Informativa privacy gestione segnalazioni

Informativa ai sensi degli artt. 13 e 14 del Regolamento Europeo 2016/679 sul Trattamento dei dati personali nell’ambito del Sistema di Segnalazione di presunti illeciti (“Whistleblowing”)

Ai sensi degli artt. 13 e 14 GDPR, Movyon S.p.A. (“Movyon” o “Titolare”), in qualità di titolare del trattamento, rende di seguito l'informativa sul trattamento dei dati personali dei soggetti interessati dal processo di ricezione e gestione delle Segnalazioni di presunti illeciti (di seguito anche “Whistleblowing” o “Segnalazione”).

In via preliminare, Movyon informa i soggetti interessati che Autostrade per l’Italia S.p.A., società controllante di Movyon, ha introdotto lo strumento del Whistleblowing, quale Sistema di segnalazione di presunti illeciti da parte di propri dipendenti, di dipendenti delle società del “Gruppo ASPI” e di soggetti terzi (collaboratori/fornitori), nel rispetto della vigente normativa in materia (L. 231/2001, come modificata dalla L. 179/2017).

La “Procedura di gestione delle Segnalazioni”, predisposta da Autostrade per l’Italia S.p.A. e recepita da Movyon, consente, nell’ambito dello svolgimento del processo di ricezione e gestione delle Segnalazioni, di applicare le misure atte a tutelare tutti i soggetti coinvolti nel rispetto dei commi 2-bis, 2-ter e 2-quater dell’art. 6 della L. 231/2001, come introdotti dalla suindicata L. 179/2017 (“Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato”), del GDPR e della relativa normativa nazionale in materia di tutela dei dati personali, tra cui il D.Lgs. 196/2003, come novellato dal D.Lgs. 101/2018 (“Codice Privacy”).

Movyon ha nominato Autostrade per l’Italia S.p.A. responsabile del trattamento ex art. 28 GDPR per la gestione, per conto di Movyon, delle Segnalazioni.

 

  1. TITOLARE DEL TRATTAMENTO

Il titolare dei dati personali è Movyon S.p.A. (P.IVA e C.F. 09743081003), con sede legale in Via A. Bergamini 50 – 00159, ROMA.

Il Titolare ha nominato ex art. 37 e ss. del GDPR un Responsabile della protezione dei dati (“DPO”) domiciliato per l’incarico presso Via A. Bergamini 50 – 00159, ROMA, contattabile per questioni relative al trattamento dei dati personali degli interessati all’indirizzo di posta elettronica dpo@pec.movyon.com.

 

  1. TIPOLOGIE DI DATI TRATTATI

Nell’ambito del procedimento di “Whistleblowing”, i dati personali oggetto di trattamento sono i dati del “Segnalante”, del “Segnalato” e delle persone coinvolte e/o collegate ai fatti oggetto della Segnalazione” (in seguito “Interessati”).

I dati personali raccolti e trattati nell’ambito del procedimento includono dati personali “comuni” degli Interessati (dati anagrafici, funzioni, recapiti quali: indirizzo mail, indirizzo postale, numero telefonico) e, eventualmente, in alcuni casi, ove necessario, anche dati appartenenti a particolari categorie ex art. 9 GDPR.

I dati possono essere raccolti sia direttamente presso l’Interessato sia per il tramite di altri soggetti coinvolti nella Segnalazione, mediante apposita piattaforma e/o i canali di comunicazione indicati al successivo punto 4.

I dati sono forniti volontariamente dall’Interessato/Segnalante, nel caso non in cui non scelga la modalità in forma anonima, e sono trattati esclusivamente dati strettamente necessari alle finalità di cui al successivo punto 3.

 

  1. FINALITA’ E BASE GIURIDICA DEL TRATTAMENTO

I dati personali sono trattati, nell’ambito del procedimento di “Whistleblowing”, esclusivamente per le finalità di istruttoria ed accertamento dei fatti oggetto della Segnalazione e di adozione degli eventuali conseguenti provvedimenti.

Il conferimento dei dati personali è volontario e l’Interessato è pregato di fornire soltanto i dati necessari a descrivere i fatti oggetto della Segnalazione senza comunicare dati personali ridondanti ed ulteriori a quelli necessari rispetto alle finalità sopra indicate. Nel caso in cui tali dati ulteriori e non necessari vengano forniti, non verranno utilizzati dal Titolare. Infatti, i dati personali trattati da Movyon sono solo quelli necessari e pertinenti per il raggiungimento delle finalità sopra indicate, sulla base del “principio di minimizzazione” ex art. 5 GDPR.

I dati personali degli Interessati sono trattati sulla base giuridica del legittimo interesse del Titolare (art. 6, co. 1, lett. f) del GDPR) a gestire le Segnalazioni di presunti illeciti di cui il Segnalante sia venuto a conoscenza per ragioni di lavoro e/o nell’ambito del rapporto di lavoro, nonché a tutelare gli Interessati interni ed esterni coinvolti nel procedimento di Whistleblowing.

I dati personali ex art. 9 GDPR, potranno essere trattati, ove necessario, sulla base giuridica del legittimo interesse del Titolare (ex art. 6, co. 1, lett. f) del GDPR), per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, nonché sulla base giuridica ex art 6, co. 1, lett. b) del GDPR (“esecuzione del contratto”) per determinati aspetti del rapporto di lavoro.

 

  1.  MODALITA’ DEL TRATTAMENTO

I dati sono raccolti, nel rispetto delle norme vigenti, a mezzo di strumenti elettronici, telematici e manuali, con logiche strettamente connesse alle finalità sopra indicate, in modo da garantire la sicurezza e la riservatezza dei dati stessi.

In particolare, sono raccolti tramite gli strumenti elettronici/telematici:

  • la piattaforma on line “Whistleblowing” resa disponibile sul sito della controllante Autostrade per l’Italia S.p.A.,
  • la posta elettronica all’indirizzo: segnalazioni@autostrade.it,

nonché mediante strumenti manuali di posta ordinaria, all’indirizzo: Ethic Officer – Team Segnalazioni di Gruppo ASPI, via Bergamini, 50 Roma.

I dati raccolti a mezzo degli strumenti elettronici/telematici non saranno oggetto di trattamento completamente automatizzato così come specificato all’art. 22 GDPR. 

Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti e accessi non autorizzati.

Inoltre, specifiche misure tecnico-organizzative sono adottate, ai sensi dell’art. 32 GDPR, per garantire la tutela dell’identità degli Interessati, nonché l’eventuale anonimia del Segnalante ed il completo anonimato nell’accesso alla piattaforma (no log).

 

  1. TEMPI DI CONSERVAZIONE DEI DATI

I dati personali saranno conservati solo per il tempo necessario alle finalità per le quali vengono raccolti nel rispetto del principio di minimizzazione ex art. 5.1.c) GDPR e, in particolare, alle finalità di gestione dell’istruttoria, di conclusione dell’attività di definizione della Segnalazione e di adozione dei relativi provvedimenti, in caso di accertamento.

 

  1. DESTINATARI DEI DATI

Per lo svolgimento delle attività relative al procedimento di “Whistleblowing”, e sempre per le finalità di cui al punto 3, Movyon ha nominato come responsabile del trattamento ex art. 28 GDPR la società controllante Autostrade per l’Italia S.p.A., che gestisce le Segnalazioni per conto di Movyon.

L’elenco dei soggetti nominati Responsabili del trattamento ex art. 28 GDPR può essere richiesto al DPO.

In nessun caso i dati personali degli Interessati saranno oggetto di diffusione.

  1. DIRITTI DEGLI INTERESSATI

Gli artt. 15-22 GDPR conferiscono agli Interessati la possibilità di esercitare specifici diritti, quali, per esempio, il diritto di accesso, di rettifica, di cancellazione, di limitazione del trattamento.

I diritti di cui sopra potranno essere esercitati con richiesta rivolta senza formalità al DPO di Movyon all’indirizzo PEC dpo@pec.movyon.com, mediante l’utilizzo di appositi moduli resi disponibili dal Titolare sul sito internet www.movyon.com

L’Interessato potrà proporre reclamo ai sensi dell’art. 57 lett. f) GDPR all’Autorità Garante per la Protezione dei Dati Personali (Piazza di Monte Citorio n. 121, 00186 ROMA), al fine di far valere i suoi diritti in relazione al trattamento dei dati personali.

 Nel caso in cui l’esercizio dei diritti di cui sopra da parte del Segnalato possa comportare un pregiudizio effettivo e concreto alla protezione e riservatezza dei dati personali del Segnalante, il Titolare potrà limitare, ritardare ovvero escludere tale esercizio, ai sensi dell’art. 2-undecies, co. 1, lett. f) del Codice Privacy, e non dare seguito all’istanza.

In tali casi, i diritti dell’Interessato, ai sensi dell’art. 2-undecies, co. 3 del Codice Privacy, possono essere esercitati tramite il Garante con le modalità di cui all’art. 160 del Codice Privacy.

 

  1. EVENTUALE TRASFERIMENTO ALL’ESTERO DEI DATI PERSONALI 

La gestione e la conservazione dei dati, avviene su server della società controllante Autostrade per l’Italia S.p.A., nominata Responsabile del trattamento ex art. 28 GDPR e di eventuali soggetti terzi nominati da quest’ultima sub-responsabili ex art. 28 GDPR, tutti ubicati in Italia e all’interno dell’Unione Europea.

I dati personali non sono oggetto di trasferimento al di fuori dell’Unione Europea. 

Ove si rendesse necessario, il Titolare avrà facoltà di spostare l’ubicazione degli archivi e dei server in Italia e/o nell’Unione Europea e/o in Paesi extra-UE. In tal ultimo caso, si assicura, sin d’ora, che il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili, stipulando, ove necessario, accordi che garantiscano un livello di protezione adeguato e/o adottando le Clausole Contrattuali Standard previste dalla Commissione Europea.