Informativa sulla Privacy
ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018
Ultimo aggiornamento: marzo 2026
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali è:
- Grem SRL
- Sede legale: Via Matteo La Fragola, 4 — 84134 Salerno (SA)
- P.IVA: 06136730659
- Email: [email protected]
- PEC: [email protected]
2. Responsabile della Protezione dei Dati (DPO)
Il Titolare ha designato un Responsabile della Protezione dei Dati (Data Protection Officer), contattabile ai seguenti recapiti:
- Email: [email protected]
- PEC: [email protected]
L'interessato può rivolgersi al DPO per qualsiasi questione inerente al trattamento dei propri dati personali e all'esercizio dei diritti previsti dal GDPR.
3. Categorie di interessati e dati trattati
La piattaforma EasyWhistleblowing tratta dati personali di diverse categorie di soggetti, ciascuna con specifiche finalità e basi giuridiche.
3.1 Visitatori del sito web
Dati trattati:
- Dati di navigazione (tipo di browser, sistema operativo, pagine visitate, timestamp di accesso)
- Indirizzo IP (trattato in forma anonimizzata ove tecnicamente possibile)
- Cookie tecnici di sessione (cfr. Cookie Policy)
Nota: non vengono utilizzati cookie di profilazione né strumenti di tracciamento analitico.
3.2 Utenti registrati (amministratori e gestori delle segnalazioni)
Dati trattati:
- Dati identificativi: nome, cognome, indirizzo email
- Credenziali di autenticazione (password conservata in forma di hash crittografico)
- Dati dell'organizzazione: denominazione, settore di attività
- Dati di utilizzo della piattaforma: log di accesso, operazioni effettuate sulle segnalazioni
- Dati di fatturazione: dati fiscali, storico pagamenti (gestiti tramite Stripe in qualità di responsabile del trattamento)
3.3 Segnalanti (whistleblower)
Dati trattati:
- Contenuto della segnalazione (testo, allegati)
- Codice di tracciamento univoco e password per il follow-up
- Messaggi scambiati nella chat con il gestore della segnalazione
- Eventuali dati identificativi forniti volontariamente dal segnalante (la segnalazione anonima è pienamente supportata)
- File allegati alla segnalazione
Importante: la piattaforma non registra l'indirizzo IP del segnalante. I dati della segnalazione sono crittografati con algoritmo AES-256-GCM e non sono accessibili al personale tecnico di EasyWhistleblowing. La segnalazione anonima è pienamente supportata ai sensi dell'art. 6 del D.Lgs. 24/2023.
4. Finalità e basi giuridiche del trattamento
I dati personali sono trattati per le seguenti finalità, ciascuna supportata da una specifica base giuridica ai sensi dell'art. 6 del GDPR:
| Finalità | Base giuridica | Categoria di interessati |
|---|---|---|
| Navigazione del sito web e funzionamento tecnico | Legittimo interesse del Titolare (art. 6, par. 1, lett. f) GDPR) | Visitatori |
| Erogazione del servizio SaaS e gestione dell'account | Esecuzione del contratto (art. 6, par. 1, lett. b) GDPR) | Utenti registrati |
| Fatturazione e adempimenti fiscali | Obbligo legale (art. 6, par. 1, lett. c) GDPR) | Utenti registrati |
| Gestione delle segnalazioni di illeciti ai sensi del D.Lgs. 24/2023 | Obbligo legale (art. 6, par. 1, lett. c) GDPR) e legittimo interesse alla prevenzione di illeciti (art. 6, par. 1, lett. f) GDPR) | Segnalanti |
| Tutela della riservatezza dell'identità del segnalante | Obbligo legale (art. 12, D.Lgs. 24/2023) | Segnalanti |
| Comunicazione segnalante-gestore tramite chat | Obbligo legale (art. 5, D.Lgs. 24/2023 - obbligo di riscontro) | Segnalanti |
| Assistenza clienti e supporto tecnico | Esecuzione del contratto (art. 6, par. 1, lett. b) GDPR) | Utenti registrati |
| Difesa in giudizio dei diritti del Titolare | Legittimo interesse (art. 6, par. 1, lett. f) GDPR) | Tutti |
5. Modalità di trattamento e misure di sicurezza
Il trattamento dei dati personali avviene mediante strumenti informatici con logiche strettamente correlate alle finalità indicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati, ai sensi dell'art. 32 del GDPR.
In particolare, la piattaforma adotta le seguenti misure tecniche e organizzative:
- Crittografia at-rest AES-256-GCM: tutto il contenuto delle segnalazioni (testo, allegati, messaggi della chat) è crittografato a riposo con algoritmo AES-256 in modalità GCM (Galois/Counter Mode), garantendo sia la riservatezza che l'integrità dei dati.
- Nessuna registrazione dell'indirizzo IP: per i segnalanti non viene registrato né conservato l'indirizzo IP di origine, a tutela dell'anonimato tecnico.
- Crittografia in transito: tutte le comunicazioni tra client e server avvengono tramite protocollo TLS (HTTPS).
- Isolamento multi-tenant: i dati di ciascuna organizzazione sono logicamente isolati e non accessibili da altre organizzazioni clienti.
- Hashing delle credenziali: le password degli utenti registrati sono conservate in forma di hash crittografico non reversibile.
- Controllo degli accessi: l'accesso ai dati è regolato da sistemi di autenticazione e autorizzazione basati su ruoli.
- Backup crittografati: i backup sono effettuati con cadenza regolare e conservati in forma crittografata.
- Principio di minimizzazione: vengono raccolti esclusivamente i dati strettamente necessari alle finalità del trattamento, in conformità all'art. 5, par. 1, lett. c) del GDPR.
5bis. Valutazione d'impatto sulla protezione dei dati (DPIA)
Considerata la natura dei dati trattati — segnalazioni whistleblowing che possono contenere informazioni sensibili relative a presunte violazioni — il Titolare ha effettuato una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) ai sensi dell'art. 35 del GDPR.
La valutazione ha confermato che le misure tecniche e organizzative adottate (crittografia AES-256-GCM, assenza di registrazione dell'indirizzo IP, supporto alla segnalazione anonima, controllo degli accessi basato su ruoli) mitigano adeguatamente i rischi per i diritti e le libertà degli interessati.
La DPIA è soggetta a revisione e aggiornamento periodici, al fine di garantire la costante adeguatezza delle misure di protezione adottate rispetto all'evoluzione dei rischi e delle tecnologie.
6. Protezioni specifiche per i segnalanti (D.Lgs. 24/2023)
In conformità al Decreto Legislativo 10 marzo 2023, n. 24, di recepimento della Direttiva (UE) 2019/1937, la piattaforma garantisce le seguenti protezioni aggiuntive per i soggetti segnalanti:
- Riservatezza dell'identità (art. 12, D.Lgs. 24/2023): l'identità del segnalante e le informazioni da cui può evincersi, direttamente o indirettamente, non possono essere rivelate senza il consenso espresso dello stesso, salvo i casi previsti dalla legge. La piattaforma è progettata per garantire tale riservatezza sia a livello tecnico che organizzativo.
- Segnalazione anonima (art. 6, D.Lgs. 24/2023): la piattaforma supporta pienamente la segnalazione in forma anonima. Il segnalante non è obbligato a fornire dati identificativi e può seguire l'esito della segnalazione tramite un codice di tracciamento e una password.
- Divieto di ritorsione (art. 17, D.Lgs. 24/2023): il trattamento dei dati è finalizzato anche a garantire l'assenza di misure ritorsive nei confronti del segnalante.
- Limitazione dell'accesso (art. 12, comma 2, D.Lgs. 24/2023): l'accesso ai dati della segnalazione è riservato esclusivamente ai soggetti autorizzati alla gestione della segnalazione (gestori designati dall'organizzazione).
- Protezione dei dati delle persone coinvolte o menzionate (art. 13, D.Lgs. 24/2023): i dati personali delle persone indicate come presunti responsabili o comunque menzionate nella segnalazione sono trattati nel rispetto delle garanzie previste dalla normativa vigente.
7. Destinatari e trasferimenti di dati
7.1 Categorie di destinatari
I dati personali potranno essere comunicati alle seguenti categorie di soggetti:
- Hetzner Online GmbH (Germania) — hosting e infrastruttura cloud, server localizzati nell'Unione Europea
- Amazon Web Services EMEA SARL (Lussemburgo) — storage allegati (Amazon S3), server UE, dati crittografati AES-256-GCM
- Stripe, Inc. — servizi di pagamento, in qualità di responsabile del trattamento, limitatamente ai dati di fatturazione
- Aruba S.p.A. (Italia) — servizi email transazionali via SMTP, limitatamente a comunicazioni di servizio
- Autorità giudiziarie o di vigilanza, nei casi previsti dalla legge
- Soggetti autorizzati dal Titolare al trattamento dei dati (personale interno debitamente istruito)
Importante: il contenuto delle segnalazioni, essendo crittografato con chiave specifica dell'organizzazione, non è accessibile al personale tecnico di EasyWhistleblowing né ai fornitori di infrastruttura.
7.2 Sub-responsabili del trattamento
Il Titolare si avvale dei seguenti sub-responsabili del trattamento, nominati ai sensi dell'art. 28 del GDPR:
| Sub-responsabile | Finalità | Dati trattati | Localizzazione server | Garanzie |
|---|---|---|---|---|
| Hetzner Online GmbH (Germania) | Hosting infrastruttura e database PostgreSQL | Tutti i dati della piattaforma | UE (Falkenstein/Helsinki) | DPA ex art. 28 GDPR |
| Amazon Web Services EMEA SARL (Lussemburgo) | Storage allegati segnalazioni (Amazon S3) | File allegati (crittografati AES-256-GCM) | UE (eu-central-1 / eu-west-1) | DPA AWS ex art. 28 GDPR |
| Stripe, Inc. | Elaborazione pagamenti e fatturazione | Dati di fatturazione degli utenti registrati | UE (con possibile trasferimento verso USA) | DPF + SCC + DPA Stripe |
| Aruba S.p.A. (Italia) | Invio email transazionali via SMTP | Email degli utenti registrati | UE (Italia) | DPA Aruba ex art. 28 GDPR |
7.3 Trasferimenti di dati al di fuori dell'UE/SEE
I dati personali sono ospitati su server ubicati nell'Unione Europea. Tutti i sub-responsabili del trattamento, ad eccezione di Stripe, Inc., operano esclusivamente all'interno dell'Unione Europea.
Stripe, Inc. può trasferire dati personali verso gli Stati Uniti d'America sulla base delle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea, unitamente a un Data Processing Agreement conforme all'art. 28 del GDPR.
Qualora, in futuro, si rendesse necessario un ulteriore trasferimento verso Paesi terzi, questo avverrà esclusivamente in presenza delle garanzie previste dal Capo V del GDPR (artt. 44-49), quali decisioni di adeguatezza della Commissione Europea o Clausole Contrattuali Standard (SCC).
8. Periodo di conservazione dei dati
I dati personali sono conservati per il tempo strettamente necessario al raggiungimento delle finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e) GDPR).
| Categoria di dati | Periodo di conservazione |
|---|---|
| Dati di navigazione (log tecnici) | Massimo 90 giorni |
| Dati dell'account utente registrato | Per tutta la durata del rapporto contrattuale e per 10 anni successivi alla cessazione (obblighi civilistici e fiscali) |
| Dati di fatturazione | 10 anni dalla data di emissione della fattura (art. 2220 c.c. e normativa fiscale) |
| Dati delle segnalazioni (contenuto, allegati, chat) | 5 anni dalla data di comunicazione dell'esito finale della segnalazione, salvo che la documentazione non sia necessaria per l'accertamento di illeciti o la difesa in giudizio (art. 14, comma 1, D.Lgs. 24/2023) |
| Cookie tecnici di sessione | Durata della sessione di navigazione |
Decorsi i termini di conservazione, i dati saranno cancellati in modo sicuro e irreversibile o anonimizzati in forma non riconducibile all'interessato.
9. Diritti dell'interessato
Ai sensi degli articoli 15-22 del GDPR, l'interessato ha il diritto di:
- Accesso (art. 15): ottenere conferma dell'esistenza di un trattamento di dati personali che lo riguardano e accedere ai dati stessi.
