Vers. 1.0
Whistleblowing
Informativa al segnalante | Informativa al segnalato
www.softwaregb.it - www.softwareintegrato.it - www.softwarelavoro.it - www.softwarecontabile.com - www.softwarebilancio.it - www.softwaredichiarazioni.it - www.fatturegb.it - www.softwareantiriciclaggio.it - www.softwareleasing.it - www.gbsoftware.it - www.gbsoftware.cloud - controllodigestione.softwaregb.it - www.gbinweb.it - revisionelegale.softwaregb.it - guidegbsoftware.it
A. Informativa al segnalante sul trattamento di dati personali nell’ambito della procedura segnalazioni – whistleblowing
Tutela del trattamento dei dati personali
Il Titolare del trattamento dei dati personali, oggetto della presente informativa è la società GBsoftware S.p.A. (di seguito, la “Società”) P.IVA: 07946271009, nella persona del legale rappresentante pro tempore sig. Bagiacchi Daniele, con sede legale in (00197) Roma, Via B. Oriani, 153 e sede operativa in (06014) Montone (PG) Zona Ind.le Santa Maria di Sette (tel. 06.97626328, e-mail: [email protected] – PEC: [email protected].
Le informazioni sono fornite nell'ambito della procedura di segnalazione e verranno acquisite mediante gli strumenti informatici e/o tramite le ulteriori modalità indicate nella specifica documentazione. Tutti i dati personali verranno trattati ai sensi della vigente normativa in materia di protezione dei dati personali, per tale intendendosi il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (“GDPR”), il d.lgs. n. 196/2003 come modificato dal il d.lgs. n. 101/2018 (“Codice privacy”) nonché qualsiasi altra normativa sulla protezione dei dati personali applicabile in Italia, ivi compresi i provvedimenti del Garante (di seguito, congiuntamente al GDPR, “Disciplina Privacy”), nel pieno rispetto dei diritti e delle libertà fondamentali, con particolare riguardo per la riservatezza dell'identità dei soggetti coinvolti e per la sicurezza del trattamento.
Dati di contatto del Titolare e del DPO
Il Titolare, nella persona del soggetto designato quale rappresentante in materia di trattamenti di dati personali (“Delegato Privacy”), è contattabile all'indirizzo di posta elettronica [email protected] per l'esercizio dei diritti previsti dagli articoli 15 e seguenti del GDPR (v. paragrafo “Diritti dell'interessato” nel prosieguo della presente informativa) e/o per altre richieste relative al trattamento dei dati personali.
Il Responsabile della Protezione dei dati (“DPO”), per tutto ciò che concerne il trattamento dei dati personali e l'esercizio dei diritti dell'interessato, è contattabile al seguente indirizzo e-mail: [email protected] .
Finalità e base giuridica del trattamento – Natura del conferimento
I dati personali sono raccolti e trattati per le finalità strettamente connesse alla gestione delle segnalazioni di condotte illecite, relativamente ad attività e/o comportamenti difformi dalle procedure implementate dalla società, per tali intendendosi la violazione di norme di condotta professionale e/o principi di etica richiamati dalla normativa vigente – interna ed esterna – e/o comportamenti illeciti o fraudolenti riferibili a dipendenti, membri degli organi sociali o terzi (clienti, fornitori, consulenti, collaboratori).
Pertanto, la base giuridica del trattamento risulta essere la necessità di adempiere a un obbligo di legge cui è soggetto il Titolare, con riferimento alle previsioni contenute nella Legge 30 novembre 2017, n. 179 (“Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato”) e nel Decreto Legislativo 8 giugno 2001, n. 231 (“Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300”).
Eventuali ulteriori specifiche finalità, relative ai singoli trattamenti, potranno essere indicate in maniera dettagliata nell'ambito dei vari canali di accesso resi disponibili.
Il conferimento dei dati personali da parte dell’interessato è facoltativo, ma in difetto la Società non potrà procedere alla gestione della segnalazione
Categorie di interessati e categorie di dati personali
Gli interessati possono essere il Whistleblower, i soggetti che assistono il segnalante nel processo di segnalazione e che lavorano nel medesimo contesto lavorativo e il segnalato. I dati personali possono riguardare i dati comuni, le categorie particolari di dati e i dati relativi a condanne penali e reati.
Riservatezza e tutela del segnalante
Si informa che il Titolare fa, inoltre, propria l'applicazione dell'art. 6 del d.lgs. 231/2001 come modificato dall'art. 2 della l. n. 179/2017, rubricato “Tutela del dipendente o collaboratore che segnala illeciti nel settore privato”, che prescrive la tutela della riservatezza dell'identità del segnalante nelle attività di gestione della segnalazione e vieta atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione.
Pertanto, a eccezione dei casi in cui sia configurabile una responsabilità a titolo di calunnia e di diffamazione ai sensi delle disposizioni del codice penale o dell'art. 2043 del codice civile e delle ipotesi in cui la riservatezza non è opponibile per legge, (es. indagini penali, tributarie o amministrative, ispezioni di organi di controllo) l'identità del segnalante verrà protetta sin dalla ricezione della segnalazione e in ogni fase successiva, in ossequio alle vigenti disposizioni della Disciplina Privacy.
Pertanto, l'identità del segnalante può essere rivelata solo nei casi in cui a) la contestazione dell'addebito disciplinare risulti fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità del segnalante risulti assolutamente indispensabile alla difesa del segnalato; b) vi siano disposizioni cogenti che obblighino la società GBsoftware S.p.A. a rivelare l’identità del segnalante.
Tutti coloro che riceveranno e/o saranno coinvolti nella gestione delle segnalazioni sono tenuti a tutelare la riservatezza di tale informazione.
La violazione dell'obbligo di riservatezza è fonte di responsabilità disciplinare, fatte salve ulteriori forme di responsabilità previste dall'ordinamento.
Modalità del trattamento, tempi di conservazione e soggetti destinatari
Si rappresenta che il Titolare si impegna a trattare, in modo lecito, corretto e trasparente, solamente i dati necessari al raggiungimento delle finalità indispensabili per lo svolgimento delle attività oggetto della segnalazione.Il trattamento è effettuato dal Titolare anche con l'ausilio di mezzi elettronici, ivi inclusi strumenti automatizzati.
Il trattamento verrà escluso e/o limitato nei casi in cui le finalità perseguite possano essere realizzate mediante anonimizzazione o attraverso modalità che permettano l'identificazione dell'interessato solo in caso di necessità.
Le segnalazioni e la documentazione relativa alla loro gestione saranno conservati per un termine massimo di cinque anni dalla ricezione delle segnalazioni medesime.
I dati personali saranno trattati, ai sensi dell'art. 29 del GDPR, da persone autorizzate al trattamento ai quali sono state espressamente conferite dal Titolare adeguate istruzioni in ordine alla necessità di garantire la protezione dei dati personali dei soggetti coinvolti nelle segnalazioni.
I dati personali potranno, inoltre, essere trattati per l'attivazione della tutela giudiziaria e/o disciplinare connessa alla segnalazione, ovvero comunicati alle Autorità competenti in presenza di violazioni delle normative applicabili, nonché essere trasmessi a fronte di ordine cogente delle medesime Autorità.
I termini di conservazione sono stabiliti in conformità all’art. 5, par. 1, lett. e) del GDPR e alle disposizioni del D.Lgs. 24/2023. Il periodo massimo di 5 anni è motivato dalla necessità di garantire una documentazione adeguata per la gestione di eventuali procedimenti amministrativi, disciplinari o legali connessi alla segnalazione.
Diritti dell'interessato
Ai sensi degli artt. da 15 e seguenti del GDPR, ferme eventuali limitazioni derivanti da disposizioni cogenti, Le sono riconosciuti alcuni diritti significativi nei confronti del Titolare, ossia:
Diritto di accesso – il diritto di ottenere senza ingiustificato ritardo informazioni inerenti a: (i) le finalità del trattamento; (ii) le categorie dei dati personali trattati; (iii) i destinatari o le categorie degli stessi ai quali i dati possono essere comunicati, in particolare se collocati in paesi extra-UE, ed i mezzi per esercitare i suoi diritti verso tali soggetti; (iv) quando possibile il periodo di conservazione o i criteri per determinarlo; (v) l'aggiornamento, la rettificazione ovvero, qualora vi abbia interesse, l'integrazione dei dati personali nonché l'origine dei dati raccolti presso terzi.
Diritto di rettifica – diritto di ottenere senza ingiustificato ritardo la rettifica dei dati personali inesatti e, tenuto conto delle finalità del trattamento, di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa;
Diritto di cancellazione – diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati personali ove sussista uno dei motivi elencati nell'articolo 17, par. 1 del GDPR – come nel caso in cui i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati – salvo che il trattamento sia necessario in base alle previsioni di cui al paragrafo 3 del medesimo articolo, tra cui (a) l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui sia soggetto il Titolare, o (b) l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui sia investito il Titolare, o (c) l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;
Diritto di limitazione – diritto di ottenere la limitazione del trattamento ove ricorra una delle ipotesi di cui all'articolo 18, par. 1 del GDPR: se il trattamento è limitato, i dati personali verranno trattati – salvo che per la conservazione – soltanto con il consenso dell'interessato o per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un'altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell'Unione o di uno Stato membro.
Si sottolinea come l'esercizio dei summenzionati diritti da parte dell'interessato potrà avvenire attraverso l'invio delle relative richieste all'indirizzo email [email protected]
Nel caso in cui l'interessato ritenga che i trattamenti che lo riguardano violino la Disciplina Privacy, avrà diritto di proporre reclamo alla competente autorità in materia di protezione dei dati personali.
2. Informativa al segnalato sul trattamento di dati personali nell’ambito della procedura segnalazioni – whistleblowing
Tutela del trattamento dei dati personali
Le seguenti informazioni sono rese ai fini di trasparenza nei confronti del segnalato e di qualsivoglia soggetto interessato potenzialmente riferito in una segnalazione (di seguito congiuntamente “segnalato”), anzitutto per metterlo al corrente dei limiti all'esercizio di alcuni diritti previsti dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (GDPR):
Il Titolare del trattamento dei dati personali, oggetto della presente informativa è La società GBsoftware S.p.A. (di seguito, la “Società”) P.IVA: 07946271009, nella persona del legale rappresentante pro tempore Sig. Daniele Bagiacchi, con sede legale in (00197) Roma, Via B. Oriani, 153 e sede operativa in (06014) Montone (PG) (tel. 06.97626328, e-mail: [email protected] – PEC: [email protected] .
Le informazioni sono fornite nell'ambito della procedura di segnalazione e verranno acquisite mediante gli strumenti informatici e/o tramite le ulteriori modalità indicate nella specifica documentazione. Tutti i dati personali verranno trattati ai sensi della vigente normativa in materia di protezione dei dati personali, per tale intendendosi il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (“GDPR”), il d.lgs. n. 196/2003 come modificato dal il d.lgs. n. 101/2018 (“Codice privacy”) nonché qualsiasi altra normativa sulla protezione dei dati personali applicabile in Italia, ivi compresi i provvedimenti del Garante (di seguito, congiuntamente al GDPR, “Disciplina Privacy”), nel pieno rispetto dei diritti e delle libertà fondamentali, con particolare riguardo per la riservatezza dell'identità dei soggetti coinvolti e per la sicurezza del trattamento.
Dati di contatto del Titolare e del DPO
Il Titolare, nella persona del soggetto designato quale rappresentante in materia di trattamenti di dati personali (“Delegato Privacy”), è contattabile all'indirizzo di posta elettronica [email protected] per l'esercizio dei diritti previsti dagli articoli 15 e seguenti del GDPR (v. paragrafo “Diritti dell'interessato” nel prosieguo della presente informativa) e/o per altre richieste relative al trattamento dei dati personali.
Il Responsabile della Protezione dei dati (“DPO”), per tutto ciò che concerne il trattamento dei dati personali e l'esercizio dei diritti dell'interessato, è contattabile al seguente indirizzo e-mail: [email protected] .
Finalità e base giuridica del trattamento – Natura del conferimento
I dati personali sono raccolti e trattati per le finalità strettamente connesse alla gestione delle segnalazioni di condotte illecite, relativamente ad attività e/o comportamenti difformi dalle procedure implementate dalla società, per tali intendendosi la violazione di norme di condotta professionale e/o principi di etica richiamati dalla normativa vigente – interna ed esterna – e/o comportamenti illeciti o fraudolenti riferibili a dipendenti, membri degli organi sociali o terzi (clienti, fornitori, consulenti, collaboratori).
Pertanto, la base giuridica del trattamento risulta essere la necessità di adempiere a un obbligo di legge cui è soggetto il Titolare, con riferimento alle previsioni contenute nella Legge 30 novembre 2017, n. 179 (“Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato”) e nel Decreto Legislativo 8 giugno 2001, n. 231 (“Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300”).
Eventuali ulteriori specifiche finalità, relative ai singoli trattamenti, potranno essere indicate in maniera dettagliata nell'ambito dei vari canali di accesso resi disponibili.
Modalità del trattamento, tempi di conservazione e soggetti destinatari
Si rappresenta che il Titolare si impegna a trattare, in modo lecito, corretto e trasparente, solamente i dati necessari al raggiungimento delle finalità indispensabili per lo svolgimento delle attività oggetto della segnalazione.
Il trattamento è effettuato dal Titolare anche con l'ausilio di mezzi elettronici, ivi inclusi strumenti automatizzati.
Il trattamento verrà escluso e/o limitato nei casi in cui le finalità perseguite possano essere realizzate mediante anonimizzazione o attraverso modalità che permettano l'identificazione dell'interessato solo in caso di necessità.
Le segnalazioni e la documentazione relativa alla loro gestione saranno conservati per dieci anni dalla ricezione delle segnalazioni medesime.
I dati personali saranno trattati, ai sensi dell'art. 29 del GDPR, da persone autorizzate al trattamento ai quali sono state espressamente conferite dal Titolare adeguate istruzioni in ordine alla necessità di garantire la protezione dei dati personali dei soggetti coinvolti nelle segnalazioni.
I dati personali potranno, inoltre, essere trattati per l'attivazione della tutela giudiziaria e/o disciplinare connessa alla segnalazione, ovvero comunicati alle Autorità competenti in presenza di violazioni delle normative applicabili, nonché essere trasmessi a fronte di ordine cogente delle medesime Autorità.
I termini di conservazione sono stabiliti in conformità all’art. 5, par. 1, lett. e) del GDPR e alle disposizioni del D.Lgs. 24/2023. Il periodo massimo di 5 anni è motivato dalla necessità di garantire una documentazione adeguata per la gestione di eventuali procedimenti amministrativi, disciplinari o legali connessi alla segnalazione.
Diritto di informazione
– il diritto di essere informato sul trattamento dei propri dati personali ai sensi degli articoli 12 e 14 del GDPR riceve una limitazione alla luce degli obblighi di segretezza e di riservatezza imposti dal d.lgs. 231/2001, come modificato dalla l. n. 179/2017, nonché del rischio di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità del trattamento connesse alle segnalazioni nell'ambito del sistema di whistleblowing (v. art. 14, par. 5, lettere b) e d) del GDPR).Altri diritti dell'interessato
– i diritti di cui agli articoli da 15 a 22 del GDPR non possono essere esercitati (con richiesta al Titolare ovvero con reclamo ai sensi dell'articolo 77 del GDPR) qualora ne possa derivare un pregiudizio effettivo e concreto alla riservatezza dell'identità del segnalante (v. articolo 2-undecies del Codice privacy e articolo 23 del GDPR) e/o al perseguimento degli obiettivi di conformità alla normativa in materia di segnalazione di condotte illecite.In particolare, si informa il segnalato che l'esercizio di tali diritti sarà effettuabile conformemente alle disposizioni di legge o di Regolamento che regolano il settore (tra cui il d.lgs. 231/2001 come modificato dalla l. n. 179/2017); potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all'interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato, al fine di salvaguardare la riservatezza dell'identità del segnalante; eventualmente, in tali casi, i diritti dell'interessato possono essere esercitati anche tramite il Garante per la Protezione dei Dati Personali (“Garante”) con le modalità di cui all'articolo 160 del Codice privacy, nel qual caso il Garante informa l'interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell'interessato di proporre ricorso giurisdizionale.
L'esercizio dei diritti da parte del segnalato (incluso il diritto di accesso) potrà essere esperito, pertanto, nei limiti in cui la legge applicabile lo consente e, in particolare, si rileva che la richiesta verrà analizzata dagli organismi preposti al fine di contemperare l'esigenza di tutela dei diritti degli individui con la necessità di contrasto e prevenzione delle violazioni delle regole di buona gestione societaria ovvero delle normative applicabili in materia.
Categorie di dati personali e fonte di raccolta
I dati personali relativi al segnalato sono raccolti mediante la segnalazione e relativa documentazione fornita dal segnalante. I dati personali relativi al segnalato saranno ricompresi nelle seguenti categorie:
- dati anagrafici (e.g. nome, cognome, luogo e data di nascita);
- dati di contatto (e.g. indirizzo e-mail, numero di telefono, recapito postale);
- dati di natura professionale (e.g. livello gerarchico, area aziendale di appartenenza, ruolo aziendale, tipo di rapporto intrattenuto con le eventuali società del Gruppo o altri soggetti terzi, professione);
- ogni altra informazione riferita al segnalato che il segnalante decide di condividere con il Titolare per meglio circostanziare la propria segnalazione, in relazione a:
- condotte illecite rilevanti ai sensi del d.lgs. 231/2001 o violazioni del modello di organizzazione e gestione dell'ente;
- irregolarità e/o comportamenti illeciti, commissivi o omissivi, che costituiscano o possano costituire di policy e regole aziendali e/o che possano tradursi in frodi o in un danno, anche potenziale, nei confronti di colleghi, azionisti e stakeholder in generale o che costituiscano atti di natura illecita o lesiva degli interessi e della reputazione stessa dell'azienda;
- attività e pagamenti impropri o sospetti, diversi dalle spese o contribuzioni effettuate in conformità alle Linee guida Anticorruzione della società GBsoftware S.p.A., ovvero le richieste, dirette o indirette, formulate da pubblici ufficiali, enti privati o altri soggetti, aventi ad oggetto liberalità, nonché ogni sospetta violazione delle Linee guida Anticorruzione della società GBsoftware S.p.A. e relativi documenti correlati.
