Informazioni ex artt. 13-14, GDPR per il trattamento di dati personali a fini di gestione di segnalazioni di illeciti a norma del d. lgs 24/2023

 

Informazioni ex artt. 13-14, GDPR per finalità di gestione del whistleblowing

 

Fondazione L’Albero della Vita ETS – Via Vittor Pisani 13, 20124 Milano (MI) – (“FADV” o “il Titolare”), tel.02 90751517, e-mail info@alberodellavita.org (di seguito: “FADV” o “il Titolare”).

 

Fonte e finalità del trattamento

I dati personali sono raccolti nel processo di gestione di whistleblowing nell’ambito delle segnalazioni di illecito presentate dalle persone segnalanti e si riferiscono alle persone segnalanti, alle persone segnalate e alle persone coinvolte.

Sebbene le segnalazioni di illeciti di cui si sia venuti a conoscenza nel contesto lavorativo possano essere presentate in modo anonimo, laddove siano rilasciati i dati di identificazione del segnalante, della persona coinvolta e delle altre persone citate nella segnalazione, questi saranno necessariamente trattati per la gestione della segnalazione in tutte le sue fasi.

I dati e le informazioni che possono essere raccolti sono, a titolo esemplificativo e non esaustivo:

• nome e cognome, qualifica, luogo di impiego e dati di contatto professionali e/o i corrispondenti dati dei/delle dipendenti a cui si riferisce la segnalazione
• il fatto che sia stata usata la piattaforma online a ciò dedicata e denominata Piattaforma Whistleblowing al fine di inviare una segnalazione
• il comportamento segnalato delle persone coinvolte nell’illecito
• il contenuto integrale della segnalazione e i documenti ad essa riferiti, nonché le integrazioni richieste o successivamente aggiunte dalla persona segnalante rispetto alla segnalazione originariamente presentata
• altre categorie di dati personali, anche rientranti nelle categorie particolari ex art. 9, comma 1, GDPR (es.: dati sulla salute o sul credo religioso o convinzioni politiche), a patto che vengano conferite, tenendo conto del contesto della segnalazione o della conseguente procedura di indagine
• documenti di lavoro, quali registri delle prestazioni, resoconti spese di viaggio, registri dei conducenti, fatture e documenti simili, che contengano eventualmente anche dati personali, qualora vengano richiesti per chiarire i fatti segnalati
• fotografie, e-mail, documenti originali o copie rilevanti ai fini della segnalazione di illecito
• informazioni relative al comportamento durante l’utilizzo di sistemi di comunicazione di FADV, quali metadati, dati di accesso o anche il contenuto di e-mail qualora vengano richieste per chiarire le circostanze segnalate.

Sono trattati per le seguenti finalità:

1. prendere in carico la segnalazione e darne corso fino alla sua chiusura e relativo riscontro, secondo le modalità e i tempi previsti dal d. lgs 24/2023 e recepite attraverso la “Procedura Whistleblowing” emanata da FADV
2. per controllare se le informazioni fornite sono plausibili e indicano un’infrazione di leggi o altri requisiti legalmente vincolanti oppure la violazione di un dovere secondo il contratto di lavoro
3. se necessario, per un ulteriore chiarimento dei fatti segnalati rispetto a eventuali infrazioni di leggi o altri requisiti legalmente vincolanti oppure alla violazione di un dovere secondo il contratto di lavoro
4. se necessario, per un ulteriore chiarimento al fine di esonerare dipendenti che siano ingiustamente sospettati/e di azioni illecite
5. se necessario, per evitare danni economici e di altro tipo nonché per rivendicare o far valere i diritti di FADV o di terzi
6. per recepire e gestire la segnalazione con qualsiasi strumento sia stata presentata. In particolare, se è stata usata la piattaforma online a ciò dedicata oppure se la persona segnalante ha inteso avvalersi di altre modalità di esporre la segnalazione, quali telefonata, messaggistica vocale o, su richiesta della persona segnalante, anche con un incontro diretto e personale fissato in tempi ragionevoli con la persona preposta al servizio di whistleblowing
7. comunicare alle Forze dell’Ordine, alla Magistratura e alle autorità competenti gli illeciti che sono stati confermati a seguito delle indagini interne eseguite
8. per l’adempimento di qualunque obbligo di cooperazione nell’ambito delle indagini condotte dalle autorità competenti in materia.

 

Modalità del trattamento

1. I dati personali sono trattati con modalità prevalentemente elettroniche e sono conservati all’interno del sistema gestionale di FADV. Idonee misure di sicurezza sono osservate per prevenire la perdita o alterazione dei dati – anche accidentale – usi illeciti o non corretti ed accessi non autorizzati.
2. In particolare, i dati personali e le informazioni contenuti nella segnalazione, se raccolti tramite la piattaforma online dedicata saranno sottoposti a crittografia o pseudonimizzazione. Lo stesso dicasi se registrati su supporti digitali.
3. Se per la segnalazione la persona segnalante utilizza una linea telefonica registrata o un altro sistema di messaggistica vocale registrato, la segnalazione, previo consenso della persona segnalante, sarà documentata mediante registrazione su un dispositivo idoneo alla conservazione e all'ascolto oppure mediante trascrizione integrale. In caso di trascrizione, la persona segnalante potrà richiedere di verificare, rettificare o confermare il contenuto della trascrizione mediante la propria sottoscrizione.
4. Se per la segnalazione si utilizza una linea telefonica non registrata o un altro sistema di messaggistica vocale non registrato, la segnalazione è documentata per iscritto mediante resoconto dettagliato della conversazione. La persona segnalante potrà richiedere di verificare, rettificare e confermare il contenuto della trascrizione mediante la propria sottoscrizione.
5. Ai fini della gestione della segnalazione, saranno incrociate e raffrontate, in modalità manuale, tutte le informazioni presenti per addivenire a un’analisi completa e circostanziata dell’illecito supposto che è stato presentato. Pertanto, tutte le informazioni inserite nella segnalazione saranno sottoposte a processi di profilazione, eseguiti in modalità manuale, incrociando le informazioni stesse al fine di un’analisi comprensiva di ogni elemento e che riconduca fedelmente al fatto dannoso e/o doloso segnalato.

 

Base giuridica del trattamento

Per tutte le finalità di trattamento sopra esposte la base giuridica è l’art. 6, comma 1, lettera c) GDPR e l’art. 9, comma 2, lettere b) e g), GDPR per le categorie particolari di dati personali in combinazione con l’art. 17, direttiva (UE) 2019/1937 (“Direttiva whistleblowing UE”), nonché con il decreto legislativo 10 marzo 2023, n. 24 che recepisce la Direttiva whistleblowing UE.

Inoltre, è applicata la base giuridica del legittimo interesse come da art. 6, comma 1, lettera f) GDPR, in combinazione con il d. lgs 196/2003 come modificato dal d. lgs 101/2018, nonché con il considerando C47, GDPR e Opinion 09 aprile 2014, n. 6 del Working Party 29, par. III.3.1). È legittimo interesse di FADV trattare i dati per prevenire e individuare violazioni all’interno della sua organizzazione, salvaguardarne l’integrità e verificare la legalità di processi interni. Tale legittimo interesse è controbilanciato dalla necessità di garantire alla collettività un assetto sociale che contrasta le azioni illegali e gli illeciti di qualunque tipo e in qualunque forma eseguite.

Inoltre, la base giuridica è il consenso ex art. 6, comma 1, lettera a), GDPR che sarà raccolto esclusivamente se l’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità debbano essere comunicate a persone diverse da quelle preposte a ricevere e a dar seguito alla segnalazione o alle autorità competenti.

 

Criteri della raccolta dei dati

Sono raccolti esclusivamente i dati e le informazioni indispensabili per la gestione della segnalazione di illecito ravvisato nel contesto lavorativo. Ulteriori dati e informazioni non necessarie, anche se raccolti accidentalmente o conferiti accidentalmente dalle persone segnalanti, saranno immediatamente distrutti.

FADV applica, pertanto, il disposto di cui all’art. 25, GDPR (“Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” – “Data Protection by design and by default”), che impone di valutare previamente le misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati.

 

Criteri di sicurezza per la piattaforma online Piattaforma Whistleblowing

La piattaforma online denominata Piattaforma Whistleblowing contiene un’opzione per la comunicazione anonima attraverso una connessione crittografata. Quando si utilizza, l’indirizzo IP e la posizione attuale dell’utente non sono mai memorizzati. Dopo aver inviato una segnalazione, si ricevono i dettagli di login per accedere alla inbox della piattaforma, in modo da continuare a comunicare con FADV in modo protetto.

I dati saranno memorizzati in un archivio del gestore della piattaforma, identificabile nella società DigitalPA, con sede legale in Via S. Tommaso d’Aquino, 18A - 09134 Cagliari, codice fiscale e partita IVAP.I./C.F. 03553050927: tale archivio è dotato di canoni di sicurezza sicuri ed è ubicato all’interno dell’Unione europea. Tutti i dati memorizzati nell’archivio sono crittografati utilizzando metodi avanzatissimi. L'accesso ai dati è strettamente limitato ai responsabili designati e alle persone autorizzate al trattamento delle segnalazioni. Nessun’altra entità, compreso il gestore, è in possesso della chiave per decifrare questi dati e renderli leggibili.

