– Segnalazione di illeciti – whistleblowing Le seguenti informazioni sono fornite agli interessati, ai sensi degli artt. 13 e 14 del Regolamento UE n. 679/2016 (di seguito “GDPR”) e riguardano i trattamenti di dati personali relativi alla segnalazione di illeciti (Whistleblowing), secondo quanto disposto – in particolare – dal D.Lgs. 10 marzo 2023, n. 24 ( Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali).
1. TITOLARE DEL TRATTAMENTO E RESPONSABILE DELLA PROTEZIONE DEI DATI
Titolare del trattamento è S.G.S. Società Gestione Servizi S.r.l.u., con sede legale in Piombino, in via Ferruccio 4, cap. 57025 (LI), P.IVA/C.F. 01107540492, (di seguito denominato “SGS”) Per contattare il Titolare in materia di privacy è possibile scrivere a: mail dpo@sgspiombino.it e/o alla pec: sgspiombino@toscanapec.it L’elenco aggiornato dei Responsabili e degli Autorizzati al trattamento è nella sede sopra citata. Il Responsabile della Protezione dei Dati è l’Avv. Chiara Frangione che è contattabile all’indirizzo mail dpo@sgspiombino.it o all’indirizzo pec: frangionelex@pec.it
2. FINALITÀ, DATI PERSONALI TRATTATI E BASE GIURIDICA DEL TRATTAMENTO
I dati personali, acquisiti attraverso la piattaforma dedicata alle segnalazioni di condotte illecite o di violazioni delle disposizioni aziendali, concernono, nell’interesse pubblico ed all’integrità della Pubblica amministrazione, presunte condotte illecite delle quali il segnalante sia venuto a conoscenza in ragione del proprio rapporto di lavoro/tirocinio/collaborazione/nomina/funzione, servizio o fornitura con SGS, concluso o in essere con SGS. I motivi che hanno indotto la segnalazione sono irrilevanti ai fini della protezione del segnalante.I dati personali sono trattati per le seguenti finalità: a) acquisizione delle segnalazioni di illeciti riguardanti disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica (art. 1 e 2, comma 1, lett. a), del D.Lgs. n. 24/2023); b) istruttoria delle segnalazioni volta a verificare la fondatezza di quanto segnalato, nonché, se del caso, adottare adeguate misure correttive e intraprendere le opportune azioni disciplinari e/o giudiziarie nei confronti dei responsabili delle condotte illecite; c) effettuazione delle comunicazioni previste dalla legge (art. 5, comma 1, lett. da a) a d), del D.Lgs. n. 24/2023); d) protezione dei soggetti che presentano le segnalazioni ed agli altri soggetti tutelati, secondo quanto disposto dal D.Lgs. n. 24/2023. I dati personali trattati sono, di regola, dati personali “comuni” (nome, cognome, ruolo lavorativo, ecc.), nonché dati personali c.d. “particolari” (dati relativi a condizioni di salute, orientamento sessuale o appartenenza sindacale, di cui all’art. 9 del GDPR), nonché dati personali relativi a condanne penali e reati (di cui all’art. 10 del GDPR). I dati personali sono contenuti nella segnalazione e negli eventuali atti e documenti a questa allegati e possono riferirsi: – allo stesso interessato (segnalante) che presenta la segnalazione; – alle persone fisiche cui si ascrive il presunto comportamento illecito oggetto della segnalazione e/o ulteriori persone fisiche comunque menzionate nella segnalazione o delle quali si possa evincere l’identità; – ad altri soggetti quali il “facilitatore”, ossia la persona fisica, operante all’interno del medesimo contesto lavorativo, che assiste il segnalante. Le basi giuridiche del trattamento, per le finalità sopra indicate, sono rappresentate: a) per i dati personali ordinari, dall’art. 6, par. 1, lett. c) ed e), ovvero l’adempimento di un obbligo legale al quale è soggetto il Titolare del trattamento, nonché l’esecuzione di un compito di interesse pubblico assegnato dalla legge ad SGS; per i dati particolari, dall’art. 9, par. 2, lett. b) e g), del GDPR, in connessione con l’art. 2- sexies, comma 2, lett. dd), del D.Lgs. n. 196/2003; per i dati personali relativi a condanne penali e misure di sicurezza, dall’art. 2- octies, comma 3, lett. a), del D.Lgs. n. 196/2003; b) dal consenso espresso del segnalante, esclusivamente ai fini della conoscibilità della segnalazione ove la stessa sia necessaria alla difesa dell’incolpato, anche nel procedimento disciplinare (art. 12, commi 2 e 5 del D.Lgs. n. 24/2023). I dati non saranno utilizzati per finalità diverse da quelle sopra indicate. I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente. Con l’invio della segnalazione, l’interessato conferma [barrando apposita casella sul modulo informatico] di aver preso visione del contenuto della presente informativa.
