Invia una segnalazione con la massima riservatezza
Info utili
Cosa segnalare Approfondisci

Privacy

 

            Informativa sul trattamento dei dati personali delle persone fisiche per

LA GESTIONE DELLE SEGNALAZIONI WHISTLEBLOWING  

(ai sensi degli artt. 13 e 14 del Regolamento Generale UE sulla protezione dei dati personali n. 2016/679 “GDPR”)

 

 

  1. Chi è il Titolare del trattamento dei dati personali?

Il Titolare è colui (persona fisica, impresa ente o autorità pubblica) che adotta le decisioni sugli scopi e sulle modalità del trattamento dei dati personali.

Nello specifico, il Titolare del trattamento è MAKER S.R.L. (di seguito anche il “Titolare” o la “Società”), C.F. e P.IVA 10723170964 con sede legale in Via Colonnetta 5 - 20122 Milano (MI) e sede operativa in Via Riviera 21, 24011 Almè (BG), telefono: 035 0043791, e-mail: info@maker.srl PEC: makersrl@pec.it

 

  1. Chi sono gli “Interessati” e quali categorie e quali tipi di dati personali vengono trattati?

Nell’ambito del processo di gestione delle segnalazioni di violazioni ai sensi del D.Lgs. 24/2023, in materia di protezione delle persone che segnalano violazioni del diritto dell'Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali (whistleblowing), MAKER S.R.L. tratterà i dati personali dei soggetti che effettuano segnalazioni, dei soggetti segnalati, dei soggetti comunque citati nella segnalazione, dei soggetti coinvolti nel processo di gestione della segnalazione e comunque dei soggetti a cui si applicano le tutele previste dal D.Lgs. 24/2023.

Tali dati includeranno dati personali comuni, quali dati anagrafici, di contatto e dati relativi all’attività lavorativa dell’interessato e, nei limiti in cui sia strettamente necessario, dati personali appartenenti alle categorie particolari di cui all’art. 9, GDPR, quali quelli relativi alla salute, all’appartenenza sindacale, dati idonei a rivelare l’origine razziale, le opinioni politiche, le convinzioni religiose o filosofiche dell’interessato o i dati relativi a condanne penali e reati di cui all’art. 10 del Regolamento.

 

  1. Qual è la fonte dei dati personali?

I dati personali trattati possono essere raccolti:

• per i dati di pertinenza del segnalante: direttamente ad opera del medesimo segnalante, in caso di presentazione di una segnalazione attraverso i canali interni predisposti (informativa privacy ex art. 13 GDPR);

• per i dati degli altri soggetti coinvolti nella segnalazione (es. segnalato, testimoni): ad opera di altro soggetto (es. segnalante) che effettua la segnalazione di violazioni di legge citando nella segnalazione altri soggetti coinvolti nella segnalazione.

I dati personali attinenti alle segnalazioni whistleblowing possono essere raccolti:

· in occasione della presentazione delle segnalazioni attraverso i canali interni messi a disposizione dalla Società;

· nel corso del procedimento di esame e di trattazione delle segnalazioni a cura del soggetto incaricato;

· nell’ambito della documentazione allegata alla segnalazione.

 

  1. Per quali finalità MAKER S.R.L. effettua il trattamento dei dati personali e qual è la base giuridica dei trattamenti?

 

I dati personali saranno trattati per le seguenti finalità e basi giuridiche:

 

Finalità

Base giuridica del trattamento

Ricezione e gestione delle segnalazioni in tutte le sue fasi, inclusa quella di accertamento dei fatti oggetto di segnalazione e adozione di eventuali conseguenti provvedimenti, secondo quanto descritto nella Procedura di segnalazione whistleblowing, pubblicata sul sito internet e sulla intranet aziendale, garantendo la riservatezza del segnalante, dei soggetti coinvolti, del contenuto della segnalazione e della documentazione allegata e la protezione secondo le previsioni del D.Lgs. 24/2023, tenuto altresì conto delle Linee Guida di Anac approvate con delibera n. 311 del 12 luglio 2023.
  • Art. 6, par. 1, lett. c) GDPR per il trattamento dei dati comuni: necessità di adempiere l’obbligo legale di applicare la normativa in materia di whistleblowing a cui MAKER S.R.L. è soggetta derivante dalla direttiva (UE) 2019/1937 e dal D.lgs. 24/2023;
  • Art. 9 par. 2, lett. b) GDPR) per il trattamento dei dati particolari: assolvimento di obblighi ed esercizio di diritti del titolare o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale
  • Art. 10 GDPR per il trattamento di dati relativi a condanne penali e reati: obbligo di legge, a cui è soggetto il titolare del trattamento, di applicare la normativa in materia di whistleblowing;
  • “norme più specifiche” per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” ex art. 88, par. 1, GDPR, in relazione al D.Lgs. 24/2023.

 

MAKER informa che i dati personali verranno trattati nel rispetto dei principi di correttezza, liceità e trasparenza e di tutela della riservatezza e dei diritti dell’interessato, nonché agli ulteriori principi previsti dall’art. 5 del GDPR, tra cui i principi di pertinenza e di non eccedenza.

 

  1. Con quali modalità MAKER effettua il trattamento dei dati personali?

Il trattamento dei dati personali avverrà con il supporto di mezzi tecnologici/informatici, dotati di strumenti di crittografia, in modo da garantirne la sicurezza e la riservatezza dell’identità del segnalante, dei soggetti coinvolti, del contenuto delle segnalazioni e della relativa documentazione, in conformità alle previsioni del D.Lgs. 24/2023, con l’adozione delle necessarie misure di sicurezza, tecniche ed organizzative adeguate volte, tra l’altro, ad impedire, a soggetti non autorizzati, di risalire all’identità del segnalante e degli altri soggetti interessati.

In particolare, il Titolare, in conformità a quanto previsto dal Decreto Whistleblowing e nella procedura aziendale dedicata, ha previsto i seguenti canali di segnalazione interna che consentono ai segnalanti di eseguire la segnalazione whistleblowing mediante:

i. la casella di posta elettronica dell’Organismo di Vigilanza (odv@maker.srl) attiva fino alla data del 17 dicembre 2023 a decorrere dalla quale il decreto whistleblowing produrrà i suoi effetti nei confronti della Maker S.r.l.;

ii. la piattaforma informatica dedicata, accessibile al link indicato sul sito della società che verrà attivata entro il 17 dicembre 2023, data in cui il decreto Whistleblowing produrrà i suoi effetti nei confronti della Maker S.r.l.;

iii. su richiesta del segnalante - presentata attraverso la piattaforma sopra indicata- mediante incontro diretto con il gestore delle segnalazioni individuato nell’Organismo di Vigilanza ex art. 6 D.Lgs. 231/2001 della società - fissato entro un termine ragionevole.

Quando, su richiesta del segnalante, la segnalazione è effettuata oralmente nel corso di un incontro con il gestore delle segnalazioni come previsto al punto iii., il Titolare, previo consenso del segnalante, documenta la segnalazione mediante verbale che sarà archiviato nel rispetto della riservatezza e della tutela dei dati personali. Il segnalante può verificare, rettificare e confermare il verbale dell'incontro mediante la propria sottoscrizione.

La piattaforma informatica, inoltre, protegge i dati personali mediante un sistema di crittografia, garantendo in questo modo la riservatezza delle informazioni trasmesse.

 

  1. Chi effettua il trattamento dei dati personali? I dati personali sono oggetto di comunicazione e di diffusione a terzi?

I dati personali non saranno diffusi. Per le finalità sopra descritte al punto 4, nei limiti delle rispettive competenze e secondo quanto descritto nella Procedura aziendale in materia di whistleblowing, con particolare riferimento ai limiti sulla conoscibilità dell’identità del segnalante e di tutti gli altri soggetti sopra indicati, i dati personali saranno trattati dai soli soggetti la cui facoltà di accesso ai dati è riconosciuta da disposizioni di legge e/o previa incarico al trattamento dei dati secondo quanto sotto previsto.

L’elenco dei destinatari, riportato nel registro delle attività di trattamento, viene mantenuto aggiornato ed è disponibile per la consultazione su richiesta.

I destinatari dei dati personali possono essere suddivisi nelle seguenti categorie: 

  1. Responsabili del trattamento: il Titolare potrà avvalersi di soggetti esterni debitamente autorizzati al trattamento dei dati personali. In ossequio all’art. 28 GDPR, tra le parti è stipulato per iscritto un contratto di designazione nell’ambito dei quali il Titolare fornisce istruzioni in capo a ogni singolo soggetto. Al fine di rispettare il GDPR e tutelare i diritti e le libertà delle persone, il Titolare ricorre unicamente a Responsabili del trattamento che presentino garanzie sufficienti (conoscenza specialistica, esperienza, capacità e affidabilità) per mettere in atto misure tecniche e organizzative adeguate alla sicurezza di informazioni e dati personali e garantire la protezione degli interessati.
  2. Autorizzati al trattamento: i dati personali saranno trattati da soggetti debitamente autorizzati, specificamente vincolati all’obbligo di riservatezza, con espresso divieto di rivelazione - a persone diverse da quelle specificamente autorizzate - dell’identità del segnalante, in assenza del suo consenso espresso. Agli “Autorizzati”, previamente individuati e nominati al trattamento, sono impartite idonee istruzioni per la protezione dei dati personali. La possibilità di accedere ai dati è limitata ai soli soggetti effettivamente legittimati.
  3. Autonomi Titolari: la segnalazione e i dati personali potranno essere, inoltre, trasmessi, per i profili di rispettiva competenza, secondo quanto previsto dalla legge, all’Autorità Nazionale Anticorruzione (Anac), all’Autorità Giudiziaria, alla Corte dei conti ed altre eventuali Autorità pubbliche coinvolte, che tratteranno i dati in qualità di titolari autonomi.

Con riferimento all’identità del segnalante, si segnala che:

- nell’ambito del procedimento penale: l’identità è coperta da segreto ai sensi dell’articolo 329 c.p.p.;

- nell’ambito del procedimento dinanzi alla magistratura contabile: l’identità non può essere rivelata sino alla chiusura della fase istruttoria;

- nell’ambito del procedimento disciplinare: l’identità non può essere rivelata ove la contestazione dell’illecito disciplinare si fondi su accertamenti distinti e ulteriori rispetto alla segnalazione. Qualora, invece, la contestazione dell’illecito disciplinare sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità della persona segnalante sia indispensabile per la difesa dell'incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità. Il Titolare del trattamento richiederà pertanto il consenso del segnalante alla rivelazione della propria identità nel caso in cui sopravvenga tale esigenza nell’ambito dell’eventuale procedimento disciplinare instaurato.

L’identità delle persone coinvolte e di quelle menzionate nella segnalazione è garantita sino alla conclusione dei relativi procedimenti, con il rispetto delle stesse garanzie accordate al segnalante.

  1. Il conferimento dei dati è obbligatorio?

Il conferimento dei dati personali è necessario per la gestione e la valutazione della segnalazione.

  1. I dati personali vengono trasferiti in paesi terzi o ad organizzazioni internazionali?

MAKER non trasferisce i dati personali in paesi terzi o ad organizzazioni internazionali. Ove si dovesse rendere necessario il trasferimento dei dati, il Titolare si impegna a implementare le garanzie stabilite dagli artt. 44 e ss. del GDPR e rispettare tutte le ulteriori eventuali condizioni prescritte dalle Corti e dalle Autorità di controllo nazionali ed europee competenti in relazione al trasferimento di tali dati al di fuori dello Spazio Economico Europeo.

  1. Per quanto tempo vengono conservati i dati personali?

I dati personali saranno trattati per il tempo strettamente necessario alla gestione della segnalazione in tutte le sue fasi, all’adozione dei provvedimenti conseguenti ed all’adempimento degli obblighi di legge connessi, comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, così come previsto dall’art. 14, comma 1, D.Lgs. 24/2023.

È fatto salvo il caso in cui, durante il periodo di cinque anni, dovesse sorgere un procedimento giudiziario derivante dalla Segnalazione. In quest’ultimo caso, il periodo di conservazione dei dati seguirà l’iter e l’andamento del procedimento giudiziario.

Alla scadenza del periodo di conservazione, i dati personali saranno cancellati o resi anonimi in modo permanente e non reversibile.

  1. Quali diritti possono esercitare gli Interessati?

All’interessato sono riconosciuti i diritti di cui agli artt. 15 e 22 del GDPR.

L’esercizio dei diritti potrà avvenire attraverso l’invio di una richiesta scritta, tramite raccomandata in busta chiusa, indicando sul plico la locuzione “RISERVATA al gestore del whistleblowing” al seguente indirizzo: MAKER S.R.L. Via Riviera 21– 24011 Almé (BG), senza indicazione sulla busta del mittente della richiesta, i cui dati identificativi dovranno essere invece riportati all’interno del plico unitamente ad un documento di riconoscimento del richiedente – interessato.

La richiesta sarà riscontrata nel minor tempo possibile e, comunque, nei termini di cui al GDPR.

Ai sensi dell’art. 2-undecies, del d.lgs. 196/2003, i diritti di cui agli artt. 15 e seguenti del GDPR non possono essere esercitati, da parte di soggetti interessati diversi dal segnalante e dagli altri soggetti indicati al punto 2, con richiesta alla Società, titolare del trattamento - e in assenza di risposta, tramite reclamo al Garante per la protezione dei dati personali - quando da ciò possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante e degli altri soggetti indicati al punto 2 della presente informativa.

Resta ferma la possibilità di richiesta di accertamento, secondo quanto disposto dall’art. 160, del d.lgs. 196/2003.

Gli interessati che ritengano che il trattamento dei dati personali a loro riferiti sia effettuato in violazione di quanto previsto dal Regolamento hanno il diritto di proporre reclamo al Garante per la protezione dei dati personali o di adire l’Autorità giudiziaria, come previsto rispettivamente dagli artt. 77 e 79 del medesimo Regolamento.

 

  1. Come vengono gestite le modifiche dell’Informativa?

 

Nel rispetto delle disposizioni di legge, il Titolare si riserva il diritto di modificare e/o aggiornare l’Informativa, in qualsiasi momento, tenendo anche conto delle eventuali e successive integrazioni e/o modifiche della disciplina nazionale e/o dell’Unione Europea in materia di protezione dei dati personali o per effetto di eventuali ulteriori finalità del trattamento dei dati.

Le nuove versioni dell’Informativa sostituiranno le precedenti e saranno valide, efficaci ed applicate dalla data di pubblicazione sul sito web aziendale oppure dalla data di comunicazione ai soggetti interessati.

 

 

Almé, il 04/09/2023