INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI FORNITI A SEGUITO DELLA SEGNALAZIONE DI PRESUNTE CONDOTTE ILLECITE ED IRREGOLARITà
Ai sensi dell’art. 13 del Regolamento (UE) n. 2016/679 (di seguito “Regolamento” o “GDPR”) e di ogni normativa applicabile in riferimento al trattamento dei Dati Personali, questo documento descrive le modalità di trattamento dei Dati Personali forniti al Titolare del trattamento a seguito della segnalazione di presunte condotte illecite ed irregolarità.
La informiamo che il trattamento sarà improntato ai principi di correttezza, liceità, trasparenza, minimizzazione dei dati, esattezza, integrità, e di tutela della Sua riservatezza e dei Suoi diritti.
1. DATI DEL TITOLARE DEL TRATTAMENTO E DEL RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI (RPD/DPO)
1.1. Titolare Del Trattamento
Il Titolare del trattamento dei dati è S.G.S. Società Gestione Servizi s.r.l.u., con sede legale in Via Ferruccio, 4 57025 Piombino (LI) – Tel: 056563111 – C.F./P.I. 01107540492, PEC: sgspiombino@toscanapec.it, sito web: https://www.societagestionefarmacie.it/, in persona del legale rappresentante pro tempore.
1.2. Responsabile Protezione dei Dati (RPD/DPO)
Il responsabile della protezione dei dati è la società QUALIFICA GROUP SRL nella persona del legale rappresentante dott. Enrico Ferrante, contattabile all’indirizzo e-mail: sgsgdpr@qualificagroup.it
2. Categorie di dati personali oggetto di trattamento
Nell’ambito del procedimento di gestione delle segnalazioni di illeciti, ai sensi del D. Lgs. n. 24/2023 in materia di tutela delle persone che segnalano violazioni delle disposizioni normative nazionali (whistleblowing), la S.G.S. Società Gestione Servizi s.r.l.u. tratterà i dati personali del soggetto segnalante, del soggetto segnalato e di persone coinvolte e/o collegate ai fatti oggetto di segnalazione.
Tali dati includeranno dati personali comuni, dati di contatto, dati sulla qualifica professionale ricoperta ed informazioni ulteriori connessi alla condotta illecita riportata.
I dati personali saranno raccolti direttamente presso l’interessato, contenuti nella segnalazione di illeciti e nella documentazione allegata o raccolti nel corso del procedimento di gestione della segnalazione.
3. Finalità e base giuridica del trattamento
Il trattamento in questione comporta il conferimento, tramite compilazione di un form su apposita procedura informatica, dei dati personali di cui al punto precedente.
La predetta piattaforma informatica, basata sul software open source di GlobaLeaks, permette la conservazione dei dati raccolti presso i server della S.G.S. Società Gestione Servizi s.r.l.u. ed è dotata di un protocollo di crittografia che garantisce la separazione dell’identità del segnalante dal contenuto della segnalazione.
Solo ove strettamente necessario ai fini dell’attività di verifica o su istanza degli organi esterni inquirenti, il soggetto Responsabile del ricevimento della segnalazione (o un suo delegato) può, riportando adeguata motivazione, effettuare l’associazione della segnalazione con l’identità del segnalante. In tal eventualità, ad eccezione dei casi in cui sia configurabile una responsabilità a titolo di calunnia e di diffamazione ai sensi delle disposizioni del codice penale o dell’art. 2043 del codice civile e delle ipotesi in cui l’anonimato non sia opponibile per legge (ad esempio, indagini penali da parte della Procura della Repubblica, indagini tributarie o amministrative, ispezioni di organi di controllo), l’identità del segnalante verrà protetta in ogni contesto successivo alla segnalazione e tutti i soggetti riconducibili alla S.G.S. Società Gestione Servizi s.r.l.u. che, eventualmente, ricevono o sono coinvolti nella gestione della segnalazione sono tenuti a tutelare la riservatezza di tale informazione.
