1. COLLECTE DU RAPPORT
Le dénonciateur entame les démarches de signalement conformément au règlement relatif à la dénonciation adopté par le contrôleur des données.
Le Lanceur d'alerte, au moyen d'un lien, accessible à l'URL https://www.iusprivacy.eu/whistleblowing/whistleblowing/902709961/700010126/FR/, situé au bas du site web du Responsable du traitement, accède à l'interface de la Plateforme de Lanceurs d'alerte, qui a été mise en place à cet effet, et effectue le Rapport.
Le journaliste peut, via l'interface de la plateforme :
formuler le rapport, en indiquant leur identification personnelle et leurs coordonnées ou, à défaut, ils peuvent formuler un rapport de manière anonyme ;
décrire en détail le comportement illicite dont il a eu connaissance dans l'exercice de ses fonctions, en répondant aux éléments requis par la plateforme de dénonciation qui sont utiles à l'enquête sur le rapport ou, alternativement, enregistrer et transmettre un fichier audio décrivant la violation ;
indiquer les sujets éventuels et fournir tout autre élément susceptible de contribuer à la vérification certaine de ce qui a été déclaré, en présentant également des documents (pièces jointes) ;
accéder, au moyen d'un mot de passe spécifique fourni au moment de la saisie, au rapport précédemment saisi afin de consulter l'état d'avancement de la violation signalée et/ou de lire/écrire les communications en provenance/à destination de l'OS autorisé.
Les données personnelles collectées lors de la saisie du rapport sont décrites ci-dessous :
2. GESTION DU GESTIONNAIRE DU SYSTÈME D'INFORMATION INTERNE
Au sein de la plateforme de dénonciation, le gestionnaire de dénonciation peut définir :
le résultat du rapport comme l'un des suivants : délivré, pris en charge, rejeté, trouvé et non fondé ;
le statut du rapport : à examiner, en cours d'examen, informations demandées, examen terminé.
Le GdS (Whistleblowing Manager) accède à la plate-forme de dénonciation, soit périodiquement, soit parce qu'il est notifié par le système d'alerte par courrier électronique, avec ses propres identifiants d'accès, en effectuant une double authentification via un OTP transmis à sa propre boîte aux lettres.
Rapport remis - Lorsque le lanceur d'alerte saisit un rapport, celui-ci est automatiquement annoté comme étant "remis" ; la plateforme fournit au lanceur d'alerte un message avec le résultat de la réception réussie du rapport (Réception du rapport), à la disposition et sous la garde exclusive du lanceur d'alerte, à utiliser comme mot de passe pour la consultation ultérieure du rapport.
Rapport pris en charge - Le SGD consulte le rapport reçu et le qualifie, lorsqu'il contient des éléments fiables, de "pris en charge" ; lorsque le rapport est pris en charge, la plate-forme de dénonciation génère un "avis de réception" (code alphanumérique).
Le déclarant peut prendre connaissance de l'accusé de réception en accédant, au moyen de son mot de passe d'accès ("Accusé de réception"), à l'accusé de réception et en vérifiant son statut.
La personne signalante peut, en accédant au système, examiner à tout moment l'état de l'alerte transmise.
Si le rapport est considéré comme fiable et "pris en charge", le SGD effectue toutes les activités d'enquête consistant à vérifier les faits rapportés par l'évaluation des éléments recueillis dans le rapport, ainsi que l'acquisition d'informations supplémentaires utiles pour une vérification efficace des faits afin d'établir si les conditions de légitimité de l'infraction rapportée sont remplies, et en garantissant la confidentialité de l'identité du déclarant.
Le gestionnaire de rapports fournit :
transmettre le dossier et les résultats de l'enquête à la direction de l'entreprise concernée, afin qu'elle puisse déterminer et prendre les mesures appropriées ;
informer le déclarant qu'une enquête est en cours en définissant le statut du traitement comme "En cours d'examen" ou "Demande d'informations" si l'OS demande des informations complémentaires au déclarant.
Le SMD peut identifier et utiliser des structures internes et/ou externes au responsable du traitement, qui s'engageront rapidement dans des activités de soutien, dans le respect des principes de protection et de confidentialité.
Rapport rejeté - Si le rapport ne présente pas d'éléments permettant de passer aux étapes suivantes, car il n'entre pas dans le champ d'application de la législation sur les dénonciations, le SGD qualifie le rapport de "rejeté" et fournit au dénonciateur des informations spécifiques sur la non-pertinence du rapport transmis.
Rapport fondé - Si les activités d'enquête révèlent un comportement illicite réel, la direction prendra les mesures appropriées prévues par le règlement sur la dénonciation adopté par le responsable du traitement des données. La direction du service d'alerte enregistrera dans la plate-forme d'alerte la raison pour laquelle le rapport est considéré comme "fondé" et le statut du traitement comme "examen terminé" si toutes les activités ont été menées à bien.
Rapport non fondé - Si les activités d'enquête ne permettent pas de confirmer le comportement illicite constaté dans le rapport, la direction prendra les mesures appropriées prévues par le règlement sur la dénonciation adopté par le responsable du traitement des données. La direction de la dénonciation enregistrera la raison dans la plateforme de dénonciation, définira le rapport comme "non fondé" et le statut du traitement comme "examen terminé" si toutes les activités ont été menées à bien.
Elle prévoit que l'OS doit fournir un retour d'information au rapporteur dans les trois mois suivant la date de l'accusé de réception ou - en l'absence d'un tel avis - dans les trois mois suivant la date d'expiration de la période de sept jours prévue pour un tel avis.
À cet égard, il convient de préciser qu'il n'est pas nécessaire de conclure l'activité d'évaluation dans le délai de trois mois, étant donné qu'il peut y avoir des cas qui nécessitent une période plus longue à des fins de vérification. Il s'agit donc d'une conclusion qui, à l'expiration du délai indiqué, peut être définitive si l'enquête est terminée ou de nature interlocutoire sur le déroulement de l'enquête, qui n'est pas encore terminée.
Par conséquent, à l'expiration des trois mois, le gestionnaire des alertes peut informer le rapporteur :
le dépôt du rapport, en précisant les raisons ;
le bien-fondé du rapport et sa transmission aux organes internes compétents ;
l'activité exercée jusqu'à présent et/ou l'activité qu'elle a l'intention d'exercer.
Dans ce dernier cas, il est conseillé d'informer également la personne déclarante du résultat final ultérieur de l'examen du rapport (archivage ou évaluation du bien-fondé du rapport avec transmission aux organes compétents), conformément à la LG de l'ANAC.
c. SUPPRESSION DES SIGNALEMENTS
La période de conservation est fixée à 5 ans à compter de la fin de la procédure d'évaluation du rapport collecté. Cette période a été fixée en référence aux dispositions de l'article 14 du décret législatif n° 24 / 2023.
Ceci est sans préjudice du droit du responsable du traitement d'utiliser, pour les allégations fondées et non fondées, les informations collectées avec le rapport afin de poursuivre la défense des droits en justice et/ou de donner lieu à d'éventuelles procédures disciplinaires.
La plateforme d'alerte affichera, pour chaque rapport, la date à partir de laquelle il sera possible de procéder à la suppression du rapport, qui sera toujours effectuée en mode manuel par le SG.
1. INTRODUCTION
L'Institut de Whistleblowing consiste en la possibilité donnée aux employés, ainsi qu'aux autres parties impliquées, de signaler d'éventuels délits et comportements irréguliers commis contre l'organisation, ci-après la « Société ».
Le présent Règlement a pour objet de réglementer la procédure de gestion des signalements d'infractions et de faire connaître les modalités avec lesquelles l'organisme, ci-après la « Société », garantit la protection du lanceur d'alerte, dit. lanceur d’alerte, prévu par la législation en vigueur en la matière.
La société Ro Technology CF: 11250391007 est une entreprise qui opère dans un contexte ouvert à la concurrence, dans le secteur [SETTORE].
La Société a nommé un Responsable Prévention de la Corruption et Transparence (le « R.P.C.T. ») (dont par exemple le nom et les références sont publiés sur le site institutionnel de la Société).
Conformément au décret législatif du 8 juin 2001, n. 231 et ses modifications ultérieures (« Discipline de la responsabilité administrative des personnes morales, des sociétés et des associations même sans personnalité juridique, conformément à l'article 11 de la loi n° 300 du 29 septembre 2000 ») (le « Décret législatif 231/2001 ») et d'autres réglementations en la matière, la Société a adopté à la fois un Code d'éthique et de conduite et ses mises à jour ultérieures (le « Code d'éthique ») et un Modèle d'organisation, de gestion et de contrôle et ses mises à jour ultérieures (le « M.O.G. ») et a nommé un Organe collégial de contrôle (l’« O.D.V. ») pour l’exercice des fonctions visées dans le décret législatif 231/2001.
2. CE QUE VOUS POUVEZ SIGNALER
Décret législatif no. 24/2023 établit que les informations sur les violations, y compris les soupçons fondés, de réglementations nationales et de l'Union européenne qui portent atteinte à l'intérêt public ou à l'intégrité de l'administration publique ou de l'entité privée, commises dans le cadre organisationnel de l'entité avec laquelle le déclarant a des relations juridiques et dont il a pris connaissance.
A titre d’exemple, peuvent faire l’objet du rapport :
Violations de la législation nationale ;
Infractions administratives, comptables, civiles ou pénales ;
Ccomportements illicites importants conformément au décret législatif du 8 juin 2001, n. 231 ;
Violations du droit de l'UE ;
Actes ou omissions portant atteinte aux intérêts financiers de l'Union européenne ;
Actes ou omissions concernant le marché intérieur qui compromettent la libre circulation des biens, des personnes, des services et des capitaux.
En outre, tous les éléments qui concernent des comportements visant à dissimuler les violations elles-mêmes peuvent faire l'objet du rapport.
Toute information apparaissant manifestement infondée, tombant dans le domaine public ou acquise par la « rumeur » est exclue du champ d'application objectif.
3. QUI PEUT SIGNALER
Les dispositions du décret législatif 24/2023 s'appliquent aux personnes qui signalent, signalent à l'autorité judiciaire ou comptable ou divulguent publiquement les violations dont elles ont connaissance dans le cadre de leur travail.
