Informativa resa ai sensi degli art. 13-14 del GDPR (General Data Protection Regulation) 2016/679

Ai sensi e per gli effetti dell’art. 13 del Regolamento UE n. 2016/679, del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, si forniscono le seguenti informazioni:

1. Titolare del trattamento (Art. 13.1.a Regolamento 679/2016/UE) - Il Titolare del trattamento è MARRELLI HEALTH, con sede in Via E. Fermi, 5 88900 Crotone (KR), mail: privacy@marrellihealth.it, che tratta i dati personali liberamente comunicati, garantendo che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali.

2. Responsabile per la protezione dei dati personali (R.P.D.) (Art. 13.1.b Regolamento 679/2016/UE) - Il Titolare ha provveduto a nominare un Responsabile della protezione dei Dati Personali (R.P.D.) al quale ci si potrà rivolgere per le questioni relative all’esercizio dei propri diritti e per richiedere informazioni sui dati personali che sono oggetto di trattamento da parte del Titolare, al seguente indirizzo mail: rpd@marrellihealth.it

3. Responsabile del trattamento dei dati (art. 28 Regolamento 679/2016/UE) – DigitalPA S.r.l., quale fornitore del servizio di erogazione e gestione operativa della piattaforma tecnologica di digital whistleblowing, è stato nominato, dalla Marrelli Health, Responsabile del trattamento ai sensi dell’art. 28 Reg. UE n. 679/2016 per lo svolgimento dei trattamenti necessari all’adempimento dei servizi oggetto del contratto. Per effetto della presente nomina, DigitalPA è autorizzata esclusivamente al trattamento dei dati personali nella misura e nei limiti necessari all’esecuzione delle attività ad essa assegnate. Il trattamento dei dati personali consisterà nelle operazioni necessarie al mantenimento del servizio e per l’assistenza tecnica (Memorizzazione, conservazione e, su richiesta del titolare, lettura e modifica, cancellazione).

4. Oggetto del Trattamento - I dati personali relativi alle segnalazioni inerenti l’acquisizione e l’archiviazione delle segnalazioni di illeciti, ai sensi D.Lgs. n. 24/2023, possono riguardare anche particolari categorie di dati e dati inerenti a condanne penali e reati, eventualmente contenuti nella segnalazione e in atti e documenti ad essa allegati, riferiti agli interessati, ovvero alle persone fisiche (identificate o identificabili) che inoltrano una segnalazione o a quelle indicate come possibili responsabili delle condotte illecite o a quelle a vario titolo coinvolte nelle vicende segnalate.

5. Base giuridica e finalità del trattamento (Art. 13.1.c Regolamento 679/2016/UE)

Il trattamento, ai sensi del Regolamento UE 2016/679, è finalizzato ad adempiere ad un obbligo legale al quale è soggetto il titolare (art. 6 – par. 1 lett. c) e all’esecuzione di un compito di interesse pubblico (art. 6 par. 1 lett. e) in applicazione del D.Lgs. n. 24/2023.

I dati personali comunicati sono trattati dal Responsabile Prevenzione Corruzione (RPC), delegato aziendale alla Gestione delle segnalazioni (mail: rpc@marrellihealth.it) nell’esecuzione dei propri compiti di interesse pubblico o comunque connessi all’esercizio delle proprie deleghe, con particolare riferimento al compito di accertare eventuali illeciti denunciati nell’interesse dell’integrità del Titolare, dai soggetti che, in ragione del proprio rapporto di lavoro presso il Titolare, vengano a conoscenza di condotte illecite, in particolare i dipendenti, i liberi professionisti e i consulenti che prestano la propria attività a favore del Titolare, i lavoratori e collaboratori delle imprese fornitrici di beni o servizi, i tirocinanti retribuiti e non retribuiti che parimenti prestano la propria attività a favore del Titolare. Detto procedimento prevede la raccolta dei dati personali (quali: nome, cognome, codice fiscale, indirizzo mail) inseriti nella piattaforma informatica dedicata alla ricezione delle segnalazioni, nonché dei dati personali presenti nella segnalazione, inclusa la documentazione ad essa allegata. Nell’ambito delle segnalazioni vengono trattati dati anche relativi al soggetto segnalato o ad altri soggetti coinvolti dalla segnalazione e possono riguardare dati comuni ed anche particolari e relativi a reati ed irregolarità.

Tutti i dati comunicati al fine di rappresentare le presunte condotte illecite delle quali si viene a conoscenza in ragione del proprio rapporto di servizio con il Titolare commesse dai soggetti che a vario titolo interagiscono con il medesimo, vengono trattati allo scopo di effettuare le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto di segnalazione e l’adozione dei conseguenti provvedimenti. La gestione e la preliminare verifica sulla fondatezza delle circostanze rappresentate nella segnalazione sono affidate al RPC che vi provvede nel rispetto dei principi di imparzialità e riservatezza effettuando ogni attività ritenuta opportuna, inclusa l’audizione personale del segnalante e di eventuali altri soggetti che possono riferire sui fatti segnalati.

6. Modalità del trattamento

Il trattamento dei dati personali che avviene in modalità informatizzata mediante la piattaforma dedicata e presso gli uffici della Marrelli Health, o qualora fosse necessario, presso i soggetti indicati al paragrafo 9, è realizzato per mezzo di qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati, di cui all’art. 4 n. 2) Regolamento 679/2016/UE e precisamente: la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Si comunica che il trattamento dei dati personali viene compiuto con l’osservanza d’ogni misura idonea a garantirne la sicurezza e la riservatezza degli stessi.

Qualora il RPC debba avvalersi di personale della Marrelli Health ai fini della gestione delle pratiche di segnalazione, tale personale per tale attività è appositamente autorizzato al trattamento (artt. 4 n. 10, 29, 32 par. 4 Reg. UE 679/2016 e art. 2-quaterdecies D. Lgs. n. 196/2003) e, di conseguenza, il suddetto personale dovrà attenersi al rispetto delle istruzioni impartite, nonché di quelle più specifiche, connesse ai particolari trattamenti, eventualmente di volta in volta fornite dal RPC. È fatto salvo, in ogni caso, l’adempimento, da parte del RPC e/o dei soggetti designati/autorizzati che per ragioni di servizio debbano conoscere l’identità del segnalante, degli obblighi di legge cui non è opponibile il diritto all’anonimato del segnalante.

Tutti gli operatori, compreso il Titolare, per accedere ai dati informatizzati sono identificabili e dotati di password personale; l’accesso ai dati personali è consentito solo per le finalità legate al ruolo attribuito al singolo addetto, precedentemente nominato delegato al trattamento, il quale ha seguito una formazione specifica e viene periodicamente aggiornato sulle regole della privacy e sensibilizzato al rispetto e alla tutela della dignità e della riservatezza delle persone fisiche.

Il trattamento dei dati personali forniti per le finalità di cui al punto 5 viene effettuato, ai sensi dell’’art. 5 del Regolamento 679/2016/UE, nel rispetto dei principi di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.

7. Conferimento dei dati e conseguenze della mancata comunicazione (Art. 13.2.e Regolamento 679/2016/UE)

Tenuto conto delle finalità del trattamento come sopra illustrate, il conferimento dei dati personali è obbligatorio e la loro mancata, parziale o inesatta comunicazione potrà avere, come conseguenza l’impossibilità per il Titolare di dar corso all’ effettivo riconoscimento delle tutele previste dalla normativa in materia e segnatamente dal D.Lgs. n. 24/23.

Tra le finalità della normativa in materia vi è infatti quella di offrire tutela, ed assicurare la riservatezza dell’identità del segnalante, e degli altri soggetti di cui all’art. 3, comma 5 dello stesso D.Lgs., che faccia emergere condotte e fatti illeciti. Tale protezione opera, quindi, solo nei confronti di soggetti individuabili, riconoscibili e riconducibili alla categoria indicata dal D.Lgs. n. 24/23

8. Criteri utilizzati al fine di determinare il periodo di conservazione (Art. 13.2.a Regolamento 679/2016/UE)

I dati saranno conservati per il conseguimento delle finalità per le quali sono stati raccolti e per il periodo necessario all’espletamento del procedimento amministrativo correlato e in ogni caso saranno detenuti per 5 anni, decorrenti dalla data della comunicazione dell’esito finale della procedura di segnalazione.

