Invia una segnalazione con la massima riservatezza

Privacy

INFORMATIVA PRIVACY

Gestione delle segnalazioni di “Whistleblowing”

 

Con la presente informativa la Camera di Commercio, Industria, Artigianato e Agricoltura di Sassari (di seguito, anche Titolare del Trattamento o, Camera di Commercio, o CCIAA) fornisce agli Interessati le indicazioni previste dagli articoli 13 e 14 del Regolamento UE 2016/679 (detto anche GDPR o Regolamento Generale per la Protezione dei Dati personali), in merito al trattamento dei dati personali rilevanti nell’ambito dell’attività istituzionale in oggetto.

 

1.         Titolare del trattamento

Titolare del trattamento dei dati personali è la Camera di Commercio, Industria, Artigianato e Agricoltura di Sassari, con sede legale in via Roma, 74 - 07100 Sassari, Telefono: +390792080274 PEC: cciaa@ss.legalmail.camcom.it; mail: segreteria.generale@ss.camcom.it

2.         DPO (Data Protection Officer) o RPD (Responsabile della Protezione dei Dati personali)

Al fine di meglio tutelare gli Interessati, nonché in ossequio al dettato normativo, il Titolare ha nominato un proprio DPO, Data Protection Officer (o RPD, Responsabile della Protezione dei Dati personali). È possibile prendere contatto con il DPO della CCIAA di Sassari al seguente recapito e-mail: rpd-privacy@ss.camcom.it.

3.         Tipi di dati trattati e finalità del trattamento

I dati personali trattati vengono acquisiti dalla CCIAA direttamente dal soggetto che, nell’interesse dell’integrità dell’Ente, segnala presunte condotte illecite delle quali sia venuto a conoscenza in ragione del proprio rapporto di lavoro, servizio o fornitura con la CCIAA.

I dati personali sono dunque acquisiti in quanto contenuti nella segnalazione e/o in atti e documenti a questa allegati, si riferiscono al soggetto segnalante e possono altresì riferirsi a persone indicate come possibili responsabili delle condotte illecite, nonché a quelle a vario titolo coinvolte nelle vicende segnalate.

I dati personali vengono trattati dalla CCIAA e vengono utilizzati esclusivamente allo scopo di ricevere e gestire tali segnalazioni e - in particolare - al fine di gestire le necessarie attività istruttorie volte a verificare la fondatezza di quanto segnalato, tutelando la riservatezza del segnalante, nell’interesse dell’integrità del Titolare come previsto dall’art. 54-bis del D.Lgs. 165/2001, nonché, se del caso, adottare adeguate misure correttive all’interno dell’Ente ed intraprendere le più opportune azioni disciplinari e/o giudiziarie nei confronti dei responsabili delle condotte illecite.

I dati non saranno utilizzati per finalità diverse da quelle sopra indicate. I dati personali che manifestamente non sono utili al trattamento della specifica segnalazione non saranno raccolti o, se raccolti accidentalmente, saranno immediatamente cancellati.

 

 

 

4.         Base giuridica del trattamento

I dati personali sono trattati dal Responsabile della Prevenzione della Corruzione e della Trasparenza, e da altri soggetti obbligati che eventuali esigenze istruttorie abbiano richiesto di coinvolgere per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento e, con riguardo a particolari categorie di dati, per l'esecuzione dei propri compiti di interesse pubblico o comunque connessi all'esercizio dei propri pubblici poteri, con particolare riferimento al compito di accertare eventuali illeciti denunciati nell’interesse dell’integrità della CCIAA, ai sensi dell’art. 54-bis del D.Lgs. n. 165/2001.

