INFORMATIVA SUL TRATTAMENTO DATI PERSONALI AI SENSI DELL’ART. 14, REG. UE n. 679/2016 (GDPR) - per segnalato, persone coinvolte

Titolare del Trattamento
Titolare del trattamento è Ludovico Martelli S.p.A., con sede in Via Faentina 169/12, 50014 Fiesole (FI), PEC: ludovicomartellispa@registerpec.it.

Indicazioni sul trattamento
Ludovico Martelli S.p.A. (in seguito anche “Società” o “Ente”), nell’intento di conformarsi alla Direttiva (UE) 2019/1937 ed al D.lgs. 10 marzo 2023, n. 24, che ne ha recepito il contenuto in ambito nazionale, ha istituito un apposito canale interno, costituito da una piattaforma protetta da misure di crittografia, attraverso cui segnalare violazioni di normative nazionali e dell’Unione Europea, indicate in dettaglio all’art. 2, comma 1, del d.lgs. 24/2023, commesse nell’ambito dell’organizzazione della Società.
Tale canale permette a determinati soggetti, che siano venuti a conoscenza nel contesto lavorativo di uno o più comportamenti impropri, di segnalarli in modo riservato o anche anonimo.
Per quanto di pertinenza, ai fini della presente informativa, appare opportuno evidenziare che il D.lgs. 10 marzo 2023, n. 24, fornisce anche una definizione di “persona coinvolta”, all’art. 2, comma 1 lett. l), quale “persona fisica o giuridica menzionata nella segnalazione interna o esterna ovvero nella divulgazione pubblica come persona alla quale la violazione è attribuita o come persona comunque implicata nella violazione segnalata o divulgata pubblicamente”.

Tipologia e categorie di dati trattati
I dati oggetto di trattamento sono quelli contenuti nelle segnalazioni ricevute, che possono riguardare il segnalato ed altri soggetti indicati nella segnalazione. Tali dati possono essere dati comuni (quali nome, cognome, altri dati che consentano di identificare il soggetto segnalato, la sua funzione all’interno dell’ente), dati inerenti alla condotta illecita segnalata, nonché eventuali dati giudiziari (relativi a condanne penali e reati, art. 10 GDPR). Il segnalante è invitato a comunicare le sole informazioni utili all’individuazione dei fatti segnalati. Qualora siano indicati nel contenuto della segnalazione dati particolari (relativi, tra gli altri, a condizioni di salute, orientamento sessuale o appartenenza sindacale, di cui all’art. 9 del REG. UE n. 679/2016, di seguito GDPR), questi ultimi potranno essere trattati ai sensi dell’art. 9 par. 2, lett. b) o g) GDPR.

Finalità, base giuridica del trattamento
La finalità è gestire correttamente le segnalazioni di eventuali illeciti e reati di cui, tra gli altri, dipendenti, collaboratori, fornitori siano venuti a conoscenza nel contesto lavorativo, tutelando i segnalanti da ritorsioni e garantendo riservatezza a segnalati e segnalanti (Obbligo di Legge – D.lgs. 10 marzo 2023, n. 24 e Direttiva (UE) 2019/1937). I dati personali sono trattati esclusivamente per lo svolgimento delle necessarie attività istruttorie volte a verificare la fondatezza dei fatti segnalati, dell’accertamento degli stessi e per la definizione di azioni da intraprendere, di adozione delle eventuali misure correttive da applicare e dei conseguenti provvedimenti.

Ciò nel rispetto del principio di minimizzazione dei dati personali, di cui all’art. 5 del Reg. UE n. 679/2016 (GDPR).

Autorizzati al trattamento e Responsabile del trattamento
La responsabilità della gestione del canale interno di segnalazione è attribuita ad un soggetto interno alla Società nominato “Gestore della Segnalazione”, dotato di tutti i requisiti prescritti dalla normativa, come previsto dall’art. 4, comma 2, D.lgs. 10 marzo 2023, n. 24. I dati relativi alle segnalazioni trasmesse sono conosciuti dal suddetto Gestore, dagli eventuali “autorizzati al trattamento” delle segnalazioni whistleblowing da questo individuati (art. 2 quaterdecies, del D.lgs. 196/2003 Codice Privacy) – in conformità al GDPR ed alle procedure interne di Ludovico Martelli S.p.A. – e da uno Studio Legale esterno appositamente incaricato, che supporta il “Gestore della Segnalazione” nella ricezione, gestione ed esame delle segnalazioni, tramite apposita piattaforma informatica crittografata ed è nominato nel ruolo di Responsabile del trattamento, ai sensi dell’art. 28 GDPR.

Destinatari
I dati personali trasmessi potranno essere comunicati, qualora necessario, all’Autorità Giudiziaria e all’Autorità Nazionale Anticorruzione, che operano quali Titolari autonomi del trattamento. Si applicano le disposizioni di cui all’art. 12 del D.lgs. 24/2023.

Nel caso in cui il “Gestore della Segnalazione” valuti di attribuire accertamenti, verifiche e/o analisi sulle segnalazioni, ovvero un supporto tecnico od approfondimenti in discipline specifiche su cui la segnalazione ha impatto, ad eventuali soggetti interni o esterni all’ente, questi conosceranno soltanto dati anonimi, salvi i casi in cui la conoscenza di dati personali risulti indispensabile per lo svolgimento dell’attività richiesta. In quest’ultimo caso saranno formalizzati ai sensi del GDPR i relativi obblighi.

Profilazione e Diffusione dei dati
I dati personali relativi al segnalante e quelli relativi ai soggetti indicati come possibili responsabili di condotte illecite (c.d. “segnalati”) e ad altri eventuali soggetti coinvolti nel contenuto della segnalazione, non sono soggetti a diffusione, né ad alcun processo decisionale interamente automatizzato, ivi compresa la profilazione.

Trasferimento all’estero
I dati relativi alle segnalazioni sono trattati all’interno dell’Unione Europea, sono conservati in server europei certificati ISO 27001 e le Società che li gestiscono sono europee.

Conservazione dei dati
Se le segnalazioni sono manifestamente non pertinenti rispetto all’oggetto di segnalazione whistleblowing o manifestamente non veritiere o attendibili, sono cancellate nel momento in cui si accerta la manifesta non pertinenza, non veridicità o inattendibilità. In generale, i dati relativi alle segnalazioni sono conservati il tempo necessario al trattamento delle stesse e, comunque, non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, come previsto dall’art. 14, comma 1, D.lgs. n. 24/2023. Potranno essere conservati dati anonimi sulle segnalazioni per valutare nel tempo, tra gli altri, la quantità di segnalazioni ricevute e gli ambiti che hanno riguardato.

Diritti dell’Interessato
Gli artt. da 15 a 22 GDPR conferiscono agli Interessati la possibilità di esercitare specifici diritti, quali, per esempio, il diritto di accesso, di rettifica, di cancellazione, di limitazione del trattamento, di opposizione al trattamento.

Non sarà, però, possibile ad alcuno conoscere se è in corso una segnalazione che lo riguarda e qual è l’oggetto della stessa, salvi i casi in cui questa sia pubblica perché è stata oggetto di divulgazione pubblica o di denuncia, quando sia stata notificata al segnalato dalle competenti Autorità.

Gli altri diritti previsti dal GDPR, possono essere esercitati inviando una e-mail all’indirizzo di posta elettronica indicato nella presente informativa. L’esercizio di tali diritti è limitato qualora possa causare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona segnalante.

Reclamo
Se l’Interessato ritiene che il trattamento dei dati che lo riguardano avvenga in violazione di quanto previsto dal GDPR ha diritto di proporre reclamo al Garante per la protezione dei dati personali, come previsto dall’art. 77 del GDPR, o di adire le opportune sedi giudiziarie, come disciplinato nell’art. 79 del GDPR.