Whistleblowing
INFORMATIVA PRIVACY WHISTLEBLOWING
AI SENSI ART. 13 E 14 REG.UE 679/2016 – GDPR
Ai sensi dell'art. 13 del Regolamento UE n. 679/2016 (di seguito GDPR) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali alla loro libera circolazione, Forging Group Monale Srl (di seguito F.G.M.) nella qualità di titolare del trattamento dei dati personali desidera fornirle tutte le informazioni relative al trattamento dei dati personali del soggetto interessato che effettua una segnalazione (di seguito, “il Segnalante”) e degli altri soggetti interessati, menzionati o coinvolti nella segnalazione stessa, o dei potenziali responsabili degli illeciti oggetto di segnalazione (di seguito, “il Segnalato”).
TITOLARE DEL TRATTAMENTO
Il titolare del trattamento è Forging Group Monale Srl (di seguito F.G.M., l’azienda) con sede legale in via Legnano 26, 10128 Torino e sede operativa in Castellero 18/20, 14013 Monale d’Asti (AT).
TIPI DI DATI TRATTATI
Qualora il Segnalante decida di non effettuare una segnalazione anonima optando per la segnalazione “in forma confidenziale” e/o utilizzando gli altri canali alternativi (posta elettronica, modalità cartacea con consegna a mano, incontro di persona con interlocuzione orale diretta), il Titolare tratterà i seguenti dati personali riferibili allo stesso:
→ dati identificativi comuni (cognome e nome);
→ eventuali dati particolari;
→ eventuali dati giudiziari;
→ qualsiasi altro dato personale contenuto nella segnalazione;
→ dati personali che potrebbero emergere dalle successive attività istruttorie.
MODALITÀ DI RACCOLTA DEI DATI TRATTATI
I dati possono essere forniti/raccolti attraverso:
→ la segnalazione, da parte del segnalante;
→ durante il processo di gestione della segnalazione;
→ nel corso delle necessarie attività istruttorie;
→ attraverso i LOG di traffico sulle connessioni alla piattaforma di segnalazione registrati sui sistemi aziendali della società.
BASI GIURIDICHE APPLICATE
Il trattamento avviene nel rispetto dei principi fissati dagli artt. 5 e 6 GDPR di seguito elencati:
→ art. 6 par. 1 lett. c): il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
→ art. 6 par. 1 lett. f): il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi;
→ art. 9 par. 2 lett. g): g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;
→ art. 10: Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell'articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica.
FINALITÀ DEL TRATTAMENTO DATI
I suoi dati possono essere trattati per le seguenti finalità:
→ gestire e di dare diligente seguito alle segnalazioni ricevute, ivi incluse le attività di accertamento ed indagini interne legate alla verifica delle condotte oggetto di segnalazione e l’instaurazione di procedimenti, anche disciplinari, nei limiti di quanto richiesto dalle norme applicabili. Inoltre, i dati personali potranno essere trattati per dare seguito a richieste da parte dell’autorità amministrativa o giudiziaria competente e, più in generale, dei soggetti pubblici nel rispetto delle formalità di legge. I dati saranno trattati, altresì, per prevenire e contrastare efficacemente comportamenti fraudolenti e condotte illecite o irregolari e di supportare l’effettiva applicazione e l’operatività del Modello di Organizzazione e Gestione ex d.lgs. 231/2001.
→ Soddisfare esigenze di controllo interno del Titolare e di monitoraggio dei rischi aziendali, nonché assicurare l’ottimizzazione e l’efficientamento dei processi gestionali aziendali e amministrativi interni; accertare, esercitare o difendere un diritto o un interesse legittimo del Titolare in ogni sede competente a garanzia dell’esercizio del diritto di difesa ex art. 24 della Costituzione; gestire la sicurezza informatica e tutelare il patrimonio e la sicurezza dei dati, l’assistenza degli utenti e la manutenzione dei sistemi di sicurezza e protezione perimetrale dei log di traffico riguardanti le connessioni alla piattaforma di whistleblowing registrati sui sistemi aziendali.
→ Qualora il Segnalante decida di effettuare una segnalazione “in forma confidenziale”, ossia nominativa, e/o decida di utilizzare i canali alternativi alla piattaforma Whistleblower Software Aps scegliendo come mezzo di comunicazione l’invio di una e-mail, la consegna a mano di una segnalazione scritta in modalità cartaceo oppure l’interlocuzione orale con il soggetto preposto alla ricezione delle segnalazioni, il trattamento dei dati identificativi del Segnalante è legittimato dalla volontà dello stesso che li ha resi noti ai destinatari della comunicazione per fini di tutela d’interesse pubblico. Nel caso in cui sia necessario rivelare l'identità della persona segnalante e/o qualsiasi altra informazione dalla quale possa evincersi, anche indirettamente, l'identità dell'interessato a persone diverse da quelle deputate alla ricezione e gestione delle segnalazioni, per garantire la difesa dell'incolpato la base giuridica è rappresentata dal consenso espresso della stessa persona segnalante.
CONFERIMENTO DEI DATI
Al fine di effettuare una segnalazione, il conferimento di dati personali è facoltativo e dipende dalla modalità di segnalazione scelta dal soggetto segnalante fra quelle indicate dalla Società; tuttavia, se conferiti, in taluni casi può rendersi necessario un loro utilizzo da parte del personale autorizzato per il perseguimento delle finalità già espresse. Il mancato conferimento dei dati necessari a dare seguito alla segnalazione impedirà l’esecuzione delle attività.
DESTINATARI DEI DATI
I dati personali suindicati saranno trattati per conto del Titolare, al fine di consentire la gestione delle segnalazioni, da parte del soggetto nominato quale Destinatario delle segnalazioni, autorizzato a: i) gestire le segnalazioni, ii) effettuare le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto della segnalazione, iii) adottare gli eventuali provvedimenti. In particolare, sulla base dei ruoli e delle mansioni lavorative espletate, il trattamento dei dati personali avverrà ad opera di soggetti specificamente istruiti e autorizzati a compiere operazioni di trattamento e preposti alla gestione della segnalazione.
Il fornitore della Piattaforma informatica opera quale Responsabile del trattamento debitamente nominato ex art. 28 del GDPR.
Nell’ambito di un procedimento disciplinare l’identità della persona segnalante non può essere rivelata a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni o, comunque, autorizzate, ove la contestazione sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Tuttavia, qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell'incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona Segnalante alla rivelazione della propria identità.
Nei casi in cui sia tecnicamente impossibile escludere la registrazione o l’anonimizzazione dei log, la loro eventuale consultazione potrà avvenire solo ed esclusivamente da parte dei soggetti tecnici autorizzati solo ed esclusivamente per finalità di risoluzione di incidenti informatici; l’iter prevede che il DPO sia informato rispetto a tale circostanza.
TRASFERIMENTO DATI ALL’ESTERO
Il Titolare del trattamento non trasferisce i dati personali in Paesi terzi e tutti i dati sono localizzati su server in Europa. Nel caso in cui si rendesse necessario un trasferimento di dati extra UE, la Società verificherà che i fornitori prestino garanzie adeguate, così come previsto dall’art. 46 GDPR, e provvederà ad aggiornare la presente informativa.
TEMPI DI CONSERVAZIONE
I dati personali raccolti saranno conservati per il tempo strettamente necessario ad espletare le finalità già indicate nei precedenti paragrafi e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della segnalazione, salvo il caso in cui si renda necessario in virtù di obblighi previsti dalla legge (ad esempio, il caso in cui sia in corso un procedimento giudiziario o disciplinare, fino alla conclusione dello stesso).
Il Titolare, giunto tale termine, provvederà alla cancellazione dei dati personali.
MODALITÀ DI TRATTAMENTO
In relazione alle indicate finalità, il trattamento dei dati personali avverrà da parte di risorse debitamente autorizzate ed istruite, prevalentemente con modalità informatiche, mediante l’apposita Piattaforma di segnalazione, secondo quanto descritto nella Procedura Whistleblowing, con logiche strettamente correlate alle finalità stesse e, comunque, adottando misure tecniche e organizzative tali da garantire un livello di sicurezza adeguato a garantire la riservatezza dei Segnalanti e di eventuali altri soggetti coinvolti e la confidenzialità delle informazioni presenti all’interno delle segnalazioni, prevenendo il rischio di divulgazione non autorizzata dei dati o l'accesso, in modo accidentale o illegale, agli stessi.
