Informativa resa ai sensi degli art. 13-14 del GDPR (General Data Protection Regulation) 2016/679
Premessa
La presente Informativa - da intendersi quale informativa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (di seguito il “Regolamento”) - viene resa da Namirial S.p.a., Namirial S.R.L, Namirial Deutschland GmbH, Namirial GmbH, Bit4id S.r.l., Uanataca S.A. unipersonale (filiale italiana)(di seguito, unitamente, “Contitolari” o “Gruppo”) in qualità di Contitolari del trattamento, con lo scopo di informarLa sull’uso dei dati personali di segnalanti, segnalati ed eventuali altri soggetti terzi coinvolti (di seguito anche gli “Interessati”), in relazione alla gestione delle segnalazioni disciplinate nel documento intitolato “Whistleblowing Group Policy” del Gruppo, alla cui lettura si rimanda per ogni approfondimento.
Identità e dati di contatto dei Contitolari del Trattamento e del Responsabile della protezione dei dati (RPD)
I Contitolari del Trattamento sono:
- Namirial S.p.a., con sede legale in Via Caduti sul Lavoro n. 4, Cap 60019, Senigallia (AN), ITALIA.;
- Namirial S.R. L, con sede legale in Str.Nerva Traian No.3, Floor 8 – Sector 3 – 031041 Bucharest
- ROMANIA;
- Namirial Deutschland GmbH, con sede legale in Kalkofenstraße 51, 71083 Herrenberg, GERMANY;
- Namirial GmbH, con sede legale in Haider Straße 40a,4052 Ansfelden Seilerstätte 16, 1010 Vienna, AUSTRIA;
- Bit4id S.r.l., con sede legale in Via Diocleziano n.107 – 80125 Napoli, ITALIA;
- Uanataca S.A. unipersonale (filiale italiana), con sede legale in Via Diocleziano n.107 – 80125 Napoli, ITALIA;
I Contitolari hanno provveduto a sottoscrivere accordo ex art. 26 GDPR il cui contenuto essenziale dell’accordo può essere richiesto dall’Interessato previa sua richiesta al recapito dpo@namirial.com
Dati di contatto del Responsabile della protezione dei dati (RPD)
Il Responsabile della protezione dei dati (o Data Protection Officer) designato da Namirial S.p.A., il quale rappresenterà il punto di contatto per gli Interessati, è contattabile al seguente indirizzo e-mail: dpo@namirial.com . Rimane, in ogni caso, salva la facoltà dell’Interessato di esercitare i propri diritti nei confronti degli altri Contitolari.
Tipologia di dati personali trattati
Il Gruppo può venire a conoscenza, a seguito di una segnalazione, dei seguenti dati personali (riferiti al segnalante nel caso in cui la segnalazione non sia anonima e, eventualmente, al segnalato e/o ad ulteriori soggetti terzi indicati nella segnalazione):
Nome, cognome, data di nascita, copia del documento di identità (solo nel caso in cui non si decidesse di procedere a segnalazione anonima) e indirizzo e-mail del segnalante unitamente alle altre informazioni che volesse rilasciare quali recapito telefonico, indirizzo postale, ecc.;
Nome, cognome del segnalato e/o di soggetti terzi, società ed area aziendale di appartenenza nonché altre eventuali informazioni, che potrebbero includere anche dati di natura particolare, a questi riferibili che il segnalante decide di condividere per meglio circostanziare la propria segnalazione;
eventuali informazioni riferite al segnalato relative a vicende connesse alla commissione di reati o a procedimenti penali. Tali dati verranno trattati in conformità alla normativa vigente e, in particolare, in rispetto all’art. 10 GDPR.
La segnalazione non dovrà contenere fatti non rilevanti ai fini della stessa, né categorie particolari di dati personali di cui all’art. 9 GDPR, salvo i casi in cui ciò sia inevitabile e necessario ai fini della predetta segnalazione.
Finalità del trattamento e base giuridica
I dati personali degli Interessati saranno trattati dai Contitolari per le finalità connesse all’applicazione della citata “Whistleblowing Group Policy” ovvero al fine di gestire le segnalazioni ricevute, procedere all’accertamento dei fatti oggetto delle stesse e adottare i relativi provvedimenti.
Ai sensi dell’art. 6, comma 1, lettere c) ed f) del Regolamento, tutti i dati personali raccolti nell’ambito del presente trattamento sono strettamente funzionali e necessari per adempiere un obbligo legale al quale sono soggetti i Contitolari del trattamento, avuto riguardo all’obbligo di apertura di uno o più canali per la trasmissione di segnalazioni circostanziate di condotte illecite ai sensi dell’articolo 6, comma 2-bis del D. Lgs. 231/2001, e per il perseguimento del connesso legittimo interesse dei Contitolari medesimi avente ad oggetto il mantenimento dell’integrità dell’organizzazione aziendale, nonché la prevenzione e la repressione di malversazioni, anche in attuazione del Codice Etico e del Modello Organizzativo 231 di ciascuna società del Gruppo. Si specifica che il D. Lgs. 231/2001 trova applicazione solo nei confronti delle società italiane del Gruppo.
Qualora la segnalazione contenga dati di natura particolare, gli stessi saranno trattati dai Contitolari ai sensi dell’art. 9, comma 2, lettera b) del Regolamento, al fine di consentire ai Contitolari medesimi di assolvere gli obblighi ed esercitare diritti specifici in materia di diritto del lavoro e, eventualmente, anche ai sensi dell’art. 9, comma 2, lettera f), al fine di consentire ai Contitolari di accertare, esercitare o difendere un diritto in sede giudiziaria.
Modalità del trattamento
I trattamenti dei dati sono effettuati attraverso l’utilizzo di un portale raggiungibile al seguente indirizzo web: https://namirial.segnalazioni.net/. Il trattamento avverrà con logiche rispondenti alle finalità sopraindicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati. In particolare, la trasmissione dei dati forniti dal segnalante mediante compilazione della piattaforma è gestita con protocollo https. Sono inoltre applicate tecniche di cifratura "asimmetrica" tramite coppia di chiave pubblica e chiave privata assegnata a ciascun utente, garantendo in questo modo la riservatezza delle informazioni trasmesse.
Conservazione dei dati personali
Le segnalazioni e i dati personali ad esse riferiti saranno conservati per un periodo non superiore a 5 (cinque) anni dalla chiusura di ciascuna segnalazione, ad eccezione del caso in cui sia avviata un’azione giudiziaria e/o disciplinare nei confronti del segnalato o del segnalante; in detti casi i dati personali possono essere conservati fino a conclusione definitiva del procedimento giudiziario e/o disciplinare, anche se successiva alla scadenza del termine quinquennale.
Trasferimento dei dati verso paesi terzi
I Contitolari del trattamento nell’ambito delle finalità sopra descritte non effettuano alcun trasferimento verso paesi terzi extra UE dei propri dati. Nel caso di un futuro coinvolgimento di soggetti terzi stabiliti in paesi terzi rispetto l'Unione Europea, per il relativo trasferimento di dati saranno adottate le garanzie appropriate corrispondenti alle decisioni di adeguatezza emesse dalla Commissione Europea e/o dall'Autorità Garante nazionale per la protezione dei dati personali di volta in volta adeguate al caso. Ulteriori informazioni riguardo i casi di eventuali trasferimenti di dati verso paesi esteri rispetto l'Unione Europea, le relative garanzie adottate, nonché informazioni riguardo le società nominate responsabili del trattamento dati personali, saranno rese agli Interessati.
Ambito di circolazione dei dati
Come indicato nella procedura, le segnalazioni e i dati ad esse riferiti saranno ricevuti dal competente comitato del Gruppo appositamente costituito presso Namirial S.p.A. (di seguito anche solo “Capo Gruppo”).
Nell’ambito delle finalità sopra indicate, i suoi dati potranno altresì essere comunicati dai Contitolari:
a soggetti terzi che svolgono parte delle attività di trattamento e/o attività connesse e strumentali alle stesse per conto dei Contitolari. Tali soggetti saranno altresì nominati responsabili del trattamento ex art. 28 del GDPR. Tra questi si segnala la società DigitalPA che fornisce e gestisce la piattaforma tecnologica utilizzata per l’invio delle segnalazioni;
a singoli individui, dipendenti e/o collaboratori dei Contitolari, a cui sono state affidate specifiche e/o più attività di trattamento sui suoi dati personali. A tali individui sono state impartite specifiche istruzioni in tema di sicurezza e corretto utilizzo dei dati personali e vengono definiti come le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta dei Contitolari o del Responsabile del trattamento;
all’Autorità Giudiziaria o altre Autorità esterne, per gli accertamenti del caso, secondo le modalità richieste dalla normativa vigente.
I Suoi dati personali non saranno invece oggetto né di diffusione a destinatari indeterminati né di pubblicazione.
Diritti dell’interessato
I Contitolari Le riconoscono la possibilità di esercitare i diritti riconosciuti di cui agli artt. 15 e ss. del Regolamento (i.e. diritto di accesso ai dati personali, rettifica ovvero cancellazione degli stessi, limitazione di trattamento, portabilità dei dati personali, opposizione per motivi connessi alla propria situazione particolare).
Inoltre, nei modi e nei limiti previsti dalla vigente normativa, Lei ha il diritto di proporre reclamo al Garante per la protezione dei dati personali ai sensi dell’art. 77 del Regolamento. I Suoi diritti potranno essere esercitati rivolgendosi via e-mail a dpo@namirial.com. Attraverso il medesimo recapito, Lei potrà richiedere la lista aggiornata dei Responsabili del trattamento di volta in volta nominati dai Contitolari.
Ai sensi di quanto previsto dall’art. 2-undecies del D. Lgs. 196/2003 (Codice Privacy), si fa presente che i diritti suindicati non possono essere esercitati con richiesta ai Contitolari del trattamento, ovvero con reclamo ai sensi dell’art. 77 del Regolamento, quando dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del dipendente che abbia effettuato la segnalazione, ai sensi della legge 30 novembre 2017, n. 179, di un illecito di cui sia venuto a conoscenza in ragione del proprio ufficio. L’esercizio dei medesimi diritti può, in ogni caso, essere ritardato, limitato o escluso per tutto il tempo in cui ciò costituisca una misura necessaria e proporzionata, tenendo conto dei diritti fondamentali e dei legittimi interessi dell’Interessato, al fine di salvaguardare gli interessi di riservatezza del segnalante. In tali casi, i diritti dell'Interessato possono essere esercitati anche tramite il Garante con le modalità di cui all'articolo 160 del Codice Privacy. Si specifica che le normative di cui al D. Lgs. 196/2003 (Codice Privacy) e legge 30 novembre 2017, n. 179 trovano applicazione solo nei confronti delle società italiane del Gruppo.