INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI PER LA SEGNALAZIONE DI CONDOTTE ILLECITE (c.d. WHISTLEBLOWING)

Ultimo aggiornamento: 10 maggio 2024

La presente informativa, resa ai sensi dell’art. 13 e 14 del Regolamento (UE) 2016/679 (di seguito il “Regolamento” o “GDPR”), descrive le modalità del trattamento dei dati personali dei dipendenti o dei soggetti legati a PagoPA S.p.A. (di seguito anche “Società”) mediante rapporto contrattuale (di seguito “Interessato/i” o genericamente “dipendente/i”) che segnalano agli organi legittimati a intervenire, violazioni o irregolarità commesse, in ragione di un rapporto di lavoro, ai danni dell’interesse pubblico, della Società o dei dipendenti della stessa, mediante la procedura di Whistleblowing. 

Titolare del trattamento 

Il Titolare del trattamento è PagoPA S.p.A., con sede in Roma, Piazza Colonna 370, CAP - 00187, n. di iscrizione a Registro Imprese di Roma, CF e P.IVA 15376371009 (di seguito il “Titolare”).

E-mail: info@pagopa.it. 

Per ogni domanda inerente il trattamento di dati personali si prega di contattare il Titolare utilizzando il form dedicato alla gestione delle richieste degli interessati.

Data protection officer (DPO) o Responsabile Protezione Dati (RPD) 

PagoPA S.p.A. ha nominato un proprio Responsabile della Protezione dei dati, ai sensi dell’art. 37 del Regolamento, che può essere contattato tramite il presente form di contatto. 

Il form è altresì disponibile sul Portale web della Società ovvero www.pagopa.it nella sezione “Diritto alla protezione dei dati personali”. 

Categorie di dati e finalità

  • Dati comuni relativi a tutte le persone fisiche - identificate o identificabili - a vario titolo coinvolte nelle vicende segnalate (segnalante, segnalato, facilitatore, eventuali altri terzi), c.d. interessati, come, ad esempio, i dati identificativi e di contatto del segnalante, se volontariamente comunicati dallo stesso, dati identificativi del segnalato; numero identificativo della segnalazione che viene dato al segnalante all’atto dell’invio per monitorare la gestione della sua segnalazione;
  • Dati particolari a seconda del contenuto delle segnalazioni e degli atti e documenti a queste allegati;
  • Dati giudiziari (quali condanne penali e reati), eventualmente contenuti nella segnalazione e negli atti e nei documenti a essa allegati.

I dati personali sono dunque acquisiti in quanto contenuti nella segnalazione e/o in atti e documenti a questa allegati. Essi possono riferirsi al soggetto segnalante, nel caso in cui intenda indicare la propria identità nel corso della segnalazione, e alle persone indicate come possibili responsabili delle condotte illecite, nonché a quelle a vario titolo coinvolte nelle vicende segnalate. 

La finalità è quella di ricevere e gestire le segnalazioni di violazioni o irregolarità commesse ai danni dell’interesse pubblico, della Società e dei suoi dipendenti (dal malfunzionamento della Società a causa dell’uso ai fini privati delle funzioni attribuite fino ad arrivare a fatti di corruzione e altri reati contro la Società), consumate o tentate.

In particolare, per svolgere le necessarie attività istruttorie volte a verificare la fondatezza di quanto segnalato, nonché, se del caso, adottare adeguate misure correttive e intraprendere le opportune azioni disciplinari e/o giudiziarie nei confronti dei responsabili delle condotte illecite.

Base giuridica del trattamento

La Società tratta i dati personali in qualità di Titolare del trattamento, al fine di ricevere e gestire le segnalazioni di violazioni o irregolarità, commesse ai danni dell’interesse pubblico, della Società e dei suoi dipendenti, in virtù delle seguenti basi giuridiche:

  • Dare attuazione agli obblighi di legge previsti dalla disciplina whistleblowing la cui osservanza è condizione di liceità del trattamento ex art. 6, par. 1, lett. c) e parr. 2,3;
  • Art. 9, par. 2, lett. b);
  • Artt. 10 e. 88 del GDPR.

Categorie di destinatari

Laddove i terzi destinatari ricevano i dati personali per l’esecuzione di un servizio commissionato da PagoPA nell’interesse di quest’ultima, gli stessi sono nominati Responsabili del trattamento da parte del Titolare ai sensi dell’art. 28 del Regolamento. L’elenco dei responsabili del trattamento può essere richiesto al Titolare in qualsiasi momento, scrivendo a dpo@pagopa.it possono essere richiesti in qualsiasi momento mediante il presente form di contatto.

Soggetti autorizzati al trattamento

Quanto alle persone fisiche preposte alla ricezione e/o alla gestione della segnalazione, esse trattano i dati in qualità di soggetti autorizzati al trattamento e, pertanto, possono trattare i dati solo se espressamente autorizzati e previamente istruiti in tal senso dal titolare ovvero dal responsabile ai sensi dell’art. 29, dell’art. 32, par. 4 del GDPR e dell’art. 2-quaterdecies del Codice privacy.

Trasferimenti verso paesi terzi

Alcuni dei fornitori terzi di cui ci avvaliamo per alcuni servizi essenziali all’operatività dei nostri prodotti e servizi risiedono all’estero, compresi gli USA. Abbiamo concluso con tali fornitori accordi ai sensi dell'art. 28 del Regolamento e utilizziamo uno o più meccanismi che garantiscano adeguati livelli di tutela (es. verifica dell’adesione degli stessi al Data Privacy Framework, sottoscrizione di Clausole Contrattuali Standard della Commissione Europea). Dove possibile, inoltre, selezioniamo opzioni che consentono di mantenere i dati nell’Unione Europea e abbiamo negoziato misure aggiuntive per garantirti un maggior livello di sicurezza.

Periodo di conservazione

I dati personali sono conservati  per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, prevedendo espressamente che le segnalazioni e la relativa documentazione siano conservate per il tempo necessario alla trattazione della segnalazione e, comunque, non oltre 5 anni dalla comunicazione dell’esito finale della procedura.

Diritti degli interessati

Gli Interessati, ai quali i dati personali si riferiscono, hanno il diritto di esercitare i diritti loro riconosciuti ai sensi degli artt. da 15 a 21 del GDPR, laddove applicabili.

Gli Interessati possono contattare il Responsabile della Protezione dei Dati per tutte le questioni inerenti il trattamento dei propri dati personali e l'esercizio dei propri diritti, utilizzando il  presente form dedicato alla gestione delle richieste degli interessati disponibile nella sezione “Diritto alla protezione dei dati personali” del sito internet della Società https://www.pagopa.it/it/

Inoltre, l’ esercizio dei diritti degli interessati (es. accesso, rettifica, aggiornamento, cancellazione, limitazione del trattamento, portabilità, opposizione) può essere limitato qualora dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante.

È, inoltre, diritto degli Interessati proporre reclamo al Garante per la protezione dei dati personali  come previsto dall’art. 77 del Regolamento stesso, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).

Autorità di controllo - Garante per la protezione dei dati personali 

Indirizzo e-mail: garante@gpdp.it 

Indirizzo PEC: protocollo@pec.gpdp.it 

Portale web: https://www.garanteprivacy.it  

Modifiche

Il Titolare si riserva il diritto di apportare alla presente informativa, a propria esclusiva discrezione, ed in qualunque momento, tutte le modifiche ritenute opportune o rese obbligatorie dalle norme di volta in volta vigenti, dandone adeguata pubblicità agli Utenti. Si prega, dunque, l’Utente di consultare spesso questa pagina, prendendo a riferimento la data di ultima modifica indicata.