DIRITTI DEGLI INTERESSATI
Al fine di assolvere gli obblighi previsti dal Regolamento in oggetto F.G.M. ricorda quali siano i diritti degli interessati applicabili.
Art. 15 GDPR diritto di accesso ai dati
L'interessato ha il diritto di chiedere la conferma
dell'esistenza o meno del trattamento dei propri dati personali, di ottenere l'accesso ai propri dati personali e a determinate informazioni specificatamente indicate all'art. 15 del GDPR. L’interessato al diritto di ottenere:
→ le indicazioni circa le finalità del trattamento, le categorie dei dati personali, i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati e, quando possibile, il periodo di conservazione.
Art. 16 GDPR diritto di rettifica dei dati
L'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Art. 17 GDPR diritto di cancellazione dei dati
L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, salvo non vi siano motivi impeditivi all'esercizio del suddetto diritto.
Art. 20 GDPR diritto di portabilità dei dati
Se il trattamento si basa sul consenso o su un contratto ed effettuato con mezzi automatizzati, l'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento sen-za impedimenti da parte del titolare del trattamento cui li ha forniti.
Art. 21 GDPR diritto di opposizione
L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali basati sull'interesse legittimo del titolare o sul suo consenso, compresa la profilazione, salvo che il titolare dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sugli interessi, sui diritti e sulle libertà dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
Art. 22 GDPR processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
Si ricorda che il titolare del trattamento non utilizza processi decisionali automatizzati compresa la profilazione.
Art. 77 GDPR diritto di produrre reclamo all’autorità di controllo
Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento che lo riguarda violi il presente Regolamento ha il diritto di proporre reclamo a un'autorità di controllo, segnatamente nello stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione. (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4535524)
ATTENZIONE: in base a quanto previsto dall’art. 2-undecies e 2-duodecies del d.lgs. 196/2003 “Codice Privacy”, il Titolare si riserva la facoltà di limitare o ritardare l’esercizio di tali diritti, nei limiti di quanto stabilito dalle disposizioni di legge applicabili, in particolare laddove sussista il rischio che possa derivare un pregiudizio effettivo, concreto e non altrimenti giustificato alla riservatezza dell’identità del Segnalante e che si possa compromettere la capacità di verificare efficacemente la fondatezza della segnalazione o di raccogliere prove necessarie.
In particolare, l’esercizio di tali diritti:
→ sarà possibile conformemente alle disposizioni di legge o di regolamento che regolano il settore (tra cui il d.lgs. 231/2001 e ss.mm.ii.);
→ potrà essere ritardato, limitato o escluso previa comunicazione motivata all’interessato, a meno che la comunicazione possa compromettere le finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare la riservatezza dell’identità del Segnalante.
COME ESERCITARE I PROPRI DIRITTI
In caso di richiesta da parte sua di informazioni relative ai suoi dati il titolare del trattamento darà riscontro al più presto e comunque non oltre 30 giorni dall'istanza.
L'esercizio dei diritti da parte dell'interessato è gratuito ai sensi dell'art. 12 GDPR. Tuttavia, nel caso di richieste manifestamente infondate o eccessive anche per la loro ripetitività, il titolare del trattamento potrebbe addebitare all'interessato un contributo spese ragionevole alla luce dei costi amministrativi sostenuti per gestire la sua pratica, o negare la soddisfazione della sua richiesta.
L’indirizzo mail per poter esercitare agevolmente i propri diritti è: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo..
Qualora non fosse possibile per l’interessato inviare tale richiesta via e-mail, potrà essere inviata via posta ordinaria tramite raccomandata AR presso la sede operativa dell’azienda: Forging Group Monale Castellero 18/20, 14013 Monale d’Asti (AT).
Monale d’Asti, 12/12/2023