Informativa sulla Privacy

1. Introduzione

La presente informativa sulla privacy descrive come Whistlesblow (nome commerciale di True Solutions S.r.l.) raccoglie, utilizza, conserva e protegge le informazioni personali degli utenti che utilizzano la piattaforma di whistleblowing. La presente informativa è resa ai sensi dell'art. 13 del Regolamento (UE) 2016/679 (General Data Protection Regulation, di seguito "GDPR") e dell'art. 13 del D.Lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice Privacy"), come modificato dal D.Lgs. 10 agosto 2018, n. 101.

2. Titolare del trattamento

Il titolare del trattamento dei dati personali è True Solutions S.r.l., società con sede legale in Foro Buonaparte 59, 20121 Milano (MI), Italia, Partita IVA 14288140966, iscritta al Registro delle Imprese di Milano (MI) al n. 2772480. Per qualsiasi comunicazione relativa al trattamento dei dati personali, è possibile contattare il Titolare all'indirizzo email privacy@whistlesblow.it o al numero di telefono indicato nella sezione "Contatti" di questa informativa.

3. Dati personali raccolti

Nell'ambito dell'erogazione del servizio di whistleblowing, Whistlesblow può raccogliere e trattare le seguenti categorie di dati personali:

• Dati identificativi: nome, cognome, indirizzo email, numero di telefono (se forniti volontariamente dal segnalante)
• Dati relativi alle segnalazioni: contenuto delle segnalazioni, documenti e file allegati, informazioni relative agli eventi segnalati, comunicazioni tra il segnalante e i responsabili della gestione delle segnalazioni
• Dati tecnici e di navigazione: indirizzo IP, tipo di browser, sistema operativo, data e ora di accesso, pagine visitate, durata della sessione, eventuali errori riscontrati durante la navigazione
• Dati di registrazione e amministrazione: credenziali di accesso (username, password criptata), dati relativi all'account aziendale (ragione sociale, Partita IVA, indirizzo, dati di fatturazione), ruoli e permessi degli utenti amministratori
• Dati di utilizzo del servizio: statistiche di utilizzo della piattaforma, preferenze di configurazione, log delle attività svolte sulla piattaforma

4. Finalità e base giuridica del trattamento

I dati personali vengono trattati per le seguenti finalità e sulla base delle relative basi giuridiche:

• Erogazione del servizio di whistleblowing: gestione delle segnalazioni, comunicazione con i segnalanti, gestione del processo di whistleblowing in conformità al D.Lgs. 24/2023. Base giuridica: esecuzione di un contratto (art. 6, comma 1, lett. b) GDPR) e adempimento di obblighi di legge (art. 6, comma 1, lett. c) GDPR)
• Garantire l'anonimato e la riservatezza dei segnalanti: protezione dell'identità dei segnalanti anonimi, implementazione di misure di sicurezza per prevenire la rivelazione dell'identità. Base giuridica: adempimento di obblighi di legge (art. 6, comma 1, lett. c) GDPR e D.Lgs. 24/2023)
• Gestione amministrativa e contabile: fatturazione, gestione dei pagamenti, adempimenti fiscali e contabili. Base giuridica: esecuzione di un contratto e adempimento di obblighi di legge (art. 6, comma 1, lett. b) e c) GDPR)
• Comunicazione e supporto: risposta a richieste di informazioni, assistenza tecnica, invio di comunicazioni relative al servizio. Base giuridica: esecuzione di un contratto (art. 6, comma 1, lett. b) GDPR)
• Miglioramento del servizio e analisi statistiche: analisi dell'utilizzo della piattaforma per migliorare i servizi offerti, sviluppo di nuove funzionalità. Base giuridica: legittimo interesse del titolare (art. 6, comma 1, lett. f) GDPR), previa valutazione di bilanciamento degli interessi
• Adempimenti di legge e difesa in giudizio: adempimento di obblighi previsti dalla normativa applicabile, difesa dei propri diritti in sede giudiziaria. Base giuridica: adempimento di obblighi di legge (art. 6, comma 1, lett. c) GDPR) e legittimo interesse (art. 6, comma 1, lett. f) GDPR)

5. Base giuridica del trattamento

Il trattamento dei dati personali si fonda sulle seguenti basi giuridiche previste dall'art. 6 del GDPR: (a) consenso dell'interessato, (b) esecuzione di un contratto o di misure precontrattuali, (c) adempimento di un obbligo di legge, (f) perseguimento di un legittimo interesse del titolare. Per quanto riguarda i dati delle segnalazioni di whistleblowing, il trattamento è necessario per l'adempimento degli obblighi previsti dal D.Lgs. 24/2023 e dalla normativa applicabile in materia di whistleblowing.

6. Periodo di conservazione dei dati

I dati personali vengono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono stati raccolti, nel rispetto dei termini di conservazione previsti dalla normativa applicabile. In particolare: (a) i dati relativi alle segnalazioni di whistleblowing sono conservati per il periodo previsto dal D.Lgs. 24/2023 e comunque per un periodo non inferiore a quello necessario per la gestione e la conclusione del procedimento relativo alla segnalazione; (b) i dati di registrazione e amministrazione sono conservati per tutta la durata del rapporto contrattuale e successivamente per i termini previsti dalla normativa fiscale e civilistica (generalmente 10 anni); (c) i dati di navigazione e tecnici sono conservati per un periodo massimo di 24 mesi; (d) i dati relativi alle comunicazioni di supporto sono conservati per un periodo massimo di 3 anni dalla data dell'ultima comunicazione. Al termine del periodo di conservazione, i dati personali saranno cancellati o anonimizzati in modo sicuro e irreversibile.

7. Diritti dell'interessato

Ai sensi degli artt. 15-22 del GDPR e degli artt. 2-quaterdecies e seguenti del Codice Privacy, l'interessato ha il diritto di:

• Ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano e l'accesso ai medesimi (diritto di accesso, art. 15 GDPR)
• Richiedere la rettifica dei dati personali inesatti o l'integrazione di quelli incompleti (diritto di rettifica, art. 16 GDPR)
• Richiedere la cancellazione dei dati personali quando ricorrono le condizioni previste dalla legge (diritto all'oblio, art. 17 GDPR), fermo restando che per i dati relativi alle segnalazioni di whistleblowing possono applicarsi limitazioni specifiche previste dal D.Lgs. 24/2023
• Richiedere la limitazione del trattamento nei casi previsti dalla legge (art. 18 GDPR)
• Ricevere i dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico e trasmetterli ad altro titolare senza impedimenti (diritto alla portabilità dei dati, art. 20 GDPR)
• Opporsi in qualsiasi momento al trattamento dei dati personali per motivi legati alla situazione particolare dell'interessato (art. 21 GDPR)
• Revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca (art. 7, comma 3, GDPR)
• Proporre reclamo all'Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it) qualora ritenga che il trattamento dei suoi dati personali violi la normativa applicabile

8. Misure di sicurezza

Whistlesblow adotta misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, al fine di proteggere i dati personali contro la distruzione accidentale o illecita, la perdita, la modifica, la divulgazione o l'accesso non autorizzato. Tali misure includono, a titolo esemplificativo: (a) crittografia dei dati sensibili, in particolare delle segnalazioni e delle comunicazioni; (b) autenticazione a due fattori (2FA) per gli account amministrativi; (c) accesso ai dati basato sul principio del "minimo privilegio necessario"; (d) registrazione e monitoraggio degli accessi ai dati (logging); (e) backup regolari e procedure di disaster recovery; (f) aggiornamenti di sicurezza regolari dei sistemi; (g) formazione del personale autorizzato al trattamento dei dati; (h) procedure di gestione degli incidenti di sicurezza. Per quanto riguarda specificamente le segnalazioni di whistleblowing, sono implementate misure aggiuntive per garantire l'anonimato e la riservatezza dei segnalanti, in conformità al D.Lgs. 24/2023.

9. Trasferimento dei dati

I dati personali sono trattati principalmente all'interno del territorio dell'Unione Europea. Qualora fosse necessario trasferire dati personali verso paesi terzi o organizzazioni internazionali, Whistlesblow garantirà che tale trasferimento avvenga nel rispetto della normativa applicabile, adottando le misure appropriate previste dal GDPR (quali, ad esempio, le clausole contrattuali tipo approvate dalla Commissione Europea o l'adesione a meccanismi di certificazione riconosciuti).

10. Destinatari dei dati

I dati personali possono essere comunicati ai seguenti destinatari: (a) dipendenti e collaboratori di True Solutions S.r.l. autorizzati al trattamento in ragione delle loro funzioni; (b) fornitori di servizi tecnici (quali provider di hosting, servizi cloud, servizi di pagamento) che operano come responsabili del trattamento; (c) professionisti esterni (avvocati, consulenti) che forniscono servizi al Titolare; (d) autorità pubbliche, quando richiesto dalla legge o da un provvedimento dell'autorità competente. I dati relativi alle segnalazioni di whistleblowing sono comunicati esclusivamente ai soggetti autorizzati a riceverle e a gestirle ai sensi del D.Lgs. 24/2023, garantendo la massima riservatezza.

11. Contatti e esercizio dei diritti

Per esercitare i diritti sopra indicati o per qualsiasi domanda, richiesta o segnalazione relativa al trattamento dei dati personali e alla presente informativa sulla privacy, l'interessato può contattare il Titolare: