Informativa privacy per la gestione delle segnalazioni di illeciti “Whistleblowing”

Gentile Utente, la Camera di Commercio, Industria, Artigianato e Agricoltura dell’Umbria (di seguito, CCIAA dell’Umbria) intende fornirLe tutte le indicazioni previste dagli artt. 13 e 14 del Regolamento (UE) 2016/679 (anche detto GDPR o Regolamento Generale per la Protezione dei Dati personali), in merito al trattamento di dati personali relativi alla segnalazione di illeciti (Whistleblowing) di cui al D.Lgs. 10 marzo 2023, n. 24 (Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali).

1. Titolare del trattamento

Titolare del trattamento è la Camera di Commercio dell’Umbria, con sede legale a Perugia (PG), in Via Cacciatori delle Alpi 42, tel. 075.57481 e ulteriore sede a Terni (TR), in Largo Don Minzoni 6, tel. 0744.4891, CF 03764550541, indirizzo di posta elettronica certificata cciaa@pec.umbria.camcom.it

2. Responsabile della protezione dei dati personali

Al fine di meglio tutelare gli Interessati, nonché in ossequio al dettato normativo, il Titolare ha nominato un proprio DPO, Data Protection Officer (o RPD, Responsabile della protezione dei dati personali), contattabile al seguente recapito rpd@umbria.camcom.it

3. Finalità del trattamento

I dati personali sono acquisiti tramite le segnalazioni di presunte condotte illecite delle quali il segnalante sia venuto a conoscenza in ragione del proprio rapporto di lavoro, tirocinio, servizio o fornitura con la Camera di commercio e sono trattati per le seguenti finalità:

a) acquisizione delle segnalazioni di illeciti riguardanti disposizioni normative nazionali o dell'Unione europea che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica (art. 1 e 2, comma 1, lett. a), del D. Lgs. n. 24/2023);

b) istruttoria delle segnalazioni volta a verificare la fondatezza di quanto segnalato, nonché, se del caso, adottare adeguate misure correttive e intraprendere le opportune azioni disciplinari e/o giudiziarie nei confronti dei responsabili delle condotte illecite;

c) effettuazione delle comunicazioni previste dal D.Lgs. n. 24/2023, art. 5, comma 1, lett. da a) a d);

d) eventuale inoltro delle segnalazioni agli uffici, autorità amministrative e/o giudiziarie competenti a darvi seguito;

e) protezione dei soggetti che presentano le segnalazioni e degli altri soggetti tutelati, secondo quanto disposto dal D.Lgs. n. 24/2023.

4. Tipologia dei dati trattati e base giuridica

I dati personali trattati sono, di regola, dati personali “comuni” (nome, cognome, ruolo lavorativo, ecc.). Essi possono riferirsi:

- allo stesso interessato (segnalante) che presenta la segnalazione;

- alle persone fisiche cui si ascrive il presunto comportamento illecito oggetto della segnalazione e/o ulteriori persone fisiche comunque menzionate nella segnalazione o delle quali si possa evincere l’identità;

- ad altro soggetto quale il “facilitatore”, ossia la persona fisica, operante all'interno del medesimo contesto lavorativo, che assiste il segnalante.

Potrebbero essere oggetto di trattamento, in relazione al contenuto della segnalazione e all’attività istruttoria conseguente, anche dati personali c.d. “particolari” (dati relativi a condizioni di salute, orientamento sessuale o appartenenza sindacale, di cui all’art. 9 del GDPR) e dati personali relativi a condanne penali e reati (di cui all’art. 10 del GDPR).

Le basi giuridiche del trattamento, per le finalità sopra indicate, sono rappresentate:

a) per i dati “comuni” (nome, cognome, altri dati contenuti nel documento di riconoscimento, ruolo lavorativo, ecc.) dall’obbligo di legge a cui è soggetto il Titolare del trattamento (art. 6, par. 1, lett. c) del GDPR), nonché dall’esecuzione di compiti di interesse pubblico assegnati dalla legge alla CCIAA (art. 6, par. 1, lett. e) del GDPR);

b) per i dati “particolari” (dati relativi a condizioni di salute, orientamento sessuale o appartenenza sindacale, di cui all’art. 9 del GDPR) dall’assolvimento di obblighi e dall’esercizio di diritti specifici del Titolare del trattamento e dell’interessato in materia di diritto del lavoro (art. 9, par. 2, lett. b) del GDPR), nonché dall’esecuzione di un compito di interesse pubblico rilevante assegnato dalla legge alla CCIAA (art. 9, par. 2, lett. g) del GDPR), in ragione dell’art. 2-sexies lett. dd) del D.Lgs. 196/2003; nonché (a seconda della tipologia di segnalazione) dalla necessità di accertare, esercitare o difendere un diritto in sede giudiziaria (art. 9, par. 2, lett. f), del GDPR);

c) per i dati relativi a condanne penali e reati, tenuto conto di quanto disposto dall’art. 10 del GDPR, dall’obbligo di legge a cui è soggetto il Titolare del trattamento (art. 6, par. 1, lett. c) del GDPR) e dall’esecuzione di compiti di interesse pubblico assegnati dalla legge alla CCIAA (art. 6, par. 1, lett. e) del GDPR), in ragione dell’art. 2-octies lett. a) del D.Lgs. 196/2003.

d) nei casi in cui la conoscenza dei dati personali del segnalante sia necessaria alla difesa del soggetto segnalato, anche nel procedimento disciplinare, la base giuridica del trattamento è rappresentata dal consenso espresso del segnalante (art. 6, par. 1, lett. a) in relazione all’art. 12, commi 2 e 5).

