Whistleblowing

Informativa sulla protezione dei dati personali

(Ai sensi degli artt. 13 e 14 del Regolamento Europeo 2016/679)

 

Gentili Clienti,

ferme le informative a Voi rese nel corso dei rapporti intercorsi, in osservanza a quanto previsto dall’art. 13 del Regolamento U.E. 2016/679 (il “GDPR”) ed in applicazione dei principi posti dal GDPR medesimo, Vi trasmettiamo la presente informativa al fine di renderVi consapevoli delle caratteristiche e delle modalità di trattamento (il “Trattamento”), da parte nostra, delle informazioni rilasciate nell’ambito delle procedure di segnalazione introdotte dal D. Lgs. 24/2023 (la c.d. “Disciplina Whistleblowing”).

 

  1. Titolare del Trattamento (il “Titolare”)

Il Titolare del Trattamento è la società POINTEX S.P.A. (C.F. 01588340974), con sede in Prato (PO), Via Cecchi n. 30, in persona del legale rappresentante Sig. Angelo Ranaldo.

Tel. +39 055 8979380; Fax. +39 055 8966189; e-mail: info@pointexspa.com; PEC: pointex@pec.it; sito web: www.pointexspa.com

  1. Tipologie dei dati personali (i “Dati Personali”)

La Disciplina Whistleblowing prevede la possibilità di trasmettere segnalazioni circa fenomeni illeciti e condotte pregiudizievoli commesse in danno al Titolare (le “Segnalazioni”).

Le Segnalazioni possono contenere i Dati Personali relativi a tutte le persone fisiche – identificate o identificabili – a vario titolo coinvolte nelle vicende segnalate (gli “Interessati”).

In particolare, i Dati Personali degli Interessati possono rientrare nelle seguenti categorie:

  • dati personali comuni di cui all’art. 4, punto 1, del GDPR, quali: dati anagrafici (ad es. nome, cognome, data e luogo di nascita), dati di contatto (es. numero telefonico fisso e/o mobile, indirizzo postale/e-mail), rapporti con il Titolare, inquadramento professionale, ruolo qualifica/rapporto;
  • “categorie particolari” ai sensi dell’art. 9 GDPR (ovvero quelli “che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”);
  • dati giudiziari relativi a “condanne penali e reati o a connesse misure di sicurezza” ai sensi dell’art. 10 GDPR.

Il ricevimento e la gestione delle Segnalazioni determinano in capo alla Società il Trattamento dei Dati Personali per le Finalità di cui infra.

I Dati Personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (v. infra). I Dati Personali manifestamente non utili alla trattazione di una specifica segnalazione non possono essere raccolti e, in caso di raccolta accidentale, sono prontamente cancellati (art. 13, co. 2 del Decreto), purché sia palese la assoluta irrilevanza della Segnalazione rispetto alla vicenda segnalata, restando salve le norme in materia di conservazione degli atti.

  1. Finalità del Trattamento (le “Finalità”) e base giuridica

I Dati Personali raccolti nell’ambito delle Segnalazioni e/o in atti e documenti a questa allegati, sono strettamente funzionali e necessari per il perseguimento delle seguenti Finalità:

  • attuazione degli obblighi di legge previsti dalla Disciplina Whistleblowing e dalla normativa comunitaria;
  • ricezione, analisi e gestione delle presunte condotte illecite oggetto delle Segnalazioni;
  • svolgimento di attività istruttorie volte a verificare la fondatezza della Segnalazione e adozione di eventuali e conseguenti misure correttive ex 12, comma 1, D.Igs. 24/2023;
  • controllo interno e monitoraggio dei rischi aziendali;
  • difesa e/o accertamento di un diritto in sede giudiziaria o per ulteriori legittimi interessi del Titolare.

La base giuridica del Trattamento è costituita dalle disposizioni che si riportano di seguito:

  • il trattamento dei dati “comuni” si fonda sull’obbligo di legge a cui è soggetto il titolare del trattamento (art. 6, par. 1, lett. c) del GDPR), sul consenso del Segnalante, se prestato, ex art. 6, par. 1, lett. a) del GDPR e sull’interesse legittimo del Titolare ex art. 6 lett. f) GDPR;
  • il trattamento di dati “particolari” si fonda sull’assolvimento di obblighi e sull’esercizio di diritti specifici del Titolare del trattamento e dell’Interessato in materia di diritto del lavoro (art. 9, par. 2, lett. b), GDPR);
  • il trattamento di dati relativi a condanne penali e reati, tenuto conto di quanto disposto dall’art. 10 GDPR, si fonda sull’obbligo di legge a cui è soggetto il Titolare del trattamento (art. 6, par. 1, lett. c), GDPR).
  1. Modalità del Trattamento

Il Trattamento avviene con l’ausilio di strumenti elettronici e/o analogici e, comunque, adottando procedure e misure organizzative e/o informatiche, in forma scritta e orale, idonee a tutelare la sicurezza, la riservatezza, la pertinenza e la non eccedenza dei Dati Personali contenuti nelle Segnalazioni.

  1. Comunicazione dei Dati personali

I Dati Personali sono resi accessibili solo a coloro i quali, all’interno della Società, sono competenti a ricevere o a dare seguito alle Finalità.

In particolare, i Dati Personali possono essere trasmessi ai seguenti soggetti:

  • organo autorizzato alla gestione del canale;
  • consulenti esterni e/o terze parti con funzioni tecniche (ad esempio, il provider della piattaforma IT e le agenzie investigative), che agiscono in qualità di responsabili/sub-responsabili del Trattamento, ai sensi e per gli effetti di cui all’art. 28 GDPR;
  • istituzioni e/o Autorità Pubbliche, Autorità Giudiziarie e Organi di Polizia.

I Dati Personali non sono in alcun modo diffusi o divulgati verso soggetti diversi da quelli sopra individuati.

Tali soggetti sono opportunamente istruiti al fine di evitare la perdita, l’accesso ai dati da parte di soggetti non autorizzati o trattamenti non consentiti dei dati stessi e, più in generale, in relazione agli obblighi in materia di protezione dei Dati Personali.

I Dati Personali vengono trattati garantendone la massima riservatezza e sono deputati alla gestione e valutazione delle Segnalazioni cui tale informativa si riferisce.

L’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità, possono essere rivelate a persone diverse da quelle competenti a ricevere o a dare seguito alle Segnalazioni solo previo consenso espresso della persona segnalante conformemente a quanto previsto dal D. Lgs. n. 24/2023.

Alcuni trattamenti possono essere effettuati da ulteriori soggetti terzi, ai quali il Titolare affida talune attività (o parte di esse) per le finalità di cui all’art. 3); tali soggetti opereranno in qualità di Titolari autonomi o saranno designati responsabili del trattamento.

  1. Diffusione dei Dati Personali

I Dati Personali oggetto del Trattamento non saranno mai pubblicati, esposti o messi a disposizione/consultazione di soggetti indeterminati.

I Dati Personali sono trattati all’interno del territorio dell’Unione Europea e non sono previsti trasferimenti al di fuori dello spazio economico europeo. Qualora, per questioni di natura tecnica e/o operativa, si renda necessario avvalersi di soggetti ubicati al di fuori di detto territorio, saranno nominati responsabili esterni ed il trasferimento dei Dati Personali sarà limitato allo svolgimento di specifiche attività di Trattamento, in conformità con quanto previsto dal GDPR, adottando tutte le cautele necessarie al fine di garantire la totale protezione dei Dati Personali e basando tale trasferimento sulla valutazione di opportune garanzie.

In ogni caso, l’Interessato potrà richiedere maggiori dettagli al Titolare qualora i Dati Personali siano stati trattati al di fuori dell’Unione Europea, richiedendo evidenza delle specifiche garanzie adottate.

  1. Conservazione dei dati

I Dati Personali contenuti nelle Segnalazioni, interne ed esterne, e la relativa documentazione sono conservati per il tempo necessario al perseguimento delle Finalità e, comunque, non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione (ex art. 14 del D. Lgs. 24/2023), nel rispetto degli obblighi di riservatezza di cui all’articolo 12 del D. Lgs. 24/2023 e del principio di cui agli articoli 5, paragrafo 1, lettera e), del regolamento (UE) 2016/679.

Al fine di gestire eventuali contestazioni o contenziosi, e comunque per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, i Dati Personali potranno essere conservati per un ulteriore periodo, pari a quello di prescrizione del diritto medesimo.

  1. Diritti dell’Interessato

Il Regolamento UE 2016/679 (artt. 15-22) conferisce al segnalante e/o alla/e persona/e coinvolta/e nella segnalazione l’esercizio dei diritti riconosciutigli dal GDPR (i “Diritti”), ed in particolare:

  • diritto di accesso: l’Interessato ha il diritto di accedere ai propri Dati Personali e ai relativi Trattamenti. Tale diritto consiste nella possibilità di ottenere la conferma se sia o meno in corso un Trattamento dei propri Dati Personali, ovvero nella possibilità di richiedere e ricevere una copia dei dati oggetto di Trattamento e ogni chiarimento necessario circa le informazioni di cui alla presente informativa;
  • diritto di rettifica: l’Interessato ha il diritto di ottenere dal Titolare la rettifica dei Dati Personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle Finalità, l’Interessato ha il diritto di ottenere l’integrazione dei Dati Personali incompleti, anche fornendo una dichiarazione integrativa;
  • diritto di cancellazione («diritto all’oblio»): l’Interessato ha il diritto di richiedere al Titolare che siano cancellati e non più sottoposti a Trattamento i Dati Personali che lo riguardano e in alcuni casi, ove ve ne siano gli estremi, di ottenere la cancellazione senza ingiustificato ritardo quando è esaurita la finalità del Trattamento, è stato revocato il consenso, è stata fatta opposizione al Trattamento o quando il Trattamento dei Dati Personali non sia altrimenti conforme al GDPR;
  • diritto di limitazione di Trattamento: l’Interessato ha il diritto di limitare il Trattamento dei propri Dati Personali in caso di inesattezze, di contestazione o come misura alternativa alla cancellazione;
  • diritto di opposizione: l’Interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al Trattamento dei Dati Personali che lo riguardano, salvo che vi siano motivi legittimi per procedere al Trattamento che prevalgano sui suoi (per esempio: l’esercizio o la difesa in sede giudiziaria);
  • diritto alla portabilità dei dati: l’Interessato, ad eccezione dell’ipotesi in cui i dati siano archiviati mediante trattamenti non automatizzati (es. in formato cartaceo), ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i Dati Personali che lo riguardano, ove si faccia riferimento a dati forniti direttamente dall’Interessato, con espresso consenso o sulla base di un contratto, e di richiedere che gli stessi siano trasmessi a un altro titolare del trattamento, se tecnicamente fattibile.

Nei casi in cui il Trattamento debba avvenire solo a seguito di consenso dell’Interessato e quest’ultimo lo abbia fornito, egli ha il diritto di revocare il consenso prestato in qualsiasi momento mediante invio di richiesta scritta al Titolare ai recapiti sopra indicati. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prestato prima della revoca.

Il termine per la risposta all’Interessato è, per tutti i Diritti (compreso il diritto di accesso) ed anche in caso di diniego, 1 mese, estendibile fino a 3 mesi in casi di particolare complessità.

Inoltre, l’Interessato ha diritto di proporre reclamo, qualora ritenga che i suoi Diritti siano stati violati, nei confronti dell’Autorità di Controllo, che in Italia è il Garante per la Protezione dei Dati Personali. Ai sensi dell’articolo 2-undecies del D.lgs. n. 196/2003 e s.m.i. ed in attuazione dell’articolo 23 del Regolamento e dell’art. 13, comma 2, del D. Lgs. 24/2023, i Diritti possono essere limitati qualora dall’esercizio degli stessi possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità della persona segnalante.

In particolare, l’esercizio dei Diritti è esercitabile solo in conformità alle disposizioni di legge che regolano il settore (D.lgs. 24/2023) e potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’Interessato, al fine di salvaguardare la riservatezza dell’identità della persona segnalante.