INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI EX ARTT. 13-14 DEL REGOLAMENTO (UE) 2016/679 IN RELAZIONE ALLA PROCEDURA DI WHISTLEBLOWING


Il presente documento contiene l’informativa prevista dagli articoli 13 e 14 del Regolamento UE 679/2016 (GDPR), in relazione al trattamento dei dati personali degli interessati che vengono coinvolti, a vario titolo, nelle segnalazioni di violazioni rilevanti ai sensi della Procedura Whistleblowing di DEM s.p.a. (di seguito la “Società”), adottata in conformità al D. lgs. 10 marzo 2023 n. 24.


1. Titolare del trattamento

Il Titolare del trattamento dei dati personali è DEM SPA, p.iva 01964930307, con sede in Pavia di Udine, Via del Lavoro 23 in persona dell’Amministratore Delegato e legale rappresentante.


2. Categorie di dati personali trattati e finalità di trattamento. Base giuridica del trattamento.

Le persone a cui si riferiscono i dati personali trattati sono:

a) persone a conoscenza dei fatti segnalati, o che comunque vengono richieste di fornire informazioni a fronte di una segnalazione

b) “soggetti segnalati” (cioè incolpati della violazione oggetto della segnalazione),

c) “soggetti tutelati” (cioè che godono delle tutele inderogabili previste dalla normativa whistleblowing di cui al D.lgs. 24/2023 a fronte di una segnalazione),

d) Gestore della segnalazione,

e) altre persone che a vario titolo possono essere messe a conoscenza dell’esistenza e del seguito della segnalazione.

I dati personali potranno essere acquisiti da DEM S.p.A. in quanto contenuti nelle segnalazioni Whistleblowing, ovvero negli atti e documenti a queste allegati e pervenute alla stessa attraverso i canali previsti dalla suddetta Procedura Whistleblowing.

La ricezione e la gestione di tali segnalazioni potrà dare luogo, a seconda del loro contenuto, al trattamento delle seguenti categorie di dati personali:

a) dati personali comuni di cui all’art. 4, punto 1, del GDPR, tra i quali, ad esempio, i dati anagrafici (nome, cognome, data e luogo di nascita), i dati di contatto (numero telefonico fisso e/o mobile, indirizzo postale/e-mail), il ruolo/mansione lavorativa;

b) dati personali “particolari” di cui all’art. 9 del GDPR, tra i quali, ad esempio, le informazioni relative a condizioni di salute, opinioni politiche, convinzioni religiose o filosofiche, orientamento sessuale o appartenenza sindacale;

c) dati personali “giudiziari” di cui all’art. 10 del GDPR, relativi a condanne penali e reati, o a connesse misure di sicurezza.

Riguardo alle suddette categorie di dati personali, si rimarca l’importanza che le segnalazioni inoltrate risultino prive di informazioni manifestamente irrilevanti ai fini della disciplina di riferimento, invitando in particolare i soggetti segnalanti ad astenersi dall’utilizzare dati personali di natura “particolare” e “giudiziaria” se non ritenuti necessari ed imprescindibili ai fini delle stesse, in ottemperanza all’art. 5 del GDPR.


Le suddette informazioni verranno trattate DEM S.p.A. in quanto Titolare del trattamento secondo le disposizioni prescritte dal D.lgs. n. 24/2023 e, pertanto, in via generale, al fine di effettuare le necessarie attività istruttorie volte a verificare la fondatezza dei fatti oggetto di segnalazione e l’adozione dei conseguenti provvedimenti.


Inoltre, i dati potranno essere utilizzati dal Titolare del trattamento per finalità connesse ad esigenze di difesa o accertamento di propri diritti nel contesto di procedimenti giudiziali, amministrativi o stragiudiziali e nell’ambito di contenziosi civili, amministrativi o penali sorti in relazione alla segnalazione effettuata.


3. Basi giuridiche del trattamento dei dati personali

I dati saranno trattati per le seguenti finalità:

1) valutare l’ammissibilità e fondatezza della segnalazione di illeciti da te comunicata;

2) applicare le misure di tutela e supporto dei soggetti protetti dalla normativa in materia di Whistleblowing;

3) dare seguito alla segnalazione e, se possibile, misure di risposta ai risultati di una segnalazione;

4) applicare eventuali misure disciplinari contro chi segnala con dolo o colpa grave, o contro eventuali soggetti coinvolti ai quali sia addebitabile la violazione segnalata;

5) usare gli esiti delle segnalazioni come prova in procedimenti giudiziari;

6) adempiere a qualsiasi obbligo previsto da una legge, da un regolamento o da un’altra normativa applicabile.

