INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI
L’ORGANISMO DI VIGILANZA di SICURLIVE GROUP S.R.L. S.P.A., in qualità di Titolare, La informa come dovuto ai sensi degli artt. 13-14 Regolamento UE 2016/679 (in seguito GDPR) che i dati personali saranno trattati con le modalità e per le finalità di seguito indicate.
SICURLIVE GROUP S.R.L. ha sede legale in Via Copernico 4, Poncarale (BS), P. IVA e C.F. 02830100984, Numero REA BS-482157, Capitale Sociale € 25.000 i.v..
Definizioni
- Trattamento è qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali.
- Il titolare del trattamento determina le finalità e i mezzi del trattamento dei dati personali.
- Dato personale è “qualsiasi informazione riguardante una persona fisica identificata o identificabile, questa persona è indicata col termine di Interessato”. Si considera “identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale" (art. 4 GDPR).
- Dati particolari sono i dati che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona (art. 9 GDPR).
- Dati sensibili sono sia i dati particolari (art. 9 GDPR), sia i dati relativi a condanne penali e reati (ex art. 10 GDPR).
- Dati comuni sono i dati non sensibili.
Finalità del trattamento, base giuridica e fonte dei dati
Il Titolare tratta dati personali allo stesso comunicati nell’ambio dell’esercizio della propria attività di vigilanza come prevista dal Decreto Legislativo 231/2001. È fatto divieto di comunicare al Titolare dati non trattati lecitamente.
I dati vengono trattati per l’esecuzione delle attività necessarie all’incarico ricevuto da SICURLIVE GROUP S.R.L. S.P.A., per l’adempimento di obblighi o l’esercizio di diritti come previsti dalla legge.
Il trattamento, come l’aggiornamento, le verifica e l’uso di dati personali, può essere anche conseguenza dell’accesso a registri pubblici (es. dati relativi ai soci di una società nel Registro Imprese - Archivio ufficiale della CCIAA).
La stessa società cliente può comunicare all’Organismo di Vigilanza dati personali.
I dati personali vengono trattati per le seguenti finalità:
- svolgere l’attività concordata, pertanto la base giuridica consiste nelle misure precontrattuali o nel contratto che può essere scritto o orale, ad esempio trattamento dei dati per adempiere alle necessità precontrattuali, attività di trattamento necessarie all’esecuzione dell’attività richiesta (art. 6.1,b GDPR);
- accertare, esercitare o difendere un diritto in sede giudiziaria, pertanto la base giuridica del trattamento dei dati particolari risiede nell’ articolo 9.2,g GDPR.
- perseguire un legittimo interesse del Titolare, pertanto nei limiti di quanto ci si possa ragionevolmente aspettare, il Titolare ha diritto a svolgere efficacemente la propria attività, come inviare comunicazioni, rispondere alle richieste ricevute, agire o difendersi in giudizio. È possibile che i dati personali vengano legittimamente e liberamente comunicati al Titolare senza che siano stati richiesti. I dati vengono in tal caso ricevuti dal Titolare nell’ambito della propria generale attività e trattati sulla base del legittimo interesse (ex art. 6.1,f GDPR). I dati inviati liberamente dall’interessato sono trattati lecitamente anche per consenso dell’interessato (base giuridica ex art. 6.1,a GDPR).
- adempiere ad un obbligo legale ad esempio discendente dal Decreto legislativo 08 giugno 2001 n. 231 (base giuridica ex art. 6.1,c GDPR).
I dati personali comunicati attraverso segnalazioni di whistleblowing vengono trattati con lo scopo di:
- approfondire le segnalazioni relative a presunti illeciti o non conformità alle normative applicabili, incluse violazioni interne all'organizzazione;
- assolvere agli obblighi di legge e di regolamentazione imposti in materia di whistleblowing;
- garantire la tutela dei segnalanti e degli individui coinvolti, proteggendo la loro riservatezza e i dati personali anche sensibili o particolari che potrebbero essere inseriti nelle segnalazioni.
Base giuridica per il trattamento dei dati conferiti nelle segnalazioni whistleblowing:
- Per i dati personali comuni il trattamento è basato sull'obbligo legale al quale è soggetto il titolare del trattamento (Articolo 6.1,c GDPR), derivante dalla normativa nazionale e dell'Unione Europea in materia di whistleblowing (Decreto Legislativo 10 marzo 2023, n. 24, Decreto legislativo 08 giugno 2001 n. 231).
Base giuridica per il trattamento dei dati sensibili conferiti nelle segnalazioni whistleblowing:
- trattamento di dati particolari per obblighi e diritti nel campo del lavoro, della sicurezza sociale e della protezione sociale (Articolo 9.2,b GDPR), qualora il trattamento sia necessario per adempiere obblighi legali relativi alla gestione delle segnalazioni di whistleblowing, incluse le disposizioni per la tutela dei lavoratori (tra cui impedire ritorsioni).
- trattamento dei dati particolari per motivi di interesse pubblico significativo (Articolo 9.2,g GDPR) per cui il trattamento è necessario come stabilito dalla legislazione nazionale che disciplina il whistleblowing, includendo garanzie adeguate per i diritti e le libertà degli interessati.
- il trattamento dei dati personali relativi alla segnalazione di reati (whistleblowing) avviene in quanto autorizzato dal diritto dell'Unione Europea e nazionale che prevede garanzie appropriate per i diritti e le libertà degli interessati come indicate dalla legge, in conformità all’art. 10 GDPR; la base giuridica è sia il legittimo interesse all’accertamento di eventuali illeciti (art. 6.1,f), sia l’adempimento di un obbligo di legge (art. 6.1,c).
Quali dati vengono trattati
Per le finalità indicate nella presente informativa, il Titolare tratta i dati personali comuni (c.d. ordinari) che sono, ad esempio, dati di riconoscimento e recapito (nome, cognome, codice fiscale, indirizzo, numero di telefono, e-mail ed altri dati di contatto).
Dati personali sensibili (ex art. 9 e 10 GDPR) possono essere trattati nella gestione delle segnalazioni di whistleblowing e dati particolari (ex art. 9 GDPR) per accertare, esercitare o difendere un diritto in sede giudiziaria.
Categorie di destinatari
Ferme restando le comunicazioni eseguite in adempimento di obblighi di legge e contrattuali, i dati raccolti ed elaborati potranno essere comunicati esclusivamente per le finalità sopra specificate a società o studi professionali esterni che prestano attività di assistenza per l’esercizio dei diritti e l’adempimento degli obblighi di legge discendenti dall’attività di vigilanza posta in essere (es. commercialisti, avvocati, consulenti specializzati), istituti di credito, pubbliche amministrazioni per lo svolgimento delle funzioni istituzionali nei limiti stabiliti dalla legge o dai regolamenti (es. Camera di Commercio, Agenzia delle Entrate, Tribunale, ANAC, Autorità contabile o di garanzia). Destinatari dei dati potranno anche essere società informatiche o operatori informatici che erogano servizi informatici o di assistenza informatica (es. servizi di conservazione in cloud come la fatturazione elettronica, servizi relativi all’hosting e gestori traffico dati, servizi per la gestione informatica delle segnalazioni whistleblowing). Per il perseguimento delle finalità sopra descritte, i dati personali vengono conosciuti dai soggetti che operano in qualità di persone autorizzate dal Titolare al trattamento dei dati personali, tali soggetti coadiuvano od operano per il Titolare al fine di consentirgli lo svolgimento efficiente della propria attività (es. collaboratori, dipendenti, amministratori, organi sociali).
I soggetti appartenenti alle categorie sopra riportate operano, in alcune ipotesi, come titolari del trattamento. I dati non vengono diffusi. Maggiori precisazioni possono essere ottenute contattando il Titolare.
Periodo di conservazione dei Suoi dati personali
I dati personali relativi alle segnalazioni di whistleblowing saranno trattati in conformità con le disposizioni del Decreto Legislativo 10 marzo 2023, n. 24. Tali dati saranno conservati per il tempo strettamente necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione, fatto salvo il maggior termine ove previsto dalla legge.
In generale i dati personali saranno trattati dal Titolare per il tempo necessario all’instaurazione e gestione del rapporto in essere. I dati soggetti a obblighi di conservazione previsti per legge o potenzialmente necessari alla tutela dei diritti discendenti dal rapporto intercorso saranno conservati, in conformità alle norme di riferimento. Il tempo di conservazione corrisponde, pertanto, di regola a dieci anni.
Modalità
Il trattamento dei dati personali avverrà mediante strumenti idonei a garantirne la sicurezza e la riservatezza in conformità alle disposizioni previste dall’art. 32 GDPR.
I dati personali forniti al Titolare dalla persona segnalante al fine di rappresentare le presunte condotte illecite delle quali sia venuto a conoscenza, in ragione del proprio rapporto con il Titolare, commesse dai soggetti che operano presso il Titolare, anche rientranti tra le categorie particolari o tra i dati giudiziari (c.d. sensibili), sono trattati nel rispetto del principio di minimizzazione, pertinenza e non eccedenza, allo scopo di effettuare le necessarie attività istruttorie volte a verificare la fondatezza dei fatti oggetto di segnalazione nonché per l’adozione dei conseguenti provvedimenti da parte del Titolare o, ricorrendone i presupposti, delle competenti autorità indicate all’art. 11, d.lgs. n. 24/2023.
