informativa sul trattamento dei dati personali per le segnalazioni di condotte illecite- whistleblowing (D.Lgs. 24/2023)
ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679
L’Università
Iuav di Venezia (d’ora in avanti Università o Ateneo), nell’ambito
delle proprie finalità istituzionali, rende la presente informativa ai sensi
degli art. 13 e 14 del Regolamento UE 2016/679 (d’ora in avanti GDPR).
- titolare del trattamento e responsabile
della protezione dei dati
- finalità del trattamento e base giuridica
del trattamento
- categorie e
tipi di dati trattati
- natura del conferimento dei dati
- destinatari dei dati
personali ed eventuali trasferimenti di dati all’estero
- periodo di
conservazione dei dati
titolare del trattamento e responsabile della
protezione dei dati
Il Titolare del trattamento è l’Università, nella persona del Magnifico Rettore, con sede in Santa Croce 191, 30135 Venezia e può essere contattato ai seguenti indirizzi:
email privacy@iuav.it
PEC ufficio.protocollo@pec.iuav.it
Il Responsabile della protezione dei dati (d’ora
in avanti DPO) può essere contattato ai seguenti indirizzi:
email dpo@iuav.it
PEC dpo@pec.iuav.it
finalità del trattamento e base giuridica del
trattamento
Il
trattamento dei dati personali è effettuato dall’Università per le seguenti
finalità:
- acquisizione
e gestione delle segnalazioni di illeciti, compresa l’eventuale
trasmissione degli atti agli organi di ateneo e/o alle autorità competenti.
La base
giuridica di tale trattamento è rappresentata da:
- adempimento
di un obbligo legale (art. 6, comma 1, lett. c, GDPR) al quale è soggetto il
titolare del trattamento: D.lgs. n. 24/2023.
La base
giuridica del trattamento di dati particolari, eventualmente presenti nella
segnalazione, è rappresentata da:
- motivi di
interesse pubblico rilevante sulla base del diritto dell’Unione o degli
Stati membri (art. 9, comma 2, lett. g, GDPR).
Si evidenzia
che, limitatamente ai procedimenti disciplinari, ai
sensi dell’art. 12 del d.lgs. 24/2023, qualora la contestazione sia
fondata, in tutto o in parte, sulla segnalazione e la conoscenza
dell’identità della persona segnalante sia indispensabile per la difesa
dell’incolpato, la segnalazione sarà utilizzabile solo in presenza del
consenso espresso della persona segnalante alla rivelazione della propria
identità. In tal caso, il trattamento è lecito sulla base dell’art. 6
par. 1 lett. a) GDPR.
Il
trattamento dei dati personali è improntato ai principi di liceità, correttezza
e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza,
limitazione della conservazione, integrità e riservatezza, responsabilizzazione
(art. 5 GDPR).
Nell’ambito della gestione della procedura potranno essere trattati i seguenti dati:
- dati anagrafici e dati di contatto nel caso di segnalazioni effettuate in forma non anonima;
- ruolo professionale nell’ambito dell’Università̀ o dell’impresa terza;
- ogni altro dato indicato nella segnalazione
o emerso nel corso dell’istruttoria.
natura del conferimento dei dati
In relazione alle finalità sopra espresse, il conferimento dei dati che costituiscono il contenuto indispensabile della segnalazione - quali ad esempio le generalità del soggetto responsabile delle condotte descritte nella segnalazione o gli elementi utili a identificarlo ovvero dati personali relativi ad altri soggetti, se noti, che possano riferire sui fatti segnalati - è requisito necessario per la gestione del procedimento ed è pertanto obbligatorio.
modalità di trattamento
Il trattamento dei dati personali raccolti avviene ad opera del RPCT e del personale dell’Università che eventualmente deve essere coinvolto per l’istruttoria del procedimento, previamente autorizzati e adeguatamente istruiti dal Titolare:
-in forma automatizzata e manuale
In particolare, i dati potranno essere raccolti
- mediante un applicativo informatico che utilizza dei protocolli di crittografia in grado di garantire la riservatezza dell’identità della persona segnalante, il contenuto della segnalazione e della relativa documentazione, la conservazione su server certificato Whistleblowing Solutions Impresa Sociale S.r.l., ACN (Agenzia per le Cybersicurezza Nazionale) CSA STAR (Security Trust Assurance and Risk);
- in forma cartacea trasmessi mediante il servizio postale;
- in forma orale, chiedendo un incontro al Responsabile della prevenzione della corruzione e della trasparenza (RPCT) che redigerà apposito verbale.
La documentazione cartacea sarà custodita in appositi archivi anonimizzati, allocati all’interno di armadi muniti di serrature e accessibili unicamente al RPCT stesso.
Per ogni ulteriore informazione relativa ai canali di segnalazione si invita a consultare il sito di ateneo alla sezione “Amministrazione Trasparente”.
I dati saranno trattati da Whistleblowing Solutions Impresa Sociale S.r.l., fornitore del software open-source creato per permettere l'avvio di iniziative di whistleblowing, che risulta Responsabile del trattamento dati ai sensi dell’art. 28 GDPR.
Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati nel pieno rispetto di quanto previsto dall’articolo 32 del GDPR e dal d.lgs. 24/2003.
destinatari dei dati personali ed eventuali trasferimenti di dati
all’estero
I dati personali saranno trattati, nel rispetto della vigente normativa in materia, dal RPCT, dai servizi coinvolti nell’ambito dell’istruttoria (a eccezione dei dati relativi all’identità del segnalante o a elementi che possano consentirne anche indirettamente l’identificazione) e dalla società Whistleblowing Solutions Impresa Sociale S.r.l., fornitore del software, nell’ambito delle finalità sopra indicate.
I dati potranno essere comunicati:
a. a organi interni (Rettore, Direttore generale, dirigente della struttura, Ufficio Procedimenti Disciplinari, Collegio di Disciplina, Commissione di Disciplina, Nucleo di Valutazione, etc.) salvo quanto previsto dall’art. 12 del d.lgs. 24/2023;
b. a istituzioni/enti esterni (Autorità Giudiziaria ordinaria o contabile, Autorità Nazionale Anticorruzione, etc.), per l’adempimento di obblighi previsti dalla legge e/o di richieste dell’autorità giudiziaria.
Non sono previsti trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale. Eventuali variazioni saranno preventivamente comunicate agli interessati.
periodo di conservazione dei dati
I dati personali raccolti saranno conservati dall’Università per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza previsti dalla normativa in materia.
diritti dell’interessato
L’interessato
(cioè la persona fisica identificata o identificabile cui il dato personale si
riferisce) può esercitare una serie di diritti nei confronti dell'Università,
quale Titolare del trattamento, ai sensi degli artt. 15 – 21 del GDPR.
In
particolare, l’interessato può esercitare:
- il diritto
di accesso ai dati personali;
- il diritto
di rettifica dei dati personali;
- il diritto
alla cancellazione dei dati personali;
- il diritto
alla limitazione del trattamento dei dati personali;
- il diritto
di opposizione al trattamento dei dati personali.
Nel caso in
cui l’interessato abbia dato il consenso alla rivelazione della sua
identità nell’ambito di procedimenti disciplinari, ha diritto di revocare
tale consenso in qualsiasi momento, senza che però ciò pregiudichi la liceità
del trattamento effettuato prima della revoca del consenso.
Per
l'esercizio di tali diritti l'interessato può rivolgersi al Titolare del
trattamento, inviando una richiesta a privacy@iuav.it oppure ufficio.protocollo@pec.iuav.it
Infine,
l'interessato ha il diritto, in relazione a un trattamento che consideri non
conforme, di avanzare un reclamo al Garante per la Protezione dei Dati
Personali (http://www.garanteprivacy.it) o all'Autorità Garante dello
Stato dell'UE in cui l'interessato risiede abitualmente o lavora, oppure del
luogo ove si è verificata la presunta violazione.