Whistleblowing: Informativa sulla Privacy

INFORMATIVA IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI

ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679

IN RELAZIONE ALLE SEGNALAZIONI DI “WHISTLEBLOWING”

 

Con questa informativa il Conservatorio di musica “Franco Vittadini” (d’ora in poi il Conservatorio) spiega come tratta i dati raccolti e quali sono i diritti riconosciuti all’interessato ai sensi del Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e del d.lgs. 196/2003, in materia di protezione dei dati personali, così come attualmente vigente.

1. Titolare del trattamento

Titolare del trattamento dei dati personali è il Conservatorio di musica “Franco Vittadini”, con sede in via Volta n. 31, 27100 Pavia – C.F.: 96054740186 – e-mail: relazioni.esterne@conspv.it – PEC: istitutovittadini@pec.it – tel: 0382 304764, nella persona del Presidente pro tempore.

2. Responsabile della protezione dei dati

Il dato di contatto del Responsabile della protezione dati è dpo@conspv.it.

3. Finalità del trattamento

I dati da lei direttamente forniti per segnalare, nell’interesse dell’integrità della Pubblica Amministrazione, presunte condotte illecite delle quali sia venuto a conoscenza in ragione del proprio rapporto di lavoro, servizio o fornitura con il Conservatorio, verranno trattati dal Conservatorio stesso per gestire tali segnalazioni. I dati personali sono dunque acquisiti mediante l’apposito form o nelle altre modalità individuate ex lege ed in concreto previste ed ammesse dal Conservatorio in quanto contenuti nella segnalazione e/o in atti e documenti a questa allegati, si riferiscono al soggetto segnalante e possono altresì riferirsi a persone indicate come possibili responsabili delle condotte illecite, a quelle a vario titolo coinvolte nelle vicende segnalate, nonché all’eventuale facilitatore. In particolare, per svolgere le necessarie attività istruttorie volte a verificare la fondatezza di quanto segnalato, nonché, se del caso, adottare adeguate misure correttive e intraprendere le opportune azioni disciplinari e/o giudiziarie nei confronti dei responsabili delle condotte illecite.

4. Tipologia di dati trattati

La ricezione e la gestione delle segnalazioni dà luogo a trattamenti di dati personali c.d. “comuni” (nome, cognome, ruolo lavorativo, ecc.), nonché può dar luogo, a seconda del contenuto delle segnalazioni e degli atti e documenti a queste allegati, a trattamenti di dati personali c.d. “particolari” (di cui all’art. 9 GDPR) e di dati personali relativi a condanne penali e reati (di cui all’art. 10 GDPR).

5. Basi Giuridiche del trattamento

Tenuto conto della normativa di riferimento e, in particolare, del D.lgs. 24/2023, si precisa che il trattamento dei dati personali, potenzialmente anche delle categorie di cui agli articoli 9 e 10 GDPR, si fonda sull’obbligo di legge a cui è soggetto il Titolare del trattamento nonché sull’esecuzione di compiti di interesse pubblico assegnati dalla legge al Conservatorio nell’ambito delle proprie funzioni istituzionali.

Si precisa che, in ragione di quanto disposto D.lgs. 24/2023, nel caso in cui la segnalazione portasse all’instaurazione di un procedimento disciplinare nei confronti del responsabile della condotta illecita, l’identità del segnalante non verrà mai rivelata. Qualora la conoscenza dell’identità del segnalante fosse indispensabile per la difesa dell’incolpato, verrà domandato al segnalante se intende rilasciare un apposito, libero consenso ai fini della rivelazione della propria identità.

6. Soggetti autorizzati a trattare i dati

A sua tutela, i dati saranno trattati Responsabile della prevenzione della corruzione e della trasparenza del Conservatorio e/o suoi delegati. Qualora esigenze operative ed istruttorie richiedano che altri soggetti, all’interno del Conservatorio, debbano essere messi a conoscenza del contenuto della segnalazione o della documentazione ad essa allegata, non verrà mai rivelata l’identità del segnalante, né verranno rivelati elementi che possano, anche indirettamente, consentire l’identificazione dello stesso. Tali soggetti, poiché potrebbero comunque venire a conoscenza di altri dati personali, sono comunque tutti formalmente autorizzati al trattamento e a ciò appositamente istruiti e formati, nonché tenuti a mantenere il segreto su quanto appreso in ragione delle proprie mansioni, fatti salvi gli obblighi di segnalazione e di denuncia di cui all’art. 331 del Codice di procedura penale.

7. Categorie di destinatari dei dati personali

I suoi dati personali e quelli delle persone indicate come possibili responsabili delle condotte illecite, nonché delle persone a vario titolo coinvolte nelle vicende segnalate e dell’eventuale facilitatore, non saranno oggetto di diffusione, tuttavia, se necessario, su loro richiesta, possono essere trasmessi alle autorità competenti come previsto dalla normativa in materia di whistleblowing e dalle applicabili Linee Guida ANAC. Alla segnalazione e all’identità del segnalante non è possibile accedere né a mezzo accesso documentale, né a mezzo accesso civico generalizzato. Nell’ambito dei procedimenti penali eventualmente istaurati, l’identità del segnalante sarà coperta da segreto nei modi e nei limiti previsti dall’art. 329 c.p.p.; nell’ambito di procedimenti dinanzi alla Corte dei conti, l’identità del segnalante non sarà comunque rivelata sino alla chiusura della fase istruttoria; ad eccezione dei casi in cui sia configurabile una responsabilità a titolo di calunnia e di diffamazione ai sensi delle disposizioni del codice penale o dell’art. 2043 del codice civile e delle ipotesi in cui la riservatezza non è opponibile per legge, (es. indagini penali, tributarie o amministrative, ispezioni di organi di controllo) l’identità del segnalante verrà protetta sin dalla ricezione della segnalazione e in ogni fase successiva, in ossequio alle vigenti disposizioni della Disciplina Privacy. Pertanto, l’identità del segnalante può essere rivelata solo nei casi in cui a) la contestazione dell’addebito sia fondata in tutto o in parte sulla segnalazione, la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’incolpato e la persona segnalante abbia prestato il consenso espresso alla rivelazione della propria identità. Solo in questo caso la segnalazione potrà essere utilizzata nel procedimento disciplinare; b) vi siano disposizioni cogenti che obblighino il Conservatorio a rivelare l’identità del segnalante. Tutti coloro che riceveranno e/o saranno coinvolti nella gestione delle segnalazioni sono tenuti a tutelare la riservatezza delle informazioni ad essa relative.

8. Modalità del trattamento

I dati personali saranno trattati anche con strumenti informatici ed eventualmente cartacei per il tempo strettamente necessario a conseguire gli scopi per cui sono stati raccolti. Il Conservatorio attua idonee misure per garantire che i dati forniti vengano trattati in modo adeguato e conforme alle finalità per cui vengono gestiti ed impiega idonee misure organizzative e di sicurezza, tecniche e fisiche, per tutelare le informazioni dall’alterazione, dalla distruzione, dalla perdita, dal furto o dall’utilizzo improprio o illegittimo, nel pieno rispetto dell’art. 32 del GDPR.

9. Periodo di conservazione dei dati

Le segnalazioni ricevute tramite i canali di segnalazione ammessi, gli eventuali documenti allegati alla segnalazione o ricevuti nel corso della fase di indagine sono conservati per il periodo stabilito dalla normativa applicabile. In argomento, si specifica che, a norma dell’art. 14 D.lgs. 24/2023, le segnalazioni interne e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione. Sono fatti salvi eventuali ulteriori specifici obblighi di conservazione. Trascorsi i periodi di conservazione sopra indicati, le segnalazioni potranno essere conservate solo in forma anonimizzata per soli fini statistici.

10. Diritti

A sensi degli artt. da 15 e seguenti del GDPR, ferme restando le limitazioni derivanti da disposizioni cogenti e dalla normativa in materia di whistleblowing, Le sono riconosciuti alcuni diritti significativi nei confronti del Titolare, ossia: Diritto di accesso – il diritto di ottenere senza ingiustificato ritardo informazioni inerenti a: (i) le finalità del trattamento; (ii) le categorie dei dati personali trattati; (iii) i destinatari o le categorie degli stessi ai quali i dati possono essere comunicati, in particolare se collocati in paesi extra-UE, ed i mezzi per esercitare i suoi diritti verso tali soggetti; (iv) quando possibile il periodo di conservazione o i criteri per determinarlo; (v) l’aggiornamento, la rettificazione ovvero, qualora vi abbia interesse, l’integrazione dei dati personali nonché l’origine dei dati raccolti presso terzi. Diritto di rettifica – diritto di ottenere senza ingiustificato ritardo la rettifica dei dati personali inesatti e, tenuto conto delle finalità del trattamento, di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa; Diritto di cancellazione – diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati personali ove sussista uno dei motivi elencati nell’articolo 17, par. 1 del GDPR – come nel caso in cui i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati – salvo che il trattamento sia necessario in base alle previsioni di cui al paragrafo 3 del medesimo articolo, tra cui (a) l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui sia soggetto il Titolare, o (b) l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui sia investito il Titolare, o (c) l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; Diritto di limitazione – diritto di ottenere la limitazione del trattamento ove ricorra una delle ipotesi di cui all’articolo 18, par. 1 del GDPR: se il trattamento è limitato, i dati personali verranno trattati – salvo che per la conservazione – soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro. Si sottolinea come l’esercizio dei summenzionati diritti da parte dell’interessato potrà avvenire attraverso l’invio delle relative richieste all’indirizzo e-mail dpo@conspv.it.

Si specifica che, come previsto dalle Linee Guida ANAC approvate con Delibera n. 311 del 12 luglio 2023 “la persona coinvolta o la persona menzionata nella segnalazione, con riferimento ai propri dati personali trattati nell’ambito della segnalazione, divulgazione pubblica o denuncia, non possono esercitare – per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata31 – i diritti che normalmente il Regolamento (UE) 2016/679 riconosce agli interessati […]. Dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona segnalante. In tali casi, dunque, al soggetto segnalato o alla persona menzionata nella segnalazione è preclusa anche la possibilità, laddove ritengano che il trattamento che li riguarda violi suddetti diritti, di rivolgersi al titolare del trattamento e, in assenza di risposta da parte di quest’ultimo, di proporre reclamo al Garante della protezione dei dati personali”.

Fatto salvo quanto sopra specificato, qualora ritenga che il trattamento sia avvenuto in modo non conforme al Regolamento e al d.lgs. 196/2003, potrà rivolgersi all’Autorità Giudiziaria (art. 79 del Regolamento) o al Garante per la Protezione dei dati Personali, ai sensi dell’art. 77 del medesimo Regolamento. Ulteriori informazioni in ordine ai suoi diritti sulla protezione dei dati personali sono reperibili sul sito web del Garante per la Protezione dei Dati Personali all’indirizzo www.garanteprivacy.it