 

Responsabili del trattamento, persone autorizzate al trattamento e autonomi titolari del trattamento

1. I dati identificativi e tutte le informazioni inserite nelle segnalazioni e documenti accessori sono trattati dalla persona deputata da FADV alla gestione del whistleblowing e, in caso di attività tecniche, dal personale IT che cura i sistemi informativi e di sicurezza dei dati.
2. La società DigitalPA, con sede legale in Via S. Tommaso d’Aquino, 18A - 09134 Cagliari, codice fiscale e partita IVAP.I./C.F. 03553050927, in qualità di fornitore di servizi tecnici per la piattaforma online di segnalazione è responsabile del trattamento in base a un contratto di nomina stipulato ai sensi dell’art. 28 comma 3, GDPR. In caso di manutenzione o altri interventi tecnici non risolvibili internamente, può avere accesso alle informazioni e ai dati delle segnalazioni che sono crittografati (e, dunque, non in formato leggibile).
3. Se l’elaborazione della segnalazione porta alla conclusione che si è verificata una violazione, i dati personali della persona coinvolta o, in caso di segnalazioni non anonime, anche della persona segnalante e di altre persone indicate espressamente nella segnalazione, possono essere comunicati ad autorità competenti in materia o all’autorità giudiziaria, nonché ad avvocati o consulenti incaricati e vincolati contrattualmente da FADV. Tali soggetti agiranno in qualità di autonomi e correlati titolari del trattamento.
4. Se è necessario che il titolare rivendichi e faccia valere diritti e se non vi sono interessi delle persone interessate meritevoli di protezione, i dati personali possono essere comunicati anche a parti opponenti o assicuratori, che agiscono in qualità di autonomi titolari del trattamento.

 

Ambito di comunicazione e diffusione dei dati

1. I dati non sono comunicati se non a Forze dell’Ordine, Magistratura o altre autorità competenti in caso di violazione accertata o per esercitare, far valere o difendere un diritto in sede giudiziaria.
2. I dati personali della persona segnalante che ha presentato anonimamente la segnalazione potranno essere comunicati ai soggetti di cui al punto 1. soltanto se necessario per indagini e azioni di soppressione di reati o ciò sia imposto da leggi e regolamenti in materia.
3. I dati e le segnalazioni non saranno oggetto di diffusione.

 

Periodo di conservazione dei dati

In ottemperanza a quanto disposto dall’art. 14, comma 1, d. lgs 24/2023, le segnalazioni e la relativa documentazione sono conservate per il tempo necessario alla gestione della segnalazione e, comunque, non oltre n. 5 (cinque) anni a decorrere dalla data della comunicazione dell’esito finale della procedura della segnalazione, nel rispetto degli obblighi di riservatezza imposti dallo stesso d. lgs 24/2023 e dalle norme che disciplinano il trattamento dei dati personali.

 

Luogo del trattamento e trasferimento dei dati in Paesi extra-UE

Il trattamento dei dati personali – se la segnalazione è stata inviata in modo non anonimo – sarà effettuato in territorio UE direttamente dal Titolare oppure da soggetti da essi incaricati anch’essi con sede in territorio UE. Laddove sia necessario, per la corretta gestione della segnalazione rispetto al suo esito, i dati identificativi della persona segnalante, delle persone coinvolte e il contenuto della segnalazione potranno essere anche trasferiti verso Paesi extra-UE o organizzazioni internazionali. Qui si precisa che i destinatari saranno esclusivamente le autorità ed enti istituzionali sovranazionali competenti in materia: tale trasferimento potrà avvenire senza il consenso dell’interessato o di particolari garanzie, vigendo al riguardo l’art. 49, comma 1, lettere d) ed e), GDPR.

In tutti gli altri casi, il trasferimento avverrà soltanto per dati anonimi che non possono essere ricondotti alla persona segnalante o coinvolta o alla segnalazione. Se sono, viceversa, trasferiti dati identificativi al di fuori delle finalità dapprima espresse, il trasferimento potrà avvenire previo consenso degli interessati (art. 49, comma 1, lettera a), GDPR) o laddove ricorrano le altre garanzie previste dagli artt. 45-49, GDPR.

 

Diritti degli interessati ai sensi degli artt.15-22, GDPR e reclamo all’autorità di controllo

Tutti i diritti previsti dagli artt. 15-22, GDPR, ivi compreso il diritto di presentare reclamo all’autorità di controllo, non possono essere esercitati se il trattamento è finalizzato al contrasto dell’antiriciclaggio, alla tutela di persone vittime di estorsione, all’esercizio di un diritto in sede giudiziaria o di svolgimento di investigazioni difensive. Inoltre, non possono essere esercitati se, dall’esercizio di tali diritti, può derivare un pregiudizio effettivo e concreto alla riservatezza dell'identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte (art. 2-undecies, comma 1, lettera f), d. lgs 196/2003 come modificato dal d. lgs 101/2018 e legge 30 novembre 2017, n. 179). Pertanto, ai fini dei trattamenti derivanti dalla segnalazione di illeciti nel contesto lavorativo non si hanno strumenti per esercitare i diritti altrimenti riconosciuti dal GDPR.

 

Data Protection Officer

Il Data Protection Officer è contattabile all’e-mail dpo@alberodellavita.org per informazioni sul trattamento dei dati.