3. FONTE DI ORIGINE DEI DATI PERSONALI
I dati personali trattati sono quelli forniti dall’interessato nella segnalazione e negli eventuali allegati alle medesima. Ulteriori dati personali potranno essere acquisiti da SGS a seguito dell’istruttoria che potrà avvalersi anche di banche dati di soggetti pubblici (es: Casellario giudiziario, Agenzia delle Entrate, INPS, INAIL, etc.).
4. NATURA DEL CONFERIMENTO DEI DATI E CONSEGUENZE DEL MANCATO CONFERIMENTO
Il conferimento dei dati personali del segnalante non è obbligatorio ma è richiesto se si voglia usufruire delle tutele previste dalla legge. Le segnalazioni anonime sono valutate, secondo la procedura definita da SGS, unicamente se adeguatamente circostanziate ed in grado di far emergere fatti e situazioni relazionandoli a contesti determinati. Le segnalazioni, anche se inviate in forma anonima in prima istanza, potranno essere successivamente integrate con le generalità del segnalante ai fini di acquisire l’eventuale tutela legale.
5. SOGGETTI AUTORIZZATI A TRATTARE I DATI E MODALITÀ DEL TRATTAMENTO
Il trattamento dei dati personali e delle informazioni fornite dal segnalante da parte del Titolare sarà effettuato solo: a) dal Responsabile della Prevenzione della Corruzione e Trasparenza (RPCT), o dal suo sostituto in caso di assenza o impedimento del RPCT; b) dal personale specificatamente individuato della società Studio ADG & Partners S.r.l – S.t.p. che gestisce la piattaforma whistelblowing, in qualità di Responsabile del trattamento, ai sensi dell’art. 28 GDPR, anche con funzioni di amministrazione del sistema. L’RPCT effettua la verifica preliminare sulla fondatezza delle circostanze rappresentate nella segnalazione, nel rispetto dei principi di imparzialità e riservatezza, svolgendo ogni attività ritenuta opportuna, inclusa l’audizione personale del segnalante e di eventuali altri soggetti che possono riferire sui fatti segnalati. Il contenuto della segnalazione (escluso il nominativo del segnalante ed ogni altra informazione che possa identificarlo) potrà, inoltre, essere condiviso con ulteriore personale interno all’Ente che dovesse essere coinvolto nell’istruttoria. Tali soggetti, sono stati previamente autorizzati al trattamento e a ciò appositamente istruiti e formati, nonché tenuti a mantenere il segreto su quanto appreso in ragione delle proprie mansioni, fatti salvi gli obblighi di segnalazione e di denuncia di cui all’art. 331 c.p.p. La Piattaforma (accessibile via Internet all’indirizzo https://sgspiombino.whistleblowing.it/#/) garantisce l’impiego di adeguate misure di sicurezza (es: la cifratura dei dati identificativi dei soggetti coinvolti nonché dei documenti inerenti la segnalazione), organizzative e tecniche per tutelare le informazioni dalla loro conoscibilità, dall’alterazione, dalla distruzione, dalla perdita, dal furto o dall’utilizzo improprio o illegittimo.
6. COMUNICAZIONE E DIFFUSIONE DEI DATI
Oltre a quanto indicato al precedente punto 5 i dati personali potranno essere comunicati: a) ai soggetti segnalati, solo in caso di consenso espresso del segnalante, nelle ipotesi previste dal D.Lgs. n. 24/2023; b) all’Autorità Giudiziaria, amministrativa o ad altro soggetto pubblico legittimato a richiederli nei casi previsti esplicitamente dalla legge che operano quali titolari autonomi del trattamento. Si fa presente che, laddove dalla segnalazione emergessero profili di rilievo penale e di danno erariale, SGS sarà tenuta a trasmettere la segnalazione alle competenti Autorità giudiziarie, senza indicare i dati identificativi del segnalante. Qualora questi dati fossero richiesti, SGS è tenuta a fornirli. Per espressa previsione di legge la segnalazione è sottratta all’accesso agli atti amministrativi e al diritto di accesso civico generalizzato (art. 12, comma 8, del D.Lgs. n. 24/2023). Nell’ambito dei procedimenti penali eventualmente instaurati, l’identità del segnalante sarà coperta da segreto nei modi e nei limiti previsti dall’art. 329 c.p.p.; nell’ambito di procedimenti dinanzi alla Corte dei conti, l’identità del segnalante non sarà comunque rivelata sino alla chiusura della fase istruttoria; nell’ambito dei procedimenti disciplinari, l’identità del segnalante non sarà rivelata in tutti i casi in cui la contestazione dell’addebito disciplinare si fondi su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa, mentre potrà essere rivelata laddove concorrano, insieme, i seguenti tre presupposti: (1) che la contestazione si fondi, in tutto o in parte, sulla segnalazione, (2) che la conoscenza dell’identità del segnalante sia indispensabile per la difesa dell’incolpato e che (3) il segnalante abbia espresso un apposito consenso alla rivelazione della propria identità. Non viene effettuata alcuna diffusione di dati personali.
7. ASSENZA DI UN PROCESSO DECISIONALE AUTOMATIZZATO
SGS non adotta alcun processo decisionale automatizzato, compresa la profilazione, di cui all’art. 22, parr. 1 e 4, del GDPR.
8. TRASFERIMENTO DEI DATI IN PAESI NON APPARTENENTI ALL’UNIONE
EUROPEA O A ORGANIZZAZIONI INTERNAZIONALI I dati personali trattati non vengono trasferiti in paesi terzi o organizzazioni internazionali al di fuori dello spazio dell’Unione europea. 9.DURATA DEL TRATTAMENTO E PERIODO DI CONSERVAZIONE DEI DATI PERSONALI I dati raccolti saranno conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione. Nel caso di contenzioso o di segnalazione all’Autorità giudiziaria, ad ANAC e/o alla Corte dei Conti, il trattamento potrà essere protratto anche oltre i termini sopra indicati, fino al termine di decadenza di eventuali ricorsi e fino alla scadenza dei termini di prescrizione per l’esercizio dei diritti e/o per l’adempimento di altri obblighi di legge. 10.DIRITTI DELL’INTERESSATO E MODALITÀ DEL LORO ESERCIZIO All’interessato – ex artt. 13 e 14 – è garantito l’esercizio dei diritti riconosciuti dagli artt. 15 ss. del GDPR. In particolare, è garantito, secondo le modalità e nei limiti previsti dalla vigente normativa, l’esercizio dei seguenti diritti: – richiedere la conferma dell’esistenza di dati personali che lo riguardino; – conoscere la fonte e l’origine dei propri dati; – riceverne comunicazione intelligibile; – ricevere informazioni circa la logica, le modalità e le finalità del trattamento; – richiedere l’aggiornamento, la rettifica, l’integrazione, la cancellazione e/o la limitazione dei dati trattati in violazione di legge, ivi compresi quelli non più necessari al perseguimento degli scopi per i quali sono stati raccolti; – opporsi al trattamento, per motivi connessi alla propria situazione particolare; – revocare il consenso, ove previsto come base giuridica del trattamento. La revoca non pregiudica la legittimità del trattamento precedentemente effettuato; – nei casi di trattamento basato sul consenso, ricevere – al solo costo dell’eventuale supporto utilizzato – i propri dati, forniti al Titolare, in forma strutturata e leggibile da un elaboratore di dati e in un formato comunemente usato da un dispositivo elettronico, qualora ciò sia tecnicamente ed economicamente possibile. Secondo quanto disposto dall’art. 13, comma 3, del D.Lgs. n. 24/2023, gli indicati diritti possono essere esercitati nei limiti di quanto previsto dall’art. 2- undecies del D.Lgs. n. 196/2003. Per l’esercizio dei suoi diritti l’interessato può rivolgersi direttamente al Titolare, ovvero al Responsabile della protezione dei dati ai recapiti indicati al precedente punto 1. All’interessato è inoltre riconosciuto il diritto di presentare un reclamo al Garante per la protezione dei dati personali, ex art. 77 del GDPR, secondo le modalità previste dall’Autorità stessa (in www.garanteprivacy.it), nonché, secondo le vigenti disposizioni di legge, adire le opportune sedi giudiziarie, a norma dell’art. 79 del GDPR.
