Privacy Policy*
INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL’ART. 13 DEL REGOLAMENTO (UE) N. 2016/679
NELL’AMBITO DEL SISTEMA DI SEGNALAZIONE DI ILLECITI (WHISTLEBLOWING)
MIR - Medical International Research S.p.A., società costituita e vigente secondo la legge italiana, con sede legale in Roma 00173, Viale Luigi Schiavonetti, n. 270 (CF e P.IVA: 04564101006), in qualità di Titolare del trattamento dei Dati personali, ha introdotto un sistema interno per la gestione delle segnalazioni di presunti illeciti (c.d. “Whistleblowing”), in conformità alla vigente normativa in materia (D. Lgs 231/2001, L. 179/2017 e D.lgs. 24/2023) che consente di applicare le misure volte a tutelare tutti i soggetti coinvolti rispettando gli obblighi di riservatezza previsti dalla legge.
Ai sensi dell’articolo 13 del Regolamento Generale sulla protezione dei dati (UE) n. 2016/679 (di seguito, il “GDPR”) e del D.lgs. 196/2003 come successivamente novellato dal D.lgs. 101/2018 (di seguito, il “Codice Privacy”), la Società MIR - Medical International Research S.p.A, , in qualità di Titolare del trattamento (di seguito, la “Società” o il “Titolare”) desidera informare i Segnalanti, i soggetti segnalati e qualsiasi soggetto potenzialmente riferito in una Segnalazione (di seguito, “Interessati”) che i dati personali forniti nell’ambito della Segnalazione tramite piattaforma informatica “DigitalPA” formeranno oggetto di trattamento nel rispetto della normativa sopra richiamata.
Alcune Definizioni
Autorizzato al Trattamento: indica il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali. L'autorizzato può operare alle dipendenze del Titolare;
Categorie particolari di Dati Personali: si intendono i Dati Personali idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, dati biometrici trattati allo scopo di identificare in modo univoco una persona fisica, i dati relativi alla salute e dati per quanto riguarda la vita sessuale di una persona fisica o l’orientamento sessuale;
Dati giudiziari: i dati personali che si riferiscono a condanne penali e ai reati o a connesse misure di sicurezza;
Dato Personale: indica qualsiasi informazione relativa a una persona fisica identificata o identificabile;
Piattaforma: indica il la piattaforma informatica del Titolare chiamata DigitalPA;
Responsabile del trattamento dei dati o Responsabile: indica la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che elabora i Dati Personali per conto del titolare del trattamento;
Segnalazioni: indica la comunicazione effettuata dal Segnalante sulla Piattaforma e relativa alla commissione di illeciti o violazioni ai sensi del D.lgs. 24/2023;
Titolare del trattamento o Titolare: indica la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di Dati Personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
Trattamento dei Dati Personali: si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a Dati Personali o insiemi di Dati Personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
1. Categorie di Dati Personali trattati
Attraverso la Piattaforma potranno essere raccolti i seguenti Dati Personali:
• Dati del Segnalante: i dati di tipo comune (dati anagrafici e di contatto) necessari per la registrazione di una Segnalazione non anonima e per verificare la fondatezza della Segnalazione stessa, nonché la voce del Segnalante ove lo stesso decida di avvalersi del sistema di messaggistica vocale disponibile sulla Piattaforma. In caso di Segnalazione anonima vocale la voce sarà mascherata e non riconoscibile.
• Dati della segnalazione: rientrano tutti i Dati Personali riferiti alle persone fisiche oggetto dei contenuti della segnalazione stessa, ovvero i Dati Personali delle persone coinvolte e/o collegate ai fatti oggetto della Segnalazione (nome, cognome, ruolo, ecc.).
In base al principio di minimizzazione ai sensi dell’art. 5.1 lett. c) GDPR, saranno trattati solo i Dati Personali necessari per soddisfare la richiesta di Segnalazione. Le categorie Particolari di dati personali e i Dati giudiziari se non rilevanti per la fattispecie di Segnalazione, non dovrebbero essere inseriti nella Segnalazione da parte del Segnalante. In ogni caso, qualora fossero presenti, il Titolare
non ne farà alcun uso, fatti salvi i casi in cui il trattamento è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria ed è autorizzato dalla legge o da un provvedimento dell’Autorità per la protezione dei dati personali o comunque per ordine dell’Autorità Pubblica.
2. Finalità, base giuridica del trattamento e natura del conferimento
I Dati personali possono essere trattati per le seguenti finalità:
a) nell’ambito del procedimento di ricezione e gestione delle Segnalazioni whistleblowing, esclusivamente per le finalità di istruttoria ed accertamento e valutazione della fondatezza dei fatti oggetto della Segnalazione stessa.
b) al fine di esercitare o difendere un diritto in sede giudiziaria o stragiudiziale, qualora si rendesse necessario a seguito della Segnalazione, sempre nel rispetto degli obblighi di riservatezza di cui all’art. 12 D.Lgs. 24/2023.
La base giuridica è rinvenibile nell’adempimento di un obbligo legale al quale è soggetto il Titolare del trattamento, ex art. 6, co. 1, lett. c) del GDPR.
È richiesto il consenso del Segnalante, a norma di legge, per:
o la registrazione e conservazione su Piattaforma della voce del Segnalante che si avvale dell’utilizzo della funzione del messaggio vocale per effettuare la Segnalazione e/o per comunicare con il Gestore della stessa (ossia l’Organismo di Vigilanza);
o rivelare l’identità del Segnalante e qualsiasi altra informazione da cui possa evincersi, direttamente o indirettamente, tale identità a persone diverse dai membri dell’Organismo di Vigilanza.
Il consenso prestato può essere revocato dal Segnalante in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.
La revoca del consenso per i messaggi vocali deve essere comunicata al Gestore della Segnalazione tramite la messagistica interna alla piattaforma affinché sia attivata la procedura per l’inibizione dell’ascolto delle comunicazioni vocali già trasmesse.
Il conferimento di Dati Personali è volontario. In mancanza del conferimento dei dati identificativi del Segnalante, la Segnalazione sarà gestita come una Segnalazione anonima e potrà essere presa in considerazione dall’Organismo di Vigilanza ove fornisca informazioni sufficienti per la verifica di quanto segnalato.
3. Modalità del trattamento
I Dati Personali forniti saranno trattati principalmente con mezzi elettronici e adeguate misure di sicurezza saranno osservate anche ai sensi dell’articolo 32 del GDPR per prevenire la perdita dei Dati Personali, la distruzione, l’uso illecito o non corretto e l’accesso non autorizzato.
A garanzia della riservatezza del Segnalante, delle persone coinvolte o comunque menzionate nella Segnalazione, del contenuto della Segnalazione e della relativa documentazione durante tutte le attività di gestione della Segnalazione stessa, il processo individuato e la Piattaforma sono implementati in modo tale da non rendere accessibile le predette informazioni e documentazioni a soggetti diversi da quelli autorizzati (Organismo di Vigilanza ed eventuali ulteriori persone incaricate per le attività di verifica ed indagine), anche tramite il ricorso a strumenti di crittografia.
4. Destinatari o categorie di destinatari dei Dati Personali degli Interessati o delle segnalazioni
I Dati Personali saranno trattati per la gestione della Segnalazione dall’Organismo di Vigilanza e saranno comunicati ad altri soggetti appartenenti alle strutture aziendali (Risorse Umane, Legale ecc.), appositamente autorizzati ed istruiti in qualità di autorizzati al trattamento, solo se strettamente necessario alla gestione dell’istruttoria previo consenso dell’Interessato.
Inoltre, i Dati Personali potranno essere trasferiti e/o comunicati ai seguenti soggetti, nella loro qualità di Titolari autonomi o Responsabili del trattamento, in tal ultimo caso appositamente designati dal Titolare del trattamento:
- soggetti esterni incaricati per le attività di verifica e indagine (es. consulenti, studi legali);
- Forze di Polizia o l’Autorità Giudiziaria nell’ambito di investigazioni o indagini di polizia giudiziaria ai fini di prevenzione, accertamento o repressione di reati;
- Autorità pubbliche, ove ciò sia richiesto dalla legge o su loro richiesta;
- DigitalPa s.r.l., proprietario della Piattaforma DigitalPA per la gestione delle Segnalazioni, in quanto Responsabile del trattamento dei dati per conto della Società ai sensi dell’art. 28 del GDPR.
Ogni volta che un terzo agisce in qualità di Responsabile del trattamento dei dati, DAE si assicurerà di avere sottoscritto con quest’ultimo un contratto, ai sensi dell’art. 28 del GDPR, che vincoli il Responsabile del trattamento al Titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di Dati Personali e le categorie di interessati, gli obblighi e i diritti del Titolare del trattamento.
5. Trasferimento di Dati Personali verso Paesi Terzi
I Dati Personali non saranno oggetto di trasferimento in Paesi non appartenenti all’Unione Europea.
6. Durata del trattamento e periodo di conservazione dei Dati Personali
DAE tratterà i Dati Personali nella misura e per il periodo di tempo necessario al perseguimento delle finalità sopra descritte.
In ogni caso, i Dati Personali verranno cancellati decorsi 2 (due) anni dalla data di comunicazione dell'esito finale della procedura di gestione della Segnalazione, a meno che non sussistano ulteriori finalità per la conservazione degli stessi.
7. I Tuoi diritti in qualità di Interessato
Gli interessati, laddove ne ricorrano i presupposti e nei limiti di seguito meglio precisati, hanno il diritto di ottenere l’accesso ai propri dati personali, la rettifica, la cancellazione degli stessi, la limitazione del trattamento o di opporsi al trattamento dei dati ai sensi degli artt. 15-22 GDPR. Tali richieste potranno essere indirizzate alla Società ai recapiti della stessa.
Resta fermo il diritto di proporre eventuali reclami all’Autorità Garante ai sensi della disciplina vigente (www.garanteprivacy.it).
Ai sensi e per gli effetti di cui all’art. 2-undecies primo comma lettera f) del D.Lgs. 196/2003, i diritti di cui sopra (artt. da 15-22 GDPR) non possono essere esercitati dai Segnalati, ovvero il loro esercizio può essere ritardato o limitato, qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del Segnalante.
Il Segnalato riceve comunicazione motivata e senza ritardo da parte del Titolare della limitazione, ritardo o esclusione di esercizio del proprio diritto, a meno che la comunicazione possa compromettere la finalità stessa della limitazione. Il Segnalato può esercitare i propri diritti anche per il tramite del Garante con le modalità di cui all’articolo 160 del Codice privacy. In tale ipotesi, il Garante informa l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale.
