INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI NELL’AMBITO DELLA PIATTAFORMA WHISTLEBLOWING
ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”)
Gentile Utente, la società Metropolitan S.p.A., con sede legale in Venezia (Ve), Riva degli Schiavoni n. 4149, in qualità di titolare del trattamento ( “Società” o il “Titolare”), è tenuta a fornirLe alcune informazioni riguardanti il trattamento dei dati personali raccolti mediante i canali accessibili attraverso la piattaforma “VarWhistle” (“Piattaforma”) di un fornitore specializzato (Serenissima Informatica S.p.A.) e che la Società ha messo a disposizione di coloro che intendono inviare, secondo quanto previsto dalla procedura di whistleblowing (di seguito, la “Procedura Whistleblowing” o "Procedura"), una segnalazione con la relativa documentazione ( “Segnalazione”) delle violazioni indicate nella Procedura stessa, in attuazione di quanto previsto dal D. Lgs 10 marzo 2023, n. 24 (“Decreto”).
1. QUALI DATI PERSONALI POSSONO ESSERE RACCOLTI
Qualora venga effettuata una Segnalazione, la Società per il tramite del comitato interno composto da Marta Ardit e Roberta Rampazzo, rispettivamente Responsabile Amministrazione e responsabile Ufficio Personale, e del RSPP esterno Sergio Maroli (“Gestore delle segnalazioni” o “Gestore”) nonché degli ulteriori soggetti autorizzati con riferimento ai seguenti interessati (“Interessati”) già definiti dal Decreto: (a) persona segnalante (di seguito anche “Segnalante”), (b) persona coinvolta, persona segnalata, persona menzionata nella segnalazione ed il facilitatore, raccoglierà e tratterà i dati personali pertinenti e inseriti dal Segnalante (es. tramite i campi di testo libero nel modulo di registrazione) nella Segnalazione, quali ad esempio: • dati identificativi e di contatto quali ad es. nome e cognome, indirizzo di residenza, e-mail, data di nascita. I dati identificativi del Segnalante non saranno raccolti qualora sia effettuata una segnalazione anonima che contenga gli elementi essenziali previsti dalla Procedura; • dati relativi all’occupazione quali ad es. occupazione, funzione, ruolo aziendale; • fatti, atti inerenti ogni altro contenuto della Segnalazione; • dati finanziari ed economici quali ad es. informazioni relative a conti correnti, carte di credito, somme di denaro, emolumenti; • immagini, foto, audio e voce; (congiuntamente “Dati personali”). Le Segnalazioni potranno essere effettuate accedendo alla Piattaforma al seguente indirizzo https:// hotelmetropole.com Nell’ambito della Piattaforma possono essere effettuate Segnalazioni in forma scritta. Al di fuori della Piattaforma le Segnalazioni potranno essere fatte in forma orale attraverso linee telefoniche o sistemi di messaggistica vocale ovvero, su richiesta del Segnalante, mediante un incontro diretto fissato entro un termine ragionevole. Le Segnalazioni effettuate oralmente nel corso di un incontro richiesto dal Segnalante, saranno documentate, previo consenso di quest’ultimo, o mediante registrazione su dispositivo idoneo alla conservazione e all’ascolto o mediante verbalizzazione. La Segnalazione non dovrà contenere fatti non rilevanti ai fini della stessa, né categorie particolari di dati personali, di cui all’art. 9 del GDPR (“Categorie particolari di dati”, cioè quelli da cui possono eventualmente desumersi, fra l’altro, l’origine razziale ed etnica, le convinzioni filosofiche e religiose, l’adesione a partiti o sindacati, nonché lo stato di salute la vita sessuale o l’orientamento sessuale), né dati relativi a condanne penale e reati di cui all’art. 10 del GDPR, salvo i casi in cui ciò sia inevitabile e necessario ai fini della Segnalazione stessa. Fermo quanto sopra, il Titolare con la presente mette a disposizione degli Interessati le informazioni relative al trattamento dei dati personali che li riguardano, riservandosi eventualmente di fornirla nuovamente agli Interessati in un momento successivo alla Segnalazione, al fine di assicurare l’efficacia della Procedura Whistleblowing e di non compromettere le eventuali indagini avviate dalla Società o dalle Autorità.
2. PER QUALI FINALITÀ POSSONO ESSERE UTILIZZATI I DATI PERSONALI
A. Salvo le ipotesi di Segnalazione anonima in cui i dati identificativi del Segnalante non sono raccolti, in tutti gli altri casi i Dati personali saranno trattati per finalità connesse alla ricezione e gestione della Segnalazione nel rispetto del Decreto e della Procedura Whistleblowing. Presupposto per il trattamento è l’adempimento di un obbligo di legge cui è soggetto il Titolare ex art. 6, par. 1, lettera c) del GDPR come previsto dal Decreto. Il conferimento dei Dati personali è obbligatorio, poiché in difetto la Società si troverebbe nell'impossibilità di adempiere agli specifici obblighi di legge relativi alla gestione delle Segnalazioni e, di conseguenza, non potrebbe garantire le misure di protezione previste dal Decreto a favore degli Interessati B. I Dati personali saranno tratti per finalità connesse ad esigenze di difesa dei diritti nel corso di procedimenti giudiziali, amministrativi o stragiudiziali e nell’ambito di controversie sorte in relazione alla Segnalazione effettuata. Inoltre, i Dati personali potranno essere trattati dalla Società per agire in giudizio o per avanzare pretese. Presupposto per il trattamento è il legittimo interesse della Società ex art. 6, par. 1, lett. f) del GDPR alla tutela dei propri diritti. In questo caso, non è richiesto un nuovo e specifico conferimento, poiché la Società perseguirà la presente ulteriore finalità, ove necessario, trattando i Dati personali raccolti per le finalità di cui sopra, ritenute compatibili con la presente (anche in ragione del contesto in cui i Dati personali sono stati raccolti, del rapporto tra Lei e la Società, della natura dei dati stessi e delle garanzie adeguate per il loro trattamento, oltre che del nesso tra la finalità sub A. e la presente ulteriore finalità). Come precisato nel precedente paragrafo 1, la Segnalazione non deve contenere Categorie particolari di dati personali, salvo i casi in cui ciò sia inevitabile e necessario ai fini della Segnalazione stessa. In tal caso, il presupposto di liceità del trattamento di tali dati personali si fonda sull’art. 9, secondo paragrafo, lett. b) del GDPR relativamente alla finalità sub A, e sull’art. 9, secondo paragrafo, lett. f) del GDPR relativamente alla finalità sub B. Per quanto riguarda gli eventuali dati relativi a condanne penali e reati la condizione di legittimità è da rinvenirsi in base all’art. 2-octies del D.lgs. 196/2003, come modificato dal D.lgs. 101/2018 e dal Decreto (“Codice Privacy”) - nell’adempimento degli obblighi di legge di cui al Decreto.
3. COME MANTENIAMO SICURI I DATI PERSONALI E PER QUANTO TEMPO
Il trattamento dei Dati personali è improntato ai principi di correttezza, liceità, trasparenza, integrità e riservatezza. Il trattamento è effettuato anche attraverso modalità automatizzate atte a memorizzarli, gestirli e trasmetterli. Il trattamento avverrà mediante strumenti idonei e garantire la sicurezza e la riservatezza mediante l’utilizzo di procedure idonee ad evitare il rischio di perdita, accesso non autorizzato, uso illecito e diffusione. Ciò avviene tramite l’adozione di tecniche di cifratura e l’attuazione di misure di sicurezza tecnico-organizzative definite, valutate ed implementate anche alla luce di una valutazione d’impatto ai sensi dell’art. 35 del GDPR, come ad esempio il il divieto di raccolta e/o conservazione di file di log, indirizzo IP e forme di monitoraggio del Segnalante. I Dati personali contenuti nella Segnalazione saranno conservati non oltre 5 anni a decorrere dalla data di comunicazione dell’esito finale della procedura di segnalazione o fino a conclusione del procedimento giudiziale o disciplinare eventualmente conseguito nei confronti del Segnalato o del Segnalante, nel rispetto degli obblighi di riservatezza di cui all'articolo 12 del Decreto e del principio di cui agli articoli 5, paragrafo 1, lettera e), del GDPR (limitazione della conservazione). I Dati personali che manifestamente non sono utili al trattamento di una specifica Segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente.
4. CON CHI POSSIAMO CONDIVIDERE I DATI PERSONALI
L’accesso ai Dati personali sarà consentito esclusivamente al Gestore delle segnalazioni nell’ambito del quale è stato autorizzato il personale ai sensi degli artt. 29 GDPR e 2-quaterdecies del Codice Privacy. Successivamente, nella fase di accertamento della fondatezza della Segnalazione, laddove si renda necessario per esigenze connesse alle attività istruttorie, i Dati personali potranno essere inoltrati nel rispetto del principio di riservatezza al personale ovvero a soggetti terzi (es. consulenti) appositamente autorizzati. Informazioni più dettagliate del processo di gestione della Segnalazione e i soggetti coinvolti, sono disponibili all’interno della Procedura Whistleblowing. Inoltre, i Dati personali potranno essere comunicati, ove necessario e ne ricorrano i presupposti, alle pubbliche autorità (iv incluse quelle amministrative, giudiziarie e di pubblica sicurezza). Si precisa che il fornitore della Piattaforma è stato designato dalla Società responsabile del trattamento ex art. 28 del GDPR.
5. TRAFERIMENTO INTERNAZIONALE
I Dati personali saranno trattati all’interno dello Spazio Economico Europeo (SEE) e conservati in server ubicati all’interno del medesimo. Tuttavia, nell’ambito del trattamento in oggetto potrebbero avvenire, anche per il tramite di fornitori di servizi ancorché in via eventuale, trasferimenti di dati personali al di fuori dell’Unione Europea (UE) o dello SEE. Tale trasferimento sarà svolto in ottemperanza a quanto previsto dal Capo V del GDPR.
6. I DIRITTI IN MATERIA DI PROTEZIONE DEI DATI E IL DIRITTO DI AVANZARE RECLAMI DINNANZI ALL’AUTORITÀ DI CONTROLLO
Ogni Interessato ha il diritto di chiedere alla Società, previa sussistenza dei presupposti di cui al GDPR ed al Codice Privacy: a) l’accesso ai Dati personali, come previsto dall’art. 15 del GDPR; b) la rettifica o l’integrazione dei Dati personali in possesso della Società ritenuti inesatti, come previsto dall’art. 16 del GDPR; c) la cancellazione dei Dati personali per il quale la Società non ha più alcun presupposto giuridico per il trattamento come previsto dall’art. 17 del GDPR; d) la limitazione del modo in cui la Società tratta i Dati personali qualora ricorra una delle ipotesi previsti dall’art. 18 del GDPR; e) la copia dei Dati personali da forniti alla Società, in un formato strutturato, di uso comune e leggibile da dispositivo automatico e la trasmissione di tali Dati personali ad un altro titolare del trattamento (cd. portabilità), come previsto dall’art. 20 del GDPR. Diritto di opposizione: oltre ai diritti sopra elencati, l’Interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla Sua situazione particolare, al trattamento dei Dati personali che Lo riguardano da parte della Società per il perseguimento del proprio legittimo interesse, come previsto dall’art. 21 del GDPR. L’Interessato ha altresì diritto di proporre reclamo al Garante per la protezione dei dati personali come previsto all’art. 77 del GDPR, utilizzando i riferimenti disponibili sul sito internet www.garanteprivacy.it, o di adire le opportune sedi giudiziarie. I predetti diritti potranno essere limitati ai sensi e per gli effetti di cui all’art. 2-undecies, primo comma lett. f) del Codice Privacy, qualora dall’esercizio degli stessi possa derivare un pregiudizio concreto ed effettivo alla riservatezza dell'identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte, ai sensi del Decreto. In tali casi, i diritti dell'Interessato possono essere esercitati anche tramite il Garante Privacy con le modalità di cui all'articolo 160 del Codice Privacy. In tale ipotesi, il Garante Privacy informa l'Interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell'interessato di proporre ricorso giurisdizionale.
7. CONTATTI
I dati di contatto della Società, quale Titolare del trattamento, sono i seguenti: venice@hotelmetropole.com Per ogni ulteriore informazione in merito al trattamento dei Dati personali e per esercitare i diritti, potrà contattare la Società ai seguenti indirizzi: email venice@hotelmetropole.com. .
https://whistleblowing.varhub.it/Azienda?code=METROPOLITANSPA