INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI DEL SEGNALANTE PER LE SEGNALAZIONI EFFETTUATE AI SENSI DELLA NORMATIVA SUL CD. “WHISTLEBLOWING”
*****
L’Autorità di Sistema Portuale del Mare di Sicilia Occidentale (“AdSP”), prima di poter acquisire i Suoi dati personali per finalità di gestione delle segnalazioni ai sensi della normativa sul cd. “Whistleblowing” (d.lgs. n. 10 marzo 2023, n. 24), La invita a leggere attentamente la presente informativa sul trattamento dei dati personali rilasciata ai sensi dell’art. 13 del Regolamento UE 2016/679 (“Regolamento” o “GDPR”).
Con Decreto n. 458 del 6 dicembre 2023, l’AdSP ha provveduto ad adottare la “Procedura per la segnalazione e la gestione di condotte illecite (WHISTLEBLOWING) e disciplina della tutela delle persone segnalanti illeciti (WHISTLEBLOWERS)” (di seguito, la “Policy Whistleblowing”) – pubblicata nell’apposita sezione del sito istituzionale dell’ente in data 18 dicembre 2023 – al fine di disciplinare, dal punto di vista procedurale e operativo, la gestione delle Segnalazioni (come di seguito definite).
Il Titolare mette a disposizione la presente piattaforma tecnologica (di seguito, il “Portale”) per consentire la segnalazione di eventuali condotte o comportamenti illeciti o illegittimi, commissivi o omissivi, nel contesto lavorativo e istituzionale dell’AdSP che costituiscono o possano costituire una violazione (diretta o indotta) dei Regolamenti interni adottati dall’ente o delle norme che regolano il funzionamento dell’ente, nonché violazioni che consistono in illeciti amministrativi, contabili, civili o penali o altresì violazioni di specifiche disposizioni nazionali ed europee (di seguito, “Segnalazione”).
L’accesso al Portale può essere effettuato attraverso due modalità: i) tramite registrazione, per gli utenti che intendono effettuare una Segnalazione rilasciando i propri dati identificativi (nome, cognome, username, e-mail per avere conferma della registrazione al Portale); ii) senza registrazione, in anonimato, per gli utenti che non intendono rilasciare alcun proprio dato identificativo.
Per maggiori informazioni sul Portale, sul suo funzionamento, sulle modalità di inoltro delle Segnalazioni e sulla loro gestione da parte delle funzioni interne incaricate dall’AdSP, puoi consultare le apposite FAQ pubblicate nel Portale.
- Titolare del trattamento, Responsabile della protezione dei dati
Il Titolare del trattamento dei Suoi dati personali, ovvero il soggetto che definisce le modalità e finalità del trattamento dei Suoi dati personali, è l’Autorità di Sistema Portuale del Mare di Sicilia Occidentale (di seguito, “Titolare”), con sede in Via Piano dell’Ucciardone n. 4, 90139 – Palermo. Il Titolare è contattabile al seguente indirizzo e-mail: info@portpalermo.it.
Il Titolare ha provveduto, ai sensi dell’art. 37 del GDPR, a nominare un Responsabile della Protezione dei Dati (di seguito, “DPO”). Il DPO è contattabile al seguente indirizzo e-mail: dpo@portpalermo.it.
- Categorie e tipi di dati personali oggetto del trattamento
In caso di accesso tramite registrazione, il Portale acquisirà i dati strettamente necessari al fine di identificare il segnalante e creare un’utenza tramite cui l’utente potrà seguire lo stato di avanzamento della sua Segnalazione (nome, cognome, indirizzo e-mail).
Nei casi di accesso in anonimato, il Portale è progettato affinché non venga richiesto nessun dato identificativo del segnalante. Il Portale assegna solo un Codice Identificativo Unico della segnalazione.
A prescindere dalla tipologia di accesso, qualora l’utente intenda inoltrare una Segnalazione in forma vocale, funzionalità abilitata dal Portale, il Titolare tratterà altresì i dati relativi alla registrazione (voce).
Per garantire la riservatezza e la protezione dell’identità del segnalante, l’accesso al Portale è soggetto alla politica “no-log”. Ciò significa che: i) qualora l’accesso venga effettuato da un dispositivo non connesso alla rete del Titolare, i sistemi informativi dell’AdSP non sono in grado di identificare il punto di accesso al portale (indirizzo IP); ii) nei casi in cui, invece, l’accesso avviene tramite un dispositivo connesso alla rete del Titolare (sorvegliata per legittimi fini di tutela del proprio patrimonio informativo), l’AdSP si riserva di implementare soluzioni tecniche e organizzative adeguate per impedire di risalire all’utente che effettua la segnalazione.
Nel corso delle attività istruttorie e di indagine successive alla ricezione di una Segnalazione, il Titolare potrebbe eventualmente richiedere (sempre attraverso le figure incaricate e tramite le funzionalità abilitate dal Portale) informazioni aggiuntive solo ed esclusivamente nella misura in cui queste risultino strettamente necessarie ai fini della valutazione della ricevibilità della Segnalazione stessa (verifica che la segnalazione rientri nel campo di applicazione della Policy Whistleblowing e che siano stati forniti dati ed informazioni utili a consentirne una prima valutazione). Ove indispensabile, nei casi previsti dalla legge, il Titolare potrebbe altresì chiederle di rivelare la Sua identità: in questi casi, l’AdSP potrà utilizzare i suoi dati solo ed esclusivamente previo suo espresso consenso.
