Procedura di gestione delle segnalazioni

(cd. Whistleblowing)

Informativa sulla protezione dei dati personali

(ai sensi degli artt. 13 e 14 del Regolamento Europeo 2016/679 - GDPR)

 

L’Associazione Allevatori della Regione Sardegna (di seguito, in breve AARS), in qualità di Titolare del trattamento dei dati personali (art. 24 GDPR) comunica che l’acquisizione e la gestione di una segnalazione comporta il trattamento dei dati personali relativi all’identità della persona segnalante (il Segnalante), delle altre persone coinvolte o comunque menzionate nella segnalazione nonchè della eventuale documentazione a supporto.

La gestione delle segnalazioni è disciplinata da una specifica Procedura di Gestione delle Segnalazioni.

 

1. Titolare del trattamento dei dati personali

Responsabili del trattamento dei dati personali

 

Titolare del trattamento dei dati personali è AARS in persona del legale rappresentante pro tempore, via Tuveri 54/B - 09129 Cagliari, C.F. 80007090956 – tel. 0783/32821– mail irpd@allevatorisardegna.it

Responsabili del trattamento dei dati personali (art. 28 GDPR):

• DigitalPA S.r.l.: fornitore del servizio di erogazione e gestione della Piattaforma tecnologica utilizzata per la procedura di gestione delle segnalazioni.
• WB manager: gestore del canale di segnalazione con riferimento alle violazioni di cui al Decreto 24/2023 nonchè al Decreto 231/2001.

 

2. Categorie di dati personali

 

 

I dati personali raccolti e trattati nell’ambito di una segnalazione possono includere:

1. dati personali comuni di cui all’art. 4, punto 1, del GDPR del Segnalante (nel caso di segnalazioni non anonime) nonché di eventuali persone coinvolte o menzionate nella segnalazione e facilitatori, come definiti dalla Procedura di gestione delle segnalazioni (di seguito, anche “Interessati”), quali: dati anagrafici (ad es. nome, cognome, data e luogo di nascita), dati di contatto (es. numero telefonico fisso e/o mobile, indirizzo postale/e-mail).
2. categorie particolari di dati di cui agli artt. 9 e 10 del GDPR, qualora inserite nella segnalazione.

I predetti dati saranno trattati con supporti informatici e cartacei che ne garantiscono la sicurezza e la riservatezza.

La trasmissione dei dati forniti dal Segnalante mediante accesso alla piattaforma digitale dedicata denominata “https://aarsardegna.segnalazioni.net/pages/privacy” (la Piattaforma) garantisce adeguati sistemi di crittografia.

L'infrastruttura applicativa è una piattaforma esclusivamente dedicata, sviluppata per soddisfare le più rigide esigenze in fatto di sicurezza e riservatezza, punto essenziale della procedura di whistleblowing. La gestione degli accessi e dei dati avviene infatti nel più rigoroso rispetto del quadro normativo ed è certificata dagli Standard ISO/IEC 27001 (sistema di gestione delle informazioni) che garantiscono l'integrità e la riservatezza dei dati trattati.

3. Finalità e Base Giuridica del Trattamento

 

 I dati personali forniti dal Segnalante verranno trattati allo scopo di effettuare le necessarie attività istruttorie volte a verificare la fondatezza del fatto e l’adozione dei conseguenti provvedimenti, a titolo esemplificativo e non esaustivo:

1. gestione della Segnalazione effettuata ai sensi del d.lgs. n. 24/2023;
2. adempimento di obblighi previsti dalla legge o dalla normativa comunitaria;
3. difesa o accertamento di un proprio diritto in contenziosi civili, amministrativi o penali.

Le segnalazioni non potranno essere utilizzate oltre quanto necessario per dare adeguato seguito alle stesse: sono pertanto esclusi ulteriori trattamenti di dati personali per finalità diverse dalla gestione delle segnalazioni medesime (art. 5 par. 1 lett. b) GDPR). 

La base giuridica del trattamento è la seguente:

• • un obbligo legale al quale è soggetto il Titolare del trattamento (art. 6, par. 1, lettera c) del GDPR);
  • il legittimo interesse del Titolare del trattamento (art. 6, par. 1 lett. f) del GDPR);
  • ove necessario, per accertare, esercitare o difendere un diritto in sede giudiziaria (art. 9, par.2, lettera f) del GDPR.);
  • il consenso del Segnalante per le segnalazioni raccolte tramite la casella di registrazione attiva all’interno della Piattaforma nonché in caso di registrazione degli avvenuti incontri (art. 6, par.1 lett. a) del GDPR).

Qualora la segnalazione pervenga ad un soggetto non competente a riceverla, quest’ultimo provvederà al tempestivo inoltro al WB manager.

Il conferimento dei dati è necessario per il conseguimento delle finalità di cui sopra; il loro mancato, parziale o inesatto conferimento potrebbe avere come conseguenza l’impossibilità di gestire la segnalazione.

4. Obbligo generale di riservatezza

 

L’identità del Segnalante nonché qualsiasi altra informazione da cui possa evincersi, direttamente o indirettamente tale identità, non possono essere rivelate senza il consenso espresso del medesimo Segnalante, a persone diverse da quelle competenti a ricevere o dare seguito alle segnalazioni, in quanto espressamente autorizzate a trattare tali dati.

In aggiunta AARS rende noto quanto segue:

• nell’ambito di un procedimento penale l’identità del Segnalante è coperta dal segreto nei modi e nei limiti dell’articolo 329 del c.p.p.;
• nell’ambito di un procedimento dinanzi alla Corte dei Conti, l’identità del Segnalante non può essere rivelata fino alla chiusura della fase istruttoria;
• nell’ambito di un procedimento disciplinare l’identità del Segnalante non può essere rivelata ove la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la cui conoscenza dell’identità del Segnalante sia indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo previo consenso espresso del Segnalante alla rivelazione della propria identità.

Conservazione dei dati personali. Modalità e logica del trattamento

 

La segnalazione e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni (5 anni) a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione (art. 14, c.1 del D.lgs. 24/2023) al WB Manager, nel rispetto degli obblighi di riservatezza in precedenza citati nonché del principio di “limitazione della conservazione” di cui all’art. 5, par. 1 lett, e) del GDPR.  

I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati tempestivamente.

I trattamenti dei dati sono effettuati manualmente e/o attraverso strumenti automatizzati informatici e telematici con logiche correlate alle finalità sopraindicate e, comunque, in modo da garantirne la sicurezza e la riservatezza.

Il sistema di gestione delle Segnalazioni garantisce, in ogni fase, la riservatezza dell’identità del Segnalante, delle persone coinvolte e/o comunque menzionate nella segnalazione, del contenuto della segnalazione e della relativa documentazione, fatto salvo quanto previsto dall’art. 12 del d.lgs. n. 24/2023.

La documentazione in formato cartaceo è archiviata in fascicoli, separati da altra documentazione, ed è custodita in armadi chiusi a chiave ad accesso limitato alle sole persone specificamente formate che agiscono sulla base di specifiche istruzioni fornite da ARA SARDEGNA e nominate autorizzate al trattamento dei dati personali (art. 29 GDPR e art. 2-quaterdecies del D.Lgs. 196/2003 e s.m.i.).

 

6. Categorie di soggetti terzi destinatari dei dati personali

I dati personali raccolti nell’ambito della segnalazione potrebbero essere comunicati a soggetti terzi espressamente individuati nella normativa di settore.

In particolare, i dati personali potranno essere comunicati alle categorie di seguito indicate:

 

1. Consulenti (Organizzazione, Contenzioso, Studi Legali, ecc.),
2. Società incaricate dell’amministrazione e gestione del personale,
3. Società di Revisione/auditing,
4. Agenzie investigative,
5. Istituzioni e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia.

Sono escluse le comunicazioni di dati personali ai Paesi UE e Extra UE.

 

7. Diritti degli Interessati

 

AARS informa che possono essere esercitati i diritti previsti dall’art. 15 al 22 del GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione), inviando una e-mail al seguente indirizzo di posta elettronica: rpd@allevatorisardegna.it

Qualora si ritenga che i diritti di cui sopra siano stati violati, si può proporre reclamo nei confronti del Garante per la Protezione dei Dati Personali che ha sede in Roma.

I diritti di cui sopra non potranno essere esercitati con richiesta al Titolare del trattamento né con reclamo al Garante per la Protezione dei Dati Personali qualora dall’esercizio dei medesimi diritti possa derivare un pregiudizio effettivo e concreto all’identità della persona del Segnalante che abbia segnalato violazioni di cui sia venuto a conoscenza in ragione del rapporto di lavoro e/o delle funzioni svolte (art. 2-undecies del D.Lgs. 196/2003 e s.m.i.).

***

Infine si precisa che se la segnalazione proviene da un soggetto legato da un rapporto di lavoro o collaborazione con AARS , tale informativa si intende integrativa dell’informativa resa al personale per la gestione del rapporto di lavoro.