SOCIAL PERFORMACE TEAM

Informativa sul trattamento dei dati personali

INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI EX ARTT. 13 E 14 DEL REGOLAMENTO (UE) 2016/679 NELL’AMBITO DELLE SEGNALAZIONI DI WHISTLEBLOWING EX ART. 6, COMMI 2-BIS, 2-TER E 2-QUATER DEL D. LGS. 231/2001 

L’Ente, con sede legale in Roma in Viale del Caravaggio – 78, in qualità di titolare del trattamento (“Titolare”), tratterà i dati personali raccolti nell’ambito delle seguenti segnalazioni whistleblowing ex art. 6, commi 2-bis, 2-ter e 2-quater del D. Lgs. 231/2001 di cui i segnalanti siano venuti a conoscenza a causa dello svolgimento delle mansioni lavorative o in ragione del rapporto di lavoro/collaborazione:
 
- segnalazioni circostanziate di condotte illecite che siano rilevanti ai sensi del D. Lgs. 231/2001 e fondate su elementi di fatto precisi e concordanti;
 
- segnalazioni di violazioni dei principi etici di lealtà, imparzialità, riservatezza e correttezza disposti in materia di trasparenza e di prevenzione della corruzione e richiamati dal modello di organizzazione e gestione volto a prevenire la commissione dei reati implementato dall’Ente ai sensi dell’art. 6, comma 1, lett. a) del D. Lgs. 231/2001 (“Modello di Organizzazione, Gestione e Controllo”)
 
segnalazioni di violazioni dei principi contemplati nello standard ISO 37001:2016, dei principi di responsabilità sociale contenuti nella norma SA 8000:2014, del Codice Etico, delle procedure interne di ENPACL o di altre disposizioni aziendali, sanzionabili in via disciplinare, e che siano suscettibili di arrecare un pregiudizio patrimoniale o di immagine all’ENPACL; suscettibili di arrecare un danno alla salute o alla sicurezza dei dipendenti, cittadini o utenti, o di arrecare un danno all’ambiente; suscettibili di arrecare pregiudizio ai dipendenti, agli utenti o ad altri soggetti che svolgono la loro attività presso ENPACL.
 
Tali segnalazioni sono disciplinate dalla procedura reperibile sul sito web aziendale dell’ENPACL nell’ambito della sezione “Amministrazione Trasparente” (“procedura whistleblowing”).
 
Il Responsabile della protezione dei dati personali (“DPO” o “Data Protection Officer”) è contattabile:
 
a mezzo e-mail, all’indirizzo  dpo@enpacl.it;
via posta ordinaria, all’indirizzo di ENPACL, in Viale del Caravaggio n. 78, Roma, CAP 00147, c.a. del Data Protection Officer.
 
Il Titolare tratta le seguenti categorie di dati personali contenuti all’interno delle segnalazioni pervenute attraverso il Modulo Informatico per la segnalazione di condotte illecite e irregolarità allegato alla procedura whistleblowing:
 
Dati personali comuni (ad es. le generalità di chi effettua la segnalazione, con indicazione della qualifica o posizione professionale; la chiara e completa descrizione dei fatti oggetto di segnalazione e delle modalità con le quali se ne è avuta conoscenza; la data e il luogo ove si è verificato il fatto; il nominativo e il ruolo - qualifica, posizione professionale o servizio in cui svolge l'attività - che consentono di identificare il soggetto/i che ha/hanno posto/i in essere i fatti segnalati; l'indicazione dei nomi e ruoli di eventuali altri soggetti che possono riferire sui fatti oggetto di segnalazione; informazioni relative ad eventuali documenti che possono confermare la fondatezza dei fatti riportati; ogni altra informazione contenuta nelle segnalazioni) riferibili al segnalante, ai segnalati e a eventuali altri soggetti terzi coinvolti in base alla procedura whistleblowing (di seguito, complessivamente, “soggetti interessati”).
Dati personali appartenenti alle categorie cc.dd. “particolari” ex art. 9, par. 1 del Regolamento (“l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”) riferibili ai soggetti interessati eventualmente forniti dal segnalante.
Dati personali di soggetti terzi già nella disponibilità del Titolare anche a seguito delle attività volte alla verifica della fondatezza della segnalazione stessa, nel rispetto delle leggi applicabili.

