Ai sensi dell’art. 13 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “GDPR”) e della normativa nazionale prevista dal Decreto Legislativo n. 196/2003 (di seguito “Codice Privacy"), le società:

• Sorma S.p.A. 
  con sede in Via delle Mele 65,
  47522 Cesena (FC),
  codice fiscale e partita IVA 00284630407
• Netpack S.p.A.
  con sede in Via delle Amarene, 131,
  47522 Cesena (FC),
  codice fiscale e partita IVA 01662940400,

di seguito “Società” in qualità di Titolare del Trattamento (artt. 4 e 26 del GDPR), intendono informare i propri stakeholders (quali dipendenti, partner, clienti, fornitori, consulenti, collaboratori e, più in generale, a chiunque sia in relazione d’interessi con la Società), in merito alle modalità e alla finalità delle operazioni di trattamento compiute nell’ambito delle attività di gestione delle segnalazioni di illeciti, trasmesse attraverso la Piattaforma informatica DigitalPA, sia in modalità orale con camuffamento voce, sia in forma scritta, mediante la compilazione degli appositi form.

1.  Dati personali oggetto del trattamento

Verranno trattati i dati forniti dal segnalante al fine di rappresentare le presunte condotte illecite, delle quali sia venuto a conoscenza, commesse dai soggetti che a vario titolo interagiscono con la Società, allo scopo di effettuare le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto di segnalazione e l’adozione dei conseguenti provvedimenti.

I dati raccolti e trattati comprendono i dati anagrafici e i dati di contatto, nell’ipotesi in cui il segnalante decida di non rimanere anonimo, dati relativi al rapporto di lavoro, la funzione svolta ovvero gli elementi caratterizzanti la segnalazione (dati comuni).

Potranno essere altresì trattati dati appartenenti a categorie particolari, vale a dire i dati idonei a rivelare, tra l’altro, l’origine razziale ed etnica, i dati relativi allo stato di salute e alla vita sessuale (dati particolari), solamente qualora il segnalante decidesse liberamente di fornirli quali elementi caratterizzanti della segnalazione.

I dati comuni e i dati particolari, di seguito, congiuntamente, sono definiti dati personali.

I dati personali sono direttamente forniti in fase di presentazione della segnalazione o per il tramite la compilazione degli appositi campi al momento dell’invio della segnalazione o, in seguito, se il segnalante decidesse di inserire ulteriori elementi per circostanziare la segnalazione tramite il sistema di messaggistica della Piattaforma che permette di instaurare un colloquio virtuale con l’organo deputato alla gestione della segnalazione.

2. Finalità e Base Giuridica del Trattamento

I dati personali saranno trattati per gestire la segnalazione e per garantire la tutela del segnalante in caso di segnalazione di reati o irregolarità di cui lo stesso è venuto a conoscenza nell’ambito del suo rapporto con il Titolare e in particolare allo scopo di:

• Adempiere agli obblighi di legge previsti dalla disciplina contenuta nel D. Lgs. 10 marzo 2023, n. 24 e dall’art.6, co. 2bis e ss. del D. Lgs. 8 giugno 2001, n. 231, volti a consentire la presentazione di segnalazioni inerenti condotte illecite poste in essere nell’ambito dell’operato del Titolare e/o in violazione del diritto dell’Unione in tutti i settori indicati dalla direttiva UE 2019/1937.

Base giuridica: adempimento di obblighi di legge (art. 6, lett. (c) del GDPR). Con particolare riferimento ad eventuali dati particolari trattati, la base giuridica è quella di cui all’art. 9, par. 2, lett. b, del GDPR, ossia il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale (i.e. le disposizioni in materia di whistleblowing di cui al D. Lgs. 24/2023).

• Accertare, esercitare o difendere un diritto in sede giudiziale o stragiudiziale, qualora fosse necessario.

Base giuridica: perseguimento di un legittimo interesse del Titolare del trattamento (art. 6 par. 2 lett. f) del GDPR) consistente nell’esercitare e/o difendere un diritto.

3. Natura del conferimento dei dati

Il conferimento dei dati ha natura facoltativa e, sulla base della procedura aziendale adottata in materia di whistleblowing (“Procedura Whistleblowing”), il soggetto segnalante ha la facoltà di effettuare una segnalazione in forma anonima. Si precisa, tuttavia, che le segnalazioni non nominative saranno trattate come ordinarie e, quindi, gestite secondo le procedure adottate dalle Società per tali violazioni.

4. Modalità del trattamento dei dati personali

Il trattamento sarà effettuato con strumenti informatici atti a memorizzare, gestire o trasmettere i dati stessi, nel rispetto delle disposizioni del Regolamento, secondo i principi correttezza, liceità e trasparenza, con logiche strettamente correlate alle finalità del trattamento e comunque garantendo la riservatezza e sicurezza dei dati stessi e il rispetto degli obblighi specifici sanciti dalla legge.

5. Durata del trattamento e conservazione dei dati personali

La segnalazione, anche se rigettata, e la relativa documentazione sono conservate, nel rispetto degli obblighi di riservatezza, per il tempo necessario al trattamento della segnalazione stessa, e comunque non oltre 5 (cinque) anni dalla data della comunicazione dell’esito della procedura, salvo diversa valutazione in considerazione della situazione specifica (in base al principio di accountability del Titolare del trattamento).

Nel caso di contenzioso giudiziale, i dati personali saranno conservati per tutta la durata dello stesso, fino all’esaurimento dei termini di esperibilità delle azioni di impugnazione.

6. Ambito di comunicazione e di diffusine dei dati personali

Il trattamento è svolto ad opera di soggetti appositamente autorizzati, in ottemperanza a quanto previsto dall’art. 29 del GDPR.

La comunicazione dei dati personali raccolti avviene principalmente nei confronti di terzi e/o destinatari la cui attività è necessaria per l’espletamento delle attività inerenti alla gestione della segnalazione, nonché per rispondere a determinati obblighi di legge.  

In particolare, i dati potranno essere trattati dai membri della funzione delle risorse umane, quali soggetti espressamente autorizzati al trattamento, qualora il Responsabile del Canale ritenga che la segnalazione sia stata effettuata “in malafede”, affinché valuti l’avvio di un eventuale procedimento disciplinare.

I dati potranno altresì essere trattati dai membri dell’Organismo di Vigilanza e del Consiglio di Amministrazione, in modo che possano adottare le misure e i provvedimenti disciplinari che si dovessero rendere necessari. 

I dati possono essere comunicati all’autorità giudiziaria e altri soggetti pubblici legittimati a riceverli, quali ad esempio la Corte dei conti e l’ANAC, nei casi e nelle modalità previsti dal Decreto whistleblowing e dalla Policy. Resta fermo che l’eventuale condivisione della segnalazione e della documentazione prodotta dal segnalante con altre funzioni aziendali o con professionisti esterni a scopo di indagine viene svolta nel rispetto della Policy e del Decreto whistleblowing, nonché con la massima attenzione a tutela della riservatezza del segnalante, previo oscuramento dei dati e delle informazioni che potrebbero rivelarne, anche indirettamente, l’identità.

L’identità del segnalante e qualsiasi altra informazione da cui la si può evincere, direttamente o indirettamente, non saranno rivelate, senza il consenso dello stesso, fermo restando quanto prescritto dalla normativa applicabile (ad es. in ambito penale).

I dati personali del segnalante non sono oggetto di diffusione, fatta salva l'ipotesi in cui la comunicazione o diffusione sia richiesta, in conformità alla legge, da soggetti pubblici per finalità di difesa o di sicurezza o di prevenzione, accertamento o repressione di reati.

L’elenco completo ed aggiornato dei destinatari dei dati potrà essere richiesto al Titolare del trattamento ovvero al DPO, ai recapiti sottoindicati.

7. Trasferimento dei dati verso Paesi extra UE

I dati personali del segnalante non saranno oggetto di trasferimento verso Paesi Terzi rispetto all’Unione Europea od organizzazioni internazionali.

8. Titolare del trattamento e Data Protection Officer

Il Titolare del trattamento dei dati sono le Società (indirizzo mail: privacy@sormagroup.com).

In tale veste, le Società sono tenute a individuare nonché a assicurare l’applicazione delle misure organizzative e tecniche necessarie e adeguate alla protezione dei dati. Il Titolare ha nominato il Data Protection Officer (Responsabile della Protezione dei Dati) nella persona di Manganiello Marco ai sensi dell’Articolo 37 del Regolamento, incaricato di garantire il rispetto delle norme per la tutela della Sua Privacy; tale soggetto potrà essere contattato per questioni inerenti al trattamento dei Suoi dati, ai seguenti recapiti: marco.manganiello@rps-dati.com, cell. 3384283908.

9. Diritti dell’interessato

In relazione ai predetti trattamenti, la Società garantisce la possibilità di esercizio dei diritti di cui agli Articoli 15, 16, 17, 18, 20, 21 del Regolamento.

In particolare:

(a) il segnalante ha la possibilità di ottenere dal Titolare la conferma dell’esistenza o meno dei dati personali che lo riguardano, ed in questo caso, l’accesso alle seguenti informazioni:

• Finalità del trattamento,
• Categorie di dati personali trattati,
• Destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
• Periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
• Qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;
• L'esistenza di un processo decisionale automatizzato e, in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato;
• L'esistenza di garanzie adeguate ai sensi dell'articolo 46 relative al trasferimento verso paesi terzi o organizzazioni internazionali.

(b) In aggiunta, il segnalante ha il diritto di:

• Ottenere l’aggiornamento, la rettifica o l’integrazione dei propri dati, la cancellazione, nei termini consentiti dalla normativa, oppure chiedere che siano anonimizzati, la limitazione del trattamento, ed ha diritto di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che La riguardano;
• Ottenere la portabilità dei dati trattati elettronicamente, forniti sulla base di consenso o contratto;
• Revocare il proprio consenso, qualora previsto.

L’esercizio dei diritti è possibile inoltrando una richiesta tramite e-mail al seguente indirizzo: privacy@sormagroup.com, allegando un documento in corso di validità.

Il Titolare si impegnano rispettivamente a comunicare a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato.

Si segnala inoltre che l’interessato ha il diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca, fermo restando le conseguenze sovra indicate in merito ad un eventuale rifiuto a fornire tali dati personali, ed ha diritto di proporre un reclamo ad un’Autorità di Controllo.

Il Titolare si impegna a rispondere alle richieste dell’interessato entro il termine di un mese, salvo caso di particolare complessità, per cui potrebbe impiegare al massimo tre mesi. In ogni caso, la Società provvederà a dare evidenza all’interessato del motivo dell’attesa entro un mese dalla sua richiesta. L’esito della richiesta sarà fornito per iscritto o su formato elettronico.  Potrà essere richiesto all’interessato un eventuale contributo qualora le domande risultino manifestamente infondate, eccessive o ripetitive, a tal proposito l’Istituto si è dotata di un registro per tracciare le richieste di intervento.

Data ultimo aggiornamento : 17/12/2023