Il gruppo Italgas opera sulla base di un Sistema di Gestione Aziendale, composto da un Sistema Organizzativo e un Sistema Normativo, che definisce ruoli, responsabilità, poteri e norme di comportamento da tenere nella conduzione delle attività aziendali. Il Sistema di Gestione Aziendale è aggiornato continuamente con l’obiettivo di garantire l’efficacia e l’efficienza dei processi, la salvaguardia del patrimonio aziendale e la conformità alle normative che consentono a Italgas di indirizzare anche la gestione e il coordinamento delle società controllate.
La correttezza e la trasparenza nella gestione del business sono finalizzate, oltre alla realizzazione di un corretto modello di gestione e dialogo con gli stakeholder, alla prevenzione dei fenomeni di corruzione.
Il Consiglio di Amministrazione il 16 dicembre 2021 ha approvato l’aggiornamento del Codice Etico 25, rispetto alla versione precedentemente adottata il 18 ottobre 2016, che rappresenta un principio generale non derogabile del Modello 231 e raccoglie l’insieme dei valori che la società riconosce, accetta e condivide e le responsabilità che essa si assume verso l’interno e l’esterno della propria organizzazione. Il Codice Etico è stato integrato valorizzando le tematiche di sostenibilità con il richiamo formale dei documenti rilevanti (ad esempio Politica di Sostenibilità, Human Rights Policy, Politica HSEQE, ecc.) e di prevenzione e contrasto della corruzione anche in forza delle certificazioni delle società del Gruppo Italgas ai sensi di quanto previsto dalla norma UNI ISO 37001:2016. Inoltre, nel Codice Etico sono richiamati i principi di responsabilità d’impresa che devono essere rispettati in materia di luogo di lavoro, di rapporti con gli stakeholder e con i fornitori e in materia di tutela dei dati personali.
Il Codice Etico trova applicazione nei confronti delle “persone di Italgas”, ossia degli amministratori, dei sindaci, del management e dei dipendenti di Italgas nonché di tutti coloro che operano per il conseguimento degli obiettivi di Italgas, ciascuno nell’ambito delle proprie funzioni e responsabilità. I rappresentanti indicati da Italgas negli organi sociali delle partecipate, nei consorzi e nelle joint venture promuovono i principi e contenuti del Codice Etico negli ambiti di rispettiva competenza. Garante del rispetto dei principi enunciati nel Codice Etico è l’Organismo di Vigilanza che relaziona semestralmente al Comitato Controllo e Rischi e al Collegio Sindacale.
Il Modello 231 costituisce uno strumento di supporto volto a prevenire la responsabilità amministrava dell’ente ed è destinato ai componenti degli organi sociali, al management e ai dipendenti di Italgas, nonché a tutti coloro che operano per il conseguimento degli obiettivi di Italgas. Il Consiglio di Amministrazione di Italgas in data 16 dicembre 2021 ha approvato il proprio Modello di organizzazione, gestione e controllo 26 ai sensi del decreto legislativo 8 giugno 2001, n. 231 (il “Modello 231”), aggiornando la versione precedentemente adottata il 18 ottobre 2016.
Il Modello 231 di Italgas è aggiornato alla luce delle riforme normative che modificano periodicamente il novero dei reati presupposto rilevanti ai sensi del D.Lgs. 231/2001 nonché alla luce delle modifiche organizzative e di normativa interna nell’ ambito del Gruppo Italgas.
Italgas, in applicazione del proprio Modello 231, nomina l’Organismo di Vigilanza, composto da tre membri esterni, uno dei quali in qualità di Presidente, individuati tra accademici e professionisti di comprovata competenza ed esperienza nelle tematiche giuridiche e societarie e di economia e organizzazione aziendale. La durata in carica dei membri dell’Organismo di Vigilanza coincide con quella del Consiglio di Amministrazione che li ha nominati. I membri decadono alla data dell’Assemblea dei soci convocata per l’approvazione del bilancio relativo all’ultimo esercizio della loro carica, pur continuando a svolgere ad interim le proprie funzioni fino a nuova nomina dei componenti dell’Organismo di Vigilanza.
Ciascuna controllata adotta autonomamente il proprio Modello 231 e ne cura l’aggiornamento costante in base alle peculiarità della rispettiva realtà aziendale, avendo, tuttavia, come punto di riferimento i principi del Modello 231 di Italgas e tenendo conto delle indicazioni e modalità attuative previste da Italgas in funzione dell’assetto organizzativo e operativo del Gruppo. Inoltre, ciascuna controllata nomina un autonomo e indipendente Organismo di Vigilanza.
Italgas assicura per le società del Gruppo l’adozione sia del Sistema di gestione integrato per la salute e la sicurezza sul lavoro, per l’ambiente, la qualità e l’energia (HSEQE) che del Sistema di gestione per la prevenzione e il contrasto della corruzione. A tal fine, per le società non ancora certificate, Italgas ha predisposto il Piano di sviluppo delle certificazioni HSEQE e anticorruzione.
I sistemi di gestione stimolano il coinvolgimento del personale e favoriscono lo svolgimento del proprio business secondo i principi di lealtà, correttezza, trasparenza, onestà e integrità, nel rispetto di leggi, regolamenti, standard internazionali e linee guida e contribuiscono al miglioramento dei processi, per soddisfare le aspettative dei propri stakeholder.
Con specifico riferimento al percorso del Gruppo verso la decarbonizzazione, è importante rilevare l’avvio, nel corso del 2021, di un piano di diffusione della cultura dell’efficienza energetica sulla popolazione delle società di distribuzione, attraverso l’erogazione di corsi di formazione sulla ISO 50001 oltre a corsi base sul risparmio energetico e, in taluni casi, di corsi avanzati per la certificazione “Esperto Gestione Energia”.
I sistemi di gestione sono strutturati e implementati in conformità ai requisiti degli standard internazionali di riferimento:
Gli impegni su tali temi sono espressi nelle relative Politiche societarie allo scopo di ispirare le attività e i comportamenti negli specifici contesti normativi e di mercato.
Nell’ambito dei sistemi di gestione delle società del Gruppo, gli strumenti normativi predisposti contribuiscono alla compliance normativa e ad assicurare la salute e la sicurezza delle persone (dipendenti, clienti finali, appaltatori, ecc.), la prevenzione degli infortuni, la salvaguardia dell’ambiente, l’incolumità pubblica, l’uso razionale dell’energia nonché, la qualità globale e la prevenzione e contrasto della corruzione.
Per verificare la conformità dei sistemi di gestione ai requisiti degli standard, Italgas si avvale dell’organismo di certificazione DNV che, nel corso del 2021, ha effettuato gli audit pertinenti e ha rilasciato le relative certificazioni.
Gli accreditamenti delle società, ovvero di alcuni settori delle stesse, sono verificati e rilasciati da ACCREDIA (ente unico di accreditamento).
Le società del Gruppo Italgas, in funzione dello scopo sociale e delle proprie attività, al 2021 sono in possesso delle seguenti certificazioni e accreditamenti 27:
Certificazioni di Italgas S.p.A. Grado di copertura certificazione | Norma di riferimento | Anno di prima certificazione |
Società/Gruppo | UNI ISO 37001 | 2018 |
Certificazioni e accreditamenti di Italgas reti S.p.A. Grado di copertura certificazione/accreditamento | Norma di riferimento | Anno di prima certificazione/ accreditamento |
Società | UNI CEI EN ISO 50001 | 2012 |
UNI EN ISO 14001 | 2001 | |
UNI ISO 45001 | 2019* | |
UNI EN ISO 9001 | 1996 | |
UNI ISO 37001 | 2018 | |
Laboratorio di taratura | UNI CEI EN ISO/IEC 17025 | 2009 |
Laboratorio di prova | UNI CEI EN ISO/IEC 17025 | 1994 |
Organismo di ispezione di tipo C | UNI CEI EN ISO/IEC 17020 | 2014 |
* Dall’anno 2001 per la ex norma di riferimento OHSAS 18001
