Politica sulla riservatezza

-

La presente informativa viene pubblicata, ai sensi e per gli effetti degli artt. 13 e 14 del Regolamento UE n.679/2016 (in seguito GDPR), da C.IA.C. S.C.R.L. (in seguito CIAC) e riguarda il trattamento dei dati personali raccolti mediante il portale whistleblowing (di seguito, il "Portale") che CIAC ha messo a disposizione di coloro (dipendenti, clienti, fornitori, partner commerciali, consulenti, collaboratori ecc.) che intendono effettuare, secondo quanto previsto dalla procedura whistleblowing (di seguito, la "Procedura Whistleblowing"), una segnalazione (di seguito anche "Segnalazione") di condotte illecite in violazione della normativa nazionale o sovranazionale, di violazioni del Codice Etico o del Modello Organizzativo ex D. Lgs. 231/2001 e delle procedure interne adottate da CIAC, ai sensi e per gli effetti del D.Lgs. 24/2023.

CIAC ha affidato le attività di ricezione e di gestione delle segnalazioni ad un Organismo pluripersonale, caratterizzato da una componente interna e una esterna, al fine di garantire una maggiore indipendenza ed imparzialità. La componente interna è stata individuata in un Referente della Direzione Generale individuato dal Consiglio di Amministrazione e selezionato in virtù della competenza specialistica, dell'affidabilità e della disponibilità di risorse idonee a svolgere tale compito. La seconda è rappresentata da un professionista esterno, incaricato di esercitare attività di controllo in qualità di Presidente dell'Organismo di Vigilanza ai sensi del D.Lgs. 231/2001. In caso di conflitti d’interesse tra la Segnalazione e le figure individuate per la gestione delle segnalazioni, il Consiglio di Amministrazione ha individuato nella figura esterna del DPO, il Responsabile della protezione dei dati, colui che deve valutare la specifica Segnalazione.

Attraverso un unico link, https://ciacformazione.ethic-channel.com/home, raggiungibile anche da un link nel sito istituzionale di CIAC, www.ciacformazione.it, il segnalante può gestire la propria segnalazione.

1           Titolare del Trattamento e DPO

Titolare del trattamento è C.IA.C. S.C.R.L., con sede legale in Valperga (TO), Via Mazzini n. 80, nella persona del Direttore Generale, domiciliato per la funzione presso la sede di Rivarolo Canavese (TO), Corso Re Arduino n. 50.

Il Responsabile della Protezione dei Dati (RPD) è domiciliato per la funzione presso la sede di Rivarolo Canavese (TO), Corso Re Arduino n. 50.

I nominativi dei predetti soggetti e l’elenco Responsabili sono consultabili alla sezione “privacy” del sito www.ciacformazione.it.

2           Tipologia di dati

Verranno trattati i Dati personali che il segnalante ha volontariamente inteso fornire per rappresentare i fatti descritti nella segnalazione. La Società raccoglierà e tratterà le seguenti informazioni che possono comprendere i dati personali del soggetto segnalante (di seguito anche "Segnalante") quali, il nome, il cognome, il ruolo aziendale o i rapporti con CIAC, nonché ulteriori informazioni contenute nella Segnalazione, ivi inclusi i dati personali del/dei soggetto/i segnalato/i o delle persone comunque menzionate (di seguito anche "Dati personali").

L'acquisizione e gestione delle segnalazioni dà luogo, infatti, a trattamenti di dati personali, anche appartenenti a particolari categorie di dati e relativi a condanne penali e reati, eventualmente contenuti nella segnalazione e in atti e documenti ad essa allegati, riferiti a interessati (persone fisiche identificate o identificabili) e, in particolare, i segnalanti o le persone indicate come possibili responsabili delle condotte illecite o quelle a vario titolo coinvolte nelle vicende segnalate. Gli interessati possono essere, dunque:

·        Il Segnalante che volontariamente fornisce propri dati personali (dati personali raccolti presso l'interessato)

·        Persone coinvolte nella segnalazione, i cui dati personali vengono forniti dal Segnalante, sotto la sua responsabilità, nel contesto della descrizione del fatto segnalato, quali ad esempio persone indicate come possibili responsabili, testimoni, vittime (dati personali non ottenuti presso l'interessato)

CIAC non è in grado di determinare a priori i dati oggetto della segnalazione, che potrà quindi contemplare anche dati particolari (ai sensi dell'art. 9 GDPR) o relativi a condanne penali e reati (ai sensi dell'art. IO GDPR). I predetti dati saranno trattati con supporti informatici che ne garantiscono la sicurezza e la riservatezza compresa la cifratura degli archivi elettronici utilizzati.

Il conferimento dei Dati personali del Segnalante è facoltativo: il Segnalante ha la facoltà di rimanere anonimo. Tuttavia, l'identità del segnalante potrebbe essere anche desunta da elementi di contesto o elementi della segnalazione, non potendosi considerare tale segnalazione anonima in senso tecnico.

ln tal caso, prevarrà comunque la volontà del segnalante di rimanere anonimo e sarà garantita la riservatezza della sua identità. Non è inoltre obbligatorio indicare i Dati personali del/dei soggetto/i segnalato/i o di altre persone coinvolte. ln ogni caso, i dati personali contenuti nella segnalazione verranno trattati solo se pertinenti e necessari all'analisi dell'evento segnalato.

I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente perché inseriti erroneamente dal segnalante nella descrizione della segnalazione, non sono trattati e, ove possibile, sono immediatamente cancellati.

Esulano dalle condotte segnalabili fatti oggetto di vertenze di lavoro, anche in fase precontenziosa, nonché discriminazioni tra colleghi, conflitti interpersonali tra la persona segnalante e un altro lavoratore o i superiori gerarchici, segnalazioni relative a trattamenti di dati effettuati nel contesto del rapporto individuale di lavoro in assenza di lesioni dell'interesse pubblico o dell'integrità dell'amministrazione pubblica o dell'ente privato. Non rientrano nell'ambito di applicazione oggettivo del D.Lgs 24/2023, inoltre, le segnalazioni riferite a circostanze generiche o riconducibili ad una fase antecedente all'eventuale commissione di possibili illeciti, ovvero frutto di mere indiscrezioni o vociferazioni scarsamente attendibili, nonché a ipotesi di tentativo di reato, potrebbe dar luogo a trattamenti di dati personali non pienamente riconducibili all'ambito di trattamento previsto dalla disciplina di settore. Eventuali segnalazioni riconducibili a questi temi la cui gestione comporti trattamento di dati personali verrà gestita solo ove faccia riferimento all'inosservanza di Norme volontarie a cui la società aderisce (ad esempio UNI EN ISO 9001 o D. Lgs. 231/2001), o inosservanza di valori e regolamenti aziendali sulla base del legittimo interesse del Titolare ex art. 6, par. 1, lett. f) del GDPR di accertare la veridicità della Segnalazione e svolgere ogni attività necessaria alla gestione della stessa.

ln qualsiasi momento il Segnalante può ritirare la segnalazione dandone comunicazione attraverso lo stesso canale utilizzato per effettuarla. ln tal caso, i dati personali raccolti non saranno ulteriormente trattati, salvo sia già stato avviato un procedimento disciplinare e/o il titolare abbiamo già comunicato tali dati ad un Autorità pubblica, secondo quanto previsto dal Decreto legislativo 24/2023.

3           Base giuridica e finalità del trattamento

I Dati personali saranno trattati per finalità connesse alla gestione e verifica della Segnalazione e per garantire un'adeguata applicazione della Procedura Whistleblowing. I dati personali di eventuali soggetti inclusi nella descrizione della Segnalazione saranno trattati solo ed esclusivamente:

·        se pertinenti alla segnalazione e

·        per l'esclusiva finalità di verifica della stessa.

Presupposto per il trattamento è l'adempimento di un obbligo di legge cui è soggetto il Titolare ex art. 6, par. 1, lettera c) del GDPR come previsto dalla normativa di cui al D.Lgs. 24/2023, che impone al Titolare di dotarsi di un canale informativo per ricevere le Segnalazioni di atti o condotte che ledono un interesse pubblico o l'integrità della società.

I trattamenti di dati personali sono, dunque, necessari per dare attuazione agli obblighi di legge e ai compiti d'interesse pubblico previsti dalla disciplina di settore la cui osservanza è condizione di liceità del trattamento (artt. 6, par. 1, lett. c) ed e) e parr. 2 e 3; art. 9, par. 2, lett. b) e g), art. 10 e art. 88 del GDPR, nonché 2-ter e 2-sexies del Codice).

Sulla base del legittimo interesse del Titolare ex art. 6, par. 1, lett. f) del GDPR di accertare la veridicità della segnalazione e svolgere ogni attività necessaria alla gestione della stessa, verranno trattati i dati personali contenuti nelle segnalazioni che, non rientrando nell'ambito di applicazione oggettivo del D.Lgs. 24/2023, il Segnalante dichiara si riferiscono all'inosservanza di norme volontarie cui la Società aderisce, o valori e regolamenti interni aziendali.

4           Modalità del trattamento

 

Il trattamento dei vostri dati personali è realizzato per mezzo delle operazioni indicate all’art. 4 n. 2) RGPD e precisamente: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati. I vostri dati personali sono sottoposti a trattamento sia cartaceo che elettronico e/o automatizzato. 

Il Titolare ha adottato e fatto adottare dai propri fornitori di servizi una gran varietà di misure di sicurezza per proteggere i vostri dati contro il rischio di perdita, abuso o alterazione. In particolare: ha adottato idonee misure di cui all’art. 32 RGPD; utilizza tal l’altro, quando necessario, la tecnologia della pseudonimizzazione e della cifratura dei dati ed i protocolli protetti di trasmissione dei dati.

 

5           Soggetti destinatari

I dati personali oggetto della segnalazione potranno essere comunicati agli organi aziendali competenti a gestire la specifica segnalazione, garantendo la riservatezza dell'identità del segnalante e del contenuto della segnalazione (ad esempio, le segnalazioni in ambito D.lgs 231/2001 saranno comunicate al presidente dell'Organismo di Vigilanza). I dati potranno essere comunicati, inoltre, alle Autorità competenti in conformità a quanto previsto dall'articolo 14 del D. LGS 24/2023 (nell'ambito del procedimento penale, l'identità della persona segnalante è coperta dal segreto nei modi e nei limiti previsti dall'articolo 329 del codice di procedura penale; nell'ambito del procedimento dinanzi alla Corte dei conti, l'identità della persona segnalante non può essere rivelata fino alla chiusura della fase istruttoria).

L'identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rivelate, senza il consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate a trattare tali dati.

Nell'ambito del procedimento disciplinare, l'identità della persona segnalante non può essere rivelata, ove la contestazione dell'addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità della persona segnalante sia indispensabile per la difesa dell'incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità. In tal caso e quando la rivelazione della identità della persona segnalante e delle relative informazioni è indispensabile anche ai fini della difesa della persona coinvolta, è dato avviso alla persona segnalante mediante comunicazione scritta delle ragioni della rivelazione dei dati riservati.

Senza il Vostro espresso consenso art. 6 lett. b) e c) RGPD), il Titolare potrà comunicare i Vostri dati:

·        a dipendenti e collaboratori del Titolare, nella loro qualità di Incaricati e/o Responsabili del trattamento formalmente nominati;

·        a società terze o altri soggetti che svolgono attività in outsourcing per conto del Titolare, nella loro qualità di Responsabili esterni del trattamento.

6            Trasferimento dati

La gestione e la conservazione dei dati personali avverranno nell’ambito dello S.E.E., su server del Titolare e/o di società terze incaricate e debitamente nominate quali Responsabili esterni del trattamento.

7            Periodo di conservazione

ln conformità all'articolo 14 del D.Lgs 24/2023 e, fatti salvi diversi obblighi di legge, le Segnalazioni e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione. Quando, su richiesta della persona segnalante, la Segnalazione è effettuata oralmente nel corso di un incontro con il personale addetto, essa, previo consenso della persona segnalante, è documentata a cura del personale addetto mediante verbale, la persona segnalante può verificare, rettificare e confermare il verbale dell'incontro mediante la propria sottoscrizione. Tale documentazione è conservata per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione. Le Segnalazioni non pertinenti possono essere cancellate dopo 90 giorni dal loro ricevimento.

8            Diritti degli interessati

Scrivendo all'indirizzo [email protected], l'Interessato potrà esercitare i propri diritti nei confronti del Titolare del Trattamento, ai sensi degli artt. 15 e ss. del GDPR, di seguito riassunti:

                  Ottenere la conferma dell'esistenza o meno di dati personali che La riguardano e la loro comunicazione in forma intelligibile;

                  Ottenere indicazioni relative a: a) le finalità e modalità di trattamento; b) la logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; c) i soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati;

                  Ottenere, altresì: a) l'accesso ai dati personali trattati da CIAC; b) l'aggiornamento, la rettifica ovvero, quando vi dovesse essere l'interesse, la cancellazione dei dati; c) la portabilità dei dati forniti;

                  Opporsi, in tutto o in parte, per motivi legittimi al trattamento dei dati personali che La riguardano, ancorché pertinenti allo scopo della raccolta.

                  L'Interessato ha, inoltre, diritto di proporre reclamo ad una Autorità di controllo, nei casi e per gli effetti espressi dalla normativa vigente.

Tuttavia, la persona coinvolta o la persona menzionata nella segnalazione, con riferimento ai propri dati personali trattati nell'ambito della segnalazione, divulgazione pubblica o denuncia, non possono esercitare — per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata - i diritti che normalmente il Regolamento (UE) 2016/679 riconosce agli interessati (il diritto di accesso ai dati personali, il diritto a rettificarli, il diritto di ottenerne la cancellazione o cosiddetto diritto all'oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati personali e quello di opposizione al trattamento). Dall'esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell'identità della persona segnalante. ln tali casi, dunque, al soggetto segnalato o alla persona menzionata nella segnalazione è preclusa anche la possibilità, laddove ritengano che il trattamento che li riguarda violi suddetti diritti, di rivolgersi al titolare del trattamento e, in assenza di risposta da parte di quest'ultimo, di proporre reclamo al Garante della protezione dei dati personali (art. 2-undecies D.lgs. 196/2003 "Codice Privacy"). Questa limitazione non trova applicazione per le segnalazioni che esulano dall'ambito di applicazione oggettivo del D.lgs. 24/2023.

9            Minori

La gestione del Whisleblowing che il Titolare propone non è destinata a minori di 16 anni e il Titolare non raccoglie intenzionalmente informazioni personali riferite soggetti minori di 16 anni se non inserite dal Segnalante nella segnalazione. Nel caso in cui informazioni su minori fossero involontariamente registrate, il Titolare le cancellerà, ove possibile, in modo tempestivo, su richiesta formale degli utenti comprovante la loro potestà genitoriale.

10       Modifiche alla presente Informativa

L'eventuale introduzione di nuove normative di settore ed il costante esame ed aggiornamento del servizio, potrebbero comportare la necessità di variare le modalità di trattamento dei dati personali. È quindi possibile che la presente informativa subisca modifiche nel tempo. Pertanto, ti invitiamo a consultare periodicamente questa pagina visionando la data di revisione dell'informativa. La nuova informativa modificata o corretta si applicherà a decorrere dalla data di revisione.


Ultimo aggiornamento 15/12/2023


Questo portale web utilizza i propri cookie solo per scopi tecnici, non raccoglie né trasferisce in nessun caso i dati personali degli utenti. Se desideri maggiori informazioni, fai clic sul link sottostante "Cookie" in qualsiasi momento.