POLICY WHISTLEBLOWING RUPES S.p.A.

RUPES S.p.A.
Sede Legale in Milano, Viale Bianca Maria 13, CAP 20122

Premessa e contesto di riferimento

Con il D. Lgs. 24/2023, in attuazione della Direttiva UE 2019/1937, il legislatore ha approvato la disciplina per la protezione delle persone che segnalano violazioni di norme nazionali o dell’Unione Europea che ledono l’interesse pubblico o l’integrità dell’ente pubblico o privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato.

Il citato Decreto, prevedendo una specifica disciplina per la protezione dei segnalanti, mira a incentivare la cooperazione dei lavoratori e, in generale, dei collaboratori degli enti (come infra meglio individuati) per favorire, all’interno di enti pubblici e privati, l’emersione di atti o fenomeni in contrasto con la normativa europea e nazionale.

La nuova disciplina infatti stabilisce per le società che rientrano nel suo ambito di applicazione (ad esempio quelle che abbiano impiegato almeno 50 dipendenti nel corso dell’ultimo anno), da un lato, l’obbligo di istituzione di un canale di segnalazione interna che preveda adeguate garanzie di riservatezza e sicurezza e, d’altro lato, la garanzia di protezione per i segnalanti mediante l’istituzione del divieto di atti di ritorsione e l’imposizione di specifiche sanzioni in caso di violazione della normativa.

Inoltre, la medesima tutela è prevista per chi, a talune condizioni – che saranno di seguito illustrate –, segnala le violazioni tramite il canale di segnalazione esterno istituito presso l’Autorità Nazionale Anticorruzione (ANAC) o per chi effettua divulgazioni pubbliche e denunce all’autorità giudiziaria e contabile.

 

1. Scopo della Policy Whistleblowing

In conformità alla suddetta normativa, la società Rupes S.p.A. (di seguito anche la “Società”) ha adottato il proprio canale interno di segnalazione descritto nella presente procedura (di seguito anche “Policy”) che garantisce, anche tramite strumenti di crittografia, la riservatezza dell’identità della persona Segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione.

Con la presente Policy, la Società, in conformità a quanto previsto dall’art. 5, comma 1, lett. e) del D. Lgs. 24/2023, mette a disposizione informazioni chiare sul suddetto canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne, nonché, nei successivi parr. 15 e 16, sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni esterne.

La presente Policy sarà esposta in bacheca sui luoghi di lavoro e, in modo da essere facilmente visibile, sarà pubblicata in un’apposita sezione del sito web della Società, in modo da essere accessibile anche alle persone che, pur non frequentando i luoghi di lavoro, rientrano tra le categorie dei possibili segnalanti, infra riepilogate.

Con la presente Policy e l’adozione del canale interno di segnalazione, inoltre, la Società non si limita a implementare strumenti di prevenzione di eventuali condotte illecite, ma intende altresì promuovere una cultura aziendale di contrasto all’illegalità, attraverso una partecipazione attiva e responsabile di tutti i dipendenti e le terze parti.

 

2. Soggetti che possono effettuare le segnalazioni

2.1. La Società incoraggia i propri dipendenti e le terze parti a segnalare tempestivamente comportamenti che costituiscano o possano costituire una condotta illecita e/o una violazione di legge che leda l’integrità della Società di cui siano venuti a conoscenza nel contesto lavorativo.

In conformità e nel rispetto delle previsioni del D. Lgs. 24/2023, i soggetti che posso effettuare una segnalazione sono i seguenti (“Segnalanti”):

  • Tutto il personale della Società, compresi i lavoratori a tempo parziale, intermittente, a tempo determinato, in regime di somministrazione o apprendistato o che svolgono prestazioni occasionali
  • I lavoratori autonomi che svolgono la propria attività lavorativa presso la Società
  • I lavoratori o i collaboratori che svolgono la propria attività presso la Società che forniscono beni o servizi o che realizzano opere in favore di terzi;
  • I titolari di un rapporto di agenzia, di rappresentanza commerciale ed altri rapporti di collaborazione con la Società che si concretino in una prestazione di opera continuativa e coordinata, prevalentemente personale, anche se non a carattere subordinato
  • i liberi professionisti e i consulenti che prestano la propria attività presso la Società
  • i volontari e i tirocinanti, retribuiti e non retribuiti, che prestano la propria attività presso la Società
  • gli azionisti e le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza della Società, anche qualora tali funzioni siano esercitate in via di mero fatto.

2.2. Le Segnalazioni possono riguardare anche fatti conosciuti:

  1. prima dell’instaurazione del rapporto di lavoro, durante il processo di selezione o in altre fasi precontrattuali;
  2. durante il periodo di prova;
  3. successivamente allo scioglimento del rapporto giuridico se le informazioni sulle violazioni sono state acquisite nel corso del rapporto stesso.