La base giuridica del trattamento per le finalità sopra descritte è:
la necessità di adempiere l’obbligo legale di applicare la normativa in materia di whistleblowing a cui la S.G.S. Società Gestione Servizi s.r.l.u. è soggetta (art. 6, par. 1, lett. c), nonché 88 del Regolamento, in relazione al D. Lgs. n. 24/2023);
la necessità di eseguire il compito di interesse pubblico contemplato dall’ordinamento, connesso alla normativa in materia di whistleblowing (art. 6, par. 1, lett. e) del Regolamento);
Si specifica che l’identità del soggetto segnalante, senza il suo espresso consenso, non verrà rivelata a persone diverse da quelle competenti a ricevere o a dare seguito alla segnalazione, espressamente autorizzate a trattare i dati personali.
Tuttavia:
Nelle procedure di segnalazione interna ed esterna, qualora la rivelazione dell’identità del segnalante e delle informazioni di cui all’art. 12, comma 2, del D. Lgs. 24/2023 sia indispensabile anche ai fini della difesa della persona coinvolta, al whistleblower sarà dato avviso mediante comunicazione scritta delle ragioni della rivelazione dei dati riservati;
Nel procedimento penale, l’identità del segnalante sarà coperta dal segreto nei modi e nei limiti previsti dall’articolo 329 c.p.p.;
Nel procedimento dinanzi alla Corte dei Conti l’identità del whistleblower non potrà essere rivelata sino alla chiusura della fase istruttoria;
Nell’ambito del procedimento disciplinare aziendale a carico del segnalato, presunto autore dell’illecito, l’identità del whistleblower non potrà essere rivelata ove la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti ed ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa.
Solo qualora l’identità del segnalante dovesse essere indispensabile per la difesa dell’incolpato – e con espresso consenso del segnalante – potrà essere svelata l’identità del whistleblower. Al ricorrere di tale ipotesi, il Responsabile interno della S.G.S. Società Gestione Servizi s.r.l.u. che riceve la segnalazione, comunica per iscritto le ragioni della rivelazione dei dati riservati. Qualora il whistleblower non acconsenta alla rivelazione della propria identità e ciò sia indispensabile per la difesa del segnalato, la segnalazione non sarà utilizzabile ai fini del procedimento disciplinare nei confronti del presunto autore dell’illecito.
Il conferimento dei dati personali mediante segnalazione ha natura facoltativa.
Tuttavia, il mancato conferimento di essi potrebbe pregiudicare l’istruttoria della segnalazione. Difatti, la S.G.S. Società Gestione Servizi s.r.l.u. prenderà in considerazione la segnalazione anonima quando la stessa verrà ritenuta adeguatamente circostanziata e comunque tale da far emergere fatti e situazioni relazionandoli a contesti determinati, quali ad esempio indicazioni di nominativi di dipendenti, menzione di uffici/aree specifiche, procedimenti amministrativi determinati.
4) Destinatari dei dati personali
I dati personali del soggetto che effettua la segnalazione non saranno diffusi.
Per le finalità descritte al precedente punto 3, con particolare riferimento ai limiti sulla conoscibilità dell’identità del segnalante, i dati personali saranno trattati dai seguenti soggetti, designati autorizzati al trattamento ex art. 2-quaterdecies del d. lgs. 169/2003 e art. 29 del Regolamento:
– Responsabile della prevenzione della corruzione e della trasparenza (RPCT);
– Membri del gruppo di lavoro di supporto al RPCT e/o soggetti da esso espressamente delegati;
– Eventuali altre Unità Organizzative/Aree aziendali di cui il RPCT può avvalersi, ove necessario;
– Responsabile del procedimento disciplinare eventualmente aperto a carico del soggetto segnalato.
