1. Titolare del trattamento dei dati

OPT S.p.A., Via Mauro Macchi 38 – Milano 20124, (di seguito anche il “Titolare” o la “Società”) in qualità di Titolare del trattamento, La informa che il Regolamento UE n. 2016/679 (i.e. GDPR) e il D.Lgs. 196/2003 e s.m.i. disciplinano la protezione dei dati personali. La Società basa il trattamento dei dati sui principi di correttezza, liceità, trasparenza e necessità, così come previsto dalla suddetta normativa. A tal fine, ai sensi degli artt. 13-14 del GDPR, Le forniamo le seguenti informazioni.

2. Tipi di dati trattati

La ricezione e la gestione delle segnalazioni comporta il trattamento di dati personali “comuni” (nome, cognome, qualifica professionale) del segnalante, se non anonimo, e del soggetto a cui la segnalazione si riferisce e di eventuali altri soggetti coinvolti, di ogni altra informazione relativa a condotte illecite accertate o sospette, e può dar luogo, a seconda del contenuto delle segnalazioni e degli atti e documenti ad esse allegati, al trattamento di dati personali “particolari” (relativi allo stato di salute, all’orientamento sessuale o all’appartenenza sindacale, ai sensi dell’art. 9 GDPR) e di dati personali relativi a condanne penali e reati (art. 10 GDPR).

3. Finalità e base giuridica del trattamento

I dati personali sono raccolti e trattati per le finalità strettamente connesse alla gestione delle segnalazioni di comportamenti scorretti, in violazione delle norme nazionali/europee e se adottate dalla Policy Whistleblowing, dal Codice di condotta ed etica aziendale, dal Modello 231 della Società e da ogni altra normativa interna applicabile. In particolare:

  1. consentire la registrazione alla piattaforma informatica adottata dal Titolare del trattamento per facilitare la gestione delle segnalazioni, garantendo al contempo i più elevati standard di tutela della riservatezza del segnalante e delle persone a qualsiasi titolo coinvolte nella segnalazione;
  2. consentire al segnalante di effettuare una segnalazione attraverso la piattaforma messa a disposizione dal Titolare (attraverso la quale è anche possibile richiedere un incontro faccia a faccia con l’Organismo di Vigilanza);
  3. consentire all’informatore di effettuare una segnalazione anonima, avendo cura di eliminare qualsiasi riferimento che possa identificare il segnalante, anche indirettamente;
  4. la gestione e l’analisi della segnalazione effettuata ai sensi del Decreto Legislativo n. 24/2023 che ha recepito in Italia la Direttiva (UE) 2019/1937;
  5. adempimento di obblighi previsti dalla legge o da regolamenti dell’Unione;
  6. svolgimento delle attività di indagine e approfondimento dell’oggetto della segnalazioni, ivi incluso l’accesso agli strumenti aziendali e al loro contenuto, come esplicitato nella procedura whistleblowing, al fine di difesa o accertamento dei propri diritti in un (pre)contenzioso civile, amministrativo o penale.

Tenuto conto della normativa in materia (Direttiva UE n. 1937/2019 e D.Lgs. n. 24/2023), la base giuridica di tale trattamento è quindi:

  • per le finalità di cui alle lettere a), b), c), d) ed e), l’adempimento di un obbligo legale a cui è soggetto il Titolare del trattamento (art. 6, par. 1, lett. c) del GDPR);
  • per le finalità di cui alla lettera f), dal legittimo interesse del Titolare del trattamento (art. 6, par. 1, lett. f) del GDPR).

Il conferimento dei dati è necessario per il perseguimento delle finalità sopra indicate; il mancato conferimento dei dati, o il conferimento di dati parziali o inesatti, può comportare l’impossibilità di gestire la segnalazione.

4. Modalità del trattamento

I dati forniti nell’ambito della relazione saranno trattati prevalentemente con sistemi elettronici e manuali nel rispetto dei principi di correttezza, lealtà e trasparenza previsti dalla normativa vigente in materia di protezione dei dati personali e dalle disposizioni in materia di whistleblowing, tutelando la riservatezza del soggetto cui i dati si riferiscono e adottando misure di sicurezza tecniche e organizzative atte a garantire un adeguato livello di sicurezza (ad esempio impedendo l’accesso a persone non autorizzate, salvo i casi previsti dalla legge, o la possibilità di ripristinare l’accesso ai dati in caso di incidenti fisici o tecnici).

L’identità del segnalante e ogni altra informazione da cui tale identità possa essere desunta, direttamente o indirettamente, saranno trattate esclusivamente da soggetti autorizzati al trattamento dei dati ai sensi dell’articolo 29 del GDPR e non saranno comunicate ad altri soggetti senza lo specifico consenso del segnalante, come previsto dall’articolo 12, comma 2, del Decreto. Il consenso è facoltativo e viene prestato al momento della segnalazione tramite la piattaforma.

5. Periodo di conservazione dei dati personali

Le segnalazioni e la relativa documentazione (comprese le eventuali registrazioni, se per la segnalazione viene utilizzata una linea telefonica registrata o altro sistema di messaggistica vocale registrato) saranno conservate, nel rispetto del principio di minimizzazione, per il tempo necessario all’evasione della segnalazione e comunque non oltre 5 anni dalla data di comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza previsti dalla normativa vigente in materia, salvo specifiche esigenze di difesa o tutela dei diritti e/o interessi legittimi del Titolare del trattamento o di terzi, anche in caso di reclami, contenzioso o precontenzioso. Al termine del periodo di conservazione, le registrazioni saranno cancellate.

I dati personali che non sono chiaramente utili per l’elaborazione di una relazione specifica non saranno raccolti o, se accidentalmente raccolti, saranno cancellati tempestivamente.

6. Comunicazione e trasferimento dati

I Suoi dati non saranno diffusi, ma saranno trattati dai seguenti soggetti, tra cui, a titolo esemplificativo e non esaustivo:

  • autorità pubbliche che adempiono a specifici obblighi di legge e autorità giudiziarie che agiscono in qualità di controllori indipendenti dei dati;
  • fornitori di servizi IT (ad esempio, il fornitore IT della piattaforma di whistleblowing), che agiscono in qualità di Responsabili del trattamento ai sensi dell’art. 28 del GDPR, nel rispetto della riservatezza e solo per le finalità funzionali al loro incarico;
  • l’Organismo di Vigilanza;
  • Consulenti legali che possono essere coinvolti nella fase investigativa;
  • tutte le funzioni coinvolte nella fase investigativa e di indagine (investor whistleblowing), specificamente e appositamente autorizzate e vincolate alla riservatezza.

L’elenco dei responsabili del trattamento è disponibile presso la sede legale della Società.

I dati personali non sono trasferiti al di fuori dello Spazio Economico Europeo.

7. I diritti riconosciuti agli interessati

Si precisa che, ai sensi del GDPR artt. 15-22, Lei potrà esercitare, nei limiti previsti dall’art. 2-undecies del Codice Privacy, il diritto di:

  1. accesso ai dati personali;
  2. rettifica in caso di inesattezza;
  3. cancellazione dei dati;
  4. limitazione del trattamento;
  5. portabilità dei dati, ossia ricevere i dati personali forniti in un formato strutturato, di uso comune e leggibile da dispositivo automatico e ottenere il trasferimento a un altro Titolare del trattamento senza ostacoli;
  6. il diritto di opporsi al trattamento, ove ne ricorrano i presupposti.

Inoltre, l’interessato può presentare un reclamo al Garante per la protezione dei dati personali presso Piazza Venezia 11, 00187 Roma, Italia.

In caso di ulteriori domande sulla presente informativa o su questioni relative alla privacy, o se si desidera esercitare i propri diritti, si prega di contattare il Titolare al seguente indirizzo di posta elettronica ordinaria:

opt@optsalute.it

8. Aggiornamento

La presente informativa sulla privacy è stata aggiornata in data: 14 aprile 2025.

IL TITOLARE DEL TRATTAMENTO

OPT S.P.A.