Informativa sul trattamento dei dati personali dei segnalanti – Lidl Italia S.r.l.
Ai sensi del Regolamento (UE) n. 2016/679 in materia di protezione dei Dati Personali (il "Regolamento Privacy") e del Decreto Legislativo n. 196/2003, come da ultimo modificato dal Decreto Legislativo n. 101/2018 (il "Codice Privacy"), La informiamo che le informazioni e i Dati Personali eventualmente forniti nell'ambito della procedura di segnalazione c.d. whistleblowing (la "Procedura di Segnalazione") da Lei prescelta saranno trattati da Lidl Italia S.r.l. a socio unico, con sede in Arcole (Verona), via Augusto Ruffo n. 36, in qualità di titolare del trattamento (di seguito, “Lidl” o il “Titolare”), in conformità alla presente informativa ("Informativa").
Il Responsabile della protezione dei dati personali nominato da Lidl è contattabile nelle seguenti modalità:
- tramite email all’indirizzo privacyperte@lidl.it nel caso in cui il segnalante sia interno a Lidl, o privacyit@lidl.it, nel caso in cui sia un soggetto esterno all’organizzazione;
oppure
- tramite lettera raccomandata A/R indirizzata a Lidl Italia S.r.l. a socio unico, via Augusto Ruffo n. 36, 37040, Arcole (VR), all’attenzione dell’Ufficio Privacy.
1.1. I dati personali trattati nell’ambito della Procedura di Segnalazione saranno i Suoi dati identificativi, quale soggetto segnalante, le informazioni inerenti la condotta lamentata ed eventuali altri dati da Lei volontariamente trasmessi durante la Procedura di Segnalazione a seconda del tipo di segnalazione effettuata o che siano rilevanti sulla base dell’evento segnalato (di seguito i "Dati Personali"). In ogni caso, vengono trattati solo quei Dati Personali strettamente ed oggettivamente necessari per verificare la fondatezza della segnalazione e procedere alla risoluzione della stessa. Le segnalazioni possono essere effettuate anche in forma anonima, purché adeguatamente documentate.
1.2. Il trattamento dei Dati Personali dei soggetti segnalanti (gli “Interessati”) sarà effettuato per le seguenti finalità:
1.2.1. per scopi strettamente ed oggettivamente necessari all’applicazione ed alla gestione della Procedura di Segnalazione, ivi inclusa la verifica dei fatti oggetto della segnalazione, la risoluzione della segnalazione, la predisposizione del riscontro e l’adozione di eventuali misure di ristoro o di sostegno per i soggetti segnalanti, nonché per dare riscontro a domande e quesiti formulati dagli Interessati in merito alla compliance aziendale e l’elaborazione di report relativi alla Procedura di Segnalazione stessa (le “Finalità di Gestione della Segnalazione”);
1.2.2. per adempiere ad obblighi previsti dalla legge, dai regolamenti o dalla normativa, nazionale e/o comunitaria, incluso quanto previsto dal Decreto Legislativo n. 24/2023 (c.d. “Decreto Whistleblowing”) in attuazione della Direttiva (UE) 2019/1937 riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali (le “Finalità di Legge”);
1.2.3. per far valere o difendere i diritti di Lidl in sede giudiziaria e garantire la corretta gestione aziendale, anche attraverso l’implementazione delle policy e procedure interne di Lidl, minimizzando i rischi di possibili responsabilità, danni o contestazioni nei confronti del Titolare, per il periodo strettamente necessario alla tutela dei diritti medesimi (le “Finalità di Legittimo Interesse”).
1.3. 1.3. Il trattamento dei Dati Personali per le Finalità di Gestione della Segnalazione e di Legge è effettuato ai sensi dell’articolo 6, paragrafo 1, lettera c) del Regolamento Privacy al fine di gestire e di conformarsi con gli obblighi di legge applicabili in relazione specificatamente alla Procedura di Segnalazione e fornire riscontro alle segnalazioni ricevute nei limiti di quanto disposto dal Decreto Whistleblowing. Il trattamento dei Dati Personali per tali finalità è quindi obbligatorio per consentire al Titolare di ottemperare alla normativa in materia.
1.4. Il trattamento dei Dati Personali per le Finalità di Legittimo Interesse, invece, è effettuato ai sensi dell'articolo 6, paragrafo 1, lettera f) del Regolamento Privacy per il perseguimento dell'interesse legittimo di Lidl che è equamente bilanciato con l’interesse legittimo dell’Interessato, in quanto l'attività di trattamento dei Dati Personali è limitata a quanto strettamente necessario per l'esercizio dei diritti sopra indicati. Il trattamento per tali Finalità di Legittimo Interesse non è obbligatorio e l’Interessato potrà opporsi a detto trattamento con le modalità di cui alla presente Informativa, ma qualora l’Interessato si opponesse a detto trattamento i suoi Dati Personali non potranno essere utilizzati per le Finalità di Legittimo Interesse, fatto salvo il caso in cui il Titolare dimostri la presenza di motivi legittimi cogenti prevalenti o di esercizio o difesa di un diritto ai sensi dell’articolo 21 del Regolamento Privacy.
1.5. Le segnalazioni non saranno in alcun caso utilizzate da Lidl per finalità discriminatorie o ritorsive nei confronti degli Interessati.
2.1. I Dati Personali saranno trattati con strumenti manuali o informatici, idonei a garantirne la sicurezza, la riservatezza e ad evitare accessi non autorizzati, diffusione, modifiche e sottrazioni dei dati, grazie all'adozione di adeguate misure di sicurezza tecniche, fisiche ed organizzative, nel rispetto della normativa sopra richiamata e dei connessi obblighi di riservatezza e, comunque, secondo le finalità e le modalità riportate nella presente Informativa.
2.2. In particolare, i sistemi informatici adottati per la Procedura di Segnalazione - ivi incluso il sistema c.d. Business Keeper Monitoring System - saranno configurati in maniera tale da evitare accessi non autorizzati ed i soggetti incaricati della ricezione, disamina, gestione e riscontro delle segnalazioni saranno nominati quali responsabili od individuati quali incaricati del trattamento ed assicureranno la completa riservatezza dei Dati Personali forniti nel rispetto delle misure di sicurezza più appropriate ed a tale scopo adottate dal Titolare.
2.3. Si informa sin da ora che i Dati Personali e, in particolare, l’identità dell’Interessato o altre informazioni che possano rivelare l’identità del segnalante raccolte in caso di segnalazione non nominativa, saranno mantenuti strettamente riservati e confidenziali e non saranno resi conoscibili a soggetti terzi diversi da quelli preposti alla gestione della Procedura di Segnalazione e indicati al successivo paragrafo 3.
2.4. I Dati Personali saranno trattati per i tempi strettamente ed oggettivamente indispensabili al raggiungimento delle finalità di cui al punto 1.2. sopra. In ogni caso, i Dati Personali vengono conservati per i 5 anni successivi alla comunicazione dell'esito finale della Procedura di Segnalazione, fatti salvi i casi nei quali la conservazione per un periodo successivo sia richiesta per eventuali contenziosi, richieste delle autorità competenti o ai sensi della normativa applicabile.
3.1. Fermo restando quanto precisato al precedente paragrafo 2, per il perseguimento delle finalità di cui al punto 1.2. sopra e, comunque, nei limiti di cui alla presente Informativa - anche in considerazione della natura e/o della gravità della violazione segnalata -, i Dati Personali potranno essere comunicati ad altre società del Gruppo Schwarz (controllanti, controllate e/o collegate) di cui Lidl è parte o a terzi, che li tratteranno in qualità di responsabili (esterni) del trattamento dei Dati Personali ai sensi dell’articolo 28 del Regolamento Privacy, nonché ai soggetti e/o alle autorità competenti, anche ai fini dello svolgimento delle indagini e/o dei successivi procedimenti giudiziari, eventualmente avviati all’esito delle verifiche svolte nell’ambito della Procedura di Segnalazione.
3.2. In particolare, le segnalazioni, nonché le informazioni ed i Dati Personali nelle stesse contenuti od inseriti, saranno trattati dal Responsabile Compliance, dall'Internal Audit, dai membri dell’Organismo di Vigilanza e, laddove la segnalazione sia inerente le tematiche privacy, dal Responsabile Privacy quali responsabili del trattamento, nonché da altri soggetti appartenenti alla funzione Compliance che sono debitamente designati quali incaricati del trattamento.
3.3. In ogni caso, Lidl fornisce ai responsabili ed agli incaricati eventualmente nominati adeguate istruzioni operative, con particolare riferimento all’adozione delle misure di sicurezza, al fine di poter garantire la riservatezza e la sicurezza dei Dati Personali. Un elenco completo dei responsabili del trattamento è disponibile presso la sede di Lidl.
3.4. 3.4. I Dati Personali non saranno trasferiti in Paesi al di fuori dello Spazio Economico Europeo ma saranno conservati su server/database del Titolare ubicati all’interno del territorio dell’Unione Europea. Ove Lidl trasferisca i Dati Personali in Paesi situati al di fuori dello Spazio economico europeo, questa provvederà al trasferimento, in ogni caso, nel rispetto delle garanzie appropriate e opportune ai fini del trasferimento stesso, come le clausole contrattuali tipo di protezione dei dati, ai sensi della normativa applicabile e, in particolare, degli articoli 45 e 46 del Regolamento Privacy.
4.1. Ai sensi degli articoli 15 e seguenti del Regolamento Privacy, l’Interessato potrà esercitare, in qualsiasi momento, i seguenti diritti in relazione al trattamento dei Dati Personali:
(a) ottenere la conferma dell'esistenza di Dati Personali che lo riguardano presso il Titolare ed essere informato circa il contenuto e la fonte dei Dati Personali;
(b) conoscere l'origine dei Dati Personali, le finalità del trattamento e le sue modalità, nonché la logica applicata ad eventuali trattamenti effettuati mediante processi decisionali automatizzati;
(c) verificare l'accuratezza dei Dati Personali e richiederne l'integrazione, la rettificazione o la modifica;
(d) ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei Dati Personali eventualmente trattati in violazione della legge, nonché di opporsi, per motivi legittimi, al trattamento;
(e) chiedere al Titolare la limitazione del trattamento dei Dati Personali che lo riguardano qualora
- l’Interessato contesti l'esattezza dei Dati Personali, per il periodo necessario al Titolare per verificare l'esattezza di tali Dati Personali;
- il trattamento sia illecito e l’Interessato si opponga alla cancellazione dei Dati Personali e chieda che ne sia limitato l'utilizzo;
- i Dati Personali siano necessari all’Interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria, benché il Titolare non ne abbia più bisogno ai fini del trattamento;
- l’Interessato si sia opposto al trattamento ai sensi dell'articolo 21 del Regolamento Privacy, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi di Lidl rispetto ai diritti e libertà dell’Interessato;
(f) opporsi, in qualsiasi momento, al trattamento dei propri Dati Personali per finalità di Interesse Legittimo, fatto salvo il caso in cui Lidl abbia motivi legittimi prevalenti o l'esigenza di far valere o difendere un diritto in un eventuale procedimento giudiziario;
(g) chiedere la cancellazione dei Dati Personali che riguardano l’Interessato senza ingiustificato ritardo;
(h) ottenere una copia in formato elettronico dei propri Dati Personali, allorché l’Interessato intenda ricevere i Dati Personali che lo riguardano ovvero trasmetterli a un diverso titolare del trattamento, nelle ipotesi in cui Lidl effettui il trattamento dei Dati Personali sulla base di un contratto, del Suo consenso o i Dati Personali siano trattati mediante strumenti automatizzati.
4.2. Ai sensi dell'articolo 2-terdecies del Codice Privacy, in caso di decesso i diritti anzidetti riferiti ai Dati Personali dell’Interessato possono essere esercitati da chi ha un interesse proprio o agisce in sua tutela in qualità di mandatario, o per ragioni familiari meritevoli di protezione. L’Interessato può vietare espressamente l'esercizio di alcuni dei diritti sopraelencati da parte degli aventi causa inviando una dichiarazione scritta al Titolare all'indirizzo di posta elettronica del Responsabile della protezione dei dati. La dichiarazione potrà essere revocata o modificata in seguito nelle medesime modalità.
4.3. Fermo restando quanto precede, ai sensi degli articoli 2-undecies del Codice Privacy e 12 del Decreto Whistleblowing, i diritti di cui al punto 4.1. sopra non potranno essere esercitati qualora dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell'identità dell’Interessato che segnali una violazione di cui sia venuto a conoscenza in ragione del proprio rapporto di lavoro con Lidl o in ragione delle funzioni svolte per quest’ultima. Inoltre, qualora sussista il concreto rischio che la comunicazione delle informazioni indicate al precedente punto 4.1. possa compromettere le verifiche in corso o, in generale, il corretto svolgimento della Procedura di Segnalazione, il riscontro all’Interessato sarà fornito solo successivamente alla cessazione di tale rischio.
4.4. Per esercitare i diritti di cui ai punti 4.1. e 4.2. che precedono, l’Interessato potrà rivolgersi, in qualsiasi momento, al Responsabile della Protezione dei dati di Lidl contattabile tramite:
- email all’indirizzo privacyperte@lidl.it per gli Interessati che fanno parte di Lidl, o privacyit@lidl.it nel caso di Interessati esterni all’organizzazione, oppure
- lettera raccomandata A/R all’indirizzo Lidl Italia S.r.l. a socio unico, via Augusto Ruffo n. 36, 37040, Arcole (VR), all’attenzione dell’Ufficio Privacy.
La presente Informativa è aggiornata al 22.09.2023