INFORMATIVA   SUL     TRATTAMENTO     DEI      DATI PERSONALI CONNESSO AL FUNZIONAMENTO DEL SISTEMA DI INVIO E GESTIONE DELLE SEGNALAZIONI IN MATERIA DI WHISTLEBLOWING

 

Nel rispetto degli artt. 13 e 14 del Regolamento UE 2016/679 (di seguito “GDPR”), SIDIEF S.p.A. (in seguito “SIDIEF” o la “Società”), in qualità di Titolare del trattamento, intende fornire alcune informazioni in ordine al trattamento dei dati personali degli interessati (intendendosi per interessati il segnalante, il segnalato o altra persona fisica a vario titolo menzionata o coinvolta dalla segnalazione) connesso al funzionamento del sistema di invio e gestione delle segnalazioni in materia di whistleblowing (di seguito “Whistleblowing”).

1. Finalità e base giuridica del trattamento

I dati riferiti agli interessati sono trattati da SIDIEF:

1. in adempimento agli obblighi di legge previsti dal D.Lgs. 10 marzo 2023, n. 24, recante “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali e dalle altre norme applicabili a SIDIEF ai fini dell’invio e della gestione delle segnalazioni in materia di Whistleblowing, ai sensi degli artt. 6.1, lett. c) e 88.1 del GDPR;
2. nonché per l’eventuale accertamento, esercizio e difesa dei diritti in sede giudiziaria, sulla base degli artt. 6.1, lett. f) del GDPR e 9.1, lett. f) del GDPR.

2. Dati trattati

In relazione alle finalità sopra menzionate, sono trattate le seguenti categorie di dati, raccolti direttamente presso l’interessato o presso terzi:

• dati anagrafici (nome e cognome) e di contatto del segnalante, necessari per la registrazione alla piattaforma informatica dedicata (https://sidief.segnalazioni.net/), nonché per l’invio delle segnalazioni;

 

• dati personali riferiti anche a soggetti diversi dal segnalante (come il soggetto segnalato o altra persona a vario titolo menzionata o coinvolta dalla segnalazione), contenuti nella segnalazione o comunque in possesso della società e ad essa collegati e attinenti principalmente al rapporto con SIDIEF (a titolo esemplificativo e non esaustivo, area/funzione organizzativa di appartenenza, natura del rapporto contrattuale con SIDIEF), necessari per circostanziare la segnalazione, per la conduzione delle attività istruttorie volte ad analizzare e verificare la ricevibilità e la fondatezza della segnalazione pervenuta, anche ai fini dell’adozione delle conseguenti opportune misure ai sensi della normativa vigente.

L’eventuale trattamento di dati personali relativi a potenziali reati o condanne oggetto di segnalazione è effettuato in base alle disposizioni dall’art. 10 del GDPR in quanto autorizzato dalle normative specifiche in materia di whistleblowing e dell’art. 2-octies del D.Lgs. 196/2003 (cd. “Codice Privacy”), oltre che per la tutela o difesa di diritti in sede giudiziaria [art. 2-octies, co. 3, lett. e) del Codice privacy].

Non si prevede di norma il trattamento di dati appartenenti a categorie particolari[1], non potendosi però escludere che dati appartenenti alla suddetta categoria possano essere inclusi in una segnalazione. Pertanto, tali dati, ove inseriti in una segnalazione, saranno trattati solo laddove necessari per la gestione della segnalazione, sulla base dell’art. 9.2, lett. b) del GDPR ovvero laddove siano necessari per l’eventuale accertamento, esercizio e difesa dei diritti in sede giudiziaria, sulla base dell’art. 9.2, lett. f) del GDPR.

Il conferimento dei dati personali per tale finalità è obbligatorio per cui, in caso di mancato conferimento degli stessi, non sarà possibile prendere in carico e gestire la segnalazione di whistleblowing[2].

4. Categorie di soggetti destinatari dei dati personali

I dati personali sono trattati dal personale interno della Società specificamente autorizzato ex artt. 29 del GDPR e 2-quaterdecies del Codice Privacy, in particolare dal Responsabile interno preposto alla gestione delle segnalazioni (di seguito il “Responsabile”) identificato nella figura del Responsabile della Prevenzione della Corruzione e della Trasparenza (RPCT) di SIDIEF e, se del caso, dai membri dell’Organismo di Vigilanza nell’esercizio delle proprie funzioni ai sensi del D. Lgs. 231/2001, ovvero da altri soggetti di cui il Responsabile deciderà caso per caso di avvalersi per specifici aspetti di competenza (a titolo esemplificativo: Collaboratore del RPCT ove nominato, personale della Divisione Legale & Compliance e dell’Area Risorse Umane, ecc.), ovvero da soggetti esterni, operanti di norma quali responsabili del trattamento ex art. 28 del GDPR, che supportano SIDIEF nello svolgimento di alcune attività tecniche, organizzative e consulenziali (come, ad esempio, la Società DigitalPA S.r.l. che fornisce in uso a SIDIEF la piattaforma informatica per l’invio e la gestione delle segnalazioni in materia di whistleblowing).

