Informativa sul trattamento dei dati personali effettuato nell’ambito della gestione delle segnalazioni di whistleblowing.
COSTA GROUP SRL fornisce, qui di seguito, l’informativa sui trattamenti dei dati personali dei segnalanti (ove identificati o identificabili), dei segnalati e di eventuali altri soggetti terzi coinvolti (“Interessati”), effettuati in relazione alla gestione delle segnalazioni di Whistleblowing ex D.Lgs. 24/2023, nelle modalità previste dalla Policy Whistleblowing di COSTA GROUP SRL.
Per quanto qui non indicato, per i dipendenti di COSTA GROUP SRL si fa riferimento anche alla informativa ad essi fornita in relazione al rapporto di lavoro.
COSTA GROUP SRL invita a leggere attentamente l’informativa nei punti di seguito indicati e il documento denominato “Policy Whistleblowing”, reso disponibile sul sito internet www.costagroup.net al seguente link.
1) Quali sono i dati trattati?
I dati personali oggetto di trattamento sono quelli conferiti dal “segnalante” tramite il canale di segnalazione interno definito piattaforma WB raggiungibile al seguente link: https://whistleblowing.varhub.it/Whistleblowing?code=COSTAGROUPSRL
che prevede due possibili modalità di inserimento di una segnalazione :
Modalità Anonima : Segnalazione anonima (anonymous reporting)
Modalità Firmata : Segnalazione firmata (signed reporting)
Nella modalità anonima, non è prevista la raccolta di alcun dato personale del segnalante. Invitiamo quindi il segnalante di prestare massima attenzione evitando di inserire, nei campi di raccolta informazioni relativi alla segnalazione, dati personali che potrebbero in qualche modo ricondurre alla sua identità e, di conseguenza, alla sua individuazione.
In tutti i casi COSTA GROUP SRL garantisce la riservatezza dell’identità del segnalante a partire dalla ricezione della segnalazione nel rispetto della normativa applicabile in materia.
Costa Group incoraggia il segnalante a fornire esclusivamente informazioni basate su fatti strettamente connesse all’oggetto della segnalazione. Si prega di evitare la divulgazione di dati personali particolari, noti come “sensibili” (come razza, origine etnica, opinioni politiche, convinzioni religiose, appartenenza sindacale, dati sulla salute o vita sessuale) se non strettamente necessari e/o pertinenti alle fasi di verifica e accertamento
I dati personali oggetto di trattamento rientrano nelle seguenti categorie:
Dati personali della persona segnalante in caso di segnalazioni effettuate nella modalità firmata, non anonima, mediante la piattaforma dedicata:
Dati Comuni:
Obbligatori: Nome, Cognome, indirizzo email
Facoltativi: telefono, Data di nascita, Luogo di Nascita, Indirizzo, Estremi di un documento di riconoscimento e altri dati personali trattati perché volontariamente comunicati dalla persona segnalante compilando le schede previste nel form di segnalazione.
Dati personali riferiti alla/e persona/e coinvolta/e nella segnalazione:
I dati che la persona segnalante ha inteso fornire per rappresentare i fatti descritti nella segnalazione.
Si precisa che, in questa circostanza, COSTA GROUP SRL non è in grado di predefinire in anticipo i dati inclusi nella segnalazione. Questo implica la possibilità che la segnalazione possa contenere informazioni rientranti in categorie specifiche ai sensi dell’articolo 9 del GDPR, come ad esempio condanne penali, reati, condizioni di salute, opinioni politiche, ecc.
Si informa inoltre che i dati inseriti nella segnalazione non devono essere soggetti al segreto nazionale della difesa, al segreto medico, al segreto delle deliberazioni giudiziarie, alle indagini giudiziarie o al segreto delle indagini o al segreto professionale.
I predetti dati saranno trattati con supporti informatici e cartacei che ne garantiscono la sicurezza e la riservatezza. La documentazione in formato cartaceo sarà limitata al minimo indispensabile, e nel caso archiviata e custodita in armadi e locali dotati di serrature di sicurezza.
La trasmissione dei dati forniti dalla persona segnalante mediante accesso alla piattaforma è gestita con protocollo HTTPS.
Sono inoltre applicate tecniche di cifratura basate su Algoritmo AES e tutti i dati sono completamente criptati, garantendo in questo modo la riservatezza delle informazioni trasmesse.
