INFORMATIVA PER LA GESTIONE DELLE SEGNALAZIONI DI ILLECITI, C.D. “WHISTLEBLOWING”
Regolamento UE 2016/679 (GDPR)
Con questo documento, Demetra S.r.l. (di seguito anche solo Demetra o Titolare) intende fornire tutte le informazioni previste dagli artt. 13 e 14 del Regolamento (UE) 2016/679 (anche detto GDPR o Regolamento Generale per la Protezione dei Dati personali), in merito al trattamento dei dati personali effettuato nell’ambito della gestione delle segnalazioni di presunte condotte illecite inoltrate in conformità alla procedura adottata.
TITOLARE DEL TRATTAMENTO E DPO
Il titolare del trattamento dati è Demetra S.r.l. nella persona del Legale rappresentante pro tempore. Demetra ha nominato ex art. 38 GDPR come DPO l’Avv. Alessandra Delli Ponti, contattabile all’indirizzo mail: dpo@ambulatoridemetra.it o a.delliponti@avvocatodelliponti.it .
In alternativa, per esercitare i propri diritti l’interessato può contattare l’indirizzo e-mail: urp@ambulatoridemetra.it
FONTE DEI DATI PERSONALI
I dati personali trattati sono acquisiti direttamente dal soggetto che effettua la segnalazione di presunte condotte illecite delle quali sia venuto a conoscenza in ragione dei propri rapporti, servizi o forniture con Demetra. I dati personali sono dunque acquisiti in quanto contenuti nella segnalazione, o in atti e documenti allegati alla segnalazione, e potranno riferirsi alle persone indicate come possibili responsabili delle condotte illecite e alle persone a vario titolo coinvolte nelle vicende segnalate, tra cui, se del caso, i soggetti segnalanti stessi.
FINALITÀ DEL TRATTAMENTO E BASE GIURIDICA
I dati personali vengono trattati allo scopo di ricevere e gestire le segnalazioni di presunte condotte illecite. In particolare, il Titolare gestirà il procedimento di whistleblowing, tramite attività istruttorie di verifica della fondatezza di quanto segnalato, e potrà adottare misure correttive all’interno dell’organizzazione intraprendendo, ad esempio, azioni disciplinari o giudiziarie nei confronti dei responsabili delle condotte illecite. Tali finalità di trattamento si basano sul rispetto di un obbligo di legge (Direttiva UE 2019/1937, D.lgs 24/2023 e Decreto Legislativo 231/2001), nonché, a seconda della tipologia di segnalazione, sulla necessità di accertare, esercitare o difendere un diritto in sede giudiziaria.
TIPOLOGIA DI DATI TRATTATI
La ricezione e la gestione delle segnalazioni potranno comportare trattamenti di dati personali comuni (es. anagrafici, professionali, ecc.) e, a seconda del contenuto delle segnalazioni, di categorie particolari di dati personali ai sensi dell’art. 9 GDPR (es. condizioni di salute, orientamento sessuale, appartenenza politica o sindacale) e di dati personali relativi a condanne penali e reati.
NATURA DEL CONFERIMENTO DEI DATI E TUTELA DELL’IDENTITÀ DEL SEGNALANTE
La Procedura prevede l’invio di posta o la segnalazione telefonica direttamente al Gestore delle Segnalazioni, potranno, quindi, essere inviate segnalazioni in forma anonima e l’attività sarà svolta del rispetto dell’anonimato. In altre parole, è rimessa alla volontà di ciascun segnalante la decisione circa quali dati personali conferire e/o il livello di dettaglio di informazioni da presentare in fase di segnalazione.
La procedura di Segnalazione attuata da DPO garantisce, in ogni fase, la riservatezza dell’identità del Segnalante, delle Persone coinvolte e/o comunque menzionate nella Segnalazione, del contenuto della Segnalazione e della relativa documentazione, fatto salvo quanto previsto dall’art. 12 del d.lgs. n. 24/2023.
DESTINATARI DEI DATI PERSONALI
Il Titolare del trattamento ha individuato i soggetti autorizzati a trattare i dati di cui alla Procedura di Segnalazione, tra cui il Gestore delle Segnalazioni.
Inoltre, per alcuni trattamenti possono essere effettuati da ulteriori soggetti terzi, ai quali Demetra potrà affidare – se necessario – talune attività̀ (o parte di esse) che opereranno in qualità di Titolari autonomi o saranno designati Responsabili del trattamento e sono essenzialmente ricompresi nelle seguenti categorie:
a. Consulenti (Organizzazione, Contenzioso, Studi Legali, ecc.)
b. Società incaricate dell’amministrazione e gestione del personale,
c. Società di Revisione/auditing
d. Agenzie investigative
e. Istituzioni e/o Autorità̀ Pubbliche, Autorità̀ Giudiziaria, Organi di Polizia.
A seconda delle circostanze e delle condotte illecite segnalate, nell’ambito della gestione del procedimento di whistleblowing, i dati raccolti tramite le segnalazioni e le attività istruttorie potranno essere trasmessi alle autorità giudiziarie competenti.
CONSERVAZIONE DEI DATI
I dati personali raccolti saranno conservati in archivi cartacei per tutto il periodo necessario allo svolgimento degli eventuali procedimenti scaturenti dalla gestione della segnalazione (disciplinare, penale, contabile) e sino ad un massimo di cinque anni dalla data della comunicazione dell’esito finale della procedura di segnalazione.
DIRITTI DEGLI INTERESSATI
In qualità di interessati al trattamento, i segnalanti interessati del trattamento hanno il diritto di: chiedere l’accesso ai dati trattati – le informazioni fornite restano visionabili nella piattaforma tramite il codice segnalazione condiviso (che il segnalante è invitato a conservare e mantenere riservato); integrare i dati o richiederne la modifica mettendosi ulteriormente in contatto con il titolare attraverso la piattaforma (diritto di rettifica); in ragione del tipo di trattamento, si potranno verificare dei limiti sulle possibilità di ottenere la cancellazione dei dati personali o nelle richieste di limitazione del trattamento dei dati.
Ogni interessato ha il diritto di rivolgersi al Garante per la Protezione dei Dati Personali per far valere i propri diritti in relazione al trattamento dei Suoi dati personali.
Aggiornata al 20 dicembre 2023