Tutela della Privacy

Alla tutela dei dati personali è dedicato uno specifico paragrafo del Codice Etico (Sez. III, par. 4.2). Inoltre, il Codice Etico sottolinea l’importanza della formazione e sensibilizzazione dei dipendenti (Sez. II, par. 6.2) e della protezione e risposta agli incidenti di sicurezza (Sez. II, par. 6.4). Il Codice Etico ha valore contrattuale verso i dipendenti, per cui eventuali violazioni devono comportare l’avvio di un procedimento disciplinare ai sensi del contratto collettivo nazionale di lavoro.

Tutte le società del Gruppo Italgas, in Italia e in Grecia, hanno adottato il Codice Etico.

Per quanto concerne la supply chain, Italgas ha adottato uno specifico “Codice Etico dei Fornitori Italgas”, che include un paragrafo dedicato alla tutela dalla privacy e alla sicurezza delle informazioni (par. 4.5).

L’impegno alla tutela della privacy si applica pertanto a tutte le attività, comprese quelle delle società greche del Gruppo, ed ai fornitori.

Il Gruppo Italgas ha definito il proprio sistema di Governance dei dati personali, dotandosi di un Modello Organizzativo Data Protection, articolato in tre ambiti (Governo, Attuazione e Gestione, Sorveglianza) ed ispirato ai requisiti del Regolamento (UE) 2016/679 – GDPR, e di uno Standard di Compliance in materia di data protection. Quest’ultimo è volto a declinare i principi applicabili al trattamento e a formalizzare ruoli e responsabilità nell’ambito della struttura organizzativa aziendale, per garantire il corretto trattamento delle informazioni relative agli interessati.

Il Modello Organizzativo Data Protection esprime l’impegno di Italgas per una governance etica dei dati.

2.1 Integrazione del Modello Organizzativo nel presidio dei rischi del Gruppo Italgas

Il Modello Organizzativo Data Protection è integrato nel Sistema di controllo interno e gestione dei rischi del Gruppo Italgas. Esso testimonia l’impegno del Gruppo Italgas per la tutela dei diritti e delle libertà fondamentali degli interessati (siano dipendenti, fornitori, clienti finali, potenziali clienti o altri). Il Sistema di controllo interno e gestione dei rischi in tutte le sue componenti (es.: attività di controllo, monitoraggio, reporting, sistema sanzionatorio e disciplinare) include le attività che trattano dati personali e concorre pertanto ad assicurarne la conformità alla normativa di legge e agli standard aziendali.

Tutti i potenziali rischi per i diritti e le libertà fondamentali dell’interessato che possono derivare dal trattamento dei dati personali sono valutati oggettivamente, al fine di determinare il livello di rischio che ogni operazione di trattamento dei dati comporta e definire appropriate misure di mitigazione. Il Data Protection Officer e il Team per la protezione dei dati, che comprende persone con competenze legali, organizzative, ICT e di sicurezza, supportano i manager durante tutto il processo di valutazione del rischio e gestione della compliance. Inoltre, la funzione Enterprise Risk Management (ERM) coordina il processo di monitoraggio dei rischi a livello di gruppo, inclusi i rischi potenziali specifici legati al rispetto delle normative sulla privacy individuati dai risk owner.

Nell’ottica di garantire un’adeguata gestione dei rischi connessi al trattamento dei dati personali, sia per quanto concerne i rischi di business, che quelli per i diritti e le libertà fondamentali degli interessati, oltre che la compliance con le disposizioni del Regolamento europeo per la protezione dei dati (Regolamento (UE) 2016/679 – GDPR) e della normativa nazionale (in Italia D.lgs. n. 196/2003 e s.m.i., in Grecia legge 4624/2019), il Gruppo Italgas ha definito, applica e mantiene aggiornate appropriate misure per assicurare un adeguato livello di sicurezza del trattamento. Queste comprendono sia misure di natura organizzativa che misure tecniche idonee a prevenire la perdita, la modifica, l’indisponibilità, l’accesso e l’uso non autorizzato di dati personali.

2.2 Sistema Organizzativo e Normativo

Il sistema organizzativo e normativo aziendale definisce regole e processi e ne garantisce l’implementazione e la tracciabilità in accordo con il principio di accountability. Negli standard applicabili a livello di Gruppo sono recepiti e tenuti aggiornati i presidi di controllo e mitigazione dei rischi relativi al trattamento di dati personali, incluso l’ambito dei rapporti con i fornitori, in un’ottica di miglioramento continuo del proprio sistema di gestione della privacy.

Tutti i dipendenti ricevono le istruzioni per il trattamento dei dati personali, in base alla propria funzione e al contesto in cui si trovano ad operare, e sono formati per riconoscere eventuali data breach e su modalità e strumenti da utilizzare per segnalarli.

Elemento essenziale del Modello Organizzativo di Italgas è lo standard di compliance Data Protection, aggiornato da ultimo il 30 giugno 2021, che descrive i punti chiave del Modello, individua le figure chiave dell’organigramma privacy, delinea ruoli e responsabilità in coerenza con le raccomandazioni e le best practice del Comitato Europeo per la Protezione dei Dati e con i provvedimenti del Garante per la protezione dei dati personali. Inoltre, esso prevede le conseguenze di comportamenti non conformi alle norme sulla protezione dei dati. Lo standard di compliance Data Protection è scaricabile dal link presente in fondo a questa pagina.

Il Gruppo Italgas si è dotato di uno Standard di Compliance dedicato specificamente alla gestione di Data Breach, aggiornato nel marzo 2024, anch’esso scaricabile dal link presente in fondo a questa pagina.

Il Gruppo Italgas si è dotato altresì di un “Manuale Data Protection”, con l’obiettivo di fornire indicazioni chiare e puntuali di tipo operativo, sulla base di quanto definito nel Regolamento (UE) 2016/679 – GDPR e secondo gli orientamenti definiti dall’Autorità di controllo italiana e dal Comitato dei garanti Europei (EDPB). Il contenuto del documento si articola nelle sezioni dedicate ai processi di:

• Privacy by Design e Privacy by Default, ossia protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita;
• Analisi dei rischi e Valutazione di Impatto;
• Gestione dei diritti degli interessati;
• Gestione delle persone autorizzate al trattamento.

Il mancato rispetto delle regole in materia di protezione dei dati personali costituisce anche una violazione del Codice Etico e della normativa aziendale e, come previsto dallo standard Data protection, comporta l’apertura di un provvedimento disciplinare.

Le società greche enaon e enaon EDA hanno anch’esse adottato un Modello Organizzativo Data Protection coerente con i principi che hanno ispirato il Modello Data Protection di Italgas, seppur disegnato sulle proprie esigenze specifiche e sulla propria struttura organizzativa, compreso lo standard di compliance Data Protection e quello per la gestione dei data breach; sono altresì in corso di adozione procedure relative in merito alla privacy by design e privacy by default, l’analisi dei rischi e la valutazione d’impatto e la gestione dei diritti degli interessati.

2.3 Data Protection Officer

Ciascuna società del Gruppo Italgas, mediante delibera del Consiglio di Amministrazione, ha designato il Responsabile della Protezione dei Dati, conosciuto anche come “Data Protection Officer” (DPO). Il responsabile della protezione dei dati è individuato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti assegnatigli. I dati di contatto del responsabile della protezione dei dati sono stati comunicati all’Autorità di controllo.

Il DPO, quale punto di riferimento per gli interessati e punto di contatto per l’autorità di controllo può essere contattato al seguente indirizzo e-mail: dpo.gdpr@italgas.it per le società italiane e dpo.gdpr@ena-on.gr per le società greche del Gruppo. I dipendenti, i clienti e tutti gli interessati possono rivolgersi al DPO per qualsiasi questione inerente alla privacy.

Le responsabilità di DPO di tutte le società italiane del Gruppo sono allocate nell’ambito della funzione Internal Audit di Italgas S.p.A. Tale collocazione consente al DPO di adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse, nonché di realizzare sinergie e assicurare un forte presidio sui temi della protezione dei dati personali.

Anche le società greche enaon e enaon EDA hanno designato il proprio DPO, in conformità con quanto previsto dal Regolamento (UE) 2016/679 – GDPR. Inoltre, in accordo con la normativa greca, hanno designato un Chief Information Security Officer (CISO).

2.4 Articolazione di compiti e funzioni in ambito data protection

In accordo al Modello Organizzativo Data protection sono individuati, nell’ambito dell’assetto organizzativo di ogni società del Gruppo Italgas, ruoli e responsabilità in materia di trattamento dei dati personali, ed in particolare:

• Responsabile dell’Osservanza: ha il compito di garantire che i trattamenti siano svolti in conformità con il Regolamento (UE) 2016/679 – GDPR e con la vigente normativa in materia di protezione dei dati personali, nonché individuare figure aziendali cui attribuisce specifiche deleghe in materia.
• Responsabili dei Dati: persone preposte alla conduzione delle strutture organizzative aziendali coinvolte nelle operazioni di trattamento. Hanno il compito di supervisionare lo svolgimento delle operazioni di trattamento.

Inoltre, è istituito il Team Data Protection, che include esperti in ambito legale, informatico, organizzativo e di security, assiste e supporta tutte le persone del Gruppo Italgas coinvolte in attività di trattamento in occasione di cambiamenti dei processi rilevanti in materia di data protection, ed in particolare nelle attività legate all’innovazione (es. Digital Factory), al fine di assicurare lo sviluppo di nuove applicazioni e nuovi servizi in un’ottica di data protection by design e by default.

2.5 Catena di fornitura

I Fornitori devono rispettare il “Codice Etico dei Fornitori Italgas” che include un paragrafo sulla tutela della privacy (par. 4.5). Inoltre, i fornitori sono tenuti a sottoscrivere un Accordo Etico e uno specifico “Accordo sul Trattamento dei Dati Personali” (DPA), conforme a quanto previsto dal GDPR, che ne prevede la designazione quali responsabili del trattamento ed include istruzioni sul trattamento, la cui violazione comporta l’applicazione di rimedi contrattuali.

Ciascun DPA delinea gli obblighi specifici dei responsabili del trattamento nel trattamento dei dati personali, garantendo che essi:

• trattino i dati esclusivamente per gli scopi concordati e in conformità alle istruzioni aziendali e al contratto
• attuino misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio
• garantiscano che il personale che accede ai dati sia soggetto ad obblighi di riservatezza
• assistano la società nell’adempimento degli obblighi di risposta alle richieste di esercizio dei diritti degli interessati
• assistano la società nel garantire il rispetto degli obblighi in materia di sicurezza del trattamento, notifica di violazioni dei dati personali e valutazioni di impatto sulla protezione dei dati
• si sottopongano a verifiche e ispezioni
• alla cessazione del DPA, cancellino o restituiscano tutti i dati personali alla società, se non diversamente previsto dalla legge.

Secondo quanto previsto dall’”Accordo sul Trattamento dei Dati Personali”, il fornitore si impegna a manlevare integralmente, tenere indenne e risarcire Italgas per qualsiasi danno subito da quest’ultima a seguito di un inadempimento ad egli imputabile (e/o ai suoi dipendenti, collaboratori, subappaltatori se autorizzati e nominati). Inoltre, Italgas avrà il diritto di risolvere il Contratto in caso di violazione delle disposizioni dell’”Accordo sul Trattamento dei Dati Personali”.

Secondo l’art. 4 del Regolamento (UE) 2016/679 – GDPR, un “dato personale” è “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Nel rispetto dei principi di liceità, correttezza e trasparenza, prima di trattare dati personali di un Interessato è necessario informarlo circa le principali caratteristiche del trattamento.