Tutti i dati personali sopra indicati saranno di seguito definiti congiuntamente come “dati personali". 
 
Ove il segnalante preferisca effettuare la segnalazione in forma anonima, non essendo possibile risalire all’identità del segnalante, non avverrà alcun trattamento dei dati personali dello stesso. Resta fermo che la segnalazione può comunque contenere dati personali riferibili ad altre categorie di soggetti interessati e che la sua ricezione e gestione costituisce trattamento di dati personali. È in ogni caso fatto salvo quanto previsto dalla procedura whistleblowing.
 
I dati personali sono raccolti e trattati per effettuare le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto della segnalazione pervenuta attraverso i canali previsti dalla procedura whistleblowing dell’Ente e l’adozione dei conseguenti provvedimenti.
Con riferimento ai dati personali comuni, il trattamento per la finalità di cui sopra è legittimo nella misura in cui risulti necessario per l’esecuzione di un compito di interesse pubblico ai sensi dell’art. 6, par. 1, lett. e) e par. 3, lett. b) del Regolamento; con riguardo, invece ai dati personali appartenenti alle categorie cc.dd. “particolari”, tale trattamento è legittimo nella misura in cui risulti necessario per motivi di interesse pubblico rilevante sulla base del diritto nazionale ai sensi dell’art. 9, par. 2, lett. g) del Regolamento. In ogni caso, il segnalante è invitato a non conferire dati personali appartenenti alle categorie cc.dd. “particolari” exart. 9, par. 1 del Regolamento ove ciò non risulti strettamente necessario. 
 
Il conferimento dei predetti dati per la finalità indicata è facoltativo per il segnalante, essendo prevista la possibilità di effettuare la segnalazione in via anonima, e, in caso di mancato conferimento, potrebbe non risultare concretamente possibile prendere in carico la segnalazione sulla base di quanto previsto dalla procedura whistleblowing. 
 
Una volta conferiti, i dati personali potrebbero essere trattati anche per:
 
assolvere eventuali obblighi stabiliti dalla legge, dai regolamenti e dalla normativa europea nonché da disposizioni impartite dalle autorità giurisdizionali nell’esercizio delle loro funzioni sulla base dell’art. 6, par. 1, lett. c) del Regolamento e, con riguardo ai dati personali appartenenti alle categorie particolari, 9, par. 2, lett. f) del Regolamento;
soddisfare eventuali esigenze di carattere difensivo sulla base degli artt. 6, par. 1, lett. f) e, ove la segnalazione contenga anche dati personali appartenenti alle categorie particolari, 9, par. 2, lett. f) del Regolamento.
 
I dati personali saranno conservati solo per il tempo necessario ai fini per cui sono raccolti, rispettando il principio di minimizzazione e il principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. c) ed e) del Regolamento. Il Titolare si riserva, tuttavia, di conservare i predetti dati personali anche per tutto il tempo necessario per l’adempimento di obblighi normativi e per soddisfare eventuali esigenze difensive. Maggiori informazioni sono disponibili presso il Titolare e il DPO ai recapiti sopra indicati.
 
La segnalazione può essere inviata mediante uno dei canali previsti dalla procedura whistleblowing. 
Il trattamento dei dati personali contenuti nella segnalazione potrà essere effettuato manualmente su supporto cartaceo e tramite modalità informatiche a seconda della tipologia di segnalazione prescelta dal segnalante in modo tale da garantire in ogni caso la massima riservatezza dell’identità del segnalante in ossequio a quanto previsto dall’art. 6, comma 2-bis, lett. b) del D. Lgs. 231/2001 nonché nel rispetto del principio di imparzialità.
 
I dati personali contenuti nelle segnalazioni pervenute ad ENPACL non saranno comunicati a terzi né diffusi, se non nei limiti di quanto previsto dal diritto nazionale e dell’Unione europea e in conformità alla procedura whistleblowing.
In particolare, i dati potranno essere condivisi, nel rispetto di quanto previsto dalla normativa in materia di trattamento dei dati personali, con i seguenti soggetti:
 
