INFORMAZIONI PRIVACY
AI SENSI DELL'ART. 13 DEL REGOLAMENTO (UE) 2016/679 SUL TRATTAMENTO DEI DATI PERSONALI DEI SOGGETTI CHE SEGNALANO ILLECITI (C.D. WHISTLEBLOWER )
L’AZIENDA SANITARIA LOCALE ROMA 4, con
sede legale in via Terme di Traiano n. 39/A – 00053 Civitavecchia (RM), C.F. e Partita
I.V.A. 04743741003 (di seguito “ASL Roma 4”), in qualità
di Titolare del Trattamento dei dati forniti a seguito
della segnalazione relativa a presunte condotte illecite delle quali il whistleblower sia venuto a conoscenza, informa
che i dati personali saranno
trattati con le modalità e per le finalità
seguenti:
1. Finalità e Base Giuridica del TrattamentoI
dati personali vengono trattati dal Responsabile della Prevenzione della
Corruzione e della Trasparenza
(RPCT), allo scopo di effettuare le necessarie attività istruttorie volte a
verificare la fondatezza del fatto oggetto di segnalazione e
l’adozione dei conseguenti provvedimenti.
La base giuridica
del trattamento dei dati personali di cui al punto n. 1 delle seguenti
informazioni privacy, dunque, si
rinviene nell’art. 6, par. 1, lett. e) del Reg. UE 679/2016 (c.d. GDPR), ossia nell'esecuzione dei compiti di interesse
pubblico o comunque connessi all'esercizio dei pubblici poteri del RPCT, con particolare riferimento al compito di
accertare eventuali illeciti denunciati nell’interesse dell’integrità dell’ASL Roma 4.
Qualora all’interno della segnalazione fossero
inserite categorie particolari di dati personali, la base
giuridica si rinviene nell’art. 9, par. 2, lett. g) del
GDPR.
2.
Categorie di Dati personaliPer le finalità
di cui al punto n. 1 potranno essere raccolte e, successivamente trattate, le
seguenti categorie di dati
personali:
·
dati personali anagrafici;
·
dati di contatto
(mail e numero
telefonico);
·
dati di accesso
e di identificazione (password);
·
qualifica o posizione professionale e ufficio
di appartenenza;
3.
Modalità di TrattamentoIl trattamento dei dati personali
da parte del RPCT avviene
nel momento di ricezione della segnalazione
(c.d. whistleblowing ) e nelle
successive fasi istruttorie volte a verificare la fondatezza del fatto oggetto
di segnalazione.
L’ASL Roma 4,
in qualità di Titolare del trattamento, per il tramite dei propri fornitori
quali creatori e gestori della
piattaforma WB33, nominati responsabili del trattamento ai sensi dell’art. 28
GDPR, garantisce elevati standard di
sicurezza in relazione al trattamento dei dati personali, mediante l’utilizzo di strumenti idonei ad
assicurare la riservatezza.
Infatti, per effettuare le segnalazioni di cui sopra, verrà utilizzata la piattaforma WB33 che disaccoppia i dati della segnalazione dai
dati del segnalante, conservandoli su server
distinti, che saranno, poi, riaccoppiati solo su specifica richiesta tracciata da parte del RPCT.
Il RPCT riceve una notifica che lo avvisa della presenza
di una nuova segnalazione da gestire, accede
alla sua area riservata
e può:
- visualizzare il documento senza i dati del segnalante;
- visualizzare gli eventuali allegati;
- dialogare in maniera riservata con il segnalante per richiedere chiarimenti, aggiornamenti, ulteriori dettagli (il software recapita i
messaggi dal RPCT al segnalante, senza che il RPCT sappia a chi sono stati inviati - il segnalante riceve i messaggi
nel proprio account, da cui può rispondere e inviare allegati);
- archiviare la segnalazione, selezionando la motivazione dal menù a tendina;
- prendere in carico la segnalazione, assegnandola all’ufficio/utente competente.
Il trattamento
dei dati personali è realizzato per mezzo delle operazioni indicate all’art. 4,
par. 1, n. 2 GDPR e più precisamente: raccolta,
registrazione, organizzazione, conservazione, selezione, consultazione, utilizzo, blocco, comunicazione, cancellazione e distruzione dei dati.
I dati sono
trattati dal Titolare con modalità, strumenti e procedure informatiche
strettamente necessarie per realizzare le finalità descritte
al punto n. 1.
trattamento dei dati personali
contenuti all’art. 5 GDPR, quali quelli di liceità, correttezza e trasparenza; necessità
e minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza.
L’ASL Roma 4,
anche per il tramite dei suddetti fornitori, predispone misure di sicurezza
fisiche, tecniche e organizzative ai
sensi dell’art. 32 GDPR per conservare in modo sicuro e per prevenire la perdita
dei dati, usi illeciti
o non corretti ed accessi non autorizzati (Data Breach ).
4. Periodo di ConservazioneLe segnalazioni e
la relativa documentazione, raccolta anche durante la fase istruttoria
successiva alla segnalazione
medesima, sono conservate per il tempo necessario al raggiungimento delle finalità predette e comunque non oltre
cinque anni a decorrere dalla data della comunicazione dell'esito finale della
procedura di segnalazione.
5.
Accesso ai dati personaliI dati personali
potranno essere accessibili esclusivamente alle persone autorizzate
specificamente nominate per iscritto
dal Titolare ex art. 29 GDPR e 2-quaterdecies del Codice Privacy, sulla
base di specifiche istruzioni fornite in ordine a finalità
e modalità del trattamento medesimo
ovvero comunicati, per le finalità
di cui al punto n. 1, se del caso, all’Autorità Giudiziaria, alla Corte dei Conti e all’ANAC.
6. Diritti dell’interessatoL’interessato
dispone, nei casi previsti, dei diritti di cui all’art. 15 GDPR ss. e più
precisamente il diritto di accesso,
rettifica, cancellazione, limitazione, e il diritto di opposizione, nonché il
diritto di proporre reclamo
all’Autorità Garante (art. 77 GDPR e 141 Codice Privacy, così come novellato
dal D. Lgs. 101/2018).
Tali diritti
possono essere esercitati nei limiti di quanto previsto dall'articolo 2-undecies del D. Lgs. 30 giugno
2003, n. 196, ss.mm.ii.
7. Modalità di esercizio dei dirittiIl soggetto interessato potrà in qualsiasi momento esercitare i diritti privacy
inviando:
·
una raccomandata A.R. indirizzata al RPCT c/o AZIENDA SANITARIA LOCALE ROMA 4, con sede legale in via Terme di
Traiano n. 39/A – 00053 Civitavecchia (RM), oppure mediante comunicazione
all’indirizzo segnalazioneilleciti@aslroma4.it
8. Identità e dati di contatto del DPO – Responsabile della
protezione dei dati personali:Scudo Privacy S.r.l. - Dott. Carlo Villanacci, e-mail:
dpo@scudoprivacysrl.com
