Page 24 - Procedura Whistleblowing
P. 24
Segnalazione di sospetti-whistleblowing
21 Data protection
Il trattamento dei dati personali nella gestione del canale di segnalazione interno e delle Segnalazioni ricevute deve essere
effettuato a norma del GDPR e del Codice Privacy.
La Società ha definito il proprio modello di ricevimento e gestione delle Segnalazioni interne, individuando misure tecniche
e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati,
sulla base di una valutazione di impatto sulla protezione dei dati, ai sensi dell’art. 35 del GDPR.
Il rapporto con fornitori esterni che trattano dati personali per conto della Società è disciplinato tramite un accordo sul
trattamento dei dati, ai sensi dell’art. 28 del GDPR che definisce la durata, la natura e la finalità del trattamento, il tipo di
dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, in conformità a quanto
previsto dall’art. 28 del GDPR.
Le persone competenti a ricevere o a dare seguito alle Segnalazioni ai sensi della presente Procedura devono essere
autorizzate a trattare i dati personali relativi alle Segnalazioni ai sensi degli artt. 29 e 32 del GDPR e dell’art. 2-quaterdecies
del Codice Privacy.
Ai Segnalanti e alle Persone Coinvolte devono essere fornite idonee informazioni ai sensi degli artt. 13 e 14 del GDPR.
Con riferimento all’esercizio dei diritti e delle libertà dell’interessato, nel caso in cui lo stesso sia la Persona Coinvolta, i
diritti di cui agli articoli da 15 a 22 del GDPR non potranno essere esercitati (con richiesta al Titolare ovvero con reclamo ai
sensi dell'articolo 77 del GDPR) qualora ne possa derivare un pregiudizio effettivo e concreto alla riservatezza dell'identità
del Segnalante (v. articolo 2-undecies del Privacy e articolo 23 del GDPR) e/o al perseguimento degli obiettivi di conformità
alla normativa in materia di segnalazione di condotte illecite.
L'esercizio dei diritti da parte della Persona Coinvolta (incluso il diritto di accesso) potrà essere esperito, pertanto, nei
limiti in cui la legge applicabile lo consente e successivamente ad un’analisi da parte degli organismi preposti, al fine di
contemperare l’esigenza di tutela dei diritti degli individui con la necessità di contrasto e prevenzione delle violazioni delle
regole di buona gestione societaria ovvero delle normative applicabili in materia.
I dati personali che manifestamente non sono utili al trattamento di una specifica Segnalazione non sono raccolti o, se
raccolti, devono essere cancellati immediatamente.
PROCEDURA WHISTLEBLOWING Pagina 24 doif 2255
21 Data protection
Il trattamento dei dati personali nella gestione del canale di segnalazione interno e delle Segnalazioni ricevute deve essere
effettuato a norma del GDPR e del Codice Privacy.
La Società ha definito il proprio modello di ricevimento e gestione delle Segnalazioni interne, individuando misure tecniche
e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati,
sulla base di una valutazione di impatto sulla protezione dei dati, ai sensi dell’art. 35 del GDPR.
Il rapporto con fornitori esterni che trattano dati personali per conto della Società è disciplinato tramite un accordo sul
trattamento dei dati, ai sensi dell’art. 28 del GDPR che definisce la durata, la natura e la finalità del trattamento, il tipo di
dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, in conformità a quanto
previsto dall’art. 28 del GDPR.
Le persone competenti a ricevere o a dare seguito alle Segnalazioni ai sensi della presente Procedura devono essere
autorizzate a trattare i dati personali relativi alle Segnalazioni ai sensi degli artt. 29 e 32 del GDPR e dell’art. 2-quaterdecies
del Codice Privacy.
Ai Segnalanti e alle Persone Coinvolte devono essere fornite idonee informazioni ai sensi degli artt. 13 e 14 del GDPR.
Con riferimento all’esercizio dei diritti e delle libertà dell’interessato, nel caso in cui lo stesso sia la Persona Coinvolta, i
diritti di cui agli articoli da 15 a 22 del GDPR non potranno essere esercitati (con richiesta al Titolare ovvero con reclamo ai
sensi dell'articolo 77 del GDPR) qualora ne possa derivare un pregiudizio effettivo e concreto alla riservatezza dell'identità
del Segnalante (v. articolo 2-undecies del Privacy e articolo 23 del GDPR) e/o al perseguimento degli obiettivi di conformità
alla normativa in materia di segnalazione di condotte illecite.
L'esercizio dei diritti da parte della Persona Coinvolta (incluso il diritto di accesso) potrà essere esperito, pertanto, nei
limiti in cui la legge applicabile lo consente e successivamente ad un’analisi da parte degli organismi preposti, al fine di
contemperare l’esigenza di tutela dei diritti degli individui con la necessità di contrasto e prevenzione delle violazioni delle
regole di buona gestione societaria ovvero delle normative applicabili in materia.
I dati personali che manifestamente non sono utili al trattamento di una specifica Segnalazione non sono raccolti o, se
raccolti, devono essere cancellati immediatamente.
PROCEDURA WHISTLEBLOWING Pagina 24 doif 2255