9. Ambito di diffusione, comunicazione

Qualora, all’esito della verifica, si ravvisino elementi di non manifesta infondatezza del fatto segnalato, i dati personali, unitamente all’esito dell’accertamento, potranno essere trasmessi dal RPC per approfondimenti istruttori o per l’adozione dei provvedimenti di competenza.

I trattamenti sono effettuati a cura delle persone autorizzate e impegnate alla riservatezza e preposte alle relative attività in relazione alle finalità perseguite.

Sono destinatari dei dati raccolti, a seguito delle segnalazioni, se del caso l’Autorità giudiziaria, la Corte dei Conti e l’ANAC.

I dati non sono oggetto di diffusione, ossia non potranno essere portati a conoscenza in qualunque modo ad una pluralità di soggetti indeterminati, fatti salvi gli obblighi di legge.

10. Trasferimento dati verso paese terzi

I dati trattati per le predette finalità non sono trasferiti a paesi terzi all’esterno dell’Unione Europea o dello Spazio Economico Europeo (SEE) o ad organizzazioni internazionali.

11. Diritti dell’interessato

In riferimento ai dati personali che riguardano il segnalante, in qualsiasi momento, ai sensi degli Artt. 15-21 del Regolamento 679/2016/UE, lo stesso potrà esercitare il:

• diritto di chiedere al Titolare del trattamento, ex Art. 15 Reg. 679/2016/UE, di poter accedere ai propri dati personali;
• diritto di chiedere al Titolare del trattamento, ex Art. 16 Reg. 679/2016/UE, di poter rettificare i propri dati personali, ove quest’ultimo non contrasti con la normativa vigente sulla conservazione dei dati stessi;
• diritto di chiedere al Titolare del trattamento, ex Art. 17 Reg. 679/2016/UE, di poter cancellare i propri dati personali, ove quest’ultimo non contrasti con la normativa vigente sulla conservazione dei dati stessi;
• diritto di chiedere al Titolare del trattamento, ex Art. 18 Reg. 679/2016/UE, di poter limitare il trattamento dei propri dati personali;
• diritto di opporsi al trattamento, ex Art. 21 Reg. 679/2016/UE.

12. Diritto di presentare reclamo (Art. 13.2.d Regolamento 679/2016/UE)

L’interessato, in caso di illecito trattamento o di ritardo o impedimento da parte del Titolare all’esercizio dei Suoi diritti, potrà esercitare il diritto di proporre reclamo all’Autorità di controllo.

L’Autorità di controllo competente è il Garante per la protezione dei dati personali, Piazza Venezia n. 11 – 00187 ROMA – Fax: (+39) 06.69677.3785 – Centralino telefonico: (+39) 06.696771 – E-mail: garante@gpdp.it.

Ai sensi dell’art. 2-undecies nel d.lgs. 30 giugno 2003, n. 196, il soggetto segnalato presunto autore dell’illecito, con riferimento ai propri dati personali trattati dall’Amministrazione, non può invece esercitare i diritti previsti dagli articoli da15 a 22 del Regolamento (UE) n. 2016/679 (Si tratta nello specifico del diritto di accesso ai dati personali, del diritto a rettificarli, del diritto di ottenerne la cancellazione o cosiddetto diritto all’oblio, del diritto alla limitazione del trattamento quando ricorrono le ipotesi specificate dall’art. 18 GDPR, del diritto alla portabilità dei dati personali e di quello di opposizione al trattamento. Resta ferma la possibilità per il soggetto segnalato, presunto autore dell’illecito, di esercitare i propri diritti con le modalità previste dall’art. 160 d.lgs. n. 196/2003 (trattasi della possibilità per l’interessato di richiedere al Garante accertamenti sulla conformità del trattamento dei propri dati. Il Garante fornisce riscontro circa il relativo esito. È altresì previsto che il titolare del trattamento informi l’interessato di tale facoltà).

13. Modalità di esercizio dei diritti

In qualità di interessato i diritti potranno essere esercitati inviando una richiesta al Titolare del trattamento ai contatti sopra specificati.

Informativa aggiornata il 15/07/2023