Whistleblowing

La presente informativa viene resa dalla società Liu Jo S.p.a. rispetto ai trattamenti dei dati personali degli interessati (intendendosi per interessati il segnalante, il segnalato e qualsiasi altra persona fisica coinvolta nella segnalazione) nell’ambito della gestione delle segnalazioni di presunte condotte illecite delle quali sia venuto a conoscenza in ragione del proprio rapporto di lavoro, servizio o fornitura/consulenza con il Titolare (cd. segnalazioni di whistleblowing, di seguito solo “Segnalazioni”), pervenute attraverso i canali previsti dalla Procedura di whistleblowing adottata dalla Società (“Procedura”).

INFORMATIVA IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI AI SENSI DEGLI ARTICOLI 13 E 14 DEL REGOLAMENTO (UE) 2016/679 IN RELAZIONE ALLE SEGNALAZIONI DI “WHISTLEBLOWING”

La presente informativa viene resa dalla società Liu Jo S.p.a. rispetto ai trattamenti dei dati personali degli interessati (intendendosi per interessati il segnalante, il segnalato e qualsiasi altra persona fisica coinvolta nella segnalazione) nell’ambito della gestione delle segnalazioni di presunte condotte illecite delle quali sia venuto a conoscenza in ragione del proprio rapporto di lavoro, servizio o fornitura/consulenza con il Titolare (cd. segnalazioni di whistleblowing, di seguito solo “Segnalazioni”), pervenute attraverso i canali previsti dalla Procedura di whistleblowing adottata dalla Società (“Procedura”). 

1. Titolare del trattamento e Responsabile della protezione dei dati

Liu Jo S.p.a., Viale J.A. Fleming n. 17, Carpi (MO) (di seguito “Liu Jo” o il “Titolare”), raggiungibile all’indirizzo e-mail: privacyconsumer@liujo.it . Il Titolare ha nominato il Responsabile della protezione dei dati personali (“DPO”), che è a disposizione per tutte le questioni relative al trattamento dei Suoi dati personali e all’esercizio dei diritti derivanti dalla normativa in materia di protezione dei dati ed è contattabile, oltre che all’indirizzo fisico presso la sede legale, anche via e-mail all’indirizzo: dpo@liujo.it.

2. Tipologia di dati trattati

I dati personali raccolti e trattati dal Titolare nell’ambito della ricezione e della gestione delle Segnalazioni pervenute attraverso i canali previsti dalla Procedura di whistleblowing adottata dalla Società sono quelli contenuti nella Segnalazione nonché quelli acquisiti nel corso delle relative attività istruttorie. Tali dati possono appartenere alle seguenti categorie: 

  • dati personali comuni (ad es. le generalità di chi effettua la segnalazione, con indicazione della qualifica o posizione professionale; la chiara e completa descrizione dei fatti oggetto di segnalazione e delle modalità con le quali se ne è avuta conoscenza; la data e il luogo ove si è verificato il fatto; il nominativo e il ruolo – qualifica, posizione professionale o servizio in cui svolge l’attività – che consentono di identificare il soggetto/i che ha/hanno posto/i in essere i fatti segnalati; l’indicazione dei nomi e ruoli di eventuali altri soggetti che possono riferire sui fatti oggetto di segnalazione; informazioni relative ad eventuali documenti che possono confermare la fondatezza dei fatti riportati; lo stato di avanzamento della Sua segnalazione e ogni altra informazione contenuta nelle segnalazioni o fornita nell’ambito dell’utilizzo del tool di messaggistica integrato nella Piattaforma riferibili al segnalante, ai segnalati e a eventuali altri soggetti terzi coinvolti in base alla procedura aziendale (di seguito, complessivamente, “soggetti interessati”). 
  • dati personali appartenenti alle categorie cc.dd. “particolari” ex art. 9, par. 1 del Regolamento (“l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”) riferibili ai soggetti interessati eventualmente forniti dal segnalante. 
  • dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza contenuti e/o che emergono nell’ambito della segnalazione ex art. 10 del Regolamento. 

Tutti i dati personali sopra indicati saranno di seguito definiti congiuntamente come “dati personali”. Si precisa, inoltre, che, nel rispetto delle leggi applicabili, il Titolare potrà trattare dati personali, anche riferibili a soggetti terzi, che risultino già rientranti nella disponibilità del Titolare stesso.

3. Finalità del trattamento, base giuridica e natura del conferimento

I dati personali forniti per segnalare presunte condotte illecite delle quali sia venuto a conoscenza in ragione del proprio rapporto di lavoro, servizio o fornitura/consulenza con il Titolare, secondo quanto previsto dalla Procedura adottata, verranno raccolti e trattati dal Titolare medesimo per consentire all’Organismo di Vigilanza (“OdV”) della Società di espletare le proprie funzioni in conformità alla Procedura ed effettuare le necessarie attività istruttorie e strumentali a verificare la fondatezza del fatto oggetto della Segnalazione e, se del caso, l’adozione delle conseguenti misure correttive e intraprendere le opportune azioni disciplinari e/o giudiziarie nei confronti dei responsabili delle condotte illecite (“Finalità di gestione della Segnalazione”). La base giuridica per il trattamento dei dati di cui sopra è da individuare:

 

  • per i dati personali comuni il trattamento per la finalità di cui sopra è necessario per adempiere a un obbligo di legge cui è soggetto il Titolare, ai sensi dell’art. 6, par. 1, lett. c) del Regolamento, tenuto conto del D.lgs. 10 marzo 2023, n. 24, recante “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali; 
  • per i dati personali appartenenti alle categorie cc.dd. “particolari”, tale trattamento è legittimo ai sensi dell’art. 9, par. 2, lett. b) del Regolamento. In ogni caso, il segnalante è invitato a non conferire dati personali appartenenti alle categorie cc.dd. “particolari” ex art. 9, par. 1 del Regolamento ove ciò non risulti strettamente necessario. 

L’eventuale trattamento di dati personali relativi a potenziali reati o condanne oggetto di segnalazione è effettuato in base alle disposizioni dall’art. 10 del GDPR in quanto autorizzato dalle normative specifiche in materia di whistleblowing, oltre che per la tutela o difesa di diritti in sede giudiziaria [v. art. 2-octies co. 3 lett. e) del D.lgs. n. 196/2003 – cd. “Codice privacy”]. Il conferimento dei dati personali per tale finalità – ad esclusione dei riferimenti al nome e cognome, essendo prevista la possibilità di effettuare segnalazioni anonime laddove adeguatamente circostanziate, dettagliate e fondate su elementi di fatto precisi e concordanti (e non di contenuto generico o confuso), in modo da permetterne la valutazione e gli accertamenti del caso – è obbligatorio per cui in caso di mancato conferimento degli stessi non sarà e possibile prendere in carico e gestire la Segnalazione. Nel caso in cui il segnalante volesse comunque procedere con una segnalazione anonima, quest’ultima verrà gestita esclusivamente. 

Una volta conferiti, i Suoi dati personali potrebbero essere trattati anche per:

  • assolvere eventuali altri obblighi stabiliti dalla legge, dai regolamenti e dalla normativa europea nonché da disposizioni impartite dalle autorità giurisdizionali nell’esercizio delle loro funzioni sulla base dell’art. 6, par. 1, lett. c) del Regolamento e, con riguardo ai dati personali appartenenti alle categorie particolari, 9, par. 2, lett. g) del Regolamento (“Finalità di compliance”); 
  • per soddisfare eventuali esigenze di carattere difensivo sulla base degli artt. 6, par. 1, lett. f) e 9, par. 2, lett. f) del Regolamento (“Finalità difensive”). 

4. Soggetti destinatari dei dati personali

I dati personali contenuti nelle Segnalazioni pervenute al Titolare non saranno comunicati a terzi né diffusi, se non nei limiti di quanto previsto dal diritto nazionale e dell’Unione europea e in conformità alla procedura adottata dal Titolare; in particolare, i Suoi dati potranno essere condivisi, nel rispetto di quanto previsto dalla normativa in materia di trattamento dei dati personali, con i seguenti soggetti:

  • personale specificamente individuato, autorizzato al trattamento dei dati personali e debitamente istruito ai sensi degli artt. 29 del Regolamento e 2-quaterdecies del D. Lgs. 196/2003 (“Codice Privacy”) nonché del Codice e/o delle procedure operative che compongono il Modello di Organizzazione, Gestione e Controllo (nello specifico l’Organismo di Vigilanza del Titolare quale soggetto preposto alla ricezione e all’esame delle segnalazioni); 
  • soggetti esterni alla realtà aziendale del Titolare che agiscono in qualità di responsabili del trattamento ai sensi dell’art. 28 del Regolamento (il fornitore della piattaforma informatica di gestione delle violazioni); 
  • enti e autorità pubbliche e/o private, in qualità di autonomi titolari, a cui sia obbligatorio comunicare i dati personali in forza di disposizioni di legge o di ordini delle autorità, in particolar modo in relazione alle attività istruttorie relative a fatti segnalati sui quali sia nota l’esistenza di indagini in corso da parte di pubbliche Autorità. 

L’elenco completo ed aggiornato dei destinatari dei dati potrà essere richiesto al Titolare e/o al DPO, ai recapiti sopra indicati.
Sarà in ogni caso garantita la massima riservatezza della Sua identità, quale soggetto segnalante, in conformità alle procedure aziendali. In particolare, nel caso di trasmissione della segnalazione ad altre strutture/organi/terzi per lo svolgimento delle attività istruttorie, verrà privilegiato l’inoltro del solo contenuto della segnalazione, espungendo tutti i riferimenti dai quali sia possibile risalire, anche indirettamente, all’identità del segnalante. Qualora, ai fini istruttori, fosse necessario rilevare l’identità del segnalante a soggetti diversi da quelli autorizzati a ricevere e a dare seguito alle segnalazioni, verrà espressamente richiesto il consenso del soggetto segnalante alla rivelazione della sua identità.
Nell’ambito dei procedimenti disciplinari, l’identità del segnalante non sarà rivelata in tutti i casi in cui la contestazione dell’addebito disciplinare si fondi su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa, mentre potrà essere rivelata laddove concorrano, insieme, tre presupposti, ovverosia (a) che la contestazione si fondi, in tutto o in parte, sulla segnalazione, (b) che la conoscenza dell’identità del segnalante sia indispensabile per la difesa dell’incolpato e che (c) il segnalante abbia espresso un apposito consenso alla rivelazione della propria identità.
 

5. Modalità del trattamento

I dati saranno trattati con strumenti prevalentemente informatizzati, con logiche di organizzazione ed elaborazione strettamente correlate alle finalità sopra indicate e comunque in modo da garantire la sicurezza, l’integrità e la riservatezza dei dati stessi nel rispetto delle misure organizzative, fisiche e logiche previste dalle disposizioni vigenti. I canali dedicati e utilizzati per l’invio delle Segnalazioni ai sensi della procedura interna adottata dal Titolare offrono una elevata garanzia di riservatezza delle informazioni tramite l’utilizzo di tecnologie di criptazione dei dati che transitano sui server. Il Titolare attua idonee misure per garantire che i dati forniti vengano trattati in modo adeguato e conforme alle finalità per cui vengono gestiti; il Titolare impiega idonee misure di sicurezza, organizzative, tecniche e fisiche, per tutelare le informazioni dall’alterazione, dalla distruzione, dalla perdita, dal furto o dall’utilizzo improprio o illegittimo. I dati personali che manifestamente non sono utili al trattamento di una specifica Segnalazione non sono raccolti o, se raccolti accidentalmente, sono prontamente cancellati. 

6. Periodo di conservazione dei dati personali

I dati personali saranno conservati solo per il tempo strettamente necessario ai fini per cui sono raccolti, rispettando il principio di minimizzazione e il principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. c) ed e) del Regolamento. In particolare, i dati personali contenuti nella Segnalazione e nella relativa documentazione a corredo sono conservati in una forma che consenta l’identificazione degli interessati per il tempo necessario al trattamento della specifica Segnalazione e comunque non oltre cinque (5) anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione. Il Titolare si riserva, tuttavia, di conservare i predetti dati personali anche per tutto il tempo necessario per l’adempimento di obblighi normativi e per soddisfare eventuali esigenze difensive. Resta inteso che nel caso in cui sia instaurato un giudizio, i termini sopra indicati potranno essere prolungati fino alla conclusione del giudizio medesimo e ai conseguenti termini di prescrizione dei diritti. Trascorsi i tempi sopra indicati, le segnalazioni e l’eventuale documentazione a corredo saranno cancellate e/o anonimizzate. 
Maggiori informazioni sono disponibili presso il Titolare e il DPO ai recapiti sopra indicati. 

7. Trasferimento extra UE dei dati personali

La informiamo, altresì, che i Suoi dati personali saranno trattati dal Titolare all’interno del territorio dell’Unione europea. Qualora per questioni di natura tecnica e/o operativa si renda necessario avvalersi di soggetti ubicati al di fuori dell’Unione europea oppure si renda necessario trasferire alcuni dei dati raccolti verso sistemi tecnici e servizi gestiti in cloud e localizzati al di fuori dell’area dell’Unione europea, il trattamento sarà regolato in conformità a quanto previsto dal capo V del Regolamento e autorizzato in base a specifiche decisioni dell’Unione europea. Il Titolare assicura che il trattamento dei Suoi dati personali da parte di questi destinatari avviene nel rispetto del GDPR. In particolare, i trasferimenti si baseranno su una decisione di adeguatezza della Commissione Europea, oppure sull’adesione del soggetto destinatario dei dati a meccanismi di certificazione per il trasferimento dei dati (es. Data Privacy Framework) ovvero sulle Clausole Contrattuali Tipo approvate dalla Commissione Europea o su un’altra idonea base giuridica, nel rispetto delle raccomandazioni 01/2020 adottate il 10 novembre 2020 dallo European Data Protection Board. È possibile avere maggiori informazioni, su richiesta, presso il Titolare e/o il DPO ai contatti sopraindicati. 

8. I Suoi diritti privacy

 
Lei ha il diritto di accedere in qualunque momento ai dati che La riguardano, ai sensi degli artt. 15-22 del Regolamento. In particolare, potrà chiedere la rettifica, la cancellazione, la limitazione del trattamento dei dati nei casi previsti dall’art. 18 del Regolamento, la revoca del consenso prestato ex art. 7 del Regolamento, di ottenere la portabilità dei dati nei casi previsti dall’art. 20 del Regolamento. Lei può formulare una richiesta di opposizione al trattamento dei Suoi dati ex art. 21 del Regolamento nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare la Sua istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui Suoi interessi, diritti e libertà. Lei ha anche diritto di proporre reclamo all’autorità di controllo competente ex art. 77 del Regolamento (Garante per la protezione dei dati personali) ovvero di adire le opportune sedi giudiziarie ai sensi dell’art. 79 del Regolamento. Le richieste vanno rivolte per iscritto al Titolare ovvero al DPO ai recapiti sopraindicati. Si prega di considerare che, al fine di proteggere la riservatezza dell’identità del soggetto che effettua la segnalazione, potrà essere preclusa la possibilità di esercitare i diritti previsti dagli artt. da 15 a 22 del Regolamento, qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante, ai sensi dell’art. 23, par. 1, lett. i) del Regolamento e dell’art. 2-undecies, co. 1, lett. f) del Codice Privacy. Si informa, altresì, che il segnalato potrà esercitare i suoi diritti di cui agli artt. da 15 a 22 del Regolamento per il tramite dell’Autorità Garante, con le modalità di cui all’art. 160 del Codice Privacy. In tale ipotesi, l’Autorità Garante informerà l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame nonché del diritto dell’interessato di proporre ricorso giurisdizionale.