Send a report with the outmost confidentiality.

Privacy

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

AI SENSI DEGLI ARTT. 13 e 14 DEL REGOLAMENTO (UE) 2016/679 (“GDPR”)

IN RELAZIONE ALLE SEGNALAZIONI INVIATE PER IL TRATMITE DELLA PIATTAFORMA WHISTLEBLOWING

La presente informativa, resa ai sensi degli artt. 13 e 14 del GDPR, descrive il trattamento dei dati personali del segnalante, del segnalato e/o terzi (di seguito, “Interessati”) nell’ambito del c.d. “whistleblowing”. In particolare, il trattamento deriva dall’utilizzo della piattaforma digitale (di seguito, “Piattaforma”) messa a disposizione da Aeroporti di Puglia S.p.A. come canale interno per la raccolta delle segnalazioni di condotte illecite o le violazioni del modello di organizzazione, gestione e controllo ai sensi del D.lgs. 231/2001 e dalle segnalazioni previste dal D.lgs. 24/2023.

  1. TITOLARE DEL TRATTAMENTO E RESPONSABILE PROTEZIONE DEI DATI PERSONALI (DPO)

Titolare del trattamento

Nell’ambito dei trattamenti di dati personali oggetto della presente informativa, il titolare del trattamento è Aeroporti di Puglia S.p.A. (di seguito, “Titolare” o “Società”), con sede in viale Enzo Ferrari – 70128, Bari Palese; e-mail: privacy@aeroportidipuglia.it.

Responsabile della protezione dei dati personali

Aeroporti di Puglia S.p.A. ha nominato un proprio responsabile della protezione dei dati (“DPO”) che può essere contattato al seguente indirizzo di posta elettronica: dpo@aeroportidipuglia.it.

  1. TIPOLOGIA DI DATI TRATTATI

Segnalazione tramite Piattaforma

Il segnalante può, discrezionalmente, creare un proprio account all’interno della Piattaforma ovvero inviare una segnalazione senza registrazione fornendo nome, cognome e indirizzo e-mail (per la ricezione delle notifiche). In tali circostanze, al segnalante è concesso di:

  • accedere alla segnalazione e visualizzare lo stato di avanzamento della segnalazione;
  • interloquire, in forma anonima, con il responsabile della segnalazione, individuato nella persona del Responsabile della Prevenzione della Corruzione e per la Trasparenza della Società (di seguito, “RPCT” o “Responsabile della Segnalazione”);
  • anche a seguito dell’inoltro della segnalazione, inserire/allegare ulteriori informazioni/documenti che ritiene utili al completamento della segnalazione stessa.

Per la registrazione alla Piattaforma il segnalante deve fornire i seguenti dati personali:

  • nome utente;
  • password;
  • nome e cognome;
  • indirizzo e-mail;
  • dati contenuti nella carta di identità.

Indipendentemente dalla registrazione del segnalante alla Piattaforma, in fase di segnalazione il Titolare può trovarsi a trattare i seguenti dati personali:

  • nome, cognome e dati di contatto, così come ogni altra informazione relativa al segnalante, al segnalato e/o a soggetti terzi, che dovessero essere riportati nella segnalazione effettuata dal segnalante e/o in atti e documenti a questa allegati (cd. “dati comuni”);
  • dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose e/o filosofiche, l’appartenenza sindacale, nonché dati relativi alla salute o alla vita sessuale o all’orientamento sessuale degli Interessati (cd. “categorie particolari di dati”), oltre che dati relativi a condanne penali e reati (cd. “dati giudiziari”), che il segnalante dovesse decidere di fornire quali elementi caratterizzanti della segnalazione.

Le segnalazioni possono essere inviate in forma scritta o orale, attraverso un sistema di messaggistica vocale. In caso di segnalazioni orali, al segnalante è richiesta l’autorizzazione per procedere alla registrazione vocale tramite spunta di apposito flag. Il Responsabile della Segnalazione ascolterà il messaggio vocale con audio distorto.

  1. FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO

I dati personali sono trattati per il perseguimento delle seguenti finalità:

A) Consentire al segnalante la creazione di un account sulla Piattaforma.

La base giuridica che legittima il trattamento di dati comuni è l’adempimento di un obbligo di legge a cui è soggetto il Titolare (ex art. 6(1)(c) del GDPR).

B) Gestione delle segnalazioni circostanziate di condotte illecite o di violazioni di disposizioni interne della Società, incluse le attività istruttorie volte a verificare la fondatezza dei fatti segnalati e l’adozione dei conseguenti provvedimenti.

Le basi giuridiche che legittimano il trattamento sono:

  • per i dati comuni e giudiziari: l’adempimento di un obbligo di legge a cui è soggetto il Titolare (ex art. 6(1)(c) del GDPR);
  • per le categorie particolari di dati: l’adempimento degli obblighi e l’esercizio di diritti specifici del Titolare e degli Interessati in materia del diritto del lavoro (ex art. 9(2)(b) del GDPR).

C) Se necessario, per accertare, esercitare o difendere i diritti del Titolare in sede giudiziaria.

La base giuridica che legittima il trattamento di dati comuni, particolari e giudiziari è il legittimo interesse del Titolare alla tutela dei propri diritti in sede giudiziaria (ex artt. 6(1)(f) e 9(2)(f) del GDPR).

  1. PERIODO DI CONSERVAZIONE DEI DATI

Con riferimento alla finalità di cui alla lett. A), i dati personali sono conservati sino al momento dell’eventuale cancellazione dell’account, che può essere effettuata dall’utente direttamente all’interno della Piattaforma, nella propria area personale, cliccando sull’apposito tasto.

