Italiano – INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI (WHISTLEBLOWING)

English – PERSONAL DATA PROTECTION POLICY (WHISTLEBLOWING)

 

 

SCS Concept S.r.l. – INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI AI SENSI DEGLI ARTT. 13, 14 REGOLAMENTO EUROPEO 2016/679 IN RIFERIMENTO ALLA PROCEDURA WHISTLEBLOWING

1. Titolare del trattamento

Ai sensi del Regolamento UE 2016/679, GDPR SCS Concept S.R.L., con sede legale in Via Zucchi n. 39/C, 20095 Cusano Milanino (MI) e sedi operative in Via Po n. 77 e 85 – 20032 Cormano (MI), in Via dell’Artigianato nn. 9 e 14 – 20865 Usmate Velate (MB) e in Via Carlo Pittara n. 48 – 10151 Torino (TO), CF e P.IVA 06388790963 comunica che, ai fini della gestione delle segnalazioni in materia di whistleblowing (D. Lgs. 24/2023 in attuazione della Direttiva UE 2019/1937), è Titolare dei dati personali dei soggetti segnalanti (salvo in caso di segnalazioni anonime), di quelli segnalati e di eventuali soggetti terzi.

2. Principi

Uno dei nostri obiettivi fondamentali è la protezione dei dati personali.
I dati sono trattati in modo lecito, corretto e trasparente, adeguati, pertinenti e limitati a quanto necessario, esatti e, se necessario, aggiornati, raccolti per finalità determinate, esplicite e legittime ai sensi degli Artt. 5 e 6 del Regolamento (UE) per la Protezione dei Dati 2016/679 e in conformità Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21 c. 1 d. Lgs. 101/18 emanato dal Garante Privacy il 5 giugno 2019 n. 146 I dati sono trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale (integrità e riservatezza).

3. Fonti da cui hanno origine i dati personali

Raccolti presso l’Interessato:

  • Sedi del Titolare

Non raccolti presso l’Interessato:

  • Eventualmente raccolti in modo autonomo nel corso dell’attività istruttoria.

4. Categorie soggetti interessati

  • Persona coinvolta: persona fisica o giuridica menzionata nella Segnalazione o nella divulgazione come soggetto al quale la violazione è attribuita oppure con la quale tale soggetto è associato.
  • Segnalante: persona fisica che segnala o divulga informazioni sulle violazioni conosciute in ragione delle funzioni svolte; tale qualità può essere rivestita da (i) Dipendente/i; (ii) lavoratori autonomi in ogni accezione, liberi professionisti, partner, e consulenti che prestano la loro opera all’interno o, comunque, nell’interesse del Titolare; (iii) clienti, fornitori, appaltatori, subappaltatori del Titolare; (iv) coloro che effettuino una Segnalazione nell’ambito di un rapporto di lavoro nel frattempo terminato; (v) coloro che effettuino una Segnalazione nell’ambito di un rapporto di lavoro non ancora iniziato ma soltanto nei casi in cui le informazioni inerenti a una violazione siano state acquisite durante il processo di selezione o nel corso di altre fasi delle trattative precontrattuali; (vi) coloro che effettuino una Segnalazione nel corso del periodo di prova del rapporto di lavoro; (vii) in generale, tutti coloro si trovino in relazione di interessi con il Titolare, a prescindere da una eventuale retribuzione.
  • Soggetto terzo: persona diversa dalla Persona coinvolta e dal Segnalante indicato all’interno della segnalazione oppure in un momento successivo (es. testimone).

