Ai sensi e per gli effetti di cui all’art. 13 del Regolamento 2016/679/UE (Regolamento Generale sulla Protezione dei Dati – di seguito GDPR), la società CloudFire Srl (p. iva/cod. fisc. IT02764700353), con sede legale in Reggio Emilia (RE), Via Giambattista Vico 93, e-mail: privacy@cloudfire.it pec: cloudfire@legalmail.it fornisce all’interessato (segnalante) l’informativa sul trattamento dei dati personali in relazione alla gestione delle segnalazioni in materia di whistleblowing.
L’informativa costituisce parte integrante e sostanziale della “Procedura whistleblowing” adottata dal Titolare. La procedura whistleblowing è pubblicata sul sito web istituzionale del Titolare del trattamento, https://www.cloudfire.it/it al seguente link: whistleblowing.cloudfire.it
Cos’è il whistleblowing: Il whistleblowing è l’istituto giuridico che tutela le persone che, nell’ambito del proprio contesto lavorativo (pubblico o privato), segnalano violazioni di disposizioni normative nazionali o dell’Unione Europea che ledono l’interesse pubblico o l’integrità dell’amministrazione o dell’ente privato, garantendo la riservatezza dell’identità del segnalante e la sua protezione contro eventuali ritorsioni o discriminazioni conseguenti alla segnalazione stessa. Con il Decreto Legislativo del 10 marzo 2023, n. 24, l’Italia ha recepito la Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio europeo in tema di protezione delle persone che segnalano violazioni del Diritto dell’Unione e violazioni delle disposizioni normative nazionali.
IL D. Lgs. 24/2023 ha ampliato l’ambito di applicazione soggettivo della disciplina in materia di whistleblowing, estendendo la tutela in precedenza prevista per i soli dipendenti, anche ai collaboratori, ai lavoratori autonomi, ai liberi professionisti, ai tirocinanti, agli stagisti, ai clienti, ai fornitori, ai partners, ai distributori, agli agenti, sub-appaltatori, agli amministratori, ai soci, ai soggetti della direzione, ai soggetti degli organismi di vigilanza, e/o di controllo, ai candidati, ed altresì ai soggetti il cui rapporto giuridico con la società non sia ancora iniziato (ad es. candidati, potenziali clienti) ovvero risulti cessato ( ad es. ex dipendente, ex collaboratore, ex fornitore ecc.…).
La società CloudFire Srl ha designato l’Organismo di Vigilanza, nella persona dell’Avv. Carmen Pisanello del Foro di Reggio Emilia, quale destinatario delle segnalazioni whistleblowing, in quanto soggetto dotato di autonomia ed imparzialità.
È fatto obbligo al ricevente/gestore delle segnalazioni, di assicurare l’assoluta riservatezza della persona segnalante, della persona segnalata, nonché il contenuto delle segnalazioni e della documentazione allegata.
1. Titolare del trattamento
Il titolare è del trattamento è la società CloudFire Srl (p. iva/cod. fisc. IT02764700353), con sede legale in Reggio Emilia (RE) alla Via Giambattista Vico 93, e-mail: privacy@cloudfire.it pec: cloudfire@legalmail.it
2. Oggetto del Trattamento e canali di segnalazione
Il titolare tratterà i dati personali (in seguito “dati”) identificativi e di contatto del segnalante, nonché tutti gli altri dati che saranno inseriti volontariamente nella segnalazione ovvero nella documentazione allegata alla stessa (ad es. i dati personali relativi al segnalato, od ad altre persone coinvolte nella segnalazione). Non è escluso che il Titolare possa, altresì, trattare categorie particolari di dati, di cui all’articolo 9 e 10 del GDPR.
3. Canali interni per effettuare la segnalazione
La segnalazione potrà essere eseguita dal segnalante attraverso le seguenti modalità/canali:
- canale internet dedicato/piattaforma web al link: whistleblowing.cloudfire.it
- in forma orale, contattando il ricevente /gestore delle segnalazioni, avv. Carmen Pisanello, tramite voice-mail al seguente numero 05221753480
- Il segnalante potrà, sia mediante il canale digitale, che attraverso il canale orale, richiedere un appuntamento, al ricevente/gestore della segnalazione.
CloudFire s.r.l. ha scelto come canale digitale per effettuare le segnalazioni whistleblowing la piattaforma Globaleaks (by WhistleblowingSolutions Impresa Sociale S.r.l. (WBS) con sede a Milano, in Viale Aretusa 34)che è conforme allo Standard ISO 37002, alla Direttiva EU 2019/1937 eal Regolamento Generale sulla Protezione dei Dati(GDPR). Il sistema di segnalazione attraverso la piattaforma consente alsegnalante di effettuare la segnalazione anche in forma anonima. Il canale digitale garantisce lariservatezza del segnalante, dei soggetti menzionati nella segnalazione e delcontenuto della segnalazione. La piattaforma consente un dialogo bidirezionale tra il gestore dellasegnalazione ed il segnalante e la possibilità di scambiarsi messaggi edinviare nuove informazioni e/o allegati. Il sistema crittografato della piattaforma,l'archiviazione sicura dei dati e l'accesso controllato, garantiscono laconformità del canale digitale ai requisiti del GDPR nella gestione dei datipersonali. I metadaticontenuti nei file eventualmente allegati sono eliminati per garantirel’anonimato. Il fornitore della piattaforma ai fini privacy è designato qualeresponsabile ex art. 28 GDPR. Si precisa che sul sito web del titolare, nellasezione whistleblowing, è pubblicata la procedura/policy whistleblowing.
4. Finalità del trattamento
Il Titolare tratterà i dati personali del segnalante e quelli comunicati dal segnalante stesso (ad es. in relazione al segnalato, o ad altre persone coinvolte nella segnalazione), unicamente per le seguenti finalità:
- presa in carico della segnalazione da parte dei destinatari;
- invio di eventuali richieste e/o ricezione di riscontro alle richieste inviate dal segnalante e dai destinatari della segnalazione;
- gestione istruttoria: esecuzione di verifiche sulla fondatezza della segnalazione;
- riscontro sull’esito della segnalazione, - prevenzione e repressione di atti illeciti, anche in via disciplinare.
La base giuridica dei trattamenti suindicati è rinvenibile nell’adempimento dell’obbligo legale previsto dal D. Lgs. n. 24/2023 nonché nell’interesse legittimo del Titolare a prevenire e reprimere atti illeciti e se del caso a tutelare i diritti e gli interessi legittimi del Titolare e/o di terzi, anche in sede giudiziaria (art. 6, par. 1, lett. f) del GDPR). La base giuridica è, altresì, rinvenibile, per ciò che riguarda il trattamento di categorie particolari di dati, nell’articolo 9, par. 2, lett. b del GDPR in quanto il trattamento è necessario per assolvere agli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato, in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nonché nell’articolo 9, par. 2 lett. g del GDPR, in quanto il trattamento è necessario per motivi di interesse pubblico rilevante.
5. Tempi di conservazione
I dati personali dell’interessato saranno conservati per il tempo necessario al trattamento della segnalazione e comunque per un periodo di tempo non superiore a 5 anni dal termine di chiusura dell’istruttoria relativa alla segnalazione. In ogni caso, viene assicurata l’adozione di ogni misura tecnica e organizzativa adeguata a garantire la sicurezza dei dati personali ai sensi del GDPR. Successivamente alla decorrenza del termine dei cinque anni, qualora dovessero rimanere necessità di conservazione per la tutela giurisdizionale o stragiudiziale e/o per eventuali procedimenti disciplinari e/o penali, i dati verranno conservati per garantire tale finalità anche oltre il limite dei 5 anni e per un massimo di 10 anni dalla data della chiusura della segnalazione.
6. Modalità e logica del trattamento
I dati personali dell’interessato verranno trattati ai sensi dell’art. 5 del GDPR e nel rispetto dei principi di liceità, correttezza e trasparenza. I trattamenti dei dati personali dell’interessato sono effettuati sia su supporto cartaceo che attraverso strumenti informatici, nonché oralmente, utilizzando procedure, strumenti e logiche tali da garantire la sicurezza e la riservatezza dei dati. Non ci sarà riservatezza del contenuto della segnalazione e dell’identità del segnalante nei seguenti casi: se la Segnalazione risulti infondata ed effettuata al solo scopo di nuocere al segnalato o per grave imprudenza, negligenza o imperizia del Segnalante; se l’anonimato non è opponibile per legge (es. indagini penali, ispezioni di organi di controllo, etc.); se nella Segnalazione vengano rivelati fatti tali che, seppur estranei alla sfera aziendale, rendano dovuta la Segnalazione all’Autorità Giudiziaria (ad es. reati di terrorismo, spionaggio, attentati, etc.).
7. Segretezza dell'identitià del segnalante
È garantita la segretezza dell’identità del segnalante; qualora fosse necessario, nei casi tassativamente previsti dalla legge (art. 12 commi 2°e 5° del D.Lgs. 24/2023), rivelare l’identità del segnalante ovvero qualsiasi altra informazione da cui potrebbe evincersi direttamente o indirettamente l’identità del segnalante, il gestore della segnalazione richiederà al segnalante e solo in quel momento, se lo stesso intende manifestare il proprio consenso a rivelare la propria identità (ad es. tale necessità potrebbe sorgere per garantire il diritto di difesa del soggetto segnalato destinatario del procedimento disciplinare). Sarà il gestore della segnalazione a richiedere al segnalante il suo espresso consenso mediante apposita richiesta
8. Destinatari dei dati
I dati dell’interessato (segnalante) saranno resi accessibili per la gestione delle segnalazioni, al ricevente/gestore delle segnalazioni (ODV), che ai fini privacy è considerato Titolare autonomo del trattamento, ai soggetti autorizzati ex art. 29 GGDPR che operano sotto l’autorità dell’ODV, o della società CloudFire s.r.l., ovvero a terze parti che forniscono servizi necessari all’espletamento delle finalità di cui al punto 2 e 3 della presente informativa. Un elenco completo dei Responsabili esterni, dei sub-fornitori e dei soggetti autorizzati al trattamento dei dati personali è costantemente aggiornato e disponibile presso la sede del Titolare. I dati personali del segnalante e delle altre persone coinvolte nella segnalazione potranno essere eventualmente comunicati a soggetti pubblici, per l’adempimento di obblighi di legge o per soddisfare richieste dell’autorità giudiziaria o di pubblica sicurezza.
9. Trasferimento dei dati
Il Titolare del trattamento non trasferisce i dati personali al di fuori dello spazio UE. I server sono ubicati nello spazio UE. Tuttavia, il Titolare si riserva la possibilità di utilizzare servizi in cloud, nel qual caso i fornitori dei servizi saranno selezionati tra coloro che forniscono garanzie adeguate così come previsto dall’art. 46 GDPR.
10. Diritti dell'interessato
In relazione alle finalità di trattamento e in qualità di Interessato, il segnalante, potrà esercitare i seguenti diritti:
- Diritto di accesso ai dati personali (art. 15 GDPR): ottenere la conferma dell'esistenza o meno di trattamenti di dati personali che La riguardano, nonché di ottenere una copia dei suddetti dati;
- Diritto di rettifica (art. 16 GDPR): ottenere, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che La riguardano e l’integrazione dei dati personali incompleti o la cancellazione;
- Diritto alla cancellazione (art. 17 GDPR): ottenere dal Titolare del trattamento la cancellazione, senza ingiustificato ritardo, dei dati che La riguardano, nei casi previsti dal GDPR;
- Diritto di limitazione del trattamento (art. 18 GDPR): ottenere dal Titolare la limitazione del trattamento, nei casi previsti dal GDPR;
- Diritto alla portabilità (art. 20 GDPR): ricevere in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i dati personali che La riguardano forniti dal Titolare e di ottenere che gli stessi siano trasmessi ad altro titolare senza impedimenti, nei casi previsti dal GDPR;
- Diritto di opposizione (art. 21 GDPR): opporsi in qualsiasi momento al trattamento dei dati personali che La riguardano, per motivi connessi alla Sua situazione particolare;
- Diritto di proporre reclamo all’autorità di controllo (art. 77 GDPR): proporre reclamo all’Autorità Garante per la protezione dei dati personali.
Si precisa che le richieste formulate da ogni Interessato potranno essere oggetto di diniego nei casi previsti dalla normativa vigente. In ogni caso, il Titolare del trattamento fornirà un riscontro all’Interessato, eventualmente dando evidenza delle ragioni del diniego. Un caso che giustifica il diniego è quello in cui l’esercizio di tali diritti possa procurare un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive connesse alla gestione delle segnalazioni o per l’esercizio del diritto in sede giudiziaria da parte del titolare e/o di terzi limitatamente a tale periodo di tempo.
10. Modalità di esercizio dei diritti e comunicazioni
L’interessato potrà esercitare i suoi diritti conformemente a quanto previsto dall’art. 12 del Regolamento UE 2016/679, inviando una raccomandata a/r a: CloudFire Srl con sede legale in Reggio Emilia (RE), Via Giambattista Vico 93; ovvero una e-mail al seguente indirizzo: privacy@cloudfire.it or a certified email to the following address: cloudfire@legalmail.it.
The data subject will also have the right to lodge a complaint with the Supervisory Authority pursuant to Article 13, paragraph 2, letter d) of the aforementioned regulation, as well as pursuant to Article 77 of the regulation.
The rights referred to in Articles 15 to 22 of the Regulation cannot be exercised by request to the data controller or by lodging a complaint pursuant to Article 77 of the Regulation, if the exercise of such rights could result in actual and concrete prejudice to the interests listed in Article 2-undecies of Legislative Decree no. 196 of 30 June 2003, as amended.
The Data Controller has appointed a Data Protection Officer (DPO) pursuant to Article 37 of the GDPR. The DPO is lawyer Clementina Baroni, who can be contacted at the following email address: dpo@studiolegaleavvbaroni.it
