SCS Concept S.r.l. – INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI AI SENSI DEGLI ARTT. 13, 14 REGOLAMENTO EUROPEO 2016/679 IN RIFERIMENTO ALLA PROCEDURA WHISTLEBLOWING

1. Titolare del trattamento

Ai sensi del Regolamento UE 2016/679, GDPR SCS Concept S.R.L., con sede legale in Via Zucchi n. 39/C, 20095 Cusano Milanino (MI) e sede operativa in Via Po n. 77, 20032 Cormano (MI), CF e P.IVA 06388790963 comunica che, ai fini della gestione delle segnalazioni in materia di whistleblowing (D. Lgs. 24/2023 in attuazione della Direttiva UE 2019/1937), è Titolare dei dati personali dei soggetti segnalanti (salvo in caso di segnalazioni anonime), di quelli segnalati e di eventuali soggetti terzi.

2. Principi

Uno dei nostri obiettivi fondamentali è la protezione dei dati personali.
I dati sono trattati in modo lecito, corretto e trasparente, adeguati, pertinenti e limitati a quanto necessario, esatti e, se necessario, aggiornati, raccolti per finalità determinate, esplicite e legittime ai sensi degli Artt. 5 e 6 del Regolamento (UE) per la Protezione dei Dati 2016/679 e in conformità Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21 c. 1 d. Lgs. 101/18 emanato dal Garante Privacy il 5 giugno 2019 n. 146 I dati sono trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale (integrità e riservatezza).

3. Fonti da cui hanno origine i dati personali

Raccolti presso l’Interessato:

  • Sedi del Titolare

Non raccolti presso l’Interessato:

  • Eventualmente raccolti in modo autonomo nel corso dell’attività istruttoria.

4. Categorie soggetti interessati

  • Persona coinvolta: persona fisica o giuridica menzionata nella Segnalazione o nella divulgazione come soggetto al quale la violazione è attribuita oppure con la quale tale soggetto è associato.
  • Segnalante: persona fisica che segnala o divulga informazioni sulle violazioni conosciute in ragione delle funzioni svolte; tale qualità può essere rivestita da (i) Dipendente/i; (ii) lavoratori autonomi in ogni accezione, liberi professionisti, partner, e consulenti che prestano la loro opera all’interno o, comunque, nell’interesse del Titolare; (iii) clienti, fornitori, appaltatori, subappaltatori del Titolare; (iv) coloro che effettuino una Segnalazione nell’ambito di un rapporto di lavoro nel frattempo terminato; (v) coloro che effettuino una Segnalazione nell’ambito di un rapporto di lavoro non ancora iniziato ma soltanto nei casi in cui le informazioni inerenti a una violazione siano state acquisite durante il processo di selezione o nel corso di altre fasi delle trattative precontrattuali; (vi) coloro che effettuino una Segnalazione nel corso del periodo di prova del rapporto di lavoro; (vii) in generale, tutti coloro si trovino in relazione di interessi con il Titolare, a prescindere da una eventuale retribuzione.
  • Soggetto terzo: persona diversa dalla Persona coinvolta e dal Segnalante indicato all’interno della segnalazione oppure in un momento successivo (es. testimone).

5. Categorie e dati personali trattati

Dati comuni: I dati personali raccolti sono quelli inseriti dal Segnalante all’interno della segnalazione e quelli eventualmente successivamente conferiti durante la procedura di gestione della segnalazione, ossia quelli inerenti essenzialmente a:

  • Dati identificativi del Segnalante (nome e cognome, indirizzo di residenza o di domicilio, numero di telefono, indirizzo e-mail, n. di documento di identità);
  • Dati identificativi delle persone coinvolte nella segnalazione, informazioni e dati relativi alle violazioni segnalate;
  • Ogni altra informazione di carattere personale relativa al Segnalante, alle Persone coinvolte nella segnalazione e ad eventuali ulteriori soggetti (es. testimoni), che il Segnalante inserisce nella segnalazione o conferisce successivamente oppure conferita dalle Persone coinvolte durante l’eventuale attività istruttoria.

I dati personali manifestamente superflui rispetto al trattamento di una specifica Segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati senza indugio.

6. Finalità del trattamento / Base giuridica /Durata del trattamento e periodo di conservazione dei dati

a) Finalità connesse alla gestione di segnalazioni ai sensi della normativa sul whistleblowing e in conformità a quanto previsto nella Procedura Whistleblowing in vigore presso il Titolare:
  • Rilascio al Segnalante dell’avviso di ricevimento della Segnalazione;
  • Invio al Segnalante del riscontro, ossia della comunicazione di informazioni relative al seguito che viene dato o che si intende dare alla Segnalazione;
  • Svolgimento delle attività di verifica preliminare;
  •  Svolgimento dell’attività istruttoria;
  • Adozione delle decisioni.
Base giuridica del trattamento
  • Adempimento di un obbligo di legge (D. Lgs. 24/2023 in attuazione della Direttiva UE 2019/1937);
Durata del trattamento e periodo di conservazione dei dati
  • Le Segnalazioni e la relativa documentazione sono conservati per il tempo strettamente necessario alla gestione della Segnalazione e, in ogni caso, non oltre cinque anni dalla data in cui l’esito finale della procedura di segnalazione è stato comunicato, nel costante rispetto degli obblighi di riservatezza previsti dalla legge. Tale termine, in caso di investigazioni difensive da parte della Società e/o di indagini e attività, anche ispettive, da parte dell’Autorità Giudiziaria o della Polizia Giudiziaria, nonché in caso di contenziosi o giudizi, può prolungarsi sino alla conclusione di tali attività o procedimenti.
 b) Diritti difensivi 

Accertamento, esercizio o difesa di diritti del Titolare, ove necessario, anche in via stragiudiziale e giudiziale.

Base giuridica del trattamento:
  • Legittimo Interesse del Titolare.
Durata del trattamento e periodo di conservazione dei dati:
  • Durata del contenzioso stragiudiziale e giudiziale fino alla definizione di tali giudizi e fino alla intervenuta prescrizione dei diritti.

7. Natura del conferimento dei dati

Il conferimento dei dati (fermo restando il diritto a procedere con una segnalazione anonima) è necessario in relazione alle finalità di cui al precedente par. 6. e pertanto l’eventuale rifiuto a fornirli in tutto o in parte può dar luogo all’impossibilità per il Titolare di gestire la segnalazione e dai corso ai successivi adempimenti descritti nella Procedura Whistleblowing in vigore presso il Titolare.

8. Modalità del trattamento – Soggetti autorizzati al trattamento

I dati personali verranno trattati in forma cartacea, informatizzata e telematica, ed inseriti nelle pertinenti banche dati cui potranno accedere, e quindi venirne a conoscenza, i soggetti interni espressamente autorizzati/designati in conformità a quanto previsto dalla Procedura Whistleblowing in vigore presso il Titolare, i quali potranno effettuare operazioni di consultazione, utilizzo, elaborazione, raffronto ed ogni altra opportuna operazione anche automatizzata nel rispetto delle disposizioni di legge necessarie a garantire, tra l’altro, la riservatezza e la sicurezza dei dati nonché l’esattezza, l’aggiornamento e la pertinenza dei dati nel rispetto delle finalità dichiarate.
Laddove si dovesse rendere necessario per esigenze connesse alle attività istruttorie, alcune informazioni relative alla segnalazione potranno essere trattate da altre funzioni della Società Titolare del Trattamento.

9. Ambito di comunicazione e diffusione dei dati

I dati potranno essere comunicati e trattati da soggetti esterni operanti in qualità di titolari autonomi quali, a titolo esemplificativo:

Italia:

    a) Autorità giudiziaria e di polizia;

    b) altri soggetti pubblici e/o privati legittimati a riceverli in ragione delle normative vigenti e limitatamente alle informazioni necessarie per le funzioni loro attribuite.

I dati potranno altresì essere trattati, per conto della Società, in conformità alla Procedura Whistleblowing in vigore presso il Titolare da soggetti esterni designati come responsabili, a cui sono impartite adeguate istruzioni operative. Tali soggetti sono essenzialmente ricompresi nelle seguenti categorie:

Italia:

c) Consulenti legali;

    d) Soggetti che offrono servizi di archiviazione cartacea, digitale e conservazione sostitutiva;

    e) Soggetti che offrono servizi postalizzazione tradizionale e automatizzata.

I dati personali non saranno soggetti a diffusione se non in forma aggregata, anonima e non intellegibile. Nessun dato sarà soggetto ad alcun processo decisionale interamente automatizzato, ivi compresa la profilazione.
L’eventuale trasferimento dei dati fuori dal territorio EU/EEA avrà luogo nel rispetto dei principi e alle condizioni previste dalla legge.

10. Diritti degli Interessati – Reclamo all’Autorità di Controllo

Contattando il Titolare via e-mail all’indirizzo privacy@scsconcept.com, gli Interessati possono chiedere al Titolare l’accesso ai dati che li riguardano, il blocco del trattamento, la rettifica dei dati inesatti, l’integrazione dei dati incompleti, la limitazione del trattamento nei casi previsti dall’art. 18 del GDPR, nonché l’opposizione al trattamento nelle ipotesi di legittimo interesse del Titolare.

Il Titolare del trattamento fornisce all’interessato le informazioni relative alla richiesta di esercizio dei diritti dell’Interessato (ai sensi degli articoli dal 15 al 22, GDPR) senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa, come previsto dall’Art. 12 del GDPR.

Gli Interessati, inoltre, nel caso in cui il trattamento sia basato sul consenso o sul contratto e sia effettuato con strumenti automatizzati hanno il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati, nonché, se tecnicamente fattibile, di trasmetterli (Diritto alla Portabilità) ad altro titolare senza impedimenti, e su scelta richiederne contestualmente o successivamente la relativa cancellazione definitiva (Diritto all’Oblio).

Qualora il trattamento sia basato sul consenso per una o più finalità (Art. 6, Paragrafo 1, Lettera A, GDPR) e per il trattamento di dati particolari (Art. 9, Paragrafo 2, Lettera A, GDPR), l’esercizio di revoca del consenso in qualsiasi momento non pregiudica la liceità del trattamento basato sul consenso prima della revoca.

Gli Interessati hanno il diritto di proporre reclamo all’Autorità di controllo competente nello Stato membro in cui risiedono abitualmente o lavorano o dello Stato in cui si è verificata la presunta violazione.