Informativa privacy per il segnalante

Informativa sul trattamento di dati personali nell’ambito della procedura segnalazioni - whistleblowing

Questa informativa è fornita agli utenti/visitatori che interagiscono con il sistema web ufficiale del Gruppo Exprivia, per le segnalazioni in merito a potenziali illeciti o irregolarità di cui si sia venuti a conoscenza nell’ambito dell’attività lavorativa e intende promuovere la cultura dell’etica e della legalità di fronte a condotte irregolari di cui si è testimoni, accessibile per via telematica a partire dall'indirizzo https://whistleblowing.exprivia.it.

Le seguenti informazioni sono rese, ai sensi:

  • dell’art. 13 del Regolamento UE 2016/679;
  • del Provvedimento dell’Autorità privacy italiana n. 229 dell'8 maggio 2014 (Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie);
  • delle Linee Guida del WP 29 del 10 aprile 2019, ratificate dal Comitato europeo per la protezione dei dati personali e sostituite dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020;
  • del Provvedimento dell’Autorità privacy italiana n. 231 del 10 giugno 2021 (Linee guida cookie e altri strumenti di tracciamento) che integra il Provvedimento n. 229 del 2014 e fornisce importanti precisazioni al fine di agevolare i titolari del trattamento nella corretta applicazione dell’attuale quadro regolamentare;
  • della Raccomandazione n. 2/2001 del Gruppo Art. 29, relativa ai requisiti minimi per la raccolta dei dati online nell’UE;
  • della Direttiva 2009/136/CE, modificativa della Direttiva 2002/58/CE (c.d. Direttiva e-Privacy), relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche;
  • la legge 30 novembre 2017 n. 179, «Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato», entrata in vigore il 29 dicembre 2017 che prevede un articolo inerente la «Tutela del dipendente o collaboratore che segnala illeciti nel settore privato», e stabilisce, per la prima volta nel nostro ordinamento, specifiche misure a tutela dei whistleblowers nel settore privato, aggiungendo il co. 2-bis all’interno dell’art. 6 del decreto legislativo 8 giugno 2001, n. 231, «Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300»;
  • del Parere del Garante del 4 dicembre 2019, doc web nr. 9215763, sullo schema di “Linee Guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro ai sensi dell’art. 54 bis del d. lgs. 165/2001 (cd whistleblowing)” di ANAC;
  • Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (in G.U.U.E. L 305, 26.11.2019, p. 17–56).

Il sistema è destinato ai dipendenti del Gruppo Exprivia e a tutti coloro che, in generale, operano, in Italia e all’estero, per conto o a favore del Gruppo o che intrattengono relazioni d’affari con quest’ultimo attraverso qualunque tipo di contratto o incarico. Gli eventi oggetto di segnalazione devono riguardare, in generale, il ragionevole e legittimo sospetto o la consapevolezza in buona fede di condotte illecite o di irregolarità nell’ambito dell’attività lavorativa che possano nuocere all’integrità del Gruppo Exprivia quali, ad esempio, violazioni del Codice Etico, fatti che possono integrare reati o arrecare danno patrimoniale o di immagine, violazioni di disposizioni o procedure interne. Pertanto, non devono essere oggetto di segnalazione fatti basati su “voci” o “per sentito dire” o lamentele di carattere personale.

La presente policy descrive le modalità di gestione del sistema ufficiale del Gruppo Exprivia, ma non di altri siti web esterni consultabili eventualmente dall'utente tramite link. Informazioni aggiuntive potranno essere fornite all'interno di specifiche sezioni.

1 TIPOLOGIA DI DATI TRATTATI E FINALITA’ DEL TRATTAMENTO

1.1 Finalità del trattamento

Il sistema consente di poter eseguire le segnalazioni in totale anonimato, ma opzionalmente l’utente (whistleblower) potrebbe fornire la sua identità. Mentre l’identità del segnalato è sempre richiesta. Pertanto, il trattamento dei dati personali riguarda l’identità del soggetto segnalato e, solo qualora lo decidesse l’utente, l’identità del segnalante, sul quale sarà mantenuto il massimo riserbo possibile.

