Whistleblowing: in cosa consiste

Con il termine “Whistleblowing” ci si riferisce alla rivelazione spontanea da parte di un individuo – detto “segnalante” o “whistleblower” – di condotte illecite o fraudolente, che costituiscono violazioni di disposizioni normative nazionali o dell’Unione Europea, di cui siano venuti a conoscenza in un contesto di lavoro pubblico o privato.

La disciplina sul “Whistleblowing” prevede un sistema di protezione delle persone che segnalano tali condotte e violazioni.

 

Qual è la normativa di riferimento

La normativa di riferimento in materia di “Whistleblowing” è il D.Lgs. 10 marzo 2023, n. 24, riguardante “la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali” in attuazione della Direttiva (UE) 2019/1937

Chi può effettuare segnalazioni

Possono effettuare segnalazioni: dipendenti, ex dipendenti, partner, clienti, fornitori, consulenti, collaboratori, soci, candidati a posizioni lavorative (nei casi in cui le informazioni riguardanti una violazione siano state acquisite durante il processo di selezione o altre fasi delle trattative precontrattuali) e, più in generale, chiunque sia legittimo portatore di un interesse nei confronti dell’attività aziendale di GOCCIA S.P.A.

 

Che cosa si può segnalare

La segnalazione deve riguardare informazioni sulle violazioni di disposizioni normative nazionali o dell’Unione Europea commesse o che, sulla base di elementi concreti, potrebbero essere commesse all’interno di GOCCIA S.P.A.

Si tratta di comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità dell’organizzazione e che consistono in:

  • illeciti amministrativi, contabili, civili o penali;
  • condotte illecite rilevanti ai sensi del D.Lgs. 231/2001, o violazioni dei modelli di organizzazione e gestione ivi previsti;
  • illeciti che rientrano nell’ambito di applicazione degli atti dell’Unione Europea o nazionali relativi ai seguenti settori: appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell’ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi;
  • atti od omissioni che ledono gli interessi finanziari dell’Unione;
  • atti od omissioni riguardanti il mercato interno;
  • atti o comportamenti che vanificano l’oggetto o la finalità delle disposizioni di cui agli atti dell’Unione.

 

Che cosa non si può segnalare

Non si possono segnalare contestazioni, rivendicazioni o richieste legate a un interesse di carattere personale della persona segnalante, che attengono esclusivamente ai propri rapporti individuali di lavoro ovvero inerenti ai propri rapporti con le figure gerarchicamente sovraordinate.

 

Quando effettuare una segnalazione

Quando si viene a conoscenza di condotte illecite fondate o presunte, basate su elementi di fatto precisi e concordanti, riferite al contesto lavorativo.

Non sono ricomprese tra le informazioni sulle violazioni segnalabili le notizie palesemente prive di fondamento, le informazioni che sono già totalmente di dominio pubblico, nonché informazioni acquisite solo sulla base di indiscrezioni o fonti scarsamente attendibili.

 

Segnalazioni in forma anonima

E’ possibile effettuare segnalazioni in forma anonima. Per poter essere correttamente prese in carico e istruite, tali segnalazioni devono comunque essere adeguatamente circostanziate e rese con dovizia di particolari, in modo da far emergere fatti e situazioni relazionandoli a contesti determinati.

 

Come sono gestite le segnalazioni

Le segnalazioni vengono ricevute e sono gestite e istruite da un team di gestione delle segnalazioni, costituito da soggetti interni e collaboratori esterni di GOCCIA S.P.A. appositamente designati quali “incaricati alla gestione delle segnalazioni”, dotati di autonomia, specificamente e adeguatamente formati alla gestione delle segnalazioni e autorizzati alle connesse attività di trattamento dati.

Entro 7 giorni dalla ricezione, sarà dato un avviso di ricevimento della segnalazione, ed entro 3 mesi da tale avviso verrà fornito un riscontro sul seguito che viene dato o si intende dare alla segnalazione.

 

Come effettuare una segnalazione

Canali interni

GOCCIA S.P.A. ha provveduto alla creazione di un’apposita Piattaforma attraverso la quale trasmettere le segnalazioni, anche in forma anonima. La Piattaforma, idonea a garantire la riservatezza dell’identità del segnalante mediante l’utilizzo di protocolli sicuri e strumenti di crittografia, è denominata “WHISTLEBASE” ed è facilmente raggiungibile tramite il presente link https://app.whistlebase.com/1WAWQpLObsF9HXCkbPlUO

Canali esterni

Nel caso in cui dopo aver effettuato una segnalazione non si ricevesse l’avviso di ricevimento e/o il riscontro sul seguito dato alla segnalazione, oppure si avessero fondati motivi di ritenere ragionevolmente (sulla base di circostanze concrete ed informazioni effettivamente acquisibili) che alla segnalazione interna non sarebbe dato efficace seguito o che la stessa potrebbe determinare ritorsioni, ovvero che la violazione può costituire un pericolo imminente o palese per il pubblico interesse, è possibile trasmettere una segnalazione all’Autorità Nazionale Anticorruzione (ANAC), seguendo le procedure e le indicazioni sul sito web ufficiale dell’Autorità (www.anticorruzione.it/-/whistleblowing).

 

Tutela del segnalante

La disciplina introdotta dal D.Lgs. 24/2023 ha disposto un rafforzamento della tutela della riservatezza del segnalante, disponendo altresì varie garanzie contro eventuali atti ritorsivi.

In particolare, il D.Lgs. 24/2023 prevede che:

  • l’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità, non possono essere rivelate senza il consenso espresso della stessa persona segnalante a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni;
  • nell’ambito del procedimento disciplinare, l’identità della persona segnalante non può essere rivelata, ove la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità;
  • i soggetti segnalanti non possono subire alcuna ritorsione consistente in qualsiasi comportamento, atto od omissione, anche solo tentato o minacciato, posto in essere in ragione della segnalazione, della denuncia all’autorità giudiziaria o contabile, o della divulgazione pubblica e che provoca o può provocare, alla persona segnalante o alla persona che ha sporto la denuncia, in via diretta o indiretta, un danno ingiusto, da intendersi come danno ingiustificato;
  • non è punibile chi riveli o diffonda informazioni sulle violazioni coperte dall’obbligo di segreto, diverso da quello professionale forense e medico, o relative alla tutela del diritto d’autore o alla protezione dei dati personali ovvero se, al momento della segnalazione, denuncia o divulgazione, aveva ragionevoli motivi di ritenere che la rivelazione o diffusione delle informazioni fosse necessaria per effettuare la segnalazione e la stessa è stata effettuata nelle modalità richieste dalla legge.

 

 

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

IN RELAZIONE ALLE SEGNALAZIONI DI “WHISTLEBLOWING”

Ai sensi degli artt. 13-14 del Regolamento (UE) 2016/679 sulla protezione dei dati personali

Gentile Signore/a,

Desideriamo informarLa che il Regolamento (UE) 2016/679 sulla protezione dei dati personali (nel seguito, “GDPR”) prevede la tutela delle persone fisiche con riguardo al trattamento dei dati personali.

Ai sensi degli articoli 13-14 del GDPR, Le forniamo, pertanto, le seguenti informazioni:

  1. Identità e dati di contatto del Titolare del trattamento e del Responsabile della Protezione di Dati

Il Titolare del trattamento dei dati personali è GOCCIA S.P.A., con sede legale in Strada degli Alberoni, 2 – 14023 Cocconato (AT), nella persona del suo Legale Rappresentante. Codice Fiscale e Partita Iva: 01226320057. Telefono: (+39) 0141 907435, e-mail:info@gocciagioielli.com

Il Titolare ha nominato un Responsabile della Protezione dei Dati (“DPO”), che può essere contattato via e-mail per qualsiasi richiesta relativa al trattamento dei dati personali. E-mail DPO: dpo@gocciagioielli.com

  1. Oggetto del trattamento

La ricezione e la gestione delle segnalazioni dà luogo a trattamenti di dati personali c.d. “comuni” (nome e cognome, codice fiscale, dati di contatto, incarico o ruolo lavorativo, ecc…), nonché può dar luogo – a seconda del contenuto delle segnalazioni e degli eventuali atti o documenti a queste allegati – a trattamenti di dati personali c.d. “particolari” di cui all’art. 9 del GDPR (dati relativi alla salute, alla vita sessuale o all’orientamento sessuale, dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale) e di dati personali relativi a condanne penali e reati di cui all’art. 10 del GDPR.

I dati personali sono quindi acquisiti in quanto contenuti nelle segnalazioni e/o in atti o documenti a queste allegati, e possono riferirsi:

  • al soggetto segnalante (nel caso di segnalazioni non anonime);
  • ai soggetti segnalati come possibili responsabili delle condotte illecite;
  • a soggetti testimoni o a vario titolo coinvolti nelle vicende segnalate.
  1. Finalità del trattamento

I dati personali di cui al punto 2) sono trattati dal Titolare per le seguenti finalità:

  1. gestione delle segnalazioni effettuate ai sensi del D.Lgs. 24/2023;
  2. svolgimento delle opportune e appropriate verifiche e indagini circa la fondatezza dei fatti oggetto delle segnalazioni ricevuta e conseguente adozione dei necessari provvedimenti e azioni correttive;
  3. adempimento di obblighi previsti da leggi, regolamenti o dalla normativa comunitaria;
  4. accertamento, esercizio o difesa di un diritto del Titolare in sede giudiziale.
  1. Base giuridica e natura del conferimento

La base giuridica del trattamento dati per le finalità di cui ai punti da 3.a) a 3.c), è da ravvisarsi nell’adempimento di un obbligo legale al quale è soggetto il Titolare del trattamento (art. 6, par. 1, lett. c), GDPR).

Relativamente al trattamento dei dati per le finalità di accertamento, esercizio o difesa di un di un diritto del Titolare in sede giudiziale di cui al punto 3.d), la base giuridica del trattamento dati è, invece, da ravvisarsi nel perseguimento del legittimo interesse del Titolare del trattamento (art. 6, par. 1, lett. f), GDPR).

Il conferimento dei dati personali è facoltativo. Tuttavia, il loro mancato, parziale o inesatto conferimento potrebbe avere come conseguenza l’impossibilità di gestire le segnalazioni. Le segnalazioni anonime sono comunque possibili, ma potranno essere prese effettivamente in considerazione solo se adeguatamente circostanziate e rese con dovizia di particolari, in modo da far emergere fatti e situazioni relazionandoli a contesti determinati.

Si precisa inoltre che, nel caso in cui una segnalazione portasse all’instaurazione di un procedimento disciplinare nei confronti del responsabile della condotta illecita, l’identità del segnalante non verrà mai rivelata. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità del segnalante sia indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso del segnalante alla rivelazione della propria identità.

  1. Modalità di trattamento

In relazione alle finalità di cui al punto 3), i dati personali sono trattati con il supporto di mezzi cartacei, informatici e telematici nei modi e nei limiti necessari per perseguire le predette finalità. I dati personali saranno trattati internamente da soggetti autorizzati al trattamento dati, sotto l’autorità del Titolare e istruiti sui principi normativi e sulle procedure di sicurezza logiche e tecnologiche (art. 32, par. 4, GDPR). Tutte le operazioni di trattamento dei dati sono attuate in modo da garantire l’integrità, la riservatezza e la disponibilità dei dati personali.

  1. Periodo di conservazione dei dati

Ai sensi dell’art. 14 del D.Lgs. 24/2023, i dati personali saranno conservati dal Titolare per il tempo necessario al trattamento della segnalazione e comunque non oltre 5 anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui all’art. 12 del D.Lgs. 24/2023 e del principio di cui all’art. 5, par. 1, lett. e) del GDPR e all’art. 3, comma 1, lett. e) del D.Lgs. 51/2018.

È fatta salva la conservazione per un periodo superiore in relazione a richieste di Istituzioni e/o Autorità pubbliche, dell’Autorità giudiziaria o di pubblica sicurezza, o in relazione a esigenze connesse all’esercizio del diritto di difesa del Titolare in caso di controversie.

  1. Ambito di comunicazione e diffusione dei dati

I dati personali raccolti a seguito delle segnalazioni non saranno oggetto di diffusione, ma potranno essere comunicati – esclusivamente per le finalità di cui al punto 3) – ai seguenti soggetti o categorie di soggetti:

  • Istituzioni e/o Autorità pubbliche (es., ANAC, Garante per la Protezione dei Dati Personali), Autorità giudiziaria o di pubblica sicurezza;
  • società incaricata per la gestione e la manutenzione tecnica della piattaforma tramite la quale sono effettuate le segnalazioni di whistleblowing, nella sua qualità di Responsabile del trattamento dati ai sensi dell’art. 28 del GDPR;
  • consulenti esterni o studi legali per l’esercizio del diritto di difesa del Titolare e per la gestione del contenzioso.
  1. Trasferimento dei dati in paesi extra-UE

I dati personali saranno trattati dal Titolare all’interno del territorio dell’Unione Europea. Resta in ogni caso inteso che il Titolare, ove si rendesse necessario, avrà facoltà di spostare i server anche extra-UE, ad esempio nel caso di utilizzo di servizi cloud. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili e, in particolare, sulla base di una decisione di adeguatezza (art. 45, GDPR) o previa sottoscrizione delle Clausole Contrattuali Standard adottate dalla Commissione Europea (art. 46, par. 2, lett. c), GDPR).

  1. Diritti degli interessati

In qualità di interessato, il soggetto segnalante potrà esercitare, in relazione al trattamento dei dati ivi descritto, i diritti previsti dal GDPR (artt. 15-22). In particolare, l’interessato ha il diritto di chiedere al Titolare l’accesso ai dati che lo riguardano, la loro rettifica o cancellazione, la limitazione del trattamento, nonché di esercitare gli altri diritti riconosciuti dalla disciplina applicabile. Per esercitare tali diritti, l’interessato può rivolgersi al Titolare del trattamento dati personali comunicando attraverso la Piattaforma messa a disposizione per effettuare le segnalazioni.

I soggetti segnalati o menzionati nelle segnalazioni, con riferimento ai propri dati personali trattati nell’ambito della segnalazione, divulgazione pubblica o denuncia, non possono invece esercitare i suddetti diritti – per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, ai sensi dell’art. 2-undecies del D.Lgs. 196/2003 – in quanto dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona segnalante. In tali casi, dunque, ai soggetti segnalati o menzionati nelle segnalazioni è preclusa anche la possibilità, laddove ritengano che il trattamento che li riguarda violi i suddetti diritti, di rivolgersi al Titolare del trattamento e, in assenza di risposta da parte di quest’ultimo, di proporre reclamo al Garante per la Protezione dei Dati Personali.

Per richiedere ulteriori informazioni relative alla presente informativa o al trattamento dati ivi descritto, gli interessati possono sempre rivolgersi al Titolare del trattamento dati personali inviando un’e-mail a info@gocciagioielli.com, oppure direttamente al Responsabile della Protezione dei dati (“DPO”), nominato dal Titolare con funzioni di supporto e controllo, consultive, formative e informative, di cooperazione e contatto con il Garante per la Protezione dei Dati Personali per questioni connesse al trattamento dei dati personali. Il DPO è contattabile all’indirizzo e-mail dpo@gocciagioielli.com

Il Titolare del Trattamento Dati Personali