3.1 Contenuto delle informative

Tutte le società del Gruppo Italgas, in qualità di Titolari del trattamento, forniscono agli Interessati le informazioni sul trattamento dei dati personali attraverso informative privacy, nel rispetto degli articoli 13 e 14 del Regolamento (UE) 2016/679 – GDPR. Le informative sulla privacy comprendono, tra l’altro:

• tipo di dati personali, finalità e base giuridica del trattamento (incluse natura delle informazioni e finalità del loro utilizzo)
• modalità del trattamento e natura del conferimento
• informazioni circa la conservazione dei dati (per quanto tempo vengono conservate le informazioni)
• informazioni circa la comunicazione, diffusione e trasferimento dei dati vs. soggetti privati e pubblici, e se presente, circa l’eventuale trasferimento verso Paesi terzi
• diritti dell’interessato (possibilità di decidere come i dati personali vengono raccolti, utilizzati, conservati e trattati, nonché di proporre reclamo all’autorità di controllo)
• dati di contatto del Titolare e del Responsabile della protezione dei dati
• data dell’ultimo aggiornamento dell’informativa.

3.2 Uso dei dati personali per finalità secondarie

I dati personali non vengono utilizzati per finalità diverse da quella principale per cui sono stati raccolti in alcun caso. In particolare, nel 2023, così come nel biennio precedente, i dati dei clienti finali non sono stati utilizzati per finalità diverse da quella principale.

3.3 Diritti dell’interessato

Gli interessati, inclusi i clienti, possono esercitare i diritti previsti dal Regolamento (UE) 2016/679 – GDPR (artt. 15-22 e 77), inclusi quelli:

• di revocare il consenso in qualsiasi momento, ove prestato, senza pregiudizio per la liceità del trattamento basata sul consenso prestato prima della revoca (rilascio e revoca del consenso, quando il trattamento è basato sul consenso);
• di richiedere l’accesso ai dati personali che li riguardano detenuti dalla società (diritto di accesso);
• di ottenere la correzione o la cancellazione dei propri dati personali (diritto di rettifica e di cancellazione)
• di ottenere la limitazione del trattamento che li riguarda o di opporsi al trattamento (diritto di limitazione e di opposizione);
• di ricevere copia dei dati personali che li riguardano in formato strutturato, di uso comune e leggibile da dispositivo automatico, e di ottenere il trasferimento diretto dei dati personali da un fornitore di servizi all’altro, se tecnicamente fattibile (diritto alla portabilità dei dati).

Per esercitare i propri diritti gli interessati possono rivolgersi al Responsabile della protezione dei dati (DPO) inviando una e-mail a dpo.gdpr@italgas.it (per l’Italia) o dpo.gdpr@ena-on.gr (per la Grecia). I recapiti del DPO sono riportati in tutte le informative privacy.

Inoltre, gli interessati hanno il diritto di proporre reclamo all’autorità di controllo qualora ritengano che il trattamento dei dati personali che li riguarda violi il Regolamento (UE) 2016/679 – GDPR.

Italgas effettua attività di audit interno e si sottopone ad audit di terza parte per verificare il grado di adeguatezza del proprio Modello Organizzativo Data Protection in termini di compliance alla normativa applicabile.

Questa attività viene svolta attraverso:

1. audit di terza parte, commissionati a una società esterna specializzata in materia (nel 2023, a EY Advisory S.p.A.)
2. Attività di Internal Audit
3. altre attività di sorveglianza, promosse direttamente dal DPO.

In ogni report di Internal Audit è incluso un “focus GDPR”, dedicato alla verifica dell’efficacia delle misure di mitigazione del rischio relative al trattamento dei dati personali, nonché del rispetto della normativa in materia di protezione dei dati personali. Nell’ambito delle attività di Internal Audit vengono effettuate verifiche a campione anche sui fornitori che trattano dati personali per conto di Italgas (responsabili del trattamento). Il DPO è sempre coinvolto nella realizzazione del focus GDPR.

Le informazioni sui risultati delle attività di audit svolte nel 2023 sono riportate nel paragrafo “Attività dell’anno 2023”.

5.1 Principali attività svolte nel corso dell’anno

• Introduzione di una nuova sezione del Manuale Data protection, dedicata alla gestione delle persone autorizzate al trattamento di dati personali, recante modalità operative per la loro individuazione ed istruzione.
• Aggiornamento annuale del registro delle attività di trattamento, effettuato dai Responsabili dei Dati con il supporto del DPO e del Team Data Protection.
• Predisposizione e aggiornamento di informative sul trattamento di dati personali.
• Gestione delle richieste di esercizio dei diritti da parte di interessati, nei termini previsti dalla normativa.
• Formalizzazione di un documento recante indicazioni per la corretta applicazione delle Linee Guida del Garante in materia di cookie di giugno 2021.
• Aggiornamento dell’analisi dei rischi legati ai trattamenti di dati personali e valutazione per ciascuno del livello di rischio, anche con riguardo alla necessità di effettuare/aggiornare le Valutazioni d’impatto per la protezione dei dati (DPIA).
• Aggiornamento di tutte le Valutazioni di impatto relative ai trattamenti che possono presentare un rischio elevato. Il DPO ne ha sorvegliato lo svolgimento ed ha rilasciato per ciascuna il proprio parere.
• Attività di formazione e informazione verso il personale, anche attraverso l’utilizzo di piattaforme web. Nel 2023 è stato progettato e lanciato un nuovo corso in modalità e-learning, specificamente dedicato alle persone autorizzate al trattamento.
• Analisi di potenziali soluzioni tecnologiche aventi un impatto data protection, in particolare con riferimento ad applicazioni di IA per migliorare la sicurezza sul lavoro e per incrementare la produttività.
• Attività finalizzate all’adozione, da parte delle società greche del Gruppo enaon e enaon EDA, di un Modello Organizzativo Data Protection coerente con i principi che hanno ispirato quello di Italgas, seppur disegnato sulle proprie esigenze specifiche e sulla propria struttura organizzativa.

Nel 2023 il Team Data Protection si è riunito in n. 44 occasioni.

5.2 Attività di audit e sorveglianza

Anche nel 2023 il Gruppo si è sottoposto ad audit di terza parte, condotto da EY Advisory S.p.A. e relativo al processo adottato dalle Società del Gruppo per la stipula di contratti con i fornitori, con riguardo agli aspetti di protezione dei dati personali. L’audit è stato esteso a tutte le società italiane del Gruppo, da esso non sono emersi gap significativi.

Al fine di verificare l’implementazione e l’efficacia del Modello Organizzativo Data Protection e delle politiche adottate in materia di privacy, anche nel 2023 il Gruppo Italgas, nell’ambito delle attività di Internal Audit, ha dedicato una specifica attenzione ai temi privacy. In ogni intervento di Internal Audit è stato effettuato un “Test GDPR” dedicato alla verifica dell’efficacia delle misure di mitigazione dei rischi legati al trattamento dei dati personali, nonché della conformità alla normativa in materia di protezione dei dati personali. Le risultanze sono riportate nei report di Internal audit.

Inoltre, il DPO ha esplicato la propria attività di sorveglianza con riferimento a processi e metodologie a garanzia della conformità data protection, liceità dei trattamenti, aggiornamento dell’analisi dei rischi e applicazione delle relative misure di sicurezza, verifica della corretta gestione dei cookie sui siti internet e sui portali del Gruppo, nonché allo svolgimento delle Valutazioni di impatto.

5.3 Comunicazioni e sanzioni

Con riferimento a tutte le società del Gruppo Italgas, nel triennio 2021-2023:

• non sono pervenute segnalazioni di data breach
• non sono pervenuti reclami fondati relativi a violazioni di dati personali
• non sono pervenute richieste di alcun tipo dall’Autorità garante
• non sono state applicate sanzioni con riferimento a violazioni della normativa in materia di protezione dei dati personali.

Nel 2023 l’Autorità garante ha comunicato ad Italgas Reti S.p.A. di aver aperto un procedimento a seguito di un reclamo, e di averlo archiviato a valle di un’autonoma analisi degli atti e della documentazione pervenutagli.