INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
AI SENSI DELL’ART. 13 e 14 REG. UE 2016/679 (GDPR) e s.m.i.
Mod. Informativa Whistleblowing REV. 01 del ________________
con il presente documento FAPI Fondo Formazione Piccole e Medie Imprese desidera fornirLe l’informativa riguardante il trattamento dei dati personali raccolti mediante i canali accessibili attraverso la Piattaforma che il fornitore della Società ha messo a disposizione di coloro che intendono inviare, secondo quanto previsto dalla Procedura di Whistleblowing, una Segnalazione delle Violazioni indicate nella Procedura stessa, in attuazione di quanto previsto dal D. Lgs 24/23.
***
Disclaimer.
- Per una maggiore e migliore comprensione della presente informativa sul trattamento dei dati personali e delle definizioni ivi contenute si invita l’Interessato, ove non lo abbia già fatto, a prendere visione della cd. “Procedura Whistleblowing” presente sul sito internet della Società.
- Per ogni e qualsiasi circostanza attinente il merito delle Segnalazioni si invita l’Interessato ad utilizzare la piattaforma ed a NON fare riferimento ai sottostanti indirizzi e recapiti del Titolare del trattamento, pena l’evidente rischio di perdita della riservatezza della Segnalazione.
- Si invita l’Interessato altresì, per le medesime ragioni, a NON inoltrare Segnalazioni utilizzando device aziendali ed a NON utilizzare l’email aziendale come punto di contatto con il Gestore delle Segnalazioni.
- Le Segnalazioni potranno essere effettuate accedendo alla Piattaforma al seguente indirizzo ………………….. [LR1] in forma scritta, mediante compilazione di form, o orale, mediante sistema di messaggistica vocale a voce camuffata.
- Qualora necessitasse di un incontro di persona (c.d. incontro diretto) con il Gestore delle Segnalazioni potrà inoltrare la richiesta mediante la Piattaforma; il Gestore delle segnalazioni, in questo caso, provvederà a fissare il predetto incontro fissato entro un termine ragionevole; le Segnalazioni effettuate oralmente nel corso di un incontro, saranno documentate, previo consenso di quest’ultimo, o mediante registrazione su dispositivo idoneo alla conservazione e all’ascolto o mediante verbalizzazione.
***
- IDENTITÀ E DATI DI CONTATTO DEL TITOLARE.
- tel.+39__________________
- e-mail info@_____________
- PEC _____________@legalmail.it
- e-mail dedicata privacy: privacy@________________
- REFERENTE INTERNO PER LA PROTEZIONE DEI DATI PERSONALI ED INDIRIZZO DEDICATO.
Il Titolare del trattamento ha nominato un Referente interno della protezione dei dati personali; qualsiasi richiesta e/o comunicazione afferente la protezione dei dati personali e/o i trattamenti dei dati personali e/o i dati personali in generale potrà essere indirizzata, oltre che ai recapiti indicati al punto 1, anche al seguente indirizzo email dedicato: privacy@fondopmi.it
- RESPONSABILE PER LA PROTEZIONE DEI DATI PERSONALI (cd. RDP o DPO).
Il Data Protection Officer (“DPO”) nominato dal Titolare ai sensi degli artt. 37 e ss. GDPR è Piramis Group SRL, con sede in Montichiari (BS), Via G. Falcone n. 4 (P. IVA 02913120982), nella persona del Dott. Luigi Rendina. E’ possibile contattare il DPO inviando una e-mail all’indirizzo dpo@fondopmi.it
- TIPOLOGIA DEI DATI SOGGETTI A TRATTAMENTO.
Questi i dati personali che verranno trattati dal gestore delle Segnalazioni per conto del Titolare del trattamento:
- dati anagrafici, di contatto e identificativi del Segnalante;
- posizione lavorativa del Segnalante rispetto al Titolare;
- ogni altra informazione da Lei indicata all’interno della segnalazione (attinente altre persone e/o fatti e/o immagini, audio e voce).
In caso di Segnalazione anonima non saranno visibili al gestore delle Segnalazioni i dati anagrafici, di contatto e identificativi del Segnalante.
La Segnalazione non dovrà contenere categorie particolari di dati personali ex art. 9 GDPR (l’origine razziale ed etnica, le convinzioni filosofiche e religiose, l’adesione a partiti o sindacati, nonché lo stato di salute la vita sessuale o l’orientamento sessuale), né dati di cui all’art. 10 del GDPR (relativi a condanne penale e reati), salvo i casi in cui ciò sia inevitabile e necessario ai fini della Segnalazione stessa.
- FINALITÀ DEL TRATTAMENTO DEI DATI.
I Suoi dati personali sono trattati secondo le seguenti finalità:
- ricezione e gestione della Segnalazione nel rispetto del D. Lgs 24/23 e della Procedura Whistleblowing (“Finalità di adempimento ad obblighi di legge in materia di Whistleblowing”);
- esigenze di difesa dei diritti nel corso di procedimenti giudiziali, amministrativi o stragiudiziali e nell’ambito di controversie sorte in relazione alla Segnalazione effettuata, per agire in giudizio o per avanzare pretese (“Finalità di tutela dell’Ente in materia di Whistleblowing”).
- BASE GIURIDICA DEL TRATTAMENTO.
Per le finalità di cui al punto 1 (cd. “Finalità di adempimento ad obblighi di legge in materia di Whistleblowing”) la base giuridica del trattamento, ai sensi dell’art. 6 comma 1 del GDPR, è costituita da Lett. C - trattamento necessario per adempiere un obbligo legale al quale è soggetto il Titolare del trattamento-; esclusivamente ove la Segnalazione contenga riferimenti a categorie particolari di dati personali poiché inevitabile e necessario ai fini della Segnalazione stessa, la base giuridica è identificabile nell’art. 9 comma 2 del GDPR, Lett. B.
Per le finalità di cui al punto 2 (cd. “Finalità di tutela dell’Ente in materia di Whistleblowing”) la base giuridica del trattamento, ai sensi dell’art. 6 comma 1 del GDPR, è costituita da Lett. F - perseguimento del legittimo interesse del Titolare del trattamento -; esclusivamente ove la Segnalazione contenga riferimenti a categorie particolari di dati personali poiché inevitabile e necessario ai fini della Segnalazione stessa, la base giuridica è identificabile nell’art. 9 comma 2 del GDPR, Lett. F.
Per quanto riguarda gli eventuali dati relativi a condanne penali e reati la base giuridica del trattamento è costituita dall’art. 2-octies del D.lgs. 196/2003, come modificato dal D.lgs. 101/2018 (di seguito anche Codice Privacy) e dal D. Lgs 24/23, nell’adempimento degli obblighi di legge da tale ultima normativa previsti.
- MODALITÀ DEL TRATTAMENTO DEI DATI.
Secondo le norme del GDPR, i trattamenti effettuati dal Titolare saranno improntati ai principi di liceità, correttezza, trasparenza, limitazione delle finalità e della conservazione, minimizzazione dei dati, esattezza, integrità e riservatezza.
Il trattamento dei dati è effettuato attraverso modalità atte a memorizzarli, gestirli e trasmetterli con strumenti idonei e garantire la sicurezza e la riservatezza mediante l’utilizzo di procedure idonee ad evitare il rischio di perdita, accesso non autorizzato, uso illecito e diffusione; ciò avviene tramite l’adozione di tecniche di cifratura e l’attuazione di misure di sicurezza tecnico-organizzative definite, valutate ed implementate anche alla luce di una espletata valutazione d’impatto ai sensi dell’art. 35 del GDPR, come ad esempio il camuffamento della voce nella messaggistica vocale, il divieto di raccolta e/o conservazione di file di log, indirizzo IP e forme di monitoraggio del Segnalante.
I dati saranno sempre trattati nel massimo rispetto del principio della riservatezza anche nel caso di gestione degli stessi da parte di terzi soggetti espressamente incaricati dal Titolare.
- PERIODO DI CONSERVAZIONE.
Il periodo di conservazione dei dati personali inizia al momento dell’invio della Segnalazione e cessa 5 anni dopo la comunicazione del Gestore delle Segnalazioni dell’esito della procedura di Segnalazione.
Al termine di tale periodo, il Titolare cancellerà i dati in maniera irreversibile.
Si precisa che (a) nel caso di contenzioso giudiziale, i dati personali saranno conservati per tutta la durata dello stesso, fino all’esaurimento dei termini di esperibilità delle azioni di impugnazione e (b) i dati personali che manifestamente non sono utili al trattamento di una specifica Segnalazione non sono raccolti o, se raccolti accidentalmente, sono – ove materialmente possibile - cancellati tempestivamente.
- SOGGETTI AUTORIZZATI A TRATTARE I DATI PERSONALI E DESTINATARI DEGLI STESSI.
I dati personali da Lei conferiti saranno trattati esclusivamente dal Gestore delle Segnalazioni, specificamente nominato Autorizzato al /Responsabile del trattamento, [LR2] e dal fornitore della Piattaforma, designato formalmente Responsabile del trattamento, ognuno per le proprie competenze.
Qualora esigenze istruttorie richiedano che altri soggetti debbano essere messi a conoscenza del contenuto della Segnalazione o della documentazione ad essa allegata, non verrà mai rivelata l’identità del Segnalante, né verranno rivelati elementi che possano, anche indirettamente, consentire l’identificazione dello stesso. Tali soggetti, poiché potrebbero comunque venire a conoscenza di altri dati personali, sono comunque tutti formalmente Autorizzati al trattamento e a ciò appositamente istruiti e formati, nonché tenuti a mantenere il segreto su quanto appreso in ragione delle proprie mansioni.
Potranno infine esser destinatari dei Suoi dati, a seguito della Segnalazione, se del caso, l’Autorità Giudiziaria, la Corte dei conti e l’ANAC, tutti autonomi titolari del trattamento.
Informazioni più dettagliate del processo di gestione della Segnalazione e i soggetti coinvolti, sono disponibili all’interno della Procedura Whistleblowing.
L’elenco aggiornato dei Responsabili del trattamento è comunque a Sua disposizione e Le sarà comunicato a semplice richiesta dal Titolare del Trattamento.
- DIFFUSIONE DEI DATI.
Salvo Sua specifica richiesta scritta, o preciso ordine dell’Autorità Garante, oppure obbligo normativo, i dati personali da Lei conferiti non sono soggetti a diffusione.
- TUTELA DELLA RISERVATEZZA DELL’IDENTITA’ DEL SEGNALANTE E CASI DI SUA RIVELAZIONE.
Alla Segnalazione e all’identità del Segnalante non è possibile accedere né a mezzo accesso documentale né a mezzo accesso civico generalizzato.
Nell’ambito dei procedimenti penali eventualmente istaurati, l’identità del Segnalante sarà coperta da segreto nei modi e nei limiti previsti dall’art. 329 c.p.p..
Nell’ambito di procedimenti dinanzi alla Corte dei Conti, l’identità del Segnalante non sarà comunque rivelata sino alla chiusura della fase istruttoria.
Ad eccezione dei casi in cui sia configurabile una responsabilità a titolo di calunnia e di diffamazione ai sensi delle disposizioni del codice penale o dell'art. 2043 c.c. e delle ipotesi in cui la riservatezza non è opponibile per legge (es. indagini penali, tributarie o amministrative, ispezioni di organi di controllo) l'identità del Segnalante verrà protetta sin dalla ricezione della Segnalazione e in ogni fase successiva.