Tenuto conto della normativa di riferimento, il trattamento dei dati si fonda sull’obbligo di legge a cui è soggetta DEM S.p.A. in quanto Titolare del trattamento (art. 6, par. 1, lett. c) del GDPR) ai fini del rispetto delle prescrizioni di cui al D.Lgs 24/2023, e, per quanto concerne gli eventuali dati particolari riportati volontariamente dal Segnalante, la condizione abilitante è da rinvenirsi nei motivi di interesse pubblico rilevante sulla base del diritto dell’Unione e degli Stati Membri in relazione alla motivazione per cui è stata disposta la normativa Whistleblowing (art 9, par. 2, lett. g) del GDPR ed art. 2 sexies par. 1 del D.Lgs 196/03), nonché nell’assolvimento di obblighi e sull’esercizio di diritti specifici del Titolare del trattamento e dell’Interessato in materia di diritto del lavoro (art. 9, par. 2, lett. b), GDPR).


Nei casi contemplati dalla medesima disciplina potrà essere richiesto uno specifico e libero consenso al soggetto segnalante − ai sensi dell’art. 6, par. 1, lett. a) del GDPR – e, segnatamente, laddove si ravveda la necessità di disvelarne l’identità, oppure qualora sia prevista la registrazione delle segnalazioni raccolte in forma orale, via telefono o tramite sistemi di messaggistica vocale, ovvero attraverso incontri diretti con il Responsabile della gestione delle segnalazioni

Il trattamento di dati personali “particolari”, eventualmente inclusi nelle segnalazioni, si fonda sull’assolvimento di obblighi e sull’esercizio di diritti specifici del Titolare del trattamento e dell’interessato in materia di diritto del lavoro, ai sensi dell’art. 9, par. 2, lett. b) del GDPR.


Quanto alla finalità di accertare, esercitare o difendere un diritto in sede giudiziaria, la relativa base giuridica del trattamento di dati personali è costituita dal legittimo interesse del Titolare in tal senso, di cui all’art. 6, par. 1, lett. f), del GDPR; per la medesima finalità, i trattamenti di dati personali di natura “particolare”, se presenti, si fondano sull’art. 9, par. 2, lett. f) del GDPR.


4. Natura del conferimento dei dati personali

Il conferimento dei dati personali è obbligatorio in quanto, conformemente alla “Procedura Whistleblowing” aziendale reperibile al seguente link (https://www.demgroup.com/whistleblowing-procedure/), non vengono prese in considerazione segnalazioni anonime, ovvero segnalazioni dalle quali non è possibile ricavare l’identità del segnalante.

I dati personali conferiti saranno trattati per gestire la segnalazione secondo i limiti e con le garanzie di riservatezza imposti dalla normativa di riferimento.


5. Modalità di trattamento e periodo di conservazione dei dati personali

Il trattamento dei dati personali inclusi nelle segnalazioni inoltrate in conformità alla Procedura Whistleblowing verrà effettuato dai soggetti “incaricati-autorizzati” dalla Società e sarà improntato ai principi di correttezza, liceità e trasparenza, di cui all’art. 5 del GDPR.

Il trattamento dei dati personali potrà essere effettuato in modalità analogiche e/o informatiche/telematiche, funzionali a memorizzarli, gestirli e trasmetterli, comunque in applicazione di adeguate misure, di tipo fisico, tecnico ed organizzativo, atte a garantire la loro sicurezza e la riservatezza in ogni fase della procedura, ivi compresa l’archiviazione della segnalazione e dei relativi documenti - fatto salvo quanto previsto dall’art. 12 del D. lgs. n. 24/2023 - con particolare riferimento all’identità del segnalante, delle persone coinvolte e/o comunque menzionate nelle segnalazioni, del contenuto delle stesse e relativa documentazione.

Le segnalazioni ricevute da DEM S.p.A., unitamente agli atti e documenti acclusi, verranno conservate per il tempo necessario alla gestione delle stesse e, in ogni caso, come prevede la normativa, per un periodo non eccedente cinque anni dalla data delle comunicazioni dei relativi esiti finali. Successivamente a tale termine, le segnalazioni verranno eliminate dal sistema, oppure conservate in forma anonimizzata.

Coerentemente con le indicazioni contenute nella “Procedura Whistleblowing”, i dati personali inclusi nelle segnalazioni manifestamente irrilevanti ai fini delle stesse verranno immediatamente cancellati.


