Informativa sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del Reg. (UE) 2016/679 (“GDPR”)
Premessa
Di seguito, Fondimpresa fornisce le informazioni relative al trattamento di dati personali degli interessati effettuato nell’ambito della gestione delle segnalazioni di condotte illecite o violazioni di cui all’art. 2.1, lett. a) del d. lgs. 24/2023 (di seguito, “Decreto whistleblowing”), comprese quelle del modello di organizzazione, gestione e controllo ai sensi del d. Lgs. 231/2001 e ss.mm.ii..
Le segnalazioni possono essere effettuate tramite i canali e le modalità previsti nella procedura whistleblowing (di seguito, “Procedura”) ed in particolare:
a) in forma scritta, di norma mediante apposita piattaforma software;
b) in forma orale, tramite una dichiarazione rilasciata mediante linea telefonica dedicata;
c) su richiesta del segnalante, nell’ambito di un incontro di persona
La dichiarazione di cui alla lett. b) è documentata per iscritto mediante resoconto dettagliato a cura del ricevente. Il segnalante ha la facoltà di verificare e rettificare il contenuto della trascrizione e confermarla mediante la propria sottoscrizione.
I contenuti dell’incontro di cui alla lett. c), previo consenso del segnalante, sono documentati tramite verbale che può essere verificato, rettificato e confermato con la sottoscrizione del segnalante stesso.
1. Titolare del trattamento
Titolare del trattamento è Fondimpresa, con sede legale in Via dei Villini, n. 3/A – 00161 – Roma (RM), tel. 06695421 (di seguito, “Titolare”).
2. Data Protection Officer
Il Data Protection Officer (di seguito, “DPO”) è contattabile all’indirizzo mail dpo@fondimpresa.it.
3. Categorie e fonte dei dati trattati - Dati trattati:
i dati comuni del segnalante, nonché tutte le informazioni riconducibili a persone fisiche fornite dal segnalante in ordine a specifici comportamenti, atti od omissioni ritenuti potenzialmente illeciti, ai sensi del Decreto whistleblowing, nonché lesivi dell’interesse pubblico o dell’integrità del Titolare. - Fonte dei dati: i dati del segnalante, quelli del segnalato e/o di terzi sono forniti direttamente dal segnalante stesso e/o da terzi nel corso delle attività istruttorie.
4. Finalità del trattamento, basi giuridiche e tempi di conservazione dei dati
|
Perché vengono trattati i dati personali? |
Qual è la condizione che rende lecito il trattamento? |
Per quanto tempo conserviamo i dati personali? |
|
Per la gestione delle segnalazioni delle violazioni di cui sopra, incluse le attività istruttorie in merito. Previo consenso, l’identità del segnalante sarà rivelata solo per consentire all’incolpato o alla persona coinvolta di difendersi nell’ambito di un procedimento disciplinare, ex art. 12 co. 5 e 6 del Decreto whistleblowing. |
L’adempimento di un obbligo di legge al quale è soggetto il Titolare, come previsto dall’art. 6, comma 1, lett. c) del GDPR.
|
I dati sono conservati per un periodo massimo di 5 anni dalla data della comunicazione dell’esito finale della procedura di gestione della segnalazione, salvo l’instaurazione di procedimento giudiziario o disciplinare conseguente alla segnalazione stessa. In tal caso, i dati saranno conservati per tutta la durata del procedimento, fino alla sua conclusione e allo spirare dei termini di esperibilità delle azioni di impugnazione. I dati personali che manifestamente non sono utili alla gestione di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente. |
|
Se necessario, al fine dell’adozione dei provvedimenti conseguenti alla segnalazione e, in generale, per la tutela dei diritti del Titolare. |
Legittimo interesse del Titolare di cui all’art. 6 co.1 lett. f) del GDPR. |
|
|
Decorsi i termini di conservazione sopra indicati, i dati saranno distrutti, cancellati o resi anonimi, compatibilmente con le tempistiche tecniche di cancellazione e backup. |
||
5. Natura del conferimento dei dati
Il conferimento dei dati relativi alle segnalazioni di cui sopra è necessario; altrimenti, non sarà possibile gestire le segnalazioni. Il procedimento di gestione delle segnalazioni garantisce la riservatezza dell’identità del segnalante, sin dalla ricezione e in ogni contatto successivo, della persona fisica o giuridica oggetto della segnalazione o comunque menzionata nella stessa. In ogni caso, eventuali segnalazioni anonime saranno prese in carico solo qualora adeguatamente circostanziate, basate su elementi concreti e rese con dovizia di particolari da far apparire attendibili i fatti segnalati.
