Tutela della Privacy

Italgas riconosce che la corretta gestione dei dati personali rappresenta un valore di fondamentale importanza e intende quindi prestare la massima attenzione alla tutela dei dati personali raccolti e trattati nell’ambito dell’attività d’impresa.

L’approccio del Gruppo Italgas alla materia della protezione dei dati personali, in linea con i principi della Responsabilità Sociale d’Impresa, prevede l’adozione volontaria di comportamenti virtuosi che vanno oltre il mero rispetto delle prescrizioni normative.

L’impegno alla tutela della privacy

Alla tutela dei dati personali è dedicato uno specifico paragrafo del Codice Etico (Sez. III, par. 4.2). Il Codice Etico ha valore contrattuale verso i dipendenti, per cui eventuali violazioni devono comportare l’avvio di un procedimento disciplinare ai sensi del contratto collettivo nazionale di lavoro.

Per quanto concerne la supply chain, Italgas ha adottato uno specifico “Codice Etico dei Fornitori Italgas”, che include un paragrafo dedicato alla tutela dalla privacy (par. 4.5); inoltre è prevista la stipulazione di un Patto Etico e di uno specifico “Contratto per il Trattamento dei Dati Personali”, che include le istruzioni per il trattamento e la cui violazione è soggetta all’applicazione di rimedi contrattuali.

Modello Organizzativo Data Protection

In occasione dell’entrata in forza del Regolamento (UE) 2016/679 – GDPR, nel maggio 2018, il Gruppo Italgas ha rivisitato e aggiornato il proprio sistema di Governance dei dati personali, definendo un Modello Organizzativo Data Protection ispirato ai requisiti del Regolamento (UE) 2016/679 – GDPR e uno Standard di Compliance in materia di data protection volto a declinare i principi applicabili al trattamento e a formalizzare ruoli e responsabilità nell’ambito della struttura organizzativa aziendale per garantire il corretto trattamento delle informazioni relative agli interessati. Tale Standard, applicabile a tutte le società del Gruppo Italgas, è scaricabile dal link presente in fondo a questa pagina.

Il Modello Organizzativo Data Protection è integrato nel presidio dei rischi del Gruppo Italgas

Il Modello Organizzativo Data Protection è integrato nel Sistema di controllo interno e gestione dei rischi del Gruppo Italgas. Esso testimonia l’impegno del Gruppo Italgas per la tutela dei diritti e delle libertà fondamentali degli interessati (siano dipendenti, fornitori, clienti finali, potenziali clienti o altri). Il Sistema di controllo interno e gestione dei rischi in tutte le sue componenti (es.: attività di controllo, monitoraggio, verifiche, sistema sanzionatorio e disciplinare) include le attività che trattano dati personali e concorre pertanto ad assicurarne la conformità alla normativa di legge e agli standard aziendali.

Tutti i potenziali rischi per i diritti e le libertà fondamentali dell’interessato che possono derivare dal trattamento dei dati personali sono valutati oggettivamente, al fine di determinare il livello di rischio che ogni operazione di trattamento dei dati comporta e definire appropriate misure di mitigazione. Il Data Protection Officer e il Team per la protezione dei dati, che comprende persone con competenze legali, organizzative, ICT e di sicurezza, supportano i manager durante tutto il processo di valutazione del rischio e gestione della compliance. Inoltre, la funzione Enterprise Risk Management (ERM) coordina il processo di monitoraggio dei rischi a livello di gruppo, inclusi i rischi potenziali specifici legati al rispetto delle normative sulla privacy sollevate dai risk owner.

Nell’ottica di garantire un’adeguata gestione dei rischi connessi al trattamento dei dati personali, sia per quanto concerne i rischi di business, che quelli per i diritti e le libertà fondamentali degli interessati, oltre che la compliance con le disposizioni del Regolamento europeo per la protezione dei dati (Regolamento (UE) 2016/679 – GDPR) e della normativa nazionale (D.lgs. n. 196/2003 e s.m.i.), il Gruppo Italgas ha definito, applica e mantiene aggiornate appropriate misure per assicurare un adeguato livello di sicurezza. Queste comprendono sia misure di natura organizzativa che misure tecniche idonee a prevenire la perdita, la modifica, l’indisponibilità, l’accesso e l’uso non autorizzato di dati personali.

Sistema Normativo e Gestione Data Breach

Il sistema organizzativo e normativo aziendale definisce regole e processi e ne garantisce l’implementazione e la tracciabilità in accordo con il principio di accountability. Negli standard applicabili a livello di Gruppo sono recepiti e tenuti aggiornati i presidi di controllo e mitigazione dei rischi relativi al trattamento di dati personali, incluso l’ambito dei rapporti con i fornitori, in un’ottica di miglioramento continuo del proprio sistema di gestione della privacy.

Tutti i dipendenti ricevono le istruzioni per il trattamento dei dati personali, in base alla propria funzione e al contesto in cui si trovano ad operare, e sono informati degli strumenti da utilizzare per la segnalazione di eventuali data breach.

Il Gruppo Italgas si è dotato di uno Standard di Compliance dedicato specificamente alla gestione di Data Breach, anch’esso scaricabile dal link presente in fondo a questa pagina.

Il Gruppo Italgas si è dotato altresì di un “Manuale Data Protection”, con l’obiettivo di fornire indicazioni chiare e puntuali di tipo operativo, sulla base di quanto definito nel Regolamento (UE) 2016/679 – GDPR e secondo gli orientamenti definiti dall’Autorità di controllo italiana e dal Comitato dei garanti Europei (EDPB). Il contenuto del documento si articola nelle sezioni dedicate ai processi di:

  • Privacy by Design e Privacy by Default, ossia protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita;
  • Analisi dei rischi e Valutazione di Impatto;
  • Gestione dei diritti degli interessati.

Il mancato rispetto della normativa aziendale in materia di protezione dei dati personali comporta l’apertura di un procedimento disciplinare.

Data Protection Officer

Sin dal maggio 2018 Italgas S.p.A. ha individuato il Responsabile della Protezione dei Dati, conosciuto anche come “Data Protection Officer” (DPO). In data 24 febbraio 2021, il Consiglio di Amministrazione di Italgas S.p.A. (Società Capogruppo) ha designato il Dr. Luca Lazzeri quale Responsabile della Protezione dei Dati. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti assegnatigli. I dati di contatto del responsabile della protezione dei dati sono stati comunicati all’Autorità garante.

Il DPO, quale punto di riferimento per gli interessati e punto di contatto per l’autorità di controllo può essere contattato al seguente indirizzo e-mail: dpo.gdpr@italgas.it.

Le responsabilità di DPO di tutte le società del Gruppo sono allocate nell’ambito della funzione Internal Audit di Italgas S.p.A., nella unità DPO – Data Protection Officer. Tale collocazione consente al DPO di adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse, nonché di realizzare sinergie e assicurare un forte presidio sui temi della protezione dei dati personali.

Di rilievo inoltre la sinergia realizzata in termini di rafforzamento del presidio sui temi della protezione dei dati personali, attraverso l’allocazione nell’ambito della funzione Internal Audit di Italgas S.p.A., dell’unità DPO – Data Protection Officer, nella quale sono allocate le responsabilità di DPO di tutte le società del Gruppo.

Tale collocazione consente al DPO di adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse.

Team Data Protection

Il Team Data Protection, che include esperti in ambito legale, informatico, organizzativo e di security, assiste e supporta tutte le persone del Gruppo Italgas coinvolte in attività di trattamento in occasione di cambiamenti dei processi rilevanti in materia di data protection, ed in particolare nelle attività legate all’innovazione (es. Digital Factory), al fine di assicurare lo sviluppo di nuove applicazioni e nuovi servizi in un’ottica di data protection by design e by default.

Attività dell’anno 2021

Le principali attività svolte nel corso del 2021 sono:

  • Aggiornamento annuale del registro delle attività di trattamento, effettuato dai Responsabili dei Dati con il supporto del Team Data Protection.
  • Predisposizione e aggiornamento di informative sul trattamento di dati personali.
  • Aggiornamento dello Standard di Compliance “Data Protection”, al fine di includervi le conseguenze di comportamenti non conformi alla disciplina in materia di Data Protection.
  • Gestione delle richieste di esercizio dei diritti da parte di interessati.
  • Con riferimento all’emergenza Covid-19, sono state mantenute aggiornate, in un contesto caratterizzato da un mutevole quadro normativo e con il costante coinvolgimento del DPO, le misure organizzative e di sicurezza atte ad assicurare la protezione dei dati personali, nonché della sfera personale degli interessati, attraverso l’aggiornamento dei protocolli Covid-19 e lo sviluppo di applicativi dedicati.
  • Aggiornamento dell’analisi dei rischi legati ai trattamenti di dati personali e valutazione del livello di rischio, con riguardo alla necessità di effettuare/aggiornare le Valutazioni d’impatto per la protezione dei dati (DPIA).
  • Attività di formazione e informazione verso il personale, anche attraverso l’utilizzo di piattaforme web.
  • Effettuazione, in ogni intervento di Internal Audit, di un “Test GDPR” dedicato alla verifica dell’efficacia delle misure di mitigazione dei rischi legati al trattamento dei dati personali, nonché della conformità alla normativa in materia di protezione dei dati personali, come previsto dalla “Guida operativa alle attività di audit – sez. 2”.

Con riferimento a tutte le società del Gruppo Italgas, nel triennio 2019-2021:

  • Non sono pervenute segnalazioni di data breach.
  • Non sono pervenuti reclami fondati relativi a violazioni di dati personali.
  • Non sono pervenute richieste di alcun tipo dall’Autorità garante.
  • Non sono state applicate sanzioni con riferimento a violazioni della normativa in materia di protezione dei dati personali.

Nel 2021 il processo adottato dal Gruppo Italgas per la gestione delle richieste di esercizio dei diritti da parte degli interessati è stato assoggettato ad audit di terza parte; l’audit non ha evidenziato alcun gap rilevante.

I dati personali non vengono utilizzati per finalità diverse da quella principale per cui sono stati raccolti in alcun caso. In particolare, nel 2021 i dati dei clienti finali non sono stati utilizzati per finalità diverse da quella principale.

Informativa sul trattamento dei dati personali

Nella pagina della Privacy policy è presente l’informativa al trattamento dei dati raccolti durante la consultazione del sito www.italgas.it in conformità agli artt. 13 e 14 del Regolamento (UE) 2016/679 – GDPR e la Cookie Policy. L’informativa è resa solo per il dominio sopraindicato e non anche per altri siti web eventualmente consultati dall’utente tramite link ad altri domini.

Diritti dell’interessato

Gli interessati, inclusi i clienti, possono esercitare i diritti previsti dal Regolamento (UE) 2016/679 – GDPR (artt. 15 e ss.), inclusi:

  • di revocare il consenso, ove prestato, senza pregiudizio per la liceità del trattamento basata sul consenso prestato prima della revoca (rilascio e revoca del consenso, quando il trattamento è basato sul consenso);
  • di richiedere l’accesso ai dati personali che li riguardano detenuti dalla società (diritto di accesso);
  • di ottenere la correzione o la cancellazione dei propri dati personali (diritto di rettifica e di cancellazione)
  • di ottenere la limitazione del trattamento che li riguarda o di opporsi al trattamento (diritto di limitazione e di opposizione);
  • di ricevere copia dei dati personali che li riguardano in formato strutturato, di uso comune e leggibile da dispositivo automatico, e di ottenere il trasferimento diretto dei dati personali da un fornitore di servizi all’altro, se tecnicamente fattibile (diritto alla portabilità dei dati).

Per esercitare i propri diritti l’interessato può rivolgersi al Responsabile della protezione dei dati (DPO) inviando un’e-mail a dpo.gdpr@italgas.it.

Ultimo aggiornamento: