Mod.: IWB-EXT_Informativa privacy WB ESTESA – Data Agg. 12/2023
Informativa sul trattamento dei dati personali.
Premessa
KIOENE S.p.a. a Socio Unico con sede in Via Caltana 55 – 35010 Villanova di Camposampiero (PD), C.F. .e P. IVA 01359600283, ha predisposto la presente informativa sul trattamento dei dati personali (“informativa”) ai sensi degli artt. 13 e 14 del Regolamento (UE) 679/2016 (“GDPR”), in conseguenza dell’adeguamento agli obblighi derivanti dal decreto legislativo 10 marzo 2023, n. 24 (“decreto whistleblowing”), di attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019 (“direttiva whistleblowing”), riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali.
L’informativa è conforme alla raccomandazione n. 2/2001 che le Autorità Europee per la Protezione dei Dati Personali, riunite nel Gruppo istituito dall’art. 29 della direttiva 95/46/CE, hanno adottato il 17 maggio 2001 per individuare alcuni requisiti minimi per la raccolta di dati personali online e, in particolare, le modalità, i tempi e la natura delle informazioni che i titolari del trattamento devono fornire agli utenti quando questi si collegano a pagine web.
Scopo dell’informativa
L’informativa descrive le modalità attraverso le quali la Società tratta i dati personali acquisiti durante il processo di segnalazione di un atto, fatto o comportamento compresi nel perimetro applicativo del decreto whistleblowing (“segnalazione” o, al plurale, “segnalazioni”).
Il processo, in sintesi, è avviato dalla segnalazione, prosegue – previa verifica della sua ammissibilità – con l’istruttoria e termina: (i) ove la segnalazione sia ritenuta fondata, con la trasmissione, da parte del responsabile della gestione dei canali di segnalazione (“Gestore delle segnalazioni o, brevemente, Gestore”) di una relazione conclusiva all’organo competente all’adozione di eventuali provvedimenti, individuato dalla specifica procedura adottata dalla Società (“procedura whistleblowing”); (ii) ove la segnalazione sia ritenuta infondata, con l’archiviazione.
La Società ha previsto che le segnalazioni – in forma scritta – siano inviate attraverso la piattaforma informatica messa a disposizione dalla Società (“Piattaforma WB”), che garantisce, attraverso il ricorso a strumenti di crittografia, la riservatezza della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione. Attraverso lo stesso mezzo il segnalante può richiedere al Gestore un incontro diretto per formalizzare oralmente la segnalazione.
I dati personali trattati sono quelli inseriti dagli utenti che si collegano alla piattaforma informatica, ovvero quelli di coloro che effettuano una segnalazione in forma orale, nonché quelli dei soggetti coinvolti nella gestione della segnalazione.
Quali sono i soggetti interessati al trattamento?
I soggetti interessati al trattamento sono quelli coinvolti nel processo di segnalazione regolamentato dalla Procedura whistleblowing in conformità al decreto whistleblowing, ovverosia:
Quali dati personali sono trattati?
A seconda dell’oggetto e del contenuto della segnalazione e degli eventuali allegati, e delle necessità conseguenti alla sua gestione, il Titolare del trattamento può trattare sia i dati comuni (ad esempio dati identificativi, mansione svolta, di natura professionale, oppure dati di contatto, di natura professionale o corrispondenti ad altri elementi di identificazione personale conferiti dal segnalante riguardo lui stesso o relativi a terzi) che quelli di natura particolare (art. 9 GDPR) e/o relativi a condanne penali e reati (art. 10 GDPR) dei soggetti indicati al precedente paragrafo.
Nell’ambito della gestione della segnalazione, la Società potrebbe trattare alcune categorie particolari di dati personali forniti sulla piattaforma informatica, ossia – a titolo meramente esemplificativo – dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Per quale finalità sono raccolti i dati?
I dati personali forniti dal segnalante sono trattati per svolgere le necessarie attività istruttorie volte a verificare la fondatezza della segnalazione e consentire l’eventuale adozione dei conseguenti provvedimenti, ed in particolare per:
Quali sono le basi giuridiche del trattamento e le condizioni di esenzione?
Il trattamento dei dati personali può essere validamente effettato quando è presente una delle basi giuridiche previste dal GDPR.
Nello specifico, il trattamento dei dati personali comuni è fondato sull’art. 6, paragrafo 1, GDPR, ed in particolare sulle lettere a (consenso), b (esecuzione di un contratto), c (adempimento di un obbligo legale cui è soggetto il Titolare del trattamento), ed f (interesse legittimo, derivante dalle finalità difensive).
Il trattamento dei dati particolari (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici o biometrici, dati relativi alla salute, alla vita o all’orientamento sessuale) si basa sulle condizioni di esenzione previste dall’art. 9, paragrafo 2, GDPR, lettere f (trattamento necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali) e g (trattamento necessario per l’assolvimento di un interesse pubblico rilevante secondo il diritto dell’Unione europea o dello Stato membro, interesse che l’art. 2-sexies, comma 2, lettera d, del Codice privacy individua nelle attività di accertamento della responsabilità civile, disciplinare e contabile e nelle attività ispettive).
Il rilascio del consenso è facoltativo e specifico rispetto ai casi indicati nel decreto whistleblowing: pertanto
la sua mancanza non pregiudica, a seconda della forma di segnalazione prescelta (scritta od orale), l’effettuazione della segnalazione.
L’interessato potrà, in ogni momento, revocare il consenso prestato inviando una comunicazione al Gestore, ferma restando la liceità del trattamento avvenuto sulla sua base fino al momento della revoca.
È obbligatorio conferire i dati? Quali sono le conseguenze di un eventuale rifiuto?
Poiché le sospette violazioni possono essere segnalate anche in forma anonima, i soggetti che le trasmettono non sono tenuti al rilascio dei propri dati identificativi.
L’indicazione dei dati personali degli altri soggetti coinvolti nella segnalazione (responsabile della violazione, persone informate sui fatti, ecc.), potrebbe essere necessaria al fine di poter dare diligente seguito e riscontro alla segnalazione, ed in mancanza l’istruttoria potrebbe non aver seguito.
Tali dati, sia di natura comune che particolare, saranno trattati conformemente ai principi del GDPR per poter verificare il contenuto della segnalazione.
Quali sono i casi in cui è richiesto il consenso?
Il decreto whistleblowing richiede il consenso facoltativo del segnalante nei seguenti casi:
La revoca del consenso lascia impregiudicata la liceità del trattamento avvenuto sulla sua base fino al momento della revoca stessa.
Come sono trattati i dati personali?
I dati saranno trattati sia con strumenti informatici/elettronici (la piattaforma e i supporti di memorizzazione dei messaggi vocali e delle segnalazioni orali) che mediante supporti cartacei, nel rispetto dei principi di correttezza, liceità, trasparenza, pertinenza, completezza, esattezza e minimizzazione.
Al fine di garantirne la sicurezza, la riservatezza e ad evitare accessi non autorizzati, diffusione, modifiche e sottrazioni, sono utilizzate adeguate misure di sicurezza tecniche, fisiche ed organizzative.
I dati personali non saranno soggetti ad alcun processo decisionale interamente automatizzato, ivi compresa la profilazione.
Come sono protetti i dati?
Al fine di garantire un adeguato livello di protezione dei dati, minimizzando il rischio di un utilizzo improprio o illecito, sono state adottate misure tecniche ed organizzative di sicurezza che rispettano i parametri stabiliti dall’art. 32 del GDPR. In particolare, sono utilizzate misure e controlli tecnici e organizzativi commercialmente ragionevoli per proteggere le informazioni personali degli interessati da perdite, abusi e da accessi non autorizzati.
La piattaforma informatica utilizzata per le segnalazioni è stata disegnata in conformità alla direttiva whistleblowing, nel rispetto dei princìpi fondamentali del GDPR (ed in particolare quello di privacy by design e by default), essa prevede la completa crittografia dei dati e audit periodici di sicurezza.
A chi vengono comunicati i dati?
I dati personali non sono oggetto di diffusione, ovverosia non vengono portati a conoscenza di soggetti indeterminati.
