1. Premessa
Ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 sulla “protezione delle persone fisiche con riguardo al trattamento dei dati personali” (di seguito anche GDPR) e del D.Lgs. 196/2003 e s.m.i., Le forniamo le informazioni richieste sul trattamento e l’uso dei dati personali di segnalanti, segnalati ed eventuali altri soggetti terzi (di seguito anche interessato) coinvolti in relazione alla gestione delle segnalazioni disciplinate dalla “Whistleblowing Policy” dell’Università Cattolica del Sacro Cuore (di seguito anche Università).

2. Identità e dati di contatto del Titolare del trattamento
Titolare del trattamento dei Dati che La riguardano è l’Università Cattolica del Sacro Cuore, con sede legale in Largo Agostino Gemelli 1, 20123 Milano, tel. (+39) 027234.1

3. Categorie di dati personali
Per "dato personale", come specificato nell'art. 4 del GDPR, si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

L’Università, per il tramite del proprio personale, può venire a conoscenza, a seguito di una segnalazione effettuata in forma non anonima dei seguenti dati personali (riferiti al segnalante o eventualmente al segnalato):

• nome e cognome del segnalante unitamente alle altre informazioni che volesse rilasciare quali recapito telefonico, indirizzo mail, indirizzo postale ecc.;
• le informazioni sul segnalato che potranno essere inserite nell’apposito percorso digitale attivato dall’Università per consentire l’inoltro della segnalazione.

In ogni caso, l’Università tratterà questi dati esclusivamente per finalità strettamente connesse e strumentali alla verifica dell'autenticità delle segnalazioni di irregolarità ovvero al fine di adempiere a specifici obblighi di legge connessi agli scopi della segnalazione.

4. Finalità del trattamento e base giuridica
I Dati da Lei forniti potranno essere trattati per le seguenti finalità:

1. Svolgere gli obblighi connessi al D.Lgs. 231/2001 e alla Legge 30 novembre 2017, n. 179, relativamente a segnalazione di condotte illecite, rilevanti e fondate su elementi di fatto precisi e concordanti, o violazioni del Codice Etico e del Modello di organizzazione, gestione e controllo.
2. Gestire le segnalazioni ricevute, procedere all’accertamento dei fatti oggetto delle stesse e adottare i relativi provvedimenti.
3. Far valere e/o difendere i diritti dell’Università in contenziosi civili, penali e/o amministrativi.
4. Adempiere le finalità di sicurezza e tutela del patrimonio aziendale.

La base giuridica del trattamento è costituita:

1. Per le finalità di cui sub a), da un obbligo di legge;
2. Per le finalità di cui sub b), c), d), dal legittimo interesse del Titolare.

Il conferimento dei dati del segnalante è richiesto ed un eventuale rifiuto rende impossibile seguire l’iter della procedura di segnalazione.

5. Modalità di trattamento
Il trattamento dei dati personali avviene mediante strumenti manuali, informatici e telematici con logiche strettamente correlate alle finalità e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi in conformità alle norme vigenti.

6. Periodo di conservazione dei dati
L’Università tratterà i Dati per il tempo strettamente necessario al perseguimento delle finalità di cui sopra. I Suoi Dati saranno cancellati o conservati in una forma che non consenta la Sua identificazione, trascorsi 5 anni dalla conclusione del procedimento svolto dall’Organismo di Vigilanza a seguito della segnalazione, fatti salvi gli eventuali termini di conservazione previsti da norme di legge o regolamenti. Ove necessario, i Dati potranno essere ulteriormente trattenuti per ulteriore trattamento necessario nel caso in cui sia avviata un’azione giudiziaria e/o disciplinare nei confronti del segnalato o del segnalante che avesse reso dichiarazioni in malafede, false o diffamatorie; in detti casi i dati potranno essere conservati fino alla conclusione definitiva del procedimento giudiziario e/o disciplinare.

7. Categorie di soggetti cui possono essere comunicati i Dati
Salvo l’espletamento di obblighi derivanti dalla legge, i dati personali da Lei forniti non avranno alcun ambito di comunicazione e diffusione.

Destinatario dei dati personali è l’Organismo di Vigilanza di Università Cattolica del Sacro Cuore che, in conformità a quanto previsto dalla vigente normativa in materia e dalla procedura di gestione delle segnalazioni (whistleblowing) è tenuto a garantire la riservatezza dell’identità del segnalante. I dati personali potranno essere rivelati al responsabile della funzione aziendale titolare dei procedimenti disciplinari e/o all’incolpato esclusivamente nei casi in cui vi sia il consenso espresso del segnalante ovvero la contestazione dell’addebito disciplinare risulti fondata unicamente sulla segnalazione e la conoscenza dell’identità del segnalante risulti assolutamente indispensabile alla difesa dell’incolpato.

Sussistendone gli estremi, i dati personali potranno essere comunicati anche a soggetti terzi, ricompresi nelle seguenti categorie: a) Consulenti (Studi Legali, ecc.); b) Società incaricate dell’amministrazione e gestione del personale, della conservazione dei dati personali dei dipendenti, dello sviluppo e/o esercizio dei sistemi informativi a ciò dedicati; c) Istituzioni e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia, Agenzie investigative.

8. Trasferimento di dati personali extra – UE
Fatte salve specifiche esigenze che saranno concordate di volta in volta, gli eventuali dati personali comunicati non saranno oggetto di trasferimento all’estero.

9. Responsabile della protezione dei dati (Data Protection Officer, D.P.O.)
L’Università ha nominato il Responsabile della protezione dei dati (Data Protection Officer, D.P.O.), che può essere contattato al seguente indirizzo e-mail: dpo@unicatt.it.

10. Diritti dell’interessato
L’interessato ha il diritto di conoscere quali sono i dati che Lo riguardano (in qualità di segnalante, segnalato, testimone ecc.) in possesso dell’Università per il processo di segnalazione whistleblowing, nonché le modalità del loro utilizzo e di ottenere, quando ne ricorrano i presupposti, la cancellazione, nonché l'aggiornamento, la rettificazione o, se vi è interesse, l'integrazione dei dati.

I diritti dell’interessato (in specie, il segnalato) potranno essere limitati ai sensi e per gli effetti di cui all’art. 2-undecies, primo comma lett. f) del D.Lgs. 196/2003 e s.m.i. ed in conformità all’art. 23 del Regolamento UE 2016/679, qualora dall’esercizio dei diritti sopra indicati possa derivare un pregiudizio concreto ed effettivo alla riservatezza dell’identità del segnalante.

La valutazione sulla necessità della limitazione dei diritti dell’interessato è rimessa al Titolare del trattamento che si avvale delle funzioni competenti in materia. In tale ipotesi il Titolare dovrà fornire comunicazione motivata e senza ritardo all'interessato del rigetto/ritardo/limitazione/esclusione della richiesta di esercizio dei diritti sopra indicati, fermo quanto stabilito dall’art. 2-undecies comma 3 del D.Lgs. 196/2003 e s.m.i.
Nell’ipotesi in cui venga concesso l’accesso alle informazioni personali di un interessato, le informazioni personali di terzi come segnalanti, segnalati o testimoni saranno rimosse dai documenti, tranne in circostanze eccezionali.

Per esercitare i diritti descritti nel paragrafo, potrà effettuare una comunicazione all’Organismo di Vigilanza all’indirizzo odv@unicatt.it

Aggiornato il 27 novembre 2020