INFORMATIVA AI SENSI DELLA DISCIPLINA SULLA TUTELA DEI DATI PERSONALI

(Segnalazioni di illeciti aziendali)

Ai sensi e per gli effetti di cui agli Artt. 13 e 14 del Regolamento 2016/679 UE (di seguito anche “GDPR”), desideriamo informarLa che i dati personali da Lei forniti in sede di segnalazioni di condotte illecite (c.d. WHISTLEBLOWING) formano oggetto di trattamento nel rispetto della normativa sopra richiamata.

Principali definizioni e riferimenti legali Dato personale

Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Categorie particolari di dati

I dati che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona e i dati giudiziari.

Interessato

La persona fisica cui si riferisce il Dato Personale. Trattamento

Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

Titolare del Trattamento

La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Responsabile del trattamento

La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Responsabile della Protezione dei Dati (RPD o DPO)

La persona fisica o giuridica che informa e fornisce consulenza al Titolare del trattamento dei dati personali, sorveglia sull’osservanza del GDPR, fornisce pareri in merito alla valutazione d’impatto (DPIA), coopera e funge da punto di contatto con l’Autorità Garante della protezione dei dati personali.

Soggetto autorizzato

È il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali. Destinatario

La persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.

Riferimenti Legali

Il D. Lgs. 196/2003 e successive modifiche e integrazioni e il Regolamento 2016/679 UE. Titolare del Trattamento

Il Titolare del trattamento dei dati personali è Cooperativa Gestione Servizi Gesser Soc. Coop. Sociale) con sede in Molinella (BO) via P. Fabbri. n. 9, codice fiscale e p. IVA 03968410377

Base giuridica del trattamento

I dati personali necessari per la segnalazione sono trattati ex art. 6, lett. c) del GDPR: il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento.

Conservazione dei dati

Le segnalazioni, interne ed esterne, e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui all’articolo 12 del presente decreto e del principio di cui agli articoli 5, paragrafo 1, lettera e), del regolamento (UE) 2016/679 e 3, comma 1, lettera e), del decreto legislativo n. 51 del 2018.

Tipi di dati trattati, finalità e modalità del trattamento

Per garantire il servizio di segnalazione è necessario trattare due tipologie di dati:

1. Dati identificativi e di contatto dei referenti del Titolare del trattamento che attivano e gestiscono il servizio di digital whistleblowing (nel caso specifico, componenti dell’Ufficio Segnalazioni);
2. Dati contenuti nella segnalazione e in atti e documenti allegati alla stessa. I dati forniti dal segnalante al fine di rappresentare le presunte condotte illecite delle quali sia venuto a conoscenza in ragione del proprio rapporto di lavoro/servizio vengono trattati allo scopo di effettuare le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto di segnalazione e l’adozione dei conseguenti provvedimenti, nel rispetto della normativa vigente. La gestione e la preliminare verifica sulla fondatezza delle circostanze rappresentate nella segnalazione sono affidate all’Ufficio Segnalazioni di Gesser che vi provvede nel rispetto dei principi di imparzialità e riservatezza effettuando ogni attività ritenuta opportuna, inclusa l’audizione personale del segnalante e di eventuali altri soggetti che possono riferire sui fatti segnalati. Qualora, all’esito della verifica, si ravvisino elementi di non manifesta infondatezza del fatto segnalato, l’Ufficio Segnalazioni provvederà a trasmettere l’esito dell’accertamento per approfondimenti istruttori o per l’adozione dei provvedimenti di competenza:
   1. All’Organo Amministrativo della società;
   2. se del caso, all’Autorità Giudiziaria e all’ANAC.

In tali eventualità, nell'ambito del procedimento penale, l'identità del segnalante è coperta dal segreto nei modi e nei limiti previsti dall'art. 329 del Codice di procedura penale. Nell'ambito del procedimento disciplinare l'identità del segnalante non può essere rivelata, ove la contestazione dell'addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità del segnalante sia indispensabile per la difesa dell'incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza di consenso del segnalante alla rivelazione della sua identità. Gesser deve offrire all’Ufficio Segnalazioni la collaborazione necessaria per lo svolgimento delle pratiche istruttorie, nel rispetto dei limiti imposti dalla normativa sopra richiamata. Il personale autorizzato al trattamento dei dati personali dovrà attenersi al rispetto delle istruzioni impartite e alle cautele previste nella procedura di segnalazione e ai correlati obblighi di riservatezza. È fatto salvo, in ogni caso, l’adempimento, da parte dell’Ufficio Segnalazioni e/o dei soggetti che per ragioni di servizio debbano conoscere l’identità del segnalante, degli obblighi di legge cui non è opponibile il diritto all’anonimato del segnalante. Con modalità tali da garantire la riservatezza dell’identità del segnalante, l’Ufficio Segnalazioni rende conto del numero di segnalazioni ricevute e del loro stato di avanzamento. I dati raccolti verranno conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

Responsabile del trattamento e destinatari dei dati

Il Titolare del trattamento può avvalersi di fornitori esterni per lo svolgimento di servizi che implicano il trattamento di dati personali.

Gesser, al fine di gestire le segnalazioni di illeciti sopra descritte ha designato quale Responsabili del trattamento ai sensi dell’art. 28 del Regolamento UE 2016/679:

• Avv. Fabiola Gollinucci, C.F. GLLFBL71B54H294E, con studio in Savignano sul Rubicone (FC), Via Pietà nr. 58 P.Iva 03114740404 (Ufficio Segnalazioni);
• DigitalPA SRL con sede in via S. Tommaso d'Aquino 18/A, 09134 Cagliari (CA) - (fornitore della piattaforma di digital whistleblowing).

Piattaforma informatica utilizzata da Gesser per la segnalazione degli illeciti aziendali

La piattaforma informatica fornita da DigitalPA SRL è basata sul software Segnalazioni.net, la piattaforma certificata ACN e software di riferimento del Whistleblowing. Consente di regolamentare le procedure atte ad incentivare e proteggere le segnalazioni degli illeciti, in linea con il dettato normativo e linee guida ANAC. È lo strumento informatico che consente agli operatori del settore Pubblico o Privato di effettuare segnalazioni di illeciti con la garanzia di estrema riservatezza. L’infrastruttura applicativa è una piattaforma software di whistleblowing esclusivamente dedicata, sviluppata per soddisfare le più rigide esigenze in fatto di sicurezza e riservatezza, punto essenziale della procedura di whistleblowing. Nel pieno rispetto della normativa (legge 179/2017, Nuove Linee Guida ANAC, art. 6 del Decreto Legislativo 8 giugno 2001, n. 231 – Legge 231), segnalante, responsabile o organismo di vigilanza possono accedere alla propria area riservata tramite una piattaforma gestionale, ottimizzata per l’accesso da qualsiasi dispositivo. La gestione degli accessi e dei dati avviene infatti nel più rigoroso rispetto del quadro normativo ed è certificata dai più rigorosi standard della norma ISO/IEC 27001 (Sistema di gestione delle informazioni) che garantiscono l’integrità e la riservatezza dei dati trattati. Per maggiori informazioni sulla piattaforma utilizzata e sulle sue caratteristiche tecniche consultare la pagina https://www.segnalazioni.net/.

Trasferimento dei dati personali

I dati personali sono trattati, principalmente, in Italia oppure in Paesi membri dell’Unione Europea.

Diritti dell’interessato

I diritti di cui agli articoli da 15 a 22 del regolamento (UE) 2016/679 possono essere esercitati solo nei limiti di quanto previsto dall’articolo 2-undecies del Decreto legislativo 30 giugno 2003, n. 196. Il segnalato può esercitare i propri diritti tramite l’Autorità Garante, ai sensi dell’art. 160 del Cod. Privacy, come sancito dal terzo comma dell’art. 2-undecies Cod. Privacy.