INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI EX ARTT. 13 E 14 DEL REGOLAMENTO (UE) 2016/679 NELL’AMBITO DELLE SEGNALAZIONI DI WHISTLEBLOWING (ART. 6, COMMI 2-BIS, 2-TER E 2-QUATER DEL D. LGS. 231/2001)
La Fondazione Accademia Nazionale di Santa Cecilia, con sede legale in Auditorium Parco della Musica, Largo Luciano Berio, 3 - 00196 Roma, in qualità di titolare del trattamento (“Titolare” o “Fondazione”), raggiungibile ai seguenti recapiti: e-mail presidenza@santacecilia.it, tel. 06 80242 503-504, fax n. 06 80242 311, tratterà i Suoi dati personali nell’ambito della gestione delle segnalazioni whistleblowing (“Segnalazioni”) pervenute attraverso i seguenti canali previsti dalla Procedura per la gestione delle segnalazioni: Whistleblowing della Fondazione (“Procedura”):
- applicativo software accessibile attraverso la rete intranet;
- indirizzo e-mail odv@santacecilia.it.
Tali Segnalazioni possono rappresentare comportamenti attivi od omissivi riferibili al personale della Fondazione e/o a terzi, rispetto ai quali il Segnalante ha il ragionevole sospetto ovvero la consapevolezza che si tratti di comportamenti illeciti o irregolari in quanto posti in essere in violazione del modello di organizzazione e gestione volto a prevenire la commissione dei reati implementato dalla Fondazione ai sensi dell’art. 6, comma 1, lett. a) del D. Lgs. 231/2001 (“Modello di Organizzazione, Gestione e Controllo”) o, più in generale, della normativa vigente applicabile.
Il Responsabile della protezione dei dati personali (“Data Protection Officer” o “DPO”) è contattabile:
• a mezzo e-mail, all’indirizzo: dpo@santacecilia.it
• via posta ordinaria, all’indirizzo di Accademia Nazionale di Santa Cecilia sopra indicato.
Le informazioni contenute nelle Segnalazioni costituiscono “dati personali” ai sensi dell’art. 4, n. 1) del Regolamento (UE) 2016/679 (di seguito, “Regolamento”) soltanto ove siano riconducibili ad una persona fisica identificata o identificabile. Al riguardo, si precisa preliminarmente che, attraverso l’utilizzo dell’applicativo software accessibile tramite la rete intranet in modalità “anonima”, le informazioni contenute nella Segnalazione saranno più precisamente oggetto di pseudonimizzazione: tale operazione comporta una separazione degli elementi identificativi del Segnalante dal contenuto della Segnalazione e l’adozione di codici sostitutivi dei predetti elementi identificativi, in modo tale che la Segnalazione possa essere processata senza conoscere immediatamente l’identità del Segnalante, che verrà conosciuta soltanto nei casi in cui ciò si renda necessario in conformità alla Procedura.
I dati personali raccolti e trattati dal Titolare nell’ambito della gestione delle Segnalazioni pervenute attraverso i predetti canali sono quelli contenuti nella Segnalazione nonché quelli acquisiti nel corso delle attività istruttorie, inclusa l’eventuale audizione personale del Segnalante e degli eventuali altri soggetti che possono riferire sui fatti segnalati. Tali dati possono appartenere alle seguenti categorie:
- dati personali comuni, come le informazioni identificative del Segnalante (nome, cognome, telefono, e-mail) e tutti gli elementi informativi riguardanti il Segnalante, il/i Segnalato/i ed altri eventuali soggetti terzi (di seguito, complessivamente, “Soggetti Interessati”) che risultino desumibili dalla Segnalazione (come, ad es., informazioni relative all’invio della Segnalazione, qualifica e tipologia del rapporto con la Fondazione all’epoca del fatto, luogo e periodo in cui si è verificato il fatto, durata del fatto, modalità con cui il Segnalante è venuto a conoscenza del fatto, area aziendale cui il fatto può essere riferito, descrizione del fatto con indicazione del/dei Segnalato/i e dei rispettivi ruoli ed eventuali ulteriori soggetti a conoscenza del fatto);
- dati personali appartenenti alle categorie cc.dd. “particolari” ex art. 9, par. 1 del Regolamento (“l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”) riferibili ai Soggetti Interessati eventualmente forniti dal Segnalante;
- dati relativi a condanne penali e reati ai sensi dell’art. 10 del Regolamento.
Si precisa, inoltre, che, nel rispetto delle leggi applicabili, il Titolare potrà trattare dati personali, anche riferibili a soggetti terzi, che risultino già rientranti nella disponibilità del Titolare stesso.
