Whistleblowing

Come rispettiamo la tua privacy

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI EX ARTT. 13-14 DEL REGOLAMENTO (UE) 2016/679 NELL’AMBITO DELLA POLICY WHISTLEBLOWING

Con la presente informativa Westrafo S.r.l. (di seguito la “Società”) intende fornire le indicazioni previste dagli articoli 13 e 14 del Regolamento (UE) 2016/679 (o “General Data Protection Regulation” − “GDPR”), in merito al trattamento dei dati personali effettuati dalla Società nell’ambito della propria “Procedura per le segnalazioni Whistleblowing”, adottata in conformità al D. lgs. 10 marzo 2023 n. 24 e, segnatamente, di tutte le attività e adempimenti connessi al funzionamento del sistema aziendale per la gestione delle segnalazioni whistleblowing.

Quanto di seguito riportato viene indicato ai soggetti “segnalanti” e a tutti gli altri soggetti potenzialmente “interessati”, quali, ad esempio, le persone indicate come possibili responsabili delle condotte illecite (c.d. Segnalati), eventuali soggetti “facilitatori” (come definiti dalla normativa di riferimento), nonché ogni altro soggetto a diverso titolo coinvolto nella “Procedura per le segnalazioni Whistleblowing”.

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali è Westrafo S.r.l., P.IVA 03912090242, corrente in Vicenza, Via della Meccanica, n. 4, recapito di contatto nell’ambito in discussione whistleblowing@westrafo.com.

2. Categorie di dati personali trattati e finalità di trattamento

La Società potrà acquisire i dati personali contenuti nelle segnalazioni whistleblowing effettuate dai Segnalanti, così come potrà acquisire i dati contenuti in tutti gli atti e/o documenti allegati alle Segnalazioni medesime (e loro eventuali integrazioni), così come pervenute alla stessa attraverso i canali di segnalazione previsti Procedura Whistleblowing adottata.

La ricezione e la gestione di tali segnalazioni potrà dare luogo, a seconda del loro contenuto, al trattamento delle seguenti categorie di dati personali:

1. dati personali comuni di cui all’art. 4, punto 1, del GDPR, tra i quali, ad esempio, i dati anagrafici (nome, cognome, data e luogo di nascita), i dati di contatto (numero telefonico fisso e/o mobile, indirizzo postale/e-mail), il ruolo/mansione lavorativa;
2. dati personali “particolari” di cui all’art. 9 del GDPR, tra i quali, ad esempio, le informazioni relative a condizioni di salute, opinioni politiche, convinzioni religiose o filosofiche, orientamento sessuale o appartenenza sindacale;
3. dati personali “giudiziari” di cui all’art. 10 del GDPR, relativi a condanne penali e reati, o a connesse misure di sicurezza.

Con riferimento alle suddette categorie di dati personali, si rimarca l’importanza che le segnalazioni inoltrate risultino prive di informazioni manifestamente irrilevanti ai fini della disciplina di riferimento, invitando in particolare i soggetti segnalanti ad astenersi dall’utilizzare dati personali di natura “particolare” e “giudiziaria” se non ritenuti necessari ed imprescindibili ai fini delle stesse, in ottemperanza all’art. 5 del GDPR.

 Le suddette informazioni verranno trattate dalla Società e dal Gestore delle Segnalazioni secondo le disposizioni prescritte dal D. lgs. n. 24/2023 e, pertanto, in via generale, al fine di effettuare le necessarie attività istruttorie volte a verificare la fondatezza dei fatti oggetto di segnalazione e l’adozione dei conseguenti provvedimenti.

Inoltre, i dati potranno essere utilizzati dalla Società per finalità connesse ad esigenze di difesa o accertamento di propri diritti nel contesto di procedimenti giudiziali, amministrativi o stragiudiziali e nell’ambito di contenziosi civili, amministrativi o penali sorti in relazione alla segnalazione effettuata.

3. Basi giuridiche del trattamento dei dati personali

Il Trattamento dei dati personali avviene essenzialmente in forza delle seguenti basi giuridiche:

1. Adempimento ad un obbligo di legge a cui è soggetto il Titolare del trattamento: la Società, in forza della normativa predetta, è tenuta ad implementare e gestire canali informativi dedicati alla ricezione delle segnalazioni di condotte illecite lesive dell’integrità della medesima e/o dell’interesse pubblico.
2. Consenso dell’interessato: nei casi previsti dalla medesima disciplina potrà essere richiesto uno specifico e libero consenso al Segnalante e, segnatamente, laddove si ravveda la necessità di rivelarne l’identità ovvero attraverso incontri diretti con il Gestore delle segnalazioni;
3. Assolvimento di obblighi e sull’esercizio di diritti specifici del Titolare del trattamento e dell’interessato in materia di diritto del lavoro: ai sensi dell’art. 9, par. 2, lett. b) del GDPR potrebbe intervenire anche il trattamento di dati personali “particolari”, eventualmente inclusi nelle segnalazioni;
4. Legittimo interesse del Titolare: si ha ai sensi dell’art. 6, par. 1, lett. f), del GDPR ogniqualvolta il Titolare ha necessità di accertare, esercitare o difendere un diritto in sede giudiziaria; per la medesima finalità di accertamento, i trattamenti di dati personali di natura “particolare”, se presenti, si fondano sull’art. 9, par. 2, lett. f) del GDPR.

4. Natura del conferimento dei dati personali

Il conferimento dei dati personali è opzionale, attesa la possibilità di inoltrare alla Società anche segnalazioni anonime, ove presentino informazioni precise, concordanti e adeguatamente circostanziate, fermo restando quanto disposto dalla normativa, riguardo a tale fattispecie, in tema di misure di protezione a tutela del soggetto segnalante. Se conferiti, i dati personali saranno trattati per gestire la segnalazione secondo i limiti e con le garanzie di riservatezza imposti dalla normativa di riferimento.

5. Modalità di trattamento e periodo di conservazione dei dati personali

Il trattamento dei dati personali inclusi nelle segnalazioni inoltrate in conformità alla “Procedura Whistleblowing” verrà effettuato dai soggetti incaricati ed allo scopo autorizzati dalla Società e sarà improntato ai principi di correttezza, liceità e trasparenza, di cui all’art. 5 del GDPR.

Il trattamento dei dati personali potrà essere effettuato in modalità analogiche e/o informatiche/telematiche, funzionali a memorizzarli, gestirli e trasmetterli, comunque in applicazione di adeguate misure, di tipo fisico, tecnico ed organizzativo, atte a garantire la loro sicurezza e la riservatezza in ogni fase della procedura, ivi compresa l’archiviazione della segnalazione e dei relativi documenti - fatto salvo quanto previsto dall’art. 12 del D. lgs. n. 24/2023 - con particolare riferimento all’identità del segnalante, delle persone coinvolte e/o comunque menzionate nelle segnalazioni, del contenuto delle stesse e relativa documentazione.

Le segnalazioni ricevute dalla Società, unitamente agli atti e documenti acclusi, verranno conservate per il tempo necessario alla gestione delle stesse e, in ogni caso, come prevede la normativa, per un periodo non eccedente cinque anni dalla data delle comunicazioni dei relativi esiti finali. Successivamente a tale termine, le segnalazioni verranno eliminate dal sistema.

Coerentemente con le indicazioni fornite al paragrafo 1, i dati personali inclusi nelle segnalazioni manifestamente irrilevanti ai fini delle stesse potranno essere archiviati secondo quanto previsto dalla Procedura adottata; a tale proposito potrebbe essere richiesto di effettuare una nuova segnalazione laddove i dati inseriti nella segnalazione fossero oltre che irrilevanti anche di natura particolare.

 

6. Ambiti di comunicazione e trasferimento dei dati personali
   Oltre che dalle predette figure interne specificatamente autorizzate dal Titolare i dati personali raccolti potranno essere trattati, nell’ambito della “Procedura Whistleblowing” e nel perseguimento delle finalità indicate, anche dai seguenti soggetti terzi, formalmente designati quali Responsabili del trattamento qualora si rilevino le condizioni previste dall’art. 28 del GDPR: 

• fornitori di servizi di consulenza ed assistenza nell’implementazione della “Procedura Whistleblowing”;
• società e professionisti IT relativamente all’applicazione di adeguate misure di sicurezza tecnico-informatiche e/o organizzative sulle informazioni processate dal sistema aziendale;
• professionisti e consulenti relativamente agli ambiti specialistici eventualmente coinvolti nelle segnalazioni trasmesse tramite i canali implementati in azienda (organizzazione, contenzioso, legale, gestione personale, etc).

 

Sussistendone gli estremi, i dati personali potranno essere trasmessi all’Autorità Giudiziaria e/o Organi di Polizia che ne facciano richiesta nel contesto di indagini giudiziarie.

I dati personali verranno trattati all’interno dello Spazio Economico Europeo (SEE) e conservati in server ivi ubicati.

In nessun caso i dati personali saranno oggetto di diffusione.

7. Diritti dell’interessato

L’interessato, nelle persone del Segnalante o del Facilitatore, ha diritto di accedere in ogni momento ai dati che lo riguardano e di esercitare i diritti previsti dagli articoli da 15 al 22 del GDPR, per quanto applicabili (diritto di accesso ai dati personali, diritto a rettificarli, diritto di ottenerne la cancellazione o cd. diritto all’oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati personali o quello di opposizione al trattamento).

Per l’esercizio di tali diritti, è necessario inoltrare specifica richiesta in forma libera al seguente recapito del Titolare: whistleblowing@westrafo.com , ovvero trasmettere al medesimo indirizzo il modulo disponibile sul sito web dell’Autorità Garante per la protezione dei dati personali.  

Al riguardo, si informa che i predetti diritti in capo agli interessati al trattamento di dati personali potranno venire limitati ai sensi e per gli effetti di cui all'art. 2-undecies del D. lgs. 30 giugno 2003, n. 196 (“Codice privacy”, come modificato dal D. lgs. n. 101/2018), per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, qualora dal loro esercizio possa derivare un pregiudizio concreto ed effettivo alla riservatezza dell’identità dei soggetti segnalanti.

Inoltre, l’interessato ha diritto di proporre un reclamo al Garante della protezione dei dati personali.