Resa ai sensi dell’art. 13 Regolamento UE 2016/679
Vi invitiamo a leggere attentamente la presente informativa sul trattamento dei dati personali (di seguito “Informativa”) resa ai sensi dell’art. 13 del Regolamento UE 2016/679 da Vem Sistemi S.p.A., in qualità di Titolare del trattamento, con specifico riferimento ai dati personali trattati nell’ambito dell’utilizzo del portale “Whistleblowing” (di seguito anche “Portale”). Il Portale viene messo a disposizione quale canale interno per inviare segnalazioni riguardanti violazioni del diritto nazionale (quali illeciti civili, amministrativi, penali, contabili, condotte rilevanti ai sensi del D. Lgs. 231/2001 e violazioni al modello di organizzazione e gestione adottato da VEM) e della normativa europea, nelle fattispecie tipizzate dalla normativa di riferimento D. Lgs. n. 24/2023 (di seguito, complessivamente, “Segnalazioni”).
Per ogni ulteriore informazione sulle violazioni segnalabili ai sensi del D. Lgs. 24/2023, sull’utilizzo del canale interno di segnalazione predisposto da VEM tramite il Portale e sui canali esterni di segnalazione con particolare riguardo ai presupposti per effettuare Segnalazioni tramite tali canali, vi invitiamo a prendere visione dei documenti “Manuale operativo per il Whistleblower” e il “Regolamento per la gestione delle segnalazioni ricevute tramite canale interno“, disponibili online e nelle cartelle di rete.
In generale, tutti i dati personali (di seguito, anche “Dati Personali” e/o “Dati”) acquisiti nel contesto dell’utilizzo del Portale saranno trattati nel rispetto dei principi riconosciuti dalla normativa vigente in materia di protezione dei dati personali e dei criteri di riservatezza espressamente previsti dal D. Lgs. n. 24/2023.
Il titolare del trattamento è la società VEM SISTEMI S.P.A., con sede a Forlì in Via Don Sebastiano Calderoni n. 12, P.IVA 01803850401, email privacy@vem.com, che ha provveduto alla nomina del Responsabile per la Protezione dei Dati (DPO) contattabile all’indirizzo email dpoprivacy@vem.com.
VEM, nell’adottare il proprio Modello di Organizzazione e Gestione e Controllo ai sensi del D. Lgs. 231/2001 nonché in ossequio a quanto previsto dal D. Lgs. n. 24/2023, ha implementato un’apposita procedura e un proprio canale interno per l’invio di Segnalazioni riguardanti atti, comportamenti e/o omissioni che costituiscano violazioni del diritto nazionale (quali illeciti civili, amministrativi, penali, contabili, condotte rilevanti ai sensi del D. Lgs. 231/2001 e violazioni al modello di organizzazione e gestione adottato da VEM) e della normativa europea nelle fattispecie tipizzate dalla normativa di riferimento. Tale procedura prevede l’utilizzo di un apposito Portale “Whistleblowing” accessibile al link https://segnalazioni.vem.com/#/ tramite il quale il segnalante, con le garanzie di riservatezza previste, potrà comunicare ogni opportuna informazione sulle presunte condotte illecite delle quali sia venuto a conoscenza in ragione del proprio rapporto con VEM nell’ambito dei rapporti giuridici qualificati considerati dal legislatore, affinché siano sottoposte all’Organismo di Vigilanza designato dalla Società quale gestore delle Segnalazioni (di seguito “ODV”).
Tanto premesso, i Dati Personali oggetto di trattamento sono quelli di seguito indicati con riferimento alle diverse categorie di interessati potenzialmente coinvolte. In particolare, si segnala che il conferimento dei Dati contrassegnati dal simbolo asterisco (*) nei campi compilabili presenti nelle diverse sezioni della segnalazione tramite Portale è necessario al fine di concludere con successo l’invio di una segnalazione.
Dati riferibili al soggetto segnalante: al segnalante, come da campi compilabili presenti nelle diverse sezioni della segnalazione tramite Portale, sarà richiesto di indicare propri Dati Personali quali: nome, cognome, qualifica o mansione lavorativa all’epoca dei fatti segnalati e qualifica attuale, numero cellulare personale, indirizzo email personale o altro recapito, nonché ogni altra informazione o dato, anche Personale, eventualmente contenuto nei campi di segnalazione che richiedono la descrizione in fatto dell’illecito. Tramite il Portale è inoltre possibile allegare documenti e/o file multimediali, che potrebbero a loro volta contenere Dati Personali riferibili al segnalante o a terzi soggetti.
Il segnalante può, in ogni caso, decidere di inviare segnalazioni anonime, dunque, può scegliere di non indicare al momento della Segnalazione propri Dati idonei a identificarlo o renderlo identificabile. Tali Dati possono essere forniti successivamente tramite integrazioni della Segnalazione.
L’identità del segnalante è ad ogni modo sempre tutelata dal punto di vista della riservatezza: un eventuale disvelamento dell’identità della persona segnalante (nei casi previsti dalla legge all’art. 12 del D. Lgs. n. 24/2023) a persone diverse da quelle competenti a ricevere e dare seguito alle Segnalazioni (i membri dell’ODV per VEM) avvenga sempre con il consenso espresso della stessa.
Dati riferibili a soggetti terzi: il segnalante, nell’ambito della Segnalazione, potrebbe eventualmente comunicare anche Dati Personali riferibili a terzi soggetti qualora lo ritenga indispensabile, ad esempio persone a conoscenza dei fatti, facilitatori, esecutori della condotta ritenuta illecita, persone del medesimo contesto lavorativo e colleghi di lavoro. Pertanto, a discrezione del segnalante, potrebbero essere raccolti ad esempio Dati Personali di terzi quali nome, cognome, contatti di recapito, ente o azienda di appartenenza, mansione aziendale o ruolo rivestito.
Dati riferibili al gestore della segnalazione: ai componenti dell’Organismo di Vigilanza ODV, incaricati da VEM per la gestione delle Segnalazioni, sono assegnate apposite credenziali di accesso al Portale (account “amministratore della segnalazione”) per lo svolgimento delle relative attività di ricezione e seguito alle Segnalazioni.
Con riferimento a tali interessati sono trattati Dati quali: nome, cognome, indirizzo e-mail.
Dati di navigazione e cookie tecnici: visto il particolare contesto applicativo, il Portale non memorizza alcun tipo di log tecnico, né alcun dato personale dell’utente, rimuovendo l’indirizzo IP e le caratteristiche dell’user agent utilizzato per le richieste. Vengono pertanto conservate esclusivamente informazioni tecniche di servizio quali: orario, tipo e protocollo di richiesta, risorsa della richiesta, tempo e codice della risposta. Il Portale utilizza esclusivamente cookie tecnici di sessione e non utilizza alcun tipo di cookie di profilazione e/o di terze parti. La crittografia del protocollo di comunicazione implica inoltre l’impossibilità, attraverso il contenuto dei dati in transito, di associare l’indirizzo IP degli utenti segnalanti con altre informazioni utili a renderli identificabili.
Quanto alle credenziali di amministratore della segnalazione vengono raccolti log c.d. offuscati, ossia non direttamente riconducibili all’utente amministratore.
Nei limiti stabiliti dalla normativa vigente, i Dati saranno trattati da VEM per le seguenti finalità:
La base giuridica del trattamento è costituita dall’adempimento di obblighi normativi, con riferimento in particolare al D. Lgs. n. 231/2001 recante disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica e al D. Lgs. n. 24/2023 di attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali.
I Dati Personali verranno posti a conoscenza dell’Organismo di Vigilanza designato da VEM, debitamente autorizzato al trattamento e che si è impegnato alla riservatezza o ha ricevuto un adeguato obbligo legale di riservatezza. Al fine di assolvere al dovere di riservatezza previsto dal D. Lgs. n. 24/2023, il Titolare ha adottato una serie di misure specifiche, tra le quali la garanzia che il Portale e il canale di Segnalazione interno consentano l’accesso selettivo alle Segnalazioni pervenute esclusivamente al personale autorizzato. Inoltre, l’identità del segnalante e qualsiasi altra informazione dalla quale possa evincersi, direttamente o indirettamente, tale identità non saranno rivelate a persone diverse da quelle competenti a ricevere e dare seguito alla Segnalazione se non con il consenso espresso del segnalante e, nei casi previsti dalla legge, anche previa condivisione delle ragioni del disvelamento.
Il trattamento dei Dati Personali è inoltre, in parte, per quanto concerne il Portale, affidato a soggetti terzi debitamente designati Responsabili del trattamento in quanto trattano Dati per conto di VEM (ad esempio, il fornitore dell’applicativo Whistleblowing e del Portale, la società ISWEB S.p.A).
Infine, i Dati Personali verranno comunicati, ove richiesto o necessario, alle competenti Autorità in base a quanto disposto dalle leggi vigenti.
Nel caso in cui sussistano i requisiti previsti dalla normativa di riferimento e il segnalante intenda rivolgersi ai canali esterni di segnalazione ANAC o si renda necessario trasmettere la Segnalazione alle altre Autorità competenti, questi agiranno come autonomi e distinti Titolari del trattamento e, pertanto, si invita a fare riferimento alle procedure e alle informative privacy messe a disposizione da questi.
I dati non saranno oggetto di diffusione e non è prevista la loro trasmissione in paesi diversi da quelli dell’Unione Europea o dallo Spazio Economico Europeo.
I Dati Personali trattati per la Gestione delle Segnalazioni saranno conservati per il termine definito per l’obbligo di riscontro da parte dell’ODV e per i successivi cinque (5) anni.
I Dati Personali trattati per la finalità di Obblighi di legge saranno conservati da VEM per il periodo previsto dalla norma cogente applicabile.
L’interessato potrà chiedere, nei limiti di quanto previsto dagli articoli 15 – 22 del Regolamento, di accedere ai Dati e al trattamento e, nei casi previsti, di rettificare e cancellare i Dati, chiederne la portabilità presso altro titolare nonché la limitazione del trattamento od opporsi allo stesso. Nei casi in cui, dietro espressa richiesta del Titolare, l’interessato presti il consenso alla rivelazione della sua identità a persone diverse da quelle competenti a ricevere e dare seguito alle Segnalazioni (i membri dell’ODV per VEM), potrà revocare in ogni momento tale consenso, a patto che il Titolare non abbia già provveduto a rendere nota la sua identità sulla base del consenso previamente e legittimamente prestato.
Si segnala che, in considerazione della natura intrinseca dei dati trattati e delle finalità del trattamento, in caso di ricezione di istanze di esercizio dei diritti VEM terrà conto di quanto previsto dall’art. 2 undecies Codice Privacy rubricato “Limitazioni ai diritti dell’interessato” che, alla lettera f), prevede che i diritti riconosciuti dal Regolamento non possono essere esercitati qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del dipendente che segnala l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio.
Ove VEM si avvalga di tale limitazione verrà comunicato senza ritardo e per iscritto all’Interessato. In tali casi, i diritti dell’interessato, ai sensi dell’art. 2 undecies, comma 3, Codice Privacy, possono essere esercitati anche tramite il Garante per la protezione dei dati personali con le modalità di cui all’art. 160 del Codice Privacy.
Per l’esercizio di tali diritti l’interessato può rivolgersi al Responsabile della Protezione dei Dati, scrivendo all’indirizzo dpoprivacy@vem.com. L’interessato ha inoltre diritto di proporre reclamo all’autorità di controllo dello Stato dell’UE in cui risiede, in cui lavora o in cui è avvenuta la violazione che, per l’Italia, è il Garante per la protezione dei dati personali (per proporre il reclamo dinanzi il Garante potrà seguire le istruzioni reperibili al seguente link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4535524).
Per maggiori informazioni, si invita a consultare la sezione del sito web del Garante “I miei diritti” www.gpdp.it/i-miei-diritti, dove è possibile conoscere i diritti riconosciuti alle persone in materia di protezione dei dati, scoprire le tutele previste dalla normativa vigente e come attivarle.
Azienda con Sistema di gestione per la sicurezza delle informazioni certificato secondo la norma UNI CEI EN ISO/IEC 27001:2017
Azienda con Sistema di gestione per la qualità certificato UNI EN ISO 9001:2015