Informativa sul trattamento dei dati personali delle segnalazioni whistleblowing ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 e della normativa nazionale in materia di protezione dei dati personali per segnalazioni di violazioni di norme nazionali ed europee (c.d. whistleblowing)

1. Titolare del trattamento e DPO e dati di contatto

Il Titolare del trattamento dei dati è la società Zenith Services Group S.p.A., con sede legale in Milano, via Giuseppe Mengoni n.4 – CAP 20121 – P.IVA/CF: 10902830966, i cui dati di contatto sono:  +39 090 6374022 – privacy@zenithspa.it - PEC: zenithservicesgroupspa@pec.it.

Il Titolare ha designato un Responsabile della Protezione dei Dati (c.d. DPO Data Protection Officer)  contattabile al seguente indirizzo e-mail: rpd@zenithspa.it.

2. Ambito e soggetti interessati

In conformità al D.lgs 24/2023 (c.d. whistleblowing), nel contesto dei canali istituiti nel rispetto della normativa al fine di permettere la segnalazione di illeciti e violazioni di norme nazionali e comunitarie, del Codice Etico e del Modello di Organizzazione, Gestione e Controllo adottati, che ledono l'interesse pubblico o l'integrità della Zenith Services Group S.p.A., nonché per dare corso al processo di gestione di tali segnalazioni, il Titolare può trattare i dati personali dei soggetti che segnalano le suddette violazioni, dei soggetti segnalati indicati come presunti responsabili, dei soggetti implicati nelle violazioni (anche come testimoni), dei soggetti al corrente dei fatti o comunque menzionati nella segnalazione ed dei facilitatori, ovvero di tutti i soggetti coinvolti cui si applicano le tutele previste dal D.lgs. 24/2023.

3. Categorie di dati personali oggetto di trattamento e fonte di origine dei dati

Le attività di trattamento potranno includere dati comuni, quali anagrafici, di contatto, dati attinenti  l’attività lavorativa dell’interessato, come anche categorie particolari di dati di cui all’art.9 del Regolamento, quali quelli relativi alla salute, all’appartenenza sindacale, dati idonei a rivelare origine razziale, opinioni politiche, convinzioni religiose o filosofiche dell’interessato; potrebbero essere trattati anche i dati personali relativi a condanne penali e/o reati di cui all’art.10 del Regolamento.

In merito all’utilizzo della piattaforma software https://zenithservicesgroupspa.segnalazioni.net/  si rappresenta che verranno gestite le seguenti categorie di dati:

• l’informazione sul fatto che Lei ha utilizzato il nostro sistema WBS al fine di inviare una segnalazione,
• dati relativi alle condotte segnalate, attribuite al segnalato, nelle quali l’interessato potrebbe essere coinvolto o delle quali potrebbe essere a conoscenza;
• immagini e/o documenti a supporto del comportamento segnalato, quali ad es. documenti di lavoro, registri presenze e/o prestazioni, resoconti, spese di viaggio, fatture e documenti simili, che contengano eventualmente anche dati personali, allegati alla segnalazione o che vengano richiesti per chiarire i fatti segnalati,
• informazioni relative al comportamento durante l’utilizzo di sistemi di comunicazione del Titolare, come metadati, dati di accesso o anche il contenuto di e-mail aziendali, qualora vengano richieste per chiarire le circostanze segnalate;
• contenuti delle comunicazioni scambiate tra il segnalante e i soggetti/soggetto che gestiscono la segnalazione.

I dati personali sono raccolti direttamente dal segnalante, contenuti nella segnalazione e nella documentazione allegata o raccolti nel corso del procedimento di gestione della segnalazione.

I dati personali dei soggetti diversi dal segnalante sono solitamente forniti dal segnalante tramite la segnalazione oppure dagli altri soggetti interessati (qualora questi siano sentiti durante l’indagine).

4. Finalità del trattamento

Il Titolare può trattare i dati personali per le seguenti finalità:

1. L’adempimento agli obblighi di legge e/o regolamentari in materia di whistleblowing, quindi la gestione della segnalazione in tutte le sue fasi, inclusa quella di accertamento dei fatti oggetto di segnalazione e l’adozione di eventuali conseguenti provvedimenti.
2. L’eventuale difesa o accertamento di un proprio diritto in sede giudiziale.

5. Base giuridica

Le attività di trattamento relative alle finalità a)  sono svolte in base ad un obbligo legale a cui il Titolare è soggetto in applicazione dell’art.6, par.1, lett.c) del Regolamento, ai sensi della normativa applicabile in materia di whistleblowing. Nel caso in cui nell’ambito della segnalazione siano forniti dati particolari, questi verranno trattati in virtù delle deroghe previste all’art.9 par.2 lett. b) del Regolamento.

Per la finalità di cui alla lettera c) la base giuridica è il legittimo interesse di Zenith Services Group alla difesa o esercizio di un diritto in sede giudiziale, ai sensi dell’art 6 par.1 lett.f)  e/o dell’art.9, par.2 lett.f).

Infine, per quanto concerne la rivelazione dell’identità del segnalante a soggetti diversi da quelli competenti a ricevere la segnalazione e l’utilizzabilità della segnalazione se l’identità del segnalante è necessaria per la difesa del segnalato, in conformità a quanto previsto dall’Art.12 ai commi 2 e 5 del D.Lgs 24/2023, la base giuridica è rappresentata dal consenso espresso dal segnalante.

6. Modalità di trattamento - esecuzione tecnica e sicurezza dei suoi dati

Il trattamento dei dati avviene mediante strumenti manuali e/o informatici con logiche strettamente correlate alle finalità indicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi, nel rispetto della normativa vigente in materia ed applicando le misure tecniche ed organizzative previste.

In particolare, per quanto riguarda il nostro canale di segnalazione whistleblowing https://zenithservicesgroupspa.segnalazioni.net/ contiene un’opzione per la comunicazione anonima attraverso una connessione crittografata. Quando la utilizzate, il vostro indirizzo IP e la vostra posizione attuale non vengono registrati. Dopo aver inviato una segnalazione, riceverete i dettagli di login per accedere alla inbox del software, in modo da continuare a comunicare con il Titolare in modo protetto.

I dati che forniti saranno memorizzati in un database del Responsabile esterno di gestione della piattaforma, come prima identificato, particolarmente sicuro all’interno dell’Unione europea. Tutti i dati memorizzati nel database sono crittografati utilizzando metodi avanzatissimi. L'accesso ai dati è strettamente limitato ai responsabili del caso designati. Nessun’altra entità, compreso il Responsabile esterno, è in possesso della chiave per decifrare questi dati e renderli leggibili.

7. Comunicazione dei dati personali

Per le finalità sopra descritte, nei limiti delle rispettive competenze e secondo la procedura pubblicata nell’apposita area whistleblowing policy, i dati personali saranno trattati in ambito del Titolare dai soli soggetti specificatamente autorizzati nel ruolo di Organo di gestione del canale di segnalazione interno ed eventualmente da soggetti coinvolti nell’analisi e nell’indagine, la cui facoltà di accesso ai dati è riconosciuta da disposizioni di legge, normativa secondaria e comunitaria.

In ogni caso, l’identità del segnalante, e qualsiasi altra informazione da cui la si può evincere, possono essere rivelate a soggetti diversi  da quelli autorizzati/designati a gestire la segnalazione o l’indagine per conto del Titolare, solo previo il consenso espresso del segnalante come indicato al paragrafo “5. Base giuridica”, conformemente a quanto previsto dal D. Lgs. n. 24/2023.

La tutela della riservatezza viene garantita anche agli altri soggetti interessati nel rispetto delle medesime garanzie previste in favore del segnalante.

Inoltre, i dati o parte dei dati potrebbero essere condivisi con soggetti esterni, per i profili di rispettiva competenza e  secondo quanto previsto dalla legge, che a seconda dei casi agiscono in qualità di titolari autonomi del trattamento o di responsabili del trattamento, quali ad es.:  

• Studi legali o società di consulenza, che forniscono servizi di consulenza o di indagine;
• Autorità Giudiziarie, di vigilanza, supervisione o di polizia.

La Zenith Services Group ha identificato e designato i seguenti soggetti in qualità di a) incaricato autorizzato ex Art.li 4 c.10, 29 e 32 c.4 del Regolamento e b) Responsabile del trattamento ai sensi ex Art.28:

1. L’Avv. Edoardo Di Mauro, ns. referente incaricato, adeguatamente formato, per la gestione del canale di segnalazione interna;
2. La DIGITALPA s.r.l., con sede legale in Cagliari, Via S. Tommaso D’Aquino, 18/A, P.IVA/CF: 03553050927, quale fornitore dei servizi tecnici per il canale di segnalazione. In caso di manutenzione, può avere accesso ai suoi dati crittografati (non in formato leggibile).

I dati personali non saranno mai diffusi, né saranno soggetti a processi decisionali interamente automatizzati.

8. Trasferimenti extra UE 

I dati personali non saranno oggetto di trasferimento verso Paesi non appartenenti all’Unione Europea.

I server della DIGITALPA s.r.l.  si trovano in Italia.  

9. Periodo di conservazione dei dati personali

Nel rispetto dei principi di proporzionalità e necessità, i dati personali saranno conservati per il tempo necessario ad evadere la segnalazione e, comunque, non oltre cinque anni a decorrere dalla data della comunicazione al segnalante dell’esito finale della procedura di segnalazione. Dopodiché i medesimi dati verranno distrutti o resi anonimi.  Sono fatti salvi eventuali specifici obblighi normativi o la sopravvenuta necessità del Titolare di agire o difendersi in giudizio, che rendano necessario il trattamento e la conservazione dei dati per periodi di tempo superiori. Se i fatti segnalati non rientrano nell’ambito di applicazione del Sistema Whistleblowing o non sono accertabili, i dati personali saranno cancellati o resi anonimi entro 75 giorni dall’accertamento di quanto indicato.

10. Obbligatorietà del conferimento dei dati

E’ possibile inoltrare una segnalazione in forma anonima o non anonima.

In caso di segnalazione anonima, il Titolare, anche attraverso l’organo di gestione del canale di segnalazione interna, potrebbe non essere in grado di investigare efficacemente la segnalazione. Pertanto, il segnalante è invitato a descrivere qualsiasi violazione/illecito fornendo tutte le informazioni richieste, così da permettere all’organo di gestione del canale di segnalazione interna di procedere con la fase investigativa.

In ogni caso, il Titolare assicurerà che tutti i dati personali trattati nel contesto della segnalazione rimangano strettamente riservati.

11. Diritti degli interessati

All’interessato sono riconosciuti i diritti di cui agli artt. 15 e seguenti del Regolamento. Per l’esercizio di tali diritti, l’interessato può rivolgersi al DPO oppure al titolare del trattamento ai dati di contatto sopra citati.

Ai sensi dell’art. 2-undecies, del d.lgs. 196/2003, i diritti di cui agli artt. 15 e seguenti del Regolamento non possono essere esercitati, da parte di soggetti interessati diversi dal segnalante e dagli altri soggetti indicati, al punto 2, con richiesta al titolare del trattamento - e in assenza di risposta, tramite reclamo al Garante per la protezione dei dati personali - quando da ciò possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante e degli altri soggetti indicati al punto 2.

12. Diritto di proporre reclamo 

Gli interessati che ritengano che il trattamento dei dati personali a loro riferiti sia effettuato in violazione di quanto previsto dal Regolamento hanno il diritto di proporre reclamo al Garante per la protezione dei dati personali o di adire l’Autorità giudiziaria, come previsto rispettivamente dagli artt. 77 e 79 del medesimo Regolamento.

Il Titolare si riserva di apportare alla presente informativa tutte le modifiche che ritenesse utile, anche in relazione all’evoluzione della normativa in vigore, dandone la più ampia visibilità agli Interessati.

Milano, 27/02/2024