(policy) PROCEDURA GENERALE PER LA GESTIONE DELLE SEGNALAZIONI ai sensi del DECRETO LEGISLATIVO 10 marzo 2023, n. 24 Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali.

 

 

 

 

Data emissione	Redatta da	Approvata da	Firma per approvazione
08/01/2024	Cerato Simone	Dott. Pancolini Filippo

 

 

 

 

 

 

 

 

 

Sommario

ai sensi del DECRETO LEGISLATIVO 10 marzo 2023, n. 24. 1

Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. 1

Premessa. 3

1. Scopo. 4

2. Riferimenti normativi 4

3. Ambito oggettivo: cosa si può segnalare?. 5

4. Contenuto della segnalazione. 7

5. Ambito soggettivo: chi può segnalare?. 8

6. Destinatario delle segnalazioni 9

7. Canali di segnalazione e Assistenza. 9

7.1 Il Portale Whistleblowing. 10

7.2 L’incontro diretto. 11

8. Gestione della segnalazione. 11

9. Il sistema di protezione. 13

9.1 tutela della riservatezza. 14

10. Tutela del Segnalato. 15

11. Protezione dei dati personali e Conservazione della documentazione. 16

12. Sanzioni 17

13. Aggiornamento della Policy. 17

14. Sensibilizzazione e pubblicità. 17

15. Allegati 18

Allegato 1. 19

Allegato 2. 26

 

 

 

Il 30 marzo 2023 è entrato in vigore il Decreto Legislativo  10 marzo 2023, n. 24  recante “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali”.

La nuova disciplina è finalizzata a creare uno strumento per contrastare e prevenire la corruzione, la cattiva amministrazione e, più in generale, le violazioni di legge, nel settore pubblico e privato.

Al fine di garantire l’efficacia di questo presidio di legalità ed incentivarne l’utilizzo, il Legislatore italiano ed europeo hanno voluto, quindi, rafforzare le misure di protezione da ogni possibile ritorsione dei soggetti che effettuano le segnalazioni o (ove ne ricorrano le condizioni) la divulgazione pubblica ed estenderle anche a chiunque sia coinvolto (in qualità di facilitatore, familiare, confidente, collega del segnalante o semplicemente persona menzionata) nella segnalazione, garantendo, tra l’altro, la previsione di sistemi che consentono di segnalare in condizioni di sicurezza gli eventuali illeciti di cui vengono a conoscenza.

Le principali novità contenute nella nuova disciplina, che non reca più distinzioni tra settore pubblico e privato, sono di seguito riassunte:

• l’ampliamento dell’ambito oggettivo (tipologia di illeciti segnalabili);
• l’ampliamento dell’ambito soggettivo (novero dei soggetti meritevoli di protezione);
• la disciplina di tre diversi canali di segnalazione: interno (negli enti con persona o ufficio dedicato oppure tramite un soggetto esterno con competenze specifiche); esterno (gestito da ANAC e subordinato rispetto al canale interno); divulgazione pubblica (ove ne ricorrano le condizioni, tramite stampa o social media);
• la previsione di diverse modalità di presentazione delle segnalazioni, in forma scritta o orale e sempre con adeguate garanzie in termini di misure di sicurezza poste a protezione della riservatezza delle comunicazioni.
• la disciplina dettagliata degli obblighi di riservatezza;
• la previsione di una valutazione preventiva di impatto data protection e l’obbligo dell’Ente di adottare tutte le misure tecniche (es cifratura) e organizzative (es. informativa sul trattamento, autorizzazione e istruzione del personale, stipula di accordi sul trattamento con i fornitori, etc) imposte dalla normativa data protection vigente, nazionale (D. lgs 196/2003) ed europea (Reg. UE 2016/679 – General Data Peotection Regulation – “GDPR) al fine di regolamentare il trattamento dei dati personali ricevuti, gestiti e comunicati da terzi o a terzi;
• l’ampliamento della casistica inclusa nelle “ritorsioni” ed il rafforzamento delle relative misure di protezione, offerte sia da ANAC che dall’autorità giudiziaria e maggiori indicazioni sulla responsabilità del segnalante e sulle scriminanti;
• l’introduzione di apposite misure di sostegno per le persone segnalanti e coinvolgimento a tal fine di enti del Terzo settore che abbiano competenze adeguate e che prestino la loro attività a titolo gratuito;
• la revisione della disciplina delle sanzioni applicabili da ANAC e l’introduzione da parte dei soggetti privati di sanzioni nel sistema disciplinare adottato ai sensi del d.lgs. n. 231/2001.
• la possibilità di condivisione del canale interno di gestione delle segnalazioni e della relativa gestione per le società che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, non superiore a 249.

