La presente informativa è destinata agli autori di segnalazioni, alle persone fisiche che assistono il segnalante nel processo di segnalazione (c.d. facilitatori) ed infine alle persone fisiche, a cui il contenuto informativo della segnalazione può fare riferimento, in qualità di soggetti coinvolti a vario titolo nelle vicende segnalate.

Le segnalazioni e i relativi dati personali sono gestiti da [INSERIRE GESTORE DELLE SEGNALAZIONI] [Se la gestione è affidata ad un collegio: (inteso nella sua interezza e nei suoi singoli componenti) della società [NOME AZIENDA].

A tal fine il Titolare del trattamento informa, ai sensi degli artt. 13 e 14 del Regolamento Generale sulla Protezione dei Dati EU 2016/679 (nel seguito anche “GDPR”), che i dati personali acquisiti nell’ambito della procedura di gestione delle segnalazioni, verranno trattati con le modalità e per le finalità che seguono.

Titolare del trattamento e contatti.         

Il titolare del trattamento è la società [NOME AZIENDA] con sede in ______________________________.

[INSERIRE RIFERIMENTI DPO SE PRESENTE]

Dati trattati

Potranno essere oggetto di trattamento le seguenti tipologie di dati personali:

• dati identificativi e di contatto del segnalante;
• dati identificativi delle persone coinvolte nella segnalazione, informazioni e dati relativi alle violazioni segnalate, compresi eventuali dati personali relativi a categorie particolari o riferiti a condanne penali e reati;
• ogni altra informazione riferita al segnalante, alle persone coinvolte nella segnalazione a eventuali altri soggetti terzi, che il segnalante decide di condividere per meglio descrivere la sospetta violazione;
• dati identificativi, di contatto e relativi all'account di accesso alla piattaforma informatica dei soggetti preposti alla gestione delle segnalazioni.

Origine dei dati e natura del conferimento      

I dati personali oggetto di trattamento sono quelli forniti dal segnalante e quelli eventualmente raccolti in modo autonomo nel corso delle attività istruttoria, necessari ad accertare le circostanze oggetto della segnalazione.

Il conferimento dei dati è necessario e funzionale alla gestione delle segnalazioni ricevute nelle forme e modalità descritte nella "Procedura [INSERIRE RIFERIMENTI PROCEDURA WHISTLEBLOWING]" (nel seguito anche solo “Procedura”).

Finalità del trattamento

I dati personali saranno raccolti e trattati per finalità connesse alla gestione di segnalazioni di violazioni riguardanti: i) normativa nazionale ed europea relativa ai settori e agli interessi rilevanti per l’Unione; [Se l’Azienda ha adottato un mog 231: ii) violazioni rilevanti ai sensi della disciplina D. Lgs. 231/2001 o violazioni dei modelli organizzativi; iii) ulteriori illeciti civili, amministrativi e contabili contemplati dalla normativa nazionale; con le modalità e gli strumenti descritti nella Procedura.

Base giuridica   

La base giuridica è l’adempimento ad un obbligo legale al quale è soggetto il titolare (art. 6 – par. 1 lett. c) in applicazione del D. Lgs. 24/2023 [Se l’Azienda ha adottato un mog 231: nonché del D.lgs. 231/2001 (modello di organizzazione e gestione e codice etico).

Tempi di conservazione

Le segnalazioni e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza della persona segnalante.

I dati personali che manifestamente non sono utili alla valutazione della segnalazione saranno immediatamente cancellati.

Destinatari dei dati personali    

I dati personali saranno trattati da [INSERIRE GESTORE DELLE SEGNALAZIONI] della [NOME AZIENDA], in conformità a quanto previsto dalla vigente normativa in materia e dalla Procedura di gestione delle segnalazioni adottata dalla Società, è tenuto a garantire la riservatezza dell’identità del segnalante e delle informazioni di cui sono venuti a conoscenza.

L’identità del segnalante o qualsiasi altra informazione da cui possa evincersi direttamente o indirettamente tale identità, possono essere rivelate solo con il consenso espresso della stessa persona segnalante.

Laddove si renda necessario per esigenze connesse alle attività istruttorie, alcune informazioni connesse alla segnalazione potranno essere trattate da:

• altre funzioni delle Società alle quali sono state fornite specifiche istruzioni;
• società di consulenza, di auditing/revisione o soggetti che svolgono servizi strumentali alle finalità sopra indicate, limitatamente alle informazioni necessarie per le funzioni loro attribuite.

La piattaforma informatica per la gestione delle segnalazioni è gestita dalla società Net Patrol Italia S.r.l., con sede in 20124 Milano, Via Napo Torriani n. 31, designata quale responsabile del trattamento. Il sistema di cifratura della piattaforma non permette l’accesso del responsabile all’identità del segnalante o al contenuto delle segnalazioni.

Infine, alcuni dati potranno essere trasmessi, nei casi previsti, all’Autorità Giudiziaria e/o alle Autorità competenti.

Diritti dell’interessato  

Relativamente ai dati medesimi, gli Interessati possono esercitare, nei casi previsti, i diritti di cui al CAPO III del Regolamento UE 2016/679 (GDPR).

In particolare, il segnalante può esercitare il diritto di accesso ai propri dati, di rettifica o integrazione, di cancellazione e di limitazione del trattamento con le stesse modalità in cui ha effettuato la segnalazione.

Il segnalante ha inoltre diritto di proporre reclamo ad una delle autorità di controllo competenti per il rispetto delle norme in materia di protezione dei dati personali, se ritiene che il trattamento dei suoi dati personali sia stato svolto in maniera illegittima (art. 77 del GDPR). In Italia, il reclamo può essere presentato al Garante per la Protezione dei Dati Personali.

Si informa che l’esercizio dei suddetti diritti da parte degli altri soggetti interessati, quali il segnalato o altre persone coinvolte, può essere ritardato, limitato o escluso qualora tale esercizio possa comportare un pregiudizio effettivo e concreto alla riservatezza dell'identità del segnalante come previsto dall’ articolo 2-undecies, lett. f del Codice Privacy (in attuazione dell'articolo 23 del GDPR). In tali casi, i suddetti diritti possono essere esercitati tramite il Garante per la Protezione dei dati personali, con le modalità di cui all'articolo 160 del Codice Privacy.