5. Dati ottenuti presso terzi

I dati personali sono forniti dall’interessato nella segnalazione e negli eventuali atti e documenti a questa allegati. Ulteriori dati personali potranno essere acquisiti dalla Camera di commercio a seguito dell’istruttoria che potrà avvalersi anche di banche dati di soggetti pubblici (es: Casellario giudiziario, Agenzia delle Entrate, INPS, INAIL, etc.).

6. Natura del conferimento dei dati e conseguenze dell’eventuale mancato conferimento

I dati identificativi del segnalante, gli elementi relativi al rapporto di lavoro, servizio o fornitura dello stesso con la Camera di commercio, sono necessari e il loro mancato conferimento non consentirà di gestire la segnalazione con le tutele previste dalla normativa sul Whistleblowing. È rimessa invece a ciascun segnalante la decisione circa quali ulteriori dati personali conferire.

I dati personali vengono acquisiti dalla Cciaa attraverso il “canale interno” a tal fine reso disponibile, consistente nella piattaforma informatica accessibile dalla Sezione Amministrazione Trasparente del sito web camerale.

La piattaforma non prevede la possibilità di effettuare segnalazioni anonime. Nel caso queste dovessero pervenire tramite altri canali, saranno gestite come mere segnalazioni, secondo quanto previsto dalle procedure adottate dall’Ente.

7. Soggetti autorizzati a trattare i dati e Responsabili esterni del trattamento

Il trattamento dei dati personali del segnalante e degli altri dati personali e delle informazioni contenuti nelle segnalazioni sarà effettuato:

1. dal Responsabile della Prevenzione della Corruzione e Trasparenza (RPCT), o dal suo sostituto in caso di assenza o impedimento del RPCT;
2. dal personale interno appartenente alla struttura di supporto del RPCT o agli altri uffici dell’Ente che dovesse essere coinvolto nell’istruttoria, nella misura in cui il RPCT ritenga necessario il coinvolgimento e con esclusione del nominativo del segnalante ed ogni altra informazione che possa identificarlo. Tali soggetti, sono stati previamente autorizzati al trattamento e a ciò appositamente istruiti e formati, nonché tenuti a mantenere il segreto su quanto appreso in ragione delle proprie mansioni, fatti salvi gli obblighi di segnalazione e di denuncia di cui all'art. 331 c.p.p.

Le segnalazioni vengono ricevute e gestite tramite la Piattaforma informatica “Segnalazioni Illeciti - Legality Whistleblowing”, che garantisce l’impiego di adeguate misure di sicurezza (es: la cifratura dei dati identificativi dei soggetti coinvolti nonché dei documenti inerenti alla segnalazione), organizzative e tecniche per tutelare le informazioni dalla loro conoscibilità, dall’alterazione, dalla distruzione, dalla perdita, dal furto o dall’utilizzo improprio o illegittimo.

La DigitalPa S.r.l. che fornisce la piattaforma, in modalità “software as a service”, è stata nominata quale Responsabile esterno del trattamento ai sensi dell’art. 28 del GDPR. I dati potranno essere quindi trattati anche dal personale specificatamente individuato dalla società, anche con funzioni di amministrazione del sistema. Tale soggetto ha facoltà di ricorrere a ulteriori, propri Responsabili del trattamento, operanti nei medesimi ambiti.

8. Comunicazione e diffusione dei dati

Oltre a quanto indicato al precedente punto 5 i dati personali potranno essere comunicati:

a) ai soggetti segnalati, solo in caso di consenso espresso del segnalante, nelle ipotesi previste dal D.Lgs. n. 24/2023;

b) all'Autorità Giudiziaria, amministrativa o ad altro soggetto pubblico legittimato a richiederli, nei casi previsti esplicitamente dalla legge, che operano quali titolari autonomi del trattamento.

Si fa presente che, laddove dalla segnalazione emergessero profili di rilievo penale e di danno erariale, la Camera di commercio sarà tenuta a trasmettere la segnalazione alle competenti Autorità giudiziarie, senza indicare i dati identificativi del segnalante. Qualora questi dati fossero richiesti, la Camera di commercio è tenuta a fornirli.

Per espressa previsione di legge la segnalazione è sottratta all’accesso previsto dagli articoli 22 e seguenti della legge 7 agosto 1990, n. 241, nonché all’accesso civico generalizzato previsto dagli articoli 5 e seguenti del decreto legislativo 14 marzo 2013, n. 33 (art. 12, comma 8, del D.Lgs. n. 24/2023).

Nell’ambito dei procedimenti penali eventualmente istaurati, l’identità del segnalante sarà coperta da segreto nei modi e nei limiti previsti dall’art. 329 c.p.p.; nell’ambito di procedimenti dinanzi alla Corte dei conti, l’identità del segnalante non sarà comunque rivelata sino alla chiusura della fase istruttoria.

Nell’ambito dei procedimenti disciplinari, l’identità del segnalante non sarà rivelata in tutti i casi in cui la contestazione dell’addebito disciplinare si fondi su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa, mentre potrà essere rivelata laddove concorrano, insieme, i seguenti tre presupposti:

a) che la contestazione si fondi, in tutto o in parte, sulla segnalazione;

b) che la conoscenza dell’identità del segnalante sia indispensabile per la difesa dell’incolpato;

c) che il segnalante abbia espresso un apposito consenso alla rivelazione della propria identità, richiesto unitamente alla comunicazione delle ragioni in base alle quali la CCIAA ritiene necessaria la rivelazione di tale identità.

Non viene effettuata alcuna diffusione di dati personali.

9. Assenza di un processo decisionale automatizzato

La Camera di Commercio non adotta alcun processo decisionale automatizzato, compresa la profilazione, di cui all’art. 22, parr. 1 e 4, del GDPR.

10. Trasferimento dei dati in paesi non appartenenti all’Unione Europea o ad organizzazioni internazionali

I dati personali trattati non vengono trasferiti in paesi terzi o ad organizzazioni internazionali al di fuori dello spazio dell’Unione europea.

11. Durata del trattamento e periodo di conservazione dei dati personali

Ai sensi dell’art. 14 del D.Lgs. n. 24/2023, i dati raccolti saranno conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione.

Nel caso di contenzioso o di segnalazione all’Autorità giudiziaria, ad ANAC e/o alla Corte dei Conti il trattamento potrà essere protratto anche oltre i termini sopra indicati, fino al termine di decadenza di eventuali ricorsi e fino alla scadenza dei termini di prescrizione per l’esercizio dei diritti e/o per l’adempimento di altri obblighi di legge.

12. Diritti dell’interessato e modalità del loro esercizio

All'interessato è garantito, in termini generali e ricorrendone i presupposti, l'esercizio dei diritti riconosciuti dagli artt. 15 e seguenti del GDPR. In particolare, è garantito, secondo le modalità e nei limiti previsti dalla vigente normativa, l’esercizio dei seguenti diritti:

- richiedere la conferma dell'esistenza di dati personali che lo riguardino;

- conoscere la fonte e l'origine dei propri dati;

- riceverne comunicazione intelligibile;

- ricevere informazioni circa la logica, le modalità e le finalità del trattamento;

- richiedere l'aggiornamento, la rettifica, l'integrazione, la cancellazione e/o la limitazione dei dati trattati in violazione di legge, ivi compresi quelli non più necessari al perseguimento degli scopi per i quali sono stati raccolti;

- opporsi al trattamento, per motivi connessi alla propria situazione particolare;

- revocare il consenso, ove previsto come base giuridica del trattamento. La revoca non pregiudica la

legittimità del trattamento precedentemente effettuato;

- ricevere, nei casi di trattamento basato sul consenso e al solo costo dell’eventuale supporto utilizzato, i propri dati, forniti al Titolare, in forma strutturata e leggibile da un elaboratore di dati e in un formato comunemente usato da un dispositivo elettronico, qualora ciò sia tecnicamente ed economicamente possibile.

Tuttavia, tali diritti sono esercitabile nel caso specifico entro i limiti in cui all'art. 2-undecies D.Lgs. n. 196/2003, secondo il quale i diritti non possono essere esercitati qualora ne possa derivare un pregiudizio effettivo e concreto alla riservatezza dell'identità del segnalante.

Il diritto alla portabilità dei dati personali non è esercitabile in quanto non sussistono i presupposti indicati dall’art. 20, par. 1, del GDPR.

Per l’esercizio dei suoi diritti l’interessato può rivolgersi direttamente al Titolare, ovvero al Responsabile della protezione dei dati, ai recapiti indicati al precedente punto 1. Si fa presente che la modulistica per l’esercizio dei diritti da parte dell’interessato è disponibile nella sezione Privacy policy (https://www.umbria.camcom.it/privacy-policy) del sito camerale.

All’interessato è inoltre riconosciuto il diritto di presentare un reclamo al Garante per la protezione dei dati personali, ex art. 77 del GDPR, secondo le modalità previste dall’Autorità stessa (https://www.garanteprivacy.it), nonché, secondo le vigenti disposizioni di legge, adire le opportune sedi giudiziarie, a norma dell’art. 79 del GDPR.

Nel sito internet istituzionale, nella sezione Amministrazione Trasparente, possono essere consultate le disposizioni adottate dalla Camera per disciplinare il canale interno di segnalazione e la procedura di gestione delle segnalazioni.