Alla luce di tali premesse, CIB Unigas S.p.A.  (di seguito indicato come “CIB Unigas”), nello spirito di dare concreta attuazione alla normativa in oggetto, sentite le rappresentanze o le organizzazioni sindacali, ha predisposto, per effettuare le segnalazioni, un cd. “canale interno” condiviso con la società Special Burner & Equipment S.r.l. (di seguito indicato come “SBE”) - costituito da una piattaforma informatica che integra al suo interno anche una casella vocale, oltre che dalla possibilità per l’interessato di richiedere un incontro di persona -   idoneo a garantire la riservatezza e la tutela del segnalante (e degli altri soggetti eventualemtne coinvolti e lo ha affidato ad un Organo gestorio (di qui in poi anche “Organo preposto”), autonomo e indipendente, adeguatemente istruito e formato.

La presente “Procedura generale per la gestione delle segnalazioni” (di seguito “Procedura”) si propone di disciplinare il processo di ricezione, analisi e gestione delle Segnalazioni trasmesse da parte dei segnalanti (come di seguito identificati) al fine di denunciare fenomeni illeciti e comportamenti sospetti, irregolarità, atti o fatti che possano costituire una violazione delle norme nazionali ed europee, nonchè, dei principi e delle regole di comportamento contenuti nel Codice Etico e nelle previsioni contenute nel Modello 231 adottato dalla Società.

Esterni

• D. Lgs.  10 marzo 2023, n. 24 - Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali.
• D. Lgs. n. 196 del 30 giugno 2003 – Codice in materia di protezione dei dati personali – e successive modifiche e/o integrazioni;
• Regolamento UE 2016/679 del Parlamento e del Consiglio del 27 aprile 2016 relativo alla Protezione delle persone fisiche con riguardo al trattamento dei dati personali;
• D. Lgs. 231/01 "Disciplina della responsabilità amministrativa delle persone giuridiche, delle Società e delle associazioni anche prive di personalità giuridica, a norma dell'art.11 della legge 29 settembre 2000, n. 300" del 08/06/2011 e successivi aggiornamenti, ove applicabile.
• “Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali – procedure per la presentazione e gestione delle segnalazioni esterne”, emanate da ANAC in forza dell’art. 10 D. lgs. 24/23 con delibera n. 311 del 12 luglio 2023.

Interni

•  Modello Organizzativo 231 di CIB UNISGAS e SBE
• Codice Etico di CIB UNISGAS e SBE
• Modello Organizzativo Data Protection di CIB UNISGAS e SBE

La segnalazione può essere effettuata ove il segnalante abbia il ragionevole e legittimo sospetto o la consapevolezza – entrambi fondati su elementi di fatto precisi e concordanti - di comportamenti, in violazione di   disposizioni   normative   nazionali   o dell'Unione europea, che ledono l'interesse  pubblico  o  l'integrità della Società, di  cui  sia venuto a conoscenza nel “contesto lavorativo”. Tale ultima locuzione va intesa in senso ampio. Si ritiene dunque sufficiente l’esistenza di una relazione qualificata tra il segnalante e la Società che riguarda attività lavorative o professionali presenti o anche passate. Possono, quindi, essere segnalate anche notizie acquisite in occasione e/o a causa dello svolgimento delle mansioni lavorative, sia pure in modo casuale.

Possono essere oggetto di segnalazione anche eventuali condotte volte ad occultare le violazioni (ad esempio occultamento o distruzione di prove circa la commissione della violazione).

Le informazioni sulle violazioni possono riguardare anche le violazioni non ancora commesse che il whistleblower, ragionevolmente, ritiene potrebbero esserlo sulla base di elementi concreti. Tali elementi possono essere anche irregolarità e anomalie (indici sintomatici) che il segnalante ritiene possano dar luogo ad una delle violazioni previste dal decreto.

Le segnalazioni devono essere fatte in buona fede, con spirito di responsabilità, avere carattere di interesse per il bene comune, rientrare nelle tipologie di non conformità per cui il sistema è stato implementato.

 

 

• COSA SI PUO’ SEGNALARE

La segnalazione può avere ad oggetto due tipi di violazioni, come di seguito riassunto[1]:

Violazioni normativa nazionale

Violazioni normativa europea

Illeciti su materie ex art. 2, comma I, lett. a) num. da 3 a 6 (appalti pubblici, salute pubblica, tutela dei dati personali, tutela dei consumatori, ambiente, concorrenza e aiuti di Stato….) Ove sia adottato un Modello 231: Condotte illecite rilevanti ai sensi del decreto legislativo 8 giugno 2001, n. 231 (reati presupposto a titolo esemplificativo: Indebita percezione di erogazioni, truffa in danno dello Stato, di un ente pubblico o dell'Unione Europea per il conseguimento di erogazioni pubbliche, frode informatica in danno dello Stato o di un ente pubblico e frode nelle pubbliche forniture), o violazioni del Modello di organizzazione e gestione adottato ai sensi del d.lgs. 231/01 o del Codice Etico della Società.

Illeciti che rientrano nell’ambito di applicazione degli atti dell’Unione europea relativi ai seguenti settori: appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell’ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi. Atti od omissioni che ledono gli interessi finanziari dell’Unione (ad esempio le frodi, la corruzione e qualsiasi altra attività illegale connessa alle spese dell’Unione). Atti od omissioni riguardanti il mercato interno (a titolo esemplificativo: violazioni in materia di concorrenza e di aiuti di Stato). Atti o comportamenti che vanificano l’oggetto o la finalità delle disposizioni di cui agli atti dell’Unione (es. atti che ledono il principio di libera concorrenza)

 

*Si precisa che per la Società SBE, sono ammesse esclusivamente le segnalazioni di violazioni di normative nazionali di cui al punto 2, collegate al MOG 231 adottato dalla società.

X COSA NON SI PUO’ SEGNALARE

• le notizie palesemente prive di fondamento, le informazioni che sono già totalmente di dominio pubblico, nonché di informazioni acquisite solo sola base di indiscrezioni o vociferazioni scarsamente attendibili (cd. “voci di corridoio” o “sentito dire”).
• le contestazioni, rivendicazioni o richieste  legate  ad  un interesse di carattere personale della  persona  segnalante  o  della persona che  ha  sporto  una  denuncia  all'autorita'  giudiziaria  o contabile che attengono esclusivamente ai propri rapporti individuali di lavoro o di impiego pubblico, ovvero inerenti ai  propri  rapporti di lavoro  o  di  impiego  pubblico  con  le  figure  gerarchicamente sovraordinate. Sono quindi, escluse, ad esempio, le segnalazioni riguardanti vertenze di lavoro e fasi precontenziose, discriminazioni tra colleghi, conflitti interpersonali tra la persona segnalante e un altro lavoratore o con i superiori gerarchici, segnalazioni relative a trattamenti di dati effettuati nel contesto del rapporto individuale di lavoro in assenza di lesioni dell’interesse pubblico o dell’integrità dell’amministrazione pubblica o dell’ente privato;
• violazioni già disciplinate in via obbligatoria dagli atti dell'Unione europea o nazionali indicati nella parte II dell'allegato al decreto ovvero da quelli nazionali che costituiscono attuazione degli atti dell'Unione europea indicati nella parte II dell'allegato alla direttiva (UE) 2019/1937, seppur non indicati nella parte II dell'allegato al decreto (sono escluse ad esempio le segnalazioni regolate dal Decreto legislativo 1° settembre 1993, n. 385 “Testo unico delle leggi in materia bancaria e creditizia”.  e dal Decreto legislativo 24 febbraio 1998, n. 58.  - Testo unico delle disposizioni in materia di intermediazione finanziaria);
• violazioni in materia di sicurezza nazionale, nonché di appalti relativi ad aspetti di difesa o di sicurezza nazionale, a meno che tali aspetti rientrino nel diritto derivato pertinente dell'Unione europea.

Le segnalazioni devono essere più possibile circostanziate, includendo tutti  gli elementi utili all’organo gestorio per effettuare le verifiche e gli accertamenti necessari a valutarne la fondatezza. A tal fine i segnalanti devono fornire almeno i seguenti elementi:

• le circostanze di tempo e di luogo in cui si è verificato il fatto oggetto della segnalazione;
• la descrizione del fatto con indicazione delle circostanze conosciute (di modo, di tempo e di luogo);
• le generalità o altri elementi che consentano di identificare il soggetto cui attribuire i fatti segnalati (cd segnalato).
• A meno che la segnalazione non sia anonima, le generalità del soggetto che effettua la segnalazione, con indicazione della posizione o funzione svolta nell’ambito dell’azienda;
• l’insussistenza di eventuali interessi privati collegati alla segnalazione e la propria buona fede;
• ogni informazione o prova (allegando i relativi documenti) che possa fornire un utile riscontro circa la sussistenza di quanto segnalato, in particolare anche l’indicazione di eventuali altri soggetti che possono riferire sui fatti oggetto di segnalazione;
• Ove la segnalazione non sia anonima, i dati identificativi del segnalante (nome, cognome, qualifica, etc.). Come meglio si dirà, questi ultimi sono assistiti da specifiche misure di sicurezza tecniche ed organizzative volte a garantire l’assoluta riservatezza sull’identità del segnalante.

Ove la segnalazione non sia adeguatamente circostanziata, l’Organo gestorio può chiedere elementi integrativi al segnalante tramite il Portale Whistleblowing o anche di persona, ove il segnalante abbia richiesto un incontro diretto.

Si precisa che le segnalazioni anonime sono ammesse se sufficientemente circostanziate e sono trattate alla stregua di quelle “nominative”. In tal caso, le misure di protezione per le ritorsioni saranno applicabili solo se la persona segnalante viene successivamente identificata.

Le segnalazioni non devono contenere dati personali eccedenti, bensì solo i dati necessari per dimostrare la fondatezza della denuncia. Di norma, quindi non andranno inseriti dati particolari[2], né dati personali idonei a rivelare lo stato di salute o giudiziari. Qualora le segnalazioni contenessero suddette categorie di dati personali, riferiti al segnalante o a terzi, e gli stessi non risultassero necessari per il perseguimento delle suddette finalità, la società provvederà a distruggerli o, se ciò non risultasse possibile, ad oscurarli, fatti salvi i casi autorizzati dalla legge o da un provvedimento dell’Autorità Garante per la protezione dei dati personali.

Qualora la segnalazione non rientri nella presente procedura, secondo la definizione dell’ambito oggettivo appena descritto, l’Organismo provvederà ad inoltrarla all’area aziendale/organo competente e/o alle Autorità competenti, come di seguito precisato (vedi paragrafo 6). Tali segnalazioni sono, in ogni caso, considerate “protette”. Ciò significa che l’organismo preposto non rivela l’identità o i dati personali di chiunque abbia trasmesso tale segnalazione senza averne ottenuto previamente l’esplicito consenso – sempre che la sua divulgazione non sia imposta dalla legge, da indagini o successivi procedimenti giudiziari.

In tutti i casi sopra indicati di comunicazione, il Titolare garantisce che verranno sempre adottate le opportune misure atte ad evitare una non necessaria circolazione delle informazioni, al fine di garantire la opportuna riservatezza in vista delle particolari finalità dei trattamenti in oggetto.

Sono legittimate a segnalare le persone che operano nel contesto lavorativo della Società, in qualità di:

• lavoratori subordinati;
• lavoratori autonomi;
• collaboratori, liberi professionisti e i consulenti;
• stagisti e tirocinanti, retribuiti e non retribuiti;
• azionisti e le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza, anche qualora tali funzioni siano esercitate in via di mero fatto.

 

La segnalazione può essere effettuata:

• quando il rapporto giuridico è in corso;
• durante il periodo di prova, se le informazioni sono state acquisite durante il processo di selezione o in altre fasi precontrattuali;
• quando il rapporto giuridico non è ancora iniziato, se le informazioni sulle violazioni sono state acquisite durante il processo di selezione o in altre fasi precontrattuali;
• successivamente allo scioglimento del rapporto giuridico, se le informazioni sulle violazioni sono state acquisite prima dello scioglimento del rapporto stesso (pensionati).

 

L’Organo gestorio  è composto dalle seguenti risorse interne alla Società CIB UNIGAS S.p.A.: Sig. Simone Cerato (Quality Assurance Manager), Dott. Diego Tegon (CFO).

L’Organo gestorio, in qualità di Destinatario della Segnalazione:

• è autonomo e indipendente;
• garantisce un giudizio equo e imparziale sulla segnalazione ricevuta;
• rispetta gli obblighi di riservatezza, specie sull’identità del segnalante, del segnalato e degli altri soggetti coinvolti (facilitatore, familiari, colleghi di lavoro, testimoni, etc);
• gestisce la segnalazione (valuta l’ammissibilità e svolge l’istruttoria sui fatti o sulle condotte segnalate);
• gestisce le interlocuzioni con il segnalante (avvisi di ricevimento e chiusura della segnalazione e scambi di informazioni);
• comunica l’esito al segnalante (dando conto delle misure previste o adottate o da adottare per dare seguito alla segnalazione e dei motivi della scelta effettuata).
• Assicura adeguata pubblicità alla presente procedura e sugli altri canali (canale esterno, divulgazione pubblica, denuncia) previsti dal D. lgs 24/2023 con particolare riguardo ai presupposti per accedervi ai soggetti competenti e alle procedure.

 

Qualora la segnalazione sia presentata ad un soggetto diverso da quello individuato e autorizzato dall’amministrazione o ente quest’ultimo procederà a trasmetterla, entro sette giorni dal suo ricevimento, al soggetto competente, dando contestuale notizia della trasmissione alla persona segnalante.

Un soggetto Segnalante, qualora abbia il ragionevole sospetto che si sia verificato o che possa verificarsi una delle violazioni precedentemente indicate al par. 3, ha la possibilità di effettuare una Segnalazione, scritta o orale, utilizzando i canali interni di seguito riportati:

• Tramite il Portale Whistleblowing, come di seguito specificato.
• Tramite un incontro diretto con l’organo gestorio, in modalità tali (e.g. scelta degli ambienti e orari dell’incontro) da garantire la riservatezza del segnalante ai sensi della normativa in tema.

Il segnalante può decidere di rivolgersi ad un soggetto in cui ripone la propria fiducia che , operando in qualità di “Facilitatore” ai sensi della normativa in esame, riceve analoga tutela del segnalante (vedi successivo paragrafo 9).

Il Portale Whistleblowing è raggiungibile al seguente indirizzo web dedicato:

Software segnalazioni - Whistleblowing

La piattaforma consente ai segnalanti (come definiti al paragrafo 5)- attraverso un percorso guidato on-line – di effettuare le segnalazioni garantendo la riservatezza sull’identità del segnalante o, ove prescelto, il totale anonimato. Il sistema, infatti, consente di inviare segnalazioni senza l’obbligo di registrarsi né di dichiarare le proprie generalità. Qualora il Segnalante scelga di indicare le proprie generalità, ne è garantita la riservatezza.

La piattaforma consente di dialogare in modo riservato con il segnalante, senza possibilità, per il ricevente o altri soggetti, di rintracciare l’origine della segnalazione.

Le segnalazioni trasmesse mediante il Portale Whistleblowing sono ricevute esclusivamente dai componenti dell’Organo gestorio. L’associazione dell’identità del segnalante alla segnalazione può, infatti, essere effettuata esclusivamente dal soggetto preposto alla gestione delle segnalazioni.

Il trattamento dei dati contenuti nelle segnalazioni avverrà con logiche di organizzazione ed elaborazione in grado di garantire la sicurezza, l'integrità e la riservatezza dei dati stessi nel rispetto delle misure organizzative, fisiche e logiche previste dalle disposizioni vigenti.

In particolare, la trasmissione dei dati forniti dal segnalante mediante l’utilizzo della piattaforma è gestita con protocollo HTTPS. Sono inoltre applicate tecniche di cifratura, garantendo in questo modo la riservatezza delle informazioni trasmesse.

Dopo l’accesso al Portale il segnalante potrà scegliere se utilizzare la casella vocale oppure procedere alla compilazione di un questionario composto da domande aperte che gli permetteranno di fornire gli elementi caratterizzanti la segnalazione (fatti, contesto temporale, etc.).

Il Portale chiederà al segnalante se intende o meno rivelare la propria identità. In ogni caso il segnalante potrà fornire le proprie generalità anche in un secondo momento,anche attraverso il sistema di messagistica previsto dal Portale . La casella vocale, invece, allo stesso fine, prevede meccanismi di camuffamento della voce.

Nel momento dell’invio della segnalazione, ove il segnalante decida di restare anonimo, il Portale rilascerà al segnalante un codice identificativo univoco (ticket). Questo numero, conosciuto solamente dal segnalante, non potrà essere recuperato in alcun modo in caso di smarrimento. Il ticket servirà al segnalante per accedere, sempre tramite il Portale, alla propria segnalazione al fine di: monitorarne lo stato di avanzamento; inserire ulteriori elementi per circostanziare la segnalazione; fornire le proprie generalità; rispondere ad eventuali domande di approfondimento. 

Diversamente, ove il segnalante decida di registrarsi, rilascerà il proprio indirizzo e-mail e scegliereà le proprie credenziali (ID e Password) per accedere alla propria area personale, attraverso la quale potrà monitorare lo stato di avanzamento della propria segnalazione e dialogare in modo riservato con l’Organo gestorio, al fine di fornire ulteriori elementi per circostanziare la segnalazione o di rispondere a richieste di approfondimenti.

Queste credenziali dovranno essere custodite a cura del segnalante.  Si precisa che né La Società né l’organo gestorio avranno accesso alle credenziali di accesso (per il dettaglio vedi il Manuale d’uso della piattaforma) e che l’eventuale indirizzo e-mail rilasciato non sarà noto neanche al fornitore stesso della Piattaforma e sarà utilizzato soltanto al fine di inviare degli alert sullo stato di avanzamento della segnalazione.

Nel caso in cui il segnalante preferisca incontrare di persona l’Organo gestorio, può richiedere a quest’ultimo, attraverso i seguenti recapiti cerato.simone@cibunigas.com ; tegon.diego@cibunigas.com, per fissare un incontro che può aver luogo in presenza fisica contestuale ovvero anche mediante sistemi di comunicazione a distanza, pur garantendo i criteri di riservatezza imposti da normativa.

Si precisa che l’indirizzo mail suindicato NON costituisce un canale alternativo di segnalazione. Al fine di non perdere le garanzie di riservatezza e sicurezza delle informazioni, quindi, nella comunicazione NON dovranno essere forniti dettagli sulla segnalazione (circostanze fattuali, nome del segnalato e/o dei testimoni etc) ma dovrà solo essere richiesto l’incontro, concordandone i termini.

In tal caso l’Organo gestorio fissa l’incontro in un tempo ragionevole.

Al momento dell’incontro, l’organo gestorio - previo rilascio dell’informativa sul trattamento dei dati personali e/o delle informazioni necessarie a reperire il testo completo di tale informativa – al fine di garantire la tracciabilità della segnalazione orale e lo stesso livello di protezione assicurato alle segnalazioni scritte, procede a registrare la segnalazione sulla piattaforma gestionale informatica, registrando sulla stessa tutti gli avanzamenti dell’attività istruttoria.

8.1. Procedura di gestione

Le segnalazioni ricevute dall’Organo gestorio sono soggette al seguente iter istruttorio.

Le segnalazioni la cui genericità non consenta neppure di avviare una verifica indirizzandola verso prospettive concrete, non saranno prese in considerazione e verranno immediatamente archiviate.

Le segnalazioni e i relativi documenti a supporto saranno oggetto di analisi preliminare da parte dell’Organo gestorio, al fine di verificare la presenza di dati ed informazioni utili e sufficienti a valutare l’astratta fondatezza della segnalazione, per avviare gli ulteriori approfondimenti.

Effettuata tale analisi, qualora, l’Organo gestorio verifichi che il fatto riportato non ha impatto ai fini del D.Lgs. 24/23, ma, tuttavia, può essere rilevante per l’Azienda ad altri fini diversi, procederà ad inoltrarla tempestivamente all’organo/organismo competente, dandone notizia al segnalante.

Nel caso, invece, in cui l’Organo preposto ritenga sussistente un ragionevole presupposto di fondatezza/attendibilità, si passerà ad un’indagine approfondita sui fatti oggetto della segnalazione, al fine di appurarne la fondatezza. Nello svolgimento della suddetta analisi, l’Organo gestorio potrà avvalersi - per specifici aspetti trattati nelle segnalazioni e qualora ritenuto necessario - del supporto di altre funzioni aziendali per quanto di competenza e potrà richiedere ulteriori informazioni e/o documentazione al segnalante mediante il Portale stesso o anche di persona, avendo sempre cura di preservare la riservatezza sull’dentità del segnalante.

Qualora, a conclusione della fase di analisi preliminare, emerga l’assenza di elementi sufficientemente circostanziati o l’infondatezza dei fatti richiamati, la segnalazione sarà archiviata con le relative motivazioni. In tal caso, l’Organo preposto provvederà ad informare il segnalante della conclusione e degli esiti dell’indagine svolta.

Laddove, a seguito delle analisi preliminari emergano o siano comunque desumibili elementi utili e sufficienti per valutare fondata la segnalazione, verrà avviata la successiva fase degli approfondimenti specifici.

 L’Organo gestorio  provvederà a:

• avviare le analisi specifiche avvalendosi, se ritenuto opportuno, delle strutture competenti della Società;
• alla conclusione dell’approfondimento svolto, sottoporre i risultati alla valutazione degli organi preposti interni o enti/istituzioni esterne, ognuno secondo le proprie competenze, a seconda dell’oggetto della segnalazione, affinché vengano intrapresi i più opportuni provvedimenti Non spetta al soggetto preposto alla gestione della segnalazione accertare le responsabilità individuali qualunque natura esse abbiano, né svolgere controlli di legittimità o di merito su atti e provvedimenti adottati dall’ente/amministrazione oggetto di segnalazione.
• concludere l’istruttoria in qualunque momento se, nel corso dell’istruttoria medesima, sia accertata l’infondatezza della segnalazione.

 

Le attività sopra descritte non sono necessariamente svolte in maniera sequenziale.

In ogni caso, all’ esito della fase istruttoria, l’Organo preposto provvederà ad informare il segnalante dell’esito della segnalazione, dando conto delle misure previste o adottate o da adottare per dare seguito alla segnalazione e dei motivi della scelta effettuata, nella misura in cui tali informazioni non pregiudichino l’inchiesta interna o l’indagine né ledano i diritti della persona coinvolta (es. comunicazione di archiviazione, rinvio autorità competente per ulteriori indagini, avvio inchiesta interna etc).

Si precisa che, al fine di privilegiare la volontà del segnalante è sempre possibile per quest’ultimo ritirare la segnalazione mediante apposita comunicazione da trasmettere attraverso il canale originariamente prescelto per l’inoltro della stessa. In tal caso gli accertamenti eventualmente già avviati si arresteranno.

 

8.2. Tempistiche

Nell'ambito della gestione del canale di  segnalazione  interna, l’Organo gestorio:

• rilascia al segnalante un avviso di ricevimento entro 7 giorni dalla data di ricezione della segnalazione:
• fornisce riscontro tempestivo alle eventuali richieste inoltrate dal segnalante attraverso i canali di segnalazione (sistema di messaggistica implementato sulla piattaforma)
• fornisce riscontro alla segnalazione entro tre mesi dalla data di avviso di ricevimento o, in mancanza di tale avviso, dalla scadenza del termine di sette giorni dalla presentazione della segnalazione.

Il sistema di protezione previsto dal d.lgs. n. 24/2023 si articola sui seguenti tipi di tutela:

1. la tutela della riservatezza del segnalante, del facilitatore, della persona coinvolta e delle persone menzionate nella segnalazione;
2. la tutela da eventuali misure ritorsive adottate dall’ente in ragione della segnalazione, divulgazione pubblica o denuncia effettuata e le condizioni per la sua applicazione[3];
3. le limitazioni della responsabilità rispetto alla rivelazione e alla diffusione di alcune categorie di informazioni che operano al ricorrere di determinate condizioni[4];
4. la previsione di misure di sostegno da parte di enti del Terzo settore inseriti in un apposito elenco pubblicato da ANAC[5].

Tali misure sono estese, oltre al segnalante, ai seguenti soggetti:

• al facilitatore (persona fisica che assiste il segnalante nel processo di segnalazione, operante all’interno del medesimo contesto lavorativo e la cui assistenza deve rimanere riservata). A titolo esemplificativo, il facilitatore potrebbe essere il collega di un Ufficio diverso da quello di appartenenza del segnalante che assiste quest’ultimo nel processo di segnalazione in via riservata, cioè senza divulgare le notizie apprese. Il facilitatore potrebbe essere un collega che riveste anche la qualifica di sindacalista se assiste il segnalante in suo nome e per suo conto, senza spendere la sigla sindacale;
• alle persone del medesimo contesto lavorativo della persona segnalante, di colui che ha sporto una denuncia o di colui che ha effettuato una divulgazione pubblica e che sono legate ad essi da uno stabile legame affettivo o di parentela entro il quarto grado;
• ai colleghi di lavoro della persona segnalante o della persona che ha sporto una denuncia o effettuato una divulgazione pubblica, che lavorano nel medesimo contesto lavorativo della stessa e che hanno con detta persona un rapporto abituale e corrente.
• agli enti di proprietà della persona segnalante o per i quali le stesse persone lavorano nonché agli enti che operano nel medesimo contesto lavorativo delle predette persone.

