INFORMATIVA RELATIVA AL TRATTAMENTO DEI DATI PERSONALI AI SENSI DEGLI ARTT. 13 E 14 DEL REGOLAMENTO (UE) 2016/679 (“GDPR”) DEI SEGNALANTI, SEGNALATI, PERSONE INTERESSATE DALLA SEGNALAZIONE, FACILITATORI, ETC. (“INTERESSATI”), EFFETTUATO DA TAG BOLOGNA S.R.L. IN RELAZIONE ALLA GESTIONE DELLE SEGNALAZIONI DISCIPLINATE DALLA “WHISTLEBLOWING POLICY”.
Tag Bologna S.r.l. (di seguito, “TAG” oppure il “Titolare”) fornisce, qui di seguito, l’informativa sui trattamenti dei dati personali dei segnalanti, segnalati, persone interessate dalla segnalazione, facilitatori, etc. (tutti “Interessati al trattamento”, in conformità alla normativa privacy vigente, effettuati dalla stessa in relazione alla gestione delle segnalazioni disciplinate dalla “Whistleblowing Policy” (di seguito, “Policy”), approvata dal Consiglio di Amministrazione di TAG e pubblicata nell’area dedicata del sito internet aziendale, nonché nell’area dedicata alle Policy della piattaforma Whistleblowing.
1. Dati personali trattati
Dati personali del segnalante, del segnalato, delle persone interessate dalla segnalazione, dei facilitatori, etc.
2. Categorie particolari di dati personali e dati giudiziari trattati
Potranno essere oggetto di trattamento: dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose e/o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati biometrici, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona e dati relativi a reati e condanne penali.
3. Fonte dei dati personali e categorie di dati raccolti c/o terzi
Il Titolare raccoglie i dati attraverso le segnalazioni. I dati degli Interessati al trattamento, contenuti all’interno della segnalazione, sono forniti direttamente dal segnalante. I segnalanti possono essere dipendenti e/o collaboratori, amministratori, consulenti e, in generale, tutti gli stakeholder del Titolare, delle società del Gruppo, in linea con quanto definito all’art. 3 commi 3 e 4 del D.Lgs. 10 marzo 2023, n. 24. Le segnalazioni possono essere nominali oppure anonime.
Per preservare le finalità investigative, nei casi previsti dalla legge, il segnalato, ai sensi dell’art. 14, par. 5, lett. d) del GDPR, può non essere immediatamente messo a conoscenza del trattamento dei propri dati effettuato da parte del Titolare, fintanto che sussista il rischio di compromettere la possibilità di verificare efficacemente la fondatezza della denuncia o di raccogliere le prove necessarie.
4. Finalità del trattamento e base giuridica
I dati personali degli Interessati al trattamento sono trattati per le finalità connesse all’applicazione della sopra citata Policy, preordinata alla gestione delle segnalazioni di condotte illecite ai sensi del D.Lgs. 10 marzo 2023, n. 24, le quali possono avere ad oggetto, tra le altre, la violazione del Modello di organizzazione gestione e controllo ex D.Lgs. 231/01. L’adozione di tale Policy e il conseguente trattamento di dati personali avviene, pertanto, sulla scorta di un obbligo di legge a cui è assoggettato il Titolare, avendo lo stesso adottato un Modello di Organizzazione, Gestione e Controllo ex D.lgs. 231/2001. La Policy garantisce la riservatezza dell’identità del segnalante, gestendo i dati personali separatamente dal contenuto della segnalazione effettuata. L’eventuale abbinamento può essere eseguito solo nei casi eccezionali indicati nella Policy e secondo le previsioni di legge applicabili. Le categorie particolari di dati personali e i dati giudiziari saranno trattati per tale finalità, rispettivamente, ai sensi dell’art. 9, par. 2, lett. b) e dell’art. 10 del GDPR.
La segnalazione inoltrata attraverso il sistema di messaggistica vocale presente sulla piattaforma Whistleblowing, previo consenso della persona segnalante ai sensi dell’art. 14 comma 2 del D.lgs. n. 24/2023, è documentata mediante conservazione della registrazione in piattaforma oppure mediante trascrizione integrale. In caso di trascrizione, il segnalante può verificarne, rettificarne o confermarne il contenuto mediante propria sottoscrizione. Qualora la segnalazione in forma orale venga resa nel corso di un incontro, previo consenso della persona segnalante ai sensi dell’art. 14 comma 4 del D.lgs. n. 24/2023, è documentata mediante registrazione su un dispositivo idoneo alla conservazione e all’ascolto oppure mediante verbale. In caso di trascrizione, il segnalante può verificarne, rettificarne o confermarne il contenuto mediante propria sottoscrizione.
Con riguardo ad un eventuale trattamento dei dati personali successivo alla chiusura del procedimento di analisi della segnalazione, la base giuridica è rappresentata dal legittimo interesse del Titolare all’esercizio dei propri diritti in tutti i casi in cui si renda necessario (e.g., riapertura di procedimenti giudiziari, richieste di risarcimento danni correlate alla segnalazione), ai sensi dell’art. 6, par. 1, lett. f) e dell’art. 9, par. 2, lett. f) del GDPR.
5. Modalità, logica del trattamento e tempi di conservazione
I trattamenti dei dati sono effettuati manualmente (ad esempio, su supporto cartaceo) e/o attraverso strumenti automatizzati (oltre che tramite la piattaforma Whistleblowing, ad esempio, utilizzando procedure e supporti elettronici), con logiche correlate alle finalità sopraindicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati. I dati personali contenuti nelle segnalazioni e nella relativa documentazione sono conservati per il tempo necessario al trattamento della segnalazione e, comunque, non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.
6. Titolare, Responsabili del trattamento e Soggetti autorizzati al trattamento
Titolare del trattamento è TAG, con sede legale in Via Triumvirato n. 84, 40132, Bologna (BO), P.IVA/Codice Fiscale 02220961201, in persona del suo Legale Rappresentante pro tempore Antonello Bonolis.
Responsabile del trattamento, ai sensi dell’art. 28 del GDPR, è la società Digital PA S.r.l., con sede in Cagliari, via San Tommaso d’Acquino, 18/a, (e-mail: privacy@digitalpa.it) che gestisce la piattaforma di Whistleblowing Segnalazioni.net e garantisce lo storage dei dati personali trattati in cloud. TAG, ai sensi degli articoli 28 e 29 del GDPR, fornisce al Responsabile del trattamento istruzioni operative per assicurare la riservatezza e la sicurezza del trattamento dei dati personali, garantire la conformità alla normativa applicabile e la tutela degli Interessati al trattamento. I soggetti autorizzati al trattamento dei dati da parte del Titolare sono, i componenti dell’Organismo di Vigilanza, il Consigliere Delegato Datore di Lavoro, il Responsabile di Coordinamento e Gestione nonché alcuni componenti della Direzione Sviluppo Persone & Organizzazione di Adb. Altri soggetti possono essere autorizzati, in specifici casi, quali, ad esempio: altri dipendenti aziendali o consulenti esterni, qualora strettamente necessario e sulla scorta di specifico incarico ai sensi della normativa privacy applicabile.
7. Natura del conferimento e conseguenze dell’eventuale rifiuto
Il conferimento dei dati del segnalante è obbligatorio nella “segnalazione nominativa”. Un eventuale rifiuto al conferimento dei dati nella “segnalazione nominativa” rende impossibile seguire l’iter della procedura descritta nella Policy.
Il conferimento dei dati del segnalante è facoltativo nella “segnalazione anonima”, tuttavia l’applicazione della procedura di segnalazione sarà possibile solo qualora le segnalazioni siano adeguatamente circostanziate e rese con dovizia di particolari, ove cioè siano in grado di far emergere fatti e situazioni relazionandoli a contesti determinati.
8. Categorie di soggetti terzi ai quali i dati potrebbero essere comunicati
Titolari autonomi a cui i dati trattati possono essere trasmessi sono: Anac, Autorità Giudiziaria, legali esterni a mandato, Società di investigazioni private.
L’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rivelate, senza il consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate a trattare tali dati ai sensi degli artt. 29 e 32, par. 4, del GDPR e dell’art. 2 -quaterdecies del Codice Privacy. Inoltre, qualora la segnalazione abbia dato origine ad un procedimento disciplinare e si basi in tutto o in parte sulla denuncia del segnalante, e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità.
9. Diritto di accesso ai dati personali ed altri diritti dell’Interessato
Gli Interessati al trattamento possono chiedere al Titolare, mediante richiesta e-mail all’indirizzo organismo231TAG@bologna-airport.it, l’accesso ai dati che li riguardano, la loro rettifica, l’integrazione o la loro cancellazione, nonché la limitazione del trattamento o qualsiasi altro diritto di cui agli articoli da 15 a 22 del GDPR, ricorrendone i presupposti da evidenziare nella richiesta; ciò, comunque, salvo l’esistenza di motivi legittimi prevalenti sugli interessi, diritti e libertà dell’interessato, l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria o altri obblighi di legge che il Titolare deve assolvere o diversa disposizione eventuale delle Autorità Pubbliche o dell’Autorità Giudiziaria o degli Organi di Polizia.
Gli Interessati al trattamento hanno, altresì, diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali in caso di trattamento illegittimo od illecito dei propri dati da parte del Titolare.
Ai sensi dell’art. 2 undecies comma 1 lett.f) del D.lgs. n. 196/2003, come aggiornato dal D.lgs. n. 101/2018, i diritti di cui agli articoli da 15 a 22 del GDPR non possono essere esercitati – neppure tramite reclamo all'Autorità Garante per la protezione dei dati personali - qualora da ciò possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte.
