Informativa ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (“GDPR”) sul Trattamento dei Dati Personali connessi alle segnalazioni ai sensi del D. Lgs. n. 24/2023

Ai sensi dell’art. 13 del regolamento UE n. 2016/679 (di seguito “GDPR”), la presente informativa descrive le finalità e le modalità di trattamento dei dati personali in relazione alla gestione delle Segnalazioni ai sensi e per gli effetti del D. Lgs. 10 marzo 2023, n. 24 (di seguito “D. Lgs. 24/2023”), nelle modalità previste dalla Whistleblowing Policy di Esso Italiana Real Estate Services S.r.l. (di seguito la “Whistleblowing Policy”).

1. Titolare del trattamento e Responsabile della protezione dei dati

1.1  Titolare del trattamento dei dati personali acquisiti mediante il processo di Segnalazione disciplinato dalla Whistleblowing Policy è Esso Italiana Real Estate Services S.r.l., con sede legale in Via Sabazia, 94, 17047 Vado Ligure (SV), indirizzo di posta elettronica certificata essoitalianarealestatesevices@actaliscertymail.it.

1.2  Il Titolare ha designato un Data Protection Officer (DPO), come previsto dal GDPR, con compiti di sorveglianza, vigilanza e consulenza specialistica in ambito privacy. Il responsabile della protezione dei dati (RDP/DPO), a cui potrà rivolgersi per tutte le questioni inerenti al trattamento dei dati personali ed all’esercizio dei diritti, è raggiungibile tramite posta elettronica ai seguenti indirizzi EUUKDataProtectionOfficer@exxonmobil.com e/o data.privacy.office@exxonmobil.com.

2. Fonte dei dati, finalità e base giuridica del trattamento

2.1  La ricezione e la gestione delle Segnalazioni dà luogo al trattamento di dati personali cd. “comuni” (sono tali, ad esempio, il nome, il cognome, il ruolo lavorativo, etc.). A seconda del contenuto delle Segnalazioni e degli atti e documenti a queste allegati, il trattamento potrà riguardare, altresì, dati personali cd. “particolari” (sono tali le tipologie di dati elencate dall’art. 9 GDPR: ad esempio, i dati relativi a condizioni di salute, orientamento sessuale o appartenenza sindacale) e dati personali cd. “giudiziari” (di cui all’art. 10 GDPR).

2.2  I dati saranno trattati per le sole finalità previste ai sensi del D. Lgs. 24/2023 e per ottemperare alla corretta e completa gestione del procedimento di Segnalazione in conformità con la vigente normativa, procedere alle necessarie attività istruttorie volte alla verifica della fondatezza del fatto segnalato, all’adozione dei provvedimenti conseguenti, alla tutela in giudizio del Titolare del trattamento ed alla risposta ad un’eventuale richiesta proveniente dall’Autorità giudiziaria e più in generale, da soggetti pubblici nel rispetto delle formalità di legge.

2.3   La base giuridica del trattamento risiede, rispetto alla Segnalazione, nel legittimo interesse del Titolare del trattamento e nell’adempimento degli obblighi di legge fissati nella disciplina contenuta nel D.Lgs. 24/2023, ai sensi e per gli effetti dell’art. 6, lett. (c) del GDPR, volti a consentire la presentazione di Segnalazioni inerenti a condotte illecite, violazioni dei modelli di organizzazione, gestione e controllo adottati ai sensi del D. Lgs. n. 231/2001, o violazioni del diritto dell’Unione europea in tutti i settori indicati dalla direttiva UE 2019/1937, poste in essere nell’ambito di operato del Titolare.

2.4  Il conferimento dei dati è necessario per la gestione del procedimento di Segnalazione e per tutti gli adempimenti successivi.

3. Destinatari dei dati personali

3.1 Il Titolare ha autorizzato al trattamento dei dati personali l’Organismo di Vigilanza competente ad analizzare le Segnalazioni. È possibile contattare l’Organismo di Vigilanza mediante l’indirizzo di posta elettronica odv@ciropellegrino.it o, in alternativa, tramite posta ordinaria all’Organismo di Vigilanza - via Sabazia 94 17047 Vado Ligure (SV), oppure mediante numero telefonico 001-800-963-9966 oppure 001-346-335-6100, provvisto anche di sistema di messaggistica vocale.