Il trattamento trova fondamento sulle seguenti basi giuridiche:

  • per i dati comuni, obbligo di legge a cui è soggetto il Titolare del trattamento, ex art. 6, par. 1, lett. c), GDPR, nonché esecuzione di un compito di interesse pubblico, ex art. 6, par. 1, lett. e) GDPR;
  • per i dati relativi a condanne penali e reati, considerato il disposto dell’art. 10 GDPR, obbligo di legge a cui è soggetto il Titolare del trattamento, ex art. 6, par. 1, lett. c) GDPR, esecuzione di un compito di interesse pubblico, ex art. 6, par. 1, lett. e), GDPR, nonché art. 2octies, lett. a), D.Lgs. n. 196/2003;
  • per i dati c.d. “particolari”, assolvimento di obblighi ed esercizio di diritti specifici del Titolare del trattamento e dell’Interessato in materia di diritto del lavoro, ex art. 9, par. 2, lett. b), GDPR, esecuzione di un compito di interesse pubblico rilevante, ex art. 9, par. 2, lett. g), GDPR, nonché ex art. 2sexies, comma 2, lett. dd), D.Lgs. 196/2003;
  • per quanto concerne la rilevazione dell’identità del segnalante, esclusivamente nei casi previsti dalla legge n. 179/2017, la base giuridica del trattamento è il consenso, ex art. 6, par. 1, lett. a) GDPR.

I dati verranno trattati nel rispetto dei principi del GDPR di liceità, correttezza, trasparenza e minimizzazione e devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati, in base al disposto dell’art. 5, par. 1, lettere a) e c) del GDPR.

Le ragioni sottese alla scelta della base giuridica sono riscontrabili nelle seguenti disposizioni: Legge 29 dicembre 1993, n. 580 e ss.mm, D.Lgs. n. 165/2001.

5.         Fonte di origine dei dati personali

I dati personali trattati sono quelli forniti dall’interessato nella segnalazione e negli eventuali allegati alle medesima.

Ulteriori dati personali potranno essere acquisiti dalla Camera di Commercio a seguito dell’istruttoria che potrà avvalersi anche di banche dati di soggetti pubblici (es: Casellario giudiziario, Agenzia delle Entrate, INPS, INAIL, etc.).

6. Conferimento dei dati

I dati identificativi del segnalante e la qualifica/mansione da egli svolta sono necessari in quanto, come precisato da ANAC con Delibera n. 469 del 9 giugno 2021, “l’art. 54 bis non include nel proprio campo di applicazione le segnalazioni anonime cioè quelle del soggetto che non fornisce le proprie generalità”.

Resta fermo che le segnalazioni anonime e quelle che pervengono da soggetti estranei alla P.A. (cittadini, organizzazioni, associazioni etc.) possono essere comunque considerate dall’Amministrazione o dall’Autorità nei procedimenti di vigilanza “ordinari”.

Le segnalazioni, anche se inviate in forma anonima in prima istanza, potranno essere successivamente integrate con le generalità del segnalante ai fini di acquisire l'eventuale tutela legale

7.         Soggetti autorizzati a trattare i dati e Responsabili del trattamento

A tutela del segnalante, all’interno della CCIAA solamente il Responsabile della Prevenzione della Corruzione e della Trasparenza (RPCT), specificatamente delegato dal Titolare quale soggetto autorizzato al trattamento, è in grado di associare le segnalazioni alle identità dei segnalanti, e/o dal personale del Suo Ufficio, nei limiti previsti dalla legge, che agisce sulla base di specifiche istruzioni fornite in ordine a finalità e modalità del trattamento medesimo e tenuto ad un obbligo di riservatezza e di segreto d’ufficio penalmente sanzionato, al fine di consentire al Titolare il rispetto della normativa in materia per le esigenze di verifica e accertamento dei fatti segnalati e/o per gli eventuali successivi procedimenti disciplinari a carico della persona oggetto di segnalazione.

Qualora esigenze istruttorie richiedano che altri soggetti, all’interno della CCIAA, debbano essere messi a conoscenza del contenuto della segnalazione o della documentazione ad essa allegata, non verrà mai rivelata l’identità del segnalante, né verranno rivelati elementi che possano, anche indirettamente, consentire l’identificazione dello stesso. Tali soggetti, poiché potrebbero comunque venire a conoscenza di altri dati personali, sono comunque tutti formalmente autorizzati al trattamento e a ciò appositamente istruiti e formati, nonché tenuti a mantenere il segreto su quanto appreso in ragione delle proprie mansioni, fatti salvi gli obblighi di segnalazione e di denuncia di cui all'art. 331 del Codice di procedura penale.

I dati possono essere trattati anche da soggetti esterni, formalmente nominati dalla CCIAA quali Responsabili del trattamento ed appartenenti alle seguenti categorie:

  1. società che erogano servizi di manutenzione e di conduzione applicativa del sistema di gestione delle segnalazioni;
  2. società che erogano servizi di gestione e manutenzione dei sistemi informativi dell’Ente, con particolare riguardo ai servizi di archiviazione documentale.

La Piattaforma è accessibile via Internet all’indirizzo https://ss.camcom.segnalazioni.it e garantisce l’impiego di adeguate misure di sicurezza (es: cifratura dei dati identificativi dei soggetti coinvolti nonché dei documenti inerenti la segnalazione), organizzative e tecniche per tutelare le informazioni dalla loro conoscibilità, dall’alterazione, dalla distruzione, dalla perdita, dal furto o dall’utilizzo improprio o illegittimo

Tali soggetti hanno facoltà di ricorrere ad ulteriori, propri Responsabili del trattamento, operanti nei medesimi ambiti.

I dati possono altresì essere comunicati a ulteriori soggetti esterni, operanti in qualità di Titolari autonomi del trattamento e appartenenti alle seguenti categorie:

  • altri Enti del Sistema camerale;
  • ogni altra Pubblica Amministrazione o altri soggetti fisici e giuridici che ne facciano richiesta in base a facoltà normativamente previste.

Resta fermo l’obbligo della Camera di Commercio di comunicare i dati all’Autorità Giudiziaria, alla Corte dei Conti e all’Anac o ad altro soggetto pubblico legittimato a richiederli nei casi previsti dalla legge.

L’uso della piattaforma Google IC Suite per la posta elettronica e per l'erogazione del servizio potrebbe determinare il trasferimento dei dati trattati in paesi extra Unione Europea (UE). Tale eventuale trasferimento avviene: laddove sussista una decisione di adeguatezza della Commissione Europea, sulla base di tale provvedimento; laddove invece non sussista una decisione di adeguatezza, il trasferimento avviene sulla base di clausole contrattuali standard conformi alla Decisione 2010/87/UE della Commissione Europea. In ogni caso il trasferimento in parola si configura come necessario per importanti motivi di interesse pubblico, a norma dell’art. 49, par. 1, lett. d) e par. 4 del Regolamento UE, connesse al perseguimento degli obiettivi di efficienza e di efficacia amministrativa secondo i principi della legge 241/90 e del d. lgs.150/2009.

La piattaforma Google IC Suite è fornita da Google Ireland Limited, una società costituita e operativa ai sensi della legge Irlandese (Numero di registrazione: 368047), con sede a Gordon House, Barrow Street, Dublino 4, Irlanda. Per informazioni sulle modalità di trattamento dei dati raccolti da Google, si invita a leggere le note informative rinvenibili al seguente link: https://policies.google.com/terms

Al trasferimento dei dati in Irlanda si applicano le disposizioni del GDPR.

8.         Comunicazione e diffusione

I dati personali del segnalante, delle persone indicate come possibili responsabili delle condotte illecite, nonché delle persone a vario titolo coinvolte nelle vicende segnalate, possono essere trasmessi all’Autorità Giudiziaria, alla Corte dei Conti e all’ANAC, Autorità nazionale anticorruzione. Tali soggetti sono, tutti, Titolari autonomi del trattamento.

Alla segnalazione e all’identità del segnalante non è possibile accedere né a mezzo accesso documentale, né a mezzo accesso civico generalizzato.

Nell’ambito dei procedimenti penali eventualmente istaurati, l’identità del segnalante sarà coperta da segreto nei modi e nei limiti previsti dall’art. 329 c.p.p.; nell’ambito di procedimenti dinanzi alla Corte dei conti, l’identità del segnalante non sarà comunque rivelata sino alla chiusura della fase istruttoria; nell’ambito dei procedimenti disciplinari, l’identità del segnalante non sarà rivelata in tutti i casi in cui la contestazione dell’addebito disciplinare si fondi su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa, mentre potrà essere rivelata laddove concorrano, insieme, i seguenti tre presupposti: (1) che la contestazione si fondi, in tutto o in parte, sulla segnalazione, (2) che la conoscenza dell’identità del segnalante sia indispensabile per la difesa dell’incolpato e che (3) il segnalante abbia espresso un apposito consenso alla rivelazione della propria identità.

Non viene effettuata alcuna diffusione di dati personali.

9.         Misure di sicurezza

L'Ente adotta idonee misure di sicurezza tese a ridurre il verificarsi di eventi accidentali o illeciti che comportino la distruzione, la perdita, la modifica, la divulgazione e l'accesso non autorizzato ai dati personali trattati, e conformi ai principi di cui all’art. 32 del Regolamento UE 2016/679, nonché ogni altra misura obbligatoria di legge.

 

10.       Periodo di conservazione dei dati

I dati raccolti saranno conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, secondo quanto disposto dall’art. 5 GDPR, ovvero all’accertamento della fondatezza della segnalazione e, se del caso, all’adozione dei provvedimenti disciplinari conseguenti e/o all’esaurirsi di eventuali contenziosi avviati a seguito della segnalazione. In caso di archiviazione della segnalazione, i dati personali vengono conservati per un periodo massimo di 5 anni. Laddove la segnalazione non venga archiviata, i dati personali vengono conservati sino alla definizione dei procedimenti avviati dagli uffici o dagli Enti destinatari della segnalazione e, successivamente per un periodo massimo di 10 anni, in conformità alle norme sulla conservazione amministrativa e fiscale e al piano di fascicolazione e conservazione delle Camere di commercio allegato al manuale di gestione documentale in uso presso l’ente.

11.       Diritti dell’interessato e forme di tutela

Il Regolamento UE 2016/679 riconosce a ciascun Interessato diversi diritti, di regola esercitabili contattando il Titolare o il DPO ai recapiti di cui ai punti 1 e 2 della presente informativa.

Tra i diritti esercitabili, purché ne ricorrano i presupposti di volta in volta previsti dalla normativa (in particolare, artt. 15 e seguenti del GDPR ed art. 2-undecies del D. Lgs. 196/03), vi sono:

  • il diritto di conoscere se la CCIAA ha in corso trattamenti di dati personali che riguardano l’istante e, in tal caso, di avere accesso ai dati oggetto del trattamento e a tutte le informazioni a questo relative;
  • il diritto alla rettifica dei dati personali inesatti e/o all’integrazione di quelli incompleti;
  • il diritto alla cancellazione dei dati personali;
  • il diritto alla limitazione del trattamento;
  • di opporsi al trattamento, per motivi connessi alla propria situazione particolare;
  • revocare il consenso, ove previsto come base giuridica del trattamento. La revoca non pregiudica la  legittimità del trattamento precedentemente effettuato;
  • il diritto di opporsi al trattamento.

In caso di acquisizione di consenso del segnalante alla rivelazione dell’identità nell’ambito di procedimenti disciplinari, il segnalante avrà anche il diritto di revocare tale consenso in qualsiasi momento, senza che però ciò pregiudichi la liceità del trattamento, basato sul consenso, effettuato prima della revoca.

Per quanto attiene invece al diritto alla portabilità dei dati personali, si avvisa sin d’ora che non sussistono i presupposti indicati dall’art. 20, par. 1 del GDPR e che, di conseguenza, tale diritto non è esercitabile.

Il segnalante ha anche il diritto di proporre un formale Reclamo all’Autorità Garante per la Protezione dei Dati Personali, a norma dell’art. 77 del GDPR, secondo le modalità reperibili sul sito

https://www.gpdp.it/home/diritti/come-agire-per-tutelare-i-tuoi-dati-personali

ovvero, ex art. 79 GDPR, ricorrere all’autorità giudiziaria nei modi e nei tempi previsti dalla legge.

Nel sito internet istituzionale, sia nella Sezione Amministrazione Trasparente (Disposizioni generali-Atti generali), sia nella sezione Privacy (Adempimenti), è consultabile il Regolamento camerale relativo alla Procedura di gestione delle richieste di esercizio dei diritti degli interessati ai sensi del Regolamento UE 679/2016. Sulla base del predetto regolamento gli interessati possono esercitare i loro diritti mediante l’apposito modulo scaricabile dalla pagina del sito URP/Modulistica.