NORME SULLA PRIVACY DEL SISTEMA DI SEGNALAZIONE ILLECITI (WHISTLEBLOWING)

1. Responsabile e responsabile della protezione dei dati

Responsabile è Carthago Reisemobilbau GmbH, Carthago-Ring 1, 88326 Aulendorf,
+49 (0)7525 92000.

Responsabile della protezione dei dati: Christoph Boser
Carthago Ring 1, 88326 Aulendorf
Telefono: +49 7525 9200 3000
E-mail: datenschutz@carthago.com
 
Per qualunque domanda sulla protezione dei dati è possibile inviare una mail in qualunque momento al nostro responsabile della protezione dei dati.
E-mail datenschutz@carthago.com.
 

2. Finalità del nostro sistema interno di segnalazione illeciti

Abbiamo creato un sistema interno di segnalazione illeciti per garantire una procedura sicura e riservata che consenta di ricevere, trattare e gestire le segnalazioni di potenziali irregolarità, violazioni di legge e altri comportamenti illeciti nell’azienda.
 

3. Informatori e informatrici (whistleblower)

Il nostro sistema interno di segnalazione illeciti è disponibile per i collaboratori ed ex collaboratori della nostra azienda e terzi (ad es. clienti, partner commerciali, fornitori, collaboratori di aziende collegate).
 

4. Tipo di segnalazioni

  • Con la segnalazione anonima, il nostro sistema di segnalazione illeciti non raccoglie né tratta i dati personali dell’informatore o dell’informatrice.
  • Nella segnalazione riservata è soltanto CONFDNT, il gestore esterno del nostro sistema di segnalazione illeciti, ad avere accesso ai dati di contatto degli informatori o delle informatrici, ma non li comunica a noi. In caso di segnalazione riservata, noi abbiamo la possibilità di comunicare direttamente con l’informatore o l’informatrice, ad es. per confermare l’arrivo della segnalazione, per porre domande sul contenuto e per aggiornare sulle azioni intraprese. Anche in questo caso comunque non abbiamo accesso all’identità dell’informatore o dell’informatrice, infatti, il gestore esterno del nostro sistema di segnalazione illeciti, CONFDNT, agisce come “filtro anonimizzante” tra noi e gli informatori e le informatrici.
  • In caso di segnalazione trasparente, invece, il nostro referente interno all’azienda che si occupa della gestione delle segnalazioni ha accesso ai dati relativi all’identità degli informatori e delle informatrici e può comunicare direttamente con loro. Siamo in ogni caso tenuti a osservare quanto stabilito dalla Direttiva UE sul Whistleblowing, mantenendo la riservatezza sull’identità dell’informatore o dell’informatrice, ovvero soltanto il personale interno all’azienda incaricato della gestione delle segnalazioni può conoscere l’identità degli informatori e delle informatrici, nessun altro in azienda.

 

5. Dati personali trattati

Quando viene inviata una segnalazione attraverso il sistema di segnalazione illeciti, trattiamo i seguenti dati personali:

  • nome e contatti dell’informatore o dell’informatrice nel caso di segnalazione trasparente. In caso di segnalazione riservata soltanto il gestore del nostro sistema di segnalazione, CONFDNT, riceve i dati personali dell’informatore o dell’informatrice, noi no. In caso di segnalazione anonima invece nessuno riceve i dati personali dell’informatore o dell’informatrice.
  • L’indirizzo IP dell’informatore o dell’informatrice non viene salvato per trattare la segnalazione nell’applicazione. Per garantire la disponibilità, la riservatezza e l’integrità del server e di applicazioni e interfacce collegate al server, gli accessi al server vengono protocollati in modo da riconoscere potenziali violazioni della sicurezza e poter intervenire. Gli accessi che non sono collegati ad alcuna violazione della sicurezza vengono eliminati periodicamente a ogni manutenzione e comunque vengono conservati al massimo per un mese.
  • La relazione con l’azienda o la funzione della persona vengono trattati soltanto se espressamente indicati nella segnalazione.
  • I dati personali di persone che vengono menzionate in una segnalazione, vengono trattati per le indagini o per il trattamento della segnalazione.

La comunicazione tra il computer dell’informatore o dell’informatrice e il sistema di segnalazione avviene attraverso un collegamento criptato (SSL). Per mantenere il collegamento tra il computer e il sistema di segnalazione illeciti, viene salvato un cookie sul computer che contiene esclusivamente l’ID della sessione (cosiddetto cookie zero). Il cookie rimane attivo soltanto fino alla fine della sessione e viene cancellato alla chiusura del browser.
 

6. Trattamento riservato delle segnalazioni e inoltro

Le segnalazioni inviate vengono ricevute e trattate esclusivamente da pochi collaboratori autorizzati. Questi collaboratori sono espressamente tenuti a trattare tutte le segnalazioni sempre in modo riservato. Questi collaboratori responsabili controllano la segnalazione e, se necessario, procedono ad approfondire il caso. Durante il chiarimento del caso ed eventualmente quando vengono adottate misure, potrebbe essere necessario inoltrare le segnalazioni ad altri collaboratori dell’azienda. Questa evenienza si verifica esclusivamente se necessario, al fine di chiarire situazioni o attuare interventi e durante l’inoltro delle segnalazioni siamo sempre attenti a rispettare le disposizioni pertinenti sul trattamento dei dati personali. In determinati casi sussiste l’obbligo imposto dalle norme sulla protezione dei dati di informare la persona incolpata di essere stata segnalata per irregolarità. Le norme lo prescrivono nei casi in cui obiettivamente è chiaro che questa informazione passata alla persona incolpata non può (più) compromettere il raggiungimento della concreta soluzione della segnalazione. In questi casi, nella misura in cui ciò è possibile, non viene rivelata l’identità dell’informatore o dell’informatrice, e si garantisce che con l’informazione non sia comunque possibile risalire all’identità dell’informatore o dell’informatrice. In caso di presentazione intenzionale di segnalazioni false con l’obiettivo di screditare una persona (delazione), non è possibile garantire la riservatezza sull’identità dell’informatore o dell’informatrice. In presenza di un obbligo di legge o di un’esigenza legata alla protezione dei dati personali per il chiarimento della segnalazione, potrebbe richiedere il coinvolgimento di altre categorie di destinatari, come le forze dell’ordine, l’autorità antitrust, altre autorità amministrative, tribunali, oltre ad avvocati e società di revisione contabile da noi incaricati.
 

7. Creazione di un account

Gli informatori e le informatrici creano un account per inviare la segnalazione. L’account è raggiungibile tramite codice QR e/o con un link personalizzato. L’account rende possibile la comunicazione tra i collaboratori che in azienda hanno l’incarico di occuparsi delle segnalazioni e gli informatori o le informatrici. Per la creazione e l’uso dell’account non vengono raccolti dati personali. È possibile utilizzare il sistema di segnalazione illeciti in modo anonimo senza poter risalire in alcun modo all’identità dei singoli utilizzatori. Le singole segnalazioni vengono contrassegnate in modo chiaro da un numero identificativo. Il numero identificativo non serve in alcun modo per identificare l’informatore o l’informatrice, ma soltanto per distinguere in modo logico le segnalazioni e i relativi informatori e informatrici. I dati personali inseriti nel sistema di segnalazione illeciti possono essere visti in qualunque momento dall’informatore o dall’informatrice nell’account. Il sistema di segnalazione illecita non memorizza altri dati personali oltre a quelli indicati nell’account. Tutti i dati immessi dall’informatore o dall’informatrice vengono criptati e memorizzati individualmente in una banca dati.
 

8. Basi giuridiche

Il trattamento dei dati personali nell’ambito del sistema di segnalazione illeciti si basa sugli obblighi di legge e sul nostro interesse legittimo prevalente nella scoperta e prevenzione di irregolarità e la relativa prevenzione di danni e rischi legati alla responsabilità dell’azienda. La base giuridica è costituita pertanto dall’art. 6 cpv. 1 lit. c) e lit. f) del Regolamento generale europeo sulla protezione dei dati (GDPR) e §§ 30, 130 della legge tedesca sulle sanzioni amministrative (OWiG).
Se una segnalazione riguarda uno dei nostri collaboratori, il trattamento serve anche a impedire e a scoprire reati o altre violazioni di legge contestuali al rapporto di lavoro. In questo caso la base giuridica è § 26 cpv. 1 della legge federale tedesca sulla protezione dei dati (BDSG).
 

9. Conservazione e cancellazione

I dati personali vengono conservanti fintanto che è necessario per approfondire e giungere a una conclusione in merito a una segnalazione, finché è presente l’interesse legittimo dell’azienda oppure finché è necessario secondo quanto previsto dalla legge.
Successivamente, questi dati saranno cancellati come indicato dalla legge. La durata della memorizzazione dipende in particolare dalla gravità dell’illecito sospettato e dell’eventuale violazione di un dovere segnalata.
La cancellazione dei dati raccolti avviene in linea di principio entro due mesi dopo la conclusione delle indagini interne.
Se in seguito a un comportamento illecito ai sensi di questa direttiva o in caso di uso improprio del sistema di segnalazione illeciti dovesse aprirsi un procedimento penale, disciplinare o civile, la durata di conservazione dei dati potrebbe estendersi fino al passaggio in giudicato del rispettivo procedimento.
I dati personali chiaramente non rilevanti per la gestione di una segnalazione specifica, non vengono raccolti, oppure vengono immediatamente cancellati se raccolti in modo non intenzionale.
 

10. Fornitore del servizio

Il nostro sistema di segnalazione illeciti è reso disponibile da Compliance.One GmbH in Germania sulla base di un contratto di Responsabile del trattamento ai sensi dell’art. 28 del GDPR.
 

11. I diritti dell’interessato

Gli interessati hanno i seguenti diritti nella misura in cui sono soddisfatti i requisiti di legge:

  • Diritto di accesso, art. 15 GDPR
  • Diritto di rettifica, art. 16 GDPR
  • Diritto alla cancellazione, art. 17 GDPR
  • Diritto di limitazione del trattamento, art. 18 GDPR
  • Diritto alla portabilità dei dati, art. 20 GDPR
  • Diritto di opposizione, art. 21 GDPR

Nella misura in cui il trattamento dei dati si basa su una valutazione degli interessi legittimi, l’interessato ha diritto di opporsi al trattamento dei dati. Per farlo devono sussistere motivi legittimi derivanti dalla sua situazione specifica.
Inoltre, l’interessato ha il diritto di rivolgersi all’autorità di controllo in merito al trattamento dei dati personali.
 

12. Modifica delle presenti informazioni sulla protezione dei dati

Ci riserviamo il diritto di modificare di tanto in tanto queste informazioni sulla protezione dei dati personali in modo che siano sempre conformi ai requisiti di legge aggiornati e/o rappresentino le modifiche al trattamento dei dati. Dovrà quindi essere considerata valida l’informativa aggiornata sul trattamento dei dati personali.