Informative Privacy whistleblowing

Informative Privacy whistleblowing

Informativa Privacy per l’utente che effettua una segnalazione di violazioni 
(whistleblowing) tramite piattaforma Signalethic


Perchè ricevi questa informativa privacy?
La normativa europea sulla protezione dei dati personali richiede al Titolare del trattamento (ovvero l’azienda che decide «perché» e «come» i dati personali sono trattati) di informare gli individui quando i loro dati personali vengono raccolti e utilizzati.

Questa informativa privacy, quindi, è qui per informarti riguardo il «perché» e «come» i tuoi dati personali saranno trattati da TubiSteel S.r.l. per le finalità di effettuare una segnalazione di violazioni tramite piattaforma Signalethic e dei relativi servizi, di seguito
meglio dettagliati in apposite sezioni.

Le segnalazioni ricevute tramite Signalethic possono contenere dati personali di terzi i quali,
rispettivamente, possono essere:

  • individui segnalati;
  • altri soggetti coinvolti a vario titolo nella segnalazione.

La presente informativa privacy quindi si rivolge anche alle categorie di interessati sopra menzionati al fine di informarli in merito a come TubiSteel S.r.l. tratta i loro dati personali per le finalità whistleblowing.

Cosa è un dato personale?
Dati personali sono un nome, un cognome, i dati di contatto, l’indirizzo mail, identificatori online come l’indirizzo IP e qualsiasi dato o informazione che può essere direttamente o indirettamente correlata ad uno specifico individuo.

Cosa significa Titolare del trattamento?
Il Titolare del trattamento è l’azienda che decide «perché» e «come» è necessario trattare i tuoi dati personali.
TubiSteel S.r.l. è il Titolare per il trattamento dei dati personali forniti a seguito dell’invio di una segnalazione tramite piattaforma Signalethic.


Ulteriori informazioni riguardo il Titolare del Trattamento
Titolare del Trattamento è TubiSteel S.r.l., P. IVA 02014910240, con sede legale in
VIA Campania 13-15, telefono 0445576259,
email info@tubisteel.com, PEC: tubisteel@pec.confindustriavicenza.it

 

Quali obblighi ha TubiSteel S.r.l. in qualità di Titolare del trattamento?
La normativa sulla protezione dei dati personali ci obbliga ad assicurare che i tuoi dati personali siano trattati solo in modo lecito, corretto e trasparente ed in linea con i principi e i requisiti del Regolamento Europeo Generale sulla Protezione dei Dati (Regolamento (UE) 2016/679 o GDPR) e le leggi nazionali italiane.

Inoltre, hai i seguenti diritti:

  • di essere informato su cosa facciamo con i tuoi dati e come lo facciamo;
  • di accedere ai tuoi dati personali;
  • di obiettare all’utilizzo dei tuoi dati personali;
  • di richiedere la rettifica di qualsiasi informazione abbiamo su di te risulti inaccurata;
  • di richiedere la limitazione dei trattamenti su i tuoi dati o la cancellazione di eventuali tuoi dati personali che conserviamo senza una valida giustificazione;
  • di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che ti riguardano e che processiamo per i fini dell’esecuzione di un contratto;
  • di essere libero dai processi di decisione automatizzati;

Per le finalità descritte in questa informatica (gestione violazioni whistleblowing), l’esercizio di tali diritti (previsto dagli articoli da 15 a 22 del GDPR) può essere esercitato nei limiti di quanto previsto dall'articolo 2-undecies del decreto legislativo 30 giugno 2003, n. 196.

Come possono essere esercitati tali diritti?
L’esercizio dei diritti legati alla protezione dei dati è gratuito. Le richieste possono essere effettuate a voce o per iscritto.

Non sei costretto ad utilizzare un particolare formato per la tua richiesta.

Tuttavia noi dovremo effettuare dei controlli sulla tua identità al fine di assicurarci che la tua richiesta sia genuina e che non vengano inviati i tuoi dati personali a qualcuno che finge di essere te.

Per l’esercizio dei diritti, puoi rivolgere le relative richieste scrivendo o contattando il Titolare del trattamento ai recapiti indicati sopra.
Il diritto di proporre un reclamo all’autorità di controllo della protezione dei dati personali competente o agire in sede giudiziale.

Se non sei soddisfatto e pensi che TubiSteel S.r.l. non abbia trattato i tuoi dati in modo lecito, corretto e trasparente o se pensi che i tuoi diritti siano stati lesi, hai il diritto di proporre reclamo all’Autorità di controllo competente nello Stato membro in cui risiedi abitualmente e/o lavori o dello Stato in cui si è verificata la presunta violazione del Regolamento.

In Italia, l’Autorità di controllo competente è il Garante per la Protezione dei Dati Personali, www.garanteprivacy.it

Servizio di segnalazione di violazioni tramite piattaforma cloud Signalethic

Di seguito, abbiamo incluso ulteriori informazioni al fine di rispondere alle seguenti domande: Quali sono i dati personali che TubiSteel S.r.l. deve trattare per fornire il servizio, qual è la base legale del trattamento, per quali finalità sono utilizzati e per quanto tempo
sono conservati?

Dati personali trattati
L’acquisizione e la gestione delle segnalazioni ricevute può dar luogo, oltre che a trattamenti di dati personali “comuni” (dati anagrafici, dati di contatto, altri dati relativi alla condotta illecita segnalata ecc.), anche a trattamenti di categorie “particolari” di dati personali (ex art. 9 GDPR) e dati personali relativi a condanne penali e reati (ex art. 10 GDPR).

Cosa si intende per dati “comuni”, categorie particolari di dati personali e dati relativi
a condanne penali e reati?
A mero titolo esemplificativo, i dati personali di tipo comune trattati per finalità whistleblowing
possono includere:

  • Dati che permettono di identificare un individuo, come il nome e cognome;
  • Dati relativi all’occupazione o al contesto lavorativo;
  • Dati sulla situazione finanziaria personale;
  • Dati sulle preferenze o sul comportamento;
  • Dati relativi ad acquisti o alla fornitura di servizi.

A mero titolo esemplificativo, le categorie particolari di dati personali (art. 9 GDPR) trattate
per finalità whistleblowing possono includere:

  • Dati idonei a rivelare le preferenze politiche e sindacali;
  • Dati idonei a rivelare lo stato di salute;
  • Dati idonei a rivelare lo stato di gravidanza;
  • Dati idonei a rivelare lo stato di disabilità;
  • Dati idonei a rivelare l'appartenenza a categorie protette.

A mero titolo esemplificativo, i dati personali relativi a condanne o reati (art. 10 GDPR) trattati per finalità whistleblowing possono includere:

  • Dati idonei a rivelare un reato che ha commesso uno specifico individuo o lo stato di indagato e/o imputato in un procedimento penale.

Riservatezza della segnalazione
I log delle attività che effettui su Signalethic durante l’inoltro di una segnalazione non includono informazioni identificative quali indirizzi IP e User Agent.

Questo significa che, ove non siano incluse nella segnalazione informazioni che permettano la tua identificazione, l'immissione di una segnalazione può essere fatta in maniera anonima.

Tuttavia, potrà successivamente esserti chiesto di identificarti, previo specifica motivazione da parte del gestore della tua segnalazione.

Finalità del trattamento
La finalità del trattamento è la gestione della segnalazione di illeciti e protezione delle persone che segnalano violazioni di disposizioni normative nazionali o dell'Unione europea che ledono l'interesse pubblico o l'integrita' dell'ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato.


Base legale per il trattamento dei dati personali
La base legale per il trattamento dei dati personali di tipo comune è:

  • il trattamento è necessario per adempiere un obbligo legale (D. Lgs. 24/2023) al quale è soggetto il titolare del trattamento - GDPR, art 6 (c)

L’ulteriore base legale per il trattamento delle categorie particolari di dati personali è:

  • il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri - GDPR, art 9 (g)

Categorie e identità dei destinatari dei dati personali
Signalethic supporta la cifratura dei dati at rest (ovvero a riposo o a livello di database) ed in transit (ovvero in transito o tramite connessione criptata).

Sebbene il Considerando 26 del GDPR stabilisca che i dati personali soggetti a cifratura rientrino nella normativa sulla protezione dei dati personali in quanto dati pseudonimizzati, le informazioni incluse nelle segnalazioni effettuate tramite la piattaforma rimangono accessibili solo alle persone specificatamente autorizzate da TubiSteel S.r.l. in quanto incaricati come
gestori delle stesse.

Per le finalità relative all’uso e alla navigazione del portale web Signalethic e per le finalità di gestione delle segnalazioni, le categorie di destinatari dei dati personali sono, quindi, le seguenti:

1. Destinatari che non possono avere accesso alle informazioni relative alle segnalazioni in quanto destinatari esclusivamente di dati personali cifrati:

a. Sanmarco Informatica S.P.A., Sede Legale Via Vittorio Veneto 153, 36040, Grisignano di Zocco (VI), C.F. – P.IVA IT01712150240 - fornitore del servizio informatico Signalethic

b. Amazon Web Services EMEA SARL (AWS Europe), 38 avenue John F. Kennedy, L-1855 Luxembourg - azienda che fornisce a Sanmarco Informatica S.p.A. i servizi di cloud hosting su cui è ospitato il servizio SignalEthic (IaaS).

2. Destinatari che possono avere accesso alle informazioni relative alle segnalazioni di dati personali:

a. Gestori delle segnalazioni, individuati ai sensi della normativa D. Lgs.
24/2023.

Ruolo dei destinatari dei dati personali
I destinatari trattano i dati ricevuti da TubiSteel S.r.l. in qualità di Responsabili del trattamento.

Trasferimento a paesi terzi
I dati personali non sono oggetto di trasferimento a destinatari al di fuori dell'Unione Europea.

Tempi di conservazione

TubiSteel S.r.l. identifica periodi di conservazione della documentazione inerente alle segnalazioni interne per il tempo necessario al trattamento della segnalazione.

Al fine di determinare i periodi di conservazione, TubiSteel S.r.l. applica criteri proporzionati all’esito di ogni caso e degli specifici rischi ad essi associati per la protezione della riservatezza delle persone coinvolte e compatibili con la durata media del termine
prescrizionale dei principali illeciti suscettibili di verificarsi.

TubiSteel S.r.l. conserva le segnalazioni per il tempo strettamente necessario e comunque non oltre il termine di cinque anni previsto dall’art. 14 del D. Lgs. 24/2023, adottando adeguate misure volte a garantire la riservatezza dell’identità degli interessati, fra cui la
conservazione in un archivio ristretto e con accesso limitato.

Ove applicabile, i periodi di conservazione descritti di seguito, saranno considerati come standard da TubiSteel S.r.l. e vengono pertanto indicati a mero titolo informativo:

1. Segnalazioni a cui non può essere dato seguito in quanto non rientranti nell’ambito del D. Lgs. 24/2023: conservazione per un periodo di tempo di 2 mesi a seguito del completamento della valutazione preliminare.

2. Segnalazioni rientranti nell’ambito del D. Lgs. 24/2023 ma che sono ritenute manifestamente infondate: conservazione per un termine di 2 mesi a decorrere dalla data in cui viene comunicato l'esito finale della procedura di segnalazione.

3. Segnalazioni rientranti nell’ambito del D. Lgs. 24/2023 e che sono fondate:

  • i. Segnalazioni a basso rischio specifico per il settore merceologico di appartenenza: conservazione per un termine di 6 mesi a decorrere dalla data in cui viene comunicato l'esito finale della procedura di segnalazione.
  • ii. Segnalazioni a medio rischio specifico per il settore merceologico di appartenenza: conservazione per un termine di 1anno a decorrere dalla data in cui viene comunicato l'esito finale della procedura di segnalazione.
  • iii. Segnalazioni a alto rischio specifico per il settore merceologico di appartenenza: conservazione per un termine di 2 anni a decorrere dalla data in cui viene comunicato l'esito finale della procedura di segnalazione.

Nei seguenti casi TubiSteel S.r.l. conserva i dati per il tempo necessario per lo svolgimento delle seguenti attività di seguito descritte:

  • per decidere e applicare sanzioni o altre misure disciplinari;
  • in caso di vertenze o intervento delle autorità;
  • ai fini di difesa in sede giudiziaria per eventuali controversie con gli individui interessati.