Informativa al trattamento di dati personali – art. 13 del Reg. UE 2016/679 – GDPR – relativa alle segnalazioni Whistleblowing

Ultimo aggiornamento: 31 Maggio 2024
Gentile navigatore,
La presente informativa viene pubblicata, ai sensi e per gli effetti degli artt. 13 del Regolamento UE n.679/2016 (in seguito GDPR), da 4U Italia S.r.l., Via Giacomo Leopardi 26, 20123 Milano, (di seguito, per brevità anche “4U” o la “Società”) e riguarda il trattamento dei dati personali raccolti mediante il portale whistleblowing (di seguito, il “Portale”) che il 4U ha messo a disposizione di coloro (dipendenti, clienti, fornitori, partner commerciali, consulenti, collaboratori ecc.) che intendono effettuare, secondo quanto previsto dal D.Lgs. 24/2023 procedura whistleblowing, una segnalazione (di seguito anche “Segnalazione”) di condotte illecite in violazione della normativa nazionale o sovranazionale, di violazioni del Codice Etico e delle procedure interne adottate da 4U. 4U ha affidato le attività di ricezione e di gestione delle segnalazioni ad un Organismo monocratico caratterizzato da una risorsa esterna alla società dotata di grande professionalità. Attraverso il link, https://whistleblowing.4uitalia.it, il segnalante può inviare la propria segnalazione.

Titolare del Trattamento e DPO

Il titolare del trattamento è, 4U Italia S.r.l. via Giacomo Leopardi 26, 20123 Milano P. Iva 08446140967, il cui DPO è contattabile all’indirizzo dpo@4uitalia.it
4U Italia s.r.l. è responsabile del trattamento di dati personali raccolti nell’ambito dell’analisi delle segnalazioni ricevute, affidando la ricezione e la trattazione delle segnalazioni all’Organismo monocratico individuato dal Consiglio di Amministrazione.

Tipologia di dati

4U non è in grado di determinare a priori in modo univoco i dati personali oggetto della segnalazione, in considerazione che verranno trattati oltre ai Dati personali che il segnalante ha volontariamente inteso fornire per rappresentare i fatti descritti nella segnalazione, anche i dati personali di Terzi contenuti nella segnalazione stessa. Quindi la Società raccoglierà e tratterà tutte le informazioni necessarie che possono comprendere i dati personali del soggetto segnalante (di seguito anche “Segnalante”) quali, il nome, il cognome, il ruolo aziendale o i rapporti con 4U, nonché ulteriori informazioni contenute nella Segnalazione, ivi inclusi i dati personali del/dei soggetto/i segnalato/i o delle persone comunque menzionate (di seguito anche “Dati personali”). L’acquisizione e gestione delle segnalazioni dà luogo, infatti, a trattamenti di dati personali, anche appartenenti a particolari categorie di dati (art. 9 GDPR) e relativi a condanne penali e reati (art. 10 GDPR), eventualmente contenuti nella segnalazione e in atti e documenti ad essa allegati, riferiti a interessati (persone fisiche identificate o identificabili) e, in particolare, i segnalanti o le persone indicate come possibili responsabili delle condotte illecite o quelle a vario titolo coinvolte nelle vicende segnalate. Gli interessati possono essere, dunque:

  • Il Segnalante che volontariamente fornisce propri dati personali (dati personali raccolti presso l’interessato)
  • Persone coinvolte nella segnalazione, i cui dati personali vengono forniti dal Segnalante nel contesto della descrizione del fatto segnalato, quali ad esempio persone indicate come possibili responsabili, testimoni, vittime (dati personali non ottenuti presso l’interessato)

Il conferimento dei Dati personali del Segnalante è facoltativo: il Segnalante ha la facoltà di rimanere anonimo. Tuttavia, l’identità del segnalante potrebbe essere anche desunta da elementi di contesto o elementi della segnalazione, non potendosi considerare tale segnalazione anonima in senso tecnico. In tal caso, prevarrà comunque la volontà del segnalante di rimanere anonimo e sarà garantita la riservatezza della sua identità. Non è inoltre obbligatorio indicare i Dati personali del/dei soggetto/i segnalato/i o di altre persone coinvolte. In ogni caso, i dati personali contenuti nella segnalazione verranno trattati solo se pertinenti e necessari all’analisi dell’evento segnalato. 

I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente perché inseriti erroneamente dal segnalante nella descrizione della segnalazione, non sono trattati e, ove possibile, sono immediatamente cancellati.

Esulano dalle condotte segnalabili fatti oggetto di vertenze di lavoro, anche in fase precontenziosa, nonché discriminazioni tra colleghi, conflitti interpersonali tra la persona segnalante e un altro lavoratore o i superiori gerarchici, segnalazioni relative a trattamenti di dati effettuati nel contesto del rapporto individuale di lavoro in assenza di lesioni dell’interesse pubblico o dell’integrità dell’amministrazione pubblica o dell’ente privato. Non rientrano nell’ambito di applicazione oggettivo del D.Lgs 24/2023, inoltre, le segnalazioni riferite a circostanze generiche o riconducibili ad una fase antecedente all’eventuale commissione di possibili illeciti, ovvero frutto di mere indiscrezioni o vociferazioni scarsamente attendibili, nonché a ipotesi di tentativo di reato, potrebbe dar luogo a trattamenti di dati personali non pienamente riconducibili all’ambito di trattamento previsto dalla disciplina di settore. Eventuali segnalazioni riconducibili a questi temi la cui gestione comporti trattamento di dati personali verrà gestita solo ove faccia riferimento all’inosservanza di Norme a cui la società aderisce o inosservanza di valori e regolamenti aziendali sulla base degli artt. 6, par. 1, lett. c) e lett. f) del GDPR al fine di accertare la veridicità della Segnalazione e svolgere ogni attività necessaria alla gestione della stessa.

