Informativa sul trattamento dei dati personali del soggetto che presenta segnalazioni in whistleblowing

Il Titolare Humana Italia S.p.A. può essere contattato all’indirizzo mail dedicato privacy@humana.it oppure inviando una missiva presso la Sede Legale in Viale Liguria 22/A, Milano (MI), 20143. La Società si avvale di un responsabile per la protezione dei dati personali (anche noto come Data Protection Officer “DPO”). Il DPO può essere contattato tramite il seguente canale di comunicazione: dpo@humana.it

2.1 Come si invia una Segnalazione

Tramite la Piattaforma è possibile presentare Segnalazioni riguardanti illeciti civili, penali ed amministrativi rilevanti ai sensi del D. Lgs. n. 24/2023. A seguito dell’accesso è possibile compilare la Segnalazione, per iscritto o in forma orale, e successivamente inviarla.

L’invio può avvenire:

• In forma anonima, mantenendo sconosciuta la propria identità; in questo caso non verrà effettuato un trattamento di dati riferito al Segnalante

• In forma non-anonima, dichiarando le proprie generalità e i dati di contatto; in questo caso i dati del Segnalante saranno noti e potranno essere utilizzati secondo le modalità sotto descritte.

Dopo l’invio, il Segnalante riceverà un codice identificativo univoco che potrà utilizzare per accedere alla sezione dedicata dalla Piattaforma e chattare con il responsabile della gestione della Segnalazione (“Responsabile”) e conoscere lo stato di lavorazione della Segnalazione. Il soggetto responsabile della gestione della Segnalazione è l’Organismo di Vigilanza di Humana Italia.

2.2 A chi viene comunicata l’identità del Segnalante

L’identità del Segnalante è riservata; inizialmente essa è sconosciuta anche al Responsabile. Questi vi accede unicamente se necessario al fine di processare la Segnalazione, ad esempio, nel caso di svolgimento di un’attività istruttoria. Il Segnalante potrebbe essere contattato per richiedergli ulteriori informazioni necessarie alla gestione della fase istruttoria.

Al termine dell’istruttoria, se la Segnalazione è ritenuta fondata, viene generato un report - che non contiene il nome del Segnalante – per procedere alle azioni disciplinari interne e alle altre azioni necessarie. Durante l’esecuzione di eventuali procedimenti disciplinari interni alla Società, l’identità del Segnalante non può essere rivelata se non previo consenso dello stesso. L’identità del Segnalante può essere comunicata, anche senza il consenso del Segnalante, all’Autorità Giudiziaria.

I dati personali trattati riconducibili al Segnalante saranno quelli contenuti nella Segnalazione e negli eventuali documenti allegati. Se necessario, ulteriori informazioni potranno essere acquisite in sede di istruttoria dall’organismo preposto.

I dati oggetto di trattamento saranno:

• Dati identificativi e di contatto: nome, cognome, numero di telefono, indirizzo di posta elettronica

• Oggetto e contenuto della Segnalazione: ivi compresa qualsiasi altra informazione che possa emergere dalla lettura della Segnalazione stessa.

Il Titolare potrebbe trattare anche categorie particolari di dati personali che emergano dal contenuto della Segnalazione, quali quelli relativi all'origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, o all'appartenenza sindacale, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona oppure dati relativi a condanne penali o amministrative pregresse.

Nel rispetto del principio di minimizzazione, la Società provvederà a cancellare, distruggere o, se ciò non risultasse possibile, ad oscurare immediatamente i dati personali contenuti nelle Segnalazioni nel caso in cui gli stessi non risultino necessari per il perseguimento delle finalità del trattamento.

I dati forniti dal Segnalante vengono trattati al solo scopo di gestire e dare seguito alle Segnalazioni come effettuare le necessarie attività istruttorie volte a verificare la fondatezza dei fatti ivi dichiarati e l’adozione dei conseguenti provvedimenti. Di seguito, le finalità del trattamento con la relativa base giuridica: FINALITA’ DEL TRATTAMENTO BASE GIURIDICA Gestione delle Segnalazioni e accertamento dei fatti oggetto della Segnalazione (“istruttoria”). Adempimento di un obbligo di legge (art. 6(1)(c) del GDPR, in relazione agli obblighi di cui al D. Lgs. n. 24/2023). Per le categorie particolari di dati personali, il trattamento è necessario per assolvere gli obblighi del titolare del trattamento in materia di diritto del lavoro e della sicurezza (art. 9(2)(b) del GDPR in relazione agli obblighi di cui al D. Lgs. n. 24/2023). Per i dati relativi a condanne penali e reati, gli articoli 10 e 88 del GDPR. Utilizzo dell’identità del Segnalante in procedimenti di fronte all’Autorità Giudiziaria. Legittimo interesse del titolare del trattamento ad agire in giudizio per la difesa dei propri diritti (art 6(1)(f) del GDPR). Utilizzo dell’identità del Segnalante ai fini di un procedimento disciplinare. Consenso del Segnalante (art 6(1)(a) del GDPR. In aggiunta, i predetti dati sono utilizzati per compiere tutte le attività a queste strumentali e accessorie e comunque necessarie al perseguimento della finalità richiamata.

Il trattamento dei dati personali presenta rischi specifici per i diritti e le libertà e, pertanto, è preceduto da una valutazione d’impatto sulla protezione dei dati.

Il trattamento avviene tramite l’adozione di misure di sicurezza tecniche e organizzative, ai sensi dell’art. 32 del GDPR, idonee a garantire la confidenzialità, l’integrità e la sicurezza dei dati. In particolare, la Piattaforma opera secondo un sistema di crittografia, che garantisce la riservatezza delle informazioni contenute e scambiate attraverso la Piattaforma (https://digitalroom.bdo.it/humana). Sono altresì create copie di backup dei dati, in modo che essi siano sempre disponibili ed integri. In aggiunta, al fine di garantire la certezza delle operazioni svolte, viene svolta la registrazione dei log di sistema delle operazioni svolte dal Responsabile sulla Piattaforma. Nessun log è, invece, raccolto con riferimento alle attività svolte dal Segnalante; pertanto, le sue operazioni non saranno tracciate.

La Società ha inoltre dato specifica autorizzazione e istruzioni sul trattamento dei dati personali al Responsabile e agli altri soggetti preposti e si è dotata di una procedura dedicata alla gestione delle Segnalazioni, in modo da stabilire un processo operativo idoneo a garantire i diritti di legge.

La Società raccoglie i dati personali attraverso la Piattaforma di Segnalazione degli illeciti e li elabora direttamente avvalendosi dell’opera di soggetti, opportunamente designati e istruiti, che agiranno in veste di Autorizzati al trattamento, solo per le finalità descritte nella presente informativa. Il personale autorizzato agirà sotto vincolo di riservatezza, adottando appropriate misure di sicurezza.

Alcune informazioni potrebbero essere comunicate a titolari autonomi del trattamento come studi legali o l’Autorità Giudiziaria, esclusivamente al ricorrere dei presupposti di legge.

Il conferimento dei dati personali è facoltativo; è sempre possibile per il Segnalante ritirare la segnalazione mediante apposita comunicazione da trasmettere attraverso il canale originariamente prescelto per l’inoltro della stessa.

Nel caso in cui il Segnalante non intenda rivelare la propria identità, è possibile presentare una Segnalazione anonima.

Nel caso di un procedimento disciplinare che ne richieda la divulgazione, la Società potrà utilizzare l’identità del Segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità, solo dietro consenso espresso del Segnalante al trattamento dei dati personali, previa comunicazione scritta a quest’ultimo delle ragioni che rendono necessaria la rivelazione dei dati riservati. Un eventuale disvelamento dell’identità del Segnalante a persone diverse da quelle competenti a ricevere o a dare seguito alle Segnalazioni avviene sempre con il consenso espresso dello stesso Segnalante.

Qualora il Segnalante neghi il proprio consenso, la Segnalazione non potrà essere utilizzata nel procedimento disciplinare che, quindi, non potrà essere avviato o proseguito in assenza di elementi ulteriori sui quali fondare la contestazione.

Resta ferma in ogni caso, sussistendone i presupposti, la facoltà della Società di procedere con la denuncia all’Autorità giudiziaria.

Il consenso è revocabile in qualsiasi momento seguendo le modalità indicate al paragrafo “Esercizio dei diritti”. La revoca del consenso non pregiudica la liceità del trattamento basato sullo stesso prima della revoca.

I dati non saranno oggetto di diffusione a soggetti indeterminati.

I Dati sono conservati e comunque trattati all’interno dell’Unione Europea e non saranno trasferiti in paesi extra UE.

La Segnalazione e la relativa documentazione sono conservate 5 anni a decorrere dalla data della comunicazione dell’esito finale della procedura di Segnalazione. E’ possibile una conservazione per un periodo di tempo maggiore nel caso in cui i dati vengano utilizzati dalla Società per la gestione di un procedimento giudiziario che si protragga oltre tale termine.

In caso di Segnalazioni ritenute infondate alle quali non verrà dato seguito, i dati verranno cancellati al termine dell’istruttoria interna alla Società.

In ogni momento il Segnalante potrà ottenere dal Titolare del trattamento, ricorrendone i presupposti, l'accesso ai dati personali che lo riguardano, la loro rettifica, la cancellazione degli stessi o la limitazione del trattamento (artt.15 e ss. GDPR).

L'apposita istanza può essere presentata direttamente al Responsabile tramite la piattaforma. Questa modalità garantisce la riservatezza del Segnalante. In alternativa, è possibile rivolgere la richiesta all’indirizzo privacy@humana.it o dpo@humana.it, oppure inviando una missiva presso la sede legale della Società.

Il Segnalante che ritenga che il trattamento dei dati personali ad esso riferibili così effettuato avvenga in violazione di quanto previsto dalla disciplina in materia di protezione dei dati personali ha il diritto di proporre reclamo al Garante ex art 77 GDPR (https://www.garanteprivacy.it/reclamo) o ricorso dinanzi all’autorità giudiziaria (art. 79 del GDPR e art. 140-bis, D. Lgs. 196/2003 – Codice della privacy).