Scroll to the bottom to confirm and continue
PRIVACY NOTICE ON THE PROCESSING OF PERSONAL DATA IN THE CONTEXT OF WHISTLEBLOWING REPORTS
Alfasigma S.p.A., as Data Controller, in compliance with the obligations provided for by art. 13 of the EU Regulation 679/2016 ("GDPR"), provides information on the processing of personal data provided within the management of reports of alleged wrongdoing (so-called whistleblowing) pursuant to Legislative Decree 231/2001, by employees, employees of group companies and third parties (contractors/suppliers) within the scope of the employment relationship, received through the dedicated IT web platform at https://www.alfasigma.com called " EthicsALine ".
The Data Controller is Alfasigma S.p.A. with registered office in Via Ragazzi del '99,5 - 40133 Bologna.
Alfasigma S.p.A. has appointed a Data Protection Officer, who can be contacted in matters concerning the processing of your data at the following address: privacydpo@alfasigma.com.
Processed data
Reporting may be done either anonymously or personally.
In the case of anonymous reports, no processing of the reporter's personal data will take place since it is not possible to ascertain the identity of the person submitting the report. If a report contains personal data referring to other categories of data subjects, its receipt and handling constitutes processing of personal data. The person filing the report is requested not to provide personal data belonging to the so-called 'special' categories under Article 9(1) of the GDPR if this is not strictly necessary.
In the case of reports in personal form, the personal data collected and processed by the Data Controller in the context of the management of reports received through the aforementioned platform, in accordance with the principle of data minimization, will be visible if necessary for the purposes of the investigation.
The above-mentioned data may belong to the following categories:
- Common personal data (e.g., details of the person submitting the report, with indication of professional qualification or position);
- Personal data related to the report, i.e. a clear and complete description of the facts that are the subject of the report and of the manner in which they became known (the date and place where the fact occurred; indication of the names and roles of any other persons who may report on the facts that are the subject of the report; information relating to any documents that may confirm the validity of the facts reported);
- Personal data belonging to the so-called 'special' categories under Article 9(1) of the GDPR relating to data subjects that may have been provided by the person submitting the report;
- Personal data of third parties available to the Data Controller also as a result of activities aimed at verifying the validity of the report itself, in compliance with the applicable laws.
Purpose of processing
The purpose of the processing is the proper and thorough management of the investigative activities aimed at assessing the grounds for the reports sent through the above-mentioned Platform and, where appropriate, the adoption of subsequent measures
Legal basis for processing
The legal basis for the processing of the above-mentioned data is to be identified:
- for common personal data, in the performance of the contract to which the data subject is a party and to fulfil a legal obligation to which the Data Controller is subject, pursuant to Article 6(1)(b) and (c) of the GDPR, taking into account Article 6(2-bis), (2-ter) and (2-quater) of Legislative Decree 231/2001;
- for personal data belonging to the so-called 'special' categories, in the application of Article 9(2)(b) of the GDPR in order to fulfil obligations and exercise specific rights concerning labour and social security law and social protection; sub-paragraph (f) to establish, exercise or defend a right in court.
Compulsory/voluntary nature of data provision
The provision of personal data for the above-mentioned purpose is optional for the whistleblower, since it is possible to report anonymously, and, in the event of failure to provide such data, it may not be possible to take charge of and manage the report on the basis of the company procedure.
With regard to the whistleblower, it is guaranteed that no form of retaliation or discriminatory measures, direct or indirect, affecting working conditions will be carried out for reasons directly or indirectly linked to the report.
Processing methods
Your personal data will be processed electronically in the @WHISTLEBLOWING APPLICATION SOFTWARE of the company BDO ITALIA S.p.A., in compliance with applicable regulations, including security and confidentiality profiles and inspired by the principles of fair and lawful processing.
Scope of knowledge and communication of data
Personal data contained in reports received by the Controller will not be disseminated. Your data may be shared with the following entities:
- Personnel authorised to process personal data and duly instructed in accordance with Article 29 of the Regulation and the operating procedures that make up the Organisation, Management and Control Model (specifically, the Controller's Supervisory Board as the person authorised to process the data with regard to the receipt and examination of reports);
- The provider of the IT platform for the management of reports, who acts as data controller within the meaning of Article 28 of the GDPR;
- Entities and authorities in their capacity as autonomous data controllers to whom it is mandatory to disclose personal data by virtue of legal provisions or orders by the authorities, in particular in connection with investigative activities relating to reported facts about which the existence of ongoing investigations by public authorities is known.
The complete and up-to-date list of recipients of personal data can be obtained from the Data Controller and/or the DPO at the above-mentioned addresses.
In any case, the utmost confidentiality of your identity will be guaranteed in accordance with corporate procedures. In particular, in the case of transmission of the report to other structures/organisations/third parties for the performance of investigative activities, priority will be given, where possible, to forwarding only the content of the report, excluding all references from which it is possible to trace the identity of the whistleblower, even indirectly.
Data retention period
Personal data will be kept only for the time strictly necessary for the purposes of managing the investigation, verifying the grounds of the report and taking the appropriate measures, in compliance with the principle of minimisation set out in Article 5(1)(c) of the GDPR.
The Data Controller reserves the right, however, to retain the aforementioned personal data also for as long as is necessary for the fulfilment of regulatory obligations and to meet any defence requirements.
Storage times
Personal data will be kept only for the time strictly necessary for the purposes of managing the investigation, verifying the grounds of the report and adopting the relevant measures, in compliance with the principle of minimisation set out in Article 5(1)(c) of the GDPR.
Specifically, these data will have different retention periods depending on the findings of the reports:
- Each report will be classified within a month;
- In the event that the report is classified as non-relevant, as it is deemed to concern acts and facts not relevant to the Company, or as non-verifiable, the personal data it contains will be stored for a maximum of one month after classification;
- If the report is classified as inherent and verifiable, the personal data it contains will be stored for a maximum of two months after the conclusion of the investigation, with the following exceptions:
- If disciplinary proceedings are taken as a result of the report, the personal data contained therein will be kept in accordance with the procedural time limits laid down in the applicable labour law, and in any case no longer than six months;
- If a judgment is brought as a consequence of the report, the personal data contained therein will be retained until the judgment has become final.
Data Transfer
The management and storage of personal data will take place on servers, located within the European Union, of the Data Controller and/or of third party companies appointed and duly nominated as Data Processors.
Data are currently not transferred outside the European Union.
It is in any case understood that the Data Controller, should it become necessary, will have the right to move the location of the servers, currently in Italy, within the European Union and/or to non-EU countries.
In such a case, the Data Controller hereby ensures that the transfer of data outside the EU will take place in accordance with Articles 44 ff. of the GDPR and the applicable legal provisions by entering into agreements guaranteeing an adequate level of protection, if necessary.
Rights of the data subject
We inform you that with reference to the data processed, you may at any time exercise your rights under Articles 15, 16, 17, 18, 20, 21 and 22 of the Regulation; in particular, you have the right to obtain confirmation of the existence or non-existence of the data and, if so, access to it and to verify its accuracy.
You also have the right to request rectification of your data, erasure, restriction of processing, portability of your data, as well as to object to processing in whole or in part for legitimate reasons, to revoke your consent, if any, and to lodge a complaint with a Supervisory Authority or take legal action.
Please bear in mind that if you ask for your Personal Data to be erased, we may not be able to respond to your report or conclude the investigation.
Your rights may be exercised towards Alfasigma S.p.A. by means of a written request, using the form that you can download from the website https://www.alfasigma.com/it/privacy-policy , to be sent to the e-mail address: privacy@alfasigma.com or, if present, by means of the form accessible at the foot of the page of the website, under the heading "Rights of the data subjects”.
Data Controllers will provide you with information regarding the action taken regarding your request under Articles 15 to 22 without undue delay and, in any event, no later than one month after receipt of your request. This period may be extended by two months if necessary, taking into account the complexity and number of the requests. The data controller will inform you of this extension, and of the reasons for the delay, within one month of receipt of the request.
Should you believe that the processing of your data carried out by Data Controllers is in breach of the provisions set out in the GDPR, you have the right to lodge a complaint with the Data Protection Authority, as provided for by art. 77 of the GDPR itself, or to take legal action pursuant to art. 79 of the GDPR.
INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI NELL’AMBITO DELLE SEGNALAZIONI DI WHISTLEBLOWING
Alfasigma S.p.A., in qualità di Titolare del trattamento, in adempimento agli obblighi previsti dall’art.13 del Regolamento EU 679/2016 (“GDPR”), fornisce informazioni in merito al trattamento dei dati personali da Lei conferiti nell’ambito della gestione delle segnalazioni di presunti illeciti (c.d. whistleblowing) ai sensi del D. Lgs. 231/2001, da parte di dipendenti, di dipendenti delle società del gruppo e di soggetti terzi (collaboratori/fornitori) nell’ambito del rapporto di lavoro, pervenute attraverso la piattaforma informatica dedicata e accessibile via web all’indirizzo https://it.alfasigma.com denominata EthicsALine.
Il Titolare del trattamento dei Suoi dati è Alfasigma S.p.A con sede legale in Via ragazzi del ’99,5 – 40133 Bologna.
La Società ha nominato il Responsabile per la Protezione dei Dati che potrà essere contattato per questioni inerenti al trattamento dei Suoi dati, al seguente recapito: privacydpo@alfasigma.com.
Dati trattati
La segnalazione potrà avvenire sia in forma anonima che nominativa.
In caso di segnalazione in forma anonima, non essendo possibile risalire all’identità del segnalante, non avverrà alcun trattamento dei dati personali dello stesso. La segnalazione contenente dati personali riferibili ad altre categorie di soggetti interessati, la sua ricezione e gestione costituisce trattamento di dati personali. Il segnalante è invitato a non conferire dati personali appartenenti alle categorie c.d. “particolari” ex art. 9, par. 1 del GDPR ove ciò non risulti strettamente necessario.
In caso di segnalazione in forma nominativa, i dati personali raccolti e trattati dal Titolare nell’ambito della gestione delle segnalazioni pervenute attraverso la predetta piattaforma, per il principio di minimizzazione dei dati, saranno visibili solo qualora si rendesse necessario ai fini dell’istruttoria.
I suddetti dati possono appartenere alle seguenti categorie:
- Dati personali comuni (ad es. le generalità di chi effettua la segnalazione, con indicazione della qualifica o posizione professionale);
- Dati personali correlati alla segnalazione ovvero la chiara e completa descrizione dei fatti oggetto di segnalazione e delle modalità con le quali se ne è avuta conoscenza (la data e il luogo ove si è verificato il fatto; l'indicazione dei nomi e ruoli di eventuali altri soggetti che possono riferire sui fatti oggetto di segnalazione; informazioni relative ad eventuali documenti che possono confermare la fondatezza dei fatti riportati);
- Dati personali appartenenti alle categorie cc.dd. “particolari” ex art. 9, par. 1 del GDPR riferibili ai soggetti interessati eventualmente forniti dal segnalante;
- Dati personali di soggetti terzi nella disponibilità del Titolare anche a seguito delle attività volte alla verifica della fondatezza della segnalazione stessa, nel rispetto delle leggi applicabili.
Finalità del trattamento
Il trattamento è finalizzato alla corretta e completa gestione delle attività istruttorie volte a valutare la fondatezza delle segnalazioni trasmesse attraverso il canale sopra indicato ed eventualmente a dar seguito all’adozione di conseguenti provvedimenti.
Base giuridica del trattamento
La base giuridica per il trattamento dei dati di cui sopra è da individuare:
- per i dati personali comuni, nell’esecuzione del contratto di cui l’interessato è parte e per adempiere a un obbligo di legge cui è soggetto il Titolare, ai sensi dell’art. 6, par. 1, lett. b) e c) del GDPR, tenuto conto dell’art. 6, commi 2-bis, 2-ter e 2-quater del D. Lgs. 231/2001;
- per i dati personali appartenenti alle categorie cc.dd. “particolari”, nell’applicazione dell’art. 9, par. 2, lett. b) del GDPR per assolvere obblighi ed esercitare i diritti specifici in materia di diritto del lavoro e della sicurezza sociale e protezione sociale; lett. f) per accertare, esercitare o difendere un diritto in sede giudiziaria.
Natura obbligatoria/facoltativa del conferimento dei dati trattati
Il conferimento dei dati personali per la finalità indicata è facoltativo per il segnalante, essendo prevista la possibilità di effettuare la segnalazione in via anonima, e, in caso di mancato conferimento, potrebbe non risultare possibile prendere in carico e gestire la segnalazione sulla base di quanto previsto dalla procedura aziendale.
Nei confronti del segnalante, è garantito che non verrà effettuata alcuna forma di ritorsione o misura discriminatoria, diretta o indiretta, avente effetti sulle condizioni di lavoro per motivi collegati direttamente o indirettamente alla segnalazione.
Modalità del trattamento
I Suoi dati personali saranno trattati in forma elettronica nel SOFTWARE APPLICATIVO @WHISTLEBLOWING della società BDO ITALIA S.p.A., nel rispetto della normativa applicabile, compresi i profili di sicurezza, confidenzialità ed ispirandosi ai principi di correttezza e liceità di trattamento.
Ambito di conoscibilità e comunicazione dei dati
I dati personali contenuti nelle segnalazioni pervenute al Titolare non saranno diffusi. I Suoi dati potranno essere condivisi, con i seguenti soggetti:
- Il personale autorizzato al trattamento dei dati personali e debitamente istruito ai sensi degli art. 29 del Regolamento e delle procedure operative che compongono il Modello di Organizzazione, Gestione e Controllo (nello specifico l’Organismo di Vigilanza del Titolare quale soggetto autorizzato al trattamento riguardo alla ricezione e all’esame delle segnalazioni);
- Il fornitore della piattaforma informatica per la gestione delle segnalazioni, il quale agisce in qualità di responsabile del trattamento ai sensi dell’art. 28 del GDPR;
- Gli enti e autorità in qualità di autonomi titolari a cui sia obbligatorio comunicare i dati personali in forza di disposizioni di legge o di ordini delle autorità, in particolar modo in relazione alle attività istruttorie relative a fatti segnalati sui quali sia nota l’esistenza di indagini in corso da parte di pubbliche Autorità.
L’elenco completo ed aggiornato dei destinatari dei dati potrà essere richiesto al Titolare e/o al DPO, ai recapiti sopra indicati.
Sarà in ogni caso garantita la massima riservatezza della Sua identità in conformità alle procedure aziendali. In particolare, nel caso di trasmissione della segnalazione ad altre strutture/organi/terzi per lo svolgimento delle attività istruttorie, verrà privilegiato ove possibile l’inoltro del solo contenuto della segnalazione, espungendo tutti i riferimenti dai quali sia possibile risalire, anche indirettamente, all’identità del segnalante.
Periodo di conservazione dei dati
I dati personali saranno conservati solo per il tempo strettamente necessario ai fini di gestione dell’istruttoria, di verifica della fondatezza della segnalazione e di adozione di relativi provvedimenti, rispettando il principio di minimizzazione di cui all’art. 5, par.1, lett. c) del GDPR.
Il Titolare si riserva, tuttavia, di conservare i predetti dati personali anche per tutto il tempo necessario per l’adempimento di obblighi normativi e per soddisfare eventuali esigenze difensive.
Tempi di conservazione
I dati personali saranno conservati solo per il tempo strettamente necessario ai fini della gestione dell’istruttoria, di verifica della fondatezza della segnalazione e di adozione di relativi provvedimenti, rispettando il principio di minimizzazione di cui all’art. 5, par.1, lett. c) del GDPR.
Nello specifico i suddetti dati avranno tempi di conservazione diversi in base alle risultanze emerse dalle segnalazioni:
- Ogni segnalazione sarà classificata entro un mese;
- Nel caso la segnalazione sia classificata non inerente, poiché giudicata riguardante atti e fatti non rilevanti per la Società, o inerente non verificabile, i dati personali in essa contenuti saranno conservati per un massimo di un mese dalla classificazione;
- Nel caso la segnalazione sia classificata inerente e verificabile, i dati personali in essa contenuti, saranno conservati per un massimo di due mesi dalla conclusione dell’indagine, con le seguenti eccezioni:
- Qualora a valle della segnalazione fosse istaurato un procedimento disciplinare, i dati personali in essa contenuti saranno conservati nel rispetto dei tempi procedimentali previsti dalla normativa applicabile in materia di diritto del lavoro e comunque non oltre sei mesi;
- Qualora a valle della segnalazione fosse istaurato un giudizio, i dati personali in essa contenuti saranno conservati sino a che la sentenza sia divenuta definitiva.
Trasferimento dei dati
La gestione e la conservazione dei dati personali avverranno su server, ubicati all’interno dell’Unione Europea, del Titolare e/o di società terze incaricate e debitamente nominate quali Responsabili del trattamento.
I dati non sono attualmente oggetto di trasferimento al di fuori dell’Unione Europea.
Resta in ogni caso inteso che il Titolare, ove si rendesse necessario, avrà facoltà di spostare l’ubicazione dei server, in Italia, all’interno dell’Unione Europea e/o in Paesi extra-UE.
In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra-UE avverrà in conformità agli artt. 44 ss. del GDPR ed alle disposizioni di legge applicabili stipulando, se necessario, accordi che garantiscano un livello di protezione adeguato.
Diritti dell’interessato
La informiamo che con riferimento ai dati trattati lei può esercitare in qualsiasi momento i diritti di cui agli Articoli 15, 16, 17, 18, 20, 21 e 22 del Regolamento; in particolare, lei ha il diritto di ottenere la conferma dell’esistenza o meno dei dati ed in tal caso l’accesso agli stessi e di verificarne l’esattezza.
Ha il diritto, inoltre, di richiedere la rettifica dei dati, la cancellazione, la limitazione del trattamento, la portabilità dei Suoi dati, nonché di opporsi al trattamento in tutto o in parte per motivi legittimi, di revocare il proprio consenso, qualora previsto, e di proporre un reclamo ad un’Autorità di Controllo o di adire le opportune sedi giudiziarie.
Tieni presente che qualora chiedessi di cancellare i tuoi Dati Personali, prima della conclusione dell’istruttoria potremmo non essere in grado di rispondere alla tua segnalazione o di concludere l'indagine.
I suoi diritti potranno essere esercitati mediante richiesta scritta, utilizzando il modulo che può scaricare dal sito Web https://www.alfasigma.com/it/privacy-policy, da inviare all’indirizzo di posta elettronica: privacy@alfasigma.com oppure, se presente, mediante maschera accessibile a piè di pagina del sito Web, alla voce “Diritti degli interessati. Alfasigma S.p.A, in qualità di Titolare del trattamento Le fornirà le informazioni relative all'azione intrapresa riguardo alla richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il Titolare del trattamento La informerà di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta.
Qualora ritenga che il trattamento dei Suoi dati effettuato da Alfasigma S.p.A. avvenga in violazione di quanto previsto dal GDPR, Lei ha il diritto di proporre reclamo al Garante Privacy, come previsto dall'art. 77 del GDPR stesso, o di adire le opportune sedi giudiziarie ai sensi dell’art. 79 del GDPR.