INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI PER LA GESTIONE DELLE SEGNAZIONI DI ILLECITO
- WHISTLEBLOWING -
Informativa resa ai sensi degli artt. 13 e 14 del Regolamento UE 679/2016 (GDPR) sul trattamento dei dati personali relativi alle persone fisiche
Con la presente informativa, ZEUS IBA S.r.l. (di seguito anche “la Società”) fornisce informazioni relative al trattamento dei dati personali del soggetto interessato che effettua una segnalazione (di seguito, “il Segnalante”) e degli altri soggetti interessati, menzionati o coinvolti nella segnalazione stessa, tra cui i potenziali responsabili degli illeciti oggetto di segnalazione (di seguito, “il Segnalato”). Il trattamento sarà improntato ai principi di correttezza, liceità, trasparenza e tutela della riservatezza.
TITOLARE DEL TRATTAMENTO
Titolare del trattamento è ZEUS IBA S.r.l., in persona del rappresentante legale p.t., sede legale in Via Bibbiena n. 12/14 - 50142, Firenze (FI) - P.IVA 06617940488 – e-mail: infomail@zeusiba.it.
FONTE DEI DATI TRATTATI
Le informazioni possono essere fornite:
- nella segnalazione, dal Segnalante;
- nel corso delle necessarie attività istruttorie (a titolo esemplificativo, da fonti pubbliche, terzi intervistati, etc.);
- durante il processo di gestione della segnalazione;
- attraverso log di traffico sulle connessioni alla piattaforma di segnalazione registrati sui sistemi aziendali della Società.
Per garantire un anonimato totale al Segnalante, si raccomanda di effettuare la segnalazione da un dispositivo personale tramite rete privata non aziendale.
TIPOLOGIA DEI DATI TRATTATI
- Qualora il Segnalante non decida di conservare l’anonimato possono essere trattati dati personali allo stesso riferibili, nello specifico:
- dati anagrafici;
- dati di contatto;
- eventuali dati di natura particolare ai sensi dell’art. 9 GDPR, in quanto idonei a rivelare uno stato generale di salute (assenze per malattia, maternità, infortunio, etc.), l'idoneità allo svolgimento di specifiche mansioni, l’adesione ad un sindacato e/o ad un partito politico, la titolarità di cariche pubbliche elettive, le convinzioni religiose ecc.;
- eventuali dati c.d. giudiziari ai sensi dell’art. 10 GDPR, in quanto relativi a condanne penali e a reati o a connesse misure di sicurezza;
- qualsiasi dato personale contenuto nell’oggetto della segnalazione.
- A seguito della segnalazione possono essere trattati dati personali riferiti a terzi soggetti (potenziali autori di un illecito o di una irregolarità che rientrano tra quelle segnalabili o soggetti informati sui fatti), nello specifico:
- dati anagrafici;
- dati di contatto;
- eventuali dati di natura particolare ai sensi dell’art. 9 GDPR, in quanto idonei a rivelare uno stato generale di salute (assenze per malattia, maternità, infortunio, etc.), l'idoneità allo svolgimento di specifiche mansioni, l’adesione ad un sindacato e/o ad un partito politico, la titolarità di cariche pubbliche elettive, le convinzioni religiose ecc.;
- eventuali dati c.d. giudiziari ai sensi dell’art. 10 GDPR, in quanto relativi a condanne penali e a reati o a connesse misure di sicurezza;
- qualsiasi dato personale contenuto nell’oggetto della segnalazione.
- I dati personali che dovessero emergere dalle successive attività istruttorie;
- Log di traffico riguardanti le connessioni alla piattaforma di segnalazione registrati sui sistemi aziendali (In generale, i log sono file che registrano – e quindi permettono di ricostruire – l’intera “storia” delle operazioni effettuate da un utente o da una macchina. Tramite i log, infatti, vengono registrate tutte le operazioni, in ordine cronologico, svolte nel normale utilizzo di un software, di un applicativo o più semplicemente di un computer. Il log registra anche tutte le operazioni che un computer svolge in autonomia, senza necessità di intervento umano. La gestione dei log a livello aziendale permette di monitorare una serie di attività, tra cui gli accessi al sistema effettuati in un dato lasso temporale (anche quelli fuori dall’orario di lavoro, quelli non andati a buon fine o quelli tramite VPN), le transazioni fallite, eventuali anomalie (sia software che hardware) e possibili minacce malware. Tali informazioni sono necessarie per comprendere lo stato della sicurezza informatica aziendale: sia in caso di normale funzionamento della macchina ma, soprattutto, in caso di errori e problemi, come eventuali attacchi hacker, permettendo così alla funzione IT di indagarne le cause e trovare una risoluzione, evitando o bloccando tempestivamente situazioni pregiudizievoli.).
Saranno acquisiti i soli dati personali strettamente necessari e pertinenti al raggiungimento delle finalità di seguito indicate, nel rispetto del principio di minimizzazione di cui all’art. 5, comma 1, lett. c) GDPR.
FINALITÀ E BASI GIURIDICHE DEL TRATTAMENTO
Il Titolare tratterà i dati personali suindicati:
- al fine di gestire e dare diligente seguito alle segnalazioni ricevute, ivi incluse le attività di accertamento e le indagini interne legate alla verifica delle condotte oggetto di segnalazione e l’instaurazione di procedimenti, anche disciplinari, nei limiti di quanto richiesto dalle norme applicabili. Inoltre, i dati personali potranno essere trattati per dare seguito a richieste da parte dell’autorità amministrativa o giudiziaria competente e, più in generale, dei soggetti pubblici nel rispetto delle formalità di legge. I dati saranno trattati, altresì, per prevenire e contrastare efficacemente comportamenti fraudolenti e condotte illecite o irregolari.
Pertanto, la base giuridica che giustifica la liceità del trattamento è rappresentata dalla necessità di adempiere ad obblighi di legge e di eseguire compiti di interesse pubblico cui è sottoposto il Titolare del trattamento e disposizioni di Autorità legittimate dalla legge [art. 6, par. 1, lett. c) ed e); art. 9, par. 2, lett. b) e g); art. 10 GDPR].
Un eventuale disvelamento dell’identità del soggetto Segnalante a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni o comunque autorizzate avverrà con il consenso espresso del Segnalante [art. 6, par. 1, lett. a) GDPR].
- al fine di: i) soddisfare esigenze di controllo interno del Titolare e di monitoraggio dei rischi aziendali, nonché per l’ottimizzazione e l’efficientamento dei processi gestionali aziendali e amministrativi interni; ii) accertare, esercitare o difendere un diritto o un interesse legittimo del Titolare in ogni sede competente a garanzia dell’esercizio del diritto di difesa ex art. 24 della Costituzione; iii) gestire la sicurezza informatica e tutelare il patrimonio e la sicurezza dei dati, l’assistenza degli utenti e la manutenzione dei sistemi di sicurezza e protezione perimetrale dei log di traffico riguardanti le connessioni alla Piattaforma di whistleblowing registrati sui sistemi aziendali.
Pertanto, la base giuridica che giustifica la liceità del trattamento è rappresentata dalla necessità di perseguire un legittimo interesse del Titolare [art. 6, par. 1, lett. f) GDPR].
MODALITA’ DI TRATTAMENTO
Le informazioni come sopra individuate vengono trattate da soggetti appositamente autorizzati e adeguatamente formati.
La raccolta dei dati avviene con modalità informatiche, mediante l’apposita Piattaforma di segnalazione secondo quanto definito nella Policy Whistleblowing, in modo da garantire la riservatezza dei segnalanti e degli eventuali altri soggetti coinvolti e la confidenzialità delle informazioni presenti all’interno delle segnalazioni.
DESTINATARI E AMBITO DI COMUNICAZIONE DEI DATI
Possono venire a conoscenza dei dati personali raccolti altri soggetti il cui coinvolgimento sia necessario per compiere le dovute attività istruttorie, volte a verificare la fondatezza del fatto oggetto della segnalazione, nonché l’adozione di eventuali provvedimenti. In tal caso, saranno coinvolti soggetti specificamente istruiti e autorizzati a compiere operazioni di trattamento, quali a titolo esemplificativo consulenti esterni, responsabili dell’area in cui opera il Segnalato, Ufficio IT.
Si ricorda che le informazioni e i dati raccolti potranno essere trasmessi alle Autorità competenti.
Un eventuale disvelamento dell’identità del soggetto Segnalante a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni o comunque autorizzate avverrà con il consenso espresso del Segnalante.
L’elenco dei soggetti terzi incaricati in qualità di Responsabili del trattamento (ai sensi dell’art. 28 GDPR) per la fornitura di servizi esternalizzati dal Titolare (servizi informatici, sviluppo e manutenzione della Piattaforma dedicata, servizi di comunicazione ecc.) è disponibile previa richiesta. Tali soggetti terzi tratteranno i dati personali nei limiti dell’attività svolta e secondo le istruzioni del Titolare.
NATURA OBBLIGATORIA DEL CONFERIMENTO E CONSEGUENZA DI EVENTUALI RIFIUTI
Al fine di effettuare una segnalazione, il conferimento di dati personali è facoltativo; tuttavia, se conferiti, in taluni casi può rendersi necessario un loro utilizzo da parte del personale autorizzato per il perseguimento delle suddette finalità. Il mancato conferimento dei dati necessari a dare seguito alla segnalazione impedirà l’esecuzione delle attività.
TRASFERIMENTO DATI ALL‘ESTERO
Il Titolare del trattamento non trasferisce i dati personali in Paesi terzi. Nel caso in cui si rendesse necessario un trasferimento di dati extra UE, la Società verificherà che i fornitori prestino garanzie adeguate, così come previsto dagli artt. 44 e seguenti GDPR.
TEMPI DI CONSERVAZIONE DEI DATI
I dati personali raccolti saranno conservati per il tempo strettamente necessario ad espletare le finalità già indicate nei precedenti paragrafi e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della segnalazione, salvo il caso in cui una conservazione ulteriore si renda necessaria in virtù di obblighi previsti dalla legge (ad esempio, qualora sia in corso un procedimento giudiziario o disciplinare, fino alla conclusione dello stesso). Il Titolare, giunto tale termine, provvederà alla cancellazione dei dati personali.
DIRITTI DELL’INTERESSATO
Il Titolare informa gli interessati che, in via generale e previa prova della propria identità, possono esercitare i diritti di cui agli artt. 15 e ss. GDPR, in particolare: i) diritto di accesso; ii) diritto di rettifica; iii) diritto alla cancellazione; iv) diritto alla limitazione del trattamento; v) diritto di opposizione; vi) diritto di non essere sottoposto a processo decisionale automatizzato; vii) revoca del consenso. L’esercizio dei diritti può avvenire contattando il Titolare attraverso l’invio di una richiesta all’indirizzo e-mail infomail@zeusiba.it.
Nel caso di specie, tuttavia, ai sensi degli artt. 2-undecies e 2-duodecies del d.lgs. 196/2003 “Codice Privacy”, il Titolare si riserva la facoltà di limitare o ritardare l’esercizio di tali diritti, nei limiti di quanto stabilito dalle disposizioni di legge applicabili, in particolare laddove sussista il rischio che possa derivare un pregiudizio effettivo, concreto e non altrimenti giustificato alla riservatezza dell’identità del Segnalante e che si possa compromettere la capacità di verificare efficacemente la fondatezza della segnalazione o di raccogliere prove necessarie.
In particolare, l’esercizio di tali diritti:
- sarà possibile conformemente alle disposizioni di legge o di regolamento che regolano il settore (tra cui il d.lgs. 231/2001 e ss.mm.ii.);
- potrà essere ritardato, limitato o escluso con comunicazione motivata e senza ritardo all’interessato, a meno che la comunicazione possa compromettere le finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare la riservatezza dell’identità del Segnalante.
Gli interessati hanno, inoltre, diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali.
Ultimo aggiornamento: 07.11.2023