Whistleblowing

0.PREMESSA
La presente procedura e le istruzioni operative ad essa correlate sono parte integrante e costituiscono diretta applicazione di quanto disposto dal Modello di Organizzazione, Gestione e Controllo ex D.Lgs.231/2001: la loro inosservanza potrebbe quindi comportare l’applicazione di sanzioni sulla base di quanto da esso disciplinato.
Ogni violazione della procedura e del Modello deve essere segnalata all’Organismo di Vigilanza.

1.SCOPO
La presente procedura illustra le modalità con cui il destinatario del Modello di Organizzazione, Gestione e Controllo (di seguito “Modello” o “MOGC231”) può effettuare segnalazioni in merito ad eventi che potrebbero ingenerare responsabilità ai sensi del D.Lgs.231/01 o che comunque rappresentino segnalazione di infrazioni/violazioni, come meglio dettagliato in seguito.

1.1Destinatari
I destinatari della presente procedura sono:
• Destinatari del Modello: ogni destinatario del MOGC231 può rivestire il ruolo di segnalante
• OdV: destinatario delle segnalazioni, incaricato della gestione della segnalazione stessa

2.RIFERIMENTI
La presente procedura risponde ai requisiti specificati nelle norme di riferimento (sia di tipo cogente che di tipo volontario) che l’organizzazione ha adottato e fatto proprie (vd. PQDRM02 – Elenco Norme & Leggi), con particolare riferimento a:
• D.Lgs.231/01 s.m.i. (di seguito anche “Decreto 231”);
• L.179/17 del 30/11/2017: Tutela del dipendente o collaboratore che segnala illeciti nel settore privato;
• GDPR – Regolamento 2016/679/UE del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);
• Decreto Legislativo 30 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali) e successive modifiche ed integrazioni, tra cui il Decreto Legislativo 10 agosto 2018, n. 101, nonché le collegate disposizioni legislative;
• Direttiva 2019/1937/UE del Parlamento Europeo e del Consiglio, riguardante la “protezione delle persone che segnalano violazioni del diritto dell’Unione”;
• D.Lgs.24/23 decreto attuativo della Direttiva 2019/1937/UE del Parlamento Europeo e del Consiglio, riguardante la “protezione delle persone che segnalano violazioni del diritto dell’Unione”.

Riferisce inoltre alle norme e regole interne riportate sui seguenti documenti, disponibili in rete al percorso \\Datastoresrv\Sistema_Qualita’:
• Modello Organizzativo di Gestione e Controllo ex D.Lgs.231/01 [“MOGC231”, Parte generale e speciale]
• Manuale di Gestione Aziendale (MGA) e relativi allegati, tra cui:
• Codice etico (Allegato 2a al MGA)
• Quadro poteri e deleghe (Allegato 3c al MGA) Policies Di Comportamento (Allegato 2b al MGA)
• IOQ&S02 – Policies Di Sicurezza

2.1.Documenti di registrazione
I modelli/template di riferimento, pubblicati in \\Datastoresrv\Sistema_Qualita’\Modelli_new o in specifiche cartelle, sono dettagliati nelle IO di riferimento e qui riportati:
• Modulo per la segnalazione di condotte illecite

Come specificato nel §4.1.2, il modulo non è strettamente necessario per effettuare la segnalazione.

3.TERMINI E DEFINIZIONI
DOCUMENTI DEL SISTEMA DI GESTIONE AZIENDALE:
SGA Sistema di Gestione Aziendale
MGA Manuale di Gestione Aziendale
PQ Procedura del Sistema di Gestione Aziendale
IO Istruzione Operativa
MOD Modulo/Modello

FUNZIONI:
Sono valide le sigle definite in organigramma aziendale.

DEFINIZIONI SPECIFICHE:
Si rimanda alle definizioni di cui al D.Lgs.24/23, art.2, tra cui si riportano le più significative:

Whistleblowing Whistleblowing deriva dalla frase “to blow the whistle”, letteralmente «soffiare il fischietto», riferita all’azione dell’arbitro nel segnalare un fallo o a quella di un poliziotto che tenta di fermare un’azione illegale.
Con la L.179/17 del 30 novembre 2017, è stato inserito il comma 2-bis nell’art.6 del D.Lgs.231/01 che fornisce la disciplina della “Tutela del dipendente o collaboratore che segnala illeciti nel settore privato”.
Secondo tale normativa, i destinatari del MOGC231 che siano venuti a conoscenza di condotte illecite rilevanti ai sensi del D.Lgs.231/01 o di violazioni secondo quanto indicato nel §4.1, sono invitati ad effettuare segnalazioni circostanziate e fondate su elementi di fatto precisi e concordanti.

Whistleblower (o segnalante) Con quanto disposto dagli artt.1 e 2 del D.Lgs.24/23, viene definito Whistleblower colui che segnala, divulga ovvero denuncia all’Autorità giudiziaria o contabile, violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui è venuta a conoscenza in un contesto lavorativo pubblico o privato.
Sono legittimate ad effettuare segnalazioni le persone che operano nel contesto lavorativo di un soggetto del settore pubblico o privato, in qualità di:
• dipendenti
• lavoratori subordinati
• lavoratori autonomi/collaboratori
• liberi professionisti
• volontari e tirocinanti
• terzi quali fornitori, consulenti ed, in generale, gli stakehokder
• azionisti e persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza

Segnalazione comunicazione, scritta od orale, di informazioni relative ad una potenziale violazione (come meglio specificato nel §4.1). Le Segnalazioni riguardano tutte quelle situazioni in cui il segnalante agisce a tutela di un interesse non personale, in quanto il fatto segnalato, solitamente, attiene a pericoli o rischi che minacciano l’organizzazione nel suo complesso, il personale, i terzi o anche, in via più generale, la collettività.

Facilitatore: una persona fisica che assiste una persona segnalante nel processo di segnalazione, operante all’interno del medesimo contesto lavorativo e la cui assistenza deve essere mantenuta riservata.

TFUE Trattato sul Funzionamento dell’Unione Europea: descrive il funzionamento dell’UE e determina settori, modalità e limiti del suo esercizio e della sua competenza.

c.p. Codice Penale

4.PROCESSO
Nei paragrafi successivi viene illustrato il “Whistleblowing scheme” adottato da Area, ovvero la procedura da seguire per effettuare segnalazioni.

4.1 Perimetro della segnalazione
4.1.1 Oggetto della segnalazione
Il presente sistema di segnalazione è istituito da Area in risposta allo specifico requisito normativo dettato dal D.Lgs.231/01 e s.m.i., art.6, comma 2-bis ed ha pertanto l’obiettivo principale di gestire le segnalazioni di irregolarità e/o illeciti (verificatisi o che possano verificarsi) in riferimento alle previsioni del D.Lgs.231/01 e/o del MOGC231.

Inoltre, con l’entrata in vigore del D.Lgs.24/23, viene stabilito che sono oggetto di segnalazione le informazioni sulle violazioni, compresi i fondati sospetti, di normative nazionali e dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, commesse nell’ambito dell’organizzazione dell’ente con cui il segnalante intrattiene rapporti giuridici (vd. definizione di “Whistleblower”).
Le informazioni sulle violazioni possono riguardare anche le infrazioni non ancora commesse che il whistleblower, ragionevolmente, ritiene potrebbero esserlo sulla base di elementi concreti. Tali elementi possono essere anche irregolarità e anomalie (indici sintomatici) che il segnalante ritiene possano dar luogo ad una delle violazioni previste dal decreto.

Le violazioni individuate dal legislatore, e di seguito tipizzate, possono riguardare:
• Illeciti penali;
• Illeciti amministrativi;
• Illeciti contabili;
• Illeciti civili;
• Violazioni di condotte illecite rilevanti ai sensi del D.Lgs.231/01 e di quanto previsto nel relativo MOGC231 implementato in AREA;
• Illeciti commessi in violazione della normativa dell’UE indicata nell’Allegato 1 al D.Lgs.24/23 e di tutte le disposizioni nazionali che ne danno attuazione, in riferimento ai seguenti settori: contratti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell’ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi;
• Atti od omissioni che ledono gli interessi finanziari dell’Unione Europea (TFUE, art.325) come individuati in regolamenti, direttive, decisioni, raccomandazioni e pareri dell’UE, aventi come obiettivo la lotta contro la frode e le attività illegali che ledono gli interessi finanziari dell’UE;
• Atti od omissioni riguardanti il mercato interno dell’UE, che compromettono la libera circolazione delle merci, delle persone, dei servizi e dei capitali (TFUE, art.26, paragrafo 2); sono ricomprese le violazioni delle norme dell’UE in materia di concorrenza e di aiuti di Stato, di imposta sulle società e/o le attività volte ad ottenere un vantaggio fiscale che vanifica l’oggetto o la finalità della normativa applicabile in materia di imposta stessa sulle società;
• Atti o comportamenti che vanificano l’oggetto o la finalità delle disposizioni dell’Unione Europea nei settori indicati ai punti precedenti.

Dal punto di vista operativo, ciò implica il coinvolgimento delle funzioni preposte al rispetto della normativa nei diversi ambiti, le quali dovranno alimentare il sistema di segnalazioni.
A titolo esemplificativo e non esaustivo costituiscono fatti oggetto di possibile segnalazione:
• furto di beni di proprietà dell’organizzazione;
• falsificazione o alterazione di documenti;
• falsificazione o manipolazione dei conti e omissione intenzionale di registrazioni, eventi o dati;
• distruzione, occultamento o uso inappropriato di documenti, file, archivi, attrezzature e strumenti aziendali;
• appropriazione indebita di denaro, valori, forniture o altri beni appartenenti all’organizzazione o a terzi;
• dazione di una somma di denaro o concessione di altra utilità ad un pubblico ufficiale come contropartita per la funzione svolta o per l’omissione di un atto di ufficio (es. mancata elevazione di un verbale di contestazione per
• irregolarità fiscali);
• accettazione di denaro, beni, servizi o altro beneficio come incentivi per favorire fornitori/aziende;
• falsificazione di note spese (es. rimborsi “gonfiati” o per false trasferte);
• falsificazione delle presenze al lavoro;
• rivelazione di informazioni confidenziali e di proprietà dell’organizzazione a parti esterne tra cui competitor;
• utilizzo delle risorse e dei beni aziendali per uso personale, senza autorizzazione;
• presenza di anomalie in attrezzature, sostanze, materiali e dispositivi;
• azioni od omissioni suscettibili di arrecare un pregiudizio patrimoniale all’organizzazione;
• azioni od omissioni suscettibili di arrecare un pregiudizio all’immagine dell’organizzazione;
• presenza di pericolo grave ed incombente per la salute e sicurezza dei lavoratori (il lavoratore, oltre a segnalare, dovrà anche attivarsi per rimuovere il pericolo, compatibilmente con le proprie capacità e competenze).

Si precisa che il whistleblowing non riguarda doglianze di carattere personale del segnalante, in quanto le segnalazioni, anche qualora anonime, devono incidere sull’interesse pubblico o sull’interesse dell’integrità dell’ente.
L’anonimato non può in alcun modo rappresentare lo strumento per dar sfogo a dissapori o contrasti tra dipendenti/collaboratori.
È parimenti vietato:
• il ricorso ad espressioni ingiuriose;
• l’inoltro di segnalazioni con finalità puramente diffamatorie o calunniose;
• l’inoltro di segnalazioni che attengano esclusivamente ad aspetti della vita privata, senza alcun collegamento diretto o indiretto con l’attività aziendale. Tali segnalazioni saranno ritenute ancor più gravi quando riferite ad abitudini e orientamenti sessuali, religiosi, politici e filosofici.

4.1.2.Requisiti e contenuto della segnalazione
Le segnalazioni, come previsto dalla normativa (D.Lgs.231/01, art.6, comma 2-bis), devono essere:
• circostanziate;
• fondate su elementi di fatto precisi e concordanti.

A tal proposito è opportuno precisare che “non è necessario che il segnalante sia certo dell’effettivo avvenimento dei fatti denunciati e dell’autore degli stessi. Si ritiene, invece, sufficiente che il segnalante, in base alle proprie conoscenze, ritenga altamente probabile l’essersi verificato un fatto illecito.” [Linee Guida ANAC].
Mentre non saranno prese in considerazione le segnalazioni fondate su meri sospetti o voci.

Ogni segnalazione dovrà pervenire riportando le seguenti informazioni:
• il periodo di riferimento ed il luogo fisico in cui ha avuto luogo;
• la natura delle azioni/omissioni commesse o tentate;
• la descrizione della irregolarità/violazione ovvero dell’illecito presumibilmente commessi;
• le eventuali cause e finalità dell’atto contrario al MOGC231;
• le persone o le strutture aziendali coinvolte in qualità di autore/i del fatto;
• eventuali altri soggetti a conoscenza del fatto.

Si raccomanda di fornire tutte le informazioni e i dati necessari ai fini di permettere un’esauriente trattazione della segnalazione.
In caso di impossibilità di riscontro della veridicità della segnalazione e/o di analisi del contenuto della stessa, si procederà con automatica archiviazione.

4.1.3.Soggetti che possono fare una segnalazione
Il segnalante è colui che, testimone di un illecito o di un’irregolarità sul luogo di lavoro, decide di segnalarlo. Può essere segnalante chiunque svolga un determinato compito o funzione all’interno dell’organizzazione, ad esempio: i dipendenti, i dirigenti, gli azionisti, gli amministratori, coloro che svolgono funzioni di controllo e vigilanza, i collaboratori, i consulenti, i volontari, i tirocinanti, i terzi quali i fornitori ed, in generale, gli stakeholder.

Pertanto, le segnalazioni possono essere effettuate quando:
• Il rapporto giuridico è in corso,
• Il rapporto giuridico non è ancora iniziato se le informazioni sulle violazioni sono state acquisite durante il processo di selezione o in altre fasi precontrattuali,
• Il rapporto giuridico si è sciolto, se le informazioni sulle violazioni sono state acquisite prima dello scioglimento del rapporto stesso (pensionati).

4.1.4.Soggetti che possono essere segnalati
Chiunque può essere denunciato dal segnalante che lo ritenga responsabile di una irregolarità e/o di una violazione.
Il soggetto denunciato viene informato quanto prima possibile dacché vengono registrati i dati che lo riguardano. In nessuna circostanza può essere permesso al denunciato di avvalersi del suo diritto di accesso per ottenere informazioni sull’identità del denunciante.

4.1.5.I canali di segnalazione
Con l’entrata in vigore del D.Lgs.24/23 il legislatore ha previsto più possibili canali di segnalazione per il Whistleblower; di seguito sono sintetizzate le modalità di segnalazione disponibili in Area, in ottomperanza alla normativa vigente:
• Il canale interno di segnalazioni in Area è affidato all’OdV, il quale gestisce le segnalazioni ricevute, garantendo la riservatezza e l’anonimato del segnalante;
• Il canale esterno di segnalazioni è affidato all’ANAC (come previsto dal D.Lgs.24/23, art.7); è possibile fruire del suddetto canale, ad esempio, qualora:
• il segnalante abbia già effettuato una segnalazione interna senza aver ricevuto alcun riscontro;
• il segnalante abbia fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.

Sempre nell’ambito del canale “esterno”, il D.Lgs.24/23 prevede la possibilità per il segnalante di procedere anche tramite:
• La divulgazione pubblica: permette al segnalante di rendere di pubblico dominio informazioni sulle violazioni tramite la stampa o mezzi elettronici o comunque tramite mezzi di diffusione in grado di raggiungere un numero elevato di persone. Ciò è consentito solamente nel caso in cui il segnalante abbia usato il canale interno ed il canale esterno di cui sopra ma non è stata intrapresa un’azione appropriata, nel caso la violazione possa rappresentare un pericolo imminente o palese per il pubblico interesse o nel caso in cui il segnalante abbia fondati motivi di ritenere che la segnalazione mediante canale “ANAC” possa comportare il rischio di ritorsioni oppure possa non avere efficace seguito;
• Denuncia all’Autorità giudiziaria: il decreto, in conformità alla precedente disciplina, riconosce ai soggetti tutelati anche la possibilità di rivolgersi alle Autorità giudiziarie, per inoltrare una denuncia di condotte illecite di cui siano venuti a conoscenza in un contesto lavorativo pubblico o privato

Come previsto dall’attuale normativa, le modalità di segnalazioni sono inoltre pubblicate in apposita in sezione del sito aziendale (https://www.area.it/codice-etico/).

4.2.Destinatario della segnalazione
4.2.1.Organo competente del canale interno (e tutela)
La responsabilità della raccolta e della gestione delle segnalazioni effettuate tramite il canale interno è dell’OdV – Organismo di Vigilanza -nominato nell’ambito del D.Lgs.231/01.
L’OdV è peraltro l’organo già deputato a ricevere i flussi informativi aventi ad oggetto le risultanze periodiche dell’attività di controllo sull’efficace attuazione del MOGC231.
Qualora ritenuto opportuno, l’OdV potrà avvalersi della collaborazione dei referenti aziendali interessati ovvero, in caso di segnalazioni che richiedano competenze specifiche, di professionisti esterno, preservando comunque la riservatezza del segnalante.

4.2.3.Escalation
Nell’ipotesi in cui la segnalazione riguardi direttamente uno dei membri dell’OdV, la stessa dovrà essere indirizzata al CdA, che diventerà responsabile della gestione della specifica segnalazione.

4.2.4.Poteri dell’Organo destinatario
Nell’ambito della propria autonomia, l’OdV ha la facoltà di procedere alle attività di approfondimento che ritiene opportune al fine di verificare efficacemente la fondatezza della segnalazione, ferme restando le norme relative ai controlli e indagini di cui al Titolo I dello Statuto dei Lavoratori, concernenti i controlli dell’uomo sull’uomo (“Della libertà e dignità del lavoratore”) e i vincoli stabiliti dalle altre norme cogenti (es.: GDPR, vd. §4.66).

4.2.5.Organo competente del canale esterno (e tutela)
La responsabilità della raccolta e della gestione delle segnalazioni effettuate tramite il canale esterno è dell’ANAC, come stabilito dal D.Lgs.24/23.
L’ANAC non è tuttavia ritenuto soggetto destinatario delle segnalazioni comunicate a mezzo “Divulgazione Pubblica” e “Denuncia all’autorità”.

4.3.Procedura di segnalazione Interna
4.3.2.Responsabile della procedura
Il Whistleblowing Scheme prevede l’individuazione di un Responsabile dei sistemi interni di segnalazione, il quale:
• assicura il corretto svolgimento della procedura,
• riferisce direttamente e senza indugio agli organi aziendali le informazioni oggetto delle segnalazioni, ove rilevanti,
• redige una relazione annuale sul corretto funzionamento della procedura di allerta interna.

Il Responsabile della procedura, in Area, è individuato nell’OdV, responsabile anche della ricezione e gestione delle segnalazioni stesse.
A fronte di questo, l’OdV deve anche:
• informare il segnalato quanto prima possibile dacché vengono registrati i dati che lo riguardano;
• redigere una relazione annuale di sintesi sulle segnalazioni pervenute e sul relativo iter.

L’organizzazione ha l’obbligo di tutelare il Responsabile della procedura di segnalazione contro pressioni e discriminazioni esercitate da o per conto del segnalato.

4.3.3.Modalità della segnalazione
Segnalazione in forma verbale
Il Segnalante può richiedere un incontro con l’OdV durante il quale esporre il contenuto della segnalazione. È comunque prevista la verbalizzazione scritta della segnalazione.
Segnalazione in forma cartacea
Il Segnalante può trasmettere la segnalazione, in busta chiusa e sigillata, recante all’esterno la dicitura “riservata/personale” ad: AREA S.p.A. – Organismo di Vigilanza, Via Gabriele D’Annunzio, 2, Vizzola Ticino (VA).

In alternativa la medesima busta può essere inserita nella cassetta posta al Piano 3 della sede aziendale di Area, c/o Building MXP (Via Gabriele D’Annunzio, 2, Vizzola Ticino), predisposta al fine di raccogliere la documentazione riservata destinata all’ufficio HR.

La segnalazione in forma cartacea, qualora anonima, verrà presa in considerazione solo ed esclusivamente se adeguatamente circostanziata e resa con dovizia di particolari, tale cioè da far emergere fatti e situazioni determinati e precisi.
Qualora la segnalazione non presenti alcun dato identificativo del segnalante e non possa in alcun modo essere stabilito un canale di comunicazione verso il medesimo, benché la segnalazione stessa sia corredata delle informazioni necessarie all’approfondimento della denuncia, non potrà essere gestita nel rispetto delle garanzie di tutela nei confronti del segnalante, né nel rispetto delle tempistiche previste dalla normativa per la restituzione degli opportuni riscontri.
Segnalazione con modalità informatiche
Il segnalante, in deroga a quanto previsto dalle Policies di Sicurezza (IOQ&S02, §§ 5.4.11 e 5.4.19) può fare uso anche di caselle di posta personali/private, eventualmente non identificative dell’identità del mittente, per inviare la segnalazione all’indirizzo dedicato segnalazione@legalmail.it, ad accesso esclusivo dell’OdV.
In questo caso, anche qualora la segnalazione risulti anonima, verrà trattata in considerazione dei tempi e delle garanzie descritte all’interno del D.Lgs.24/23.

La modalità di invio della segnalazione che garantisce la crittografia del contento e la completa riservatezza dello stesso, consiste nell’allegare alla e-mail la documentazione esplicativa compressa in formato 7-zip (.7z) protetto da password, eliminando dal corpo della e-mail qualsiasi riferimento in chiaro.
La password non dovrà essere comunicata nel corpo della medesima e-mail ma inviata attraverso ulteriori mezzi di contatto all’OdV (es.: verbalmente o in altra e-mail).

4.3.4.Modalità di gestione della segnalazione
L’OdV, organo responsabile di gestire la segnalazione, a seguito della ricezione della stessa ne analizza il contenuto individuandone ed analizzandone:
• la data di ricezione;
• la pertinenza della segnalazione;
• se si tratti di un’azione commessa o tentata;
• la natura del fatto: irregolarità o violazione del modello, tipo di violazione;
• il processo (e protocollo) di riferimento, se applicabile;
• gli eventuali soggetti e/o uffici competenti per la specifica tematica;
• la necessità o meno di approfondimenti ed eventuale coinvolgimento di terze parti per lo svolgimento delle stesse (in caso di consulenti esterni, sottoscrizione di specifico NDA).

