Privacy Whistleblowing

INFORMATIVA RESA AI SENSI DEGLI ARTT. 13 E 14 DEL REG. UE 2016/679

(GDPR - GENERAL DATA PROTECTION REGULATION)


INTERESSATI A CUI É RIVOLTA L’INFORMATIVA DEFINIZIONE
Segnalante (o denunciante/whistleblower) È la persona fisica che segnala presunte condotte illecite ai sensi della legge 231/01 attraverso i canali “whistleblowing” messi a disposizione dalla società.
Segnalato (o incolpato/denunciato) È la persona fisica oggetto della segnalazione, incolpata delle presunte violazioni di cui sopra.
Soggetto terzo È la persona fisica, diversa da segnalante e segnalato, i cui dati personali potrebbero essere contenuti nella segnalazione o acquisti

Health and Happiness (H&H) Italy, società iscritta al registro delle Imprese di Milano (n. 10223130963), con sede legale in Viale Sarca, 235, C.F. e P.IVA 10223130963 (“H&H”), in persona del suo legale rappresentante pro tempore, in qualità di “Titolare” del trattamento dei dati personali, con il presente documento, La informa circa le caratteristiche e le modalità del trattamento dei dati personali forniti attraverso la “Piattaforma di gestione delle segnalazioni di illeciti”, ovvero attraverso il canale tradizionale mediante l’invio di una comunicazione agli indirizzi indicati nella Procedura di Whistleblowing alla quale di rinvia adottata dalla società e consultabile, per i dipendenti nell’intranet aziendale e, in ogni caso, sul sito internet della società www.swisse.it

I dati personali conferiti dal segnalante al momento dell’inoltro della segnalazione e le informazioni contenute nelle segnalazioni e negli eventuali documenti alle stesse allegati, nonché i dati eventualmente acquisiti in sede di istruttoria dall’organismo preposto, saranno trattati secondo i principi di correttezza, liceità, trasparenza e tutela della riservatezza e dei diritti di tutti gli interessati (segnalante, segnalato ed eventuali soggetti terzi coinvolti), nel rispetto degli obblighi imposti dalla normativa sulla privacy e dalla legge 30 novembre 2017, n. 179, recante “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato”.

Poiché le sospette violazioni possono essere segnalate tramite la piattaforma adottata dalla Società anche in forma anonima, i soggetti che le trasmettono non sono tenuti a rendere noti i propri dati personali. Tuttavia, la segnalazione anonima potrebbe esporre il segnalante al rischio di eventuali ritorsioni dal segnalato, senza permettere alla Società di apprestare gli appositi strumenti di tutela previsti per le segnalazioni non anonime, ma comunque confidenziali. Sarà inoltre esclusa la possibilità di utilizzare la segnalazione anonima per la gestione di eventuali procedimenti disciplinari nei confronti del segnalato, fatte salve le evidenze probatorie ottenute dall’organismo inquirente nell’ambito di autonome istruttorie.

Tuttavia, anche in relazione alle segnalazioni anonime non si può escludere che, nel corso dell’esame delle stesse, l’organismo preposto alla gestione della procedura riceva informazioni contenenti dati identificativi, dati professionali, oppure dati finanziari riguardanti le altre suddette categorie interessati (segnalato, terzi) che saranno trattate ai sensi della presente informativa.

FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO DEI DATI

I dati personali forniti dal segnalante ed acquisiti dall’organismo preposto all’istruttoria nel corso del procedimento saranno oggetto di trattamento, in relazione agli obblighi di cui alla citata Legge 179/2017.

In particolare, i suddetti dati saranno trattati per le seguenti finalità:

- Gestione delle segnalazioni (accertamento dei fatti oggetto della segnalazione). Base giuridica primaria del trattamento è il legittimo interesse del Titolare [art. 6 co.1 lett. f) GDPR] a conformare la propria organizzazione alle modifiche introdotte dalla citata legge sul Whistleblowing. Tale legittimo interesse prevale rispetto al diritto alla protezione dei dati personali di cui godono gli interessati, considerato lo scopo di primario rilievo perseguito dalla legislazione sulla responsabilità amministrativa degli enti da commissione di reati presupposto.

- Gestione di eventuali procedimenti disciplinari fondati in tutto o in parte sulla segnalazione. Al fine di garantire il diritto di difesa dell’incolpato, le informazioni contenute nella segnalazione potranno essere utilizzate, unitamente ad altri eventuali elementi di riscontro esterno, nell’ambito del procedimento disciplinare avviato nei confronti del segnalato. L’identità del segnalante, invece, potrà essere rivelata nel contesto del procedimento disciplinare – quindi anche al segnalato - nel solo caso in cui detto procedimento si fondi esclusivamente sul contenuto della segnalazione, al fine di garantire il diritto di difesa del segnalato e, comunque, previo espresso consenso del segnalante. Il consenso del segnalante alla rivelazione della sua identità nell’ambito del procedimento disciplinare, non è obbligatorio, ma il suo mancato conferimento comporta l’impossibilità di procedere nei confronti del segnalato, nei procedimenti disciplinari fondati esclusivamente sulle dichiarazioni del segnalante.

TIPOLOGIA DI DATI TRATTATI

La Piattaforma di segnalazione illeciti adottata da H&H raccoglie esclusivamente i dati identificativi del segnalante (se rilasciati) e quelli comunicati nelle segnalazioni. Tuttavia, nel corso della procedura, potranno essere acquisiti i seguenti dati personali:

- documento di riconoscimento, eventuali altri recapiti rilasciati dal segnalante;

- Informazioni sul segnalato contenute nella segnalazione o acquisite in corso di istruttoria;

- Informazioni relative a terzi che possono essere inserite nella segnalazione e nei documenti eventualmente allegati o acquisiti nel corso dell’istruttoria.

I dati personali identificativi del segnalante sono conservati in modo da essere visibili esclusivamente all’organismo preposto alla gestione della segnalazione. La società adotta tutte le garanzie previste dalla legge al fine di tutelare la riservatezza dell’identità del segnalante, in modo che la stessa non sia rivelata a terzi senza l’espresso consenso di quest’ultimo, salvo il caso di segnalazioni in mala fede o diffamatorie.

Come indicato nella Procedura di Whistleblowing adottata dalla società, le segnalazioni non devono contenere dati eccedenti, bensì solo i dati necessari per dimostrare la fondatezza della segnalazione. Di norma, quindi non saranno inseriti dati particolari, né dati personali idonei a rivelare lo stato di salute o giudiziari. Qualora le segnalazioni contenessero suddette categorie di dati personali, riferiti al segnalante o a terzi, e gli stessi non risultino necessari per il perseguimento delle suddette finalità, la società provvederà a distruggerli o, se ciò non risultasse possibile, ad oscurarli, fatti salvi i casi autorizzati dalla legge o da un provvedimento dell’Autorità Garante per la protezione dei dati personali.

MODALITÀ DI TRATTAMENTO DEI DATI

Il trattamento sarà effettuato in modalità cartacea per le segnalazioni via posta ordinaria e attraverso l’utilizzo di una piattaforma informatica accessibile attraverso il sito web della Società alla pagina https://eu.deloitte-halo.com/HHspeakup/ da qualsiasi browser (anche per mezzo di dispositivi mobili).

Il trattamento avverrà con logiche di organizzazione ed elaborazione strettamente correlate alle finalità sopra indicate e comunque in modo da garantire la sicurezza, l'integrità e la riservatezza dei dati stessi nel rispetto delle misure organizzative, fisiche e logiche previste dalle disposizioni vigenti.

In particolare, la trasmissione dei dati forniti dal segnalante mediante l’utilizzo della piattaforma è gestita con protocollo HTTPS. Sono inoltre applicate tecniche di cifratura, garantendo in questo modo la riservatezza delle informazioni trasmesse.

Si ricorda, infine, che i dati personali identificativi del segnalante sono conservati in modo da garantirne la riservatezza. L’associazione dell’identità del segnalante alla segnalazione può, infatti, essere effettuata esclusivamente dall’organismo preposto alla gestione delle segnalazioni.

PERIODO DI CONSERVAZIONE

I dati personali relativi alle segnalazioni vengono conservati e mantenuti per il periodo necessario al completamento della verifica dei fatti esposti nella segnalazione e per successivi 5 anni dalla chiusura della segnalazione, salvo eventuali procedimenti scaturenti dalla gestione della segnalazione (disciplinari, penali, contabili) nei confronti del segnalato o del segnalante (dichiarazioni in mala fede, false o diffamatorie). In tal caso saranno conservati per tutta la durata del procedimento e fino allo spirare dei termini di impugnazione del relativo provvedimento. Nel caso di segnalazioni ritenute manifestamente infondate saranno cancellati senza indugio.

DESTINATARI DEI DATI PERSONALI

Per il perseguimento delle finalità sopra indicate, Le informazioni inviate tramite la piattaforma di segnalazione degli illeciti sono gestite, sotto propria responsabilità dal Gestore delle Segnalazioni in qualità di soggetto designato dalla società quale destinatario delle segnalazioni.

Si ribadisce che soltanto detto organismo avrà accesso ai dati identificativi del segnalante, raccolti in sede di inoltro della segnalazione. In proposito, i componenti del team del Gestore delle Segnalazioni sono vincolati al rispetto di un rigoroso regime di riservatezza.

I dati oggetto di segnalazione, invece, potranno eventualmente essere trattati anche da dipendenti di H&H a tal fine autorizzati e che operano in base alle istruzioni impartite dal Titolare del trattamento. Detti dati potrebbero essere, inoltre, trattati da consulenti esterni o fornitori a tal fine designati quali responsabili del trattamento ex. Art. 28 GDPR, i quali operano secondo le istruzioni impartite dal titolare con particolare riferimento all’adozione delle misure di sicurezza adeguate al fine di poter garantire la riservatezza e la sicurezza dei dati. Nel novero dei responsabili del trattamento rientra anche la società Deloitte che fornisce la piattaforma ed elabora le informazioni sulla stessa caricate. Si precisa che il suddetto fornitore fornisce l’infrastruttura necessaria all’implementazione della procedura informatica di segnalazione, ma non accede ai contenuti sulla stessa caricati (identità del segnalante, oggetto delle segnalazioni, documenti allegati, messaggi scambiati tra segnalante e organo preposto all’istruttoria etc). I singoli contenuti sono, infatti, cifrati per cui anche nel caso di attività manutentive sono accessibili alla società fornitrice.

I dati personali contenuti nelle segnalazioni possono, inoltre, essere comunicati agli uffici competenti H&H e/o delle Società del Gruppo per l’attivazione della tutela giudiziaria e/o disciplinare connessa alla segnalazione, ovvero alle Autorità competenti in presenza di violazioni delle normative applicabili.

Qualora la segnalazione non rientri nella competenza del Gestore delle Segnalazioni secondo la definizione dell’ambito oggettivo della procedura adottata, l’interessato sarà invitato ad inoltrarla all’area aziendale/organo competente e/o alle Autorità competenti. Tali segnalazioni sono, in ogni caso, considerate “protette”. Ciò significa che l’organismo preposto non rivela l’identità o i dati personali di chiunque abbia trasmesso tale segnalazione tramite la piattaforma whistleblowing senza averne ottenuto previamente l’esplicito consenso – sempre che la sua divulgazione non sia imposta dalla legge, da indagini o successivi procedimenti giudiziari.

In tutti i casi sopra indicati di comunicazione, il Titolare garantisce che verranno sempre adottate le opportune misure atte ad evitare una non necessaria circolazione delle informazioni, al fine di garantire la opportuna riservatezza in vista delle particolari finalità dei trattamenti in oggetto.

DIFFUSIONE DEI DATI

I Suoi dati personali non saranno oggetto né di diffusione a destinatari indeterminati né a pubblicazione.

TRASFERIMENTO DEI DATI ALL’ESTERO

I suoi dati personali non saranno trasferiti al di fuori dell’UE.

I trasferimenti infra-gruppo sono previsti solo ove necessari per compiere verifiche (es. la denuncia coinvolge un partner o un manager di una diversa società del gruppo). In tali sarà assicurata l’adozione di garanzie di riservatezza equivalenti e l’adozione di idonee misure di sicurezza delle trasmissioni.

DIRITTI DEGLI INTERESSATI

Gli interessati potranno, compatibilmente con gli eventuali obblighi normativi esistenti, esercitare i diritti riconosciuti di cui agli artt. 15/22 del Regolamento:

- diritto di accesso ai dati personali;

- diritto di ottenere la rettifica o la cancellazione degli stessi (fatta eccezione per i contenuti della segnalazione);

- diritto di revocare il consenso, ove previsto: la revoca del consenso non pregiudica la liceità del trattamento basata sul consenso conferito prima della revoca; alla revoca del consenso consegue l'impossibilità di accedere al suo profilo, potrà comunque visualizzare le segnalazioni tramite i loro codici; la revoca non è comunque prevista nel caso in cui il trattamento è necessario per adempiere un obbligo normativo al quale è soggetto il titolare del trattamento;

- diritto di proporre reclamo al Garante per la protezione dei dati personali ai sensi dell’art. 77 d GDPR oppure ricorso all’Autorità giudiziaria competente ai sensi dell’art. 79 GDPR, nei modi e nei limiti previsti dalla vigente normativa nazionale.

Il Titolare informa che l’esercizio dei diritti su esposti ed in particolare il diritto di accesso, potrà essere ritardato, limitato o escluso per tutto il tempo in cui ciò costituisca una misura necessaria e proporzionata, tenendo conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare gli interessi di riservatezza del segnalante e di garantire che lo svolgimento degli accertamenti non rischi di essere compromesso (es. manomissione delle prove, occultamento di informazioni).

I diritti su esposti non possono essere esercitati con richiesta al titolare del trattamento, ovvero con reclamo ai sensi dell’art. 77, quando dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante. In tali casi, tuttavia, i diritti degli interessati possono essere esercitati tramite il Garante per la protezione dei dati personali con le modalità di cui all’art. 160 D. Lgs. 196/2003, secondo cui il Garante informa l’interessato di avere eseguito tutte le verifiche necessarie o di aver svolto un riesame, fermo restando il diritto dell’interessato di proporre ricorso giurisdizionale.

In tutti gli altri casi, I suoi diritti potranno essere esercitati tramite i seguenti canali:

- via mail al seguente indirizzo Aaron.Xie@hh.global

- via posta mediante comunicazione scritta da inviarsi ad H&H in Viale Sarca, 235, Milano.

COOKIE

Nessun dato personale degli utenti viene acquisito dalla piattaforma.

Non viene fatto uso di cookies per la trasmissione di informazioni di carattere personale, né vengono utilizzati cookies persistenti per il tracciamento degli utenti.

Vengono utilizzati esclusivamente cookies tecnici nella misura strettamente necessaria al corretto ed efficiente utilizzo della piattaforma. L'uso dei cookies di sessione (che non vengono memorizzati in modo persistente sul computer dell'utente e svaniscono con la chiusura del browser) è strettamente limitato alla trasmissione di identificativi di sessione (costituiti da numeri casuali generati dal server) necessari per consentire l'esplorazione sicura ed efficiente della piattaforma.