Invia una segnalazione con la massima riservatezza

Privacy

 

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

EFFETTUATO NELLA GESTIONE DELLE SEGNALAZIONI DEGLI ILLECITI

DISCIPLINATE DALLA WHISTLEBLOWING POLICY DEL GRUPPO SAVE

Reg UE 2016/679

 

  1. Titolare del Trattamento

La presente informativa viene resa dalla società Aeroporto Valerio Catullo di Verona Villafranca S.p.A., con sede legale presso l’Aeroporto Civile di Verona Villafranca, Caselle di Sommacampagna (VR), P.IVA 00841510233, la quale ha provveduto a nominare il Responsabile della Protezione del Dati Personali/Data Protection Officer (RPD/DPO) contattabile al seguente indirizzo e-mail: dpo@aeroportoverona.it, di seguito per brevità definita “Società” o il “Titolare del trattamento” (o anche solo il “Titolare”) in relazione al trattamento di dati personali dei segnalanti, dei segnalati, dei facilitatori della segnalazione ed eventuali altri soggetti terzi coinvolti o menzionati nella segnalazione (nel seguito, “Interessati”) effettuato nella gestione delle segnalazioni di illeciti indirizzate alla Società rientranti nell’ambito di applicazione della “Whistleblowing Policy” - redatta in conformità a quanto previsto dalla legge 30 novembre 2017 n. 179 recante “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato” e dal D.Lgs. 10 marzo 2023, n. 24, di attuazione della direttiva (UE) 2019/1937 e riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e delle disposizioni normative nazionali - pubblicata nell’area dedicata alle Policies della piattaforma Whistleblowing https://catullo.segnalazioni.net/.
 

 

  1. Tipologia di dati trattati

Sono raccolti e trattati i seguenti dati personali:

  1. Dati personali di natura comune (es. dati anagrafici, dati di contatto, etc.) del segnalante, del segnalato, dei facilitatori della segnalazione ed eventuali altri soggetti terzi coinvolti o menzionati nella segnalazione che dovessero essere riportati nella segnalazione.
  2. Qualora riportati nella segnalazione o, in seguito, acquisiti nell’ambito della gestione della segnalazione e nella conduzione della relativa istruttoria, potranno essere oggetto di trattamento anche dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose e/o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati biometrici, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale degli interessati e dati giudiziari, relativi a reati e condanne penali.

I soggetti interessati sono (o possono essere): l’autore della segnalazione (il segnalante), la persona (o le persone) interessata dalla segnalazione (il segnalato/i segnalati), la persona fisica che assiste il segnalante nel processo di segnalazione, operante all’interno del medesimo contesto lavorativo del segnalante e la cui assistenza deve essere mantenuta riservata (il facilitatore della segnalazione), ed eventuali altri soggetti terzi coinvolti o menzionati nella segnalazione che dovessero essere riportati nella segnalazione o che dovessero venire in rilievo nel corso dell’istruttoria conseguente alla segnalazione.

 

  1. Fonte dei dati personali

Il Titolare raccoglie i dati attraverso le segnalazioni indirizzate alla Società e, successivamente, nel corso dell’istruttoria conseguente alla segnalazione. I dati degli interessati, contenuti nella segnalazione, sono forniti direttamente dal segnalante. Segnalanti possono essere dipendenti e/o collaboratori, tirocinanti, consulenti, azionisti, persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza, e, in generale, tutti gli stakeholder del Titolare, di società del Gruppo SAVE o qualsiasi soggetto portatore di un interesse legittimo. Le segnalazioni possono essere nominative oppure anonime.

Per preservare le finalità investigative, nei casi previsti dalla legge, il segnalato, ai sensi dell’art. 14, co. 5, lett. d) del GDPR, può non essere immediatamente messo a conoscenza del trattamento dei propri dati effettuato da parte del Titolare, fintanto che sussista il rischio di compromettere la possibilità di verificare efficacemente la fondatezza della denuncia o di raccogliere le prove necessarie.

 

  1. Finalità e base giuridica del Trattamento

I dati personali degli interessati sono trattati per le finalità connesse all’applicazione della Whistleblowing Policy, preordinata alla gestione - in conformità a quanto previsto dalla Legge 30 novembre 2017 n. 179 e dal D.Lgs. 10 marzo 2023, n. 24, recante l’attuazione della direttiva (UE) 2019/1937 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e delle disposizioni normative nazionali - delle segnalazioni di eventuali violazioni delle disposizioni normative nazionali o dell’Unione Europea che ledono l’interesse pubblico o l’integrità della Società, nonché di condotte illecite rilevanti ai sensi del D.Lgs. 8 giugno 2001, n. 231 da parte di chiunque ne sia venuto a conoscenza nell’ambito del rapporto di lavoro o di collaborazione con la Società o, comunque, nel contesto lavorativo.

L’adozione della Policy Whistleblowing e il trattamento di dati personali conseguente alla ricezione delle segnalazioni avvengono, pertanto, sulla base di un obbligo di legge a cui è soggetto il Titolare.

Con riguardo ad un eventuale trattamento dei dati personali successivo alla chiusura dell’istruttoria sulla segnalazione, la base giuridica è rappresentata dal legittimo interesse del Titolare all’esercizio dei propri diritti ed eventualmente alla difesa in giudizio in tutti i casi in cui si renda necessario (e.g., riapertura di procedimenti giudiziari, richieste di risarcimento danni correlate alla segnalazione), ai sensi dell’art. 6, co. 1, lett. f) e dell’art. 9, co. 2, lett. f) del GDPR.

 

  1. Comunicazione dei dati a terzi - Destinatari dei dati

Le segnalazioni ed i dati personali degli interessati saranno raccolti e trattati unicamente dalla persona e/o dalle persone incaricate alla gestione del canale di segnalazione, debitamente formate e nominate quali soggetti autorizzati al trattamento ai sensi della normativa vigente in materia di tutela dei dati personali.

Le segnalazioni ed i dati personali degli interessati, inoltre, potranno essere comunicati ai soggetti coinvolti nella gestione della segnalazione, quali l’Ufficio Risorse Umane e l’Ufficio Legale del Titolare, nonché i consulenti e i professionisti esterni di cui la Società si avvale (es. legali esterni a mandato, società di investigazioni private), nel rispetto delle previsioni di legge in materia di tutela dei dati personali.

L’identità della persona segnalante e qualsiasi altra informazione da cui possa evincersi, direttamente o indirettamente, tale identità, non potranno essere rivelate, senza il consenso espresso della stessa, a soggetti diversi da quelli sopra indicati.

È fatta salva la comunicazione dei dati personali degli interessati ad enti pubblici ed alle pubbliche autorità (ivi incluse quelle amministrative, giudiziarie e di pubblica sicurezza), qualora ne ricorrano i presupposti o la comunicazione sia necessaria per adempiere ad un ordine dell’autorità stessa ovvero ad un obbligo di legge.

L’identità della persona segnalante non potrà essere rivelata nemmeno nell’ambito dei procedimenti disciplinari che dovessero scaturire dalla segnalazione, qualora la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione medesima, anche se conseguenti alla stessa. Ove, invece, la contestazione disciplinare sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità. In tale ultimo caso, alla persona segnalante verranno comunicate per iscritto le ragioni della rivelazione dei dati riservati; analoga comunicazione verrà fornita alla persona segnalante qualora la rivelazione della sua identità e le informazioni da cui la stessa possa evincersi, direttamente o indirettamente, risulti indispensabile anche ai fini della difesa di qualsiasi persona coinvolta.

I dati vengono trattati, in qualità di Responsabile del trattamento, ai sensi dell’art. 28 del GDPR, dalla società Digital PA S.r.l., con sede in Cagliari, via San Tommaso d’Acquino, 18/a, (e-mail: privacy@digitalpa.it) che gestisce la piattaforma di Whistleblowing e garantisce lo storage dei dati personali trattati in cloud.

Il Titolare, ai sensi degli articoli 28 e 29 del GDPR, fornisce al Responsabile del trattamento istruzioni operative per assicurare la riservatezza e la sicurezza del trattamento dei dati personali, garantire la conformità alla normativa applicabile e la tutela degli Interessati al trattamento.

 

  1. Modalità di trattamento, periodo e criteri di conservazione dei dati

I dati verranno trattati prevalentemente attraverso strumenti informatici e/o automatizzati nell’ambito della piattaforma Whistleblowing, con logiche correlate alle finalità sopraindicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati.

I dati verranno trattati per il tempo necessario alla gestione della specifica segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione (art. 14 del D.Lgs. 24/2023).

 

  1. Conferimento dei dati

Il conferimento dei dati del segnalante è obbligatorio nella “segnalazione nominativa” (con gestione dell’identità riservata). Un eventuale rifiuto al conferimento dei dati nella “segnalazione nominativa” rende impossibile seguire l’iter della procedura descritta nella Policy Whistleblowing.

Il conferimento dei dati del segnalante è facoltativo nella “segnalazione anonima” (che non richiede preventiva registrazione e identificazione). Tuttavia, la segnalazione anonima sarà presa in considerazione soltanto se adeguatamente circostanziata e riferita a fatti e situazioni determinati.

 

  1. Trasferimento dei dati a Paesi Terzi

I dati trattati non vengono trasferiti dal Titolare verso Paesi terzi. Tuttavia, in caso di eventuale trasferimento di dati verso Paesi Terzi il trasferimento stesso avverrà nel rispetto della normativa di volta in volta vigente in tema di trasferimento di dati verso Paesi Terzi.

  1. Profilazione e processi decisionali automatizzati

Il trattamento non viene effettuato mediante processi decisionali automatizzati (es. profilazione).

  1. Diritti dell’interessato, Revoca del Consenso e Reclamo all’Autorità di controllo

Fatta eccezione per quanto riportato nel paragrafo che segue, gli interessati al trattamento possono chiedere al Titolare l’accesso ai dati che li riguardano, la loro rettifica, l’integrazione o la loro cancellazione, nonché la limitazione del trattamento o qualsiasi altro diritto di cui agli articoli da 15 a 22 del GDPR, ricorrendone i presupposti, che dovranno essere evidenziati nella richiesta. L’esercizio di tali diritti potrà, comunque, essere limitato qualora esistano interessi legittimi prevalenti sugli interessi, diritti e libertà dell’interessato, anche connessi all’accertamento, all’esercizio o alla difesa di un diritto in sede giudiziaria o ad altri obblighi di legge che il Titolare deve assolvere o ad eventuali disposizioni delle Autorità Pubbliche o dell’Autorità Giudiziaria o degli Organi di Polizia.

La persona coinvolta o la persona menzionata nella segnalazione non possono esercitare i diritti che il GDPR riconosce agli interessati con riferimento ai propri dati personali trattati nell’ambito della segnalazione (il diritto di accesso ai dati personali, il diritto a rettificarli, il diritto di ottenerne la cancellazione o cosiddetto diritto all’oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati personali e quello di opposizione al trattamento). Ciò in quanto dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona segnalante. In tali casi, dunque, al soggetto segnalato o alla persona menzionata nella segnalazione è preclusa anche la possibilità, laddove ritengano che il trattamento che li riguarda violi suddetti diritti, di rivolgersi al titolare del trattamento e, in assenza di risposta da parte di quest’ultimo, di proporre reclamo al Garante della protezione dei dati personali.

Nei casi diversi da quello sopra enunciato, gli interessati al trattamento hanno diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali in caso di trattamento illegittimo od illecito dei propri dati da parte del Titolare.

Qualora il trattamento sia basato sul consenso, l’interessato ha il diritto di revocare in ogni momento il consenso prestato al trattamento dei dati, senza che ciò pregiudichi la liceità del trattamento basato sul consenso prestato prima della revoca.

 

  1. Contatti e richieste

Per conoscere l’elenco completo del Referenti Privacy del trattamento nominati per ciascuna area e attività e dei Responsabili/per avere maggiori informazioni in ordine al trasferimento dei dati verso Paesi extra UE, i meccanismi e le tutele di trasferimento dei dati ex art 44 ss GDPR/ per esercitare la revoca del consenso eventualmente prestato/ per esercitare i Suoi diritti (accesso, rettifica, cancellazione, limitazione, opposizione, portabilità) potrà inviare una richiesta al contatto email: privacy@aeroportoverona.it