Standard di Piattaforma.
INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI ai sensi del regolamento 679/2016/UE (“GDPR”)
Il presente sito internet (in avanti “Piattaforma”) viene impiegato dal Titolare, come meglio di seguito definito, per la ricezione e gestione delle segnalazioni di cui al d.lgs. 24/2023 (cd. “Decreto Whistleblowing”) e ss.mm.ii., costituendo a tali fini un cd. “canale di segnalazione interna” predisposto dal Titolare in favore dei segnalanti, ai sensi dell’art. 4 del citato decreto. Sono oggetto di segnalazione (a) le informazioni, compresi i fondati sospetti, riguardanti gli illeciti ed i fatti meglio specificati all’art. 1 del Decreto Whistleblowing, commessi o che, sulla base di elementi concreti, potrebbero essere commessi nell’organizzazione con cui il segnalante intrattiene un rapporto giuridico qualificato, nonché (b) gli elementi riguardanti condotte volte ad occultare tali violazioni.
Oltre al presente canale di segnalazione interna il segnalante, al ricorrere delle condizioni di cui all’art. 6 del Decreto Whistleblowing ha la possibilità di fruire del cd. “canale esterno di segnalazione” (maggiori informazioni alla seguente pagina: https://www.anticorruzione.it/-/whistleblowing), nonché di sporgere denuncia all’autorità giudiziaria o contabile, beneficiando delle misure di protezione di cui agli artt. 16 e ss. del Decreto Whistleblowing sempreché ricorrano i presupposti ivi indicati.
Per trasmettere una segnalazione attraverso la Piattaforma e successivamente monitorarne lo stato di avanzamento il segnalante è tenuto, innanzitutto, a compilare un apposito form. Una volta completata la compilazione, le informazioni fornite vengono acquisite per il successivo processo di presa in carico e gestione della segnalazione. L’u.r.l. per accedere a questa funzionalità è di natura pubblica. Il modulo di inserimento è suddiviso in sei sezioni, ognuna delle quali deve essere compilata in successione per garantire una corretta registrazione della segnalazione. Le sezioni del modulo di inserimento dettagliate sono le seguenti:
1. tipologia di condotta illecita: in questa sezione, il segnalante deve identificare la tipologia di condotta illecita che ha portato alla segnalazione. È possibile selezionare una sola opzione da un elenco fornito, oppure è possibile selezionare l’opzione “altro” e inserire manualmente la descrizione della tipologia desiderata. Questa sezione è obbligatoria;
2. descrizione dei fatti: qui, il segnalante è tenuto a fornire una dettagliata descrizione di quanto è accaduto. È anche possibile inserire informazioni su persone e/o enti coinvolti nei fatti. Questa sezione è obbligatoria;
3. periodo: la sezione richiede al segnalante di specificare il periodo in cui si è verificato l'evento segnalato. Il periodo è definito da una data di inizio (obbligatoria) e, se applicabile, una data di fine (obbligatoria solo se l'evento non è più in corso);
4. soggetti informati: qui, il segnalante ha la possibilità di indicare altre persone o enti che potrebbero essere a conoscenza degli avvenimenti segnalati. È inoltre possibile specificare se sono state informate le autorità competenti e se sono stati intrapresi contatti con altre persone o enti;
5. dati identificativi: questa sezione consente di inviare la segnalazione in forma non anonima, inserendo i dati personali del segnalante;
6. allegati: Al momento, è possibile allegare immagini in formato PNG o JPG e documenti in formato PDF al modulo di segnalazione.
Successivamente alla trasmissione della segnalazione: (i) il sistema la registra e genera un codice alfanumerico univoco composto da 16 cifre (“key code”), che viene fornito al segnalante e permette di verificare lo stato di avanzamento della segnalazione (n.b.: in caso di perdita del key code non sarà in nessun modo possibile recuperarlo); e (b) la segnalazione viene presa in carico da personale appositamente incaricato del Titolare ai fini della relativa gestione, che accede con proprie credenziali ed opera tramite una apposita dashboard.
Per maggiori informazioni sull’uso della Piattaforma si rinvia all’apposito manuale.
Sebbene la Piattaforma sia predisposta in modo da garantire la riservatezza del segnalante, nonché, se così desiderato dal segnalante, da assicurarne anche l’anonimato, sussiste la possibilità che, trasmettendo una segnalazione tramite la Piattaforma e/o successivamente ai fini della gestione della stessa, il Titolare debba trattare “dati personali” – secondo la definizione datane dall’art. 4 num. 1 del GDPR – del segnalante e/o di terzi.
Ai fini della gestione delle segnalazioni il Titolare tratta, inoltre, i dati personali dei soggetti preposti alla relativa evasione.
Alla luce di quanto precede, con il presente documento il Titolare intende fornire informazioni in merito ai trattamenti di dati personali effettuati ai fini della ricezione e gestione delle Segnalazioni per il tramite della Piattaforma.
Ai fini della presente informativa con il termine:
- “Segnalante” si intende il soggetto che trasmette la segnalazione per il tramite della Piattaforma;
- “Gestore” si intende il soggetto incaricato dal Titolare di provvedere alla gestione delle segnalazioni pervenute attraverso la Piattaforma;
- “Interessato” il termine comprende sia il Segnalante che il Gestore.
La presente informativa ha ad oggetto i trattamenti di dati personali degli Interessati svolti attraverso la Piattaforma.
[1] Titolare del trattamento dei dati personali (“Titolare”) – responsabile della protezione dei dati.
Titolare del trattamento è il soggetto che ha predisposto il presente canale di segnalazione interna in favore dei segnalanti. I dati di contatto del titolare e del relativo responsabile della protezione dei dati personali, ove nominato, sono reperibili all’interno della presente Piattaforma.
[2] Categorie di dati personali trattati sulla Piattaforma, finalità del trattamento e relative basi giuridiche
Di seguito vengono specificati i trattamenti di dati personali dell’Interessato svolti attraverso la Piattaforma, indicando per ciascuno di essi la finalità del trattamento, le tipologie di dati personali trattati e la relativa base giuridica.
1 - Finalità
Invio di segnalazioni
1 - Tipologie di dati personali trattati
Dati personali “comuni” del Segnalante quali:
1. dati di natura tecnica generati dal sistema, sebbene la Piattaforma non tenga traccia dell’indirizzo IP al fine di garantire la massima riservatezza
2. (solo per segnalazioni non effettuate in forma anonima) dati anagrafici (nome, cognome, codice fiscale), dati di contatto (indirizzo email, numero di telefono), dati relativi ai rapporti tra l’Interessato, il Titolare e/o eventuali terzi
1 - Basi Giuridiche del trattamento:
Art. 6 co. 1 lett. c GDPR (trattamento necessario per adempiere un obbligo legale); l’obbligo legale trova la propria fonte, in particolare, nel Decreto Whistleblowing
(Ove il Titolare non rientri tra i soggetti di cui all’art. 3 del Decreto Whistleblowing) Art. 6 co. 1 lett. f GDPR, ove il “legittimo interesse” del Titolare (rispetto al quale non risultano prevalenti gli interessi o i diritti e le libertà fondamentali dell'interessato) è costituito dall’esigenza di attuare, sia pure su base volontaria, le disposizioni del Decreto Whistleblowing, nonché di effettuare un monitoraggio interno a tutela della legalità e del capitale sia umano che materiale del Titolare
2 - Finalità
Invio di segnalazioni
2 - Tipologie di dati personali trattati
Dati personali “comuni” del Gestore, quali:
1. dati di natura tecnica generati dal sistema (indirizzo IP, file di log)
Dati personali “comuni” del Segnalante, quali:
1. (solo per segnalazioni non effettuate in forma anonima) dati anagrafici (nome, cognome, codice fiscale), dati di contatto (indirizzo email, numero di telefono)
2 - Basi Giuridiche del trattamento:
Art. 6 co. 1 lett. c GDPR (trattamento necessario per adempiere un obbligo legale); l’obbligo legale trova la propria fonte, in particolare, nel Decreto Whistleblowing