Le rinunce e le transazioni, integrali o parziali, che hanno per oggetto i diritti e le tutele previsti dal decreto non sono valide, salvo che siano effettuate nelle sedi protette di cui all’ art. 2113, co.4, del codice civile.

La Società garantisce la riservatezza dell’identità del Segnalante[6] a partire dalla fase di ricezione della segnalazione, nel rispetto delle previsioni di legge. A tal fine i dati personali identificativi del segnalante non sono direttamente visualizzabili nella segnalazione e sono conservati in modo da essere visibili esclusivamente all’organo preposto alla gestione della segnalazione. La società adotta tutte le garanzie e le misure tecniche ed organizzative previste dalla legge al fine di tutelare la riservatezza dell’identità del segnalante, in modo che la stessa non sia rivelata a terzi senza l’espresso consenso di quest’ultimo, salvo il caso di segnalazioni in mala fede o diffamatorie. Tra queste misure è incluso l’oscuramento dei dati personali, specie quelli relativi al segnalante ma anche degli altri soggetti la cui identità, in base al d.lgs. 24/2023, deve rimanere riservata (il facilitatore, il segnalato, le altre persone menzionate nella segnalazione), qualora, per ragioni istruttorie, anche altri soggetti debbano essere messi a conoscenza del contenuto della segnalazione e/o della documentazione ad essa allegata.

Nessuna ritorsione o discriminazione, diretta o indiretta, può derivare in capo a chi abbia effettuato una segnalazione in buona fede, a prescindere che la segnalazione si sia poi rivelata fondata o meno.

Sono previste sanzioni nei confronti di chi viola le misure di tutela e riservatezza del segnalante.

La tutela del segnalante non è, invece, garantita nel caso di segnalazioni effettuate con dolo o colpa grave o che si dovessero rivelare false, infondate, con contenuto diffamatorio o comunque effettuate al solo scopo di danneggiare la Società, il segnalato o altri soggetti interessati dalla segnalazione. Sono previste sanzioni nei confronti del segnalante, ove si riuscisse a risalire allo stesso nel caso di segnalazioni effettuate con dolo o colpa grave o che si dovessero rivelare false, infondate, con contenuto diffamatorio o comunque effettuate al solo scopo di danneggiare la Società, il segnalato o altri soggetti interessati dalla segnalazione.

La Società potrà, inoltre, intraprendere le opportune iniziative anche in sede giuridica.

In caso di procedimento disciplinare, l’identità del segnalante non può essere rivelata ove la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa; l’identità del segnalante potrà essere rivelata soltanto laddove:

• la contestazione sia fondata, in tutto o in parte, sulla segnalazione stessa e la conoscenza dell'identità del segnalante sia assolutamente indispensabile per la difesa dell’incolpato; e
• vi sia il consenso del segnalante.

In tal caso la Società avrà cura di comunicare, sempre previamente, in forma scritta al segnalante le motivazioni che conducono al disvelamento della sua identità.

La Società garantisce adeguata protezione alle persone direttamente o indirettamente oggetto della segnalazione.

La segnalazione non è sufficiente ad avviare alcun procedimento disciplinare verso il segnalato.

Non si potrà quindi sanzionare disciplinarmente il soggetto segnalato sulla base di quanto affermato dal segnalante, senza che vi siano riscontri oggettivi e senza che si sia proceduto ad indagare i fatti oggetto di segnalazione.

Ciò potrebbe avvenire eventualmente in base ad altre evidenze riscontrate e accertate a partire dalla segnalazione stessa.

Nell’ambito del procedimento eventualmente avviato nei suoi confronti a seguito della conclusione dell’attività di verifica e di analisi della segnalazione e nel caso in cui tale procedimento sia fondato in tutto o in parte sulla segnalazione, il segnalato potrà essere contattato e gli verrà assicurata la possibilità di fornire ogni eventuale e necessario chiarimento.

I dati personali del segnalante e degli altri soggetti meritevoli di protezione (es. facilitatore, persone menzionate, segnalati, etc.) e le informazioni contenute nelle segnalazioni e negli eventuali documenti alle stesse allegati, nonché i dati eventualmente acquisiti in sede di istruttoria dall’organismo preposto, sono trattati nel rispetto dei principi di correttezza, liceità, trasparenza e tutela della riservatezza e dei diritti di tutti gli interessati (segnalante, segnalato ed eventuali soggetti terzi coinvolti), ed in ottemperanza agli obblighi imposti dalla normativa data protection vigente.

Considerata la condivisione del canale di segnalazione e della relativa gestione con la società controllata, la Società ha stipulato un accordo di contitolarità ai sensi dell’art. 26 del REG UE 2016/679 (di qui in poi “GDPR”), in forza del quale qha assunto la responsabilità dei seguenti adempimenti che rientrano nella responsabilità congiunta delle Parti e che saranno svolti con il supporto della Controllata per quanto di rispettiva competenza.

1. l’effettuazione della valutazione dell’impatto dei trattamenti sulla protezione dei dati personali ai sensi dell’articolo 35 del GDPR;
2. la somministrazione dell’informativa sul trattamento
3. la gestione delle istanze degli interessati
4. la designazione del fornitore della piattaforma informatica che tratta dati per conto delle Parti a responsabile del trattamento ai sensi dell’art. 28 del GDPR;
5. la designazione, istruzione e formazione dell’organo gestorio ai sensi sia dell’art. 29 GDPR, 2 quaterdecies Codice Privacy, 4 e 13 D. Lgs 24/23
6.  la notifica delle violazioni di dati personali all’autorità di controllo competente ai sensi dell’art. 33 del GDPR;
7. la comunicazione delle violazioni di dati personali agli interessati ai sensi dell’art. 34 del GDPR;
8. la conservazione e l’aggiornamento dei registri delle violazioni dei dati personali.

Restano, invece,  sotto l’ individuale responsabilità delle Parti le seguenti attività:

1. trattare i dati personali degli interessati esclusivamente per le finalità previste dall’Accordo di Contitolarità, con espresso divieto di utilizzarli per altre finalità proprie di ciascun contitolare;
2. trattare i dati personali nel rispetto dei principi di liceità e correttezza di cui all’art. 5 del GDPR in modo tale da garantire la riservatezza e la sicurezza delle informazioni ed assicurare che le informazioni ed i dati raccolti siano adeguati, pertinenti e limitati, anche nel tempo di conservazione, a quanto necessario rispetto alle finalità di trattamento sopra indicate;
3. curare l’aggiornamento del proprio registro della attività di trattamento ai sensi dell’articolo 30 del GDPR, ove ne ricorrano i presupposti per la sua istituzione, con i trattamenti svolti in relazione alle attività di cui al presente Accordo di Contitolarità;
4. autorizzare al trattamento dei dati personali, ai sensi degli articoli 29 e 32, quarto paragrafo del GDPR e 2-quaterdecies del d.lgs. n. 196/2003, le persone fisiche (ivi compresi gli amministratori di sistema) preposte, nell’ambito della propria struttura aziendale, allo svolgimento delle attività di cui al presente Accordo di Contitolarità.

L’Organo gestorio individuato dalla Società cura l’archiviazione di tutta la documentazione a supporto della segnalazione ricevuta. I dati personali relativi alle segnalazioni vengono conservati e mantenuti per il periodo necessario al completamento della verifica dei fatti esposti nella segnalazione e per successivi 5 anni decorrenti dalla data della comunicazione dell'esito finale della procedura di segnalazione, salvo eventuali procedimenti scaturenti dalla gestione della segnalazione (disciplinari, penali, contabili) nei confronti del segnalato o del segnalante (dichiarazioni in mala fede, false o diffamatorie). In tal caso saranno conservati per tutta la durata del procedimento e fino allo spirare dei termini di impugnazione del relativo provvedimento. Al termine di detto periodo i dati sono cancellati oppure anonimizzati in modo irreversibile e conservati ai soli fini statitistici.

La violazione dei principi fissati nella presente procedura viene perseguita, con tempestività ed immediatezza.

La Società si riserva il diritto di intraprendere azioni disciplinari nei confronti del segnalante in caso di abuso dello strumento “Wistleblowing”, ad esempio in ipotesi di segnalazioni manifestamente opportunistiche e/o al solo scopo di danneggiare il segnalato o soggetti comunque interessati dalla segnalazione e ogni altra ipotesi di utilizzo improprio o di intenzionale strumentalizzazione dell'istituto oggetto della presente procedura.

Le sanzioni verranno applicate sulla base dello Statuto dei Lavoratori (legge n. 300/1970) e dei singoli Contratti Collettivi Nazional e del Sistema disciplinare ex MOG 231, fatta salva la possibilità di far valere ulteriori diritti e interessi nelle sedi legali opportune.

La presente Procedura e il Portale saranno oggetto di revisione periodica per garantire il costante allineamento alla normativa di riferimento nonché in funzione dell’operatività e della esperienza maturata.

L’organizzazione, per il tramite dell’Organo gestorio, intraprende iniziative di comunicazione e sensibilizzazione della presente procedura e degli altri cnali di segnalazione previsti dal D.lgs 24/23 (canale esterno, divulgazione pubblica, denuncia) tramite iniziative di formazione divulgate anche sul portale intranet e sul sito web istituzionale rivolte a tutti i potenziali segnalanti allo scopo di comunicare le finalità dell’istituto del Whistleblowing e le modalità per il suo corretto utilizzo; sui relativi diritti e obblighi; sulle conseguenze degli abusi nel suo utilizzo; sui risultati che l’attuazione della norma ha prodotto.