Informativa Privacy Whistleblowing
Così come previsto dalla normativa vigente (art. 13 Regolamento generale sulla protezione dei dati, di seguito anche “GDPR”), la SO.GE.A.AL. Spa, in persona del legale rappresentante pro tempore, (di seguito indicata anche come “Titolare” o “Società”) fornisce ai soggetti che effettuano una segnalazione whistleblowing le informazioni relative al trattamento dei loro dati.
-
- Identità e dati di contatto del Titolare del trattamento
Il Titolare del trattamento è SO.GE.A.AL. Spa, con sede legale in Regione Nuraghe Biancu, 07041 Alghero (SS), P.IVA 01635090903. La Società può essere contatta attraverso l’indirizzo email privacy@sogeaal.it o telefonicamente al numero +39.079.935011
-
- Il Responsabile della protezione dei dati (DPO)
Il Titolare ha designato il Responsabile della protezione dei dati (DPO), che può essere contattato al seguente indirizzo: dpo@sogeaal.it
-
- Categorie di dati personali, finalità e base giuridica del trattamento
I dati trattati sono quelli forniti spontaneamente dal segnalante mediante il canale di segnalazione e precisamente:
- dati identificativi, quali, a titolo di esempio, nome, cognome;
- dati di contatto, quali email e numero di telefono;
- eventuali ulteriori dati, anche particolari o relativi a condanne penali e reati, oggetto di segnalazione o contenuti in documenti ad essa allegati.
La Segnalazione non dovrà contenere fatti non rilevanti ai fini della stessa, né categorie particolari di dati personali, di cui all’art. 9 del GDPR (di seguito anche “Categorie particolari di dati”, cioè quelli da cui possono eventualmente desumersi, fra l’altro, l’origine razziale ed etnica, le convinzioni filosofiche e religiose, l’adesione a partiti o sindacati, nonché lo stato di salute la vita sessuale o l’orientamento sessuale), né dati relativi a condanne penale e reati di cui all’art. 10 del GDPR, salvo i casi in cui ciò sia inevitabile e necessario ai fini della Segnalazione stessa.
I dati personali sopra indicati sono trattati esclusivamente per dare seguito alla segnalazione e la base giuridica del trattamento è l’obbligo di legge cui è soggetto il Titolare (art. 6.1, lett. c) del Regolamento) ai sensi del Decreto 24/2023. Nel caso in cui sia necessario trattare dati particolari e/o relativi a condanne penali e reati, la base giuridica del trattamento è l’art. 9.2 lett. b) e f).
Nel caso in cui la segnalazione dovesse dare luogo a contestazioni disciplinari o altre azioni giudiziarie a carico dei soggetti in merito ai quali la segnalazione viene effettuata, i dati necessari verranno trattati al fine di gestire il relativo contenzioso e a tutela dei diritti della Società; in tale ipotesi la liceità del trattamento si fonda sulla necessità del perseguimento del legittimo interesse della Società (art. 6.1, lett. f) del Regolamento).
-
- Modalità del trattamento dei dati
I dati raccolti mediante il canale di segnalazione sono trattati con strumenti informatici che garantiscono adeguate misure di sicurezza per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.
-
- Trasferimento dei dati all’estero
Il canale di segnalazione non comporta il trasferimento dei dati all’estero.
4.2 Tempi di conservazione
I dati conferiti direttamente dall’interessato sono conservati per il tempo strettamente necessario a dar corso alla procedura whistleblowing e poi cancellati e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, fatte salve le ulteriori esigenze difensive (che potrebbero rendere necessaria una conservazione ulteriore).
-
- Natura del conferimento dei dati
Il conferimento dei dati personali è obbligatorio, poiché in difetto la Società si troverebbe nell'impossibilità di adempiere agli specifici obblighi di legge relativi alla gestione delle Segnalazioni e, di conseguenza, non potrebbe garantire le misure di protezione previste dal D.lgs 24/2023 a favore degli Interessati.
-
- Destinatari dei dati
I dati non saranno oggetto di diffusione ma, per le finalità sopra indicate e nel rispetto dei principi del GDPR, potranno essere conosciuti e comunicati a: dipendenti della Società appartenenti al Comitato Whistleblowing incaricati della gestione del canale di segnalazione, società informatica di cui il titolare si avvale per la fornitura, gestione e manutenzione della piattaforma utilizzata per la segnalazione, consulenti e professionisti per la gestione del contenzioso e OdV.
I dati potranno inoltre essere conosciuti dalle Autorità competenti in caso di specifiche richieste cui il titolare è tenuto, per legge, a dare seguito.
Si precisa che alcuni dei soggetti indicati operano quali responsabili del trattamento e che la comunicazione a coloro che operano quali autonomi titolari viene effettuata perché prescritta da obblighi di legge o necessaria a dar corso agli obblighi derivanti dal rapporto contrattuale o all’interesse legittimo del titolare consistente nel mantenere la sicurezza dei sistemi informatici e nello svolgimento delle attività difensive attraverso consulenti legali.
La comunicazione è comunque limitata alle sole categorie di dati la cui trasmissione si rende necessaria per lo svolgimento delle attività e finalità perseguite.
L’interessato potrà richiedere al Titolare la lista dei soggetti esterni che svolgono la loro attività quali responsabili del trattamento.
7. Diritti dell’interessato
La legge riconosce all’interessato il diritto di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati.
L’interessato potrà far valere i suoi diritti in ogni momento, senza formalità, rivolgendosi al titolare del trattamento o al responsabile della protezione dei dati attraverso i recapiti indicati nella presente informativa. Il Titolare provvederà a dare riscontro entro 30 giorni dal ricevimento della richiesta, così come previsto dalla normativa vigente.
Si riportano di seguito nel dettaglio i diritti riconosciuti dalla normativa vigente in materia di protezione dei dati personali.
- Il diritto di accesso, ossia il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato. Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha poi il diritto di essere informato dell’esistenza di garanzie adeguate relative al trasferimento.
- Il diritto di rettifica, ossia il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
- Il diritto alla cancellazione, ossia il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo se: a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento; c) l’interessato si oppone al trattamento effettuato perché necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare o per il perseguimento del legittimo interesse e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento per finalità di marketing diretto; d) i dati personali sono stati trattati illecitamente; e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione a minori. La richiesta di cancellazione non può però essere accolta se il trattamento è necessario: a) per l’esercizio del diritto alla libertà di espressione e di informazione; b) per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento; c) per motivi di interesse pubblico nel settore della sanità pubblica; d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, nella misura in cui la cancellazione rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
- Il diritto di limitazione, ossia il diritto di ottenere che i dati siano trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro se: a) l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali; b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo; c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; d) l’interessato si è opposto al trattamento effettuato perché necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare o per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
- Il diritto alla portabilità, ossia il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti al titolare e ha il diritto di trasmettere tali dati a un altro titolare senza impedimenti da parte del titolare cui li ha forniti, nonché il diritto di ottenere la trasmissione diretta dei dati personali da un titolare all’altro, se tecnicamente fattibile, qualora il trattamento si basi sul consenso o su un contratto e il trattamento sia effettuato con mezzi automatizzati. Tale diritto lascia impregiudicato il diritto alla cancellazione.
- Il diritto di opposizione, ossia il diritto dell’interessato di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano effettuato perché necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare o per il perseguimento del legittimo interesse del titolare del trattamento o di terzi. Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.
Si informa poi l’interessato che, nel caso ritenga che il trattamento dei suoi dati personali avvenga in violazione di quanto previsto dal RGDP, ha il diritto di proporre reclamo al Garante, come previsto dall'art. 77 del Regolamento stesso o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).
I predetti diritti potranno essere limitati ai sensi e per gli effetti di cui all’art. 2-undecies, primo comma lett. f) del Codice Privacy, qualora dall’esercizio degli stessi possa derivare un pregiudizio concreto ed effettivo alla riservatezza dell'identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte, ai sensi del D.Lgs n. 24/2023. In tali casi, i diritti dell'Interessato possono essere esercitati anche tramite il Garante Privacy con le modalità di cui all'art. 160 del Codice Privacy. In tale ipotesi, il Garante Privacy informa l'Interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell'interessato di proporre ricorso giurisdizionale.
[ ] dichiaro di aver preso visione dell’informativa privacy