Il trattamento è eseguito con le finalità:

  • 1) di avviare le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto di segnalazione, appreso nell’esecuzione del rapporto di lavoro, relativamente ad attività illecite o fraudolenti, rilevanti ai sensi decreto 231/200 e ss.mm.ii. e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione delle società del gruppo Exprivia, di cui siano venuti a conoscenza in ragione delle funzioni svolte;
  • 2) Far osservare il divieto di compiere atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del soggetto segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione, anche mediante la comunicazione all’INPS;
  • 3) Adottare sanzioni disciplinari predisposto dal datore di lavoro conformemente al modello organizzativo di cui alla Legge 231/2001 sia nei confronti di chi viola le misure di tutela del soggetto segnalante che nei confronti di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate.

La base giuridica del trattamento è inerente la necessità di adempiere a un obbligo di legge cui è soggetto il Titolare, con riferimento alle previsioni contenute nella Legge 30 novembre 2017, n. 179 (“Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato”) e nel Decreto Legislativo 8 giugno 2001, n. 231 (“Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300”).

In via maggiormente dettagliata i trattamenti di dati personali effettuati dal Titolare sono, pertanto, necessari per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento (art. 6, § 1, lett. c) del Regolamento), e, con riguardo a categorie particolari di dati (art. 9, § 2, lett. b) del Regolamento in relazione all’art. 54-bis,) o a dati relativi a condanne penali e reati, possono, altresì, essere considerati necessari per l’esecuzione di un compito di interesse pubblico contemplato dall’ordinamento (art. 6, § 1, lett. e) e art. 9, § 2, lett. g) e 10 del Regolamento.

I dati personali dei segnalati potranno, altresì, essere utilizzati per l'adempimento degli obblighi di legge. I dati dei segnalanti potranno essere trattati solo nei casi previsti dalla normativa vigente.

1.2 Dati di navigazione

I sistemi informatici e le procedure “software” preposte al funzionamento di questo sistema web acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet.

Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, essere effettuate solo previa esplicita richiesta dell’Autorità Giudiziaria, e permettere di identificare gli utenti.

1.3 Cookies

Un cookie è un file di testo che un sito web invia al browser del computer dell'utente. Il browser salva l'informazione e la ritrasmette al server del sito nel momento in cui il browser accede nuovamente a quel sito web.

Un cookie contiene, in genere, il nome del dominio Internet (l'indirizzo IP del sito) da cui proviene il cookie, la "durata" del cookie (cioè l'indicazione del momento in cui lo stesso scade), e un codice numerico, di solito un unico numero generato casualmente.

1.3.1 Cookies tecnici

Il sistema fa uso esclusivamente di cookies di tipo tecnico di prima parte necessari per la navigazione non consentono l’acquisizione di dati personali identificativi dell’utente.

In ogni momento, l'utente avrà comunque la facoltà di accettare o meno l'utilizzo dei cookie modificando le impostazioni del suo browser. Qualora l'utente utilizzasse dei computer diversi in differenti postazioni, dovrà assicurarsi che ogni singolo browser sia impostato correttamente. L'utente può facilmente cancellare ogni cookie installato nella cartella cookie, seguendo le procedure previste dal browser utilizzato.

1.3.2 LINK AD ALTRI SITI

La navigazione sul sistema web del Gruppo Exprivia consente di accedere, mediante link ad altri siti Web gestiti da terzi. Questi siti possono raccogliere informazioni personali sull’interessato. Exprivia non controlla i siti che vengono gestiti da tali soggetti e non può essere considerato responsabile per le condotte dei medesimi.

Le prescrizioni a tutela della privacy e della sicurezza dei dati personali trattati nei siti collegati da o verso il sito del Gruppo Exprivia non sono coperte dalla presente policy privacy. Exprivia, pertanto, non è responsabile delle condotte in materia di privacy tenute da questi siti.

2 MODALITA' DEL TRATTAMENTO E CONSERVAZIONE DEI DATI

I dati personali sono trattati con strumenti automatizzati (ad es. utilizzando procedure e supporti elettronici) e/o manualmente (ad es. su supporto cartaceo) per il tempo strettamente necessario a conseguire gli scopi per cui sono raccolti e, comunque, in conformità alle disposizioni normative vigenti in materia. Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.

Ai dati raccolti non sarà applicato alcun processo decisionale automatizzato e nessuna forma di profilazione.

Decorso tale termine, i dati saranno cancellati o trasformati in forma anonima, salvo che la loro ulteriore conservazione sia necessaria per assolvere ad obblighi di legge o per adempiere ad ordini impartiti da Pubbliche Autorità.

3 TITOLARE, RESPONSABILE PER LA PROTEZIONE DEI DATI (DPO) E INCARICATI

I Titolari del trattamento dei dati dei personali, relativi a persone identificate o identificabili raccolti tramite questo sistema sono le Società appartenenti al Gruppo Exprivia:

  • Exprivia S.p.A. con sede legale in via A. Olivetti, 11- Molfetta (BA);
  • Exprivia Projects Srl con sede legale in Viale del Tintoretto 432 – Roma.

I Titolari del trattamento hanno nominato un Responsabile della protezione dei dati personali o Data Protection Officer in conformità agli artt. 37 ss. del Regolamento UE 2016/679 che può essere contattato:

I trattamenti connessi ai servizi web di questo sito sono curati esclusivamente da personale tecnico, incaricato/autorizzato ed istruito al corretto trattamento dei dati personali che, in nessun caso, saranno oggetto di diffusione.

4 COMUNICAZIONE E/O DIFFUSIONE DEI DATI

Sono destinatari dei dati raccolti a seguito della segnalazione, se del caso, l’Autorità Giudiziaria, la Corte dei conti (per le segnalazioni effettuate con riferimento alle attività degli enti in favore dei quali le società del Gruppo erogano servizi pubblici) e l’ANAC.

In particolare, la trasmissione potrà avvenire nei confronti di:

  • consulenti esterni (per es. studi legali) eventualmente coinvolti nella fase istruttoria della segnalazione;
  • funzioni aziendali coinvolte nell’attività di ricezione, esame e valutazione delle segnalazioni;
  • responsabile/i della/e funzione/i interessata/e dalla segnalazione (es. Funzione internal audit, Funzione legale, Organismo di Vigilanza o altra funzione di riferimento rispetto al soggetto segnalato);
  • posizioni organizzative incaricate di svolgere accertamenti sulla segnalazione nei casi in cui la loro conoscenza sia indispensabile per la comprensione dei fatti segnalati e/o per la conduzione delle relative attività di istruzione e/o trattazione;
  • istituzioni e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia, Agenzie investigative;
  • organismo di vigilanza nominato ai sensi del D. Lgs. 231/2001;
  • responsabile prevenzione corruzione e trasparenza (RPCT) laddove nominato;
  • l’INPS laddove siano stati accertati atti ritorsivi nei confronti del segnalante

I dati personali raccolti sono, altresì, trattati dal personale del Titolare, che agisce sulla base di specifiche istruzioni fornite in ordine a finalità e modalità del trattamento medesimo. I dati personali raccolti non saranno oggetto di diffusione e non saranno trasferiti a paesi terzi (extra UE).

5 DIRITTI DEGLI INTERESSATI

Gli "interessati", ovvero le persone fisiche cui si riferiscono i dati, hanno il diritto, in qualunque momento, di accedere alle informazioni che li riguardano e chiederne l'aggiornamento, la rettificazione e l'integrazione, nonché la cancellazione, la trasformazione in forma anonima o il blocco, la limitazione del trattamento e la portabilità dei dati, nonché di opporsi in ogni caso in tutto o in parte al trattamento, per motivi legittimi, al loro trattamento ai sensi degli articoli da 15 a 22 del Regolamento UE 2016/679.

Gli interessati, inoltre, qualora il trattamento dei loro dati è basato su consenso, potranno in qualunque momento revocarlo. La revoca del consenso non inficia i precedenti trattamenti. Si ricorda che l’interessato può sempre opporsi al trattamento per fini promozionali.

La portabilità consiste nel diritto dell’interessato alla ricezione, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, dei dati personali forniti ai Titolari, nonché la trasmissione degli stessi a un altro titolare del trattamento, e ciò in qualsiasi momento, anche alla cessazione dei rapporti eventualmente intrattenuti con i Titolari.

I trattamenti di dati personali effettuati per fini di sicurezza informatica o per esigenze difensive rientrano tra i trattamenti per il legittimo interesse del Titolare, in tal caso l’interessato può opporsi solo per motivi connessi alla sua situazione particolare che il Titolare valuterà fermo restando l’esecuzione delle finalità difensive.

Per qualunque informazione in merito al trattamento dei dati, nonché per l’esercizio dei diritti di cui agli articoli 15-22 del Regolamento UE 2016/679, gli utenti possono inviare una e-mail agli indirizzi del DPO su indicati.

Inoltre, gli interessati hanno il diritto di rivolgersi al Garante per la protezione dei dati personali o ad altra autorità per proporre un reclamo in merito al trattamento dei propri dati personali.