Tutela della Privacy

Italgas riconosce che la corretta gestione dei dati personali rappresenta un valore di fondamentale importanza e intende quindi prestare la massima attenzione alla tutela dei dati personali raccolti e trattati nell’ambito dell’attività d’impresa.

L’approccio del Gruppo Italgas alla materia della protezione dei dati personali, in linea con i principi della Responsabilità Sociale d’Impresa, prevede l’adozione volontaria di comportamenti virtuosi che vanno oltre il mero rispetto delle prescrizioni normative.

L’impegno alla tutela della privacy

 

Alla tutela dei dati personali è dedicato uno specifico paragrafo del Codice Etico (Sez. III, par. 4.2). Il Codice Etico ha valore contrattuale verso i dipendenti, per cui eventuali violazioni devono comportare l’avvio di un procedimento disciplinare ai sensi del contratto collettivo nazionale di lavoro.

Per quanto concerne la supply chain, Italgas ha adottato uno specifico “Codice Etico dei Fornitori Italgas”, che include un paragrafo dedicato alla tutela dalla privacy (par. 4.5).

L’impegno alla tutela della privacy si applica, pertanto, a tutte le attività comprese quelle delle società greche del Gruppo ed ai fornitori.

 

Modello Organizzativo Data Protection

 

2.1 Integrazione del Modello Organizzativo nel presidio dei rischi del Gruppo Italgas

Il Modello Organizzativo Data Protection è integrato nel Sistema di controllo interno e gestione dei rischi del Gruppo Italgas. Esso testimonia l’impegno del Gruppo Italgas per la tutela dei diritti e delle libertà fondamentali degli interessati (siano dipendenti, fornitori, clienti finali, potenziali clienti o altri). Il Sistema di controllo interno e gestione dei rischi in tutte le sue componenti (es.: attività di controllo, monitoraggio, verifiche, sistema sanzionatorio e disciplinare) include le attività che trattano dati personali e concorre pertanto ad assicurarne la conformità alla normativa di legge e agli standard aziendali.

Tutti i potenziali rischi per i diritti e le libertà fondamentali dell’interessato che possono derivare dal trattamento dei dati personali sono valutati oggettivamente, al fine di determinare il livello di rischio che ogni operazione di trattamento dei dati comporta e definire appropriate misure di mitigazione. Il Data Protection Officer e il Team per la protezione dei dati, che comprende persone con competenze legali, organizzative, ICT e di sicurezza, supportano i manager durante tutto il processo di valutazione del rischio e gestione della compliance. Inoltre, la funzione Enterprise Risk Management (ERM) coordina il processo di monitoraggio dei rischi a livello di gruppo, inclusi i rischi potenziali specifici legati al rispetto delle normative sulla privacy sollevate dai risk owner.

Nell’ottica di garantire un’adeguata gestione dei rischi connessi al trattamento dei dati personali, sia per quanto concerne i rischi di business, che quelli per i diritti e le libertà fondamentali degli interessati, oltre che la compliance con le disposizioni del Regolamento europeo per la protezione dei dati (Regolamento (UE) 2016/679 – GDPR) e della normativa nazionale (D.lgs. n. 196/2003 e s.m.i.), il Gruppo Italgas ha definito, applica e mantiene aggiornate appropriate misure per assicurare un adeguato livello di sicurezza. Queste comprendono sia misure di natura organizzativa che misure tecniche idonee a prevenire la perdita, la modifica, l’indisponibilità, l’accesso e l’uso non autorizzato di dati personali.

2.2 Sistema Organizzativo e Normativo

Il sistema organizzativo e normativo aziendale definisce regole e processi e ne garantisce l’implementazione e la tracciabilità in accordo con il principio di accountability. Negli standard applicabili a livello di Gruppo sono recepiti e tenuti aggiornati i presidi di controllo e mitigazione dei rischi relativi al trattamento di dati personali, incluso l’ambito dei rapporti con i fornitori, in un’ottica di miglioramento continuo del proprio sistema di gestione della privacy.

Tutti i dipendenti ricevono le istruzioni per il trattamento dei dati personali, in base alla propria funzione e al contesto in cui si trovano ad operare, e sono informati degli strumenti da utilizzare per la segnalazione di eventuali data breach.

Elemento essenziale del Modello Organizzativo di Italgas è lo standard di compliance Data Protection, aggiornato da ultimo il 30 giugno 2021, che descrive i punti chiave del Modello, individua le figure chiave dell’organigramma privacy, delinea ruoli e responsabilità in coerenza con le raccomandazioni e le best practice del Comitato Europeo per la Protezione dei Dati e con i provvedimenti del Garante per la protezione dei dati personali. Inoltre, esso prevede le conseguenze di comportamenti non conformi alle norme sulla protezione dei dati. Lo standard di compliance Data Protection è scaricabile dal link presente in fondo a questa pagina.

Il Gruppo Italgas si è dotato di uno Standard di Compliance dedicato specificamente alla gestione di Data Breach, anch’esso scaricabile dal link presente in fondo a questa pagina.

Il Gruppo Italgas si è dotato altresì di un “Manuale Data Protection”, con l’obiettivo di fornire indicazioni chiare e puntuali di tipo operativo, sulla base di quanto definito nel Regolamento (UE) 2016/679 – GDPR e secondo gli orientamenti definiti dall’Autorità di controllo italiana e dal Comitato dei garanti Europei (EDPB). Il contenuto del documento si articola nelle sezioni dedicate ai processi di:

  • Privacy by Design e Privacy by Default, ossia protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita;
  • Analisi dei rischi e Valutazione di Impatto;
  • Gestione dei diritti degli interessati.

Il mancato rispetto delle regole in materia di protezione dei dati personali costituisce anche una violazione del Codice Etico e della normativa aziendale e, come previsto dallo standard Data protection, comporta l’apertura di un provvedimento disciplinare.

Le società greche EDA Thess, EDA Attikis e DEDA, recentemente consolidate, hanno anch’esse adottato un modello organizzativo privacy, in linea con il principio di accountability, nonché una procedura interna per la gestione dei data breach.

2.3 Data Protection Officer

Sin dal maggio 2018 Italgas S.p.A. ha individuato il Responsabile della Protezione dei Dati, conosciuto anche come “Data Protection Officer” (DPO). In data 24 febbraio 2021, il Consiglio di Amministrazione di Italgas S.p.A. (Società Capogruppo) ha designato il Dr. Luca Lazzeri quale Responsabile della Protezione dei Dati. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti assegnatigli. I dati di contatto del responsabile della protezione dei dati sono stati comunicati all’Autorità garante.

Il DPO, quale punto di riferimento per gli interessati e punto di contatto per l’autorità di controllo può essere contattato al seguente indirizzo e-mail: dpo.gdpr@italgas.it.

Le responsabilità di DPO di tutte le società italiane del Gruppo sono allocate nell’ambito della funzione Internal Audit di Italgas S.p.A. Tale collocazione consente al DPO di adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse, nonché di realizzare sinergie e assicurare un forte presidio sui temi della protezione dei dati personali.

Le società greche EDA Thess, EDA Attikis e DEDA, recentemente consolidate, hanno designato i propri DPO, in conformità con quanto previsto dal Regolamento (UE) 2016/679 – GDPR.

2.4 Team Data Protection

Il Team Data Protection, che include esperti in ambito legale, informatico, organizzativo e di security, assiste e supporta tutte le persone del Gruppo Italgas coinvolte in attività di trattamento in occasione di cambiamenti dei processi rilevanti in materia di data protection, ed in particolare nelle attività legate all’innovazione (es. Digital Factory), al fine di assicurare lo sviluppo di nuove applicazioni e nuovi servizi in un’ottica di data protection by design e by default.

2.5 Catena di fornitura

I Fornitori devono rispettare il “Codice Etico dei Fornitori Italgas” che include un paragrafo sulla tutela della privacy (par. 4.5). Inoltre, i fornitori sono tenuti a sottoscrivere un Accordo Etico e uno specifico “Accordo sul Trattamento dei Dati Personali”, conforme a quanto previsto dal GDPR, che include istruzioni sul trattamento, la cui violazione comporta l’applicazione di rimedi contrattuali.

Secondo quanto previsto dall’”Accordo sul Trattamento dei Dati Personali”, il fornitore si impegna a manlevare integralmente, tenere indenne e risarcire Italgas per qualsiasi danno subito da quest’ultima a seguito di un inadempimento ad egli imputabile (e/o ai suoi dipendenti, collaboratori, subappaltatori se autorizzati e nominati). Inoltre, Italgas avrà il diritto di risolvere il Contratto in caso di violazione delle disposizioni dell’”Accordo sul Trattamento dei Dati Personali”.

 

Informazioni sul trattamento dei dati personali

 

Secondo l’art. 4 del GDPR, un “dato personale” è “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

3.1 Contenuto delle informative

Tutte le società del Gruppo Italgas, in qualità di Titolari del trattamento, forniscono agli Interessati le informazioni sul trattamento dei dati personali attraverso informative privacy, nel rispetto degli articoli 13 e 14 del Regolamento (UE) 2016/679 – GDPR. Le informative sulla privacy comprendono, tra l’altro:

  • tipo di dati personali, finalità e base giuridica del trattamento (include natura delle informazioni e finalità del loro utilizzo)
  • modalità del trattamento e natura del conferimento
  • conservazione dei dati (per quanto tempo vengono conservate le informazioni)
  • comunicazione, diffusione e trasferimento dei dati (diffusione vs. soggetti privati e pubblici, se presente)
  • diritti dell’interessato (possibilità di decidere come i dati personali vengono raccolti, utilizzati, conservati e trattati)
  • dati di contatto del Titolare e del Responsabile della protezione dei dati.

3.2 Uso dei dati personali per finalità secondarie

I dati personali non vengono utilizzati per finalità diverse da quella principale per cui sono stati raccolti in alcun caso. In particolare, nel 2022, così come nel 2021, i dati dei clienti finali non sono stati utilizzati per finalità diverse da quella principale.

3.3 Diritti dell’interessato

Gli interessati, inclusi i clienti, possono esercitare i diritti previsti dal Regolamento (UE) 2016/679 – GDPR (artt. 15-22 e 77), inclusi:

  • di revocare il consenso in qualsiasi momento, ove prestato, senza pregiudizio per la liceità del trattamento basata sul consenso prestato prima della revoca (rilascio e revoca del consenso, quando il trattamento è basato sul consenso);
  • di richiedere l’accesso ai dati personali che li riguardano detenuti dalla società (diritto di accesso);
  • di ottenere la correzione o la cancellazione dei propri dati personali (diritto di rettifica e di cancellazione)
  • di ottenere la limitazione del trattamento che li riguarda o di opporsi al trattamento (diritto di limitazione e di opposizione);
  • di ricevere copia dei dati personali che li riguardano in formato strutturato, di uso comune e leggibile da dispositivo automatico, e di ottenere il trasferimento diretto dei dati personali da un fornitore di servizi all’altro, se tecnicamente fattibile (diritto alla portabilità dei dati).

Per esercitare i propri diritti gli interessati in Italia possono rivolgersi al Responsabile della protezione dei dati (DPO) inviando un’e-mail a dpo.gdpr@italgas.it. Gli interessati in Grecia possono contattare il DPO scrivendo all’indirizzo e-mail indicato nelle informative privacy.

 

Audit sulla compliance in materia di protezione dei dati personali

 

Italgas effettua audit per verificare il grado di adeguatezza del proprio Modello Organizzativo Data Protection in termini di compliance alla normativa applicabile.

Questa attività viene svolta attraverso:

  1. audit di terza parte, commissionati a una società esterna specializzata in materia (nel 2022, a EY Advisory S.p.A.)
  2. Attività di Internal Audit
  3. altre attività di sorveglianza, promosse direttamente dal DPO.

In ogni report di Internal Audit è incluso un ” focus GDPR”, dedicato alla verifica dell’efficacia delle misure di mitigazione del rischio relative al trattamento dei dati personali, nonché del rispetto della normativa in materia di protezione dei dati personali. Nell’ambito delle attività di Internal Audit vengono effettuate verifiche a campione anche sui fornitori che trattano dati personali per conto di Italgas (responsabili del trattamento). Il DPO è sempre coinvolto nella realizzazione del focus GDPR.

Le informazioni sui risultati delle attività di audit svolte nel 2022 sono riportate al seguente paragrafo 5. Attività dell’anno 2022.

 

Attività dell’anno 2022

 

5.1 Principali attività svolte nel corso dell’anno

  • Aggiornamento annuale del registro delle attività di trattamento, effettuato dai Responsabili dei Dati con il supporto del Team Data Protection.
  • Predisposizione e aggiornamento di informative sul trattamento di dati personali.
  • Avvio delle attività di aggiornamento dello Standard di Compliance “Data Breach Management”, al fine di recepire le indicazioni del Comitato dei garanti Europei (EDPB) del 14 dicembre 2021, le modifiche organizzative e, in generale, in un’ottica di miglioramento dell’accountability.
  • Gestione delle richieste di esercizio dei diritti da parte di interessati, nei termini previsti dalla normativa.
  • Riesame delle informative privacy per i visitatori e gli utenti dei siti internet e dei portali delle società italiane del Gruppo Italgas, al fine di assicurarne la conformità alle Linee Guida del Garante in materia di cookie di giugno 2021.
  • L’intervento di mappatura del ciclo di vita dei dati personali dei clienti finali, promosso e coordinato dal DPO e svolto con il coinvolgimento della funzione Commerciale di Italgas Reti S.p.A. e di Bludigit. E’ stata effettuata un’analisi dei processi per la gestione end-to-end del cliente finale per giungere ad una rappresentazione complessiva dei dati personali gestiti dalle Società di distribuzione del gas sulle diverse componenti tecnologiche e dei relativi flussi.
  • Aggiornamento dell’analisi dei rischi legati ai trattamenti di dati personali e valutazione del livello di rischio, con riguardo alla necessità di effettuare/aggiornare le Valutazioni d’impatto per la protezione dei dati (DPIA).
  • Attività di formazione e informazione verso il personale, anche attraverso l’utilizzo di piattaforme web.
  • Assessment della conformità delle società greche di recente acquisizione EDA Thess, EDA Attikis e DEDA, che evidenziato una situazione di sostanziale conformità.

Nel 2022 il Team Data Protection si è riunito in n. 41 occasioni.

Si segnala inoltre che le certificazioni verdi Covid-19 dei dipendenti, acquisite nel rispetto e per le finalità dettate dalle prescrizioni normative applicabili fino al 30 aprile 2022, sono state cancellate.

5.2 Attività di audit e sorveglianza

Anche nel 2022 il Gruppo si è sottoposto ad audit di terza parte, condotto da EY Advisory S.p.A. e relativo alla verifica ed analisi delle informative rese agli interessati ai sensi degli articoli 13 e 14 del GDPR, esteso a tutte le società italiane del Gruppo. Dall’audit non sono emersi gap significativi.

Al fine di verificare l’implementazione e l’efficacia del Modello Organizzativo Data Protection e delle politiche adottate in materia di privacy, anche nel 2022 il Gruppo Italgas, nell’ambito delle attività di Internal Audit, ha sviluppato una specifica attenzione ai temi privacy. In ogni intervento di Internal Audit è stato effettuato un “Test GDPR” dedicato alla verifica dell’efficacia delle misure di mitigazione dei rischi legati al trattamento dei dati personali, nonché della conformità alla normativa in materia di protezione dei dati personali. Le risultanze sono riportate nei report di Internal audit.

Inoltre il DPO ha esplicato la propria attività di sorveglianza con riferimento a processi e metodologie a garanzia della conformità data protection, liceità dei trattamenti, aggiornamento dell’analisi dei rischi e applicazione delle relative misure di sicurezza, verifica della corretta gestione dei cookie sui siti internet e sui portali del Gruppo, nonché allo svolgimento dei Data protection Impact Assessment.

5.3 Comunicazioni e sanzioni

Con riferimento a tutte le società del Gruppo Italgas, nel 2022:

  • non sono pervenute segnalazioni di data breach
  • non sono pervenuti reclami fondati relativi a violazioni di dati personali
  • non sono pervenute richieste di alcun tipo dall’Autorità garante
  • non sono state applicate sanzioni con riferimento a violazioni della normativa in materia di protezione dei dati personali.

 

Documenti di riferimento 

Gli Standard di Compliance “Data Protection” e “Data Breach Management” possono essere scaricati dai link sotto riportati.

Ultimo aggiornamento: