WHISTLEBLOWING
PROCEDURA PER L’APPLICAZIONE DELLA DIRETTIVA UE 2019/1937 RECEPITA CON IL D.LGS. N. 24/2023 (whistleblowing)
Per permettere ai dipendenti dell’Impresa, oppure a terze parti (per esempio un fornitore o un cliente) di un’azienda, di segnalare, in modo riservato e protetto, eventuali illeciti riscontrati durante la propria attività, l’Impresa Nessi & Majocchi S.p.A. (C.F /P.IVA 00211190137) con sede in Como, Via Regina Teodolinda 49/a, sentite le rappresentanze sindacali (di cui all’art. 51 del decreto legislativo n. 81 del 2015) mette a disposizione del segnalante/i un “Canale interno(1) ”, sottoforma di Casella Postale, per la raccolta delle segnalazioni, così come previsto nell’art. 4, Canali di segnalazione interna, Capo II -Segnalazioni interne, segnalazioni esterne, obbligo di riservatezza e divulgazioni pubbliche- del Decreto Legislativo 10 marzo 2023, n. 24.
L’Impresa Nessi & Majocchi S.p.A., dopo attenta analisi, ha ritenuto che l’utilizzo di una Casella di Posta sia uno strumento efficace che risulta anche essere:
- Strumento facilmente accessibile e utilizzabile;
- Strumento che assicura la ricezione confidenziale di ogni segnalante;
- Strumento che permette il monitoraggio e la gestione delle segnalazioni;
- Strumento che permette la realizzazione di una reportistica semplice ed efficace, necessaria alle funzioni svolte dagli organi preposti.
WHISTLEBLOWING MANAGER
Ufficio Postale Via Tolomeo Gallio, 6
Casella Postale 124
22100 Como (CO)
- Sito internet istituzionale: www.nessimajocchi.it;
- Bacheche interne agli uffici e al magazzino;
- Bacheche di cantiere;
- Brochure contenente la documentazione informativa sul trattamento dei dati personali distribuita a tutti i dipendenti / stagisti / collaboratori dell’Impresa, verificata dal DPO dell’azienda.
PROCEDURA DI INVIO DELLE SEGNALAZIONI
Il/i segnalante/i (persona fisica che lavora in un’azienda -pubblica o privata-) che decide di segnalare un illecito, una frode o un pericolo che ha rilevato durante la sua attività lavorativa (o, nel caso di un cliente e/o fornitore, nel corso della sua esperienza di cliente e/o fornitore di un’azienda), invia in forma scritta all’indirizzo della Casella Postale sopra indicata, (come previsto dall’art. 4, comma 3 del D.lgs n. 24/2023), la propria comunicazione specificando sia sulla busta che nel testo il destinatario “Whistleblowing Manager”, di seguito W.M. (La busta dovrà essere chiusa e sigillata).
NB: Al fine di classificare la segnalazione come “Whistleblowing” il segnalante deve indicare, obbligatoriamente, il proprio nome e cognome all’interno della segnalazione in quanto le segnalazioni anonime non rientrano, per espressa volontà del legislatore, direttamente nel campo di applicazione dell’art. 54-bis del d.lgs. 165/2001. Pertanto, le segnalazioni anonime non verranno prese in esame dal “Whistleblowing Manager”.
MODALITÀ DI GESTIONE DELLE SEGNALAZIONI
Il W.M., preso atto della segnalazione (garantendo il trattamento dei dati personali del segnalante così come indicato all’interno dell’Art. 12 -obbligo di riservatezza-, e come previsto dal regolamento (UE) 2016/679 e dall’articolo 2-quaterdecies del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196), procederà come segue:
- Rilascerà alla persona segnalante avviso di ricevimento della segnalazione entro sette giorni dalla data di ricezione;
- Manterrà le interlocuzioni con il segnalante e, se necessario, ne richiederà integrazioni;
- Darà diligente seguito alla segnalazione ricevuta;
- Valuterà la segnalazione e ne fornirà riscontro alla stessa (anche se questa dovesse risultare infondata) entro tre mesi dalla data dell’avvio di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla data scadenza del termine di sette giorni dalla presentazione della segnalazione;
NB
Resta inteso che le eventuali segnalazioni che dovessero pervenire e risultare manifestamente infondate, con riferimento ai fatti ivi descritti e/o alla/e persona/e segnalata/e, comporteranno inevitabilmente e contestualmente a carico del soggetto segnalante tutte le conseguenti e inerenti responsabilità sotto i diversi profili giuridicamente rilevanti.
Ultimo aggiornamento: 15 novembre 2023
(2) Il ruolo di Whistleblowing Manager è stato affidato ad una persona facente parte dell’organico aziendale specificatamente formato per la gestione del canale di segnalazione.
INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI - ai sensi dell’art. 13 del Regolamento UE 2016/679 (GDPR) - DEI SOGGETTI CHE SEGNALANO ILLECITI (“CANALE WHISTLEBLOWING”)
TITOLARE DEL TRATTAMENTO
Il Titolare del trattamento dei Suoi dati personali è la sottoscritta Società, in persona del legale rappresentante pro-tempore Arch. Angelo Maiocchi, con sede legale in Como (CO), Via Regina Teodolinda 49/a, Codice Fiscale e P.IVA 00211190137 (di seguito anche “Titolare”), sempre contattabile presso i recapiti aziendali. La Società ha individuato una società di servizi esterna (Poste Italiane), che offre adeguate garanzie in base a quanto previsto dall’art. 28 GDPR, quale Responsabile del trattamento per la gestione (raccolta e custodia) delle comunicazioni cartacee contenti le segnalazioni.
RESPONSABILE DELLA PROTEZIONE DEI DATI
La Società ha nominato il Responsabile della Protezione dei Dati (RPD/DPO) che ha, tra i propri compiti istituzionali, anche quello di “informare e fornire consulenza (…) ai dipendenti che eseguono il trattamento” dei dati personali in nome e per conto della Società “in merito agli obblighi derivanti dal presente Regolamento nonché da altre disposizioni dell’Unione o degli Stati Membri relative alla protezione dei dati”.
Il Responsabile della Protezione dei Dati è l’Avv. Alessandro Ronchi del Foro di Milano, che può essere contattato al seguente indirizzo e-mail: privacy@nessimajocchi.it
FINALITÀ DEL TRATTAMENTO
I dati personali da Lei forniti in qualità di segnalante, verranno trattati dalla Società solo tramite personale appositamente individuato, formato, istruito alla riservatezza ed autorizzato al trattamento, in considerazione delle specifiche competenze professionali, per le seguenti finalità:
• corretta e completa gestione del procedimento di segnalazione tramite il canale Whistleblowing, in conformità alla vigente normativa in materia;
• svolgimento delle necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto di segnalazione e l’adozione dei conseguenti provvedimenti;
• tutela in giudizio di un diritto del Titolare del trattamento;
• risposta ad una richiesta dell’Autorità giudiziaria o altra Autorità alla stessa assimilata.
CATEGORIE DI DATI TRATTATI
Il Titolare del trattamento raccoglie e/o riceve le informazioni fornite dal segnalante attraverso il canale (interno) Whistleblowing appositamente predisposto dall’Azienda secondo le indicazioni del D.lgs. n 24/2023, come meglio descritto nella Procedura whistleblowing adottata dalla Società e pubblicizzata tramite il sito web, nelle bacheche aziendali e/o aree comuni accessibili al personale e ai terzi.
Le categorie di dati personali trattati dalla Società con riferimento alla comunicazione del segnalante possono essere le seguenti:
- dati identificativi e di contatto del segnalante;
- in caso di segnalazione telefonica con registrazione audio, dati relativi al timbro della voce del segnalante eventualmente registrato in segreteria telefonica;
- (eventuali) dati relativi al rapporto di lavoro intercorrente tra il segnalante e la Società;
- dati anagrafici e identificativi del segnalato e/o di terzi, contenuti nella segnalazione.
Il trattamento dei predetti dati è improntato ai principi di correttezza, liceità, trasparenza e di tutela della Sua più scrupolosa riservatezza e dei Suoi diritti, come sanciti dal D.lgs. n. 24/2023
BASE GIURIDICA DEL TRATTAMENTO
La base giuridica che legittima il trattamento dei Suoi dati personali è costituita dall’esecuzione di obblighi di legge, come specificatamente indicati e descritti dal D.lgs. n. 24/2023. Con particolare riferimento al trattamento di eventuali dati sensibili / particolari comunicati dal segnalante, la base giuridica che legittima il trattamento è quella prevista dall’art. 9, par. 2, lett. B), GDPR, quando cioè il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del Titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale (nello specifico, le disposizioni in materia di whistleblowing di cui al D.lgs. 24/2023).
Con particolare riferimento alla (eventuale) registrazione telefonica o altro sistema di messaggistica vocale registrato, la base giuridica che legittima il trattamento è il Suo consenso, in qualità di Segnalante, ai sensi e per gli effetti dell’art. 6, lett. a), GDPR e dell’art. 13 comma 2 del D.lgs. 24/2023.
NATURA OBBLIGATORIA O FACOLTATIVA DEL CONFERIMENTO DEI DATI E CONSEGUENZE DI UN EVENTUALE RIFIUTO DI FORNIRE I DATI PERSONALI
Il conferimento dei dati personali del segnalante è obbligatorio nella cosiddetta “segnalazione nominativa”.
Un eventuale rifiuto al conferimento dei dati nella “segnalazione nominativa” comporta l’impossibilità per il Titolare di dar seguito alla segnalazione da Lei avanzata. Il conferimento dei dati del segnalante è facoltativo nella “segnalazione anonima”.
MODALITÀ DI TRATTAMENTO DEI DATI
Il trattamento dei Suoi dati personali è realizzato sia su supporto cartaceo sia mediante strumenti informatici, per mezzo di strumenti elettronici o telematici, nel rispetto della normativa vigente anche con riferimento all’adozione di appropriate misure di sicurezza contro il rischio di perdita, distruzione o accesso ai dati non autorizzato.
COMUNICAZIONE E DIFFUSIONE
I Suoi dati personali potranno essere comunicati, nei limiti strettamente pertinenti agli obblighi, ai compiti ed alle finalità di cui sopra, alle seguenti categorie di soggetti:
- gestore della segnalazione (“Whistleblowing Manager”)individuato dal Titolare;
- consulenti esterni (per es. studi legali) eventualmente coinvolti nella fase istruttoria della segnalazione;
- funzioni aziendali coinvolte nell’attività di ricezione, esame e valutazione delle segnalazioni;
- responsabile/i della/e funzione/i interessata/e dalla segnalazione;
- posizioni organizzative incaricate di svolgere accertamenti sulla segnalazione nei casi in cui la loro conoscenza sia indispensabile per la comprensione dei fatti segnalati e/o per la conduzione delle relative attività di istruzione e/o trattazione, senza che venga rivelata l’identità del segnalante;
- istituzioni e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia, Agenzie investigative;
- Organismo di Vigilanza della Società.
I Suoi dati personali non saranno in alcun modo diffusi o divulgati verso soggetti diversi da quelli sopra individuati.
Il trattamento dei dati che La riguardano avviene attraverso documentazione cartacea e/o per mezzo di strumenti digitali messi a disposizione dei soggetti che agiscono sotto l’autorità del Titolare e allo scopo autorizzati e formati. A questi ultimi è consentito l’accesso ai Suoi dati personali nella misura e nei limiti in cui esso è necessario per lo svolgimento delle attività istruttorie per il trattamento della segnalazione.
CONFIDENZIALITÀ
In ossequio al principio di minimizzazione di cui al GDPR, tutti i dati personali (di qualunque persona fisica) contenuti nella segnalazione o altrimenti raccolti in fase di istruttoria che non risultassero necessari, saranno immediatamente cancellati o resi anonimi.
Tutto il personale della Società coinvolto, a vario titolo, nella gestione della Sua segnalazione, è tenuto a garantire la riservatezza sull’esistenza e sul contenuto della segnalazione stessa, nonché sulla identità dei soggetti segnalanti e dei segnalati, anche nei confronti di colleghi e superiori gerarchici.
Qualora la contestazione sulla segnalazione sia fondata, in tutto o in parte, e la conoscenza dell’identità del segnalante sia indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità. Sarà dato avviso al segnalante mediante comunicazione scritta delle ragioni della rivelazione dei dati riservati, secondo quanto previsto dalla normativa.
Nel rispetto della Legge, la Società vieta e sanziona ogni forma di ritorsione o di discriminazione nei confronti di chiunque abbia effettuato una segnalazione (come di chiunque abbia collaborato ad accertare i fatti segnalati), a prescindere che la segnalazione si sia poi rivelata fondata o meno. La Società si impegna, altresì, a tutelare anche il segnalato, che non verrà sanzionato disciplinarmente in mancanza di riscontri oggettivi circa la violazione segnalata, ovvero senza che si sia proceduto ad indagare i fatti oggetto di segnalazione e provveduto a contestare i relativi addebiti con le procedure di Legge e/o di contratto. Il Segnalato non potrà richiedere di conoscere il nominativo del segnalante, fatti salvi i casi espressamente previsti dalla Legge.
TRASFERIMENTO DEI DATI
La Società non trasferisce i Suoi dati personali all’estero né verso Paesi terzi né Organizzazioni internazionali.
PERIODO DI CONSERVAZIONE DEI DATI PERSONALI
Il Titolare, anche per il tramite dei soggetti autorizzati al trattamento, verifica periodicamente che i Suoi dati non siano raccolti, trattati, archiviati o conservati oltre il necessario; siano conservati con adeguate garanzie di integrità e di autenticità e siano conservati per il tempo strettamente necessario al compimento delle attività legate alla gestione della segnalazione e, comunque, non oltre cinque anni dalla chiusura del procedimento.
QUALI SONO I SUOI DIRITTI IN QUALITÀ DI INTERESSATO
Nella Sua qualità di interessato, Lei può esercitare i diritti sanciti dagli articoli 15 - 21 GDPR e, precisamente, Lei ha:
1. diritto di accesso ai Suoi dati personali; diritto di ottenere la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano (artt. 15 - 18 GDPR);
2. diritto di opporsi al trattamento ex art. 21 GDPR;
3. diritto alla portabilità dei dati, in relazione ai soli dati in formato elettronico, così come disciplinato dall'art. 20 del GDPR.
In relazione ai dati per i quali la base giuridica del trattamento è il Suo consenso, Lei ha diritto di revocare tale consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento effettuato dal Titolare e basata sul consenso da Lei fornito prima della revoca.
In merito alle modalità di esercizio dei sopracitati diritti o per domande o informazioni in ordine al trattamento dei Suoi dati ed alle misure di sicurezza adottate potrà in ogni caso mettersi in contatto con la nostra Società ai recapiti indicati al punto A della presente informativa oppure scrivendo al Responsabile della Protezione dei Dati all’indirizzo e-mail: privacy@nessimajocchi.it
RECLAMO
Lei ha, comunque, diritto di proporre reclamo all’Autorità di controllo territorialmente competente, identificata, in Italia, nel Garante per la Protezione dei Dati Personali. Per approfondimenti e maggiori informazioni, si può visitare il sito istituzionale del Garante al seguente indirizzo web: www.gpdp.it