WHISTLEBLOWING
Informativa sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del Reg. (UE) 2016/679 (“GDPR”)
Premessa
Di seguito Molla S.r.l, in qualità di Titolare del trattamento, fornisce le informazioni relative al trattamento di dati personali degli interessati effettuato nell’ambito della gestione delle segnalazioni di whistleblowing, ovvero di condotte illecite o violazioni di cui all’art. 2.1, lett. a) del D.Lgs. 24/2023 (di seguito, “Decreto whistleblowing”).
Ai sensi del GDPR, “interessati” sono le persone fisiche a cui i dati si riferiscono. In questo caso, gli interessati sono i segnalanti, il segnalato ed eventuali soggetti citati nella segnalazione.
Le segnalazioni possono essere effettuate tramite i canali e le modalità previsti nella procedura whistleblowing (di seguito, “Procedura”) ed in particolare:
- in forma scritta, mediante l’apposita piattaforma software disponibile al link https://mollasrl.confidentialcore.it/nuova-segnalazione;
- in via eccezionale, su richiesta del segnalante, nell’ambito di un incontro di persona.
1. Titolare del trattamento
Titolare del trattamento è Molla S.r.l, con sede legale in Via Roccolo 2, 21040 Solbiate Arno(VA), tel. 0331999600, indirizzo email info@mollasrl.it(di seguito, “Titolare”).
2. Categorie e fonte dei dati trattati
Nell’ambito della segnalazione di whistleblowing saranno trattati i seguenti dati:
- Dati anagrafici e di contatto del segnalante, qualora da questi volontariamente rivelati;
- Dati relativi al segnalato e ad altre persone coinvolte nella segnalazione, inclusi potenzialmente dati relativi alla commissione di illeciti;
- Dati relativi all'attività lavorativa svolta nell'ambito dell'organizzazione aziendale;
- Eventuali altri dati (potenzialmente anche particolari, se pertinenti alla segnalazione) contenuti nella segnalazione o acquisiti nella fase istruttoria.
I dati del segnalante, quelli del segnalato e/o di terzi sono forniti direttamente dal segnalante stesso e/o acquisiti nel corso delle conseguenti attività istruttorie.
3. Finalità del trattamento, basi giuridiche e tempi di conservazione dei dati
Perché vengono trattati i dati personali? | Qual è la base giuridica del trattamento? |
---|---|
Per la gestione delle segnalazioni di whistleblowing, incluse le attività istruttorie conseguenti alla segnalazione. | L’adempimento di un obbligo di legge al quale è soggetto il Titolare, come previsto dall’art. 6, comma 1, lett. c) del GDPR. |
Se necessario, al fine dell’adozione dei provvedimenti conseguenti alla segnalazione e, in generale, per la tutela dei diritti del Titolare. | Legittimo interesse del Titolare di cui all’art. 6 co.1 lett. f) del GDPR. |
Per la rivelazione dell’identità del segnalante (se conosciuta) nei soli casi previsti dalla legge, ad es. per consentire al segnalato di difendersi nell’ambito di un procedimento disciplinare, (art. 12 co. 5 e 6 del Decreto whistleblowing). | Consenso dell’interessato di cui all’art. 6 co. 1 lettera a) del GDPR |
Per la documentazione di una segnalazione effettuata mediante incontro diretto e registrato, tramite registrazione su un dispositivo idoneo alla conservazione e all'ascolto oppure mediante trascrizione integrale (art. 14 co. 2 del Decreto whistleblowing). | Consenso dell’interessato di cui all’art. 6 co. 1 lettera a) del GDPR |
Per la gestione di eventuali dati, inclusi nella segnalazione o emersi nell’ambito dell’istruttoria, relativi a condanne penali e ai reati o a connesse misure di sicurezza. | Il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri (nello specifico, dal Decreto Whistleblowing), come previsto dall’art. 10 del GDPR |
Per la gestione di dati particolari (ovvero dati relativi all’origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, all’appartenenza sindacale e dati riguardanti la salute o la vita sessuale) rilevanti per la fattispecie di segnalazione. | Il trattamento è consentito per motivi di interesse pubblico rilevante (nello specifico, per adempiere alle previsioni del Decreto Whistleblowing) e/o il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, ai sensi dell’art. 9 co. 2 lettere f) e g) del GDPR |
Qual è il tempo di conservazione dei dati? |
---|
I dati sono conservati per un periodo massimo di 5 anni dalla data della comunicazione dell’esito finale della procedura di gestione della segnalazione, salvo l’instaurazione di procedimento giudiziario o disciplinare conseguente alla segnalazione stessa. In tal caso, i dati saranno conservati per tutta la durata del procedimento, fino alla sua conclusione e al decorso dei termini per eventuali impugnazioni. I dati personali che manifestamente non sono utili alla gestione di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente. Decorsi i termini di conservazione sopra indicati, i dati saranno distrutti, cancellati o resi anonimi, compatibilmente con le tempistiche tecniche di cancellazione e backup. |
4. Natura del conferimento dei dati
Nella fase di segnalazione il conferimento dei dati è a discrezione del segnalante, fermo restando che segnalazioni eccessivamente generiche e non circostanziate non potranno essere gestite efficacemente.
Nella fase di istruttoria il titolare può acquisire ulteriori dati, chiedendoli agli interessati o effettuando indagini in proprio.
Il procedimento di gestione delle segnalazioni garantisce la riservatezza dell’identità del segnalante (qualora rivelata), sin dalla ricezione e in ogni contatto successivo, nonché delle persone oggetto della segnalazione o comunque menzionate nella stessa.
In ogni caso, eventuali segnalazioni anonime saranno prese in carico solo qualora adeguatamente circostanziate, basate su elementi concreti e rese con dovizia di particolari, essendo tali da far apparire attendibili i fatti segnalati.
5. Destinatari dei dati
I dati personali relativi alla gestione delle segnalazioni di cui sopra sono trattati dai seguenti soggetti:
- Molla s.r.l., in qualità di Gestore delle segnalazioni;
- la società ConfidentialCore fornitrice della piattaforma software di whistleblowing, designata come Responsabile del Trattamento ex art. 28 del Reg. (UE) 2016/679.
L’eventuale condivisione della segnalazione e della documentazione prodotta dal segnalante con altre funzioni aziendali o con professionisti esterni a scopo di indagine viene svolta nel rispetto della Procedura e del Decreto whistleblowing, con la massima attenzione a tutelare la riservatezza del segnalante e del segnalato, omettendo qualsiasi comunicazione di dati che non sia strettamente necessaria.
Resta fermo che l’identità del segnalante (e qualsiasi altra informazione da cui la si può evincere, direttamente o indirettamente) non sarà rivelata, senza il consenso dello stesso, a soggetti diversi dai Gestori delle segnalazioni e (quando necessario) ai professionisti che li assistono nell’attività istruttoria, fatto salvo quanto prescritto dalla normativa applicabile.
I dati possono essere comunicati all’Autorità Giudiziaria e ad altri soggetti pubblici legittimati a riceverli, quale ad esempio l’ANAC, nei casi e nelle modalità previsti dal Decreto whistleblowing e dalla Procedura.
Nell'ambito di un eventuale procedimento penale, l’identità della persona segnalante è coperta dal segreto nei modi e nei limiti previsti dall'articolo 329 del codice di procedura penale.
Nell'ambito di un eventuale procedimento dinanzi alla Corte dei conti, l’identità della persona segnalante non può essere rivelata fino alla chiusura della fase istruttoria.
6. Trasferimenti di dati extra UE
I dati non sono trasferiti al di fuori dell’Unione Europea.
7. Diritti degli interessati
È possibile esercitare, in relazione ai trattamenti dei dati sopra descritti, i diritti riconosciuti dal GDPR agli interessati, ivi incluso il diritto di:
- chiedere l’accesso ai dati e alle informazioni di cui all’art. 15 (finalità del trattamento, categorie di dati personali, etc.);
- ottenere la rettifica dei dati inesatti o l’integrazione dei dati incompleti ai sensi dell’art. 16;
- chiedere la cancellazione dei dati personali nelle ipotesi previste dall’art. 17, se il Titolare non ha più diritto di trattarli;
- ottenere la limitazione del trattamento (cioè la temporanea sottoposizione dei dati alla sola operazione di conservazione), nei casi previsti dall’art. 18 GDPR;
- opporsi in qualsiasi momento, per motivi connessi a situazioni particolari, al trattamento dei propri dati personali sulla base del legittimo interesse ai sensi dell'articolo 6.1 lett. f) del GDPR.
Per esercitare i propri diritti è possibile contattare il Titolare del trattamento Molla Srl ai recapiti sopra indicati.
Gli interessati hanno il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali o di adire le competenti sedi giudiziarie qualora ritengano che il trattamento dei propri dati personali sia contrario alla normativa vigente.
Si segnala che, ai sensi dell’art. 2-undecies del d. Lgs. n. 196/2003 (“Codice Privacy”), i diritti di cui agli articoli da 15 a 22 del GDPR non possono essere esercitati qualora dall'esercizio degli stessi possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante. In tale ipotesi i diritti in questione possono essere esercitati per il tramite del Garante per la Protezione dei Dati Personali, con le modalità di cui all’art. 160 del Codice Privacy.