Alcuni dati potranno essere invece portati a conoscenza di uno o più soggetti determinati per le finalità sopra indicate ed in particolare a:
I dati possono essere trasferiti fuori dallo Spazio Economico Europeo (SEE)?
La piattaforma informatica è ospitata si server del provider di servizi di cloud computing ubicati in Europa. I fornitori di servizi sono stati nominati espressamente quali responsabili o sub responsabili del Trattamento dei dati personali, con obbligo di garantire il rispetto della normativa prevista dal GDPR.
Per quanto tempo sono conservati i dati?
Le segnalazioni e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale del procedimento di segnalazione, nel rispetto degli obblighi di riservatezza, sottoposti a esame periodico per verificarne la persistente necessità di conservazione e cancellati, o anonimizzati, una volta decorso tale termine.
La conservazione è finalizzata al solo scopo di consentire alla Società di difendersi (ad esempio da una denuncia di applicazione di misura ritorsiva) o per dare seguito all’eventuale richiesta di un’autorità legittimata ad ottenerli.
Quali sono i diritti riconosciuti e come possono essere esercitati?
Il GDPR prevede che l’interessato, in ogni momento ed in maniera gratuita, possa esercitare nei confronti del titolare del trattamento.
Il decreto whistleblowing prevede tuttavia che i diritti previsti dagli articoli da 15 a 22 del GDPR possono
essere esercitati nei limiti di quanto previsto dall’art. 2-undecies del Codice privacy, ovvero nella misura in cui dalla richiesta o dal reclamo non derivi un pregiudizio effettivo e concreto alla riservatezza dell’identità della persona segnalante
I diritti esercitabili dall’interessato e riconosciuti, entro i limiti summenzionati, dall’ordinamento sono i seguenti:
Per l’esercizio dei diritti dovranno essere utilizzati i contatti privacy. Nel caso in cui l’interessato dovesse ritenere che il trattamento dei dati personali avvenga in violazione delle disposizioni normative ha facoltà di proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali.
Potrebbero esserci condizioni o limitazioni ai diritti dell’interessato. Non è quindi certo che, ad esempio, si abbia il diritto di portabilità dei dati in tutti i casi, ciò dipende dalle circostanze specifiche dell'attività di elaborazione.
Come può contattarci?
Di seguito le forniamo alcune informazioni che è necessario portare alla sua conoscenza, non solo per ottemperare agli obblighi di Legge, ma anche perché la trasparenza e la correttezza nei confronti della nostra clientela è parte fondante della nostra attività.
Come sono gestite le modifiche dell’informativa?
L’informativa potrà essere modificata e/o aggiornata in qualunque momento da parte della Società (vedere numero di versione nella prima riga del presente documento).
Eventuali modifiche o aggiornamenti saranno rese note agli interessati non appena adottate e saranno vincolanti dal momento della pubblicazione sui canali previsti dalla scrivente.
L’informativa è sempre disponibile e messa a disposizione degli interessati sul sito WEB aziendale.
Come può contattarci?
Per qualunque domanda o questione relativa al trattamento dei dati personali o per l’esercizio dei diritti riconosciuti l’interessato potrà utilizzare i seguenti dati di contatto:
Titolare del trattamento. Il Titolare del Trattamento dei suoi dati personali è KIOENE S.p.A. a Socio Unico, con sede in Via Caltana 55 – 35010 Villanova di Camposampiero (PD), C.F. .e P. IVA 01359600283, responsabile nei suoi confronti del legittimo e corretto uso dei suoi dati personali e che potrà contattare per qualsiasi informazione o richiesta ai seguenti recapiti: telefono +39 049 9222311, e-mail: info@kioene.com – PEC: kioenespa@pec.it.
D.P.O. (Data Protection Officer) – R.P.D. (Responsabile delle Protezione dei Dati). Potrà inoltre rivolgersi al Responsabile della Protezione dei Dati per avere informazioni e inoltrare richieste circa i suoi dati o per segnalare disservizi o qualsiasi problema eventualmente riscontrato e che potrà contattare al seguente indirizzo e-mail: privacy@kioene.com.