INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
WHISTLEBLOWING
Informativa di sintesi
|
|
Titolare del trattamento |
IL FARO Società Cooperativa Sociale via Giovanni XXIII 45, Macerata Tel 0733/202933 email ilfaro@ilfarosociale.it, Pec: ilfaro@pec-ecocae.it |
|
|
Responsabile della Protezione dei dati / Ufficio Privacy |
Email DPO: dpo@ilfarosociale.it |
|
|
Dati trattati (trattamento facoltativo) |
|
|
|
Finalità primaria del trattamento |
acquisizione e gestione delle segnalazioni di fatti illeciti e per la gestione dell'eventuale istruttoria per i successivi procedimenti |
|
|
Base giuridica del trattamento |
|
|
|
Destinatari dei dati personali |
|
|
|
Periodo di conservazione dei dati |
|
INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
WHISTLEBLOWING
IL FARO Società Cooperativa Sociale informa gli interessati riguardo il trattamento dei loro dati personali nell’ambito dell’attività di acquisizione e gestione delle segnalazioni di illeciti (c.d. “whistleblowing”).
Questa informativa viene resa ai sensi degli artt. 13 e 14 Regolamento UE 2016/679 sulla protezione dei dati personali (“GDPR”) e del D.l. del 10 marzo 2023, n. 24, in accordo ai principi di trasparenza e correttezza e nel rispetto dei diritti degli interessati.
TITOLARE DEL TRATTAMENTO
Chi tratta i dati personali e a chi l'interessato può rivolgersi per avere informazioni ed esercitare i propri diritti
Il titolare del trattamento è IL FARO Società Cooperativa Sociale, via Giovanni XXIII 45, Macerata, stabilito nell'Unione Europea, che può essere contattato ai seguenti recapiti: telefono 0733/202933, ilfaro@ilfarosociale.ie, PEC: ilfaro@pec-ecocae.it
RESPONSABILE PER LA PROTEZIONE DEI DATI (“RPD”)
A chi può rivolgersi l'interessato per avere informazioni ed esercitare i propri diritti
IL FARO Società Cooperativa Sociale ha individuato un Responsabile della Protezione dei Dati al quale è possibile rivolgersi per qualunque informazione inerente il trattamento dei dati personali, l'esercizio dei diritti degli interessati, le politiche e le misure di sicurezza adottate, l’elenco dei responsabili che effettuano operazioni di trattamento sui dati personali.
Il Responsabile della Protezione dei Dati può essere contattato all’indirizzo: dpo@ilfarosociale.it
INTERESSATI AL TRATTAMENTO
I soggetti di cui sono trattati i dati e a cui sono riconosciuti i diritti
Gli interessati al trattamento sono coloro che interagiscono il Titolare del trattamento: il soggetto segnalante, la persona coinvolta (segnalato), il facilitatore, le altre persone eventualmente menzionate nella segnalazione.
ORIGINE DEI DATI
Da dove provengono i dati personali
I dati del segnalante sono acquisiti presso l'interessato in occasione della ricezione e gestione della segnalazione. I dati personali del segnalato e/o di terzi sono forniti dal soggetto segnalante.
CATEGORIE DI DATI PERSONALI
Quali dati sono trattati
Il trattamento riguarda dati personali del segnalante e delle persone coinvolte, raccolti mediante la segnalazione, quali nome, cognome, indirizzo email, indirizzo postale, qualifica professionale.
In relazione alle necessità di gestione della segnalazione possono essere acquisiti anche telefono, codice fiscale, copia del documento di identità qualora necessario all'identificazione del segnalante.
Ai dati ricevuti in occasione della segnalazione possono aggiungersi quelli che possono essere già nella disponibilità del Titolare del trattamento o acquisiti nell’ambito delle attività volte alla verifica della fondatezza della denuncia e di quanto in essa descritto, sempre nel rispetto delle disposizioni di legge.
In relazione all'oggetto della segnalazione potrebbero essere trattati dati personali qualificabili come particolari (ovvero quei dati che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona)
Salvo specifiche disposizioni di legge e nel rispetto delle previsioni di cui all’art. 10 del GDPR, non saranno trattati dati personali relativi a condanne penali e reati e IL FARO Società Cooperativa Sociale tratterà questi dati solamente qualora liberamente forniti dal segnalante quali elementi caratterizzanti della segnalazione.