3.2 L’Organismo di Vigilanza potrà avere accesso ai dati personali, per finalità strettamente tecniche ed attinenti alla gestione della Segnalazione.

3.3 Al fine di assicurare che le identità dei soggetti rimangano segrete, si prevede un obbligo di riservatezza in capo all’Organismo di Vigilanza, e di qualsiasi altro soggetto coinvolto, nel rispetto della disciplina GDPR, nella gestione della Segnalazione, che, al di fuori delle ipotesi espressamente previste dalla presente sezione, non possono rivelare alcuna informazione che abbiano appreso nell’esercizio delle proprie funzioni.

3.4 Potranno avere accesso ai dati e informazioni raccolte anche l’Autorità giudiziaria, l’Autorità pubblica, ANAC e, in generale, tutti i soggetti a cui la comunicazione debba essere effettuata in forza di una legge.

3.5 Il gestore delle Segnalazioni ha il potere di ricorrere alla collaborazione di altre funzioni aziendali, alle quali potrà fare richiesta di condivisione di specifiche informazioni o di documenti, nonché all’ausilio di esperti esterni alla Società, il tutto nel rispetto della tutela della riservatezza del Segnalante, previa anonimizzazione dei dati contenuti nella Segnalazione o comunque in conformità con le previsioni del GDPR. 

4. Periodo di conservazione dei dati

4.1 I dati sono acquisiti attraverso i canali e nei modi indicati dalla Whistleblowing Policy. Il Titolare conserva i dati personali nei termini previsti dall’art. 14 del D.Lgs. 24/2023 per il tempo necessario al trattamento della Segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di Segnalazione all’Organismo di Vigilanza.

4.2 L’Organismo di Vigilanza registra le Segnalazioni anonime ricevute e conserva la relativa documentazione per il medesimo periodo di tempo di cui al paragrafo precedente, rendendo possibile rintracciarle, nel caso in cui il Segnalante, o chi abbia sporto denuncia, comunichi ad ANAC di aver subito misure ritorsive a causa di quella Segnalazione o denuncia anonima.

4.3 È fatto salvo un ulteriore periodo di conservazione imposto dalla legge o necessario alla tutela di un diritto.

5. Diritti degli interessati

5.1 Gli interessati, ricorrendone i presupposti e nei limiti di cui all’art. 2-undecies D. Lgs. 196/2003 e ss.mm.ii. (“Codice Privacy”), potranno esercitare i diritti previsti dagli artt. da 15 a 22 GDPR (diritto di accesso ai dati personali, diritto a rettificarli, diritto di ottenere la cancellazione o cd. diritto all’oblio, diritto alla limitazione del trattamento, diritto alla portabilità dei dati personali o quello di opposizione al trattamento), rivolgendosi al Titolare ad uno dei punti di contatto indicati nella presente informativa. Entro gli stessi limiti, gli interessati potranno esercitare il diritto di reclamo previsto dall’art. 77 GDPR.

5.2 Secondo quanto previsto dall’art. 2-undecies D. Lgs. 196/2003 e ss.mm.ii. (“Codice Privacy”), tali diritti non possono essere esercitati dagli interessati qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte ovvero che segnala violazioni. In particolare, l’esercizio di tali diritti deve avvenire nel rispetto delle disposizioni di legge o di regolamento che regolano il settore; potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato. In tal caso, i diritti dell’interessato possono essere esercitati anche tramite l’Autorità Garante.

6. Trasferimento dei dati personali in Paesi extra-Ue

6.1 Nell’ambito della gestione delle Segnalazioni, per le sole finalità indicate al punto 2 della presente informativa, i dati personali potranno essere trasferiti in Paesi al di fuori dell’Unione Europea non inclusi nelle decisioni della Commissione Europea di cui articolo 25, comma 6, della Direttiva 95/46/CE, anche mediante l’inserimento in database condivisi e/o gestiti da terze società facenti parte della Titolare. La gestione del database e il trattamento di tali dati sono vincolati alle finalità per cui sono stati raccolti ed avvengono nel massimo rispetto degli standard di riservatezza e sicurezza di cui alle leggi sulla protezione dei dati personali applicabili.