- Rettifica (art. 16): ottenere la rettifica dei dati personali inesatti o l'integrazione di quelli incompleti.
- Cancellazione (art. 17): ottenere la cancellazione dei dati personali, nei casi previsti dal GDPR.
- Limitazione del trattamento (art. 18): ottenere la limitazione del trattamento nei casi previsti dal GDPR.
- Portabilità dei dati (art. 20): ricevere i dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico.
- Opposizione (art. 21): opporsi al trattamento dei dati personali basato sul legittimo interesse del Titolare.
- Revoca del consenso (art. 7): revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca.
Limitazioni specifiche per le segnalazioni whistleblowing
Ai sensi dell'art. 2-undecies del D.Lgs. 196/2003 e dell'art. 23 del GDPR, i diritti di cui agli artt. 15-22 del GDPR non possono essere esercitati con richiesta al Titolare, ovvero con reclamo ai sensi dell'art. 77 del GDPR, qualora dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell'identità del segnalante. Per le segnalazioni anonime, i diritti dell'interessato sono limitati alla natura del trattamento in quanto non è tecnicamente possibile identificare il soggetto.
Per esercitare i propri diritti, l'interessato può contattare:
- Il Titolare del trattamento: [email protected]
- Il DPO: [email protected]
Il Titolare fornirà riscontro entro 30 giorni dalla ricezione della richiesta, termine prorogabile di ulteriori 60 giorni in caso di complessità o elevato numero di richieste, ai sensi dell'art. 12, par. 3 del GDPR.
10. Diritto di reclamo all'autorità di controllo
L'interessato che ritenga che il trattamento dei propri dati personali avvenga in violazione del GDPR ha il diritto di proporre reclamo all'autorità di controllo competente, ai sensi dell'art. 77 del GDPR.
In Italia, l'autorità di controllo è il Garante per la Protezione dei Dati Personali:
- Sito web: www.garanteprivacy.it
- Email: [email protected]
- PEC: [email protected]
11. Cookie
La piattaforma utilizza esclusivamente cookie tecnici necessari al funzionamento del servizio (autenticazione e sessione utente). Non vengono utilizzati cookie di profilazione, analitici o di marketing.
Per informazioni dettagliate, si prega di consultare la Cookie Policy.
12. Natura del conferimento dei dati e conseguenze del rifiuto
Utenti registrati
Il conferimento dei dati necessari alla registrazione e all'erogazione del servizio è obbligatorio. Il mancato conferimento comporta l'impossibilità di fruire del servizio.
Segnalanti
Il conferimento dei dati identificativi da parte del segnalante è facoltativo. La piattaforma consente la segnalazione in forma completamente anonima. Il segnalante è libero di comunicare o meno la propria identità, senza che ciò pregiudichi la presa in carico della segnalazione.
13. Processi decisionali automatizzati
Il Titolare non adotta processi decisionali automatizzati, inclusa la profilazione, di cui all'art. 22, paragrafi 1 e 4, del GDPR.
14. Modifiche alla presente informativa
Il Titolare si riserva il diritto di apportare modifiche alla presente informativa in qualsiasi momento. Le eventuali modifiche saranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento. Si invitano gli utenti a consultare periodicamente questa pagina per prendere visione della versione più aggiornata dell'informativa.
Qualora le modifiche riguardino trattamenti basati sul consenso, il Titolare raccoglierà nuovamente il consenso dell'interessato, ove necessario.
15. Normativa di riferimento
- Regolamento (UE) 2016/679 (GDPR)
- Decreto Legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), come modificato dal D.Lgs. 10 agosto 2018, n. 101
- Decreto Legislativo 10 marzo 2023, n. 24 (Attuazione della Direttiva (UE) 2019/1937 riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione)
- Provvedimenti del Garante per la Protezione dei Dati Personali applicabili
Contatti
Per qualsiasi informazione relativa al trattamento dei dati personali:
- Titolare del trattamento: [email protected]
- DPO: [email protected]
- PEC: [email protected]