Informativa privacy segnalazioni whistleblowing

Ai sensi degli artt. 13 e 14 del Reg. (UE) 2016/679 (“GDPR”)

PREMESSA

Di seguito, Fondimpresa fornisce le informazioni relative al trattamento di dati personali degli interessati* effettuato nell’ambito della gestione delle segnalazioni di condotte illecite o violazioni di cui all’art. 2.1, lett. a) del d. lgs. 24/2023 (di seguito, “Decreto whistleblowing”), comprese quelle del modello di organizzazione, gestione e controllo ai sensi del d. Lgs. 231/2001 e ss.mm.ii..

Le segnalazioni possono essere presentate con le modalità previste nella procedura whistleblowing di Fondimpresa (di seguito, “Procedura”) ed in particolare:

a) in forma scritta, di norma mediante apposita piattaforma software;

b) in forma orale tramite una dichiarazione rilasciata mediante l’apposito sistema di messaggistica vocale della piattaforma software;

c) su richiesta del segnalante, nell’ambito di un incontro di persona.

La dichiarazione di cui alla lett. b), previo consenso della persona segnalante, è conservata oppure sottoposta a trascrizione integrale. In caso di trascrizione, la persona segnalante può verificare, rettificare o confermare il contenuto della trascrizione mediante la propria sottoscrizione.

I contenuti dell’incontro di cui alla lett. c), previo consenso del segnalante, sono documentati tramite registrazione oppure tramite verbale che può essere parimenti verificato, rettificato e confermato con la sottoscrizione del segnalante stesso.

* Ai sensi del GDPR “interessati” sono le persone fisiche a cui i dati si riferiscono. In questo caso, gli interessati sono i segnalanti, il segnalato ed eventuali soggetti citati nella segnalazione.

(1) TITOLARE DEL TRATTAMENTO

Titolare del trattamento è Fondimpresa, con sede legale in Via dei Villini, n. 3/A – 00161 – Roma (RM), tel. 06695421 (di seguito, “Titolare”).

(2) DATA PROTECTION OFFICER

Il Data Protection Officer (di seguito, “DPO”) è contattabile all’indirizzo mail dpo@fondimpresa.it.

(3) CATEGORIE E FONTE DEI DATI TRATTATI

  • Dati trattati: i dati comuni del segnalante, nonché tutte le informazioni riconducibili a persone fisiche fornite dal segnalante in ordine a specifici comportamenti, atti od omissioni ritenuti potenzialmente illeciti, ai sensi del Decreto whistleblowing, nonché lesivi dell’interesse pubblico o dell’integrità del Titolare.
  • Fonte dei dati: i dati del segnalante, quelli del segnalato e/o di terzi sono forniti direttamente dal segnalante stesso e/o da terzi nel corso delle attività istruttorie.

(4) FINALITA' DEL TRATTAMENTO, BASI GIURIDICHE E TEMPI DI CONSERVAZIONE DEI DATI

PERCHÉ VENGONO TRATTATI I DATI PERSONALI?QUAL È LA CONDIZIONE CHE RENDE LECITO IL TRATTAMENTO?PER QUANTO TEMPO CONSERVIAMO I DATI PERSONALI?

Per la gestione delle segnalazioni delle violazioni di cui sopra, incluse le attività istruttorie in merito.

Previo consenso del segnalante,

  • la sua identità potrebbe essere rivelata per consentire all’incolpato o alla persona coinvolta di difendersi nell’ambito di un procedimento disciplinare;
  • la segnalazione presentata tramite l'apposito sistema di messaggistica vocale della piattaforma software potrebbe essere oggetto di conservazione o trascrizione integrale, così come, in caso di segnalazione in sede di incontro di persona, i relativi contenuti possono essere documentati tramite registrazione o verbale.

L’adempimento di un obbligo di legge al quale è soggetto il Titolare, 

come previsto dall’art. 6, comma 1, lett. c) del GDPR.

I dati sono conservati per un periodo massimo di 5 anni dalla data della comunicazione dell’esito finale della procedura di gestione della segnalazione, salvo l’instaurazione di procedimento giudiziario o disciplinare conseguente alla segnalazione stessa. In tal caso, i dati saranno conservati per tutta la durata del procedimento, fino alla sua conclusione e allo spirare dei termini di esperibilità delle azioni di impugnazione.

I dati personali che manifestamente non sono utili alla gestione di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente.

Se necessario, al fine dell’adozione dei provvedimenti conseguenti alla segnalazione e, in generale, per la tutela dei diritti del Titolare.Legittimo interesse del Titolare di cui all’art. 6, comma 1, lett. f) del GDPR.
Decorsi i termini di conservazione sopra indicati, i dati saranno distrutti, cancellati o resi anonimi, compatibilmente con le tempistiche tecniche di cancellazione e backup.

(5) NATURA DEL CONFERIMENTO DEI DATI

Il conferimento dei dati relativi alle segnalazioni di cui sopra è necessario; altrimenti, non sarà possibile gestire le segnalazioni.

Il procedimento di gestione delle segnalazioni garantisce la riservatezza dell’identità del segnalante, della persona fisica o giuridica oggetto della segnalazione o comunque menzionata nella stessa, sin dalla ricezione e in ogni contatto successivo.

In ogni caso, eventuali segnalazioni anonime saranno prese in carico solo qualora adeguatamente circostanziate, basate su elementi concreti e rese con dovizia di particolari da far apparire attendibili i fatti segnalati.

(6) DESTINATARI DEI DATI

I dati personali sono trattati, per conto del Titolare, da soggetti terzi, designati come responsabili del trattamento ex art. 28 del GDPR che svolgono attività funzionali al perseguimento delle finalità sopra indicate, quali quello che svolge la funzione di Internal Audit (di seguito “Internal Audit”), incaricato in via principale della gestione delle segnalazioni, quello che fornisce la piattaforma software di whistleblowing (maggiori informazioni sono riportate nel par. 7 che segue), oltre che dall’Organismo di Vigilanza del Titolare (di seguito, “OdV”), in ragione del fatto che l’OdV è incaricato di gestire le segnalazioni per le quali l’Internal Audit dovesse trovarsi in conflitto d’interesse o nel caso straordinario di temporanea inoperatività dello stesso Internal Audit.

I dati possono essere comunicati all’Autorità Giudiziaria e ad altri soggetti pubblici legittimati a riceverli, quali ad esempio la Corte dei conti e l’ANAC, nei casi e nelle modalità previsti dal Decreto whistleblowing e dalla Procedura; le segnalazioni sono sottratte all’accesso agli atti (artt. 22 e segg. della legge n. 241/1990), nonché all’accesso civico generalizzato (artt. 5 e segg. del d. lgs n. 33/2013).

L’eventuale condivisione della segnalazione e della documentazione prodotta dal segnalante con altre funzioni aziendali o con professionisti esterni a scopo di indagine viene svolta nel rispetto della Procedura e del Decreto whistleblowing, in ogni caso con la massima attenzione a tutela della riservatezza del segnalante, previo oscuramento dei dati e delle informazioni che potrebbero rivelarne, anche indirettamente, l’identità.

Resta fermo che l’identità del segnalante e qualsiasi altra informazione da cui la si può evincere, direttamente o indirettamente, non saranno rivelate, senza il consenso dello stesso, a soggetti diversi dall’Internal Audit e dall’OdV, fatto salvo quanto prescritto dalla normativa applicabile (ad es. in ambito penale).

(7) CARATTERISTICHE DELLA PIATTAFORMA SOFTWARE PER L'INVIO DELLE SEGNALAZIONIsegnalazioni

La piattaforma per l’invio delle segnalazioni (“Legality Whistleblowing”) ha le seguenti caratteristiche:

  • è fornita e manutenuta da DigitalPA S.r.l. in modalità SaaS (Software as a Service), senza concorso dei Sistemi Informativi del Titolare;
  • è certificata dall'Agenzia per la Cybersicurezza Nazionale (ACN) su Cloud Marketplace, canale obbligatorio per l'acquisizione di soluzioni SaaS per la PA;
  • genera esclusivamente log anonimi in relazione alle attività svolte dal segnalante, al fine di impedirne l’identificazione;
  • sono state implementate misure di sicurezza adeguate al rischio, tra cui la cifratura dei dati conservati.

(8) DIRITTI DEGLI INTERESSATI

È possibile esercitare, in relazione ai trattamenti dei dati sopra descritti, i diritti riconosciuti dal GDPR agli interessati, ivi incluso il diritto di:

  • chiedere l’accesso ai dati che li riguardano e alle informazioni di cui all’art. 15 (finalità del trattamento, categorie di dati personali, etc.);
  • ottenere la rettifica dei dati inesatti o l’integrazione dei dati incompleti ai sensi dell’art. 16;
  • chiedere la cancellazione dei dati personali nelle ipotesi previste dall’art. 17, se il Titolare non ha più diritto di trattarli;
  • ottenere la limitazione del trattamento (cioè la temporanea sottoposizione dei dati alla sola operazione di conservazione), nei casi previsti dall’art. 18 GDPR;
  • opporsi in qualsiasi momento, per motivi connessi a situazioni particolari, al trattamento dei propri dati personali sulla base del legittimo interesse ai sensi dell'articolo 6.1 lett. f) del GDPR.

Ai sensi dell’art. 2-undecies del d. Lgs. n. 196/2003 (“Codice Privacy”), i diritti di cui agli articoli da 15 a 22 del GDPR non possono essere esercitati qualora dall'esercizio degli stessi possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante. In tale ipotesi i diritti in questione possono essere esercitati per il tramite del Garante per la Protezione dei Dati Personali (con le modalità di cui all’art. 160 del Codice Privacy), il quale informa l’interessato di avere eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale.

Per l’esercizio dei diritti sopraindicati è possibile contattare il DPO inviando una e-mail all'indirizzo dpo@fondimpresa.it.

Ai sensi della normativa applicabile e fatte salve le limitazioni di cui all’art. 2-undecies di cui sopra, gli interessati hanno il diritto di proporre reclamo all’autorità di controllo competente nello Stato membro in cui risiedono abitualmente o lavorano o dello Stato in cui si è verificata la presunta violazione (per l’Italia il Garante per la Protezione dei Dati Personali).

(9) ULTERIORI INFORMAZIONI

Per ulteriori informazioni sui trattamenti di dati personali operati da Fondimpresa si rimanda alla sezione Privacy del sito www.fondimpresa.it.