INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI IN RELAZIONE ALLE
SEGNALAZIONI DI VIOLAZIONI (WHISTLEBLOWING)
La presente informativa è resa da VERITAS spa (di seguito anche solo “Società”), in qualità di Titolare del Trattamento, in conformità a quanto previsto dagli articoli 13 e 14 del Regolamento UE n. 679/2016 (General Data Protection Regulation: in seguito “GDPR”) e dall’art. 13 del Dlgs 24/2023, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e delle disposizioni normative nazionali, e delle persone coinvolte.
- Identità e dati di contatto
TITOLARE DEL TRATTAMENTO DEI DATI PERSONALI |
VERITAS SPA, con sede legale in Santa Croce, 489 – 30135 Venezia (VE). |
RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI (RPD) |
contattabile presso la sede legale in Santa Croce 489, 30135 Venezia (VE) Mail: rpd@gruppoveritas.it Pec: rpd@cert.gruppoveritas.it |
- Finalità del Trattamento e Base giuridica
Il trattamento comporta la raccolta, tramite i canali di segnalazione messi a disposizione da VERITAS, dei dati anagrafici (nome e cognome), codice fiscale, voce, immagini, dati di contatto, dati sulla qualifica professionale ricoperta, dati relativi alla tipologia di rapporto giuridico intercorrente con la Società e altri dati e informazioni ulteriori connessi alla violazione segnalata; se del caso, anche i nomi e altri dati personali delle persone indicate nella segnalazione (di seguito “dati personali”).
I dati personali sopra indicati potranno essere integrati e/o aggiornati sulla base di informazioni reperibili pubblicamente e/o raccolte da soggetti terzi e/o direttamente dall’interessato e/o già nella disponibilità del Titolare, anche al fine di verificare la fondatezza della Segnalazione.
- Finalità: i dati personali raccolti vengono trattati esclusivamente allo scopo di effettuare le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto di Segnalazione e l’adozione dei conseguenti provvedimenti, ai sensi del Decreto legislativo 10 marzo 2023, n. 24, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e delle disposizioni normative nazionali e del Regolamento per la gestione delle segnalazioni di illeciti (whistleblowing) e la tutela del segnalante (whistleblower).
Base giuridica: la base giuridica del trattamento dati è dunque quella sancita dall’art. 6 co. 1 lett. c) ed e) GDPR ovvero l’adempimento di un obbligo di legge al quale il Titolare del Trattamento è tenuto nonché per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.
- Ulteriore finalità: i dati personali raccolti potranno essere utilizzati anche per finalità connesse ad esigenze di difesa dei diritti nel corso di procedimenti giudiziali, amministrativi o stragiudiziali e nell’ambito di controversie sorte in relazione alla Segnalazione effettuata. Inoltre, i Dati personali potranno essere trattati da VERITAS per agire in giudizio o per avanzare pretese.
Base giuridica: la base giuridica per questo ulteriore trattamento dei dati personali è il legittimo interesse della Società ex art. 6, par. 1, lett. f) del GDPR alla tutela dei propri diritti. In questo caso, la Società perseguirà la presente ulteriore finalità, ove necessario, trattando i dati personali raccolti per le finalità di cui sopra, ritenute compatibili con la presente (anche in ragione del contesto in cui i dati personali sono stati raccolti, del rapporto tra l’interessato e VERITAS, della natura dei dati stessi e delle garanzie adeguate al loro trattamento, oltre che del nesso tra la finalità sub a. e la presente ulteriore finalità).
Nelle ipotesi di segnalazioni tramite messaggistica vocale o tramite incontro diretto in caso di verbalizzazione, la base giuridica è quella sancita dall’art. 6, par. 1, lett. a) del GDPR.
La rivelazione dei dati del segnalante a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate ai sensi degli articoli 29 e 32.4 GDPR e dell'articolo 2-quaterdecies del Codice Privacy, può avvenire solo previa acquisizione dell’espresso consenso del segnalante. Anche in tale ipotesi, quindi, la base giuridica è quella sancita dall’art. 6, par. 1, lett. a) del GDPR.
- Categoria particolari di dati e trattamento di dati personali relativi a condanne penali e reati - Base giuridica
La Segnalazione non dovrà contenere fatti non rilevanti ai fini della stessa, né categorie particolari di dati personali, di cui all’art. 9 del GDPR (di seguito anche “Categorie particolari di dati”, cioè quelli da cui possono eventualmente desumersi, fra l’altro, l’origine razziale ed etnica, le convinzioni filosofiche e religiose, l’adesione a partiti o sindacati, nonché lo stato di salute la vita sessuale o l’orientamento sessuale), né dati giudiziari di cui all’art. 10 del GDPR, salvo i casi in cui ciò sia inevitabile e necessario ai fini della Segnalazione stessa. In tal caso, il presupposto di liceità del trattamento di tali dati si fonda sull’art. 9, secondo paragrafo, lett. b) (assolvimento di obblighi e l’esercizio di diritti specifici del Titolare del trattamento e dell’interessato in materia di diritto del lavoro) e lett. g) (interesse pubblico rilevante) del GDPR relativamente alla finalità sub A del precedente punto 2, e sull’art. 9, secondo paragrafo, lett. f) (necessario per accertare, esercitare o difendere un diritto in sede giudiziaria) del GDPR relativamente alla finalità sub B ovvero perché è necessario per motivi di interesse pubblico.
Per quanto riguarda i dati giudiziari la condizione di legittimità è da rinvenirsi in base all’art. 2-octies del D.lgs. 196/2003, come modificato dal D.lgs. 101/2018 e dal Decreto (“Codice Privacy”) - nell’adempimento degli obblighi di legge di cui al Decreto.
- Modalità di conferimento dei dati
Le segnalazioni potranno essere effettuate tramite i canali di segnalazione messi a disposizione da parte di VERITAS spa e potranno essere effettuate sia in forma scritta sia in forma orale (in quest’ultimo caso attraverso il sistema di messaggistica all’interno della Piattaforma Whistleblowing raggiungibile dal sito web della Società).
Le Segnalazioni svolte oralmente tramite il sistema di messaggistica all’interno della Piattaforma saranno documentate, previo consenso del Segnalante, o mediante registrazione su dispositivo idoneo alla conservazione e all’ascolto o mediante trascrizione. In alternativa, la Segnalazione sarà documenta per iscritto mediante resoconto dettagliato.
Le Segnalazioni effettuate oralmente nel corso di un incontro richiesto dal Segnalante, saranno documentate, previo consenso di quest’ultimo, o mediante registrazione su dispositivo idoneo alla conservazione e all’ascolto o mediante verbalizzazione e poi trasferite nella Piattaforma.
I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, saranno cancellati immediatamente.
Il trattamento dei dati personali è fatto nel rispetto dei principi di cui all’art. 5 del GDPR. Il trattamento dei Dati personali è improntato ai principi di correttezza, liceità, trasparenza, integrità e riservatezza. Il trattamento è effettuato anche attraverso modalità automatizzate atte a memorizzarli, gestirli e trasmetterli. Il trattamento avverrà mediante strumenti idonei e garantire la sicurezza e la riservatezza mediante l’utilizzo di procedure idonee ad evitare il rischio di perdita, accesso non autorizzato, uso illecito e diffusione. Ciò avviene tramite l’adozione di tecniche di cifratura e l’attuazione di misure di sicurezza tecnico-organizzative definite, valutate ed implementate anche alla luce di una valutazione d’impatto ai sensi dell’art. 35 del GDPR.
- Cosa succede se i dati non vengono forniti
Il conferimento dei dati è obbligatorio; un eventuale rifiuto al conferimento dei dati comporta l’impossibilità per il Titolare di dar seguito alla segnalazione.
- Eventuali destinatari o categorie di destinatari dei dati personali
I dati personali saranno trattati dalla società ai sensi dell’art. 12, comma 2 del Dlgs 24/2023 da soggetti appositamente autorizzati e formati, quali il RPCT e dai componenti della UOS (Unità Operativa Segnalazioni di VERITAS) composta da personale Veritas individuato dal RPCT stesso dotato di adeguate competenze, professionalità e formazione, nonché di ulteriore personale specificatamente formato ed istruito e/o di professionisti esterni, e, su richiesta del RPCT o dei componenti della UOS, anche dai componenti dell’Organismo di Vigilanza ex Dlgs 231/2001.
I dati personali saranno altresì trattati dalla società incaricata della fornitura della piattaforma per le segnalazioni, nominata da VERITAS responsabile del trattamento ai sensi e per gli effetti di cui all’art. 28 del
GDPR.
Nei casi previsti dalla normativa, i dati personali potranno essere comunicati all’Autorità Nazionale Anticorruzione (ANAC), all’autorità giudiziaria ordinaria o all’autorità giudiziaria contabile (Corte dei conti).
- Periodo di conservazione dei dati personali o criteri utilizzati per determinare tale periodo
I dati personali raccolti sono conservati per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui all'articolo 12 del Dlgs 24/2023.
- Diritti dell’interessato
I diritti di cui agli articoli 15 (diritto di accesso), art. 16 (diritto di rettifica), art. 17 (diritto di cancellazione), art. 18 (diritto di limitazione del trattamento), art. 21 (diritto di opposizione) GDPR possono essere esercitati nei limiti di quanto previsto dall’art. 2-undecies (limitazioni ai diritti dell’interessato) del Decreto legislativo 30 giugno 2003, n. 196.
All’interessato è riconosciuto il diritto di proporre reclamo al Garante per la protezione dei dati personali con le modalità di cui all’art. 77 (diritto di proporre reclamo all’autorità di controllo) del GDPR utilizzando i riferimenti disponibili nel sito internet www.garanteprivacy.it, o di adire le opportune sedi giudiziarie.
- Eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione
Non è presente un processo decisionale automatizzato e non sono previste attività di profilazione.
10. Trasferimento dei dati in un Paese Extra UE I dati trattati non sono trasmessi in area extra UE.