INFORMATIVA GENERALE SUL TRATTAMENTO DEI DATI PERSONALI DEL SOGGETTO CHE SEGNALA CONDOTTE ILLECITE NELL’AMBITO DEL cd. “WHISTLEBLOWING”
(art. 13 Reg. UE 679/2016)
Il Titolare trattamento dei Suoi dati personali è Casa di Cura Città Di Parma S.p.A. con sede legale in piazza Athos Maestri n. 5, 42123 Parma (PR).
Lei può contattare il Titolare via e-mail all’indirizzo direzione.amm@clinicacdp.it
Lei può contattare il DPO via e-mail all’indirizzo dpo@clinicacdp.it
I Suoi dati sono trattati per svolgere le attività istruttorie volte a verificare la fondatezza della segnalazione di condotte illecite, nonché, se del caso, adottare adeguate misure correttive e intraprendere le opportune azioni disciplinari e/o giudiziarie nei confronti dei responsabili delle condotte illecite.
Il trattamento dei Suoi dati per la gestione della segnalazione è legittimo senza il Suo consenso perché necessario per adempiere a un obbligo legale al quale è soggetto il Titolare del trattamento nell’ambito della disciplina whistleblowing, come introdotti dalla Legge 179/2017 e dal D.Lgs. 24/2023, la cui osservanza è condizione di liceità del trattamento ex art. 6, par. 1, lett. c) e parr. 2 e 3, art. 9, par. 2, lett. b) e artt. 10 e. 88 del GDPR.
Il D.lgs. 10 marzo 2023 n. 24 prevede degli specifici casi in cui il Titolare potrà trattare i suoi dati solo previo Suo consenso espresso.
In primo luogo, se decide di ricorrere al canale orale per effettuare la segnalazione mediante richiesta di incontro diretto all’Organismo di Vigilanza (“OdV”), previo Suo consenso espresso, i componenti dell’OdV documenteranno la segnalazione mediante dispositivi idonei alla conservazione e all’ascolto oppure mediante verbale. In caso di verbale, Lei potrà verificare, confermare e rettificare il verbale dell’incontro mediante trascrizione. L’OdV raccoglierà il Suo consenso espresso con apposito modulo prima della raccolta dei Suoi dati (art. 6.1 lett. a) del GDPR).
In alcuni casi, inoltre, in base a quanto previsto dal D. Lgs. 10 marzo 2023 n. 24, potrebbe essere richiesto il consenso espresso, specifico e libero dell’interessato (art. 6, par. 1, lett. a) del GDPR):
· art. 12 comma 2: la rivelazione dell’identità della persona segnalante a persone diverse da quelle competenti a ricevere o dare seguito alle segnalazioni può avvenire solo previo consenso espresso della stessa persona segnalante;
· art. 12 comma 5: qualora, nell’ambito del procedimento disciplinare, la conoscenza dell’identità del segnalante fosse indispensabile per la difesa dell’incolpato, verrà domandato al segnalante se intende rilasciare il consenso ai fini della rivelazione della propria identità
I Suoi dati potranno essere comunicati o resi accessibili a:
- l’Organismo di Vigilanza della Casa di Cura, in qualità di gestore delle segnalazioni;
- Il Risk Manager o altre funzioni aziendali oppure ancora consulenti esterni nel solo caso in cui sia necessario allo svolgimento delle indagini;
- le Autorità Giudiziarie per i profili di rispettiva competenza.
La Sua identità o le informazioni da cui la si possa evincere non saranno rivelate, senza il suo consenso espresso, a persone diverse da quelle competenti e autorizzate dalla legge. Inoltre, la segnalazione è sottratta all’accesso civico.
Nell’ambito degli eventuali procedimenti che potranno instaurarsi:
● Nell’eventuale procedimento penale, l’identità del segnalante è coperta dal segreto nei modi e nei limiti previsti dall’articolo 329 c.p.p. Tale disposizione prevede l’obbligo del segreto sugli atti compiuti nelle indagini preliminari «fino a quando l'imputato non ne possa avere conoscenza e, comunque, non oltre la chiusura delle indagini preliminari» (il cui relativo avviso è previsto dall’art. 415-bis c.p.p.);
● Nel procedimento dinanzi alla Corte dei conti, l’obbligo del segreto istruttorio è previsto sino alla chiusura della fase istruttoria. Dopo, l’identità del segnalante potrà essere svelata dall’autorità contabile al fine di essere utilizzata nel procedimento stesso (art. 67 d.lgs. 26 agosto 2016, n. 174).
● Nell’ambito del procedimento disciplinare attivato contro il presunto autore della condotta segnalata, l’identità del segnalante può essere rivelata solo dietro consenso di quest’ultimo. Nel caso in cui l’identità del segnalante risulti indispensabile alla difesa del soggetto cui è stato contestato l’addebito disciplinare, l’ente non potrà procedere con il procedimento disciplinare se il segnalante non acconsente espressamente alla rivelazione della propria identità.
Lei può richiedere l’elenco dei destinatari o delle categorie di destinatari a cui i Suoi dati personali sono stati o saranno comunicati, scrivendo all’indirizzo mail a dpo@clinicacdp.it.
I Suoi dati non saranno trasferiti all'estero.
Il Titolare conserverà i Suoi dati personali per un periodo di tempo non superiore a quello necessario a conseguire le finalità per le quali li sta trattando. Nello specifico, le segnalazioni e la relativa documentazione saranno conservate per il tempo necessario al trattamento delle stesse e comunque non oltre cinque anni a decorrere dalla data di comunicazione dell’esito finale della procedura.
I Suoi dati non verranno in nessun caso utilizzati per ottenere informazioni relative alle Sue preferenze o al Suo comportamento né Lei sarà sottoposto ad alcuna decisione basata unicamente sul trattamento automatizzato dei Suoi dati personali.
Lei ha i seguenti diritti:
● Diritto di accesso ai dati: diritto di ottenere dal Titolare la conferma che sia o meno in corso un trattamento di dati personali che La riguardano e in tal caso, di ottenere l’accesso ai Suoi dati personali – e una copia degli stessi – e di ricevere informazioni relative al trattamento;
● Diritto di rettifica dei dati: diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che La riguardano senza ingiustificato ritardo e l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
● Diritto alla cancellazione dei dati: diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che La riguardano senza ingiustificato ritardo se sussiste uno dei motivi seguenti:
- i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
- Lei si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
- i dati personali sono stati trattati illecitamente;
- i dati personali devono essere cancellati per adempiere un obbligo legale a cui è soggetto il Titolare.
● Diritto di limitazione del trattamento: diritto di ottenere dal Titolare la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
- Lei contesta l’esattezza dei dati personali, per il periodo necessario al Titolare per verificare l’esattezza di tali dati personali;
- il trattamento è illecito e Lei si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
- benché il Titolare non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari a Lei per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
- Lei si è opposto al trattamento in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
● Diritto di opposizione al trattamento: diritto di opporsi al trattamento effettuato per l’esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri o sulla base del legittimo interesse del titolare o di terzi, nonché il diritto di opporsi al trattamento dei dati personali che La riguardano effettuato per finalità di marketing diretto, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.
● Diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che La riguardano o che incida in modo analogo significativamente sulla Sua persona.
Potrà esercitare i Suoi diritti inviando una richiesta all’indirizzo e-mail del Titolare direzione.amm@clinicacdp.it oppure dpo@clinicacdp.it.
Il Titolare Le risponderà il prima possibile e, in ogni caso, non oltre 30 giorni dalla Sua richiesta.
Tuttavia La informiamo che, in base all’art. 13, comma 3, d.lgs. n. 24/2023, i diritti di cui agli articoli da 15 a 22 del GDPR, come sopra elencati, possono essere esercitati nei limiti di quanto previsto dall'articolo 2-undecies, lett. f), del Codice, secondo il quale, nel testo modificato dall’art. 24, comma 4, d.lgs. n. 24/2023, “non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell'articolo 77 del Regolamento qualora dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto […] alla riservatezza dell’identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte, ai sensi del decreto legislativo recante attuazione della direttiva (UE) 2019/1937 […], riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione […]”.
Lei non è obbligato a fornire i Suoi dati. Infatti, ove anonima, la segnalazione sarà presa in carico laddove adeguatamente circostanziata resa con dovizia di particolari e dunque in grado di far emergere fatti e situazioni relazionandoli a contesti determinati, al fine di poter procedere al suo esame. In nessun caso, infatti, l’identità del segnalante può essere condivisa con soggetti diversi da quelli designati a ricevere o a dare seguito alle segnalazioni, in assenza di uno specifico consenso da parte del segnalante. Nel caso in cui il segnalante decida di rendere nota la sua identità, troveranno in ogni caso applicazione le tutele previste dalla normativa di whistleblowing, incluse le garanzie di riservatezza.
Qualora Lei desideri proporre un reclamo in merito al trattamento dei Suoi dati da parte di IRST o in merito alla gestione di un reclamo da Lei proposto, Lei ha il diritto di presentare un’istanza direttamente all’Autorità di controllo secondo le modalità indicate nel sito www.garanteprivacy.it.