ATTO DI INFORMAZIONE EX ART. 13 DEL REGOLAMENTO UE N. 2016/679 – WHISTLEBLOWING –
FONDAZIONE UNIMI, (C. f.: 97493230151 – P. IVA:10974120965), in persona del suo legale rappresentante pro tempore, con sede legale in Milano (MI), viale Ortles, 22/4, in qualità di Titolare del trattamento ex artt. 4 n. 7) e 24 del Regolamento UE n. 2016/679 (GDPR), informa, ai sensi dell’art. 13 del GDPR, che le informazioni personali descritte all’art. 1 saranno trattate, da parte della FONDAZIONE UNIMI, per l’esecuzione della (macro) finalità di cui all’art. 2.
1. Categoria dei dati personali oggetto di trattamento.
1.1. FONDAZIONE UNIMI raccoglie e tratta, al fine di perseguire la (macro) finalità di trattamento descritta all’art. 2, soltanto quelle informazioni necessarie, indispensabili e rilevanti al fine di valutare e gestire, in modo compiuto ed efficace, una segnalazione di una circostanziata (presunta) violazione/condotta illecita ex artt. 1 comma 1) e 2 comma 1) del D. Lgs. n. 24 del 10.3.2023, fatta eccezione delle segnalazioni/contestazioni ex art. 1 comma 2) del D. Lgs. n. 24/2023 (infra “segnalazione” e/o “whistleblowing”).
Nello specifico, FONDAZIONE UNIMI precisa che la segnalazione è potenzialmente idonea a contenere, per natura, i dati personali ex art. 4 n. 1) del GDPR del “segnalante/whistleblower” (a meno che la stessa venga effettuata in modalità anonima, nel rispetto dei provvedimenti di cd. soft law in materia), del “segnalato/persona coinvolta” e, in via eventuale, di ulteriori “soggetti terzi” (es. “facilitatore”; testimone; collega di lavoro del segnalante/segnalato), nonché può racchiudere i dati personali cd. particolari ex art. 9 paragrafo 1) del GDPR e/o i dati personali cd. giudiziari ex art. 10 del GDPR riferibili, direttamente o indirettamente, ad uno o più dei descritti soggetti: a tal riguardo, FONDAZIONE UNIMI evidenzia, ulteriormente, che tratterà solo quelle informazioni, contenute nella segnalazione, indispensabili ai fini dell’esecuzione della (macro) finalità di cui all’art. 2, provvedendo, pertanto, a cancellare e/o anonimizzare prontamente quelle informazioni a tal fine eccedenti e non necessarie, nel rispetto del principio di minimizzazione/di pertinenza/non eccedenza/indispensabilità ex art. 5 paragrafo 1) lettera c) del GDPR e art. 13 comma 2) del D. Lgs. n. 24/2023 (infra, per semplicità, solo “dati personali”).
In merito, FONDAZIONE UNIMI precisa, altresì, che il “segnalante/whistleblower”, il “segnalato/persona coinvolta” e/o il “soggetto/i terzo/i” rivestono, in modo singolare, la qualifica di soggetto interessato ex art. 4 n. 1) del GDPR.
2. Finalità del trattamento e base giuridica.
2.1. I dati personali del soggetto interessato sono trattati, da parte della FONDAZIONE UNIMI, per l’esecuzione della seguente (macro) finalità di trattamento:
- Ricezione, analisi, valutazione, verifica e gestione di una segnalazione, ivi incluse le conseguenti ed eventuali attività istruttorie/di accertamento e di protezione, ivi incluso l’eventuale esercizio del sistema disciplinare, nonché l’eventuale esercizio, tutela o difesa di un diritto, anche in sede giudiziale.
A tal riguardo, FONDAZIONE UNIMI precisa che la base giuridica della (macro) finalità di trattamento di cui all’art. 2.1. lettera a) si rinviene nelle seguenti disposizioni normative, oltre al citato D. Lgs. n. 24/2023 e al novellato D. Lgs. n. 231/2001: art. 6 paragrafo 1) lettere c) f) del GDPR, per i dati personali; art. 9 paragrafo 2) lettera f) del GDPR, per gli eventuali dati personali cd. particolari; art. 10 del GDPR (da leggersi, assieme, all’art. 2 octies commi 1) e 3) lettera e) del novellato Codice Privacy), per i dati personali cd. giudiziari.
Nel rispetto dell’art. 13 paragrafo 1) lettera d) del GDPR, FONDAZIONE UNIMI precisa che l’interesse legittimo, a fondamento della base giuridica della (macro) finalità di trattamento di cui all’art. 2.1. lettera a) di sopra, consiste nel garantire, al meglio, il rispetto dei principi del cd. buon governo societario racchiusi all’interno del MOG ex D. Lgs. n. 231/2001 adottato da FONDAZIONE UNIMI medesima.
In relazione all’attività di analisi, valutazione, verifica e gestione di una segnalazione (ivi incluse le conseguenti ed eventuali attività istruttorie), FONDAZIONE UNIMI precisa che rispetterà, inter alia, le tutele di riservatezza previste dagli artt. 3 commi 4) e 5), e 12 del D. Lgs. n. 24/2023, nonché le misure di protezione di cui al relativo capo III).
3. Periodo di conservazione.
3.1. In ossequio all’art. 13 paragrafo 2) lettera a) del GDPR, FONDAZIONE UNIMI comunica i seguenti periodi/criteri di conservazione (tra loro alternativi, a seconda delle circostanze del caso), al termine del quale i dati personali, trattati per l’esecuzione della (macro) finalità di trattamento di cui all’art. 2.1. lettera a), del relativo soggetto interessato saranno soggetti a cancellazione, distruzione ovvero anonimizzazione: (i) di norma, non oltre il termine di n. 5 anni, a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto dell’art. 14 comma 1) del D. Lgs. n. 24/2023; (ii) invece, nel caso in cui alla segnalazione segua un’azione giudiziaria e/o disciplinare nei confronti del segnalante e/o del segnalato, sino alla conclusione del relativo procedimento e allo spirare dei relativi termini di una eventuale impugnazione, criterio temporale eventualmente prorogabile ai fine di rispettare un onere normativo (anche sopraggiunto) ovvero per far valere o difendere un diritto, anche in sede giudiziale.
4. Destinatari.
4.1. Nel rispetto dell’art. 13 paragrafo 1) lettera a) del GDPR, FONDAZIONE UNIMI precisa che i dati personali del relativo soggetto interessato possono essere oggetto di comunicazione, ove opportuno e necessario, a uno o più destinatari ex art. 4 n. 9) del GDPR, così individuati, in via generale, per categoria: (i) per l’esecuzione della (macro) finalità di trattamento di cui all’art. 2.1. lettera a): soggetti autorizzati ex artt. 4 n. 10), 29 e 32 paragrafo 4) del GDPR al trattamento da parte dell’FONDAZIONE UNIMI (in primis, Responsabile della prevenzione, della corruzione e della trasparenza, nel rispetto dell’art. 4 comma 5) del D. Lgs. n. 24/2023); ANAC; autorità giudiziaria ordinaria/contabile; consulenti o imprese di varia natura che forniscono, comunque, servizi e/o prestazioni, anche professionali, connesse, anche in via indiretta, all’espletamento della (macro) finalità di trattamento in questione (es. società IT; consulente legale).
FONDAZIONE UNIMI precisa, altresì, che i dati personali del relativo soggetto interessato non saranno oggetto di alcuna diffusione ex art. 2 ter comma 4) lettera b) del Codice Privacy, ai fini dell’esecuzione della (macro) finalità di trattamento di cui all’art. 2.1. lettera a).
5. trasferimento.
5.1. I dati personali del relativo soggetto interessato sono conservati all’interno di archivi automatizzati, parzialmente automatizzati e/o non automatizzati appartenenti o comunque riconducibili, anche in via indiretta, a FONDAZIONE UNIMI, ed ubicati all’interno dello Spazio Economico Europeo (SEE).
6. Diritti del soggetto interessato.
6.1. In relazione ai dati personali del relativo soggetto interessato, FONDAZIONE UNIMI informa il soggetto interessato della facoltà di esercitare i seguenti diritti eventualmente soggetti alle limitazioni previste dagli artt. 2 undecies (in particolare: comma 1) lettere e) ed f); comma 3)) e 2 duodecies del Codice Privacy: diritto di accesso ex art. 15 del GDPR: diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali, oltre che le informazioni di cui all’art. 15 del GDPR (es. finalità di trattamento, periodo di conservazione); diritto di rettifica ex art. 16 del GDPR: diritto di correggere, aggiornare o integrare i dati personali; diritto alla cancellazione ex art. 17 del GDPR: diritto di ottenere la cancellazione o distruzione o anonimizzazione dei dati personali, laddove tuttavia ricorrano i presupposti elencati nel medesimo articolo; diritto di limitazione del trattamento ex art. 18 del GDPR: diritto con connotazione marcatamente cautelare, teso ad ottenere la limitazione del trattamento laddove sussistano le ipotesi disciplinate dallo stesso art. 18; diritto alla portabilità dei dati ex art. 20 del GDPR: diritto di ottenere i dati personali, forniti a FONDAZIONE UNIMI, in un formato strutturato, di uso comune e leggibile da un sistema automatico (e, ove richiesto, di trasmetterli, in modo diretto, ad un altro Titolare del trattamento), laddove sussistano le specifiche condizioni indicate dal medesimo articolo (es. base giuridica del consenso e/o esecuzione di un contratto; dati personali forniti dall’interessato); diritto di opposizione ex art. 21 del GDPR: diritto di ottenere la cessazione, in via permanente, di un determinato trattamento di dati personali; diritto di proporre reclamo all’Autorità di Controllo (ossia, Garante Privacy italiano) ex art. 77 del GDPR: diritto di proporre reclamo laddove si ritiene che il trattamento oggetto d’analisi violi la normativa nazionale e comunitaria sulla protezione dei dati personali.
6.2. In aggiunta ai diritti descritti al precedente art. 6.1., FONDAZIONE UNIMI precisa che, in relazione ai dati personali del relativo soggetto interessato, sussiste, ove possibile e conferente, la facoltà di esercitare, da un lato, il (sotto) diritto previsto dall’art. 19 del GDPR (“Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell’articolo 16, dell’articolo 17, paragrafo 1, e dell’articolo 18, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all’interessato tali destinatari qualora l’interessato lo richieda”), da considerarsi connesso e collegato all’esercizio di uno o più diritti regolamentati agli artt. 16, 17 e 18 del GDPR; dall’altro lato, FONDAZIONE UNIMI precisa che, in relazione ai dati personali del relativo soggetto interessato, sussiste, ove possibile e conferente, la facoltà di esercitare il diritto previsto dall’art. 22 paragrafo 1) del GDPR (“L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”), fatte salve le eccezioni previste dal successivo paragrafo 2).
6.3. In ossequio all’art. 12 paragrafo 1) del GDPR, FONDAZIONE UNIMI si impegna a fornire le comunicazioni di cui agli artt. da 15 a 22 e 34 del GDPR in forma concisa, trasparente, intellegibile, facilmente accessibile e con un linguaggio semplice e chiaro: tali informazioni saranno fornite per iscritto o con altri mezzi eventualmente elettronici ovvero, su richiesta del soggetto interessato, saranno fornite oralmente purché sia comprovata, con altri mezzi, l’identità di quest’ultimo.
6.4. In ossequio all’art. 12 paragrafo 3) del GDPR, FONDAZIONE UNIMI informa che si impegna a fornire le informazioni relative all’azione intrapresa riguardo ad una richiesta ai sensi degli artt. da 15 a 22 del GDPR senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa; tale termine può essere prorogato di n. 2 mesi se necessario, tenuto conto della complessità e del numero delle richieste (in tal caso, FONDAZIONE UNIMI si impegna ad informare di tale proroga e dei motivi del ritardo, entro un mese dal ricevimento della richiesta).
6.5. I sopra descritti diritti (fatta eccezione per il diritto ex art. 77 del GDPR) possono essere esercitati, tenuto tuttavia conto delle limitazioni meglio descritte al precedente artt. 6.1. e 6.2., mediante i dati di contatto illustrati al successivo art. 7.
7. Dati di contatto.
7.1. FONDAZIONE UNIMI può essere contattata al seguente recapito: segreteria@fondazioneunimi.com
7.2. Il Responsabile della protezione dei dati (RPD/DPO) ex art. 37 del GDPR, nominato da FONDAZIONE UNIMI, è l’avv. Gabriele Borghi, il quale può essere contattato al seguente recapito: dpofondazioneunimi@baldiandpartners.it
Milano, lì 20.6.2023 (data di ultimo aggiornamento).
FONDAZIONE UNIMI
(in persona del suo legale rappresentante pro tempore)
Per l’informativa completa di tutti i riferimenti a pié di pagina, scarica il documento in formato pdf.