loading
Italiano
English
Español
 
  1. Home
  2. Privacy Policy

PRIVACY POLICY

Mod.: IWB-EXT_Informativa privacy WB ESTESA – Data Agg. 12/2023

Informativa sul trattamento dei dati personali.

Premessa

KIOENE S.p.a. a Socio Unico con sede in Via Caltana 55 – 35010 Villanova di Camposampiero (PD), C.F. .e P. IVA 01359600283, ha predisposto la presente informativa sul trattamento dei dati personali (“informativa”) ai sensi degli artt. 13 e 14 del Regolamento (UE) 679/2016 (“GDPR”), in conseguenza dell’adeguamento agli obblighi derivanti dal decreto legislativo 10 marzo 2023, n. 24 (“decreto whistleblowing”), di attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019 (“direttiva whistleblowing”), riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali.
L’informativa è conforme alla raccomandazione n. 2/2001 che le Autorità Europee per la Protezione dei Dati Personali, riunite nel Gruppo istituito dall’art. 29 della direttiva 95/46/CE, hanno adottato il 17 maggio 2001 per individuare alcuni requisiti minimi per la raccolta di dati personali online e, in particolare, le modalità, i tempi e la natura delle informazioni che i titolari del trattamento devono fornire agli utenti quando questi si collegano a pagine web.

Scopo dell’informativa

L’informativa descrive le modalità attraverso le quali la Società tratta i dati personali acquisiti durante il processo di segnalazione di un atto, fatto o comportamento compresi nel perimetro applicativo del decreto whistleblowing (“segnalazione” o, al plurale, “segnalazioni”).
Il processo, in sintesi, è avviato dalla segnalazione, prosegue – previa verifica della sua ammissibilità – con l’istruttoria e termina: (i) ove la segnalazione sia ritenuta fondata, con la trasmissione, da parte del responsabile della gestione dei canali di segnalazione (“Gestore delle segnalazioni o, brevemente, Gestore”) di una relazione conclusiva all’organo competente all’adozione di eventuali provvedimenti, individuato dalla specifica procedura adottata dalla Società (“procedura whistleblowing”); (ii) ove la segnalazione sia ritenuta infondata, con l’archiviazione.
La Società ha previsto che le segnalazioni – in forma scritta – siano inviate attraverso la piattaforma informatica messa a disposizione dalla Società (“Piattaforma WB”), che garantisce, attraverso il ricorso a strumenti di crittografia, la riservatezza della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione. Attraverso lo stesso mezzo il segnalante può richiedere al Gestore un incontro diretto per formalizzare oralmente la segnalazione.
I dati personali trattati sono quelli inseriti dagli utenti che si collegano alla piattaforma informatica, ovvero quelli di coloro che effettuano una segnalazione in forma orale, nonché quelli dei soggetti coinvolti nella gestione della segnalazione.

Quali sono i soggetti interessati al trattamento?

I soggetti interessati al trattamento sono quelli coinvolti nel processo di segnalazione regolamentato dalla Procedura whistleblowing in conformità al decreto whistleblowing, ovverosia:

  • a) i lavoratori subordinati, ivi compresi quelli titolari di rapporti di collaborazione che si concretano in prestazioni di lavoro prevalentemente personali, continuative e le cui modalità di esecuzione siano organizzate dal committente, e i prestatori di lavoro occasionali;
  • b) i lavoratori autonomi e para-subordinati;
  • c) i lavoratori o collaboratori, che forniscono beni o servizi o che realizzano opere in favore di terzi;
  • d) i liberi professionisti e i consulenti;
  • e) i volontari e i tirocinanti, retribuiti e non retribuiti;
  • f) gli azionisti e le persone con funzione di amministrazione, direzione, controllo, vigilanza o rappresentanza, anche qualora tali funzioni siano esercitate in via di mero fatto;
  • g) i facilitatori, ovverosia alle persone fisiche che assistono una persona segnalante nel processo di segnalazione, operanti all’interno del medesimo contesto lavorativo e la cui assistenza debba essere mantenuta riservata;
  • h) le persone del medesimo contesto lavorativo della persona segnalante, di colui che ha sporto una denuncia all’autorità giudiziaria o contabile o di colui che ha effettuato una divulgazione pubblica e che sono legate ad essi da uno stabile legame affettivo o di parentela entro il quarto grado;
  • i) i colleghi di lavoro della persona segnalante o della persona che ha sporto una denuncia all’autorità giudiziaria o contabile o effettuato una divulgazione pubblica, che lavorano nel mede- simo contesto lavorativo della stessa e che hanno con detta persona un rapporto abituale e corrente;
  • j) gli enti di proprietà della persona segnalante o della persona che ha sporto una denuncia all’autorità giudiziaria o contabile o che ha effettuato una divulgazione pubblica o per i quali le stesse persone lavorano, nonché agli enti che operano nel medesimo contesto lavorativo delle predette persone.
  • k) la persona coinvolta, cioè il soggetto menzionato dalla segnalazione a cui è attribuita la violazione;
  • l) i soggetti menzionati nella segnalazione;
  • m) ogni altro soggetto i cui dati personali siano necessari per la gestione della segnalazione.

Quali dati personali sono trattati?

A seconda dell’oggetto e del contenuto della segnalazione e degli eventuali allegati, e delle necessità conseguenti alla sua gestione, il Titolare del trattamento può trattare sia i dati comuni (ad esempio dati identificativi, mansione svolta, di natura professionale, oppure dati di contatto, di natura professionale o corrispondenti ad altri elementi di identificazione personale conferiti dal segnalante riguardo lui stesso o relativi a terzi) che quelli di natura particolare (art. 9 GDPR) e/o relativi a condanne penali e reati (art. 10 GDPR) dei soggetti indicati al precedente paragrafo.
Nell’ambito della gestione della segnalazione, la Società potrebbe trattare alcune categorie particolari di dati personali forniti sulla piattaforma informatica, ossia – a titolo meramente esemplificativo – dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Per quale finalità sono raccolti i dati?

I dati personali forniti dal segnalante sono trattati per svolgere le necessarie attività istruttorie volte a verificare la fondatezza della segnalazione e consentire l’eventuale adozione dei conseguenti provvedimenti, ed in particolare per:

  • la gestione della segnalazione ricevuta ed accertamento dei fatti oggetto della stessa;
  • per la gestione dei procedimenti conseguenti alla segnalazione (ad esempio di natura disciplinare);
  • la programmazione degli incontri con il Gestore;
  • l’adempimento degli obblighi legali derivanti dal decreto whistleblowing;
  •  la comunicazione dei dati del segnalante nei casi in cui questi abbia acconsentito;
  • l’accertamento, esercizio o difesa di un diritto nelle sedi competenti.

Quali sono le basi giuridiche del trattamento e le condizioni di esenzione?

Il trattamento dei dati personali può essere validamente effettato quando è presente una delle basi giuridiche previste dal GDPR.
Nello specifico, il trattamento dei dati personali comuni è fondato sull’art. 6, paragrafo 1, GDPR, ed in particolare sulle lettere a (consenso), b (esecuzione di un contratto), c (adempimento di un obbligo legale cui è soggetto il Titolare del trattamento), ed f (interesse legittimo, derivante dalle finalità difensive).
Il trattamento dei dati particolari (origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici o biometrici, dati relativi alla salute, alla vita o all’orientamento sessuale) si basa sulle condizioni di esenzione previste dall’art. 9, paragrafo 2, GDPR, lettere f (trattamento necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali) e g (trattamento necessario per l’assolvimento di un interesse pubblico rilevante secondo il diritto dell’Unione europea o dello Stato membro, interesse che l’art. 2-sexies, comma 2, lettera d, del Codice privacy individua nelle attività di accertamento della responsabilità civile, disciplinare e contabile e nelle attività ispettive).
Il rilascio del consenso è facoltativo e specifico rispetto ai casi indicati nel decreto whistleblowing: pertanto
la sua mancanza non pregiudica, a seconda della forma di segnalazione prescelta (scritta od orale), l’effettuazione della segnalazione.
L’interessato potrà, in ogni momento, revocare il consenso prestato inviando una comunicazione al Gestore, ferma restando la liceità del trattamento avvenuto sulla sua base fino al momento della revoca.

È obbligatorio conferire i dati? Quali sono le conseguenze di un eventuale rifiuto?

Poiché le sospette violazioni possono essere segnalate anche in forma anonima, i soggetti che le trasmettono non sono tenuti al rilascio dei propri dati identificativi.
L’indicazione dei dati personali degli altri soggetti coinvolti nella segnalazione (responsabile della violazione, persone informate sui fatti, ecc.), potrebbe essere necessaria al fine di poter dare diligente seguito e riscontro alla segnalazione, ed in mancanza l’istruttoria potrebbe non aver seguito.
Tali dati, sia di natura comune che particolare, saranno trattati conformemente ai principi del GDPR per poter verificare il contenuto della segnalazione.

Quali sono i casi in cui è richiesto il consenso?

Il decreto whistleblowing richiede il consenso facoltativo del segnalante nei seguenti casi:

  • a) per comunicare i dati del segnalante a soggetti diversi dal Gestore e dall’organo della Società competente a ricevere la relazione all’esito dell’istruttoria, previa indicazione di valide ragioni;
  • b) nel procedimento disciplinare e nelle procedure di segnalazione interne o esterne, quando l’identità del segnalante sia indispensabile all’incolpato per difendersi;
  • c) per verbalizzare o registrare il contenuto della segnalazione esposta oralmente.

La revoca del consenso lascia impregiudicata la liceità del trattamento avvenuto sulla sua base fino al momento della revoca stessa.

Come sono trattati i dati personali?

I dati saranno trattati sia con strumenti informatici/elettronici (la piattaforma e i supporti di memorizzazione dei messaggi vocali e delle segnalazioni orali) che mediante supporti cartacei, nel rispetto dei principi di correttezza, liceità, trasparenza, pertinenza, completezza, esattezza e minimizzazione.
Al fine di garantirne la sicurezza, la riservatezza e ad evitare accessi non autorizzati, diffusione, modifiche e sottrazioni, sono utilizzate adeguate misure di sicurezza tecniche, fisiche ed organizzative.
I dati personali non saranno soggetti ad alcun processo decisionale interamente automatizzato, ivi compresa la profilazione.

Come sono protetti i dati?

Al fine di garantire un adeguato livello di protezione dei dati, minimizzando il rischio di un utilizzo improprio o illecito, sono state adottate misure tecniche ed organizzative di sicurezza che rispettano i parametri stabiliti dall’art. 32 del GDPR. In particolare, sono utilizzate misure e controlli tecnici e organizzativi commercialmente ragionevoli per proteggere le informazioni personali degli interessati da perdite, abusi e da accessi non autorizzati.
La piattaforma informatica utilizzata per le segnalazioni è stata disegnata in conformità alla direttiva whistleblowing, nel rispetto dei princìpi fondamentali del GDPR (ed in particolare quello di privacy by design e by default), essa prevede la completa crittografia dei dati e audit periodici di sicurezza.

A chi vengono comunicati i dati?

I dati personali non sono oggetto di diffusione, ovverosia non vengono portati a conoscenza di soggetti indeterminati.
Alcuni dati potranno essere invece portati a conoscenza di uno o più soggetti determinati per le finalità sopra indicate ed in particolare a:

  • a) al Gestore nonché ai soggetti che, all’interno della sua organizzazione, sono stati indicati come responsabili del trattamento, sub responsabili del trattamento, designati e/o autorizzati;
  • b) ai soggetti che, agendo in qualità di responsabili del trattamento o amministratori di sistema, si occupano della manutenzione della struttura tecnologica della piattaforma, operano al fine di rendere effettiva l’erogazione del servizio, fornitori di servizi in outsourcing, professionisti e consulenti;
  • c) ai soggetti che possono accedere ai dati in forza di disposizione di legge, di regolamento o di normativa comunitaria, nei limiti previsti da tali norme;
  • d) ai soggetti ai quali vanno comunicati in base a specifiche disposizioni di legge.

I dati possono essere trasferiti fuori dallo Spazio Economico Europeo (SEE)?

La piattaforma informatica è ospitata si server del provider di servizi di cloud computing ubicati in Europa. I fornitori di servizi sono stati nominati espressamente quali responsabili o sub responsabili del Trattamento dei dati personali, con obbligo di garantire il rispetto della normativa prevista dal GDPR.

Per quanto tempo sono conservati i dati?

Le segnalazioni e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale del procedimento di segnalazione, nel rispetto degli obblighi di riservatezza, sottoposti a esame periodico per verificarne la persistente necessità di conservazione e cancellati, o anonimizzati, una volta decorso tale termine.
La conservazione è finalizzata al solo scopo di consentire alla Società di difendersi (ad esempio da una denuncia di applicazione di misura ritorsiva) o per dare seguito all’eventuale richiesta di un’autorità legittimata ad ottenerli.

Quali sono i diritti riconosciuti e come possono essere esercitati?

Il GDPR prevede che l’interessato, in ogni momento ed in maniera gratuita, possa esercitare nei confronti del titolare del trattamento.
Il decreto whistleblowing prevede tuttavia che i diritti previsti dagli articoli da 15 a 22 del GDPR possono
essere esercitati nei limiti di quanto previsto dall’art. 2-undecies del Codice privacy, ovvero nella misura in cui dalla richiesta o dal reclamo non derivi un pregiudizio effettivo e concreto alla riservatezza dell’identità della persona segnalante
I diritti esercitabili dall’interessato e riconosciuti, entro i limiti summenzionati, dall’ordinamento sono i seguenti:

  • a) diritto di accesso: l’interessato può ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano ed essere informato in relazione alle operazioni di trattamento eseguite dai contitolari (art. 15 GDPR);
  • b) diritto di rettifica: l’interessato può richiedere che i propri dati personali siano rettificati laddove ritenga che non siano accurati o incompleti (art. 16 GDPR);
  • c) diritto alla cancellazione: l’interessato può ottenere la cancellazione dei propri dati, entro i limiti consentiti dalla legge (art. 17 GDPR);
  • d) diritto di limitazione: l’interessato può ottenere la limitazione del trattamento dei propri dati personali (art. 18 GDPR);
  • e) diritto di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento: l’interessato può chiedere di essere informato delle eventuali rettifiche o cancellazioni o limitazioni al trattamento relativamente ai dati personali che lo riguardano (art. 19 GDPR);
  • f) diritto alla portabilità: l’interessato, nei casi previsti dalla legge, può ottenere la restituzione dei dati che ha fornito, e ove fattibile tecnicamente, di ottenere il trasferimento verso una terza parte (art. 20 GDPR).
  • g) diritto di opposizione: l’interessato può opporsi in qualsiasi momento, per motivi connessi alla propria situazione particolare, al trattamento dei dati personali che lo riguardano (art. 21 GDPR).
  • h) diritto di revocare il consenso: l’interessato può in qualsiasi momento revocare il consenso eventualmente fornito in merito ad uno o più trattamenti.

Per l’esercizio dei diritti dovranno essere utilizzati i contatti privacy. Nel caso in cui l’interessato dovesse ritenere che il trattamento dei dati personali avvenga in violazione delle disposizioni normative ha facoltà di proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali.
Potrebbero esserci condizioni o limitazioni ai diritti dell’interessato. Non è quindi certo che, ad esempio, si abbia il diritto di portabilità dei dati in tutti i casi, ciò dipende dalle circostanze specifiche dell'attività di elaborazione.

Come può contattarci?

Di seguito le forniamo alcune informazioni che è necessario portare alla sua conoscenza, non solo per ottemperare agli obblighi di Legge, ma anche perché la trasparenza e la correttezza nei confronti della nostra clientela è parte fondante della nostra attività.

Come sono gestite le modifiche dell’informativa?

L’informativa potrà essere modificata e/o aggiornata in qualunque momento da parte della Società (vedere numero di versione nella prima riga del presente documento).
Eventuali modifiche o aggiornamenti saranno rese note agli interessati non appena adottate e saranno vincolanti dal momento della pubblicazione sui canali previsti dalla scrivente.
L’informativa è sempre disponibile e messa a disposizione degli interessati sul sito WEB aziendale.

Come può contattarci?

Per qualunque domanda o questione relativa al trattamento dei dati personali o per l’esercizio dei diritti riconosciuti l’interessato potrà utilizzare i seguenti dati di contatto:

Titolare del trattamento. Il Titolare del Trattamento dei suoi dati personali è KIOENE S.p.A. a Socio Unico, con sede in Via Caltana 55 – 35010 Villanova di Camposampiero (PD), C.F. .e P. IVA 01359600283, responsabile nei suoi confronti del legittimo e corretto uso dei suoi dati personali e che potrà contattare per qualsiasi informazione o richiesta ai seguenti recapiti: telefono +39 049 9222311, e-mail: info@kioene.com – PEC: kioenespa@pec.it.

D.P.O. (Data Protection Officer) – R.P.D. (Responsabile delle Protezione dei Dati). Potrà inoltre rivolgersi al Responsabile della Protezione dei Dati per avere informazioni e inoltrare richieste circa i suoi dati o per segnalare disservizi o qualsiasi problema eventualmente riscontrato e che potrà contattare al seguente indirizzo e-mail: privacy@kioene.com.

SÌ BUONI, MA DOVE LI TROVO?

Trova il supermercato con i nostri prodotti più vicino a te