INFORMATIVA AI SENSI DELL’ART. 13 DEL REGOLAMENTO UE 679/2016

sul trattamento dei dati personali in relazione alle segnalazioni di “whistleblowing”

La presente informativa è resa nel rispetto della normativa sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali di cui al Regolamento UE 679/2016 (di seguito indicato come “Regolamento”) e Inarcassa Cassa Nazionale di Previdenza ed Assistenza per gli Ingegneri ed Architetti Liberi Professionisti con sede legale in Via Salaria, 229, 00199 – in qualità di Titolare del trattamento dei dati (di seguito indicata come “Inarcassa” o “Titolare”), intende informarLa circa il trattamento dei Suoi dati.

1. Definizioni

Si riporta il significato di alcuni termini utilizzati nella presente Informativa al fine di agevolarne la comprensione:

• Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione nell’ambito della presente Informativa, di dati appartenenti ai soggetti segnalanti (in seguito, i “Segnalanti” o gli “Interessati”) individuati dalla normativa in materia di whistleblowing (d.lgs. n. 24/2023) e nella “Politica di whistleblowing- Disciplina dei canali di segnalazione di violazioni del diritto UE e delle disposizioni della normativa nazionale” approvata da Inarcassa (in seguito, la “Procedura”);
• Dati: i Dati Personali, le Categorie particolari di Dati Personali e i Dati giudiziari;
• Dati Personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile («Interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
• Categorie Particolari di Dati Personali: i Dati Personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, data relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
• Dati Giudiziari: sono i Dati Personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza;
• Titolare: Inarcassa che determina le finalità e i mezzi del trattamento dei Dati Personali dell’Interessato.
• Responsabile: è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta Dati Personali per conto del Titolare.
• Interessato: il soggetto a cui si riferiscono i Dati Personali.
• Data Protection Officer (DPO): il soggetto designato dal Titolare quale responsabile della protezione dei dati.

2. FINALITA’ DEL TRATTAMENTO.

I dati trattati sono quelli forniti dagli Interessati per segnalare, nell’ambito della Procedura, reati o presunte condotte illecite delle quali il Segnalante sia venuto a conoscenza in ragione del proprio rapporto di lavoro, servizio o fornitura con Inarcassa, in grado di ledere l’interesse pubblico o l’integrità di Inarcassa. I dati personali sono dunque trattati per svolgere le necessarie attività istruttorie volte a verificare la fondatezza delle Segnalazioni, nonché, se del caso, adottare adeguate misure correttive e intraprendere le opportune azioni disciplinari e/o giudiziarie nei confronti dei responsabili delle condotte illecite.

3. CATEGORIE DI DATI PERSONALI TRATTATI E PERIODO DI CONSERVAZIONE

3.1 Inarcassa tratta i dati personali “comuni” degli Interessati, costituiti, a titolo esemplificativo, da dati anagrafici e identificativi, ruolo, voce dell’Interessato (nel caso renda Segnalazioni vocali), etc.

3.2 Inarcassa  potrebbe anche trattare dati appartenenti a categorie “particolari” (dati sull’origine razziale o etnica, sulle opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale e dati riguardanti la salute o la vita sessuale, di cui all’art. 9 del Regolamento) e dati personali relativi a condanne penali e reati (di cui all’art. 10 del Regolamento), solo se necessari per la gestione della Segnalazione. I dati comuni, quelli appartenenti a categorie “particolari” e quelli relativi a condanne penali e reati saranno in seguito indicati come “Dati Personali”.

3.3 I Dati Personali saranno in ogni caso trattati in base al principio di minimizzazione (di cui all’articolo 5, comma 1, lett. c), del Regolamento): pertanto, saranno trattati i soli dati personali necessari per dar seguito alla Segnalazione e, quelli eccedenti, saranno immediatamente cancellati.

3.4 I Dati Personali saranno conservati per il periodo di tempo strettamente necessario al raggiungimento delle finalità per cui sono stati raccolti e, in ogni caso, per non più di cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di Segnalazione.

4.  BASI GIURIDICHE DEL TRATTAMENTO

4.1. Il trattamento dei dati “comuni”, di cui al precedente punto 3.1., si fonda sull’obbligo di legge a cui è soggetto il Titolare del Trattamento (art. 6, par. 1, lett. c) del Regolamento), costituito dall’adempimento della normativa in materia di whistleblowing (d.lgs. n. 24/2023), nonché sull’esecuzione di compiti di interesse pubblico svolti da Inarcassa  (art. 6, par. 1, lett. e) del Regolamento) e da un legittimo interesse del Titolare del trattamento ex  art. 6, par. 1,  lett.f).

4.2. Il trattamento di dati appartenenti a categorie “particolari”, di cui al precedente punto 3.2., si fonda sull’assolvimento di obblighi e sull’esercizio di diritti specifici del Titolare del Trattamento e dell’Interessato in materia di diritto del lavoro (art. 9, par. 2, lett. b) del Regolamento), nonché sull’esecuzione di un compito di interesse pubblico rilevante di cui è investita Inarcassa (art. 9, par. 2, lett. g), GDPR), in ragione dell’art. 2-sexies, co. 2, lett. dd) del d.lgs. n. 196/2003;

4.3. Il trattamento di dati relativi a condanne penali e reati, di cui al precedente punto 3.2, tenuto conto di quanto disposto dall’art. 10 GDPR, si fonda sull’obbligo di legge a cui è soggetto il Titolare del Trattamento (art. 6, par. 1, lett. c), GDPR) e sull’esecuzione di compiti di interesse pubblico rilevante di cui è investita Inarcassa (art. 6, par. 1, lett. e) del Regolamento), in ragione dell’art. 2-sexies, co. 2, lett. dd) del d.lgs. n.196/2003, in virtù del rimando di cui all’art. 2-octies, co. 5 del d.lgs. n. 196/2003.

5. NATURA DEL CONFERIMENTO DEI DATI E CONSEGUENZE DELL’EVENTUALE MANCATO CONFERIMENTO

5.1. I Dati Personali possono riguardare le informazioni idonee a identificare l’Interessato. Possono essere inoltre incidentalmente trattati dati appartenenti a categorie “particolari” e relativi a condanne penali e reati, qualora presenti nella segnalazione e solo se strettamente necessari. È rimessa a ciascun Segnalante la decisione circa quali ulteriori dati personali conferire, rispetto a quelli richiesti dal form della piattaforma whistleblowing, utilizzata per inviare la Segnalazione (in seguito, la “Piattaforma”). Maggiori sono i dettagli presenti nella Segnalazione, maggiori saranno le possibilità per la Inarcassa di intervenire.

5.2. In ogni caso, la Piattaforma prevede l’opzione per inviare Segnalazioni completamente anonime; in tale ipotesi non sarà necessario fornire alcun Dato Personale del Segnalante.

5.3. Il conferimento dei Dati Personali è volontario ma non indispensabile, potendo procedere all’invio di una Segnalazione anonima. Tuttavia, lInarcassa suggerisce di fornire i Dati Personali del Segnalante, in modo da poter dar seguito alla Segnalazione nella maniera più efficace possibile.

6. SOGGETTI AUTORIZZATI A TRATTARE I DATI

A tutela dell’Interessato, solo il Comitato etico e l’Internal Auditing, all’interno di Inarcassa, è in grado di associare le segnalazioni alle identità dei Segnalanti. Qualora esigenze istruttorie richiedano che altri soggetti, all’interno di Inarcassa, debbano essere messi a conoscenza del contenuto della Segnalazione o della documentazione ad essa allegata, non verrà mai rivelata l’identità del Segnalante, né verranno rivelati elementi che possano, anche indirettamente, consentire l’identificazione dello stesso. Tali soggetti, poiché potrebbero comunque venire a conoscenza di altri dati personali, sono comunque tutti formalmente autorizzati al trattamento e a ciò appositamente istruiti e formati, nonché tenuti a mantenere il segreto su quanto appreso in ragione delle proprie mansioni, fatti salvi gli obblighi di segnalazione e di denuncia di cui all'art. 331 del Codice di procedura penale.

7. CATEGORIE DI DESTINATARI

La comunicazione dei Dati Personali raccolti avviene principalmente nei confronti di terzi e/o destinatari la cui attività è necessaria per l’espletamento delle attività inerenti la gestione della Segnalazione, nonché per rispondere a determinati obblighi di legge. In particolare, la trasmissione potrà avvenire nei confronti di:

 (a) responsabile della gestione delle segnalazioni interno ad Inarcassa, individuato dal Titolare del Trattamento;

 (b) società incaricata per la gestione della Piattaforma, nella sua qualità di responsabile del trattamento ai sensi e per gli effetti di cui all’art. 28 del Regolamento;

 (c) consulenti esterni (per es. studi legali) eventualmente coinvolti nella fase istruttoria della Segnalazione;

(d) funzioni aziendali coinvolte nell’attività di ricezione, esame e valutazione delle Segnalazioni;

(e) responsabile/i della/e funzione/i interessata/e dalla Segnalazione;

(f) posizioni organizzative incaricate di svolgere accertamenti sulla Segnalazione nei casi in cui la loro conoscenza sia indispensabile per la comprensione dei fatti segnalati e/o per la conduzione delle relative attività di istruzione e/o trattazione;

(g) istituzioni e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia, Agenzie investigative.

Alla Segnalazione e all’identità del Segnalante non è possibile accedere né a mezzo accesso documentale, né a mezzo accesso civico generalizzato. Nell’ambito dei procedimenti penali eventualmente istaurati, l’identità del Segnalante sarà coperta da segreto nei modi e nei limiti previsti dall’art. 329 c.p.p.;

Nell’ambito di procedimenti dinanzi alla Corte dei Conti, l’identità del Segnalante non sarà comunque rivelata sino alla chiusura della fase istruttoria; nell’ambito dei procedimenti disciplinari, l’identità del Segnalante non sarà rivelata in tutti i casi in cui la contestazione dell’addebito disciplinare si fondi su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa, mentre potrà essere rivelata laddove concorrano, insieme, tre presupposti, ovverosia  (a) che la contestazione si fondi, in tutto o in parte, sulla Segnalazione, (b) che la conoscenza dell’identità del Segnalante sia indispensabile per la difesa dell’incolpato e che (c) il Segnalante abbia espresso un apposito consenso alla rivelazione della propria identità.

8. MODALITA’ DEL TRATTAMENTO

 I trattamenti dei Dati Personali sono effettuati manualmente e/o attraverso strumenti automatizzati, con logiche correlate alle finalità sopraindicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei Dati Personali. Sarà sempre tutelata la riservatezza del Segnalante la cui identità non sarà mai rilevata al segnalato, salvo i casi previsti dalla legge, al fine di evitare ritorsioni, minacce, violenze, etc. Inarcassa conserva i dati criptati, garantendo che l’accesso agli stessi sia consentito solo ai soggetti formalmente incaricati. Il personale che accederà alle informazioni opererà utilizzando criteri di riservatezza e nel rispetto delle procedure impartite dal titolare.

9.EVENTUALE TRASFERIMENTO ALL’ESTERO DEI DATI PERSONALI

La gestione e la conservazione dei Dati avviene su archivi cartacei e su server del Titolare e/o di società terze nominate quali Responsabili esterni del trattamento. I server sui quali sono archiviati i Dati di cui sopra sono ubicati in Italia e all’interno dell’Unione Europea. I Dati Personali non sono oggetto di trasferimento al di fuori dell’Unione Europea.

Resta in ogni caso inteso che il Titolare, ove si rendesse necessario, avrà facoltà di spostare l’ubicazione degli archivi e dei server in Italia e/o nell’Unione Europea e/o in Paesi extra-UE. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili stipulando, se necessario, accordi che garantiscano un livello di protezione adeguato e/o adottando le clausole contrattuali standard previste dalla Commissione Europea.

10. I DIRITTI DEGLI INTERESSATI

Ai sensi degli articoli 13, comma 2, lettere (b) e (d), nonché da 15 a 21 del Regolamento, l’interessato può, nei casi previsti, esercitare i seguenti diritti:

(a) chiedere l'accesso ai dati personali che lo riguardano e ottenerne copia;

(b) ottenere la rettifica dei dati personali inesatti che lo riguardano;

(c) chiedere la cancellazione dei dati personali che lo riguardano;

(d) ottenere la limitazione del trattamento dei dati personali che lo riguardano;

(e) ricevere i dati personali che lo riguardano in un formato strutturato, di uso comune e leggibile, da

dispositivo automatico ai fini dell’esercizio del diritto alla portabilità;

(f) opporsi al trattamento dei dati personali che lo riguardano;

(g) opporsi, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano effettuato per perseguire il legittimo interesse di Inarcassa o di terzi; in tal caso, Inarcassa si asterrà dal trattare ulteriormente i dati personali salvo che dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

Per esercitare i diritti suindicati, l’Interessato potrà rivolgersi al Titolare o al DPO, scrivendo a:

INARCASSA

Via Salaria 229, 00199 Roma

ovvero inviando una e-mail a dpo@inarcassa.it.

Il termine per la risposta all’Interessato è di trenta giorni, estendibile fino a due mesi in casi di particolare complessità; in questi casi, il Titolare fornisce almeno una comunicazione interlocutoria all’interessato entro il termine di trenta giorni.

L’esercizio dei diritti è, in linea di principio, gratuito, tuttavia, in caso di richieste manifestamente infondate o eccessive (anche ripetitive), il Titolare si riserva il dritto di chiedere un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l'azione richiesta, ovvero di rifiutare di soddisfare la richiesta, anche alla luce delle indicazioni che dovessero essere fornite dal Garante Privacy.

5. RECLAMO AL GARANTE PRIVACY

L’Interessato ha la possibilità di proporre reclamo all’Autorità Garante Privacy, contattabile al sito web http://www.garanteprivacy.it/.