Informativa relativa al trattamento dei dati nelle segnalazioni Whistleblowing ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR)

Gentilissimo/a,

il Titolare del trattamento dei dati personali (“Titolare”) intende fornirle, ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”) e della normativa europea e nazionale che lo integra e/o lo modifica, ivi compreso il D. Lgs. n. 196/2003 e s.m.i. (di seguito, “Codice Privacy”), in qualità di soggetto segnalante (di seguito “Interessato”), le specifiche informazioni sul trattamento dei dati personali che si rendono necessarie con riferimento alle segnalazioni di violazioni di disposizioni normative nazionali e/o dell’Unione Europea che ledono l’interesse pubblico e/o l’integrità aziendale, di cui Lei è venuto a conoscenza nel Suo contesto lavorativo, ai sensi del D. Lgs. 10 marzo 2023, n. 24 (di seguito “D. Lgs. 24/2023”), e che Lei ci trasmette tramite i diversi canali messi a disposizione dal Titolare.

Nello specifico:

  1. E-mail compliance@grupposandonato.it
  2. Posta ordinaria intestata a DCPARI – Via G. Spadolini n. 4, Milano
  3. Portale Whistleblowing reperibile sul sito web del Titolare nella sezione “trasparenza”
  4. Altri canali previsti dai Modelli Organizzativi ex D. Lgs. n. 231/2001 (i. posta ordinaria Ospedale San Raffaele – Dibit 2, secondo piano Via Olgettina 60 20132 Milano all’attenzione “Organismo di Vigilanza Smart Dental Clinic Srl – strettamente riservato”; ii. canale di posta elettronica sdc@grupposandonato.it)
  5. Contatto telefonico (tramite linee telefoniche o messaggistica vocale) con il direttore di DCPARI

Le segnalazioni trasmesse secondo i canali a), b) ed e) sono ricevute da DCPARI (Direzione Compliance, Protezione Aziendale e Rapporti con le Istituzioni), funzione afferente a GSD Sistemi e Servizi S.c. a r.l. Tale ultima Società agisce in qualità di responsabile del trattamento adeguatamente nominato dal Titolare ex art. 28 del GDPR.

La informiamo che le segnalazioni ricevute attraverso i canali a), b) ed e) saranno comunque trasmesse all’Organismo di Vigilanza del Titolare, incaricato dallo stesso della gestione di tutte le segnalazioni, indipendentemente dal canale utilizzato dal segnalante.

  1. Dati di contatto
Titolare del trattamento Denominazione sociale: Smart Dental Clinic S.r.l.

Sede legale: Via Borgogna n.3 Milano

Indirizzo E-mail: risk.sdc@grupposandonato.it

 
Responsabile della Protezione dei Dati (RPD o DPO)

 

 Indirizzo E-mail: rpd.sdc@grupposandonato.it

 

  1. Dati personali oggetto del trattamento

Il Titolare tratterà i dati da Lei forniti al fine di rappresentare le presunte condotte illecite, delle quali Lei sia venuto a conoscenza, commesse dai soggetti che a vario titolo interagiscono con il Titolare, allo scopo di effettuare le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto di segnalazione e l’adozione dei conseguenti provvedimenti.

Si precisa che il Titolare potrà trattare:

  • i Suoi dati comuni, quale nome e cognome, ruolo aziendale e dati di contatto (“dati comuni”), che Lei deciderà eventualmente e liberamente di fornire quali elementi della segnalazione; nonché, oltre a questi, qualora Lei decida di usufruire del canale di segnalazione a) e iii.), il Suo indirizzo e-mail; canale di segnalazione b) e d.i.) i dati del mittente; canale di segnalazione e) il Suo numero di telefono. Per il canale di segnalazione c) si rimanda alla specifica informativa privacy disponibile sul Portale;
  • i Suoi dati appartenenti a categorie particolari, vale a dire i dati idonei a rivelare, tra l’altro, l’origine razziale ed etnica, i dati relativi allo stato di salute e alla vita sessuale (“dati particolari”) e i Suoi dati giudiziari, qualora Lei decidesse liberamente di fornirli quali elementi rilevanti nell’ambito della segnalazione;
  • i dati comuni, i dati particolari e/o i dati giudiziari di terzi soggetti qualora Lei decidesse liberamente di fornirli in quanto elementi rilevanti nell’ambito della segnalazione.

I dati comuni, i dati particolari e quelli giudiziari eventualmente forniti saranno di seguito definiti congiuntamente, “Dati Personali”.

I Dati Personali sono da Lei direttamente forniti al momento della segnalazione o in momenti successivi di interlocuzione con DCPARI o l’Organismo di Vigilanza del Titolare.

La informiamo, inoltre, che i Dati Personali, da Lei comunicati, ritenuti manifestamente non utili al trattamento della specifica segnalazione non saranno raccolti o, se raccolti accidentalmente, saranno cancellati immediatamente.

  1. Finalità del trattamento

I Dati Personali saranno trattati per:

  • Gestire la segnalazione e garantire la Sua tutela in caso di segnalazione di reati o irregolarità di cui è venuto a conoscenza nell’ambito del Suo rapporto con il Titolare.
  1. Base giuridica del trattamento

Per le finalità sopra indicate, la base di legittimità dei trattamenti dei Dati Personali forniti è:

  • per i dati comuni, l’adempimento di un obbligo legale al quale è soggetto il Titolare, ai sensi dell’art. 6, par. 1, lett. c) GDPR;
  • per i dati particolari, il trattamento sarà effettuato per l’assolvimento di obblighi e l’esercizio di diritti specifici del Titolare, ai sensi dell’art. 9, par. 2, lett. b);
  • per i dati giudiziari eventualmente forniti sono trattati sulla base del D. Lgs. 24/2023.
  1. Natura del conferimento dei dati

Lei potrà scegliere se conferire o meno i Suoi Dati Personali. Qualora Lei scegliesse di non fornirli, potrà sempre scegliere i canali di segnalazione che permettono di agire in anonimato.

  1. Conservazione dei Dati Personali

I Dati Personali, ivi compresa la documentazione eventualmente allegata, saranno conservati per il tempo necessario al trattamento della segnalazione e comunque non oltre 5 (cinque) anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui all’art. 12 del D. Lgs. 24/2023 e del principio di cui all’articolo 5, par.1, lett. e) del GDPR.

Nel caso di contenzioso giudiziale, i Dati Personali saranno conservati per tutta la durata dello stesso, fino all’esaurimento dei termini di esperibilità delle azioni di impugnazione.

Maggiori informazioni sono disponibili presso il Titolare ovvero presso il DPO ai recapiti sopra indicati.

  1. Modalità del trattamento

Il trattamento dei Dati Personali avverrà – secondo i principi correttezza, liceità e trasparenza – tramite supporti e/o strumenti informatici, manuali e/o telematici, con logiche strettamente correlate alle finalità del trattamento e comunque garantendo la riservatezza e sicurezza dei dati stessi e il rispetto degli obblighi specifici sanciti dalla legge.

La disponibilità, la gestione, l’accesso, la conservazione e la fruibilità dei dati è garantita dall’adozione di misure tecniche e organizzative per assicurare idonei livelli di sicurezza ai sensi degli artt. 25 e 32 del GDPR e dell’art. 13, par. 6 del D. Lgs. 24/2023.

Il trattamento è svolto ad opera di soggetti appositamente autorizzati dal Titolare e in ottemperanza a quanto previsto dagli artt. 29 e 32, par. 4 del GDPR e dell’art. 2-quaterdecies del Codice Privacy.

  1. Ambito di comunicazione dei dati personali

I Suoi Dati Personali non saranno oggetto di diffusione, fatta salva l’ipotesi in cui la comunicazione o diffusione sia richiesta, in conformità alla legge, da soggetti pubblici per finalità di difesa o di sicurezza o di prevenzione, accertamento o repressione di reati. Tali soggetti agiranno, di regola, quali autonomi titolari del trattamento per finalità proprie.

Per il perseguimento delle finalità di cui al precedente paragrafo 4, i Suoi Dati Personali saranno accessibili a soggetti terzi, in osservanza delle norme previste dal GDPR, quali:

  • fornitori e consulenti, i quali agiscono tipicamente in qualità di responsabili del trattamento, ai sensi dell’art. 28 del GDPR tra cui a titolo esemplificativo la società che fornisce il software applicativo del Portale e i relativi servizi di manutenzione, nonché GSD Sistemi e Servizi S.c. a r.l. secondo quanto stabilito in premessa;
  • dipendenti delle funzioni aziendali deputate al perseguimento delle finalità sopra indicate, che sono stati espressamente autorizzati al trattamento e che hanno ricevuto adeguate istruzioni operative in ottemperanza a quanto previsto dall’art. 29 GDPR;
  • organi di controllo del Titolare che agiranno in qualità di titolari autonomi.

L’elenco completo ed aggiornato dei destinatari dei dati potrà essere richiesto al Titolare ovvero al DPO, ai recapiti sopra indicati.

I Suoi Dati Personali non saranno oggetto di trasferimento verso Paesi Terzi rispetto all’Unione Europea od organizzazioni internazionali.

  1. Diritti dell’Interessato

Ai sensi degli articoli dal 15 al 22 del GDPR, Lei ha il diritto di:

  • ottenere da parte del Titolare la conferma che sia o meno in corso un trattamento di dati personali che la riguardano e in tal caso, ottenere l’accesso ai Suoi dati e a tutte le informazioni inerenti ai trattamenti posti in essere dal Titolare;
  • qualora i dati non siano raccolti presso l’Interessato, ricevere tutte le informazioni disponibili sulla loro origine;
  • chiedere al titolare del trattamento la rettifica o la cancellazione dei dati o la limitazione del trattamento dei dati che la riguardano;
  • nei casi e con i limiti previsti dal GDPR, dal Codice Privacy e da eventuali normative di settore, ottenere la portabilità dei dati, ossia riceverli dal Titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad un altro Titolare del trattamento senza impedimenti.

Le richieste devono essere rivolte per iscritto al Titolare ovvero al DPO ai recapiti sopraindicati.

La informiamo altresì che ai sensi dell’art. 140-bis del Codice Privacy, Lei potrà proporre reclamo al Garante per la Protezione dei Dati Personali o ricorso dinanzi all’Autorità Giudiziaria.

Si precisa, inoltre, che ai sensi dell’art.2-undecies, co.1, lett. f) del Codice Privacy, il Titolare garantisce la riservatezza della Sua identità.