Whistleblowing

INVIA UNA SEGNALAZIONE

La Casa di Cura Villa Igea considera fondamentali la trasparenza e il rispetto dei principi etici nella gestione delle proprie attività. Per prevenire rischi e comportamenti scorretti, in linea con il D.Lgs. 231/01 e le normative vigenti, la struttura ha attivato una piattaforma digitale che consente a tutti gli stakeholder di segnalare, anche in forma anonima, illeciti, irregolarità o violazioni delle procedure aziendali.

Le segnalazioni vengono esaminate dal Comitato interno per il whistleblowing e i dati personali sono trattati nel pieno rispetto del GDPR, garantendo riservatezza e sicurezza.

Chi può inviare una segnalazione?
Possono inviare una segnalazione i dipendenti della struttura e tutti coloro che operano per conto o a favore della stessa o che hanno rapporti d’affari con la Casa di Cura (collaboratori, agenti, liberi professionisti, consulenti, ecc.).
Le modalità e la procedura di gestione del whistleblowing sono riportate nello specifico regolamento, disponibile al personale e a tutti i soggetti legittimati a segnalare.

Cosa è possibile segnalare?
Oggetto di segnalazione sono, in generale, informazioni o fondati sospetti di violazioni commesse nell’attività lavorativa che possano danneggiare l’integrità della Casa di Cura.
Rientrano ad esempio:

  • illeciti amministrativi, contabili, civili o penali;

  • condotte rilevanti ai sensi del D.Lgs. 231/2001, violazioni del Modello 231 o del Codice Etico (discriminazioni, molestie, conflitti di interesse, ecc.);

  • violazioni della normativa europea (appalti, mercati finanziari, sicurezza dei prodotti e trasporti, tutela ambientale, salute pubblica, protezione dei dati, sicurezza informatica, concorrenza, ecc.);

  • atti od omissioni che ledono interessi finanziari o finalità dell’Unione Europea;

  • condotte volte ad occultare violazioni o attività illecite non ancora compiute ma ragionevolmente sospettate.

Cosa non segnalare?
Non sono considerate segnalazioni whistleblowing e vengono quindi escluse:

  • contestazioni o richieste legate a interessi personali (es. vertenze di lavoro, rapporti individuali);

  • notizie già pubbliche, prive di fondamento o basate su voci non attendibili;

  • segnalazioni disciplinate da specifici canali obbligatori (es. settore bancario e finanziario);

  • questioni di sicurezza nazionale;

  • conflitti interpersonali o rapporti tra colleghi.
    Non rientrano inoltre: segnalazioni provenienti da sindacati o persone giuridiche, segnalazioni anonime non circostanziate o inviate per posta senza l’indicazione di “whistleblowing”.

Quali canali posso utilizzare per inviare una segnalazione?

  • Portale web della Casa di Cura, sezione whistleblowing (canale primario).

  • Posta ordinaria all’indirizzo:
    Ufficio interno gestione segnalazioni whistleblowing
    Casa di Cura Villa Igea Sas, Viale Regina Margherita 15/b – 98123 Messina

Quali sono i contenuti di una segnalazione?
La segnalazione deve contenere informazioni sufficienti a consentire le verifiche: descrizione dei fatti (luoghi, date), soggetti coinvolti o informati, ed eventuali allegati (documenti, foto, registrazioni).

Posso inviare una segnalazione anonima?
Sì, purché la segnalazione sia circostanziata e contenga elementi concreti che permettano di svolgere i necessari riscontri.

Chi prenderà in carico e tratterà la mia segnalazione?
Le segnalazioni vengono gestite dal Comitato interno whistleblowing. Se un componente risultasse coinvolto, il segnalante può indicarlo nel portale e richiederne l’esclusione dalla gestione.

Posso seguire lo stato di lavorazione della mia segnalazione?
Sì. Utilizzando il codice univoco generato dal portale al momento dell’invio, il segnalante può monitorare lo stato della propria segnalazione.

INFORMATIVA SUL TRATTAMENTO DI DATI PERSONALI NELL’AMBITO DELLA PROCEDURA SEGNALAZIONI – WHISTLEBLOWING

SEGNALANTI

Questa informativa è fornita agli utenti/visitatori che interagiscono con il sistema web ufficiale per le segnalazioni in merito a potenziali illeciti o irregolarità di cui si sia venuti a conoscenza nell’ambito dell’attività lavorativa e intende promuovere la cultura dell’etica e della legalità di fronte a condotte irregolari di cui si è testimoni, accessibile per via telematica cliccando su questo link: modulo whistelblowing

Le seguenti informazioni sono rese, ai sensi:

  • dell’art. 13 del Regolamento UE 2016/679;

  • del Provvedimento dell’Autorità privacy italiana n. 229 dell’8 maggio 2014 (Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie laddove necessario);

  • delle Linee Guida del WP 29 del 10 aprile 2019, ratificate dal Comitato europeo per la protezione dei dati personali e sostituite dalle Guidelines 05/2020 on consent under Regulation 2016/679 adottate il 4 maggio 2020;

  • del Provvedimento dell’Autorità privacy italiana n. 231 del 10 giugno 2021 (Linee guida cookie e altri strumenti di tracciamento) che integra il Provvedimento n. 229 del 2014 e fornisce importanti precisazioni al fine di agevolare i titolari del trattamento nella corretta applicazione dell’attuale quadro regolamentare;

  • della Raccomandazione n. 2/2001 del Gruppo Art. 29, relativa ai requisiti minimi per la raccolta dei dati online nell’UE;

  • della Direttiva 2009/136/CE, modificativa della Direttiva 2002/58/CE (c.d. Direttiva e-Privacy), relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche;

  • la legge 30 novembre 2017 n. 179, «Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato», entrata in vigore il 29 dicembre 2017 che prevede un articolo inerente la «Tutela del dipendente o collaboratore che segnala illeciti nel settore privato», e stabilisce, per la prima volta nel nostro ordinamento, specifiche misure a tutela dei whistleblowers nel settore privato, aggiungendo il co. 2-bis all’interno dell’art. 6 del decreto legislativo 8 giugno 2001, n. 231, «Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300». Tale comma 2 bis è stato sostituito dal seguente introdotto dall’art. 24 del d. lgs. nr. 24 del 2023 che stabilisce che i modelli organizzativi 231 prevedano i canali di segnalazione interna, il divieto di ritorsione ed il sistema disciplinare

  • del Parere del Garante del 4 dicembre 2019, doc web nr. 9215763, sullo schema di “Linee Guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro ai sensi dell’art. 54 bis del d. lgs. 165/2001 (cd whistleblowing)” di ANAC;

  • Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (in G.U.U.E. L 305, 26.11.2019, p. 17–56) che andava recepita entro il 17 dicembre 2021;

  • Del D. Lgs. 24 del 2023 che ha abrogato il co 2 bis dell’art. 6 del D. Lgs. 231/2001 ed introdotto in via specifica, all’art. 13, l’obbligo di rilasciare le informative privacy ai segnalanti nonché alle persone coinvolte.

Il sistema è destinato ai dipendenti della struttura e a tutti coloro che, in generale, operano, per conto o a favore del Titolare o che intrattengono relazioni d’affari con questi attraverso qualunque tipo di contratto o incarico. Gli eventi oggetto di segnalazione devono riguardare, in generale, il ragionevole e legittimo sospetto o la consapevolezza in buona fede di condotte illecite o di irregolarità nell’ambito dell’attività lavorativa che possano nuocere all’integrità delle Casa di Cura quali, ad esempio, violazioni del Codice Etico, fatti che possono integrare reati o arrecare danno patrimoniale o di immagine, violazioni di disposizioni o procedure interne. Pertanto, non devono essere oggetto di segnalazione fatti che riguardano:

  • richieste legate ad un interesse di carattere personale del segnalante, o della persona che ha presentato denunzia all’autorità giudiziaria o contabile che attendono ai propri rapporti individuali di lavoro o di impiego;

  • alle segnalazioni di violazioni già disciplinate da altri atti dell’Unione europea indicati nella parte II dell’allegato del d. lgs. 24/2023;

  • alle segnalazioni in materia di sicurezza nazionale, apparati di difesa e materie analoghe.

La presente policy descrive le modalità di gestione del sistema ufficiale della Casa di Cura ma non di altri siti web esterni consultabili eventualmente dall’utente tramite link. Informazioni aggiuntive potranno essere fornite all’interno di specifiche sezioni.

Il D. Lgs. 24/2023 all’art. 12 richiede che venga tutelata l’identità del segnalante e di ogni altra informazione da cui possa evincersi, in modo diretto o indiretto, salvo che il segnalante abbia prestato il suo consenso alla comunicazione dei suoi dati a terzi.

Nell’ambito del procedimento disciplinare contro il segnalato l’identità del segnalante non può essere rilevata, nel caso in cui la contestazione dell’addebito disciplinare sia fondata su accertamenti ulteriori rispetto alla segnalazione.

Si tenga conto che nel caso in cui la conoscenza del segnalante sia indispensabile per la difesa del segnalato la segnalazione potrà essere impiegata nel procedimento disciplinare contro il segnalato solo se il segnalante darà il proprio consenso alla rilevazione della sua identità. La presente informativa viene rilasciata sin da ora, anche ai sensi dell’art. 12 commi 5 e 6 del D. Lgs. 24/2023. Riguardo le ipotesi in cui è necessario procedere alla rilevazione dell’identità del segnalante si rimanda alla Procedura di segnalazione per il whistleblowing.

Si ricorda che a tutela della riservatezza la segnalazione per il whistleblowing è sottratta alle procedure di accesso alla legge 241/1990 ed alla procedure di accesso civico.

1. TIPOLOGIA DI DATI TRATTATI E FINALITÀ DEL TRATTAMENTO

Finalità del trattamento

Il sistema consente di poter eseguire le segnalazioni in totale anonimato, ma opzionalmente l’utente (whistleblower) potrebbe fornire la sua identità. Mentre l’identità del segnalato è sempre richiesta. Pertanto, il trattamento dei dati personali riguarda l’identità del soggetto segnalato e, solo qualora lo decidesse l’utente, l’identità del segnalante e di altri soggetti coinvolti nei fatti segnalati, sul quale sarà mantenuto il massimo riserbo possibile.

Il trattamento è eseguito con le finalità:

  • di adempiere a tutti gli obblighi previsti dal D. Lgs. 24 del 2023 in materia di whistleblowing che ha ratificato la Direttiva UE 2019/1937;

  • di avviare le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto di segnalazione, appreso nell’esecuzione del rapporto di lavoro, relativamente ad attività illecite o fraudolenti, per come indicate dal D. Lgs. 24/2023 .che possono riguardare:

    • illeciti, amministrativi, contabili, civili o penali;

    • condotte illecite rilevanti ai fini del d. lgs. 231/2001;

    • illeciti che rientrano nell’ambito di applicazione degli atti dell’unione europea;

    • atti o omissioni che ledono gli interessi finanziari dell’Unione europea comprese le violazioni delle norme dell’Unione europea;

    • atti o omissioni riguardanti il mercato interno o atti o omissioni che vanificano gli atti dell’Unione europea dei punti precedenti.

  • far osservare il divieto di compiere atti di ritorsione o discriminatori ex art. 19 del D. Lgs. 24/2023, diretti o indiretti, nei confronti del soggetto segnalante e dei facilitatori per motivi collegati, direttamente o indirettamente, alla segnalazione, anche mediante la comunicazione all’INPS;

  • adottare sanzioni disciplinari predisposte dal datore di lavoro conformemente al modello organizzativo di cui alla Legge 231/2001 sia nei confronti di chi viola le misure di tutela del soggetto segnalante che nei confronti di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate.

La base giuridica del trattamento è inerente la necessità di adempiere a un obbligo di legge cui è soggetto il Titolare del trattamento, con riferimento alle previsioni contenute nel D. Lgs. 24 del 2023 in materia di ratifica della Direttiva UE nr. 2019/1937 in materia di whistleblowing, nonchè nella Legge 30 novembre 2017, n. 179 (“Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”) e nel Decreto Legislativo 8 giugno 2001, n. 231 (“Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300”).

In via maggiormente dettagliata i trattamenti di dati personali effettuati sono, pertanto, necessari per adempiere a un obbligo legale (art. 6, § 1, lett. c) del Regolamento), e, con riguardo a categorie particolari di dati (art. 9, § 2, lett. b) del Regolamento in relazione all’art. 54-bis,) o a dati relativi a condanne penali e reati, possono, altresì, essere considerati necessari per l’esecuzione di un compito di interesse pubblico contemplato dall’ordinamento (art. 6, § 1, lett. e) e art. 9, § 2, lett. g) e 10 del Regolamento).

I dati personali dei segnalati potranno, altresì, essere utilizzati per l’adempimento degli obblighi di legge. I dati dei segnalanti potranno essere trattati solo nei casi previsti dalla normativa vigente.

Dati di navigazione

I sistemi informatici e le procedure “software” preposte al funzionamento di questo sistema web acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet.

Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, essere effettuate solo previa esplicita richiesta dell’Autorità Giudiziaria, e permettere di identificare gli utenti.

Cookies

Un cookie è un file di testo che un sito web invia al browser del computer dell’utente. Il browser salva l’informazione e la ritrasmette al server del sito nel momento in cui il browser accede nuovamente a quel sito web.

Un cookie contiene, in genere, il nome del dominio Internet (l’indirizzo IP del sito) da cui proviene il cookie, la “durata” del cookie (cioè l’indicazione del momento in cui lo stesso scade), e un codice numerico, di solito un unico numero generato casualmente.

1.1.1. Cookies tecnici

Il sistema fa uso esclusivamente di cookies di tipo tecnico di prima parte necessari per la navigazione non consentono l’acquisizione di dati personali identificativi dell’utente.

In ogni momento, l’utente avrà comunque la facoltà di accettare o meno l’utilizzo dei cookie modificando le impostazioni del suo browser. Qualora l’utente utilizzasse dei computer diversi in differenti postazioni, dovrà assicurarsi che ogni singolo browser sia impostato correttamente. L’utente può facilmente cancellare ogni cookie installato nella cartella cookie, seguendo le procedure previste dal browser utilizzato.

1.1.2. Link ad altri siti

La navigazione sul sistema web consente di accedere, mediante link ad altri siti Web gestiti da terzi. Questi siti possono raccogliere informazioni personali sull’interessato. Le contitolari non controllano i siti che vengono gestiti da tali soggetti e non possono essere considerate responsabili per le condotte dei medesimi.

Le prescrizioni a tutela della privacy e della sicurezza dei dati personali trattati nei siti collegati da o verso il sito della Casa di Cura non sono coperte dalla presente policy privacy, pertanto, non sono responsabili delle condotte in materia di privacy tenute da questi siti.

2. MODALITÀ DEL TRATTAMENTO E CONSERVAZIONE DEI DATI

I dati personali sono trattati con strumenti automatizzati (ad es. utilizzando procedure e supporti elettronici) e/o manualmente (ad es. su supporto cartaceo) per il tempo strettamente necessario a conseguire gli scopi per cui sono raccolti e, comunque, in conformità alle disposizioni normative vigenti in materia e, quindi, non oltre cinque anni per come previsto dall’art. 14 del D. Lgs. 24/2023. Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.

Ai dati raccolti non sarà applicato alcun processo decisionale automatizzato e nessuna forma di profilazione.

Decorso tale termine, i dati saranno cancellati o trasformati in forma anonima, salvo che la loro ulteriore conservazione sia necessaria per assolvere ad obblighi di legge o per adempiere ad ordini impartiti da Pubbliche Autorità o per l’esercizio del diritto di difesa.

3. TITOLARE, RESPONSABILE PER LA PROTEZIONE DEI DATI (DPO) E INCARICATI

Il Titolare del trattamento dei dati è la CASA DI CURA VILLA IGEA S.R.L. con sede legale sita in Via Consolare Valeria 45/47 – 98124 Messina, contatto mail info@cdcvillaigea.it

La Casa di Cura ha nominato, un Responsabile per la Protezione dei Dati conformità agli artt. 37 ss. del Regolamento UE 2016/679 che può essere contattato tramite mail privacy@cdcvillaigea.it

I trattamenti connessi ai servizi web di questo sito sono curati esclusivamente da personale tecnico, incaricato/autorizzato ed istruito al corretto trattamento dei dati personali che, in nessun caso, saranno oggetto di diffusione.

Ai fini della gestione della procedura di whistleblowing sono stati individuati anche i soggetti autorizzati al trattamento nelle persone che compongono del Comitato interno whistleblowing ai sensi dell’art. 2 quaterdecies del Codice privacy.

4. COMUNICAZIONE E/O DIFFUSIONE DEI DATI

Sono destinatari dei dati raccolti a seguito della segnalazione, se del caso, l’Autorità Giudiziaria, la Corte dei conti e l’ANAC.

In particolare, la trasmissione potrà avvenire nei confronti di:

  • consulenti esterni (per es. studi legali) eventualmente coinvolti nella fase istruttoria della segnalazione;

  • i componenti del Comitato interno whistleblowing e le funzioni aziendali coinvolte nell’attività di esame e valutazione delle segnalazioni;

  • posizioni organizzative incaricate di svolgere accertamenti sulla segnalazione nei casi in cui la loro conoscenza sia indispensabile per la comprensione dei fatti segnalati e/o per la conduzione delle relative attività di istruzione e/o trattazione;

  • istituzioni e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia, Agenzie investigative;

  • organismo di vigilanza nominato ai sensi del D. Lgs. 231/2001 laddove la segnalazione riguardi un reato presupposto o la violazione del modello organizzativo 231;

  • responsabile prevenzione corruzione e trasparenza (RPCT) laddove sussistente;

  • il segnalato laddove la conoscenza dell’identità del segnalante sia necessaria per la difesa del segnalato;

  • l’INPS e l’ANAC laddove siano stati accertati atti ritorsivi nei confronti del segnalante.

I dati personali raccolti sono trattati dal personale della Casa di Cura Villa Igea e da altri soggetti esterni che compongono il Comitato per la gestione delle segnalazioni di Whistleblowing, che agisce sulla base di specifiche istruzioni fornite in ordine a finalità e modalità del trattamento medesimo. I dati personali raccolti non saranno oggetto di diffusione e non saranno trasferiti a paesi terzi (extra UE).

DIRITTI DEGLI INTERESSATI

Gli “interessati”, ovvero le persone fisiche cui si riferiscono i dati, hanno il diritto, in qualunque momento, di accedere alle informazioni che li riguardano e chiederne l’aggiornamento, la rettificazione e l’integrazione, nonché la cancellazione, la trasformazione in forma anonima o il blocco, la limitazione del trattamento e la portabilità dei dati, nonché di opporsi in ogni caso in tutto o in parte al trattamento, per motivi legittimi, al loro trattamento ai sensi degli articoli da 15 a 22 del Regolamento UE 2016/679.

Gli interessati, inoltre, qualora il trattamento dei loro dati è basato sul consenso, potranno in qualunque momento revocarlo (ad esempio ai fini della comunicazione dell’identità al segnalato laddove tale conoscenza non sia indispensabile per la difesa del segnalato). La revoca del consenso non inficia i precedenti trattamenti. Si ricorda che l’interessato può sempre opporsi al trattamento per fini promozionali.

La portabilità consiste nel diritto dell’interessato alla ricezione, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, dei dati personali forniti ai Titolari, nonché la trasmissione degli stessi a un altro titolare del trattamento, e ciò in qualsiasi momento, anche alla cessazione dei rapporti eventualmente intrattenuti con i Titolari.

I trattamenti di dati personali effettuati per fini di sicurezza informatica o per esigenze difensive rientrano tra i trattamenti per il legittimo interesse del Titolare, in tal caso l’interessato può opporsi solo per motivi connessi alla sua situazione particolare che il Titolare valuterà fermo restando l’esecuzione delle finalità difensive.

Per qualunque informazione in merito al trattamento dei dati, nonché per l’esercizio dei diritti di cui agli articoli 15-22 del Regolamento UE 2016/679, gli utenti possono inviare una e-mail agli indirizzi del DPO sopra indicati.

Inoltre, gli interessati hanno il diritto di rivolgersi al Garante per la protezione dei dati personali o ad altra autorità per proporre un reclamo in merito al trattamento dei propri dati personali.

INFORMATIVA SUL TRATTAMENTO DI DATI PERSONALI NELL’AMBITO DELLA PROCEDURA SEGNALAZIONI – WHISTLEBLOWING

PERSONE COINVOLTE

La CASA DI CURA VILLA IGEA S.R.L. con sede legale in Via Consolare Valeria 45/47 – 98124 Messina nella sua qualità di Titolare del trattamento dei dati del sistema di gestione online delle segnalazioni whistleblowing rendono la seguente informativa privacy ai sensi degli art. 13 e 14 GDPR espressamente richiamati dall’art. 13 del D. Lgs. 24/2023 di attuazione della Direttiva CE 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali.

Le seguenti informazioni sono rese ai fini di trasparenza nei confronti del segnalato e di qualsivoglia soggetto interessato potenzialmente riferito in una segnalazione e, quindi, coinvolto nella medesima (di seguito congiuntamente “segnalato”), anzitutto per metterlo al corrente dei limiti all’esercizio di alcuni diritti previsti dal Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (GDPR):

Diritto di informazione – il diritto di essere informato sul trattamento dei propri dati personali ai sensi degli articoli 13 e 14 del GDPR riceve una limitazione alla luce degli obblighi di segretezza e di riservatezza imposti dall’art. 12 del D. Lgs. 24/2023 che garantisce il diritto alla riservatezza dei segnalanti, nonché del rischio di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità del trattamento connesse alle segnalazioni nell’ambito del sistema di whistleblowing (v. art. 14, par. 5, lettere b) e d) del GDPR).
Altri diritti dell’interessato – i diritti di cui agli articoli da 15 a 22 del GDPR non sono preclusi in termini assoluti al soggetto interessato ma non possono essere esercitati (con richiesta al Titolare ovvero con reclamo ai sensi dell’articolo 77 del GDPR) anche in ordine alla conoscenza della fonte del dato, qualora ne possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante (v. articolo 2-undecies del Codice Privacy e articolo 23 del GDPR). L’art. 2-undecies del Codice privacy, infatti, stabilisce dal 15 luglio 2023 al suo comma 3, in relazione alle specifiche limitazioni ai diritti dell’interessato che i diritti non possono essere esercitati laddove derivi un pregiudizio effettivo e concreto (tra le altre ipotesi previste) alla riservatezza dell’identità della persona che segnala le violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte ai sensi della Direttiva UE 2019/1937 che riguarda la segnalazione delle violazioni delle norme dell’Unione europea oppure che segnala le violazioni di cui agli artt. 52 bis e 52 ter del d. lgs. 385/1993 (ossia le violazioni alla Banca d’Italia da parte del personale delle banche) o ancora le segnalazioni presentate innanzi alla Consob o alla Banca d’Italia da parte del personale delle banche.

In particolare, in adempimento dell’obbligo di cui all’art. 2 undecies, comma 3, del Codice privacy, si informa il segnalato e le altre persone coinvolte che l’esercizio dei diritti di cui agli articoli 15 – 22 del GDPR:

  • potrà essere effettuato, in relazione alla fonte del dato e quindi alla conoscenza della stessa identità del segnalante nel solo caso in cui il segnalante abbia prestato il suo consenso oppure nel caso in cui la conoscenza dell’identità del segnalante sia indispensabile per la difesa dell’incolpato. Il segnalato viene informato che in quest’ultimo caso il segnalante ha il diritto di conoscere, con comunicazione scritta, le ragioni della rivelazione dei dati riservati quando la conoscenza del suo nominativo è indispensabile per la difesa della persona coinvolta (v. art. 12, commi 5 e 6 D. Lgs. 24/2023);
  • potrà essere effettuato, con i limiti di cui all’art. 2 undecies del Codice privacy sopra riportato (v. art. 13 comma 3 del D. Lgs. 24/2023), e sarà effettuabile conformemente alle disposizioni di legge o di regolamento che regolano il settore (tra cui il D.lgs. 231/2001);
  • potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare la riservatezza dell’identità del segnalante ed al fine di salvaguardare taluni interessi come lo svolgimento delle investigazioni difensive o l’esercizio del diritto di difesa;
  • in tali casi, i diritti dell’interessato possono essere esercitati anche tramite il Garante con le modalità di cui all’articolo 160 del Codice Privacy, nel qual caso il Garante informa l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale.

L’esercizio dei diritti da parte del segnalato (incluso il diritto di accesso) potrà essere esperito, pertanto, nei limiti in cui la legge applicabile lo consente e, in particolare, si rileva che la richiesta verrà analizzata dagli organismi preposti al fine di contemperare l’esigenza di tutela dei diritti degli individui con la necessità di contrasto e prevenzione delle violazioni delle regole di buona gestione societaria ovvero delle normative applicabili in materia.

Categorie di dati personali e fonte di raccolta

I dati personali relativi al segnalato sono raccolti mediante la segnalazione e relativa documentazione fornita dal segnalante. I dati personali relativi al segnalato saranno ricompresi nelle seguenti categorie:

  • dati anagrafici (e.g. nome, cognome, luogo e data di nascita);
  • dati di contatto (e.g. indirizzo e-mail, numero di telefono, recapito postale);
  • dati di natura professionale (e.g. livello gerarchico, area aziendale di appartenenza, ruolo aziendale, tipo di rapporto intrattenuto con le società contitolari o altri soggetti terzi, professione);
  • ogni altra informazione riferita al segnalato o agli altri soggetti coinvolti che il segnalante decide di condividere con il Titolare per meglio circostanziare la propria segnalazione, in relazione a:
    • condotte illecite rilevanti ai sensi del D. Lgs. 24/2023 quali gli illeciti civili, penali, amministrativi e contabili e le violazioni delle norme dell’Unione europea nonché le condotte illecite rilevanti ai sensi del D.lgs. 231/2001 o violazioni del modello di organizzazione e gestione dell’ente;
    • irregolarità e/o comportamenti illeciti, commissivi o omissivi, che costituiscano o possano costituire violazione dei principi sanciti nel Codice Etico di Namur e Fiducia, di policy e regole aziendali e/o che possano tradursi in frodi o in un danno, anche potenziale, nei confronti di colleghi, azionisti e stakeholder in generale o che costituiscano atti di natura illecita o lesiva degli interessi e della reputazione stessa dell’azienda;
    • attività e pagamenti impropri o sospetti, diversi dalle spese o contribuzioni espressamente previste dalle società Titolari, o ancora donazioni effettuate dai Titolari a pubblici ufficiali o senti o richieste di donazione che tali pubblici ufficiali o enti privati potrebbero effettuare.

Titolare, responsabile per la protezione dei dati (dpo) e incaricati

Il Titolare del Trattamento è la CASA DI CURA VILLA IGEA S.R.L. con sede legale in Via Consolare Valeria 45/47 – 98124 Messina contattabile all’indirizzo mail: info@cdcvillaigea.it
Il Titolare del trattamento ha nominato un Responsabile per la Protezione dei dati contattabile alla mail privacy@cdcvillaigea.it
I trattamenti connessi alla segnalazione sono curati esclusivamente da personale incaricato/autorizzato ed istruito al corretto trattamento dei dati personali che, in nessun caso, saranno oggetto di diffusione.

Lei potrà rivolgersi al Titolare alle mail sopra indicate per l’esercizio di tali diritti.

Finalità del trattamento

Il trattamento è eseguito con le finalità:

  • di avviare le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto di segnalazione, appreso nell’esecuzione del rapporto di lavoro, relativamente ad attività illecite o fraudolenti che possono consistere in illeciti civili, penali, amministrativi, contabili o mancato rispetto del modello organizzativo 231/2001 e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione delle società contitolari, di cui siano venuti a conoscenza in ragione delle funzioni svolte;
  • Far osservare il divieto di compiere atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del soggetto segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione, anche mediante la comunicazione all’ANAC e all’Ispettorato Nazionale del Lavoro;
  • Adottare sanzioni disciplinari predisposte dal datore di lavoro conformemente al modello organizzativo di cui alla Legge 231/2001 sia nei confronti di chi vìola le misure di tutela del soggetto segnalante che nei confronti di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate.

La base giuridica del trattamento va individuata, per tutte le segnalazioni che riguardano gli illeciti civili, penali, amministrativi e contabili della normativa nazionale nonché delle norme dell’Unione Europea indicate dalla Direttiva 2019/1937, nell’adempimento degli obblighi di legge del titolare di cui al D. Lgs. 24/2023 di attuazione della menzionata Direttiva.

La base legale è, pertanto, costituita dall’art. 6 lett. C del GDPR e laddove si tratti di segnalazioni effettuate relativamente allo svolgimento di attività per la fornitura di servizi in favore di enti pubblici l’obbligo di legge risiede nell’art. 54 bis, comma 2, del d. lgs. 165/2001.

Con riferimento ai dati “particolari” di cui all’art. 9 del GDPR (es. dati sulla salute, razza, etnia, vita sessuale, convinzioni religiose politiche e sindacali, dati genetici, dati biometrici, ecc.) deve ritenersi che la base giuridica sia quella prevista dall’art. 9, par. 2 lett. f) ossia l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria fermo restando che, per alcuni aspetti legati al rapporto di lavoro, la base giuridica può essere rinvenuta nella lett. b) della medesima disposizione.

Relativamente, invece, ai dati giudiziari la raccolta può essere effettuata se preordinata all’attività di prevenzione della responsabilità penale dell’impresa conformemente alla ratio della legge 231/2001 nel rispetto della previsione di cui all’art. 10 del GDPR.

Modalità del trattamento e conservazione dei dati

I dati personali sono trattati con strumenti automatizzati (ad es. utilizzando procedure e supporti elettronici) e/o manualmente (ad es. su supporto cartaceo) per il tempo strettamente necessario a conseguire gli scopi per cui sono raccolti e, comunque, in conformità alle disposizioni normative vigenti in materia. Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.

Ai dati raccolti non sarà applicato alcun processo decisionale automatizzato e nessuna forma di profilazione.

La conservazione della documentazione avrà luogo per il periodo di cinque anni conformemente a quanto previsto dall’art. 14 D. Lgs. 24/2023 e tenuto conto della previsione di sanzioni amministrative in caso di varie inosservanze previste dall’art. 21 del D. Lgs. 24/2023 che rendono, pertanto, necessario procedere alla conservazione. Decorso tale termine, i dati saranno cancellati o trasformati in forma anonima, salvo che la loro ulteriore conservazione sia necessaria per assolvere ad obblighi di legge o per adempiere ad ordini impartiti da Pubbliche Autorità o per esigenze difensive.

Trasferimento dei dati

Sono destinatari dei dati raccolti a seguito della segnalazione, se del caso, l’Ufficio di gestione delle segnalazioni whistleblowing, l’Autorità Giudiziaria, la Corte dei conti (per le segnalazioni effettuate con riferimento alle attività degli enti in favore dei quali le società del Gruppo erogano servizi pubblici) l’ANAC e l’Ispettorato Nazionale del lavoro e ODV 231.

In particolare, la trasmissione potrà avvenire nei confronti di:

  • consulenti esterni (per es. studi legali) eventualmente coinvolti nella fase istruttoria della segnalazione;
  • L’Ufficio interno con funzioni di gestione delle segnalazioni istituito in adempimento dell’obbligo di cui al D. Lgs. 24/2023 e le funzioni aziendali coinvolte nell’attività di esame e valutazione delle segnalazioni;
  • posizioni organizzative incaricate di svolgere accertamenti sulla segnalazione nei casi in cui la loro conoscenza sia indispensabile per la comprensione dei fatti segnalati e/o per la conduzione delle relative attività di istruzione e/o trattazione;
  • istituzioni e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia, Agenzie investigative;
  • organismo di vigilanza ai sensi del D. Lgs. 231/2001 esclusivamente per i reati presupposto e nei casi di violazione dei modelli organizzativi, delle procedure specifiche approvate e del Codice etico;
  • responsabile prevenzione corruzione e trasparenza (RPCT) laddove nominato;
  • ANAC e l’Ispettorato Nazionale del lavoro laddove siano stati accertati atti ritorsivi nei confronti del segnalante.

I dati personali raccolti sono, altresì, trattati dal personale del Titolare, che agisce sulla base di specifiche istruzioni fornite in ordine a finalità e modalità del trattamento medesimo previa designazione a soggetti autorizzati al trattamento ex art. 2 quaterdecies del Codice privacy. I dati personali raccolti non saranno oggetto di diffusione e non saranno trasferiti a paesi terzi (extra UE).

Lei potrà esercitare i diritti di cui agli art. 15 – 22 del GDPR, fermo restando le limitazioni di cui è stato informato anche nella presente informativa, quali il diritto di accesso, di rettifica, di cancellazione (diritto all’oblio), di limitazione o di portabilità innanzi ai Titolari presso le loro sedi o tramite mail oppure al DPO alle mail indicate.

Facendo uso delle medesime modalità potrà richiedere l’elenco dei responsabili nominati ex. Art. 28 GDPR in relazione ai trattamenti di cui alla presente informativa.