INFORMATIVA "WHISTLEBLOWING"

Informativa sul trattamento dei dati personali
ai sensi Regolamento Europeo 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016,
relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (in breve “GDPR”)

PHOTOSÌ S.p.A., in qualità di Titolare del trattamento, tutela la riservatezza dei dati personali e garantisce ad essi la protezione necessaria da ogni evento che possa metterli a rischio con particolare riguardo ai dati raccolti e trattati attraverso il Sistema di segnalazione, ovvero il sistema interno finalizzato a permettere la Segnalazione di atti/fatti che possano costituire una violazione di norme, attuato nel rispetto del D.Lgs. 24/2023, c.d. "Legge sul Whistleblowing".
Si invita a leggere con attenzione la presente Informativa che contiene informazioni importanti sul Trattamento dei Dati (in breve, "Informativa").

1. Premessa
La presente Informativa:

si intende resa per il sito https://photosi.whistlelink.com/
si intende resa per il Canale Interno di Segnalazione Whistleblowing attuato mediante la piattaforma informatica con soluzione Saas, integrata web-based, basata sul software Whistlelink.com, conforme alla Direttiva UE 2019/1937 ed al GDPR, nonché certificata ISO 27001 (d’ora in avanti: “Piattaforma”);
costituisce parte integrante del Sito, della Piattaforma e delle procedure di Segnalazione Whistleblowing attuate da PhotoSì;
è fornita in conformità a quanto descritto nella Procedura Whistleblowing adottata da PhotoSì;
è resa ai sensi dell’art.13 del Regolamento, a coloro che interagiscono con il Sito e la Piattaforma del Titolare, sia mediante la semplice consultazione che mediante l’utilizzo di specifici canali e servizi messi a disposizione per le segnalazioni come per legge;
integra (e non sostituisce) l’informativa sul trattamento dei dati resa al personale per la gestione del rapporto di lavoro, qualora la segnalazione provenga da un soggetto legato da un rapporto di lavoro o collaborazione con la Società.

2. Identità e dati di contatto del Titolare
PhotoSì S.p.A
Sede legale in via Carpegna n. 22,
Riccione (47838 - RN)
C.F. e P.I. n. 03550860401
Tel 0541/609903 – privacy@photosi.com.

3. Finalità del trattamento cui sono destinati i dati personali e relativa base giuridica
Le informazioni personali raccolte tramite la Piattaforma saranno trattate al fine di assicurare:

1) la corretta e completa gestione della Segnalazione Whistleblowing in conformità alla vigente normativa in materia ex D.Lgs. 24/2023;
2) le necessarie attività istruttorie volte a verificare la fondatezza del contenuto oggetto di segnalazione e l’adozione dei conseguenti provvedimenti;
3) la tutela in giudizio di un diritto del Titolare del trattamento;
4) la risposta ad una richiesta dell’Autorità giudiziaria o Autorità alla stessa assimilata.

I trattamenti di cui sopra rispondono alla base giuridica dell’adempimento di un obbligo di legge cui è sottoposto il Titolare – condizione di liceità articolo 6, lettera c) GDPR.
In particolare, per la gestione del procedimento di Whistleblowing, secondo quanto previsto dal D.L.gs. 24/2023 recante “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali” e dal D.Lgs. 231/2001 recante “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300”.

I trattamenti di cui sopra possono rispondere, altresì, alla base giuridica del legittimo interesse del Titolare al controllo ed al contrasto di violazioni pertinenti all’attività aziendale e qualsiasi altra violazione di norme che possa avere impatto (ad esempio sanzionatorio, patrimoniale, reputazionale, ecc.) sulla Società – condizione di liceità articolo 6, lettera f) GDPR.

Il Titolare mette in pratica a tal fine adeguate misure tecniche ed organizzative riguardanti la raccolta, l’utilizzo dei dati personali e l’esercizio dei diritti che sono riconosciuti dalla normativa applicabile.
Il Titolare, di conseguenza, avrà cura di aggiornare i regolamenti e le procedure adottate per la protezione dei dati personali ogni volta che ciò si renda necessario e comunque in caso di modifiche normative e organizzative che possano incidere sui trattamenti dei dati personali.

4. Dati raccolti
Il Titolare raccoglie e/o riceve le informazioni fornite direttamente dall’interessato attraverso l’inserimento delle stesse sulla Piattaforma di gestione del Canale Interno di Segnalazione.

Il processo di elaborazione delle segnalazioni prevede la trasmissione e ricezione delle segnalazioni in forma esplicita, conferendo le proprie generalità, o anche in forma anonima, senza rivelare la propria identità.
Tutte le segnalazioni ricevute verranno trattate in conformità alla legge nella più ampia tutela delle persone coinvolte.
Nel caso di segnalazioni non anonime, il Titolare assicura la riservatezza dell'identità del Segnalante e vieta ogni forma di ritorsione o discriminazione nei confronti di chiunque abbia fatto una segnalazione o di chiunque sia ad essa connessa.
L'identità del segnalante, qualora fornita, verrà protetta sin dalla ricezione della segnalazione e in ogni fase successiva.
Le segnalazioni anonime saranno prese in considerazione se adeguatamente circostanziate con tutti gli elementi informativi utili per verificarle, indipendentemente dalla conoscenza del Segnalante.
Sarà comunque possibile dichiarare la propria identità in un secondo momento.

I dati personali oggetto di trattamento rientrano nelle seguenti categorie:

4.1 Dati personali forniti dall’interessato segnalante:

Comuni:
- Facoltativi: nome, cognome, rapporti con PhotoSì.
- Facoltativi: inquadramento, ruolo qualifica/rapporto, contatto telefonico, indirizzo e-mail.

Altre tipologie di dati
I dati forniti dal segnalante al fine di rappresentare le presunte condotte illecite o non improntate a principi aziendali delle quali sia venuto a conoscenza.

4.2 Dati personali forniti dall’interessato riguardo al segnalato e a terzi coinvolti:

Comuni:
- Obbligatori: nome, cognome, rapporti con PhotoSì.
- Facoltativi: inquadramento, ruolo qualifica/rapporto, contatto telefonico, indirizzo e-mail.

Altre tipologie di dati
I dati forniti dal segnalante al fine di rappresentare le presunte condotte illecite o non improntate a principi aziendali delle quali sia venuto a conoscenza.

Nei limiti in cui sia strettamente necessario al perseguimento delle sopra descritte finalità, il Titolare potrà trovarsi a trattare anche dati personali appartenenti a categorie particolari di cui all’art. 9 del Regolamento (es. dati relativi alla salute, all’appartenenza sindacale, dati idonei a rivelare origine razziale, opinioni politiche, convinzioni religiose o filosofiche dell’interessato, etc.) o dati relativi a condanne penali e reati di cui all’art. 10 del Regolamento.

Si chiede di fornire soltanto i dati necessari a descrivere i fatti oggetto di segnalazione evitando ogni dato personale non necessario.

4.3 Dati personali raccolti automaticamente dalla piattaforma:
Chiunque può accedere ed usufruire del Sistema, indipendentemente dal ruolo e dalla funzione svolta in azienda.
Non viene fatto uso di cookies per la trasmissione di informazioni di carattere personale, né vengono utilizzati cookies persistenti per il tracciamento degli utenti.
Vengono utilizzati esclusivamente cookies tecnici nella misura strettamente necessaria al corretto ed efficiente utilizzo della piattaforma.
L'uso dei cookies di sessione (che non vengono memorizzati in modo persistente sul computer dell'utente e svaniscono con la chiusura del browser) è strettamente limitato alla trasmissione di identificativi di sessione (costituiti da numeri casuali generati dal server) necessari per consentire l'esplorazione sicura ed efficiente della piattaforma.
Non sono raccolti e conservati gli indirizzi IP dai quali proviene la segnalazione.

5. Destinatari dei dati personali
A chi possono essere comunicati i dati?
Avranno accesso ai dati solo coloro che sono autorizzati espressamente e direttamente dal Titolare.
In particolare, il trattamento dei dati potrà avvenire unicamente da parte dei componenti dell’Ufficio Whistleblowing, ovvero all’ufficio interno dedicato, autonomo e con personale interno specificamente formato, al quale è affidata dal Titolare la gestione della Piattaforma e delle segnalazioni ricevute in ogni fase ai sensi di legge.
La comunicazione dei dati personali raccolti avviene unicamente nei confronti di terzi la cui attività è necessaria per l’espletamento delle attività inerenti alla gestione della segnalazione o alle attività necessarie per darle seguito, nonché per rispondere a determinati obblighi di legge.
In particolare, la trasmissione potrà avvenire nei confronti:

a) di Whistleblowing Solutions AB, società incaricata per i servizi di connettività e gestione tecnica del Canale di Segnalazione, nella sua qualità di Responsabile Esterno ai sensi e per gli effetti di cui all’art. 28 GDPR;
b) delle funzioni aziendali di Internal Audit degli organismi di controllo e vigilanza, per quanto di rispettiva competenza;
c) dei responsabili della funzione interessata dalla segnalazione;
d) delle posizioni organizzative incaricate di svolgere accertamenti sulla segnalazione nei casi in cui la loro conoscenza sia indispensabile per la comprensione dei fatti segnalati e/o per la conduzione delle relative attività di istruzione e/o trattazione;
e) delle funzioni aziendali coinvolte per dare seguito alle segnalazioni;
f) di istituzioni e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia, Agenzie investigative;
g) di consulenti esterni (per es. studi legali, investigatori privati) eventualmente coinvolti nella fase istruttoria della segnalazione.

L'elenco aggiornato e dettagliato dei soggetti destinatari dei dati può essere richiesto scrivendo all’indirizzo privacy@photosi.com.

Tutti coloro che riceveranno e/o saranno coinvolti nella gestione delle segnalazioni sono tenuti al rispetto della riservatezza e confidenzialità nella gestione delle informazioni, anche in aderenza alla normativa applicabile.

6. Consenso
L’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rivelate, senza il consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate a trattare tali dati.
Nell’ambito del procedimento penale, l’identità della persona segnalante è coperta dal segreto nei modi e nei limiti previsti dall’articolo 329 del codice di procedura penale.
Nell’ambito del procedimento disciplinare, l’identità della persona segnalante non può essere rivelata, ove la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa.
Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità.
Pertanto, in tal caso verrà dato avviso mediante comunicazione scritta delle ragioni della rivelazione dei dati riservati, con richiesta di rilascio del consenso.
Il consenso è facoltativo e potrà essere liberamente revocato in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.

7. Diffusione di dati personali
I Suoi dati personali non saranno mai diffusi, pubblicati, esposti o messi a disposizione/consultazione di soggetti diversi da quelli sopra individuati ovvero di soggetti indeterminati.

8. Trasferimento di dati personali all’estero
Il Titolare non trasferisce i dati personali all’estero verso paesi terzi.
I dati personali sono conservati esclusivamente all’interno del territorio dell’Unione Europea, come certificato dal Responsabile Esterno ex art. 28 incaricato della gestione della Piattaforma.

9. Modalità e periodo di conservazione dei dati personali
Il trattamento dei dati personali relativi alle segnalazioni avviene attraverso mezzi e strumenti digitali messi a disposizione dei soggetti che agiscono sotto l’autorità del Titolare e allo scopo autorizzati e formati.
A questi è consentito l’accesso ai dati personali nella misura e nei limiti in cui esso è necessario per lo svolgimento delle attività di trattamento che li riguardano.
Il Titolare, anche per il tramite dei soggetti autorizzati al trattamento, verifica periodicamente che:

le misure di sicurezza tecniche ed organizzative relative agli strumenti mediante i quali i dati vengono trattati siano efficaci, in buono stato e costantemente aggiornate;
i dati non siano raccolti, trattati, archiviati o conservati oltre il necessario;
i dati siano conservati con adeguate garanzie di integrità e di autenticità e del loro uso per le finalità dei trattamenti effettivamente svolti;
i dati personali eventualmente forniti dal segnalante ma non utili al trattamento della specifica segnalazione siano cancellati immediatamente;
i dati siano conservati per il tempo necessario al compimento delle attività legate alla gestione della segnalazione avanzata ed in particolare non oltre il tempo preventivamente prestabilito.

In particolare, i dati personali raccolti sono conservati per un periodo non superiore a cinque anni, decorrenti dalla data della comunicazione dell’esito finale della procedura di segnalazione, nonché per tutto il periodo necessario allo svolgimento degli eventuali procedimenti scaturenti dalla gestione della segnalazione (disciplinare, penale, contabile).
È fatta salva la conservazione per un periodo superiore in relazione a richieste della pubblica autorità e dell’Autorità Garante per la protezione dei dati personali.
È fatta salva la conservazione dei dati personali, anche particolari, per un periodo superiore, nei limiti del termine di prescrizione dei diritti, in relazione ad esigenze connesse all’esercizio del diritto di difesa in caso di controversie. In tal caso il termine di conservazione è di 10 anni dalla conclusione dei contenziosi o dei precontenziosi intercorsi.

I. Diritti esercitabili
In conformità a quanto previsto nel Capo III, Sezione I, GDPR, qualunque interessato può esercitare i diritti ivi indicati ed in particolare:

Diritto di accesso - Ottenere conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, ricevere informazioni relative, in particolare, a: finalità del trattamento, categorie di dati personali trattati e periodo di conservazione, destinatari cui questi possono essere comunicati (articolo 15, GDPR),
Diritto di rettifica - Ottenere, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che lo riguardano e l’integrazione dei dati personali incompleti (articolo 16, GDPR)
Diritto alla cancellazione - Ottenere, senza ingiustificato ritardo, la cancellazione dei dati personali che lo riguardano, nei casi previsti dal GDPR (articolo 17, GDPR)
Diritto di limitazione - Ottenere la limitazione del trattamento, nei casi previsti dal GDPR (articolo 18, GDPR)
Diritto alla portabilità - Ricevere in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i dati personali che lo riguardano, nonché ottenere che gli stessi siano trasmessi ad altro titolare senza impedimenti, nei casi previsti dal GDPR (articolo 20, GDPR)
Diritto di opposizione - Opporsi al trattamento dei dati personali che lo riguardano, salvo che sussistano motivi legittimi per il Titolare di continuare il trattamento (articolo 21, GDPR)
Diritto di proporre reclamo all’autorità di controllo - Proporre reclamo all’Autorità Garante per la protezione dei dati personali, Piazza Venezia n. 11, Roma - https://www.garanteprivacy.it/.

L’interessato potrà esercitare tali diritti mediante il semplice invio di una richiesta all’indirizzo privacy@photosi.com.
Tali diritti sono garantiti senza oneri e formalità particolari per la richiesta del loro esercizio che si intende essenzialmente a titolo gratuito, salvo un contributo spese ragionevole.

Ai sensi dell’articolo 2-undecies del Codice Privacy (in attuazione dell’articolo 23 del GDPR), si informa che i summenzionati diritti non possono essere esercitati da parte dei soggetti interessati (con richiesta al Titolare ovvero con reclamo ai sensi dell’articolo 77 del GDPR) qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante.
In particolare, l’esercizio di tali diritti:

sarà effettuabile conformemente alle disposizioni di legge o di regolamento che regolano il settore (tra cui il D.lgs. 231/2001 come modificato dalla L. n. 179/2017);
potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare la riservatezza dell’identità del segnalante;
in tali casi, i diritti dell’interessato possono essere esercitati anche tramite il Garante con le modalità di cui all’articolo 160 del Codice Privacy, nel qual caso il Garante informa l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale.

Sei un fotografo professionista?

INFORMATIVA "WHISTLEBLOWING"