Whistleblowing privacy

ENG

Disclosure pursuant to Articles 13 and 14 of European Regulation 2016/679 on the Processing of Personal Data under the System for Reporting Alleged wrongdoing (Whistleblowing).

In accordance with recent legislation (Legislative Decree 24/2023 – “Implementation of Directive (EU) 2019/1937 of the European Parliament and of the Council of October 23, 2019 on the protection of persons who report breaches of Union law and on provisions concerning the protection of persons who report breaches of national laws”), Synbalance S. r.l. (hereinafter also the “Company” or “Synbalance”) has implemented a system for the receipt and management of Reports of alleged wrongdoing, which allows the management of the Report (“Report”) submitted by you to the Company through specific dedicated channels of the Company itself.

The system is dedicated to the receipt and management of Reports, also in anonymous form, received by the Company from Company personnel and/or third parties and relating to possible violations of national or European Union regulatory provisions, violations of internal rules (rules of conduct contemplated in the Code of Ethics, Model 231 and more generally in the Company’s body of regulations), illegal conduct and irregularities regarding the conduct of the Company’s business activities.

Pursuant to Articles 13 and 14 of the European Regulation 2016/679 (hereinafter referred to as “GDPR”), the Company renders the Information Notice on the processing of personal data/information (“Data”) concerning you (as a “Whistleblower”), acquired directly or otherwise, in reference to the “Whistleblowing” made by you, as well as on the processing of data/information of the individuals affected by the Whistleblowing itself (hereinafter also referred to as “Whistleblowing”).

This Whistleblowing Notice is made available and known to the potential data subjects by means of publication on the Company’s institutional website.

The Company reserves the right, at its discretion, to change, modify, add or remove any part of this Disclosure at any time.

That being said, the Company provides, below, information on the processing of personal data carried out in connection with the management of Reports, governed by Synbalance’s “Reporting Procedure”

1.     DATA CONTROLLER

The Data Controller is SYNBALANCE S.R.L., P.IVA IT03858410123, whose contact details are as follows:

  • Registered office: via Celeste Milani 24/26 Origgio (VA), 21040;
  • Operational headquarters: via Celeste Milani 24/26 Origgio (VA), 21040;
  • Telephone: 02 96799831;
  • E-mail address: info@synbalance.care;
  • PEC address: synbalance@legalmail.it.

The Data Controller has established the Supervisory Board, appointed pursuant to Article 6, point 1, letter b) of Legislative Decree No. 231/2001, with autonomous powers of initiative and control, which is also the owner of the process of handling reports governed by the “Whistleblowing Procedure,” whose members have been appointed persons authorized to process personal data and who have received, in this regard, appropriate operational instructions.

In order to follow up on the Reports, the Supervisory Board may rely on the support of personnel internal/external to the Company, who will be identified and appointed as persons authorized to process personal data and who will receive, in this regard, appropriate operational instructions.

2.      PURPOSE, LEGAL BASIS AND MANDATORY OR OPTIONAL NATURE OF PROCESSING

Personal Data are processed exclusively for the purposes of investigation and ascertainment of the facts that are the subject of the Report and the adoption of any consequent measures, in accordance with the provisions of Legislative Decree 24/2023.

In particular, the Personal Data collected are only those necessary and relevant for the achievement of the above-mentioned purposes, based on the “principle of minimization.”

With respect to these data, their provision is voluntary and the Interested Party is requested to provide only the data necessary to describe the facts that are the subject of the Report without communicating redundant and additional personal data to those necessary with respect to the purposes indicated above. In case they are provided, the Data Controller will refrain from using such Data and will delete them.

Personal Data are processed on the legal basis of the legal obligation, ex art. 6, co.1 lett. b) (Legislative Decree 24/2023 – Legislative Decree 231/01), and of the legitimate interest of the Data Controller, ex art. 6, co.1, lett. f) of the GDPR (provided that the interests or fundamental rights and freedoms of the Data Subject do not prevail), to handle Reports of wrongdoing, of which the Reporting Party has become aware for work reasons, within the scope of its work context or for other reasons, as well as to protect internal and external Data Subjects involved in the “Whistleblowing” process.

3.      TYPES OF DATA PROCESSED

Within the framework of the “Whistleblowing” process, the personal data/information subject to processing are the Data of the “Whistleblower” (or “Interested Party”), the “Whistleblower” and the persons involved and/or related to the facts that are the subject of the Whistleblowing”, such as, for example, any witnesses (hereinafter “Interested Parties”).

