Whistleblowing

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

EFFETTUATO NELLA GESTIONE DELLE SEGNALAZIONI DEGLI ILLECITI

DISCIPLINATE DALLA PROCEDURA PER LA SEGNALAZIONE DI VIOLAZIONI

Reg. UE 2016/679 (GDPR)

1. Titolare del Trattamento

Sono Contitolari del trattamento:

• Piovan S.p.A., con sede legale in Santa Maria di Sala (VE), Via delle Industrie n. 16, mail: piovanspa@legalmail.it
• Aquatech S.r.l., con sede legale in Santa Maria di Sala (VE), Via delle Industrie n. 16, mail: aquatech@legalmail.it
• Energys S.r.l., con sede legale in Santa Maria di Sala (VE), Via delle Industrie n.16, mail: energys@pec.net
• Penta S.r.l., con sede legale in Poggio Renatico (FE), Via Uccellino 75/77, mail: penta@penta.piovan.com
• Doteco S.p.A., con sede legale in Mirandola (MO), Fraz. San Martino Spino, Via E. Mattei n. 30, mail: doteco-spa@pec.it
• FEA process & technological plants S.r.l., con sede legale in Scarnafigi (CN), Strada Saluzzo n. 49, mail: amministrazione@feaptpcert.it

(di seguito per brevità anche definiti “i Titolari” o “le Società”).

La presente informativa viene resa in relazione al trattamento di dati personali dei segnalanti, dei segnalati, dei facilitatori della segnalazione ed eventuali altri soggetti terzi coinvolti o menzionati nella segnalazione (nel seguito, “Interessati”) effettuato nella gestione delle segnalazioni di illeciti indirizzate alle Società rientranti nell’ambito di applicazione della “Procedura per la Segnalazione di Violazioni” – redatta in conformità a quanto previsto dal D.Lgs. 10 marzo 2023, n. 24, di attuazione della direttiva (UE) 2019/1937 e riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e delle disposizioni normative nazionali – pubblicata sul sito internet aziendale di gruppo www.piovan.com.

2. Tipologia di dati trattati

Sono raccolti e trattati i seguenti dati personali: dati personali di natura comune (e.g. dati anagrafici, dati di contatto, ecc.) del segnalante, del segnalato, dei facilitatori della segnalazione ed eventuali altri soggetti terzi coinvolti o menzionati nella segnalazione che dovessero essere riportati nella segnalazione.

Qualora riportati nella segnalazione o, in seguito, acquisiti nell’ambito della gestione della segnalazione e nella conduzione della relativa istruttoria, potranno essere oggetto di trattamento anche dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose e/o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati biometrici, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale degli Interessati e dati giudiziari, relativi a reati e condanne penali.

I soggetti interessati sono (o possono essere): l’autore della segnalazione (il segnalante), la persona (o le persone) interessata (interessate) dalla segnalazione (il segnalato/i segnalati), la persona fisica che assiste il segnalante nel processo di segnalazione, operante all’interno del medesimo contesto lavorativo del segnalante e la cui assistenza deve essere mantenuta riservata (il facilitatore della segnalazione), ed eventuali altri soggetti terzi coinvolti o menzionati nella segnalazione che dovessero essere riportati nella segnalazione o che dovessero venire in rilievo nel corso dell’istruttoria conseguente alla segnalazione.

3. Fonte dei dati personali

I dati vengono raccolti attraverso le segnalazioni indirizzate alle Società e, successivamente, nel corso dell’istruttoria conseguente alla segnalazione. I dati degli Interessati contenuti nella segnalazione sono forniti direttamente dal segnalante.

Come riportato nella Procedura per la Segnalazione di Violazioni, i segnalanti possono essere:

• lavoratori subordinati, ivi inclusi i titolari di un rapporto di lavoro a tempo parziale, totale o intermittente, a tempo determinato o indeterminato, di somministrazione, di apprendistato, accessorio, o che svolgono prestazioni occasionali;
• lavoratori autonomi, ivi inclusi i titolari di contratti d’opera, di rapporti di agenzia, di rappresentanza commerciale e altri rapporti di collaborazione;
• lavoratori o collaboratori che forniscano beni o servizi o realizzino opere in favore delle Società;
• liberi professionisti e i consulenti;
• i volontari e i tirocinanti, retribuiti e non retribuiti;
• gli azionisti e le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza, anche qualora tali funzioni siano state esercitate in via di mero fatto (i.e. senza investitura formale).

Le segnalazioni possono essere nominative oppure anonime.

Per preservare le finalità investigative, nei casi previsti dalla legge, il segnalato, ai sensi dell’art. 14, co. 5, lett. d), del GDPR, può non essere immediatamente messo a conoscenza del trattamento dei propri dati effettuato da parte dei Titolari, fintanto che sussista il rischio di compromettere la possibilità di verificare efficacemente la fondatezza della denuncia o di raccogliere le prove necessarie.

4. Finalità e base giuridica del Trattamento

I dati personali degli Interessati sono trattati per le finalità connesse all’applicazione della Procedura per la Segnalazione di Violazioni, preordinata alla gestione delle segnalazioni di eventuali violazioni delle disposizioni normative nazionali o dell’Unione Europea che ledono l’interesse pubblico o l’integrità delle Società, nonché di condotte illecite rilevanti ai sensi del D.Lgs. 8 giugno 2001, n. 231 da parte di chiunque ne sia venuto a conoscenza nell’ambito del rapporto di lavoro o di collaborazione con le Società o, comunque, nel contesto lavorativo.

L’adozione della Procedura per la Segnalazione di Violazioni e il trattamento di dati personali conseguente alla ricezione delle segnalazioni avvengono, pertanto, sulla base di un obbligo di legge a cui sono soggetti i Titolari e/o del loro legittimo interesse. Nell’ipotesi di utilizzo di registrazione vocale con relativa trascrizione, nonché nell’ipotesi di rivelazione dell’identità del segnalante, la base giuridica potrà essere esclusivamente il consenso dell’Interessato.

Con riguardo ad un eventuale trattamento dei dati personali successivo alla chiusura dell’istruttoria sulla segnalazione, la base giuridica è rappresentata dal legittimo interesse dei Titolari all’esercizio dei propri diritti ed eventualmente alla difesa in giudizio in tutti i casi in cui si renda necessario (e.g. riapertura di procedimenti giudiziari, richieste di risarcimento danni correlate alla segnalazione), ai sensi dell’art. 6, co. 1, lett. f), e dell’art. 9, co. 2, lett. f), del GDPR.

Nell’ambito di un eventuale procedimento disciplinare nei confronti del presunto autore della condotta segnalata, nel caso in cui la contestazione sia fondata e l’identità del segnalante risulti indispensabile alla difesa del soggetto cui è stato contestato l’addebito disciplinare o della persona comunque coinvolta nella segnalazione, l’identità del segnalante sarà utilizzabile solo nel rispetto della base giuridica del consenso espresso del segnalante, di volta in volta richiesto.

5. Comunicazione dei dati a terzi – Destinatari dei dati

I dati relativi sono trattati dal Comitato Etico e/o da eventuali funzioni aziendali e/o consulenti esterni, come meglio precisato nella Procedura per la Segnalazione di Violazioni.

I componenti interni del Comitato Etico sono autorizzati al trattamento dei dati personali, sulla base di apposita lettera di incarico, contente l’indicazione degli obblighi di riservatezza che devono essere rispettati nell’espletamento della funzione assegnata.

Il componente esterno del Comitato Etico è nominato Responsabile del Trattamento ai sensi dell’art. 28 del GDPR.

Le segnalazioni ed i dati personali degli interessati, inoltre, potranno essere comunicati ai soggetti coinvolti nella gestione della segnalazione, nonché i consulenti e i professionisti esterni di cui le Società si avvalgono, nel rispetto delle previsioni di legge in materia di tutela dei dati personali.

L’identità della persona segnalante e qualsiasi altra informazione da cui possa evincersi, direttamente o indirettamente, tale identità, non potranno essere rivelate, senza il consenso espresso della stessa, a soggetti diversi da quelli sopra indicati.

È fatta salva la comunicazione dei dati personali degli Interessati ad enti pubblici ed alle pubbliche autorità (ivi incluse quelle amministrative, giudiziarie e di pubblica sicurezza), qualora ne ricorrano i presupposti o la comunicazione sia necessaria per adempiere ad un ordine dell’autorità stessa ovvero ad un obbligo di legge.

L’identità della persona segnalante non potrà essere rivelata nemmeno nell’ambito dei procedimenti disciplinari che dovessero scaturire dalla segnalazione, qualora la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione medesima, anche se conseguenti alla stessa. Ove, invece, la contestazione disciplinare sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità. In tale ultimo caso, alla persona segnalante verranno comunicate per iscritto le ragioni della rivelazione dei dati riservati; analoga comunicazione verrà fornita alla persona segnalante qualora la rivelazione della sua identità e le informazioni da cui la stessa possa evincersi, direttamente o indirettamente, risulti indispensabile anche ai fini della difesa di qualsiasi persona coinvolta.

I dati vengono trattati, in qualità di Responsabile del trattamento, ai sensi dell’art. 28 del GDPR, dalla società che gestisce la piattaforma di Whistleblowing e garantisce lo storage dei dati personali trattati in cloud.

I Titolari, ai sensi degli articoli 28 e 29 del GDPR, forniscono al Responsabile del trattamento istruzioni operative per assicurare la riservatezza e la sicurezza del trattamento dei dati personali, garantire la conformità alla normativa applicabile e la tutela degli Interessati al trattamento.

6. Modalità di trattamento, periodo e criteri di conservazione dei dati

I dati verranno trattati prevalentemente attraverso strumenti informatici e/o automatizzati nell’ambito della piattaforma Whistleblowing, con logiche correlate alle finalità sopraindicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati.

I dati verranno trattati per il tempo necessario alla gestione della specifica segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione (art. 14 del D.Lgs. 24/2023).

7. Conferimento dei dati

Il conferimento dei dati del segnalante è obbligatorio nella “segnalazione nominativa” (con gestione dell’identità riservata). Un eventuale rifiuto al conferimento dei dati nella “segnalazione nominativa” rende impossibile seguire l’iter descritto nella Procedura per la Segnalazione di Violazioni.

Il conferimento dei dati del segnalante è facoltativo nella “segnalazione anonima” (che non richiede preventiva registrazione e identificazione). Tuttavia, la segnalazione anonima sarà presa in considerazione soltanto se adeguatamente circostanziata e riferita a fatti e situazioni determinati.

8. Trasferimento dei dati a Paesi Terzi

I dati trattati non vengono trasferiti dai Titolari verso Paesi Terzi. Tuttavia, in caso di eventuale trasferimento di dati verso Paesi Terzi, il trasferimento stesso avverrà nel rispetto della normativa di volta in volta vigente in tema di trasferimento di dati verso Paesi Terzi.

9. Profilazione e processi decisionali automatizzati

Il trattamento non viene effettuato mediante processi decisionali automatizzati (e.g. profilazione).

10. Diritti dell’interessato, Revoca del Consenso e Reclamo all’Autorità di controllo

Fatta eccezione per quanto riportato nel paragrafo che segue, gli Interessati al trattamento possono chiedere ai Titolari l’accesso ai dati che li riguardano, la loro rettifica, l’integrazione o la loro cancellazione, nonché la limitazione del trattamento o qualsiasi altro diritto di cui agli articoli da 15 a 22 del GDPR, ricorrendone i presupposti, che dovranno essere evidenziati nella richiesta. L’esercizio di tali diritti potrà, comunque, essere limitato qualora esistano interessi legittimi prevalenti sugli interessi, diritti e libertà dell’interessato, anche connessi all’accertamento, all’esercizio o alla difesa di un diritto in sede giudiziaria o ad altri obblighi di legge che i Titolari devono assolvere o ad eventuali disposizioni delle Autorità Pubbliche o dell’Autorità Giudiziaria o degli Organi di Polizia.

La persona coinvolta o la persona menzionata nella segnalazione non possono esercitare i diritti che il GDPR riconosce agli Interessati con riferimento ai propri dati personali trattati nell’ambito della segnalazione (il diritto di accesso ai dati personali, il diritto a rettificarli, il diritto di ottenerne la cancellazione o cosiddetto diritto all’oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati personali e quello di opposizione al trattamento). Ciò in quanto dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona segnalante. In tali casi, dunque, al soggetto segnalato o alla persona menzionata nella segnalazione è preclusa anche la possibilità, laddove ritengano che il trattamento che li riguarda violi suddetti diritti, di rivolgersi ai Titolari del trattamento e, in assenza di risposta da parte di questi ultimi, di proporre reclamo al Garante della protezione dei dati personali.

Nei casi diversi da quello sopra enunciato, gli Interessati al trattamento hanno diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali in caso di trattamento illegittimo od illecito dei propri dati da parte dei Titolari.

Qualora il trattamento sia basato sul consenso, l’Interessato ha il diritto di revocare in ogni momento il consenso prestato al trattamento dei dati, senza che ciò pregiudichi la liceità del trattamento basato sul consenso prestato prima della revoca.

11. Contatti e richieste

Per conoscere l’organizzazione privacy interna di ciascun Titolare e le attività dei Responsabili, per avere maggiori informazioni in ordine al trasferimento dei dati verso Paesi extra UE, i meccanismi e le tutele di trasferimento dei dati ex art. 44 ss. GDPR, per esercitare la revoca del consenso eventualmente prestato e/o per esercitare i Suoi diritti (accesso, rettifica, cancellazione, limitazione, opposizione, portabilità) potrà inviare una richiesta al contatto email privacy.ethicscommittee@piovan.com o inoltrare una richiesta tramite la piattaforma Whistleblowing.