Informativa ai sensi degli artt. 13 e 14 del Regolamento Europeo 2016/679 sul Trattamento dei dati personali nell’ambito del Sistema di Segnalazione di presunti illeciti (“Whistleblowing”)
AVR S.p.A. ha introdotto, all’interno del proprio sistema dei controlli interni, un’apposita procedura dal nome “Gestione delle segnalazioni di illeciti e irregolarità” che consente, nell’ambito dello svolgimento del processo di ricezione e gestione delle segnalazioni stesse, di applicare tutte le misure atte a tutelare i soggetti coinvolti nel rispetto dell’art. 6, comma 2-bis e 2-ter, del D.lgs. 231/2001, nonché della normativa in materia di Privacy (Regolamento Europeo 2016/679 – GDPR) e del Codice della Privacy (D.lgs. 196/2003).
- TITOLARE DEL TRATTAMENTO
Per segnalazioni relative alla capogruppo AVR S.p.A. il Titolare del trattamento dei dati personali è AVR S.p.A., con Sede Legale in via Francesco Tensi, 116, 00133, Roma, nella persona del proprio rappresentante legale. Per segnalazioni ricevute da AVR S.p.A. inerenti altre società del Gruppo AVR, il Titolare del trattamento è la società per la quale è stata trasmessa la segnalazione ed AVR S.p.A. provvederà a gestire la segnalazione in qualità di Responsabile del Trattamento.
- RESPONSABILE DELLA PROTEZIONE DEI DATI
Responsabile della protezione dei dati è l’Avv. William Di Cicco, mail: w.dicicco@legalevda.it.
- FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO
La Società tratta i dati personali:
- Per la finalità di adempiere le obbligazioni di legge previste dall’art.6 del D.lgs. 231/2001 e dal D.Lgs. n. 24 del 10 marzo 2023;
- Sulla base del legittimo interesse del Gruppo, di cui all’art. 6, comma 1, lettera f) del GDPR (Regolamento Europeo 679/2016), di contrastare eventuali condotte illecite, riferibili ad esempio a violazioni del Codice di Condotta Antimafia, del Codice Etico e del Codice di Condotta del Fornitore.
Queste finalità rappresentano la base giuridica che legittima il trattamento dei dati personali dei soggetti coinvolti nella segnalazione.
- CATEGORIE DI DATI TRATTATI E CONSEGUENZE DEL MANCATO CONFERIMENTO
Nel rispetto del principio di minimizzazione, saranno trattati da AVR S.p.A., in qualità di Titolare o Responsabile del trattamento, solo i dati personali necessari a soddisfare e gestire la richiesta di segnalazione fra cui, a titolo esemplificativo, dati anagrafici (es. nome, cognome, ecc.), i dati particolari idonei a rivelare l’origine razziale, etnica, opinione politica, convinzioni religiose, l’appartenenza sindacale e i dati riguardanti la salute o la vita sessuale e i dati giudiziari, ovvero dati personali relativi a condanne penali e reati o relative misure di sicurezza. Il Titolare tratterà questi dati esclusivamente per finalità strettamente connesse e strumentali alla verifica dell’autenticità delle segnalazioni di irregolarità ovvero al fine di adempiere a specifici obblighi di legge, connessi agli scopi della segnalazione, mentre non saranno trattati e, se comunicati, saranno cancellati definitivamente, i dati personali non necessari. Il conferimento dei dati necessari alla verifica dell’autenticità delle segnalazioni di irregolarità ovvero al fine di adempiere a specifici obblighi di legge è obbligatorio; pertanto, l'eventuale rifiuto a fornirli in tutto o in parte può dar luogo all'impossibilità di dare seguito e gestire la segnalazione.
- DESTINATARIO DEI DATI PERSONALI
Destinatario dei dati personali è il Comitato Whistleblowing e, ove applicabile, l’Organismo di Vigilanza che, in conformità a quanto previsto dalla vigente normativa in materia e dalla procedura di gestione delle segnalazioni (Whistleblowing) adottata dalla Società, è tenuto a garantire la riservatezza dell’identità del segnalante.
Nella fase di accertamento della fondatezza della segnalazione, laddove si renda necessario per esigenze connesse alle attività istruttorie, i dati personali potranno essere inoltrati ad altre strutture e/o funzioni della Società. In tale ipotesi, i richiamati doveri di comportamento volti ad assicurare la riservatezza dell’identità del segnalante graveranno su chi sia stato coinvolto a supporto dell’Organismo di Vigilanza. I dati personali potranno essere rivelati al responsabile della funzione aziendale titolare dei procedimenti disciplinari e/o all’incolpato esclusivamente nei casi in cui vi sia il consenso espresso del segnalante ovvero la contestazione dell’addebito disciplinare risulti fondata unicamente sulla segnalazione e la conoscenza dell’identità del segnalante risulti assolutamente indispensabile alla difesa dell’incolpato.
I dati personali non saranno oggetto di diffusione e non saranno trasferiti verso paesi extra UE; tuttavia, il Titolare si riserva la possibilità di utilizzare servizi in cloud extra UE e in tal caso i fornitori dei servizi saranno selezionati tra coloro che forniscono garanzie adeguate, così come previsto dall’art. 46 del GDPR.
- MODALITÁ DEL TRATTAMENTO
Ai sensi e per gli effetti dell’articolo 5 del regolamento UE 679/2016 (GDPR), i dati personali di cui la Società viene a conoscenza ai fini della procedura dovranno essere:
- trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- raccolti per finalità determinate, esplicite e legittime e successivamente trattati in modo che non sia incompatibile con tali finalità;
- adeguati, pertinenti e limitati a quanto necessario per le finalità per le quali sono trattati;
- esatti e, se necessario, aggiornati e con l’adozione di tutte le misure ragionevoli per cancellare e rettificare tempestivamente i dati inesatti rispetto alle finalità per i quali sono stati trattati;
- conservati in una forma che consenta l’identificazione degli interessati per un arco temporale non superiore al conseguimento delle finalità per le quali sono trattati;
- trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita o distruzione o dal danno.
- Periodo di conservazione dei dati
I dati saranno conservati dal Titolare per tutta la durata della procedura di gestione della segnalazione o per il maggior tempo necessario all’adempimento degli altri obblighi di legge o per garantire la tutela degli interessi legittimi del Titolare o di terzi, indicati al punto 3.
- DIRITTI DEGLI INTERESSATI
Il Regolamento UE 2016/679 (artt. da 15 a 23) conferisce agli interessati l’esercizio di specifici diritti, quali:
- Diritto di accesso ai dati personali, che comprende altresì il diritto ad ottenere una copia dei dati personali oggetto di trattamento;
- Diritto di ricevere, in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile, i dati personali che lo riguardano;
- Diritto di ottenere l’aggiornamento, la rettifica o l’integrazione dei dati;
- Diritto di ottenere la cancellazione, la limitazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
- Diritto di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che la riguardano, anche se pertinenti allo scopo della raccolta ed ai trattamenti effettuati per le finalità previste dalla normativa vigente.
Le informazioni, comunicazioni e le azioni del Titolare in riscontro alle suddette richieste sono gratuite, ma in caso di richieste manifestamente infondate, eccessive o ripetitive, il Titolare potrà addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti, oppure rifiutare di soddisfare le richieste.
- RECLAMO
L’interessato ha diritto di proporre reclamo al Garante dei dati personali, secondo la procedura consultabile sul sito del Garante (www.garanteprivacy.it) per lamentare una violazione della disciplina in materia di protezione dei dati personali e richiedere una verifica dell‘Autorità.