Tutela della Privacy

Tutela della Privacy

Italgas riconosce che la corretta gestione dei dati personali rappresenta un valore di fondamentale importanza e intende quindi prestare la massima attenzione alla tutela dei dati personali raccolti e trattati nell’ambito dell’attività d’impresa.

L’approccio del Gruppo Italgas alla materia della protezione dei dati personali, in linea con i principi della Responsabilità Sociale d’Impresa, prevede l’adozione volontaria di comportamenti virtuosi che vanno oltre il mero rispetto delle prescrizioni normative.

L’impegno alla tutela della privacy

Alla tutela dei dati personali è dedicato uno specifico paragrafo del Codice Etico (Sez. III, par. 4.2). Il Codice Etico ha valore contrattuale verso i dipendenti, per cui eventuali violazioni devono comportare l’avvio di un procedimento disciplinare ai sensi del contratto collettivo nazionale di lavoro.

Per quanto concerne la supply chain, Italgas ha adottato uno specifico “Codice Etico dei Fornitori Italgas”, che include un paragrafo dedicato alla tutela dalla privacy (par. 4.5); inoltre è prevista la stipulazione di un Patto Etico e di uno specifico “Contratto per il Trattamento dei Dati Personali”, che include le istruzioni per il trattamento e la cui violazione è soggetta all’applicazione di rimedi contrattuali.

Modello Organizzativo Data Protection

In occasione dell’entrata in forza del Regolamento (UE) 2016/679 – GDPR, nel maggio 2018, il Gruppo Italgas ha rivisitato e aggiornato il proprio sistema di Governance dei dati personali, definendo un Modello Organizzativo Data Protection ispirato ai requisiti del Regolamento e uno Standard di Compliance in materia di data protection volto a declinare i principi applicabili al trattamento e a formalizzare ruoli e responsabilità nell’ambito della struttura organizzativa aziendale per garantire il corretto trattamento delle informazioni relative agli interessati. Tale Standard, applicabile a tutte le società del Gruppo Italgas, è scaricabile dal link presente in fondo a questa pagina.

Il Modello Organizzativo Data Protection è integrato nel presidio dei rischi del Gruppo Italgas

Il Modello Organizzativo Data Protection è integrato nel Sistema di controllo interno e gestione dei rischi del Gruppo Italgas. Esso testimonia l’impegno che del Gruppo Italgas per la tutela dei diritti e delle libertà fondamentali degli interessati (siano dipendenti, fornitori, clienti finali, potenziali clienti o altri). Il Sistema di controllo interno e gestione dei rischi in tutte le sue componenti (es.: attività di controllo, monitoraggio, verifiche, sistema sanzionatorio e disciplinare) include le attività che trattano dati personali e concorre pertanto ad assicurarne la conformità alla normativa di legge e agli standard aziendali.

Tutti i potenziali rischi per i diritti e le libertà fondamentali dell’interessato che possono derivare dal trattamento dei dati personali sono valutati oggettivamente, al fine di determinare il livello di rischio che ogni operazione di trattamento dei dati comporta e definire appropriate misure di mitigazione. Il DPO e il Team per la protezione dei dati, che comprende persone con competenze legali, organizzative, ICT e di sicurezza, supportano i manager durante tutto il processo di valutazione del rischio e gestione della compliance. Inoltre, la funzione Enterprise Risk Management (ERM) coordina il processo di monitoraggio dei rischi a livello di gruppo, inclusi i rischi potenziali specifici legati al rispetto delle normative sulla privacy sollevate dai risk owner.

Nell’ottica di garantire un’adeguata gestione dei rischi connessi al trattamento dei dati personali, sia per quanto concerne i rischi di business, che quelli per i diritti e le libertà fondamentali degli interessati, oltre che la compliance con le disposizioni del Regolamento europeo per la protezione dei dati (Regolamento (UE) 2016/679 – GDPR) e della normativa nazionale (D.lgs. n. 196/2003 e s.m.i.), il Gruppo Italgas ha definito, applica e mantiene aggiornate appropriate misure per assicurare un adeguato livello di sicurezza. Queste comprendono sia misure di natura organizzativa che misure tecniche idonee a prevenire la perdita, la modifica, l’indisponibilità, l’accesso e l’uso non autorizzato di dati personali.

Sistema Normativo e Gestione Data Breach

Il sistema organizzativo e normativo aziendale definisce regole e processi e ne garantisce l’implementazione e la tracciabilità in accordo con il principio di accountability. Negli standard applicabili a livello di Gruppo sono recepiti e tenuti aggiornati i presidi di controllo e mitigazione dei rischi relativi al trattamento di dati personali, incluso l’ambito dei rapporti con i fornitori, in un’ottica di miglioramento continuo del proprio sistema di gestione della privacy.

Tutti i dipendenti ricevono le istruzioni per il trattamento dei dati personali, in base alla propria funzione e al contesto in cui si trovano ad operare, e sono informati degli strumenti da utilizzare per la segnalazione di eventuali data breach.

Il Gruppo Italgas si è dotato di uno Standard di Compliance dedicato specificamente alla gestione di Data Breach, anch’esso scaricabile dal link presente in fondo a questa pagina.

Il mancato rispetto della normativa aziendale in materia di protezione dei dati personali comporta l’apertura di un procedimento disciplinare.

Data Protection Officer

In data 24 febbraio 2021, il Consiglio di Amministrazione di Italgas S.p.A. (Società Capogruppo) ha designato il Dr. Luca Lazzeri quale Responsabile della Protezione dei Dati, conosciuto anche come “Data Protection Officer” (DPO) per Italgas S.p.A.

Il DPO, quale punto di riferimento per gli interessati e punto di contatto per l’autorità di controllo può essere contattato al seguente indirizzo e-mail: dpo.gdpr@italgas.it.

Team Data Protection

Il Team Data Protection, che include esperti in ambito legale, informatico, organizzativo e di security, assiste e supporta tutte le persone del Gruppo Italgas coinvolte in attività di trattamento in occasione di cambiamenti dei processi rilevanti in materia di data protection, ed in particolare nelle attività legate all’innovazione (es. Digital Factory), al fine di assicurare lo sviluppo di nuove applicazioni e nuovi servizi in un’ottica di data protection by design e by default.

Attività dell’anno 2020

Le principali attività svolte nel corso del 2020 sono:

  • Aggiornamento annuale del registro delle attività di trattamento, effettuato dai Responsabili dei Dati con il supporto del Team Data Protection.
  • Predisposizione e aggiornamento di informative sul trattamento di dati personali.
  • Gestione delle richieste di esercizio dei diritti da parte di interessati.
  • Con riferimento all’emergenza Covid-19, sono state adottate appropriate misure organizzative e di sicurezza atte ad assicurare la protezione dei dati personali, nonché della sfera personale degli interessati, attraverso l’adozione di specifici protocolli.
  • Aggiornamento dei format contrattuali in materia di data protection, già adottati nel 2018, da inserire nei contratti con i fornitori, designati responsabili del trattamento.
  • Predisposizione e aggiornamento di Valutazioni d’impatto per la protezione dei dati (DPIA).
  • Attività di formazione e informazione verso il personale, anche attraverso l’utilizzo di piattaforme web.
  • Attività di sensibilizzazione in materia di phishing attraverso l’invio di email a tutti i dipendenti, simulando un attacco phishing.
  • Aggiornamento della “Guida operativa alle attività di audit – sez. 2”, approvata a dicembre 2020 ed in vigore dal 1 gennaio 2021, prevedendo che, in ogni intervento di Internal Audit, venga effettuato un “Test GDPR” dedicato alla verifica dell’efficacia delle misure di mitigazione dei rischi legati al trattamento dei dati personali, nonché della conformità alla normativa in materia di protezione dei dati personali.

Di rilievo inoltre il rafforzamento del presidio sui temi della protezione dei dati personali, attraverso la creazione il 1 novembre 2020, nell’ambito della funzione Internal Audit di Italgas S.p.A., dell’unità DPO – Data Protection Officer, nella quale saranno allocate le responsabilità di DPO di tutte le società del Gruppo.

Con riferimento a tutte le società del Gruppo Italgas, nel 2020:

  • Non sono pervenute segnalazioni di data breach.
  • Non sono pervenuti reclami fondati relativi a violazioni di dati personali.
  • Non sono pervenute richieste di alcun tipo dall’Autorità garante.
  • Non sono state applicate sanzioni con riferimento a violazioni della normativa in materia di protezione dei dati personali.

Nel 2020 i dati dei clienti/clienti finali sono stati utilizzati per finalità diverse da quella principale per cui sono stati raccolti solo per presentare offerte di fornitura di servizi ad alcuni clienti di Gaxa S.p.A.. A livello di Gruppo, la percentuale di dati dei clienti/clienti finali utilizzati per finalità diverse da quella principale per cui sono stati raccolti è inferiore allo 0,1%.

Informativa sul trattamento dei dati personali

Nella pagina della Privacy policy è presente l’informativa al trattamento dei dati raccolti durante la consultazione del sito www.italgas.it in conformità agli artt. 13 e 14 del Regolamento e la Cookie Policy. L’informativa è resa solo per il dominio sopraindicato e non anche per altri siti web eventualmente consultati dall’utente tramite link ad altri domini.

Ultimo aggiornamento: