Privacy Policy*
Segnalazioni di illecito - whistleblowing
INFORMATIVA PRIVACY AI SENSI DELL'ART. 13 DEL REGOLAMENTO (UE) 2016/679 SUL TRATTAMENTO DEI DATI PERSONALI DEI SOGGETTI CHE EFFETTUANO SEGNALAZIONI DI ILLECITI (D.LGS 24/2023)
Ai sensi del Regolamento UE 679/2016 ("GDPR"), Ruzzo Reti S.p.A. ("Ruzzo Reti" o la "Società") fornisce di seguito l'informativa riguardante il trattamento dei dati personali (in qualità di segnalante, segnalato, persona interessata dalla segnalazione, facilitatore, ecc.), per finalità di gestione delle segnalazioni effettuate mediante il canale di segnalazione interno previsto dal Decreto Legislativo 10 marzo 2023 n. 24, recante "Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali".
- Titolare del trattamento
Ruzzo Reti S.p.a. con sede in Teramo, Via Nicola Dati 18, Codice Fiscale e Partita IVA 01522960671, società a capitale interamente pubblico sottoposta al controllo analogo dell'ATO N.5 TE, PEC protocollo@ruzzocert.it.
Il Responsabile della Protezione dei dati o Data Protection Officer (il "DPO") può essere contattato via email all'indirizzo dpo@ruzzo.it , oppure tramite PEC all'indirizzo dpo@ruzzocert.it , per tutte le questioni relative al trattamento dei dati personali e all'esercizio dei diritti derivanti dal Regolamento.
- Finalità del trattamento
I trattamenti saranno effettuati per la gestione del procedimento di Whistleblowing in conformità alla vigente normativa (D. lgs 24/2023), procedere alla verifica della fondatezza del fatto segnalato, all’adozione dei provvedimenti conseguenti, alla tutela in giudizio di un diritto ed alla risposta ad un’eventuale richiesta dell’Autorità giudiziaria.
- Oggetto del trattamento e dati richiesti
Qualora venga effettuata una segnalazione e il segnalante non opti per la forma anonima, Ruzzo Reti raccoglierà e tratterà le seguenti informazioni che comprendono i dati personali del soggetto segnalante, oltre alle informazioni contenute nella segnalazione stessa:
- Dati personali comuni e di contatto;
- Dati personali particolari (es. dati relativi alla salute, dati relativi all’appartenenza sindacale);
- Dati giudiziari (es. condanne penali).
I dati suindicati potranno essere integrati e/o aggiornati sulla base di informazioni reperibili pubblicamente e/o raccolte da soggetti terzi o già nella disponibilità del Titolare, al fine di verificare la fondatezza della segnalazione.
I dati forniti dal segnalante al fine di rappresentare le presunte condotte illecite delle quali sia venuto a conoscenza in ragione del proprio rapporto con la Ruzzo Reti commesse dai soggetti che a vario titolo interagiscono con il medesimo, vengono trattati allo scopo di effettuare le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto di segnalazione e l’adozione dei conseguenti provvedimenti indicati dalla procedura forniti per effettuare la segnalazione.
Al fine di garantire la riservatezza del segnalante per tutta la durata della gestione della segnalazione, l’identità dello stesso sarà conosciuta solo dai destinatari della segnalazione identificati da Ruzzo Reti mediante l’utilizzo della piattaforma DigitalPA.
Ad eccezione dei casi in cui sia configurabile una responsabilità a titolo di calunnia e di diffamazione, ai sensi delle disposizioni del codice penale o dell’art. 2043 del codice civile e delle ipotesi in cui l’anonimato non sia opponibile per legge (ad esempio, indagini penali, tributarie o amministrative, ispezioni di organi di controllo), l’identità del segnalante viene protetta in ogni contesto successivo alla segnalazione. Pertanto, fatte salve le citate eccezioni, l’identità del segnalante non può essere rivelata senza il suo espresso consenso e tutti coloro che ricevono o sono coinvolti nella gestione della segnalazione sono tenuti a tutelare la riservatezza di tale informazione.
- Base giuridica del trattamento e conseguenze del mancato conferimento dei Dati
Il trattamento whistleblowing è fondato in generale sulla base giuridica dell’adempimento di un obbligo legale, stabilito dal diritto dell’Unione e dello Stato membro (art. 6, par. 1, lett. c) e par. 3, a) e b), per prevenire e contrastare fenomeni corruttivi e promuovere una cultura della legalità, con particolare riguardo alla segnalazione degli illeciti, ai sensi e per gli effetti dell’art. 1, comma 51, della L. 190/2012, nonché del D. Lgs. 24/2023
Per i peculiari trattamenti che attengono alle operazioni connesse alla “rivelazione della identità del segnalante” ed alla “conservazione ai fini di documentazione”, devono essere fondati sulla base giuridica del consenso per espressa previsione di legge. Infatti:
- Il par. 2 dell’art. 12 del D. Lgs. 24/2023 prevede il trattamento che concerne la “rivelazione dell’identità del segnalante” a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, comunque espressamente autorizzate e istruite a trattare tali dati. Nel caso in cui si ravvisi tale necessità, è necessario acquisire un consenso libero e specifico a tal fine, giacché il suddetto art. 12, par. 2, prevede appunto che l’identità del segnalante non può essere rivelata senza il consenso espresso dello stesso. Il suddetto trattamento può riguardare anche la “rivelazione” dell’identità della persona segnalante nell'ambito del procedimento disciplinare ed è disciplinata dal par. 5 del cit. art. 12 del D. Lgs. 24/2023, a norma del quale l'identità della persona segnalante non può essere rivelata, ove la contestazione dell'addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Invece, qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità della persona segnalante sia indispensabile per la difesa dell'incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare, in presenza del consenso espresso della persona segnalante, alla rivelazione della propria identità. Tale trattamento (di rivelazione dell’identità del segnalante nel procedimento disciplinare) è collegato all’utilizzabilità di un atto per finalità di difesa e il consenso espresso del segnalante costituisce appunto condizione di utilizzabilità della segnalazione ai fini difensivi.
- Il trattamento di “conservazione e documentazione” è invece previsto dall’art. 14, par. 2 cit. del D. Lgs. 24/2023, secondo il quale se per la segnalazione si utilizza una linea telefonica registrata o un altro sistema di messaggistica vocale registrato, la segnalazione, previo consenso della persona segnalante, è documentata a cura del personale addetto mediante registrazione su un dispositivo idoneo alla conservazione e all'ascolto oppure mediante trascrizione integrale. Il par. 4, dell’art. 14 del suddetto decreto, prevede altresì che, quando su richiesta della persona segnalante, la segnalazione è effettuata oralmente nel corso di un incontro con il personale addetto, essa, previo consenso della persona segnalante, è documentata a cura del personale addetto mediante registrazione su un dispositivo idoneo alla conservazione e all'ascolto oppure mediante verbale. In caso di verbale, la persona segnalante può verificare, rettificare e confermare il verbale dell'incontro mediante la propria sottoscrizione. Ne consegue che, anche per tali operazioni di trattamento, è necessario acquisire un consenso necessario e specifico per le stesse.
Il conferimento dei dati che consentono l'identificazione del segnalante ha natura facoltativa. Tuttavia, il loro mancato conferimento potrebbe pregiudicare il buon esito dell'attività istruttoria. Anche in caso di segnalazioni prive di dati anagrafici del segnalante, quest’ultimo può risultare, in talune circostanze, identificabile da elementi di contesto. Pertanto, in tali casi, le segnalazioni non saranno considerate anonime in senso tecnico e beneficeranno delle garanzie previste dalla legge.
Il mancato conferimento dei dati di contatto del segnalante, in caso di non utilizzo della piattaforma allestita dal Titolare, non consentirà lo scambio di comunicazioni e l'eventuale integrazione delle informazioni e dei documenti, ai fini dell'istruttoria.
Il segnalante è sempre responsabile dell’esattezza e dell’aggiornamento dei dati conferiti, anche qualora i medesimi siano relativi alle persone indicate come possibili responsabili delle condotte illecite od a quelle a vario titolo coinvolte nelle vicende segnalate.
I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente
- Modalità del Trattamento e periodo di conservazione dei Dati
Il trattamento dei dati personali verrà effettuato esclusivamente con l’utilizzo di procedure anche informatizzate, dotate di strumenti di crittografia per garantire la riservatezza dell’identità del segnalante e del contenuto delle segnalazioni e della relativa documentazione, adottando misure tecniche e organizzative adeguate a proteggerli da accessi non autorizzati o illeciti, dalla distruzione, dalla perdita d’integrità e riservatezza, anche accidentali.
Il Titolare, nell’ambito della necessaria individuazione delle misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi per gli interessati nel delicato contesto in esame, ha definito il proprio modello di gestione delle segnalazioni in conformità ai principi della “protezione dei dati fin dalla progettazione” e della “protezione per impostazione predefinita”(artt. 5, par. 1, e par. 2 , 24, 25 e 32 del GDPR), tenuto conto anche delle osservazioni presentate al riguardo dal responsabile della protezione dei dati (DPO).
Considerato che il trattamento dei dati personali mediante i sistemi di acquisizione gestione delle segnalazioni presenta rischi specifici per i diritti e le libertà degli interessati – in ragione anche della particolare delicatezza delle informazioni potenzialmente trattate, della vulnerabilità degli interessati nel contesto lavorativo, nonché dello specifico regime di riservatezza dell’identità del segnalante, previsto dalla normativa di settore – e come espressamente previsto dal Decreto (art. 13, co. 6), il Titolare del trattamento ha definito il proprio modello di ricevimento e gestione delle segnalazioni, sulla base di una valutazione d’impatto sulla protezione dei dati (DPIA).
Le principali operazioni di trattamento che verranno poste in essere con riferimento ai dati personali sono la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, la consultazione, l'uso, la comunicazione.
ll trattamento dei dati personali sarà effettuato sia con strumenti manuali che informatici e telematici, con logiche di organizzazione ed elaborazione strettamente correlate alle finalità stesse e, comunque, in modo da garantire la sicurezza, l'integrità e la riservatezza dei dati stessi, nel rispetto delle misure organizzative, fisiche e logiche previste dalle disposizioni vigenti.
È esclusa l'attivazione di un processo decisionale automatizzato.
I dati personali raccolti saranno conservati a norma di legge, per il tempo necessario all’accertamento della fondatezza della segnalazione e, se del caso, all’adozione dei provvedimenti conseguenti e/o all’esaurirsi di eventuali azioni avviate a seguito della segnalazione.
- Ambito di comunicazione e di trasferimento dei Dati
Per il perseguimento delle finalità sopra delineate, possono venire a conoscenza dei Suoi dati personali:
- Il personale all’uopo formalmente autorizzato al trattamento dei dati personali, alla luce del suo ruolo all’interno della procedura di whistleblowing (soggetti interni specificamente individuati, Organismo di Vigilanza ex D. Lgs. 231/01 (OdV) e soggetti da questi specificamente individuati, consulenti esterni eventualmente coinvolti nella gestione della segnalazione);
- I soggetti, anche esterni, che forniscono servizi strumentali alle finalità di cui sopra (come, ad esempio, fornitori di servizi e piattaforme per la gestione delle segnalazioni e l'archiviazione dei dati in esse contenute), all’uopo nominati responsabili del trattamento ai sensi dell’art. 28 GDPR;
- Autorità Giudiziaria;
- Autorità Nazionale Anticorruzione (ANAC).
I dati personali non saranno comunicati a soggetti diversi da quelli sopra individuati né saranno diffusi.
Il Titolare non trasferisce i dati personali al di fuori dello Spazio Economico Europeo. Tuttavia, ove ciò si rendesse indispensabile per il perseguimento delle sopra descritte finalità, tale trasferimento avverrà unicamente a fronte dell'esistenza di accordi internazionali o decisioni di adeguatezza da parte della Commissione (ex art. 45 del GDPR) o a fronte della stipula di norme vincolanti d'impresa ("Binding Corporate Rules" o "BCR" ex art. 47 del GDPR) che garantiscano ai dati personali comunicati o traferiti, un grado di protezione adeguato.
- Diritti dell’interessato
Nella Sua qualità di interessato, Ruzzo Reti Le ricorda che ha i diritti di cui agli artt. 15-22 GDPR e, in particolare:
-
- ottenere dalla Società conferma che sia o meno in corso un trattamento dei Suoi Dati Personali e, in tal caso, di ottenere l'accesso alle informazioni di cui all'art. 15 del Regolamento;
- ottenere la rettifica dei Dati inesatti che La riguardano ovvero, tenuto conto delle finalità del trattamento, l'integrazione dei dati personali incompleti;
- ottenere la cancellazione dei Suoi Dati Personali, in presenza di uno dei motivi di cui all'art. 17 del Regolamento; si ricorda che il diritto alla cancellazione non è esercitabile nella misura in cui il trattamento sia necessario per l'adempimento di un obbligo legale o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il Titolare del trattamento od anche sia necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
- ottenere la limitazione del trattamento dei Suoi Dati Personali, qualora ricorra una delle ipotesi di cui all'art. 18 del Regolamento;
- opporsi al trattamento dei Suoi Dati Personali per motivi connessi alla Sua posizione particolare, ove applicabile;
- ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i Dati Personali che La riguardano forniti nonché di trasmettere tali Dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento, se tecnicamente possibile, nei casi ed entro i limiti di cui all'art. 20 del Regolamento, ove applicabile.
Inoltre Lei ha il diritto di revocare il consenso al trattamento dei Suoi Dati Personali (ove prestato), in qualsiasi momento, senza pregiudicare la liceità del trattamento, basato sul consenso prestato prima della revoca.
Per esercitare i Suoi diritti, Lei potrà inviare una richiesta tramite e-mail all'indirizzo: dpo@ruzzo.it, oppure tramite PEC: dpo@ruzzocert.it.
Ai sensi del Regolamento, la Società non è autorizzata ad addebitare costi per adempiere ad una delle richieste riportate in questo paragrafo, a meno che non siano manifestamente infondate o eccessive, ed in particolare abbiano carattere ripetitivo. Nei casi in cui Lei richieda più di una copia dei Suoi dati personali o nei casi di richieste eccessive o infondate, la Società potrebbe (i) addebitare un contributo spese ragionevole, tenendo conto dei costi amministrativi sostenuti per evadere la richiesta o (ii) rifiutarsi di soddisfare la richiesta. In queste eventualità la Società La informerà dei costi prima di evadere la richiesta.
La Società potrebbe richiedere ulteriori informazioni prima di evadere le richieste, qualora avesse bisogno di verificare l'identità della persona fisica che le ha presentate.
Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, Lei avrà inoltre il diritto di proporre reclamo ad un'Autorità di controllo (per l'Italia: il Garante per la protezione dei dati personali), qualora ritenga che il trattamento che lo riguarda sia effettuato in violazione del Regolamento generale sulla protezione dei dati. Ulteriori informazioni sono disponibili sul sito internet http://www.garanteprivacy.it.
In ogni caso, la Società è interessata ad essere informata di eventuali motivi di reclamo e invita a usare i canali di contatto sopra indicati prima di adire l'autorità di controllo, così da poter prevenire e risolvere eventuali controversie in modo amichevole e tempestivo.
- Modifiche alla Informativa
La presente informativa viene pubblicata e mantenuta aggiornata sul sito internet del Titolare.
Il Titolare si riserva il diritto di modificare, aggiornare, aggiungere o rimuovere parti della presente informativa, a propria discrezione ed in qualsiasi momento.
La persona interessata è tenuta a verificare periodicamente le eventuali modifiche.