Tutti i dati personali sopra indicati saranno di seguito definiti congiuntamente come “dati personali".
I dati personali sono raccolti e trattati per consentire all’Organismo di Vigilanza (“OdV”) di espletare le proprie funzioni in conformità alla Procedura ed effettuare le necessarie attività istruttorie e strumentali a verificare la fondatezza del fatto oggetto della Segnalazione e l’adozione dei conseguenti provvedimenti (“Finalità di gestione della Segnalazione”).
Tenuto conto dell’art. 6, commi 2-BIS, 2-TER e 2-QUATER del D. Lgs. 231/2001, le basi di legittimità sono le seguenti:
- con riferimento ai dipendenti e ai collaboratori della Fondazione, per i dati personali comuni, il trattamento per la finalità di cui sopra è legittimo nella misura in cui risulti necessario per l’esecuzione del contratto nonché per il perseguimento del legittimo interesse del Titolare ai sensi dell’art. 6, par. 1, lett. b) ed f); per i dati personali appartenenti alle categorie cc.dd. “particolari”, tale trattamento è legittimo ai sensi dell’art. 9, par. 2, lett. b) del Regolamento.
- con riferimento ai soggetti diversi da quelli sopra indicati, per i dati personali comuni, il trattamento per la finalità di cui sopra è legittimo nella misura in cui risulti necessario per il perseguimento del legittimo interesse del Titolare ai sensi dell’art. 6, par. 1, lett. f); per i dati personali appartenenti alle categorie cc.dd. “particolari”, tale trattamento è legittimo ai sensi dell’art. 9, par. 2, lett. b) del Regolamento.
In ogni caso, il Segnalante è invitato a non conferire dati personali appartenenti alle categorie cc.dd. “particolari” ex art. 9, par. 1 del Regolamento.
Il conferimento dei dati personali per la finalità indicata è facoltativo per il Segnalante e, in caso di mancato conferimento, potrebbe non risultare concretamente possibile prendere in carico e gestire la Segnalazione sulla base di quanto previsto dalla Procedura. Nei confronti del Segnalante, è ad ogni modo garantito che non verrà effettuata alcuna forma di ritorsione o misura discriminatoria, diretta o indiretta, avente effetti sulle condizioni di lavoro per motivi collegati direttamente o indirettamente alla Segnalazione.
Una volta conferiti, i Suoi dati personali potrebbero essere trattati anche per:
-
- assolvere eventuali obblighi stabiliti dalla legge, dai regolamenti e dalla normativa europea nonché da disposizioni impartite dalle autorità giurisdizionali nell’esercizio delle loro funzioni sulla base dell’art. 6, par. 1, lett. c) del Regolamento; con riguardo ai dati personali appartenenti alle categorie particolari, la base risiede nell’art. 9, par. 2, lett. g) del Regolamento (“Finalità di Compliance”);
- soddisfare le esigenze di carattere difensivo che dovessero eventualmente assumere carattere concreto ed attuale, sulla base degli artt. 6, par. 1, lett. f); ove la Segnalazione contenga anche dati personali appartenenti alle categorie particolari, 9, par. 2, lett. f) del Regolamento (“Finalità difensive”); con riferimento ai dati relativi alle condanne penali e ai reati, la base di legittimità del trattamento risiede negli artt. 6, par. 1, lett. c) del Regolamento e 2-octies, comma 3, lett. e) del D. Lgs. 196/2003 (“Codice privacy”).
I dati personali saranno conservati solo per il tempo strettamente necessario al soddisfacimento della Finalità di gestione della Segnalazione, nel rispetto del principio di minimizzazione e il principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. c) ed e) del Regolamento. È fatto salvo il maggior termine dovuto all’adempimento di obblighi normativi cui il Titolare è soggetto ovvero ad eventuali esigenze difensive che il Titolare stesso intenda soddisfare. Maggiori informazioni sono disponibili presso il Titolare e il DPO ai recapiti sopra indicati.
La Segnalazione può essere inviata mediante uno dei predetti canali previsti dalla Procedura. Sarà in ogni caso garantita la massima riservatezza dell’identità del Segnalante in ossequio a quanto previsto dall’art. 6, comma 2-bis, lett. b) del D. Lgs. 231/2001.
I dati personali non saranno comunicati a terzi né diffusi, se non nei limiti di quanto previsto dal diritto nazionale e dell’Unione europea e in conformità alla Procedura. In tal senso, i dati potranno essere condivisi, nel rispetto della normativa in materia di protezione dei dati personali e, in particolare, del principio di minimizzazione ex art. 5, par. 1, lett. c) del Regolamento, con i seguenti soggetti destinatari:
- personale specificamente individuato, autorizzato al trattamento dei dati personali e debitamente istruito ai sensi degli artt. 29 del Regolamento e 2-quaterdecies del Codice privacy e cioè, nello specifico, l’OdV;
- soltanto ove risulti strettamente indispensabile per il conseguimento delle finalità perseguite, soggetti esterni alla Fondazione di cui l’OdV possa avvalersi, se del caso, nel rispetto della normativa di settore e della normativa in materia di protezione dei dati personali;
- enti e autorità in qualità di autonomi titolari a cui sia obbligatorio comunicare i dati personali in forza di disposizioni di legge o di ordini delle autorità, in particolar modo in relazione alle attività istruttorie relative a fatti segnalati sui quali sia nota l’esistenza di indagini in corso da parte di pubbliche Autorità.
L’elenco completo ed aggiornato dei destinatari dei dati potrà essere richiesto al Titolare e/o al DPO, ai recapiti sopra indicati. Sarà in ogni caso garantita la massima riservatezza della Sua identità in conformità alla Procedura. In particolare, nel caso di trasmissione della Segnalazione e del materiale istruttorio ai predetti destinatari per lo svolgimento delle rispettive attività di competenza, verrà privilegiato ove possibile l’invio del solo contenuto della Segnalazione, espungendo tutti i riferimenti dai quali sia possibile risalire, anche indirettamente, all’identità del Segnalante e degli altri Soggetti Interessati.
La informiamo, altresì, che i Suoi dati personali saranno trattati dalla Fondazione all’interno del territorio dell’Unione europea. Qualora per questioni di natura tecnica e/o operativa si renda necessario avvalersi di soggetti ubicati al di fuori dell’Unione europea oppure si renda necessario trasferire alcuni dei dati raccolti verso sistemi tecnici e servizi gestiti in cloud e localizzati al di fuori dell’area dell’Unione europea, il trattamento sarà regolato in conformità a quanto previsto dal capo V del Regolamento e autorizzato in base a specifiche decisioni dell’Unione europea. Saranno quindi adottate tutte le cautele necessarie al fine di garantire la più totale protezione dei dati personali basando tale trasferimento: a) su decisioni di adeguatezza dei Paesi terzi destinatari espressi dalla Commissione europea; b) su garanzie adeguate espresse dal soggetto terzo destinatario ai sensi dell’art. 46 del Regolamento; c) sull’adozione di norme vincolanti d’impresa, cd. corporate binding rules. È possibile avere maggiori informazioni, su richiesta, presso il Titolare e/o il DPO ai contatti sopraindicati.
Lei ha il diritto di accedere in qualunque momento ai dati che La riguardano, ai sensi degli artt. 15-22 del Regolamento. In particolare, potrà chiedere la rettifica, la cancellazione, la limitazione del trattamento dei dati nei casi previsti dall'art. 18 del Regolamento, la revoca del consenso prestato ex art. 7 del Regolamento, di ottenere la portabilità dei dati nei casi previsti dall'art. 20 del Regolamento.
Lei ha anche diritto di proporre reclamo all'autorità di controllo competente ex art. 77 del Regolamento (Garante per la protezione dei dati personali) ovvero di adire le opportune sedi giudiziarie ai sensi dell’art. 79 del Regolamento.
Lei può formulare una richiesta di opposizione al trattamento dei Suoi dati ex art. 21 del Regolamento nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare la Sua istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui Suoi interessi, diritti e libertà.
Le richieste vanno rivolte per iscritto al Titolare ovvero al DPO ai recapiti sopraindicati.
Si prega di considerare che, al fine di proteggere la riservatezza dell’identità del soggetto Segnalante, Le potrà essere preclusa la possibilità di esercitare i diritti previsti dagli artt. da 15 a 22 del Regolamento, qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del Segnalante, ai sensi dell’art. 23, par. 1, lett. i) del Regolamento e dell’art. 2-undecies, co. 1, lett. f) del Codice Privacy.
Si informa, altresì, che il Segnalato potrà esercitare i suoi diritti di cui agli artt. da 15 a 22 del Regolamento per il tramite dell’Autorità Garante, con le modalità di cui all’art. 160 del Codice Privacy. In tale ipotesi, l’Autorità Garante informerà l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame nonché del diritto dell’interessato di proporre ricorso giurisdizionale.