Informativa relativa al trattamento di dati personali

ai sensi dell’art. 13 del Regolamento Europeo n. 679/16 (“GDPR”)

in relazione alla gestione delle segnalazioni 

ex D.lgs. 24/2023 sul Whistleblowing

 

Buongiorno,

con la presente desideriamo fornire opportuna informativa ex art. 13 Reg. Eu n. 679/2016 (c.d. GDPR) ed ex art. 13 del D.lgs. 24/2023 circa gli elementi fondamentali del trattamento da noi eseguito sui dati forniti a seguito di una Segnalazione per la gestione della medesima.  

A tale riguardo si precisa che i dati personali raccolti saranno oggetto di trattamento improntato ai principi di correttezza, liceità, trasparenza, e di tutela della Sua riservatezza e dei Suoi diritti.

L’identità del segnalante non sarà rivelata se non per necessità di indagini e previo consenso del segnalante stesso, comunicato per iscritto.

 

a) Dati raccolti

I dati raccolti includono dati personali identificabili, cioè informazioni che vi concernono personalmente e che permetterebbero a terzi di identificarvi. Questi sono alcuni esempi di dati da noi raccolti: 

  • dati comuni del segnalante non anonimo:
  • Nome
  • Cognome 
  • Ruolo lavorativo
  • Numero di telefono 
  • Indirizzo e-mail
  • Fatti illeciti oggetto di Segnalazione
  • dati particolari come:
  • condizioni di salute;
  • orientamento sessuale;
  • appartenenza sindacale;
  • condanne penali;
  • dati identificativi comuni e/o particolari del segnalato;
  • dati identificativi comuni e/o particolari di persone informate sui fatti e/o coinvolte nella segnalazione.

      

b) Finalità e Base giuridica del trattamento.

I dati raccolti da CDLifePharma S.r.l. (il “Titolare”, in seguito “la Società”) verranno trattati per le seguenti finalità:

  1. gestione della Segnalazione effettuata ai sensi del D.lgs. 24/2023;
  2. adempimento di obblighi previsti dalla legge;
  3. difesa o accertamento di un proprio diritto in contenziosi civili, amministrativi o penali.

La base giuridica del trattamento è costituita: 

  • per le finalità di cui al punto 1 e 2 dall’adempimento di un obbligo legale a cui è soggetto il Titolare del trattamento ex art. 6, par. 1, lett. c) e parr. 2 e 3 art. 9 , par. 2 lett. b) e artt. 10 e 88 del Gdpr;
  • per la finalità di cui al punto 3 dal legittimo interesse del titolare ex art. 6, co. 1 lett. b, Gdpr;
  • per le Segnalazioni raccolte in forma orale dal consenso del Segnalante ex art. 6, co. 1, lett. a, Gdpr.

c) Durata del trattamento e conservazione dei dati.

I Suoi dati verranno trattati per il tempo necessario al trattamento della Segnalazione e comunque per non più di 5 anni a decorrere dalla data di comunicazione dell’esito finale della procedura di Segnalazione da parte dell’Organismo di Vigilanza ex art. 14 D.lgs. 24/2023.

d) Modalità del trattamento.

Il trattamento dei dati per le finalità esposte avviene con modalità automatizzate (supporto elettronico), e cartacee nel rispetto delle regole di riservatezza e di sicurezza previste dalla legge, dai regolamenti conseguenti e da apposite disposizioni interne.

Il sistema di gestione delle Segnalazioni garantisce, in ogni fase, la riservatezza dell’identità del Segnalante, delle persone coinvolte e/o comunque menzionate nella Segnalazione, del contenuto della Segnalazione e della relativa documentazione, fatto salvo quanto previsto dall’art. 12 co. 5 e 6 del D.lgs. 24/2023.

e) Natura obbligatoria o facoltativa del conferimento dei dati.

Il conferimento dei dati non è obbligatorio, ma è necessario per il conseguimento delle finalità di cui sopra; il loro mancato, parziale o inesatto conferimento potrebbe avere come conseguenza l’impossibilità di gestire la Segnalazione.

f) Categorie di soggetti che potranno avere accesso ai dati.

Per dare corso al trattamento, i dati personali saranno comunicati a soggetti che tratteranno i dati in qualità di Titolari autonomi del trattamento o Responsabili del trattamento (art. 28 GDPR) e saranno trattati da persone fisiche (art. 29 GDPR e/o art. 2-quaterdecies D.Lgs. n. 196/2003) che agiscono sotto l’autorità del Titolare e dei Responsabili sulla base di specifiche istruzioni fornite in ordine a finalità e modalità del trattamento. 

I dati saranno comunicati a destinatari appartenenti alle seguenti categorie: 

– l’Organismo di Vigilanza, al quale è affidata la gestione del canale di segnalazione interna; 

– l’Ufficio HR quale aiuto dell’OdV nella gestione delle segnalazioni; 

– i soggetti terzi per la manutenzione del sistema informatico whistleblowing adottato dal Titolare del trattamento;

– avvocati e/o consulenti tecnici per la difesa dei diritti dell’azienda, ove necessario; 

– autorità giudiziaria e pubbliche autorità (ivi compresa l’ANAC). 

I dati personali non verranno in alcun modo diffusi.

g) Diritti dell’interessato.

La informiamo che in qualità di interessato, oltre al diritto di proporre reclamo al Garante della Privacy, ha anche i diritti previsti dagli artt. 7 co. 3, 15, 16, 17, 18, 20, 21 e 22 del GDPR, che potrà esercitare rivolgendo apposita richiesta scritta al Titolare del trattamento e/o al Responsabile del trattamento, come indicati al punto i). Di seguito si riporta il testo degli articoli sopra citati.

GDPR

Art. 7, co. 3 – Diritto alla revoca del consenso

L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. 

Art. 15 – Diritto di accesso 

L’interessato ha il diritto di ottenere dal Titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle informazioni riguardanti il trattamento. 

Art. 16 – Diritto di rettifica 

L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa. 

Art. 17 – Diritto alla cancellazione (diritto all’oblio) 

L’interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il Titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali. 

Art. 18 – Diritto di limitazione del trattamento 

L’interessato ha il diritto di ottenere dal Titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi: 

a) l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali; 

b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo; 

c) benché il Titolare del trattamento non ne abbia più̀ bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; 

d) l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del Titolare del trattamento rispetto a quelli dell’interessato. 

Art. 20 – Diritto alla portabilità dei dati 

L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un Titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del Titolare del trattamento cui li ha forniti. 

Nell’esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un Titolare del trattamento all’altro, se tecnicamente fattibile. 

Art. 21 – Diritto di opposizione 

L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. 

Art. 22 – Diritto di non essere sottoposto a processo decisionale automatizzato, compresa la profilazione 

L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. 

h) Titolare del trattamento.

Titolare del trattamento dei dati è CDLifePharma S.r.l, con sede legale in Assago (MI), Via idiomi n. 3/5, P.IVA n. 11041570968.

Per ulteriori informazioni, ovvero per esercitare i diritti di cui al precedente punto g), Vi invitiamo a scrivere al seguente indirizzo: privacy@cdlife.com

 

Assago, 11.12.2023

il “Titolare” del trattamento

CDlifePharma S.r.l.