Canale di Whistleblowing attuato ai sensi del D.Lgs. n. 24 del 10 marzo 2023

Informativa privacy ai sensi del Regolamento UE 679/2016 sulla protezione dei dati personali (“GDPR”) per il trattamento dei dati personali nell’ambito della procedura di segnalazione “Whistleblowing” adottato ai sensi del  D. lgs. 10 marzo 2023 n. 24

Con la presente informativa, Marposs S.p.A (“MARPOSS”), in qualità di contitolare del trattamento, unitamente alle singole società del Gruppo Marposs, che sempre in qualità di contitolari (disgiuntamente definiti “Titolare del trattamento” o anche solo “Titolare”), hanno attivato il canale di segnalazione di “Whistleblowing” , forniscono, ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”), le informazioni sulle modalità e sulle finalità del trattamento dei dati personali eventualmente raccolti e trattati nell’ambito della propria “Policy Whistleblowing”, adottata in conformità al e, segnatamente, di tutte le attività e adempimenti connessi al funzionamento del sistema aziendale per la gestione delle segnalazioni whistleblowing.

Le informazioni che seguono vengono rese ai soggetti “segnalanti” e a tutti gli altri soggetti potenzialmente “interessati”, quali, ad esempio, le persone indicate come possibili responsabili delle condotte illecite, eventuali soggetti “facilitatori” (come definiti dalla normativa di riferimento), nonché ogni altro soggetto a diverso titolo coinvolto nella “Policy Whistleblowing”.

Secondo l’impostazione della disciplina in oggetto, i dati personali potranno essere acquisiti dal Titolare in quanto contenuti nelle segnalazioni whistleblowing, ovvero negli atti e documenti a queste allegati, pervenute alla stessa attraverso i canali previsti dalla suddetta Policy.

La ricezione e la gestione di tali segnalazioni potrà dare luogo, a seconda del loro contenuto, al trattamento delle seguenti categorie di dati personali: dati personali comuni (e.g. nome, cognome, data e luogo di nascita, numero telefonico fisso e/o mobile, indirizzo postale/e-mail, il ruolo/mansione lavorativa); dati personali “particolari” (e.g.  le informazioni relative a condizioni di salute, opinioni politiche, convinzioni religiose o filosofiche, orientamento sessuale o appartenenza sindacale; dati personali “giudiziari” (e.g. relativi a condanne penali e reati, o a connesse misure di sicurezza).

Riguardo alle suddette categorie di dati personali, si rimarca l’importanza che le segnalazioni inoltrate risultino prive di informazioni manifestamente irrilevanti ai fini della disciplina di riferimento, invitando in particolare i soggetti segnalanti ad astenersi dall’utilizzare dati personali di natura “particolare” e “giudiziaria” se non ritenuti necessari ed imprescindibili ai fini delle stesse, in ottemperanza al GDPR.

Le suddette informazioni verranno trattate dal Titolare secondo le disposizioni prescritte dalla legge e pertanto, in via generale, al fine di effettuare le necessarie attività istruttorie volte a verificare la fondatezza dei fatti oggetto di segnalazione e l’adozione dei conseguenti provvedimenti.

Inoltre, i dati potranno essere utilizzati dal Titolare del trattamento per finalità connesse ad esigenze di difesa o accertamento di propri diritti nel contesto di procedimenti giudiziali, amministrativi o stragiudiziali e nell’ambito di contenziosi civili, amministrativi o penali sorti in relazione alla segnalazione effettuata.

La base giuridica del trattamento dei dati personali è principalmente costituita dall’adempimento ad un obbligo legale a cui è soggetto il Titolare del trattamento − art. 6, par. 1, lett. c) del GDPR − che, in particolare, in forza della normativa sopra menzionata, è tenuto ad implementare e gestire canali informativi dedicati alla ricezione delle segnalazioni di condotte illecite lesive dell’integrità del Titolare e/o dell’interesse pubblico.

Nei casi contemplati dalla medesima disciplina potrà essere richiesto uno specifico e libero consenso al soggetto segnalante − ai sensi dell’art. 6, par. 1, lett. a) del GDPR – e, segnatamente, laddove si ravveda la necessità di disvelarne l’identità, oppure qualora sia prevista la registrazione delle segnalazioni raccolte in forma orale, tramite sistemi di messaggistica vocale, ovvero attraverso incontri diretti con il Responsabile della segnalazione

Il trattamento di dati personali “particolari”, eventualmente inclusi nelle segnalazioni, si fonda sull’assolvimento di obblighi e sull’esercizio di diritti specifici del Titolare del trattamento e dell’interessato in materia di diritto del lavoro, ai sensi dell’art. 9, par. 2, lett. b) del GDPR.

Quanto alla finalità di accertare, esercitare o difendere un diritto in sede giudiziaria, la relativa base giuridica del trattamento di dati personali è costituita dal legittimo interesse del Titolare in tal senso, di cui all’art. 6, par. 1, lett. f), del GDPR; per la medesima finalità, i trattamenti di dati personali di natura “particolare”, se presenti, si fondano sull’art. 9, par. 2, lett. f) del GDPR.

Il conferimento dei dati personali è opzionale, attesa la possibilità di inoltrare al Titolare anche segnalazioni anonime, ove presentino informazioni precise, concordanti e adeguatamente circostanziate, fermo restando quanto disposto dalla normativa, riguardo a tale fattispecie, in tema di misure di protezione a tutela del soggetto segnalante. Se conferiti, i dati personali saranno trattati per gestire la segnalazione secondo i limiti e con le garanzie di riservatezza imposti dalla normativa di riferimento.

Il trattamento dei dati personali inclusi nelle segnalazioni inoltrate in conformità alla “Policy Whistleblowing” verrà effettuato dai soggetti “incaricati-autorizzati” dal Titolare e sarà improntato ai principi di correttezza, liceità e trasparenza, di cui all’art. 5 del GDPR.

Il trattamento dei dati personali potrà essere effettuato in modalità analogiche e/o informatiche/telematiche, funzionali a memorizzarli, gestirli e trasmetterli, comunque in applicazione di adeguate misure, di tipo fisico, tecnico ed organizzativo, atte a garantire la loro sicurezza e la riservatezza in ogni fase della procedura, ivi compresa l’archiviazione della segnalazione e dei relativi documenti – fatto salvo quanto previsto dall’art. 12 del D. lgs. n. 24/2023 – con particolare riferimento all’identità del segnalante, delle persone coinvolte e/o comunque menzionate nelle segnalazioni, del contenuto delle stesse e relativa documentazione.

Le segnalazioni ricevute dal Titolare, unitamente agli atti e documenti acclusi, verranno conservate per il tempo necessario alla gestione delle stesse e, in ogni caso, come prevede la normativa, per un periodo non eccedente cinque anni dalla data delle comunicazioni dei relativi esiti finali. Successivamente a tale termine, le segnalazioni verranno eliminate dal sistema, oppure conservate in forma anonimizzata.

I dati personali potranno essere comunicati a:

  1. ai membri dell’organo del Gruppo Marposs, Responsabile della segnalazione;
  2. ai fornitori di servizi di consulenza ed assistenza nell’implementazione della “Policy Whistleblowing”;
  3. alla funzione centrale “IT” di gruppo dedicata all’applicazione di adeguate misure di sicurezza tecnico-informatiche e/o organizzative sulle informazioni processate dal sistema aziendale.
  4. altri eventuali addetti autorizzati a comunicare con l’organo del Gruppo Marposs di cui al punto a.

Tutti i dati personali sono trattati alla luce del principio di “minimizzazione”, pertanto i dati personali manifestamente non utili, raccolti in modo accidentale, saranno cancellati, così come il contenuto delle segnalazioni manifestamente irrilevanti. Ai fini dello stesso principio di “minimizzazione”, qualora, per ragioni istruttorie, anche altri soggetti debbano essere messi a conoscenza del contenuto della segnalazione e/o della documentazione ad essa allegata, i dati personali del segnalante, del segnalato e delle altre persone menzionate nella segnalazione dovranno essere oscurati.

Se necessario, alle autorità pubbliche competenti. Con il consenso del segnalante, i suoi dati personali potranno essere rivelati nei seguenti casi: 1) nel procedimento disciplinare laddove il disvelamento dell’identità del segnalante sia indispensabile per la difesa del soggetto a cui viene contestato l’addebito disciplinare; 2) nei procedimenti instaurati in seguito a segnalazioni interne o esterne laddove tale rivelazione sia indispensabile anche ai fini della difesa della persona coinvolta.

I dati personali non saranno utilizzati per alcuna tipo di profilazione, né saranno oggetto di procedure decisionali automatizzate. Ciascun soggetto interessato potrà esercitare, i diritti di cui agli articoli 15 e seguenti del GDPR, al fine di ottenere dal Titolare del trattamento, ad esempio, l’accesso ai propri dati personali, la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda, ferma restando la possibilità, in mancanza di soddisfacente riscontro, di proporre reclamo all’Autorità Garante per la protezione dei dati personali, inviando un’email all’indirizzo gdpr@marposs.com ed esplicitando il diritto che si intende esercitare per consentire al Titolare del trattamento di rispondere correttamente alla richiesta.

Al riguardo, si informa che i predetti diritti in capo agli interessati al trattamento di dati personali potranno venire limitati ai sensi di legge, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, qualora dal loro esercizio possa derivare un pregiudizio concreto ed effettivo alla riservatezza dell’identità dei soggetti segnalanti.