6. Ambiti di comunicazione e trasferimento dei dati personali

Oltre che dalle predette figure interne specificatamente autorizzate dal Titolare i dati personali raccolti potranno essere trattati, nell’ambito della “Procedura Whistleblowing” e nel perseguimento delle finalità indicate, anche dai seguenti soggetti terzi, formalmente designati quali Responsabili del trattamento qualora si rilevino le condizioni previste dall’art. 28 del GDPR:

- fornitori di servizi di consulenza ed assistenza nell’implementazione della Procedura Whistleblowing;

- società e professionisti IT relativamente all’applicazione di adeguate misure di sicurezza tecnico-informatiche e/o organizzative sulle informazioni processate dal sistema aziendale;

- consulenti legali/consulenti fiscali/consulenti del lavoro e figure affini.

Sussistendone gli estremi, i dati personali potranno essere trasmessi all’Autorità Giudiziaria e/o Organi di Polizia che ne facciano richiesta nel contesto di indagini giudiziarie.

I dati personali conferiti in forma scritta verranno conservati su supporti cartacei in luogo sicuro e non accessibile a terzi senza autorizzazione. I dati informatici verranno trattati all’interno dello Spazio Economico Europeo (SEE) e conservati in server ivi ubicati. Qualora in conseguenza a mutamenti della “Procedura Whistleblowing” si renda necessario l’utilizzo di piattaforme elettroniche per la ricezione e gestione delle segnalazioni, vi potrà essere la necessità per i soggetti providers extra UE di accedere ai dati per finalità strettamente correlate ai loro adempimenti contrattuali, afferenti alle imprescindibili attività di implementazione e manutenzione del sistema. Il conseguente trasferimento di dati personali extra UE verrà comunque consentito solo in virtù della sussistenza delle condizioni e garanzie previste dagli artt. 44 e seguenti del GDPR, ad esempio, in presenza di una decisione della Commissione UE circa l’adeguatezza del livello di protezione dei dati del Paese destinatario.


7. Diritti dell’interessato

Ciascun soggetto interessato ha il diritto di esercitare i diritti di cui agli articoli 15 e seguenti del GDPR.

Il soggetto interessato potrà rivolgersi in ogni momento al Titolare per esercitare i seguenti diritti: a) accedere ai dati, b) rettificare i dati se inesatti, c) aggiornare i dati se obsoleti, d) richiedere la cancellazione dei dati, e) richiedere la limitazione del trattamento dei dati, f) opporsi in qualsiasi momento al trattamento dei dati per motivi derivanti dalla propria situazione particolare, g) ricevere la notifica di una violazione dei dati nel caso in cui la stessa comporti un elevato rischio per i diritti o le libertà fondamentali degli interessati, h) controllare, correggere e approvare il testo di una segnalazione che sia stata trascritta dal Titolare dopo essere pervenuta in una forma che non prevede l’utilizzo di una forma scritta (es. tramite incontro personale, telefonata o altra forma orale non registrata, posta ordinaria). La revoca del consenso non pregiudica la liceità del trattamento e della comunicazione effettuata su base volontaria fino alla revoca.

Per l’esercizio di tali diritti, è necessario inoltrare specifica richiesta in forma libera al seguente recapito del Titolare: DEM S.p.A. Viale del Lavoro, 23 - 33050 Pavia di Udine (UD), indirizzo mail whistleblowing@demgroup.com o indirizzo PEC mail@pec.demgroup.com ovvero trasmettere al medesimo indirizzo il modulo disponibile sul sito web dell’Autorità Garante per la protezione dei dati personali.


Al riguardo, si informa che i predetti diritti in capo agli interessati al trattamento di dati personali potranno venire limitati ai sensi e per gli effetti di cui all'art. 2-undecies del D. lgs. 30 giugno 2003, n. 196 (“Codice privacy”, come modificato dal D. lgs. n. 101/2018), per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, qualora dal loro esercizio possa derivare un pregiudizio concreto ed effettivo alla riservatezza dell’identità dei soggetti segnalanti.

In tali fattispecie, gli interessati avranno comunque facoltà di rivolgersi all’Autorità Garante affinché quest’ultima valuti se ricorrono i presupposti per agire con le modalità previste dall’articolo 160 del D. lgs. n. 196/2003.

In ogni caso il soggetto interessato che ritenga violati i suddetti diritti può sempre proporre reclamo al Garante per la protezione dei dati personali, con sede in Piazza Venezia, 11 - 00187 Roma, PEC: protocollo@pec.gpdp.it.

    CONTACT US

    Send
    Send
    Request application

      addplus-sign-to-addrefreshright-arrowlogout-2logout-1 arrows credit-card technologydownloadable-file-interface-symbol-of-strokedownload-from-cloudthumb-upcancelsearchlogout maleshoprating starCheck+EmailFacebookFaxMapsPhonePrintTwitter