Whistleblowing Euromec2
INFORMATIVA AI SENSI DELL’ART. 5, LETTERA E), D.LGS. 24/2023
La nostra Azienda, in ottemperanza alle novità introdotte dal D.lgs. 24/2023 attuativo della Direttiva Europea n. 1937/2019, si è dotata di una “Procedura Whistleblowing” che viene di seguito brevemente richiamata e i cui contenuti sono affissi presso la bacheca Aziendale presso la nostra Sede Legale in 30026, Portogruaro (VE), via Maestri Del Lavoro, 6, nonché di un “Canale di segnalazione interno” costituito dalla piattaforma informatica open source Globaleaks che consente a chiunque ne abbia titolo, di effettuare, nel pieno rispetto della riservatezza del segnalante, le segnalazioni ai sensi del d.lgs. 24/2023. La Scrivente, infatti, ritiene che la corretta attuazione del Sistema Whistleblowing sia idonea a rafforzare i generali presidi di compliance aziendale, aiutando a trasformare in opportunità quei rischi che inevitabilmente sono insiti nell’attività di impresa.
Euromec2 S.r.l. società unipersonale, nell’ambito della predetta procedura, ha affidato ad un soggetto interno all’Azienda – avv. Barbara Corradini -, la gestione del canale di segnalazione e pertanto avv. Barbara Corradini riceverà, attraverso la piattaforma informatica prescelta, le segnalazioni che verranno così gestite:
* avv. Barbara Corradini rilascerà alla persona segnalante, un avviso di avvenuto ricevimento della segnalazione entro sette giorni dalla data di ricezione della segnalazione;
* avv. Barbara Corradini manterrà le interlocuzioni con la persona segnalante e potrà richiedere a quest’ultima, se necessario, integrazioni;
* avv. Barbara Corradini darà diligente seguito alle segnalazioni ricevute;
* avv. Barbara Corradini fornirà riscontro alla segnalazione entro tre mesi dalla data dell’avviso di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione.
A partire da oggi, quindi, sarà possibile, per tutti i lavoratori subordinati, autonomi, collaboratori nonché liberi professionisti e consulenti, volontari e tirocinanti che prestano la propria attività presso l’Azienda, retribuiti e non retribuiti, azionisti e le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza, anche qualora tali funzioni siano esercitate in via di mero fatto, effettuare tramite utilizzo della piattaforma informatica open source Globaleaks segnalazioni anche in modo anonimo su violazioni di disposizioni normative nazionali quali: illeciti amministrativi, contabili, civili o penali, condotte illecite ai sensi del decreto legislativo 8 giugno 2001 n.231, illeciti che rientrano negli atti dell’Unione Europea, violazioni dei modelli di organizzazione e atti o omissioni che ledono gli interessi finanziari dell’Unione.
Tutte le segnalazioni saranno gestite nel rispetto della riservatezza e nella protezione del segnalante in base a quanto previsto dalla normativa.
INFORMATIVA SULLA TUTELA DEI DATI PERSONALI
AI SENSI DELL’ART.13 DEL REGOLAMENTO (UE) 2016/679 (GDPR)
PER I SOGGETTI CHE SEGNALANO ILLECITI (WHISTLEBLOWER)
E PER LE PERSONE COINVOLTE NELLE SEGNALAZIONI
La presente informativa descrive i trattamenti dei dati personali ai sensi e per gli effetti del D.Lgs. 24/2023 e, per le parti non abrogate, dalla Legge 179/2017, in materia di tutela degli autori di segnalazioni di violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’ente nonché di violazioni delle disposizioni contenute nel Dlgs 231/2001 (c.d. “whistleblowing”).
1 TITOLARE DEL TRATTAMENTO
Il Titolare del trattamento è EUROMEC2 S.r.l. SOCIETA’ UNIPERSONALE P.IVA IT02259270276, nella figura del Legale Rappresentante, con sede legale in 30026 Portogruaro (VE), Via Maestri Del Lavoro, 6. L’elenco aggiornato dei Responsabili e degli Incaricati al trattamento è custodito presso la sede legale del Titolare del trattamento.
EUROMEC2 S.r.l. SOCIETA’ UNIPERSONALE per la gestione delle segnalazioni ha designato quale Gestore interno avv. Barbara Corradini nominandolo Responsabile per il trattamento ai medesimi fini, con facoltà di nominare eventuali sub responsabili esclusivamente per gli stessi fini.
2 TIPOLOGIA DI DATI PERSONALI TRATTATI
Qualora venga effettuata una segnalazione, tramite la piattaforma informatica adottata avv. Barbara Corradini, nella sua qualità di Gestore delle segnalazioni designato, raccoglierà e tratterà le informazioni contenute nella segnalazione stessa, in particolare:
•il nome e/o i dati di contatto e di identificazione personale del segnalante (se riportati);
•se del caso, i nomi e altri dati personali delle persone indicate e/o coinvolte nella segnalazione.
La segnalazione non dovrà contenere fatti irrilevanti ai fini della stessa, né categorie particolari di dati personali, di cui all’art.9 del GDPR (di seguito anche “categorie particolati di dati”), cioè quelli da cui possono eventualmente desumersi, fra l’altro, l’origine razziale ed etnica, le convinzioni filosofiche e religiose, l’adesione a partiti o sindacati, nonché lo stato di salute, la vita sessuale o l’orientamento sessuale, salvo i casi in cui ciò sia inevitabile e necessario ai fini della segnalazione stessa.
I Dati Personali sopra indicati potranno essere integrati e/o aggiornati sulla base di informazioni reperibili pubblicamente, raccolte da soggetti terzi e/o direttamente dal segnalante e/o già nella disponibilità del Titolare del relativo trattamento, anche al fine di verificare la fondatezza della segnalazione.
3 FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO
I dati personali forniti e resi disponibili tramite la piattaforma informatica, ai sensi del D.Lgs. 24/2023 (c.d. “Segnalazione Whistleblowing”), e/o contenuti nella documentazione allegata alla stessa segnalazione o in quella che verrà raccolta nel corso del procedimento per la sua gestione, formeranno oggetto di trattamento da parte di avv. Barbara Corradini per:
1Finalità connesse alla gestione e verifica della segnalazione e per garantire un’adeguata applicazione della relativa Procedura Whistleblowing adottata.
Presupposto per il trattamento è l’adempimento di un obbligo di legge cui è soggetto il Titolare ex art. 6, par. 1, Iett. c) del GDPR come previsto dal citato Decreto, che impone al Titolare di dotarsi di un canale interno per ricevere le segnalazioni.
Il conferimento dei dati personali del segnalante è facoltativo: sulla base della Procedura Whistleblowing adottata dalla Azienda, al segnalante è riconosciuta Ia facoltà di rimanere anonimo, a condizione che lo richieda espressamente nella sua segnalazione.
1Finalità connesse ad esigenze di difesa dei propri diritti nel corso di procedimenti giudiziali, amministrativi o stragiudiziali e nell’ambito di controversie sorte in relazione alla segnalazione effettuata. Inoltre, previa acquisizione di specifico consenso, i dati personali del segnalante potranno essere trattati da Euromec2 S.r.l. società unipersonale per agire in giudizio o avanzare pretese nei confronti delle persone coinvolte nella segnalazione o altri soggetti terzi.
Presupposto per il trattamento è il legittimo interesse della Euromec2 S.r.l. società unipersonale ex art. 6, par. 1, lett. f) del GDPR alla tutela dei propri diritti. In questo caso, non è richiesto al segnalante un nuovo e specifico conferimento dei dati, poiché Ia Euromec2 S.r.l. società unipersonale perseguirà detta ulteriore finalità, ove necessario, trattando i dati personali raccolti per le finalità medesime, ritenute compatibili con la presente informativa (anche in ragione del contesto in cui i dati personali sono stati raccolti, del rapporto tra segnalante e la Euromec2 S.r.l. società unipersonale, della natura dei dati stessi e delle garanzie adeguate al trattamento).
Come precisato nel precedente paragrafo, la segnalazione non deve contenere categorie particolari di dati personali, salvo i casi in cui ciò sia inevitabile e necessario ai fini della segnalazione stessa. In tal caso, il presupposto di liceità del trattamento di tali dati si fonda suII’art.9, secondo paragrafo, lett. b) del GDPR ovvero quando il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, e suII’art.9, secondo paragrafo, lett. f) del GDPR ovvero qualora il trattamento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro pertinenti funzioni.
Il conferimento dei dati mediante la piattaforma ha natura facoltativa, ma senza di essi il Gestore potrebbe non essere in grado di ricevere e gestire la segnalazione. Al segnalante è espressamente richiesto di fornire soltanto i dati necessari a descrivere i fatti oggetto di segnalazione evitando ogni dato personale non necessario a tal fine.
4 COMUNICAZIONE DEI DATI
Salvo l’espletamento delle indagini eventualmente avviate a seguito della segnalazione, nonché l’adempimento di obblighi derivanti dalla legge, i dati personali conferiti dal segnalante non saranno oggetto di diffusione.
Per le finalità descritte al precedente paragrafo 3, nei limiti delle rispettive competenze e secondo quanto descritto nella presente informativa per la gestione delle segnalazioni di violazioni (whistleblowing) e nella procedura di tutela del segnalante, con particolare riferimento ai limiti sulla conoscibilità dell’identità dello stesso, i dati personali ad esso riferibili saranno trattati in ambito aziendale dai seguenti soggetti, designati e autorizzati al trattamento ai sensi dell’art. 29 del GDPR:
1) Referente della piattaforma informatica di Whistleblowing;
2) Responsabile del procedimento disciplinare eventualmente aperto a carico del soggetto segnalato;
3) Nonché, nei limiti sopra indicati, fornitori dei servizi di gestione e manutenzione dei sistemi informativi per il funzionamento della piattaforma informatica adottata, in qualità di Responsabili del trattamento ex art. 28 del GDPR o sub responsabili.
Inoltre, la segnalazione e i dati personali potranno essere trasmessi, per i profili di rispettiva competenza secondo quanto previsto dalla legge, ad ANAC (Autorità Nazionale Anticorruzione), all’Autorità Giudiziaria, alla Corte dei Conti ed altre eventuali autorità pubbliche coinvolte, che tratteranno i dati in qualità di Titolari autonomi.
I dati non verranno trasferiti ad un paese terzo o a un’organizzazione internazionale.
5 MODALITÀ DEL TRATTAMENTO DEI DATI
Il trattamento dei dati personali sarà improntato ai principi di correttezza, liceità e trasparenza e avverrà con il supporto di mezzi informatici (piattaforma) o telematici, in modo da garantirne la sicurezza e riservatezza, in conformità alle previsioni di legge applicabili ed alle prescrizioni contenute nella Delibera n. 311 del 12 luglio 2023 di A.N.A.C. “Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne” (c.d. whistleblowing), con l’adozione delle necessarie misure di sicurezza, tecniche ed organizzative, volte, tra l’altro, ad evitare il rischio di perdita, accesso non autorizzato, uso illecito e diffusione e ad impedire a soggetti non autorizzati di risalire all’identità del segnalante.
6 PERIODO DI CONSERVAZIONE DEI DATI
I dati personali del segnalante e delle persone coinvolte nella segnalazione saranno trattati per il tempo strettamente necessario alla gestione della segnalazione in tutte le sue fasi, all’adozione dei provvedimenti conseguenti ed all’adempimento degli obblighi di legge connessi, dopodiché i medesimi dati verranno distrutti o resi anonimi.
Comunque, la conservazione sarà effettuata non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione: «limitazione della conservazione».
Trascorsi i periodi di conservazione sopra indicati, le segnalazioni potranno essere conservate solo in forma anonimizzata.
I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione accidentalmente forniti dal segnalante, saranno immediatamente cancellati.
7 DIRITTI DELLE PARTI (Interessati coinvolti nella segnalazione)
7.1. DIRITTI DEL SEGNALANTE
Il segnalante potrà esercitare i diritti di cui agli artt. da 15 a 22 del GDPR, tra cui, in sintesi, quelli di:
– ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano;
– ottenere l’accesso ai suoi dati personali ed alle informazioni indicate all’art. 15 del GDPR;
– ottenere la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo o l’integrazione dei dati personali incompleti;
– ottenere la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo;
– ottenere la limitazione del trattamento dei dati personali che lo riguardano;
– essere informato delle eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate in relazione ai dati personali che lo riguardano;
– ricevere o trasmettere ad un altro titolare del trattamento in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano.
L’elenco completo dei predetti diritti è disponibile sul sito del Garante della protezione dei dati personali all’indirizzo www.garanteprivacy.it.
Il segnalante potrà in qualsiasi momento esercitare i citati diritti inviando:
• una raccomandata a/r a EUROMEC2 S.r.l. SOCIETA’ UNIPERSONALE, con sede legale in 30026 Portogruaro (VE), Via Maestri Del Lavoro, 6
Oppure
• una e-mail all’indirizzo whistleblowing@euromec2.it
Oppure
• Contattare il Responsabile per la Protezione Dati (“DPO” O “RPD”) all’indirizzo di posta elettronica dpo_euromec2@legalmail.it
7.2. DIRITTI DELLA PERSONA COINVOLTA O MENZIONATA NELLA SEGNALAZIONE (Diritto dell’interessato)
Ai sensi e per gli effetti di cui all’art. 2-undecies, comma 1, lett. f) del D.Lgs. 196/2003 aggiornato al D.Lgs. 101/2018 (Limitazioni ai diritti dell’interessato), come modificato dall’art. 24, comma 4, del D.Lgs. 24/2023, ai fini della tutela della riservatezza dell’identità del segnalante, il soggetto segnalato o la persona coinvolta nella segnalazione non possono esercitare i diritti che normalmente il GDPR riconosce agli interessati, ossia quelli indicati negli artt. da 15 a 22, come elencati nel precedente par. 7.1 per il segnalante. Nella specie, quando dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona segnalante. Pertanto, alla persona segnalata o coinvolta nella segnalazione è preclusa anche la possibilità, laddove ritengano che il trattamento che li riguarda violi i predetti diritti, di rivolgersi al Titolare del trattamento e, in assenza di risposta da parte di questi, di proporre reclamo al Garante della protezione dei dati personali.
PROCEDURA WHISTLEBLOWING
Premessa
Il 15 marzo 2023 è stato pubblicato il D.Lgs. 10 marzo 2023, n. 24, che ha dato attuazione alla Direttiva (UE) 2019/1937 riguardante la protezione delle persone che segnalano violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o delle aziende private, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato. La riforma attuata con il Decreto ha esteso l’ambito di applicazione oggettivo e soggettivo della disciplina che prima era regolata dalla l. 179/2017, ampliando il “catalogo” delle violazioni segnalabili e il novero degli enti obbligati all’implementazione di sistemi di segnalazione nonché dei soggetti beneficiari delle tutele, peraltro sancendo un importante obbligo di riservatezza dell’identità dei soggetti segnalanti e il divieto di atti ritorsivi nei loro confronti, nonché limitazioni di responsabilità in caso di rivelazioni di alcune informazioni riservate.
Tanto premesso
Il Consiglio di Amministrazione di Euromec2 S.r.l., nella riunione del 12.12.2023, in ottemperanza al citato D.Lgs. 24/2023 e ritenendo che la corretta attuazione del Sistema Whistleblowing sia atto idoneo a rafforzare i generali presidi di compliance aziendale, aiutando a trasformare in opportunità quei rischi che inevitabilmente sono insiti nell’attività di impresa, ha approvato la seguente “Procedura Whistleblowing” per la gestione delle segnalazioni, contestualmente deliberando di avvalersi della piattaforma informatica open source Globaleaks, che è stata installata nella pagina web del sito aziendale https://www.euromec2.it/ quale Canale interno di segnalazione. La “Procedura Whistleblowing” contiene l’elenco delle azioni e dei sistemi adottati dalla nostra Azienda a tutela dei dipendenti e di tutti i soggetti segnalanti di fatti illeciti e irregolarità ai sensi dell’art. 3 D.Lgs. 24/2023 citato, nonché il riferimento ai Canali di segnalazione istituiti presso la Scrivente e le modalità relative alla effettuazione e alla Gestione di tali segnalazioni, in conformità con quanto stabilito ai sensi degli artt. 4 e 5 D.Lgs. 24/2023 citato.
La “Procedura Whistleblowing” sarà oggetto di specifica formazione e ne verrà offerta ampia diffusione in Azienda, così da costituire un costante e quotidiano riferimento per coloro che operano e gravitano attorno alla Scrivente.
1 CHI PUÒ SEGNALARE (i soggetti tutelati)
I soggetti che godono della protezione in caso di segnalazione, denuncia o divulgazione pubblica, con riferimento alla nostra realtà aziendale privata, sono:
•i lavoratori subordinati, indipendentemente dall’inquadramento giuridico e contrattuale;
•i lavoratori autonomi e collaboratori che svolgono la propria attività lavorativa a favore l’Azienda;
•i liberi professionisti e i consulenti che prestano la propria attività a favore l’Azienda;
•i volontari e i tirocinanti, retribuiti e non retribuiti;
•gli azionisti e le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza, anche qualora tali funzioni siano esercitate in via di mero fatto;
•i candidati in fase di selezione;
•gli ex dipendenti o i lavoratori in prova se le informazioni sulle violazioni siano state acquisite nel corso del rapporto stesso;
•coloro il cui rapporto giuridico/di lavoro non sia ancora iniziato, se le informazioni sulle violazioni sono state acquisite durante il processo di selezione o in altre fasi precontrattuali;
L’applicazione delle misure di protezione previste dal D.LGS. 24/2023 è garantita anche nei confronti:
•dei facilitatori;
•delle persone legate al segnalante da uno stabile legame affettivo o di parentela entro il quarto grado che operano nello stesso contesto lavorativo;
•i colleghi di lavoro del segnalante;
•gli enti di proprietà del segnalante o che operano nel suo stesso contesto lavorativo;
•i segnalanti anonimi se successivamente identificati.
2 COSA SI PUÒ SEGNALARE (l’ambito di applicazione oggettivo)
Possono essere oggetto di segnalazione le informazioni – compresi i fondati sospetti – sulle violazioni del dritto nazionale italiano e del diritto dell’UE e così in particolare:
•illeciti amministrativi, contabili, civili o penali;
•illeciti che rientrano nell’ambito di applicazione degli atti dell’Unione Europea relativi ai seguenti settori: appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell’ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi.
•atti od omissioni che ledono gli interessi finanziari dell’Unione Europea;
•atti od omissioni riguardanti il mercato interno, comprese le violazioni delle norme UE in materia di concorrenza e di aiuti di Stato nonché in materia di imposte sulle società o i meccanismi il cui fine è ottenere un vantaggio fiscale che vanifichi l’oggetto o la finalità della normativa applicabile in materia di imposta sulla società;
•atti o comportamenti che vanificano l’oggetto o la finalità delle disposizioni di cui agli atti dell’Unione nei settori sopra indicati.
3 COME SI EFFETTUA LA SEGNALAZIONE (i tre canali di segnalazione: interno / esterno all’ANAC / divulgazione pubblica)
Per la sua corretta gestione, è necessario che la segnalazione sia il più possibile circostanziata. In particolare, è necessario che siano chiare:
•le circostanze di tempo e luogo in cui si è verificato il fatto oggetto di segnalazione;
•la descrizione del medesimo fatto;
•le generalità o altri elementi che consentano l’identificazione del soggetto cui attribuire i fatti segnalati;
•le intenzioni di voler mantenere riservata la propria identità e beneficiare delle previste tutele in caso di ritorsioni subite a seguito della segnalazione.
È utile, inoltre, allegare documenti che possano fornire elementi di fondatezza dei fatti oggetto di segnalazione, nonché l’indicazione di altri soggetti potenzialmente a conoscenza dei fatti.
Laddove quanto segnalato non sia adeguatamente circostanziato, il Gestore delle segnalazioni può chiedere elementi integrativi al segnalante tramite il canale interno a ciò dedicato o anche di persona, qualora il segnalante abbia richiesto un incontro diretto in fase di segnalazione.
In merito, non è richiesto al segnalante di dimostrare in modo completo la commissione di un illecito ma la segnalazione deve essere quanto più possibile circostanziata, per consentire l’accertamento dei fatti comunicati da parte del Gestore ricevente. Al contempo, il segnalante è invitato a non attuare “attività di investigazione” che possono esporlo individualmente.
Costituiscono segnalazioni rilevanti ai sensi della normativa di cui si tratta le segnalazioni aventi ad oggetto comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità della Società, di cui il segnalante sia venuto a conoscenza nel contesto lavorativo e che consistono in:
•condotte illecite rilevanti ai sensi del D.Lgs. n. 231/2001, quali, a titolo esemplificativo: comportamenti corruttivi verso la Pubblica Amministrazione, violazioni in materia di Salute e Sicurezza sul Lavoro, violazioni della normativa in materia Ambientale, etc.
Si evidenzia che tali segnalazioni potranno essere effettuate esclusivamente per il tramite dei canali di segnalazione interni.
Sono escluse dall’ambito delle segnalazioni rilevanti le contestazioni, rivendicazioni o richieste legate ad un interesse di carattere personale del segnalante che attengono esclusivamente ai propri rapporti individuali di lavoro ovvero inerenti ai propri rapporti di lavoro con le figure gerarchicamente sovraordinate.
Le Segnalazioni possono avvenire anche in forma anonima. La Segnalazione, anche anonima (ovvero quelle dalle quali non è possibile stabilire l’identità del segnalante), deve essere circostanziata e fondata su elementi precisi e
concordanti, di cui il segnalante sia venuto a conoscenza nell’ambito dell’attività lavorativa, così da fornire ogni elemento utile per consentire un’appropriata attività di verifica sulla fondatezza dei fatti segnalati. Qualora circostanziate, per l’ANAC, le segnalazioni anonime sono equiparate alle segnalazioni ordinarie e, pertanto, considerate dalla medesima nei propri procedimenti di vigilanza “ordinari”. Le segnalazioni anonime ricevute mediante il canale interno vanno considerate alla stregua di quelle ordinarie, nonché trattate secondo i criteri fissati dall’organizzazione.
Dette segnalazioni, se ricevute tramite canale interno, vanno registrate e la relativa documentazione conservata per non oltre cinque anni, decorrenti dalla data di ricezione delle stesse, al fine di poterle rintracciare qualora il segnalante comunichi all’ANAC di aver subito atti ritorsivi conseguenti alla segnalazione anonima.
3.1. IL CANALE DI SEGNALAZIONE INTERNO
In conformità all’art. 4 del D.Lgs. 24/2023, l’Azienda ha attivato l’apposito canale di segnalazione interno, assicurando caratteristiche di confidenzialità e riservatezza per coloro che intendano effettuare Segnalazioni.
Le Segnalazioni possono essere effettuate:
– attraverso apposita piattaforma informatica al seguente link: canale interno
Il segnalante seguendo le istruzioni in essa contenute che sono facilmente intuitive, procede a effettuare la propria segnalazione, eventualmente allegando documentazione a supporto della segnalazione.
– in forma orale mediante utilizzo di appositi sistemi IT di messaggistica vocale forniti dalla piattaforma informatica di cui sopra;
– attraverso comunicazione scritta in busta chiusa che dovrà essere indirizzata all’Azienda EUROMEC2 S.r.l. società unipersonale, all’indirizzo: 30026 Portogruaro (VE), Via Maestri Del Lavoro, 6 all’attenzione dell’Ufficio preposto alle segnalazioni interne. Ricevuto il plico in busta chiusa l’Ufficio dovrà prendere contatti con Avv. Barbara Corradini per la gestione della segnalazione.
3.2. IL CANALE DI SEGNALAZIONE ESTERNO ALL’ANAC
Per l’utilizzo del canale esterno di segnalazione è necessario che sussistano almeno una delle seguenti condizioni:
1a) il canale interno, pur essendo obbligatorio non è attivo o, anche se attivato, non è conforme a quanto previsto dal decreto con riferimento ai soggetti e alle modalità di presentazione delle segnalazioni interne che devono essere in grado di garantire la riservatezza dell’identità del segnalante e degli altri soggetti tutelati;
2b) la persona segnalante ha già effettuato una segnalazione interna e la stessa non ha avuto seguito. Il riferimento è ai casi in cui il canale interno sia stato utilizzato ma il gestore del canale non ha intrapreso, entro i termini previsti, alcuna attività circa l’ammissibilità della segnalazione, la verifica della sussistenza dei fatti segnalati o la comunicazione dell’esito dell’istruttoria svolta. In merito, è sufficiente che anche solo una delle attività indicate (verifica ammissibilità, svolgimento istruttoria, comunicazione esiti) non sia stata effettuata per poter ritenere integrato il “mancato seguito” e, quindi, per poter accedere legittimamente al canale esterno;
3c) la persona segnalante ha fondati motivi di ritenere che, se effettuasse una segnalazione interna, alla stessa non sarebbe dato efficace seguito ovvero che la stessa segnalazione possa determinare il rischio di ritorsione;
4d) la persona segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.
3.3 LA DIVULGAZIONE PUBBLICA
Con questa modalità le informazioni sulle violazioni sono rese di pubblico dominio a mezzo stampa, mezzi elettronici o comunque attraverso mezzi di diffusione in grado di raggiungere un elevato numero di persone (es.: social network).
Il segnalante che effettua una divulgazione pubblica beneficia della protezione prevista dalla norma solo se, al momento della divulgazione pubblica, ricorre una delle seguenti condizioni:
1a) a una segnalazione interna, cui l’ente non ha dato riscontro nei termini previsti (tre mesi dalla data dell’avviso di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione), ha fatto seguito una segnalazione esterna ad ANAC che a sua volta non ha fornito
riscontro al segnalante entro termini ragionevoli (tre mesi o, se ricorrono giustificate e motivate ragioni, sei mesi dalla data di avviso di ricevimento della segnalazione esterna o, in mancanza di detto avviso, dalla scadenza dei sette giorni dal ricevimento);
1b) la persona ha già effettuato direttamente una segnalazione esterna ad ANAC la quale, tuttavia, non ha dato riscontro al segnalante in merito alle misure previste o adottate per dare seguito alla segnalazione entro termini ragionevoli (tre mesi o, se ricorrono giustificate e motivate ragioni, sei mesi dalla data di avviso di ricevimento della segnalazione esterna o, in mancanza di detto avviso, dalla scadenza dei sette giorni dal ricevimento);
2c) la persona effettua direttamente una divulgazione pubblica perché ha fondato motivo di ritenere, ragionevolmente, sulla base di circostanze concrete allegate ed informazioni effettivamente acquisibili, ossia non su semplici illazioni, che la violazione possa rappresentare un pericolo imminente o palese per il pubblico interesse. Si pensi, per esempio, a una situazione di emergenza o al rischio di danno irreversibile, anche all’incolumità fisica di una o più persone, che richiedono che la violazione sia svelata prontamente e abbia un’ampia risonanza per impedirne gli effetti;
3d) la persona effettua direttamente una divulgazione pubblica poiché ha fondati motivi di ritenere che la segnalazione esterna possa comportare il rischio di ritorsioni oppure possa non avere efficace seguito perché, ad esempio, teme che possano essere occultate o distrutte prove o, ancora, chi ha ricevuto la segnalazione possa essere colluso con l’autore della violazione o coinvolto nella violazione stessa. Si consideri, a titolo esemplificativo, il caso in cui chi riceve la segnalazione di una violazione, accordandosi con la persona coinvolta nella violazione stessa, proceda ad archiviare detta segnalazione in assenza dei presupposti.
Nella divulgazione pubblica, ove il soggetto riveli volontariamente la propria identità, non rileva la tutela della riservatezza, ferme restando tutte le altre forme di protezione previste dalla norma per il whistleblower.
4 COME VERRA’ GESTITA LA SEGNALAZIONE (il Gestore dei canali interni è Avv. Barbara Corradini)
Euromec2 S.r.l. società unipersonale, nell’ambito della predetta procedura, ha affidato ad un soggetto interno all’Azienda – Avv. Barbara Corradini, la gestione del canale di segnalazione interno e pertanto l’Avv. Barbara Corradini riceverà le segnalazioni che verranno così gestite: il Gestore dovrà
1) valutare l’ammissibilità della segnalazione in termini di sussistenza dei suoi requisiti essenziali;
2) qualora la segnalazione non sia adeguatamente circostanziata, chiedere al segnalante ulteriori elementi ad integrazione;
3) mantenere l’assoluta riservatezza sull’identità del segnalante e sui contenuti della segnalazione;
4) entro sette giorni dalla data di ricezione, rilasciare al segnalante un avviso di ricevimento;
5) mantenere un’interlocuzione con il segnalante;
6) dare corretto seguito alla segnalazione ricevuta;
7) fornire riscontro al segnalante.
Relativamente ai requisiti essenziali della segnalazione, ai fini della sua ammissibilità per poter riconoscere al segnalante le tutele previste, nei seguenti casi esemplificativi la segnalazione potrebbe non essere ritenuta ammissibile:
•manifesta infondatezza per l’assenza di elementi di fatto idonei a giustificare accertamenti;
•accertato contenuto generico della segnalazione, tale da non consentire la comprensione dei fatti ovvero segnalazione di illecito corredata da documentazione non appropriata o inconferente.
Valutata l’ammissibilità della segnalazione come di whistleblowing, il Gestore della segnalazione avvia l’istruttoria interna sui fatti o condotte segnalati per valutarne l’effettiva sussistenza.
Per lo svolgimento dell’istruttoria, il Gestore della segnalazione può avviare un dialogo con il whistleblower, chiedendo al medesimo chiarimenti, documenti e informazioni ulteriori, sempre tramite il canale dedicato o anche di persona, qualora il segnalante abbia richiesto un incontro.
Inoltre, sempre ai fini della gestione delle segnalazioni, il Gestore prenderà contatti con il Referente interno della Società, che potrà essere il Legale Rappresentante o altro soggetto da questo appositamente designato. In tale ultimo
caso, il segnalante riceverà specifica comunicazione al riguardo, sempre attraverso il mezzo di comunicazione che ha indicato in piattaforma, in fase di segnalazione.
Se lo ritiene necessario, il Gestore può anche acquisire atti e documenti da altri uffici di Euromec2 s.r.l. società unipersonale, avvalersi del loro supporto, coinvolgere terze persone tramite audizioni e altre richieste, avendo sempre cura che non sia compromessa la tutela della riservatezza del segnalante e del segnalato.
Qualora, a seguito dell’attività svolta, siano ravvisati elementi di manifesta infondatezza della segnalazione, ne sarà disposta l’archiviazione con adeguata motivazione. Laddove, invece, si ravvisi la fondatezza della segnalazione il Gestore dovrà rivolgersi immediatamente agli organi preposti interni, ognuno secondo i propri ruoli e competenze.
Resta inteso che anche gli organi preposti interni sono tenuti a mantenere l’assoluta riservatezza sull’identità del segnalante, sui contenuti della segnalazione nonché sull’identità del soggetto segnalato quale possibile autore della violazione.
Non compete al Gestore della segnalazione accertare responsabilità individuali, qualunque natura esse abbiano, né svolgere controlli di legittimità o di merito su atti e/o provvedimenti adottati dall’Azienda, a pena di sconfinare nelle competenze di altri soggetti a ciò preposti all’interno della medesima ovvero della magistratura, qualora la segnalazione attenga alla possibile commissione di un illecito a rilevanza penale.
All’esito della fase istruttoria, il Gestore della segnalazione fornisce riscontro alla stessa, dando conto al segnalante delle misure previste, adottate o da adottare per darle seguito e dei motivi della scelta operata.
Il riscontro può consistere:
– nella comunicazione di archiviazione della procedura per mancanza di prove sufficienti o altri motivi;
– nell’avvio di un’indagine interna e delle eventuali relative risultanze, nonché dei provvedimenti adottati per affrontare la questione sollevata;
– nel rinvio ad un’autorità competente per ulteriori indagini, nella misura in cui dette informazioni non pregiudichino l’indagine interna né ledano i diritti della persona coinvolta.
Vale precisare che il riscontro potrebbe anche essere meramente interlocutorio, giacché possono essere comunicate le informazioni relative a tutte le attività sopra descritte che si intende intraprendere e lo stato di avanzamento dell’istruttoria. In tale ultimo caso, terminata l’istruttoria, gli esiti dovranno comunque essere comunicati alla persona segnalante.
Il segnalante (whistleblower), entro tre mesi dalla data dell’avviso di ricezione o, in assenza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione, deve essere informato dell’esito della sua segnalazione.
5 LA TUTELA DELLA RISERVATEZZA
Le segnalazioni non possono essere utilizzate oltre quanto necessario per dare alle stesse adeguato seguito. L’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rivelate senza il consenso espresso della stessa persona segnalante a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni.
In particolare:
•in caso di avvio di un procedimento penale, l’identità del segnalante è coperta dal segreto nei modi e nei limiti previsti dall’articolo 329 c.p.p. Disposizione che prevede l’obbligo del segreto sugli atti compiuti nelle indagini preliminari “fino a quando l’imputato non ne possa avere conoscenza e, comunque, non oltre la chiusura delle indagini preliminari”;
•in caso di avvio di un procedimento disciplinare, l’identità della persona segnalante non può essere rivelata, ove la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Se la contestazione si fonda, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità della persona segnalante è indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare stesso solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità. In tale ultima ipotesi è richiesta anche una comunicazione scritta delle ragioni di tale rivelazione.
La persona segnalata come responsabile dei sospetti illecito o irregolarità beneficia delle misure di protezione dell’identità analoghe a quelle della persona segnalante e delle altre persone citate o coinvolte nella segnalazione.
6 COSA SI INTENDE PER RITORSIONE
Qualsiasi comportamento, atto od omissione, anche solo tentato o minacciato, posto in essere in ragione della segnalazione e che provoca o può provocare alla persona segnalante, in via diretta o indiretta, un danno ingiusto. Sono considerate ritorsioni:
1a) licenziamento, sospensione o misure equivalenti;
2b) retrocessione di grado o mancata promozione;
3c) mutamento di funzioni, cambiamento del luogo di lavoro, riduzione dello stipendio, modifica dell’orario di lavoro;
4d) sospensione della formazione o qualsiasi restrizione dell’accesso alla stessa;
5e) note di demerito o referenze negative;
6f) adozione di misure disciplinari o di altra sanzione, anche pecuniaria;
7g) coercizione, intimidazione, molestie o ostracismo;
8h) discriminazione o comunque trattamento sfavorevole;
9i) mancata conversione di un contratto di lavoro a termine in un contratto di lavoro a tempo indeterminato, laddove il lavoratore avesse una legittima aspettativa a detta conversione;
10j) mancato rinnovo o risoluzione anticipata di un contratto di lavoro a termine;
11k) danni, anche alla reputazione della persona, in particolare sui social media, o pregiudizi economici o finanziari, comprese la perdita di opportunità economiche e la perdita di redditi;
12l) inserimento in elenchi impropri sulla base di un accordo settoriale o industriale formale o informale, che può comportare l’impossibilità per la persona di trovare un’occupazione nel settore o nell’industria in futuro;
13m) conclusione anticipata o annullamento del contratto di fornitura di beni o servizi;
14n) annullamento di una licenza o di un permesso;
15o) richiesta di sottoposizione ad accertamenti psichiatrici o medici.
Possono inoltre costituire ritorsioni, ad esempio, anche:
•la pretesa di risultati impossibili da raggiungere nei modi e nei tempi indicati;
•una valutazione della prestazione artatamente negativa;
•la revoca ingiustificata di incarichi;
•un ingiustificato mancato conferimento di incarichi con contestuale attribuzione ad altro soggetto;
•il reiterato rigetto di richieste (ad es. ferie, congedi);
•la sospensione ingiustificata di brevetti, licenze, etc.
In caso di ritorsioni, l’applicazione del regime di protezione prevede che le segnalazioni effettuate da parte di uno dei soggetti indicati nella presente Procedura, soddisfino alcune condizioni e requisiti. Nella specie:
1a) Il segnalante deve ragionevolmente credere, anche alla luce delle circostanze del caso concreto e dei dati disponibili al momento della segnalazione, che le informazioni sulle violazioni segnalate siano veritiere. Non sono sufficienti semplici supposizioni o voci di corridoio così come notizie di pubblico dominio. Ciò che rileva è che il segnalante abbia agito in base ad una convinzione ragionevole (es.: un illecito si è verificato o stia per verificarsi). Questa rappresenta una salvaguardia essenziale contro segnalazioni dannose o offensive, e garantisce che coloro che hanno deliberatamente e consapevolmente segnalato informazioni errate, palesemente prive di fondamento o fuorvianti, non godano di protezione.
2b) Ai fini della tutela, non rileva la circostanza che il soggetto abbia segnalato pur non essendo certo dell’effettivo accadimento dei fatti segnalati e/o dell’identità dell’autore degli stessi o riportando anche fatti inesatti per via di un errore genuino.
3c) Analogamente, chi effettua una segnalazione ha diritto alla protezione se ha agito sulla base di circostanze concrete ed informazioni effettivamente acquisibili, tali da far ritenere ragionevolmente che le informazioni sulle violazioni segnalate siano pertinenti perché rientranti fra gli illeciti considerati dalla norma.
4d) La segnalazione, inoltre, deve essere effettuata utilizzando il canale interno istituito e secondo le modalità previste dalla norma ed illustrate nel presente Regolamento. Nel caso di segnalazioni inviate ad un soggetto diverso
da quello competente, quest’ultimo deve trasmetterle senza ritardo al soggetto autorizzato a ricevere e gestire le segnalazioni, dando contestuale notizia della trasmissione alla persona segnalante.
1e) Deve sussistere uno stretto collegamento tra la segnalazione e il comportamento/atto/omissione sfavorevole subito, direttamente o indirettamente, dalla persona segnalante, affinché questi siano considerati una ritorsione e, di conseguenza, il soggetto possa beneficiare di protezione.
Ai fini della tutela, nessuna rilevanza assumono i motivi personali e specifici che hanno indotto le persone a effettuare la segnalazione.
In assenza del rispetto di tali condizioni generali, la tutela non potrà essere garantita neanche ai soggetti diversi da quello che segnala qualora, in ragione del ruolo assunto nell’ambito del processo di segnalazione e/o del particolare rapporto che li lega al segnalante, subiscano indirettamente ritorsioni.
Fatte salve le specifiche limitazioni di responsabilità previste dalla norma, la protezione prevista in caso di ritorsioni non trova applicazione in caso di accertamento con sentenza, anche non definitiva di primo grado nei confronti del segnalante della responsabilità penale per i reati di calunnia o diffamazione o comunque per i medesimi reati connessi alla denuncia, ovvero della responsabilità civile, per aver riferito informazioni false riportate intenzionalmente con dolo o colpa grave.
Nei casi di accertamento delle citate responsabilità, al soggetto segnalante è applicata una sanzione disciplinare.
7 LA TUTELA DEL SEGNALANTE
La tutela del segnalante non è applicabile in caso di contestazioni, rivendicazioni o richieste legate ad un interesse di carattere personale del medesimo che attengono esclusivamente ai propri rapporti individuali di lavoro, ovvero inerenti ai propri rapporti di lavoro con le figure gerarchicamente sovraordinate.
A titolo esemplificativo, restano escluse le segnalazioni riguardanti: vertenze di lavoro e fasi precontenziose; discriminazioni tra colleghi; conflitti interpersonali tra la persona segnalante e un altro lavoratore o con i superiori gerarchici; segnalazioni relative a trattamenti di dati effettuati nel contesto del rapporto individuale di lavoro in assenza di lesioni dell’interesse pubblico o dell’integrità dell’Azienda.
Oltre alle persone indicate nel precedente punto 2), la protezione da eventuali ritorsioni è applicabile anche nelle seguenti situazioni:
1) quando il rapporto giuridico non è ancora iniziato, se le informazioni sulle violazioni sono state acquisite durante il processo di selezione o in altre fasi precontrattuali (es.: durante un colloquio di lavoro);
2) nel corso del periodo di prova;
3) successivamente allo scioglimento del rapporto giuridico se le informazioni sulle violazioni sono state acquisite nel corso del rapporto medesimo.
All’insieme delle tutele riconosciute al segnalante sono altresì riconosciute anche talune limitazioni della responsabilità rispetto alla rivelazione e alla diffusione di alcune categorie di informazioni. Tali limitazioni si applicano al sussistere di specifiche condizioni, in assenza delle quali vi potrebbero essere conseguenze in termini di responsabilità penale, civile, amministrativa:
1a) la prima condizione richiede che al momento della segnalazione vi siano fondati motivi per ritenere che le informazioni siano necessarie per far scoprire la violazione. Il segnalante, quindi, deve ragionevolmente ritenere, e non in base a semplici illazioni, che quelle informazioni vanno comunicate perché indispensabili per far emergere la violazione, ad esclusione di quelle superflue, e non per ulteriori e diverse ragioni: pettegolezzi, fini vendicativi, opportunistici o scandalistici;
2b) la seconda condizione esige che la segnalazione sia stata effettuata nel rispetto delle condizioni previste dalla norma per beneficiare delle tutele dalle ritorsioni:
1) fondato motivo di ritenere che le informazioni sulle violazioni fossero vere e rientrassero tra le violazioni segnalabili ai sensi della norma;
2) segnalazioni effettuate nel rispetto delle modalità e delle condizioni di cui al presente regolamento.
Entrambe le condizioni devono sussistere per escludere la responsabilità; se soddisfatte, le persone che segnalano non incorrono in alcun tipo di responsabilità civile, penale, amministrativa o disciplinare.
Le limitazioni di responsabilità del segnalante rilevano anche riguardo all’accesso “lecito” alle informazioni segnalate o ai documenti contenenti dette informazioni. Qualora l’acquisizione, l’accesso alle informazioni o ai documenti sia stato ottenuto commettendo un reato (es.: accesso abusivo o atto di pirateria informatica), l’esclusione della responsabilità del segnalante non opera ma resta ferma la responsabilità penale, e ogni altra responsabilità anche civile, amministrativa e disciplinare.
8 LIMITAZIONI AI DIRITTI DELL’INTERESSATO
Per “interessato” deve intendersi la persona segnalata come responsabile dei sospetti illecito o irregolarità che, con riferimento ai propri dati personali trattati nell’ambito della segnalazione, non può esercitare i diritti che normalmente il GDPR riconosce agli interessati (artt. da 15 a 22 GDPR 679/2016), ossia:
•diritto di accesso dell’interessato (art. 15);
•diritto di rettifica (art. 16);
•diritto alla cancellazione (c.d. diritto all’oblio) (art. 17);
•diritto di limitazione del trattamento (art. 18);
•obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento (art. 19);
•diritto alla portabilità dei dati (art. 20);
•diritto di opposizione al trattamento (art. 21);
•processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione (art. 22).
Dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona segnalante.
Alla persona segnalata è preclusa anche la possibilità, laddove ritiene che il trattamento che la riguarda violi i suddetti diritti, di rivolgersi al titolare del trattamento e, in assenza di risposta da parte di quest’ultimo, di proporre reclamo al Garante della protezione dei dati personali.
9 DIVIETO DI RINUNCE E TRANSAZIONI
Non sono validi gli atti di rinuncia e le transazioni, sia integrali che parziali (es.: in virtù di accordi interni o altre condizioni contrattuali) aventi ad oggetto il diritto di effettuare segnalazioni nel rispetto delle previsioni normative. Analogamente, non è consentito imporre al segnalante (whistleblower), così come agli altri soggetti tutelati, di privarsi della possibilità di accedere a mezzi di tutela cui hanno diritto: riservatezza; eventuali misure ritorsive subite a causa della segnalazione; limitazioni di responsabilità conseguenti alla segnalazione al ricorrere delle condizioni previste. Dette tutele non possono costituire oggetto di rinuncia volontaria.
Quanto sopra non vale qualora rinunce e transazioni siano sottoscritte in sedi protette (giudiziarie, amministrative sindacali): il segnalante e gli altri soggetti tutelati possono validamente rinunciare ai propri diritti e mezzi di tutela o farne oggetto di transazione, se ciò avviene nelle sedi protette indicate all’art. 2113 c.c. La circostanza che detti atti siano conclusi dinanzi a organismi che, per la loro composizione, assicurano autorevolezza e imparzialità, consente di considerare maggiormente tutelata la posizione del soggetto che rinunzia o transige, anche in termini di maggiore genuinità e spontaneità del consenso.
***
L’obiettivo perseguito dalla presente Procedura è quello di descrivere e regolamentare il processo di segnalazione delle violazioni di illeciti o irregolarità, fornendo al segnalante chiare indicazioni operative circa l’oggetto, i contenuti, i destinatari e le modalità di trasmissione delle Segnalazioni, nonché riguardo alle forme di tutela che vengono predisposte dalla Società in conformità alle disposizioni normative.
La presente procedura ha altresì lo scopo di disciplinare le modalità di accertamento della validità e fondatezza delle Segnalazioni e, conseguentemente, di intraprendere le azioni correttive e disciplinari opportune a tutela della Società.
Per tali motivi, non saranno prese in considerazione segnalazioni riguardanti vicende o interessi personali ovvero inerenti richieste, contestazioni o rivendicazioni legate alla sfera individuale attinente al proprio rapporto di lavoro, e che non ricoprano carattere di informazioni relative a violazioni gravi, lesive per il segnalante e per l’azienda, tali da poter essere perseguite con esposti o denunce presso le competenti autorità civili, penali o amministrative.
La presente procedura si applica nell’ambito di tutte le attività aziendali delle Società e deve essere applicata fedelmente dai Destinatari, nel rispetto degli obblighi di legge che potrebbero derivare dalla segnalazione: in particolare, in tema di obbligo di denuncia all’Autorità Giudiziaria e in materia di trattamento dei dati personali e tutela della privacy.
Il presente Regolamento operativo per la gestione delle segnalazioni di illeciti o irregolarità e la tutela del segnalante è esposto sul sito web aziendale e sulla bacheca aziendale.
RIFERIMENTI NORMATIVI
•Direttiva (UE) nr. 2019/1937 del Parlamento europeo e del Consiglio UE del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali
•Decreto Legislativo n. 24 del 2023, in attuazione della Direttiva (UE) 2019/1937.
•L. 30 novembre 2017, n. 179, recante “Normativa in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”
•Regolamento UE 679/2016 in tema di privacy e successive disposizioni (GDPR; DLgs. 101/2018, Decreto di adeguamento alla normativa italiana al GDPR, adempimenti urgenti e sanzioni; “nuovo” Codice Privacy, D.Lgs. 196/2003)
•Artt. 2105 segg. cod.civ.; L. 300/1970, cd “Statuto dei Lavoratori”; L. 604/1966 in tema di licenziamenti;
•Contratto collettivo nazionale vigente.
INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI resa ai sensi e per gli effetti dell’art. 13 del Regolamento (UE) 2016/679 (General Data Protection Regulation o GDPR) PER I SOGGETTI CHE SEGNALANO ILLECITI (WHISTLEBLOWERS) a norma del d.lgs. n. 24/2023
- Premessa
Con la presente informativa Euromec 2 s.r.l. Società Unipersonale, con sede legale in Portogruaro (Ve) – Via Maestri del Lavoro 6, in qualità di Titolare del trattamento, intende fornire agli autori di segnalazioni di violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’ente privato, ai sensi e per gli effetti del d.lgs. n. 24/2023 – e, per le parti non abrogate, dalla legge 179/2017 – una descrizione dei trattamenti dei dati personali connessi all’adempimento delle normative citate, anche alla luce di quanto previsto nella Procedura di gestione delle suddette segnalazioni (cd. Procedura Whistleblowing) adottata dal Titolare e i cui contenuti, qui integralmente richiamati, sono affissi nella bacheca Aziendale sita presso la suddetta sede legale.[1]
Tali trattamenti avverranno nel rispetto della normativa in tema di protezione dei dati personali di cui al Regolamento Europeo 2016/679 (General Data Protection Regulation o GDPR), nonché, in quanto e allorché applicabile, di cui al d. lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), così come, da ultimo, modificato anche dal d. lgs. 10 agosto 2018, n. 101, oltreché dei Provvedimenti (tra cui, da ultimo anche il Provvedimento n. 146/2019 recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101), delle Autorizzazioni, delle Linee Guida dell’Autorità Garante, attualmente vigenti, delle Linee Guida A.N.A.C. del 12 luglio 2023 (“Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne”) e, in ogni caso, di tutta la disciplina integrativa nazionale, internazionale e comunitaria allo stato applicabile in materia.
- Titolare del trattamento – Gestore delle segnalazioni
Titolare del trattamento dei dati personali è Euromec 2 s.r.l. Società Unipersonale, con sede legale in Portogruaro (Ve), Via Maestri del Lavoro 6; P.I. C.F. 02259270276 – e-mail: amministrazione@euromec2.it; tel 0421.275018.
Per la gestione delle segnalazioni il Titolare ha designato un Gestore esterno nominandolo Responsabile del trattamento ex art. 28 GDPR al quale, a mezzo di piattaforma informatica ovvero tramite comunicazione in busta chiusa (vedi nota 1), verranno indirizzate anche le richieste di esercizio dei diritti ex art. 15-22 GDPR (v. sul punto il paragrafo 10).
- Oggetto del trattamento – categorie di dati personali
I dati che possono essere trattati per le finalità di cui al successivo punto 4 sono:
– i dati anagrafici, quali nome, cognome del segnalante e/o i dati di contatto e di identificazione personale del segnalante (se riportati);
– i nomi e altri dati personali delle persone indicate e/o coinvolte nella segnalazione (ad. esempio, oltre al segnalato, il facilitatore e/o eventuali testimoni).
La segnalazione non dovrà contenere fatti irrilevanti ai fini della stessa, né categorie particolari di dati personali, di cui all’art. 9 GDPR (di seguito anche “categorie particolati di dati”), cioè quelli da cui possono eventualmente desumersi, fra l’altro, l’origine razziale ed etnica, le convinzioni filosofiche e religiose, l’adesione a partiti o sindacati, nonché lo stato di salute, la vita sessuale o l’orientamento sessuale, salvo i casi in cui ciò sia inevitabile e necessario ai fini della segnalazione stessa.
I dati personali sopra indicati potranno essere integrati e/o aggiornati sulla base di informazioni reperibili pubblicamente, raccolte da soggetti terzi e/o direttamente dal segnalante e/o già nella disponibilità del Titolare del relativo trattamento, anche al fine di verificare la fondatezza della segnalazione.
- Finalità e base giuridica del trattamento dei dati
I dati personali forniti e resi disponibili tramite la piattaforma informatica o la comunicazione scritta di cui alla nota 1, ai sensi del d.lgs. 24/2023 (c.d. “Segnalazione Whistleblowing”) e/o contenuti nella documentazione allegata alla stessa segnalazione o in quella che verrà raccolta nel corso del procedimento, saranno trattati per:
- a) Finalità connesse alla gestione e verifica della segnalazione e, dunque per garantire un’adeguata applicazione della Procedura Whistleblowing adottata e, comunque, in ogni caso, ai fini di adempimento degli obblighi di legge in materia.
La base giuridica del trattamento dei dati comuni e di quelli ex art. 9 del Regolamento 2016/679 è pertanto data dalla necessità di adempiere ad obblighi legali, secondo quanto previsto rispettivamente all’art. 6, par. 1, lett. c) e alla lettera b)[2], paragrafo 2 dell’art. 9 GDPR.
In caso di segnalazioni effettuate in forma orale mediante utilizzo di appositi sistemi IT di messaggistica vocale forniti dalla piattaforma informatica di cui si è detto, la segnalazione, previo consenso della persona segnalante, è documentata a cura del personale addetto mediante registrazione su un dispositivo idoneo alla conservazione e all’ascolto oppure mediante trascrizione integrale. In caso di trascrizione, la persona segnalante può verificare, rettificare o confermare il contenuto della trascrizione mediante la propria sottoscrizione.
- b) Finalità di tutela legale e, dunque, per far valere o difendere un diritto anche da parte di un terzo in sede stragiudiziale o giudiziale, nonché in sede amministrativa, disciplinare o nelle procedure di arbitrato e di conciliazione nei casi previsti dalla normativa interna e/o dell’Unione Europea, dai regolamenti, e dai contratti collettivi.
Con riferimento alle finalità di tutela legale la base giuridica del trattamento dei dati comuni e dei dati ex art. 9 del Regolamento 2016/679 dei segnalanti è il legittimo interesse del Titolare o di Terzi e/o quanto previsto alle lettere b) e/o f)[3] del paragrafo 2 dell’art. 9 GDPR.
- Modalità di trattamento dei dati
Il trattamento dei dati personali degli Interessati verrà effettuato con il supporto di mezzi informatici, telematici, e manuali, secondo le modalità previste nella Procedura Whistleblowing.
I dati personali verranno trattati e conservati nel pieno rispetto dei principi di necessità, minimizzazione dei dati e limitazione del periodo di conservazione. Il trattamento dei dati personali verrà effettuato in modo da garantire un’adeguata sicurezza e riservatezza in virtù dell’adozione di misure tecniche ed organizzative di carattere fisico, logico e organizzativo adeguate al livello di rischio dei trattamenti volte, tra l’altro, ad impedire la divulgazione, la perdita, l’accesso e l’utilizzo non autorizzato. l’alterazione o la distruzione dei dati personali.
- Conservazione dei dati
I dati verranno conservati negli archivi fisici ed elettronici del Titolare, per quanto di competenza, e del Gestore esterno del canale di segnalazione, quale Responsabile del trattamento ex art. 28 GDPR (v. sul punto anche paragrafo 7) per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, comunque per il periodo previsto dalla legge.
In particolare il Titolare e il Gestore delle segnalazioni conserveranno i dati personali di cui alla segnalazione e la relativa documentazione per il tempo necessario al trattamento della segnalazione in tutte le sue fasi, all’adozione dei provvedimenti conseguenti nonché all’adempimento degli obblighi di legge connessi e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della Procedura di segnalazione, salvo non possano farsi valere termini di conservazione legali maggiori e fatto comunque salvo, in ogni caso, l’eventuale legittimo interesse alla conservazione dei dati necessari per finalità di tutela legale (ad es. a fini di prova dell’adempimento da parte del Titolare delle richieste formulate dall’Interessato nell’ambito dell’esercizio dei propri diritti – sul punto v. il paragrafo 10) nonché il caso in cui la loro ulteriore conservazione sia necessaria per assolvere ad obblighi di legge o per adempiere ad ordini impartiti da Pubbliche Autorità e/o Organismi di Vigilanza ovvero per l’accertamento, l’esercizio o la difesa dei diritti del Titolare o di terzi. Trascorsi i periodi di conservazione sopra indicati, i dati verranno distrutti o resi anonimi in maniera irreversibile.
I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione accidentalmente forniti dal segnalante, saranno immediatamente cancellati.
I criteri utilizzati per determinare il periodo di conservazione dei dati sono pertanto:
- perseguimento delle finalità relative al trattamento;
- tempo di conservazione richiesto per legge;
- termine massimo consentito dalla normativa vigente a tutela dei diritti e/o interessi del Titolare.
- Destinatari dei dati personali (soggetti o categorie di soggetti ai quali possono essere comunicati i dati personali o che possono venirne a conoscenza e trattarli in qualità di Responsabili o autorizzati al trattamento)
I soggetti o le categorie di soggetti ai quali possono essere comunicati i dati o che possono venirne a conoscenza e trattarli per le finalità di cui sopra sono:
– il Gestore esterno della segnalazione nominato per il ricevimento delle segnalazioni ex d.lgs. 24/2023, come previsto dalla Procedura Whistleblowing, quale Responsabile del trattamento ex art. 28 del GDPR;
– eventuali fornitori di servizi, che agiscono come Responsabili del trattamento ex art. 28 GDPR;
– soggetti legittimati normativamente ad accedere ai dati e/o soggetti ai quali la comunicazione è necessaria per l’adempimento di obblighi di legge;
Inoltre, la segnalazione e i dati personali potranno essere trasmessi, per i profili di rispettiva competenza secondo quanto previsto dalla legge, ad ANAC (Autorità Nazionale Anticorruzione), all’Autorità Giudiziaria, alla Corte dei Conti ed altre eventuali autorità pubbliche le quali tratteranno i dati in qualità di Titolari autonomi.
Vige divieto assoluto di diffusione dei dati.
Si precisa infine che, sul punto, i commi 2-7 dell’art. 12 del d.lgs. 24/2023 prevedono espressamente che: “2.L’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rivelate, senza il consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate a trattare tali dati ai sensi degli articoli 29 e 32, paragrafo 4, del regolamento (UE) 2016/679 e dell’articolo 2-quaterdecies del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196.
- Nell’ambito del procedimento penale, l’identità della persona segnalante è coperta dal segreto nei modi e nei limiti previsti dall’articolo 329 del codice di procedura penale.
- Nell’ambito del procedimento dinanzi alla Corte dei conti, l’identità della persona segnalante non può essere rivelata fino alla chiusura della fase istruttoria.
- Nell’ambito del procedimento disciplinare, l’identità della persona segnalante non può essere rivelata, ove la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità.
- È dato avviso alla persona segnalante mediante comunicazione scritta delle ragioni della rivelazione dei dati riservati, nella ipotesi di cui al comma 5, secondo periodo, nonché nelle procedure di segnalazione interna ed esterna di cui al presente capo quando la rivelazione della identità della persona segnalante e delle informazioni di cui al comma 2 è indispensabile anche ai fini della difesa della persona coinvolta.
- I soggetti del settore pubblico e del settore privato, l’ANAC, nonché le autorità amministrative cui l’ANAC trasmette le segnalazioni esterne di loro competenza, tutelano l’identità delle persone coinvolte e delle persone menzionate nella segnalazione fino alla conclusione dei procedimenti avviati in ragione della segnalazione nel rispetto delle medesime garanzie previste in favore della persona segnalante”.
Per ottenere maggiori informazioni circa le liste dei soggetti che tratteranno i dati o a cui gli stessi potranno essere comunicati si prega di rivolgersi al Titolare del Trattamento ai recapiti sopra indicati.
- Trasferimento dei dati extra UE e processi decisionali automatizzati
I dati trattati non sono di regola soggetti a trasferimento extra UE, né sono oggetto di processi decisionali automatizzati. Tuttavia, nel caso si rendessero necessari trasferimenti di dati extra UE, essi avverranno nel rispetto di quanto previsto dagli artt. 44 e ss. GDPR. Qualora i Paesi non garantiscano un adeguato livello di protezione dei dati personali secondo gli standard stabiliti dal Regolamento UE, saranno adottate le necessarie cautele per un legittimo trasferimento dei dati (ad es. attraverso l’implementazione delle Clausole Contrattuali Standard approvate dalla Commissione Europea). Possono essere richieste informazioni sul trasferimento all’estero dei dati personali in qualsiasi momento contattando il Titolare del trattamento ai recapiti indicati.
- Natura obbligatoria o facoltativa della comunicazione dei dati e conseguenze in caso di un eventuale rifiuto di comunicare i dati
La comunicazione dei dati personali del segnalante è facoltativa per quanto attiene all’eventuale segnalazione ai sensi del d.lgs. 24/2023. Nessuna conseguenza è prevista nel caso del mancato conferimento, tuttavia il Gestore potrebbe non essere in grado di ricevere e/o gestire la segnalazione. Al segnalante è espressamente richiesto di fornire soltanto i dati necessari a descrivere i fatti oggetto di segnalazione evitando ogni dato personale non necessario a tal fine. Al segnalante è riconosciuta, la facoltà di rimanere anonimo, a condizione che lo richieda espressamente nella sua segnalazione.
Una volta pervenuta la segnalazione, essa seguirà l’iter di cui alla “Procedura Whistleblowing” adottata dal Titolare nel rispetto del d.lgs. 24/2023 e pertanto il trattamento sarà obbligatorio, nei termini di legge, fino all’esito della Procedura di segnalazione in quanto atto dovuto a norma di legge.
- Diritti dell’interessato
L’interessato potrà in ogni momento, nei limiti consentiti dallo stato della Procedura, esercitare i diritti di cui agli artt. da 15 e ss. del Regolamento, tra cui: (i) ottenere la conferma che sia o meno in corso un trattamento di dati che lo riguardano; (ii) ottenere l’accesso ai propri dati ed alle informazioni indicate all’art. 15 del Regolamento; (iii) ottenere la rettifica dei dati inesatti che lo riguardano senza ingiustificato ritardo o l’integrazione dei dati incompleti; (iv) richiedere la cancellazione dei dati che lo riguardano senza ingiustificato ritardo; (v) richiedere la limitazione del trattamento dei dati che lo riguardano; (vi) essere informato delle eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate in relazione ai dati che lo riguardano; (vii) ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che lo riguardano; (viii) revocare in qualsiasi momento e gratuitamente il consenso previamente prestato. Per l’elenco completo dei diritti dell’interessato si veda https://www.garanteprivacy.it/Regolamentoue/diritti-degli-interessati.
L’esercizio dei diritti sopra citati non è soggetto ad alcun vincolo di forma ed è gratuito.
Le richieste di esercizio dei diritti de quibus potranno essere effettuate, a mezzo di piattaforma informatica ovvero tramite comunicazione scritta in busta chiusa che dovrà essere indirizzata all’azienda presso la sede legale della stessa in sede legale in Via Maestri del Lavoro 6 – 30026 Portogruaro (Ve), all’attenzione della Responsabile amministrativa, apponendo sulla busta la dicitura: SEGNALAZIONE WHISTLEBLOWING). Tale missiva in busta chiusa verrà quindi fatta pervenire al Gestore esterno da parte della Responsabile amministrativa.
Il Gestore delle segnalazioni provvederà a fornire riscontro alla richiesta dell’interessato entro un mese dalla ricezione della stessa. Tale termine potrà essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il Gestore informerà l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Nel caso in cui l’interessato presenti la richiesta mediante mezzi elettronici, le informazioni saranno fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato. In ipotesi di non ottemperanza alla richiesta dell’interessato, il Gestore informerà l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.
- Reclamo all’Autorità di controllo
Qualora l’Interessato ritenga che il Trattamento che lo riguarda violi le disposizioni di cui al Regolamento, egli può sempre proporre reclamo all’Autorità di Controllo (v. www.garanteprivacy.it).
[1] La “Procedura Whistleblowing” per la gestione interna delle segnalazioni – la quale si avvale sia della piattaforma informatica Global Leaks, installata nella pagina web del sito aziendale del Titolare (https://www.euromec2.it), sia della possibilità di invio delle segnalazioni attraverso comunicazione scritta in busta chiusa, nominativa oppure anonima (che dovrà essere indirizzata all’azienda presso la sede legale della stessa in Via Maestri del Lavoro 6 – 30026 Portogruaro (Ve), all’attenzione della Responsabile amministrativa, apponendo sulla busta la dicitura: SEGNALAZIONE WHISTLEBLOWING) – contiene l’elenco delle azioni e dei sistemi adottati da Euromec2 s.r.l. a tutela dei dipendenti e di tutti i soggetti segnalanti fatti illeciti e irregolarità ai sensi dell’art. 3 d.lgs. 24/2023, oltreché di quelli coinvolti (segnalati) o comunque menzionati (quali, ad esempio, facilitatori, testimoni) ai sensi del medesimo d. lgs.24/2023, nonché l’indicazione delle modalità di effettuazione e gestione di tali segnalazioni, in conformità a quanto stabilito, in particolare, dagli artt. 4 e 5 del medesimo d.lgs. 24/2023.
L’obiettivo perseguito dalla Procedura è quello di descrivere e regolamentare il processo di segnalazione delle violazioni, fornendo al segnalante chiare indicazioni operative circa l’oggetto, i contenuti, i destinatari e le modalità di trasmissione delle segnalazioni, nonché riguardo alle forme di tutela che vengono predisposte dalla Società in conformità alle disposizioni normative.
La Procedura ha altresì lo scopo di disciplinare le modalità di accertamento della validità e fondatezza delle segnalazioni e, conseguentemente, di intraprendere le azioni correttive e disciplinari opportune a tutela della Società.
La Procedura si applica nell’ambito di tutte le attività aziendali delle Società e deve essere fedelmente rispettata dai destinatari, nell’osservanza degli obblighi di legge che potrebbero derivare dalla segnalazione: in particolare, in tema di obbligo di denuncia all’Autorità Giudiziaria e in materia di trattamento dei dati personali il quale deve svolgersi nel rispetto della disciplina interna, comunitaria e internazionale vigente.
[2] “Il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, paragrafo 2, lett. b) GDPR).
[3] “Il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali” (art. 9, paragrafo 2, lett. f) GDPR).
INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI resa ai sensi e per gli effetti dell’art. 14 del Regolamento (UE) 2016/679 (General Data Protection Regulation o GDPR) PER I SOGGETTI DIVERSI DAL SEGNALANTE ILLECITI (WHISTLEBLOWER) a norma del d.lgs. n. 24/2023)[1]
- Premessa
Con la presente informativa Euromec 2 s.r.l. Società Unipersonale, con sede legale in Portogruaro (Ve) – Via Maestri del Lavoro 6, in qualità di Titolare del trattamento, intende fornire ai soggetti interessati indicati al successivo paragrafo 3 (Oggetto del trattamento – categorie di dati personali) una descrizione dei trattamenti dei dati personali loro riferibili connessi ad eventuali segnalazioni di violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’ente privato, ai sensi e per gli effetti del d.lgs. n. 24/2023 – e, per le parti non abrogate, della legge 179/2017 – anche alla luce di quanto previsto nella Procedura di gestione delle suddette segnalazioni (cd. Procedura Whistleblowing) adottata dal Titolare e i cui contenuti, qui integralmente richiamati, sono affissi nella bacheca Aziendale sita presso la suddetta sede legale.[2]
Tali trattamenti avverranno nel rispetto della normativa in tema di protezione dei dati personali di cui al Regolamento Europeo 2016/679 (General Data Protection Regulation o GDPR), nonché, in quanto e allorché applicabile, di cui al d. lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), così come, da ultimo, modificato anche dal d. lgs. 10 agosto 2018, n. 101, oltreché dei Provvedimenti (tra cui, da ultimo anche il Provvedimento n. 146/2019 recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101), delle Autorizzazioni, delle Linee Guida dell’Autorità Garante, attualmente vigenti, delle Linee Guida A.N.A.C. del 12 luglio 2023 (“Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne”) e, in ogni caso, di tutta la disciplina integrativa nazionale, internazionale e comunitaria allo stato applicabile in materia.
- Titolare del trattamento – Gestore delle segnalazioni
Titolare del trattamento dei dati personali è Euromec 2 s.r.l. Società Unipersonale, con sede legale in Portogruaro (Ve), Via Maestri del Lavoro 6; P.I. C.F. 02259270276 – e-mail: amministrazione@euromec2.it; tel 0421.275018.
Per la gestione delle segnalazioni il Titolare ha designato un Gestore esterno nominandolo Responsabile del trattamento ex art. 28 GDPR al quale, a mezzo di piattaforma informatica ovvero tramite comunicazione in busta chiusa (vedi nota 1), verranno indirizzate anche le richieste di esercizio dei diritti ex art. 15-22 GDPR (v. sul punto il paragrafo 10).
- Oggetto del trattamento – categorie di dati personali
I dati che possono essere trattati per le finalità di cui al successivo punto 4 sono:
– i nomi e altri dati personali delle persone indicate e/o coinvolte nella segnalazione (ad. esempio, oltre al segnalato, il facilitatore e/o eventuali testimoni e/o terzi).
La segnalazione non dovrà contenere fatti irrilevanti ai fini della stessa, né categorie particolari di dati personali, di cui all’art. 9 GDPR (di seguito anche “categorie particolati di dati”), cioè quelli da cui possono eventualmente desumersi, fra l’altro, l’origine razziale ed etnica, le convinzioni filosofiche e religiose, l’adesione a partiti o sindacati, nonché lo stato di salute, la vita sessuale o l’orientamento sessuale, salvo i casi in cui ciò sia inevitabile e necessario ai fini della segnalazione stessa.
- Finalità e base giuridica del trattamento dei dati
I dati personali forniti e resi disponibili tramite la piattaforma informatica o la comunicazione scritta di cui alla nota 1, ai sensi del d.lgs. 24/2023 (c.d. “Segnalazione Whistleblowing”) e/o contenuti nella documentazione allegata alla stessa segnalazione o in quella che verrà comunque raccolta nel corso del procedimento, saranno trattati per:
- a) Finalità connesse alla gestione e verifica della segnalazione e, dunque per garantire un’adeguata applicazione della Procedura Whistleblowing adottata e, comunque, in ogni caso, ai fini di adempimento degli obblighi di legge in materia.
La base giuridica del trattamento dei dati comuni e di quelli ex art. 9 del Regolamento 2016/679 è pertanto data dalla necessità di adempiere ad obblighi legali, secondo quanto previsto rispettivamente all’art. 6, par. 1, lett. c) e alla lettera b)[3], paragrafo 2 dell’art. 9 GDPR.
- b) Finalità di tutela legale e, dunque, per far valere o difendere un diritto anche da parte di un terzo in sede stragiudiziale o giudiziale, nonché in sede amministrativa, disciplinare o nelle procedure di arbitrato e di conciliazione nei casi previsti dalla normativa interna e/o dell’Unione Europea, dai regolamenti, e dai contratti collettivi.
Con riferimento alle finalità di tutela legale la base giuridica del trattamento dei dati comuni e dei dati ex art. 9 del Regolamento 2016/679 dei soggetti di cui al punto 3 è il legittimo interesse del Titolare o di Terzi e/o quanto previsto alle lettere b) e/o f)[4] del paragrafo 2 dell’art. 9 GDPR.
- Modalità di trattamento dei dati
Il trattamento dei dati personali degli Interessati verrà effettuato con il supporto di mezzi informatici, telematici, e manuali, secondo le modalità previste nella Procedura Whistleblowing.
I dati personali verranno trattati e conservati nel pieno rispetto dei principi di necessità, minimizzazione dei dati e limitazione del periodo di conservazione. Il trattamento dei dati personali verrà effettuato in modo da garantire un’adeguata sicurezza e riservatezza in virtù dell’adozione di misure tecniche ed organizzative di carattere fisico, logico e organizzativo adeguate al livello di rischio dei trattamenti volte, tra l’altro, ad impedire la divulgazione, la perdita, l’accesso e l’utilizzo non autorizzato. l’alterazione o la distruzione dei dati personali.
- Conservazione dei dati
I dati verranno conservati negli archivi fisici ed elettronici del Titolare e del Gestore esterno del canale di segnalazione, quale Responsabile del trattamento ex art. 28 GDPR (v. sul punto anche paragrafo 7) per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, comunque per il periodo previsto dalla legge.
In particolare il Titolare e il Gestore delle segnalazioni conserveranno i dati personali di cui alla segnalazione e la relativa documentazione per il tempo necessario al trattamento della segnalazione in tutte le sue fasi, all’adozione dei provvedimenti conseguenti nonché all’adempimento degli obblighi di legge connessi e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della Procedura di segnalazione, salvo non possano farsi valere termini di conservazione legali maggiori e fatto comunque salvo, in ogni caso, l’eventuale legittimo interesse alla conservazione dei dati necessari per finalità di tutela legale (ad es. a fini di prova dell’adempimento da parte del Titolare delle richieste formulate dall’Interessato nell’ambito dell’esercizio dei propri diritti – sul punto v. il paragrafo 10) nonché il caso in cui la loro ulteriore conservazione sia necessaria per assolvere ad obblighi di legge o per adempiere ad ordini impartiti da Pubbliche Autorità e/o Organismi di Vigilanza ovvero per l’accertamento, l’esercizio o la difesa dei diritti del Titolare o di terzi. Trascorsi i periodi di conservazione sopra indicati, i dati verranno distrutti o resi anonimi in maniera irreversibile.
I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione accidentalmente forniti dal segnalante, saranno immediatamente cancellati.
I criteri utilizzati per determinare il periodo di conservazione dei dati sono pertanto:
- perseguimento delle finalità relative al trattamento;
- tempo di conservazione richiesto per legge;
- termine massimo consentito dalla normativa vigente a tutela dei diritti e/o interessi del Titolare.
- Destinatari dei dati personali (soggetti o categorie di soggetti ai quali possono essere comunicati i dati personali o che possono venirne a conoscenza e trattarli in qualità di Responsabili o autorizzati al trattamento)
I soggetti o le categorie di soggetti ai quali possono essere comunicati i dati o che possono venirne a conoscenza e trattarli per le finalità di cui sopra sono:
– il Gestore esterno della segnalazione nominato per il ricevimento delle segnalazioni ex d.lgs. 24/2023, come previsto dalla Procedura Whistleblowing, quale Responsabile del trattamento ex art. 28 del GDPR;
– eventuali fornitori di servizi, che agiscono come Responsabili del trattamento ex art. 28 GDPR;
– soggetti legittimati normativamente ad accedere ai dati e/o soggetti ai quali la comunicazione è necessaria per l’adempimento di obblighi di legge;
Inoltre, la segnalazione e i dati personali potranno essere trasmessi, per i profili di rispettiva competenza secondo quanto previsto dalla legge, ad ANAC (Autorità Nazionale Anticorruzione), all’Autorità Giudiziaria, alla Corte dei Conti ed altre eventuali autorità pubbliche le quali tratteranno i dati in qualità di Titolari autonomi.
Vige divieto assoluto di diffusione dei dati.
Si precisa infine che, sul punto, i commi 2-9 dell’art. 12 del d.lgs. 24/2023 prevedono espressamente che: “2.L’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rivelate, senza il consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate a trattare tali dati ai sensi degli articoli 29 e 32, paragrafo 4, del regolamento (UE) 2016/679 e dell’articolo 2-quaterdecies del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196.
- Nell’ambito del procedimento penale, l’identità della persona segnalante è coperta dal segreto nei modi e nei limiti previsti dall’articolo 329 del codice di procedura penale.
- Nell’ambito del procedimento dinanzi alla Corte dei conti, l’identità della persona segnalante non può essere rivelata fino alla chiusura della fase istruttoria.
- Nell’ambito del procedimento disciplinare, l’identità della persona segnalante non può essere rivelata, ove la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità.
- È dato avviso alla persona segnalante mediante comunicazione scritta delle ragioni della rivelazione dei dati riservati, nella ipotesi di cui al comma 5, secondo periodo, nonché nelle procedure di segnalazione interna ed esterna di cui al presente capo quando la rivelazione della identità della persona segnalante e delle informazioni di cui al comma 2 è indispensabile anche ai fini della difesa della persona coinvolta.
- I soggetti del settore pubblico e del settore privato, l’ANAC, nonché le autorità amministrative cui l’ANAC trasmette le segnalazioni esterne di loro competenza, tutelano l’identità delle persone coinvolte e delle persone menzionate nella segnalazione fino alla conclusione dei procedimenti avviati in ragione della segnalazione nel rispetto delle medesime garanzie previste in favore della persona segnalante.
- La segnalazione é sottratta all’accesso previsto dagli articoli 22 e seguenti della legge 7 agosto 1990, n. 241, nonché dagli articoli 5 e seguenti del decreto legislativo 14 marzo 2013, n. 33.
- Ferma la previsione dei commi da 1 a 8, nelle procedure di segnalazione interna ed esterna di cui al presente capo, la persona coinvolta può essere sentita, ovvero, su sua richiesta, è sentita, anche mediante procedimento cartolare attraverso l’acquisizione di osservazioni scritte e documenti.
Per ottenere maggiori informazioni circa le liste dei soggetti che tratteranno i dati o a cui gli stessi potranno essere comunicati si prega di rivolgersi al Titolare del Trattamento ai recapiti sopra indicati.
- Trasferimento dei dati extra UE e processi decisionali automatizzati
I dati trattati non sono di regola soggetti a trasferimento extra UE, né sono oggetto di processi decisionali automatizzati. Tuttavia, nel caso si rendessero necessari trasferimenti di dati extra UE, essi avverranno nel rispetto di quanto previsto dagli artt. 44 e ss. GDPR. Qualora i Paesi non garantiscano un adeguato livello di protezione dei dati personali secondo gli standard stabiliti dal Regolamento UE, saranno adottate le necessarie cautele per un legittimo trasferimento dei dati (ad es. attraverso l’implementazione delle Clausole Contrattuali Standard approvate dalla Commissione Europea). Possono essere richieste informazioni sul trasferimento all’estero dei dati personali in qualsiasi momento contattando il Titolare del trattamento ai recapiti indicati.
- Fonte da cui hanno origine i dati personali
L’origine dell’acquisizione dei dati di cui al paragrafo 3 è in primis la segnalazione, comunque operata.
I dati personali sopra indicati potranno essere integrati e/o aggiornati sulla base di informazioni reperibili pubblicamente, raccolte da soggetti terzi e/o da facilitatori e/o da testimoni e/o direttamente dal segnalante o dal segnalato e/o già nella disponibilità del Titolare del relativo trattamento e/o, rispetto ai propri dati personali, dagli stessi soggetti interessati di cui al paragrafo 3, anche al fine di verificare la fondatezza della segnalazione.
- Diritti dell’interessato
In base all’art. 13, comma 3, d.lgs. n. 24/2023, i diritti di cui agli articoli da 15 a 22 del GDPR[5] possono essere fatti valere nei limiti di quanto previsto dall’articolo 2-undecies, lett. f), del Codice in materia di protezione dei dati personali (d. lgs. 196/2003), secondo il quale, nel testo modificato dall’art. 24, comma 4, d.lgs. n. 24/2023, “non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell’articolo 77 del Regolamento qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto […] alla riservatezza dell’identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte, ai sensi del decreto legislativo recante attuazione della direttiva (UE) 2019/1937 […], riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione […]. Il comma terzo del medesimo art. 2- undecies prevede inoltre che “Nei casi di cui al comma 1, lettere a), b), d) e), f) e f-bis) i diritti di cui al medesimo comma sono esercitati conformemente alle disposizioni di legge o di regolamento che regolano il settore, che devono almeno recare misure dirette a disciplinare gli ambiti di cui all’articolo 23, paragrafo 2, del Regolamento. L’esercizio dei medesimi diritti può, in ogni caso, essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare gli interessi di cui al comma 1, lettere a), b), d), e), f) e f-bis). In tali casi, i diritti dell’interessato possono essere esercitati anche tramite il Garante con le modalità di cui all’articolo 160. In tale ipotesi, il Garante informa l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale. Il titolare del trattamento informa l’interessato delle facoltà di cui al presente comma.
Ove non si versi nell’ipotesi descritta all’art. 2-undecies, lett. f), del Codice in materia di protezione dei dati personali di cui si è detto – allorché cioè sia escluso che dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto […] alla riservatezza dell’identità della persona che segnala violazioni – vale quanto previsto ordinariamente: il Gestore delle segnalazioni provvederà cioè a fornire riscontro alla richiesta dell’interessato entro un mese dalla ricezione della stessa. Tale termine potrà essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il Gestore informerà l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Nel caso in cui l’interessato presenti la richiesta mediante mezzi elettronici, le informazioni saranno fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato. In ipotesi di non ottemperanza alla richiesta dell’interessato, il Gestore informerà l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.
Le richieste di esercizio dei diritti de quibus potranno essere effettuate gratuitamente, a mezzo di piattaforma informatica ovvero tramite comunicazione scritta in busta chiusa che dovrà essere indirizzata all’azienda presso la sede legale della stessa in Via Maestri del Lavoro 6, all’attenzione della Responsabile amministrativa, apponendo sulla busta la dicitura: SEGNALAZIONE WHISTLEBLOWING. Tale missiva in busta chiusa verrà quindi fatta pervenire al Gestore esterno da parte della Responsabile amministrativa.
- Reclamo all’Autorità di controllo
Con riguardo a tale profilo se ricorrono gli estremi di cui all’art art. 2-undecies, lett. f), del Codice in materia di protezione dei dati personali, si veda quanto già riportato al punto precedente. Diversamente, ove cioè dall’esercizio dei diritti dell’interessato non possa derivare un pregiudizio effettivo e concreto […] alla riservatezza dell’identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte, ai sensi del decreto legislativo recante attuazione della direttiva (UE) 2019/1937 […], riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione […]), qualora l’Interessato ritenga che il Trattamento che lo riguarda violi le disposizioni di cui al GDPR, egli può sempre proporre reclamo all’Autorità di Controllo (v. www.garanteprivacy.it).
[1] La presente informativa viene resa nonostante, a rigore, l’art. 14, paragrafo quinto, disponga espressamente che “I paragrafi da 1 a 4 non si applicano se e nella misura in cui […] l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato”. Così testualmente la lett. c) del medesimo art. 14 paragrafo quinto GDPR.
[2]La “Procedura Whistleblowing” per la gestione interna delle segnalazioni – la quale si avvale sia della piattaforma informatica Global Leaks, installata nella pagina web del sito aziendale del Titolare (https://www.euromec2.it), sia della possibilità di invio delle segnalazioni attraverso comunicazione scritta in busta chiusa, nominativa oppure anonima (che dovrà essere indirizzata all’azienda presso la sede legale della stessa in Via Maestri del Lavoro 6 – 30026 Portogruaro (Ve), all’attenzione della Responsabile amministrativa, apponendo sulla busta la dicitura: SEGNALAZIONE WHISTLEBLOWING) – contiene l’elenco delle azioni e dei sistemi adottati da Euromec 2 s.r.l. a tutela dei dipendenti e di tutti i soggetti segnalanti fatti illeciti e irregolarità ai sensi dell’art. 3 d.lgs. 24/2023, oltreché di quelli coinvolti (segnalati) o comunque menzionati (quali, ad esempio, facilitatori, testimoni) ai sensi del medesimo d. lgs.24/2023, nonché l’indicazione delle modalità di effettuazione e gestione di tali segnalazioni, in conformità a quanto stabilito, in particolare, dagli artt. 4 e 5 del medesimo d.lgs. 24/2023.
L’obiettivo perseguito dalla Procedura è quello di descrivere e regolamentare il processo di segnalazione delle violazioni, fornendo ai destinatari delle previsioni del d.lgs. 24/23 chiare indicazioni operative circa l’oggetto, i contenuti, i destinatari e le modalità di trasmissione delle segnalazioni, nonché riguardo alle forme di tutela che vengono predisposte dalla Società in conformità alle disposizioni normative.
La Procedura ha altresì lo scopo di disciplinare le modalità di accertamento della validità e fondatezza delle segnalazioni e, conseguentemente, di intraprendere le azioni correttive e disciplinari opportune a tutela della Società.
La Procedura si applica nell’ambito di tutte le attività aziendali delle Società e deve essere fedelmente rispettata dai destinatari, nell’osservanza degli obblighi di legge che potrebbero derivare dalla segnalazione: in particolare, in tema di obbligo di denuncia all’Autorità Giudiziaria e in materia di trattamento dei dati personali il quale deve svolgersi nel rispetto della disciplina interna, comunitaria e internazionale vigente.
[3] “Il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, paragrafo 2, lett. b) GDPR).
[4] “Il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali” (art. 9, paragrafo 2, lett. f) GDPR).
[5] Tra cui, con riguardo ai diritti in questione: (i) ottenere la conferma che sia o meno in corso un trattamento di dati che lo riguardano; (ii) ottenere l’accesso ai propri dati ed alle informazioni indicate all’art. 15 del Regolamento; (iii) ottenere la rettifica dei dati inesatti che lo riguardano senza ingiustificato ritardo o l’integrazione dei dati incompleti; (iv) richiedere la cancellazione dei dati che lo riguardano senza ingiustificato ritardo; (v) richiedere la limitazione del trattamento dei dati che lo riguardano; (vi) essere informato delle eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate in relazione ai dati che lo riguardano; (vii) ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che lo riguardano; (viii) revocare in qualsiasi momento e gratuitamente il consenso previamente prestato. Per l’elenco completo dei diritti dell’Interessato si veda https://www.garanteprivacy.it/Regolamentoue/diritti-degli-interessati.