Certificazioni e accreditamenti di Toscana Energia S.p.A. Grado di copertura certificazione/accreditamento | Norma di riferimento | Anno di prima certificazione/ accreditamento |
Società | UNI CEI EN ISO 50001 | 2017 |
UNI EN ISO 14001 | 2003 | |
UNI ISO 45001 | 2019* | |
UNI EN ISO 9001 | 1998 | |
UNI ISO 37001 | 2020 | |
Organismo di ispezione di tipo C | UNI CEI EN ISO/IEC 17020 | 2016 |
* Dall’anno 2001 per la ex norma di riferimento OHSAS 18001
Certificazioni di Medea S.p.A. Grado di copertura certificazione | Norma di riferimento | Anno di prima certificazione |
Società | UNI CEI EN ISO 50001 | 2021 |
UNI EN ISO 14001 | 2021 | |
UNI ISO 45001 | 2021 | |
UNI EN ISO 9001 | 2021* | |
UNI ISO 37001 | 2020 |
* Dall’anno 2014 per la sola sede di Sassari
Certificazioni di Italgas Acqua S.p.A. Grado di copertura certificazione | Norma di riferimento | Anno di prima certificazione |
Società | UNI CEI EN ISO 50001 | 2021 |
UNI EN ISO 14001 | 2021 | |
UNI ISO 45001 | 2020 | |
UNI EN ISO 9001 | 2020 | |
UNI ISO 37001 | 2020 |
Certificazioni di Seaside S.p.A. Grado di copertura certificazione | Norma di riferimento | Anno di prima certificazione |
Società | UNI EN ISO 14001 | 2021 |
UNI ISO 45001 | 2021 | |
UNI EN ISO 9001 | 2021* | |
UNI ISO 37001 | 2020 | |
UNI CEI 11352 | 2015 | |
F-GAS (DPR 43/12) | 2013 | |
SA8000 | 2007 |
* Dall’anno 2014 per la sola sede di Bologna
Certificazioni di Gaxa S.p.A. Grado di copertura certificazione | Norma di riferimento | Anno di prima certificazione |
Società | UNI EN ISO 14001 | 2021 |
UNI ISO 45001 | 2021 | |
UNI EN ISO 9001 | 2021 | |
UNI ISO 37001 | 2020 |
Italgas è attiva nel contrastare e prevenire qualsiasi forma di corruzione, sia in ambito nazionale sia internazionale. La rilevanza del rischio corruzione in relazione alle attività aziendali è analizzata e gestita in modo specifico nel Modello 231 e nel sistema di gestione interno appositamente adottato. Le misure anticorruzione sono contenute nello specifico standard di compliance che fornisce un quadro sistemico di riferimento degli strumenti normativi in materia adottati da Italgas, ispirati ai principi di comportamento previsti dal Codice Etico e dalla apposita Politica di Prevenzione e contrasto della corruzione. Lo standard di compliance anticorruzione raccoglie i presidi di cui Italgas si è dotata per prevenire qualsiasi forma di corruzione nelle relazioni con terzi, Pubblici Ufficiali e privati, sia in ambito nazionale sia internazionale, a tutela dell’integrità del business e della reputazione del Gruppo. Lo standard di compliance si applica a Italgas S.p.A. e alle società controllate nell’ambito dell’attività di direzione e coordinamento esercitata dalla corporate del Gruppo. L’adesione alle misure anticorruzione è inoltre richiesta anche ai fornitori, agli intermediari e a qualsiasi soggetto che intrattenga rapporti con Italgas.
Nel corso del 2021, così come già evidenziato nel 2020, non si sono verificati episodi di corruzione.
GRI 205-3 Episodi di corruzione accertati e azioni intraprese | U.m. | 2019* | 2020 | 2021 |
Totale degli episodi di corruzione accertati | n. | 0 | 0 | 0 |
Episodi di corruzione accertati con licenziamento/provvedimento disciplinare dei dipendenti | 0 | 0 | 0 | |
Episodi di corruzione accertati con risoluzione /non-rinnovo di contratti con partner commerciali | 0 | 0 | 0 |
* I dati rendicontati per l’esercizio 2019 fanno riferimento alle sole società Italgas Reti e Italgas S.p.A..
GRI 205-2 Comunicazione e formazione in materia di politiche e procedure anticorruzione | U.m. | 2019 | 2020 | 2021 |
Formazione in materia di anticorruzione* | ore | 367 | 3.849 | 1.950 |
Partecipazioni | n. | 302 | 2.914 | 1.686 |
* La formazione considerata riguarda i seguenti argomenti: Codice etico, Modello 231, Anticorruzione, Anti-Trust e Data Protection.
Al termine del 2021, Italgas S.p.A. e la controllata Italgas Reti S.p.A. hanno conseguito il rinnovo per il triennio 2021 – 2024 della certificazione ai sensi della norma UNI ISO 37001:2016 che attesta la conformità dei sistemi di gestione per la prevenzione e il contrasto della corruzione. Inoltre, nel corso dell’anno si sono svolti gli audit che hanno condotto al mantenimento della certificazione ai sensi della norma UNI ISO 37001:2016 anche di tutti i sistemi di gestione per la prevenzione e il contrasto della corruzione adottati da Italgas Acqua S.p.A., Seaside S.p.A., Medea S.p.A., Toscana Energia S.p.A. e Gaxa S.p.A. I sistemi di gestione per la prevenzione e il contrasto della corruzione sono stati rivalutati per il mantenimento all’esito di approfonditi audit. È stato riscontrato l’impegno e la collaborazione degli esponenti e delle funzioni aziendali, supervisionate dalla funzione di conformità per la prevenzione e il contrasto della corruzione, nell’implementazione e osservanza delle misure adottate al fine di assicurare l’adeguatezza e l’idoneità di ciascun sistema di gestione per la prevenzione e il contrasto della corruzione ai requisiti della norma UNI ISO 37001:2016.
A seguito della costituzione nel mese di luglio 2021 della società Bludigit S.p.A., è in programma l’adozione e l’implementazione da parte di quest’ultima di un proprio sistema di gestione per la prevenzione e il contrasto della corruzione che verrà sottoposto ad audit per l’ottenimento della certificazione UNI ISO 37001:2016 nel corso del 2022.
Il Consiglio di Amministrazione in data 18 ottobre 2016 ha approvato il proprio Codice di Condotta Antitrust (il “Codice Antitrust”) che definisce le linee guida di comportamento cui tutti i dipendenti di Italgas e delle società controllate devono conformarsi per garantire la compliance di Italgas e delle società Controllate con i principi dettati dalla normativa applicabile in materia antitrust.
Il Codice Antitrust si applica a tutto il Gruppo Italgas nell’ambito dell’attività di direzione e coordinamento esercitata da Italgas e si colloca nell’ambito delle iniziative dedicate a favorire lo sviluppo della cultura d’impresa in materia di tutela della concorrenza e a porre in essere procedure e sistemi idonei a ridurre al minimo il rischio di violazioni della normativa antitrust, nel più ampio ambito delle iniziative di compliance promosse dal Gruppo Italgas.
L’adozione del Codice Antitrust si inserisce nell’ambito del più ampio programma di compliance antitrust promosso dal Gruppo Italgas che si sviluppa attraverso, tra l’altro, l’istituzione di un presidio antitrust nell’ambito della Funzione Legale, cui ogni persona del Gruppo può rivolgersi per comunicazioni concernenti l’interpretazione e l’applicazione del Codice Antitrust e ogni qualvolta si profili una situazione a potenziale rischio antitrust.
In ragione dell’evoluzione che ha interessato la struttura e l’organizzazione del Gruppo Italgas, il Consiglio di Amministrazione, in data 27 luglio 2020, ha approvato l’aggiornamento dello standard di compliance Antitrust (“Codice di Condotta Antitrust e di Tutela del Consumatore”). In particolare, da un lato, sono stati approfonditi i riferimenti alla disciplina della tutela del consumatore e, dall’altro, è stata profilata più nel dettaglio la descrizione delle principali fattispecie vietate dal diritto della concorrenza, anche attraverso riferimenti puntuali alla casistica decisionale dell’Autorità Garante della Concorrenza e del Mercato. Tale aggiornamento è stato preceduto da un assessment volto a verificare il livello di aggiornamento, alla luce dei criteri stabiliti dalle Linee Guida dell’Autorità Garante della Concorrenza e del Mercato, dello standard di compliance “Antitrust” già in vigore per le società del Gruppo.
Al Codice di Condotta Antitrust e di Tutela del Consumatore, opportunamente aggiornato, è stato allegato un Manuale Antitrust e di Tutela del Consumatore, che descrive i principali istituti della disciplina antitrust e del Codice del Consumo, fornendo altresì una panoramica della più importante prassi decisionale dell’Autorità Garante della Concorrenza e del Mercato. Tale Manuale costituisce uno strumento di approfondimento, a disposizione del Gruppo Italgas, per lo svolgimento di attività formative e per ogni eventuale analisi che il Presidio Antitrust dovesse essere chiamato a svolgere nell’esercizio delle sue funzioni.
A completamento del più ampio programma di compliance antitrust, nel corso del secondo semestre del 2021 è stata erogata la formazione a tutti coloro che rivestono all’interno del Gruppo ruoli con particolare rilevanza in materia di antitrust e di tutela dei consumatori.
Italgas ha definito un percorso d’innovazione del proprio modello di sicurezza, sviluppando un approccio che permetta di gestire in maniera del tutto integrata differenti livelli di informazione, e in particolare:
Con l’obiettivo di convergere verso il Sistema Integrato di Sicurezza in grado di interfacciare piattaforme di gestione della sicurezza multi-dominio, applicazioni, servizi e processi operativi per gestire vulnerabilità, minacce ed eventi di sicurezza, garantire una visione quantitativa e dinamica del rischio e indirizzare e facilitare i processi decisionali.
Le funzioni di Group Security e cybersecurity lavorano congiuntamente implementando policy e procedure relative alla sicurezza dell’azienda; i rispettivi ruoli e responsabilità sono definiti attraverso una matrice RACI28 condivisa che consente l’armonizzazione degli sforzi a tutela del patrimonio informativo aziendale.
I principi di cybersecurity adottati da Italgas includono:
Le procedure Italgas stabiliscono che, almeno una volta all’anno, il Group Security Officer (GSO), riferisca al Consiglio di Amministrazione e agli Organi di Controllo, in merito al livello di conformità alle normative nazionali e internazionali sulla cybersecurity e alle politiche aziendali in materia di misure tecnico-organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici. In aggiunta, il GSO aggiorna direttamente e costantemente l’Amministratore Delegato in merito a temi di interesse.
Relativamente alle condizioni lavorative derivate dall’attuale crisi pandemica, Italgas implementa procedure e controlli tecnici finalizzati a consentire al personale interno ed esterno la connessione sicura da remoto alla rete aziendale. Le connessioni da remoto avvengono tramite una rete privata (VPN) che consente di proteggere le comunicazioni presenti. Inoltre, Italgas eroga specifiche sessioni di training finalizzate a rendere tutto il personale consapevole delle minacce di sicurezza derivanti dallo smart working.
Al fine di incrementare il livello di sicurezza e protezione degli accessi e delle identità, Italgas ha adottato, per tutti i suoi dipendenti, la tecnologia di autenticazione a più fattori (Multi-Factor Authentication o MFA).
Italgas sviluppa e attua un adeguato sistema di gestione delle vulnerabilità, che include l’esecuzione di verifiche di sicurezza volte a rilevare le vulnerabilità applicative e infrastrutturali dei sistemi IT e OT e definire e implementare di conseguenza le azioni di rimedio necessarie a risolvere le stesse, mitigando i rischi connessi.
Garantisce il monitoraggio h24 degli eventi di sicurezza in ambito IT e OT, anche per il tramite di un Security Operation Center di nuova generazione (Next Generation-SOC). Nello specifico, tale struttura eroga servizi di sicurezza gestiti e attività continuative inerenti al monitoraggio, rilevazione e risposta agli incidenti. Italgas, infatti, definisce e applica un processo che identifica le azioni da attuare per la gestione e risoluzione degli incidenti aventi impatto in materia di sicurezza informatica, intesi come eventi che possano compromettere la confidenzialità, integrità o disponibilità del patrimonio informativo aziendale e che possano avere impatto sulle operazioni relative al business e/o minacciare la sicurezza informatica.
Il processo di gestione degli incidenti di sicurezza informatica si articola nelle seguenti fasi: rilevazione, analisi e classificazione dell’incidente, mitigazione e risoluzione dell’incidente, chiusura dell’incidente e reporting e miglioramento continuo.
Nell’ultimo triennio (2019 – 2021) non sono stati registrati incidenti legati alla cybersecurity che hanno generato eventi di data breach o compromissione di sistemi aziendali. Come strumento di maggior tutela, Italgas dispone di una polizza assicurativa attivabile in caso di incidenti informatici.
Italgas adotta strumenti e processi di cyber Threat Intelligence che consentono di identificare preventivamente le minacce informatiche e gli attacchi cyber che potrebbero impattare l’organizzazione, con l’obiettivo di implementare proattivamente azioni e misure di sicurezza finalizzate alla riduzione e gestione continua del rischio. Le attività di cyber Threat Intelligence affiancano e integrano i presidi di sicurezza presenti in azienda e rappresentano uno strumento a supporto delle operazioni di rilevazione degli incidenti di sicurezza. Attraverso la capacità di Cyber Threat Intelligence, Italgas protegge proattivamente il patrimonio informativo, la reputazione e i dati sensibili per l’azienda. Il livello di maturità della propria sicurezza informatica viene costantemente verificato e monitorato anche attraverso indicatori (rating) sintetici, elaborati da società esterne di riferimento internazionale che, nel 2021, hanno visto Italgas posizionarsi nella fascia delle organizzazioni più avanzare a livello globale.
Relativamente alla gestione delle cosiddette “Terze parti”, Italgas definisce i requisiti di sicurezza informatica necessari per limitare i rischi associati all’accesso alle informazioni. Italgas regolamenta anche l’accesso dei fornitori alle apparecchiature adibite al trattamento delle informazioni attuando adeguati controlli di sicurezza.
In linea con le iniziative di trasformazione digitale contenute nel piano strategico e in virtù della crescente importanza della gestione delle informazioni e dei dati, oltre a definire adeguate politiche di sicurezza, è stata estesa a tutto il personale la formazione in merito ai rischi cyber, attraverso una serie di corsi interattivi e campagne di sensibilizzazione ad hoc. In parallelo, è stato anche rafforzato il sistema di alerting ai dipendenti, con l’invio massivo di mail di segnalazione, in caso di campagne malevole o di phishing.
Al fine di consolidare la rete di collaborazione pubblico-privato, Italgas ha svolto incontri con le Autorità Governative predisposte alla sicurezza informatica e con i principali Think-Tank nazionali e internazionali. A tal proposito, Italgas ha definito protocolli di intesa con la Polizia Postale (CNAIPIC) e il CSIRT nazionale; inoltre, Italgas aderisce dal 2021 alla European Cyber Security Organisation (ECSO), al fine d’implementare e rafforzare la collaborazione con la Commissione UE, la European Union Agency for Cybersecurity (ENISA), con Centri di Competenza e con l’Accademia.
Italgas ha un ruolo attivo all’interno del Working Group “Cyber Resilience of Economy, Infrastructure & Services” i cui obiettivi includono la creazione di un ambiente “trusted” di Information Sharing e di Strategic Threat Intelligence e lo sviluppo, all’interno della comunità europea della cybersecurity, di una rete di condivisione e scambio di competenze con l’obiettivo di facilitare il dialogo tra aziende, governi e fornitori e accrescere il livello di maturità sulle tematiche di sicurezza.
L’approccio del Gruppo Italgas relativamente alla protezione dei dati personali prevede l’adozione volontaria di comportamenti virtuosi che vanno oltre il mero rispetto delle prescrizioni normative: uno specifico paragrafo del Codice Etico richiede un impegno specifico ai dipendenti e alla supply chain in merito alla tutela dei dati personali.
Italgas ha adottato sin dal 2018 un modello organizzativo Data Protection definito in conformità alle previsioni normative del Regolamento (UE) 2016/679 (GDPR). Con tale modello sono stati formalizzati i ruoli e le responsabilità in materia di tutela dei dati personali trattati nell’ambito delle attività sociali. Tutti gli accordi contrattuali con fornitori che trattano dati personali per conto di Italgas includono un apposito “Data Protection Agreement”, conforme alle prescrizioni dell’art. 28 del GDPR.
La società ha designato il Responsabile della Protezione dei Dati (“Data Protection Officer” o “DPO”), individuato nell’ambito della Funzione Internal Audit, con compiti di informazione e consulenza nei confronti delle funzioni aziendali e dei soggetti coinvolti nel trattamento di dati personali, di sorveglianza sull’osservanza del Regolamento, delle disposizioni nazionali e delle politiche aziendali in materia di protezione dei dati personali, nonché di cooperazione con l’Autorità di controllo, fungendo da punto di contatto con la stessa. Al DPO ha affidato altresì compiti in materia di promozione della cultura della protezione dei dati personali all’interno dell’azienda, di gestione delle richieste degli interessati e di supportare la valutazione Data Protection degli aspetti di ogni nuovo progetto che possa aver impatto sulla protezione dei dati personali. Il DPO è supportato dal Team Data Protection, che include esperti in ambito legale, informatico, organizzativo e di security.
Italgas ha altresì adottato standard di compliance in materia di Data Protection, per declinare i principi applicabili al trattamento di dati personali e a formalizzare ruoli e responsabilità nell’ambito della struttura organizzativa aziendale per garantire il corretto trattamento delle informazioni relative agli interessati, e in materia di Data Breach Management, al fine di garantire il governo e l’attuazione del processo di gestione di eventuali violazioni di dati personali (c.d. “data breach”). Lo standard di compliance in materia di Data Protection è stato aggiornato nel 2021, per includervi le conseguenze di comportamenti non conformi alla disciplina in materia di Data Protection.
Italgas si è dotata di un registro delle attività di trattamento, che contiene tutte le informazioni di cui all’art. 30.1 del Regolamento; nel corso del 2021 il registro è stato regolarmente aggiornato, così come le informative relative ai trattamenti medesimi.
In armonia al principio di gestione “risk based” dei trattamenti, sono implementate misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato, tenendo in considerazione in special modo i rischi presentati dal trattamento che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Nei casi in cui i trattamenti possano presentare un rischio elevato per i diritti e le libertà dei soggetti interessati, è stata effettuata una valutazione d’impatto sulla protezione dei dati per determinare, in particolare, l’origine, la natura, la particolarità e la gravità di tale rischio, nonché per implementare, laddove necessario, le appropriate e ulteriori misure di sicurezza.
Fin dal 2019, è stata avviata la somministrazione della formazione in materia di Data Protection al personale del Gruppo Italgas e la stessa è in continua estensione e aggiornamento, anche attraverso strumenti per la formazione a distanza.
Da rilevare, nel contesto del mutevole quadro normativo legato alla pandemia Covid-19, l’impegno profuso nel 2021 da tutte le strutture aziendali, supportate dal DPO, nell’assicurare il pieno rispetto della disciplina in materia di protezione dei dati personali.
Tutte le società controllate hanno definito e formalmente approvato un modello Data Protection coerente con i principi che hanno ispirato il modello Data Protection di Italgas, seppur disegnato sulle proprie esigenze specifiche e sulla propria struttura organizzativa. In attuazione del modello, ciascuna società controllata ha adottato procedure, ha effettuato la designazione del DPO, ha implementato il proprio registro dei trattamenti e definito appropriate misure di sicurezza e portato avanti attività di formazione.
Con riferimento a tutte le società del Gruppo Italgas, nel triennio 2019-2021:
Con riferimento alle richieste di esercizio dei diritti degli interessati, si segnala che nel 2021 il processo adottato dalle società del Gruppo è stato assoggettato ad audit di terza parte e che l’audit non ha evidenziato alcun gap rilevante.
25 Il Codice Etico è consultabile sul sito Internet della società all’indirizzo http://www.italgas.it/it/governance/etica-dimpresa/il-codice-etico/
26 Il Modello 231 è consultabile sul sito internet della società: https://www.italgas.it/export/sites/italgas/italgas-gallery/Documenti_it/07-governance/03-controllo-interno-e-compiance/02-responsabilita-amministrativa-231/ItalGas_modello231.pdf
27 Tutte le società operative del Gruppo sono dotate di certificazione secondo la norma ISO 140001.
28 La matrice RACI (matrice di assegnazione responsabilità) specifica il tipo di relazione fra la risorsa e l’attività: Responsible, Accountable, Consulted, Informed. Con tale strumento viene indicato “chi fa che cosa”, all’interno di un’organizzazione.