L’Ospedale Israelitico (di seguito anche l’Ospedale), con sede legale in Roma – P.zza S. Bartolomeo all’Isola, 21 - (codice fiscale 80203290582), ai sensi dell’art. 13 e 14 del Regolamento (UE) 2016/679 (di seguito “GDPR”) e del Decreto Legislativo n. 196/2003 (di seguito “Codice Privacy”), come modificato dal Decreto Legislativo n. 101/2018, con il presente documento fornisce informativa sulle modalità di raccolta e trattamento dei dati personali connessi alle segnalazioni. In conformità con il Decreto Legislativo n. 24/2023 in attuazione della Direttiva (UE) 2019/1937 riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali (c.d. “Decreto Whistleblowing”), per “Segnalazione” si intende qualsiasi comunicazione ricevuta dall’Ospedale avente ad oggetto comportamenti riferibili al contesto lavorativo dell’Ospedale posti in essere in violazione di leggi, regolamenti, provvedimenti delle Autorità, ovvero del Modello Organizzativo 231 dell’Ospedale, comunque idonei ad arrecare danno o pregiudizio, anche solo di immagine, all’Ospedale.
Titolare del trattamento e Responsabile della protezione dati
Il Titolare del trattamento dei dati è l’OSPEDALE, che può essere contattato tramite e-mail all’indirizzo direzione@ospedaleisraelitico.it o tramite posta ordinaria all’indirizzo: Piazza San Bartolomeo all’Isola, 21 – 00186 - Roma.
Il Titolare ha nominato un Responsabile per la Protezione dei Dati (“Data Protection Officer” o “DPO”), con compiti di sorveglianza, vigilanza e consulenza specialistica in ambito privacy che può essere contattato tramite e-mail: dpo@ospedaleisraelitico.it, o tramite posta ordinaria allo stesso indirizzo del Titolare.
Soggetti Interessati dal trattamento
Sono soggetti interessati dal trattamento, innanzitutto i soggetti segnalanti.
A titolo esemplificativo e non esaustivo:
- i lavoratori, subordinati o autonomi, e in generale ogni persona fisica che intrattiene o ha intrattenuto rapporti lavorativi anche temporanei con l’Ospedale, pur non avendo la qualifica di dipendenti (come i volontari, i tirocinanti, retribuiti o meno), gli assunti in periodo di prova, nonché coloro che ancora non hanno un rapporto giuridico con l’Ospedale (ad esempio un candidato ad una posizione lavorativa) o il cui rapporto è cessato se, rispettivamente, le informazioni sulle violazioni sono state acquisite durante il processo di selezione o in altre fasi precontrattuali ovvero nel corso del rapporto di lavoro;
- i liberi professionisti e i consulenti che prestano la propria attività presso l’Ospedale;
- i lavoratori o i collaboratori, che svolgono la propria attività lavorativa presso enti privati che forniscono beni o servizi o che realizzano opere in favore dell’Ospedale;
- le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza, anche qualora tali funzioni siano esercitate in via di mero fatto.
Inoltre, in specifico adempimento alle previsioni normative di cui al Decreto Whistleblowing, sono soggetti interessati dal trattamento anche ulteriori figure, diverse dal segnalante, che sono destinatarie di specifiche tutele e protezione, tra cui, a titolo meramente esemplificativo:
- le persone segnalate (o coinvolte) e altri soggetti differenti dal segnalato, ma menzionate nella segnalazione;
- i soggetti facilitatori (i.e. le persone fisiche che assistono il segnalante nel processo di segnalazione, operanti all’interno del medesimo contesto lavorativo e la cui assistenza deve essere mantenuta riservata);
- persone del medesimo contesto lavorativo del segnalante e che sono legate ad esso da uno stabile legame affettivo o di parentela entro il quarto grado;
- colleghi di lavoro del segnalante, che lavorano nel medesimo contesto lavorativo della stessa e che hanno con detta persona un rapporto abituale e corrente, etc.
Dati personali oggetto del trattamento
Il trattamento riguarda i dati personali acquisiti attraverso la ricezione delle segnalazioni.
I dati raccolti possono riguardare, tra gli altri:
(i) i dati anagrafici (nome, cognome) dei soggetti segnalati, delle persone coinvolte e dei soggetti facilitatori, nonché ogni ulteriore dato personale contenuto nella segnalazione riferibile a tali soggetti;
(ii) ulteriormente, in caso di segnalazioni qualificate, in cui il segnalante esplicita le proprie generalità anche in un momento successivo alla presentazione della segnalazione, i dati allo stesso afferenti, tra cui nome, cognome e informazioni di contatto, nonché ogni ulteriore dato personale contenuto nella segnalazione riferibile a tale soggetto.
Il Titolare non è in grado di determinare a priori i dati oggetto della segnalazione che potrà contemplare dati comuni, categorie particolari di dati personali ai sensi dell’art. 9 del GDPR e, eventualmente, anche dati personali relativi a condanne penali e reati o a misure di sicurezza ai sensi dell’art. 10 del GDPR. In quest’ultimo caso, il Titolare agirà nei limiti di quanto consentito dalla normativa di cui al Decreto Whistleblowing e nel rispetto degli art. 9 e 10 del GDPR.
In ogni caso, saranno trattati solo quei dati personali strettamente ed oggettivamente necessari per verificare la fondatezza della Segnalazione e procedere alla risoluzione della stessa. Nel caso venissero raccolti, anche accidentalmente, dati personali manifestamente non necessari per la gestione della Segnalazione, tali dati personali saranno cancellati immediatamente.
Finalità del trattamento e base giuridica
Il Titolare tratterà i dati per scopi strettamente ed oggettivamente necessari all’applicazione ed alla gestione della procedura di Segnalazione (verifica dei fatti oggetto della Segnalazione, risoluzione della Segnalazione, predisposizione del riscontro, adozione di eventuali misure di ristoro o di sostegno per i soggetti segnalanti e instaurazione di procedimenti, anche disciplinari) e per ogni altra finalità connessa al processo di gestione, ivi comprese a titolo esemplificativo esigenze di controllo interno, di monitoraggio dei rischi aziendali, di difesa di un diritto in sede giudiziaria o per ulteriori legittimi interessi del Titolare
I dati personali saranno trattati, per le finalità indicate al precedente punto, sulla base degli specifici obblighi di legge derivanti all’Ospedale dalla normativa, nazionale e/o comunitaria, incluso quanto previsto dal Decreto Whistleblowing e dal Decreto Legislativo n. 231/2001, nonché sulla base del legittimo interesse dell’Ospedale al perseguimento di finalità difensive, di controllo interno e monitoraggio dei rischi, derivanti dalla ricezione delle segnalazioni.
Modalità di trattamento dei dati e soggetti autorizzati al trattamento
Il trattamento dei dati personali avverrà mediante strumenti manuali, informatici e telematici con logiche strettamente correlate alle finalità sopra indicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi in conformità alle norme vigente, anche tramite il ricorso a strumenti di crittografia, ove siano utilizzati strumenti informatici.
I dati personali forniti saranno resi accessibili solo ai soggetti espressamente individuati come competenti a ricevere o a dare seguito alle attività di analisi, istruttoria e gestione delle segnalazioni e di eventuali azioni conseguenti. Tali soggetti sono opportunamente autorizzati e istruiti, a cura del medesimo Ospedale, in relazione agli obblighi in materia di protezione dei dati personali e alle peculiari ragioni di riservatezza delle segnalazioni.
I dati possono essere trattati, inoltre, da Consulenti esterni e Terze Parti con funzioni tecniche (ad esempio, il provider della piattaforma IT), che agiscono in qualità di Responsabili/Sub-Responsabili del trattamento e hanno sottoscritto un apposito contratto che disciplina puntualmente i trattamenti loro affidati e gli obblighi in materia di protezione dei dati e sicurezza del trattamento ai sensi dell’art. 28, comma 3 del Regolamento.
L’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità, non potranno essere rivelate a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni salvo previo consenso espresso della persona segnalante conformemente a quanto previsto dal D. Lgs. n. 24/2023.
Il trattamento dei dati personali dei soggetti interessati sarà in ogni caso improntato ai principi di proporzionalità, necessità, limitazione delle finalità e minimizzazione per cui non saranno trattati, né raccolti dati personali non necessari, nonché al principio di lealtà e trasparenza, e avverrà nel rispetto del requisito di adeguatezza delle misure di sicurezza.
Il Titolare del trattamento non trasferirà i dati ad alcun paese terzo o ad alcuna organizzazione internazionale
Ambito di comunicazione e diffusione dei dati
I dati potrebbero dover essere comunicati anche all’Autorità Giudiziaria, all’Autorità Nazionale Anticorruzione e alla Polizia Giudiziaria legittimati a richiederli.
Tempi di conservazione dei dati
I dati personali relativi a ciascuna Segnalazione saranno conservati per il tempo più breve possibile e strettamente necessario e comunque non oltre 5 anni, a decorrere dalla comunicazione dell'esito finale della procedura di segnalazione, fatti salvi i casi nei quali la conservazione per un periodosuccessivo sia richiesta per eventuali contenziosi, richieste delle autorità competenti o ai sensi della normativa applicabile. Al termine del periodo di conservazione i dati personali saranno cancellati o irreversibilmente anonimizzati.
Diritti dell’Interessato
I soggetti interessati diversi dal segnalato ovvero dalle persone menzionate nelle segnalazioni (con riferimento ai dati personali trattati nell’ambito della segnalazione stessa), possono esercitare tutti i diritti previsti dagli artt. 15-22 GDPR. In particolare, essi potranno:
a) chiedere di confermare l’esistenza di propri dati personali, l’origine di tali dati, la logica e le finalità del loro trattamento, le categorie di soggetti ai quali i dati possono essere comunicati, nonché gli estremi identificativi del Titolare del trattamento e dei rispettivi responsabili del trattamento;
b) richiedere l’accesso ai dati personali, la trasformazione in forma anonima, il blocco, la rettifica, l’aggiornamento, l’integrazione, la cancellazione di tali dati o la limitazione del loro trattamento;
c) opporsi al trattamento dei dati personali, per qualsivoglia ragione connessa alla sua particolare situazione, entro i limiti stabiliti dalla Normativa Privacy Applicabile;
d) esercitare il diritto alla portabilità, nei limiti previsti dall’articolo 20 del GDPR;
e) revocare il consenso in qualsiasi momento, ove richiesto, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca;
f) presentare un reclamo all’Autorità Garante per la Protezione dei dati personali, seguendo le procedure e le indicazioni pubblicate sul suo sito ufficiale (www.garanteprivacy.it).
Qualsiasi modifica o cancellazione o limitazione al trattamento effettuata su richiesta dei sopra indicati soggetti interessati - a meno che ciò non sia impossibile o comporti uno sforzo sproporzionato - sarà comunicata dal Titolare a ciascuno dei destinatari cui sono stati comunicati i dati personali. Il Titolare potrà comunicare tali destinatari su richiesta.
Ai sensi dell’articolo 2-undecies del Codice Privacy ed in attuazione dell’articolo 23 del GDPR, i diritti di cui agli artt. 15-22 GDPR, sopra menzionati, non potranno invece essere esercitati da parte delle persone segnalate (o coinvolte) e dalle persone menzionate nella segnalazione laddove dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità della persona segnalante.
In particolare, tali diritti:
- saranno esercitabili solo conformemente alle disposizioni di legge o di regolamento che disciplinano le Segnalazioni (in particolare, al D.lgs. 24/2023);
- il loro esercizio potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare la riservatezza dell’identità della persona segnalante;
- in tali casi, i diritti dell’interessato potranno essere esercitati anche tramite il Garante per la Protezione dei Dati Personali con le modalità di cui all’articolo 160 del Nuovo Codice Privacy, nel qual caso il Garante informerà l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale.