Informativa ai sensi dell’art. 13 del Regolamento Generale per la Protezione dei Dati (GDPR UE) 2016/679 – Ricevimento e gestione delle segnalazioni nell’ambito della Procedura Whistleblowing (D.lgs. 24/2023).
Il Regolamento UE 2016/679 (di seguito, “Regolamento” o “GDPR”) stabilisce le norme relative alla tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché le norme relative alla libera circolazione dei dati personali. Il Regolamento protegge i diritti e le libertà fondamentali delle persone fisiche e in particolare il loro diritto alla protezione dei dati personali.
La presente informativa è resa ai sensi dell’articolo 13 del Regolamento, nel rispetto dei principi ivi contenuti, nonché del D.lgs. 30 giugno 2003, n. 196 e s.m.i. (“Codice della privacy”) e del D.lgs. 10 marzo 2023, n. 24.
IG Samsic HR S.p.A. fornisce, di seguito, l’informativa sui trattamenti dei dati personali effettuati in relazione al ricevimento ed alla gestione delle Segnalazioni disciplinate dalla Procedura Whistleblowing.
- TITOLARE DEL TRATTAMENTO DEI DATI PERSONALI E DPO
Il Titolare del trattamento (di seguito, “il Titolare”) dei Suoi dati personali (di seguito “i dati”), relativamente al loro utilizzo, è IG Samsic HR S.p.A., con sede legale in Milano, via A. Rizzoli 4.
Il Titolare ha nominato un Responsabile per la protezione dei dati personali (“DPO”), ai sensi dell’art. 37 del GDPR, che può essere contattato utilizzando i seguenti recapiti: IG Samsic HR S.p.A. Via Rizzoli n. 4, 20132, Milano – e-mail privacy@ig-samsic.eu.
- CATEGORIE DI DATI PERSONALI TRATTATI
Nell’ambito della gestione delle Segnalazioni, disciplinate dalla Procedura Whistleblowing, potranno essere trattati i seguenti dati:
-
- dati personali comuni di cui all’art. 4, punto 1), del GDPR del Segnalante, nel caso di Segnalazioni non anonime, della/e Persona/e Coinvolta/e, nonché di eventuali Soggetti collegati, come definiti dalla Procedura Whistleblowing (di seguito “Interessati”), quali: dati anagrafici (ad es. nome, cognome, data e luogo di nascita), dati di contatto (es. numero telefonico fisso e/o mobile, indirizzo postale/e-mail), dati facoltativi (es. inquadramento, ruolo);
-
- dati personali particolari di cui all’art. 9 del GDPR (es. condanne penali, reati, condizioni di salute, orientamento sessuale o appartenenza sindacale), qualora inseriti nella Segnalazione.
- FINALITÀ DEL TRATTAMENTO, RELATIVE BASI GIURIDICHE E NATURA DEL CONFERIMENTO DEI DATI
I dati personali forniti per segnalare presunte condotte illecite delle quali sia venuto a conoscenza in ragione del proprio rapporto di lavoro, servizio o fornitura saranno trattati dal Titolare per le seguenti finalità:
-
- gestione della Segnalazione effettuata ai sensi del d.lgs. n. 24/2023. La base giuridica di questo trattamento è costituita dall’adempimento di un obbligo legale a cui è soggetto il Titolare del trattamento (art. 6, par. 1, lett. c) del GDPR);
- adempimento di obblighi previsti dalla legge o dalla normativa comunitaria. La base giuridica di questo trattamento è costituita dall’adempimento di un obbligo legale a cui è soggetto il Titolare del trattamento (art. 6, par. 1, lett. c) del GDPR);
- difesa o accertamento di un proprio diritto in contenziosi civili, amministrativi o penali. La base giuridica di questo trattamento è costituita dal legittimo interesse del Titolare del trattamento (art. 6, par. 1, lett. f) del GDPR).
