In attuazione alla vigente normativa in materia (D.Lgs. 24/2023 – “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali”) Autostrade per l’Italia S.p.A. e le altre Società del Gruppo Autostrade per l’Italia (elencate all’Allegato 1 e di seguito congiuntamente definite la “Società” o il “Titolare”) hanno implementato un sistema per la ricezione e gestione delle segnalazioni di presunti illeciti, che consente la gestione della segnalazione (“Segnalazione”) presentata da Lei alla Società mediante specifico canale dedicato della Società medesima. Il sistema è dedicato alla ricezione e gestione delle segnalazioni, anche in forma anonima, pervenute alla Società dal personale aziendale e/o da soggetti terzi e relative ad eventuali violazioni di disposizioni normative nazionali o dell’Unione europea, violazioni delle norme interne (regole di condotta contemplate nel Codice Etico, nella Linea Guida Anticorruzione, nel Modello 231 e più in generale nel corpus normativo aziendale), condotte illecite ed irregolarità circa la conduzione delle attività aziendali della Società stessa. Ai sensi degli artt.13 e 14 del Regolamento Europeo 2016/679 (in seguito “GDPR”), ciascuna delle Società sopra indicate, quale Titolare autonomo del trattamento, rende l’informativa sul trattamento dei dati/informazioni personali (“Dati”) che La riguardano (in qualità di “Segnalante”), acquisiti direttamente o altrimenti acquisiti, in riferimento alla “Segnalazione” da Lei effettuata, nonché sul trattamento dei dati/informazioni dei soggetti interessati dalla Segnalazione stessa (in seguito anche “Whistleblowing”). La presente Informativa è resa disponibile e a conoscenza dei potenziali interessati mediante pubblicazione sul sito istituzionale del Titolare. Il Titolare si riserva il diritto, a sua discrezione, di cambiare, modificare, aggiungere o rimuovere qualsiasi parte della presente Informativa in qualsiasi momento. Al fine di facilitare la verifica di eventuali cambiamenti, la presente Informativa conterrà in calce l’indicazione della data di aggiornamento.
1. TITOLARE DEL TRATTAMENTO
Autostrade per l’Italia o altra Società del Gruppo Autostrade per l’Italia a cui la Segnalazione viene indirizzata è Titolare autonomo del trattamento dei Suoi dati personali, quale Segnalante, e/o degli altri soggetti interessati dalla Segnalazione per le attività di gestione del Whistleblowing. Per maggiori informazioni sulla Società che agisce come Titolare del trattamento per la Segnalazione da Lei effettuata e sul Data Protection Officer (DPO) che ciascun Titolare ha nominato, La invitiamo a consultare l’Allegato 1 della presente informativa “Lista dei Titolari del trattamento e dei Data Protecion Office (DPO)” nel quale sono riportati gli indirizzi e i recapiti presso i quali contattarli. Qualora la Segnalazione, ricevuta tramite il proprio “canale di segnalazione interna”, sia di competenza di un altro Titolare, questa verrà indirizzata allo stesso da parte della Società competente che opererà come Titolare autonomo.
2. TIPOLOGIE DI DATI TRATTATI
Nell’ambito del procedimento di “Whistleblowing”, i dati/informazioni personali oggetto di trattamento sono i Dati del “Segnalante” (o “Interessato”), del “Segnalato” e delle persone coinvolte e/o collegate ai fatti oggetto della Segnalazione”, quali, per esempio, eventuali testimoni (in seguito “Interessati”). Tali Dati, raccolti e trattati dal Titolare, includono dati personali “comuni” dell’Interessato/Segnalante, degli Interessati (dati anagrafici, la posizione lavorativa ricoperta nella Società di appartenenza, recapiti quali: indirizzo mail, indirizzo postale, numero telefonico), ogni altra informazione presente nella Sua segnalazione, e, eventualmente, in alcuni casi, ove necessario, anche dati appartenenti a particolari categorie ex art. 9 GDPR o dati relativi a condanne penali e reati ex art. 10 del GDPR per i motivi di interesse pubblico rilevante di cui al Decreto Whistleblowing e comunque nei limiti di quanto consentito dalla normativa in materia, inclusi gli articoli 9 e 10 del GDPR. I Dati possono essere raccolti sia direttamente presso l’Interessato sia per il tramite di altri soggetti coinvolti nella Segnalazione, mediante l’apposito “canale di segnalazione interna” sopra indicato ovvero tramite gli altri canali di comunicazione indicati al successivo punto 4. I dati sono forniti volontariamente dall’Interessato/Segnalante, anche in forma anonima, al Titolare, il quale non tratterà dati che non siano strettamente necessari alle finalità di cui al successivo punto 3. A titolo esemplificativo e non esaustivo, la “segnalazione” può avvenire da parte di: dipendenti del Titolare e/osoggetti terzi che intrattengono un rapporto con il Titolare.
3. FINALITA’ E BASE GIURIDICA DEL TRATTAMENTO
I Dati personali sono trattati esclusivamente per le finalità di istruttoria ed accertamento dei fatti oggetto della Segnalazione e di adozione degli eventuali conseguenti provvedimenti, secondo quanto previsto dal D.Lgs. 24/2023. In particolare, i Dati personali raccolti sono solo quelli necessari e pertinenti per il raggiungimento delle finalità sopra indicate, sulla base del “principio di minimizzazione”. Rispetto a questi dati, il loro conferimento è volontario e l’Interessato è pregato di fornire soltanto i dati necessari a descrivere i fatti oggetto della Segnalazione senza comunicare dati personali ridondanti ed ulteriori a quelli necessari rispetto alle finalità sopra indicate. Nel caso siano forniti, il Titolare si asterrà dall’utilizzare tali Dati e li cancellerà. I Dati personali sono trattati sulla base giuridica dell’obbligo di legge, ex art. 6, co.1 lett. b) (D.Lgs. 24/2023 – D.Lgs. 231/01), e del legittimo interesse del Titolare, ex art. 6, co. 1, lett. f) del GDPR (a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’Interessato), a gestire le Segnalazioni di illeciti, di cui sia venuto a conoscenza il Segnalante per ragioni di lavoro, nell’ambito del proprio contesto lavorativo o per altre ragioni, nonché a tutelare gli Interessati interni ed esterni coinvolti nel procedimento di “Whistleblowing”.
4. MODALITA’ DEL TRATTAMENTO
I dati sono raccolti, nel rispetto delle norme vigenti, a mezzo di strumenti elettronici, telematici e manuali, con logiche strettamente connesse alle finalità sopra indicate, in modo da garantire la sicurezza e la riservatezza dei dati stessi. In particolare, sono raccolti tramite i seguenti strumenti elettronici/telematici:
- la piattaforma on line “canale di segnalazione interna”, ex art. 4 D.Lgs. 24/2023, fornita da un provider esterno selezionato che adotta un sistema di segnalazioni di illeciti aziendali conforme alla Direttiva (UE) 2019/1937, che garantisce la sicurezza e la protezione dei dati oltre che la riservatezza delle informazioni, attraverso un sistema avanzato di criptazione delle comunicazioni e del database, in linea con quanto previsto dalla normativa di riferimento. Tale piattaforma consente l’invio di segnalazioni in forma scritta, sia in forma anonima che in forma non anonima, e permette di mantenere le interlocuzioni con il Segnalante e fornire riscontro alla Segnalazione, nel rispetto delle tempistiche previste dalla normativa. La segnalazione viene gestita tempestivamente da uffici interni dotati di personale autonomo dedicato e specificatamente formato al fine di garantire la gestione del caso segnalato conformemente alle prescrizioni della normativa in materia, come indicato al successivo par. 6;
- linea telefonica registrata, secondo quanto previsto all’art. 14, comma 2 del D.Lgs. 24/2023. I dati raccolti a mezzo degli strumenti elettronici/telematici non saranno oggetto di trattamento completamente automatizzato così come specificato all’art. 22 GDPR. Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati. Inoltre, specifiche misure tecnico-organizzative, quali la crittografia, sono adottate, ai sensi dell’art. 32 GDPR, per garantire la tutela dell’identità degli Interessati, nonché l’eventuale anonimia del Segnalante ed il completo anonimato nell’accesso alla piattaforma (no log).
5. TEMPI DI CONSERVAZIONE DEI DATI
I dati personali saranno conservati solo per il tempo necessario alle finalità per le quali vengono raccolti nel rispetto del principio di minimizzazione ex art. 5.1.c) GDPR ed, in particolare, alle finalità di gestione dell’istruttoria, di conclusione dell’attività di definizione della Segnalazione e di adozione dei relativi provvedimenti, in caso di accertamento, e comunque non oltre 5 anni a decorrere dalla data di comunicazione dell’esito finale della procedura di segnalazione, in conformità a quanto previsto dall’art. 14, comma 1 del D.Lgs. 24/2023 e dall’art. 5, comma 1 del GDPR.
6. DESTINATARI DEI DATI
All’interno della Società, possono venire a conoscenza dei Dati personali forniti esclusivamente i soggetti incaricati del trattamento dal Titolare e autorizzati a compiere le operazioni di trattamento nell’ambito delle suddette attività secondo quanto previsto all’art. 4, comma 2 del D. Lgs. 24/2023. Può venire a conoscenza dei predetti Dati il fornitore che gestisce l’operatività, nonché la manutenzione degli strumenti informatici su cui è possibile inserire la Segnalazione, come indicato al precedente par. 4, tenuto a trattare i dati per le medesime finalità di cui al precedente punto 3, che è, all’uopo, nominato “Responsabile del trattamento”, ai sensi dell’art. 28 GDPR. In forza di apposito incarico, le attività di assistenza e di gestione delle Segnalazioni sono svolte per conto di alcune Società di cui sopra da Autostrade per l’Italia S.p.A. con sede in Via A. Bergamini 50, Roma, nominata all’uopo Responsabile del trattamento da parte delle Società stesse, ex art. 28 GDPR. Possono venire a conoscenza di tali Dati, altresì, se del caso, l’Organismo di Vigilanza del Titolare, per lo svolgimento delle proprie mansioni nell’ambito dei compiti in materia di Whistleblowing, ai sensi dell’art. 13 D.Lgs. 24/2023, l’Anac, l’Autorità giudiziaria ed altri Enti/organismi competenti in relazione alla fattispecie segnalata. In nessun caso i dati personali saranno oggetto di diffusione.
7. DIRITTI DEGLI INTERESSATI
Gli artt. 15-22 GDPR conferiscono agli Interessati la possibilità di esercitare specifici diritti, quali, per esempio, il diritto di accesso, di rettifica, di cancellazione, di limitazione del trattamento. I diritti di cui sopra potranno essere esercitati con richiesta rivolta senza formalità al Data Protection Officer (DPO) del Titolare all’indirizzo PEC indicato all’Allegato 1. L’Interessato potrà proporre reclamo ai sensi dell’art. 57 lett. f) GDPR all’Autorità Garante per la Protezione dei Dati Personali. Nel caso in cui l’esercizio dei diritti di cui sopra da parte del Segnalato possa comportare un pregiudizio effettivo e concreto alla protezione e riservatezza dei dati personali del Segnalante, il Titolare potrà limitare, ritardare ovvero escludere tale esercizio, ai sensi dell’art. 2-undecies, co. 1, lett. f) del Codice Privacy (D.Lgs. 196/2003), e non dare seguito all’istanza. In tali casi, i diritti dell’Interessato, ai sensi dell’art. 2-undecies, co. 3 del Codice Privacy, possono essere esercitati tramite il Garante con le modalità di cui all’art. 160 del Codice Privacy.
8. EVENTUALE TRASFERIMENTO ALL’ESTERO DEI DATI PERSONALI La gestione e la conservazione dei dati avvengono su server di società terza nominata Responsabile del trattamento, come indicato al precedente par. 6, ubicata in Italia e all’interno dell’Unione Europea. I dati personali non sono oggetto di trasferimento al di fuori dell’Unione Europea.