En particulier, les sujets qui peuvent signaler sont : (la liste doit respecter les sujets opérant au sein de l'entreprise)
Travailleurs salariés, y compris les travailleurs dont la relation de travail est régie par le décret législatif no. 81/2015 o Travailleurs qui effectuent des services occasionnels ;
Travailleur indépendant;
Les travailleurs indépendants qui effectuent leur travail pour des entités du secteur privé ;
Titulaires d'une relation de collaboration ;
Titulaires d'une relation de collaboration visée à l'art. 2 du décret législatif n. 81/2015. Il s'agit de collaborations organisées par le client qui prennent la forme d'un travail exclusivement personnel et continu dont les modalités d'exécution sont organisées par le client ;
Professionnels et consultants indépendants qui travaillent pour des entités du secteur privé ;
Bénévoles et stagiaires, rémunérés et non rémunérés ;
Actionnaires, personnes physiques, lorsqu'ils sont présents ;
Personnes exerçant des fonctions d'administration, de direction, de contrôle, de surveillance ou de représentation.
Les protections s’appliquent également si le signalement provient :
pour ceux qui n’ont pas de relation juridique, cela n’a pas encore commencé ;
par les Candidats si les informations sur les violations ont été acquises au cours du processus de sélection ou dans d'autres phases précontractuelles ;
par ceux qui sont en période probatoire ;
après la dissolution de la relation juridique si les informations sur les violations ont été acquises au cours de larelation elle-même.
Conformément à l'art. 3, paragraphe 5, du décret législatif 24/2023, la protection est reconnue non seulement au signaleur, mais également à tous les sujets qui, cependant, pourraient faire l'objet de représailles en raison du rôle assumé dans le processus de signalement.
En particulier, les mesures de protection visées dans le décret n° 24/2023 s'appliquent :
Facilitateurs ;
Personnes issues du même contexte professionnel avec une relation familiale jusqu'au quatrième degré et un lien affectif stable ;
Collègues de travail ayant une relation habituelle et actuelle dans le même contexte de travail ;
Entités détenues par la personne déclarante ou pour lesquelles la personne déclarante travaille ou qui opèrent dans le même contexte de travail.
4. RAPPORTS
4.1 MÉTHODES ET CANAUX DE RAPPORT
Comme l'exige le décret, les modalités de reporting sont les suivantes :
Canal interne : conformément à l'article 4, alinéa 2 du décret, le canal de reporting interne peut être géré aussi bien par une personne ou un service au sein de l'entité que par un tiers externe. Dans les deux cas, la personne qui gérera les signalements sera autonome et adéquatement formée.
Canal externe ANAC : le Reporteur peut effectuer un signalement externe, en utilisant le canal externe activé à cet effet au niveau de l'A.N.A.C. conformément à l'art. 7 du décret législatif 24/2023 et les lignes directrices de l'ANAC. 2023, où, au moment de sa présentation, l'une des conditions suivantes prévues par l'art. 6 du décret législatif 24/2023 : a déjà réalisé un rapport interne et celui-ci n'a pas eu de suite ; craint que le rapport n'entraîne un risque de représailles ou qu'il ne donne lieu à un suivi efficace; estime que la violation peut constituer un danger imminent ou évident pour l'intérêt public.
Divulgation publique : le lanceur d'alerte peut recourir à la divulgation publique par la presse ou les médias, les réseaux sociaux lorsque : il a déjà fait un signalement en interne et/ou à l'ANAC sans recevoir de réponse ; craint que le rapport puisse entraîner un risque de représailles ou qu'il ne puisse pas donner lieu à un suivi efficace en raison des circonstances spécifiques de l'affaire en question; estime que la violation peut constituer un danger imminent ou évident pour l'intérêt public.
Signalement : le décret reconnaît enfin également le droit du lanceur d'alerte de signaler directement aux autorités compétentes tout comportement illégal pouvant être considéré comme un délit.
Les rapports peuvent être établis sous forme écrite, par des moyens informatiques utilisant la plateforme appropriée, ou sous forme orale.
Les rapports internes sous forme orale peuvent être établis par le biais de lignes téléphoniques ou de systèmes de messagerie vocale ou, à la demande du déclarant, par le biais d'une réunion directe fixée dans un délai raisonnable.
4.2 CONTENU DU RAPPORT
Il est nécessaire que le rapport soit le plus détaillé possible afin de permettre aux parties compétentes de clarifier les faits.
De plus, il est nécessaire que le rapport contienne clairement :
les données personnelles ou autres éléments permettant l'identification de la personne à laquelle les faits signalés peuvent être attribués ;
les circonstances de temps et de lieu dans lesquelles l'événement signalé s'est produit ;
la description du fait ;
joindre des documents pouvant fournir des éléments de justification des faits rapportés ;
l’indication de témoins potentiels.
Si le rapport n'est pas suffisamment détaillé, celui qui gère les rapports pourra demander des éléments supplémentaires au rapporteur via la plateforme ou même en personne, si le rapporteur a demandé un rendez-vous personnel.
Les signalements dont il n'est pas possible de déduire l'identité du déclarant sont considérés comme anonymes. Les signalements anonymes, lorsqu'ils sont détaillés, sont assimilés aux signalements ordinaires et traités séquentiellement conformément aux dispositions du présent règlement.
4.3 PROCÉDURE DE SIGNALEMENT : LA PLATEFORME DE WhistleBlowing IusPrivacy
La Société a établi son propre canal interne grâce à l'utilisation de la plateforme de dénonciation IusPrivacy accessible depuis le site Internet [URL DU SITE WEB], ci-après « Plateforme de Reporting », dans laquelle, dans la section spécifique, sont publiées les instructions de formulation et de consultation des rapports.
5. PROTECTION DU JOURNALISTE
Le règlement sur les lanceurs d’alerte prévoit un ensemble de mesures visant à protéger le lanceur d’alerte.
Dans le détail, les mesures précitées constituent :
La protection de la confidentialité visant le rapporteur, l'animateur, la personne impliquée et les personnes mentionnées dans le rapport ;
Protection contre d'éventuelles représailles adoptées par l'entité en raison du signalement, de la divulgation publique ou de la plainte déposée et des conditions de son application ;
Les limitations de responsabilité en ce qui concerne la divulgation et la diffusion de certaines catégories d'informations qui fonctionnent sous certaines conditions.
5.1 Confidentialité
L'identité de la personne déclarante et toute autre information permettant de déduire, directement ou indirectement, cette identité ne peut être et ne sera pas révélée sans le consentement exprès de la personne déclarante à des personnes autres que celles compétentes pour recevoir ou donner suite à l'information. informations.
Comment est garantie la confidentialité du lanceur d’alerte :
dans le cadre d'une procédure pénale, l'identité du lanceur d'alerte est couverte par le secret dans les formes et limites fixées par l'article 329 du code de procédure pénale ;
Dans la procédure devant la Cour des comptes, l'identité du déclarant ne peut être révélée qu'après la clôture de la phase d'enquête préliminaire ;
dans le cadre de la procédure disciplinaire, l’identité du signalant ne peut être révélée. Si le litige repose, en tout ou partie, sur le rapport et que la connaissance de l'identité du déclarant est indispensable à la défense de l'accusé, le rapport ne sera utilisé aux fins de la procédure disciplinaire qu'en présence du consentement exprès de la personne déclarante à la révélation de son identité.
Afin de protéger l'identité du déclarant, la Société adopte des mesures de sécurité strictes décrites dans la section spécifique de la Plateforme de Signalement.
La confidentialité de toutes les personnes impliquées dans le rapport est également garantie.
La confidentialité est garantie aussi bien dans le cas de signalements internes qu'externes, effectués oralement par le biais de lignes téléphoniques ou, alternativement, de systèmes de messagerie vocale ou, à la demande de l'informateur, par le biais d'un entretien direct avec la personne qui traite le signalement.
La confidentialité du lanceur d'alerte est protégée même lorsque le signalement parvient à du personnel autre que ceux autorisés et compétents pour gérer les signalements, auxquels, en tout état de cause, ils doivent être adressés sans délai.
Le décret ne prévoit que 2 hypothèses dans lesquelles il est possible de révéler l'identité du déclarant. Dans ces cas, non seulement le consentement exprès de celui-ci est nécessaire mais également une communication écrite des raisons de cette divulgation.
Les deux hypothèses :
dans les procédures disciplinaires où la divulgation de l'identité du lanceur d'alerte est essentielle pour la défense de la personne contre laquelle l'accusation disciplinaire est contestée ;
dans les procédures engagées à la suite de rapports internes ou externes lorsque cette divulgation est également indispensable aux fins de la défense de la personne impliquée.
5.2 PROTECTION DE L'ANONYMAT
Pour protéger le lanceur d'alerte, la mesure d'anonymat est également prévue, c'est-à-dire que l'identité du lanceur d'alerte ne peut être révélée sans son consentement exprès.
Tous ceux qui reçoivent ou participent à la gestion des signalements sont tenus de protéger la confidentialité de ces informations.
5.3 PROTECTION CONTRE LES REPRÉSAILLES
Le décret prévoit, pour protéger le lanceur d'alerte, l'interdiction des représailles qui sont définies comme « tout comportement, acte ou omission, même s'il s'agit seulement d'une tentative ou d'une menace, réalisé à la suite du signalement, de la plainte auprès de l'autorité judiciaire ou du public ». divulgation et qui cause ou peut causer, directement ou indirectement, un préjudice injuste à la personne qui signale ou à la personne qui a déposé la plainte" (Décret législatif 24/2023, art. 2, paragraphe 1, lettre m).
La société xxx, dans le respect des dispositions réglementaires, participera activement à prévenir la manifestation de mesures de rétorsion comme à titre d'exemple et de manière non exhaustive :
a) licenciement, suspension ou mesures équivalentes ;
b) rétrogradation ou défaut de promotion ;
c) changement de fonctions, changement de lieu de travail, réduction de salaire, modification des horaires de travail ;
d) suspension de la formation ou toute restriction d'accès à celle-ci ;
e) notes d'inaptitude ou références négatives ;
f) l'adoption de mesures disciplinaires ou d'autres sanctions, y compris pécuniaires ;
g) la coercition, l'intimidation, le harcèlement ou l'ostracisme ;
h) discrimination ou autre traitement défavorable ;
i) non-transformation d'un contrat de travail à durée déterminée en contrat de travail à durée indéterminée, lorsque le travailleur avait une attente légitime d'une telle conversion ;
j) non-renouvellement ou rupture anticipée d'un contrat de travail à durée déterminée ;
k) dommages, y compris à la réputation de la personne, notamment sur les réseaux sociaux, ou préjudice économique ou financier, y compris perte d'opportunités économiques et perte de revenus ;
l) insertion dans des inscriptions inappropriées sur la base d'un accord sectoriel ou industriel formel ou informel, ce qui peut empêcher la personne de trouver un emploi dans le secteur ou l'industrie à l'avenir ;
m) résiliation anticipée ou annulation du contrat de fourniture de biens ou de services ;
n) annulation d'une licence ou d'un permis ;
o) demande de subir des examens psychiatriques ou médicaux.
