Athena s.r.l. (o “Titolare”), ai sensi del Regolamento UE 2016/679 (di seguito GDPR), Ti fornisce e Ti invita a leggere attentamente la presente informativa che riguarda i dati personali (“Dati” o “Dati Personali”) trattati ai fini della ricezione, analisi, istruttoria e gestione delle segnalazioni e di eventuali azioni conseguenti disciplinate dal proprio Regolamento Whistleblowing
I. TITOLARE DEL TRATTAMENTO E RESPONSABILE DEL TRATTAMENTO
•Il Titolare del trattamento dei Dati Personali è Athena s.r.l con Sede Legale in Contrada Primogenito, Zona P.I.P. - 89024 Polistena (Città metropolitana di Reggio Calabria), Codice Fiscale/P.Iva 02464460803, REA n° RC - 169679, PEC athenasrl@gigapec.it; e-mail: info@athenasrl.com; Sito Internet www.athenasrl.com. (NB. per l’esercizio dei diritti degli interessati utilizzare esclusivamente i contatti PEC e/o e-mail indicati nella successiva sez. VI);
•Il Responsabile del trattamento designato dal Titolare del trattamento, è : DigitalPA S.r.l. con sede legale in Cagliari.
II. TIPOLOGIA DEI DATI PERSONALI
Durante la procedura di whistleblowing, potremmo raccogliere i seguenti tipi di dati:
a) Credenziali di accesso per la creazione dell’account sulla piattaforma utilizzabile per effettuare le Segnalazioni.
b) Dati personali comuni (di cui all’art. 4, punto 1, del GDPR) del Segnalante (nel caso di Segnalazioni non anonime) nonché di eventuali Persone coinvolte o menzionate nella Segnalazione e facilitatori, come definiti dal Regolamento Whistleblowing (di seguito “Interessati”), quali: dati anagrafici (ad es. nome, cognome, data e luogo di nascita), dati di contatto (es. numero telefonico fisso e/o mobile, indirizzo postale/e-mail).
c) Voce del segnalante (nel caso di Segnalazioni effettuate utilizzando il canale vocale).
d) Categorie particolari di dati di cui all’art. 9) del GDPR e dati relativi a condanne penali e reati di cui all’art. 10 del GDPR, qualora inseriti nella segnalazione (ad es. condanne penali, reati, ecc.)
I trattamenti dei dati, improntati su principi di correttezza, liceità e trasparenza, sono effettuati manualmente e/o attraverso strumenti automatizzati informatici e telematici con logiche correlate alle finalità specificate nella presente informativa e, comunque, in modo da garantirne la sicurezza e la riservatezza. Il sistema di gestione delle Segnalazioni garantisce, in ogni fase, la riservatezza dell’identità del Segnalante, delle Persone coinvolte e/o comunque menzionate nella Segnalazione, del contenuto della Segnalazione e della relativa documentazione, secondo quanto previsto dall’art. 12 del d.lgs. n. 24/2023.
III. FINALITÀ DEL TRATTAMENTO E BASE GIURIDICA
I dati personali sono trattati dal Titolare per le seguenti finalità:
1) gestione della Segnalazione effettuata ai sensi del d.lgs. n. 24/2023;
2) adempimento di obblighi previsti dalla legge o dalla normativa comunitaria;
3) difesa o accertamento di un proprio diritto in contenziosi civili, amministrativi o penali.
La base giuridica del trattamento è costituita:
- per la finalità di cui al punto 1), dall’adempimento di un obbligo legale a cui è soggetto il Titolare del trattamento (art. 6, par. 1, lett. c) GDPR);
- per le finalità di cui al punto 2), dall’adempimento di un obbligo legale a cui è soggetto il Titolare del trattamento (art. 6, par. 1, lett. c) GDPR).
- per le finalità di cui al punto 3), dal legittimo interesse del titolare (art. 6, par. 1, lett. f) GDPR).
-per ulteriori finalità qualora la conoscenza dell’identità della persona Segnalante sia indispensabile, dal consenso dell’interessato (art. 6, par. 1, lett. a) GDPR).
Eventuali dati appartenenti a categorie particolari di cui all’art. 9) del GDPR sono trattati in forza di quanto previsto dall’art. 9, par. 2, lett. e) e g) del GDPR.
Eventuali dati relativi a condanne penali e reati di cui all’art. 10 del GDPR sono trattati in conformità a quanto previsto dall’art. 2-octies del d.lgs. 196/2003.
Il conferimento dei dati è necessario per il conseguimento delle finalità di cui sopra; il loro mancato, parziale o inesatto conferimento potrebbe avere come conseguenza l’impossibilità di gestire la segnalazione
IV. I SOGGETTI DESTINATARI DEI DATI
Per il perseguimento delle finalità suddette, i dati personali forniti potranno essere resi accessibili solo a coloro i quali, all'interno di Athena s.r.l., sono competenti a ricevere o a dare seguito alle attività di analisi, istruttoria e gestione delle segnalazioni e di eventuali azioni conseguenti. Secondo quanto previsto dal Regolamento Whistleblowing, l’accesso ai Dati personali contenuti nelle Segnalazioni sarà consentito esclusivamente ai soggetti designati per la gestione delle Segnalazioni, quali soggetti autorizzati al trattamento.
I dati possono essere trattati, inoltre, da Consulenti esterni e Terze Parti con funzioni tecniche (ad esempio, il provider della piattaforma IT), che agiscono in qualità di Responsabili/Sub-Responsabili del trattamento e hanno sottoscritto un apposito contratto che disciplina puntualmente i trattamenti loro affidati e gli obblighi in materia di protezione dei dati e sicurezza del trattamento ai sensi dell’art. 28, comma 3, del Regolamento. Infine, i dati personali potranno essere trasmessi anche ad altri soggetti autonomi titolari del trattamento, in base a norme di legge o di regolamento (es. Autorità Pubbliche, Autorità Giudiziaria, etc.).
L’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità, potranno essere rivelate a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni solo previo consenso espresso della persona segnalante conformemente a quanto previsto dal D. Lgs. n. 24/2023.
I dati raccolti non vengono trasferiti in ubicazioni poste al di fuori dell’Unione Europea.
V. CONSERVAZIONE DEI DATI
Athena s.r.l. conserva i dati personali nei termini previsti dall’art. 14 del d.lgs. n. 24/2023, cioè per il tempo necessario al trattamento della segnalazione e, comunque, per non oltre 5 anni a decorrere dalla data di comunicazione dell’esito finale della Segnalazione da parte dei soggetti designati per la Gestione delle Segnalazioni. I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati tempestivamente.
VI. DIRITTI DEGLI INTERESSATI
L’interessato, nella persona del Segnalante di eventuali Persone coinvolte o menzionate nella Segnalazione e facilitatori, ha diritto di accedere in ogni momento ai dati che lo riguardano e di esercitare i diritti previsti dagli articoli dal 15 al 22 del GDPR, per quanto applicabili (diritto di accesso ai dati personali, diritto a rettificarli, diritto di ottenerne la cancellazione o cd. diritto all’oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati personali o quello di opposizione al trattamento), inviando una e-mail all’indirizzo athenawhistleblowing@gmail.com. Inoltre, l’interessato ha diritto di proporre un reclamo al Garante della protezione dei dati personali www.garanteprivacy.it.
Ai sensi dell’articolo 2-undecies del D.lgs. n. 196/2003 e s.m.i. (“Nuovo Codice Privacy”) ed in attuazione dell’articolo 23 del GDPR, si informa che i summenzionati diritti non possono essere esercitati da parte delle persone coinvolte o menzionata nella segnalazione, qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità della persona segnalante.
In particolare, l’esercizio di tali diritti:
•sarà effettuabile conformemente alle disposizioni di legge o di regolamento che regolano il settore (D.lgs. 24/2023);
•potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare la riservatezza dell’identità della persona segnalante;
•in tali casi, i diritti dell’interessato possono essere esercitati anche tramite il Garante per la Protezione dei Dati Personali con le modalità di cui all’articolo 160 del Nuovo Codice Privacy, nel qual caso il Garante informa l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale.