Informativa ai sensi degli artt. 13 e 14 del Regolamento Europeo 2016/679 sul Trattamento dei dati personali nell’ambito del Sistema di Segnalazione di presunti illeciti
(“Whistleblowing”)
In attuazione alla vigente normativa in materia di segnalazione di presunti illeciti in ambito lavorativo (D.Lgs. 24/2023 - “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali”), la Società Tangenziale di Napoli S.p.A. ha implementato un proprio “canale interno di segnalazione” per la ricezione e gestione delle segnalazioni di presunti illeciti e/o violazioni di norme nazionali e/o dell’Unione Europea e/o interne (quali: il Codice Etico, la Linea Guida Anticorruzione, il Modello 231) commessi dai lavoratori e/o soggetti esterni nell’ambito del contesto lavorativo di appartenenza (c.d. “sistema Whistleblowing”).
In particolare, Tangenziale di Napoli S.p.A. ha realizzato un proprio “canale interno di segnalazione”, dedicato e segregato, che garantisce l’accesso esclusivo alle segnalazioni di propria spettanza, effettuate in modalità scritta o orale, ovvero in forma anonima.
Ai sensi degli artt.13 e 14 del Regolamento Europeo 679/2016 (in seguito “GDPR”), Tangenziale di Napoli S.p.A. quale Titolare autonomo del trattamento, rende l'informativa sul trattamento dei dati/informazioni personali (“Dati”) acquisiti direttamente o indirettamente mediante la segnalazione effettuata dal proprio dipendente e/o da soggetto terzo (in seguito “Segnalante”).
La presente Informativa è resa disponibile e a conoscenza degli interessati e dei potenziali interessati mediante pubblicazione sul sito istituzionale di Tangenziale di Napoli S.p.A..
Il Titolare si riserva il diritto, a sua discrezione, di cambiare, modificare, aggiungere o rimuovere qualsiasi parte della presente Informativa in qualsiasi momento. Al fine di facilitare la verifica di eventuali cambiamenti, la presente Informativa conterrà in calce l’indicazione della data di aggiornamento.
- TITOLARE DEL TRATTAMENTO
La Società:
-
- Tangenziale di Napoli S.p.A., soggetta all’attività di direzione e coordinamento da parte di Autostrade per l’Italia S.p.A., con sede legale in via Cintia, svincolo Fuorigrotta 80126 Napoli, codice fiscale 01513210581 - Partita IVA 01368900633, la quale tratterà i dati personali del Segnalante e/o degli altri soggetti interessati dalla segnalazione, in qualità di Titolare del trattamento ai sensi dell’art. 13, co. 4 del D.Lgs. 24/23 – “Decreto”.
Il Titolare ha nominato ex art. 37 e ss. del GDPR un proprio responsabile della protezione dei dati (“DPO”), domiciliato per l’incarico presso la rispettiva sede sopra indicata, che gli interessati possono contattare per questioni relative al trattamento dei loro dati personali all’indirizzo e-mail dpo@pec.tangenzialedinapoli.it.
- TIPOLOGIE DI DATI TRATTATI
I dati e/o le informazioni personali (in seguito “Dati”), oggetto di trattamento, includono i Dati del Segnalante, del segnalato e delle persone fisiche - identificate o identificabili a vario titolo - coinvolte e/o collegate ai fatti oggetto della segnalazione, quali, per esempio, i Dati eventuali di testimoni (in seguito “Interessati”).
Tali Dati, raccolti e trattati dal Titolare, possono comprendere dati personali “comuni” (dati anagrafici, posizione lavorativa ricoperta, recapiti e contatti quali per esempio: indirizzo mail, indirizzo postale, numero telefonico), e/o dati appartenenti a categorie particolari ex art. 9 GDPR, e/o dati relativi a condanne penali e reati ex art. 10 GDPR, contenuti nella segnalazione e/o negli atti e documenti a essa allegati, nel rispetto di quanto disposto dalla normativa in materia e del Parere del Garante privacy, provv. 6 lug. 2023, n. 304 (“Parere favorevole sullo Schema di Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone
che segnalano violazioni delle disposizioni normative nazionali – procedure per la presentazione e gestione delle segnalazioni esterne predisposto da ANAC”).
I Dati possono essere raccolti, sia direttamente presso l’Interessato sia per il tramite di altri soggetti coinvolti nella segnalazione, mediante il “canale interno di segnalazione” sopra indicato, nelle modalità indicate al successivo punto 4.
I dati sono forniti volontariamente dal Segnalante, anche in forma anonima, al Titolare che non tratterà Dati che non siano strettamente necessari alle finalità di cui al successivo punto 3. A titolo esemplificativo e non esaustivo, la “segnalazione” può avvenire da parte di: dipendenti del Titolare, liberi professionisti/consulenti/lavoratori autonomi, ivi compresi quelli con rapporto di collaborazione, che intrattengono rapporti di lavoro e/o di collaborazione con il Titolare.
- FINALITA’ E BASE GIURIDICA DEL TRATTAMENTO
I Dati sono trattati esclusivamente per le finalità di ricezione, gestione e risoluzione della segnalazione e, in particolare, per eseguire l’istruttoria e l’accertamento dei fatti oggetto della segnalazione, nonché di adozione degli eventuali conseguenti provvedimenti, secondo quanto previsto dal D.Lgs. 24/2023.
I Dati personali raccolti sono solo quelli necessari e pertinenti per il raggiungimento delle finalità sopra indicate, sulla base del “principio di minimizzazione”, ai sensi dell’art. 5.1 lett. c) GDPR.
Rispetto a questi Dati, il loro conferimento è volontario e l’Interessato è pregato di fornire soltanto i dati necessari a descrivere i fatti oggetto della segnalazione senza comunicare dati personali ridondanti ed ulteriori a quelli necessari rispetto alle finalità sopra indicate. Nel caso siano forniti, il Titolare si asterrà dall’utilizzare tali Dati e li cancellerà.
I Dati personali sono trattati sulla base giuridica dell’obbligo di legge, ex art. 6, co.1 lett. c) e co. 2 e 3 (D.Lgs. 24/2023 – D.Lgs. 231/01), ex art. 9, co. 2 lett. b) e ex artt. 10 e 88 (vedi succitato Parere del Garante privacy, provv. 6 lug. 2023, n. 304).
- MODALITA’ DEL TRATTAMENTO
I Dati sono raccolti e trattati, nel rispetto delle norme vigenti, a mezzo di strumenti informatici, elettronici/ telematici, con logiche strettamente connesse alle finalità sopra indicate, in modo da garantire la sicurezza e la riservatezza dei dati stessi.
In particolare, i Dati ricevuti con segnalazioni effettuate in forma scritta sono raccolti e trattati in modalità informatica tramite piattaforma on line, sulla quale è predisposto un canale dedicato e segregato. Tale piattaforma è fornita a TANA da Autostrade per l’Italia S.p.A., sulla base di un contratto di service.
I Dati inclusi nelle segnalazioni effettuate in forma orale sono raccolti e trattati in modalità telematica attraverso la medesima piattaforma, secondo quanto previsto all’art. 14, comma 2 del D.Lgs. 24/2023, previo consenso del segnalante alla registrazione; la registrazione avviene all’interno della piattaforma stessa, idonea alla conservazione e all’ascolto.
I Dati raccolti a mezzo di tale strumento informatico non saranno oggetto di trattamento completamente automatizzato così come specificato all’art. 22 GDPR.
Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.
Inoltre, specifiche misure tecnico-organizzative, quali la crittografia, sono adottate, ai sensi dell’art. 32 GDPR, per garantire la tutela dell’identità degli interessati, nonché l’eventuale anonimia del Segnalante ed il completo anonimato nell’accesso alla piattaforma (no log).
- TEMPI DI CONSERVAZIONE DEI DATI
I dati personali saranno conservati solo per il tempo necessario alle finalità per le quali vengono raccolti nel rispetto del principio di minimizzazione ex art. 5.1.c) GDPR ed, in particolare, alle finalità di gestione dell’istruttoria, di conclusione dell’attività di definizione della segnalazione e di adozione dei relativi provvedimenti, in caso di accertamento, e comunque non oltre 5 anni a decorrere dalla data di comunicazione dell’esito finale della procedura di segnalazione, in conformità a quanto previsto dall’art. 14, comma 1 del D.Lgs. 24/2023 e dall’art. 5, comma 1 del GDPR.
- DESTINATARI DEI DATI
All’interno del Titolare, possono venire a conoscenza dei Dati personali forniti, esclusivamente, i soggetti incaricati del trattamento dal Titolare medesimo, all’uopo istruiti sulla normativa “whistleblowing” e sul corretto utilizzo del “canale interno di segnalazione”, e autorizzati a compiere le operazioni di trattamento nell’ambito delle suddette attività secondo quanto previsto all’art. 4, comma 2 del D. Lgs. 24/2023.
