INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
PER LA GESTIONE DELLE SEGNAZIONI DI ILLECITO – WHISTLEBLOWING
Informativa resa ai sensi degli artt. 13 e 14 del Regolamento UE 679/2016 (GDPR) sul trattamento dei dati personali relativi alle persone fisiche
Con la presente informativa, Scarpe & Scarpe S.p.A. a socio unico (di seguito anche “la Società”) fornisce informazioni relative al trattamento dei dati personali del soggetto interessato che effettua una segnalazione (di seguito, “il Segnalante”) e degli altri soggetti interessati, menzionati o coinvolti nella segnalazione stessa, o dei potenziali responsabili degli illeciti oggetto di segnalazione (di seguito, “il Segnalato”). Il trattamento sarà improntato a principi di correttezza, liceità, trasparenza e tutela della riservatezza.
TITOLARE DEL TRATTAMENTO
Titolare del trattamento è la società Scarpe & Scarpe S.p.A. – con socio unico, sede legale in Via Treviso 22/E – 10144 Torino, sede amministrativa in Via Tetti dell’Oleo 17/25 – Borgaro T.se (TO), C.F./P.I. 10700280018, indirizzo mail servizio.privacy@scarpescarpe.com.
RESPONSABILE DELLA PROTEZIONE DATI (RPD o DPO)
Il Titolare ha provveduto a nominare quale DPO la società Digital Strategy S.r.l.s.u. – servizio MY DPO, con sede legale e operativa in Via dei Lanzi 33, 57123, Livorno (LI), contattabile all'indirizzo e-mail dpo@scarpescarpe.com.
FONTE DEI DATI TRATTATI
Le informazioni possono essere fornite:
- nella segnalazione, dal Segnalante;
- nel corso delle necessarie attività istruttorie (a titolo esemplificativo, da fonti pubbliche, terzi intervistati, etc.);
- durante il processo di gestione della segnalazione
- attraverso i log di traffico[1] sulle connessioni alla piattaforma di segnalazione registrati sui sistemi aziendali della Società.
La Società ha implementato, al proprio interno, sistemi di sicurezza informatica che rilevano i log di traffico delle connessioni via web (filtro web, sistemi antivirus, sistemi anti malware). Pertanto, in caso di utilizzo di PC e/o smartphone aziendali collegati alla rete aziendale, suddetti sistemi di protezione e sicurezza informatica registrano i log di traffico riguardanti le connessioni alla piattaforma di whistleblowing; ciò comporta la registrazione su alcuni sistemi, all’interno del log, dell’indicazione di utente ed indirizzo IP che ha fatto il collegamento alla piattaforma.
Tuttavia la Società ha adottato misure di sicurezza idonee ad escludere e/o ridurre al minimo la tracciabilità delle attività di Log. In ogni caso, la Società garantisce che queste informazioni siano accessibili esclusivamente al personale tecnico debitamente autorizzato e istruito.
Resta inteso che non viene rilevata in alcun modo l’attività che viene effettuata dal segnalante dopo l’accesso alla piattaforma (che peraltro può riguardare distinte tipologie di segnalazione) ma viene rilevata solo la “chiamata” alla piattaforma, ovvero la connessione alla stessa.
Per garantire un anonimato totale al Segnalante, si raccomanda di effettuare la segnalazione da un dispositivo personale tramite rete privata non aziendale.
IMPORTANTE:
La piattaforma informatica adottata dalla Società – Legality Whistleblowing, progettata e sviluppata dal fornitore DigitalPA – prevede che tutte le informazioni che possono rivelare contenuti di una segnalazione e l’identità del suo autore, o che possono dare indicazioni sull’attività del Segnalante, siano protette da un sistema di cifratura; le segnalazioni (comprese le bozze), gli allegati (anche quelli temporanei), i log di attività e le sessioni sono cifrate. Inoltre, non esiste alcuna correlazione diretta tra utente della piattaforma (Segnalante) ed eventuali segnalazioni.
Un’ulteriore misura di sicurezza è l’assenza sul server di un’associazione tra la sessione e l’utente; una volta scaduta la sessione, questa viene eliminata dal sistema".
TIPOLOGIA DEI DATI TRATTATI
Qualora il Segnalante decida di non effettuare una segnalazione anonima, il Titolare tratterà i seguenti dati personali riferibili allo stesso:
- dati identificativi e di contatto forniti dal Segnalante in fase di registrazione e/o nel form di segnalazione, quali: nome, cognome, indirizzo e-mail o altri dati di contatto e qualsiasi altro dato personale contenuto nell’oggetto della segnalazione.
- eventuali dati di natura particolare ai sensi dell’art. 9 del GDPR, in quanto idonei a rivelare uno stato generale di salute (assenze per malattia, maternità, infortunio, etc.), l'idoneità allo svolgimento di specifiche mansioni, l’adesione ad un sindacato e/o ad un partito politico, la titolarità di cariche pubbliche elettive o infine le convinzioni religiose;
- eventuali dati giudiziari ai sensi dell’art. 10 del GDPR in quanto relativi a condanne penali e ai reati o a connesse misure di sicurezza.
- qualsiasi altro dato personale contenuto nella segnalazione;
- dati personali che dovessero emergere dalle successive attività istruttorie.
Nel caso in cui, invece, il Segnalante effettui una segnalazione anonima (senza registrazione e senza indicare dati identificativi e di contatto nel form della segnalazione), il Titolare tratterà esclusivamente le informazioni fornite dal Segnalante nell’oggetto della segnalazione. A tal proposito, ove il segnalante voglia preservare l’anonimato si invita a rimuovere qualsiasi riferimento all’identità del Segnalante dalla segnalazione e dagli eventuali allegati.
A seguito della segnalazione potranno essere trattati anche dati personali, ivi compresi dati di natura particolare ai sensi dell’art. 9 del GDPR e/o dati cd. giudiziari ai sensi dell’art. 10 del GDPR, riferiti a terzi soggetti, tra cui:
- il soggetto Segnalato;
- i soggetti informati sui fatti;
- eventuali altri soggetti menzionati nella segnalazione e/o coinvolti nel processo di segnalazione.
Potranno, altresì, essere oggetto di trattamento i Log di traffico riguardanti le connessioni alla piattaforma di segnalazione registrati sui sistemi aziendali, come sopra meglio specificato.
Saranno acquisiti i soli dati personali strettamente necessari e pertinenti al raggiungimento delle finalità di seguito indicate, nel rispetto del principio di minimizzazione di cui all’art. 5, comma 1, lett. c) GDPR.
I dati acquisiti saranno trattati secondo i principi di correttezza, liceità e trasparenza di cui all’art. 5, comma 1, lett. a) GDPR.
FINALITÀ E BASI GIURIDICHE DEL TRATTAMENTO
Il Titolare tratterà i dati personali suindicati al fine di:
- gestire e di dare diligente seguito alle segnalazioni ricevute, ivi incluse le attività di accertamento ed indagini interne legate alla verifica delle condotte oggetto di segnalazione e l’instaurazione di procedimenti, anche disciplinari, nei limiti di quanto richiesto dalle norme applicabili. Inoltre, i dati personali potranno essere trattati per dare seguito a richieste da parte dell’autorità amministrativa o giudiziaria competente e, più in generale, dei soggetti pubblici nel rispetto delle formalità di legge. I dati saranno trattati, altresì, per prevenire e contrastare efficacemente comportamenti fraudolenti e condotte illecite o irregolari e di supportare l’effettiva applicazione e l’operatività del Modello di Organizzazione e Gestione ex d.lgs. 231/2001.
Pertanto, la base giuridica che giustifica la liceità del trattamento è rappresentata dalla necessità di adempiere ad obblighi di legge e di eseguire compiti di interesse pubblico cui è sottoposto il Titolare del trattamento e disposizioni di Autorità legittimate dalla legge (art. 6, par. 1, lett. c) ed e); art. 9, par. 2, lett. g); art. 10 del GDPR).
- Soddisfare esigenze di controllo interno del Titolare e di monitoraggio dei rischi aziendali, nonché assicurare l’ottimizzazione e l’efficientamento dei processi gestionali aziendali e amministrativi interni; accertare, esercitare o difendere un diritto o un interesse legittimo del Titolare in ogni sede competente a garanzia dell’esercizio del diritto di difesa ex art. 24 della Costituzione; gestire la sicurezza informatica e tutelare il patrimonio e la sicurezza dei dati, l’assistenza degli utenti e la manutenzione dei sistemi di sicurezza e protezione perimetrale dei log di traffico riguardanti le connessioni alla piattaforma di whistleblowing registrati sui sistemi aziendali.
Pertanto, la base giuridica che giustifica la liceità del trattamento è rappresentata dalla necessità di perseguire un legittimo interesse del Titolare o di terzi (art. 6, par. 1, lett. f) del GDPR).
Qualora il Segnalante decida di effettuare una registrazione e/o fornire i dati identificativi e di contatto nel form della segnalazione, la base giuridica per il trattamento di tali dati personali è il consenso del Segnalante, espresso al momento dell’invio della segnalazione stessa (art. 6, par. 1, lett. a) del GDPR).
MODALITA’ DI TRATTAMENTO
In relazione alle indicate finalità, il trattamento dei dati personali avverrà da parte risorse debitamente autorizzate ed istruite, prevalentemente con modalità informatiche, mediante l’apposita Piattaforma di segnalazione, secondo quanto descritto nella Policy Whistleblowing, con logiche strettamente correlate alle finalità stesse e, comunque, adottando misure tecniche e organizzative tali da garantire un livello di sicurezza adeguato a garantire la riservatezza dei Segnalanti e di eventuali altri soggetti coinvolti e la confidenzialità delle informazioni presenti all’interno delle segnalazioni, prevenendo il rischio di divulgazione non autorizzata dei dati o l'accesso, in modo accidentale o illegale, agli stessi.
DESTINATARI E AMBITO DI COMUNICAZIONE DEI DATI
Il fornitore della Piattaforma informatica opera quale Responsabile del trattamento debitamente nominato ex art. 28 del GDPR.
Nell’ambito di un procedimento disciplinare l’identità della persona segnalante non può essere rivelata a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni o, comunque, autorizzate, ove la contestazione sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Tuttavia, qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell'incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona Segnalante alla rivelazione della propria identità.
Nei casi in cui sia tecnicamente impossibile escludere la registrazione o l’anonimizzazione dei log, la loro eventuale consultazione potrà avvenire solo ed esclusivamente da parte dei soggetti tecnici autorizzati solo ed esclusivamente per finalità di risoluzione di incidenti informatici; l’iter prevede che il DPO sia informato rispetto a tale circostanza.
NATURA OBBLIGATORIA DEL CONFERIMENTO E CONSEGUENZA DI EVENTUALI RIFIUTI
Al fine di effettuare una segnalazione, il conferimento di dati personali è facoltativo; tuttavia, se conferiti, in taluni casi può rendersi necessario un loro utilizzo da parte del personale autorizzato per il perseguimento delle finalità già espresse. Il mancato conferimento dei dati necessari a dare seguito alla segnalazione impedirà l’esecuzione delle attività.
TRASFERIMENTO DATI ALL‘ESTERO
Il Titolare del trattamento non trasferisce i dati personali in Paesi terzi e tutti i dati sono localizzati su server in Europa. Nel caso in cui si rendesse necessario un trasferimento di dati extra UE, la Società verificherà che i fornitori prestino garanzie adeguate, così come previsto dall’art. 46 GDPR, e provvederà ad aggiornare la presente informativa.
TEMPI DI CONSERVAZIONE DEI DATI
I dati personali raccolti saranno conservati per il tempo strettamente necessario ad espletare le finalità già indicate nei precedenti paragrafi e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della segnalazione, salvo il caso in cui si renda necessario in virtù di obblighi previsti dalla legge (ad esempio, il caso in cui sia in corso un procedimento giudiziario o disciplinare, fino alla conclusione dello stesso).
Il Titolare, giunto tale termine, provvederà alla cancellazione dei dati personali.
DIRITTI DELL’INTERESSATO
Il Titolare informa gli interessati che, in via generale e previa prova della propria identità, possono esercitare – ove ne ricorrano i presupposti – i diritti di cui agli artt. 15 e ss. del GDPR, in particolare: i) diritto di accesso; ii) diritto di rettifica; iii) diritto alla cancellazione; iv) diritto di limitazione di trattamento; v) diritto alla portabilità dei dati; vi) diritto di opposizione; vii) diritto di non essere sottoposto a processo decisionale automatizzato. L’esercizio dei diritti può avvenire contattando il Titolare attraverso l’invio di una richiesta all’indirizzo e-mail servizio.privacy@scarpescarpe.com.
Per ogni informazione in relazione alla presente informativa e nel caso in cui si riscontrino violazioni della normativa sulla protezione dei dati personali è possibile contattare il DPO all’indirizzo dpo@scarpescarpe.com.
Gli interessati hanno, inoltre, diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali, Piazza Venezia, 11 – 00187 – Roma tramite modulistica disponibile al seguente link www.garanteprivacy.it/diritti/come-agire-per-tutelare-i-tuoi-dati-personali/reclamo.
Nel caso di specie, tuttavia, in base a quanto previsto dall’art. 2-undecies e 2-duodecies del d.lgs. 196/2003 “Codice Privacy”, il Titolare si riserva la facoltà di limitare o ritardare l’esercizio di tali diritti, nei limiti di quanto stabilito dalle disposizioni di legge applicabili, in particolare laddove sussista il rischio che possa derivare un pregiudizio effettivo, concreto e non altrimenti giustificato alla riservatezza dell’identità del Segnalante e che si possa compromettere la capacità di verificare efficacemente la fondatezza della segnalazione o di raccogliere prove necessarie.
In particolare, l’esercizio di tali diritti:
- Sarà possibile conformemente alle disposizioni di legge o di regolamento che regolano il settore (tra cui il d.lgs. 231/2001 e ss.mm.ii.);
- Potrà essere ritardato, limitato o escluso previa comunicazione motivata all’interessato, a meno che la comunicazione possa compromettere le finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare la riservatezza dell’identità del Segnalante.
Documento aggiornato in data 13 luglio 2023.
[1]In generale, i log sono file che registrano – e quindi permettono di ricostruire – l’intera “storia” delle operazioni effettuate da un utente o da una macchina. Tramite i log, infatti, vengono registrate tutte le operazioni, in ordine cronologico, svolte nel normale utilizzo di un software, di un applicativo o più semplicemente di un computer. Il log registra anche tutte le operazioni che un computer svolge in autonomia, senza necessità di intervento umano. La gestione dei log a livello aziendale permette di monitorare una serie di attività, tra cui gli accessi al sistema effettuati in un dato lasso temporale (anche quelli fuori dall’orario di lavoro, quelli non andati a buon fine o quelli tramite VPN), le transazioni fallite, eventuali anomalie (sia software che hardware) e possibili minacce malware. Tali informazioni sono necessarie per comprendere lo stato della sicurezza informatica aziendale: sia in caso di normale funzionamento della macchina ma, soprattutto, in caso di errori e problemi, come eventuali attacchi hacker, permettendo così alla funzione IT di indagarne le cause e trovare una risoluzione, evitando o bloccando tempestivamente situazioni pregiudizievoli.