6. Destinatari dei dati
I dati personali sono trattati, per conto del Titolare, dai seguenti soggetti terzi, designati come Responsabili del Trattamento ex art. 28 del Reg. (UE) 2016/679 che svolgono attività funzionali al perseguimento delle finalità sopra indicate:
- la società Refink S.r.l. che svolge la funzione di Internal Audit (di seguito “Internal Audit”) incaricata, in via principale, della gestione delle segnalazioni;
- la società ISWEB S.p.a., fornitrice della piattaforma software di whistleblowing.
I dati potranno essere trattati dai membri dell’Organismo di Vigilanza del Titolare (di seguito, “OdV”), quali soggetti espressamente autorizzati al trattamento, in ragione del fatto che l’OdV è incaricato di gestire le segnalazioni per le quali l’Internal Audit dovesse trovarsi in conflitto d’interesse.
I dati possono essere comunicati all’Autorità Giudiziaria e ad altri soggetti pubblici legittimati a riceverli, quali ad esempio la Corte dei conti e l’ANAC, nei casi e nelle modalità previsti dal Decreto whistleblowing e dalla Procedura; le segnalazioni sono sottratte all’accesso agli atti (artt. 22 e segg. della legge n. 241/1990), nonché all’accesso civico generalizzato (art. 5 e seguenti del d.lgs n. 33/2013).
L’eventuale condivisione della segnalazione e della documentazione prodotta dal segnalante con altre funzioni aziendali o con professionisti esterni a scopo di indagine viene svolta nel rispetto della Procedura e del Decreto whistleblowing, nonché con la massima attenzione a tutela della riservatezza del segnalante, previo oscuramento dei dati e delle informazioni che potrebbero rivelarne, anche indirettamente, l’identità.
Resta fermo che, come indicato nel paragrafo 3, l’identità del segnalante e qualsiasi altra informazione da cui la si può evincere, direttamente o indirettamente, non saranno rivelate, senza il consenso dello stesso, a soggetti diversi dall’Internal Audit e dall’OdV, fatto salvo quanto prescritto dalla normativa applicabile (ad es. in ambito penale).
7. Caratteristiche della piattaforma software per l’invio delle segnalazioni
La piattaforma per l’invio delle segnalazioni ha le seguenti caratteristiche:
- è fornita e manutenuta da ISWEB S.p.a., senza concorso dei Sistemi Informativi del Titolare;
- è basata sull’Open Source Globaleaks, sviluppato seguendo le linee guida di sviluppo di OWASP e già utilizzato da ANAC per la realizzazione del proprio portale OpenWhistleblowing;
- è certificata dall'Agenzia per la Cybersicurezza Nazionale (ACN) su Cloud Marketplace, canale obbligatorio per l'acquisizione di soluzioni SaaS per la PA
- genera esclusivamente log anonimi in relazione alle attività svolte dal segnalante, al fine di impedirne l’identificazione;
- sono state implementate misure di sicurezza adeguate al rischio, tra cui la cifratura dei dati conservati.
8. Diritti degli interessati
È possibile esercitare, in relazione ai trattamenti dei dati sopra descritti, i diritti riconosciuti dal GDPR agli interessati, ivi incluso il diritto di:
- chiedere l’accesso ai dati che li riguardano e alle informazioni di cui all’art. 15 (finalità del trattamento, categorie di dati personali, etc.);
- ottenere la rettifica dei dati inesatti o l’integrazione dei dati incompleti ai sensi dell’art. 16;
- chiedere la cancellazione dei dati personali nelle ipotesi previste dall’art. 17, se il Titolare non ha più diritto di trattarli;
- ottenere la limitazione del trattamento (cioè la temporanea sottoposizione dei dati alla sola operazione di conservazione), nei casi previsti dall’art. 18 GDPR;
- opporsi in qualsiasi momento, per motivi connessi a situazioni particolari, al trattamento dei propri dati personali sulla base del legittimo interesse ai sensi dell'articolo 6.1 lett. f) del GDPR.
Ai sensi dell’art. 2-undecies del d. Lgs. n. 196/2003 (“Codice Privacy”), i diritti di cui agli articoli da 15 a 22 del GDPR non possono essere esercitati qualora dall'esercizio degli stessi possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante. In tale ipotesi i diritti in questione possono essere esercitati per il tramite del Garante per la Protezione dei Dati Personali (con le modalità di cui all’art. 160 del Codice Privacy), il quale informa l’interessato di avere eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale.
Per l’esercizio dei diritti sopraindicati è possibile contattare il DPO inviando una e-mail all'indirizzo dpo@fondimpresa.it.
Ai sensi della normativa applicabile e fatte salve le limitazioni di cui all’art. 2-undecies di cui sopra, gli interessati hanno il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali o di adire le competenti sedi giudiziarie qualora ritengano che il trattamento dei propri dati personali sia contrario alla normativa vigente.
9. Ulteriori informazioni
La presente Informativa è stata pubblicata nel luglio 2023. Per ulteriori informazioni sui trattamenti di dati personali operati da Fondimpresa si rimanda alla sezione Privacy del sito www.fondimpresa.it.