INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI DELLE PERSONE CHE SEGNALANO – AI SENSI DEL D.LGS. 24/2023 – PRESUNTE VIOLAZIONI DEL DIRITTO DELL’UNIONE EUROPEA E/O DELLE DISPOSIZIONI NORMATIVE NAZIONALI

(Art. 13 del Regolamento UE 2016/679)

Il Regolamento Europeo 2016/679, in prosieguo indicato anche con l’acronimo GDPR - General Data Protection Regulation -, applicabile in tutti gli Stati membri dell’Unione Europea, riconosce ad ogni soggetto la tutela dei propri dati personali che siano oggetto di trattamento da parte di terzi, come espressione del rispetto della dignità umana e dei diritti e libertà fondamentali della persona.

In osservanza degli obblighi derivanti dal decreto legislativo 10 marzo 2023, n. 24, rubricato “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali (decreto whistleblowing)”, Consar S.p.A. desidera informarLa che il trattamento dei Suoi dati personali, acquisiti nell’ambito della specifica segnalazione da Lei eventualmente inoltrata, verrà effettuato nel pieno rispetto dei principi di liceità, correttezza, pertinenza, proporzionalità, trasparenza e di tutela della riservatezza in conformità a quanto previsto dalle disposizioni di legge.

Le forniamo, pertanto, ai sensi degli artt. 13 del GDPR, le seguenti informazioni.

1. Titolare del trattamento

Il Titolare del Trattamento dei dati è Consar S.p.A., in persona del legale rappresentante p.t., con sede legale e amministrativa in Mercato San Severino (Sa) alla Via Pizzone nr. 13, C.F./P.IVA IT04089130654, Tel. 089825827, e-mail info@consaritaly.it.

2. Categorie di dati personali oggetto del trattamento

I dati oggetto di trattamento possono essere dati comuni (es. nome, cognome, indirizzo e- mail, numero di telefono), dati particolari e dati giudiziari. La persona che intende effettuare una segnalazione è invitata a comunicare le sole informazioni utili all’individuazione dei fatti che intende segnalare. I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non saranno raccolti e se raccolti accidentalmente saranno cancellati immediatamente. L’invio delle segnalazioni tramite la piattaforma telematica avviene in modo anonimo. Non è infatti presente alcuna registrazione relativa all'indirizzo IP o all'ID macchina del dispositivo dal quale è trasmessa la segnalazione.

3. Finalità e base giuridica del trattamento

I dati personali sono trattati da Consar S.p.A., in qualità di titolare del trattamento, per obbligo di legge e, in particolare, al fine di ricevere e gestire correttamente le segnalazioni di presunte violazioni del Modello di Organizzazione, Gestione e controllo ex L. 231/2001, adottato dalla Società, di cui, tra gli altri, dipendenti, clienti, consulenti, collaboratori, fornitori siano venuti a conoscenza nell’ambito del contesto lavorativo intercorso o intercorrente con la medesima Società, tutelando le persone segnalanti da ritorsioni e garantendo riservatezza e protezione dei dati personali riferiti alle medesime persone segnalanti nonché alle persone coinvolte o comunque menzionate nella segnalazione. In particolare, i dati personali forniti dalla persona segnalante al fine di rappresentare le presunte condotte illecite delle quali sia venuto a conoscenza in ragione del proprio rapporto di servizio con la Società, commesse dai soggetti che a vario titolo interagiscono con la stessa, sono trattati allo scopo di effettuare le necessarie attività istruttorie volte a verificare la fondatezza dei fatti segnalati, dell’accertamento degli stessi e per la definizione di azioni da intraprendere, di adozione delle eventuali misure correttive da applicare e dei conseguenti provvedimenti previsti dal d.lgs. 24/2023. Per tali finalità, la base giuridica del trattamento si rinviene, ai sensi dell’art. 6, par. 1, lett. c) del GDPR, nell’assolvimento, da parte di Consar S.p.A., di obblighi di legge derivanti dal D.Lgs. 24/2023.

