Whistleblowing Privacy
Personal data processing policy pursuant to Articles 13 and 14 of Reg. (EU) 2016/679 (“GDPR”)
Introduction
In this document, in its capacity as Data Controller, BATHSYSTEM S.p.A. provides information on the processing of personal data of data subjects carried out within the framework of the management of whistleblowing reports, i.e. reports of unlawful conducts or breaches as referred to in Article 2.1, point a) of Italian Legislative Decree 24/2023 (hereinafter, the “Whistleblowing Decree“).
According to the GDPR, “data subjects” are the natural persons to whom the data relate. In this case, the data subjects are the reporting persons, the reported person and any persons named in the report.
Reports can be made through the channels and methods indicated in the Whistleblowing Protocol
Data Controller
The data controller is BATHSYSTEM S.p.A., Tax Code and VAT Reg. No. 01768750984 with registered office at Via Cavour, 149 – 25011 CALCINATO (BS), tel. 030/9980273, email address [email protected] (hereinafter, “Data Controller“).
- Data Protection Officer/Privacy Officer
The company does not have a DPO
- Categories and source of processed data
The following data will be processed as part of the whistleblowing report:
- Personal and contact data of the reporting person, if voluntarily disclosed by him/her;
- Data on the reported person and other persons involved in the report, including potential data on the commission of offences;
- Data on the work activity carried out within the company organisation;
- Any other data (potentially also particular data, if relevant to the report) contained in the report or acquired during the investigation phase.
The data of the reporting person, the reported person and/or third parties are provided directly by the reporting person and/or acquired in the course of the ensuing investigation activities.
- Purposes of processing, legal bases and data storage periods
| Why are personal data processed? | What is the legal basis for the processing? |
| For the handling of whistleblowing reports, including investigative activities following the report.
|
The fulfilment of a legal obligation to which the Data Controller is subject, as provided for in Article 6, paragraph 1, point c) of the GDPR.
|
| If necessary, for the purpose of taking measures following the report and, in general, for the protection of the Data Controller’s rights. | Legitimate interest of the Controller under Article 6, paragraph 1, point f) of the GDPR. |
| For the disclosure of the identity of the reporting person (if known) in the only cases provided for by law, e.g. to enable the reported person to defend himself or herself in disciplinary proceedings, (Art. 12 paras. 5 and 6 of the Whistleblowing Decree). | Consent of the data subject under Art. 6 para. 1 point a) of the GDPR |
| For the documentation of a report made by means of the recorded voice messaging system, by further recording on a device suitable for storage and listening or by means of a verbatim transcript (Art. 14 para. 2 of the Whistleblowing Decree). | Consent of the data subject under Art. 6 para. 1 point a) of the GDPR |
| For the handling of any data, included in the report or revealed during the investigation, relating to criminal convictions and offences or related security measures. | The processing is authorised by Union or Member State law (specifically, by the Whistleblowing Decree), as provided for in Article 10 of the GDPR |
| For the handling of special data (i.e. data relating to racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership, and data concerning health or sex life) relevant to the reporting case. | Processing is permitted for reasons of substantial public interest (specifically, to comply with the provisions of the Whistleblowing Decree) and/or processing is necessary to ascertain, exercise or defend a right in court, pursuant to Art. 9 para. 2, points f) and g) of the GDPR |
| What is the data storage time? | |
| The data are stored for a maximum period of five years from the date of communication of the final outcome of the procedure for handling the report, unless judicial or disciplinary proceedings are instituted as a consequence of the report itself. In such a case, the data will be stored for the entire duration of the proceedings, until their conclusion and the expiry of the time limits for any appeals.
Personal data that are clearly not useful for the handling of a specific report are not collected or, if accidentally collected, are deleted immediately. After the above-mentioned storage periods have elapsed, the data will be destroyed, deleted or anonymised, subject to technical deletion and backup times. |
|
- Nature of the provision of data
At the reporting stage, the provision of data is at the discretion of the reporting person, it being understood that overly general and unsubstantiated reports cannot be handled effectively.
In the investigation phase, the data controller may acquire further data, either by requesting them from the data subjects or by conducting its own investigations.
The whistleblowing procedure guarantees the confidentiality of the identity of the reporting person (if disclosed), from the moment of receipt and in any subsequent contact, as well as of the persons who are the subjects of the report or otherwise mentioned in the report.
In any case, anonymous reports will only be taken into account if they are adequately substantiated, based on concrete elements and made with a wealth of details, being such as to make the facts reported appear reliable.
- Data recipients
Personal data relating to the handling of the above-mentioned reports are processed by the following entities:
- The Supervisory Board, monocratic, as Reporting Supervisor, designated as authorised under the applicable legislation;
Any sharing of the report and documentation produced by the reporting person with other corporate functions or external professionals for the purpose of investigation is carried out in compliance with the Procedure and the Whistleblowing Decree, with the utmost care to protect the confidentiality of the reporting person and the reported person, omitting any disclosure of data that is not strictly necessary.
It is understood that the identity of the reporting person (and any other information from which it can be inferred, directly or indirectly) will not be disclosed, without the reporting person’s consent, to parties other than the Reporting Supervisors and (when necessary) the professionals assisting them in the investigation, without prejudice to the requirements of the applicable legislation.
The data may be disclosed to the Judicial Authority and to other public entities entitled to receive them, such as ANAC [National Anti-Corruption Authority], in the cases and in the manner provided for by the Whistleblowing Decree and the Procedure.
In the context of possible criminal proceedings, the identity of the reporting person is covered by secrecy in the manner and to the extent provided for in Article 329 of the Italian Code of Criminal Procedure.
In any proceedings before the Court of Auditors, the identity of the reporting person may not be revealed until the investigation phase is closed.
- Data transfers outside the EU
Data are not transferred outside the European Union.
- Rights of data subjects
In relation to the data processing described above, the rights recognised to data subjects by the GDPR can be exercised, including the right to:
- request access to the data and information referred to in Article 15 (purpose of processing, categories of personal data, etc.);
- obtain the rectification of inaccurate data or the integration of incomplete data pursuant to Art. 16;
- request the deletion of personal data in the cases provided for in Article 17, if the Data Controller no longer has the right to process them;
- obtain the restriction of processing (i.e. the temporary submission of data to storage only), in the cases provided for in Article 18 of the GDPR;
- object at any time, for reasons relating to special situations, to the processing of their personal data on the basis of legitimate interest within the meaning of Article 6.1 point f) of the GDPR.
To exercise your rights, you can contact the Privacy Contact by sending an e-mail to [email protected]
Data subjects have the right to lodge a complaint with the Personal Data Protection Supervisor or to take legal action if they consider that the processing of their personal data is contrary to current legislation.
Please note that, pursuant to Article 2-undecies of Italian Legislative Decree No. 196/2003 (“Privacy Code”), the rights referred to in Articles 15 to 22 of the GDPR may not be exercised where the exercise of the same may result in actual and concrete prejudice to the confidentiality of the identity of the reporting person. In that case, the rights in question may be exercised through the Personal Data Protection Supervisor, in the manner set out in Article 160 of the Privacy Code.
Informativa sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del Reg. (UE) 2016/679 (“GDPR”)
Premessa
Di seguito BATHSYSTEM S.p.A. in qualità di Titolare del trattamento, fornisce le informazioni relative al trattamento di dati personali degli interessati effettuato nell’ambito della gestione delle segnalazioni di whistleblowing, ovvero di condotte illecite o violazioni di cui all’art. 2.1, lett. a) del D.Lgs. 24/2023 (di seguito, “Decreto whistleblowing”).
Ai sensi del GDPR, “interessati” sono le persone fisiche a cui i dati si riferiscono. In questo caso, gli interessati sono i segnalanti, il segnalato ed eventuali soggetti citati nella segnalazione.
Le segnalazioni possono essere effettuate tramite i canali e le modalità indicati nel Protocollo whistleblowing
Titolare del trattamento
Titolare del trattamento è BATHSYSTEM S.p.A., C.F. e P.IVA 01768750984 con sede legale in Via Cavour, 149 – 25011 CALCINATO (BS, tel. 030/9980273, indirizzo email [email protected] (di seguito, “Titolare”).
- Data Protection Officer/Referente Privacy
L’azienda non è dotata di un DPO
- Categorie e fonte dei dati trattati
Nell’ambito della segnalazione di whistleblowing saranno trattati i seguenti dati:
- Dati anagrafici e di contatto del segnalante, qualora da questi volontariamente rivelati;
- Dati relativi al segnalato e ad altre persone coinvolte nella segnalazione, inclusi potenzialmente dati relativi alla commissione di illeciti;
- Dati relativi all’attività lavorativa svolta nell’ambito dell’organizzazione aziendale;
- Eventuali altri dati (potenzialmente anche particolari, se pertinenti alla segnalazione) contenuti nella segnalazione o acquisiti nella fase istruttoria.
I dati del segnalante, quelli del segnalato e/o di terzi sono forniti direttamente dal segnalante stesso e/o acquisiti nel corso delle conseguenti attività istruttorie.
- Finalità del trattamento, basi giuridiche e tempi di conservazione dei dati
| Perché vengono trattati i dati personali? | Qual è la base giuridica del trattamento? |
| Per la gestione delle segnalazioni di whistleblowing, incluse le attività istruttorie conseguenti alla segnalazione.
|
L’adempimento di un obbligo di legge al quale è soggetto il Titolare, come previsto dall’art. 6, comma 1, lett. c) del GDPR.
|
| Se necessario, al fine dell’adozione dei provvedimenti conseguenti alla segnalazione e, in generale, per la tutela dei diritti del Titolare. | Legittimo interesse del Titolare di cui all’art. 6 co.1 lett. f) del GDPR. |
| Per la rivelazione dell’identità del segnalante (se conosciuta) nei soli casi previsti dalla legge, ad es. per consentire al segnalato di difendersi nell’ambito di un procedimento disciplinare, (art. 12 co. 5 e 6 del Decreto whistleblowing). | Consenso dell’interessato di cui all’art. 6 co. 1 lettera a) del GDPR |
| Per la documentazione di una segnalazione effettuata mediante il sistema di messaggistica vocale registrato, tramite ulteriore registrazione su un dispositivo idoneo alla conservazione e all’ascolto oppure mediante trascrizione integrale (art. 14 co. 2 del Decreto whistleblowing). | Consenso dell’interessato di cui all’art. 6 co. 1 lettera a) del GDPR |
| Per la gestione di eventuali dati, inclusi nella segnalazione o emersi nell’ambito dell’istruttoria, relativi a condanne penali e ai reati o a connesse misure di sicurezza. | Il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri (nello specifico, dal Decreto Whistleblowing), come previsto dall’art. 10 del GDPR |
| Per la gestione di dati particolari (ovvero dati relativi all’origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, all’appartenenza sindacale e dati riguardanti la salute o la vita sessuale) rilevanti per la fattispecie di segnalazione. | Il trattamento è consentito per motivi di interesse pubblico rilevante (nello specifico, per adempiere alle previsioni del Decreto Whistleblowing) e/o il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, ai sensi dell’art. 9 co. 2 lettere f) e g) del GDPR |
| Qual è il tempo di conservazione dei dati? | |
| I dati sono conservati per un periodo massimo di 5 anni dalla data della comunicazione dell’esito finale della procedura di gestione della segnalazione, salvo l’instaurazione di procedimento giudiziario o disciplinare conseguente alla segnalazione stessa. tal caso, i dati saranno conservati per tutta la durata del procedimento, fino alla sua conclusione e al decorso dei termini per eventuali impugnazioni.
I dati personali che manifestamente non sono utili alla gestione di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente. Decorsi i termini di conservazione sopra indicati, i dati saranno distrutti, cancellati o resi anonimi, compatibilmente con le tempistiche tecniche di cancellazione e backup. |
|
- Natura del conferimento dei dati
Nella fase di segnalazione il conferimento dei dati è a discrezione del segnalante, fermo restando che segnalazioni eccessivamente generiche e non circostanziate non potranno essere gestite efficacemente.
