Informativa ai sensi della normativa sulla protezione dei dati personali
Ai sensi dell’art.13 del Regolamento (UE) n. 2016/679 (Regolamento Generale sulla Protezione dei Dati, di seguito GDPR) e del d.lgs. 24/2023, CompuGroup Medical Italia Holding S.r.l., unitamente alle società collegate CGM Italia S.p.a., CGM Xdent Software S.r.l., CGM Phamaone S.r.l., Studiofarma S.r.l., Fablab S.r.l. e 4k S.r.l. (di seguito i “Contitolari”), che hanno sottoscritto accordi di contitolarità, ritenendo comuni le finalità ed i mezzi del trattamento, forniscono, qui di seguito, l’informativa sui trattamenti dei dati personali effettuati in relazione alla gestione delle Segnalazioni, disciplinate dalla Procedura Whistleblowing di CGM, che si applica a CGM ed alle Società di diritto italiano appartenenti al Gruppo CompuGroup Medical SE & Co. KGaA.
1) Categorie di dati personali
-
- Dati personali comuni di cui all’art. 4, punto 1, del GDPR del Segnalante (nel caso di Segnalazioni non anonime) nonché di eventuali Persone coinvolte o menzionate nella Segnalazione, come definiti dalla Procedura Whistleblowing (di seguito “Interessati”), quali: dati anagrafici (ad es. nome, cognome, data e luogo di nascita), dati di contatto (es. numero telefonico fisso e/o mobile, indirizzo postale/e-mail).
- Categorie particolari di dati di cui all’art. 9) del GDPR, qualora inserite nella segnalazione;
- Categorie di dati giudiziari di cui all’art. 10 del GDPR, qualora inserite nella segnalazione.
2) Finalità del trattamento e relativa base giuridica
I suddetti dati personali sono trattati dai Contitolari per le seguenti finalità:
- gestione della Segnalazione effettuata ai sensi del d.lgs. n. 24/2023;
- adempimento di obblighi previsti dalla legge o dalla normativa comunitaria;
- difesa o accertamento di un di un proprio diritto in contenziosi civili, amministrativi o penali.
La base giuridica del trattamento è costituita:
- per la finalità di cui alla lettera a), dall’adempimento di un obbligo legale a cui sono soggetti i Contitolari del trattamento (art. 6, par. 1, lett. c) del GDPR); inoltre, per le segnalazioni registrate raccolte telefonicamente o tramite sistemi di messaggistica vocale o comunque in forma orale, dal consenso del Segnalante (art. 6, par. 1, lett. a) del GDPR);
- per le finalità di cui alla lettera b), dall’adempimento di un obbligo legale a cui sono soggetti i Contitolari del trattamento (art. 6, par. 1, lett. c) del GDPR).
- per le finalità di cui alla lettera c), dal legittimo interesse dei Contitolari (art. 6, par. 1, lett. f) del GDPR).
Il conferimento dei dati è necessario per il conseguimento delle finalità di cui sopra; il loro mancato, parziale o inesatto conferimento potrebbe avere come conseguenza l’impossibilità di gestire la segnalazione.
3) Conservazione dei dati personali
I Contitolari conservano i dati personali secondo nei termini previsti dall’art. 14 del d.lgs. n. 24/2023, cioè per il tempo necessario al trattamento della segnalazione e comunque per non oltre 5 anni a decorrere dalla data di comunicazione dell’esito finale della Segnalazione all’Organismo di Vigilanza 231.
I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati tempestivamente.
4) Modalità e logica del trattamento
I trattamenti dei dati sono effettuati manualmente e/o attraverso strumenti automatizzati informatici e telematici con logiche correlate alle finalità sopraindicate e, comunque, in modo da garantirne la sicurezza e la riservatezza.
Il sistema di gestione delle Segnalazioni garantisce, in ogni fase, la riservatezza dell’identità del Segnalante, delle Persone coinvolte e/o comunque menzionate nella Segnalazione, del contenuto della Segnalazione e della relativa documentazione, fatto salvo quanto previsto dall’art. 12 del d.lgs. n. 24/2023.
5) Contitolari, Data Protection Officer e categorie di persone autorizzate al trattamento dei dati
I Contitolari del trattamento dei dati personali sono:
- CompuGroup Medical Italia Holding S.r.l., con sede in Foro Buonaparte, n. 70 - 20121 Milano;
- CompuGroup Medical Italia S.p.a., con sede in Via A. Olivetti, n. 10 – 70056 Molfetta (BA);
- CGM Xdent Software S.r.l., con sede in Piazza Cairoli, n. 1, 97100 Ragusa;
- CGM Pharmaone S.r.l., con sede in Corso Vercelli 120 C/D – 28100 Novara;
- Studiofarma S.r.l., con sede in Foro Buonaparte, n. 70 - 20121 Milano;
- Fablab S.r.l., con sede in Foro Buonaparte, n. 70 - 20121 Milano;
- 4K S.r.l., con sede in Foro Buonaparte, n. 70 - 20121 Milano.
I Contitolari hanno nominato un Data Protection Officer, contattabile inviando una e-mail a: dpo.it@cgm.com.
Tutti i Contitolari hanno istituito l’Organismo di Vigilanza, nominato ai sensi dell’art. 6, punto 1, lett. b) del d.lgs. n. 231/2001, dotato di autonomi poteri d’iniziativa e controllo, che è anche l’owner del processo di gestione delle segnalazioni disciplinato dalla Procedura Whistleblowing, con sede presso la sede legale della società di riferimento, i cui membri sono stati nominati persone autorizzate al trattamento dei dati personali e che hanno ricevuto, al riguardo, adeguate istruzioni operative.
6) Categorie di soggetti terzi ai quali i dati potrebbero essere comunicati
Alcuni trattamenti dei dati personali possono essere effettuati dalle Società italiane del Gruppo CGM, anche all’estero in Paesi Ue.
Inoltre, alcuni trattamenti possono essere effettuati da ulteriori soggetti terzi, ai quali i Contitolari affidano talune attività (o parte di esse) per le finalità di cui al punto 2); tali soggetti opereranno in qualità di Titolari autonomi o saranno designati Responsabili del trattamento e sono essenzialmente ricompresi nelle seguenti categorie:
- Consulenti (Organizzazione, Contenzioso, Studi Legali, ecc.),
- Società incaricate dell’amministrazione e gestione del personale,
- Agenzie investigative,
- Istituzioni e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia.
7) Diritti degli interessati
L’interessato ha diritto di accedere in ogni momento ai dati che lo riguardano e di esercitare i diritti previsti dagli articoli da 15 al 22 del GDPR, per quanto applicabili (diritto di accesso ai dati personali, diritto a rettificarli, diritto di ottenerne la cancellazione o cd. diritto all’oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati personali o quello di opposizione al trattamento), inviando una e-mail all’indirizzo: dpo.it@cgm.com. Inoltre, l’interessato ha diritto di proporre un reclamo al Garante della protezione dei dati personali.
I suddetti diritti non sono esercitabili dalla persona coinvolta o dalla persona menzionata nella segnalazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, ai sensi dell’art. 2undecies del Codice Privacy in quanto dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona segnalante.