INFORMATIVA PRIVACY AI SENSI DEGLI ARTT. 13 E 14 DEL REGOLAMENTO 2016/679 (“GDPR”)

relativa al trattamento dei dati personali effettuato in occasione della segnalazione degli illeciti prevista dal D.Lgs. 10 marzo 2023, n. 24 (“Normativa Whistleblowing”)

PREMESSA E DISPOSIZIONI COMUNI

Le società L’Erbolario Società Benefit s.r.l. e L’Erbolario Franchising Società Benefit s.r.l., entrambe con sede in Lodi, Viale Milano 74, per adempiere alle disposizioni previste dalla Normativa Whistleblowing, hanno istituito un canale comune per il ricevimento delle segnalazioni di violazioni di disposizioni normative nazionali o dell'Unione Europea che ledono l'interesse pubblico o l'integrità delle società, attraverso una piattaforma dedicata, raggiungibile all’indirizzo https://erbolario.segnalazioni.net/ e fornita dalla società DigitalPa s.r.l. (“Piattaforma”).

Benché il canale di segnalazione sia stato congiuntamente istituito, ciascuna società potrà accedere esclusivamente alle segnalazioni di propria spettanza. Tali segnalazioni verranno gestite da ciascuna società, in qualità di titolare autonomo, attraverso un soggetto esterno abilitato a ricevere le segnalazioni, in via esclusiva, dotato di autonomia e indipendenza e separatamente designato da ogni titolare.

La presente informativa, pertanto, è resa da L’Erbolario Società Benefit s.r.l. e da L’Erbolario Franchising Società Benefit s.r.l.

• congiuntamente, in qualità di contitolari del trattamento dei dati personali conferiti dall’interessato in fase di registrazione alla Piattaforma (se l’interessato sceglie di registrarsi) e/o di compilazione della segnalazione, fintanto che la stessa non venga attribuita, per scelta del segnalante, a una delle due società, nonché nei rapporti con il fornitore della Piattaforma. Un estratto dell’accordo di contitolarità, stipulato ai sensi dell’art. 26 del GDPR, è disponibile scrivendo a privacy@erbolario.com;
• singolarmente, in qualità di titolare autonomo del trattamento dei dati personali finalizzato alla gestione delle segnalazioni pervenute tramite la Piattaforma (verifica dell’ammissibilità della segnalazione, accertamento delle responsabilità individuali e/o controlli sui gli atti e provvedimenti adottati dalla società, riscontro al segnalante).

1. TIPI DI DATI PERSONALI TRATTATI

Sono trattati i seguenti dati personali:

• • Dati relativi alla registrazione alla Piattaforma (username, email, nome e cognome), nel caso in cui il segnalante decida di effettuare la segnalazione mediante registrazione.
  • Dati identificativi del segnalante, se il segnalante decide di rivelare la sua identità o se tali dati sono comunque ricavabili dalle informazioni fornite dal segnalante stesso attraverso la segnalazione (per esempio, nelle “proprietà” di un file allegato ove potrebbe essere inserito, se non previamente cancellato, anche il nome dell’autore del file).
  • Dati identificativi della persona segnalata o delle persone informate, se inseriti nella segnalazione o se ricavabili da altri elementi che consentano di identificare il soggetto a cui vengono attribuiti i fatti segnalati.

Si ricorda che, ai fini della ammissibilità della segnalazione:

• • non è necessario conoscere l’identità del segnalante;
  • è necessario che risultino chiare:
    • le circostanze di tempo e di luogo in cui si è verificato il fatto oggetto della

segnalazione

• • • la descrizione del fatto

• • • le generalità o altri elementi che consentano di identificare il soggetto cui attribuire i fatti segnalati

Per la segnalazione degli illeciti previsti dalla Normativa Whistleblowing si inviata il segnalante a non rivelare dati appartenenti a “categorie particolari”, come definiti dall’art. 9 del GDPR, ovvero dati idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale e dati cd. giudiziari ai sensi dell’art. 10 del GDPR (ovvero dati relativi a condanne penali e reati). Tali informazioni, riferibili al segnalante o a terzi, non dovrebbero essere fornite salvo che ciò sia strettamente necessario a circostanziare quanto segnalato.

Nel caso in cui sia palese l’assoluta irrilevanza rispetto alla vicenda segnalata di parti della segnalazione che contengono dati personali, tali parti saranno oscurate e, quindi, non visibili al Titolare, e non saranno utilizzate per le successive attività di istruttoria.

2. FINALITA’ E BASE GIURIDICA DEL TRATTAMENTO

I dati personali descritti al paragrafo 1 sono raccolti e trattati per:

• ricevere, analizzare e gestire le segnalazioni di condotte illecite previste dalla Normativa Whistleblowing (illeciti civili, illeciti amministrativi, illeciti penali, illeciti contabili e, più in generale, violazioni di disposizioni normative nazionali o dell’Unione Europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o della società-titolare del trattamento) di cui il segnalante sia venuto a conoscenza nell’ambito del contesto lavorativo.

La base giuridica che legittima il trattamento dei dati personali è l’art. 6, comma 1, lettera c) del GDPR (adempimento di un obbligo legale al quale è soggetto il titolare del trattamento).

Nel caso in cui, per le finalità sopra descritte, vengano trattati dati appartenenti a categorie particolari, la base giuridica che legittima il trattamento è l’art. 9, comma 2, lettera b) del GDPR (adempimento di obblighi in materia di sicurezza del lavoro e di sicurezza sociale);

• accertare, esercitare o difendere un diritto in sede giudiziaria, in caso di fondamento della segnalazione, compreso l’avvio di azioni disciplinari, nel caso in cui la condotta oggetto della segnalazione sia ritenuta fondata, nonché l’instaurazione di azioni disciplinari o sanzionatorie nell’ipotesi in cui vengano posti in essere comportamenti pretestuosi, ritorsivi o discriminatori a danno del soggetto oggetto di segnalazione o del segnalante.

La base giuridica è l’art. 6, comma 1 lettera f) del GDPR o, nel caso in cui vengano trattati dati appartenenti a categorie particolari, l’art. 9, comma 2, lettera f) del GDPR;

3. MODALITA’ DEL TRATTAMENTO DESTINATARI DEI DATI PERSONALI

Il titolare ha affidato a un soggetto esterno, il responsabile della gestione delle segnalazioni, il compito di ricevere la segnalazione, tramite la Piattaforma, analizzarla e gestirla nonché di fornire riscontro al segnalato nei termini previsti dalla Normativa Whistleblowing.

I dati personali, così come le informazioni contenute nella segnalazione inviata tramite la Piattaforma, sono

protet t i da cifratura e sono visualizzabili solo dal segnalante e dal responsabile della segnalazione.

Di seguito sono riportati i destinatari dei dati personali:

• DigitalPA s.r.l., fornitore della Piattaforma;

• Responsabile della gestione delle segnalazioni;
• Consulenti legali esterni per eventuale consulenza nella gestione della segnalazione (se coinvolti dal responsabile della gestione delle segnalazioni);

che agiscono in qualità di responsabili del trattamento in forza di un accordo redatto ai sensi dell’art. 28 GDPR;

• Soggetti a cui il titolare debba comunicare i dati personali per adempiere a un obbligo di legge, che

agiscono in qualità di titolari autonomi;

• le funzioni aziendali competenti a cui il responsabile della segnalazione ritenga necessario comunicare, anche solo in parte, le informazioni o i dati personali al fine di dare seguito alla stessa, espressamente autorizzati ai sensi dell’art. 29 del GDPR e dell’art. 2quaterdecies del D.Lgs. 196/2003. Tali soggetti verranno opportunamente autorizzati e sarà loro chiesto un impegno di riservatezza sui dati personali eventualmente comunicati.

4. TRASFERIMENTO DEI DATI

Per le attività di trattamento dei dati effettuato ai sensi della presente informativa, i dati personali non vengono trasferiti al di fuori dell’Unione Europea.

5. CONSERVAZIONE DEI DATI PERSONALI

Nel rispetto degli obblighi di riservatezza previsti dalla Normativa Whistleblowing (articolo 12 D.lgs. 24/2023) e del principio di limitazione della conservazione, di cui all’art. 5, paragrafo 1, lettera e), del GDPR, i dati personali oggetto delle segnalazioni sono conservati per il termine massimo di cinque anni a decorrere dalla data della comunicazione al segnalante dell’esito finale della segnalazione.

6. DIRITTI DELL’INTERESSATO

Ai sensi degli artt. 15-22 del GDPR, l’interessato, ha diritto di chiedere al Titolare, in qualsiasi momento, di:

• • accedere ai dati personali che lo riguardano e, ove applicabile, ottenere la fonte dei dati. Tale diritto

non è concretamente esercitabile dalla persona segnalata;

• • ottenere la portabilità dei dati personali: ove applicabile, l’interessato riceverà un file contenente i dati conservati dal Titolare;
  • rettificare i suoi dati personali se ritiene che non siano corretti o che debbano essere aggiornati;
  • ottenere la limitazione del trattamento dei suoi dati personali: ad esempio, se ritiene che il trattamento sia illegale e/o che i trattamenti effettuati sulla base del legittimo interesse siano inappropriati;
  • cancellare i suoi dati personali;
  • opporsi al trattamento dei suoi dati personali.

Il tempo di risposta previsto dalla normativa applicabile è di 1 mese dalla richiesta (estendibile fino a ulteriori 2 mesi in caso di particolare complessità).

Si precisa che, ai sensi dell’art. 2-undecies D.lgs. 196/2003, i diritti di cui agli articoli da 15 a 22 del GDPR, non possono essere esercitati con richiesta al Titolare (ovvero con reclamo, ai sensi dell'articolo 77 del GDPR), qualora dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell'identità del segnalante. Ove il Titolare si avvalga di tale limitazione, l’interessato sarà informato per iscritto, senza ritardo. In tale ipotesi, l’interessato può esercitare i suoi diritti anche tramite l’Autorità Garante per la protezione dei dati personali (“Garante”), con le modalità di cui all’art. 160 del D.lgs. 196/2003.