Durante la effettuazione di una Segnalazione attraverso il Portale, la invitiamo a non fornire dati rientranti nelle cd. “categorie particolari” ai sensi dell’art. 9 del GDPR, ovvero dati idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale e dati cd. giudiziari ai sensi dell’art. 10 del GDPR (ovvero dati relativi a condanne penali e reati). Questo, a meno che ciò non sia strettamente necessario ai fini dell’invio della Segnalazione.
- Finalità e base giuridica del trattamento dei dati personali
La finalità del trattamento effettuato sui suoi dati personali è la gestione del procedimento di whistleblowing. In particolare, il trattamento prevede: i) la necessità di accertare la ricevibilità della Segnalazione; ii) la necessità di verificare la fondatezza della stessa e, nel caso, la ricostruzione delle cause e delle conseguenze dei fatti segnalati nonché le relative responsabilità; iii) l’adozione di misure correttive e di prevenzione nonché eventuali provvedimenti disciplinari e, ove necessario, il ricorso alle Autorità competenti.
La base giuridica del trattamento dei dati personali conferiti in occasione delle Segnalazioni è rappresentata dall’obbligo legale (art. 6.1. lett. c) del GDPR) in applicazione della normativa di cui al d.lgs. n. 10 marzo 2023, n. 24.
- Funzioni interne competenti al trattamento
Per il Titolare, la funzione interna coinvolta nel processo di esame delle segnalazioni è il Responsabile della prevenzione della corruzione e della trasparenza (“RPCT”) individuato dall’AdSP.
Nei casi previsti dalla Policy Whistleblowing – o comunque qualora ritenuto opportuno – il RPCT potrebbe coinvolgere ulteriori soggetti interni, a loro volta appositamente incaricati e tenuti a rispettare specifiche istruzioni in tema di ricezione, analisi e gestione delle Segnalazioni.
- Destinatari e trasferimento dei dati
I Suoi dati personali e, più in generale, tutti i dati personali comunicati con la Segnalazione, unitamente alla documentazione a supporto della medesima, potrebbero essere condivisi, nella misura strettamente necessaria, con i seguenti soggetti obbligati alla riservatezza:
- eventuali consulenti legali esterni, con i quali il Titolare ha stipulato contratti per il trattamento dei dati personali ai sensi dell’art. 28 del GDPR e che, quindi, agiscono in qualità di responsabili del trattamento, che possano fornire attività di consulenza relativamente alla gestione della Segnalazione;
- Digital PA S.r.l., con sede legale in Via S. Tommaso d’Aquino n. 18A, 09134 – Cagliari, fornitore del Portale, appositamente nominata responsabile del trattamento ai sensi dell’art. 28 del GDPR;
- soggetti, enti o autorità – autonomi titolari del trattamento – a cui sia obbligatorio comunicare i dati personali in forza di disposizioni di legge o di ordini delle autorità.
- Trasferimento dei dati extra UE
I suoi dati personali non saranno trasferiti al di fuori dello Spazio Economico Europeo.
- Conservazione dei dati
I suoi dati personali saranno conservati solo per il tempo necessario ai fini per cui sono raccolti, rispettando il principio di minimizzazione di cui all’articolo 5(1)(c) del GDPR e, in particolare, per cinque anni dall’invio della Segnalazione, in ragione del termine di prescrizione dell’eventuale azione scaturente dalla medesima Segnalazione.
Maggiori informazioni sono disponibili presso il Titolare contattabile ai recapiti sopra indicati.
- Modalità di trattamento dei dati
Il trattamento dei dati avverrà tramite supporti e/o strumenti informatici, manuali e/o telematici, con logiche strettamente correlate alle finalità del trattamento e comunque garantendo la riservatezza e sicurezza dei dati stessi e nel rispetto del Regolamento.
Il trattamento dei dati personali sarà effettuato con logiche di elaborazione correlate alle finalità di cui alla presente informativa, comunque, in modo da garantire la sicurezza e la riservatezza dei dati con particolare riferimento ai dati del segnalante che di norma saranno protetti con l’anonimato salvo che il segnalante non acconsenta a rivelare la propria identità.
- I Suoi diritti
Lei ha il diritto di chiedere al Titolare, in qualunque momento, maggiori informazioni sul trattamento dei suoi dati personali, l’accesso ai suoi dati personali, la rettifica o la cancellazione degli stessi, ha inoltre diritto di richiedere la limitazione del trattamento nei casi previsti dall'art. 18 del Regolamento. Nei casi in cui, dietro espressa richiesta del Titolare, presti il consenso alla rivelazione della sua identità, potrà revocare in ogni momento il suo consenso, a patto che il Titolare non abbia già provveduto a rendere nota la sua identità sulla base del consenso previamente e legittimamente prestato.
Le richieste vanno rivolte per iscritto al Titolare o al DPO agli indirizzi e-mail sopra individuati.
In ogni caso, Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei dati personali), ai sensi dell'art. 77 del Regolamento, qualora ritenga che il trattamento dei suoi Dati Personali sia contrario alla normativa in vigore, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).