PRIVACY WHISTLEBLOWING RUPES S.p.A.
INFORMATIVA SULLA TUTELA DEI DATI PERSONALI
ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”)
La presente informativa riguarda il trattamento dei dati personali raccolti da parte della società Rupes SpA, con sede in Viale Bianca Maria 13 Milano, in qualità di Titolare del trattamento (di seguito “Società” o “Titolare”) nel processo di ricezione e gestione delle Segnalazioni Whistleblowing, in conformità alla disciplina del D. Lgs. 24/2023.
In particolare, la Società, ai sensi della suddetta normativa, ha adottato il proprio canale interno di segnalazione disciplinato da un’apposita Procedura (di seguito, “Policy Whistleblowing”) e lo ha messo a disposizione dei destinatari (dipendenti, clienti, fornitori, partner commerciali, consulenti, collaboratori ecc., di seguito “Segnalanti”) che intendono effettuare una segnalazione (di seguito anche “Segnalazione”) di condotte illecite e violazioni di leggi nazionali e dell’Unione Europea che ledono l’integrità della Società, delle quali siano venuti a conoscenza nell’ambito del proprio contesto lavorativo.
Le Segnalazioni possono essere effettuate attraverso diverse modalità descritte nella Policy Whistleblowing e di seguito brevemente riepilogate:
- telematica, tramite apposito Portale messo a disposizione dalla Società e accessibile al seguente link https://areariservata.mygovernance.it/#!/WB/Rupes;
- in forma orale, tramite messaggio vocale registrato tramite l’apposita funzionalità disponibile sul Portale;
- tramite incontro diretto con il Gestore, su richiesta del Segnalante.
TIPOLOGIA DI DATI RACCOLTI
Qualora venga effettuata una Segnalazione, la Società – esclusivamente tramite il/i Gestore/i appositamente nominato/i e autorizzato/i – raccoglierà e tratterà le seguenti informazioni che comprendono i dati personali del soggetto Segnalante quali, il nome, il cognome, i dati di contatto nonché le informazioni contenute nella Segnalazione, ivi inclusi i dati personali del/dei soggetto/i segnalato/i, quali, ad esempio, nome e cognome, ruolo aziendale (di seguito anche “Dati personali”).
In linea di principio non vengono trattati dati personali c.d. “particolari” (relativi, ad esempio, a condizioni di salute, orientamento sessuale o appartenenza sindacale, di cui all’art. 9 GDPR). Tuttavia, a seconda del contenuto della Segnalazione e degli eventuali documenti a questa allegati, potrebbe accadere che il Segnalante comunichi tale tipologia di dati nel contesto della Segnalazione stessa. Si raccomanda di inserire nella Segnalazione tali dati “particolari” solo se assolutamente indispensabili ai fini della presentazione della Segnalazione.
La Segnalazione non dovrà contenere toni ingiuriosi o contenere offese personali volte unicamente a offendere o ledere l’onore e/o il decoro personale e/o professionale della persona o delle persone a cui i fatti segnalati sono riferiti.
FINALITÀ E BASI GIURIDICHE DEL TRATTAMENTO
A. I Dati personali saranno trattati per finalità di gestione e verifica della Segnalazione e per garantire un’adeguata applicazione della Policy Whistleblowing.
In particolare:
- per accertare la ricevibilità della Segnalazione;
- per verificare la fondatezza della stessa e, se del caso, ricostruire le cause e le conseguenze dei fatti segnalati nonché le relative responsabilità;
- per adottare misure correttive e di prevenzione nonché eventuali provvedimenti disciplinari e/o sanzionatori e, ove necessario, ricorrere alle Autorità competenti
Base giuridica del trattamento è l’adempimento di un obbligo di legge cui è soggetto il Titolare ex art. 6, par. 1, lettera c) del GDPR come previsto dal D. Lgs 24/2023, che impone a ciascun Titolare di dotarsi di un canale interno per ricevere le Segnalazioni.
Quanto agli eventuali dati “particolari” e ai dati relativi ad eventuali condanne comunicati nella Segnalazione e indispensabili per la gestione della stessa, il trattamento è basato sull’art. 9 par. 2 lett. b) e art. 10 del GDPR.
Il conferimento dei Dati personali del Segnalante è facoltativo; infatti, sulla base della Policy Whistleblowing adottata dal Titolare, il Segnalante ha la facoltà di rimanere anonimo.
Qualora la Segnalazione venga presentata tramite il Portale, i dati del Segnalante saranno altresì trattati per permettere la registrazione sullo stesso. Qualora il Segnalante presenti la Segnalazione tramite messaggio vocale registrato sul Portale, i suoi dati, previo consenso da esprimere sul Portale stesso, saranno trattati per acquisire la registrazione vocale e conservarla sul Portale medesimo con le garanzie di sicurezza e riservatezza che questo assicura.
B. I Dati personali potranno essere trattati per finalità connesse ad esigenze di difesa dei diritti nel corso di procedimenti giudiziali, amministrativi o stragiudiziali e nell’ambito di controversie sorte in relazione alla Segnalazione effettuata, nel rispetto delle previsioni di riservatezza previste dal D. Lgs. 24/2023.Presupposto per tale trattamento è il legittimo interesse del Titolare ex art. 6, primo comma, lett. f) del GDPR alla tutela dei propri diritti. In questo caso, non è richiesto un nuovo e specifico conferimento, poiché il Titolare perseguirà la presente ulteriore finalità, ove necessario, trattando i Dati Personali raccolti per le finalità di cui sopra, ritenute compatibili con la presente (anche in ragione del contesto in cui i Dati personali sono stati raccolti, del rapporto tra il Segnalante e la Società coinvolta, della natura dei dati stessi e delle garanzie adeguate per il loro trattamento, oltre che del nesso tra la finalità sub A. e la presente ulteriore finalità).La Segnalazione non dovrà contenere fatti non rilevanti ai fini della stessa. I dati personali che manifestamente non sono utili al trattamento di una specifica Segnalazione non sono raccolti o, se raccolti accidentalmente, saranno cancellati immediatamente.
MODALITA’ DEL TRATTAMENTO E RISERVATEZZA DELL’IDENTITA’ DEL SEGNALANTE
Il trattamento dei Dati personali sarà improntato ai principi di correttezza, liceità e trasparenza e potrà essere effettuato anche attraverso modalità automatizzate e con strumenti informatici atti a memorizzarli, gestirli e trasmetterli.
Il trattamento avverrà – per ciascuno dei canali di acquisizione della Segnalazione sopra descritti e in ogni fase del processo di ricezione e gestione della Segnalazione stessa – mediante strumenti e misure adottate dal Titolare, idonei a garantire – anche tramite il ricorso a strumenti di crittografia – la riservatezza dell’identità della persona segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione, anche al fine di evitare il rischio di perdita, accesso non autorizzato, uso illecito e diffusione. Misure che il Titolare ha individuato anche all’esito di una specifica valutazione di impatto sulla protezione dei dati personali, che il Titolare stesso ha effettuato con riferimento ai trattamenti connessi alla gestione delle Segnalazioni.
I trattamenti di Dati Personali relativi al ricevimento e alla gestione delle Segnalazioni saranno effettuati, ai sensi dell’art. 4 del D. Lgs. 24/2023, esclusivamente dai soggetti espressamente autorizzati e istruiti dal Titolare per la gestione del canale di segnalazione ai sensi dell’art. 29 del GDPR (i “Gestori” delle Segnalazioni), nel rispetto dei principi di cui agli articoli 5 e 25 del GDPR.
I dati personali che manifestamente non sono utili al trattamento di una specifica Segnalazione non saranno raccolti o, se raccolti accidentalmente, saranno cancellati immediatamente.
Il Titolare tutela la riservatezza dell’identità del Segnalante, delle persone coinvolte, delle persone comunque menzionate nella Segnalazione, nonché del contenuto della Segnalazione stessa e della relativa documentazione, nel rispetto di adeguate garanzie in conformità al D. Lgs. 24/2023.
L’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rivelate, senza il consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate e istruite a trattare tali dati ai sensi dell’art. 29 GDPR (i suddetti “Gestori”).
Le Segnalazioni e la relativa documentazione saranno conservate per il tempo necessario al trattamento della Segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui al D. Lgs. 24/2023.
Inoltre, i dati sono cancellati o resi anonimi in modo definitivo quando le finalità di cui sopra sono realizzate, a meno che il Titolare non sia tenuto a conservarli per un ulteriore periodo di tempo al fine di adempiere agli obblighi di legge. In ogni caso, i dati non saranno conservati per più di 5 anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.
Trascorsi i periodi di conservazione sopra indicati, le Segnalazioni potranno essere conservate solo in forma anonimizzata, a fini statistici.
DESTINATARI DEI DATI
Salvo l’espletamento delle indagini eventualmente avviate a seguito della Segnalazione, nonché l’adempimento di obblighi derivanti dalla legge, i Dati personali conferiti non saranno oggetto di alcuna comunicazione e/o diffusione. L’accesso ai Dati personali contenuti nelle Segnalazioni sarà consentito esclusivamente al/i soggetto/i espressamente autorizzato/i e istruito/i dal Titolare ai sensi dell’art. 29 GDPR e individuato/i quale/i Gestore/i delle Segnalazioni nella Policy Whistleblowing, nel rispetto delle regole di confidenzialità e delle garanzie sul trattamento dati indicate in tale Policy.
Inoltre, i Dati personali potranno essere condivisi con i consulenti legali del Titolare e con l’Autorità Giudiziaria, secondo le modalità previste dalla vigente normativa in materia di whistleblowing e nel rispetto delle garanzie connesse al segreto professionale.
Il Titolare si avvale inoltre di un partner tecnologico fornitore del Portale informatico per la gestione delle Segnalazioni, il quale è stato designato dal Titolare stesso quale Responsabile del Trattamento ai sensi dell’art. 28 GDPR con apposito atto scritto.
CONTATTI
I dati di contatto del Titolare del trattamento sono i seguenti:
- Rupes SpA, con sede in Viale Bianca Maria 13 Milano indirizzo email: info_rupes@rupes.it
DIRITTI DEGLI INTERESSATI
Ferme le eventuali limitazioni sotto indicate, gli interessati hanno il diritto di chiedere:
- l’accesso ai Dati personali che li riguardano, come previsto dall’art. 15 del GDPR;
- la rettifica o l’integrazione dei Dati personali in possesso del Titolare ritenuti inesatti, come previsto dall’art. 16 del GDPR;
- la cancellazione dei Dati personali per il quale il Titolare non ha più alcun presupposto giuridico per il trattamento come previsto dall’art. 17 del GDPR;
- la limitazione del modo in cui il Titolare tratta i Dati personali qualora ricorrano una delle ipotesi previsti dall’art. 18 del GDPR.
Ciascun interessato può esercitare questi diritti scrivendo al Titolare all’indirizzo e-mail sopra indicato nella sezione “Contatti”.
Diritto di opposizione: oltre ai diritti in precedenza elencati, gli interessati hanno facoltà di opporsi in qualsiasi momento, per motivi connessi alla loro situazione particolare, al trattamento dei Dati che li riguardano svolto dal Titolare per perseguire il proprio legittimo interesse. La richiesta di opposizione va indirizzata al Titolare all’ indirizzo e-mail sopra indicato nella sezione “Contatti”.
I predetti diritti potranno essere limitati ai sensi e per gli effetti di cui all’art. 2, undecies, primo comma lett. f) del D. Lgs. 196/2003, così come modificato dal D. Lgs. 101/2018 e dal D. Lgs. 24/2023, qualora dall’esercizio dei diritti sopra indicati possa derivare un pregiudizio concreto ed effettivo alla riservatezza dell’identità del Segnalante. La valutazione sulla necessità della limitazione dei diritti dell’interessato è rimessa al Titolare che si avvale delle funzioni competenti in materia.
Nel caso l’interessato ritenga che il trattamento dei Dati Personali che lo riguardano avvenga in violazione di quanto previsto dal GDPR, ha il diritto di proporre reclamo al Garante per la protezione dei dati personali, utilizzando i riferimenti disponibili sul sito internet www.garanteprivacy.it, o di adire le opportune sedi giudiziarie.