INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI PER LA SEGNALAZIONE DI CONDOTTE ILLECITE (c.d. WHISTLEBLOWING)
La presente informativa, resa ai sensi dell’art. 13 e 14 del Regolamento (UE) 2016/679 (di seguito il “Regolamento” o “GDPR”), descrive le modalità del trattamento dei dati personali dei soggetti legittimati a segnalare (di seguito “Interessato/i”), ovvero chiunque abbia avuto notizia o conoscenza di un episodio inerente violazioni o irregolarità commesse ai danni dell’interesse pubblico, della PagoPA S.p.A. (di seguito anche “Società”) e dei suoi dipendenti.
Titolare del trattamento
Il Titolare del trattamento è PagoPA S.p.A., con sede in Roma, Piazza Colonna 370, CAP - 00187, n. di iscrizione a Registro Imprese di Roma, CF e P.IVA 15376371009 (di seguito il “Titolare”), PEC pagopaspa@pec.pagopa.it.
Data protection officer (DPO) o Responsabile Protezione Dati (RPD)
La società PagoPA S.p.A. ha nominato un proprio Responsabile della Protezione dei dati, ai sensi dell’art. 37 del Regolamento, che può essere contattato tramite il form di contatto disponibile sul sito web della Società nella sezione “Diritto alla protezione dei dati personali" o in alternativa tramite posta ordinaria scrivendo all’indirizzo: Via Sardegna n. 38 - 00187, ROMA (sede operativa della Società).
Categorie di dati e finalità
- Dati comuni relativi a tutte le persone fisiche - identificate o identificabili - a vario titolo coinvolte nelle vicende segnalate (segnalante, segnalato, facilitatore, eventuali altri terzi), c.d. interessati, come, ad esempio, i dati identificativi e di contatto del segnalante, se volontariamente comunicati dallo stesso, dati identificativi del segnalato; numero identificativo della segnalazione che viene dato al segnalante all’atto dell’invio per monitorare la gestione della sua segnalazione;
- Dati particolari a seconda del contenuto delle segnalazioni e degli atti e documenti a queste allegati;
- Dati giudiziari (quali condanne penali e reati), eventualmente contenuti nella segnalazione e negli atti e nei documenti a essa allegati.
I dati personali sono dunque acquisiti in quanto contenuti nella segnalazione e/o in atti e documenti a questa allegati. Essi possono riferirsi al soggetto segnalante, nel caso in cui intenda indicare la propria identità nel corso della segnalazione, e alle persone indicate come possibili responsabili delle condotte illecite, nonché a quelle a vario titolo coinvolte nelle vicende segnalate.
La finalità è quella di ricevere e gestire le segnalazioni di violazioni o irregolarità commesse ai danni dell’interesse pubblico, della Società e dei suoi dipendenti (dal malfunzionamento della Società a causa dell’uso ai fini privati delle funzioni attribuite fino ad arrivare a fatti di corruzione e altri reati contro la Società), consumate o tentate.
In particolare, per svolgere le necessarie attività istruttorie volte a verificare la fondatezza di quanto segnalato, nonché, se del caso, adottare adeguate misure correttive e intraprendere le opportune azioni disciplinari e/o giudiziarie nei confronti dei responsabili delle condotte illecite.
Base giuridica del trattamento
La Società tratta i dati personali in qualità di Titolare del trattamento, al fine di ricevere e gestire le segnalazioni di violazioni o irregolarità, commesse ai danni dell’interesse pubblico, della Società e dei suoi dipendenti, in virtù delle seguenti basi giuridiche:
- dare attuazione agli obblighi di legge previsti dalla disciplina whistleblowing la cui osservanza è condizione di liceità del trattamento ex art. 6, par. 1, lett. c) e parr. 2,3;
- art. 9, par. 2, lett. b);
- artt. 10 e. 88 del GDPR.
Categorie di destinatari
Il Titolare, nello svolgimento delle proprie attività, ha la facoltà di trasmettere eventualmente e su richiesta i dati alle seguenti categorie di destinatari:
- altri soggetti pubblici o privati che ne facciano richiesta per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di un pubblico potere o per adempiere a un obbligo legale o contrattuale, ivi incluso l’Organismo di Vigilanza per gli adempimenti connessi alla gestione delle segnalazioni.
Modalità di trattamento
I dati personali di riferimento sono trattati adottando adeguate misure di sicurezza volte ad impedire l’accesso, la divulgazione, la modifica o la distruzione non autorizzate dei dati personali. Tutti i dipendenti della Società che hanno accesso ai dati personali sono debitamente designati quali soggetti autorizzati al trattamento e ciascuno di essi è incaricato di trattare unicamente i dati strettamente necessari allo svolgimento delle proprie mansioni lavorative, ivi incluso l’Organismo di Vigilanza per la gestione dei flussi informativi. Il trattamento è effettuato prevalentemente mediante strumenti informatici, con modalità organizzative e logiche strettamente correlate alle finalità sopra indicate. Oltre al Titolare, in alcuni casi, possono avere accesso ai dati, a seguito di comunicazione da parte dello stesso, anche ulteriori soggetti coinvolti nella gestione e l’erogazione del servizio, nominati, ove necessario, quali responsabili del trattamento ai sensi dell’art. 28 del GDPR. Tali soggetti trattano i dati esclusivamente per attività funzionali o comunque strettamente connesse allo svolgimento dei servizi richiesti.
Trasferimenti verso paesi terzi
Alcuni dei fornitori terzi di cui ci avvaliamo per alcuni servizi essenziali all’operatività dei nostri prodotti e servizi risiedono all’estero, compresi gli USA. Abbiamo concluso con tali fornitori accordi ai sensi dell'art. 28 del Regolamento e utilizziamo uno o più meccanismi che garantiscano adeguati livelli di tutela (es. verifica dell’adesione degli stessi al Data Privacy Framework, sottoscrizione di Clausole Contrattuali Standard della Commissione Europea). Dove possibile, inoltre, selezioniamo opzioni che consentono di mantenere i dati nell’Unione Europea e abbiamo negoziato misure aggiuntive per garantirti un maggior livello di sicurezza.
Periodo di conservazione
I dati personali sono conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, prevedendo espressamente che le segnalazioni e la relativa documentazione siano conservate per il tempo necessario alla trattazione della segnalazione e, comunque, non oltre 5 anni dalla comunicazione dell’esito finale della procedura.
Diritti degli interessati
Gli Interessati, ai quali i dati personali si riferiscono, hanno il diritto di esercitare i diritti loro riconosciuti ai sensi degli artt. da 15 a 21 del GDPR, laddove applicabili.
Gli Interessati possono contattare il Responsabile della Protezione dei Dati per tutte le questioni inerenti il trattamento dei propri dati personali e l'esercizio dei propri diritti, utilizzando il presente form dedicato alla gestione delle richieste degli interessati disponibile nella sezione “Diritto alla protezione dei dati personali” del sito internet della Società https://www.pagopa.it/it/ .
Inoltre, l’ esercizio dei diritti degli interessati (es. accesso, rettifica, aggiornamento, cancellazione, limitazione del trattamento, portabilità, opposizione) può essere limitato qualora dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante.
È, inoltre, diritto degli Interessati proporre reclamo al Garante per la protezione dei dati personali come previsto dall’art. 77 del Regolamento stesso, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).
Autorità di controllo - Garante per la protezione dei dati personali
Indirizzo e-mail: garante@gpdp.it
Indirizzo PEC: protocollo@pec.gpdp.it
Portale web: https://www.garanteprivacy.it
Modifiche
Il Titolare si riserva il diritto di apportare alla presente informativa, a propria esclusiva discrezione, ed in qualunque momento, tutte le modifiche ritenute opportune o rese obbligatorie dalle norme di volta in volta vigenti, dandone adeguata pubblicità agli Utenti. Si prega, dunque, l’Utente di consultare spesso questa pagina, prendendo a riferimento la data di ultima modifica indicata.
Data ultimo aggiornamento: 30.07.2025