Qualora nell’ambito di un procedimento disciplinare avviato nei confronti del presunto autore della condotta segnalata, l’identità della persona segnalante risulti indispensabile alla difesa della persona a cui è stato contestato l’addebito disciplinare, tale identità potrà essere rivelata solo previa acquisizione del consenso della medesima persona segnalante e previa comunicazione alla stessa, in forma scritta, delle ragioni che conducono al disvelamento della sua identità. Per tale finalità, la base giuridica del trattamento è rappresentata dal consenso [Art. 6, par. 1, lett. a) del GDPR].

Qualora, infine, la rivelazione dell’identità del segnalante sia indispensabile anche ai fini della difesa della persona coinvolta, tale identità potrà essere rivelata solo previa acquisizione del consenso espresso della medesima persona segnalante e previa comunicazione alla stessa, in forma scritta, delle ragioni che conducono al disvelamento della sua identità. Per tale finalità, la base giuridica del trattamento è rappresentata dal consenso [Art. 6, par. 1, lett. a) del GDPR].

4. Autorizzati al trattamento e responsabile del trattamento

La gestione del canale interno di segnalazione è affidata ad un soggetto esterno che tratta, per conto della Consar S.p.A., i dati personali contenuti nella segnalazione e negli eventuali documenti allegati ed è quindi previamente nominato responsabile del trattamento ai sensi dell’art. 28 del GDPR.

Il canale preferenziale consigliato alla persona che intende effettuare una segnalazione è rappresentato dalla piattaforma telematica più sotto descritta. Tuttavia, al fine di gestire l’eventuale ricezione di segnalazioni trasmesse dalla persona segnalante in forma cartacea (es. tramite consegna diretta presso la sede della Consar S.p.A. o tramite il servizio postale) o in forma telematica (es. tramite email/pec) e di consentire, quindi, il corretto smistamento delle medesime segnalazioni al gestore delle segnalazioni, da parte dei dipendenti riceventi, questi ultimi sono stati previamente istruiti e nominati autorizzati al trattamento dei dati personali ai sensi dell’art. 4, par. 10, dell’art. 29 e dell’art. 32, par. 4, del GDPR e dell’art. 2-quaterdecies del d.lgs. 196/2003.

Consar S.p.A. mette a disposizione delle persone che intendono effettuare una segnalazione la piattaforma informatica presente sul proprio sito internet, raggiungibile all’indirizzo https://whistle.consaritalyspa.it, la quale garantisce, anche mediante il ricorso alla crittografia, la riservatezza e la protezione dei dati personali della persona segnalante, della persona coinvolta o comunque menzionata nella segnalazione nonché del contenuto di quest’ultima e della relativa documentazione.

5. Modalità di trattamento dei dati

Il trattamento dei dati personali contenuti nella segnalazione e negli eventuali documenti allegati alla stessa o successivamente inoltrati, spontaneamente o su richiesta del gestore della segnalazione, ad integrazione della medesima segnalazione, è effettuato in modo da garantirne la sicurezza e la riservatezza necessaria e potrà essere attuato anche con l’ausilio di strumenti informatici.

6. Periodo di conservazione dei dati.

I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non saranno raccolti e se raccolti accidentalmente saranno cancellati immediatamente, mentre i dati personali utili al trattamento di una specifica segnalazione sono raccolti e conservati il tempo necessario al trattamento della stessa e, comunque, non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, come previsto dall’art. 14, comma 1, del d.lgs. 24/2023.

7. Natura obbligatoria o facoltativa del conferimento dei dati.

Il conferimento dei dati identificativi e di contatto della persona segnalante è facoltativo. In particolare, qualora la segnalazione sia effettuata tramite compilazione dell’apposito form presente sulla piattaforma informatica raggiungibile tramite il pulsante posto nella sezione whistleblowing del sito istituzionale di Consar S.p.A., è possibile scegliere di rimanere anonimi. La persona segnalante potrà identificarsi successivamente. In tal caso, le misure di protezione della persona segnalante che subisce ritorsioni di cui al d.lgs. 24/2023 si applicano anche nei casi di segnalazioni anonime, se la persona segnalante è stata successivamente identificata.

8. Comunicazione dei dati personali.

Nel rispetto degli obblighi di riservatezza di cui all’art. 12 del d.lgs. 24/2023 i dati personali acquisiti nell’ambito della procedura di segnalazione, riferiti alla persona segnalante, ai facilitatori, alle persone coinvolte o comunque menzionate nella segnalazione, potranno essere comunicati, qualora necessario, ai soggetti previsti dalla legge (es. Autorità Giudiziaria o Contabile ovvero ANAC), che operano quali titolari autonomi del trattamento. Nel caso in cui il gestore della segnalazione valuti di attribuire accertamenti, verifiche e/o analisi sulle segnalazioni, ovvero un supporto tecnico od approfondimenti in discipline specifiche su cui la segnalazione ha impatto, ad eventuali soggetti interni o esterni alla Società, questi conosceranno soltanto dati anonimi, salvi i casi in cui la conoscenza di dati personali risulti indispensabile per lo svolgimento dell’attività richiesta. In quest’ultimo caso saranno formalizzati, secondo quanto previsto dal GDPR, i relativi obblighi di riservatezza e di protezione dei dati personali.

I dati personali raccolti sono altresì trattati dal personale della Consar S.p.A. cui compete l’esercizio dell’azione disciplinare, il quale agisce sulla base di specifiche istruzioni fornite in ordine alle finalità e modalità del trattamento.

Ai sensi dell’art. 12, comma 8, del d.lgs. 24/2023, la segnalazione è sottratta all'accesso previsto dagli articoli 22 e seguenti della legge 7 agosto 1990, n. 241, nonché dagli articoli 5 e seguenti del decreto legislativo 14 marzo 2013, n. 33.

9. Diffusione dei dati personali.

I dati personali non saranno oggetto di diffusione.

10. Trasferimento dei dati personali verso Paesi non appartenenti alla Unione europea.

Ai sensi dell’art. 13, par. 1, lettera f) del GDPR, Consar S.p.A. informa che i dati personali oggetto di trattamento non saranno trasferiti a paesi terzi o ad organizzazioni internazionali terze ubicati al di fuori della Unione Europea.

11. Diritti degli interessati

Gli articoli da 15 a 22 del GDPR conferiscono agli interessati la possibilità di esercitare specifici diritti, quali il diritto di accesso, di rettifica, di cancellazione, di limitazione del trattamento, di opposizione al trattamento.

La persona segnalante potrà in ogni momento accedere ai propri dati personali tramite la medesima piattaforma utilizzata per l'invio della segnalazione, previo inserimento del codice univoco attribuito in sede di invio della stessa. Tale accesso consentirà da rivedere i dati personali e le informazioni comunicate e conoscere lo stato in cui si trova la sua segnalazione.

La persona segnalante che ritiene di aver fornito informazioni incomplete o errate, può inviare una nuova segnalazione tramite la piattaforma in cui, nel fare riferimento alla precedente segnalazione, descrive quali dati personali chiede siano aggiornati, modificati e/o rettificati.

Qualora la segnalazione sia stata effettuata con modalità diverse da quella telematica, la persona segnalante potrà esercitare, in qualità di interessata, i propri diritti contattando il gestore della segnalazione tramite i recapiti presenti nella sezione “whistleblowing” del sito della Società.

12. Reclamo

Se l'interessato ritiene che il trattamento dei dati che lo riguardano avvenga in violazione di quanto previsto dal GDPR ha diritto di proporre reclamo al Garante per la protezione dei dati personali, come previsto dall’art. 77 del GDPR, o di adire le opportune sedi giudiziarie, come disciplinato nell’art. 79 del GDPR.

13. Processo decisionale automatizzato

Con riferimento ai dati personali oggetto di trattamento, Le comunichiamo che non esiste alcun processo decisionale automatizzato, né alcuna attività di profilazione di cui all'articolo 22, paragrafi 1 e 4, del GDPR.

* * * * *

La presente informativa, pubblicata sul sito www.consaritalyspa.it, nella sezione “whistleblowing”, è soggetta ad aggiornamento periodico.