This Data, collected and processed by the Data Controller, includes “common” personal data of the Interested Party/Signalant, the Interested Parties (personal details, the job position held in the Company to which they belong, contact details such as: email address, postal address, telephone number), any other information in Your Report, and, possibly, in some cases, where necessary, also data belonging to particular categories ex art. 9 GDPR or data relating to criminal convictions and offenses ex art. 10 GDPR for the reasons of relevant public interest referred to in the Whistleblowing Decree and in any case to the extent permitted by the relevant legislation, including articles 9 and 10 GDPR.

The Data may be collected either directly from the Data Subject or through other parties involved in the Reporting, through the special “internal reporting channel” indicated above or through the other communication channels indicated in the continuation of this policy.

The data are provided voluntarily by the Interested Party/Signalant, also in anonymous form, to the Data Controller, who will not process data that is not strictly necessary for the purposes.

By way of example and without limitation, “Reporting” may be done by: employees of the Data Controller and/or third parties who have a relationship with the Data Controller.

4.      METHODS OF PROCESSING

The data are collected, in compliance with current regulations, by means of electronic, telematic and manual tools, with logic strictly related to the purposes indicated above, so as to ensure the security and confidentiality of the data.  In particular, they are collected through the following channels:

  • the online platform “internal reporting channel”, ex art. 4 Legislative Decree 24/2023, provided by a selected external provider that adopts a system of corporate wrongdoing reporting that complies with Directive (EU) 2019/1937, which guarantees the security and protection of data as well as the confidentiality of information, through an advanced encryption system of communications and database, in line with the provisions of the reference legislation. This platform enables the submission of Reports in written form, both anonymously and non-anonymously, and makes it possible to maintain interlocutions with the Whistleblower and provide feedback to the Report, in compliance with the timeframes provided for by the regulations. The Report is handled promptly by the Supervisory Board in order to ensure that the reported case is handled in accordance with the requirements of the relevant regulations;
  • sending an envelope, containing the identifying data of the reporter and the Report, to the Supervisory Board.
  • orally, through a face-to-face meeting with the Supervisory Board.

Data collected by means of the electronic/telematic tools will not be subject to fully automated processing as specified in Art. 22 GDPR.  Specific security measures are observed to prevent data loss, unlawful or incorrect use and unauthorized access.

In addition, specific technical-organizational measures, such as encryption, are taken, in accordance with Article 32 GDPR, to ensure the protection of the identity of the Data Subjects, as well as the possible anonymity of the Reporting Party and complete anonymity in accessing the platform (no log).

5.      DATA RETENTION TIMES

Personal data will be retained only for the time necessary for the purposes for which they are collected in compliance with the principle of minimization ex art. 5.1.c) GDPR and, in particular, for the purposes of the management of the preliminary investigation, the conclusion of the activity of defining the Report and the adoption of the relevant measures, in case of assessment, and in any case no longer than 5 years from the date of communication of the final outcome of the reporting procedure, in accordance with the provisions of art. 14, paragraph 1 of Legislative Decree 24/2023 and art. 5, paragraph 1 of the GDPR.

6.      RECIPIENTS OF DATA

Where necessary for needs related to the investigative activities, some information linked to the Report may be processed by internal corporate functions to which specific instructions will be provided (reference is made to functions in charge of carrying out investigations on the Report in cases where their knowledge is indispensable for the understanding of the reported facts and/or for the conduct of the related instruction and/or processing activities).

May become aware of such Personal Data related to the Report, the Anac, the Judicial Authority, other Entities/bodies competent in relation to the reported case, other external parties (eg. consulting companies, auditing/revision companies, law firms, or parties that perform services instrumental to the purposes indicated above, limited to the information necessary for the functions assigned to them) where necessary for needs related to the investigative activities and the supplier that manages the operation as well as the maintenance of the platform on which it is possible to enter the Report and who is, for this purpose, appointed “Data Processor” pursuant to Article 28 GDPR.

Under no circumstances will personal data be subject to dissemination.

7.      RIGHTS OF INTERESTED PARTIES

Articles 15-22 GDPR give Data Subjects the possibility to exercise specific rights, such as, for example, the right of access, rectification, cancellation, and restriction of processing.

The above rights may be exercised by a request addressed without formalities to the Data Controller at the PEC address.

The Data Subject may lodge a complaint pursuant to Article 57 letter f) GDPR with the Data Protection Authority.

In the event that the exercise of the aforementioned rights by the Data Subject may result in actual and concrete prejudice to the protection and confidentiality of the Data Subject’s personal data, the Data Controller may limit, delay or exclude such exercise, pursuant to Article 2-undecies, para. 1, lett. f) of the Privacy Code (Legislative Decree 196/2003), and not act on the claim.

In such cases, the rights of the Interested Party, pursuant to art. 2-undecies, co. 3 of the Privacy Code, may be exercised through the Guarantor in the manner set forth in art. 160 of the Privacy Code.

8.      POSSIBLE TRANSFER OF PERSONAL DATA TO COUNTRIES OUTSIDE THE EU

Personal data referable to the reporter, or referable to the reporter or a third party, are not transferred to third countries located outside the EU.

Origgio, 28/11/2023

ITA

Informativa ai sensi degli Artt. 13 e 14 del Regolamento Europeo 2016/679 sul Trattamento dei dati personali nell’ambito del Sistema di Segnalazione di presunti illeciti (Whistleblowing)

In attuazione alla vigente normativa in materia (D.Lgs. 24/2023 – “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali”), Synbalance S.r.l. (di seguito anche la “Società” o “Synbalance”) ha implementato un sistema per la ricezione e gestione delle Segnalazioni di presunti illeciti, che consente la gestione della Segnalazione (“Segnalazione”) da Lei presentata alla Società mediante specifici canali dedicati della Società medesima.

Il sistema è dedicato alla ricezione e gestione delle Segnalazioni, anche in forma anonima, pervenute alla Società dal personale aziendale e/o da soggetti terzi e relative ad eventuali violazioni di disposizioni normative nazionali o dell’Unione europea, violazioni delle norme interne (regole di condotta contemplate nel Codice Etico, nel Modello 231 e più in generale nel corpus normativo aziendale), condotte illecite ed irregolarità circa la conduzione delle attività aziendali della Società stessa.

Ai sensi degli artt.13 e 14 del Regolamento Europeo 2016/679 (in seguito “GDPR”), la Società rende l’informativa sul trattamento dei dati/informazioni personali (“Dati”) che La riguardano (in qualità di “Segnalante”), acquisiti direttamente o altrimenti acquisiti, in riferimento alla “Segnalazione” da Lei effettuata, nonché sul trattamento dei dati/informazioni dei soggetti interessati dalla Segnalazione stessa (in seguito anche “Whistleblowing”).

La presente Informativa è resa disponibile e a conoscenza dei potenziali interessati mediante pubblicazione sul sito istituzionale della Società.

La Società si riserva il diritto, a sua discrezione, di cambiare, modificare, aggiungere o rimuovere qualsiasi parte della presente Informativa in qualsiasi momento.

Tutto ciò premesso, la Società fornisce, qui di seguito, l’informativa sui trattamenti dei dati personali effettuati in relazione alla gestione delle Segnalazioni, disciplinate dalla “Procedura Segnalazioni” di Synbalance.

1.     TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento è la SYNBALANCE S.R.L., P.IVA IT03858410123, i cui dati di contatto sono i seguenti:

  • Sede legale: via Celeste Milani 24/26 Origgio (VA), 21040;
  • Sede operativa: via Celeste Milani 24/26 Origgio (VA), 21040;
  • Telefono:02 96799831;
  • Indirizzo di posta elettronica: info@synbalance.care;
  • Indirizzo PEC: synbalance@legalmail.it.

Il Titolare ha istituito l’Organismo di Vigilanza, nominato ai sensi dell’art. 6, punto 1, lett. b) del d.lgs. n. 231/2001, dotato di autonomi poteri d’iniziativa e controllo, che è anche l’owner del processo di gestione delle segnalazioni disciplinato dalla “Procedura Segnalazioni”, i cui membri sono stati nominati persone autorizzate al trattamento dei dati personali e che hanno ricevuto, al riguardo, adeguate istruzioni operative.

Al fine di dare seguito alle Segnalazioni, l’Organismo di Vigilanza può avvalersi del supporto di personale interno/esterno alla Società, che verrà individuato e nominato persona autorizzata al trattamento dei dati personali e che riceverà, al riguardo, adeguate istruzioni operative.

2.     FINALITÀ, BASE GIURIDICA E NATURA OBBLIGATORIA O FACOLTATIVA DEL TRATTAMENTO

I Dati personali sono trattati esclusivamente per le finalità di istruttoria ed accertamento dei fatti oggetto della Segnalazione e di adozione degli eventuali conseguenti provvedimenti, secondo quanto previsto dal D.Lgs. 24/2023.

In particolare, i Dati personali raccolti sono solo quelli necessari e pertinenti per il raggiungimento delle finalità sopra indicate, sulla base del “principio di minimizzazione”.

Rispetto a questi dati, il loro conferimento è volontario e l’Interessato è pregato di fornire soltanto i dati necessari a descrivere i fatti oggetto della Segnalazione senza comunicare dati personali ridondanti ed ulteriori a quelli necessari rispetto alle finalità sopra indicate. Nel caso siano forniti, il Titolare si asterrà dall’utilizzare tali Dati e li cancellerà.

I Dati personali sono trattati sulla base giuridica dell’obbligo di legge, ex art. 6, co.1 lett. b) (D.Lgs. 24/2023 – D.Lgs. 231/01), e del legittimo interesse del Titolare, ex art. 6, co. 1, lett. f) del GDPR (a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’Interessato), a gestire le Segnalazioni di illeciti, di cui sia venuto a conoscenza il Segnalante per ragioni di lavoro, nell’ambito del proprio contesto lavorativo o per altre ragioni, nonché a tutelare gli Interessati interni ed esterni coinvolti nel procedimento di “Whistleblowing”.

3.     TIPI DI DATI TRATTATI

Nell’ambito del procedimento di “Whistleblowing”, i dati/informazioni personali oggetto di trattamento sono i Dati del “Segnalante” (o “Interessato”), del “Segnalato” e delle persone coinvolte e/o collegate ai fatti oggetto della Segnalazione”, quali, per esempio, eventuali testimoni (in seguito “Interessati”).

Tali Dati, raccolti e trattati dal Titolare, includono dati personali “comuni” dell’Interessato/Segnalante, degli Interessati (dati anagrafici, la posizione lavorativa ricoperta nella Società di appartenenza, recapiti quali: indirizzo mail, indirizzo postale, numero telefonico), ogni altra informazione presente nella Sua Segnalazione, e, eventualmente, in alcuni casi, ove necessario, anche dati appartenenti a particolari categorie ex art. 9 GDPR o dati relativi a condanne penali e reati ex art. 10 del GDPR per i motivi di interesse pubblico rilevante di cui al Decreto Whistleblowing e comunque nei limiti di quanto consentito dalla normativa in materia, inclusi gli articoli 9 e 10 del GDPR.

I Dati possono essere raccolti sia direttamente presso l’Interessato sia per il tramite di altri soggetti coinvolti nella Segnalazione, mediante l’apposito “canale di segnalazione interna” sopra indicato ovvero tramite gli altri canali di comunicazione indicati nel proseguo della presente informativa.

I dati sono forniti volontariamente dall’Interessato/Segnalante, anche in forma anonima, al Titolare, il quale non tratterà dati che non siano strettamente necessari alle finalità.

A titolo esemplificativo e non esaustivo, la “Segnalazione” può avvenire da parte di: dipendenti del Titolare e/o soggetti terzi che intrattengono un rapporto con il Titolare.

4.     MODALITÀ DEL TRATTAMENTO

I dati sono raccolti, nel rispetto delle norme vigenti, a mezzo di strumenti elettronici, telematici e manuali, con logiche strettamente connesse alle finalità sopra indicate, in modo da garantire la sicurezza e la riservatezza dei dati stessi.  In particolare, sono raccolti tramite i seguenti canali:

  • la piattaforma on line “canale di segnalazione interna”, ex art. 4 D.Lgs. 24/2023, fornita da un provider esterno selezionato che adotta un sistema di segnalazioni di illeciti aziendali conforme alla Direttiva (UE) 2019/1937, che garantisce la sicurezza e la protezione dei dati oltre che la riservatezza delle informazioni, attraverso un sistema avanzato di criptazione delle comunicazioni e del database, in linea con quanto previsto dalla normativa di riferimento. Tale piattaforma consente l’invio di Segnalazioni in forma scritta, sia in forma anonima che in forma non anonima, e permette di mantenere le interlocuzioni con il Segnalante e fornire riscontro alla Segnalazione, nel rispetto delle tempistiche previste dalla normativa. La segnalazione viene gestita tempestivamente dall’Organismo di Vigilanza al fine di garantire la gestione del caso segnalato conformemente alle prescrizioni della normativa in materia;
  • l’invio di una busta, contenente i dati identificativi del segnalante e la Segnalazione, all’Organismo di Vigilanza.
  • oralmente, mediante un incontro diretto con l’Organismo di Vigilanza.

I dati raccolti a mezzo degli strumenti elettronici/telematici non saranno oggetto di trattamento completamente automatizzato così come specificato all’art. 22 GDPR.  Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.

Inoltre, specifiche misure tecnico-organizzative, quali la crittografia, sono adottate, ai sensi dell’art. 32 GDPR, per garantire la tutela dell’identità degli Interessati, nonché l’eventuale anonimia del Segnalante ed il completo anonimato nell’accesso alla piattaforma (no log).

5.     TEMPI DI CONSERVAZIONE DEI DATI

I dati personali saranno conservati solo per il tempo necessario alle finalità per le quali vengono raccolti nel rispetto del principio di minimizzazione ex art. 5.1.c) GDPR ed, in particolare, alle finalità di gestione dell’istruttoria, di conclusione dell’attività di definizione della Segnalazione e di adozione dei relativi provvedimenti, in caso di accertamento, e comunque non oltre 5 anni a decorrere dalla data di comunicazione dell’esito finale della procedura di segnalazione, in conformità a quanto previsto dall’art. 14, comma 1 del D.Lgs. 24/2023 e dall’art. 5, comma 1 del GDPR.

6.     DESTINATARI DEI DATI

Laddove si renda necessario per esigenze connesse alle attività istruttorie, alcune informazioni collegate alla Segnalazione potranno essere trattate da parte di funzioni aziendali interne alle quali verranno fornite specifiche istruzioni (si fa riferimento a funzioni incaricate a svolgere accertamenti sulla segnalazione nei casi in cui la loro conoscenza sia indispensabile per la comprensione dei fatti segnalati e/o per la conduzione delle relative attività di istruzione e/o trattazione).

Possono venire a conoscenza di tali Dati Personali collegati alla Segnalazione, l’Anac, l’Autorità giudiziaria, altri Enti/organismi competenti in relazione alla fattispecie segnalata, altri soggetti esterni (ad.es. società di consulenza, di auditing/revisione, studi legali, o soggetti che svolgono servizi strumentali alle finalità sopra indicate, limitatamente alle informazioni necessarie per le funzioni loro attribuite) laddove si renda necessario per esigenze connesse alle attività istruttorie e il fornitore che gestisce l’operatività, nonché la manutenzione della piattaforma su cui è possibile inserire la Segnalazione e che è, all’uopo, nominato “Responsabile del trattamento” ai sensi dell’articolo 28 GDPR.

In nessun caso i dati personali saranno oggetto di diffusione.

7.     DIRITTI DEGLI INTERESSATI

Gli artt. 15-22 GDPR conferiscono agli Interessati la possibilità di esercitare specifici diritti, quali, per esempio, il diritto di accesso, di rettifica, di cancellazione, di limitazione del trattamento.

I diritti di cui sopra potranno essere esercitati con richiesta rivolta senza formalità al Titolare all’indirizzo PEC.

L’Interessato potrà proporre reclamo ai sensi dell’art. 57 lett. f) GDPR all’Autorità Garante per la Protezione dei Dati Personali.

Nel caso in cui l’esercizio dei diritti di cui sopra da parte del Segnalato possa comportare un pregiudizio effettivo e concreto alla protezione e riservatezza dei dati personali del Segnalante, il Titolare potrà limitare, ritardare ovvero escludere tale esercizio, ai sensi dell’art. 2-undecies, co. 1, lett. f) del Codice Privacy (D.Lgs. 196/2003), e non dare seguito all’istanza.

In tali casi, i diritti dell’Interessato, ai sensi dell’art. 2-undecies, co. 3 del Codice Privacy, possono essere esercitati tramite il Garante con le modalità di cui all’art. 160 del Codice Privacy.

8.     EVENTUALE TRASFERIMENTO DI DATI PERSONALI VERSO PAESI EXTRA UE

I dati personali riferibili al segnalante, o riferibili al segnalato o ad un terzo, non sono trasferiti verso paesi terzi collocati al di fuori dell’UE.

Origgio, 28/11/2023