Base giuridica del trattamento
L’Università degli Studi di Perugia (d’ora in avanti Unipg), nell’ambito delle proprie finalità istituzionali e in adempimento agli obblighi previsti dall’art. 13 del Regolamento UE
2016/679, fornisce informazioni in merito al trattamento dei dati personali conferiti dalla persona segnalante (whistleblower) al fine di segnalare violazioni di disposizioni normative
nazionali o dell’Unione europea che ledano l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui sia venuto a conoscenza in un
contesto lavorativo pubblico, in base a quanto disposto dall’art. 1 del D.lgs. 10 marzo 2023 n. 24.
I dati personali sono trattati dal Responsabile della prevenzione della corruzione e della trasparenza (d’ora in avanti RPCT) nell'esecuzione dei propri compiti derivanti da obblighi
di legge [D.Lgs. n. 24/2023, artt. 6 par. 1 lett. c), 9 par.2 lett. b) e 10 Regolamento UE 2016/679].
In particolare, il RPCT ai sensi dell’art. 4, comma 5, del D.lgs. 24/2023 gestisce il canale di segnalazione interna, ovvero in forma scritta mediante la piattaforma informatica, orale
mediante incontro diretto su richiesta della personale segnalante.
Il RPCT garantisce, ai sensi del comma 1 del medesimo art. 4, la riservatezza dell’identità della persona segnalante, del facilitatore (colui che assiste il segnalante nel processo di
segnalazione operante all’interno del medesimo contesto lavorativo), della persona coinvolta (persona fisica o giuridica menzionata nella segnalazione interna come persona
alla quale la violazione è attribuita o come persona comunque implicata nella violazione segnalata), nonché del contenuto della segnalazione e della relativa documentazione.
Il Titolare del trattamento è Unipg nella persona del Magnifico Rettore pro-tempore, e-mail: rettorato@unipg.it, centralino +39 075 585.1, casella di posta elettronica certificata (PEC): protocollo@cert.unipg.it .
Unipg ha nominato il “Responsabile della Protezione dei Dati”, che può essere contattato scrivendo all’indirizzo di posta elettronica rpd@unipg.it.
Unipg ha nominato l’RPCT “Autorizzato ad attività di trattamento di dati personali”, che può essere contattato scrivendo all’indirizzo di posta elettronica rpct@unipg.it
Tipi di dati trattati e finalità del trattamento
L'identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rivelate, senza il
consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate a
trattare tali dati ai sensi degli articoli 29 e 32, paragrafo 4, del Regolamento (UE) 2016/679 dell'articolo 2-quaterdecies del codice in materia di protezione dei dati personali di cui
al decreto legislativo 30 giugno 2003, n. 196.
L’inserimento dei dati personali nella piattaforma informatica non è obbligatorio. In caso di conferimento degli stessi si informa che si tratta di nome, cognome, numero di telefono,
e-mail e se sei dipendente. Gli stessi sono trattati dal RPCT nell'esercizio delle proprie funzioni ai sensi della L. n. 190/2012. Non sarà possibile applicare le misure di protezione
prima descritte nel caso sia impossibile individuare chi debba esserne destinatario.
I dati forniti dal segnalante sono trattati dal RPCT allo scopo di effettuare le necessarie attività istruttorie interne di verifica e di analisi delle segnalazioni ricevute, effettuando
ogni attività ritenuta opportuna, inclusa l’audizione personale del segnalante e di eventuali altri soggetti che possono riferire sui fatti segnalati, tese ad accertare la sussistenza o
meno del fumus di fondatezza della segnalazione.
La segnalazione è sottratta all'accesso previsto dagli articoli 22 e seguenti della legge 7 agosto 1990, n. 241, nonchè dagli articoli 5 e seguenti del decreto legislativo 14 marzo
2013, n. 33. (art. 12, comma 8 del D.lgs. n. 24/2023).
Le segnalazioni interne e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a
decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui all'articolo 12 del D.lgs. n. 24/2023 e del
principio di cui agli articoli 5, paragrafo 1, lettera e), del regolamento (UE) 2016/679.
Destinatari dei dati
Sono destinatari dei dati raccolti a seguito della segnalazione, se del caso, l’Autorità Giudiziaria, la Corte dei conti e l’ANAC.
Qualora il RPCT debba avvalersi di personale di Unipg ai fini della gestione delle pratiche di segnalazione, tale personale verrà appositamente autorizzato al trattamento dei dati
personali e vincolato all’assoluto riserbo. Dovrà, di conseguenza, attenersi al rispetto delle istruzioni impartite, nonché di quelle più specifiche, connesse ai particolari trattamenti,
eventualmente di volta in volta fornite dal RPCT medesimo. Con modalità tali da garantire comunque la riservatezza dell’identità del segnalante, il RPCT rende conto del numero di
segnalazioni ricevute e del loro stato di avanzamento all’interno della relazione annuale di cui all’art. 1, co. 14, della L. n. 190/2012.
In caso di segnalazione scritta tramite la piattaforma informatica, i dati sono trattati da Whistleblowing Solutions Impresa Sociale S.r.l. quale fornitore del servizio di erogazione e
gestione operativa della piattaforma tecnologica WhistleblowingPA in qualità di Responsabile del trattamento ai sensi dell’art. 28 del Regolamento UE 2016/679.
I dati trattati non saranno trasferiti in territori extra UE e saranno trattati con modalità tali da assicurare ad essi ogni tutela in termini di riservatezza, integrità e disponibilità per
lo scopo per i quali sono trattati. Quale misura organizzativa, Unipg ha adottato una procedura per rendere maggiormente trasparente le modalità di presentazione delle
segnalazioni e il loro trattamento, pubblicata nella sezione “Amministrazione trasparente/altri contenuti/responsabile della prevenzione” del sito di Ateneo
Raccolta del consenso del segnalante
Senza il consenso espresso del segnalante vi è divieto di rivelare l’identità dello stesso a persone diverse dal RPCT o da quelle competenti a dar seguito alle segnalazioni, durante
tutte le fasi del procedimento di segnalazione, ivi compreso l’eventuale trasferimento delle segnalazioni ad altre autorità.
L’acquisizione del consenso avviene attraverso apposita richiesta motivata dell’RPCT formulata all’interno della piattaforma informatica nel campo generico di dialogo con il
segnalante e, in caso di segnalazione orale, nel verbale redatto dall’RPCT in occasione dell’incontro.
Diritti degli interessati e modalità di esercizio
La persona coinvolta o la persona menzionata nella segnalazione, con riferimento ai propri dati personali trattati nell’ambito della segnalazione, divulgazione pubblica o denuncia,
non possono esercitare i diritti che il Regolamento UE 679/2016 per la protezione dei dati personali riconosce agli interessati (il diritto di accesso ai dati personali, il diritto a
rettificarli, il diritto di ottenerne la cancellazione o cosiddetto diritto all’oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati personali e quello di
opposizione al trattamento). Ciò in quanto dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona
segnalante.
In tali casi, al soggetto segnalato o alla persona menzionata nella segnalazione è preclusa anche la possibilità, laddove ritengano che il trattamento che li riguarda violi i suddetti diritti, di rivolgersi al titolare del trattamento e, in assenza di risposta da parte di quest’ultimo, di proporre reclamo al Garante della protezione dei dati personali.