WHISTLEBLOWING – D.LGS. n. 24/2023
Documento informativo destinato al soggetto segnalante ai sensi e per gli effetti di cui all’articolo 13 Regolamento (UE) 2016/679 (GDPR)
Chi è il titolare del trattamento dati? Il Titolare del trattamento dati è MultiMedica SpA con sede legale in Via Fantoli 16/15 - 20138 Milano, che potrà contattare per qualsiasi informazione tramite e-mail privacy@multimedica.it
Il responsabile della protezione dei dati è stato nominato? MultiMedica SpA ha nominato il proprio Responsabile della protezione dei dati (RPD/DPO- Data Protection Officer) ai sensi degli artt. 37, 38 e 39 del GDPR. Il DPO è reperibile presso la sede del Titolare sopra indicata e via email rpd@multimedica.it
Tipologia di dati trattati e definizioni
Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. I dati trattati saranno quelli relativi alle segnalazioni effettuate dai soggetti segnalanti ("Whistleblower"), che possono includere dati relativi a soggetti terzi, ovvero ai soggetti segnalati. Dati relativi ai soggetti segnalanti, che possono essere forniti da questi ultimi quali ad esempio: Nome, cognome ed altre informazioni fornite dal segnalante. I soggetti interessati del presente trattamento sono: i) dipendenti delle amministrazioni pubbliche; ii) dipendenti delle autorità amministrative indipendenti di garanzia, vigilanza o regolazione; iii) dipendenti degli enti pubblici economici, degli enti di diritto privato sottoposti a controllo pubblico, delle società in house, degli organismi di diritto pubblico o dei concessionari di pubblico servizio; iv) lavoratori subordinati di soggetti del settore privato; v) lavoratori autonomi; vi) lavoratori o collaboratori che forniscono beni o servizi o che realizzano opere in favore di terzi; vii) liberi professionisti e consulenti; viii) volontari e tirocinanti; ix) azionisti e persone con funzione di amministrazione, direzione, controllo, vigilanza o rappresentanza; x) candidati all’occupazione; xi) lavoratori cessati.
Finalità del trattamento
1) Gestione delle segnalazioni whistleblowing. In particolare, raccolta dei dati per l’invio di segnalazioni, di cui si è venuti a conoscenza nell'ambito di un rapporto giuridico, ai sensi dell’art. 3 del D.Lgs. n. 24/2023.
Base Giuridica
Il trattamento è necessario per adempiere ad un obbligo legale (ai sensi del D.Lgs. n. 24/2023) al quale è soggetto il titolare del trattamento ai sensi dell’ Art. 6, par. 1, lett. c), GDPR. Nello specifico trattasi degli obblighi connessi al d.lgs. n. 24 del 10 marzo 2023 riguardante “la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali”, che attua la Direttiva (UE) 2019/1937, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione.
Periodo conservazione dati
Per il tempo strettamente necessario al trattamento della segnalazione e, comunque, non oltre 5 anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione (art. 14 del D.Lgs. n. 24/2023).Nel caso in cui sia instaurato un giudizio, il summenzionato termine si prolunga fino all’esaurimento dei gradi di giudizio. I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente.
Fonte dei dati Il conferimento dei dati personali del segnalante è necessario, fermo restando il diritto di effettuare una segnalazione in modalità anonima.
Finalità del trattamento
2) Rivelazione dell’identità del segnalante e/o di qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità a persone diverse da quelle competenti a ricevere e a dare seguito alla segnalazione, ai sensi dell’art. 12, comma 2, del D.Lgs. n. 24/2023
Base Giuridica: Il trattamento si basa sull’espresso consenso dell’interessato al trattamento dei propri dati personali ai sensi dell’ Art. 6, par. 1, lett. a), GDPR.
Periodo conservazione dati: fino a revoca del consenso e salvo il caso in cui fosse già stata precedentemente rivelata l’identità a terzi.
Fonte dei dati: Il conferimento dei dati personali da parte del soggetto segnalante, cosi come previsto dalla normativa, è facoltativo. In caso di mancato conferimento, il Titolare non potrà rivelare l’identità del segnalante e/o qualsiasi altra informazione da cui possa evincersi tale identità a persone diverse da quelle competenti a ricevere e a dare seguito alle segnalazioni, fatte salve le situazioni espressamente previste dal D.Lgs. n. 24/2023 e previa comunicazione scritta delle ragioni della rivelazione
A chi verranno comunicati i dati personali? I dati personali saranno comunicati a soggetti che tratteranno i dati in qualità di Titolari autonomi del trattamento o Responsabili del trattamento (art. 28 GDPR) e saranno trattati da persone fisiche (art. 29 GDPR e/o art. 2-quaterdecies D.lgs. n. 196/2003 cd "soggetti autorizzati") che agiscono sotto l’autorità del Titolare e dei Responsabili sulla base di specifiche istruzioni fornite in ordine a finalità e modalità del trattamento. Salvo l’espletamento di obblighi derivanti dalla legge, i dati personali da Lei forniti non avranno alcun ambito di comunicazione e diffusione. I dati personali da Lei forniti saranno comunicati a destinatari appartenenti alle seguenti categorie di soggetti: la persona o l’ufficio interno ovvero il soggetto esterno al quale è affidata la gestione del canale di segnalazione interna (ivi compreso l’Organismo di Vigilanza soggetto identificato alla ricezione delle segnalazioni che, in conformità a quanto previsto dalla vigente normativa in materia e dalla procedura di gestione delle segnalazioni (whistleblowing), è tenuto a garantire la riservatezza dell’identità del segnalante); soggetti terzi per la fornitura della piattaforma whistleblowing adottata dal Titolare del trattamento (nello specifico Digital PA S.r.l. il quale è stato nominato responsabile del trattamento ex art. 28 del GDPR, può venire a conoscenza di alcuni Suoi dati, seppure in forma cifrata, nel corso di interventi di manutenzione e assistenza); sussistendone i presupposti a consulenti estrerni (studi legali), all' Autorità giudiziaria e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Poliza.
Vi sarà un trasferimento dati verso un paese extra SEE? I dati personali non saranno trasferiti in Paesi al di fuori dello Spazio economico europeo. I dati trattati saranno quindi conservati in Italia ed anche i soggetti destinatari dei dati hanno sede in Italia.
Vi è un processo automatizzato? I dati personali saranno sottoposti a trattamento manuale tradizionale, elettronico e automatizzato con logiche di organizzazione ed elaborazione strettamente correlate alle finalità sopra indicate e comunque in modo da garantire la sicurezza, l'integrità e la riservatezza dei dati stessi nel rispetto delle misure organizzative, fisiche e logiche previste dalle disposizioni vigenti. Si precisa che non vegono effettuati processi decisionali completamente automatizzati.
Modalità di esercizio dei diritti da parte dei soggetti interessati
Lei potrà far valere i diritti come espressi dagli artt. 15 e s.s. GDPR, contattando il DPO/RPD all’indirizzo rpd@multimedica.it o rivolgendosi al Titolare del trattamento all’indirizzo e-mail privacy@multimedica.it, o ai contatti sopra indicati. Lei ha il diritto, in qualunque momento, di chiedere la rettifica (art. 16) e l’accesso ai Suoi dati personali (art. 15). Tali diritti non possono essere esercitati qualora ne possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità della persona che segnala violazioni di cui sia venuto a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte, ai sensi del D.Lgs. n. 24/2023 (art. 2-undecies D.lgs. 196/2003, così come modificato dall’art. 24, comma 4, del D.Lgs. n. 24/2023). Nel caso in cui ritenga che il trattamento dei dati personali effettuato dal Titolare avvenga in violazione di quanto previsto dal Regolamento (UE) 2016/679, l’interessato ha diritto di presentare un reclamo all’Autorità di controllo, in particolare nello Stato membro in cui risiede abitualmente o lavora oppure nel luogo ove si è verificata la presunta violazione del regolamento (Garante Privacy https://www.garanteprivacy.it/), o di adire le opportune sedi giudiziarie.
Data di aggiornamento della presente informativa 14/07/2023
Il Titolare del Trattamento
