Skip to main content

Informativa privacy whistleblowing

Scritto il .

INFORMATIVA PER IL TRATTAMENTO DEI DATI DELLE SEGNALAZIONI WHISTLEBLOWING
ai sensi degli articoli 13 e 14 del Regolamento UE 2016/679 e della normativa nazionale vigente in materia
di protezione dei dati personali – Segnalazioni di violazioni di norme nazionali ed europee (c.d. whistleblowing)

Titolare del trattamento: Cosmo scs
Il Titolare, anche attraverso l’organo di gestione del canale di segnalazione interna, può trattare i dati personali dell’interessato nel contesto dei canali istituiti nel rispetto della normativa applicabile, per permettere la segnalazione di violazioni di norme nazionali e comunitarie che ledono l'interesse pubblico o l'integrità di Cosmo scs, in conformità al D.lgs 24/2023 (c.d. whistleblowing), nonché per la gestione di tali segnalazioni. La presente informativa deve essere letta unitamente alle “Istruzioni per le segnalazioni whistleblowing” presente nel sito alla sezione Policy/Segnalazioni che contengono, con diverso livello di dettaglio le informazioni sulle violazioni che possono essere segnalate, sui presupposti e sulle modalità per l’effettuazione della segnalazione e sulle tutele riservate dalla normativa applicabile ai soggetti interessati dalla segnalazione.

Soggetti interessati: L’informativa si applica ai soggetti che segnalano le suddette violazioni, ai soggetti segnalati indicati come presunti responsabili, ai soggetti implicati nelle violazioni (anche come testimoni), ai soggetti al corrente dei fatti o comunque menzionati nella segnalazione ed ai facilitatori.

Finalità e modalità del trattamento: il Titolare, anche attraverso l’organo di gestione del canale di segnalazione interna, può trattare i dati personali per la ricezione e gestione della segnalazione, compresa la fase di indagine, l'applicazione di misure correttive, il monitoraggio della loro applicazione e l'aggiornamento del segnalante sui risultati del procedimento, la sua eventuale difesa in giudizio e/o l’eventuale difesa del segnalato e/o di altri soggetti coinvolti. Il trattamento dei dati avviene mediante strumenti manuali e/o informatici con logiche strettamente correlate alle finalità indicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi, nel rispetto della normativa vigente in materia ed applicando le misure tecniche ed organizzative previste.

Base giuridica: le attività di trattamento sono svolte in base ad un obbligo legale a cui il Titolare è soggetto (art. 6, par. 1, lett. c) GDPR), ai sensi della normativa applicabile in materia di whistleblowing D.lgs 24/2023. Qualora, nell’ambito di una segnalazione, vengano fornite categorie particolari di dati, il Titolare le tratterà in virtù delle seguenti deroghe previste dall’art. 9 GDPR, consistenti:

  • nella necessità di assolvere agli obblighi ed esercitare i diritti specifici del Titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale (art. 9, par. 2, lett. b) GDPR);
  • nella necessità di accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali (art. 9, par. 2, lett. f) GDPR) per quanto concerne il trattamento dei dati personali necessari in sede di contenzioso o in sede Informativa whistleblowing Rev. 0 del 14/08/2024 precontenziosa, per far valere o difendere un diritto, anche del Titolare o di un terzo, in sede giudiziaria, nonché in sede amministrativa o di arbitrato e conciliazione.

Inoltre, per quanto concerne la rivelazione dell’identità del segnalante a soggetti diversi da quelli competenti a ricevere la segnalazione e l’utilizzabilità della segnalazione se l’identità del segnalante è necessaria per la difesa del segnalato, in conformità a quanto previsto dall’art. 12 commi 2 e 5 del D.Lgs 24/2023 la base giuridica è rappresentata dal consenso fornito dal segnalante. Il consenso del segnalante è necessario anche per conservazione di registrazioni e/o trascrizioni di telefonate, messaggi, conversazioni nel corso di incontri riservati (art. 14 commi 2 e 4 D.Lgs 24/2023).

Categorie di dati personali e fonti di origine dei dati: in base all’esperienza del Titolare, possono essere trattati i seguenti dati personali dei soggetti interessati:

  • dati identificativi;
  • dati di contatto;
  • dati relativi alle presunte condotte segnalate, attribuite al segnalato, nelle quali l’interessato potrebbe essere coinvolto o delle quali potrebbe essere a conoscenza;
  • immagini e altra documentazione allegata alla segnalazione;
  • categorie particolari di dati personali ed dati relativi a condanne penali e reati eventualmente contenuti nella segnalazione;
  • contenuti delle comunicazioni scambiate tra il segnalante e i soggetti/soggetto che gestiscono la segnalazione.

I dati personali dei soggetti diversi dal segnalante sono solitamente forniti dal segnalante tramite la segnalazione oppure dagli altri soggetti interessati (qualora questi siano sentiti durante l’indagine).

