Remplissez le formulaire ci-dessous pour demander des informations. Un de nos consultants vous contactera dans les plus brefs délais.
Whistleblowing Privacy
INFORMATION CONFORMÉMENT AUX ARTICLES 13 ET 14 DU RÈGLEMENT (UE) N° 2016/679 concernant le traitement des données personnelles dans le cadre des signalements d’infractions (whistleblowing)
Conformément aux articles 13-14 du Règlement Européen 2016/679 (« RGPD »), nous informons que Frezza S.r.l. traite les données personnelles (« Données ») des personnes qui signalent des comportements illégaux présumés ou des violations dont elles ont eu connaissance dans le cadre professionnel, identifiées à l’art. 3, al. 3 du D. Lgs. 24/2023, ainsi que les personnes visées à l’art. 3, al. 5 du décret précité (par exemple, facilitateurs), et des personnes autres que celles susmentionnées dont les données personnelles sont incluses dans les signalements de whistleblowing et/ou traitées pour gérer le signalement (par exemple, données de tiers) (ci-après, collectivement, les « Intéressés »). En conformité avec le principe de transparence, les informations suivantes sont fournies aux Intéressés.
RESPONSABLE DU TRAITEMENT : IDENTITÉ ET COORDONNÉES. Le Responsable du traitement des Données est Frezza S.r.l., N° de TVA 00767170268, ayant son siège social à Vidor (TV), Via Ferret n. 11/9 (ci-après « Société » ou « Responsable »). Pour toute information, question ou clarification concernant le traitement des Données, vous pouvez contacter le Responsable en envoyant une lettre recommandée au siège social de la Société (voir également « DROITS DES INTÉRESSÉS » ci-dessous).
DÉLÉGUÉ À LA PROTECTION DES DONNÉES : COORDONNÉES. Le Délégué à la Protection des Données désigné par le Responsable peut être contacté à l’adresse e-mail suivante : info@frezza.com.
FINALITÉ DU TRAITEMENT DES DONNÉES. Les Données sont traitées uniquement dans le but de gérer et de donner suite aux signalements reçus par la Société conformément à la réglementation de whistleblowing sur la protection des personnes signalant des infractions dont elles ont eu connaissance dans le cadre professionnel (telles que définies dans le D. Lgs. n° 24/2023). La « gestion des signalements » comprend à la fois la gestion du ou des canaux activés par la Société et la gestion des signalements reçus (par exemple, pour effectuer les vérifications nécessaires afin de confirmer la véracité des faits signalés et prendre les mesures appropriées), en conformité avec la procédure adoptée par la Société pour la gestion des signalements.
CATÉGORIES DE DONNÉES TRAITÉES. Afin de remplir la finalité susmentionnée, le Responsable traite les données personnelles contenues dans le signalement et celles collectées au cours de sa gestion. Selon les cas, le Responsable traite notamment :
- Données personnelles ordinaires (art. 6 RGPD), telles que des données d’identification (par exemple, nom et prénom), des données de localisation (par exemple, adresse de résidence), des coordonnées (par exemple, numéro de téléphone, e-mail), la fonction/position, l’entreprise d’appartenance, etc.
- Données personnelles sensibles (art. 9 RGPD), telles que des données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, les données de santé ou concernant la vie sexuelle ou l’orientation sexuelle de l’intéressé.
- Données judiciaires (art. 10 RGPD), à savoir des données relatives aux condamnations pénales et infractions ou mesures de sûreté connexes.
BASE JURIDIQUE DU TRAITEMENT. Le traitement des Données est effectué :
- pour les données personnelles ordinaires, conformément à l’art. 6, par. 1, let. c) RGPD, pour satisfaire à une obligation légale à laquelle la Société est soumise (D. Lgs. n° 24/2023) ;
- pour les données personnelles sensibles, conformément à l’art. 9, par. 2, let. b) RGPD, pour satisfaire à une obligation légale à laquelle la Société est soumise ;
- pour les données judiciaires, conformément aux art. 10 et 88 RGPD (). En règle générale, la Société ne traite pas de données judiciaires. Ce traitement n’a lieu que si : i) le signalement de whistleblowing contient ces données ; ii) leur traitement est nécessaire pour la gestion du signalement ; iii) les conditions des art. 10 et 88 RGPD sont remplies. Sinon, le Responsable s’abstiendra de traiter ces données et les supprimera lorsque cela est possible. () Cf. Délibération du Garant pour la protection des données personnelles n° 304 du 6 juillet 2023.
Il est également précisé que, dans les cas expressément prévus par le D. Lgs. 24/2023, le traitement des données sera effectué uniquement avec le consentement du lanceur d’alerte. En particulier, le consentement sera requis :
- dans les cas prévus par l’art. 12, al. 2 : pour la divulgation de l’identité du lanceur d’alerte et de toute autre information pouvant révéler, directement ou indirectement, son identité à des personnes autres que celles habilitées à recevoir ou à traiter le signalement ;
- dans les cas prévus par l’art. 12, al. 5 : pour la divulgation de l’identité du lanceur d’alerte dans le cadre de la procédure disciplinaire, lorsque la contestation est fondée et que la connaissance de cette identité est indispensable pour la défense de l’accusé ;
- dans les cas prévus par l’art. 14, al. 2 : pour la documentation par enregistrement sur un dispositif de conservation et d’écoute ou par transcription intégrale de la signalisation effectuée par ligne téléphonique ;
- dans les cas prévus par l’art. 14, al. 4 : pour la documentation, par enregistrement sur un dispositif de conservation et d’écoute ou par compte rendu, du signalement effectué oralement lors d’une rencontre avec le personnel désigné.
MODALITÉS DE TRAITEMENT. Le traitement des Données est effectué sur papier et par moyens électroniques, en respectant les dispositions en matière de protection des données personnelles et en appliquant les mesures techniques et organisationnelles appropriées prévues par l’art. 32.1 RGPD, ainsi que toutes les précautions nécessaires pour garantir leur intégrité, confidentialité et disponibilité. Notamment, conformément au D. Lgs. n° 24/2023, la Société adopte, entre autres, la mesure de sécurité du cryptage pour garantir la confidentialité de l’identité du lanceur d’alerte, des personnes impliquées et de celles mentionnées dans le signalement, ainsi que le contenu et la documentation associée. Les traitements couverts par la présente Notice ne font pas l’objet de décisions automatisées.
SOURCE DES DONNÉES PERSONNELLES. NATURE DE LA FOURNITURE ET CONSÉQUENCES DU REFUS. Les Données, y compris celles de personnes autres que le lanceur d’alerte, sont contenues dans le signalement et/ou recueillies ultérieurement au cours de sa gestion. La fourniture des données personnelles est nécessaire pour effectuer et gérer un signalement de whistleblowing. Les signalements anonymes seront traités comme des signalements ordinaires, uniquement s’ils sont suffisamment détaillés pour révéler des faits et des situations bien définis.
CATÉGORIES DE DESTINATAIRES DES DONNÉES PERSONNELLES. Les Données ne sont pas diffusées. Le personnel chargé de la gestion des signalements a été expressément autorisé à traiter les Données en vertu de l’art. 29 RGPD et a reçu des instructions opérationnelles spécifiques du Responsable. Il est précisé que si le signalement est transmis aux Autorités compétentes, les Données peuvent être consultées et traitées par ces dernières en tant que Responsables autonomes du traitement. Les Données peuvent également être communiquées à des prestataires de services du Responsable qui les traitent, selon les cas, en tant que Responsables autonomes (par exemple, avocats) ou en tant que Sous-traitants au sens de l’art. 28 RGPD (par exemple, un prestataire externe chargé de la maintenance du canal de signalement ; consultants externes chargés de la gestion du signalement). Le registre mis à jour des Sous-traitants est conservé au siège du Responsable et peut être consulté sur demande par l’Intéressé.
TRANSFERT DE DONNÉES VERS DES PAYS TIERS OU ORGANISATIONS INTERNATIONALES. Les Données ne sont pas transférées vers des pays tiers non membres de l’UE/EEE, ni vers des organisations internationales. Si un tel transfert s’avérait nécessaire pour atteindre les finalités décrites dans la présente Notice, le Responsable garantit que cela se fera en conformité avec le chapitre V du RGPD (art. 44 et suivants), afin de garantir que le niveau de protection des personnes physiques assuré par le RGPD n’est pas compromis. Le transfert aura donc lieu vers des pays jugés adéquats par la Commission européenne, conformément à l’art. 44 RGPD, ou en respectant des clauses contractuelles types approuvées par la Commission Européenne conformément à l’art. 46 RGPD, à condition que le destinataire offre des garanties adéquates et que les personnes concernées disposent de droits effectifs et de recours efficaces. D’éventuelles dérogations se feront uniquement dans le respect de l’art. 49 RGPD.
DURÉE DE CONSERVATION DES DONNÉES PERSONNELLES. Les signalements et la documentation associée sont conservés uniquement pour la durée nécessaire à la gestion du signalement, et en tout cas pas plus de cinq ans à compter de la communication de l’issue finale de la procédure de signalement, conformément aux obligations de confidentialité. Passé ce délai, les Données seront supprimées ou rendues anonymes de manière irréversible. Une conservation plus longue pourra être requise en cas de demandes légitimes formulées par les Autorités ou de participation du Responsable à des procédures judiciaires impliquant le traitement des Données.
DROITS DES INTÉRESSÉS. RECOURS À L’AUTORITÉ DE CONTRÔLE. En contactant le Responsable en utilisant les méthodes indiquées dans la section « RESPONSABLE DU TRAITEMENT : IDENTITÉ ET COORDONNÉES » de cette Notice, l’Intéressé a le droit d’exercer les droits que lui reconnaît le RGPD – dans les limites de l’art. 2 undecies du D. Lgs. n. 196/2003 (**) – c’est-à-dire de demander : a) l’accès aux Données le concernant ; b) la rectification des Données ; c) la suppression des Données, dans les limites prévues par le RGPD ; d) la limitation du traitement des Données, lorsque les conditions de l’art. 18 RGPD sont remplies ; e) la portabilité des Données dans un format structuré, dans les cas prévus à l’art. 20 RGPD ; f) l’opposition au traitement des Données, conformément à l’art. 21 RGPD. Si l’Intéressé estime que le traitement le concernant viole le RGPD, il a également le droit d’introduire une réclamation auprès de l’Autorité de contrôle. En Italie, cette Autorité est représentée par le Garant pour la Protection des Données Personnelles, basé à Rome. Les Intéressés non résidents en Italie peuvent introduire une réclamation auprès de l’Autorité de contrôle désignée dans leur pays de résidence.
Afin de garantir la confidentialité de l’Intéressé effectuant une demande d’exercice des droits, les demandes devront être soumises avec la mention « DEMANDE D’EXERCICE DES DROITS PRIVACY – SIGNALISATION WHISTLEBLOWING » (dans l’objet de l’e-mail ou sur l’enveloppe de la lettre recommandée).
(**) Il est précisé que les droits des articles 15 à 22 du RGPD ne peuvent pas être exercés par demande au Responsable ou par réclamation auprès de l’Autorité si l’exercice de ces droits peut porter un préjudice effectif et concret à la confidentialité de l’identité de la personne signalant des violations dont elle a eu connaissance en raison de sa relation de travail ou des fonctions exercées.