Informativa sul trattamento dei dati personali

Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 e delle disposizioni di cui al D.lgs. 24/2023

1. Premessa

1.1. Ai sensi e per gli effetti del D.lgs. 24/2023 (di seguito, il “Decreto”), attuativo della Direttiva (UE)2019/1937 del Parlamento Europeo e del Consiglio del 23 ottobre 2019 (“Direttiva”), le società ivielencate (congiuntamente definite, nel presente documento, “Protiviti” o la “Società”) hanno adottatouna procedura in materia di segnalazioni di condotte illecite (“Whistleblowing Policy”):

a. Protiviti S.r.l., società a socio unico, con sede in Via Tiziano 32, 20145, Milano (MI), codicefiscale e partita IVA 04156610968;

b. Protiviti Government Services S.r.l., società a socio unico, con sede in Via Tiziano 32, 20145,Milano (MI), codice fiscale e partita IVA 09692380968.

2. Titolari del Trattamento

2.1. Alla luce della normativa vigente, il titolare del trattamento dei dati personali è da identificarsi nell’entitàgiuridica che riceve la segnalazione, determinando le finalità ed i mezzi del trattamento medesimo.

2.2. Oltre ai canali esterni di segnalazione previsti inderogabilmente dal Decreto, la Whistleblowing Policyadotta dalla Società prevede sia un canale di segnalazione locale, ove le segnalazioni vengonoricevute direttamente dalla Società medesima, così come in epigrafe identificata, sia un canale disegnalazione globale, ove le segnalazioni vengono in prima istanza ricevute dalla società capogruppo(Robert Half Inc.), a livello globale. A tale ultimo proposito, le entità giuridiche di riferimento agirannoin qualità di autonomi titolari del trattamento dei dati personali (ciascuno, il “Titolare”).

3. Finalità del trattamento

3.1. Il Titolare tratterà i dati personali oggetto della presente informativa al fine di porre in essere le attivitànecessarie per l’esecuzione della Whistleblowing Policy adottata dalla Società, conformemente allanormativa applicabile.

4. Tipologie dei dati personali trattati e categorie di interessati

4.1. La ricezione delle segnalazioni può comportare il trattamento di dati personali comuni (quali, a titoloesemplificativo: nome, cognome, dati di contatto, posizione lavorativa) della persona segnalante,salvo il caso in cui la medesima non abbia deciso di effettuare la segnalazione in manieracompletamente anonima.

4.2. Nel corso della gestione delle segnalazioni, inoltre, potranno essere trattati anche altri dati personali,afferenti sia alla persona segnalante che ad altre persone coinvolte nelle indagini. Tale trattamentopotrà riguardare, incidentalmente, anche dati personali ex artt. 9 e 10 del GDPR.

5. Soggetti autorizzati a trattare i dati personali

5.1. La Società, come previsto dalla Whistleblowing Policy, ha individuato un Comitato di Gestione delleSegnalazioni, i cui membri sono stati precipuamente autorizzati a trattare i dati personali per le finalitàivi enucleate.

5.2. Ai fini di contemperare la gestione delle segnalazioni con le prescrizioni del Decreto e del D.lgs.231/2001, i dati personali di cui al precedente paragrafo 4 potranno anche essere trattatidall’Organismo di Vigilanza della Società, a cui è demandata la vigilanza delle attività della Società aifini del summenzionato D.lgs. 231/2001.

5.3. In casi eccezionali, ove applicabile, i dati personali di cui la precedente paragrafo 4 potranno infine essere condivisi con le competenti autorità.

6. Responsabile del trattamento

6.1. Come menzionato nella Whistleblowing Policy adottata dalla Società, il tool per la gestione delle segnalazioni è affidato alla società One Trust LLC., all’uopo nominata responsabile del trattamento dei dati personali di cui al precedente paragrafo 4, ai sensi e per gli effetti dell’art. 28 del GDPR (“Responsabile”).

7. Basi giuridiche del trattamento dei dati personali

7.1. Alla luce della normativa di riferimento, ed in particolare alla luce degli artt. 1 e 3 del Decreto, la Società precisa quanto segue:

a. il trattamento dei dati comuni si fonda sull’obbligo di legge a cui è soggetto il Titolare (art. 6, par. 1, lett. c) del GDPR), nonché sull’esecuzione di compiti di interesse pubblico assegnati dalla legge al Titolare (art. 6, par. 1, lett. e) del GDPR);

b. il trattamento di altre categorie di dati personali si fonda sull’assolvimento di obblighi e sull’esercizio di diritti specifici del Titolare e dell’interessato in materia di diritto del lavoro (art. 9, par. 2, lett. b), GDPR), nonché sull’esecuzione di un compito di interesse pubblico rilevante (art. 9, par. 2, lett. g), GDPR), in ragione dell’art. 2-sexies c. 1 e c. 2 lett. dd) del D.lgs. 196/2003;

c. il trattamento di dati relativi a condanne penali e reati, tenuto conto di quanto disposto dall’art. 10 GDPR, si fonda sull’obbligo di legge a cui è soggetto il Titolare del trattamento (art. 6, par. 1, lett. c), GDPR) e sull’esecuzione di compiti di interesse pubblico assegnati dalla legge alla Società (art. 6, par. 1, lett. e), GDPR), in ragione dell’art. 2-octies c.1 del D.lgs. 196/2003.

7.2. In ragione di quanto disposto dal Decreto, nel caso in cui la segnalazione portasse all’instaurazione di un procedimento disciplinare nei confronti del responsabile della condotta illecita, l’identità del segnalante non verrà rivelata.

7.3. Qualora la conoscenza dell’identità del segnalante sia tuttavia indispensabile per la difesa del segnalato, verrà richiesto al segnalante se intende rilasciare un apposito, libero consenso ai fini della rivelazione della propria identità. Il conferimento dei dati personali è volontario.

8. Modalità del trattamento e misure di sicurezza

8.1. Il Titolare attua idonee misure per garantire che i dati forniti vengano trattati in modo adeguato e conforme alle finalità per cui vengono gestiti.

8.2. Il Titolare, congiuntamente al Responsabile, per quanto di competenza, impiega idonee misure di sicurezza, organizzative, tecniche e fisiche, per tutelare le informazioni dall’alterazione, dalla distruzione, dalla perdita, dal furto o dall’utilizzo improprio o illegittimo.

a. In particolare, la piattaforma One Trust include un'opzione per la comunicazione anonima tramite una connessione criptata. Il segnalante è esortato a custodire i dati di accesso (ID e password) al portale, in modo da poter verificare lo stato di avanzamento della segnalazione e, eventualmente, continuare a comunicare con il titolare in modo sicuro.

b. Le misure tecniche di sicurezza sono costantemente adeguate a garantire la protezione dei dati personali e la riservatezza.

c. I dati personali forniti dal segnalante saranno memorizzati in una banca dati gestita da OneTrust, appositamente protetta.

d. Nel caso in cui la segnalazione fosse trasmessa mediante canali diversi da quelli previsti dalla Whistleblowing Policy, il Titolare adotterà le opportune misure volte a garantire la sicurezza e la riservatezza dell’identità del segnalante e degli altri interessati. Si esortano, in ogni caso, i segnalanti ad utilizzare esclusivamente i canali di segnalazione previsti dalla Whistleblowing Policy adottata dalla Società.

9. Periodo di conservazione dei dati personali

9.1. Alla luce delle disposizioni vigenti, i dati personali contenuti nelle segnalazioni sono conservati per il tempo necessario al loro trattamento. In particolare, il periodo di conservazione può essere determinato in: (i) non oltre cinque anni dalla data della comunicazione dell'esito finale della procedura di segnalazione oppure (ii) fino alla conclusione del procedimento giudiziale o disciplinare eventualmente disposto nei confronti del segnalato o del segnalante.

9.2. Si procederà alla cancellazione dei dati personali e non contenuti nella segnalazione laddove dovesse emergere la loro assoluta irrilevanza ai fini della gestione della stessa.

10. Diritti degli interessati

10.1. I soggetti a cui è applicabile la Whistleblowing Policy adottata dalla Società e che validamente possono inoltrare segnalazioni hanno diritto, in qualunque momento, ad ottenere la conferma dell’esistenza o meno dei dati personali eventualmente forniti con la segnalazione.

10.2. Altresì, i soggetti a cui è applicabile la Whistleblowing Policy adottata dalla Società e che validamente possono inoltrare segnalazioni hanno diritto a chiedere, nelle forme previste dall’ordinamento, la rettifica dei dati personali inesatti e l’integrazione di quelli incompleti e di esercitare ogni altro diritto riconosciuto dal Decreto, dal GDPR e da ogni altra disposizione di legge applicabile.

10.3. In parziale deroga a quanto previsto dal precedente paragrafo, restano ferme le limitazioni ai diritti dell’interessato poste in essere dall’articolo 2-undecies del D.lgs. 196/2003.

10.4. Nel caso in cui il segnalante abbia dato il consenso alla rivelazione della sua identità nell’ambito di procedimenti disciplinari, quest’ultimo ha il diritto di revocare tale consenso in qualsiasi momento, senza che però ciò pregiudichi la liceità del trattamento, basato sul consenso, effettuato prima della revoca.

10.5. Tali diritti possono essere esercitati comunicando la corrispondente volontà agli indirizzi di contatto di cui al successivo art. 11.

10.6. Qualora si ritenga che il trattamento dei dati personali sia avvenuto in modo non conforme al GDPR e/o al D.lgs. 196/2003, è fatta salva la possibilità di rivolgersi all’Autorità Garante per la Protezione dei Dati Personali, ai sensi dell’art. 77 del GDPR.

11. Contatti

11.1. La Società mette a disposizione dei lettori di questa informativa un indirizzo e-mail dedicato alle tematiche afferenti alla privacy ed alla protezione dei dati personali: [email protected].

11.2. In alternativa, si potrà comunicare con la società a mezzo di posta ordinaria, al seguente indirizzo: Via Tiziano 32, 20145, Milano (MI), alla cortese attenzione del responsabile della funzione Legale & Compliance della Società.

Milano, 20 febbraio 2024