INFORMATIVA SUL TRATTAMENTO E PROTEZIONE DEI DATI PERSONALI

Le seguenti informazioni mirano a fornirLe una panoramica sull’utilizzo dei Suoi dati personali da parte di Opera San Francesco per i Poveri Odv con sede in Corso Concordia, 3 20129 Milano, titolare del trattamento dei dati. Nel contempo provvediamo a fornirle una descrizione dei diritti connessi alle segnalazioni di illeciti (qui di seguito indicate con il termine “Whistleblowing”) in relazione a quanto prevede il D.lgs. 24/2023 che riguarda la protezione delle persone che segnalano violazioni del diritto dell’Unione Europea e che contiene disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Queste informazioni riguardano il trattamento dei dati personali dei segnalanti, dei segnalati dei testimoni o di ogni altro soggetto che è interessato ad una segnalazione e sono rese ai sensi del Regolamento Generale sulla Protezione dei Dati Personali – Regolamento (UE) 2016/679 (di seguito anche GDPR) e del D.Lgs. 2003/196 (di seguito anche Codice Privacy) così come modificato dal D.Lgs. 2018/101.

1. FINALITA’ E BASE GIURIDICA DEL TRATTAMENTO

Opera San Francesco tratta i Suoi dati personali al fine di gestire il procedimento di Whistleblowing, secondo quanto previsto dalla Legge 30 novembre 2017, n. 179 recante “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”.

Le informazioni personali che La riguardano saranno trattate al fine di assicurare:

1) la corretta e completa gestione del procedimento di Whistleblowing in conformità alla vigente normativa in materia whistleblowing;

2) le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto di segnalazione e l’adozione dei conseguenti provvedimenti;

3) la tutela in giudizio di un diritto;

4) la risposta ad una richiesta dell’Autorità giudiziaria o Autorità alla stessa assimilata.

Queste finalità determinano la base giuridica che legittima il trattamento dei Suoi dati personali in relazione agli obblighi di legge cui è soggetta Opera San Francesco per gestire correttamente le segnalazioni nel rispetto delle norme vigenti oltre che delle proprie regole interne.

2. CATEGORIE DI DATI TRATTATI

Opera San Francesco raccoglie e/o riceve le informazioni da Lei fornite attraverso l’inserimento delle stesse sull’apposito canale Whistleblowing presente sul sito aziendale.

Le informazioni raccolte riguardano:

1. dati anagrafici del segnalante (nome, cognome), salve le segnalazioni anonime;

2. dati anagrafici del/i segnalato/i (nome, cognome).

Le categorie particolari di dati personali (cioè, dati sull’origine razziale o etnica, sulle opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale e dati riguardanti la salute o la vita sessuale), se non rilevanti per la fattispecie di segnalazione, dovrebbero essere escluse. In ogni caso, Opera San Francesco tratterà questi dati esclusivamente per finalità strettamente connesse e strumentali alla verifica dell’autenticità delle segnalazioni di irregolarità ovvero al fine di adempiere a specifici obblighi di legge (connessi agli scopi della segnalazione).

I dati personali relativi a condanne penali e reati o relative misure di sicurezza, se non rilevanti per la fattispecie di segnalazione non vengono raccolti su iniziativa del Titolare, ma qualora dovessero essere forniti in ogni caso, Opera San Francesco tratterà questi dati esclusivamente per finalità strettamente connesse e strumentali alla verifica dell’autenticità delle segnalazioni di irregolarità o al fine di adempiere a specifici obblighi di legge (connessi agli scopi della segnalazione).

3. DESTINATARI O CATEGORIE DI DESTINATARI DEI DATI PERSONALI

La comunicazione dei dati personali raccolti avviene principalmente nei confronti di terzi e/o destinatari la cui attività è necessaria per l’espletamento delle attività inerenti alla gestione della segnalazione, nonché per rispondere a determinati obblighi di legge.

In particolare, la trasmissione potrà avvenire nei confronti di:

a) responsabile Whistleblowing individuato dal Titolare;

b) società incaricata per la gestione della piattaforma, nella sua qualità di Responsabile Esterno ai sensi e per gli effetti di cui all’art. 28 GDPR;

c) consulenti esterni (per es. studi legali) eventualmente coinvolti nella fase istruttoria della segnalazione;

d) funzioni aziendali coinvolte nell’attività di ricezione, esame e valutazione delle segnalazioni;

e) responsabile/i della/e funzione/i interessata/e dalla segnalazione;

f) posizioni organizzative incaricate di svolgere accertamenti sulla segnalazione nei casi in cui la loro conoscenza sia indispensabile per la comprensione dei fatti segnalati e/o per la conduzione delle relative attività di istruzione e/o trattazione;

g) istituzioni e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia, Agenzie investigative;

h) organismo di vigilanza.

I Suoi dati personali non saranno in alcun modo diffusi o divulgati verso soggetti diversi da quelli sopra individuati.

4. MODALITÀ’ DI TRATTAMENTO DEI DATI

Il trattamento dei dati personali avviene mediante strumenti manuali, informatici e telematici con logiche strettamente collegate alle finalità stesse e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi.

5. DIRITTI DEGLI INTERESSATI

Compatibilmente con le finalità ed i limiti stabiliti per il trattamento dei dati personali che La riguardano, i diritti che Le sono riconosciuti per consentirLe di avere sempre il controllo sui Suoi dati sono:

1. accesso;

2. rettifica;

3. cancellazione;

4. limitazione del trattamento;

5. opposizione al trattamento;

6. portabilità.

I Suoi diritti sono garantiti senza oneri e formalità particolari per la richiesta del loro esercizio che si intende essenzialmente a titolo gratuito.

Lei ha diritto:

1. ad ottenere una copia, anche in formato elettronico, dei dati di cui ha chiesto l’accesso.

2. ad ottenere la cancellazione degli stessi o la limitazione del trattamento o anche l’aggiornamento e la rettifica dei Suoi dati personali e che alla Sua richiesta si adeguino anche i terzi/destinatari nell’eventualità ricevano i Suoi dati, a meno che non prevalgano motivi legittimi superiori rispetto a quelli che hanno determinato la Sua richiesta;

3. ad ottenere ogni comunicazione utile in merito alle attività svolta a seguito dell’esercizio dei Suoi diritti senza ritardo e comunque, entro un mese dalla Sua richiesta, salvo proroga, motivata, fino a due mesi che ti dovrà essere debitamente comunicata.

Nel rispetto delle norme vigenti (in particolare l’articolo 2-undecies del Codice Privacy in attuazione dell’articolo 23 del GDPR), si informa che i summenzionati diritti non possono essere esercitati da parte dei soggetti interessati (con richiesta al Titolare ovvero con reclamo ai sensi dell’articolo 77 del GDPR) qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante.

In particolare, l’esercizio di tali diritti:

1. sarà effettuabile conformemente alle disposizioni di legge o di regolamento che regolano il settore (tra cui il D.lgs. 231/2001 come modificato dalla L. n. 179/2017);

2. potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare la riservatezza dell’identità del segnalante;

3. in tali casi, i diritti dell’interessato possono essere esercitati anche tramite il Garante con le modalità di cui all’articolo 160 del Codice Privacy, nel qual caso il Garante informa l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale.

4. È infine Suo diritto presentare reclamo al Garante per la protezione dei dati personali nelle forme e nei modi previsti dalla normativa vigente.

6. PERIODO DI CONSERVAZIONE DEI DATI E DIRITTO ALLA CANCELLAZIONE

Opera San Francesco tratta e conserva i Suoi dati personali per un periodo di tempo non superiore a quello necessario per conseguire le finalità per le quali sono raccolti o successivamente trattati.

I dati personali trattati nell’ambito di una procedura di segnalazione interna devono essere cancellati senza ritardo e normalmente entro cinque anni dal completamento della verifica dei fatti esposti nella denuncia.

Al termine del periodo di conservazione applicabile, i dati personali riferibili all’interessato verranno cancellati o conservati in una forma che non consenta la Sua identificazione (es. anonimizzazione irreversibile), a meno che il loro ulteriore trattamento sia necessario per uno o più dei seguenti scopi: i) risoluzione di precontenziosi e/o contenziosi avviati prima della scadenza del periodo di conservazione; ii) per dare seguito ad indagini/ispezioni da parte di funzioni di controllo interno e/o autorità esterne avviati prima della scadenza del periodo di conservazione; iii) per dare seguito a richieste della pubblica autorità italiana e/o

estera pervenute/notificate a Opera San Francesco prima della scadenza del periodo di conservazione.

In caso di applicazione di una o più delle suddette ipotesi di sospensione del processo di cancellazione/anonimizzazione irreversibile dei dati personali, resta fermo il diritto del Titolare di limitare l’accesso al dato identificativo del segnalante, ai sensi e per gli effetti di cui all’art. 2-undecies, primo comma lett. f) del D.Lgs. 2003/196, così come modificato dal D.Lgs. 2018/101.

7. MODALITA’ DI ESERCIZIO DEI DIRITTI

Per esercitare i diritti descritti nel paragrafo 5), può contattare Opera San Francesco all’indirizzo e-mail privacy@operasanfrancesco.it o in alternativa il Responsabile per la protezione (DPO) è contattabile scrivendo all’indirizzo e-mail dpo@operasanfrancesco.it. Per informazioni inerenti i dati personali relativi alla segnalazione può anche scrivere al gestore della segnalazione all’indirizzo whistleblowing@operasanfrancesco.it.

Il termine per la risposta è un (1) mese, prorogabile di due (2) mesi in casi di particolare complessità; in questi casi, Opera San Francesco fornisce almeno una comunicazione interlocutoria entro un (1) mese dal ricevimento della richiesta.

8. TITOLARE E RESPONSABILE DELLA PROTEZIONE DEI DATI

Il Titolare del trattamento dei dati è Opera San Francesco per i Poveri Odv con sede in Corso Concordia, 3 20129 Milano. Il Titolare è contattabile all’indirizzo email privacy@operasanfrancesco.it.