GESTIONE DELLE SEGNALAZIONI DI ILLECITI “WHISTLEBLOWING” 

AI SENSI DEL D.LGS. N. 24/2023 E DEGLI ARTT. 13 E 14 DEL GDPR.

La Camera di Commercio, Industria, Artigianato e Agricoltura di Cagliari-Oristano (di seguito, anche Titolare del Trattamento o la CCIAA) intende fornire agli Interessati, ai sensi degli artt. 13 e 14 del Regolamento UE n. 679/2016 (di seguito “GDPR”), le informazioni riguardanti i trattamenti di dati personali relativi alla segnalazione di illeciti (Whistleblowing), secondo quanto disposto – in particolare – dal D.Lgs. 10 marzo 2023, n. 24 (Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali).

 

1. Titolare del trattamento

Titolare del trattamento dei dati personali è la Camera di Commercio, Industria, Artigianato e Agricoltura di Cagliari-Oristano, con sede legale: Largo Carlo Felice, 72, 09124, Cagliari, telefono: 070 60512416-417; sede Oristano: via Carducci, 23/25, 09170, telefono: 0783 21431; PEC: cciaa@pec.caor.camcom.it; mail: segreteria.generale@caor.camcom.it

 

2. DPO – Data Protection Officer - RPD – Responsabile della protezione dei dati personali

Al fine di meglio tutelare gli Interessati, nonché in ossequio al dettato normativo, il Titolare ha nominato un proprio DPO, Data Protection Officer (o RPD, Responsabile della protezione dei dati personali).

È possibile prendere contatto con il DPO della CCIAA di Cagliari-Oristano al seguente recapito email: RPD@caor.camcom.it.

 

3. Finalità del trattamento

I dati personali trattati concernono presunte condotte illecite delle quali il segnalante sia venuto a conoscenza in ragione del proprio rapporto di lavoro, tirocinio, servizio o fornitura con la Camera di commercio e vengono acquisiti dalla CCIAA attraverso il “canale interno” a tal fine realizzato consistente nella piattaforma informatica accessibile all’indirizzo https://caor.camcom.segnalazioni.net/ nella Sezione Amministrazione Trasparente “Segnalazioni di condotte illecite - Whistleblowing” del sito web camerale .

 

I dati personali sono trattati per le seguenti finalità:

1. acquisizione delle segnalazioni di illeciti riguardanti disposizioni normative nazionali o dell'Unione europea che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica (art. 1 e 2, comma 1, lett. a), del D. Lgs. n. 24/2023);
2. istruttoria delle segnalazioni volta a verificare la fondatezza di quanto segnalato, nonché, se del caso, adottare adeguate misure correttive e intraprendere le opportune azioni disciplinari e/o giudiziarie nei confronti dei responsabili delle condotte illecite;
3. effettuazione delle comunicazioni previste dal D.Lgs. n. 24/2023, art. 5, comma 1, lett. da a) a d);
4. protezione dei soggetti che presentano le segnalazioni e degli altri soggetti tutelati, secondo quanto disposto dal D.Lgs. n. 24/2023.

 

I dati non saranno utilizzati per finalità diverse da quelle sopra indicate. I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente.

 

Con l’invio della segnalazione, l’interessato conferma di aver preso visione del contenuto della presente informativa.

 

4. Base giuridica del trattamento e tipologia di dati trattati

I dati personali trattati sono, di regola, dati personali “comuni” (nome, cognome, ruolo lavorativo, ecc.), nonché dati personali c.d. “particolari” (dati relativi a condizioni di salute, orientamento sessuale o appartenenza sindacale, di cui all’art. 9 del GDPR) e dati personali relativi a condanne penali e reati (di cui all’art. 10 del GDPR). Essi possono riferirsi:

• allo stesso interessato (segnalante) che presenta la segnalazione;
• alle persone fisiche cui si ascrive il presunto comportamento illecito oggetto della segnalazione e/o ulteriori persone fisiche comunque menzionate nella segnalazione o delle quali si possa evincere l’identità;
• ad altro soggetto quale il “facilitatore”, ossia la persona fisica, operante all'interno del medesimo contesto lavorativo, che assiste il segnalante.

