) OdV. In casi eccezionali, quando la segnalazione
abbia dato origine ad un procedimento disciplinare e si basi unicamente sulla denuncia del segnalante,
l’identità di quest’ultimo può essere comunicata a colui che è sottoposto al procedimento disciplinare, se
ciò sia assolutamente indispensabile per esercitare il suo diritto di difesa. In tali casi la segnalazione sarà
utilizzabile ai fini del procedimento disciplinare solo in presenza di consenso del segnalante alla
rivelazione della sua identità.
9. Diritto di accesso ai dati personali ed altri diritti dell’Interessato
Gli Interessati possono chiedere al Titolare, mediante richiesta e-mail all’indirizzo
DPO@ferraratua.it, l’accesso ai dati che li riguardano, la loro rettifica, l’integrazione o la loro
cancellazione, nonché la limitazione del trattamento o qualsiasi altro diritto di cui agli articoli da 15 a 22
del GDPR, ricorrendone i presupposti da evidenziare nella richiesta; ciò, comunque, salvo l’esistenza di
motivi legittimi prevalenti sugli interessi, diritti e libertà dell’interessato, l’accertamento, l’esercizio o la
difesa di un diritto in sede giudiziaria o altri obblighi di legge che il Titolare deve assolvere o diversa
disposizione eventuale delle Autorità Pubbliche o dell’Autorità Giudiziaria o degli Organi di Polizia. Gli
interessati hanno altresì diritto di proporre reclamo all’Autorità Garante per la protezione dei dati
personali in caso di trattamento illegittimo od illecito dei propri dati da parte del Titolare.