Informazioni ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 sul trattamento dei dati personali dei soggetti che segnalano fatti illeciti in base alle previsioni contenute nel D.Lgs. n. 24/23 (whistleblowing)
Con la presente informativa Morgan & Morgan S.r.l. (in seguito “Società”) intende fornire le indicazioni previste dagli artt.13 e 14 del Regolamento (UE) 2016/679 (in seguito “Regolamento GDPR”), in merito al trattamento dei dati personali effettuati dalla Società in base alle previsioni contenute nel D.Lgs. n. 24/23 (recante attuazione della Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23.10.19, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali) e, segnatamente, di tutte le attività e adempimenti connessi al funzionamento del sistema aziendale per la gestione delle segnalazioni whistleblowing.
Le informazioni che seguono vengono rese ai soggetti “segnalanti” e a tutti gli altri soggetti potenzialmente “interessati”, quali ad es. le persone indicate come possibili responsabili delle condotte illecite, eventuali soggetti “facilitatori” (come definiti dalla normativa di riferimento), nonché ogni altro soggetto a diverso titolo coinvolto nell’ambito della segnalazione.
1. Titolare del trattamento, dati e punto di contatto
Il Titolare del trattamento dei dati personali è la società Morgan & Morgan S.r.l., in persona del legale rappresentante pro tempore, con sede legale in Conegliano (TV), viale Carducci, n. 4, CAP 31015, P.IVA IT02323000261, tel. +39 0438 366311, e-mail: privacy@morganemorgan.com. Il referente per la società in tema di privacy (punto di contatto) è il dott. Morgan Moras, domiciliato per la carica presso la società titolare.
2. Categorie di dati personali trattati e finalità di trattamento
In osservanza alla normativa vigente, i dati personali potranno essere acquisiti dalla Società in quanto contenuti nelle segnalazioni, ovvero negli atti e documenti a queste allegati, pervenute alla stessa attraverso i canali usati per l’effettuazione delle segnalazioni interne e delle segnalazioni esterne.
La ricezione e la gestione di tali segnalazioni potrà dare luogo, a seconda del loro contenuto, al trattamento delle seguenti categorie di dati personali (per le cui definizioni si rimanda al Regolamento GDPR):
a) dati personali comuni tra i quali, ad es. i dati anagrafici (nome, cognome, data e luogo di nascita), i dati di contatto (numero telefonico fisso e/o mobile, indirizzo postale/e-mail), il ruolo/mansione lavorativa;
b) dati personali “particolari” tra i quali, ad es. le informazioni relative a condizioni di salute, opinioni politiche, convinzioni religiose o filosofiche, orientamento sessuale o appartenenza sindacale;
c) dati personali “giudiziari” relativi a condanne penali e reati o a connesse misure di sicurezza.
Riguardo alle suddette categorie di dati personali, si rimarca l’importanza che le segnalazioni inoltrate risultino prive di informazioni manifestamente irrilevanti ai fini della disciplina di riferimento, invitando in particolare i soggetti segnalanti ad astenersi dall’utilizzare dati personali di natura “particolare” e “giudiziaria” se non ritenuti necessari ed imprescindibili ai fini delle stesse, in ottemperanza ai principi applicabili al trattamento dei dati personali secondo il Regolamento GDPR.
Le suddette informazioni verranno trattate dalla Società, in qualità di Titolare del trattamento, secondo le disposizioni prescritte dal D.Lgs. n. 24/23 e, pertanto, in via generale, al fine di effettuare le necessarie attività istruttorie volte a verificare la fondatezza dei fatti oggetto di segnalazione e l’adozione dei conseguenti provvedimenti.
Inoltre, i dati potranno essere utilizzati dal Titolare del trattamento per finalità connesse ad esigenze di difesa o accertamento di propri diritti nel contesto di procedimenti giudiziali, amministrativi o stragiudiziali e nell’ambito di contenziosi civili, amministrativi o penali sorti in relazione alla segnalazione effettuata.
3. Basi giuridiche del trattamento dei dati personali
La base giuridica del trattamento dei dati personali è costituita principalmente dall’adempimento ad un obbligo legale a cui è soggetto il Titolare del trattamento, tenuto altresì ad implementare e gestire canali informativi dedicati alla ricezione delle segnalazioni di condotte illecite lesive dell’integrità della Società e/o dell’interesse pubblico.
Nei casi contemplati dalla medesima disciplina potrà essere richiesto, al soggetto segnalante, uno specifico e libero consenso e, segnatamente, laddove si ravveda la necessità di disvelarne l’identità, oppure qualora sia prevista la registrazione delle segnalazioni raccolte in forma orale, via telefono o tramite sistemi di messaggistica vocale, ovvero attraverso incontri diretti con il Responsabile della gestione delle segnalazioni.
Il trattamento di dati personali “particolari”, eventualmente inclusi nelle segnalazioni, si fonda sull’assolvimento di obblighi e sull’esercizio di diritti specifici del Titolare del trattamento e dell’interessato in materia di diritto del lavoro, ai sensi del Regolamento GDPR.
Quanto alla finalità di accertare, esercitare o difendere un diritto in sede giudiziaria, la relativa base giuridica del trattamento di dati personali è costituita, dal legittimo interesse del Titolare, come disciplinato dal Regolamento GDPR.
4. Natura del conferimento dei dati personali
Il conferimento dei dati personali è opzionale, attesa la possibilità di inoltrare alla Società anche segnalazioni anonime, ove presentino informazioni precise, concordanti e adeguatamente circostanziate, fermo restando quanto disposto dalla normativa, riguardo a tale fattispecie, in tema di misure di protezione a tutela del soggetto segnalante. Se conferiti, i dati personali saranno trattati per gestire la segnalazione secondo i limiti e con le garanzie di riservatezza imposti dalla normativa di riferimento.
5. Modalità di trattamento e periodo di conservazione dei dati personali
Il trattamento dei dati personali inclusi nelle segnalazioni pervenute verrà effettuato dai soggetti autorizzati dalla Società e sarà improntato ai principi ad esso applicabili ai sensi del Regolamento GDPR.
Il trattamento dei dati personali potrà essere effettuato con modalità analogiche e/o informatiche/telematiche, funzionali a memorizzarli, gestirli e trasmetterli, comunque in applicazione di adeguate misure, di tipo fisico, tecnico ed organizzativo, atte a garantire la loro sicurezza e la riservatezza in ogni fase della procedura, ivi compresa l’archiviazione della segnalazione e dei relativi documenti – fatto salvo quanto previsto dall’art. 12 del D.Llgs. n. 24/23 – con particolare riferimento all’identità del segnalante, delle persone coinvolte e/o comunque menzionate nelle segnalazioni, del contenuto delle stesse e della relativa documentazione.
Le segnalazioni ricevute dalla Società, unitamente agli atti e documenti acclusi, verranno conservate per il tempo necessario al trattamento/gestione delle stesse e, in ogni caso, come previsto dalla normativa, per un periodo non eccedente cinque anni dalla data delle comunicazioni dei relativi esiti finali. Successivamente a tale termine, le segnalazioni verranno eliminate dal sistema, oppure conservate in forma anonimizzata.
I dati personali inclusi nelle segnalazioni manifestamente irrilevanti ai fini delle stesse verranno immediatamente cancellati.
6. Ambiti di comunicazione e trasferimento dei dati personali
Oltre che dalle predette figure interne specificatamente autorizzate dal Titolare, i dati personali raccolti potranno essere trattati, nel presente ambito e nel perseguimento delle suindicate finalità, anche da soggetti terzi formalmente designati (ai sensi del Regolamento GDPR) quali Responsabili del trattamento, ovvero (a titolo esemplificativo):
– fornitori di servizi di consulenza ed assistenza nell’implementazione della gestione dell’ambito whistleblowing;
– società e professionisti IT nella realizzazione, implementazione ed applicazione di adeguate misure di sicurezza tecnico-informatiche e/o organizzative sulle informazioni processate dal sistema aziendale.
Sussistendone gli estremi, i dati personali potranno essere trasmessi all’Autorità Giudiziaria e/o Organi di Polizia che ne facciano richiesta nel contesto di indagini giudiziarie.
I dati personali verranno trattati all’interno dello Spazio Economico Europeo (SEE) e conservati in server ivi ubicati.
In nessun caso i dati personali saranno oggetto di diffusione.
7. Diritti dell’interessato
Ciascun soggetto interessato ha il diritto di esercitare i diritti previsti dal Regolamento GDPR, al fine di ottenere dal Titolare del trattamento, ad es. l’accesso ai propri dati personali, la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda, ferma restando la possibilità, in mancanza di soddisfacente riscontro, di proporre reclamo all’Autorità Garante per la protezione dei dati personali.
Per l’esercizio di tali diritti, è necessario inoltrare specifica richiesta in forma libera al seguente recapito del Titolare: privacy@morganemorgan.com, ovvero trasmettere al medesimo indirizzo il modulo disponibile sul sito web dell’Autorità Garante per la protezione dei dati personali.
Al riguardo, si informa che i predetti diritti in capo agli interessati al trattamento di dati personali potranno venire limitati, come previsto dal D.Lgs. 196/03, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, qualora dal loro esercizio possa derivare un pregiudizio concreto ed effettivo alla riservatezza dell’identità dei soggetti segnalanti.
In tali fattispecie, gli interessati avranno comunque facoltà di rivolgersi all’Autorità Garante affinché quest’ultima valuti se ricorrono i presupposti per agire con le modalità previste dal citato D.Lgs. n. 196/03.