Privacy Policy*
Informativa sulla Privacy
Con il Regolamento UE 679/2016 (c.d. GDPR), recante disposizioni in materia di protezione dei dati personali e la loro libera circolazione, Lucky Red srl (o di seguito anche in breve Lucky Red), è tenuta a fornire alcune informazioni riguardanti l’utilizzo dei dati personali, impiegati per le finalità di seguito indicate, comunicate nell'ambito della procedura di segnalazione ed acquisite mediante gli strumenti informatici e/o tramite le ulteriori modalità indicate nella specifica documentazione. Tutti i dati personali verranno trattati ai sensi della vigente normativa in materia di protezione dei dati personali, per tale intendendosi il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (“GDPR”), il D.Lgs. n. 196/2003 come modificato dal D.Lgs. n. 101/2018 (“Codice Privacy”) nonché qualsiasi altra normativa sulla protezione dei dati personali applicabile in Italia, ivi compresi i provvedimenti del Garante (di seguito, congiuntamente al GDPR, “Disciplina Privacy”), nel pieno rispetto dei diritti e delle libertà fondamentali, con particolare riguardo per la riservatezza dell'identità dei soggetti coinvolti e per la sicurezza del trattamento.
Titolare del trattamento
Il titolare del trattamento è Lucky Red s.r.l. Largo Italo Gemini 1 00161 Roma; C.F. 07824900588 P.IVA: 01880311004; Tel. 063759441, mail: info@luckyred.it, pec: luckyred@legalmail.it.
Il Titolare del trattamento, ai sensi dell’articolo 28 del GDPR, ha inteso nominare il seguente responsabile del trattamento: Avv. Giorgio A. Rinaldi.
Tipologia dei dati trattati
I dati personali acquisiti, a cui è riferita la presente informativa, sono prevalentemente comunicati dall’interessato mediante l’utilizzo della soluzione “Software as a Service” (SaaS), GlobalLeaks (sistema digitale di whistleblowing), che può essere utilizzata, in conformità con quanto disposto dalle norme che ne regolamentano l’attuazione.
Il processo di segnalazione è progettato in modo da tutelare l'anonimato del segnalante. È possibile, seguendo le indicazioni indicate nella pagina dedicata, nascondere il proprio indirizzo IP. L'operatore incaricato della gestione e trasmissione delle segnalazioni non è autorizzato a comunicare eventuali dati personali, a meno che gli stessi non siano resi noti dal segnalante, al fine di agevolare le attività investigative e giudiziali.
I dati oggetto del trattamento rientrano nelle seguenti tipologie:
Segnalazione anonima
- dati anagrafici del segnalato (e.g. nome, cognome, luogo e data di nascita);
- dati di natura professionale del segnalato (e.g. area aziendale di appartenenza, ruolo aziendale, tipo di rapporto intrattenuto con la società o altri soggetti terzi, professione);
- eventuale relazione del segnalato con il segnalante;
- dati anagrafici di eventuali testimoni;
- posizione lavorativa dei testimoni;
- eventuale relazione del testimone con il segnalante.
In talune condizioni, per procedere nell’istruttoria della segnalazione, potranno essere richieste ulteriori informazioni, ivi inclusa l’indicazione dei dati anagrafici del segnalante nel caso non fossero stati precedentemente indicati, in ogni caso si evidenzia che l’applicazione della procedura di segnalazione anonima è possibile solo qualora le segnalazioni stesse siano adeguatamente circostanziate e rese con dovizia di particolari, ove cioè siano in grado di far emergere fatti e situazioni relazionandoli a contesti determinati.
Segnalazione con identificazione del segnalante
In aggiunta ai dati precedentemente indicati riguardanti il segnalato ed eventuali testimoni abbiamo:
- dati anagrafici del segnalante (e.g. nome, cognome, luogo e data di nascita);
- dati di contatto del segnalante (e.g. indirizzo e-mail, numero di telefono, recapito postale);
- dati di natura professionale (e.g. area aziendale di appartenenza, ruolo aziendale, tipo di rapporto intrattenuto con la società o altri soggetti terzi, professione);
- immagini o messaggi audio relativi alla segnalazione svolta da cui è possibile dedurre l’identità dei soggetti registrati;
- ogni altra informazione riferita al segnalato che il segnalante decide di condividere con il Titolare per meglio circostanziare la propria segnalazione, in relazione a:
- condotte illecite rilevanti ai sensi del D.lgs. 231/2001 o violazioni del modello di organizzazione e gestione dell'ente;
- irregolarità e/o comportamenti illeciti, commissivi o omissivi, che costituiscano o possano costituire violazione dei principi sanciti nel Codice Etico adottato, di policy e regole aziendali e/o che possano tradursi in frodi o in un danno, anche potenziale, nei confronti di colleghi, azionisti e stakeholder in generale o che costituiscano atti di natura illecita o lesiva degli interessi della reputazione stessa dell'azienda;
- attività e pagamenti impropri o sospetti, diversi dalle spese o contribuzioni, ovvero le richieste, dirette o indirette, formulate da pubblici ufficiali, enti privati o altri soggetti, aventi ad oggetto liberalità, nonché ogni sospetta violazione.
Ulteriori dati personali oggetto di trattamento
Per effetto delle novità introdotte dal D. Lgs. 24/2023 la tutela è riconosciuta, oltre ai suddetti soggetti che effettuano segnalazioni, denunce o divulgazioni pubbliche, anche a quei soggetti che, tuttavia, potrebbero essere destinatari di ritorsioni, intraprese anche indirettamente, in ragione del ruolo assunto nell’ambito del processo di segnalazione, divulgazione pubblica o denuncia e/o del particolare rapporto che li lega al segnalante o denunciante, che potrebbero essere così identificati:
- dati personali identificativi riferibili al Facilitatore, (persona fisica che assiste il segnalante nel processo di segnalazione, operante all’interno del medesimo contesto lavorativo e la cui assistenza deve essere mantenuta riservata);
- dati personali riferibili alle persone del medesimo contesto lavorativo del segnalante, denunciante o di chi effettua una divulgazione pubblica e che sono legate ad essi da uno stabile legame affettivo o di parentela entro il quarto grado;
- dati personali identificativi riferibili a colleghi di lavoro del segnalante, denunciante o di chi effettua una divulgazione pubblica, che lavorano nel medesimo contesto lavorativo della stessa e che hanno con detta persona un rapporto abituale e corrente.
Non è prevista e richiesta la comunicazione di dati di natura particolare di cui all'articolo 9 GDPR (quali, a titolo esemplificativo ma non esaustivo, informazioni sullo stato di salute, sull’origine razziale e/o etnica, convinzioni religiose e/o ideologiche, appartenenza sindacale o orientamento sessuale), come pure dati relativi a condanne penali e reati ai sensi dell'articolo 10 GDPR. Pur tuttavia, ai fini della gestione della segnalazione, il Titolare potrebbe venire a conoscenza, se volontariamente comunicati nei campi a testo libero presenti nel modulo di segnalazione, di tali dati, che saranno utilizzati solo ove strettamente necessari per la gestione della segnalazione, nel pieno rispetto dei principi di proporzionalità e necessità e, se ritenuti irrilevanti ai fini della stessa, non saranno oggetto di ulteriore trattamento.
Finalità del trattamento dei dati
I dati personali sono raccolti e trattati per le finalità strettamente connesse alla gestione delle segnalazioni di condotte illecite, relativamente ad attività e/o comportamenti difformi dalle procedure implementate dalla società, per tali intendendosi la violazione di norme di condotta professionale e/o principi di etica richiamati dalla normativa vigente – interna ed esterna – e/o comportamenti illeciti o fraudolenti riferibili a dipendenti, membri degli organi sociali o terzi (clienti, fornitori, consulenti, collaboratori), di contrastare condotte illecite o irregolarità, violazioni di norme, azioni suscettibili di arrecare pregiudizio patrimoniale o di immagine aziendale e di dotarsi di un sistema di segnalazioni in linea con quanto previsto dalla normativa cogente finalizzato ad accertare la veridicità della segnalazione e di svolgere ogni attività necessaria per la gestione della stessa, mitigarne/eliminarne gli effetti e l’adozione dei conseguenti provvedimenti.
Base giuridica
Le basi giuridiche del trattamento dei dati personali per le finalità precedentemente indicate sono riconducibili:
- alla necessità di adempiere ad obblighi legali cui è soggetto il Titolare (si veda in particolare l'art. 6, co. 2bis e ss. del D. Lgs. 8 giugno 2001, n. 231);
- alla necessità di accertare, esercitare o difendere un diritto in sede giudiziaria.
Periodo di conservazione dei dati
I dati sono conservati per il solo periodo necessario al raggiungimento delle finalità per cui sono trattati o nei termini previsti da leggi, norme e regolamenti nazionali e comunitari a cui l'organizzazione deve attenersi. In particolare, il Titolare ha definito i periodi di conservazione di seguito indicati:
- le segnalazioni che sono state valutate non rilevanti e archiviate sulla base di quanto previsto dalla procedura aziendale adottata dal Titolare verranno cancellate decorsi 60 giorni dal completamento delle verifiche dei fatti esposti nella denuncia;
- tutte le altre segnalazioni ricevute dai canali di segnalazione ammessi, gli eventuali documenti allegati alla segnalazione o ricevuti nel corso della fase di indagine sono conservati per il periodo prescrizionale applicabile a gran parte dei dati dalla data di chiusura della segnalazione. Inoltre, trascorsi i periodi di conservazione sopra indicati, le segnalazioni potranno essere conservate solo in forma anonimizzata per soli fini statistici.
