Informativa in materia di trattamento dei dati personali
nell’ambito della gestione delle segnalazioni di “whistleblowing”
(Artt. 12 e 13 del Regolamento UE 2016/679 – GDPR)
Gentile utente,
sulla base di quanto previsto dagli artt. 12 e 13 del Regolamento (UE) n. 2016/679 (GDPR) viene fornita la seguente informativa in relazione al trattamento dei dati personali conferiti nell’ambito della gestione delle segnalazioni di presunte condotte illecite.
1. Titolare del trattamento
Titolare del trattamento dei dati personali è la Camera di Commercio, Industria, Artigianato e Agricoltura di Foggia, avente sede in Foggia, Via Michele Protano, n.7, P.IVA 00837390715, CF 80002570713, tel. 0881-797111, fax 0881-797333, PEC: cciaa@fg.legalmail.camcom.it , sito internet http://www.fg.camcom.gov.it/
Punto di contatto per il trattamento in oggetto: personale@fg.camcom.it
2. DPO – Data Protection Officer / RPD – Responsabile della Protezione dei Dati
Al fine di tutelare al meglio i Suoi diritti e quelli degli altri individui di cui la Camera di Commercio di Foggia tratta i dati personali, nonché in ossequio al dettato normativo (art.37 del GDPR), il Titolare ha nominato un proprio DPO, Data Protection Officer (nella traduzione italiana RPD, Responsabile della protezione dei dati personali).
I dati di contatto del DPO/RPD della Camera di Commercio di Foggia sono i seguenti:
- indirizzo di posta elettronica certificata rpd@fg.legalmail.camcom.it
- indirizzo di posta elettronica ordinaria rpd@fg.camcom.it
- recapito postale c/o Camera di Commercio di Foggia – Via Michele Protano, 7 – 71121 Foggia
3. Finalità e base giuridica del trattamento
Il trattamento dei dati personali del segnalante è necessario per ricevere e gestire le segnalazioni di presunte violazioni di disposizioni normative nazionali o dell'Unione europea che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica, di cui siano venute a conoscenza in un contesto lavorativo ai sensi e per gli effetti del D.Lgs. 10 marzo 2023, n. 24. I dati personali sono dunque acquisiti direttamente dalla “persona segnalante” in quanto contenuti nella “segnalazione” e/o in atti e documenti a questa allegati; si riferiscono alla persona segnalante e possono altresì riferirsi a soggetti diversi indicati come possibili responsabili delle condotte illecite, nonché a quelle a vario titolo coinvolte nelle vicende segnalate.
I dati personali vengono trattati dalla CCIAA allo scopo di ricevere e gestire tali segnalazioni in forma scritta o in forma orale e, più precisamente, per le necessarie attività istruttorie, finalizzate a comprovare la fondatezza di quanto segnalato, nonché, qualora ne ricorrano i presupposti, adottare adeguate misure correttive all’interno dell’Ente, anche mediante azioni disciplinari e/o giudiziarie nei confronti dei responsabili delle condotte illecite.
Il trattamento trova fondamento sulle seguenti basi giuridiche:
- per il trattamento dei dati “comuni”, la base giuridica è rappresentata dall’obbligo di legge a cui è soggetto il Titolare del trattamento (art. 6, par. 1, lett. c) del GDPR), nonché dall’esecuzione di compiti di interesse pubblico assegnati dalla legge alla CCIAA (art. 6, par. 1, lett. e) del GDPR);
- per il trattamento di dati “particolari”, la base giuridica è rappresentata dall’assolvimento di obblighi e dall’esercizio di diritti specifici del Titolare del trattamento e dell’Interessato in materia di diritto del lavoro (art. 9, par. 2, lett. b) e f), GDPR), nonché dall’esecuzione di un compito di interesse pubblico rilevante assegnato dalla legge alla CCIAA (art. 9, par. 2, lett. g), GDPR), a mente dell’art. 2-sexies lett. dd) del D.lgs. 196/2003 e s.m.i.;
- per il trattamento di dati relativi a condanne penali e reati, la base giuridica, a memoria dell’art. 10 GDPR, è rappresentata dall’obbligo di legge cui è soggetto il Titolare del trattamento (art. 6, par. 1, lett. c), GDPR) e dall’esecuzione di compiti di interesse pubblico assegnati dalla legge alla CCIAA (art. 6, par. 1, lett. e), GDPR), in ragione dell’art. 2-octies lett. a) del D.lgs. 196/2003 e s.m.i..
4. Dati di navigazione
Le modalità di gestione dei cookie vengono rese disponibili dal responsabile del trattamento mediante pubblicazione della “cookie policy” nella pagina principale della piattaforma informatica.
5. Categorie di dati personali
La ricezione e la gestione delle segnalazioni dà luogo a trattamenti di dati personali c.d. “comuni” (sono tali, ad esempio, il nome, il cognome, il ruolo lavorativo, ecc.), nonché può dar luogo, a seconda del contenuto delle segnalazioni e degli atti e documenti a queste allegati, a trattamenti di dati personali c.d. “particolari” (sono tali le tipologie di dati elencate dall’art. 9 GDPR: ad esempio, i dati relativi a condizioni di salute, orientamento sessuale o appartenenza sindacale) e di dati personali relativi a condanne penali e reati (di cui all’art. 10 GDPR).
6. Modalità di raccolta dei dati personali
I dati personali vengono raccolti prevalentemente mediante l’utilizzo della piattaforma informatica appositamente predisposta per la raccolta delle segnalazioni; vengono acquisiti mediante compilazione dei form in caso di segnalazione scritta o mediante registrazione audio in caso di segnalazione orale.
7. Natura del conferimento dei dati e conseguenze dell’eventuale mancato conferimento
I dati identificativi del segnalante, gli elementi relativi al rapporto di lavoro, servizio o fornitura, dello stesso, con la Camera di Commercio di Foggia, sono necessari.
Nel caso in cui il segnalante volesse procedere con una segnalazione anonima, non rientrando tale forma di segnalazione tra quelle tutelate dalla norma, quest’ultima verrà gestita con diverse modalità, quale “mera segnalazioni” e il “whistleblower” non godrà delle tutele previste dalla Legge.
È rimessa invece a ciascun segnalante la decisione circa quali ulteriori dati personali conferire. Maggiori sono i dettagli presenti nella segnalazione, maggiori saranno le possibilità di intervenire nell’interesse generale.
8. Soggetti autorizzati al trattamento e soggetti ai quali i dati possono essere comunicati
La Camera di Commercio di Foggia ha formalmente designato DigitalPA srl, responsabile del trattamento dei dati personali ex art. 28 del GDPR in quanto fornitore della piattaforma informatica per la raccolta e la gestione delle segnalazioni.
All’interno della CCIAA di Foggia solamente il Responsabile della prevenzione della corruzione e della trasparenza (RPCT) ha accesso alla piattaforma.
L'identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rivelate, senza il consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate a trattare tali dati.
A tutela del segnalante, solamente il RPCT è in grado di associare, ove necessario, le segnalazioni alle identità dei segnalanti. Qualora esigenze istruttorie richiedano che altri soggetti, all’interno della CCIAA, debbano essere messi a conoscenza del contenuto della segnalazione o della documentazione ad essa allegata, non verrà mai rivelata l’identità del segnalante, né verranno rivelati elementi che possano, anche indirettamente, consentire l’identificazione dello stesso. Tali soggetti, poiché potrebbero comunque venire a conoscenza di altri dati personali, sono comunque tutti formalmente autorizzati al trattamento e a ciò appositamente istruiti e formati, nonché tenuti a mantenere il segreto su quanto appreso in ragione delle proprie mansioni, fatti salvi gli obblighi di segnalazione e di denuncia di cui all'art. 331 del Codice di procedura penale.
Nell'ambito del procedimento penale, l'identità della persona segnalante è coperta dal segreto nei modi e nei limiti previsti dall'articolo 329 del codice di procedura penale (art.12, c.3, D. L.vo 24/2023).
Nell'ambito del procedimento dinanzi alla Corte dei conti, l'identità della persona segnalante non può essere rivelata fino alla chiusura della fase istruttoria (art.12, c.4, D. L.vo 24/2023).
Nell'ambito del procedimento disciplinare, l'identità della persona segnalante non può essere rivelata, ove la contestazione dell'addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità della persona segnalante sia indispensabile per la difesa dell'incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità (art.12, c.5, D. L.vo 24/2023).
La segnalazione è sottratta all'accesso previsto dagli articoli 22 e seguenti della legge 7 agosto 1990, n. 241, nonché dagli articoli 5 e seguenti del decreto legislativo 14 marzo 2013, n. 33 (art.12, c.8, D. L.vo 24/2023).
9. Trasferimento di dati verso paesi terzi
I Suoi dati personali non saranno trasferiti in Paesi terzi al di fuori dell'Unione Europea.
10. Periodo di conservazione
Le segnalazioni e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui all'articolo 12 del presente decreto e del principio di cui agli articoli 5, paragrafo 1, lettera e), del regolamento (UE) 2016/679 e 3, comma 1, lettera e), del decreto legislativo n. 51 del 2018.
11. Diritti dell’interessato e forme di tutela
Il Regolamento (UE) 2016/679 le riconosce, in qualità di Interessato, diversi diritti, che può esercitare contattando il Titolare o il RPD ai recapiti di cui ai parr. 1 e 2 della presente informativa.
Tra i diritti esercitabili, purché ne ricorrano i presupposti di volta in volta previsti dalla normativa (in particolare, artt. 15 e seguenti del Regolamento) vi sono:
- il diritto di conoscere se la Camera di Commercio di Foggia ha in corso trattamenti di dati personali che la riguardano e, in tal caso, di avere accesso ai dati oggetto del trattamento e a tutte le informazioni a questo relative;
- il diritto alla rettifica dei dati personali inesatti che la riguardano e/o all’integrazione di quelli incompleti;
- il diritto alla cancellazione dei dati personali che la riguardano;
- il diritto alla limitazione del trattamento;
- il diritto di opporsi al trattamento.
In caso di acquisizione di un suo consenso alla rivelazione dell’identità nell’ambito delle procedure descritte nella presente informativa lei avrà anche il diritto di revocare tale consenso in qualsiasi momento, senza che però ciò pregiudichi la liceità del trattamento, basato sul consenso, effettuato prima della revoca.
Per quanto attiene invece al diritto alla portabilità dei dati personali, si avvisa sin d’ora che non sussistono i presupposti indicati dall’art. 20, par. 1 del GDPR e che, di conseguenza, tale diritto non è esercitabile.
Se a voler esercitare i diritti è il soggetto segnalante, si suggerisce, a maggior tutela della riservatezza della propria identità, di esercitare tali diritti a mezzo di comunicazione inoltrata per il tramite della piattaforma informatica messa a disposizione, oppure di prendere contatto diretto con il DPO.
Se a voler esercitare i diritti è un soggetto diverso dal segnalante, si precisa che, ai sensi dell’art. 2-undecies del D.Lgs. 196/2003, i diritti non possono essere esercitati con richiesta al Titolare del trattamento o con Reclamo all’Autorità garante qualora dal loro esercizio possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del soggetto segnalante. L’esercizio dei medesimi diritti può, in ogni caso, essere ritardato, limitato o escluso.
In ogni caso, ricorrendone i presupposti, ha anche il diritto di presentare un formale Reclamo all’Autorità garante per la protezione dei dati personali, secondo le modalità che può reperire sul sito www.garanteprivacy.it .
Questa informativa è stata aggiornata dall’Ufficio Compliance in data 12-05-2023.
