Privacy Policy*
INFORMATIVA IN MATERIA DI TRATTAMENTO DATI PERSONALI, AI SENSI DEGLI ARTICOLI 13 E 14 DEL REG. UE 2016/679 IN RELAZIONE ALLE SEGNALAZIONI DI ‘WHISTLEBLOWING’
Edizione 1 Rev. 05/12/2023
Con questa informativa React Consulting S.r.l. (“Società” o “Titolare” nel seguito) descrive come tratta i dati raccolti e quali sono i diritti riconosciuti all’Interessato ai sensi del Reg. UE 2016/679 (GDPR) e del D.lgs. 196/2003 relativamente alle segnalazioni ‘Whistleblowing’.
1. TITOLARE DEL TRATTAMENTO
Titolare del trattamento dei dati personali è React Consulting S.r.l., con sede legale in Roma (RM) – 00145 – Via Alessandro Severo, 52, Italia.
2. RESPONSABILE DELLA PROTEZIONE DATI E DATI DI CONTATTO
Il Responsabile della protezione dati della Società (“DPO”) è contattabile all’indirizzo e-mail dpo@reactconsulting.it.
3. FINALITÀ DEL TRATTAMENTO
Il trattamento dei dati personali oggetto della presente informativa ha la finalità di proteggere le persone che segnalano violazioni di disposizioni normative nazionali o dell'Unione europea che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica o dell’ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato, come previsto dal D.lgs. 24/2023 (“Decreto”) che recepisce in Italia la Direttiva Europea 1937/2019.
4. DEFINIZIONI UTILI
Si elencano le spiegazioni per i principali termini qui utilizzati sull’argomento ‘whistleblowing’; le definizioni complete sono riportate nel Decreto.
Divulgazione pubblica: rendere di pubblico dominio informazioni sulle violazioni tramite la stampa o mezzi elettronici o comunque tramite mezzi di diffusione in grado di raggiungere un numero elevato di persone;
Facilitatore: una persona fisica che assiste una Persona Segnalante nel processo di segnalazione, operante all'interno del medesimo contesto lavorativo e la cui assistenza deve essere mantenuta riservata;
Persona Coinvolta: la persona fisica o giuridica menzionata nella segnalazione ovvero nella divulgazione pubblica come persona alla quale la violazione è attribuita o come persona comunque implicata nella violazione segnalata o divulgata pubblicamente;
Persona Segnalante: la persona fisica che effettua la segnalazione o la divulgazione pubblica di informazioni sulle violazioni acquisite nell'ambito del proprio contesto lavorativo;
Segnalazione (whistleblowing): la comunicazione scritta od orale di informazioni sulle violazioni; le segnalazioni interne in forma orale sono effettuate attraverso linee telefoniche o sistemi di messaggistica vocale ovvero, su richiesta della persona segnalante, mediante un incontro diretto fissato entro un termine ragionevole. La Persona Segnalante può effettuare la Segnalazione sia tramite i canali predisposti internamente dalla Società sia tramite segnalazione esterna indirizzata alla Autorità competente ANAC, secondo la apposita procedura aziendale in materia di whistleblowing (Procedura nel seguito);
Seguito: l'azione intrapresa dal soggetto cui è affidata la gestione del canale di segnalazione per valutare la sussistenza dei fatti segnalati, l'esito delle indagini e le eventuali misure adottate.
Violazioni: comportamenti, atti od omissioni che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica o dell'ente privato;
I dati direttamente forniti dalla Persona Segnalante per segnalare presunte condotte illecite delle quali sia venuto a conoscenza in ragione del proprio rapporto di lavoro, servizio o fornitura con la Società, nonché i dati riferiti alla Persona Segnalante stessa ed eventuale Facilitatore o Persona Coinvolta, saranno trattati dalla Società esclusivamente per gestire e dare Seguito alla Segnalazione. I dati personali sono, dunque, acquisiti in quanto contenuti nella Segnalazione e/o in atti e documenti a questa allegati, si riferiscono alla Persona Segnalante e possono, altresì, riferirsi a persone indicate come possibili responsabili delle condotte illecite, nonché a quelle a vario titolo coinvolte nelle vicende segnalate. Le informazioni acquisite tramite Segnalazione sono quindi utilizzate per svolgere le necessarie attività istruttorie volte a verificare la fondatezza di quanto segnalato, nonché, se del caso, ad adottare adeguate misure correttive e intraprendere le opportune azioni disciplinari e/o giudiziarie nei confronti dei responsabili delle condotte illecite.
5. TIPOLOGIA DI DATI TRATTATI
La ricezione e la gestione delle segnalazioni dà luogo a trattamenti di dati personali c.d. “comuni” (a titolo esemplificativo nome, cognome, dati relativi all’acquisizione della Segnalazione), nonché può dar luogo, a seconda del contenuto delle Segnalazioni e degli atti e documenti a queste allegati, a trattamenti di dati personali c.d. “particolari” (a titolo esemplificativo dati relativi a condizioni di salute, orientamento sessuale o appartenenza sindacale, come specificati in dettaglio all’art. 9 par. 1 del GDPR) e di dati personali relativi a condanne penali e reati (di cui all’art. 10 GDPR).
I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente.
6. ORIGINE DEI DATI
Nel caso in cui l’Interessato sia il:
Segnalante - i suoi dati personali sono ricevuti come direttamente forniti alla Società da parte del Segnalante stesso con la sua Segnalazione;
Eventuale Facilitatore o Persone Coinvolte - i loro dati personali sono ricevuti come direttamente forniti alla Società da parte del Segnalante o nel corso del Seguito alla Segnalazione, ove la presenza di tali ruoli si potrebbe evidenziare successivamente;
Segnalato - i dati personali a questi riferiti sono ricevuti come direttamente forniti alla Società da parte del Segnalante.
Poiché la normativa di cui al Decreto prevede la possibilità che un Segnalante ricorra alla modalità di Divulgazione pubblica o anche di Segnalazione esterna diretta all’Autorità ANAC, la Società potrebbe ricevere i dati riferiti ai suddetti ruoli tramite altro soggetto: l’Autorità ANAC, i soggetti che pubblicano la Divulgazione pubblica come ricevuta dal Segnalante su loro risorse on line o cartacee; sono, inoltre, fatte salve eventuali altre comunicazioni che la Società potrebbe ricevere da autorità pubbliche competenti e nel corso di un giudizio.
7. BASI GIURIDICHE DEL TRATTAMENTO
Tenuto conto della normativa di riferimento, il trattamento dei dati si fonda sull’obbligo di legge a cui è soggetta la Società in quanto Titolare del trattamento (art. 6, par. 1, lett. c) del GDPR ai fini del rispetto delle prescrizioni di cui al Decreto, e, per quanto concerne gli eventuali dati particolari , la condizione abilitante è da rinvenirsi nei motivi di interesse pubblico rilevante sulla base del diritto dell’Unione e degli Stati Membri in relazione alla motivazione per cui è stata disposta la normativa whistleblowing (art 9, par. 2, lett. g) del GDPR ed art. 2 sexies par. 1 del D.lgs. 196/03 , nonché nell’assolvimento di obblighi e sull’esercizio di diritti specifici del Titolare del trattamento e dell’Interessato in materia di diritto del lavoro (art. 9, par. 2, lett. b), GDPR). Con riferimento ai dati relativi a condanne penali e reati, il trattamento si fonda sull’art.10 del GDPR e art. 2 octies del D. Lgs. 196/03, nella misura in cui il trattamento di tali dati è necessario per l’adempimento agli obblighi di cui al D. Lgs. 24/2023.
Ulteriori precisazioni sulle basi legali
Sarà, di caso in caso, richiesto il preventivo consenso del Segnalante (art. 6 par. 1 lettera a) del GDPR) come previsto dal Decreto, in particolare:
- nel caso in cui il dar Seguito alla Segnalazione comporti, da parte della Società, l’adozione di procedimenti disciplinari e qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione ricevuta e la conoscenza dell'identità della persona segnalante sia indispensabile per la difesa dell'incolpato, detta Segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità;
- quando la Segnalazione è effettuata tramite linea telefonica registrata o un altro sistema di messaggistica vocale registrato (come previsto nella Procedura), per poter consentire, a cura del personale addetto, la relativa documentazione mediante registrazione su un dispositivo idoneo alla conservazione e all'ascolto oppure mediante trascrizione integrale. In caso di trascrizione, la Persona Segnalante può verificare, rettificare o confermare il contenuto della trascrizione mediante la propria sottoscrizione;
- quando, su richiesta della Persona Segnalante, la Segnalazione è effettuata oralmente nel corso di un incontro con il personale addetto, per cui previo consenso della Persona Segnalante, la segnalazione è documentata a cura del personale addetto mediante registrazione su un dispositivo idoneo alla conservazione e all'ascolto oppure mediante verbale (come previsto nella Procedura). In caso di verbale, la persona segnalante può verificare, rettificare e confermare il verbale dell'incontro mediante la propria sottoscrizione.
8. SOGGETTI AUTORIZZATI A TRATTARE I DATI
Le attività relative al ricevimento ed alla gestione delle segnalazioni saranno condotte da soggetti autorizzati al trattamento ai sensi dell’Art.29 GDPR ed appositamente istruiti e formati, nonché tenuti a mantenere riservato quanto appreso in ragione delle proprie mansioni, fatti salvi gli obblighi di segnalazione e di denuncia di cui all'art. 331 del Codice di procedura penale.
Nel caso in cui, per la gestione delle segnalazioni, la Società ricorra a soggetti esterni, questi ultimi saranno nominati Responsabili del trattamento ai sensi dell’Art.28 GDPR.
9. CATEGORIE DI DESTINATARI DEI DATI PERSONALI ED EVENTUALI TRASFERIMENTI DATI AL DI FUORI DELLO SPAZIO ECONOMICO EUROPEO (SEE)
I dati delle persone indicate come possibili responsabili delle condotte illecite, nonché delle persone a vario titolo coinvolte nelle vicende segnalate, non saranno oggetto di diffusione, tuttavia, se necessario in base alle vigenti leggi potranno essere trasmessi all’Autorità Giudiziaria e all’ANAC, Autorità nazionale anticorruzione. Tali soggetti sono, tutti, autonomi Titolari del trattamento.
Nell’ambito dei procedimenti penali eventualmente istaurati, l’identità del segnalante sarà coperta da segreto nei modi e nei limiti previsti dall’art. 329 c.p.p.; nell’ambito dei procedimenti disciplinari l’identità del segnalante non sarà rivelata in tutti i casi in cui la contestazione dell’addebito disciplinare si fondi su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa, mentre potrà essere rivelata laddove concorrano, insieme, tre presupposti, ovverosia (a) che la contestazione si fondi, in tutto o in parte, sulla segnalazione, (b) che la conoscenza dell’identità del segnalante sia indispensabile per la difesa dell’incolpato e che (c) il segnalante abbia espresso un apposito consenso alla rivelazione della propria identità.
I trattamenti dati personali sono svolti in Italia, con basi dati all’interno del SEE. Qualora si renda necessario il coinvolgimento di soggetti fornitori di servizi, connessi alla gestione delle segnalazioni whistleblowing, stabiliti in Paesi non appartenenti al SEE, per il relativo trasferimento di dati all'estero saranno adottate di volta in volta le opportune garanzie applicabili in termini di decisioni di adeguatezza emesse dalla Commissione Europea, di clausole contrattuali standard sempre definite dalla Commissione o dalla competente Autorità Nazionale per la Protezione dei Dati Personali o di eccezioni previste dal GDPR. Ulteriori informazioni su eventuali trasferimenti di dati verso Paesi non appartenenti al SEE e sulle relative garanzie adottate, nonché sulle società nominate Responsabili del trattamento, possono essere richieste al DPO.
10. MODALITÀ DEL TRATTAMENTO
I dati personali saranno trattati anche con strumenti automatizzati per il tempo strettamente necessario a conseguire gli scopi per cui sono stati raccolti. La Società adotta idonee misure affinché i dati siano trattati in modo adeguato e conforme alle finalità per cui vengono gestiti, in base a quanto previsto dagli artt. 4, 12 e 13 del Decreto.
11. PERIODO DI CONSERVAZIONE DEI DATI
Le segnalazioni e la relativa documentazione sono conservate per il tempo necessario al trattamento della stessa e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione, fatti salvi tempi ulteriori in caso di accertamento, esercizio o difesa di un diritto in sede giudiziaria.
12. NATURA DEL CONFERIMENTO DEI DATI E CONSEGUENZE DELL’EVENTUALE MANCATO CONFERIMENTO
La segnalazione sarà presa in considerazione esclusivamente laddove adeguatamente circostanziata, resa con particolari in grado di far emergere fatti e situazioni relazionandoli a contesti determinati.
È rimessa comunque a ciascun Segnalante la decisione circa quali dati personali conferire.
13. DIRITTI DEGLI INTERESSATI
Gli Interessati hanno il diritto, in qualunque momento, di ottenere la conferma dell’esistenza o meno dei dati forniti, chiedere, nelle forme previste dall’ordinamento, la rettifica dei dati personali inesatti e l’integrazione di quelli incompleti e di esercitare ogni altro diritto ai sensi degli artt. da 15 a 22 del GDPR.
Qualora, invece, gli Interessati ritengano che il trattamento sia avvenuto in modo non conforme al G.D.P.R. e al D.lgs. 196/2003, potranno rivolgersi al Garante per la Protezione dei dati Personali (Garante Privacy, www.garanteprivacy.it), ai sensi dell’art. 77 del GDPR.
Con specifico riferimento ai trattamenti dati condotti dal Titolare, come richiesto dalle normative applicabili in materia di whistleblowing ai sensi dell’art. 13 par.3 del D.lgs. 24/23, si precisa che si procederà rispettando i limiti di quanto previsto dall'art. 2-undecies del D.lgs. 196/03, che prevede che i diritti di cui agli articoli da 15 a 22 del GDPR non possono essere esercitati con richiesta al Titolare del trattamento, ovvero con reclamo ai sensi dell'art. 77 del GDPR presso il Garante Privacy qualora dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell'identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte, ai sensi del D.lgs. 24/23.
Ai sensi dell’art.2-undecies par.3 del D.lgs. 196/03, il Titolare informa gli Interessati che, nei suddetti casi i diritti sono esercitati conformemente alle disposizioni di legge o di regolamento che regolano il settore, che devono almeno recare misure dirette a disciplinare gli ambiti di cui all'articolo 23, paragrafo 2, del GDPR. L'esercizio dei medesimi diritti può, in ogni caso, essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo dal Titolare all'Interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato, al fine di salvaguardare gli interessi di cui alla riservatezza dell’identità di chi segnala. In tali casi, i diritti dell'Interessato possono essere esercitati anche tramite il Garante Privacy con le modalità di cui all'art. 160 del D.lgs. 196/03. In tale ipotesi, il Garante Privacy informa l'Interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell'Interessato di proporre ricorso giurisdizionale.
Ove l’Interessato abbia dato il consenso nei casi indicati nella precedente sezione “Ulteriori precisazioni sulle basi legali”, ha il diritto di revocare tale consenso in qualsiasi momento, senza che però ciò pregiudichi la liceità del trattamento, basato sul consenso, effettuato prima della revoca.
14. DATI DI CONTATTO
In caso di domande riguardanti questa Informativa o per esercitare i diritti alla privacy di cui alla sezione “Diritti dell’Interessato”, è possibile contattare il Responsabile per la Protezione Dati (DPO) al seguente indirizzo dpo@reactconsulting.it o la Società all’indirizzo reactconsulting@pec.it o inviare una raccomandata A/R all’indirizzo React Consulting S.r.l., via Alessandro Severo, 52 – 00145 – Roma (RM).
La Società potrà aggiornare l'Informativa periodicamente in conformità con la legge applicabile e, in tal caso, React Consulting La informerà adeguatamente circa tali modifiche.
React Consulting S.r.l