Política de Privacidad

1. Introducción

La presente política describe cómo Whistlesblow (nombre comercial de True Solutions S.r.l.) recopila, utiliza y protege la información personal de los usuarios del servicio de denuncias. Esta política se emite de conformidad con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), así como la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

2. Responsable del tratamiento

El responsable del tratamiento de los datos personales es True Solutions S.r.l., con domicilio social en Foro Buonaparte 59, 20121 Milán (MI), Italia. Para los datos tratados en el ámbito de las denuncias de irregularidades, la empresa cliente es Responsable del Tratamiento de conformidad con el art. 4(7) RGPD. True Solutions S.r.l. actúa como Encargado del Tratamiento de conformidad con el art. 28 RGPD, según el nombramiento disponible en /nomina-responsabile. Para cualquier comunicación relativa al tratamiento de datos personales, puede contactar al Responsable en la dirección de email indicada en la sección "Contactos" de esta política o al número de teléfono indicado.

3. Datos personales recopilados

En el marco de la prestación del servicio de denuncias, Whistlesblow puede recopilar y tratar las siguientes categorías de datos personales:

• Datos identificativos: nombre, apellidos, dirección de correo electrónico, número de teléfono (si son proporcionados voluntariamente por el denunciante)
• Datos relativos a las denuncias: contenido de las denuncias, documentos y archivos adjuntos, información relativa a los hechos denunciados, comunicaciones entre el denunciante y los responsables de la gestión de las denuncias
• Datos técnicos y de navegación: dirección IP, tipo de navegador, sistema operativo, fecha y hora de acceso, páginas visitadas, duración de la sesión, posibles errores encontrados durante la navegación
• Datos de registro y administración: credenciales de acceso (nombre de usuario, contraseña cifrada), datos relativos a la cuenta empresarial (razón social, NIF, dirección, datos de facturación), roles y permisos de los usuarios administradores
• Datos de utilización del servicio: estadísticas de uso de la plataforma, preferencias de configuración, registros de las actividades realizadas en la plataforma

4. Finalidades y base jurídica del tratamiento

Los datos personales se tratan para las siguientes finalidades y sobre la base de las correspondientes bases jurídicas:

• Prestación del servicio de denuncias: gestión de las denuncias, comunicación con los denunciantes, gestión del proceso de denuncias conforme a la Ley 2/2023. Base jurídica: ejecución de un contrato (art. 6, apartado 1, letra b) RGPD) y cumplimiento de obligaciones legales (art. 6, apartado 1, letra c) RGPD)
• Garantizar el anonimato y la confidencialidad de los denunciantes: protección de la identidad de los denunciantes anónimos, implementación de medidas de seguridad para prevenir la revelación de la identidad. Base jurídica: cumplimiento de obligaciones legales (art. 6, apartado 1, letra c) RGPD y Ley 2/2023)
• Gestión administrativa y contable: facturación, gestión de pagos, cumplimientos fiscales y contables. Base jurídica: ejecución de un contrato y cumplimiento de obligaciones legales (art. 6, apartado 1, letras b) y c) RGPD)
• Comunicación y soporte: respuesta a solicitudes de información, asistencia técnica, envío de comunicaciones relativas al servicio. Base jurídica: ejecución de un contrato (art. 6, apartado 1, letra b) RGPD)
• Mejora del servicio y análisis estadísticos: análisis del uso de la plataforma para mejorar los servicios ofrecidos, desarrollo de nuevas funcionalidades. Base jurídica: interés legítimo del responsable (art. 6, apartado 1, letra f) RGPD), previa evaluación de ponderación de intereses
• Cumplimientos legales y defensa en juicio: cumplimiento de obligaciones previstas por la normativa aplicable, defensa de los propios derechos en sede judicial. Base jurídica: cumplimiento de obligaciones legales (art. 6, apartado 1, letra c) RGPD) e interés legítimo (art. 6, apartado 1, letra f) RGPD)

5. Base jurídica del tratamiento

El tratamiento de los datos personales se fundamenta en las siguientes bases jurídicas previstas en el art. 6 del RGPD: (a) consentimiento del interesado, (b) ejecución de un contrato o de medidas precontractuales, (c) cumplimiento de una obligación legal, (f) persecución de un interés legítimo del responsable. En cuanto a los datos de las denuncias de irregularidades, el tratamiento es necesario para el cumplimiento de las obligaciones previstas por la Ley 2/2023 y la normativa aplicable en materia de protección de informantes.

6. Período de conservación de los datos

Los datos personales se conservan durante el tiempo estrictamente necesario para la consecución de las finalidades para las que fueron recopilados, respetando los plazos de conservación previstos por la normativa aplicable. En particular: (a) los datos relativos a las denuncias de irregularidades se conservan por el período previsto por la Ley 2/2023 y en todo caso por un período no inferior al necesario para la gestión y conclusión del procedimiento relativo a la denuncia; (b) los datos de registro y administración se conservan durante toda la duración de la relación contractual y posteriormente por los plazos previstos por la normativa fiscal y civil (generalmente 10 años); (c) los datos de navegación y técnicos se conservan por un período máximo de 24 meses; (d) los datos relativos a las comunicaciones de soporte se conservan por un período máximo de 3 años desde la fecha de la última comunicación. Al término del período de conservación, los datos personales serán eliminados o anonimizados de forma segura e irreversible.

7. Derechos del interesado

De conformidad con los arts. 15-22 del RGPD y la LOPDGDD, el interesado tiene derecho a:

• Obtener la confirmación de la existencia o no de datos personales que le conciernen y el acceso a los mismos (derecho de acceso, art. 15 RGPD)
• Solicitar la rectificación de los datos personales inexactos o la complementación de los incompletos (derecho de rectificación, art. 16 RGPD)
• Solicitar la supresión de los datos personales cuando concurran las condiciones previstas por la ley (derecho al olvido, art. 17 RGPD), sin perjuicio de que para los datos relativos a las denuncias de irregularidades puedan aplicarse limitaciones específicas previstas por la Ley 2/2023
• Solicitar la limitación del tratamiento en los casos previstos por la ley (art. 18 RGPD)
• Recibir los datos personales en un formato estructurado, de uso común y legible por dispositivo automático y transmitirlos a otro responsable sin impedimentos (derecho a la portabilidad de los datos, art. 20 RGPD)
• Oponerse en cualquier momento al tratamiento de los datos personales por motivos relacionados con la situación particular del interesado (art. 21 RGPD)
• Revocar el consentimiento en cualquier momento, sin perjuicio de la licitud del tratamiento basado en el consentimiento prestado antes de la revocación (art. 7, apartado 3, RGPD)
• Presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) cuando considere que el tratamiento de sus datos personales vulnera la normativa aplicable

8. Medidas de seguridad

Whistlesblow adopta medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, a fin de proteger los datos personales contra la destrucción accidental o ilícita, la pérdida, la modificación, la divulgación o el acceso no autorizado. Tales medidas incluyen, a título ejemplificativo: (a) cifrado de los datos sensibles, en particular de las denuncias y de las comunicaciones; (b) autenticación de dos factores (2FA) para las cuentas administrativas; (c) acceso a los datos basado en el principio del "mínimo privilegio necesario"; (d) registro y monitorización de los accesos a los datos (logging); (e) copias de seguridad regulares y procedimientos de recuperación ante desastres; (f) actualizaciones de seguridad regulares de los sistemas; (g) formación del personal autorizado al tratamiento de los datos; (h) procedimientos de gestión de los incidentes de seguridad. En cuanto específicamente a las denuncias de irregularidades, se implementan medidas adicionales para garantizar el anonimato y la confidencialidad de los denunciantes, conforme a la Ley 2/2023.

9. Transferencia de datos

Los datos personales se tratan principalmente dentro del territorio de la Unión Europea. En caso de que fuera necesario transferir datos personales hacia países terceros u organizaciones internacionales, Whistlesblow garantizará que tal transferencia se realice respetando la normativa aplicable, adoptando las medidas apropiadas previstas por el RGPD (tales como, por ejemplo, las cláusulas contractuales tipo aprobadas por la Comisión Europea o la adhesión a mecanismos de certificación reconocidos).

10. Destinatarios de los datos

Los datos personales pueden ser comunicados a los siguientes destinatarios: (a) empleados y colaboradores de True Solutions S.r.l. autorizados al tratamiento en razón de sus funciones; (b) proveedores de servicios técnicos (tales como proveedores de hosting, servicios cloud, servicios de pago) que operan como encargados del tratamiento; (c) profesionales externos (abogados, consultores) que prestan servicios al Responsable; (d) autoridades públicas, cuando sea requerido por la ley o por una resolución de la autoridad competente. Los datos relativos a las denuncias de irregularidades son comunicados exclusivamente a los sujetos autorizados a recibirlas y gestionarlas conforme a la Ley 2/2023, garantizando la máxima confidencialidad.

11. Contactos y ejercicio de los derechos

Para ejercer los derechos arriba indicados o para cualquier pregunta, solicitud o denuncia relativa al tratamiento de datos personales y a la presente política de privacidad, el interesado puede contactar al Responsable: