Privacy Policy*
Informativa privacy ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR) e D.Lgs. 196/2003 come mod. da D.Lgs. 101/2018
Trattamento dei dati personali nell’ambito della procedura di segnalazioni di illeciti whistleblowing di cui al D.Lgs. 24/2023
Con questa informativa la Camera di Commercio Venezia Giulia fornisce le indicazioni previste dagli artt.13 e 14 del Regolamento UE 2016/679 (GDPR), in merito al trattamento dei dati personali effettuato per la gestione delle segnalazioni di illeciti ai sensi del D.Lgs. 10 marzo 2023, n. 24 (c.d.) whistleblowing.
1. Titolare del Trattamento e Responsabile della protezione dei dati (DPO / RPD)
Titolare del Trattamento dei dati personali è la Camera di Commercio di Venezia Giulia, con sede legale a Trieste in piazza della Borsa 14 e sede secondaria a Gorizia in via Francesco Crispi 10, con e-mail di riferimento titolaredeltrattamento@vg.camcom.it e indirizzo di posta elettronica certificata cciaa@pec.vg.camcom.it
La Camera di commercio Venezia Giulia ha nominato, ai sensi dell’art. 37 del GDPR, il DPO (Responsabile della Protezione dei Dati) contattabile all’indirizzo mail dpo@vg.camcom.it
2. Fonte dei dati
I dati personali trattati vengono acquisiti – attraverso il canale interno - dalla Camera di commercio Venezia Giulia, direttamente dal soggetto che, nell’interesse pubblico e dell’integrità della Pubblica Amministrazione, segnala presunte condotte illecite di cui sia venuto a conoscenza in ragione del proprio rapporto di lavoro, servizio o fornitura con l’Ente camerale.
I dati personali sono dunque quelli forniti dal segnalante ed acquisiti dall’Ente camerale in quanto contenuti nella segnalazione e/o in atti e documenti a questa allegati e possono riferirsi:
- al soggetto che presenta la segnalazione;
- alle persone indicate come possibili responsabili delle condotte illecite;
- alle persone a vario titolo coinvolte o menzionate nella segnalazione o delle quali si possa evincere l’identità.
Ulteriori dati personali potranno essere acquisiti dalla Camera di commercio a seguito dell’istruttoria, avvalendosi anche di banche dati di soggetti pubblici (es: Casellario giudiziario, Agenzia delle Entrate, Inps, Inail, etc.).
3. Finalità del trattamento
I dati forniti vengono trattati dalla Camera di commercio Venezia Giulia per le seguenti finalità:
- acquisizione e gestione delle segnalazioni di illeciti presentate ai sensi del D.Lgs. 24/23 (art. 1 e art. 2, co. 1, lett. a);
- istruttoria delle segnalazioni volta a verificare la fondatezza di quanto segnalato, nonché, se del caso, adottare adeguate misure correttive all’interno dell’Ente ed intraprendere le più opportune azioni disciplinari e/o giudiziarie nei confronti dei responsabili delle condotte illecite;
- effettuazione delle comunicazioni previste dalla normativa (D.Lgs. 24/23, art. 5, co. 1, lett. da a) a d);
- protezione dei soggetti che presentano le segnalazioni ed altri soggetti tutelati, secondo quanto disposto dal D.Lgs. 24/23.
4. Basi giuridiche del trattamento
Le basi giuridiche del trattamento, per le finalità sopra indicate, sono rappresentate:
a) per i dati personali comuni, dall’art. 6, par. 1, lett. c) ed e) del GDPR, in quanto adempimento di un obbligo legale al quale è soggetto il Titolare del trattamento, nonché l’esecuzione di un compito di interesse pubblico assegnato dalla legge alle Camere di commercio;
per i dati particolari, dall’art. 9, par. 2, lett. b) e g), del GDPR, in connessione con l’art. 2-sexies, comma 2, lett. dd), del D.Lgs. n. 196/2003; per i dati personali relativi a condanne penali e misure di sicurezza, dall’art. 2-octies, comma 3, lett. a), del D.Lgs. n. 196/2003;
b) dal consenso espresso del segnalante, esclusivamente ai fini della conoscibilità della segnalazione ove la stessa sia necessaria alla difesa dell’incolpato, anche nel procedimento disciplinare (art. 12, co. 2 e 5 del D.Lgs. 24/2023).
I dati non saranno utilizzati per finalità diverse da quelle sopra indicate. I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente.
Con l’invio della segnalazione, l’interessato conferma [barrando apposita casella sul modulo informatico] di aver preso visione del contenuto della presente informativa.
5. Tipologia di dati trattati e natura del loro conferimento
La ricezione e la gestione delle segnalazioni dà luogo, di regola, al trattamento di dati personali c.d. “comuni” (nome, cognome, ruolo lavorativo, ecc.) nonché può dar luogo - a seconda del contenuto delle segnalazioni e degli atti e documenti a queste allegati - a trattamenti di dati personali c.d. “particolari” (ad es. dati relativi a condizioni di salute, orientamento sessuale o appartenenza sindacale, di cui all’art. 9 GDPR:) e di dati personali relativi a condanne penali e reati (di cui all’art. 10 GDPR).
Ferma la facoltà di presentare la propria segnalazione oralmente, richiedendo un appuntamento per un incontro in presenza al RPCT, la Camera di commercio Venezia Giulia ha adottato una apposita piattaforma online per l’inoltro e la gestione sicura delle segnalazioni di whistleblowing.
Tale piattaforma raccoglie esclusivamente i dati di registrazione del segnalante e quelli comunicati nelle segnalazioni. Tra i dati forniti dal segnalante volontariamente potranno essere acquisiti i seguenti dati personali: dati identificativi del segnalante (nome, indirizzo email, documento di riconoscimento), dati contenuti nella segnalazione.
I dati personali identificativi del segnalante non sono direttamente visualizzabili nella segnalazione, nel rispetto di quanto previsto degli artt. 4 e 12 del D.Lgs. 24/2023, che prescrivono l’adozione di misure a tutela della riservatezza dell'identità del segnalante nelle attività di gestione della segnalazione.
Al fine di consentire l’accertamento dei fatti e poter intraprendere le più opportune azioni, la segnalazione deve essere quanto più possibile circostanziata e dettagliata. In particolare, è necessario risultino chiare: le circostanze di tempo e di luogo in cui si è verificato il fatto oggetto della segnalazione; la descrizione del fatto; le generalità o altri elementi che consentano di identificare il soggetto cui attribuire i fatti segnalati. Risulta altresì utile, per le medesime finalità, allegare documenti che possano fornire elementi di fondatezza dei fatti oggetto di segnalazione, nonché indicare altri soggetti potenzialmente a conoscenza dei fatti.
Nel caso in cui il segnalante decidesse di non fornire i propri dati identificativi, rendendo pertanto anonima la segnalazione, questa verrà gestita, secondo la procedura prevista dall’Ente camerale, quale segnalazione ordinaria (non whistleblowing).
Le segnalazioni, anche se inviate in forma anonima in prima istanza, potranno essere successivamente integrate con le generalità del segnalante ai fini di acquisire l'eventuale tutela legale.
6. Modalità di trattamento dei dati
Il trattamento sarà effettuato con strumenti informatici e telematici con logiche di organizzazione ed elaborazione strettamente correlate alle finalità sopra indicate e comunque in modo da garantire la sicurezza, l'integrità e la riservatezza dei dati stessi nel rispetto delle misure organizzative, fisiche e logiche previste dalle disposizioni vigenti.
La piattaforma di gestione delle segnalazioni in uso garantisce l’impiego di adeguate misure di sicurezza, organizzative e tecniche per tutelare le informazioni dalla loro conoscibilità, dall’alterazione, dalla distruzione, dalla perdita, dal furto o dall’utilizzo improprio o illegittimo.
I dati personali forniti dal segnalante nel form di registrazione (nominativo, indirizzo email e documento di riconoscimento) sono separati dalle segnalazioni e l’associazione dell’identità con la segnalazione può essere effettuata esclusivamente dal Responsabile preposto alla gestione delle segnalazioni (RPCT).
7. Soggetti autorizzati a trattare i dati e modalità di trattamento
A tutela del segnalante, all’interno della Camera di commercio Venezia Giulia, solamente il Responsabile della prevenzione della corruzione e della trasparenza (RPCT) destinatario della segnalazione tramite piattaforma o incontro diretto, può conoscere l’identità dei segnalanti, laddove si siano identificati.
La piattaforma informatica garantisce l’impiego di adeguate misure di sicurezza – compreso la cifratura dei dati identificativi dei soggetti coinvolti nonché dei documenti inerenti la segnalazione – nonché misure organizzative e tecniche per tutelare le informazioni dalla loro conoscibilità, dall’alterazione, dalla distruzione, dalla perdita, dal furto o dall’utilizzo improprio o illegittimo.
L’RPCT effettua la verifica preliminare sulla fondatezza delle circostanze rappresentate nella segnalazione, nel rispetto dei principi di imparzialità e riservatezza, svolgendo ogni attività ritenuta opportuna, inclusa l’audizione personale del segnalante e di eventuali altri soggetti che possono riferire sui fatti segnalati.
Qualora esigenze istruttorie richiedano che altri dipendenti camerali debbano essere messi a conoscenza del contenuto della segnalazione o della documentazione ad essa allegata, non verrà mai rivelata l’identità del segnalante, né verranno rivelati elementi che possano, anche indirettamente, consentire l’identificazione dello stesso. Tali soggetti, poiché potrebbero comunque venire a conoscenza di altri dati personali, sono previamente autorizzati al trattamento e a ciò appositamente istruiti e formati, nonché tenuti a mantenere il segreto su quanto appreso in ragione delle proprie mansioni, fatti salvi gli obblighi di segnalazione e di denuncia di cui all'art. 331 del Codice di procedura penale.
I dati, protetti da idonee misure di cifratura, sono trattati inoltre da parte della Società che fornisce la piattaforma di gestione delle segnalazioni, appositamente designata quale Responsabile del trattamento, ai sensi dell’art. 28 del GDPR, al solo scopo di espletare il servizio di gestione informatica della Piattaforma. La Società non trasferisce i dati a soggetti terzi diversi da quelli sopra indicati, né diffusi o trasferiti in Paesi non appartenenti all’UE.
8. Comunicazione dei dati personali e relativa tutela dell’identità.
Oltre a quanto indicato al precedente punto 7. “Soggetti autorizzati”, i dati personali potranno essere comunicati:
a. ai soggetti segnalati, solo in caso di consenso espresso del segnalante, nelle ipotesi previste dal DLgs. 24/2023;
b. all'Autorità Giudiziaria, amministrativa o ad altro soggetto pubblico legittimato a richiederli nei casi previsti esplicitamente dalla legge; tali soggetti opereranno, ciascuno nell’ambito delle rispettive competenze, in qualità di Titolari autonomi del trattamento dati personali.
Qualora dalla segnalazione emergano profili di rilievo penale e di danno erariale, la Camera di commercio sarà tenuta a trasmettere la segnalazione alle competenti Autorità giudiziarie, senza indicare i dati identificativi del segnalante. Qualora questi dati siano richiesti, l’Ente camerale è tenuto a fornirli.
Per espressa previsione normativa (art. 12, co. 8 D.Lgs. 24/23) le segnalazioni e la documentazione eventualmente allegata sono sottratte al diritto di accesso agli atti amministrativi previsto dagli artt. 22 e seguenti della L. 241/1990 e all’accesso civico generalizzato di cui all’art. 5 co. 2 del D.Lgs. 33/2013.
Nell’ambito dei procedimenti penali eventualmente istaurati, l’identità del segnalante sarà coperta da segreto nei modi e nei limiti previsti dall’art. 329 c.p.p.; nell’ambito di procedimenti dinanzi alla Corte dei conti, l’identità del segnalante non sarà comunque rivelata sino alla chiusura della fase istruttoria; nell’ambito dei procedimenti disciplinari, l’identità del segnalante non sarà rivelata in tutti i casi in cui la contestazione dell’addebito disciplinare si fondi su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa, mentre potrà essere rivelata laddove concorrano, insieme, i seguenti tre presupposti: (1) che la contestazione si fondi, in tutto o in parte, sulla segnalazione, (2) che la conoscenza dell’identità del segnalante sia indispensabile per la difesa dell’incolpato e che (3) il segnalante abbia espresso un apposito consenso alla rivelazione della propria identità.
Non viene effettuata alcuna diffusione di dati personali.
9. Durata del trattamento e Periodo di conservazione dei dati personali
Ai sensi e per gli effetti dell’art. 14 del D.Lgs. 24/2023, i dati raccolti saranno conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione.
Nel caso di avvio di procedimenti (civili, penali e/o disciplinari) conseguenti alla segnalazione, i dati personali raccolti vengono conservati sino alla completa definizione degli stessi.
10. Diritti dell’interessato e modalità del loro esercizio
Ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR) a ciascun Interessato sono riconosciuti diversi diritti, di regola esercitabili contattando il Titolare o il DPO ai recapiti di cui al punto 1. della presente informativa.
In particolare, è garantito, secondo le modalità e nei limiti previsti dalla vigente normativa, l’esercizio dei seguenti diritti:
- richiedere la conferma dell'esistenza di dati personali che lo riguardino;
- conoscere la fonte e l'origine dei propri dati;
- riceverne comunicazione intelligibile;
- ricevere informazioni circa la logica, le modalità e le finalità del trattamento;
- richiedere l'aggiornamento, la rettifica, l'integrazione, la cancellazione e/o la limitazione dei dati trattati in violazione di legge, ivi compresi quelli non più necessari al perseguimento degli scopi per i quali sono stati raccolti;
- opporsi al trattamento, per motivi connessi alla propria situazione particolare;
- revocare il consenso, ove previsto come base giuridica del trattamento. La revoca non pregiudica la legittimità del trattamento precedentemente effettuato;
- nei casi di trattamento basato sul consenso, ricevere - al solo costo dell’eventuale supporto utilizzato - i propri dati, forniti al Titolare, in forma strutturata e leggibile da un elaboratore di dati e in un formato comunemente usato da un dispositivo elettronico, qualora ciò sia tecnicamente ed economicamente possibile.
Secondo il disposto del DLgs.24/2023 art.13 co. 3, gli indicati diritti possono essere esercitati nei limiti di quanto previsto dal DLgs. 196/2003 art.2-undecies.
All’interessato è inoltre riconosciuto il diritto di presentare un reclamo al Garante per la protezione dei dati personali, come da GDPR art. 77, secondo le modalità previste dall’Autorità stessa (in www.garanteprivacy.it), nonché, secondo le vigenti disposizioni di legge, adire le opportune sedi giudiziarie, a norma del GDPR art.79.