La Società tratterà i dati necessari per gli adempimenti necessari rispetto alla sopracitata normativa quale titolare del trattamento così come definito ex art. 4 par. 1 n. 7 del GDPR.
In qualità di titolare del trattamento, la Società, ex art. 24 del GDPR, mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente alla normativa in ambito Privacy.
Affinché il trattamento venga effettuato conformemente alla normativa in ambito Privacy la Società, ex art. 32 del GDPR, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, mette in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.
La Società garantisce di aver posto in essere, tramite il proprio servizio IT interno e/o tramite Soggetti Terzi fornitori, tutte le misure tecniche necessarie a tutelare tutti gli interessati coinvolti negli adempimenti e nelle procedure legate al “Whistleblowing”.
La Società, nell’ambito dei trattamenti effettuati per adempiere alla sopracitata normativa, provvede a nominare e fornire istruzioni operative ai soggetti che rientrino nella figura degli “Autorizzati”, ai sensi degli artt. 29 del GDPR e 2 quaterdecies del Codice della Privacy, oppure ad integrare le nomine e le istruzioni già fornite in modo da comprendere anche i trattamenti effettuati per le finalità di “Whistleblowing”.
Nell’adempiere, in generale, ai principi di cui all’art. 5 del GDPR, la Società, in particolare, richiama l’attenzione su due dei principi ivi elencati. In adempimento al principio di minimizzazione ex art. 5 par. 1 lett. c, ovvero il “Principio di Minimizzazione”, nel trattare gli eventuali dati personali contenuti nelle segnalazioni, la Società si impegna a cancellare immediatamente i dati manifestatamente non utili all’adempimento degli obblighi della normativa di cui sopra. In adempimento del “Principio della Limitazione della Conservazione”, i dati personali eventualmente trattati nell’ambito degli adempimenti di cui alla sopracitata disciplina dovranno venire conservati per il tempo strettamente necessario e comunque non oltre i cinque anni dalla data di comunicazione dell’esito finale della procedura di Segnalazione.
La Società, in qualità di titolare del trattamento, fornirà a tutti gli interessati coinvolti apposita informativa ex artt. 13 o, eventualmente, 14 del GDPR, inclusi il Segnalante e il Segnalato, senza però che tali obblighi di informativa contrastino con le finalità della sopracitata normativa e pertanto, al primo momento utile a seguito del quale l’adempimento degli obblighi di informativa non contrasti con le esigenze di riservatezza previsti dalla procedura.
Ai sensi dell’art. 2 undecies co. 1 lett. f), i diritti di cui agli artt. da 15 a 22 del GDPR possono essere limitati o non possono essere esercitati con richiesta al titolare del trattamento qualora dal loro esercizio possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del dipendente che segnala ai sensi della legge 30 novembre 2017, n. 179, l’illecito di cui sia venuto a conoscenza in ragione
del proprio ufficio. La valutazione, da parte della Società, dovrà avvenire caso per caso e le motivazioni dovranno venire verbalizzate e conservate.
La Società dovrà provvedere, per i trattamenti effettuati ai sensi della sopracitata normativa, ad effettuare una Valutazione d’Impatto sulla Protezione dei Dati o Data Protection Impact Assesment (di seguito “DPIA”).
