INFORMATIVA PER IL TRATTAMENTO DI DATI PERSONALI RESA PER LA GESTIONE DELLE SEGNALAZIONI WHISTLEBLOWING EX D.LGS. N. 24/2023
ai sensi degli articoli 13 e 14 del Regolamento UE 679/2016 (GDPR) in materia di protezione dei dati personali
Gentile Utente,
Ambrosi S.p.A., con sede legale in Via Palmiro Togliatti, n. 56, Loc. Taverne, Corciano (PG), e Ambrosi Auto S.p.A., con sede legale in Via Tripoli, 110, Roma, in qualità di Contitolari del trattamento (di seguito anche congiuntamente “Contitolari” o “Società”), in ottemperanza alla vigente normativa in materia di Whistleblowing, come prescritto dal Regolamento Europeo 2016/679 (GDPR) e dal D.Lgs. 24/2023 (Decreto Whistleblowing), Le forniscono le informazioni che seguono.
1. Contitolari del trattamento.
I Contitolari del trattamento dei dati personali, ovvero i soggetti cui spettano le decisioni riguardo alle finalità, modalità di trattamento e sicurezza dei dati personali, sono Ambrosi S.p.A. ed Ambrosi Auto S.p.A., nella persona dei rispettivi legali rappresentanti p.t. I reciproci rapporti sono regolati da apposito accordo di contitolarità.
Per qualunque domanda o richiesta legata al trattamento dei Suoi dati personali può contattarci inviando una richiesta ai seguenti recapiti:
Ambrosi S.p.A, Via P. Togliatti, n. 56, 06073 Loc. Taverne, Corciano (PG)
E-mail: privacy@ambrosispa.it
PEC: ambrosispa@pec.it
2. Tipologia dei dati personali oggetto di trattamento.
La ricezione e la gestione delle segnalazioni whistleblowing può dare luogo a trattamenti di dati personali c.d. “comuni” (nome, cognome, ruolo lavorativo, ecc.) e può dar luogo, a seconda del contenuto delle segnalazioni e degli atti e documenti a queste allegati, a trattamenti di dati personali c.d. “particolari” (dati relativi a condizioni di salute, orientamento sessuale o appartenenza sindacale) e di dati personali relativi a condanne penali e reati.
In ogni caso, si ricorda che la segnalazione non dovrà contenere fatti non rilevanti ai fini della stessa, né categorie particolari di dati personali, di cui all’art. 9 del GDPR (di seguito anche “Categorie particolari di dati”, cioè quelli da cui possono eventualmente desumersi, fra l’altro, l’origine razziale ed etnica, le convinzioni filosofiche e religiose, l’adesione a partiti o sindacati, nonché lo stato di salute la vita sessuale o l’orientamento sessuale), né dati relativi a condanne penali e reati di cui all’art. 10 del GDPR, salvo i casi in cui ciò sia inevitabile e necessario ai fini della Segnalazione stessa.
Le Società avranno comunque cura di trattare unicamente i dati strettamente necessari alla gestione della singola segnalazione, andando a cancellare qualsiasi dato ulteriore eventualmente conferito alla stessa, in ragione del principio di minimizzazione.
I dati oggetto di trattamento si riferiscono al soggetto segnalante e possono altresì riferirsi a persone indicate come possibili responsabili delle violazioni, nonché a quelle a vario titolo coinvolte o menzionate nella segnalazione.
3. Finalità e basi giuridiche del trattamento.
Finalità(Perchè trattiamo i Suoi dati) |
Base giuridica(Sulla base di quale disposizione di legge li trattiamo) |
Conseguenze(Cosa accade se Lei rifiuta di conferire i dati personali e/o di autorizzare il trattamento) |
Per dare seguito alle segnalazioni pervenute; per svolgere le necessarie attività istruttorie volte a verificare la fondatezza di quanto segnalato |
Art. 6, Par. 1, Lett. c) GDPR (il trattamento è necessario all’adempimento degli obblighi previsti a carico della Società dal D.lgs. 24/2023 e s.m.i.) Art. 9, par. 2, Lett. b) GDPR (il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato) - per quanto concerne i dati particolari. Art. 10 GDPR e art. 2-octies D.Lgs. 196/2003 per i dati relative a condanne penali e reati – nell’adempimento degli obblighi di legge di cui al Decreto |
Il conferimento dei dati è necessario per godere delle tutele di cui al D.Lgs. 24/2023. Le segnalazioni possono comunque essere inviate anche con modalità anonima. La invitiamo, a riguardo, a voler consultare la Procedura Whistleblowing adottata dalla Società. |
Per esigenze di difesa dei diritti nel corso di procedimenti giudiziali, amministrativi o stragiudiziali e nell’ambito di controversie sorte in relazione alla segnalazione effettuate; per agire in giudizio o avanzare pretese |
Art. 6, par. 1, Lett. f) GDPR (il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali) |
In questo caso non è richiesto un nuovo e specifico conferimento di dati personali, poichè saranno trattati i medesimi dati già trattati per la gestione della segnalazione di cui al punto precedente. |
Per rivelare la sua identità come persona segnalante a persone diverse a quelle preposte alla gestione della segnalazione, nei casi espressamente previsti dall’art. 12 D.Lgs. 24/2023, salvo obblighi di legge (es. procedimento penale instaurato a seguito della segnalazione) |
Art. 6, Par. 1, Lett. a) GDPR (l’interessato ha espresso il consenso a rivelare la sua identità nei casi previsti dall’art. 12 D.Lgs. 24/2023 per dar seguito alla segnalazione; in tal caso, il consenso le verrà richiesto al momento del verificarsi delle circostanze normativamente previste) |
In assenza del suo consenso non si procederà al rivelamento della sua identità, salvo obblighi di legge |
4. Modalità di trattamento.
I dati forniti al momento della segnalazione e i dati contenuti nelle segnalazioni saranno trattati secondo i principi di correttezza, liceità, trasparenza e di tutela della riservatezza e dei diritti, suoi e di tutti gli interessati, nel rispetto degli obblighi di riservatezza imposti dalla normativa sulla privacy e dalla legge sul whistleblowing.
Il trattamento sarà effettuato con strumenti informatici e telematici con logiche di organizzazione ed elaborazione strettamente correlate alle finalità sopra indicate e comunque in modo da garantire la sicurezza, l'integrità e la riservatezza dei dati stessi nel rispetto delle misure organizzative, fisiche e logiche previste dalle disposizioni vigenti.
In particolare, i Contitolari del trattamento, in conformità a quanto previsto dal Decreto Whistleblowing, si sono dotati di una piattaforma informatica, quale canale di segnalazione interna.
La piattaforma informatica protegge i dati personali mediante un sistema di crittografia, garantendo in questo modo la riservatezza delle informazioni trasmesse.
La documentazione in formato cartaceo è limitata al minimo indispensabile e archiviata e custodita in armadi e locali dotati di serrature di sicurezza.
In ogni caso, i dati personali degli interessati non saranno oggetto di diffusione.
5. Soggetti operanti il trattamento.
I dati personali da Lei forniti e i successivi eventualmente acquisiti nel corso della prestazione saranno trattati esclusivamente da personale all’uopo autorizzato o da responsabili del trattamento all’uopo designati.
Tali soggetti sono tutti formalmente designati/autorizzati al trattamento, nonché tenuti a mantenere il segreto su quanto appreso in ragione delle proprie mansioni, fatti salvi gli obblighi di segnalazione e di denuncia di cui all'art. 331 c.p.p.
Ulteriori informazioni sui designati, sui responsabili del trattamento e sugli amministratori di sistema possono essere richieste ai Contitolari del trattamento ai contatti sopra indicati.
6. Comunicazione dei dati personali a soggetti terzi.
I dati personali, pur non potendo essere oggetto di diffusione, possono essere trasmessi alle pubbliche amministrazioni legittimate ex lege (es. Autorità Giudiziaria, Corte dei Conti, ANAC, etc.), che si configurano quali Titolari autonomi del trattamento.
Le Società si avvalgono di DigitalPA, in qualità di partner tecnologico, al quale è affidata la gestione della piattaforma digitale, designato per questo Responsabile del trattamento dei dati ai sensi dell’art. 28 GDPR.
7. Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali – Processi automatizzati
I Suoi dati personali non sono trasferiti al di fuori dell’Unione Europea, né sono trattati in processi decisionali automatizzati.
8. Tempi e durata della conservazione dei dati.
Le Società conservano i dati personali ai sensi dell’art. 14 del d.lgs. n. 24/2023, cioè per il tempo strettamente necessario all’accertamento della segnalazione ricevute e, comunque, per non oltre 5 anni a decorrere dalla data di comunicazione dell’esito finale della procedura di segnalazione, salvo il caso in cui, durante il periodo di 5 anni dovesse sorgere un procedimento giudiziario derivante dalla segnalazione medesima. In quest’ultimo caso il periodo di conservazione dei dati seguirà il percorso di detto procedimento giudiziario.
I dati personali che sono manifestamente inutili alla gestione di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati tempestivamente.
Decorsi i termini di conservazione sopra indicati, i dati saranno distrutti, cancellati o resi anonimi, compatibilmente con le procedure tecniche di cancellazione e backup.
9. Diritti degli interessati
La informiamo che ha la facoltà di esercitare i seguenti diritti in relazione ai dati personali oggetto della presente informativa:
- Diritto di accesso e rettifica (articoli 15 e 16 del Regolamento UE)
- Diritto alla cancellazione dei dati (Art. 17 del Regolamento UE)
- Diritto di limitazione di trattamento (Art. 18 del Regolamento UE)
- Diritto alla portabilità dei dati (Art. 20 del Regolamento UE)
- Diritto di opposizione (Art. 21 del Regolamento UE)
- Diritto di proporre reclamo (Art. 77 del Regolamento UE)
- Diritto di revocare il consenso prestato (Art. 13 del Regolamento UE)
In qualunque momento, potrà esercitare i Suoi diritti con riferimento agli specifici trattamenti di dati personali operati dai Contitolari del trattamento, agli indirizzi di contatto indicati al punto 1 della presente informativa.
I suddetti diritti non sono esercitabili dalla persona coinvolta o dalla persona menzionata nella segnalazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, ai sensi dell’art. 2 undecies del Codice Privacy, in quanto dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona segnalante.
10. Misure di sicurezza organizzative e tecniche
I Contitolari adottano adeguate misure organizzative e tecniche atte a salvaguardare la riservatezza, l'integrità, la completezza, la disponibilità dei dati personali che tratta. Sono messi a punto accorgimenti tecnici, logistici ed organizzativi che hanno come obiettivo la prevenzione di danni, perdite anche accidentali, alterazioni, utilizzo improprio e non autorizzato dei dati trattati.
CONTENUTO ESSENZIALE DELL’ACCORDO DI CONTITOLARITÀ PER IL TRATTAMENTO DEI DATI PERSONALI (ART. 26 REGOLAMENTO UE 2016/679) tra Ambrosi S.p.A. e Ambrosi Auto S.p.A.
Ambrosi S.p.A., con sede legale in Via Palmiro Togliatti, n. 56, Loc. Taverne, Corciano (PG), e Ambrosi Auto S.p.A., con sede legale in Via Tripoli, 110, Roma, (nel seguito, congiuntamente, anche le “Parti” o i “Contitolari”) hanno sottoscritto un accordo di contitolarità in relazione ai trattamenti di dati personali effettuati nell’ambito della gestione delle Segnalazioni Whistleblowing ai sensi del D.Lgs. 24/2023, come rappresentanti nella Informativa che precede.
In particolare, le Parti hanno implementato un Sistema Whistleblowing congiunto mediante:
- attivazione di canali di segnalazione condivisi (i.e. piattaforma informatica comune);
- adozione congiunta della Procedura Whistleblowing che regolamenta il Sistema
- identificazione di un unico Gestore delle Segnalazioni.
La contitolarità è riferita al trattamento dei dati personali forniti dal Segnalante al momento della Segnazione Whistleblowing e di quelli contenuti nella Segnalazione stessa e ha ad oggetto il trattamento di tutti i dati che saranno acquisiti ai fini della gestione della stessa.
I Contitolari si impegnano a far sì che chiunque agisca sotto la loro autorità e abbia accesso ai dati personali, tratti tali dati solo dopo aver ricevuto le relative istruzioni dal rispettivo Contitolare.
I Contitolari hanno concordemente stabilito che, per i trattamenti, oggetto dell’accordo di contitolarità è affidato ad Ambrosi S.p.A. – nel momento in cui venga a conoscenza di una violazione dei dati personali trattati – l’onere di notificare la violazione all’Autorità di controllo competente, senza ingiustificato ritardo e, se possibile, entro 72 ore dall’avvenuta conoscenza, dandone previa e tempestiva informazione all’altro Contitolare.
I Contitolari hanno individuato Ambrosi S.p.A. quale referente e punto di contatto per gli Interessati, ferma restando la possibilità di esercitare tali diritti nei confronti di ciascun Contitolare.
Per maggiori dettagli circa i trattamenti svolti in contitolarità, nonché ai fini dell’esercizio dei diritti da parte degli Interessati, si rimanda alla specifica informativa sopra riportata.