Whistleblowing

Con questa informativa EMMEPI GROUP S.R.L. spiega come tratta i dati raccolti e quali sono i diritti riconosciuti all’interessato ai sensi del Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e del d.lgs. 196/2003, in materia di protezione dei dati personali, così come modificato dal d.lgs. 101/2018.

Titolare del trattamento: Titolare del trattamento dei dati personali è EMMEPI GROUP S.R.L., avente sede in Via della Ghisa, 1 , Ponte Felcino pg . e PEC: pec@pec.emmepigroup.com .

Finalità del trattamento: I dati da lei direttamente forniti per segnalare, nell’interesse dell’integrità dell’Organizzazione/Ente, presunte condotte illecite delle quali sia venuto a conoscenza in ragione del proprio rapporto di lavoro, servizio o fornitura con EMMEPI GROUP S.R.L., verranno trattati da EMMEPI GROUP S.R.L. per gestire tali situazioni. I dati personali sono dunque acquisiti in quanto contenuti nella segnalazione e/o in atti e documenti a questa allegati, si riferiscono al soggetto segnalante e possono altresì riferirsi a persone indicate come possibili responsabili delle condotte illecite, nonché a quelle a vario titolo coinvolte nelle vicende segnalate. In particolare, per svolgere le necessarie attività istruttorie volte a verificare la fondatezza di quanto segnalato, nonché, se del caso, adottare adeguate misure correttive e intraprendere le opportune azioni disciplinari e/o giudiziarie nei confronti dei responsabili delle condotte illecite.

Tipologia di dati trattati: La ricezione e la gestione delle segnalazioni dà luogo a trattamenti di dati personali c.d. “comuni” (nome, cognome, ruolo lavorativo, ecc.), nonché può dar luogo, a seconda del contenuto delle segnalazioni e degli atti e documenti a queste allegati, a trattamenti di dati personali c.d. “particolari” (dati relativi a condizioni di salute, orientamento sessuale o appartenenza sindacale, di cui all’art. 9 GDPR) e di dati personali relativi a condanne penali e reati (di cui all’art. 10 GDPR).

Basi Giuridiche del trattamento: basi giuridiche del trattamento Tenuto conto della normativa di riferimento e, in particolare, al D.lgs. 24/2023, si precisa che:

•         il trattamento dei dati “comuni” si fonda sull’obbligo di legge a cui è soggetto il Titolare del trattamento (art. 6, par. 1, lett. c) del GDPR).

•         il trattamento di dati “particolari” si fonda sull’assolvimento di obblighi e sull’esercizio di diritti specifici del Titolare del trattamento e dell’Interessato in materia di diritto del lavoro (art. 9, par. 2, lett. b), GDPR).

•         il trattamento di dati relativi a condanne penali e reati, tenuto conto di quanto disposto dall’art. 10 GDPR, si fonda sull’obbligo di legge a cui è soggetto il Titolare del trattamento (art. 6, par. 1, lett. c), GDPR).

 Si precisa che, in ragione di quanto disposto D.lgs. 24/2023, nel caso in cui la segnalazione portasse all’instaurazione di un procedimento disciplinare nei confronti del responsabile della condotta illecita, l’identità del segnalante non verrà mai rivelata. Qualora la conoscenza dell’identità del segnalante fosse indispensabile per la difesa dell’incolpato, verrà domandato al segnalante se intende rilasciare un apposito, libero consenso ai fini della rivelazione della propria identità.

Soggetti autorizzati a trattare i dati: a sua tutela, solo il gestore del canale di comunicazione interno, è in grado di associare le segnalazioni alle identità dei segnalanti. Qualora esigenze istruttorie richiedano che altri soggetti, all’interno dell’organizzazione, debbano essere messi a conoscenza del contenuto della segnalazione o della documentazione ad essa allegata, non verrà mai rivelata l’identità del segnalante, né verranno rivelati elementi che possano, anche indirettamente, consentire l’identificazione dello stesso. Tali soggetti, poiché potrebbero comunque venire a conoscenza di altri dati personali, sono comunque tutti formalmente autorizzati al trattamento e a ciò appositamente istruiti e formati, nonché tenuti a mantenere il segreto su quanto appreso in ragione delle proprie mansioni, fatti salvi gli obblighi di segnalazione e di denuncia di cui all'art. 331 del Codice di procedura penale.

Categorie di destinatari dei dati personali: i suoi dati personali e quelli delle persone indicate come possibili responsabili delle condotte illecite, nonché delle persone a vario titolo coinvolte nelle vicende segnalate, non saranno oggetto di diffusione, tuttavia, se necessario, su loro richiesta, possono essere trasmessi all’Autorità Giudiziaria e alla Magistratura Contabile. Tali soggetti sono, tutti, Titolari autonomi del trattamento. Alla segnalazione e all’identità del segnalante non è possibile accedere né a mezzo accesso documentale, né a mezzo accesso civico generalizzato.

I suoi dati saranno comunque trasmessi ai soggetti che mettono a disposizione la piattaforma per la gestione delle segnalazioni interne e potrebbero essere comunicati ai soggetti incaricati di svolgere le attività di gestione della segnalazione quali ad esempio: legali, informatici, contabili, ed altri professionisti incaricati dal gruppo di gestione della segnalazione; tutti questi soggetti sono da considerare responsabili esterni e quindi appositamente nominati ai sensi dell’art. 28 del Regolamento Europeo 679/2016.

Nell’ambito dei procedimenti penali eventualmente istaurati, l’identità del segnalante sarà coperta da segreto nei modi e nei limiti previsti dall’art. 329 c.p.p.; nell’ambito di procedimenti dinanzi alla Corte dei conti, l’identità del segnalante non sarà comunque rivelata sino alla chiusura della fase istruttoria;

Ad eccezione dei casi in cui sia configurabile una responsabilità a titolo di calunnia e di diffamazione ai sensi delle disposizioni del codice penale o dell'art. 2043 del codice civile e delle ipotesi in cui la riservatezza non è opponibile per legge, (es. indagini penali, tributarie o amministrative, ispezioni di organi di controllo) l'identità del segnalante verrà protetta sin dalla ricezione della segnalazione e in ogni fase successiva, in ossequio alle vigenti disposizioni della Disciplina Privacy.

Pertanto, l'identità del segnalante può essere rivelata solo nei casi in cui:

a)        la contestazione dell’addebito sia fondata in tutto o in parte sulla segnalazione, la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’incolpato e la persona segnalante abbia prestato il consenso espresso alla rivelazione della propria identità. Solo in questo caso la segnalazione potrà essere utilizzata nel procedimento disciplinare

b)       vi siano disposizioni cogenti che obblighino EMMEPI GROUP S.R.L. a rivelare l’identità del segnalante.

Tutti coloro che riceveranno e/o saranno coinvolti nella gestione delle segnalazioni sono tenuti a tutelare la riservatezza di tale informazione.

La violazione dell'obbligo di riservatezza è fonte di responsabilità disciplinare, fatte salve ulteriori forme di responsabilità previste dall'ordinamento.

Modalità del trattamento: i dati personali saranno trattati anche con strumenti automatizzati per il tempo strettamente necessario a conseguire gli scopi per cui sono stati raccolti. EMMEPI GROUP S.R.L. attua idonee misure per garantire che i dati forniti vengano trattati in modo adeguato e conforme alle finalità per cui vengono gestiti; EMMEPI GROUP S.R.L. impiega idonee misure di sicurezza (crittografia dei file), organizzative, tecniche e fisiche, per tutelare le informazioni dall’alterazione, dalla distruzione, dalla perdita, dal furto o dall’utilizzo improprio o illegittimo, nel pieno rispetto dell’art. 32 del GDPR.

Periodo di conservazione dei dati: i periodi di conservazione sono di seguito indicati:

•         le segnalazioni che sono state valutate non rilevanti e archiviate sulla base di quanto previsto dalla procedura aziendale adottata dal Titolare verranno cancellate decorsi 120 giorni dal completamento delle verifiche dei fatti esposti nella denuncia;

•         tutte le altre segnalazioni ricevute tramite i canali di segnalazione ammessi, gli eventuali documenti allegati alla segnalazione o ricevuti nel corso della fase di indagine sono conservati per il periodo prescrizionale di 5 anni, applicabile a far data dalla data di chiusura della segnalazione.

Inoltre, trascorsi i periodi di conservazione sopra indicati, le segnalazioni potranno essere conservate solo in forma anonimizzata per soli fini statistici.

Diritti degli interessati: A sensi degli artt. da 15 e seguenti del GDPR, ferme eventuali limitazioni derivanti da disposizioni cogenti, Le sono riconosciuti alcuni diritti significativi nei confronti del Titolare, ossia:

Diritto di accesso – il diritto di ottenere senza ingiustificato ritardo informazioni inerenti a: (i) le finalità del trattamento; (ii) le categorie dei dati personali trattati; (iii) i destinatari o le categorie degli stessi ai quali i dati possono essere comunicati, in particolare se collocati in paesi extra-UE, ed i mezzi per esercitare i suoi diritti verso tali soggetti; (iv) quando possibile il periodo di conservazione o i criteri per determinarlo; (v) l'aggiornamento, la rettificazione ovvero, qualora vi abbia interesse, l'integrazione dei dati personali nonché l'origine dei dati raccolti presso terzi.

Diritto di rettifica – diritto di ottenere senza ingiustificato ritardo la rettifica dei dati personali inesatti e, tenuto conto delle finalità del trattamento, di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa;

Diritto di cancellazione – diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati personali ove sussista uno dei motivi elencati nell'articolo 17, par. 1 del GDPR – come nel caso in cui i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati – salvo che il trattamento sia necessario in base alle previsioni di cui al paragrafo 3 del medesimo articolo, tra cui (a) l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui sia soggetto il Titolare, o (b) l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui sia investito il Titolare, o (c) l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;

Diritto di limitazione – diritto di ottenere la limitazione del trattamento ove ricorra una delle ipotesi di cui all'articolo 18, par. 1 del GDPR: se il trattamento è limitato, i dati personali verranno trattati - salvo che per la conservazione - soltanto con il consenso dell'interessato o per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un'altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell'Unione o di uno Stato membro.

Si sottolinea come l'esercizio dei summenzionati diritti da parte dell'interessato potrà avvenire attraverso l'invio delle relative richieste all'indirizzo e-mail info@emmepigroup.com.

Qualora ritenga che il trattamento sia avvenuto in modo non conforme al Regolamento e al d.lgs. 196/2003, potrà rivolgersi al Garante per la Protezione dei dati Personali, ai sensi dell’art. 77 del medesimo Regolamento. Ulteriori informazioni in ordine ai suoi diritti sulla protezione dei dati personali sono reperibili sul sito web del Garante per la Protezione dei Dati Personali all’indirizzo www.garanteprivacy.it

Specifiche per il segnalato e per gli altri soggetti interessati:

Premessa e limitazioni ai diritti dell'interessato - Le seguenti informazioni sono rese ai fini di trasparenza nei confronti del segnalato e di qualsivoglia soggetto interessato potenzialmente riferito in una segnalazione (di seguito congiuntamente “segnalato”), anzitutto per metterlo al corrente dei limiti all'esercizio di alcuni diritti previsti dal Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (GDPR):

·         Diritto di informazione - il diritto di essere informato sul trattamento dei propri dati personali ai sensi degli articoli 12 e 14 del GDPR riceve una limitazione alla luce degli obblighi di segretezza e di riservatezza imposti dal D.lgs. 231/2001, come modificato dalla L. n. 179/2017 e dal D.Lgs n. 24/20232, nonché del rischio di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità del trattamento connesse alle segnalazioni nell'ambito del sistema di whistleblowing (v. art. 14, par. 5, lettere b) e d) del GDPR).

·         Altri diritti dell'interessato - i diritti di cui agli articoli da 15 a 22 del GDPR non possono essere esercitati (con richiesta al Titolare ovvero con reclamo ai sensi dell'articolo 77 del GDPR) qualora ne possa derivare un pregiudizio effettivo e concreto alla riservatezza dell'identità del segnalante (v. articolo 2-undecies del Codice Privacy e articolo 23 del GDPR) e/o al perseguimento degli obiettivi di conformità alla normativa in materia di segnalazione di condotte illecite.

In particolare, si informa il segnalato che l'esercizio di tali diritti:

·         sarà effettuabile conformemente alle disposizioni di legge o di regolamento che regolano il settore (tra cui il D.lgs. 231/2001 come modificato dalla L. n. 179/2017);

·         potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all'interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato, al fine di salvaguardare la riservatezza dell'identità del segnalante;

·         eventualmente, in tali casi, i diritti dell'interessato possono essere esercitati anche tramite il Garante per la Protezione dei Dati Personali (“Garante”).

L'esercizio dei diritti da parte del segnalato (incluso il diritto di accesso) potrà essere esperito, pertanto, nei limiti in cui la legge applicabile lo consente e, in particolare, si rileva che la richiesta verrà analizzata dagli organismi preposti al fine di contemperare l'esigenza di tutela dei diritti degli individui con la necessità di contrasto e prevenzione delle violazioni delle regole di buona gestione societaria ovvero delle normative applicabili in materia.

Categorie di dati personali e fonte di raccolta - I dati personali relativi al segnalato sono raccolti mediante la segnalazione e relativa documentazione fornita dal segnalante. I dati personali relativi al segnalato saranno ricompresi nelle seguenti categorie: dati anagrafici e di contatto e ogni altra informazione riferita al segnalato che il segnalante decide di condividere con il Gestore del canale di segnalazione per meglio circostanziare la propria segnalazione, in relazione alle condotte illecite previste dal D. Lgs n. 24/2023.

Rinvio - Fermo quanto evidenziato nei paragrafi precedenti, si rinvia ai corrispondenti paragrafi della sezione “Segnalante” per ulteriori informazioni relative al trattamento dei dati personali concernenti:

·         identità e i dati di contatto del Titolare e del suo rappresentante;

·         dati di contatto del DPO, ove presente;

·         finalità del trattamento cui sono destinati i dati personali e relativa base giuridica del trattamento;

·         categorie di destinatari dei dati personali;

·         periodo di conservazione dei dati personali;

 Ponte Felcino  07/08/2024                                                                                                                  EMMEPI GROUP S.R.L.