(Ove il Titolare non rientri tra i soggetti di cui all’art. 3 del Decreto Whistleblowing) Art. 6 co. 1 lett. f GDPR, ove il “legittimo interesse” del Titolare (rispetto al quale non risultano prevalenti gli interessi o i diritti e le libertà fondamentali dell'interessato) è costituito dall’esigenza di attuare, sia pure su base volontaria, le disposizioni del Decreto Whistleblowing, nonché di effettuare un monitoraggio interno a tutela della legalità e del capitale sia umano che materiale del Titolare
I contenuti della segnalazione sono rimessi al Segnalante, cosicché detta segnalazione potrebbe contenere qualsivoglia dato personale che il Segnalante, liberamente ed in autonomia, ritenga di inserire, sia esso un dato personale riferito al Segnalante o a terzi, sia esso un dato cd. “comune”, di “particolari categorie” o “giudiziario”. Alla luce di ciò il Titolare si riserva la possibilità di integrare la presente informativa là dove i dati personali trasmessi dal Segnalante non rientrassero nelle tipologie riportate sopra. Il Titolare, inoltre, si riserva il diritto di somministrare una apposita e separata informativa ad eventuali terzi interessati, là dove la segnalazione contenesse dati personali ad essi riferibili, salvo che, ad insindacabile parere del Titolare, la somministrazione di tale informativa possa compromettere la gestione della segnalazione.
[3] Modalità del trattamento
I dati personali vengono trattati, essenzialmente, con strumenti informatici e telematici. Per la finalità n.2 riportata al superiore paragrafo [2], ad ogni buon conto, il Titolare potrà procedere al trattamento dei dati anche con strumenti analogici, occorrendo.
[4] Conferimento dei dati personali da parte dell’Interessato
Il conferimento dei dati personali di tipo “tecnico” avviene per effetto del normale uso dei dispositivi informatici per l’accesso alla Piattaforma e la sua fruizione; il loro mancato conferimento comporterà l’impossibilità di fruire dei servizi legati alla Piattaforma e, per l’effetto, ove l’Interessato non intenda conferire tali dati personali è invitato a non collegarsi alla Piattaforma e, con specifico riferimento al Gestore, a fare quanto necessario ai fini dell’eliminazione di eventuali propri account personali ivi creati. Il conferimento dei restanti dati personali è: (a) facoltativo per il Segnalante, stante la possibilità di effettuare anche segnalazioni anonime e ferma in ogni caso la massima tutela della sua riservatezza; (b) obbligatorio (salvo ove diversamente specificato) per il Gestore, e, pertanto, in difetto, non sarà possibile gestire le segnalazioni attraverso la Piattaforma.
[5] Origine dei dati personali
Tutti i dati personali trattati attraverso la Piattaforma vengono, di norma, forniti al Titolare direttamente dall’Interessato. Nell’ipotesi indicata al superiore paragrafo [2] num. 2 (Gestione delle segnalazioni) i dati personali impiegati ai fini della creazione “d’ufficio” dell’account dedicato al Gestore sono normalmente forniti al Titolare dal Gestore stesso, sia pure previamente rispetto alla creazione dell’account; nella remota ipotesi in cui la fonte dei dati personali fosse diversa dall’Interessato, il Titolare si riserva di darne indicazione, ai sensi e per gli effetti dell’art. 14 GDPR, mediante apposita integrazione scritta della presente informativa.
[6] Tempi di conservazione dei dati personali
I dati personali relativi alla segnalazione saranno conservati per un periodo di 5 anni decorrenti dalla ricezione della segnalazione stessa o dal momento in cui detta segnalazione viene classificata come “chiusa”, se successivo.
Il Titolare si riserva il diritto di estendere i predetti periodi di conservazione all’insorgere di specifiche esigenze, proprie o di terzi, allo stato non preventivabili (ad es.: segnalazione rimasta ancora inevasa o seguita a distanza di tempo da una segnalazione analoga, necessità di difendere un diritto proprio o di terzi in giudizio), nel qual caso i dati personali verranno conservati sino al soddisfacimento della specifica esigenza insorta.
I dati personali relativi alle attività svolte dal Gestore sulla Piattaforma vengono conservati per un periodo di anni 5 dalla raccolta.
[7] Destinatari
I dati personali degli Interessati possono essere portati a conoscenza dei (ovvero comunicati ai) seguenti soggetti:
- (quanto ai soli dati personali dei Segnalanti) dipendenti e/o collaboratori a qualsivoglia titolo del Titolare appositamente nominati quali Gestori ed all’uopo appositamente istruiti ed autorizzati al trattamento dei dati;
- soggetti esterni all’organizzazione del Titolare, nominati quali responsabili ex art. 28 GDPR, di cui quest’ultimo si avvalga per lo svolgimento, in tutto o parte, di attività necessarie al perseguimento delle finalità indicate al paragrafo [2] che precede (in particolare: gestore/i della Piattaforma da un punto di vista informatico, hosting providers, gestore esterno delle segnalazioni; ecc.);
- soggettipubblicioprivatiche,invirtùdidisposizionidileggee/odiunprovvedimentoamministrativo o giudiziale, abbiano diritto ad accedervi e/o a cui sia necessario effettuare eventuali comunicazioni a norma di legge.
Allo stato non è previsto il trasferimento al di fuori dello Spazio Economico Europeo dei dati personali trattati. Nell’ipotesi di trasferimento dei dati verso un Paese terzo o un’organizzazione internazionale sarà compito del Titolare appurare che per il Paese destinatario esista una decisione di adeguatezza della Commissione Europea, o l’esistenza di garanzie adeguate ai sensi degli artt. da 46 a 49 GDPR.
I dati personali dell’Interessato non saranno diffusi.
L’elenco dei responsabili ex art. 28 del GDPR nominati dal Titolare è reperibile facendone espressa richiesta al Titolare medesimo.
[8] Diritti dell’Interessato
L’Interessato può esercitare i diritti di cui agli artt. 15 e seguenti del GDPR, ivi compresi, in particolare, il diritto di accedere ai propri dati personali, di chiedere la limitazione del trattamento, nonché la rettifica, l’aggiornamento, la cancellazione e/o la portabilità dei dati personali; potrà, altresì, ove applicabile anche tenuto conto delle basi giuridiche indicate al superiore paragrafo [2], chiedere la portabilità dei propri dati personali, nonché revocare in qualsiasi momento il consenso eventualmente prestato ove il trattamento si fondasse di tale base. L’Interessato potrà, inoltre, proporre reclamo all’Autorità di controllo competente. Le richieste di esercizio dei diritti andranno formalizzate per iscritto, corredate da apposito documento di riconoscimento ed indirizzate al Titolare ai recapiti meglio specificati al paragrafo [1] che precede e/o al responsabile per la protezione dei dati personali eventualmente indicato sotto, se nominato dal Titolare.
Il Titolare informa sin d’ora le persone coinvolte nella segnalazione che, in base all’art. 13 del Decreto Whistleblowing, i diritti di cui agli articoli da 15 a 22 GDPR possono essere esercitati nei limiti di quanto previsto dall'articolo 2-undecies, lett. f del d.lgs. 196/2003, il quale dispone che “non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell'articolo 77 del Regolamento qualora dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto (...) alla riservatezza dell’identità della persona che segnala violazioni (...)”.
[9] Esistenza di processo decisionali automatizzati
Non è prevista l’adozione, da parte del Titolare, di decisioni che producano effetti giuridici sull’Interessato e/o che incidano significativamente sulla sua persona in assenza dell’intervento umano.
[10] Cookie policy
Sulla Piattaforma possono essere utilizzati sistemi di tracciamento quali, in particolare, i cosiddetti “cookie”, ovverosia piccoli file di testo conservati nella memoria del dispositivo impiegato per la navigazione tramite il browser, aventi effetti di varia natura quali la conservazione e/o trasmissione ad altri soggetti di alcune informazioni riferibili all’Interessato, come l’elaborazione di statistiche sugli accessi. I cookie vengono distinti in “tecnici”, ovverosia necessari ai fini della navigazione e/o alla fruizione delle varie funzionalità della Piattaforma e, pertanto, non soggetti a consenso da parte dell’Interessato, e “opzionali”, ovverosia impiegati per l’elaborazione di statistiche e, pertanto, assoggettati al preventivo consenso espresso dell’Interessato stesso, quantomeno nel caso in cui tali cookie provengano da terze parti e non siano dotati di funzioni di anonimizzazione degli indirizzi IP o similari.
Si ricorda all’Interessato che è possibile modificare le impostazioni del browser di modo da bloccare automaticamente ogni eventuale cookie. In caso di blocco dei cookie, tuttavia, l’Interessato potrebbe non essere in grado di navigare in tutto o in parte, né di fruire di particolari funzionalità. Per poter modificare le impostazioni del browser l’Interessato dovrà attivare le funzioni generalmente denominate “do not track” e “navigazione anonima”, se presenti, e/o potrà (di seguito si indicano i browser maggiormente in uso):
a. Chrome:
i. blocco cookie: cliccare sull’icona “Personalizza e controlla Google Chrome” in alto a destra e selezionare la voce “Impostazioni”. Cliccare alla voce “Privacy e sicurezza” e, successivamente, cliccare il bottone “Cookie di terze parti”. Si aprirà una finestra dove selezionare la voce “Blocca cookie di terze parti”;
ii. cancellazione cookie: cliccare sull’icona “Personalizza e controlla Google Chrome” in alto a destra e selezionare la voce “Cancella dati di navigazione...”, e, successivamente, la voce “Cookie e altri dati di siti”, ivi verificando che sia attivato il segno di spunta in corrispondenza del suo nome e premi “Cancella dati”.
Si consiglia comunque di verificare sempre la guida aggiornata visitando questa pagina: https://support.google.com/chrome/?hl=it#topic=7439538
b. Microsoft Edge:
i. blocco cookie: cliccare sull’icona “impostazioni e altro ancora” in alto a destra e selezionare la voce “Altri strumenti” e, successivamente, “Opzioni Internet”. Si aprirà una finestra dove selezionare il tab “Privacy”. Cliccare “Avanzate” e nella successiva finestra selezionare le impostazioni preferite, utilizzando una o entrambe le voci “Blocca”, e – preferibilmente per mantenere inalterate le funzionalità del Sito – spuntare “Accetta sempre i cookie di sessione”. Infine cliccare su “OK”;
ii. cancellazione cookie: selezione l’icona “impostazioni e altro ancora” in alto a destra, quindi “Altri strumenti”, “Opzioni internet”, e, successivamente, “Elimina” dal riquadro “Generale – Cronologia esplorazioni”. Spuntare quindi la voce “Cookie” e premere “Elimina”.
Si consiglia comunque di verificare sempre la guida aggiornata visitando questa pagina: https://support.microsoft.com/it-it/microsoft-edge
c. FireFox:
i. blocco cookie: cliccare sull’icona “Apri Menù” in alto a destra e selezionare la voce “Opzioni”. Nel menù orizzontale in alto selezionare “Privacy e sicurezza”. Alla voce “Protezione Antitracciamento” selezionare l’opzione “Invia ai siti web un segnale Do Not Track...” spuntando la casella “Sempre”;
ii. cancellazione cookie: accedere alle “Opzioni” tramite l’icona “Apri Menu”, quindi selezionare la sezione “Privacy e sicurezza”. Alla voce “Cronologia” scegliere “utilizza impostazioni personalizzate”, quindi cliccare sulla voce “Mostra i cookie”. Verrà visualizzata l’apposita finestra. Nel campo “Cerca” digitare il nome del sito di cui si vogliono rimuovere i cookie. Apparirà un elenco che riporta i cookie relativi alla ricerca effettuata. Nell’elenco, selezionare i cookie da rimuovere e fare click sul pulsante “Rimuovi Selezionato”. Per eliminare tutti i cookie memorizzati sul dispositivo utilizzare il pulsante “Rimuovi tutti”.
Si consiglia comunque di verificare sempre la guida aggiornata visitando questa pagina: https://support.mozilla.org/it/products/firefox
Versione n. 1
Smart Whistle è la piattaforma di gestione delle segnalazioni interne conforme alle normative italiane ed europee in materia di whistleblowing e GDPR.