Riservatezza e tutela del segnalante
Il Titolare in osservanza dell'art. 6 del D.lgs. 231/2001 come modificato dall'art. 2 della L. n. 179/2017, tutela la riservatezza dell'identità del segnalante nelle attività di gestione della segnalazione e vieta atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o inviata, alla segnalazione. Pertanto, a eccezione dei casi in cui sia configurabile una responsabilità a titolo di calunnia e di diffamazione ai sensi delle disposizioni del codice penale o dell'art. 2043 del codice civile e delle ipotesi in cui la riservatezza non è opponibile per legge, (es. indagini penali, tributarie o amministrative, ispezioni di organi di controllo) l'identità del segnalante verrà protetta sin dalla ricezione della segnalazione e in ogni fase successiva, in ossequio alle vigenti disposizioni della Disciplina Privacy. L'identità del segnalante può essere, quindi, rivelata solo nei casi in cui a) la contestazione dell'addebito disciplinare risultava fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità del segnalante risulta assolutamente indispensabile alla difesa del segnalato; b) vi siano disposizioni cogenti che obblighino la Lucky Red srl a rivelare l'identità del segnalante. Tutti coloro che riceveranno e/o saranno coinvolti nella gestione delle segnalazioni sono tenuti a tutelare la riservatezza di tale informazione. La violazione dell'obbligo di riservatezza è fonte di responsabilità disciplinare, fatte salve ulteriori forme di responsabilità previste dall’ordinamento.
Trasferimento dati extra UE
Non sono previsti trasferimenti di dati in aree extra UE
Diritti dell'interessato (artt. 15-16-17 del Regolamento UE 679/16)
L'interessato ha diritto di accesso ai dati personali; di ottenere la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguarda; di opporsi al trattamento; alla portabilità dei dati; di revocare il consenso senza pregiudicare le liceità del trattamento, basato sul consenso, prestato prima della revoca. In caso di violazione nel trattamento dei dati personali, l'interessato potrà presentare reclamo al Titolare del trattamento, all'Autorità Garante per la Protezione dei dati o alla competente Autorità Giuridica. I diritti dell'interessato potranno essere esercitati presso la sede della società ai recapiti indicati alla voce Titolare della presente informativa e presso il Responsabile per la protezione dei dati,
Limitazioni ai diritti del segnalato e di altri soggetti interessati
Le seguenti informazioni sono rese ai fini di trasparenza nei confronti del segnalato e di qualsivoglia soggetto interessato maggiormente riferito in una, anzitutto per metterlo al corrente dei limiti all'esercizio di alcuni diritti previsti dal GDPR: Diritto di informazione – il diritto di essere informato sul trattamento dei propri dati personali ai sensi degli articoli 12 e 14 del GDPR riceve una limitazione alla luce degli obblighi di segretezza e di riservatezza imposti dal D.lgs. 231/2001, come modificato dalla L. n. 179/2017, nonché del rischio di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità del trattamento connesse alle segnalazioni nell'ambito del sistema di denuncia (v. art. 14, par. 5, lettere b) ed) del GDPR). Altri diritti dell'interessato – i diritti di cui agli articoli da 15 a 22 del GDPR non possono essere esercitati (con richiesta al Titolare ovvero con reclamo ai sensi dell'articolo 77 del GDPR) qualora ne possa derivare un pregiudizio effettivo e concreto alla riservatezza dell'identità del segnalante (v. articolo 2-undecies del Codice Privacy e articolo 23 del GDPR) e/o al perseguimento degli obiettivi di conformità alla normativa in materia di segnalazione di condotte illecite. In particolare, si informa il segnalato che l'esercizio di tali diritti: sarà effettuabile conformemente alle disposizioni di legge o di regolamento che regolano il settore (tra cui il D.lgs. 231/2001 come modificato dalla L. n. 179/2017 ); potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all'interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisce una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato, al fine di salvaguardare la riservatezza dell'identità del segnalante; eventualmente, in tali casi, i diritti dell'interessato possono essere esercitati anche tramite il Garante per la Protezione dei Dati Personali (“Garante”) con le modalità di cui all'articolo 160 del Codice Privacy, nel qual caso il Garante informa l' interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell'interessato di proporre ricorso giurisdizionale