INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI RELATIVO ALLA GESTIONE DELLE SEGNALAZIONI CD. “WHISTLEBLOWING”

Ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”), di seguito può trovare le informazioni relative al trattamento dei dati personali che la riguardano (“Dati”), da noi acquisiti nell’ambito del processo di ricezione e gestione delle segnalazioni c.d. whistleblowing.

  1. TITOLARE DEL TRATTAMENTO 
    A seconda della società con cui lei intrattiene o ha intrattenuto il rapporto nell’ambito del quale è stata commessa la presunta violazione oggetto di segnalazione cd. whistleblowing, il titolare del trattamento dei suoi dati personali potrà essere: 
    - METRO Italia S.p.A., con sede in Viale XXV Aprile, n.23, 20097 San Donato Milanese (MI) - Italia; oppure
    - METRO Dolomiti S.p.A., con sede in Viale XXV Aprile, n.23, 20097 San Donato Milanese (MI) - Italia 
    (di seguito, ciascuna società singolarmente, "Titolare ").

  2. RESPONSABILE DELLA PROTEZIONE DEI DATI (DPO)
    Il Titolare ha nominato un Responsabile della Protezione dei Dati (“DPO”), raggiungibile ai seguenti contatti: Via XXV Aprile, 23 – 20097 San Donato Milanese (MI) – Tel. 02/51712229 – e-mail dpo@metro.it.

  3. DATI PERSONALI OGGETTO DI TRATTAMENTO
    Potranno essere oggetto di trattamento le seguenti tipologie di dati personali:
    - dati identificativi e di contatto della persona segnalante; - dati identificativi e di contatto della persona coinvolta, per tale intendendosi la persona fisica menzionata nella segnalazione come persona alla quale la violazione è attribuita o come persona comunque implicata nella violazione segnalata;
    -
    dati identificativi e di contatto del facilitatore, per tale intendendosi la persona fisica che assiste la persona segnalante nel processo di segnalazione, operante all'interno del medesimo contesto lavorativo;
    -
    ogni altra informazione riferita alla violazione, alla persona segnalante, alla persona coinvolta, al facilitatore ed a eventuali altri soggetti terzi, che il segnalante potrebbe condividere per meglio descrivere la sospetta violazione.

    Le informazioni condivise potrebbero anche includere categorie particolari di dati o dati riferiti a condanne penali e reati.

  4. FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO 

    I suoi Dati saranno trattati per le seguenti finalità:
    -
    Adempiere agli obblighi di legge previsti dalla normativa locale ed europea in materia di gestione delle segnalazioni cd. whistleblowing e di protezione delle persone che segnalano violazioni, inclusi gli obblighi derivanti dal D.Lgs. 24/2023. In tal caso la base giuridica che legittima il trattamento è rappresentata dalla necessità di adempiere un obbligo legale cui il Titolare è soggetto (art. 6 par. 1 lett. c) GDPR; per le eventuali categorie particolari di dati, art. 9 par. 2 lett. b) GDPR);
    - Accertare o difendere un proprio diritto in sede giudiziale o stragiudiziale. In tal caso la base giuridica che legittima il trattamento è il legittimo interesse del Titolare (art. 6 par. 1 lett. f) GDPR; per le eventuali categorie particolari di dati, art. 9 par. 2 lett. f) GDPR).

  5. MODALITA’ DEL TRATTAMENTO E CONFERIMENTO DEI DATI
    I Dati saranno trattati sia con mezzi cartacei che digitali. Il segnalante può scegliere di mantenere il proprio anonimato non conferendo Dati che lo riguardano; può scegliere, altresì, laddove richiesto, di non autorizzare alla divulgazione della sua identità. Fermo restando quanto precede, in queste ipotesi il Titolare potrebbe non essere in grado di gestire appieno le misure correttive relative alla/e persona/e coinvolta/e. 

  6. PERIODO DI CONSERVAZIONE DEI DATI
    In ottemperanza all’art. 14, d.lgs. n. 24/2023, i Dati saranno trattati e conservati per il tempo necessario alla gestione della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione. Decorsi i termini di conservazione sopra indicati, i Dati saranno cancellati o resi anonimi. I Dati che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente.

  7. DESTINATARI DEI DATI – TRASFERIMENTO
    Per le finalità sopra illustrate, i Dati potranno essere resi accessibili alle persone interne all’organizzazione del Titolare competenti a ricevere e a dare seguito alle segnalazioni. Tali persone accederanno ai Dati in virtù di un’espressa autorizzazione del Titolare, ai sensi degli artt. 29 e 32 par. 4 GDPR, nonché dell'articolo 2-quaterdecies del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196 e s.m.i. (“Codice Privacy”). Alcune segnalazioni potrebbero anche essere condivise con l’Organismo di Vigilanza di METRO, nel rispetto della normativa privacy applicabile.
    Inoltre, ai Dati potrebbero avere accesso anche soggetti terzi, in particolare fornitori di sistemi di segnalazione (specificamente nominati ai sensi dell’art. 28 GDPR), ovvero consulenti legali o autorità competenti, operanti in qualità di autonomi titolari del trattamento.
    I Dati non saranno trasferiti in Paesi Terzi, ma saranno trattati e conservati all’interno dello Spazio Economico Europeo.

  8. DIRITTI DELL'INTERESSATO – RECLAMO ALL’AUTORITÀ DI CONTROLLO
    Ai sensi degli artt. 15-22 GPDR, l’interessato può esercitare una serie di diritti in relazione ai propri Dati. In particolare:
    - può chiedere al Titolare l’accesso ai Dati che lo riguardano, la loro rettifica o la loro cancellazione, nonché la limitazione del trattamento;
    -
    può opporsi al Trattamento fondato sul legittimo interesse. A seguito dell’opposizione, il Titolare si asterrà dal trattare ulteriormente i Dati salvo che dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
    -
    qualora il trattamento sia basato sul consenso, l’interessato può revocare tale consenso in qualsiasi momento;
    -
    nel caso in cui siano presenti le condizioni per l’esercizio del diritto alla portabilità dei Dati, l’interessato ha altresì il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i Dati, nonché, se tecnicamente fattibile, di trasmetterli ad altro titolare senza impedimenti.
    -
    ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali, con sede in Roma, Piazza Venezia 11, 00187 Roma, Tel. (+39) 06.696771, e-mail: protocollo@gpdp.it.
Tuttavia, in base all’art. 13, comma 3, d.lgs. n. 24/2023, i diritti di cui sopra possono essere limitati ai sensi di quanto previsto dall'art. 2-undecies, lett. f) del Codice Privacy, qualora dall’esercizio degli stessi possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante.

Per l’esercizio dei propri diritti, il segnalante può rivolgersi al DPO del Titolare, raggiungibile all’indirizzo e-mail riportato al punto 2, specificando nell’oggetto il contenuto della richiesta.