INFORMATIVA AI SENSI DEGLI ARTT. 13 E 14 DEL REGOLAMENTO (UE) NR. 2016/679 relativa al trattamento dei dati personali nell’ambito delle segnalazioni di illeciti (whistleblowing ) Ai sensi degli artt. 13-14 del Regolamento Europeo 2016/679 (“GDPR”), si informa che Scotton Spa, tratta i dati personali (“Dati”) dei soggetti che segnalano presunte condotte illecite o violazioni di cui sono venuti a conoscenza nel contesto lavorativo, individuati dall’art. 3, co. 3, del D. Lgs. 24/2023, nonché dei soggetti indicati dall’art. 3, co. 5, del citato Decreto (es. facilitatori) e dei soggetti diversi da quelli sopraindicati i cui dati personali siano contenuti nelle segnalazioni whistleblowing e/o comunque trattati per gestire la segnalazione (es. dati di terzi) (di seguito, tutti i predetti soggetti, solo “Interessati”). Pertanto, nel rispetto del principio di trasparenza si forniscono agli Interessati le seguenti informazioni. TITOLARE DEL TRATTAMENTO: IDENTITA’ E DATI DI CONTATTO. Il Titolare del trattamento dei Dati è Scotton S.p.a., P.IVA 01981300245, con sede legale in Borso del Grappa (TV), alla Via Vallina Orticella n. 1 (di seguito “Società” o “Titolare”). Per ogni informazione, dubbio o chiarimento in merito al trattamento dei Dati è possibile contattare il Titolare inviando una comunicazione a mezzo Raccomandata A/R alla sede legale della Società o a mezzo e-mail all’indirizzo: scotton@scotton.it FINALITA’ DEL TRATTAMENTO DEI DATI. Il Dati sono trattati al solo fine di gestire e dare seguito alle segnalazioni pervenute alla Società ai sensi della normativa whistleblowing riguardante la protezione delle persone che segnalano illeciti di cui siano venuti a conoscenza nel contesto lavorativo (come definito nel D.Lgs. n. 24/2023). Per “gestione delle segnalazioni” si intende sia la gestione del canale/dei canali attivati dalla Società, sia la gestione delle segnalazioni pervenute (ad es. allo scopo di effettuare le necessarie attività istruttorie volte alla verifica della fondatezza del fatto oggetto di segnalazione e all’adozione dei conseguenti provvedimenti), in conformità alla procedura adottata dalla Società per la gestione delle segnalazioni. CATEGORIE DI DATI TRATTATI. Per la realizzazione della suestesa finalità, il Titolare tratta i Dati di natura personale contenuti nella segnalazione e quelli raccolti nel corso della sua gestione. Nello specifico, a seconda dei casi, il Titolare tratta: Dati personali di natura comune (art. 6 GDPR) quali, a titolo esemplificativo e non esaustivo, dati identificativi (es. nome e cognome), dati relativi all’ubicazione (es. indirizzo di residenza), dati di contatto (es. numero di telefono, e-mail), mansione/ruolo, azienda di appartenenza ecc.; Dati personali appartenenti a particolari categorie (art. 9 GDPR) quali, a titolo esemplificativo e non esaustivo, dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose, l’appartenenza sindacale, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale dell’interessato. Dati giudiziari (art. 10 GDPR), ossia dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza. BASE GIURIDICA DEL TRATTAMENTO. Il trattamento dei Dati è effettuato: per i dati personali di natura comune, ai sensi dell’art. 6, par. 1, lett. c) GDPR, per adempiere un obbligo legale a cui è soggetta l’Azienda (D.Lgs. n. 24/2023); per i dati personali appartenenti a particolari categorie, ai sensi dell’art. 9, par. 2, lett.b) GDPR, per adempiere un obbligo legale a cui è soggetta l’Azienda; per i dati giudiziari, ai sensi dell’art. 10 GDPR e 88 GDPR (*). Si precisa che in linea generale la Società non tratta dati di natura giudiziaria. Solo qualora: i) la segnalazione whistleblowing contenga i suddetti dati; ii) il trattamento dei medesimi risulti necessario per la gestione della segnalazione; iii) si verta nelle ipotesi di cui agli artt. 10 e 88 GDPR, i suddetti Dati verranno trattati dal Titolare. Diversamente, il Titolare si asterrà dal relativo trattamento, provvedendo ove possibile a cancellarli. (*) cfr. Provvedimento del Garante per la protezione dei dati personali n. 304 del 6 luglio 2023. Si precisa che la segnalazione, se effettuata dal segnalante mediante la linea telefonica messa a disposizione dalla Società, previo consenso del segnalante ai sensi dell’art. 14, co. 2, del D.Lgs. 24/2023, sarà documentata mediante registrazione su un dispositivo idoneo alla conservazione e all’ascolto oppure mediante trascrizione integrale. MODALITA’ DEL TRATTAMENTO. Il trattamento dei Dati è effettuato con modalità cartacee e strumenti informatici, nel rispetto delle disposizioni in materia di protezione dei dati personali e, in particolare, delle misure tecniche e organizzative adeguate di cui all’art. 32.1 GDPR, nonché con l’osservanza di ogni misura cautelativa che ne garantisca la relativa integrità, riservatezza e disponibilità. Si informa in particolare che, nel rispetto del D.Lgs. n. 24/2023, la Società adotta, tra le altre. la misura di sicurezza della crittografia, al fine di garantire la riservatezza dell’identità del segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione nonché del contenuto e della relativa documentazione. I trattamenti di cui alla presente Informativa non sono oggetto di processi decisionali automatizzati. FONTE DEI DATI PERSONALI. NATURA DEL CONFERIMENTO E CONSEGUENZE DEL RIFIUTO. I Dati, inclusi quelli di soggetti diversi dal segnalante, sono contenuti nella segnalazione e/o raccolti successivamente nel corso della gestione della segnalazione. Il conferimento dei dati personali è necessario per l’effettuazione e gestione di una segnalazione whistleblowing. Eventuali segnalazioni anonime verranno trattate come segnalazioni ordinarie, solo ove si presentino adeguatamente circostanziate, in modo da far emergere fatti e situazioni connessi a contesti determinati. CATEGORIE DI DESTINATARI DEI DATI PERSONALI. I Dati non sono diffusi. Il personale aziendale incaricato di gestire la segnalazione è stato appositamente autorizzato al trattamento dei Dati ai sensi dell’art. 29 GDPR, ricevendo specifiche istruzioni operative dal Titolare. Si informa che, nel caso in cui la segnalazione venga trasmessa alle Autorità competenti, i Dati possono essere conosciuti e trattati da queste ultime in qualità di autonomi Titolari del trattamento. I Dati possono, altresì, essere comunicati e/o conosciuti da fornitori di servizi del Titolare che li trattano, a seconda dei casi, in qualità di autonomi Titolari del trattamento (es. legali) o di Responsabili del trattamento ex art. 28 GDPR (es. fornitore esterno incaricato della manutenzione del canale di segnalazione; consulenti esterni incaricati della gestione della segnalazione). Il Registro aggiornato dei Responsabili del trattamento è conservato presso la sede del Titolare e può essere consultato su richiesta dell’Interessato. TRASFERIMENTO DEI DATI VERSO PAESI TERZI O ORGANIZZAZIONI INTERNAZIONALI. I Dati non sono trasferiti verso paesi non appartenenti all’Unione Europea/Spazio SEE, né verso Organizzazioni Internazionali. Qualora tale trasferimento si rendesse necessario per realizzare le finalità di cui alla presente informativa il Titolare garantisce che il medesimo avverrà nel pieno rispetto delle condizioni di cui al Capo V del GDPR (artt. 44 e ss.), al fine di assicurare che il livello di protezione delle persone fisiche garantito dal GDPR non sia pregiudicato. Il trasferimento avverrà dunque verso Paesi che la Commissione Europea ha ritenuto garantiscano un livello di protezione adeguato, in conformità a quanto stabilito dall’art. 44 GDPR oppure nel rispetto di specifiche clausole contrattuali standard approvate dalla Commissione Europea ai sensi dell’art. 46 GDPR, a condizione che il destinatario dei dati fornisca garanzie adeguate e che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Eventuali deroghe a quanto sopra avverranno solo nel rispetto dell’art. 49 GDPR. PERIODO DI CONSERVAZIONE DEI DATI PERSONALI. Le segnalazioni e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data di comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza. Si informa che, decorsi i termini di cui sopra, i Dati saranno oggetto di cancellazione o anonimizzazione irreversibile. Un periodo più lungo di conservazione dei Dati potrà essere determinato da legittime richieste formulate dalle Autorità oppure dalla partecipazione del Titolare a procedure giudiziarie che implichino il trattamento dei Dati. DIRITTI DELL’INTERESSATO. RECLAMO ALL’AUTORITA’ DI CONTROLLO. Contattando il Titolare con le modalità indicate nella sezione “TITOLARE DEL TRATTAMENTO: IDENTITA’ E DATI DI CONTATTO” della presente informativa, l’Interessato ha diritto di esercitare i diritti che gli sono riconosciuti dal GDPR – nei limiti di quanto previsto dall’art. 2 undecies del D.Lgs. n. 196/2003 (**) – ossia di richiedere: a) l’accesso ai Dati che lo riguardano; b) la rettifica dei Dati; c) la cancellazione dei Dati, nei limiti previsti dal GDPR; d) la limitazione del trattamento dei Dati, qualora ricorrano le condizioni di cui all’art. 18 GDPR; e) la portabilità dei Dati in un formato strutturato, nei casi di cui all’art. 20 GDPR; f) l’opposizione al trattamento dei Dati, ai sensi dell’art. 21 GDPR. Qualora l’Interessato ritenga che il trattamento che lo riguarda violi il GDPR, egli ha altresì il diritto di proporre reclamo all'Autorità di controllo. Si informa che, in Italia, tale Autorità è rappresentata dal Garante per la Protezione dei dati personali, con sede a Roma. L’Interessato non residente in Italia potrà proporre reclamo innanzi all’Autorità di Controllo designata nel proprio paese di residenza. Al fine di garantire la riservatezza dell’Interessato che effettui la richiesta di esercizio dei diritti, le richieste dovranno pervenire con l’indicazione “RICHIESTA ESERCIZIO DIRITTI PRIVACY - SEGNALAZIONE WHISTLEBLOWING” (nell’oggetto della mail o sulla busta della Raccomandata A/R). (**) Si informa che i diritti di cui agli articoli da 15 a 22 del GDPR non possono essere esercitati con richiesta al Titolare ovvero con reclamo all’Autorità qualora dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell'identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte.