INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI DELLE PERSONE COINVOLTE O COMUNQUE MENZIONATE NELLA SEGNALAZIONE DI PRESUNTE VIOLAZIONI DEL DIRITTO DELL’UNIONE EUROPEA E/O DELLE DISPOSIZIONI NORMATIVE NAZIONALI, EFFETTUATA AI SENSI DEL D.LGS. 24/2023 –

(Art. 14 del Regolamento UE 2016/679)

Il Regolamento Europeo 2016/679, in prosieguo indicato anche con l’acronimo GDPR - General Data Protection Regulation -, applicabile in tutti gli Stati membri dell’Unione Europea, riconosce ad ogni soggetto la tutela dei propri dati personali che siano oggetto di trattamento da parte di terzi, come espressione del rispetto della dignità umana e dei diritti e libertà fondamentali della persona.

In osservanza degli obblighi derivanti dal decreto legislativo 10 marzo 2023, n. 24, rubricato “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali (decreto whistleblowing)”, Consar S.p.A. desidera informarLa che il trattamento dei Suoi dati personali, acquisiti nell’ambito della specifica segnalazione effettuata dalla persona segnalante, verrà effettuato nel pieno rispetto dei principi di liceità, correttezza, pertinenza, proporzionalità, trasparenza e di tutela della riservatezza in conformità a quanto previsto dalle disposizioni di legge.

Le forniamo, pertanto, ai sensi degli artt. 14 del GDPR, le seguenti informazioni.

1. Titolare del trattamento

2. Il Titolare del Trattamento dei dati è Consar S.p.A., in persona del legale rappresentante p.t., con sede legale e amministrativa in Mercato San Severino (Sa) alla Via Pizzone nr. 13, C.F./P.IVA IT04089130654, Tel. 089825827, e-mail info@consaritaly.it.

3. Fonte dei dati personali

La fonte da cui hanno origine i Suoi dati personali è rappresentata dalla segnalazione effettuata dalla persona segnalante ai sensi del d.lgs. 24/2023. Detta segnalazione può contenere, infatti, dati personali riferibili alla persona segnalante, alle persone che assistono quest’ultima nel processo di segnalazione (cd. facilitatori) nonché altre persone fisiche o giuridiche coinvolte o comunque menzionate dalla persona segnalante (cd. persone coinvolte).

4. Categorie di dati personali oggetto del trattamento

I dati oggetto di trattamento possono essere dati comuni (es. nome, cognome, indirizzo e- mail, numero di telefono), dati particolari e dati giudiziari. Con separata informativa resa ai sensi dell’art. 13 del GDPR alla persona che intende effettuare una segnalazione, quest’ultima è previamente invitata a comunicare le sole informazioni utili all’individuazione dei fatti che intende segnalare. I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non saranno raccolti e se raccolti accidentalmente saranno cancellati immediatamente. L’invio delle segnalazioni tramite la piattaforma telematica avviene in modo anonimo. Non è infatti presente alcuna registrazione relativa all'indirizzo IP o all'ID macchina del dispositivo dal quale è trasmessa la segnalazione.

5. Finalità e base giuridica del trattamento

I dati personali sono trattati da Consar S.p.A., in qualità di titolare del trattamento, per obbligo di legge e, in particolare, al fine di ricevere e gestire correttamente le segnalazioni di presunte violazioni del Modello di Organizzazione, Gestione e controllo ex L. 231/2001, adottato dalla Società, di cui, tra gli altri, dipendenti, clienti, consulenti, collaboratori, fornitori siano venuti a conoscenza nell’ambito del contesto lavorativo intercorso o intercorrente con la medesima Società, tutelando le persone segnalanti da ritorsioni e garantendo riservatezza e protezione dei dati personali riferiti alle medesime persone segnalanti nonché alle persone coinvolte o comunque menzionate nella segnalazione. In particolare, i dati personali forniti dalla persona segnalante al fine di rappresentare le presunte condotte illecite delle quali sia venuto a conoscenza in ragione del proprio rapporto di servizio con la Società, commesse dai soggetti che a vario titolo interagiscono con la stessa, sono trattati allo scopo di effettuare le necessarie attività istruttorie volte a verificare la fondatezza dei fatti segnalati, dell’accertamento degli stessi e per la definizione di azioni da intraprendere, di adozione delle eventuali misure correttive da applicare e dei conseguenti provvedimenti previsti dal d.lgs. 24/2023. Per tali finalità, la base giuridica del trattamento si rinviene, ai sensi dell’art. 6, par. 1, lett. c) del GDPR, nell’assolvimento, da parte di Consar S.p.A., di obblighi di legge derivanti dal D.Lgs. 24/2023.

6. Autorizzati al trattamento e responsabili del trattamento

La gestione del canale interno di segnalazione potrà essere affidata, alternativamente:

• ad un soggetto interno il quale - previamente istruito e autorizzato ai sensi dell’art. 4, par. 10, dell’art. 29 e dell’art. 32, par. 4, del GDPR e dell’art. 2-quaterdecies del d.lgs. 196/2003 - tratta i dati personali contenuti nella segnalazione e negli eventuali documenti allegati.

• ad un soggetto esterno che opera tratta, per conto della Consar S.p.A., i dati personali contenuti nella segnalazione e negli eventuali documenti allegati ed è quindi previamente nominato responsabile del trattamento ai sensi dell’art. 28 del GDPR.

Il canale preferenziale consigliato alla persona che intende effettuare una segnalazione è rappresentato dalla piattaforma telematica più sotto descritta. Tuttavia, al fine di gestire l’eventuale ricezione di segnalazioni trasmesse dalla persona segnalante in forma cartacea (es. tramite consegna diretta presso la sede della Consar S.p.A. o tramite il servizio postale) o in forma telematica (es. tramite email/pec) e di consentire, quindi, il corretto smistamento delle medesime segnalazioni al gestore delle segnalazioni, da parte dei dipendenti riceventi, questi ultimi sono stati previamente istruiti e nominati autorizzati al trattamento dei dati personali ai sensi dell’art. 4, par. 10, dell’art. 29 e dell’art. 32, par. 4, del GDPR e dell’art. 2-quaterdecies del d.lgs. 196/2003.

Consar S.p.A. mette a disposizione delle persone che intendono effettuare una segnalazione la piattaforma informatica presente sul proprio sito internet, raggiungibile all’indirizzo https://whistle.consaritalyspa.it, la quale garantisce, anche mediante il ricorso alla crittografia, la riservatezza e la protezione dei dati personali della persona segnalante, della persona coinvolta o comunque menzionata nella segnalazione nonché del contenuto di quest’ultima e della relativa documentazione.

7. Modalità di trattamento dei dati

Il trattamento dei dati personali contenuti nella segnalazione e negli eventuali documenti allegati alla stessa o successivamente inoltrati, spontaneamente o su richiesta del gestore delle segnalazioni, ad integrazione della medesima segnalazione, è effettuato in modo da garantirne la sicurezza e la riservatezza necessaria e potrà essere attuato anche con l’ausilio di strumenti informatici.

8. Periodo di conservazione dei dati.

I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non saranno raccolti e se raccolti accidentalmente saranno cancellati immediatamente, mentre i dati personali utili al trattamento di una specifica segnalazione sono raccolti e conservati il tempo necessario al trattamento della stessa e, comunque, non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, come previsto dall’art. 14, comma 1, del d.lgs. 24/2023.