Qualora vi sia necessità di acquisire e trattare dati di tipo particolare o relativi a condanne penali e reati sarà cura del Titolare del trattamento informare gli interessati in merito.
FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO
Per quale motivo sono trattati i dati
Il trattamento dei dati personali avviene per le finalità di acquisizione e gestione delle segnalazioni di fatti illeciti e per la gestione dell'eventuale istruttoria per i successivi procedimenti.
La base giuridica di tale trattamento è rappresentata dall’art. 6, c. 1, lett. c) del GDPR (adempimento di un obbligo legale al quale è soggetto il titolare del trattamento).
La segnalazione potrà essere utilizzata per un eventuale il procedimento disciplinare solo in caso di un espresso consenso del segnalante a rivelare la sua identità (art 6 par 1 lett a) del GDPR), ove la stessa sia necessaria per lo svolgimento del procedimento.
La segnalazione telefonica o tramite messaggistica potrà essere registrata o trascritta solo con espresso consenso del segnalante (art 6 par 1 lett a) del GDPR).
I dati, inclusi quelli di natura sensibile, possono essere trattati in relazione alla la necessità di accertare, esercitare o difendere un diritto in sede giudiziaria, qualora risultasse necessario in base alle evidenze rilevate nel corso dell’istruttoria (art 9 par 2 lett. f) del GDPR), per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale (art. 9, par. 2, lett. b) GDPR).
I dati possono essere trattati sulla base dell’interesse legittimo del Titolare per finalità di tutela del patrimonio aziendale, in relazione alle evidenze contenute nella segnalazione (art 6 par 1 lett f) del GDPR).
I dati possono inoltre essere trattati per finalità relative ad ulteriori obblighi legali al quale la nostra organizzazione può essere soggetta, ovvero:
- adempiere agli obblighi generali previsti dalla legge, dai regolamenti, dalla normativa comunitaria o da ordini impartiti dalle Autorità ed altre Istituzioni competenti
- dare seguito a richieste da parte dell'Autorità amministrativa o giudiziaria competente e, più in generale, di soggetti pubblici nel rispetto delle formalità di legge
MODALITÀ DEL TRATTAMENTO
In che modo sono trattati i dati
Le Segnalazioni vengono ricevute esclusivamente dalle funzioni dedicate alla gestione delle segnalazioni, facenti parte dell’Ufficio Segnalazioni, che gestiscono le medesime secondo una procedura prestabilita, resa disponibile nella sezione whistleblowing del sito web istituzionale ilfarosociale.it
Il trattamento avviene mediante l’utilizzo di procedure e strumenti, anche informatici, idonei a garantire l'integrità e la disponibilità dei dati, nonché la riservatezza dell'identità' della persona segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché' del contenuto della segnalazione e della relativa documentazione. L’identità del segnalante viene protetta ad eccezione dei casi in cui sia configurabile una responsabilità a titolo di calunnia e di diffamazione e delle ipotesi in cui l’anonimato non sia opponibile per legge.
I dati personali sono trattati esclusivamente da parte di personale autorizzato ed istruito, competente a ricevere o a dare seguito alle segnalazioni, obbligato alla riservatezza ed al quale è consentito l’accesso ai dati personali nella misura e nei limiti in cui esso è necessario per lo svolgimento delle attività di trattamento.
PIATTAFORMA DI SEGNALAZIONE
Il canale digitale di segnalazione, in particolare, adotta specifici sistemi di crittografia in grado di proteggere i dati nelle fasi di transito e memorizzazione.
SEGNALAZIONE A MANO O VIA POSTA ORDINARIA
Nelle ipotesi in cui la segnalazione sia trasmessa a mano o tramite servizio postale, il mittente dovrà utilizzare almeno una doppia busta, indicando sul plico esterno una chiara dicitura della destinazione, come “Riservata all'Ufficio Segnalazioni”, senza indicare i propri dati personali sul plico esterno, che potranno essere trascritti su quello interno. In tal modo potrà essere garantito al segnalante che i dati della segnalazione non siano visibili al personale addetto allo smistamento e alla consegna della posta.
SEGNALAZIONE VIA TELEFONO O MESSAGGISTICA
Nelle ipotesi in cui la segnalazione sia trasmessa mediante una linea telefonica registrata o un sistema di messaggistica vocale registrato, la segnalazione è registrata o trascritta, a cura del personale addetto, previo consenso del segnalante. In caso di trascrizione, il segnalante può verificare, rettificare o confermare il contenuto della trascrizione mediante la propria sottoscrizione.
SEGNALAZIONE VIA POSTA ELETTRONICA
La segnalazione può avvenire tramite l’indirizzo di posta indicato. Si ricorda che la trasmissione di dati ed informazioni tramite posta elettronica, personale o istituzionale, non può ritenersi totalmente sicura ed alcune informazioni digitali esteriori (tra cui i metadati, LOG, indirizzi IP e sorgenti del messaggio) possono consentire l'identificazione del mittente: si raccomanda pertanto l'utilizzo delle altre modalità messe a disposizione allo scopo.
PROCESSO DECISIONALE AUTOMATIZZATO E PROFILAZIONE
Nel trattamento dei dati personali non è adottato un processo decisionale automatizzato, compresa la profilazione, di cui all’art. 22, paragrafi 1 e 4, del GDPR.
DURATA DEL TRATTAMENTO
Per quanto tempo vengono trattati i dati
Le segnalazioni e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e, se del caso, all’adozione dei provvedimenti disciplinari conseguenti e/o all’esaurirsi di eventuali contenziosi avviati a seguito della segnalazione.
Il trattamento non si protrarrà oltre 5 anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.
Successivamente tali dati potranno essere trattati in forma anonima per finalità statistiche o di storicizzazione.
GESTIONE DELLE VIOLAZIONI (“DATA BREACH”)
I dati saranno conservati con decorrenza dalla rilevazione dell’evento di pericolo o di violazione dei dati (data breach), per il tempo necessario a procedere alla notificazione all’Autorità della violazione dei dati rilevati e per adottare le relative misure di ripristino e messa in sicurezza.
OBBLIGO O FACOLTÀ DI CONFERIRE I DATI
Il conferimento dei dati personali da parte del segnalante è facoltativo, essendo comunque possibile la forma della “segnalazione anonima”. Il mancato conferimento potrebbe tuttavia pregiudicare l’istruttoria, in qualora i dati siano necessari all’esecuzione della stessa.
Si ricorda che le segnalazioni effettuate in forma anonima possono essere prese in considerazione solo se adeguatamente circostanziate e rese con dovizia di particolari ovvero con tutti gli elementi informativi utili per verificarle.
DESTINATARI DEI DATI
A quali soggetti vengono comunicati i dati
AMBITO DI CONOSCENZA INTERNO ALL'ORGANIZZAZIONE
Vengono a conoscenza dei dati personali le funzioni autonome dedicate alla gestione delle segnalazioni e dell'eventuale istruttoria per i successivi procedimenti.
Qualora, all’esito della verifica, non si ravvisino elementi di manifesta infondatezza del fatto segnalato, la funzione provvederà a trasmettere l’esito dell’accertamento per approfondimenti istruttori o per l’adozione dei provvedimenti di competenza:
- alla funzione Responsabile delle risorse umane nonché al Responsabile dell’unità organizzativa di appartenenza dell’autore della violazione, affinché sia espletato, ove ne ricorrano i presupposti, l’esercizio dell’azione disciplinare;
- agli organi e alle strutture competenti organizzazione affinché adottino gli eventuali ulteriori provvedimenti e/o azioni ritenuti necessari, anche a tutela dell’organizzazione stessa;
COMUNICAZIONE DEI DATI ALL'ESTERNO
La comunicazione dei dati personali avviene per l’espletamento delle attività inerenti alla gestione della segnalazione, nonché per rispondere a determinati obblighi di legge. In particolare, la comunicazione potrà avvenire nei confronti di:
- soggetti pubblici o privati in presenza di violazioni delle normative applicabili o che possono accedervi in forza di disposizione di legge, di regolamenti o di normativa comunitaria, nei limiti previsti da tali norme (Istituzioni, Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia, Corte dei conti, ANAC)
- consulenti e professionisti (es. studi legali) eventualmente coinvolti nella fase istruttoria della segnalazione, nei limiti necessari per svolgere il loro incarico presso la nostra organizzazione, previa designazione quali responsabili del trattamento che impone il rispetto di istruzioni e doveri di riservatezza e sicurezza al fine di poter garantire la riservatezza e la protezione dei dati.
- fornitori di servizi, inclusi i fornitori del servizio di erogazione e gestione operativa della piattaforma tecnologica di segnalazioni whistleblowing, strumentali al perseguimento delle finalità di gestione delle segnalazioni, previa designazione quali responsabili del trattamento
L’elenco dei responsabili del trattamento è disponibile presso il Titolare del trattamento.
La comunicazione dei Suoi dati personali è limitata esclusivamente ai dati necessari per il raggiungimento delle specifiche finalità cui sono destinati.
La segnalazione e la documentazione allegata è sottratta al diritto di accesso agli atti previsto dalla legge n. 241/1990, e all’accesso civico generalizzato di cui all’ art. 5, co. 2, d.lgs 33/2013. Nel caso in cui la segnalazione sia stata trasmessa anche a soggetti diversi da quelli indicati dalla legge e, per questo, l’identità del segnalante sia stata svelata, la segnalazione non è più considerata sottratta all’accesso. Qualora la segnalazione sia oggetto di istanza di ostensione, si applicheranno le discipline delle singole tipologie di accesso.
I dati personali non verranno diffusi (ad esempio tramite pubblicazione).
TRASFERIMENTO DEI DATI PERSONALI AL DI FUORE DELL'UE
I Suoi dati personali non saranno trasferiti in terzi non appartenenti all’Unione Europea.
I DIRITTI DELL'INTERESSATO
L’interessato ha il diritto esercitare i diritti che gli sono riconosciuti, ai sensi degli artt. da 15 a 22 del Regolamento UE 2016/679, ovvero:
- chiedere la conferma dell’esistenza o meno di propri dati personali trattati;
- ottenere le indicazioni circa le finalità del trattamento, le categorie dei dati personali trattati, i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, il periodo di conservazione dei dati o i criteri utili per determinarlo;
- aggiornare, rettificare, integrare i dati personali, affinché siano sempre esatti e completi;
- cancellare i dati personali quando non più necessari per le finalità del trattamento, qualora sussistano le condizioni di legge ed il trattamento non sia giustificato da altro legittimo motivo;
- limitare il trattamento dei dati personali, qualora ne sussistano le condizioni, tra cui l’inesattezza, l'opposizione al trattamento, il trattamento illecito.
- opporsi al trattamento in qualsiasi momento
- revocare il consenso, qualora fornito per specifiche attività di trattamento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso svolto prima della revoca stessa;
- il diritto di proporre reclamo a un'Autorità di Controllo (Autorità Nazionale: Garante Per la Protezione dei Dati Personali, email: garante@gpdp.it): fatta salva ogni altra azione in sede amministrativa o giudiziaria, il reclamo può essere presentato all’Autorità Garante per la protezione dei dati personali. Oppure, qualora ve ne siano le condizioni, tra cui la Sua diversa residenza o il diverso Stato membro presso cui sia avvenuta la violazione della normativa, presso le autorità di controllo stabilite in altro paese UE.
Per esercitare tali diritti può rivolgersi, con richiesta rivolta senza formalità, al Titolare del trattamento, IL FARO Società Cooperativa Sociale, i cui dati di contatto sono indicati all'inizio di questa informativa, che procederà in tal senso senza ritardo.
Se dall’esercizio dei diritti possa derivare un pregiudizio alla tutela della riservatezza dell’identità del segnalante, alla persona coinvolta o la persona menzionata nella segnalazione è preclusa la possibilità di rivolgersi al Titolare del trattamento. In tal caso i diritti potranno essere esercitati per tramite del Autorità Garante per la protezione dei dati personali (con le modalità di cui all'articolo 160 del Codice Privacy). In tale ipotesi, l'Autorità Garante informa l'interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché' del diritto dell'interessato di proporre ricorso giurisdizionale.
Qualora IL FARO Società Cooperativa Sociale intenda avviare un trattamento dei dati per finalità ulteriori rispetto a quelle di cui alla presente informativa, provvederà, prima di procedervi, ad informarLa e ad ottenere, se necessario, il relativo consenso.
AGGIORNAMENTI
IL FARO Società Cooperativa Sociale aggiorna le politiche e le prassi interne adottate nella protezione dei dati personali ogni qualvolta sia necessario ed in caso di modifiche normative e organizzative che abbiano rilevanza sul trattamento dei dati personali.
Ogni aggiornamento della presente informativa sarà reso disponibile tempestivamente e mediante mezzi congrui.
Ultimo aggiornamento 04.12.2023