Pertanto, l'identità del Segnalante può essere rivelata solo nei casi in cui a) la contestazione dell’addebito sia fondata in tutto o in parte sulla Segnalazione, la conoscenza dell’identità del Segnalante sia indispensabile per la difesa dell’incolpato e il Segnalante abbia prestato il consenso espresso alla rivelazione della propria identità. Solo in questo caso la segnalazione potrà essere utilizzata nel procedimento disciplinare b) vi siano disposizioni cogenti che obblighino l’Ente a rivelare l’identità del Segnalante. Tutti coloro che riceveranno e/o saranno coinvolti nella gestione delle Segnalazioni sono tenuti a tutelare la riservatezza di tale informazione.
- TRASFERIMENTO DEI DATI ALL’ESTERO.
- DIRITTI DELL’INTERESSATO.
A sensi degli artt. 15 e ss. del GDPR, ferme eventuali limitazioni derivanti da disposizioni cogenti, Le sono riconosciuti alcuni diritti significativi nei confronti dell’Interessato, ovverosia:
- l’accesso ai dati personali (art. 15);
- la rettifica o l’integrazione dei dati personali in possesso della Società ritenuti inesatti (art. 16);
- la cancellazione dei dati personali per il quale la Società non ha più alcun presupposto giuridico per il trattamento (art. 17);
- la limitazione del modo in cui la Società tratta i dati personali qualora ricorra una delle ipotesi previsti dall’art. 18;
- la copia dei dati personali da forniti alla Società, in un formato strutturato, di uso comune e leggibile da dispositivo automatico e la trasmissione di tali dati personali ad un altro titolare del trattamento (cd. portabilità) (art. 20);
- l’Interessato ha inoltre il diritto di opporsi in qualsiasi momento, per motivi connessi alla Sua situazione particolare, al trattamento dei dati personali che Lo riguardano da parte della Società per il perseguimento del proprio legittimo interesse (art. 21).
Ai sensi dell’articolo 2-undecies del Codice Privacy ed in attuazione dell’art. 23 del GDPR si informa che i sopra menzionati diritti non possono essere esercitati da parte delle persone coinvolte nella Segnalazione diverse dal Segnalante qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità di quest’ultimo.
In particolare, l’esercizio di tali diritti:
▪ sarà effettuabile conformemente alle disposizioni di legge o di regolamento che regolano il settore (D.lgs. 24/2023);
▪ potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’Interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’Interessato, al fine di salvaguardare la riservatezza dell’identità del Segnalante;
▪ in tali casi, i diritti dell’Interessato possono essere esercitati anche tramite il Garante per la Protezione dei Dati Personali con le modalità di cui all’art. 160 del Codice Privacy, nel qual caso il Garante informa l’Interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’Interessato di proporre ricorso giurisdizionale.
- NATURA DEL CONFERIMENTO DEI DATI.
Il conferimento dei dati personali per le finalità di cui al punto 3.1 della presente informativa è obbligatorio; in difetto la Società si troverebbe nell'impossibilità di adempiere agli specifici obblighi di legge relativi alla gestione delle Segnalazioni e, di conseguenza, non potrebbe garantire le misure di protezione previste dal D. Lgs 24/23 a favore degli Interessati.
Il conferimento dei dati personali per le finalità di cui al punto 3.2 della presente informativa è funzionale al perseguimento del legittimo interesse dell’Ente; in tale ipotesi Le è consentito opporsi in qualunque momento al trattamento; a tal riguardo il Titolare si riserva sin da ora di valutare la Sua eventuale istanza, che potrebbe non essere accettata in caso di esistenza di dimostrazione di motivi legittimi e cogenti per procedere al trattamento che prevalgano sui Suoi interessi, diritti e libertà (ad esempio un interesse prevalente al trattamento o all'accertamento, oppure l'esercizio o la difesa di un diritto in sede giudiziaria).
Si precisa ad ogni modo che il conferimento dei dati comuni, quali dati anagrafici o di contatto o identificativi, da parte del Segnalante è volontario, essendo, comunque, possibile la Segnalazione anonima.
- RECLAMO AL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
L’Interessato può proporre reclamo al Garante come previsto all’art. 77 del GDPR, utilizzando i riferimenti disponibili sul sito internet www.garanteprivacy.it, o di adire le opportune sedi giudiziarie.