Allegato 1 – Lista dei Titolari del trattamento e dei Data Protecion Office (DPO) e relativi recapiti
- Autostrade per l’Italia S.p.A. – Sede legale in via Alberto Bergamini 50, 00159 Roma – Partita IVA 07516911000 Il Data Protection Officer (DPO) è domiciliato per la carica presso la sede della società e contattabile all’indirizzo PEC: dpo@pec.autostrade.it
- Raccordo Autostradale Valle d’Aosta S.p.A. – Sede legale in Località Les Iles – 11010 Saint Pierre (AO) – Partita IVA 01475961007 Il Data Protection Officer (DPO) è domiciliato per la carica presso la sede della società e contattabile all’indirizzo PEC: dpo@pec.ravspa.it
- Società Autostrada Tirrenica p.A. – Sede legale in via Alberto Bergamini 50, 00159 Roma – Partita IVA 04683251005 Il Data Protection Officer (DPO) è domiciliato per la carica presso la sede della società e contattabile all’indirizzo PEC: dpo@pec.tirrenica.it
- Società Italiana per Azioni per il Traforo del Monte Bianco – Sede legale in Piazza Vittorio Emanuele II, 14, 11010 Pre-Saint-Didier (AO) – Partita IVA 00081600074 Il Data Protection Officer (DPO) è domiciliato per la carica presso la sede della società e contattabile all’indirizzo PEC: dpo.sitmb@pec.autostrade.it
- Tangenziale di Napoli S.p.A. – Sede legale in Via Cintia, svincolo Fuorigrotta 80126 Napoli – Partita IVA 01368900633 Il Data Protection Officer (DPO) è domiciliato per la carica presso la sede della società e contattabile all’indirizzo PEC: DPO@pec.tangenzialedinapoli.it
- Movyon S.p.A. – Sede legale in via Alberto Bergamini 50, 00159 Roma – Partita IVA 09743081003 Il Data Protection Officer (DPO) è domiciliato per la carica presso la sede della società e contattabile all’indirizzo PEC: dpo@pec.movyon.com
- Essediesse Società di Servizi S.p.A. – Sede legale in via Alberto Bergamini 50, 00159 Roma – Partita IVA 06130511006 Il Data Protection Officer (DPO) è domiciliato per la carica presso la sede della società e contattabile all’indirizzo PEC: dpo.essediesse@pec.autostrade.it
- Giove Clear S.r.l. – Sede legale in via Alberto Bergamini 50, 00159 Roma – Partita IVA 09521941006 Il Data Protection Officer (DPO) è domiciliato per la carica presso la sede della società e contattabile all’indirizzo PEC: dpo.gioveclear@pec.autostrade.it
- Ad Moving S.p.A. – Sede legale in via Alberto Bergamini 50, 00159 Roma – Partita IVA 09521941006 Il Data Protection Officer (DPO) è domiciliato per la carica presso la sede della società e contattabile all’indirizzo PEC: admoving@pec.autostrade.it
- Elgea S.p.A. – Sede legale in via Alberto Bergamini 50, 00159 Roma – Partita IVA 16517551004 Indirizzo PEC: elgea@pec.autostrade.it
- Free to X S.r.l. – Sede legale in via Alberto Bergamini 50, 00159 Roma – Partita IVA 09743081003 Il Data Protection Officer (DPO) è domiciliato per la carica presso la sede della società e contattabile all’indirizzo PEC: dpo.freetox@pec.autostrade.it
- Tecne Gruppo Autostrade per l’Italia S.p.A. – Sede legale in via Alberto Bergamini 50, 00159 Roma – Partita IVA 15783681008 Il Data Protection Officer (DPO) è domiciliato per la carica presso la sede della società e contattabile all’indirizzo PEC: tecne.dpo@pec.autostrade.it
- Amplia Infrastructures S.p.A. – Sede legale in Via Giulio Vincenzo Bona 95/101, 00156 Roma – Partita IVA 00904791001 Il Data Protection Officer (DPO) è domiciliato per la carica presso la sede della società e contattabile all’indirizzo PEC: dpo.amplia@gmail.com