Possono venire a conoscenza dei predetti Dati, soggetti terzi (quali i fornitori di servizi informatici) che consentono l’operatività, nonché la manutenzione dello strumento informatico su cui è possibile inserire la segnalazione, come indicati al precedente punto. 4, tenuti a trattare i dati per le medesime finalità di cui al precedente punto 3, che sono, all’uopo, nominati “Responsabili del trattamento”, ai sensi dell’art. 28 GDPR.
In forza di apposito incarico, in particolare:
- le attività di assistenza e di gestione informatica del canale interno fornite sulla piattaforma on line di cui al precedente punto 4, saranno svolte per conto di TANA dal Responsabile ex art. 28/GDPR.
- le attività di gestione delle segnalazioni saranno svolte dall’Organo di gestione delle Segnalazioni di TANA a ciò preposto i cui addetti sono stati appositamente autorizzati al trattamento, ex art. 29 GDPR.
Possono venire a conoscenza di tali Dati, altresì, se del caso, l’Organismo di Vigilanza, il Responsabile Anticorruzione, il Responsabile Antitrust del Titolare e la Direzione Internal Audit di Autostrade per l’Italia per lo svolgimento delle attività di competenza in materia di Whistleblowing, nonché l’Anac, l’Autorità giudiziaria ed altri Enti/organismi competenti in relazione alla fattispecie segnalata, ai sensi dell’art. 13 D.Lgs. 24/2023.
Per lo svolgimento di talune delle operazioni relative alla gestione della segnalazione, e sempre per le finalità di cui al punto 3, il Titolar potrà comunicare tali dati ad altre società appartenenti al Gruppo Autostrade. In tale caso, le società, a cui potrebbero essere comunicati i Dati di soggetti terzi e/o propri dipendenti e/o collaboratori e/o fornitori delle stesse, per quanto di loro competenza, agiranno quali Titolari autonomi, per finalità di gestione dell’attività di definizione della segnalazione di competenza del Titolare suindicato ovvero di avvio della gestione di una segnalazione di propria competenza per la relativa adozione dei relativi provvedimenti, in caso di accertamento.
Qualora la segnalazione di competenza del Titolare sia ricevuta per errore del Segnalante da altro Titolare tramite il proprio “canale interno di segnalazione”, quest’ultimo indirizzerà la segnalazione al Titolare competente senza alcun altro trattamento che non sia quello per l’invio anzidetto.
L’elenco completo dei soggetti nominati Responsabili dal Titolare è disponibile presso lo stesso. In nessun caso i dati personali saranno oggetto di diffusione.
- DIRITTI DEGLI INTERESSATI
Gli artt. 15-22 GDPR conferiscono agli Interessati la possibilità di esercitare specifici diritti, quali, per esempio, il diritto di accesso, di rettifica, di cancellazione, di limitazione del trattamento, nei limiti di
quanto previsto dall'articolo 2-undecies del decreto legislativo 30 giugno 2003, n. 196, come stabilito all’art. 13, co.3 del D.Lgs. 24/23.
Nel caso in cui l’esercizio dei diritti di cui sopra da parte del Segnalato possa comportare un pregiudizio effettivo e concreto alla protezione e riservatezza dei dati personali del Segnalante, il Titolare potrà limitare, ritardare ovvero escludere tale esercizio, ai sensi dell’art. 2-undecies, co. 1, lett. f) del Codice Privacy (D.Lgs. 196/2003), e non dare seguito all’istanza.
In tali casi, i diritti dell’Interessato, ai sensi dell’art. 2-undecies, co. 3 del Codice Privacy, possono essere esercitati tramite il Garante con le modalità di cui all’art. 160 del Codice Privacy.
I diritti di cui sopra potranno essere esercitati con richiesta rivolta senza formalità al Data Protection Officer (DPO) del Titolare interessato all’indirizzo PEC indicato al precedente punto 1.
L’Interessato potrà proporre reclamo ai sensi dell’art. 57 lett. f) GDPR all’Autorità Garante per la Protezione dei Dati Personali, Piazza Venezia, 11, 00187 Roma (RM), per far valere i Suoi diritti in relazione al trattamento dei Suoi Dati.
- EVENTUALE TRASFERIMENTO ALL’ESTERO DEI DATI PERSONALI
I Dati saranno conservati nei server di società terza per conto del Titolare, nominata dallo stesso Responsabile del trattamento, e collocati in Italia e/o nell’Unione Europea e non saranno oggetto di diffusione né di trasferimento al di fuori dell’Unione Europea.
I dati personali non sono oggetto di trasferimento al di fuori dell’Unione Europea. Versione 3 del 01/10/2024