Trasferimento dati
L’eventuale trasferimento extra UE, dei dati personali, viene normato da appositi contratti atti ad imporre al destinatario il rispetto delle adeguate garanzie previste dalla vigente normativa in materia di Privacy, ovvero a soggetti che godono di una decisione di adeguatezza (art. 44 e seg. GDPR); copia delle garanzie adeguate può essere richiesta contattando il Titolare del trattamento e ottenuta in ipotesi di trasferimento.
Conseguenze del mancato conferimento
Il mancato conferimento dei dati richiesti per finalità contrattuale, precontrattuale, d’esercizio di diritti e di obblighi di legge comporta l’impossibilità per il Titolare di adempiere a quanto richiestogli e ai propri obblighi legali. Non si prevedono conseguenze per il mancato conferimento dei dati per le finalità di legittimo interesse sopra descritte, salvo effetti riferibili alla minor efficienza organizzativa.
Diritti dell’interessato
In qualità di Interessato Le sono riconosciuti tutti i diritti previsti in materia di protezione dei dati personali, con particolare riferimento agli art. 15 a 21 GDPR si evidenziano i seguenti diritti.
- Diritto di accesso, art. 15 GDPR: diritto di ottenere conferma che sia o meno in corso un trattamento di dati personali che La riguardano e, in tal caso, ottenere l'accesso ai Suoi dati personali, compresa una copia degli stessi;
- diritto di rettifica, art. 16 GDPR: diritto di ottenere, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che La riguardano e/o l’integrazione dei dati personali incompleti;
- diritto alla cancellazione (diritto all’oblio), art. 17 GDPR: diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati personali secondo quanto previsto dai termini indicati dal Regolamento UE n. 679/2016;
- diritto di limitazione di trattamento, art. 18 GDPR, esso consente di ottenere la limitazione del trattamento, quando: a) l’Interessato contesta l’esattezza dei dati personali; b) il trattamento è illecito e l’Interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo; c) benché il Titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'Interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria; d) l’Interessato si è opposto al trattamento, come oltre indicato, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del Titolare del trattamento rispetto a quelli dell’Interessato;
- diritto alla portabilità dei dati, art. 20 GDPR: diritto di ricevere, in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i dati personali che La riguardano forniti al Titolare e il diritto di trasmetterli ad un altro Titolare senza impedimenti, qualora il trattamento si basi sul consenso e sia effettuato con mezzi automatizzati. Inoltre, il diritto di ottenere che i Suoi dati personali siano trasmessi direttamente dal Titolare ad altro Titolare qualora ciò sia tecnicamente fattibile;
- diritto di opposizione, art. 21 GDPR: diritto di opporsi, in qualsiasi momento, al trattamento dei dati personali che La riguardano basati sulla condizione di liceità del legittimo interesse, compresa la profilazione, salvo che sussistano motivi legittimi per il Titolare di continuare il trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’Interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. Si precisa che il titolare non svolge né profilazione, né attività di marketing diretta a persone fisiche.
- revocare il consenso precedentemente prestato senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca, il trattamento può proseguire solo qualora sussista altra idonea base giuridica.
- proporre reclamo all’Autorità Garante (Garante per la protezione dei dati personali). Per maggiori informazioni è possibile consultare il sito del Garante per la Protezione dei Dati Personali: www.gpdp.it.
Esercizio dei diritti con riferimento alle segnalazioni whistleblowing
Si precisa che ai sensi dell’art. 13, comma 3, d.lgs. n. 24/2023 , i diritti di cui agli articoli da 15 a 22 del GDPR possono essere esercitati nei limiti di quanto previsto dall'articolo 2-undecies, lett. f), del Codice Privacy, secondo il quale, nel testo modificato dall’art. 24, comma 4, d.lgs. n. 24/2023, “non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell'articolo 77 del Regolamento qualora dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto […] alla riservatezza dell’identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte, ai sensi del decreto legislativo recante attuazione della direttiva (UE) 2019/1937 […], riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione […]”.
Modalità primaria di esercizio dei diritti
Potrà in qualsiasi momento esercitare i Suoi diritti attraverso qualsiasi canale di contatto messo a disposizione, per maggiore certezza della ricezione della richiesta raccomandiamo l’invio di una raccomandata a.r. a ORGANISMO DI VIGILANZA DI SICURLIVE GROUP S.R.L. S.P.A. con sede in Via N. Copernico 4, CAP 25020 Poncarale, Brescia, Italia.
Titolare e dati di contatto ulteriori
Il Titolare del trattamento è l’ORGANISMO DI VIGILANZA DI SICURLIVE GROUP S.R.L. S.P.A., il Presidente dell’Organismo di Vigilanza, dott. Alessandro Remonato, è contattabile al tel. 0307702651, email alessandro@remonatograssi.it.