INFORMATIVA SUL TRATTAMENTO DATI PERSONALI AI SENSI DELL’ART. 13, REG. UE n. 679/2016 (GDPR) IN RELAZIONE ALLE SEGNALAZIONI DI WHISTLEBLOWING (D.lgs. n. 24/2023; Dir. UE 1937/2029)


Titolare del Trattamento
Titolare del trattamento è Far.Mas srl (c.f./p.iva 01886510468) con sede legale in Massarosa – fraz. Piano di Conca (LU), via delle Sezioni, 256/3, email amministratore@farmas.eu; farmacia2@fcmassarosa.it; farmacia1@fcmassarosa.it.
Responsabile della protezione dati personali
Il Responsabile della Protezione dei Dati (RPD) / Data Protection Officer (DPO) è raggiungibile al seguente indirizzo e-mail: avv.cavo@hotmail.com.
Indicazioni sul trattamento
Far.Mas srl, nell’intento di conformarsi alla Direttiva (UE) 2019/1937 ed al D.lgs. 10 marzo 2023, n. 24, che ne ha recepito il contenuto in ambito nazionale, ha istituito un apposito canale, una piattaforma protetta da misure di crittografia, attraverso cui segnalare violazioni di normative nazionali e dell'unione europea, indicate in dettaglio all’art. 2, comma 1, del d.lgs. 24/2023, commesse nell'ambito dell'organizzazione della Società. Tale canale permette a determinati soggetti che siano venuti a conoscenza nel contesto lavorativo di uno o più comportamenti impropri, di segnalarli in modo riservato o anche anonimo al Responsabile della Prevenzione della Corruzione e Trasparenza (in seguito “RPCT”).
Tipologia e categorie di dati
I dati oggetto di trattamento possono essere dati comuni (quali nome, cognome, indirizzo email, numero di telefono), nonché eventuali dati giudiziari (relativi a condanne penali e reati, art. 10 GDPR). Il segnalante è invitato a comunicare le sole informazioni utili all’individuazione dei fatti segnalati. Qualora siano indicati nel contenuto della segnalazione dati particolari (relativi, tra gli altri, a condizioni di salute, orientamento sessuale o appartenenza sindacale, di cui all’art. 9 del REG. UE n. 679/2016, di seguito GDPR), questi ultimi potranno essere trattati ai sensi dell’art. 9 par. 2, lett. b) o g) GDPR. Il conferimento di tali informazioni è obbligatorio per procedere all’invio della segnalazione e consente al RPCT di valutare l’attendibilità del fatto segnalato e la credibilità del segnalante. Le misure di protezione del segnalante che subisce ritorsioni di cui al D.lgs. 24/2023 si applicano anche nei casi di segnalazioni anonime, se la persona segnalante e' stata successivamente identificata. La registrazione delle segnalazioni avviene in modo anonimo nella piattaforma. Non è presente alcuna registrazione relativa all'indirizzo IP o all'ID macchina del computer su cui è stata effettuata la segnalazione.
Finalità, base giuridica
La finalità è gestire correttamente le segnalazioni di eventuali illeciti e reati di cui, tra gli altri, dipendenti, collaboratori, fornitori siano venuti a conoscenza nel contesto lavorativo, tutelando i segnalanti da ritorsioni e garantendo riservatezza a segnalante e segnalato (Obbligo di Legge D.lgs. 10 marzo 2023, n. 24 e Direttiva (UE) 2019/1937). I dati personali sono trattati esclusivamente per lo svolgimento delle necessarie attività istruttorie volte a verificare la fondatezza dei fatti segnalati, dell’accertamento degli stessi e per la definizione di azioni da intraprendere, di adozione delle eventuali misure correttive da applicare e dei conseguenti provvedimenti. Ciò nel rispetto del principio di minimizzazione dei dati personali, di cui all’art. 5 del Reg. UE n. 679/2016 (GDPR).
Autorizzati al trattamento e Responsabile del trattamento
La responsabilità della gestione del canale interno di segnalazione è attribuita al RPCT, come previsto dall’art. 4, comma 5, D.lgs. 10 marzo 2023, n. 24. I dati relativi alle segnalazioni trasmesse sono conosciuti dal RPCT, dagli eventuali “autorizzati al trattamento” (art. 2 quaterdecies, del D.lgs. 196/2003 Codice Privacy) delle segnalazioni whistleblowing, da questo individuati, e da un fornitore di apposita piattaforma informatica crittografata ed è nominato nel ruolo di Responsabile del trattamento, ai sensi dell’art. 28 GDPR.
Destinatari
I dati personali trasmessi potranno essere comunicati, qualora necessario, all’Autorità Giudiziaria e all’Autorità Nazionale Anticorruzione, che operano quali Titolari autonomi del trattamento. Si applicano le disposizioni di cui all’art. 12 del D.lgs. 24/2023.
Profilazione e Diffusione dei dati
I dati personali relativi al segnalante e quelli dei soggetti indicati come possibili responsabili di condotte illecite, nonché di altri eventuali soggetti coinvolti nel contenuto della segnalazione, non sono soggetti a diffusione, né ad alcun processo decisionale interamente automatizzato, ivi compresa la profilazione.
Trasferimento all’estero
I dati relativi alle segnalazioni sono trattati all’interno dell’Unione Europea, sono conservati in server europei certificati ISO 27001 e la Società che li gestisce è europea.
Conservazione dei dati
Se le segnalazioni sono totalmente non pertinenti rispetto all’oggetto di segnalazione whistleblowing o non attendibili, sono cancellate al momento in cui si accerta la non pertinenza/ non veridicità. In generale i dati relativi alle segnalazioni sono conservati il tempo necessario al trattamento delle stesse e, comunque, non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, come previsto dall’art. 14, comma 1, D.lgs. n. 24/2023.
Diritti dell’Interessato
Gli artt. da 15 a 22 GDPR conferiscono agli Interessati la possibilità di esercitare specifici diritti, quali, per esempio, il diritto di accesso, di rettifica, di cancellazione, di limitazione del trattamento, di opposizione al trattamento. Il segnalante che ha svolto una segnalazione potrà in ogni momento accedere ai suoi dati tramite la piattaforma, inserendo le credenziali relative alla segnalazione, così da rivedere i dati personali e le informazioni comunicate e conoscere lo stato in cui si trova la sua segnalazione. Non sarà possibile ad alcuno conoscere se è in corso una segnalazione che lo riguarda e qual è l’oggetto della stessa, salvi i casi in cui questa sia pubblica perché è stata oggetto di divulgazione pubblica o di denuncia quando sia stata notificata al segnalato dalla competente Autorità. Il segnalante che si accorge di aver fornito informazioni incomplete o errate, può inviare una nuova segnalazione tramite la piattaforma in cui fa riferimento alla segnalazione precedente e descrive cosa dovrebbe essere corretto. Gli altri diritti previsti dal GDPR, possono essere esercitati inviando una e-mail agli indirizzi di posta elettronica di Titolare o DPO indicato nella presente informativa. L’esercizio di tali diritti è limitato qualora possa causare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona segnalante.
Reclamo
Se l'Interessato ritiene che il trattamento dei dati che lo riguardano avvenga in violazione di quanto previsto dal GDPR ha diritto di proporre reclamo al Garante per la protezione dei dati personali, come previsto dall’art. 77 del GDPR, o di adire le opportune sedi giudiziarie, come disciplinato nell’art. 79 del GDPR.