Con riferimento alla finalità di cui alla lett. B), i dati personali contenuti nella segnalazione e nella relativa documentazione sono conservati per il tempo necessario al trattamento della segnalazione e comunque non oltre 5 anni, decorrenti dalla data di comunicazione dell’esito finale della procedura di segnalazione.

Qualora, a fronte della segnalazione, si instauri un procedimento giudiziario o disciplinare nei confronti del segnalante, del segnalato e/o di terzi, i dati sono conservati per tutta la durata del procedimento e, successivamente, sino allo spirare dei termini di esperibilità delle azioni di impugnazione.

Con riferimento alla finalità di cui alla lett. C), i dati personali sono conservati per tutta la durata del contenzioso giudiziale, fino all’esaurimento dei termini di esperibilità delle azioni di impugnazione.

Decorsi i termini di conservazione sopra indicati, i Dati saranno distrutti, cancellati o resi anonimi, compatibilmente con le procedure tecniche di cancellazione, di backup, nonché di accountability del Titolare.

  1. NATURA DEL CONFERIMENTO DEI DATI E CONSEGUENZE DI UN EVENTUALE RIFIUTO DI COMUNICARLI

La creazione di un account da parte del segnalante è del tutto facoltativa. La mancata creazione di un account non preclude in alcun modo al segnalante la possibilità di generare ed inviare la segnalazione. Laddove il segnalante decida, a sua discrezione, di creare un account, lo stesso sarà obbligatoriamente tenuto al conferimento dei dati personali contrassegnati con asterisco (*). L’eventuale mancato conferimento dei dati, pertanto, precluderà al segnalante la possibilità di creare il proprio account.

Il segnalante che voglia trasmettere una “segnalazione nominativa” è tenuto al conferimento dei propri identificativi (nome e cognome). Un eventuale rifiuto al conferimento dei dati nella “segnalazione nominativa” rende impossibile seguire l’iter della procedura descritta nella Policy.

Il conferimento dei dati del segnalante è facoltativo nella “segnalazione anonima”. Tuttavia, l’applicazione della procedura di segnalazione sarà possibile solo qualora le segnalazioni siano adeguatamente circostanziate e rese con dovizia di particolari, ove cioè siano in grado di far emergere fatti e situazioni relazionandoli a contesti determinati.

  1. SOGGETTI AUTORIZZATI AL TRATTAMENTO

I dati personali possono essere trattati dal personale e dagli operatori della Società, deputati al perseguimento delle finalità sopra indicate, i quali sono stati espressamente autorizzati al trattamento da parte del Titolare, hanno ricevuto debite istruzioni operative e sono tenuti al segreto professionale. All’interno di tale categoria, sono ricompresi, tra gli altri, il Responsabile della Segnalazione e l’Organismo di Vigilanza della Società.

  1. DESTINATARI O CATEGORIE DI DESTINATARI DEI DATI PERSONALI

I dati personali possono essere comunicati, nei casi previsti dalla legge, a soggetti esterni all’organizzazione della Società, i quali agiscono in qualità di titolari autonomi del trattamento (ad es. Anac, Autorità, studi legali, ecc.).

L’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rivelate, senza il consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate a trattare tali dati. Inoltre, qualora la segnalazione abbia dato origine ad un procedimento disciplinare e si basi in tutto o in parte sulla denuncia del segnalante, e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità.

I dati personali possono, altresì, essere trattati, per conto della Società, da soggetti esterni designati come responsabili del trattamento, ai sensi dell’art. 28 del GDPR, a cui sono impartite adeguate istruzioni operative. Tali soggetti sono essenzialmente ricompresi nella categoria di aziende che forniscono supporto nell’implementazione e manutenzione del sistema informativo e degli applicativi aziendali impiegati nell’ambito dei trattamenti oggetto della presente informativa.

 

 

 

  1. TRASFERIMENTO DATI VERSO UN PAESE TERZO

I dati personali non sono trasferiti a soggetti terzi né diffusi o trasferiti all’estero e non sono oggetto di trasferimento al di fuori dell’Unione Europea.

  1. DIRITTI DELL’INTERESSATO – RECLAMO ALL’AUTORITÀ DI CONTROLLO

Contattando il Titolare all’indirizzo privacy@aeroportidipuglia.it, gli Interessati possono chiedere l’accesso ai dati che li riguardano, la loro cancellazione nei casi previsti dall’art. 17 del GDPR, la rettifica dei dati inesatti, l’integrazione dei dati incompleti, la limitazione del trattamento nei casi previsti dall’art. 18 del GDPR, nonché l’opposizione al trattamento, per motivi connessi alla propria situazione particolare, nelle ipotesi di legittimo interesse del Titolare.

Ai sensi dell’art. 2-undecies del D.lgs. n. 196/2003, come modificato dal D.lgs. n. 101/2018, i diritti di cui agli articoli da 15 a 22 del GDPR non possono essere esercitati qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del dipendente che segnala una condotta illecita di cui sia venuto a conoscenza in ragione del proprio ufficio. In tale ipotesi, i diritti in questione possono essere esercitati per il tramite dell’Autorità Garante per la protezione dei dati personali – con le modalità di cui all’art. 160 del Codice medesimo – il quale informa l’Interessato di avere eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale.

È possibile proporre reclamo all’Autorità Garante per la protezione dei dati personali, Piazza di Montecitorio n. 121, 00186, Roma nonché di ricorrere agli altri mezzi di tutela previsti dalla normativa applicabile.