Informativa sulla privacy e sui cookie
Trattamento dei dati personali nell'ambito delle segnalazioni di illeciti (whistleblowing) — Regolamento (UE) 2016/679 (GDPR) e D.Lgs. 10 marzo 2023, n. 24
Ultimo aggiornamento: 1 luglio 2026
La presente informativa è resa, ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (di seguito «GDPR») e dell'articolo 13 del D.Lgs. n. 24/2023, a chi utilizza la piattaforma Whistleblowing Platform per inviare o consultare una segnalazione di violazione (whistleblowing), nonché alle persone eventualmente coinvolte o menzionate nella segnalazione.
1. Titolare del trattamento e Gestore della piattaforma
Titolare del trattamento dei dati è l'ente (società, amministrazione o organizzazione) destinatario della segnalazione, ossia il soggetto che ha istituito il canale di segnalazione e per il quale la segnalazione viene inoltrata. I dati di contatto del Titolare sono indicati nella pagina dell'ente selezionato al momento dell'invio della segnalazione.
La piattaforma è fornita e gestita da ReLaw S.r.l. (Avv. Luca De Lellis), con sede in Via Di Pietro Adalgiso 1, 66100 Chieti (CH), tel. +39 366 3199375, e-mail [email protected] – P.IVA IT02725110692 – PEC [•], che opera in qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR sulla base di apposito accordo con ciascun Titolare e, ove designato, quale gestore esterno del canale di segnalazione interno ai sensi del D.Lgs. n. 24/2023 e delle Linee Guida ANAC.
2. Responsabile della protezione dei dati (DPO/RPD)
Ove nominato, il Responsabile della protezione dei dati del Titolare è contattabile all'indirizzo [EMAIL DPO]. In assenza di nomina, le richieste possono essere indirizzate al Titolare con i recapiti sopra indicati.
3. Categorie di dati trattati
- Dati identificativi del segnalante: nome, cognome, codice fiscale, indirizzo e-mail, recapito telefonico, qualifica/ruolo, tipologia di rapporto di lavoro ed eventuale dipartimento. La piattaforma gestisce segnalazioni nominative: il conferimento di tali dati è necessario per la trattazione della segnalazione.
- Contenuto della segnalazione: descrizione dei fatti, categoria della violazione, data e luogo dei fatti, soggetti coinvolti, testimoni, eventuale danno economico, allegati e ogni ulteriore informazione fornita dal segnalante.
- Dati di terzi: dati personali della persona segnalata e di altri soggetti (testimoni, persone menzionate) contenuti nella segnalazione.
- Categorie particolari di dati (art. 9 GDPR) e dati relativi a condanne penali e reati (art. 10 GDPR), qualora contenuti nella segnalazione. Si invita a limitare tali dati a quanto strettamente indispensabile.
- Dati tecnici di navigazione generati dall'utilizzo della piattaforma (v. sezione «Cookie»).
I dati identificativi del segnalante sono conservati in forma cifrata (algoritmo AES-256-GCM) e resi accessibili solo ai soggetti autorizzati alla gestione della segnalazione.
4. Finalità del trattamento
- ricezione, gestione, istruttoria e riscontro delle segnalazioni di violazione;
- tutela della riservatezza dell'identità del segnalante, delle persone coinvolte e del contenuto della segnalazione;
- comunicazioni con il segnalante tramite il codice univoco assegnato;
- adempimento degli obblighi previsti dal D.Lgs. n. 24/2023 e dalla normativa applicabile;
- accertamento, esercizio o difesa di un diritto in sede giudiziaria.
5. Base giuridica
- Art. 6, par. 1, lett. c) GDPR – adempimento di un obbligo legale al quale è soggetto il Titolare (D.Lgs. n. 24/2023);
- Art. 9, par. 2, lett. g) GDPR – motivi di interesse pubblico rilevante, per le eventuali categorie particolari di dati;
- Art. 10 GDPR e art. 2-octies D.Lgs. 196/2003 – per i dati relativi a condanne penali e reati.
6. Riservatezza dell'identità del segnalante
L'identità del segnalante e ogni altra informazione da cui possa desumersi, direttamente o indirettamente, non possono essere rivelate senza il suo consenso espresso a soggetti diversi da quelli competenti a ricevere o dare seguito alle segnalazioni. Tale tutela opera nei termini e con i limiti previsti dall'art. 12 del D.Lgs. n. 24/2023, anche nell'ambito di eventuali procedimenti disciplinari o giudiziari.
7. Modalità del trattamento e misure di sicurezza
Il trattamento è effettuato con strumenti elettronici, adottando misure tecniche e organizzative adeguate ai sensi degli artt. 25 e 32 GDPR, tra cui: cifratura dei dati identificativi del segnalante, controllo e tracciamento degli accessi (registro delle operazioni), profili di autorizzazione limitati ai soli soggetti incaricati, canali di trasmissione protetti e principi di minimizzazione e limitazione della finalità. Sul trattamento è stata svolta, ove richiesto, la valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'art. 35 GDPR.
8. Destinatari e comunicazione dei dati
I dati sono trattati esclusivamente dai soggetti autorizzati e appositamente istruiti dal Titolare alla gestione del canale (gestore interno o esterno). I dati possono essere comunicati, ove necessario:
- all'Autorità Nazionale Anticorruzione (ANAC), nei casi di segnalazione esterna;
- all'Autorità giudiziaria o contabile, nell'ambito dei relativi procedimenti;
- ai fornitori tecnici che agiscono come Responsabili del trattamento (es. gestore della piattaforma, servizio di posta elettronica).
I dati non sono diffusi e non sono soggetti a trasferimento verso Paesi terzi extra Spazio Economico Europeo. Non è effettuato alcun processo decisionale automatizzato né profilazione ai sensi dell'art. 22 GDPR.
9. Periodo di conservazione
I dati e la documentazione relativi alle segnalazioni sono conservati per il tempo necessario alla loro gestione e comunque non oltre 5 anni a decorrere dalla data di comunicazione dell'esito finale della procedura di segnalazione, ai sensi dell'art. 14 del D.Lgs. n. 24/2023. Decorso tale termine i dati sono cancellati, salva la conservazione limitata ai documenti connessi a procedimenti eventualmente avviati.
10. Diritti dell'interessato
L'interessato può esercitare, nei limiti di legge, i diritti previsti dagli artt. 15-22 GDPR: accesso, rettifica, cancellazione, limitazione, opposizione e portabilità, nonché il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).
Limitazioni: l'esercizio dei diritti può essere ritardato, limitato o escluso, ai sensi dell'art. 2-undecies del D.Lgs. n. 196/2003, quando dal loro esercizio possa derivare un pregiudizio effettivo e concreto alla riservatezza dell'identità del segnalante o all'efficacia della procedura di segnalazione. In tali casi i diritti possono essere esercitati tramite il Garante secondo l'art. 160 del medesimo decreto.
11. Informativa alle persone segnalate e ai terzi (art. 14 GDPR)
Alle persone coinvolte o menzionate nella segnalazione è garantita la protezione dei dati personali. Ferma restando la tutela della riservatezza dell'identità del segnalante, esse possono esercitare i diritti sopra indicati; l'informativa e l'esercizio dei diritti possono essere differiti, limitati o esclusi per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata a salvaguardare l'efficacia della procedura e la riservatezza del segnalante.
12. Natura del conferimento
Il conferimento dei dati contrassegnati come obbligatori nel modulo di segnalazione è necessario per la presa in carico e la trattazione della segnalazione nominativa; il mancato conferimento non consente di dar seguito alla segnalazione tramite il presente canale.
13. Cookie e strumenti di tracciamento
La piattaforma utilizza esclusivamente cookie tecnici necessari al funzionamento e alla sicurezza, per i quali non è richiesto il consenso. Il dettaglio degli strumenti utilizzati è riportato nella Cookie Policy.
14. Modifiche all'informativa
Il Titolare si riserva di aggiornare la presente informativa per adeguarla a modifiche normative od organizzative. La versione aggiornata è pubblicata su questa pagina con l'indicazione della data di ultimo aggiornamento.