9. Comunicazione dei dati personali.

Nel rispetto degli obblighi di riservatezza di cui all’art. 12 del d.lgs. 24/2023 i dati personali acquisiti nell’ambito della procedura di segnalazione, riferiti alla persona segnalante, ai facilitatori, alle persone coinvolte o comunque menzionate nella segnalazione, potranno essere comunicati, qualora necessario, ai soggetti previsti dalla legge (es. Autorità Giudiziaria o Contabile ovvero ANAC), che operano quali titolari autonomi del trattamento. Nel caso in cui il gestore della segnalazione valuti di attribuire accertamenti, verifiche e/o analisi sulle segnalazioni, ovvero un supporto tecnico od approfondimenti in discipline specifiche su cui la segnalazione ha impatto, ad eventuali soggetti interni o esterni alla Società, questi conosceranno soltanto dati anonimi, salvi i casi in cui la conoscenza di dati personali risulti indispensabile per lo svolgimento dell’attività richiesta. In quest’ultimo caso saranno formalizzati, secondo quanto previsto dal GDPR, i relativi obblighi di riservatezza e di protezione dei dati personali.

I dati personali raccolti sono altresì trattati dal personale della Consar S.p.A. cui compete l’esercizio dell’azione disciplinare, il quale agisce sulla base di specifiche istruzioni fornite in ordine alle finalità e modalità del trattamento.

Ai sensi dell’art. 12, comma 8, del d.lgs. 24/2023, la segnalazione è sottratta all'accesso previsto dagli articoli 22 e seguenti della legge 7 agosto 1990, n. 241, nonché dagli articoli 5 e seguenti del decreto legislativo 14 marzo 2013, n. 33.

10. Diffusione dei dati personali.

I dati personali non saranno oggetto di diffusione.

11. Trasferimento dei dati personali verso Paesi non appartenenti alla Unione europea.

Ai sensi dell’art. 13, par. 1, lettera f) del GDPR, Consar S.p.A. La informa che i dati personali oggetto di trattamento non saranno trasferiti a paesi terzi o ad organizzazioni internazionali terze ubicati al di fuori della Unione Europea.

12. Diritti degli interessati e reclamo

Gli articoli da 15 a 22 del GDPR conferiscono agli interessati alcuni diritti tra cui il diritto di accesso, di rettifica, di cancellazione, di limitazione del trattamento e di opposizione al trattamento.

Tuttavia, ai sensi dell’art. 13, comma 2, del d.lgs. 24/2023, i diritti di cui agli articoli da 15 a 22 del GDPR non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell'articolo 77 del GDPR qualora dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto “[…] f) alla riservatezza dell'identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte, ai sensi del decreto legislativo recante attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione, ovvero che segnala violazioni ai sensi degli articoli 52-bis e 52-ter del decreto legislativo 1° settembre 1993, n. 385, o degli articoli 4-undecies e 4-duodecies del decreto legislativo 24 febbraio 1998, n. 58;”.

Consar S.p.A., in qualità di titolare del trattamento, informa l’interessato delle facoltà al medesimo attribuite dall’art. 2-undecies, comma 3, del d.lgs. 196/2003, secondo cui, nel caso previsto dal comma 1, lettera f) del medesimo articolo, sopra riportato in corsivo, i diritti di cui al medesimo comma sono esercitati conformemente alle disposizioni di legge o di regolamento che regolano il settore, che devono almeno recare misure dirette a disciplinare gli ambiti di cui all'art. 23, par. 2, del GDPR. L'esercizio dei medesimi diritti può, in ogni caso, essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all'interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato, al fine di salvaguardare gli interessi di cui al comma 1, lettera f). In tali casi, i diritti dell'interessato possono essere esercitati anche tramite il Garante con le modalità di cui all'art. 160 del d.lgs. 196/2003. In tale ipotesi, il Garante informa l'interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell'interessato di proporre ricorso giurisdizionale.

13. Processo decisionale automatizzato

Con riferimento ai dati personali oggetto di trattamento, Consar S.p.A. Le comunica che non esiste alcun processo decisionale automatizzato, né alcuna attività di profilazione di cui all'articolo 22, paragrafi 1 e 4, del GDPR.

* * * * *

La presente informativa, pubblicata sul sito www.consaritalyspa.it, nella sezione “whistleblowing”, è soggetta ad aggiornamento periodico.