personale specificamente individuato, autorizzato al trattamento dei dati personali e debitamente istruito ai sensi degli artt. 29 del Regolamento e 2-quaterdecies del D. Lgs. 196/2003 (“Codice Privacy”) nonché della procedura whistleblowing (nello specifico: l’Organismo di Vigilanza e il Coordinatore anticorruzione e trasparenza ENPACL quali soggetti preposti alla ricezione e all’esame delle segnalazioni e, con particolare riferimento segnalazioni in contrasto con i principi di responsabilità sociale contenuti nella norma SA 8000:2014, il Social Performance Team dell’Ente; Le rendiamo, altresì, noto che, in conformità alla procedura whistleblowing, l’identità del segnalante, previo suo consenso, potrà essere rivelata anche al responsabile della funzione aziendale titolare dei procedimenti disciplinari e/o a colui che risulta oggetto di segnalazione);
Enti e autorità in qualità di autonomi titolari a cui sia obbligatorio comunicare i dati personali in forza di disposizioni di legge o di ordini delle autorità;
Il fornitore della piattaforma informatica, il quale agisce tipicamente in qualità di responsabile del trattamento ai sensi dell’art. 28 del Regolamento.

L’elenco completo ed aggiornato dei destinatari dei dati potrà essere richiesto al Titolare e/o al DPO, ai recapiti sopra indicati.
Sarà in ogni caso garantita la massima riservatezza della Sua identità in conformità alla procedura whistleblowing. In particolare, nel caso di trasmissione della segnalazione ad altre strutture/organi/terzi per lo svolgimento delle attività istruttorie, verrà inoltrato solo il contenuto della segnalazione, espungendo tutti i riferimenti dai quali sia possibile risalire, anche indirettamente, all’identità del segnalante. 
I dati personali saranno trattati da ENPACL all’interno del territorio dell’Unione europea. Qualora per questioni di natura tecnica e/o operativa si renda necessario avvalersi di soggetti ubicati al di fuori dell’Unione europea oppure si renda necessario trasferire alcuni dei dati raccolti verso sistemi tecnici e servizi gestiti in cloud e localizzati al di fuori dell’area dell’Unione europea, il trattamento sarà regolato in conformità a quanto previsto dal capo V del Regolamento e autorizzato in base a specifiche decisioni dell’Unione europea. Saranno quindi adottate tutte le cautele necessarie al fine di garantire la più totale protezione dei dati personali basando tale trasferimento: a) su decisioni di adeguatezza dei Paesi terzi destinatari espressi dalla Commissione europea; b) su garanzie adeguate espresse dal soggetto terzo destinatario ai sensi dell’art. 46 del Regolamento; c) sull’adozione di norme vincolanti d’impresa, cd. corporate binding rules. È possibile avere maggiori informazioni, su richiesta, presso il Titolare e/o il DPO ai contatti sopraindicati.
 
Lei ha il diritto di accedere in qualunque momento ai dati che La riguardano, ai sensi degli artt. 15-22 del Regolamento. In particolare, potrà chiedere la rettifica, la cancellazione, la limitazione del trattamento dei dati nei casi previsti dall'art. 18 del Regolamento, la revoca del consenso prestato ex art. 7 del Regolamento, di ottenere la portabilità dei dati nei casi previsti dall'art. 20 del Regolamento.
 
E’ previsto il diritto di diritto di proporre reclamo all'autorità di controllo competente ex art. 77 del Regolamento (Garante per la protezione dei dati personali) ovvero di adire le opportune sedi giudiziarie ai sensi dell’art. 79 del Regolamento.
 
E’ possibile formulare una richiesta di opposizione al trattamento dei dati ex art. 21 del Regolamento nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento  che prevalgano sui interessi, diritti e libertà del segnalante.
 
Le richieste vanno rivolte per iscritto al Titolare ovvero al DPO ai recapiti sopraindicati.
 
Al fine di proteggere la riservatezza dell’identità del soggetto Segnalante, potrà essere preclusa la possibilità di esercitare i diritti previsti dagli artt. da 15 a 22 del Regolamento, qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante, ai sensi dell’art. 23, par. 1, lett. i) del Regolamento e dell’art. 2-undecies, co. 1, lett. f) del Codice Privacy. 
Il segnalato potrà esercitare i diritti di cui agli artt. da 15 a 22 del Regolamento per il tramite dell’Autorità Garante, con le modalità di cui all’art. 160 del Codice Privacy. In tale ipotesi, l’Autorità Garante informerà l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame delle richieste. Informerà altresì l’interessato del diritto di proporre ricorso giurisdizionale.