Regolamento UE 2016/679 del Parlamento e del Consiglio Europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito "GDPR") garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali delle persone fisiche, con particolare riferimento alla riservatezza ed al diritto di protezione dei dati personali.
Per questi motivi Codrafin Srl (di seguito, per brevità, "Società") con sede in Via Casilina 1670 - 00133 Roma (RM), in qualità di "Titolare" del trattamento è tenuta a fornirLe, ai sensi dell'art. 13 del GDPR, una precisa informativa in riferimento ai dati personali che La riguardano. In particolare, la Società intende mettere a disposizione un Supporto per la gestione dei sistemi interni di segnalazione di condotte illecite (Whistleblowing) attraverso apposito strumento dedicato.
A. Tipologia di dati trattati e finalità del trattamento
A scelta dell'interessato, le segnalazioni potranno essere inviate sia in forma anonima sia in modalità idonea a rivelare l'identità del segnalante. In tal caso, la Società tratterà i dati personali [1]:
- del segnalante, forniti direttamente da quest'ultimo per l'invio della segnalazione (es. nome, cognome, indirizzo e-mail);
- del segnalato, forniti dal segnalante all'interno della segnalazione.
I dati oggetto del trattamento verranno utilizzati esclusivamente per la presa in carico della segnalazione del presunto illecito e/o violazione e per la relativa valutazione.
B. Base giuridica
La base giuridica del trattamento è il legittimo interesse del Titolare del trattamento ai sensi dell'art. 6, par. 1, lett. f) del GDPR. Il trattamento dei dati ha luogo per perseguire gli oneri derivanti dall'art. 6, comma 2-bis, del D.lgs. 231/2001, ovvero l'instaurazione di un canale protetto di comunicazione per la segnalazione di eventuali condotte illecite rilevanti ai sensi del predetto decreto o di violazioni del Modello di Organizzazione, Gestione e Controllo adottato dalla Società, così come definito anche dal D.lgs. 24/2023.
C. Modalità del trattamento
Il trattamento sarà effettuato con modalità informatiche (in particolare mediante il software dedicato) tali da garantire la sicurezza, la riservatezza, l'integrità e la disponibilità dei dati. I dati saranno trattati solo da personale preventivamente autorizzato e soggetto al segreto d'ufficio, nonché all'obbligo legale di riservatezza. In particolare, i dati saranno trattati dall'Organismo di Vigilanza della Società a marchio Pewex coinvolta e, a seconda delle ipotesi, potranno essere comunicati ad altra Direzione interna eventualmente coinvolta.
D. Categorie di soggetti ai quali possono essere comunicati i dati
I dati personali trattati per le sole finalità sopra esposte potranno essere trasmessi alla società fornitrice del software dedicato ed appositamente nominata quale Responsabile del trattamento ai sensi dell'art. 28 del GDPR. I dati potranno inoltre essere trasmessi ai soggetti cui la comunicazione è prevista per legge o per regolamento.
E. Tempi di conservazione dei dati
La Società conserverà i dati personali contenuti nella segnalazione e nella correlata documentazione di supporto per un periodo non superiore ad un anno dall'archiviazione della segnalazione ricevuta. Nel caso in cui a seguito della segnalazione venga avviato un procedimento disciplinare o un'azione legale, i dati personali saranno conservati per un periodo non superiore a 5 anni, rispettivamente, dalla conclusione del procedimento disciplinare e dall'attivazione dell'azione legale.
F. Esercizio dei diritti
Ai sensi degli artt. 15, 16, 17, 18, e 21 del GDPR, La informiamo che:
- ha il diritto di chiedere al Titolare l'accesso ai dati personali, la rettifica, l'integrazione, la cancellazione degli stessi, la limitazione del trattamento dei dati che la riguardano o di opporsi al trattamento degli stessi qualora ricorrano i presupposti previsti dal GDPR;
- potrà esercitare i suoi diritti scrivendo alla Società all'indirizzo PEC del Data Protection Officer (DPO) Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.; che la Società, ai sensi dell'articolo 37 del GDPR, ha designato;
- ha il diritto di proporre un reclamo al Garante per la protezione dei dati personali, seguendo le procedure e le indicazioni pubblicate sul sito web ufficiale dell'Autorità: www.garanteprivacy.it
[1] Per "dato personale" si intende qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
