Informativa sul trattamento dei dati delle segnalazioni whistleblowing

Informativa resa ai sensi dell’Art.13 Reg. UE 2016/679 (GDPR) e ai fini del d.lgs. 24/2023 che disciplina la protezione delle persone che segnalano violazioni di disposizioni normative nazionali o dell’Unione europea.

Titolare del trattamento

Il Titolare del trattamento è Cortilia S.p.A. Società Benefit, con sede a Milano in via del Caravaggio, n. 3, C.F. e P. IVA IT07234670961, contattabile ai seguenti recapiti:
  • scrivendo una e-mail a privacy@cortilia.it;
  • per posta ordinaria all’indirizzo della sede indicata.

Il Titolare ha nominato un DPO contattabile alla e-mail privacy@cortilia.it.

Finalità e basi giuridiche del trattamento

Il trattamento dei dati personali è necessario al fine di:
  1. consentire al segnalante di effettuare una segnalazione relativa ad uno degli illeciti previsti dal D. Lgs. n. 24/2023;
  2. dar seguito alla segnalazione, e in particolare valutare la sussistenza dei fatti segnalati, l’esito delle indagini e le eventuali misure adottate;
  3. informare il segnalante del seguito che è stato dato o che si intende dare alla segnalazione;
  4. informare il segnalante delle ragioni per cui risulta necessario rivelare dati riservati e/o delle ragioni per cui risulta indispensabile, anche ai fini della difesa della persona coinvolta, rivelare l’identità del segnalante;
  5. comunicare, dietro specifico consenso, l’identità del segnalante a persone diverse da quelle competenti a ricevere le segnalazioni, quando questo si renda necessario per un’adeguata gestione della segnalazione o per la difesa del segnalato e per la conservazione di registrazioni e/o trascrizione di telefonate, messaggi, conversazioni.

La base giuridica per le finalità dal punto 1 a 4 è l’art. 6 (1) lett. c), in quanto il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il Titolare del trattamento.

La base giuridica per la finalità di cui al punto 5 è l’art. 6 (1) lett. a), in quanto il trattamento è basato sul consenso dell’interessato.

Soggetti interessati

Sono trattati dati personali di soggetti che segnalano violazioni, di soggetti segnalati indicati come presunti responsabili, di soggetti implicati nelle violazioni, di soggetti al corrente dei fatti o comunque menzionati nella segnalazione e dei facilitatori (persone fisiche che assistono il segnalante nel processo di segnalazione).

Categorie di dati trattati

Possono essere trattati i seguenti dati personali dei soggetti interessati:
  • dati identificativi;
  • dati di contatto;
  • dati comuni, particolari e giuridici eventualmente contenuti nella segnalazione;
  • dati relativi al segnalato e alle sue presunte condotte, nelle quali il segnalante possa essere coinvolto.

Modalità del trattamento

I dati personali saranno trattati in formato cartaceo ed elettronico, anche attraverso modalità automatizzate atte a memorizzarli, gestirli e trasmetterli e comunque sempre mediante strumenti idonei, per quanto possibile allo stato della tecnica, a garantirne la sicurezza e la riservatezza, anche tramite procedure atte a evitare il rischio di perdita, accesso non autorizzato, uso illecito e diffusione.

Il Titolare garantisce che tutti i dati personali trattati nel contesto della segnalazione rimarranno strettamente riservati.

Tempi di conservazione

I dati personali saranno conservati il tempo necessario ad evadere la segnalazione e comunque non oltre 5 (cinque) anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione. Le segnalazioni (e la relativa documentazione) che, all’esito del relativo procedimento di istruttoria, si rivelino infondate o non accettabili verranno conservate per 30 giorni dal termine delle attività di verifica.

Fatti salvi eventuali specifici obblighi normativi o la necessità del Titolare di agire o difendersi in giudizio, che rendano necessaria la conservazione per un periodo di tempo superiore.

Conferimento dei dati

È possibile effettuare una segnalazione anonima, pertanto il conferimento di dati personali relativi al segnalante può ritenersi facoltativo.

Si ricorda tuttavia che, in caso di segnalazione anonima, il Titolare potrebbe non essere in grado di investigare efficacemente la segnalazione. Pertanto, ove applicabile, il segnalante è invitato a segnalare qualsiasi violazione fornendo dati e informazioni il più possibile circostanziate, così da permettere un’adeguata gestione della segnalazione.

In ogni caso, il Titolare assicura che tutti i dati personali trattati nel contesto della segnalazione rimarranno strettamente riservati.

Comunicazione e diffusione dei dati

Nei limiti degli obblighi, dei compiti e delle finalità sopraindicate, i dati personali forniti saranno trattati esclusivamente dai soggetti specificamente autorizzati dal Titolare per la funzione di Gestore delle segnalazioni, nonché da soggetti terzi nominati Responsabili ai sensi dell’art. 28 GDPR, nel rispetto di quanto previsto dalla legge anche con riguardo alle misure di sicurezza a protezione e salvaguardia dei dati stessi.

Quando necessario, per esempio per la difesa in giudizio del segnalato e solo dietro specifico consenso, l’identità del segnalante potrò essere rivelata a soggetti diversi da quelli specificamente autorizzati.

Viene inoltre garantita la riservatezza per gli altri soggetti interessati fino alla conclusione del procedimento, fatti salvi gli obblighi imposti in sede di giudizio dalle autorità competenti.

Infine, ove si renda necessario, i dati personali potrebbero essere condivisi in tutto e in parte con soggetti esterni, quali: avvocati, consulenti che forniscano sevizi di supporto o indagine, o autorità giudiziarie, di vigilanza, di polizia, quando sia previsto dalla legge.

I dati personali non saranno in ogni caso oggetto di diffusione; non saranno trasferiti al di fuori dello SEE o, nel caso che lo siano il trasferimento è assistito dalle garanzie di cui al Capo V del REG. UE 2016/679, inoltre i dati non saranno soggetti a processi decisionali interamente automatizzati.

Diritti dell’interessato

L’interessato potrà, in qualsiasi momento, esercitare i diritti previsti dagli Artt. Da 15 a 22 del Reg. UE 2016/679, ed in particolare il diritto:
  • di accedere ai suoi dati personali;
  • di ottenere la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano;
  • di opporsi al trattamento, nel caso in cui il Titolare eserciti un proprio legittimo interesse;
  • di ottenere la portabilità dei dati, ove prevista;
  • di revocare il consenso, ove previsto: la revoca non pregiudica la liceità del precedente trattamento;
  • di proporre reclamo all'autorità di controllo. Per l’Italia, l’autorità di controllo è l’Autorità Garante per la protezione dei dati personali (www.gpdp.it).

L’esercizio dei diritti sopra richiamati potrà avvenire attraverso l’invio di una richiesta all’indirizzo e-mail indicato sopra.

Ultimo aggiornamento: 15/12/2023