INFORMATIVA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

NELL’AMBITO DELLA PROCEDURA SEGNALAZIONI - WHISTLEBLOWING

(ai sensi degli artt. 13  e 14 del Regolamento UE 2016/679)

 

In forza del disposto di cui all’art. 1 del D.lgs. 10 marzo 2023 n. 24, si definisce Whistleblowing il sistema con il quale il soggetto Segnalante (Whistleblower) segnala violazioni   di   disposizioni   normative   nazionali   o dell'Unione europea che ledono l'interesse  pubblico,  o  l’integrità dell'amministrazione pubblica  o  dell'ente  privato,  di  cui  sia venuto a conoscenza in un contesto lavorativo pubblico o privato.

In ottemperanza alle disposizioni normative introdotte dal D.Lgs. 24/2023, attuativo della Direttiva UE n. 1937/2019, la società Net4market ha adottato – quale proprio canale interno delle segnalazioni Whistleblowing – la Piattaforma “Legality Whistleblowing – www.segnalazioni.net”.

Ciò premesso, ai sensi e per gli effetti di cui agli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR), la società Net4market - CSAmed s.r.l., nella propria qualità di Titolare del trattamento dati, in persona del legale rappresentante pro-tempore -  con sede legale in Corso G. Matteotti n. 15, Cremona - con la presente informa  il soggetto segnalante (Whistleblower), il soggetto segnalato e gli eventuali soggetti terzi relativamente alle finalità, modalità, l’ambito di comunicazione e diffusione, oltre alla natura dei dati personali conferiti dalla persona segnalante con riferimento alla procedura di segnalazione degli illeciti – whistleblowing.

 

1. TITOLARE – RESPONSABILI DEL TRATTAMENTO E DPO

Il Titolare del trattamento, ai sensi dell’art. 4 del Reg. UE 2016/679 è la società Net4market – CSAmed s.r.l., ut supra generalizzata.

La lista aggiornata dei responsabili esterni ai trattamenti potrà essere consultata presentando richiesta scritta al Titolare del trattamento sopra citato.

Inoltre, il Titolare ha nominato il proprio Responsabile della Protezione dei Dati personali (DPO), contattabile all’indirizzo e-mail: dpo@net4market.com.

 

2. TIPOLOGIA DI DATI TRATTATI

Con riferimento alle categorie di dati personali trattati in relazione al soggetto Segnalante, è necessario operare un distinguo in merito alla tipologia di segnalazione effettuata (in forma nominale o anonima), in particolare:

• Segnalazione nominale riservata: per segnalazioni riservate si intendono le segnalazioni di utenti identificabili. Le segnalazioni riservate prevedono la registrazione preliminare dell’utente e successivamente, una volta creato l’account, l’utente può inviare la segnalazione. Soltanto il Responsabile della gestione delle segnalazioni ha la possibilità di associare la segnalazione all’utente che l’ha creata e quindi visualizzare l’identità del segnalante. I dati relativi al soggetto segnalante, trattati per questa tipologia di segnalazione sono:

• Dati identificativi e di contatto. Il soggetto segnalante potrà inserire, nell’apposito form di registrazione i propri dati anagrafici e dati di contatto (documento di identità, richiesto in fase di registrazione; nome e cognome; indirizzo e-mail; indicazione del rapporto con l’Organizzazione). Tali dati, potranno essere forniti dal segnalante in occasione della registrazione sulla piattaforma, in occasione dell’invio di una segnalazione o nel corso di attività istruttorie conseguenti.

• Segnalazione anonima: le segnalazioni anonime sono segnalazioni che non consentono l’associazione della segnalazione al nominativo del segnalante, in quanto i dati personali del segnalante non vengono inseriti. In questo caso il segnalante non è obbligato a registrarsi al sistema e deve inviare la segnalazione come utente non registrato. Per questa tipologia di segnalazione, i sistemi informatici aziendali non saranno in grado di identificare il segnalante dal punto di accesso al portale (indirizzo IP).

Per quanto afferente i dati personali relativi al soggetto segnalato e/o ad eventuali soggetti terzi coinvolti nella segnalazione:

I dati oggetto di trattamento sono quelli che il segnalante ha inteso fornire per rappresentare i fatti descritti nella segnalazione. In questo caso, i suddetti dati non sono determinabili aprioristicamente in quanto direttamente rimessi alla discrezionalità del segnalante. Gli stessi, dunque, potranno comprendere sia dati personali comuni (quali dati identificativi e/o di contatto), sia dati appartenenti a particolari categorie ex art. 9 GDPR (es. dati relativi alla salute) ovvero giudiziari ex art. 10 GDPR (es. dati relativi a condanne penali e reati). Sarà in ogni caso necessario indicare il nominativo del segnalato.

L’inserimento dei dati personali del soggetto Segnalante nella piattaforma informatica avviene su base volontaria, non essendo obbligatorio.

In alternativa al canale di segnalazione scritta sopra descritto, il Segnalante può avvalersi della modalità di segnalazione in forma orale mediante apposita casella vocale. La segnalazione vocale consente al segnalante di compilare campi limitati e di fornire le informazioni tramite messaggio vocale.

La voce del segnalante sarà irriconoscibile grazie ad un sistema integrato di distorsione vocale.

I Dati del segnalante eventualmente indicati sono forniti direttamente dal segnalante stesso (e quindi acquisiti dal Titolare presso l’interessato ai sensi dell’art. 13 del GDPR); i dati del segnalato e/o di terzi sono forniti dal segnalante (e quindi acquisiti dal Titolare presso terzi ai sensi dell’art. 14 del GDPR).

Per preservare le finalità investigative, nei casi previsti dalla legge, il segnalato, ai sensi dell’art. 14, co. 5, lett. d) del GDPR, può non essere immediatamente messo a conoscenza del trattamento dei propri dati effettuato da parte del Titolare, fintanto che sussista il rischio di compromettere la possibilità di verificare efficacemente la fondatezza della denuncia o di raccogliere le prove necessarie.

L'identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rivelate, senza il consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate a trattare tali dati ai sensi degli articoli 29 e 32, paragrafo 4, del Regolamento (UE) 2016/679 e dell'articolo 2-quaterdecies del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196.

 

3. FINALITÀ DEL TRATTAMENTO

Esecuzione di attività istruttorie e adozione di provvedimenti:

I dati forniti dal segnalante al fine di rappresentare le presunte condotte illecite, rilevanti ai sensi del D.Lgs. 231/2001, delle quali sia venuto a conoscenza in ragione del proprio rapporto di servizio o di collaborazione con la società Net4market, commesse dai soggetti che a vario titolo interagiscono con l’azienda, vengono trattati allo scopo di effettuare le necessarie attività istruttorie interne finalizzate alla verifica della fondatezza del fatto oggetto di segnalazione, effettuando ogni attività ritenuta opportuna- inclusa l’audizione personale del segnalante e di eventuali altri soggetti che possono riferire sui fatti segnalati - onde accertare la sussistenza o meno del fumus di fondatezza della segnalazione e all’adozione degli eventuali provvedimenti, anche di natura disciplinare, che potrebbero rendersi necessari.

 

4. MODALITA’ DEL TRATTAMENTO

Il trattamento sarà effettuato con strumenti informatici e telematici con logiche di organizzazione ed elaborazione strettamente correlate alle finalità sopra indicate e comunque in modo da garantire la sicurezza, l'integrità e la riservatezza dei dati stessi nel rispetto delle misure organizzative, fisiche e logiche previste dalle disposizioni vigenti. La trasmissione dei dati forniti dal segnalante mediante accesso alla piattaforma è gestita con protocollo HTTPS. Sono inoltre applicate tecniche di crittografia end-to-end su tutti i dati in transito e archiviati, garantendo in questo modo la riservatezza delle informazioni trasmesse.

Il sistema è installato su una infrastruttura di Server Dedicati certificata TIER IV1, che garantisce le migliori prestazioni in termini di sicurezza e di disponibilità dei dati.

Si ricorda, inoltre, che i dati personali forniti nel form di registrazione (nominativo indirizzo e-mail e documento di riconoscimento) sono separati dalle Sue eventuali segnalazioni e che l’associazione della Sua identità con la segnalazione può essere effettuata esclusivamente dal “Responsabile” preposto alla gestione delle segnalazioni.

 

5. BASE GIURIDICA DEL TRATTAMENTO E  NATURA DEL CONFERIMENTO

La base giuridica del trattamento consiste nell’interesse legittimo del Titolare di contrastare condotte illecite o irregolarità, violazioni di norme, azioni suscettibili di arrecare pregiudizio patrimoniale o di immagine aziendale e di dotarsi di un sistema di segnalazioni in linea con quanto previsto dalla normativa di cui alla L.179/2017, di accertare la veridicità della segnalazione e di svolgere ogni attività necessaria per la gestione della stessa e l’adozione dei conseguenti provvedimenti.

Ai sensi dell’art. 6, comma 1, lett. b), il trattamento è altresì necessario all’adempimento di un obbligo di legge (L. n. 179/2017, D.Lgs. n 24/2023 recante attuazione della direttiva UE 2019/1937) cui è tenuto il Titolare.

Il conferimento dei dati è facoltativo resta inteso che un eventuale rifiuto a rispondere al momento della raccolta delle informazioni, o l’eventuale diniego di trattamento dei dati può comportare l’oggettiva impossibilità di prendere in considerazione la segnalazione.

 

6. DESTINATARI DEI DATI

Per il perseguimento delle finalità suddette, i dati personali del segnalante possono essere conosciuti dall’Organismo di Vigilanza e dagli addetti a ciò autorizzati.

Tali soggetti sono opportunamente istruiti al fine di evitare la perdita, l’accesso ai dati da parte di soggetti non autorizzati o trattamenti non consentiti dei dati stessi e, più in generale, in relazione agli obblighi in materia di protezione dei dati personali. I dati possono essere trattati, inoltre, da Consulenti esterni e Terze Parti con funzioni tecniche (ad esempio, il provider della piattaforma IT), che agiscono in qualità di Responsabili/Sub-Responsabili del trattamento e hanno sottoscritto un apposito contratto che disciplina puntualmente i trattamenti loro affidati e gli obblighi in materia di protezione dei dati e sicurezza del trattamento ai sensi dell’art. 28, comma 3 del Regolamento. Infine, i dati potranno essere trasmessi, previo consenso del Segnalante, anche ad altri soggetti autonomi titolari del trattamento, in base a norme di legge o di regolamento (es. Autorità Pubbliche, Autorità Giudiziaria, Corte dei Conti e ANAC).

 

Raccolta del consenso del segnalante

Si precisa che, in ragione di quanto disposto dal D.Lgs. 24/2023 nel caso in cui la segnalazione portasse all’instaurazione di un procedimento disciplinare nei confronti del responsabile della condotta illecita, l’identità del segnalante non verrà mai rivelata. Qualora la conoscenza dell’identità del segnalante fosse indispensabile per la difesa del soggetto segnalato, verrà domandato al segnalante se intende rilasciare un apposito, libero consenso ai fini della rivelazione della propria identità.

Senza il consenso espresso del segnalante vi è divieto di rivelare l’identità dello stesso a persone diverse dal da quelle competenti a dar seguito alle segnalazioni, durante tutte le fasi del procedimento di segnalazione, ivi compreso l’eventuale trasferimento delle segnalazioni ad altre autorità. L’acquisizione del consenso avviene attraverso apposita richiesta motivata dell’ufficio deputato a ricevere le segnalazioni, formulata all’interno della piattaforma informatica nel campo generico di dialogo con il segnalante e, in caso di segnalazione orale, nel verbale redatto in occasione dell’incontro.

 

7. I DIRITTI DELL'INTERESSATO

Diritti di cui agli artt. 15, 16, 17 ,18, 20, 21 e 22 del Regolamento UE 2016/679.

La informiamo che in qualità di interessato, oltre al diritto di proporre reclamo ad un'Autorità di controllo (Garante Privacy, secondo le modalità che può reperire sul sito https://www.gpdp.it.), ha anche i diritti di seguito elencati, che potrà far valere rivolgendo apposita richiesta scritta al Titolare del trattamento scrivendo all’indirizzo dpo@net4market.com all'attenzione del DPO.

I diritti riconosciuti al soggetto interessato dalla disciplina normativa vigente (in particolare ex artt. 15 e ss. del GDPR) - esercitabili purché ne sussistano i presupposti, contattando il Titolare ai recapiti indicati nella presente informativa, si sostanziano in:

• Diritto di conoscere se il Titolare ha in corso trattamenti di dati personali che riguardano l’istante e, in tal caso, di avere accesso ai dati oggetto del trattamento e a tutte le informazioni a questo relative;
• Diritto alla rettifica dei dati personali inesatti e/o all’integrazione di quelli incompleti;
• Diritto alla cancellazione dei dati personali;
• Diritto alla limitazione del trattamento;
• Diritto di opporsi al trattamento.

In caso di acquisizione di suo consenso alla rivelazione dell’identità nell’ambito di procedimenti disciplinari  lei avrà anche il diritto di revocare tale consenso in qualsiasi momento, senza che però ciò pregiudichi la liceità del trattamento, basato sul consenso, effettuato prima della revoca.

Per quanto attiene invece al diritto alla portabilità dei dati personali, si avvisa sin d’ora che non sussistono i presupposti indicati dall’art. 20, par. 1 del GDPR e che, di conseguenza, tale diritto non è esercitabile.

Ai sensi dell’articolo 2-undecies del D.lgs. n. 196/2003 e s.m.i., (in attuazione dell’art. 23 del Regolamento), si informa che i summenzionati diritti non possono essere esercitati da parte di alcuni interessati coinvolti nella segnalazione (segnalati e/o altre persone coinvolte nella segnalazione), qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante.

 

Se a voler esercitare i diritti è il soggetto segnalante, si suggerisce, a maggior tutela della riservatezza della propria identità, di esercitare tali diritti a mezzo di comunicazione inoltrata per il tramite della piattaforma messa a disposizione, oppure di prendere contatto diretto con l’Organismo di Vigilanza quale Responsabile preposto alla gestione delle segnalazioni.

8. TRASFERIMENTO DATI VERSO UN PAESE TERZO

I suoi dati personali non verranno trasferiti fuori dall’Unione Europea.

 

9. PERIODO DI CONSERVAZIONE

I dati personali da Lei forniti saranno conservati per un periodo di tempo non superiore a quello necessario per il perseguimento delle finalità per le quali sono stati raccolti, conformemente a quanto previsto dagli obblighi di legge o comunque per consentire alla Società la tutela dei diritti ed interessi propri o di terzi (es. difesa in giudizio). I dati, dunque saranno conservati per il periodo di tempo correlato alla procedura di gestione delle segnalazioni e all’assolvimento degli obblighi di legge, e comunque non oltre i 5 (cinque) anni dalla data di comunicazione dell’esito finale della procedura stessa. Nel caso di contenzioso giudiziale i dati verranno conservati per tutta la durata dello stesso, fino a sentenza passata in giudicato, dunque sino all’esaurimento dei termini per l’esperibilità di impugnazioni.

 

10. SUCCESSIVE MODIFICHE

Il Titolare si riserva il diritto, a sua discrezione, di cambiare, modificare, aggiungere o rimuovere qualsiasi parte della presente informativa sulla privacy, in qualsiasi momento.