5.4. LIMITATION DE RESPONSABILITÉ DES REPORTERS
L'art. 20 du décret réglemente l'étendue des limitations de responsabilité.
Cette mesure ne fonctionne que dans les cas où deux conditions sont réunies simultanément :
1. La première exige qu'au moment de la divulgation ou de la divulgation, il existe des motifs raisonnables de croire que les informations sont nécessaires pour découvrir la violation. Le journaliste doit donc croire que cette information est indispensable pour mettre en lumière la violation ;
2. Toutefois, la deuxième condition exige que le signalement, la divulgation publique ou la plainte ait été effectué dans le respect des conditions énoncées dans le décret législatif n. 24/2023 pour bénéficier d’une protection contre les représailles.
Les deux conditions, comme mentionné précédemment, doivent exister pour exclure la responsabilité.
Si elles sont satisfaites, les personnes qui signalent, signalent ou font une divulgation publique n'encourent aucun type de responsabilité civile, pénale, administrative ou disciplinaire.
5.5 CONDITIONS D'APPLICATION DES PROTECTIONS
Les mesures envisagées s’appliquent aux lanceurs d’alerte lorsque les conditions suivantes sont remplies :
les journalistes doivent raisonnablement croire que les informations sur les violations signalées sont véridiques (et non des suppositions, des rumeurs ou des nouvelles du domaine public) ;
la bonne foi du déclarant est protégée même en cas de déclaration inexacte due à des erreurs réelles (manque de connaissance des règles légales) ;
le déclarant doit clairement indiquer dans l’objet du signalement qu’il s’agit d’un signalement d’alerte ; pour constituer des représailles, il doit y avoir un lien étroit ou une conséquence entre le signalement et l'acte défavorable subi directement ou indirectement par le journaliste ;
le rapport doit être effectué conformément aux dispositions du chapitre II du décret législatif. 24 de 2023 et décrit dans les points précédents 4.1, 4.2, 4.3.
6. MANUEL D'UTILISATION DE LA PLATEFORME
Les instructions pour formuler un rapport ainsi que les modalités de leur consultation sont reportées dans la rubrique spécifique publiée sur la plateforme web.
Par ce document (« Informations ») le Responsable de traitement, tel que défini ci-dessous, souhaite vous informer sur les finalités et les modalités du traitement de vos données personnelles et sur les droits qui vous sont reconnus par le Règlement (UE) 2016/679 relatif à la protection des données personnelles. personnes physiques, au regard du traitement des données personnelles ainsi que de leur libre circulation (« RGPD »). Ces informations peuvent être intégrées par le responsable du traitement si les services supplémentaires que vous demandez impliquent un traitement ultérieur.
1. RESPONSABLE DU TRAITEMENT DES DONNÉES
Ro Technology CF: 11250391007, via dei Mamili 11 Roma 00175 (Roma), tel: 06 2112 8876, email: hr@rotechnology.it
2. Délégué à la protection des données/DPD
Email: [RECAPITO DPO]
3. TYPES DE DONNÉES TRAITÉES
Les traitements effectués visent à acquérir les données personnelles suivantes :
Données communes : données personnelles.
Données judiciaires : données relatives aux plaintes pénales et aux condamnations pénales.
Données spéciales : si elles sont fournies par le déclarant, elles concernent l'état de santé, l'orientation sexuelle, l'appartenance syndicale, les convictions religieuses, etc.
4. CATÉGORIES DE PARTIES INTÉRESSÉES
Les activités de traitement réalisées s'adressent aux catégories suivantes d'intéressés : personne déclarante, personnes signalées, facilitateurs, sujets impliqués dans le signalement.
5. OBJECTIF DU TRAITEMENT ET CONDITION QUI REND LE TRAITEMENT LÉCIAL
à. Système de signalement des alertes
La dénonciation est un acte par lequel un individu (reporteur), souvent un employé d'une organisation, signale ou signale des informations confidentielles ou un comportement illicite ou incorrect au sein de l'organisation elle-même, ou à une autorité externe compétente, afin de faire connaître la conduite illicite présumée. dont il a pris connaissance en raison de sa relation de travail avec le responsable du traitement et commis par les sujets qui, à divers titres, interagissent avec le même déclarant, afin d'effectuer les activités de vérification nécessaires des informations couvertes par le rapport.
Vos données personnelles seront traitées aux fins suivantes :
Finalité du traitement : i) pour l'accomplissement des obligations prévues : par les lois nationales et européennes et par les dispositions des organismes de surveillance et de contrôle ou par d'autres autorités légitimées à cet effet, Décret législatif n. 231/2001, réglementation de la responsabilité administrative des personnes morales, sociétés et associations même sans personnalité juridique, décret législatif. 10 mars 2023, n. 24 en application de la directive (UE) 2019/1937 ; ii) permettre les signalements d'alerte, vérifier la validité, la pertinence et la pertinence des faits et circonstances signalés afin d'adopter, le cas échéant, toute mesure conséquente, y compris disciplinaire, jugée nécessaire ou appropriée en vertu de la loi.
Condition de licéité du traitement : Obligation légale - Article 6, c.1, let. c. RGPD, Intérêt légitime - Art. 6, c.1, let. F. RGPD.
Nature de la fourniture : pour le déclarant, la fourniture des éléments du signalement est obligatoire, même sous forme anonyme ; le fait de ne pas le fournir ne permet pas la rédaction du rapport. Outre les informations fournies par le déclarant, les données personnelles des sujets signalés pourraient être impliquées dans le processus de signalement.
Durée de conservation des données personnelles : vos données Les rapports internes et externes ainsi que la documentation y afférente sont conservés pendant la durée nécessaire au traitement du signalement et en tout état de cause au plus tard 5 ans à compter de la date de communication du résultat final de la procédure de reporting, conformément des obligations de confidentialité visées dans la législation européenne et nationale en matière de protection des données personnelles.
b. Défense devant et hors tribunal, y compris dans le cadre des relations de travail.
Vos données personnelles peuvent être traitées pour connaître, exercer ou défendre les droits du responsable du traitement dans le cadre de procédures judiciaires et extrajudiciaires, y compris dans les relations de travail.
Condition de licéité du traitement : Intérêt légitime - Article 6, c.1, let. F. RGPD
Finalité du traitement : i) Exercice de la défense du Responsable du traitement en matière judiciaire et extrajudiciaire, également dans les relations de travail ; ii) Traitement de données particulières, y compris celles des salariés, pour faire valoir ou défendre un droit, y compris celui d'un tiers, dans le cadre d'une procédure judiciaire, ainsi que dans une procédure administrative ou dans des procédures d'arbitrage et de conciliation, dans les cas prévus par le les lois, les règlements de l'Union européenne, les règlements ou les conventions collectives.
Nature de la prestation : L'utilisation des données personnelles est strictement nécessaire à toute défense judiciaire et extrajudiciaire.
Durée de conservation des données personnelles : Les données personnelles seront utilisées pendant une durée n'excédant pas celles requises par la loi et en tout état de cause jusqu'à l'épuisement des délais de recours et au plus tard à la conclusion du jugement.
Modalités de traitement : Le traitement est effectué principalement avec des outils informatiques et papier.
c. Gestion des systèmes informatiques
Les données personnelles sont utilisées, dans l'intérêt légitime du responsable du traitement et des parties intéressées, pour gérer la sécurité des infrastructures technologiques (IT).
Finalité du traitement : Gestion des systèmes informatiques, y compris la gestion de l'infrastructure, la continuité des activités et la sécurité informatique.
Nature de la prestation : Obligatoire - L'opposition au traitement peut entraîner l'impossibilité pour le Responsable du traitement de fournir le service souhaité.
Durée de conservation des données personnelles : vos informations personnelles sont conservées pendant toute la durée nécessaire à la fourniture des services ainsi qu'à garantir l'exercice ou la défense des droits.
Modalités de traitement : Le traitement est effectué à l'aide d'outils informatiques.
Condition de licéité du traitement : Intérêt légitime - Article 6, c.1, let. F. RGPD
6. TRANSFERT DE DONNÉES HORS UE
Les données personnelles sont traitées exclusivement au sein de l'Union européenne
7. DESTINATAIRES DU TRAITEMENT
Responsable du traitement : fournisseurs de services d'hébergement, services de maintenance du système TIC.
Personne désignée pour le traitement (interne) : RPCT, responsables des déclarations.
Responsable de traitement indépendant : ANAC, Autorité Judiciaire.
8. DROITS DE L'INTÉRESSÉ - RÉCLAMATION À L'AUTORITÉ DE CONTRÔLE
En ce qui concerne le traitement décrit dans ces Informations, en tant que partie intéressée, vous pouvez, dans les conditions établies par le RGPD, exercer les droits établis par les articles 15 à 22 du RGPD et, notamment, les droits suivants :
droit d'accès – article 15 RGPD : droit d’obtenir la confirmation du traitement ou non des données personnelles vous concernant et, dans ce cas, d’obtenir l’accès à vos données personnelles ;
droit de rectification – article 16 RGPD : droit d’obtenir, sans délai injustifié, la rectification des données personnelles inexactes vous concernant et/ou l’intégration de données personnelles incomplètes ;
droit de rétractation (droit à l’oubli) – article 17 RGPD : droit d’obtenir, sans délai injustifié, la suppression des données personnelles vous concernant. Le droit à l'effacement ne s'applique pas dans la mesure où le traitement est nécessaire à l'exécution d'une obligation légale ou à l'exécution d'une mission d'intérêt public ou à la constatation, l'exercice ou la défense d'un droit en justice ;
droit de limiter le traitement – article 18 RGPD : droit d'obtenir la limitation du traitement, lorsque : a) l'intéressé conteste l'exactitude des données personnelles ; b) le traitement est illicite et l'intéressé s'oppose à la suppression des données personnelles et demande plutôt que leur utilisation soit limitée ; c) les données personnelles sont nécessaires à l'intéressé pour constater, exercer ou défendre un droit en justice ; d) l'intéressé s'est opposé au traitement en attendant la vérification de l'éventuelle prédominance des raisons légitimes du responsable du traitement par rapport à celles de l'intéressé ;
droit à la portabilité des données – article 20 RGPD : droit de recevoir, dans un format structuré, couramment utilisé et lisible par un appareil automatique, les données personnelles vous concernant fournies au responsable du traitement et droit de les transmettre à un autre responsable du traitement sans obstacles, si le traitement est basée sur le consentement et effectuée par des moyens automatisés. En outre, le droit de faire transmettre vos données personnelles directement de ce propriétaire à un autre propriétaire si cela est techniquement réalisable ;
droit d'opposition – article 21 RGPD : droit de s’opposer, à tout moment, au traitement des données personnelles vous concernant fondé sur la condition de légitimité d’un intérêt légitime, y compris le profilage, sauf s’il existe des raisons légitimes pour le responsable du traitement de poursuivre le traitement qui prévalent sur le intérêts, sur les droits et libertés de l'intéressé ou pour l'appréciation, l'exercice ou la défense d'un droit en justice ;
droit de ne pas être soumis à une prise de décision automatisée – Article 22 RGPD : l'intéressé a le droit de ne pas être soumis à une décision fondée uniquement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques le concernant ou qui l'affecte de manière significative de manière similaire, à moins que cela ne soit nécessaire pour la conclusion ou exécution d’un contrat ou si vous avez donné votre consentement. En tout état de cause, un processus de décision automatisé ne peut concerner vos données personnelles et vous pourrez à tout moment obtenir une intervention humaine du responsable du traitement, exprimer votre avis et contester la décision.
L'intéressé peut également introduire une réclamation auprès de l'Autorité Garante pour la protection des données personnelles :http://www.garanteprivacy.it ainsi que révoquer le consentement donné à toute occasion et avec la même facilité avec laquelle il a été fourni, sans préjudice de la licéité du traitement basé sur le consentement donné avant la révocation.
Les droits ci-dessus peuvent être exercés à l'encontre du Propriétaire en contactant les références indiquées ci-dessus.
L'exercice de vos droits en tant qu'intéressé est libre conformément à l'article 12 du RGPD. Toutefois, en cas de demandes manifestement infondées ou excessives, également en raison de leur répétitivité, le Propriétaire peut facturer des frais raisonnables, compte tenu des frais administratifs engagés pour gérer votre demande, ou refuser de donner satisfaction à votre demande.
Enfin, nous vous informons que le Responsable du traitement pourra demander des informations complémentaires nécessaires pour confirmer l'identité de l'intéressé.
Version 1.0 du 11/07/2023
1. DÉFINITIONS
Afin de mieux comprendre les mesures de sécurité, quelques définitions sont décrites ci-dessous :
"Pare-feu» : Un pare-feu est un composant de sécurité réseau qui sert de barrière entre un réseau interne ou privé et un réseau externe ou public. Il examine le trafic réseau entrant et sortant et décide d'autoriser ou de bloquer certaines communications en fonction d'un ensemble de règles prédéfinies. Les règles de pare-feu précisent quels paquets de données sont autorisés ou rejetés en fonction de critères tels que les adresses IP, les ports, les protocoles, etc. dans cette évaluation, la version et le nom du pare-feu utilisé sont omis afin d'éviter la diffusion d'informations potentiellement précieuses à des tiers ;
Firewall d'applications Web («WAF») : un pare-feu d'application Web est un appareil ou une application logicielle qui se situe entre une application Web et le trafic réseau entrant. Sa tâche principale est de détecter, filtrer et bloquer des cybermenaces spécifiques ciblant les applications Web, telles que les attaques par injection SQL, le cross-site scripting (XSS), la falsification de requêtes inter-sites (CSRF) et autres ; dans cette évaluation, la version et le nom du WAF utilisé sont omis afin d'éviter la diffusion d'informations potentiellement précieuses à des tiers ;
Clé de cryptage: Pour utiliser l'algorithme AES, vous devez spécifier une clé de cryptage. Cette clé est une chaîne secrète utilisée pour crypter et déchiffrer les données. Il est important de protéger cette clé avec le plus grand soin, car un accès non autorisé pourrait compromettre la sécurité de vos données.
2. MESURES POUR GARANTIR LA CONFIDENTIALITÉ DES INFORMATIONS
RÔLES D'ACCÈS SPÉCIFIQUES: l'accès au Logiciel est réservé exclusivement au personnel autorisé (en charge et responsable du traitement) en possession d'identifiants d'accès spécifiques et individuels également par le biais d'une désignation spécifique comme l'exige la législation en vigueur sur la confidentialité ;
ACCÈS ADMINISTRATEUR SYSTÈME : uniquement toujours via une connexion protégée utilisant le protocole SSH à partir d'IP expressément autorisées ;
PARE-FEU: Présence d'un pare-feu qui filtre le trafic réseau, y compris les règles d'entrée, de sortie et de transfert ;
WAFpour la protection contre les vulnérabilités des applications Web : le WAF détecte et protège contre les vulnérabilités courantes des applications Web, telles que l'injection SQL, les scripts intersites (XSS), la falsification de requêtes intersites (CSRF) et de nombreuses autres attaques Web ;
WAFpour bloquer les requêtes malveillantes, y compris l'analyse de la réputation IP : le WAF détecte et bloque automatiquement les requêtes HTTP malveillantes ou suspectes avant qu'elles n'atteignent l'application Web. Cela inclut la protection contre les robots malveillants, les scanners de vulnérabilités et les attaques par force brute ;
WAF pour le contrôle du trafic : le WAF analyse le trafic HTTP entrant et sortant pour identifier les activités suspectes ou les comportements anormaux. Cela vous permet d'identifier et d'atténuer les menaces en temps réel ;
WAF pour la détection DDoS, WAF inclut également une protection contre le déni de service distribué (DDoS) qui peut aider à atténuer les attaques DDoS contre votre serveur Web ;
ANALYSE CONTINUE DES JOURNAUX afin de détecter toute attaque par injection SQL ou XSS ;
Développement de logiciels selon les meilleures pratiques, également grâce à l'utilisation de PreparedStatement en Java, afin de prévenir d'éventuelles attaques par injection SQL et/ou XSS ;
Accès autorisé au SISR après double authentification avec code temporaire (OTP) ;
Chiffrement des informations des Rapports, enregistrées dans la base de données, à l'aide de l'algorithme de cryptage AES et d'une clé de cryptage spécifique ;
Chiffrement de la sauvegarde des Rapports : les fichiers de sauvegarde sont générés à partir d'enregistrements dont les données ont été renseignées sous forme cryptée ; par conséquent, la sauvegarde des rapports contient des enregistrements sous forme cryptée.
JOURNAL DE NAVIGATION:
enregistrement des journaux d'opérations du personnel responsable de la gestion du système de reporting ;
enregistrement des journaux de navigation exclusivement dans le but d'intercepter les cyberattaques et de supprimer immédiatement l'enregistrement d'un signalement ;
"Clé de cryptage", créé avec l'algorithme SHA2
il est composé d'une partie fixe située dans une section protégée du serveur web et d'une partie « dynamique » calculée exclusivement au moment de l'insertion du rapport ;
il est donc distinct pour chaque Rapport ;
il n'est accessible à personne, il n'est ni accessible au responsable du traitement des données et/ou ni accessible aux fournisseurs et/ou aux parties autorisées ;
il est créé automatiquement lors de la saisie ou de la consultation du Rapport par le SISR ;
Il est possible de reconstruire la Clé de Chiffrement à la demande expresse du Responsable du Traitement, toujours dans le respect de la réglementation en vigueur ;
Cryptage des données en transit depuis le Serveur Plateforme vers le client grâce au protocole SSL/TLS qui empêche des tiers non autorisés d'intercepter et de lire le contenu des communications. SSL/TLS utilise des algorithmes de cryptage avancés tels que RSA, DHE (Diffie-Hellman Ephemeral) et ECC (Elliptic Curve Cryptography) pour protéger les données.
3. MESURES POUR GARANTIR LA DISPONIBILITÉ ET L'INTÉGRITÉ DES DONNÉES
Base de données distribuée, alignés en temps réel sur des clusters avec nœud maître situés sur deux datacenters différents : ServerPlan et Replica sur Aruba ;
CDP de sauvegarde, réalisé via le logiciel "R1Soft CDP", effectue une sauvegarde incrémentielle de l'intégralité du disque de la machine et placée sur des machines autres que celle de production ;
Sauvegarde FTP, à la fois l'application et la base de données, transférées sur une machine autre que celle de production.
4. FOURNISSEURS (RESPONSABLES DU TRAITEMENT DES DONNÉES) INFRASTRUCTURES TECHNOLOGIQUES
Les fournisseurs ont été désignés comme sous-traitants conformément à l'art. 28 du Règlement UE 679/2016.
LOGICIEL -La plateforme WhistleBlowing IusPrivacy est une technologie entièrement développée et détenue par WRP srl. La plateforme de dénonciation ne dérive pas d'applications open source et a été créée en langage JAVA, allouée sur le servlet Container Tomcat. Les données et informations personnelles sont enregistrées dans les bases de données MySql.
Java est conçu en mettant l'accent sur la sécurité. La JVM impose des restrictions strictes sur l'accès à la mémoire et aux bases de données et offre des mécanismes de sécurité tels que la gestion des exceptions, qui aident à prévenir de nombreux types d'erreurs et de vulnérabilités courantes. Tomcat est un serveur Web Java EE qui prend en charge les servlets et JSP (JavaServer Pages). Ces composants offrent une grande flexibilité dans la gestion de la logique côté serveur des applications Web.
MATÉRIEL- L'application est hébergée sur des serveurs cloud du fournisseur ServerPlan sous OS Unix/Linux, c'est la solution qui permet d'obtenir rapidement un hébergement performant avec des ressources évolutives. Le Serveur Cloud est une machine qui, grâce au processus de virtualisation, parvient à partager ses ressources en termes de RAM, d'espace et de processeur avec d'autres machines.
Le serveur cloud adopte des disques d'entreprise NVMe SSD qui garantissent les meilleures performances pour l'application. La solution Cloud Server est allouée sur une infrastructure cloud redondante avec migration vers un autre nœud si nécessaire et sans aucune interruption du service.
INFRASTRUCTURE -La plateforme est située sur le centre de données de ServerPlan en Italie : l'infrastructure est créée avec des produits de niveau entreprise et une technologie certifiée. ServerPlan et Aruba adoptent les meilleures solutions disponibles sur le marché pour toujours garantir les plus hautes performances en termes de vitesse, de stabilité et de sécurité.
Serverplan garantit une disponibilité de 99,95 % pour la connectivité de tous les systèmes et garantit que tous les périphériques de routage sont accessibles. Certains événements non garantis par le SLA peuvent survenir, comme par exemple une maintenance planifiée du réseau. Dans ce cas, l'utilisateur recevra une notification par e-mail lui indiquant la date fixée pour l'intervention.
Afin d'offrir des standards élevés de sécurité et de disponibilité des services, la Plateforme de Dénonciation est entièrement répliquée sur un serveur, différent de celui de Serverplan, du fournisseur Aruba S.p.A.