Non viene fatto uso di cookie per la trasmissione di informazioni di carattere personale, né vengono utilizzati cookie persistenti per il tracciamento degli utenti. Vengono utilizzati esclusivamente cookie tecnici nella misura strettamente necessaria al corretto ed efficiente utilizzo della piattaforma. L’uso dei cookie di sessione (che non vengono memorizzati in modo persistente sul computer dell’utente e svaniscono con la chiusura del browser) è strettamente limitato alla trasmissione di identificativi di sessione (costituiti da numeri casuali generati dal server) necessari per consentire l’esplorazione sicura ed efficiente della piattaforma di segnalazione. (es. nel caso di presentazione secondo il modello web dati anagrafici, mail o numero di telefono, divisione) e quelli che possono essere già nella disponibilità dei Titolari di cui al successivo punto 3) o che gli stessi raccolgono nell’ambito delle attività verifica della fondatezza delle segnalazioni e in ogni indagine connessa, sempre nel rispetto delle pertinenti disposizioni normative.
Tutti i dati non necessari ai fini della gestione della segnalazione sono cancellati.
Possono essere trattate anche categorie particolari di dati (tra le altre informazioni che possono rivelare convinzioni religiose, le opinioni politiche, l’adesione a partiti, sindacati, ecc) oppure dati giudiziari o dati personali relativi alle condanne penali e ai reati. Questi dati saranno utilizzati solo se strettamente necessari per la gestione della segnalazione di Whistleblowing, nel pieno nel pieno rispetto dei principi di proporzionalità e necessità e, se ritenuti irrilevanti ai fini della segnalazione, non saranno più oggetto di ulteriore trattamento.
2) Per quali finalità?
Le finalità del trattamento e la base giuridica sottesa allo stesso.
Il trattamento è finalizzato alla ricezione, analisi, istruttoria e gestione delle segnalazioni e di eventuali azioni conseguenti, ed in particolare all’accertamento dei fatti segnalati e all’adozione di eventuali provvedimenti. Ai sensi dell’art. 6, comma 1 lettera f) del Regolamento Europeo n. 679/2016 GDPR, tutti i dati personali raccolti nell’ambito del presente trattamento sono strettamente funzionali e necessari per il perseguimento di quanto previsto dal D.Lgs. n. 24/2023, oltre che per eventuali esigenze di controllo interno, di monitoraggio dei rischi aziendali, di difesa di un diritto in sede giudiziaria o per ulteriori legittimi interessi del Titolare.
Inoltre, i dati personali raccolti potranno essere trattati per ottemperare a richieste provenienti dall’autorità amministrativa o giudiziaria competente e, più in generale, da soggetti pubblici nel rispetto delle formalità di legge.
Inoltre, i tuoi dati personali saranno trattati ogniqualvolta sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o un legittimo interesse del Titolare in ogni Foro competente.
Legittimi interessi del Titolare
Il Titolare potrà trattare i Suoi dati personali senza il Suo consenso nei seguenti casi: al fine di effettuare verifiche interne per accertare la possibile commissione di atti illeciti di cui la Società dovesse venire a conoscenza, anche attraverso segnalazioni, nel rispetto dei regolamenti e delle politiche interne della Società e secondo i principi stabiliti dalla normativa in materia di protezione dei dati personali e dalla normativa del lavoro, così come la relativa reportistica interna. Per la prevenzione delle frodi al fine di aumentare la protezione dei dati personali, attraverso l’ottimizzazione e l’efficienza dei processi interni.
Resta inteso che solo i dati raccolti per le finalità sopra indicate, ove opportuno rispetto a tali finalità, saranno trattati nella forma più aggregata/anonima.
Il Titolare assicura che il trattamento dei Suoi Dati Personali sarà effettuato nel rispetto dei Principi
Rilevanti in materia di Privacy e Protezione dei Dati e, in particolare, dei principi di necessità, proporzionalità, pertinenza e non eccedenza, come disciplinati dalla legge sulla protezione dei dati.
In applicazione dei principi sopra richiamati, COSTA GROUP SRL, al fine di gestire le Segnalazioni di Whistleblowing, sceglierà generalmente le modalità meno lesive dei diritti dell’interessato, privilegiando l’omissione di eventuali dati personali nei documenti, laddove la necessità di indagine possa essere raggiunta senza implicare il trattamento dei dati personali.
3) Titolari
I titolari dei trattamenti dei dati personali è COSTA GROUP SRL, con sede in LA SPEZIA
Nell’ambito di COSTA GROUP SRL, i dati personali o quelli da cui si rileva l’identità potranno essere conosciuti e trattati dal “Preposto al Controllo interno”, persona incaricata da COSTA GROUP SRL e sottoposta alla sua autorità, e, solo nei casi espressamente previsti dal D. Lgs. 24/2023, dalle autorità competenti. In ogni caso, il personale caricato dei trattamenti opera sotto l’autorità di COSTA GROUP SRL e riceve da questa opportune istruzioni scritte per garantire la correttezza dei trattamenti.
4) A chi possiamo comunicarli?
Per il perseguimento delle finalità suddette, i dati personali forniti sono resi accessibili solo a coloro i quali, all’interno della Società, sono competenti a ricevere o a dare seguito alle attività di analisi, istruttoria e gestione delle segnalazioni e di eventuali azioni conseguenti. Tali soggetti sono opportunamente istruiti al fine di evitare la perdita, l’accesso ai dati da parte di soggetti non autorizzati o trattamenti non consentiti dei dati stessi e, più in generale, in relazione agli obblighi in materia di protezione dei dati personali. I dati possono essere trattati, inoltre, da Consulenti esterni e Terze Parti con funzioni tecniche (ad esempio, il provider della piattaforma IT), che agiscono in qualità di Responsabili/Sub-Responsabili del trattamento e hanno sottoscritto un apposito contratto che disciplina puntualmente i trattamenti loro affidati e gli obblighi in materia di protezione dei dati e sicurezza del trattamento ai sensi dell’art. 28, comma 3 del Regolamento.
A titolo indicativo i soggetti sopra indicati possono essere ricompresi nelle seguenti categorie:
a) Consulenti e altri fornitori esterni di servizi strettamente connessi alle finalità del trattamento
(Esercizio dei sistemi informativi a ciò dedicati, Organizzazione, Contenzioso, Studi Legali, ecc.)
b) Società incaricate dell’amministrazione e gestione del personale,
c) Istituzioni e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia, Agenzie investigative.
d) Altre società del gruppo al quale appartiene COSTA GROUP SRL
L’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità, potranno essere rivelate a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni solo previo consenso espresso della persona segnalante conformemente a quanto previsto dal D. Lgs. n. 24/2023.
Nel caso in cui segnalazioni di competenza di altra Società del Gruppo COSTA GROUP SRL venissero ricevute da COSTA GROUP SRL, le medesime verranno indirizzate alla Società di competenza, che opererà come Titolare autonomo.
I dati di contatto eventualmente forniti dalla persona segnalante saranno utilizzati nel caso in cui dovesse rendersi necessario un contatto diretto con la stessa e per aggiornamenti rispetto allo stato della segnalazione.
5) In che modo e per quanto tempo li trattiamo?
Le segnalazioni e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione per la durata delle procedure di verifica e delle eventuali vicende a seguire, anche a carattere contenzioso e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza. Nel caso pervengano segnalazioni fuori ambito/lamentele (ad esempio contestazioni, rivendicazioni o richieste legate ad un interesse di carattere personale della persona segnalante, comunicazioni o reclami relativi ad attività di natura commerciale o di servizi al pubblico), le stesse sono conservate per un periodo non superiore a 8 mesi dall’archiviazione della stessa.
I dati non saranno trasferiti a soggetti con sedi in paesi terzi fuori dal territorio UE
I dati acquisiti saranno trattati e conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali i dati sono stati raccolti o successivamente trattati, per la durata delle procedure di verifica e delle eventuali vicende a seguire, anche a carattere contenzioso, e successivamente conservati nei limiti dei tempi di prescrizione e nel rispetto degli obblighi di legge e delle procedure privacy vigenti in Azienda. Nel caso che la segnalazione sia archiviata, i dati sono cancellati nel termine indicato dalla “Policy Whistleblowing” (punto 5) salvo che ulteriori trattamenti occorrano in caso di segnalazioni infondate presentate con dolo o colpa grave, per lo svolgimento delle attività, anche disciplinari, indicate dalla Policy.
6) Quali sono i diritti degli interessati?
Gli interessati hanno diritto di chiedere l’accesso ai loro dati personali, la rettifica e la cancellazione degli stessi, la limitazione dei trattamenti che li riguardano nonché di opporsi ai medesimi trattamenti, in base e nei limiti di quanto previsto dagli artt. 15-22 del regolamento UE n. 679/2016. Rispetto agli eventuali trattamenti basati sul consenso, quest’ultimo può sempre essere revocato, senza pregiudicare la liceità dei trattamenti basati sul consenso prestato prima della revoca.
Gli interessati hanno altresì diritto di proporre reclamo al Garante per la protezione dei dati personali, nelle forme previste dal d.lgs. n. 196/2003.
Ai sensi di quanto previsto dall’art. 2-undecies del d.lgs. n. 196/2003, i diritti sopra richiamati non possono essere esercitati con richiesta al titolare del trattamento, ovvero con reclamo ai sensi dell’art. 77 del Regolamento, quando dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del dipendente che abbia effettuato la segnalazione ai sensi della legge 30 novembre 2017, n. 179 di un illecito di cui sia venuto a conoscenza in ragione del proprio ufficio.
7) A chi ci si può rivolgere?
Ai fini dell’esercizio dei diritti di cui al precedente paragrafo 6, nonché per eventuali chiarimenti,
Lei può contattare direttamente il titolare della privacy, inviando una email al seguente indirizzo: