Privacy policy whistleblowing

Informativa ex artt. 13 e 14, Reg. UE 2016/679

La presente informativa è redatta ai sensi e per gli effetti dell’art. 13 del Regolamento UE 2016/679 (di seguito semplicemente “Regolamento” o “GDPR”) al fine di informarLa che i Suoi dati personali potranno essere raccolti e trattati nell’ambito delle attività di segnalazione di condotte illecite e comportamenti sospetti di cui la S.V. è venuto a conoscenza in ragione del rapporto di lavoro (di seguito semplicemente “segnalazione whistleblowing”) e che possano costituire una violazione delle norme che disciplinano le attività di Caffè Mauro S.p.A..

Il presente documento è da intendersi integrativo di ulteriori informative già consegnate alla S.V. (es. informativa ai dipendenti) e non reitererà il contenuto di esse.

 

  1. TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento, da intendersi quale soggetto che definisce le modalità e le finalità del trattamento dei Suoi dati personali è Caffè Mauro S.p.A. con sede legale in Villa S. Giovanni (RC) – Zona industriale. Per qualunque informazione inerente al trattamento dei dati personali da parte di Caffè Mauro S.p.A. può effettuare apposita richiesta all’indirizzo mail shop@caffemauro.com oppure tramite posta raccomandata all’indirizzo: Caffè Mauro S.p.A. – Villa S. Giovanni (RC) – 89018 Zona industriale

L’Azienda ha nominato un DPO (Data Protection Officer – Responsabile della Protezione dei Dati) contattabile all’indirizzo mail dpo@caffemauro.com

 

  1. FONTE DEI DATI TRATTATI

Le informazioni possono essere fornite:

  • nella segnalazione, dal Segnalante;
  • nel corso delle necessarie attività istruttorie (a titolo esemplificativo, da fonti pubbliche, terzi intervistati, etc.);
  • durante il processo di gestione della segnalazione;

 

  1. TIPOLOGIA DEI DATI TRATTATI

Qualora il Segnalante non decida di conservare l’anonimato possono essere trattati dati personali allo stesso riferibili, nello specifico:

  • dati anagrafici;
  • dati di contatto;
  • eventuali dati di natura particolare ai sensi dell’art. 9 GDPR, in quanto idonei a rivelare uno stato generale di salute (assenze per malattia, maternità, infortunio, etc.), l'idoneità allo svolgimento di specifiche mansioni, l’adesione ad un sindacato e/o ad un partito politico, la titolarità di cariche pubbliche elettive o infine le convinzioni religiose;
  • eventuali dati c.d. giudiziari ai sensi dell’art. 10 GDPR in quanto relativi a condanne penali e a reati o a connesse misure di sicurezza;
  • qualsiasi dato personale contenuto nell’oggetto della segnalazione.

 

A seguito della segnalazione possono essere trattati dati personali riferiti a terzi soggetti (potenziali autori di un illecito o di una irregolarità che rientrano tra quelle segnalabili o soggetti informati sui fatti), nello specifico:

  • dati anagrafici;
  • dati di contatto;
  • eventuali dati di natura particolare ai sensi dell’art. 9 GDPR, in quanto idonei a rivelare uno stato generale di salute (assenze per malattia, maternità, infortunio, etc.), l'idoneità allo svolgimento di specifiche mansioni, l’adesione ad un sindacato e/o ad un partito politico, la titolarità di cariche pubbliche elettive o infine le convinzioni religiose;
  • eventuali dati c.d. giudiziari ai sensi dell’art. 10 GDPR in quanto relativi a condanne penali e a reati o a connesse misure di sicurezza;
  • qualsiasi dato personale contenuto nell’oggetto della segnalazione.
  • I dati personali che dovessero emergere dalle successive attività istruttorie;

 

Saranno acquisiti i soli dati personali strettamente necessari e pertinenti al raggiungimento delle finalità di seguito indicate, nel rispetto del principio di minimizzazione di cui all’art. 5, comma 1, lett. c) GDPR.

 

  1. FINALITÀ E BASI GIURIDICHE DEL TRATTAMENTO

Il Titolare tratterà i dati personali suindicati:

 

  1. Al fine di gestire e dare diligente seguito alle segnalazioni ricevute, ivi incluse le attività di accertamento e le indagini interne legate alla verifica delle condotte oggetto di segnalazione e l’instaurazione di procedimenti, anche disciplinari, nei limiti di quanto richiesto dalle norme applicabili. Inoltre, i dati personali potranno essere trattati per dare seguito a richieste da parte dell’autorità amministrativa o giudiziaria competente e, più in generale, dei soggetti pubblici nel rispetto delle formalità di legge. I dati saranno trattati, altresì, per prevenire e contrastare efficacemente comportamenti fraudolenti e condotte illecite o irregolari.

Pertanto, la base giuridica che giustifica la liceità del trattamento è rappresentata dalla necessità di adempiere ad obblighi di legge e di eseguire compiti di interesse pubblico cui è sottoposto il Titolare del trattamento e disposizioni di Autorità legittimate dalla legge [art. 6, par. 1, lett. c) ed e); art. 9, par. 2, lett. b) e g); art. 10 GDPR].

Un eventuale disvelamento dell’identità del soggetto segnalante a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni o comunque autorizzate avverrà con il consenso espresso del segnalante [art. 6, par. 1, lett. a) GDPR].

 

  1. Al fine di: i) soddisfare esigenze di controllo interno del Titolare e di monitoraggio dei rischi aziendali, nonché per l’ottimizzazione e l’efficientamento dei processi gestionali aziendali e amministrativi interni; ii) accertare, esercitare o difendere un diritto o un interesse legittimo del Titolare in ogni sede competente a garanzia dell’esercizio del diritto di difesa ex art. 24 della Costituzione; iii) gestire la sicurezza informatica e tutelare il patrimonio e la sicurezza dei dati, l’assistenza degli utenti e la manutenzione dei sistemi di sicurezza e protezione perimetrale dei log di traffico riguardanti le connessioni alla Piattaforma di whistleblowing registrati sui sistemi aziendali.

Pertanto, la base giuridica che giustifica la liceità del trattamento è rappresentata dalla necessità di perseguire un legittimo interesse del Titolare [art. 6, par. 1, lett. f) GDPR].

Il mancato consenso al trattamento dei dati per le finalità sopra indicate non consente al segnalante di trasmettere le segnalazioni Whistleblowing.

Il conferimento dei dati comuni, quali ad esempio dati anagrafici o di contatto, da parte del segnalante deve intendersi volontario, essendo riconosciuta dalla legge la possibilità di effettuare una segnalazione in forma anonima (v. infra).

 

  1. SEGNALAZIONE IN FORMA ANONIMA

Qualora la S.V. si trovasse a dover trasmettere una segnalazione Whistleblowing, il conferimento dei Suoi dati personali dovrà intendersi come assolutamente facoltativo.

In caso di mancato conferimento dei dati, la segnalazione verrà presa in considerazione purché supportata da elementi circostanziati e dettagliati; ciò implica che verranno accettate e vagliate anche segnalazioni rese in forma anonima, dove per “anonima” deve intendersi il loro essere prive di indicazioni circa l’identità del segnalante.

Con riferimento all’identità del soggetto segnalato, il conferimento dei dati personali è analogamente facoltativo ma, in difetto, si procederà a gestire la segnalazione solo in presenza di ulteriori elementi che consentano di individuare l’autore del fatto contestato e di poter proseguire nelle opportune verifiche.

Nell’eventualità in cui Lei abbia deciso di rivelare spontaneamente la Sua identità nella segnalazione Whistleblowing, i Suoi dati verranno trattati solo da personale espressamente autorizzato all’espletamento di tale attività e vincolato da rigidi impegni alla riservatezza, sia in merito alle Sue generalità, che al contenuto della segnalazione.

È in ogni caso fatta salva la condivisione del contenuto della segnalazione con determinati soggetti espressamente individuati dalla legge (v. infra p.to 6 – c).

 

  1. DESTINATARI E COMUNICAZIONE DEI DATI

Tutti i dati personali inclusi nella segnalazione, ivi inclusi i Suoi dati personali, e, più in generale, la documentazione prodotta a supporto della stessa, non saranno oggetto di diffusione, fatta salva l’ipotesi in cui la comunicazione o diffusione sia richiesta in conformità alla legge, da soggetti pubblici per finalità di difesa, sicurezza o prevenzione, accertamento o repressione di reati.

Nello svolgimento della propria attività e per il perseguimento delle finalità di cui al precedente p.to 3, i dati potrebbero essere condivisi nella misura strettamente necessaria con alcuni soggetti terzi, qualora esigenze istruttorie richiedano che Caffè Mauro S.p.A. li metta a conoscenza del contenuto della segnalazione o del contenuto della documentazione allegata.

Tutti i soggetti in questione, di seguito elencati, sono formalmente autorizzati al trattamento e a ciò opportunamente istruiti e formati, nonché vincolati all’obbligo di segretezza in merito alle informazioni di ogni genere apprese in occasione delle segnalazioni Whistleblowing.

I soggetti in questione sono:

  1. L’Organismo di Vigilanza ed ogni altra persona che opera sotto la sua autorità, debitamente autorizzata al trattamento secondo il disposto dell’art. 2-quaterdecies, D.lgs. 196/2003;
  2. fornitori e consulenti esterni, con i quali Caffè Mauro S.p.A. ha stipulato accordi ex art. 28 GDPR per il trattamento dei dati e che pertanto agiscono in qualità di responsabili del trattamento fornendo supporto alla Società relativamente alle attività di gestione della segnalazione Whistleblowing;
  3. soggetti, enti o autorità a cui sia obbligatorio comunicare i Suoi dati personali in ragione di disposizioni di legge o di ordini delle autorità. Tali soggetti sono tutti titolari autonomi del trattamento.

 

  1. MODALITA’ DI TRATTAMENTO

Le informazioni come sopra individuate vengono trattate dai membri dell’Organismo di Vigilanza, composto da soggetti appositamente nominati in qualità di soggetti autorizzati e a tal fine adeguatamente formati.

La raccolta dei dati avviene con modalità informatiche e analogiche, secondo quanto definito nel Protocollo Whistleblowing, in modo da garantire la riservatezza dei segnalanti e degli eventuali altri soggetti coinvolti e la confidenzialità delle informazioni presenti all’interno delle segnalazioni.

Il trattamento dei dati personali avverrà in maniera lecita, corretta e trasparente, nel rispetto di ogni vigente normativa e con modalità bilanciate rispetto ai differenti interessi coinvolti.

I dati saranno raccolti e registrati per scopi determinati espliciti e legittimi, ovverosia al solo fine di gestire e dare seguito alle segnalazioni ricevute; i dati personali manifestamente inutili al trattamento della segnalazione non verranno raccolti o, se raccolti accidentalmente, saranno cancellati senza indugio.

Il Titolare assicura che i dati siano esatti e, se necessario, ne dispone l’aggiornamento; assicura altresì l’adozione di tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti relativi alla specifica segnalazione da gestire.

Il trattamento dei dati avverrà tramite supporti e strumenti informatici e analogici con modalità e tempistiche strettamente necessarie a conseguire gli scopi per cui sono stati raccolti. Caffè Mauro S.p.A. impiega adeguate misure di sicurezza organizzative, tecniche e fisiche idonee a tutelare le informazioni da possibili alterazioni, distruzione, perdita, furto, utilizzo improprio o illegittimo.

 

  1. TRASFERIMENTO DATI ALL‘ESTERO

Il Titolare del trattamento non trasferisce i dati personali in Paesi terzi. Nel caso in cui si rendesse necessario un trasferimento di dati extra UE, la Società verificherà che i fornitori prestino garanzie adeguate, così come previsto dagli artt. 44 e seguenti GDPR.

L’elenco completo e aggiornato dei destinatari dei dati potrà essere richiesto al Titolare ovvero al DPO ai recapiti sopra indicati.

 

  1. TEMPI DI CONSERVAZIONE DEI DATI

I dati personali raccolti saranno conservati per il tempo strettamente necessario ad espletare le finalità già indicate nei precedenti paragrafi e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della segnalazione, salvo il caso una conservazione ulteriore si renda necessaria in virtù di obblighi previsti dalla legge (ad esempio, nel caso in cui sia in corso un procedimento giudiziario o disciplinare, fino alla conclusione dello stesso). Il Titolare, giunto tale termine, provvederà alla cancellazione dei dati personali.

 

  1. DIRITTI DELL’INTERESSATO

Gli interessati, in via generale e previa prova della propria identità, hanno il diritto di chiedere al Titolare, in qualunque momento:

  • La conferma dell’esistenza o meno di un trattamento dei dati forniti, le finalità, le categorie di dati trattati, i destinatari, il periodo di conservazione e, ove applicabile, la fonte di essi (art. 15, GDPR). La persona oggetto di segnalazione Whistleblowing non ha la facoltà di esercitare questo diritto;
  • La rettifica senza ingiustificato ritardo dei Suoi dati personali inesatti e l’integrazione di quelli incompleti (art. 16, GDPR);
  • La cancellazione senza ingiustificato ritardo dei Suoi dati (art. 17, GDPR);
  • La limitazione del trattamento dei Suoi dati art. 18, GDPR qualora, ad esempio, ritenga che il trattamento operato da Caffè Mauro S.p.A. sia illecito e/o inappropriato;
  • La portabilità dei Suoi dati ex art. 20, GDPR, ove applicabile. Dietro Sua espressa richiesta le verrà fornito l’elenco dei dati personali che La riguardano, in un formato strutturato, di uso comune e leggibile da dispositivo automatico (es. file excel);
  • La revoca del consenso eventualmente fornito per qualsivoglia finalità. Ciò non pregiudica la liceità del trattamento, basato sul consenso, effettuato prima della richiesta;
  • Di opporsi al trattamento dei Suoi dati personali ai sensi dell’art. 21, GDPR;

Con particolare riferimento all’ultimo punto, il diritto di opporsi al trattamento effettuato sulla base del legittimo interesse della società potrà essere esercitato, secondo quanto previsto dall’art. 21, co. 1 GDPR, esponendo gli specifici motivi connessi alla Sua situazione particolare sui quali si fonda l’opposizione; in tali casi Caffè Mauro S.p.A. si asterrà dal trattare ulteriormente i Suoi dati personali salvo che vi siano motivi legittimi cogenti per procedere al trattamento che prevalgono sui Suoi interessi, diritti e libertà, oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

La Sua richiesta verrà evasa non oltre un mese dalla ricezione; il termine è estendibile fino a un massimo di ulteriori due mesi nei casi di particolare complessità.

Caffè Mauro S.p.A. rappresenta che, ai sensi dell’art. 2-undecies, D.Lgs. 196/2003, i diritti sopra elencati non possono essere esercitati con richiesta al Titolare o con reclamo ex art. 77 GDPR, qualora dal loro esercizio possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del soggetto che effettua una segnalazione Whistleblowing. Il pregiudizio verrà valutato caso per caso in forma concreta. Caffè Mauro S.p.A. dichiara di volersi avvalere della suddetta limitazione solo qualora si tratti di una misura necessaria e proporzionata e che, in tale eventualità, le verrà comunicato in forma scritta e senza ritardo.

In ogni caso, qualora ritenga che il trattamento dei Suoi dati personali sia contrario alla normativa vigente, l’interessato ha:

- diritto di adire le competenti sedi giudiziarie ex art. 79 GDPR, fatti salvi i limiti di cui all’art. 2-undecies, D.Lgs. 196/2003;

- sempre diritto di proporre reclamo al Garante per la Protezione dei Dati Personali, quale autorità di controllo competente. Ulteriori informazioni in merito ai Suoi diritti sulla protezione dei dati personali sono reperibili sul sito web del Garante all’indirizzo www.garanteprivacy.it