Successivamente, l’OdV procede con la gestione della segnalazione con le seguenti fasi:
• Effettuazione degli approfondimenti nel rispetto dei principi di imparzialità e riservatezza, svolgendo ogni attività ritenuta opportuna, inclusa l’eventuale audizione personale del segnalante e di eventuali altri soggetti che possano riferire sui fatti segnalati.

Qualora, all’esito della verifica, la segnalazione risulti fondata, in relazione alla natura della violazione, si provvederà:
• a comunicare l’esito dell’accertamento ad HR Manager ed al Responsabile della struttura di appartenenza dell’autore della violazione accertata, affinché provveda all’adozione dei provvedimenti gestionali di competenza, incluso, sussistendone i presupposti, l’esercizio dell’azione disciplinare;
• a comunicare l’esito dell’accertamento al CdA, per le ulteriori eventuali azioni che si rendano necessarie a tutela dell’Azienda;
• a presentare denuncia, secondo normativa, all’autorità giudiziaria competente.

• Reporting: l’OdV redige il report dell’approfondimento svolto, lo condivide con l’eventuale incaricato dell’approfondimento stesso e con il CdA. Tale documento è completo dei dettagli e delle informazioni necessarie a definire eventuali provvedimenti, tra cui quelli volti ad evitare il ripetersi degli eventi segnalati.

Successivamente si identificheranno gli interventi di miglioramento per la riduzione del rischio di commissione dei reati e/o di violazioni.
A seguito di tale report verrà valutata anche la necessità di aggiornare eventuali documenti utilizzati dall’organizzazione ed erogare opportuna formazione verso i dipendenti/collaboratori, al fine di condividere le modifiche emerse.

4.3.5.Feedback al segnalante
L’OdV deve informare il segnalante dell’avvenuta ricezione della segnalazione entro 7 giorni; successivamente ha tempo 3 mesi, dalla data di ricevimento della segnalazione, per darne riscontro (accoglimento o archiviazione della segnalazione). Qualora l’iter non fosse ancora concluso, l’OdV è comunque tenuto a darne informazione al segnalante, che verrà aggiornato sui successivi sviluppi.
Il segnalante ha diritto ad un feedback la cui natura verrà decisa dall’OdV di volta in volta, nel rispetto della privacy del segnalato.

4.4.Procedura di segnalazione Esterna
4.4.1Responsabile della procedura
La gestione delle segnalazioni esterne è disciplinata agli artt.6-7-8 del D.Lgs.24/23, nei quali è indicato come responsabile dei sistemi di segnalazione l’ANAC.
ANAC ha attivato un canale esterno per le segnalazioni che garantisce, tramite il ricorso a strumenti di crittografia, la riservatezza dell’identità della persona segnalante, della persona coinvolta e delle eventuali persone menzionate nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione.

4.4.2.Modalità della segnalazione
La segnalazione esterna viene acquisita da ANAC mediante:
• Piattaforma informatica
• Segnalazione telefonica
• Incontro diretto

Segnalazione in piattaforma informatica
La piattaforma ANAC consente, in modo informatizzato, la compilazione, l’invio e la ricezione del modulo di segnalazione, la gestione dell’istruttoria e l’eventuale inoltro ad altre Autorità competenti.
Nel sito istituzionale di ANAC, cliccando il link alla pagina dedicata, si accede al servizio dedicato al Whistleblowing – Modulo per la segnalazione di condotte illecite ai sensi del decreto legislativo n.24/2023 (https://whistleblowing.anticorruzione.it/#/).

Segnalazione in forma telefonica
ANAC ha predisposto un servizio telefonico con operatore che, previa presentazione vocale dell’informativa del trattamento dei dati personali e delle indicazioni necessarie per reperire online il testo completo di tale informativa, consente l’acquisizione delle segnalazioni orali. L’operatore è un componente dell’Ufficio ANAC competente. Questi acquisisce la segnalazione telefonicamente e la inserisce sulla piattaforma ANAC unitamente al file audio di registrazione della telefonata.
L’operatore successivamente fornirà al segnalante il codice univoco di 16 cifre che gli permetterà di effettuare il primo accesso alla piattaforma, dove verrà fornito un nuovo codice.

Segnalazioni raccolte tramite incontri diretti
ANAC dà la possibilità di effettuare segnalazioni anche mediante incontro diretto, previa presentazione dell’informativa del trattamento dei dati personali: il segnalante effettuerà la propria segnalazione ad un operatore che la inserirà nella piattaforma informatica, analogamente a quanto previsto per le segnalazioni telefoniche sopra descritte.

4.4.3.Modalità di gestione della segnalazione
L’ANAC, a seguito della ricezione della segnalazione, ne analizza il contenuto individuandone la propria competenza e legittimità di merito.
• Istruttoria: La segnalazione pervenuta e l’allegata documentazione vengono trasmesse agli Uffici di vigilanza competenti rispetto al caso di specie, svolgendo l’istruttoria necessaria a dare seguito alla segnalazione, anche mediante audizioni e acquisizione di documenti.

La comunicazione deve indicare a pena di inammissibilità:
• la denominazione e i recapiti completi dell’interessato nonché, se disponibile, l’indirizzo di posta elettronica certificata che l’Autorità utilizzerà per eventuali comunicazioni;
• l’autore della presunta violazione;
• i fatti all’origine della comunicazione;
• i documenti a sostegno della comunicazione.
Laddove sia necessario acquisire informazioni, chiarimenti o documenti ulteriori rispetto a quelli contenuti nella comunicazione, l’Ufficio può convocare in audizione i soggetti che ne sono in possesso ovvero inviare loro una richiesta di integrazione documentale con assegnazione di un termine, non superiore a 30 giorni, entro il quale va fornito riscontro.

Reporting: Terminata la fase istruttoria l’ANAC provvede a comunicare alla persona segnalante l’esito finale dell’istruttoria, condotta dall’Ufficio di vigilanza competente, la quale può consistere anche nell’archiviazione o nella trasmissione degli atti alle Autorità competenti o in una raccomandazione o in una sanzione amministrativa.

4.4.4.Feedback al segnalante
L’ANAC deve dare avviso al segnalante del ricevimento della segnalazione entro 7 giorni dalla data del suo ricevimento, salvo esplicita richiesta contraria del segnalante medesimo, ovvero salvo il caso in cui l’ANAC ritenga che l’avviso pregiudicherebbe la protezione della riservatezza dell’identità del segnalante.
Successivamente alla fase istruttoria l’ufficio di vigilanza deve dare riscontro al segnalante entro 3 mesi o, se ricorrono giustificate e motivate ragioni, 6 mesi dalla data di avviso di ricevimento della segnalazione esterna; comunicando l’esito finale della segnalazione.

4.5.Tutela del segnalante
4.5.1.Obbligo di riservatezza dell’identità
Deve essere garantita la riservatezza dell’identità del segnalante nelle attività di gestione della segnalazione, a partire dalla ricezione della stessa ed in ogni fase successiva.
La riservatezza deve essere garantita, oltre che all’identità del segnalante, anche a qualsiasi altra informazione o elemento della segnalazione dal cui disvelamento si possa dedurre direttamente o indirettamente l’identità del segnalante.
La violazione dell’obbligo di riservatezza è fonte di responsabilità disciplinare, fatte salve ulteriori forme di responsabilità previste dall’ordinamento.
Pertanto, l’identità del segnalante non può essere rivelata senza il consenso espresso dello stesso, in forma scritta, in risposta ad una comunicazione scritta indicante le motivazioni che conducono al disvelamento dell’identità. Questa tutela deve essere applicata anche da parte degli organi di vertice dell’organizzazione, che non possono disporre approfondimenti o chiedere informazioni al fine di risalire all’identità del segnalante. L’obbligo di mantenere la massima riservatezza sull’identità del segnalante e di non svolgere approfondimenti o chiedere informazioni di cui sopra riguarda tutti coloro che, a qualunque titolo, vengano a conoscenza della stessa o siano coinvolti nel procedimento di accertamento della segnalazione e potrà essere ribadito anche tramite richiesta di sottoscrizione di un formale impegno in tal senso.

In caso di attivazione di procedimento disciplinare a seguito dei fatti oggetto della segnalazione, l’identità del segnalante potrà essere rivelata, previo consenso, qualora:
• la contestazione dell’addebito disciplinare risulti fondata, in tutto o in parte, sulla segnalazione e
• la conoscenza dell’identità del segnalante risulti assolutamente indispensabile alla difesa dell’incolpato, sempre che tale circostanza venga da quest’ultimo dedotta e comprovata in sede di audizione o mediante la presentazione di memorie difensive.
Simili misure di tutela valgono esclusivamente per coloro che segnalino in buona fede, ossia per quei segnalanti che abbiano riportato la problematica ritenendo altamente probabile, sulla base alle proprie conoscenze, che si sia verificato un fatto illecito o un’irregolarità.

Non è dovuta alcuna tutela nel caso in cui il segnalante incorra, con propria denuncia, in responsabilità penale a titolo di calunnia (art.368 c.p.) o diffamazione (art.595 c.p.) o risarcimento per fatto illecito (art.2043 del Codice civile) e nell’ipotesi in cui l’anonimato non sia applicabile per legge (es. indagini penali, tributarie o amministrative, ispezioni di organi di controllo).

Con l’entrata in vigore del D.Lgs.24/23, il legislatore ha esteso la tutela prevista per il segnalante a tutte le figure che per la loro attività assistano il segnalante nel rilascio delle sue dichiarazioni, quali:
• facilitatori, ovvero le persone fisiche che assistono il segnalante nel processo di segnalazione, operante all’interno del medesimo contesto lavorativo e la cui assistenza deve essere mantenuta riservata;
• le persone del medesimo contesto lavorativo del segnalante che sono legate ad esso da uno stabile legame affettivo o di parentela entro il quarto grado;
• colleghi di lavoro del segnalante che hanno con detta persona un rapporto abituale e corrente;
• enti di proprietà del segnalante per i quali lo stesso lavori, nonché enti che operano nel medesimo contesto lavorativo del segnalante stesso.

4.6.1.Divieto di ritorsione
Nei confronti del destinatario del Modello che effettua una segnalazione ai sensi della presente procedura non è consentita, né tollerata, alcuna forma di ritorsione o misura discriminatoria, diretta o indiretta o tentata, avente effetti sulle condizioni di lavoro per motivi collegati direttamente o indirettamente alla denuncia, tali da arrecare un danno ingiusto al segnalante (licenziamento, demansionamento, trasferimento ingiustificato o comportamenti classificabili come mobbing, note di merito negative e ulteriori condizioni indicate all’art.17 del D.Lgs.24/23). Per misure discriminatorie si intendono azioni disciplinari ingiustificate, molestie sul luogo di lavoro ed ogni altra forma di ritorsione che determini condizioni di lavoro intollerabili.

Il segnalante che ritiene di aver subito una discriminazione per il fatto di aver effettuato una segnalazione di illecito deve dare notizia circostanziata dell’avvenuta discriminazione all’OdV, con riferimento alla segnalazione precedentemente effettuata. L’OdV, valutata la sussistenza degli elementi, segnala l’ipotesi di discriminazione:
• al responsabile della struttura di appartenenza del dipendente/collaboratore autore della presunta discriminazione;
• ad HR Manager;
• ad altra struttura ritenuta idonea, qualora la discriminazione sia stata attuata congiuntamente da HR Manager e dal responsabile di funzione.

Il Responsabile della struttura, in collaborazione con HR Manager, valuta tempestivamente l’opportunità/necessità di adottare atti o provvedimenti per ripristinare la situazione e/o per rimediare agli effetti negativi della discriminazione in via amministrativa e la sussistenza degli estremi per avviare il procedimento disciplinare nei confronti della persona autore della discriminazione.

Resta ferma la facoltà del dipendente di rivolgersi direttamente all’ispettorato del lavoro o al sindacato di appartenenza.

4.6.Documentazione e sistema informatico
4.6.1.Conformità ai principi di Privacy by Design e Privacy by Default
All’interno del sistema di segnalazione, è stato definito uno specifico modulo che guidi il segnalante nella compilazione di una segnalazione da inviare.
Il modulo (Modulo per la segnalazione di condotte illecite) razionalizza la compilazione, al fine di invitare il segnalante a riportare tutte e sole le informazioni necessarie alla segnalazione stessa, senza eccedere rispetto ad esse (Privacy by default).

La compilazione del modulo non è considerata necessaria, tuttavia è estremamente utile per inviare tutti e soli i dati indispensabili all’analisi dell’accaduto. È consigliabile pertanto compilarlo e inviarlo o, in alternativa, inviare una segnalazione completa dei dati in esso richiesti.
• Le segnalazioni pervenute in forma verbale durante un incontro e poi verbalizzate e le segnalazioni pervenute in formato cartaceo non vengono duplicate e sono conservate nell’archivio dell’OdV, unico ad accedervi quale destinario delle segnalazioni;
• I dati contenuti nella segnalazione pervenuta tramite i canali interni sono tutelati secondo le policies applicate in base ai parametri di security del gestore del server di posta; per tale motivo è consigliabile inviare sempre le segnalazioni in formato .7z protetto da password che, per default, applica un metodo di crittografia tale da rendere inaccessibile il contenuto del file a chi non possiede l’idonea chiave di decifratura.

La segnalazione giunge all’OdV, il quale ha l’obbligo di non divulgare i dati personali in essa contenuti e trattare i medesimi solo se strettamente necessari per la specifica finalità di analisi e valutazione della segnalazione (Privacy by design).

4.6.2.Obblighi informativi ex art.13 GDPR
Di seguito vengono riportate le informazioni che il Titolare del trattamento fornisce al segnalante in ossequio all’art.13 del Regolamento (UE) 2016/679, riportandole in sintesi anche sul Modulo per la segnalazione di condotte illecite, in riferimento al trattamento del dato in caso di segnalazione mediante canale interno.

Natura dei dati trattati
L’informativa si riferisce ai dati personali propri del segnalante, da lui stesso inviati spontaneamente in occasione di una segnalazione.
• Titolare del Trattamento
• Titolare del trattamento è la società Area S.p.A. con socio unico, con sede legale in Via Gabriele D’Annunzio 2, Vizzola Ticino – Varese, Milano Malpensa, indirizzo di posta elettronica: privacy@area.it.
• I dati di contatto del Responsabile per la protezione dei dati personali (DPO) della società sono: dpo@area.it.
• Finalità del trattamento
I dati raccolti saranno utilizzati per le finalità connesse e/o strumentali all’analisi approfondita della segnalazione ricevuta.

Modalità del trattamento
In relazione alle sopra indicate finalità, il trattamento dei dati personali avviene mediante l’utilizzo di strumenti manuali, informatici e telematici atti a memorizzare, gestire e trasmettere i dati medesimi, unicamente al fine di perseguire le finalità per le quali gli stessi sono stati raccolti e, comunque, in modo tale da garantirne la sicurezza e la riservatezza. L’organizzazione, inoltre, tratta i dati personali acquisiti nel completo rispetto del principio di correttezza, liceità e trasparenza, nonché in ottemperanza alla normativa vigente in materia di protezione dei dati personali.
Al fine di tutelare la riservatezza dell’identità del segnalante, ove possibile il contenuto della segnalazione verrà immediatamente separato dai dati identificativi del segnalante, pur mantenendo una corrispondenza nota al solo OdV.

Natura del conferimento dei dati ed effetti dell’eventuale rifiuto
Il conferimento dei dati per le finalità connesse e/o strumentali all’analisi della segnalazione è facoltativo ed è rimesso alla volontà del segnalante effettuarlo in fase di presentazione della segnalazione medesima.
Si precisa che, qualora il segnalante non intenda fornire dati personali evidentemente indispensabili ai fini di permettere un’esauriente trattazione della segnalazione, si procederà con automatica archiviazione della stessa.

Ambito di conoscenza dei dati
I dati conferiti sono conosciuti e trattati dai membri dell’OdV, per le finalità sopra indicate. Tali soggetti sono legittimati al trattamento dei dati nei limiti delle loro competenze ed in conformità alle istruzioni ad essi impartite dal Titolare.

Conservazione dei dati
La società conserva i dati personali acquisiti in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore a 5 anni successivamente al conseguimento delle finalità per le quali gli stessi sono trattati. In ogni caso, il trattamento dei dati cesserà a seguito della richiesta di cancellazione da parte dell’interessato.
L’OdV conserva copia della segnalazione e degli atti relativi all’istruttoria condotta, opportunamente anonimizzati, per un periodo di 10 anni.

Comunicazione e diffusione dei dati personali
I dati personali forniti non saranno oggetto di diffusione, ovvero non ne verrà data conoscenza a soggetti indeterminati, in nessuna possibile forma, inclusa quella della loro messa a disposizione o semplice consultazione.
Qualora dovesse verificarsi la necessità di comunicare a terzi i dati personali forniti, questo avverrà solo previo consenso scritto dell’interessato.

Informativa al segnalato
Nel momento in cui l’OdV informa il segnalato dell’avvenuta registrazione dei dati che lo riguardano, contestualmente l’OdV lo informa circa:
• la natura dei dati trattati;
• il nome del Titolare del Trattamento,
• le Finalità e Modalità del Trattamento,
• le eventuali modalità di conferimento a terzi,
• l’ambito di conoscenza e diffusione,
• le modalità di conservazione.

Diritti dell’interessato
In relazione ai già menzionati trattamenti, potranno essere esercitati dall’interessato i diritti di cui agli art.15-21 del GDPR, rivolgendosi al Titolare, quali:
• diritto di accesso: diritto di ottenere dal Titolare la conferma che sia o meno in corso un trattamento di dati personali e in tal caso, di ottenere l’accesso ai dati personali e ad ulteriori informazioni su origine, finalità, categoria di dati trattati, destinatari di comunicazione e/o trasferimento dei dati, etc.;
• diritto di rettifica: diritto di ottenere dal Titolare la rettifica dei dati personali inesatti senza ingiustificato ritardo, nonché l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa;
• diritto alla cancellazione: diritto di ottenere dal Titolare la cancellazione dei dati personali senza ingiustificato ritardo nel caso in cui:
• i dati personali non sono più necessari rispetto alle finalità del trattamento;
• il consenso su cui si basa il trattamento è revocato e non sussiste altro fondamento giuridico per il trattamento;
• i dati personali sono stati trattati illecitamente;
• i dati personali devono essere cancellati per adempiere un obbligo legale;
• diritto di opposizione al trattamento: diritto di opporsi in qualsiasi momento al trattamento dei dati personali che hanno come base giuridica un interesse legittimo del Titolare;
• diritto di limitazione di trattamento: diritto di ottenere dal Titolare la limitazione del trattamento, nei casi in cui sia contestata l’esattezza dei dati personali (per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali), se il trattamento è illecito e/o l’interessato si è opposto al trattamento;
• diritto alla portabilità dei dati: diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali e di trasmettere tali dati ad altro titolare del trattamento, solo per i casi in cui il trattamento sia basato sul consenso e per i soli dati trattati tramite strumenti elettronici;
• diritto di proporre reclamo a un’autorità di controllo: fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il GDPR ha il diritto di proporre reclamo all’autorità di controllo dello Stato membro in cui risiede o lavora abitualmente, ovvero dello Stato in cui si è verificata la presunta violazione;

4.6.3.Modalità di archiviazione e conservazione dei dati
Il dato personale inviato dal segnalante su supporto cartaceo viene separato dal contenuto della segnalazione e non viene duplicato; la sola copia viene archiviata nell’archivio fisico OdV, chiuso a chiave ed accessibile solo all’OdV stesso.

Anche qualora la segnalazione avvenisse tramite il formato elettronico, l’archiviazione sarà a carico esclusivo dell’OdV che conserverà il dato presso la casella di posta PEC, o in alternativa, previa stampa della documentazione, nell’archivio fisico OdV.

Il dato personale NON deve essere salvato nella rete aziendale in chiaro, salvo che sia indispensabile all’iter di gestione della segnalazione finalizzato alla verifica della veridicità della stessa.
In rete può invece essere salvato il contenuto della segnalazione, opportunamente anonimizzata.

4.6.4.Politiche sicure di accesso al dato
La rete (intranet) aziendale è costruita secondo precise policies di Sicurezza, in accordo anche allo standard internazionale ISO/IEC 27001, e sono pertanto attive misure tecniche ed organizzative di controllo degli accessi, tra cui:
• Credenziali di accesso in lettura e/o scrittura specifiche per percorso;
• Processo di attribuzione delle credenziali mediante formale richiesta e verifica da parte di Compliance ed HR Manager;
• Accesso alla rete possibile solo da macchine a dominio e/o da remoto in VPN;
• Scadenza periodica delle password individuali di accesso alla propria macchina (e quindi alla intranet).

4.6.5.Gestione trasparente delle segnalazioni
Ogni segnalazione è gestita in accordo alla presente procedura.
La Unit Compliance ha facoltà di condurre audit volti a verificare che la gestione di una o più segnalazioni, scelte a campione, rispetti le modalità definite; nel condurre gli audit, è in ogni caso tutelata la riservatezza del segnalante nonché del segnalato, in quanto gli audit stessi sono condotti in riferimento al processo “Whistleblowing” e non è previsto che entrino nel merito delle valutazioni relativamente al contenuto delle segnalazioni.

4.7.Sanzioni
Il Sistema Disciplinare descritto nel MOGC231 – Parte Generale (§3.2.3) prevede sanzioni anche per le violazioni della procedura di segnalazione descritta nel presente documento.

A titolo esemplificativo, sono previste sanzioni:
• A carico del segnalato, qualora sia ritenuto responsabile dell’accaduto a seguito dell’attività di approfondimento svolta dall’organo destinatario della segnalazione;
• In caso di comportamenti abusivi del segnalante;
• In caso di comportamenti ritorsivi o discriminatori da parte dei lavoratori – dirigenti e subordinati – nei confronti del segnalante;
• A carico dell’OdV qualora, dopo aver ricevuto la segnalazione, non verifichi quanto riportato dal segnalante;
• In caso di violazione degli obblighi di riservatezza associati alla gestione delle segnalazioni.

Le sanzioni sono applicate come previsto dal MOGC231 vigente e sulla base dello Statuto dei Lavoratori (legge n.300/1970) e dei singoli Contratti Collettivi Nazionali.