L’Università Iuav di Venezia (d’ora in avanti Università o Ateneo), nell’ambito delle proprie finalità istituzionali, rende la presente informativa ai sensi degli art. 13 e 14 del Regolamento UE 2016/679 (d’ora in avanti GDPR).

Il Titolare del trattamento è l’Università, nella persona del Magnifico Rettore, con sede in Santa Croce 191, 30135 Venezia e può essere contattato ai seguenti indirizzi:

• email privacy@iuav.it
• PEC ufficio.protocollo@pec.iuav.it

Il Responsabile della protezione dei dati (d’ora in avanti DPO) può essere contattato ai seguenti indirizzi:

• email dpo@iuav.it
• PEC dpo@pec.iuav.it

Il trattamento dei dati personali è effettuato dall’Università per le seguenti finalità:

• acquisizione e gestione delle segnalazioni di illeciti, compresa l’eventuale trasmissione degli atti agli organi di ateneo e/o alle autorità competenti.

La base giuridica di tale trattamento è rappresentata da:

• adempimento di un obbligo legale (art. 6, comma 1, lett. c, GDPR) al quale è soggetto il titolare del trattamento: Decreto legislativo n. 24/2023.

La base giuridica del trattamento di dati particolari, eventualmente presenti nella segnalazione, è rappresentata da:

• motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri (art. 9, comma 2, lett. g, GDPR).

Si evidenzia che, limitatamente ai procedimenti disciplinari, ai sensi dell’art. 12 del Decreto legislativo n. 24/2023, qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità. In tal caso, il trattamento è lecito sulla base dell’art. 6 par. 1 lett. a) GDPR.
Il trattamento dei dati personali è improntato ai principi di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, responsabilizzazione (art. 5 GDPR).

Nell’ambito della gestione della procedura potranno essere trattati i seguenti dati:

• dati anagrafici e dati di contatto nel caso di segnalazioni effettuate in forma non anonima;
• ruolo professionale nell’ambito dell’Università o dell’impresa terza;
• ogni altro dato indicato nella segnalazione o emerso nel corso dell’istruttoria.

In relazione alle finalità sopra espresse, il conferimento dei dati che costituiscono il contenuto indispensabile della segnalazione – quali ad esempio le generalità del soggetto responsabile delle condotte descritte nella segnalazione o gli elementi utili a identificarlo ovvero dati personali relativi ad altri soggetti, se noti, che possano riferire sui fatti segnalati – è requisito necessario per la gestione del procedimento ed è pertanto obbligatorio.

Il trattamento dei dati personali raccolti avviene ad opera del RPCT e del personale dell’Università che eventualmente deve essere coinvolto per l’istruttoria del procedimento, previamente autorizzati e adeguatamente istruiti dal Titolare:

• in forma automatizzata e manuale

In particolare, i dati potranno essere raccolti

• mediante un applicativo informatico che utilizza dei protocolli di crittografia in grado di garantire la riservatezza dell’identità della persona segnalante, il contenuto della segnalazione e della relativa documentazione, la conservazione su server certificato Whistleblowing Solutions Impresa Sociale S.r.l., ACN (Agenzia per le Cybersicurezza Nazionale) CSA STAR (Security Trust Assurance and Risk);
• in forma cartacea trasmessi mediante il servizio postale;
• in forma orale, chiedendo un incontro al Responsabile della prevenzione della corruzione e della trasparenza (RPCT) che redigerà apposito verbale.

La documentazione cartacea sarà custodita in appositi archivi anonimizzati, allocati all’interno di armadi muniti di serrature e accessibili unicamente al RPCT stesso.
Per ogni ulteriore informazione relativa ai canali di segnalazione si invita a consultare il sito di ateneo alla sezione “Amministrazione Trasparente”.

I dati saranno trattati da Whistleblowing Solutions Impresa Sociale S.r.l., fornitore del software open-source creato per permettere l'avvio di iniziative di whistleblowing, che risulta Responsabile del trattamento dati ai sensi dell’art. 28 GDPR.
Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati nel pieno rispetto di quanto previsto dall’articolo 32 del GDPR e dal Decreto legislativo n. 24/2023.

I dati personali saranno trattati, nel rispetto della vigente normativa in materia, dal RPCT, dai servizi coinvolti nell’ambito dell’istruttoria (a eccezione dei dati relativi all’identità del segnalante o a elementi che possano consentirne anche indirettamente l’identificazione) e dalla società Whistleblowing Solutions Impresa Sociale S.r.l., fornitore del software, nell’ambito delle finalità sopra indicate.

I dati potranno essere comunicati:

• a organi interni (Rettore, Direttore generale, dirigente della struttura, Ufficio Procedimenti Disciplinari, Collegio di Disciplina, Commissione di Disciplina, Nucleo di Valutazione etc.) salvo quanto previsto dall’art. 12 del Decreto legislativo n. 24/2023;
• a istituzioni/enti esterni (Autorità Giudiziaria ordinaria o contabile, Autorità Nazionale Anticorruzione etc.), per l’adempimento di obblighi previsti dalla legge e/o di richieste dell’autorità giudiziaria.

Non sono previsti trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale. Eventuali variazioni saranno preventivamente comunicate agli interessati.

I dati personali raccolti saranno conservati dall’Università per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza previsti dalla normativa in materia.

L’interessato (cioè la persona fisica identificata o identificabile cui il dato personale si riferisce) può esercitare una serie di diritti nei confronti dell'Università, quale Titolare del trattamento, ai sensi degli artt. 15 – 21 del GDPR.

In particolare, l’interessato può esercitare:

• il diritto di accesso ai dati personali;
• il diritto di rettifica dei dati personali;
• il diritto alla cancellazione dei dati personali;
• il diritto alla limitazione del trattamento dei dati personali;
• il diritto di opposizione al trattamento dei dati personali.

Nel caso in cui l’interessato abbia dato il consenso alla rivelazione della sua identità nell’ambito di procedimenti disciplinari, ha diritto di revocare tale consenso in qualsiasi momento, senza che però ciò pregiudichi la liceità del trattamento effettuato prima della revoca del consenso.
Per l'esercizio di tali diritti l'interessato può rivolgersi al Titolare del trattamento, inviando una richiesta a privacy@iuav.it oppure ufficio.protocollo@pec.iuav.it

Infine, l'interessato ha il diritto, in relazione a un trattamento che consideri non conforme, di avanzare un reclamo al Garante per la Protezione dei Dati Personali o all'Autorità Garante dello Stato dell'UE in cui l'interessato risiede abitualmente o lavora, oppure del luogo ove si è verificata la presunta violazione.