Premessa

Il Regolamento (UE) 2016/679 («Regolamento generale sulla protezione dei dati», nel seguito GDPR) prevede la tutela delle persone fisiche con riferimento al trattamento dei dati personali. Secondo tale normativa il trattamento dei dati personali che si riferiscono ad un soggetto, nello specifico da definirsi “interessato”, è improntato ai principi di correttezza, liceità e trasparenza, nonché di tutela della riservatezza e dei diritti dell’interessato stesso.
Con la presente informativa si fa notare a ogni interessato, in osservanza della sopraccitata norma: base giuridica, finalità e modi di trattamento per ciascun gruppo di dati, acquisiti direttamente o indirettamente. Si distinguono quattro gruppi di dati: acquisiti presso l’azienda di riferimento, acquisiti presso l’interessato, whistleblowing e social. Per tutti e tre, Flaxia S.p.A. è titolare del trattamento.

1 – Titolare del trattamento

Titolare del trattamento, e responsabile dello stesso è Flaxia S.p.A., P.IVA 09640791217 con sede in Via Anfiteatro Laterizio 73, 80035 – Nola (NA).            
Dati di contatto:

• Email: info@flaxia.it
• Pec: flaxia@pec.flaxia.it
• Telefono: 081 8214305

2 – Dati acquisiti presso l’azienda di riferimento  

Nell’uso dell’app da parte dell’interessato, Flaxia S.p.A. adempie il proprio contratto con l’azienda di riferimento, ossia l’impresa (con qualunque forma giuridica si manifesti) per la quale l’interessato svolge le proprie prestazioni lavorative. Per questa categoria di dati, viene dunque in rilievo la base giuridica di trattamento di cui all’art. 6, let. c) del Regolamento (UE) 2016/679.      
I dati, conferiti dall’interessato nel corso del proprio rapporto contrattuale lavorativo con l’azienda di riferimento, saranno da questa caricati sull’app allo scopo di adempiere il contratto tra il titolare e l’azienda di riferimento. Il contratto di cui in parola prevede la fornitura di una soluzione informatica per la notifica di documenti e l’interazione con i propri dipendenti. Informazioni personali come: dati anagrafici dell’interessato, buste paga, contratti che lo riguardano et similia, sono caricati in piattaforma allo scopo ultimo di facilitare lo scambio di dati tra l’interessato e l’azienda per cui presta lavoro, tramite la mediazione del titolare. Per questo motivo, le modalità del trattamento consistono, in concreto, in:

• Conservazione dei dati presso il titolare per consentire all’utente la visione ed eventualmente il download;
• Comunicazioni tra l’interessato e altri esponenti dell’azienda di riferimento;
• Qualora l’azienda di riferimento utilizzi il sistema per il c.d. whistleblowing, si veda la relativa sezione.

I dati saranno conservati per dieci anni dal termine del contratto tra l’azienda di riferimento e l’interessato.

3 – Dati raccolti presso l’interessato

I dati relativi alla posizione dell’interessato potranno essere raccolti attraverso l’app, anche quando non eseguita (c.d. background), ai fini di un corretto svolgimento del rapporto di lavoro tra l’interessato e l’azienda di riferimento sotto il profilo dell’organizzazione aziendale. Infatti, i dati relativi alla geolocalizzazione saranno impiegati solo per finalità di controllo delle prestazioni lavorative e per l’organizzazione di personale e mezzi a disposizione dell’azienda per cui l’interessato presta servizio. Le modalità di trattamento relative a questa categoria di dati sono le seguenti:

• Raccolta dei dati presso l’interessato attraverso l’app, anche in background;
• Accesso ai dati da parte del soggetto preposto alla vigilanza/coordinamento del personale all’interno dell’azienda di riferimento.

I dati relativi alla geolocalizzazione dell’interessato saranno trattati solo se e fin quando consentito dall’interessato, integrando la base giuridica di trattamento di cui all’art. 6, let. a) del Regolamento (UE) 2016/679. Quanto alla revoca del consenso si osserva quanto disposto nel paragrafo “Diritti dell’interessato”.

4 – Whistleblowing

I dati raccolti nella sezione “segnalazioni” sono conferiti direttamente e spontaneamente dall’interessato in attuazione di un proprio diritto di segnalazione, previsto dall’attuale normativa vigente (d.lgs. 24/2023). Nel rispetto della succitata normativa, si fa presente all’interessato che la base giuridica del trattamento in analisi è tanto il conferimento spontaneo quanto l’adempimento di un obbligo legale. Conseguentemente, non sarà possibile “revocare” il conferimento spontaneo perché è precisa obbligazione del titolare quella di portare i dati al soggetto incaricato di gestire le segnalazioni. Questo soggetto (d’ora in avanti, il Gestore) avrà accesso ai dati relativi alle segnalazioni, secondo quanto stabilito nelle Procedure di Gestione delle Segnalazioni dell’azienda di riferimento, in accordo all’art. 5, co. 1, let. e) del citato decreto legislativo. I dati raccolti nella sezione segnalazioni comprendono:

• I dati conferiti dall’interessato circa episodi che ha vissuto, subìto, cui ha assistito o in cui è altrimenti coinvolto. Si sottolinea che questi dati possono contenere dati sensibili altrui, liberamente menzionabili dall’interessato (sempreché inerenti alla segnalazione) in virtù dell’art. 20, co. 1 del d.lgs. 24/2023.
• I dati relativi all’identità del segnalante, che saranno di norma criptati e resi pseudonimi, secondo la definizione del GDPR.

Tutti i dati non inerenti alla segnalazione saranno eliminati dal Gestore, in quanto unico legale responsabile della valutazione di inerenza, o non inerenza, delle informazioni contenute nella segnalazione rispetto all’obiettivo della stessa. La finalità del trattamento, per questa categoria di dati, è la denuncia di comportamenti scorretti avvenuti nel contesto aziendale, che possono includere illeciti disciplinari, amministrativi, contabili e penali.
Quanto alle modalità di trattamento è importante precisare che la pseudonimizzazione, la cui fonte legale è l’art. 12 del d.lgs. 24/2023, può venir meno nelle ipotesi contemplate dallo stesso articolo e qui sintetizzate: denuncia all’Autorità Giudiziaria in sede penale, nel qual caso l’identità sarà riservata nei modi e tempi di cui all’art. 329 c.p.p.; denuncia nei confronti dell’interessato, anche sulla base del codice disciplinare aziendale di riferimento, per abuso della procedura di segnalazione; denuncia alla Corte dei Conti, che conserverà la pseudonimizzazione del segnalante fino alla fine dell’istruttoria. In ogni caso non è indispensabile, come stabilito dal medesimo articolo del decreto, che il Gestore sia all’oscuro dell’identità del segnalante, che può richiedere al titolare e conoscere (sotto propria responsabilità), quando ciò sia funzionale alla propria istruttoria oppure all’adozione di provvedimenti contro l’interessato qualora abbia abusato del proprio diritto.         

5 – Social network

I dati acquisiti sui social network attraverso moduli contatti sono fondati sulla base giuridica del consenso in quanto spontaneamente forniti dall’interessato. I dati saranno trattati per finalità di marketing diretto, nelle seguenti modalità:

• Conservazione dei dati presso il titolare;
• Invio di comunicazioni commerciali tramite i contatti forniti;

I dati saranno conservati non oltre tre anni dal conferimento.

6 – Diritti dell’interessato

L’interessato ha, in qualsiasi momento, diritto ad accedere ai dati in possesso del titolare e controllare la loro esattezza, nonché, in caso di errori, rettificarne il contenuto. L’interessato ha altresì diritto a revocare in ogni momento il consenso attraverso una pec o email ai contatti di cui sopra, indicando in maniera chiara e inequivoca la volontà di revocare il consenso in relazione ad una o più, o tutte le, finalità del trattamento. L’interessato ha inoltre il diritto di chiedere la cancellazione dei dati presso il titolare, il quale provvederà ad eliminarli nel minor tempo possibile e comunque in ogni caso entro 72 ore dalla richiesta. In caso di violazioni del Regolamento (UE) 2016/679, l’interessato può, in ogni momento, rivolgersi ad un’autorità competente per la segnalazione dell’illecito. L’autorità italiana competente è il Garante per la Protezione dei Dati Personali, mentre l’autorità europea designata è il European Data Protection Board.