La segnalazione e i dati personali potranno essere, inoltre, trasmessi, per i profili di rispettiva competenza secondo quanto previsto dalla legge, ad ANAC, all’Autorità Giudiziaria, alla Corte dei Conti ed altre eventuali autorità pubbliche coinvolte, che tratteranno i dati in qualità di titolari autonomi.
5) Trasferimenti extra UE
I dati personali raccolti e trattati non saranno oggetto di trasferimento verso Paesi non appartenenti allo Spazio Economico Europeo.
6) Modalità di trattamento dei dati personali
Il trattamento dei dati personali del soggetto segnalante, effettuato secondo i principi di correttezza, liceità e trasparenza, avverrà con il supporto di mezzi cartacei, informatici o telematici, in modo da garantirne la sicurezza e la riservatezza, in conformità alle previsioni di legge applicabili, con l’adozione delle necessarie misure di sicurezza, tecniche ed organizzative, volte, tra l’altro, ad impedire a soggetti non autorizzati di risalire all’identità del segnalante.
7) Periodo di conservazione dei dati personali
I dati personali del soggetto segnalante saranno trattati e conservati per tutto il tempo strettamente necessario alla gestione della segnalazione in tutte le sue fasi, all’adozione dei provvedimenti conseguenti ed all’adempimento degli obblighi di legge connessi e, comunque, non oltre il termine di 5 anni dal giorno della segnalazione del fatto o atto illecito, in ossequio al principio di minimizzazione di cui all’articolo 5, comma 1, lett. c), del GDPR cui è tenuto il Titolare.
Ad ogni modo, si specifica che in caso di contenzioso giudiziale, i dati personali del segnalante saranno conservati per tutta la durata del giudizio e, comunque, fino all’espiazione dei termini per la proposizione delle eventuali impugnazioni.
Dopodiché i medesimi dati verranno distrutti o resi anonimi.
8) Diritti dell’interessato
Ai sensi degli articoli dal 15 al 22 del GDPR, il soggetto segnalante, in qualità di interessato, ha il diritto di:
– ottenere da parte della Soc. S.G.S. Società Gestione Servizi s.r.l.u. la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, ottenere l’accesso ai propri dati;
– conoscere le finalità del trattamento, le categorie dei dati in questione, i destinatari o le categorie di destinatari cui i dati sono stati o saranno comunicati, il periodo di conservazione dei dati previsto o i criteri utilizzati per determinare tale periodo;
– chiedere alla S.G.S. Società Gestione Servizi s.r.l.u. la cancellazione dei dati o la limitazione del trattamento dei dati che lo riguardano;
– opporsi al trattamento dei dati, fatto salvo il diritto della S.G.S. Società Gestione Servizi s.r.l.u. di valutare l’istanza eventualmente presentata, che potrebbe non essere accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sugli interessi, sui diritti e sulle libertà del segnalante;
– richiedere la portabilità dei dati, nei casi previsti dalla legge.
Le richieste devono essere rivolte per iscritto al Titolare del Trattamento, ovvero al DPO, ai recapiti indicati al punto n. 1
Si precisa, inoltre, che ai sensi dell’art. 12 del D. Lgs. 24/2023 e dell’art.2-undecies, co.1, lett. f) del D. Lgs 196/2003 e ss.mm.ii., il Titolare garantisce la riservatezza dell’identità del soggetto segnalante.
9) Diritto di proporre reclamo
Infine, laddove il segnalante dovesse ritenere che il trattamento dei propri dati personali sia effettuato in violazione di quanto previsto dal Regolamento (UE) 2016/679, esso potrà esercitare il diritto di proporre reclamo al Garante per la protezione dei dati personali, come previsto dall’art. 77 del medesimo Regolamento o adire l’autorità giudiziaria come previsto dall’art. 79 dello stesso Regolamento, utilizzando la modulistica presente al seguente indirizzo:
– https://www.garanteprivacy.it/home/modulistica-e-servizi-online
Applicativo software (sistema Whistleblowing PA)
ACCEDI
S.G.S. srl – (whistleblowing.it)
….
