Agriplast ha cumplido con sus obligaciones de denunciar irregularidades.

Todos los tratamientos de datos personales resultantes de la denuncia de irregularidades estarán sujetos a la normativa obligatoria en materia de tratamiento de datos personales y no se prevé ninguna exención. El objetivo de confidencialidad de las denuncias se logra mediante el uso de software y plataformas dedicadas, ya presentes en el mercado de servicios de TI, ya que las obligaciones en términos de whistleblowing ya habían sido introducidas para el sector público desde 2001. Agriplast ha elegido la plataforma WhistleblowingSoftware que garantiza la confidencialidad de las denuncias y la conservación de todo documento de tipo textual o multimedia que el denunciante transmita al OdV (Organismo de Vigilancia), que es el único administrador de la plataforma de software. La plataforma también permite y almacena cada comunicación con intercambio de mensajes en chat cifrado entre el OdV y el denunciante. El responsable del tratamiento de datos de Agriplast Spa es el Rag. Salvatore Cascone n.q. de representante legal de Agriplast. El DPO (Delegado de Protección de Datos) es el Dr. Giuseppe Ridolfo, según lo especificado por una resolución especial del consejo de administración. El responsable del tratamiento de whistleblowing según el art. 28 del GDPR, como también se explica en el párrafo 6 del art. 13 del Decreto, es el proveedor del WhistleblowerSoftware, es decir, la plataforma que la empresa utiliza con el doble propósito de permitir denuncias escritas y orales. El responsable del tratamiento también es el Prof. Avv. Antonio Barone n.q. de administrador de la plataforma como gestor de los datos de las denuncias de whistleblowing y limitado a los aspectos de su competencia directa. Los datos tratados son archivos digitales de tipo multimedia y de texto. El tipo de datos es sensible.

A la luz de esto y en cumplimiento del principio de responsabilidad establecido por el GDPR, por lo tanto, la empresa se ha organizado internamente y ha adoptado las medidas de seguridad previstas para:

Garantizar la confidencialidad y seguridad de los datos tratados dentro de las denuncias recopiladas. Por lo tanto, en primer lugar, los datos del denunciante, pero también los datos de las personas objeto de las denuncias y de posibles terceros involucrados, proporcionando información adecuada sobre los tratamientos a los que son sometidos, como se indica explícitamente en el párrafo 4.

Asegurar que el responsable del tratamiento, en la elaboración de su modelo organizativo interno destinado a la gestión adecuada de las denuncias, adopte todas las medidas organizativas, informáticas y físicas para garantizar que los datos personales tratados no estén sujetos a riesgos de acceso no autorizado, pérdida o tratamiento ilegal, refiriéndose a las prescripciones del GDPR y, en particular, a lo prescrito por el art. 32.

Además, en cumplimiento de las normas del párrafo 6 del Decreto examinado, Agriplast ha realizado una evaluación de impacto (con software europeo específico), para verificar el impacto de estas actividades en la protección de datos regulada por el art. 35 del reglamento. La evaluación fue realizada por el DPO en un notebook de uso exclusivo del DPO. La plataforma de software elegida por Agriplast cumple con las normas del art. 14 del Decreto, en cuanto a las reglas en términos de conservación de las denuncias y, por lo tanto, también de conservación de los datos personales contenidos. Se indica como parámetro el tiempo necesario para el tratamiento de la denuncia y, en cualquier caso, no más de 5 años desde la fecha de comunicación del resultado de la denuncia. Esta previsión es coherente con el principio de privacy by default y de minimización del tratamiento de datos personales, que no admite la conservación perpetua. El Responsable del tratamiento ya ha previsto dentro de la plataforma de software elegida por Agriplast, la parametrización para la gestión de las denuncias incluyendo las políticas internas de eliminación de los datos personales tratados, gestionados, registrados y conservados, recordemos, en formato digital.

Los datos personales del denunciante pueden ser conocidos por el OdV, y la plataforma elegida por Agriplast permite la denuncia de forma anónima. Los datos no se difunden al exterior y pueden ser comunicados a terceros solo en los casos previstos por el art. 12 del decreto mencionado. El denunciante puede ejercer ante el Responsable del tratamiento – Agriplast Spa – Presidente y Director General - vía F.Bonetta 35 – 97019 VITTORIA (RG), correo electrónico amministrazione@agriplast.com - el derecho de acceso a los datos personales, así como los demás derechos reconocidos por la ley. El denunciante será informado y deberá dar su consentimiento al tratamiento de datos en una sección específica de la plataforma de whistleblowing, durante el desarrollo del proceso de denuncia.