Nella fase di istruttoria il titolare può acquisire ulteriori dati, chiedendoli agli interessati o effettuando indagini in proprio.
Il procedimento di gestione delle segnalazioni garantisce la riservatezza dell’identità del segnalante (qualora rivelata), sin dalla ricezione e in ogni contatto successivo, nonché delle persone oggetto della segnalazione o comunque menzionate nella stessa.
In ogni caso, eventuali segnalazioni anonime saranno prese in carico solo qualora adeguatamente circostanziate, basate su elementi concreti e rese con dovizia di particolari, essendo tali da far apparire attendibili i fatti segnalati.
- Destinatari dei dati
I dati personali relativi alla gestione delle segnalazioni di cui sopra sono trattati dai seguenti soggetti:
- L’Organismo di Vigilanza, monocratico, in qualità di Gestore delle segnalazioni, designati come autorizzati ai sensi della normativa applicabile;
L’eventuale condivisione della segnalazione e della documentazione prodotta dal segnalante con altre funzioni aziendali o con professionisti esterni a scopo di indagine viene svolta nel rispetto della Procedura e del Decreto whistleblowing, con la massima attenzione a tutelare la riservatezza del segnalante e del segnalato, omettendo qualsiasi comunicazione di dati che non sia strettamente necessaria.
Resta fermo che l’identità del segnalante (e qualsiasi altra informazione da cui la si può evincere, direttamente o indirettamente) non sarà rivelata, senza il consenso dello stesso, a soggetti diversi dai Gestori delle segnalazioni e (quando necessario) ai professionisti che li assistono nell’attività istruttoria, fatto salvo quanto prescritto dalla normativa applicabile.
I dati possono essere comunicati all’Autorità Giudiziaria e ad altri soggetti pubblici legittimati a riceverli, quale ad esempio l’ANAC, nei casi e nelle modalità previsti dal Decreto whistleblowing e dalla Procedura.
Nell’ambito di un eventuale procedimento penale, l’identità della persona segnalante è coperta dal segreto nei modi e nei limiti previsti dall’articolo 329 del codice di procedura penale.
Nell’ambito di un eventuale procedimento dinanzi alla Corte dei conti, l’identità della persona segnalante non può essere rivelata fino alla chiusura della fase istruttoria.
- Trasferimenti di dati extra UE
I dati non sono trasferiti al di fuori dell’Unione Europea.
- Diritti degli interessati
È possibile esercitare, in relazione ai trattamenti dei dati sopra descritti, i diritti riconosciuti dal GDPR agli interessati, ivi incluso il diritto di:
- chiedere l’accesso ai dati e alle informazioni di cui all’art. 15 (finalità del trattamento, categorie di dati personali, etc.);
- ottenere la rettifica dei dati inesatti o l’integrazione dei dati incompleti ai sensi dell’art. 16;
- chiedere la cancellazione dei dati personali nelle ipotesi previste dall’art. 17, se il Titolare non ha più diritto di trattarli;
- ottenere la limitazione del trattamento (cioè la temporanea sottoposizione dei dati alla sola operazione di conservazione), nei casi previsti dall’art. 18 GDPR;
- opporsi in qualsiasi momento, per motivi connessi a situazioni particolari, al trattamento dei propri dati personali sulla base del legittimo interesse ai sensi dell’articolo 6.1 lett. f) del GDPR.
Per esercitare i propri diritti è possibile rivolgersi al Referente Privacy inviando una e-mail all’indirizzo [email protected] .
Gli interessati hanno il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali o di adire le competenti sedi giudiziarie qualora ritengano che il trattamento dei propri dati personali sia contrario alla normativa vigente.
Si segnala che, ai sensi dell’art. 2-undecies del D. Lgs. n. 196/2003 (“Codice Privacy”), i diritti di cui agli articoli da 15 a 22 del GDPR non possono essere esercitati qualora dall’esercizio degli stessi possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante. In tale ipotesi i diritti in questione possono essere esercitati per il tramite del Garante per la Protezione dei Dati Personali, con le modalità di cui all’art. 160 del Codice Privacy.