Informativa per segnalazione Whistleblowing

INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI PER SEGNALAZIONE DI VIOLAZIONI (WHISTLEBLOWING)

PREMESSA

Ai sensi del Regolamento (UE) 679/2016, ETJCA S.p.a. con sede legale in Corso Sempione, 4 – 20154 Milano e direzione generale in Via Valassina, 24 – 20159 Milano, CF/PI: 12720200158 (di seguito definita “Organizzazione”) in qualità di Titolare del trattamento, è tenuta a fornire alcune informazioni riguardanti l’utilizzo dei dati personali nel contesto della gestione delle segnalazioni whistleblowing. L’Organizzazione ha nominato un Responsabile della Protezione dei Dati (RDP o DPO) contattabile all’indirizzo: rpd.privacy@etjca.it.

La presente informativa si rivolge a tutti i soggetti che ai sensi D.lgs.24/2023 possono presentare una segnalazione: dipendenti ed ex dipendenti, collaboratori e lavoratori autonomi, amministratori e membri degli organi di controllo, azionisti, liberi professionisti e consulenti, stagisti e tirocinanti. Il presente documento integra le informative privacy che il Titolare del trattamento ha già fornito agli interessati in ottemperanza a quanto previsto dal Gdpr.

Il Titolare invita ad utilizzare esclusivamente il canale appositamente istituito per presentare la segnalazione (piattaforma informatica), che offre garanzie in termini di sicurezza e riservatezza. Nell’eventualità in cui una segnalazione sia inviata per errore mediante canali alternativi, Etjca spa assicura la riservatezza dell’identità del segnalante e la protezione dei dati di tutti gli interessati coinvolti nella segnalazione.

FONTE DEI DATI E TIPOLOGIA DI DATI TRATTATI

L’Organizzazione tratterà i dati personali forniti dall’interessato nel contesto della segnalazione e, più precisamente:

  • dati identificativi del soggetto segnalante: nome, cognome, indirizzo e-mail, contatto telefonico (in caso si scelga di rivelare la propria identità);
  • dati identificativi del soggetto segnalato: nome, cognome, posizione lavorativa;
  • dati identificativi di altri soggetti che possono riferire sui fatti oggetto di segnalazione: nome, cognome, posizione lavorativa.

L’acquisizione e la gestione delle segnalazioni può altresì comportare il trattamento di dati personali appartenenti a particolari categorie di dati e relativi a condanne penali e reati, eventualmente contenuti nella segnalazione o in atti e documenti ad essa allegati, riferiti agli interessati (ovvero i segnalanti o le persone indicate come possibili responsabili delle condotte illecite o quelle a vario titolo coinvolte nelle vicende segnalate).

PERIODO DI CONSERVAZIONE DEI DATI

La segnalazione, i dati personali e le informazioni ivi contenuti saranno conservati per un periodo di 5 anni a decorrere dalla data dell’esito finale della procedura di segnalazione, salvo sia necessario conservarla per un tempo superiore per eventuali accertamenti ed indagini da parte degli organi competenti (ad esempio Autorità giudiziaria).

La riservatezza del segnalante, del segnalato e di tutti soggetti coinvolti nella segnalazione (es. facilitatore, eventuali testimoni, del contenuto della segnalazione etc.) sarà garantita durante tale periodo (fatte salve le ipotesi previste dall’art. 12, commi 3-5, del Decreto.

In ogni caso l’Organizzazione raccomanda di non trasmettere e/o comunicare dati personali manifestatamente inutili al trattamento di una Segnalazione che, se raccolti incidentalmente, si provvederà a cancellare immediatamente.

CONFERIMENTO DEI DATI E CONSEGUENZE DEL MANCATO CONFERIMENTO

Il conferimento dei dati deve ritenersi obbligatorio per quanto riguarda i trattamenti che l’Organizzazione deve effettuare per dar seguito alla segnalazione, fermo restando che l’Organizzazione si riserva la possibilità di richiedere ulteriori dati ed informazioni al segnalante utili alla gestione sua segnalazione.

È possibile inviare anche una segnalazione whistleblowing in forma anonima che sarà comunque presa in considerazione ed analizzata; in tale circostanza, posto che il soggetto segnalante ha deciso di non conferire i propri dati personali, la segnalazione whistleblowing potrebbe non essere presa in considerazione ove non risulti materialmente possibile darvi seguito.

FINALITA’ DEL TRATTAMENTO DEI DATI E BASE GIURIDICA

L’Organizzazione tratterà i dati personali raccolti in occasione della segnalazione esclusivamente per la gestione delle segnalazioni whistleblowing e delle attività inerenti a tale processo e, in particolare, per le seguenti finalità:

  • ricezione, analisi e gestione della segnalazione whistleblowing. La base giuridica è l’adempimento di un obbligo di Legge a cui è soggetto il Titolare del trattamento, ovvero l’adempimento al D.lgs. 24/2023;
  • eventuale necessità di tutela in giudizio da parte del Titolare del trattamento successivamente alla gestione della segnalazione. La base giuridica per tale trattamento è il legittimo interesse del Titolare;
  • instaurazione ed irrogazione di azioni disciplinari o sanzionatorie nell’ipotesi in cui vengano attuati comportamenti pretestuosi, ritorsivi o discriminatori a danno segnalante o del segnalato o comunque dei soggetti coinvolti nella segnalazione (es. facilitatore, testimoni, etc.). La base giuridica è l’adempimento di un obbligo di Legge a cui è soggetto il Titolare del trattamento, ovvero l’adempimento al D.lgs. 24/2023.

MODALITA’ DI TRATTAMENTO DEI DATI

Il trattamento dei dati personali verrà effettuato sia in forma automatizzata – mediante la piattaforma informatica – che manuale, da parte di personale espressamente autorizzato al trattamento e formato in materia, garantendo la sicurezza e riservatezza dei dati personali degli interessati coinvolti nella segnalazione. In particolare, Etjca Spa adotterà tutti gli accorgimenti necessari atti a garantire la completa riservatezza del segnalante, del segnalato o comunque dei soggetti coinvolti nella segnalazione (es. facilitatore, testimoni, etc.) e del contenuto della segnalazione, inclusi eventuali documenti allegati alla segnalazione. Qualora il segnalante decida di procedere con la segnalazione vocale, saranno adottati accorgimenti atti a renderne la voce irriconoscibile. Saranno altresì adottate misure tecniche e organizzative tali da garantire un’adeguata sicurezza del trattamento dei dati personali, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

AMBITO DI DIFFUSIONE E CATEGORIE DI SOGGETTI A CUI POSSONO ESSERE COMUNICATI I DATI

I dati personali raccolti dall’organizzazione in occasione della gestione della segnalazione potranno essere comunicati ai seguenti soggetti:

  • Fornitore della piattaforma whistleblowing, che opera in qualità di responsabile del trattamento ex art. 28 Gdpr;
  • Organismo di Vigilanza ex D.lgs. 231/2001, individuato quale gestore delle segnalazioni;
  • Consulenti legali, contabili, del lavoro al fine dello studio e risoluzione di eventuali problemi giuridici relativi a quanto emerso dalla segnalazione;
  • Enti o Autorità a cui è obbligatorio comunicare i dati in forza di disposizioni di legge;
  • Autorità giudiziaria in caso dall’istruttoria condotta emerga la necessità di trasmettere le informazioni acquisite alle competenti Autorità.

Il Titolare non trasferisce dati personali al di fuori dello Spazio Economico Europeo.

DIRITTI DELL’INTERESSATO

I diritti di cui agli articoli da 15 a 22 del Regolamento (EU) 679/2016 non possono essere esercitati, con richiesta al Titolare del trattamento ovvero con reclamo ai sensi dell’articolo 77 del Regolamento, qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto:

a) agli interessi tutelati in base alle disposizioni in materia di riciclaggio;

b) agli interessi tutelati in base alle disposizioni in materia di sostegno alle vittime di richieste estorsive;

c) all’attività di Commissioni parlamentari d’inchiesta istituite ai sensi dell’articolo 82 della Costituzione;

d) alle attività svolte da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità;

e) allo svolgimento delle investigazioni difensive o all’esercizio di un diritto in sede giudiziaria;

f) alla riservatezza dell’identità del dipendente che segnala ai sensi della legge 30 novembre 2017, n. 179, l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio.

Fuori da tali ipotesi l’interessato potrà esercitare i suoi diritti rivolgendosi a ETJCA S.p.a. mediante i seguenti recapiti: ETJCA S.p.a. Direzione generale in Via Valassina, 24 – 20159 Milano, www.etjca.it – etjca@pec.etjca.it oppure all’indirizzo del Responsabile della protezione dei dati (RDP o DPO): rpd.privacy@etjca.it