In qualsiasi momento il Segnalante può ritirare la segnalazione dandone comunicazione attraverso lo stesso canale utilizzato per effettuarla. In tal caso, i dati personali raccolti non saranno ulteriormente trattati, salvo sia già stato avviato un procedimento disciplinare e/o il titolare abbiamo già comunicato tali dati ad un Autorità pubblica, secondo quanto previsto dal Decreto legislativo 24/2023.

Base giuridica e finalità del trattamento

I Dati personali saranno trattati per finalità connesse alla gestione e verifica della Segnalazione e per garantire un’adeguata applicazione della Procedura Whistleblowing. I dati personali di eventuali soggetti inclusi nella descrizione della segnalazione saranno trattati solo ed esclusivamente se pertinenti alla segnalazione e per l’esclusiva finalità di gestione e verifica della stessa.

Presupposto per il trattamento è l’adempimento di un obbligo di legge cui è soggetto il Titolare ex art. 6, par. 1, lettera c) del GDPR come previsto dalla normativa di cui al D.Lgs. 24/2023, che impone al Titolare di dotarsi di un canale informativo per ricevere le Segnalazioni di atti o condotte che ledono un interesse pubblico o l’integrità della società. 

I trattamenti di dati personali sono, dunque, necessari per dare attuazione agli obblighi di legge e la cui osservanza è condizione di liceità del trattamento (art. 6, par. 1, lett. c) e parr. 2 e 3; art. 9, par. 2, lett. b), art. 10 e art. 88 del GDPR, nonché 2-ter e 2-sexies del Codice). Sulla base del legittimo interesse del Titolare ex art. 6, par. 1, lett. f) del GDPR di accertare la veridicità della segnalazione e svolgere ogni attività necessaria alla gestione della stessa, verranno trattati i dati personali contenuti nelle segnalazioni che, non rientrando nell’ambito di applicazione oggettivo del D.Lgs. 24/2023, il Segnalante dichiara si riferiscono all’inosservanza di norme volontarie cui la Società aderisce, o valori e regolamenti interni aziendali.

Soggetti destinatari

I dati personali oggetto della segnalazione potranno essere comunicati agli organi aziendali competenti a gestire la specifica segnalazione, garantendo la riservatezza dell’identità del segnalante e del contenuto della segnalazione. I dati potranno essere comunicati, inoltre, alle Autorità competenti in conformità a quanto previsto dall’articolo 14 del D. LGS 24/2023 (nell’ambito del procedimento penale, l’identità della persona segnalante è coperta dal segreto nei modi e nei limiti previsti dall’articolo 329 del codice di procedura penale; nell’ambito del procedimento dinanzi alla Corte dei conti, l’identità della persona segnalante non può essere rivelata fino alla chiusura della fase istruttoria).

L’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rivelate, senza il consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate a trattare tali dati.

Nell’ambito del procedimento disciplinare, l’identità della persona segnalante non può essere rivelata, ove la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità. In tal caso e quando la rivelazione della identità della persona segnalante e delle relative informazioni è indispensabile anche ai fini della difesa della persona coinvolta, è dato avviso alla persona segnalante mediante comunicazione scritta delle ragioni della rivelazione dei dati riservati.

Periodo di conservazione

In conformità all’articolo 14 del D.Lgs 24/2023 e, fatti salvi diversi obblighi di legge, le segnalazioni e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione. Quando, su richiesta della persona segnalante, la segnalazione è effettuata oralmente nel corso di un incontro con il personale addetto, essa, previo consenso della persona segnalante, è documentata a cura del personale addetto mediante registrazione su un dispositivo idoneo alla conservazione e all’ascolto oppure mediante verbale. In caso di verbale, la persona segnalante può verificare, rettificare e confermare il verbale dell’incontro mediante la propria sottoscrizione. Tale documentazione è conservata per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.

Diritti degli interessati

Scrivendo all’indirizzo privacy@4uitalia.it, l’Interessato potrà esercitare i propri diritti nei confronti del Titolare del Trattamento, ai sensi degli artt. 15 e ss. del GDPR.

Tuttavia, la persona coinvolta o la persona menzionata nella segnalazione, con riferimento ai propri dati personali trattati nell’ambito della segnalazione, divulgazione pubblica o denuncia, non può esercitare – per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata – i diritti che normalmente il Regolamento (UE) 2016/679 riconosce agli interessati (il diritto di accesso ai dati personali, il diritto a rettificarli, il diritto di ottenerne la cancellazione o cosiddetto diritto all’oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati personali e quello di opposizione al trattamento). Dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona segnalante. In tali casi, dunque, al soggetto segnalato o alla persona menzionata nella segnalazione è preclusa anche la possibilità, laddove ritengano che il trattamento che li riguarda violi suddetti diritti, di rivolgersi al titolare del trattamento e, in assenza di risposta da parte di quest’ultimo, di proporre reclamo al Garante della protezione dei dati personali (art. 2-undecies D.lgs. 196/2003 “Codice Privacy”). Questa limitazione non trova applicazione per le segnalazioni che esulano dall’ambito di applicazione oggettivo del D.lgs. 24/2023.