Informativa privacy per il segnalato

Informativa sul trattamento di dati personali nell’ambito della procedura segnalazioni - whistleblowing

Persone coinvolte

 

Le società Exprivia S.p.A. e Exprivia Project S.r.l., ciascuna nella sua qualità di titolare del trattamento dei dati, rendono la seguente informativa privacy ai sensi degli art. 13 e 14 GDPR espressamente richiamato dall’art. 13 del D. Lgs. 24/2023 di attuazione della Direttiva CE 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali.

Le seguenti informazioni sono rese ai fini di trasparenza nei confronti del segnalato e di qualsivoglia soggetto interessato potenzialmente riferito in una segnalazione e quindi coinvolto nella medesima (di seguito congiuntamente “segnalato”), anzitutto per metterlo al corrente dei limiti all'esercizio di alcuni diritti previsti dal Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (GDPR):

  • Diritto di informazione – il diritto di essere informato sul trattamento dei propri dati personali ai sensi degli articoli 13 e 14 del GDPR riceve una limitazione alla luce degli obblighi di segretezza e di riservatezza imposti dall’art. 12 del D. Lgs. 24/2023 che garantisce il diritto alla riservatezza dei dati, nonché del rischio di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità del trattamento connesse alle segnalazioni nell'ambito del sistema di whistleblowing (v. art. 14, par. 5, lettere b) e d) del GDPR).
  • Altri diritti dell'interessato – i diritti di cui agli articoli da 15 a 22 del GDPR non sono preclusi in termini assoluti al soggetto interessato ma non possono essere esercitati (con richiesta al Titolare ovvero con reclamo ai sensi dell'articolo 77 del GDPR) anche in ordine alla conoscenza della fonte del dato, qualora ne possa derivare un pregiudizio effettivo e concreto alla riservatezza dell'identità del segnalante (v. articolo 2-undecies del Codice Privacy e articolo 23 del GDPR). L’art. 2-undecies del Codice privacy, infatti, stabilisce dal 15 luglio 2023 al suo comma 3, in relazione alle specifiche limitazioni ai diritti dell’interessato che i diritti non possono essere esercitati laddove derivi un pregiudizio effettivo e concreto (tra le altre ipotesi previste) alla riservatezza dell’identità della persona che segnala le violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte ai sensi della Direttiva UE 2019/1937 che riguarda la segnalazione delle violazioni delle norme dell’Unione europea oppure che segnala le violazioni di cui agli artt. 52 bis e 52 ter del d. lgs. 385/1993 (ossia le violazioni alla Banca d’Italia da parte del personale delle banche) o ancora le segnalazioni presentate innanzi alla Consob o alla Banca d’Italia da parte del personale delle banche.

In particolare, in adempimento dell’obbligo di cui all’art. 2 undecies comma 3 del Codice privacy, si informa il segnalato e le altre persone coinvolte che l'esercizio dei diritti di cui agli articoli 15 – 22 del GDPR:

  • potrà essere effettuato, in relazione alla fonte del dato e quindi alla conoscenza della stessa identità del segnalante nel solo caso in cui il segnalante abbia prestato il suo consenso oppure nel caso in cui la conoscenza dell’identità del segnalante sia indispensabile per la difesa dell’incolpato. Il segnalato viene informato che in quest’ultimo caso il segnalante ha il diritto di conoscere, con comunicazione scritta, le ragioni della rivelazione dei dati riservati quando la conoscenza del suo nominativo è indispensabile per la difesa della persona coinvolta (v. art. 12, commi 5 e 6 D. Lgs. 24/2023);
  • potrà essere effettuato con i limiti di cui all’art. 2 undecies del Codice privacy sopra riportato (v. art. 13 comma 3 del D. Lgs. 24/2023) e sarà effettuabile conformemente alle disposizioni di legge o di regolamento che regolano il settore (tra cui il D.lgs. 231/2001);
  • potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all'interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato, al fine di salvaguardare la riservatezza dell'identità del segnalante ed al fine di salvaguardare taluni interessi come lo svolgimento delle investigazioni difensive o l’esercizio del diritto di difesa;

In tali casi, i diritti dell'interessato possono essere esercitati anche tramite il Garante con le modalità di cui all'articolo 160 del Codice Privacy, nel qual caso il Garante informa l'interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell'interessato di proporre ricorso giurisdizionale.

L'esercizio dei diritti da parte del segnalato (incluso il diritto di accesso) potrà essere esperito, pertanto, nei limiti in cui la legge applicabile lo consente e, in particolare, si rileva che la richiesta verrà analizzata dagli organismi preposti al fine di contemperare l'esigenza di tutela dei diritti degli individui con la necessità di contrasto e prevenzione delle violazioni delle regole di buona gestione societaria ovvero delle normative applicabili in materia.

Categorie di dati personali e fonte di raccolta

I dati personali relativi al segnalato sono raccolti mediante la segnalazione e relativa documentazione fornita dal segnalante. I dati personali relativi al segnalato saranno ricompresi nelle seguenti categorie:

  • dati anagrafici (e.g. nome, cognome, luogo e data di nascita);
  • dati di contatto (e.g. indirizzo e-mail, numero di telefono, recapito postale);
  • dati di natura professionale (e.g. livello gerarchico, area aziendale di appartenenza, ruolo aziendale, tipo di rapporto intrattenuto con le società del Gruppo Exprivia o altri soggetti terzi, professione);
  • ogni altra informazione riferita al segnalato che il segnalante decide di condividere con il Titolare per meglio circostanziare la propria segnalazione, in relazione a:
    • condotte illecite rilevanti ai sensi del D. Lgs. 24/2023 quali gli illeciti civili, penali, amministrativi e contabili e le violazioni delle norme dell’Unione europea nonché le condotte illecite rilevanti ai sensi del D.lgs. 231/2001 o violazioni del modello di organizzazione e gestione dell'ente;
    • irregolarità e/o comportamenti illeciti, commissivi o omissivi, che costituiscano o possano costituire violazione dei principi sanciti nel Codice Etico del Gruppo Exprivia, di policy e regole aziendali e/o che possano tradursi in frodi o in un danno, anche potenziale, nei confronti di colleghi, azionisti e stakeholder in generale o che costituiscano atti di natura illecita o lesiva degli interessi e della reputazione stessa dell'azienda;
    • attività e pagamenti impropri o sospetti, diversi dalle spese o contribuzioni espressamente previste dalle società Titolari, o ancora donazioni effettuate dai Titolari a pubblici ufficiali o senti o richieste di donazione che tali pubblici ufficiali o enti privati potrebbero effettuare.

Titolare, responsabile per la protezione dei dati (dpo) e incaricati

I Titolari del trattamento dei dati dei personali, relativi a persone identificate o identificabili raccolti tramite segnalazione sono le Società appartenenti al Gruppo Exprivia:

  • Exprivia S.p.A. con sede legale in via A. Olivetti, 11- Molfetta (BA);
  • Exprivia Projects Srl con sede legale in Via della Bufalotta 378 – Roma.

I Titolari del trattamento hanno nominato un Responsabile della protezione dei dati personali o Data Protection Officer in conformità agli artt. 37 ss. del Regolamento UE 2016/679 che può essere contattato:

I trattamenti connessi alla segnalazione sono curati esclusivamente da personale incaricato/autorizzato ed istruito al corretto trattamento dei dati personali che, in nessun caso, saranno oggetto di diffusione.

Lei potrà rivolgersi ai Titolari oppure al DPO alle mail sopra indicate per l’esercizio di tali diritti.

Finalità del trattamento

Il trattamento è eseguito con le finalità:

  1. di avviare le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto di segnalazione, appreso nell’esecuzione del rapporto di lavoro, relativamente ad attività illecite o fraudolenti che possono consistere in illeciti civili, penali, amministrativi, contabili o mancato rispetto del modello organizzativo 231/2001 e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione delle società del Gruppo Exprivia, di cui siano venuti a conoscenza in ragione delle funzioni svolte;
  2. Far osservare il divieto di compiere atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del soggetto segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione, anche mediante la comunicazione all’ANAC e all’Ispettorato Nazionale del Lavoro;
  3. Adottare sanzioni disciplinari predisposte dal datore di lavoro conformemente al modello organizzativo di cui alla Legge 231/2001 sia nei confronti di chi vìola le misure di tutela del soggetto segnalante che nei confronti di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate.

La base giuridica del trattamento va individuata, per tutte le segnalazioni che riguardano gli illeciti civili, penali, amministrativi e contabili della normativa nazionale nonché delle norme dell’Unione Europea indicate dalla Direttiva 2019/1937, nell’adempimento degli obblighi di legge del titolare di cui al D. Lgs. 24/2023 di attuazione della menzionata Direttiva. La base legale è, pertanto, costituita dall’art. 6 lett. C del GDPR e laddove si tratti di segnalazioni effettuate relativamente allo svolgimento di attività per la fornitura di servizi in favore di enti pubblici l’obbligo di legge risiede nell’art. 54 bis, comma 2, del d. lgs. 165/2001.

Con riferimento ai dati “particolari” di cui all’art. 9 del GDPR (es. dati sulla salute, razza, etnia, vita sessuale, convinzioni religiose politiche e sindacali, dati genetici, dati biometrici, ecc.) deve ritenersi che la base giuridica sia quella prevista dall’art. 9, par. 2 lett. f) ossia l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria fermo restando che, per alcuni aspetti legati al rapporto di lavoro, la base giuridica può essere rinvenuta nella lett. b) della medesima disposizione.

Relativamente, invece, ai dati giudiziari la raccolta può essere effettuata se preordinata all’attività di prevenzione della responsabilità penale dell’impresa conformemente alla ratio della legge 231/2001 nel rispetto della previsione di cui all’art. 10 del GDPR.

 

Modalità del trattamento e conservazione dei dati

I dati personali sono trattati con strumenti automatizzati (ad es. utilizzando procedure e supporti elettronici) e/o manualmente (ad es. su supporto cartaceo) per il tempo strettamente necessario a conseguire gli scopi per cui sono raccolti e, comunque, in conformità alle disposizioni normative vigenti in materia. Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.

Ai dati raccolti non sarà applicato alcun processo decisionale automatizzato e nessuna forma di profilazione.

La conservazione della documentazione avrà luogo per il periodo di cinque anni conformemente a quanto previsto dall’art. 14 D. Lgs. 24/2023 e tenuto conto della previsione di sanzioni amministrative in caso di varie inosservanze previste dall’art.   21 del D. Lgs. 24/2023 che rendono, pertanto, necessario procedere alla conservazione.Decorso tale termine, i dati saranno cancellati o trasformati in forma anonima, salvo che la loro ulteriore conservazione sia necessaria per assolvere ad obblighi di legge o per adempiere ad ordini impartiti da Pubbliche Autorità o per esigenze difensive.

Trasferimento dei dati

Sono destinatari dei dati raccolti a seguito della segnalazione, se del caso, l’Ufficio interno whistleblowing presso le società Titolari, l’ODV, l’Autorità Giudiziaria, la Corte dei conti (per le segnalazioni effettuate con riferimento alle attività degli enti in favore dei quali le società del Gruppo erogano servizi pubblici) l’ANAC e l’Ispettorato Nazionale del lavoro.

In particolare, la trasmissione potrà avvenire nei confronti di:

  • consulenti esterni (per es. studi legali) eventualmente coinvolti nella fase istruttoria della segnalazione;
  • L’Ufficio interno con funzioni di gestione delle segnalazioni istituito in adempimento dell’obbligo di cui al D. Lgs. 24/2023 e le funzioni aziendali coinvolte nell’attività di esame e valutazione delle segnalazioni;
  • responsabile/i della/e funzione/i interessata/e dalla segnalazione (es. Funzione internal audit, Funzione legale, Organismo di Vigilanza o altra funzione di riferimento rispetto al soggetto segnalato);
  • posizioni organizzative incaricate di svolgere accertamenti sulla segnalazione nei casi in cui la loro conoscenza sia indispensabile per la comprensione dei fatti segnalati e/o per la conduzione delle relative attività di istruzione e/o trattazione;
  • istituzioni e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia, Agenzie investigative;
  • organismo di vigilanza nominato ai sensi del D. Lgs. 231/2001 esclusivamente per i reati presupposto e nei casi di violazione dei modelli organizzativi, delle procedure specifiche approvate e del Codice etico;
  • responsabile prevenzione corruzione e trasparenza (RPCT) laddove nominato;
  • ANAC e l’Ispettorato Nazionale del lavoro laddove siano stati accertati atti ritorsivi nei confronti del segnalante.

I dati personali raccolti sono, altresì, trattati dal personale del Titolare, che agisce sulla base di specifiche istruzioni fornite in ordine a finalità e modalità del trattamento medesimo previa designazione a soggetto autorizzato al trattamento ex art. 2 quaterdecies del Codice privacy. I dati personali raccolti non saranno oggetto di diffusione e non saranno trasferiti a paesi terzi (extra UE).

Lei potrà esercitare i diritti di cui agli art. 15 – 22 del GDPR, fermo restando le limitazioni di cui è stato informato anche nella presente informativa, quali il diritto di accesso, di rettifica, di cancellazione (diritto all’oblio), di limitazione o di portabilità innanzi ai Titolari presso le loro sedi o tramite mail anche al DPO. Facendo uso delle medesime modalità potrà richiedere l’elenco dei responsabili nominati ex. Art. 28 GDPR in relazione ai trattamenti di cui alla presente informativa.