Per le finalità già evidenziate, ove necessario, i dati potranno essere comunicati all’Autorità Giudiziaria, alle forze dell’ordine ovvero ad altri soggetti pubblici e/o privati – operanti in qualità di autonomi titolari del trattamento - legittimati a riceverli ai sensi della vigente normativa.

5. Trasferimento di dati personali extra UE

I dati personali raccolti non saranno trasferiti in Paesi terzi, al di fuori dell'Unione Europea.

6. Modalità di trattamento dei dati

I dati saranno trattati con strumenti prevalentemente informatizzati, con logiche di organizzazione ed elaborazione strettamente correlate alle finalità sopra indicate e comunque in modo da garantire la sicurezza, l'integrità e la riservatezza dei dati stessi nel rispetto delle misure organizzative, fisiche e logiche previste dalle disposizioni vigenti.

Sarà in ogni caso garantita la massima riservatezza dell’interessato, in conformità alle procedure aziendali e alla normativa applicabile in materia di whistleblowing. Qualora, ai fini istruttori, fosse necessario rivelare l’identità del segnalante a soggetti diversi da quelli autorizzati a ricevere e a dare seguito alle segnalazioni, verrà espressamente richiesto il consenso del soggetto segnalante alla rivelazione della sua identità.

Nell’ambito dei procedimenti disciplinari, l’identità del segnalante non sarà rivelata in tutti i casi in cui la contestazione dell’addebito disciplinare si fondi su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa, mentre potrà essere rivelata laddove concorrano, insieme, tre presupposti, ovverosia (i) che la contestazione si fondi, in tutto o in parte, sulla segnalazione, (ii) che la conoscenza dell’identità del segnalante sia indispensabile per la difesa dell’incolpato e che (iii) il segnalante abbia espresso un apposito consenso alla rivelazione della propria identità.

I dati identificativi del segnalante - forniti ai fini della registrazione alla piattaforma ovvero con l’invio della segnalazione (anche, ad esempio, nel caso di segnalazione inviata extra piattaforma) - sono custoditi secondo la logica della separazione rispetto alla segnalazione stessa, nel rispetto della procedura aziendale in materia di whistleblowing e delle norme vigenti.

7. Periodo di conservazione dei dati

I dati personali contenuti nella segnalazione e nell’eventuale documentazione a corredo della stessa, sono di norma conservati all’interno della Piattaforma informatica, o in altro archivio dedicato, per un periodo di 5 (cinque) anni a decorrere dalla data di conclusione dell’istruttoria.

Le segnalazioni anonime e l’eventuale relativa documentazione a corredo sono conservate all’interno della Piattaforma informatica, o in altro archivio dedicato, per un periodo di 5 (cinque) anni a decorrere dalla data di ricezione della stessa segnalazione.

Resta inteso che nel caso in cui sia instaurato un giudizio, i termini sopra indicati potranno essere prolungati fino alla conclusione del giudizio medesimo e ai conseguenti termini di prescrizione dei diritti.

Trascorsi i tempi sopra indicati, le segnalazioni e l’eventuale documentazione a corredo saranno anonimizzate e conservate, a fini di documentazione, per un periodo di 10 anni.

8. Diritti degli interessati

Ciascun interessato ha il diritto di ottenere da SIDIEF, nei casi previsti dalla normativa di riferimento, l'accesso ai propri dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda ovvero di opporsi al trattamento (come previsto dagli artt. 15 e ss. del GDPR). 

Per quanto riguarda gli interessati diversi dal segnalante, si fa presente che l’esercizio dei diritti sopra indicati può essere limitato ai sensi dell’art. 2-undecies, co. 1, lett. f) del Codice privacy, limitatamente al periodo in cui ciò si renda effettivamente e strettamente necessario, qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante, ai sensi dell’art. 23. 1, lett. i) del GDPR e dell’art. 2-undecies, co. 1, lett. f) del Codice Privacy.

Resta infine fermo in capo agli interessati il diritto di rivolgersi al Garante per la protezione dei dati personali, ove ritenuto necessario, anche attraverso la presentazione di un reclamo per la tutela dei propri dati personali e diritti.

9. Contatti

Per qualsiasi questione attinente al trattamento dei dati personali e per l’esercizio dei diritti sopra indicati, l’interessato può rivolgersi a SIDIEF S.p.A., all’indirizzo della sede legale sita in Via degli Scialoja, n. 20 - 00196 Roma (RM) ovvero all’indirizzo e-mail assitenza@sidief.it.

10. Modifiche alla presente Informativa

La presente Informativa può subire variazioni nel tempo. Si consiglia, quindi, di controllare regolarmente la sezione “Privacy policy” presente sul portale https://sidief.segnalazioni.net/ in modo da prendere visione della versione tempo per tempo più aggiornata.