2.3. Si precisa che, in conformità alle previsioni del D. Lgs. 24/2023, la tutela prevista per i Segnalanti da tale normativa, così come descritta alla lett. b) del successivo par. 13 della presente Policy, spetta anche ai seguenti soggetti:

  1. ai facilitatori, intendendosi per tali le persone fisiche che assistono una persona Segnalante nel processo di segnalazione, operante all’interno del medesimo contesto lavorativo e la cui assistenza deve essere mantenuta riservata
  2. alle persone del medesimo contesto lavorativo della persona Segnalante e che sono legate ad esso da uno stabile legame affettivo odi parentela entro il quarto grado
  3. ai colleghi di lavoro della persona Segnalante che lavorano nel medesimo contesto lavorativo della stessa e che hanno con detta persona un rapporto abituale e corrente
  4. agli enti di proprietà della persona Segnalante per i quali la stessa persona lavora, nonché’ agli enti che operano nel medesimo contesto lavorativo della predetta persone

 

3. Materie oggetto delle Segnalazioni

3.1. Le misure di protezione previste dalla normativa e descritte alla lett. b) del successivo par. 13 della presente Policy si applicano ai Segnalanti e alle persone indicate al precedente par. 2.3 della presente Policy se, al momento della segnalazione, la persona Segnalante aveva fondato motivo di ritenere che le informazioni sulle violazioni segnalate fossero vere e rientrassero nell’ambito oggettivo della normativa whistleblowing richiamato nella presente Policy al presente par. 3.

Non sono, quindi, sufficienti semplici supposizioni o voci di corridoio così come notizie di pubblico dominio.

Le informazioni sulle violazioni da segnalare possono riguardare sia le violazioni commesse, compresi i fondati sospetti, sia quelle non ancora commesse che il Segnalante ragionevolmente, ritiene potrebbero esserlo sulla base di elementi concreti. Possono essere oggetto di segnalazione anche quegli elementi che riguardano condotte volte ad occultare le violazioni.

Si precisa inoltre, che le violazioni segnalabili devono essere idonee a ledere l’integrità della Società e devono essere apprese dal Segnalante nell’ambito del contesto lavorativo, inteso in senso ampio e quindi volto a ricomprendere anche i soggetti indicati al precedente par. 2.1.

3.2.

Oggetto di segnalazione alla Società devono essere informazioni sulle violazioni di specifiche normative nazionali e dell’Unione Europea individuate dal D. Lgs. 24/2023 e di seguito riepilogate.

In particolare, nell’ambito della Società, tenuto conto del proprio assetto organizzativo e di governance ed in linea con le indicazioni contenute nella Guida Operativa adottata da Confindustria, possono essere oggetto di segnalazione (di seguito, “Segnalazione”) le seguenti violazioni:

  1. Illeciti commessi in violazione della normativa dell’UE indicata nell’Allegato 1 al D. Lgs. n. 24/2023 e di tutte le disposizioni nazionali che ne danno attuazione (anche se queste ultime non sono espressamente elencate nel citato allegato). In particolare, si tratta di illeciti relativi ai seguenti settori:
    1. contratti pubblici;
    2. servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo;
    3. sicurezza e conformità dei prodotti;
    4. sicurezza dei trasporti;
    5. tutela dell’ambiente;
    6. radioprotezione e sicurezza nucleare;
    7. sicurezza degli alimenti e dei mangimi e salute e benessere degli animali;
    8. salute pubblica;
    9. protezione dei consumatori;
    10. tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi.
  2. Atti od omissioni che ledono gli interessi finanziari dell’Unione Europea (art. 325 del TFUE lotta contro la frode e le attività illegali che ledono gli interessi finanziari dell’UE) come individuati nei regolamenti, direttive, decisioni, raccomandazioni e pareri dell’UE.
  3. Atti od omissioni riguardanti il mercato interno, che compromettono la libera circolazione delle merci, delle persone, dei servizi e dei capitali (art. 26, paragrafo 2, del TFUE). Sono ricomprese le violazioni delle norme dell’UE in materia di concorrenza e di aiuti di Stato, di imposta sulle società e i meccanismi il cui fine è ottenere un vantaggio fiscale che vanifica l’oggetto o la finalità della normativa applicabile in materia di imposta sulle società.
  4. Atti o comportamenti che vanificano l’oggetto o la finalità delle disposizioni dell’Unione Europea nei settori indicati ai punti precedenti.

 

4. Fatti che NON possono essere oggetto di Segnalazione

Sono esclusi dall’ambito di applicazione della presente Policy e quindi NON possono essere oggetto di Segnalazione le seguenti circostanze:

  1. le contestazioni, rivendicazioni o richieste legate ad un interesse di carattere personale della persona Segnalante che attengono esclusivamente ai propri rapporti individuali di lavoro, ovvero inerenti ai propri rapporti di lavoro con le figure gerarchicamente sovraordinate oppure riguardanti trattamenti di dati effettuati nel contesto di un rapporto individuale di lavoro in assenza di una lesione dell’integrità della Società. Sono quindi, escluse, ad esempio, le segnalazioni riguardanti vertenze di lavoro, discriminazioni tra colleghi, conflitti interpersonali tra la persona Segnalante e un altro lavoratore
  2. le segnalazioni di violazioni che siano già disciplinate in via obbligatoria da specifiche normative indicate dal D. Lgs. 24/2023 e che quindi non rientrano nell’ambito di applicazione di quest’ultimo decreto (ad esempio, il settore bancario e di intermediazione finanziaria)
  3. le segnalazioni di violazioni in materia di sicurezza nazionale, nonché di appalti relativi ad aspetti di difesa o di sicurezza nazionale.

 

5. Elementi da includere nella Segnalazione

La Società invita i Segnalanti ad effettuare Segnalazioni che siano il più possibile circostanziate così da fornire gli elementi utili e opportuni per consentire un’appropriata attività di verifica sulla fondatezza dei fatti segnalati. È particolarmente importante che la stessa includa, ove tali elementi siano conosciuti dal Segnalante:

  • le circostanze di tempo e di luogo in cui si è verificato il fatto oggetto della segnalazione
  • la descrizione del fatto
  • le generalità o altri elementi che consentano di identificare il soggetto cui attribuire i fatti segnalati.

Tali elementi, infatti, sono rilevanti anche ai fini della valutazione di ammissibilità della Segnalazione, come illustrato al successivo par. 10 della presente Policy.

È utile anche allegare documenti che possano fornire elementi di fondatezza dei fatti oggetto di segnalazione, nonché l’indicazione di altri soggetti potenzialmente a conoscenza dei fatti.

 

6. Canali per inviare la Segnalazione

Le Segnalazioni possono essere effettuate attraverso diverse modalità descritte nei seguenti paragrafi della presente Policy e di seguito brevemente riepilogate:

  1. telematica, tramite apposito Portale messo a disposizione dalla Società e accessibile al seguente link https://areariservata.mygovernance.it/#!/WB/Rupes;
  2. in forma orale, tramite messaggio vocale registrato tramite l’apposita funzionalità disponibile sul Portale;
  3. tramite incontro diretto con i Gestori (come di seguito individuati), su richiesta del Segnalante.

 

7. Il Canale in forma telematica: Il Portale per le Segnalazioni Whistleblowing

7.1. La Società ha adottato il proprio canale interno di segnalazione mettendo a disposizione in primo luogo una piattaforma on-line per l’invio telematico delle Segnalazioni whistleblowing (di seguito “Portale”), che garantisce, anche tramite strumenti di crittografia, la riservatezza dell’identità della persona Segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione.

Il Portale è sempre raggiungibile tramite il seguente link https://areariservata.mygovernance.it/#!/WB/Rupes pubblicato anche sul sito web della Società, nell’apposita sezione dedicata alle Segnalazioni whistleblowing.

In ogni caso, la Policy e il link di accesso al Portale per l’invio delle Segnalazioni saranno sempre disponibili nell’apposita sezione del sito web della Società al seguente link: https://areariservata.mygovernance.it/#!/WB/Rupes

7.2. Il Segnalante può inviare le proprie Segnalazioni mediante le funzionalità messe a disposizione sul Portale e di seguito descritte, che, nel rispetto dei prescritti requisiti di riservatezza, consentono di inviare una Segnalazione in via telematica tramite il Portale stesso.

L’accesso al Portale è soggetto alla politica “no-log” al fine di impedire l’identificazione del Segnalante che intenda rimanere anonimo. Ciò significa che l’architettura del Portale non consente il tracciamento mediante log dell’accesso all’applicativo, al fine di tutelare la riservatezza dell’identità dei Segnalanti anche in caso di utilizzo della rete aziendale.

La Società suggerisce di inviare una Segnalazione fornendo i propri dati di contatto al fine consentire ai Gestori della Segnalazione (come di seguito individuati) di acquisire eventuali ulteriori informazioni e svolgere quindi le indagini in modo proficuo.

In ogni caso, la segnalazione anonima, se ritenuta ammissibile, sarà gestita dalla Società allo stesso modo di una segnalazione whistleblowing secondo la procedura descritta dalla presente Policy, per quanto compatibile. Al Segnalante anonimo, pertanto, se successivamente identificato, saranno garantite le misure di tutela e protezione previste dalla normativa whistleblowing e richiamate nella presente Policy.

7.3. Per effettuare una Segnalazione tramite il Portale, il Segnalante, previa informativa ai sensi dell’art. 13 GDPR, dovrà registrarsi allo stesso e creare una propria area personale. Al Segnalante viene assegnato un profilo di utente univoco con credenziali di autenticazione riservate (User ID e password) secondo gli standard di sicurezza conformi alle best practices del settore. In ogni caso, l’architettura del Portale non permette l’accesso diretto ai dati di registrazione da parte delle funzioni di gestione.

Nella propria pagina personale, il Segnalante potrà visualizzare lo status delle segnalazioni inviate, a seconda dell’avanzamento del processo di gestione delle stesse. Per creare una nuova Segnalazione, il Segnalante potrà cliccare sull’apposito pulsante “Crea Segnalazione” e, attraverso il Portale, verrà guidato in ogni fase del processo di creazione della segnalazione e gli verranno richiesti, al fine di circostanziare al meglio la stessa, una serie di campi da compilare rispettando i requisiti richiesti.

In particolare, si aprirà la prima pagina del processo di invio della segnalazione, che prevede l’indicazione dei dati del Segnalante. Quest’ultimo potrà scegliere di restare anonimo spuntando la relativa casella. Nelle schermate successive verrà richiesto al Segnalante di circostanziare meglio i fatti, tramite la compilazione di alcuni campi, quali: la società presso cui si è verificato l’evento (es. presso un fornitore), la data, il luogo e l’autore dei fatti e la funzione aziendale cui si riferiscono i fatti stessi. Il Segnalante dovrà inoltre fornire una breve descrizione dei fatti segnalati, potrà allegare documenti e indicare da un menu a tendina la tipologia di violazione a cui si riferisce la Segnalazione. Infine, prima dell’invio della Segnalazione, verrà richiesto al Segnalante di indicare una mail per ricevere le notifiche sullo status della propria Segnalazione. Tali notifiche non conterranno alcun dato riferito alla Segnalazione ma informeranno il Segnalante dell’avanzamento della stessa. Per visionare i contenuti degli avanzamenti, il Segnalante dovrà accedere al Portale.

La Società richiede di non utilizzare l’indirizzo e-mail aziendale per tali notifiche, anche se l’indirizzo e-mail indicato sul Portale dal Segnalante non è comunque visibile a Gestori.

Il Portale permette, inoltre, di instaurare una comunicazione sicura tra Segnalante e ricevente assicurando, su volontà del Segnalante, l’anonimato.

 

8. Canale in forma orale.
  1. messaggio vocale registrato

    nel caso di Segnalazione inviata utilizzando il sistema di messaggistica vocale registrata disponibile sul Portale, la voce verrà automaticamente mascherata e sarà resa irriconoscibile tramite apposito software. Previo consenso del Segnalante, la Segnalazione così acquisita sarà documentata mediante registrazione tramite apposita funzionalità del Portale che ne consente la conservazione e l’ascolto e tramite trascrizione da parte dei Gestori (come di seguito individuati), trascrizione che sarà anch’essa conservata all’interno del Portale con le garanzie di sicurezza e riservatezza che questo assicura. Il Segnalante può verificare, rettificare o confermare il contenuto della trascrizione mediante la propria sottoscrizione. In tal caso, la trascrizione sarà sottoscritta anche dai suddetti Gestori.

  2. incontro diretto

    Quando, su richiesta del Segnalante, la Segnalazione è effettuata oralmente nel corso di un incontro con il Gestore (come di seguito individuato), essa, previo consenso della persona Segnalante, è documentata a cura del Gestore stesso mediante verbale che il Segnalante può verificare, rettificare e confermare mediante sottoscrizione. Il verbale sarà sottoscritto anche dal Gestore. Al Segnalante verrà resa l’informativa privacy all’inizio dell’incontro. L’informativa è in ogni caso sempre disponibile in allegato alla Policy Whistleblowing.

    Il Segnalante potrà fare richiesta dell’incontro mediante messaggio vocale sul Portale, al fine di garantire la riservatezza. L’incontro verrà fissato dal Gestore entro un termine ragionevole.

 

9. Gestori delle Segnalazioni

La Società ha adottato la seguente modalità di gestione delle Segnalazioni, tenuto conto dell’articolazione dell’organizzazione aziendale.

9.1. Le Segnalazioni inviate tramite il Portale sono ricevute esclusivamente da un Comitato formato da due gestori designati all’interno dell’organizzazione e specificamente formati dalla Società, sia in materia di whistleblowing, sia con riguardo alle connesse ricadute in materia di privacy, e autorizzati dalla Società stessa alla gestione del canale e delle Segnalazioni. La Società garantisce che tali soggetti (di seguito “Gestori”) operino in autonomia e con garanzie di indipendenza nello svolgimento di tali mansioni.

Il predetto Comitato dei Gestori (di seguito anche “Comitato”) è composto dal Consigliere d’Amministraziione della Società Alessandra Camisasca e dal Sindaco della Società Avv. Giorgia Granata, che, insieme, compongono appunto il Comitato designato alla ricezione e gestione delle segnalazioni.

Nell’ipotesi in cui dovessero emergere situazioni, anche solo potenziali, di conflitto di interessi al momento della ricezione della segnalazione da parte di uno dei due Gestori, la gestione della Segnalazione sarà in carico all’altro Gestore componente del Comitato.

Pertanto, la Società, con la presente Policy, prescrive in ogni caso a tutti i soggetti possibili segnalanti di indirizzare la Segnalazione al solo Sindaco Gestore, qualora abbiano il fondato sospetto che vi sia una situazione di conflitto di interessi.

Gli stessi soggetti sopra indicati, sono altresì competenti per la ricezione e la gestione delle Segnalazioni inviate tramite messaggio vocale o tramite incontro di persona.

In ogni caso, la Segnalazione interna presentata ad un soggetto diverso da quello sopra indicato è trasmessa, entro sette giorni dal suo ricevimento, al soggetto competente, dando contestuale notizia della trasmissione alla persona Segnalante.

La Società, con la presente Policy, prescrive sin d’ora a tutto il proprio personale di trasmettere immediatamente ai suddetti Gestori e nel rispetto della massima riservatezza ogni Segnalazione che dovesse erroneamente ricevere.

Tutto il personale della Società riceve inoltre specifica formazione al fine di garantire il rispetto di tale prescrizione.

9.2. Nello svolgimento dell’attività gestoria, ciascun Gestore:

  1. rilascia al Segnalante avviso di ricevimento della Segnalazione entro sette giorni dalla data di ricezione;
  2. mantiene le interlocuzioni con il Segnalante e può richiedere a quest’ultimo, se necessario, integrazioni;
  3. dà diligente seguito alle Segnalazioni ricevute;
  4. fornisce riscontro alla Segnalazione entro tre mesi dalla data dell’avviso di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della Segnalazione.

I Gestori sono altresì competenti per fornire le informazioni sull’utilizzo del canale di Segnalazione interna, sulle procedure e sui presupposti per effettuare le segnalazioni interne, così come descritto nella presente policy, nonché, anche mediante rinvio a quanto previsto nei successivi parr. 15 e 16, a fornire informazioni sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni esterne.

Si ribadisce, inoltre, che l’eventuale segnalazione anonima, se ritenuta ammissibile, sarà gestita dalla Società allo stesso modo di una segnalazione whistleblowing secondo la procedura descritta dalla presente Policy, in quanto compatibile. Al Segnalante anonimo, pertanto, se successivamente identificato, saranno garantite le misure di tutela e protezione previste dalla normativa whistleblowing e richiamate nella presente Policy.

 

10. Esame preliminare della Segnalazione.
  1. verifica di procedibilità della Segnalazione

    Una volta ricevuta la Segnalazione, il Comitato dei Gestori, come sopra individuato, procede preliminarmente a verificare la sussistenza dei presupposti soggettivi e oggettivi per effettuare una segnalazione interna. All’esito di tale vaglio preliminare, laddove non ricorra alcuna delle suddette condizioni, il Comitato archivia la segnalazione poiché improcedibile.

  2. verifica di ammissibilità della Segnalazione

    Una volta verificato che la segnalazione abbia i requisiti soggettivi ed oggettivi definiti dal legislatore e risulti dunque procedibile, è necessario verificarne l’ammissibilità come segnalazione whistleblowing.

    Si ricorda che la Segnalazione deve indicare chiaramente le circostanze di tempo e di luogo in cui si è verificato il fatto oggetto di segnalazione, una descrizione chiara e circostanziata dei fatti, le generalità o altri elementi che consentano di identificare il soggetto cui attribuire i fatti segnalati.

    La Segnalazione è considerata inammissibile e viene archiviata per i seguenti motivi:

    1. contenuto generico della Segnalazione tale da non consentire la comprensione dei fatti ovvero segnalazione di illeciti corredata da documentazione non appropriata o inconferente
    2. mancanza dei dati che costituiscono gli elementi essenziali della segnalazione
    3. manifesta infondatezza degli elementi di fatto che costituiscono gli elementi essenziali della segnalazione
    4. produzione di sola documentazione in assenza della Segnalazione di condotte illecite.

    Ove quanto segnalato non sia adeguatamente circostanziato, il Comitato può chiedere elementi integrativi al Segnalante tramite il sistema di comunicazione sicura del Portale, o anche di persona, ove il Segnalante abbia richiesto un incontro diretto.

    All’esito di tale vaglio preliminare, nel caso in cui la Segnalazione risulti improcedibile o inammissibile, il Comitato archivia la segnalazione, garantendo la tracciabilità delle motivazioni a supporto.

 

11. Istruttoria e accertamento dei fatti

Una volta valutata l’ammissibilità della Segnalazione, i soggetti cui è affidata la gestione del canale di segnalazione avviano l’istruttoria interna sui fatti o sulle condotte segnalate per valutare la sussistenza degli stessi.

Le attività di indagine nel corso dell’istruttoria verranno svolte nel rispetto dell’obbligo di riservatezza dell’identità del Segnalante e degli altri soggetti tutelati e garantendo tempestività e rispetto dei principi di obiettività, competenza e diligenza professionale.

Il Comitato dei Gestori deve assicurare lo svolgimento delle necessarie verifiche avendo sempre cura che non sia compromessa la tutela della riservatezza del Segnalante, del segnalato e delle altre persone tutelate dalla normativa (es. facilitatori e persone menzionate nella segnalazione), a titolo esemplificativo:

  • direttamente acquisendo gli elementi informativi necessari alle valutazioni attraverso l’analisi della documentazione/informazioni ricevute;
  • attraverso il coinvolgimento di altre strutture aziendali o anche di soggetti specializzati esterni (es. IT specialist) in considerazione delle specifiche competenze tecniche e professionali richieste;
  • audizione di eventuali soggetti interni/esterni, ecc.

Nel caso in cui risulti necessario avvalersi dell’assistenza tecnica di professionisti terzi, nonché del supporto del personale di altre funzioni/direzioni aziendali – al fine di garantire gli obblighi di riservatezza richiesti dalla normativa – il Comitato dei Gestori provvede ad oscurare ogni tipologia di dato che possa consentire l’identificazione della persona Segnalante o di ogni altra persona coinvolta (es. facilitatore o ulteriori persone menzionate all’interno della segnalazione).

Al termine dell’istruttoria, il Comitato prepara un report finale contenente almeno:

  • i fatti accertati;
  • le evidenze raccolte;
  • le cause e le carenze che hanno permesso il verificarsi della situazione segnalata.

Nel caso in cui la Segnalazione risulti fondata, il Comitato – sempre nel rispetto degli obblighi di riservatezza stabiliti nella presente policy – attiva i responsabili aziendali di riferimento per intraprendere le dovute e più opportune azioni mitigative e\o correttive.

Inoltre, in caso di segnalazione fondata, il Comitato trasmette l’esito dell’istruttoria alla funzione competente per l’eventuale avvio di procedimenti disciplinari volti a comminare, se del caso, sanzioni disciplinari in linea con quanto previsto dalla normativa applicabile e dai contratti collettivi di lavoro di riferimento, nonché al management aziendale per le opportune valutazioni circa eventuali ulteriori seguiti anche a tutela della Società.

Non compete infatti ai Gestori la valutazione in ordine alle responsabilità individuali e agli eventuali successivi provvedimenti o procedimenti.

Le fasi dell’attività di accertamento sono tracciate e archiviate correttamente a seconda della tipologia del canale di segnalazione utilizzato (ad esempio, se è stato utilizzato il Portale la documentazione sarà archiviata al suo interno secondo le misure di sicurezza in esso adottate e, se è stato redatto il verbale di audizione dell’incontro di persona, esso sarà archiviato all’interno di un faldone accessibile ai soli Gestori).

In ogni caso, ai sensi di quanto previsto dal D. Lgs. 24/2023, durante le fasi di istruttoria e di accertamento della Segnalazione, è sempre tutelata la riservatezza dell’identità della persona Segnalante, del segnalato e di tutte le persone coinvolte e/o menzionate nella Segnalazione.

 

12. Riscontro al Segnalante

All’esito dell’istruttoria, e comunque entro il sopra indicato termine di 3 (tre) mesi, il Comitato fornisce un riscontro al Segnalante relativo al seguito che viene dato o che si intende dare alla Segnalazione, dando conto dell’azione intrapresa per valutare la sussistenza dei fatti segnalati, dell’esito delle indagini e delle eventuali misure adottate o da adottare.

Alla scadenza del suddetto termine indicato, il riscontro può essere definitivo se l’istruttoria è terminata oppure di natura interlocutoria sull’avanzamento dell’istruttoria, se questa, a causa per esempio della complessità della fattispecie, non è ancora ultimata.

Pertanto, alla scadenza dei tre mesi, il Comitato può comunicare al Segnalante:

  • l’avvenuta archiviazione della segnalazione, motivandone le ragioni;
  • l’avvenuto accertamento della fondatezza della segnalazione e la sua trasmissione agli organi interni competenti;
  • l’attività svolta fino a questo momento e/o l’attività che intende svolgere qualora l’istruttoria non sia ancora conclusa.

In tale ultimo caso il Comitato comunicherà comunque al Segnalante anche il successivo esito finale dell’istruttoria della Segnalazione (archiviazione o accertamento della fondatezza della segnalazione con trasmissione agli organi competenti).

 

13. Tutela del Segnalante

La prima tutela posta dal legislatore a favore del Segnalante è l’obbligo di garantire la riservatezza dell’identità del Segnalante sin dalla ricezione della Segnalazione e in ogni fase successiva.

Inoltre, la normativa vieta ogni forma di ritorsione nei confronti del Segnalante intesa come qualsiasi comportamento, atto od omissione, anche solo tentato o minacciato, che si verifichi nel contesto lavorativo e che determini – in via diretta o indiretta – un danno ingiusto ai soggetti tutelati.

A tale scopo, in conformità alla normativa vigente, la Società ha istituito una serie di meccanismi volti alla tutela del Segnalante non anonimo, prevedendo:

  1. la tutela della riservatezza dell’identità del Segnalante
  2. il divieto di ritorsione nei confronti del Segnalante

Infine, ulteriore tutela riconosciuta dal D. Lgs. 24/2023 al Segnalante è la limitazione della sua responsabilità rispetto alla rivelazione e alla diffusione di alcune categorie di informazioni, che altrimenti lo esporrebbero a responsabilità penali, civili e amministrative.

 

a) Obbligo di riservatezza

La riservatezza è garantita per ogni modalità di segnalazione, quindi, sia quando avvenga tramite il Portale sia quando avvenga tramite messaggio vocale o incontro diretto.

Il Comitato è infatti appositamente istruito per mantenere la riservatezza sia dell’indentità del Segnalante, sia del contenuto della Segnalazione e della relativa documentazione, sia dell’identità del segnalato e delle persone eventualmente menzionate nella Segnalazione.

Il Portale garantisce inoltre la riservatezza dell’identità del Segnalante anche mediante strumenti di crittografia, sia in transito che a riposo. Le credenziali assegnate agli utenti (sia Segnalanti, che Gestori) sono univoche e riservate e rispettano i requisiti di sicurezza delle best practices del settore. Solo il Gestore può accedere al contenuto della Segnalazione.

L’identità della persona Segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non saranno rivelate senza il consenso espresso della stessa persona Segnalante, a persone diverse dal Gestore, competente a ricevere o a dare seguito alle segnalazioni, espressamente autorizzato e istruito a trattare tali dati ai sensi degli articoli 29 e 32, paragrafo 4, del regolamento (UE) 2016/679 (GDPR) e dell’articolo 2-quaterdecies del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196.

Nell’ambito del procedimento disciplinare, l’identità della persona Segnalante non può essere rivelata, ove la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa.

Qualora la contestazione sia fondata, in tutto o in parte, sulla Segnalazione e la conoscenza dell’identità della persona Segnalante sia indispensabile per la difesa dell’incolpato, la Segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona Segnalante alla rivelazione della propria identità.

Analogamente, nel caso in cui nelle procedure di segnalazione interna la rivelazione dell’identità del Segnalante sia indispensabile anche ai fini della difesa della persona coinvolta, si potrà rivelare l’identità del Segnalante solo previa acquisizione del consenso espresso dello stesso.

In entrambi i suddetti casi, oltre all’acquisizione del consenso del Segnalante, sarà dato comunque avviso al Segnalante stesso, mediante comunicazione scritta, delle ragioni della rivelazione dei dati riservati.

La Società tutela l’identità delle persone coinvolte (i segnalati) e delle persone comunque menzionate nella segnalazione fino alla conclusione dei procedimenti avviati in ragione della Segnalazione nel rispetto delle medesime garanzie previste in favore della persona Segnalante. Resta salvo il diritto della Società di denuncia dei fatti innanzi all’Autorità Giudiziaria.

 

b) Divieto di ritorsione

La Società assicura al Segnalante la protezione contro ogni atto di molestia, ritorsione o discriminazione per motivi legati, direttamente o indirettamente, alla Segnalazione fatta in buona fede. È vietato qualsiasi atto di ritorsione o discriminazione nei confronti sia del Segnalante sia delle persone indicate nel precedente par. 2.3. della presente Policy (es. facilitatori).

Si intende per ritorsione, qualsiasi comportamento, atto od omissione, anche solo tentato o minacciato, posto in essere in ragione della segnalazione, e che provoca o può provocare al Segnalante, in via diretta o indiretta, un danno ingiusto.

Gli atti di ritorsione conseguenti ad una Segnalazione sono comunque nulli.

La tutela prevista dalla normativa e riportata nel presente paragrafo si applica anche alle Segnalazioni anonime, se il Segnalante è stato successivamente identificato e ha subito ritorsioni.

Qualora fosse accertata, anche con sentenza di primo grado, la responsabilità penale del Segnalante per i reati di diffamazione o di calunnia ovvero la sua responsabilità civile, per lo stesso titolo, nei casi di dolo o colpa grave, le tutele di cui alla presente lettera b) non sono garantite e al Segnalante è irrogata una sanzione disciplinare.

I Segnalanti e le persone indicate nel precedente par. 2.3. della presente Policy possono comunicare all’ANAC le ritorsioni che ritengono di avere subito.

Pertanto, il soggetto che ritenga di aver subito una ritorsione, anche tentata o minacciata, come conseguenza di una segnalazione può comunicarlo all’ANAC, che dovrà accertare il nesso di causalità tra la ritorsione e la segnalazione e, quindi, adottare i conseguenti provvedimenti.

In particolare, qualora l’Autorità consideri inammissibile la comunicazione, provvederà ad archiviarla; se, invece, dovesse accertarne la fondatezza e il nesso causale tra segnalazione e ritorsione avvierà il procedimento sanzionatorio.

L’ANAC informa l’Ispettorato nazionale del lavoro per i provvedimenti di sua competenza.

Esistono dei casi in cui il Segnalante perde la protezione: i) qualora sia accertata, anche con sentenza di primo grado, la responsabilità penale del Segnalante per i reati di diffamazione o di calunnia o nel caso in cui tali reati siano commessi con la denuncia all’autorità giudiziaria o contabile; ii) in caso di responsabilità civile per lo stesso titolo per dolo o colpa grave. In entrambe le ipotesi alla persona Segnalante o denunciante verrà irrogata una sanzione disciplinare.

 

c) Limitazione di responsabilità per il Segnalante

Ai sensi del D. Lgs. 24/2023 il Segnalante non sarà chiamato a rispondere né penalmente, né in sede civile e amministrativa per le seguenti fattispecie:

  • rivelazione di informazioni sulle violazioni coperte da segreto diverso da quello professionale forense e medico e dalle altre tipologie di segreto previste dall’art. 1, comma 3 del D. Lgs. 24/2023;
  • violazione delle disposizioni relative alla tutela del diritto d’autore;
  • violazione delle disposizioni relative alla protezione dei dati personali;
  • rivelazione o diffusione di informazioni sulle violazioni che offendono la reputazione della persona coinvolta.

Il D. Lgs. 24/2023 pone tuttavia due condizioni all’operare delle suddette limitazioni di responsabilità:

1) che al momento della rivelazione o della diffusione vi siano fondati motivi per ritenere che le informazioni siano necessarie per svelare la violazione oggetto di segnalazione;

2) che la segnalazione sia effettuata nel rispetto delle condizioni previste dal D. Lgs. 24/2023 per beneficiare della tutela contro le ritorsioni (fondati motivi per ritenere veritieri i fatti segnalati, la violazione sia tra quelle segnalabili e siano rispettate le modalità e le condizioni di accesso alla segnalazione).

In ogni caso, occorre considerare che non è esclusa la responsabilità per condotte che:

  • non siano collegate alla segnalazione;
  • non siano strettamente necessarie a rivelare la violazione;
  • configurino un’acquisizione di informazioni o l’accesso a documenti in modo illecito.

Ove l’acquisizione si configuri come un reato (si pensi all’accesso abusivo a un sistema informatico o a un atto di pirateria informatica), resta ferma la responsabilità penale e ogni altra responsabilità civile, amministrativa e disciplinare della persona Segnalante.

Sarà viceversa non punibile, ad esempio, l’estrazione (per copia, fotografia, asporto) di documenti cui si aveva lecitamente accesso.

 

14. Trattamento dati e conservazione delle Segnalazioni

Il trattamento dei dati personali degli interessati (Segnalanti, persone indicate precedente par. 2.3 della presente Policy, persona coinvolta, persone menzionate nella Segnalazione) ai fini della gestione delle Segnalazioni è effettuato dalla Società, quale Titolare del trattamento, in conformità al Regolamento 679/2016 (GDPR) e al solo fine di gestire e dare seguito alle Segnalazioni.

Il trattamento è necessario per dare attuazione agli obblighi di legge previsti dalla disciplina whistleblowing di cui al D. Lgs. 24/2023 la cui osservanza è condizione di liceità del trattamento ex art. 6, par. 1, lett. c) e parr. 2 e 3, art. 9, par. 2, lett. b) e artt. 10 e. 88 del GDPR.

Il trattamento sarà condotto nel rispetto del principio di minimizzazione e, pertanto, i dati personali che manifestamente non sono utili al trattamento di una specifica Segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente.

I trattamenti di dati personali relativi al ricevimento e alla gestione delle Segnalazioni saranno effettuati, ai sensi dell’art. 4 del D. Lgs. 24/2023, esclusivamente dal Comitato dei Gestori, quali soggetti espressamente autorizzati e istruiti dal Titolare per la gestione del canale di segnalazione ai sensi dell’art. 29 del GDPR, nel rispetto dei principi di cui agli articoli 5 e 25 del GDPR.

La Società ha inoltre provveduto ad effettuare una valutazione di impatto sulla protezione dei dati con riferimento ai trattamenti connessi alla gestione delle Segnalazioni e ha quindi individuato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati in tale contesto.

Inoltre, la Società ha provveduto a disciplinare il rapporto con il fornitore del Portale informatico ai sensi dell’articolo 28 del GDPR.

Le Segnalazioni e la relativa documentazione sono conservate per il tempo necessario al trattamento della Segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto dei suddetti obblighi di riservatezza e del principio di cui agli articoli 5, paragrafo 1, lettera e), del regolamento (UE) 2016/679.

Per maggiori dettagli in merito al trattamento dei dati, si rinvia all’informativa privacy completa, pubblicata per tutti gli interessati (ivi compresa la persona segnalata) sul Portale e disponibile in allegato alla presente Policy e quindi diffusa ai destinatari unitamente a questa.

In ogni caso, l’informativa privacy è sempre disponibile sul Portale, oltre che resa al Segnalante, sul Portale stesso, al momento della registrazione e al termine del processo per l’invio di ogni Segnalazione.

 

15. Informazioni in merito al canale di segnalazione esterna istituito presso l’ANAC

ANAC ha attivato un canale di segnalazione esterna che garantisce, tramite il ricorso a strumenti di crittografia, la riservatezza dell’identità del Segnalante, della persona coinvolta e della persona menzionata nella Segnalazione, nonché del contenuto della segnalazione e della relativa documentazione.

Le Segnalazioni esterne devono essere trasmesse solo all’ANAC quale unico ente competente alla loro gestione. La piattaforma informatica per l’invio delle Segnalazioni esterne ad ANAC è disponibile al seguente link https://www.anticorruzione.it/-/whistleblowing.

 

16. Condizioni per l’effettuazione della Segnalazione esterna

Il Segnalante può effettuare una Segnalazione esterna se, al momento della sua presentazione, ricorre una delle seguenti condizioni:

  1. non è prevista, nell’ambito del suo contesto lavorativo, l’attivazione obbligatoria del canale di segnalazione interna ovvero questo, anche se obbligatorio, non è attivo o, anche se attivato, non è conforme alla normativa;
  2. il Segnalante ha già effettuato una segnalazione interna secondo le modalità stabilite nella presente Policy e la stessa non ha avuto seguito;
  3. il Segnalante ha fondati motivi di ritenere che, se effettuasse una Segnalazione interna, alla stessa non sarebbe dato efficace seguito ovvero che la stessa segnalazione possa determinare il rischio di ritorsione
  4. il Segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.

 

17. Formazione e comunicazione

La formazione e la comunicazione sono elementi fondamentali per l’effettiva implementazione ed applicazione della Policy. A tal riguardo la Società si impegna a garantire che il Segnalante sia messo a conoscenza delle disposizioni incluse nella Policy e ad erogare al proprio personale programmi di formazione riguardanti la normativa whistleblowing, gli obblighi di riservatezza e la presente Policy, comprese le procedure e le modalità operative adottate dalla Società per la gestione del canale interno di segnalazione per tutti i dipendenti.

La presente Policy sarà in ogni caso pubblicata sul sito internet della Società e disponibile al seguente link https://areariservata.mygovernance.it/#!/WB/Rupes

 

18. Aggiornamento della Policy

La Policy e il Portale saranno oggetto di aggiornamento periodico in modo da assicurare il costante allineamento alla normativa e in ragione dell’evoluzione dell’operatività e organizzazione aziendale.

 

Allegato:

  • Informativa privacy ai sensi degli artt. 13 e 14 del Regolamento UE 679/2016 (GDPR)