 

Le basi giuridiche del trattamento, per le finalità sopra indicate, sono rappresentate:

1. per i dati “comuni” (nome, cognome, ruolo lavorativo, ecc.) dall’obbligo di legge a cui è soggetto il Titolare del trattamento (art. 6, par. 1, lett. c) del GDPR), nonché dall’esecuzione di compiti di interesse pubblico assegnati dalla legge alla CCIAA (art. 6, par. 1, lett. e) del GDPR);
2. per  i dati “particolari” (dati relativi a condizioni di salute, orientamento sessuale o appartenenza sindacale, di cui all’art. 9 del GDPR) dall’assolvimento di obblighi e dall’esercizio di diritti specifici del Titolare del trattamento e dell’interessato in materia di diritto del lavoro (art. 9, par. 2, lett. del GDPR), nonché dall’esecuzione di un compito di interesse pubblico rilevante assegnato dalla legge alla CCIAA (art. 9, par. 2, lett. g) del GDPR), in ragione dell’art. 2-sexies lett. dd) del D.Lgs. 196/2003; nonché (a seconda della tipologia di segnalazione) dalla necessità di accertare, esercitare o difendere un diritto in sede giudiziaria (art. 9, par. 2, lett. f), del GDPR);
3. per i dati relativi a condanne penali e reati, tenuto conto di quanto disposto dall’art. 10 del GDPR, dall’obbligo di legge a cui è soggetto il Titolare del trattamento (art. 6, par. 1, lett. del GDPR) e dall’esecuzione di compiti di interesse pubblico assegnati dalla legge alla CCIAA (art. 6, par. 1, lett. e) del GDPR), in ragione dell’art. 2-octies lett. a) del D.Lgs. 196/2003.
4. nei casi in cui la conoscenza dei dati personali del segnalante sia necessaria alla difesa del soggetto segnalato, anche nel procedimento disciplinare, la base giuridica del trattamento è rappresentata dal consenso espresso del segnalante (art. 6, par. 1, lett. a) in relazione all’art. 12, commi 2 e 5.

Infatti, si precisa che, in ragione di quanto disposto dal D.Lgs. n. 24/2023, nei casi in cui:

1. la segnalazione portasse all’instaurazione di un procedimento disciplinare e il disvelamento dell’identità del segnalante risultasse indispensabile per la difesa del soggetto a cui viene contestato l’addebito disciplinare,
2. la segnalazione portasse all’instaurazione di altre tipologie di procedimento interno e il disvelamento dell’identità del segnalante risultasse indispensabile per la difesa dell’incolpato,

l’Ente procederà a disvelare l’identità del segnalante esclusivamente previo apposito, libero consenso espresso da parte del segnalante medesimo, richiesto unitamente alla comunicazione delle ragioni alla base delle quali la CCIAA ritiene necessaria la rivelazione di tale identità.

 

5. Fonte di origine dei dati personali

I dati personali sono quelli forniti dall’interessato nella segnalazione e negli eventuali atti e documenti a questa allegati

Ulteriori dati personali potranno essere acquisiti dalla Camera di commercio a seguito dell’istruttoria che potrà avvalersi anche di banche dati di soggetti pubblici (es: Casellario giudiziario, Agenzia delle Entrate, INPS, INAIL, etc.)

 

 

6. Natura del conferimento dei dati e conseguenze dell’eventuale mancato conferimento

I dati identificativi del segnalante, gli elementi relativi al rapporto di lavoro, servizio o fornitura, dello stesso, con la Camera di commercio di Cagliari-Oristano, sono necessari. 

Nel caso in cui il segnalante volesse procedere con una segnalazione anonima, non rientrando tale forma di segnalazione tra quelle tutelate dalla norma, quest’ultima verrà gestita con diverse modalità, quale “mera segnalazione” e il “whistleblower” non godrà delle tutele previste dalla Legge. 

E’ rimessa invece a ciascun segnalante la decisione circa quali ulteriori dati personali conferire. Maggiori sono i dettagli presenti nella segnalazione, maggiori saranno le possibilità di intervenire nell’interesse generale.

 

7. Soggetti autorizzati a trattare i dati e Responsabili (esterni) del trattamento

Il trattamento dei dati personali e delle informazioni fornite dal segnalante da parte del Titolare sarà effettuato solo:

1. dal Responsabile della Prevenzione della Corruzione e Trasparenza (RPCT), o dal suo sostituto in caso di assenza o impedimento del RPCT;
2. dal personale specificatamente individuato della società DigitalPa S.r.l. che gestisce la piattaforma “Segnalazioni Illeciti - Legality Whistleblowing”, in qualità di Responsabile del trattamento, ai sensi dell’art. 28 GDPR, anche con funzioni di amministrazione del sistema. Tale soggetto ha facoltà di ricorrere a ulteriori, propri Responsabili del trattamento, operanti nei medesimi ambiti.

Il RPCT effettua la verifica preliminare sulla fondatezza delle circostanze rappresentate nella segnalazione, nel rispetto dei principi di imparzialità e riservatezza, svolgendo ogni attività ritenuta opportuna, inclusa l’audizione personale del segnalante e di eventuali altri soggetti che possono riferire sui fatti segnalati.

Il contenuto della segnalazione (escluso il nominativo del segnalante ed ogni altra informazione che possa identificarlo) potrà, inoltre, essere condiviso con ulteriore personale interno all’Ente che dovesse essere coinvolto nell’istruttoria. Tali soggetti, sono stati previamente autorizzati al trattamento e a ciò appositamente istruiti e formati, nonché tenuti a mantenere il segreto su quanto appreso in ragione delle proprie mansioni, fatti salvi gli obblighi di segnalazione e di denuncia di cui all'art. 331 c.p.p.

La Piattaforma “Segnalazioni Illeciti - Legality Whistleblowing” (accessibile via Internet all’indirizzo https://caor.camcom.segnalazioni.net/) garantisce l’impiego di adeguate misure di sicurezza (es: la cifratura dei dati identificativi dei soggetti coinvolti nonché dei documenti inerenti la segnalazione), organizzative e tecniche per tutelare le informazioni dalla loro conoscibilità, dall’alterazione, dalla distruzione, dalla perdita, dal furto o dall’utilizzo improprio o illegittimo.

 

8. Comunicazione e diffusione dei dati

 

Oltre a quanto indicato al precedente punto 5 i dati personali potranno essere comunicati:

1. ai soggetti segnalati, solo in caso di consenso espresso del segnalante, nelle ipotesi previste dal D.Lgs. n. 24/2023;
2. all'Autorità Giudiziaria, amministrativa o ad altro soggetto pubblico legittimato a richiederli nei casi previsti esplicitamente dalla legge che operano quali titolari autonomi del trattamento.

Si fa presente che, laddove dalla segnalazione emergessero profili di rilievo penale e di danno erariale, la Camera di commercio sarà tenuta a trasmettere la segnalazione alle competenti Autorità giudiziarie, senza indicare i dati identificativi del segnalante. Qualora questi dati fossero richiesti, la Camera di commercio è tenuta a fornirli.

1. Per espressa previsione di legge la segnalazione è sottratta all’accesso previsto dagli articoli 22 e seguenti della legge 7 agosto 1990, n. 241, nonché all’accesso civico generalizzato previsto dagli articoli 5 e seguenti del decreto legislativo 14 marzo 2013, n. 33 (art. 12, comma 8, del D.Lgs. n. 24/2023).

Nell’ambito dei procedimenti penali eventualmente istaurati, l’identità del segnalante sarà coperta da segreto nei modi e nei limiti previsti dall’art. 329 c.p.p.; nell’ambito di procedimenti dinanzi alla Corte dei conti, l’identità del segnalante non sarà comunque rivelata sino alla chiusura della fase istruttoria; nell’ambito dei procedimenti disciplinari, l’identità del segnalante non sarà rivelata in tutti i casi in cui la contestazione dell’addebito disciplinare si fondi su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa, mentre potrà essere rivelata laddove concorrano, insieme, i seguenti tre presupposti:

1. che la contestazione si fondi, in tutto o in parte, sulla segnalazione;
2. che la conoscenza dell’identità del segnalante sia indispensabile per la difesa dell’incolpato;
3. il segnalante abbia espresso un apposito consenso alla rivelazione della propria identità.

 

Non viene effettuata alcuna diffusione di dati personali.

 

9. Assenza di un processo decisionale automatizzato

La CCIAA non adotta alcun processo decisionale automatizzato, compresa la profilazione, di cui all’art. 22, parr. 1 e 4, del GDPR.

 

10. Trasferimento dei dati in paesi non appartenenti all’Unione Europea o a organizzazioni internazionali

I dati personali trattati non vengono trasferiti in paesi terzi o organizzazioni internazionali al di fuori dello spazio dell’Unione europea.

 

11. Durata del trattamento e periodo di conservazione dei dati personali

Ai sensi dell’art. 14 del D.Lgs. n. 24/2023, i dati raccolti saranno conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione.

Nel caso di contenzioso o di segnalazione all’Autorità giudiziaria, ad Anac e/o alla Corte dei Conti, il trattamento potrà essere protratto anche oltre i termini sopra indicati, fino al termine di decadenza di eventuali ricorsi e fino alla scadenza dei termini di prescrizione per l’esercizio dei diritti e/o per l’adempimento di altri obblighi di legge.

 

10. Diritti dell’interessato e modalità del loro esercizio

All'interessato – ex artt. 13 e 14 – è garantito l'esercizio dei diritti riconosciuti dagli artt. 15 e seguenti del GDPR. In particolare, è garantito, secondo le modalità e nei limiti previsti dalla vigente normativa, l’esercizio dei seguenti diritti:

- richiedere la conferma dell'esistenza di dati personali che lo riguardino;

- conoscere la fonte e l'origine dei propri dati;

- riceverne comunicazione intelligibile;

- ricevere informazioni circa la logica, le modalità e le finalità del trattamento;

- richiedere l'aggiornamento, la rettifica, l'integrazione, la cancellazione e/o la limitazione dei dati trattati in violazione di legge, ivi compresi quelli non più necessari al perseguimento degli scopi per i quali sono stati raccolti;

- opporsi al trattamento, per motivi connessi alla propria situazione particolare;

- revocare il consenso, ove previsto come base giuridica del trattamento. La revoca non pregiudica la

legittimità del trattamento precedentemente effettuato;

- ricevere, nei casi di trattamento basato sul consenso e al solo costo dell’eventuale supporto utilizzato, i propri dati, forniti al Titolare, in forma strutturata e leggibile da un elaboratore di dati e in un formato comunemente usato da un dispositivo elettronico, qualora ciò sia tecnicamente ed economicamente possibile.

Il diritto alla portabilità dei dati personali non è esercitabile in quanto non sussistono i presupposti indicati dall’art. 20, par. 1, del GDPR.

Secondo quanto disposto dall’art. 13, comma 3, del D.Lgs. n. 24/2023, gli indicati diritti possono essere esercitati nei limiti di quanto previsto dall’art. 2-undecies del D.Lgs. n. 196/2003.

 

Per l’esercizio dei suoi diritti l’interessato può rivolgersi direttamente al Titolare, ovvero al Responsabile della protezione dei dati, ai recapiti indicati al precedente punto 1. Si fa presente che la Camera di commercio ha approvato apposita Procedura di gestione delle richieste di esercizio dei diritti degli interessati ai sensi del Regolamento UE 679/2016 pubblicata nella sezione “Privacy – Adempimenti privacy” al seguente link: https://www.caor.camcom.it/privacy/adempimenti-privacy

 

All’interessato è inoltre riconosciuto il diritto di presentare un reclamo al Garante per la protezione dei dati personali, ex art. 77 del GDPR, secondo le modalità previste dall’Autorità stessa (in www.garanteprivacy.it), nonché, secondo le vigenti disposizioni di legge, adire le opportune sedi giudiziarie, a norma dell’art. 79 del GDPR

 

Nel sito internet istituzionale, sia nella Sezione Amministrazione Trasparente Disposizioni generali – Atti generali che nella sezione Altri contenuti, è consultabile il Regolamento camerale per la gestione delle segnalazioni di illeciti e la tutela del segnalante (whistleblower), ai sensi del Regolamento UE 2016/679. Sulla base del predetto regolamento gli interessati possono esercitare i loro diritti mediante segnalazione interna, utilizzando la piattaforma informatica https://caor.camcom.segnalazioni.net/ “Segnalazioni di condotte illecite - Whistleblowing” del sito web camerale.