Comunicazione dei dati: potranno venire a conoscenza dei dati solo i/il soggetti/o specificatamente autorizzati da Cosmo scs nel ruolo di membri dell’Organo di gestione del canale di segnalazione interno ed eventualmente quelli coinvolti nell’analisi e nell’indagine. In ogni caso, l’identità del segnalante, e qualsiasi altra informazione da cui la si può evincere, possono essere rivelate a soggetti diversi dai/l soggetti/o autorizzati/designati a gestire la segnalazione o l’indagine per conto del Titolare, solo con l’autorizzazione del segnalante oppure quando obbligatorio o legittimo ai sensi della normativa applicabile. In casi eccezionali, qualora la rivelazione dell’identità sia indispensabile per la difesa del segnalato (nell’ambito di un procedimento disciplinare) o della persona coinvolta (nell’ambito delle procedure interne), il segnalante sarà informato, sempre tramite la piattaforma/altra formula individuata per comunicare (laddove non abbia scelto l’anonimato), da Cosmo scs in merito ai motivi di tale comunicazione che potrà avvenire solo previo suo consenso come indicato nel paragrafo relativo alla Base giuridica. La tutela della riservatezza viene garantita anche agli altri soggetti interessati, fino alla conclusione del procedimento avviato in ragione della segnalazione e nel rispetto delle medesime garanzie previste in favore del segnalante. Tuttavia, nel caso in cui la segnalazione sia oggetto di denuncia alle autorità competenti, l’obbligo di riservatezza dell’identità delle persone coinvolte o menzionate nella segnalazione potrebbe venire meno nei modi e alle condizioni previste dalla normativa applicabile.
Inoltre, i dati o parte dei dati potrebbero essere condivisi con i seguenti soggetti esterni, a seconda dei casi:

  • agenti in qualità di titolari autonomi del trattamento o responsabili del trattamento;
  • avvocati e consulenti, che forniscono servizi di consulenza o di indagine;
  • autorità giudiziarie, di vigilanza, supervisione o di polizia, nei casi previsti dalla legge.

Nella misura di quanto strettamente indispensabile e, comunque, a fronte di apposite garanzie, i dati potrebbero essere trattati da società che forniscono al Titolare la piattaforma per la segnalazione, sistemi informativi e/o società che sono coinvolte nella loro manutenzione e sicurezza. Informativa whistleblowing Rev. 0 del 14/08/2024 I dati personali non sono oggetto di diffusione; non sono trasferiti al di fuori dello SEE o, nel caso che lo siano il trasferimento è assistito dalle garanzie di cui al Capo V del REG. UE 2016/679, inoltre i dati non saranno soggetti a processi decisionali interamente automatizzati.

Tempi di conservazione: nel rispetto dei principi di proporzionalità e necessità, i dati personali saranno conservati in una forma che consenta l’identificazione degli interessati per il tempo necessario a evadere la segnalazione e, comunque, non oltre cinque anni a decorrere dalla data della comunicazione al segnalante dell’esito finale della procedura di segnalazione. Sono fatti salvi eventuali specifici obblighi normativi o la sopravvenuta necessità del Titolare di agire o difendersi in giudizio, che rendano necessario il trattamento e la conservazione dei dati per periodi di tempo superiori.

Obbligatorietà del conferimento dei dati: è possibile inoltrare una segnalazione in forma anonima o non anonima come indicato nelle “Istruzioni per le segnalazioni whistleblowing”. In caso di segnalazione anonima, il Titolare, anche attraverso l’organo di gestione del canale di segnalazione interna, potrebbe non essere in grado di investigare efficacemente la segnalazione. Pertanto, il segnalante è invitato a segnalare qualsiasi violazione fornendo tutte le informazioni richieste, così da permettere all’organo di gestione del canale di segnalazione interna di procedere con la fase investigativa. In ogni caso, il Titolare assicurerà che tutti i dati personali trattati nel contesto della segnalazione rimangano strettamente riservati.

Diritti dell’interessato: l’interessato può esercitare, in qualunque momento, il diritto di ottenere la conferma dell’esistenza o meno dei suoi dati e di conoscerne il contenuto e l’origine, verificarne l’esattezza o chiederne l’integrazione o l’aggiornamento, oppure la rettifica (artt. 15 e 16 del GDPR). Inoltre, ha il diritto di chiedere la cancellazione, la limitazione al trattamento, la revoca del consenso, la portabilità dei dati. I diritti di cui agli artt. 15-22 del REG: UE 2016/679 sono esercitabili tramite procedura di reclamo al Garante per la protezione dei dati personali https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/4535524

Cosmo scs segnala, tuttavia, che l’esercizio dei diritti dell’interessato potrebbe essere limitato o escluso, ai sensi di quanto previsto dalla Normativa Privacy, nel caso in cui dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante.

L’interessato ha il diritto di proporre reclamo alla autorità di controllo competente (per l’Italia, il Garante per la Protezione dei Dati Personali, www.garanteprivacy.it), qualora ritenesse che il trattamento dei suoi dati risultasse contrario alla normativa in vigore.

Cosmo ha designato un Responsabile della protezione dei dati personali (c.d. DPO Data Protection Officer): Responsabile della Protezione dei Dati è la società Dream S.r.l., via G. Prati 23, Tione di Trento (TN), i cui dati di contatto sono i seguenti: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., numero di telefono +39 0465 322514.

Il Titolare si riserva di apportare alla presente informativa tutte le modifiche che ritenesse utile, anche in relazione all’evoluzione della normativa in vigore, dandone la più ampia visibilità agli interessati.

Emissione 14/08/2024