Con il presente documento Soris S.p.A. (di seguito “SORIS” o la “Società”) quale Titolare del trattamento intende fornire un’adeguata informativa in merito al trattamento di dati personali posto in essere nell’ambito del sistema aziendale di segnalazione e gestione delle violazioni di disposizioni normative, nazionali o dell’Unione Europea, che ledono l’interesse pubblico o l’integrità della Società, implementato nel rispetto della normativa applicabile in materia di whistleblowing, in particolare del Decreto Legislativo 10 marzo 2023, n. 24 di recepimento della Direttiva UE 23 ottobre 2019, n. 1937 e delle prescrizioni di cui alle Linee Guida ed altri atti di indirizzo adottati
dall’Autorità Nazionale Anticorruzione (A.N.A.C.) in materia.
Le segnalazioni saranno gestite secondo quanto previsto dalla “Procedura Segnalazioni Whistleblowing” adottata da SORIS e resa disponibile nell’apposita sezione dedicata al whistleblowing del sito web aziendale, (di seguito la “Procedura Whistleblowing”), che Vi invitiamo a leggere con attenzione.
a) Identità e dati di contatto del Titolare del trattamento:
Titolare del trattamento dei dati personali è SORIS SpA, con sede in Via Vigone 80 – 10139 Torino (TO), contattabile al numero telefonico: 800 904 500 e all’indirizzo pec: postacertificata@pec.soris.torino.it
b) Categorie di dati personali oggetto di trattamento e fonte dei dati:
Nell’ambito del procedimento di acquisizione e gestione delle segnalazioni, ai sensi del Decreto Legislativo n. 10 marzo 2023 n.24 recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali (c.d. Decreto Whistleblowing), SORIS tratterà dati personali del soggetto segnalante, del soggetto segnalato e di altre categorie di interessati, quali persone coinvolte e/o collegate al processo di segnalazione e/o ai fatti oggetto della segnalazione medesima.
Tali informazioni potranno includere dati personali comuni (es. dati anagrafici, di contatto, dati relativi all’attività lavorativa dell’interessato, altri dati contenuti nella segnalazione e/o documentazione allegata o raccolta nel corso del processo di gestione della segnalazione, etc.) e, nei limiti in cui sia strettamente necessario al perseguimento della finalità di trattamento sotto descritta, dati personali appartenenti a categorie particolari di cui all’art. 9 del Regolamento UE 2016/679 (“Regolamento sulla protezione dei dati”) (es. dati relativi alla salute, all’appartenenza sindacale, dati idonei a rivelare origine razziale, opinioni politiche, convinzioni religiose o filosofiche dell’interessato, etc.) o dati relativi a condanne penali e reati di cui all’art. 10 del Regolamento sulla protezione dei dati.
I dati personali saranno raccolti direttamente presso l’interessato o presso terzi, attraverso la segnalazione effettuata - secondo le modalità previste nella Procedura Whistleblowing e nella documentazione allegata - in forma scritta, tramite piattaforma informatica, ovvero in forma orale in sede di incontro diretto con il RPCT e, previo consenso del segnalante, documentata tramite verbale o registrazione su apposito dispositivo (compresa la piattaforma). I dati potranno altresì essere acquisiti nel corso del procedimento di gestione della segnalazione.
Il conferimento dei dati mediante segnalazione ha natura facoltativa, ma senza di essi la Società potrebbe non essere in grado di ricevere e gestire la segnalazione. Si chiede di fornire solo dati necessari a descrivere i fatti oggetto di segnalazione evitando ogni dato personale non necessario a tal fine. L’identità del segnalante verrà protetta sin dalla ricezione della segnalazione ed in ogni fase successiva.
c) Finalità e base giuridica del trattamento:
I dati personali formeranno oggetto di trattamento da parte di SORIS per la gestione delle segnalazioni e l’adozione dei provvedimenti conseguenti in adempimento agli obblighi di legge o regolamentari gravanti sulla Società in materia di whistleblowing, in particolare quelli previsti dal D.Lgs. 10 marzo 2023 n. 24, di recepimento della Direttiva UE 23 ottobre 2019, n. 1937.
La base giuridica del trattamento è rappresentata dalla necessità di adempiere agli obblighi imposti dalla normativa in materia di whistleblowing, ed in particolare dal D.Lgs. 10 marzo 2023 n. 24 (art. 6, par. 1, lett. c), art. 9 par. 2, lett. b) e g) nonché art. 10 del Regolamento sulla protezione dei dati).
In caso di necessità di rivelare a persone diverse dal RPCT l’identità della persona segnalante, o qualsiasi altra informazione da cui possa evincersi, direttamente o indirettamente, tale identità, SORIS procederà a richiedere al segnalante medesimo un espresso e specifico consenso, ai sensi dell’art. 12, co. 2 e ss. del D.Lgs. 24/2023 ed art. 6 co.1, lett. a) del Regolamento sulla protezione dei dati. Il consenso sarà facoltativo e potrà essere liberamente revocato in qualsiasi momento secondo le modalità che saranno indicate in sede di richiesta.
d) Modalità di trattamento dei dati personali
Il trattamento dei dati personali avverrà con il supporto di mezzi cartacei, informatici o telematici, in modo da garantirne la sicurezza e riservatezza ed impedire, attraverso le necessarie misure di sicurezza, tecniche ed organizzative, a soggetti non autorizzati di risalire all’identità del segnalante, in conformità alle previsioni di legge applicabili, alle prescrizioni, ove pertinenti, contenute nelle Linee guida di A.N.A.C. (Autorità Nazionale Anticorruzione) ed alla Procedura Whistleblowing.
Tutti i dati raccolti e trattati mediante la piattaforma informatica, e relativo applicativo, per l’acquisizione e gestione delle segnalazioni verranno trasmessi e memorizzati sfruttando tecniche crittografiche. Nessuna informazione non crittografata verrà inviate sulla rete internet aperta. A seguito dell’utilizzo della piattaforma, non verranno registrati indirizzi IP, user agents e altri metadati identificativi del segnalante.
Per massima trasparenza ricordiamo che:
• se una segnalazione viene effettuata da un computer connesso alla rete della Società esiste il rischio che le pagine web visitate vengano registrate nella cronologia del browser e/o nei file di registro (log). Questo rischio può essere eliminato inviando la segnalazione da un computer che non è connesso alla rete della Società;
• ove il segnalante abbia allegato della documentazione alla propria segnalazione e l’abbia caricata nella piattaforma, questa potrebbe contenere dei metadati in grado di compromettere l’anonimato del segnalante.
Si ricorda infine che le segnalazioni possono essere effettuate anche in maniera anonima (cfr. art. 4 della Procedura Whistleblowing), ma che l’anonimato non potrà essere tutelato in caso di richiesta da parte dell’Autorità Giudiziaria o di altre Autorità aventi poteri coercitivi.
e) Destinatari dei dati personali
I dati personali non saranno diffusi. Nei limiti delle rispettive competenze e secondo quanto descritto nella Procedura Whistleblowing, con particolare riferimento ai limiti sulla conoscibilità dell’identità del segnalante e degli altri soggetti la cui identità e riservatezza devono essere tutelate ai sensi di legge, i dati personali saranno trattati in ambito aziendale dai seguenti soggetti, designati autorizzati al trattamento ex art. 29 del Regolamento sulla protezione dei dati e art.2-quaterdecies del D. Lgs. 196/2003: (i) Responsabile della Prevenzione della Corruzione e della Trasparenza (RPCT); (ii) Responsabile del procedimento disciplinare eventualmente aperto a carico del soggetto segnalato; (iii) addetti ai Sistemi Informativi; (iv) personale o organi societari il cui coinvolgimento sia necessario ai fini della gestione della segnalazione o dell’adozione dei conseguenti provvedimenti; (v) membri dell’Organismo di Vigilanza di SORIS. Inoltre, i dati potranno venire a conoscenza, sempre nel rispetto dei limiti sopra indicati (vi) di Fornitori di infrastruttura tecnologica, applicativi, servizi di gestione e manutenzione dei sistemi informativi della Società (es. fornitore della piattaforma informatica e relativo applicativo adottati da SORIS per la gestione delle segnalazioni whistleblowing); (vii) di consulenti esterni in ambito legale, fiscale o specializzati nell’ambito della segnalazione ricevuta. Gli estremi dei soggetti nominati, ove
necessario, Responsabili del trattamento ai sensi dell’art. 28 del Regolamento sulla protezione dei dati saranno comunicati dietro richiesta da inviarsi ai dati di contatto riportati al seguente par. h).
Inoltre, la segnalazione e i dati personali potranno essere trasmessi, per i profili di rispettiva competenza secondo quanto previsto dalla legge, ad A.N.A.C., all’Autorità Giudiziaria, alla Corte dei Conti ed altre eventuali autorità pubbliche coinvolte, che tratteranno i dati in qualità di Titolari autonomi.
f) Trasferimento extra UE dei dati personali
I dati personali non saranno oggetto di trasferimento verso Paesi non appartenenti all’Unione Europea.
g) Periodo di conservazione dei dati personali
I dati personali saranno trattati per il tempo strettamente necessario alla gestione della segnalazione in tutte le sue fasi, all’adozione dei provvedimenti conseguenti ed all’adempimento degli obblighi di legge connessi, e comunque non oltre 5 anni a decorrere dalla data di comunicazione dell’esito finale della Procedura Whistleblowing, nel rispetto degli obblighi di riservatezza di cui all’art. 12 del D.Lgs. 10 marzo 2023 n. 24. Dopodiché i medesimi dati verranno cancellati o resi anonimi.
h) Diritti dell’interessato
Mediante comunicazione da inviarsi tramite la piattaforma informatica per la gestione delle segnalazioni di SORIS l’interessato potrà esercitare, nei limiti di quanto previsto dalle disposizioni di legge applicabili ed in particolare, dall’art. 2-undecies del D.Lgs. 196/2003, i diritti di cui agli artt. da 15 a 22 del Regolamento sulla protezione dei dati, tra cui, in sintesi, quelli di:
- ottenere la conferma che sia o meno in corso un trattamento di dati personali che La riguardano;
- ottenere l'accesso ai suoi dati personali ed alle informazioni indicate all’art. 15 del Regolamento sulla protezione dei dati;
- ottenere la rettifica dei dati personali inesatti che La riguardano senza ingiustificato ritardo o l'integrazione dei dati personali incompleti;
- ottenere la cancellazione dei dati personali che La riguardano senza ingiustificato ritardo;
- ottenere la limitazione del trattamento dei dati personali che La riguardano;
- essere informato delle eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate in relazione ai dati personali che La riguardano;
- opporsi in qualsiasi momento, per motivi connessi alla Sua situazione particolare, al trattamento di dati personali che La riguardano ai sensi dell’articolo 6, paragrafo 1, lettere f) o f) compresa la profilazione sulla base di tali disposizioni.
- ricevere o trasmettere ad un altro titolare del trattamento in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che La riguardano.
L’elenco completo dei diritti dell’interessato è disponibile su www.garanteprivacy.it.
Si informano gli interessati che, ai sensi del citato art. 2-undecies del D.Lgs. 196/2003, i sopra menzionati diritti non potranno essere esercitati con richiesta alla Società, o con reclamo di cui al par. i) che segue, quando dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante. In tal caso, l’esercizio dei diritti sarà effettuabile conformemente alle disposizioni di legge o di Regolamento sulla protezione dei dati applicabili, anche tramite richiesta di accertamenti particolari all’Autorità Garante ai sensi dell’art. 160 del D.Lgs. 196/2003.
i) Reclamo all’Autorità Garante
Salvo quanto riportato al par. h) che precede, qualora l’interessato ritenga che il trattamento che lo
riguardi violi le disposizioni di cui al Regolamento sulla protezione dei dati, può sempre proporre reclamo all’Autorità Garante per la protezione dei dati personali in Italia (www.garanteprivacy.it), oppure all’Autorità Garante del Paese in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.
j) Responsabile delle Protezione dei Dati (RPD o DPO)
Il Responsabile della protezione dei dati (RPD o DPO) nominato dalla Società è contattabile all’indirizzo e-mail dpo@soris.torino.it.