Il conferimento dei dati è necessario per il conseguimento delle finalità che precedono. L’eventuale mancato, parziale o inesatto conferimento dei dati potrebbe avere come conseguenza l’impossibilità di gestire la Segnalazione effettuata.
IG SAMSIC HR S.p.A. - Capitale Sociale € 1.180.000,00 i.v. | C.F./P.Iva 06379970152 | R.E.A.MI 1093387
Iscritta all'Albo Informatico delle Agenzie per il Lavoro, Sezione I, generalista, n. protocollo ministeriale 13/I/0017749, data di rilascio 20/12/2010
Sede legale/amministrativa:
Via Angelo Rizzoli, 4
20132 Milano
T +39 02 829 029
- MODALITÀ DI TRATTAMENTO
Il trattamento dei dati avverrà in modo lecito e secondo correttezza e, in ogni caso, nel rispetto di quanto previsto dall’art. 6 del GDPR.
Il trattamento sarà realizzato per mezzo delle operazioni o complesso di operazioni indicate dall’art. 4, punto 2 del GDPR, e cioè per mezzo della raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, messa a disposizione, raffronto interconnessione, limitazione, cancellazione o distruzione, selezione, blocco dei dati personali.
Le operazioni potranno essere svolte con o senza l’ausilio di strumenti elettronici, nel rispetto delle regole di riservatezza e di sicurezza previste dalla legge, dai regolamenti, ovvero da apposite disposizioni interne.
Il sistema di gestione delle Segnalazioni garantisce, in ogni fase, la riservatezza dell’identità del Segnalante, della/e Persona/e Coinvolta/e, nonché di eventuali Soggetti collegati, come definiti dalla Procedura Whistleblowing, del contenuto della Segnalazione e della relativa documentazione, fatto salvo quanto previsto dall’art. 12 del D.lgs. 24/2023. In particolare, identità del Segnalante e qualsiasi altra informazione da cui possa evincersi, direttamente o indirettamente, tale identità non verranno rivelate a persone diverse da quelle competenti a ricevere o a dare seguito alle Segnalazioni, senza il consenso espresso dello stesso Segnalante.
Il Titolare non effettua trattamenti che consistano in processi decisionali automatizzati sui dati personali trattati.
- COMUNICAZIONE E/O DIFFUSIONE DEI DATI PERSONALI
I dati personali non verranno divulgati e saranno resi accessibili solo a coloro i quali sono competenti a ricevere le segnalazioni e/o a dare seguito alle attività di istruttoria e gestione delle stesse, opportunamente istruiti a tal fine.
Il Titolare ha nominato, ai sensi dell’art. 6, punto 1, lett. b) del d.lgs. n. 231/2001, i membri dell’Organismo di Vigilanza quali componenti del Comitato di Gestione delle segnalazioni disciplinato dalla Procedura Whistleblowing, che hanno ricevuto adeguate istruzioni operative.
I dati possono essere trattati dal Titolare e/o dai Soggetti che agiscono in qualità di Responsabili o Sub-Responsabili del trattamento, avendo previamente sottoscritto un apposito contratto con il Titolare che disciplina puntualmente i trattamenti loro affidati e gli obblighi in materia di protezione dei dati personali, ai sensi dell’art. 28 del GDPR, quali, ad esempio, Consulenti esterni e Terze parti con funzioni tecniche (es. i componenti del Comitato di Gestione delle segnalazioni, il provider del sistema di gestione delle segnalazioni).
I dati potranno inoltre essere comunicati ad ulteriori Soggetti, in base a norme di legge o di regolamento, quali ad esempio Pubbliche Amministrazioni, Autorità Giudiziaria, Organi di Polizia.
- PERIODO DI CONSERVAZIONE DEI DATI
Il Titolare conserverà i dati personali per il tempo necessario al trattamento della segnalazione, secondo quanto previsto dall’art. 14 del d.lgs. n. 24/2023, e comunque per non oltre 5 anni a decorrere dalla data di comunicazione dell’esito finale della procedura di segnalazione.
I dati personali che, all’esito dell’istruttoria preliminare della segnalazione, risultino manifestamente non utili al trattamento della segnalazione non sono raccolti o, se raccolti accidentalmente, saranno cancellati tempestivamente.
- TRASFERIMENTI DI DATI ALL’ESTERO
Il Titolare non trasmetterà i dati a Soggetti situati in Paesi terzi rispetto all’Unione Europea.
- ESERCIZIO DEI DIRITTI DELL’INTERESSATO
Nella qualità di Interessato, in ogni momento, potrà esercitare i diritti previsti dal GDPR, rivolgendosi al Titolare del trattamento dei dati personali, utilizzando i seguenti recapiti: IG Samsic HR S.p.A. - Via Rizzoli n. 4, 20132, Milano – e-mail privacy@ig-samsic.eu.
Per garantire il corretto esercizio dei diritti, l’Interessato dovrà rendersi identificabile in maniera inequivocabile. La Società si impegna a fornire riscontro entro 30 giorni e, in caso di impossibilità a rispettare tali tempi, a motivare l’eventuale proroga dei termini previsti. Il riscontro avverrà a titolo gratuito salvo casi di infondatezza (es. non esistono dati che riguardano l’interessato richiedente) o richieste eccessive (es. ripetitive nel tempo) per le quali potrà essere addebitato un contributo spese non superiore ai costi effettivamente sopportati per la ricerca effettuata nel caso specifico. I diritti riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio o agisce a tutela dell’interessato o per ragioni familiari meritevoli di protezione.
In base al Regolamento, in qualità di Interessato, Lei ha diritto di ottenere indicazioni su:
- l’origine dei dati personali;
- le categorie di dati trattati;
- le finalità e le modalità del trattamento;
- il periodo di conservazione dei dati personali;
- la logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
- gli estremi identificativi del Titolare e del Responsabile del trattamento dei dati personali;
- i soggetti e le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o di incaricati anche in Paesi Terzi
- l’esistenza del processo di profilazione.
L’Interessato ha diritto di ottenere:
- la conferma dell’esistenza o meno di loro dati personali e che tali dati siano messi a disposizione in forma intelligibile;
- l’aggiornamento, la rettifica, l’integrazione dei dati e la limitazione;
- la cancellazione (diritto all’oblio), la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge (compresi quelli per cui non è necessaria la conservazione in relazione agli scopi per i quali sono stati raccolti o successivamente trattati);
- l’attestazione che le operazioni di cui ai punti sopra sono state portate a conoscenza anche di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato dall'impresa;
- la portabilità dei dati (trasmissione diretta da un titolare ad un altro)
- la copia dei dati oggetto di trattamento, nonché dei dati detenuti all’estero e di ottenere informazioni circa il luogo dove sono stati conservati facendone espressa richiesta al Titolare del trattamento.
L’Interessato ha diritto di opporsi al trattamento dei dati personali, salvo che vi siano motivi legittimi che giustifichino il trattamento e che prevalgano, quali, ad esempio, l’esercizio o la difesa in sede giudiziaria.
Ai sensi dell’art. 2-undecies del Codice Privacy e dell’art. 23 del GDPR, i suddetti diritti non sono esercitabili dalla Persona coinvolta o dalla persona menzionata nella Segnalazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, ove dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità del Segnalante.
L’Interessato inoltre può proporre reclamo all’autorità di controllo, che in Italia è il Garante per la Protezione dei Dati Personali.
In caso di violazione dei dati personali subite dall’impresa (Data Breach), in ottemperanza all’art. 33 del GDPR, il Titolare procederà alla notificazione all’autorità di controllo competente entro 72 ore dal momento in cui è venuto a conoscenza del fatto e comunicherà altresì l’evento anche all’Interessato, salvo i casi di esclusione previsti dalla normativa all’articolo 34, par. 3 del GDPR.