5. Categorie e dati personali trattati

Dati comuni: I dati personali raccolti sono quelli inseriti dal Segnalante all’interno della segnalazione e quelli eventualmente successivamente conferiti durante la procedura di gestione della segnalazione, ossia quelli inerenti essenzialmente a:

  • Dati identificativi del Segnalante (nome e cognome, indirizzo di residenza o di domicilio, numero di telefono, indirizzo e-mail, n. di documento di identità);
  • Dati identificativi delle persone coinvolte nella segnalazione, informazioni e dati relativi alle violazioni segnalate;
  • Ogni altra informazione di carattere personale relativa al Segnalante, alle Persone coinvolte nella segnalazione e ad eventuali ulteriori soggetti (es. testimoni), che il Segnalante inserisce nella segnalazione o conferisce successivamente oppure conferita dalle Persone coinvolte durante l’eventuale attività istruttoria.

I dati personali manifestamente superflui rispetto al trattamento di una specifica Segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati senza indugio.

6. Finalità del trattamento / Base giuridica /Durata del trattamento e periodo di conservazione dei dati

a) Finalità connesse alla gestione di segnalazioni ai sensi della normativa sul whistleblowing e in conformità a quanto previsto nella Procedura Whistleblowing in vigore presso il Titolare:
  • Rilascio al Segnalante dell’avviso di ricevimento della Segnalazione;
  • Invio al Segnalante del riscontro, ossia della comunicazione di informazioni relative al seguito che viene dato o che si intende dare alla Segnalazione;
  • Svolgimento delle attività di verifica preliminare;
  •  Svolgimento dell’attività istruttoria;
  • Adozione delle decisioni.
Base giuridica del trattamento
  • Adempimento di un obbligo di legge (D. Lgs. 24/2023 in attuazione della Direttiva UE 2019/1937);
Durata del trattamento e periodo di conservazione dei dati
  • Le Segnalazioni e la relativa documentazione sono conservati per il tempo strettamente necessario alla gestione della Segnalazione e, in ogni caso, non oltre cinque anni dalla data in cui l’esito finale della procedura di segnalazione è stato comunicato, nel costante rispetto degli obblighi di riservatezza previsti dalla legge. Tale termine, in caso di investigazioni difensive da parte della Società e/o di indagini e attività, anche ispettive, da parte dell’Autorità Giudiziaria o della Polizia Giudiziaria, nonché in caso di contenziosi o giudizi, può prolungarsi sino alla conclusione di tali attività o procedimenti.
 b) Diritti difensivi 

Accertamento, esercizio o difesa di diritti del Titolare, ove necessario, anche in via stragiudiziale e giudiziale.

Base giuridica del trattamento:
  • Legittimo Interesse del Titolare.
Durata del trattamento e periodo di conservazione dei dati:
  • Durata del contenzioso stragiudiziale e giudiziale fino alla definizione di tali giudizi e fino alla intervenuta prescrizione dei diritti.

7. Natura del conferimento dei dati

Il conferimento dei dati (fermo restando il diritto a procedere con una segnalazione anonima) è necessario in relazione alle finalità di cui al precedente par. 6. e pertanto l’eventuale rifiuto a fornirli in tutto o in parte può dar luogo all’impossibilità per il Titolare di gestire la segnalazione e dai corso ai successivi adempimenti descritti nella Procedura Whistleblowing in vigore presso il Titolare.

8. Modalità del trattamento – Soggetti autorizzati al trattamento

I dati personali verranno trattati in forma cartacea, informatizzata e telematica, ed inseriti nelle pertinenti banche dati cui potranno accedere, e quindi venirne a conoscenza, i soggetti interni espressamente autorizzati/designati in conformità a quanto previsto dalla Procedura Whistleblowing in vigore presso il Titolare, i quali potranno effettuare operazioni di consultazione, utilizzo, elaborazione, raffronto ed ogni altra opportuna operazione anche automatizzata nel rispetto delle disposizioni di legge necessarie a garantire, tra l’altro, la riservatezza e la sicurezza dei dati nonché l’esattezza, l’aggiornamento e la pertinenza dei dati nel rispetto delle finalità dichiarate.
Laddove si dovesse rendere necessario per esigenze connesse alle attività istruttorie, alcune informazioni relative alla segnalazione potranno essere trattate da altre funzioni della Società Titolare del Trattamento.

9. Ambito di comunicazione e diffusione dei dati

I dati potranno essere comunicati e trattati da soggetti esterni operanti in qualità di titolari autonomi quali, a titolo esemplificativo:

Italia:

    a) Autorità giudiziaria e di polizia;

    b) altri soggetti pubblici e/o privati legittimati a riceverli in ragione delle normative vigenti e limitatamente alle informazioni necessarie per le funzioni loro attribuite.

I dati potranno altresì essere trattati, per conto della Società, in conformità alla Procedura Whistleblowing in vigore presso il Titolare da soggetti esterni designati come responsabili, a cui sono impartite adeguate istruzioni operative. Tali soggetti sono essenzialmente ricompresi nelle seguenti categorie:

Italia:

c) Consulenti legali;

    d) Soggetti che offrono servizi di archiviazione cartacea, digitale e conservazione sostitutiva;

    e) Soggetti che offrono servizi postalizzazione tradizionale e automatizzata.

I dati personali non saranno soggetti a diffusione se non in forma aggregata, anonima e non intellegibile. Nessun dato sarà soggetto ad alcun processo decisionale interamente automatizzato, ivi compresa la profilazione.
L’eventuale trasferimento dei dati fuori dal territorio EU/EEA avrà luogo nel rispetto dei principi e alle condizioni previste dalla legge.

10. Diritti degli Interessati – Reclamo all’Autorità di Controllo

Contattando il Titolare via e-mail all’indirizzo privacy@scsconcept.com, gli Interessati possono chiedere al Titolare l’accesso ai dati che li riguardano, il blocco del trattamento, la rettifica dei dati inesatti, l’integrazione dei dati incompleti, la limitazione del trattamento nei casi previsti dall’art. 18 del GDPR, nonché l’opposizione al trattamento nelle ipotesi di legittimo interesse del Titolare.

Il Titolare del trattamento fornisce all’interessato le informazioni relative alla richiesta di esercizio dei diritti dell’Interessato (ai sensi degli articoli dal 15 al 22, GDPR) senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa, come previsto dall’Art. 12 del GDPR.

Gli Interessati, inoltre, nel caso in cui il trattamento sia basato sul consenso o sul contratto e sia effettuato con strumenti automatizzati hanno il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati, nonché, se tecnicamente fattibile, di trasmetterli (Diritto alla Portabilità) ad altro titolare senza impedimenti, e su scelta richiederne contestualmente o successivamente la relativa cancellazione definitiva (Diritto all’Oblio).

Qualora il trattamento sia basato sul consenso per una o più finalità (Art. 6, Paragrafo 1, Lettera A, GDPR) e per il trattamento di dati particolari (Art. 9, Paragrafo 2, Lettera A, GDPR), l’esercizio di revoca del consenso in qualsiasi momento non pregiudica la liceità del trattamento basato sul consenso prima della revoca.

Gli Interessati hanno il diritto di proporre reclamo all’Autorità di controllo competente nello Stato membro in cui risiedono abitualmente o lavorano o dello Stato in cui si è verificata la presunta violazione.

 

 

Segnalazioni

 

 

 

 

 

SCS Concept S.r.l. – INFORMATION FOR THE PROCESSING OF PERSONAL DATA PURSUANT TO ARTICLES. 13, 14 EUROPEAN REGULATION 2016/679

1. Data Controller

Pursuant to EU Regulations 2016/679, GDPR, SCS Concept S.R.L., with registered office in Via Zucchi n. 39/C, 20095 Cusano Milanino (MI) and business offices in Via Po nn. 77 and 85 – 20032 Cormano (MI), in Via dell’Artigianato, nn. 9 and 14 – 20865 Usmate Velate (MB) and in Via Carlo Pittara, n. 48 – 10151 Torino (TO), Tax code and VAT no. 06388790963, communicates that, for the purposes of managing reports concerning whistleblowing (Legislative Decree 24/2023 implementing EU Directive 2019/1937), they are the Data Controller of the personal data of the reporting subjects (except in the case of anonymous reports), those reported and of any third parties.

2. Principles

Protecting personal data is one of our fundamental objectives.

The data are processed in a lawful, fair and transparent manner, they must be adequate, relevant and limited to what is necessary, accurate and, if required, updated, collected for specific, explicit and legitimate purposes pursuant to Articles 5 and 6 of the Data Protection Regulations (EU) 2016/679 and in compliance with the Resolution containing requirements concerning the processing of special categories of data, pursuant to art. 21 c. 1 d. Legislative Decree 101/18 n. 146  issued by the Italian data protection authority on 5 June 2019. The data are processed in a manner that ensures appropriate security of personal data, including protection against unauthorized or unlawful processing and accidental loss, destruction or damage, using appropriate technical or organizational measures (integrity and confidentiality).

3. Personal data sources

Collected from the Data Subject:

  • Data Controller’s Headquarters;

NOT collected from the Data Subject:

  • Collected independently during the assessment, if required.

4. Categories of Data Subjects

  • Data Subject: natural or legal person mentioned in the Report or disclosure as the individual to whom the violation is attributed or with whom such individual is associated.
  • Whistleblower: natural person who reports or discloses information on known violations as a result of the functions performed; this role can be held by (i) Employee(s); (ii) self-employed workers in any sense, freelancers, partners or consultants who provide their services within the company or, in any case, in the interests of the Data Controller; (iii) customers, suppliers, contractors or subcontractors of the Data Controller; (iv) those who make a Report in the context of an employment relationship which has ended in the meantime; (v) those who make a Report in the context of an employment relationship which has not yet begun but only in cases where the information regarding a violation has been acquired during the selection process or during other phases of pre-contractual negotiations; (vi) those who make a Report during the probationary period of the employment relationship; (vii) in general, all those who have a relationship of interests with the Data Controller, regardless of any remuneration.
  • Third party: person other than the Data Subject and the Whistleblower indicated in the report or at a later time (e.g. witness).

5. Categories and personal data processed

Common data: The personal data collected is that reported by the Whistleblower in the report and any data subsequently disclosed during the management of the whistleblowing procedure, i.e. data essentially concerning:

  • Identification data of the Whistleblower (name and surname, domicile or residence address, telephone number, e-mail, id n);
  • Identification data of the Data Subject in the report, information and data regarding the reported violations;
  • Any other information of a personal nature relating to the Whistleblower, the Data Subject in the report and any additional subjects (e.g. witnesses), who the Whistleblower includes in the report or provides subsequently or provided by the Data Subject during any preliminary investigation activity.

Personal data which is clearly superfluous with respect to the processing of a specific Report is not collected or, if collected accidentally, is deleted without hesitation.

6. Purpose of processing / Legal basis / Duration of processing and data retention period

a) Purposes related to the management of reports pursuant to the legislation on whistleblowing and in compliance with the provisions of the Whistleblowing Procedure in force at the Data Controller:
  • Issue to the Whistleblower the acknowledgment of receipt of the Report.
  • Send to the Whistleblower the feedback, i.e. the communication of information regarding the follow-up that is given or that is intended to be given to the Report;
  • Carry out preliminary verification activities;
  • Conduct the preliminary investigation activity
  • Adopt decisions
Processing Legal Basis:
  • Fulfillment of a legal obligation (Legislative Decree 24/2023 in compliance with EU Directive 2019/1937)
Duration of processing and data retention period
  • The Reports and the related documentation are kept for the time strictly necessary to manage the Report and, in any case, no longer than five years from the date on which the final outcome of the reporting procedure was communicated, in full compliance with confidentiality obligations provided for by law. This deadline, in the event of defensive investigations by the Company and/or investigations and activities, including inspections, by the Judicial Authority or the Judicial Police, as well as in the case of disputes or judgements, may be extended until the conclusion of such activities or proceedings.
b) Defensive rights
  • Assessment, exercise or protection of the Data Controller’s rights also in out-of-court and judicial proceedings if necessary.
Processing Legal Basis:
  • Data Controller’s Legitimate Interest.
Duration of processing and data retention period
  • Duration of the out-of-court and judicial litigation until the definition of these judgments and until the statute of limitations of rights.

7. Nature of data disclosure

Disclosure of data (without prejudice to the right to proceed with an anonymous report) is necessary for the purpose referred to in previous par. 6. Consequently, any refusal to provide them in whole or in part may prevent the Data Controller from managing the report and fulfilling the subsequent obligations described in the Whistleblowing Procedure in force at the Data Controller.

8. Processing methods – Subjects authorized to process personal data

Personal data will be processed in paper, computerized and electronic form, and will be entered in the relevant databases which can be accessed, and therefore become aware of them, by subjects expressly authorized/designated in compliance with the provisions of the Whistleblowing Procedure in force at the Data Controller. The aforementioned subjects may consult, use, process and compare data and carry out other appropriate operations, even automated, in compliance with the provisions of the law necessary to guarantee, among other things, the confidentiality and security of the data, as well as the accuracy, updating and relevance of the data in compliance with the declared purposes.

Where required by assessment activities, some information relating to the report may be processed by other functions of the Data Controller Company.

9. Scope of communication and dissemination of data

The data may be disclosed and processed by external parties operating as Independent Data Controllers such as, by way of example:

Italy:
  1. Judicial and police authorities;
  2. Other public and/or private entities entitled to receive them according to current regulations and limited to the information necessary for the tasks assigned to them.

The data may also be processed, on behalf of the Company, in accordance with the Whistleblowing Procedure in force at the Data Controller, by external parties designated as Data Controllers, who have received adequate operating instructions. These subjects are essentially included in the following categories:

Italy:
  1. Legal Advisors
  2. Subjects that offer paper and digital filing and substitute retention services;
  3. Subjects that offer traditional and automated mailing services.

Personal data will not be disclosed except in an aggregate, anonymous and non-intelligible form. No data will be subject to any fully automated decision-making process, including profiling.

Any transfer of data outside the EU/EEA territory will take place in compliance with the principles and conditions established by law.

10. Rights of the Data Subject – Complaint to the Supervisory Authority

By contacting the Data Controller via e-mail at privacy@scsconcept.com, the Data Subject may ask the Data Controller to access the data concerning them, to stop processing to rectify inaccurate data, amend incomplete data, limit processing in the cases provided for by art. 18 of the GDPR, as well as object to the processing in the cases of the Data Controller’s legitimate interest.

The Data Controller provides the Data Subject with information regarding the request to exercise the Data Subject’s rights (pursuant to articles 15 to 22, GDPR) without unjustified delay and, in any case, within one month of receiving the request itself, as required by Art. 12 of the GDPR.

Furthermore, the Data Subjects, in the event that the processing is based on consent or on the agreement and is carried out with automated tools, will have the right to receive the data in a structured, commonly used and machine-readable format, as well as, if technically feasible, to transmit them (Right to Portability) to another data controller without impediments, and request their definitive deletion at the same time or subsequently (Right to be Forgotten).

If the processing is based on consent for one or more purposes (Art. 6, Paragraph 1, Letter A, GDPR) and for the processing of specific data (Art. 9, Paragraph 2, Letter A, GDPR), the exercise of revocation of consent at any time will not affect the lawfulness of the processing based on consent before revocation.

The Data Subjects will have the right to file a complaint with the competent Supervisory Authority in the Member State in which they usually reside or work or in the State in which the alleged infringement occurred.