Invia una segnalazione con la massima riservatezza

WHISTLEBLOWING POLICY

INDICE

  1. SCOPO_____________________________________________________________________________ 3
  2. DEFINIZIONI_________________________________________________________________________ 3
  3. RIFERIMENTI_______________________________________________________________________ 4
  4. PRINCIPI GENERALI_________________________________________________________________ 4
    1. Riservatezza__________________________________________________________________ 4
    2. Tutela del Segnalante_____________________________________________________________ 5
    3. Tutela del Segnalato______________________________________________________________ 5
    4. Meccanismi di astensione________________________________________________________ 5
  5. PROCESSO DI GESTIONE DELLE SEGNALAZIONI_________________________________________ 5
    1. I soggetti coinvolti________________________________________________________________ 6
    2. Oggetto della Segnalazione_________________________________________________________ 6
    3. Canali di Segnalazione____________________________________________________________ 6
    4. Ricezione della Segnalazione e relativa analisi preliminare_______________________________ 6
    5. Attività di analisi e verifica della Segnalazione_________________________________________ 7
    6. Attività di analisi del Report e decisioni successive_____________________________________ 7
    7. Reporting_____________________________________________________________________ 8
  6. SISTEMA SANZIONATORIO___________________________________________________________ 8
  7. TRACCIABILITÀ_____________________________________________________________________ 8
  8. LINEA GUIDA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI___________________________ 8
  9. DIFFUSIONE E PUBBLICAZIONE DELLA PRESENTE LINEA GUIDA_________________________ 9
  10. SEGNALAZIONI VIOLAZIONI DELLA LINEA GUIDA________________________________________ 9

 

  1. SCOPO

La Società  incentiva la collaborazione dei lavoratori e di soggetti terzi ai fini dell’emersione di (i) fenomeni illeciti, fraudolenti o sospetti, (ii) violazioni del Codice Etico e di  qualsiasi altra irregolarità nella conduzione aziendale o condotta non conforme alla legge e al sistema regolamentare interno dell’azienda.

Nel fare ciò, l’impresa incoraggia le segnalazioni di qualsiasi violazione considerata rilevante di cui ogni segnalante, meglio definito nel prosieguo, venga a conoscenza.

Lo scopo della presente Linea Guida per la gestione delle segnalazioni (Whistleblowing) (“Linea Guida”) è, pertanto, quello di illustrare le modalità di invio delle segnalazioni, i principi posti a salvaguardia dei soggetti segnalanti, il relativo processo di gestione nonché ogni possibile azione conseguente alle violazioni riscontrate.

 

  1. DEFINIZIONI

Responsabile Prevenzione Corruzione (RPC)

Persona destinataria della Segnalazione ed incaricata di gestire la medesima applicando le modalità operative dettate dalla presente Linea Guida.

DPO

Data Protection Officer. È responsabile del controllo della corretta gestione dei trattamenti dei dati personali all’interno della Società. Si occupa dell’implementazione della compliance privacy conformemente alla normativa di riferimento, supervisionandone l’attività.

Legale & Compliance

Soggetto che presiede la funzione “Legale & Compliance”

Segnalazione

Qualsiasi comunicazione ricevuta tramite i canali individuati avente ad oggetto (i) comportamenti posti in essere in violazione di norme, interne ed esterne, che disciplinano l’attività dell’impresa, compresi il Codice Etico e il Modello di Organizzazione Gestione e Controllo ex D.L.gs 231/01, ove adottati; (ii) qualsiasi altra condotta illecita che possa determinare un danno economico, patrimoniale e/o d’immagine per la Società. Tali comportamenti devono essere compiuti da, o riferibili a, membri degli organi sociali, degli organi di controllo, dipendenti, stagisti, tirocinanti, collaboratori, fornitori, appaltatori, consulenti, clienti, partner in relazioni d’affari con la Società e, più in generale, tutti coloro che agiscono in nome e per conto della impresa nonché tutti gli altri soggetti che a qualsiasi titolo entrano in contatto con l’impresa.

Segnalante

Soggetto che effettua una Segnalazione.

Segnalato

Soggetto a cui è attribuita la violazione.

 

 

  1. RIFERIMENTI

Codice Etico

Documento che definisce l’insieme dei principi e dei valori etici adottati dall’impresa, ove adottato.

D.Lgs. 231/2001

Ove adottato dall’impresa, Decreto Legislativo 8 giugno 2001, n. 231 recante la “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’art. 11 della legge 29 settembre 2000, n. 300” e successive modifiche e integrazioni.

Normativa Privacy

Si intende il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (anche “GDPR”), nonché qualsiasi altra normativa internazionale sulla protezione dei dati personali ivi compresi i provvedimenti del Garante italiano o di altra Autorità estera per la protezione dei dati personali.

D.Lgs. 24/2023

Decreto Legislativo del 10 marzo 2023 n. 24, riguardante l’attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali.

Dir. EU 2019/1937

Direttiva del Parlamento Europeo e del Consiglio del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione.

Modello 231

Il Modello di Organizzazione, Gestione e Controllo dell’impresa in ottemperanza al D.Lgs. 231/01, ove adottato.

Normativa anticorruzione

Tutte le norme vigenti in materia negli ordinamenti giuridici in Italia e nel resto del mondo e delle normative internazionali e transnazionali che abbiano applicazione diretta.

 

  1. PRINCIPI GENERALI

L’impresa incentiva tutti i dipendenti alla conoscenza e al rispetto del Codice Etico, del Modello di Organizzazione Gestione e Controllo ex D.L.gs 231/01 (ove applicabile), delle leggi e del sistema regolamentare interno, richiedendone il rispetto e prevedendo, in caso di inosservanza, adeguate sanzioni disciplinari.

L’impresa incoraggia chiunque – ivi inclusi il personale, i propri partner commerciali, i fornitori, i collaboratori i clienti e le terze parti – sia a conoscenza di possibili violazioni del Codice Etico, del Modello di Organizzazione Gestione e Controllo ex D.L.gs 231/01 (ove applicabile), delle leggi e del sistema normativo interno a segnalare dette violazioni, assicurando al Segnalante un’attenta ed efficace gestione della Segnalazione stessa.

    1. RISERVATEZZA

Le Segnalazioni sono gestite assicurando la massima riservatezza sull’identità del Segnalante, degli altri soggetti eventualmente citati, e sui fatti segnalati. Sono utilizzate modalità di comunicazione idonee a tutelare l’identità e l’onorabilità dei soggetti menzionati nella Segnalazione, unitamente alla riservatezza dei dati identificativi del Segnalante, evitando che i dati acquisiti vengano comunicati a soggetti estranei al processo di gestione della Segnalazione così come indicati nel presente documento.

    1. TUTELA DEL SEGNALANTE

L’impresa garantisce protezione da qualsiasi atto di ritorsione, discriminazione o penalizzazione, diretto o indiretto, nei confronti del Segnalante per motivi collegati, direttamente o indirettamente, alla Segnalazione.

L’impresa assicura la riservatezza dei dati personali del Segnalante e la confidenzialità delle informazioni contenute nella Segnalazione da parte di tutti i soggetti coinvolti nel procedimento, salvi i casi in cui l’anonimato non sia opponibile per legge.

L’impresa vieta il tracciamento di qualsiasi informazione relativa ai log di accesso durante la segnalazione a mezzo piattaforma effettuata tramite devices e rete aziendali.

    1. TUTELA DEL SEGNALATO

L’impresa si impegna, al fine di tutelare la dignità e la reputazione di ogni persona, ad offrire la massima protezione dalle segnalazioni diffamatorie e, comunque, rivelatesi infondate ed effettuate con dolo o colpa grave.

In tale contesto, qualora a seguito di analisi, la Segnalazione risulti infondata, illecita o calunniosa, l’impresa garantirà l’adozione di provvedimenti sanzionatori così come meglio descritti al capitolo 6 della presente Linea Guida. L’impresa, tramite il proprio RPC può in aggiunta valutare di informare del contenuto della Segnalazione ritenuta illecita e dell’identità del Segnalante, il soggetto segnalato per consentire a quest’ultimo di valutare eventuali azioni a propria tutela.

In conformità alle normative vigenti, l’impresa adotta le stesse forme di tutela a garanzia della privacy del Segnalante anche per il presunto responsabile della violazione, fatte salve le previsioni di legge che impongono l’obbligo di comunicare il nominativo del soggetto segnalato (es. richieste che provengono dall’Autorità Giudiziaria, ecc).

Il Segnalato viene informato il prima possibile anche in base alle normative locali applicabili; tuttavia, laddove vi sia il rischio concreto che il Segnalato possa mettere a repentaglio la capacità di indagare efficacemente sulla segnalazione o possa compromettere le prove da acquisire, la notifica può essere ritardata.

 

  1. PROCESSO DI GESTIONE DELLE SEGNALAZIONI

L’impresa ha definito un sistema di gestione delle Segnalazioni che prevede (i) l’individuazione dei soggetti che possono attivare il processo, (ii) la tipologia di violazioni oggetto di Segnalazione, (iii) i canali utilizzabili per effettuare la Segnalazione, (iv) le attività che vengono poste in essere per la gestione di ciascuna Segnalazione, (v) la tutela del Segnalante e del segnalato, (vi) la reportistica e (vii) i provvedimenti sanzionatori.

    1. I SOGGETTI COINVOLTI

In linea con le normative vigenti e con le best practice, il processo di Segnalazione può essere attivato da:

      1. lavoratori dipendenti dell’impresa e tutte quelle persone che operano sulla base di rapporti contrattuali che ne determinano l’inserimento nell’organizzazione aziendale, anche nelle forme diverse dal rapporto di lavoro subordinato;
      2. i membri degli organi sociali;
      3. soggetti terzi tra cui, a titolo di esempio possono ricadere: i clienti, i fornitori, i consulenti, i partner commerciali, i soggetti il cui rapporto di lavoro non è ancora iniziato o è terminato, gli azionisti, ecc. Le segnalazioni possono riguardare i seguenti soggetti:
      4. dipendenti dell’impresa
      5. membri degli organi sociali;
      6. soggetti terzi (es. clienti, fornitori, consulenti, collaboratori, stagisti, tirocinanti, partner commerciali).
    1. OGGETTO DELLA SEGNALAZIONE

Premesso che il Segnalante potrà segnalare qualsiasi violazione (sia esso un fatto o un atto omissivo) anche solo potenzialmente contraria alle normative di legge e regolamentari interne all’impresa, a titolo meramente esemplificativo e da non intendersi come esaustivo, le segnalazioni potranno riguardare:

      1. violazioni del Codice Etico, di policy, di procedure e di regolamenti interni;
      2. conflitti di interesse;
      3. furto di beni ed acquisizione illecita di informazioni commerciali e know how tecnico;
      4. attività illecite e/o fraudolente (anche di natura finanziaria) in danno del patrimonio aziendale in generale;
      5. violazioni delle norme a tutela dell’ambiente e della sicurezza sul lavoro;
      6. atti di corruzione tentati, presunti o effettivi, posti in essere direttamente, per il tramite o su sollecitazione di soggetti terzi (es. fornitori, consulenti, collaboratori, clienti ed intermediari);
      7. qualsiasi condotta ritenuta illecita, come prevista all’interno del Modello 231, ove adottato

 

 

    1. CANALI DI SEGNALAZIONE

E’ previsto il seguente canale di segnalazione dedicato:

      1. sito web – attraverso la piattaforma informatica dedicata Legality Whistleblowing all’indirizzo https://caiservicegroup.segnalazioni.net/ accessibile da qualunque device all’interno del sito internet wwwcaiservicegroup.it . Questo strumento è fortemente raccomandato perché garantisce, attraverso la cifratura, se applicata,  delle informazioni, la totale riservatezza dell’identità del Segnalante, unitamente alla conservazione dell’integrità del dato;
    1. RICEZIONE DELLA SEGNALAZIONE E RELATIVA ANALISI PRELIMINARE

Qualsiasi Segnalazione che pervenga attraverso la piattaforma dedicata è ricevuta dal PRC. Eventuali segnalazioni ricevute al di fuori di questo canale vengono inserite all’interno della piattaforma informatica dedicata affinché vengano automaticamente protocollate.

Il RPC ha quindi il compito di effettuare una prima analisi della Segnalazione e dare riscontro al segnalante nel termine di 7 giorni. In particolare:

      1. nel caso di Segnalazione manifestamente infondata ovvero estranea all’ambito di applicabilità della presente Linea Guida e/o avente contenuti già prima facie diffamatori e/o calunniosi, ovvero in presenza di una Segnalazione troppo generica e priva di qualsiasi elemento che permetta di avviare qualsiasi approfondimento, la stessa verrà archiviata. La Segnalazione verrà comunque mantenuta all’interno della piattaforma informatica dedicata, corredata da una breve nota indicante la motivazione dell’archiviazione;
      2. nel caso di Segnalazione su fatti già noti e per i quali sono già in corso attività di verifica ed analisi, oppure sussistano già pre-contenziosi, contenziosi o altre indagini in corso, anche da parte di autorità giudiziarie, il RPC valuterà se collegare la Segnalazione alla fattispecie in corso di indagine;
      3. nel caso di Segnalazione meritevole di indagine, il RPC verificherà in primis se questa ha rilievo ai fini del D.Lgs. 231/01 – ove applicato, integrando la stessa una violazione del Modello 231 o del Codice Etico o essendo afferente a uno dei fatti di reato previsti nel D.Lgs 231/01 – ed in tal caso procederà immediatamente con la condivisione della Segnalazione con l’Organismo di Vigilanza della società, affinché quest’ultimo possa procedere con autonome valutazioni ed indagini.

Il RPC, nel caso di Segnalazione meritevole di indagine, valuterà la corretta classificazione della Segnalazione rispetto ad una specifica lista di categorie e procederà a tutte le verifiche circa la fondatezza o meno dei fatti segnalati avvalendosi, se ritenuto opportuno, della funzione Compliance.

Nel caso di Segnalazione avente contenuti già prima facie diffamatori e/o calunniosi, il RPC provvederà ad assumere le iniziative legali previste negli ordinamenti giudiziari competenti. In caso di siffatta Segnalazione, l’impresa potrà inoltre applicare gli opportuni provvedimenti disciplinari nei confronti del Segnalante.

Nessuna azione sarà invece intrapresa e nessuna sanzione sarà irrogata nei confronti di coloro che abbiano effettuato una Segnalazione in buona fede, anche nel caso in cui, a seguito delle attività di analisi e verifica, i fatti descritti risultassero infondati.

    1. ATTIVITÀ DI ANALISI E VERIFICA DELLA SEGNALAZIONE

In caso di Segnalazione ritenuta meritevole di indagine, il RPC potrà avvalersi della funzione Compliance al fine di svolgere verifiche e approfondimenti.

Ricevuto il mandato, la funzione Compliance effettuerà tutte le attività di analisi e verifica, eventualmente anche con il supporto di altre funzioni aziendali o di specialisti esterni, fornendo aggiornamenti periodici al RPC. Nel caso di fattispecie che prevede il coinvolgimento dell’OdV, ove nominato, la medesima reportistica di aggiornamento verrà condivisa, sempre mediante la piattaforma informatica dedicata, anche con l’OdV stesso.

Durante l’attività di analisi e verifica, la Compliance potrà, in aggiunta, comunicare con il Segnalante attraverso appositi strumenti quali la chat messa a disposizione dalla piattaforma informatica dedicata (strumento criptato) o altri canali individuati che permettano di mantenere la massima tutela e anche l’anonimato del Segnalante stesso.

Terminata l’attività di audit, la funzione Compliance redige un Report contenente le risultanze emerse che provvede a trasmettere, tramite la piattaforma dedicata, al RPC e, ove coinvolto, all’OdV competente.

Il RPC fornirà riscontro al segnalante circa il seguito che si intende dare alla segnalazione entro 3 mesi dalla data dell’avviso di ricevimento.

Solamente il RPC e la Compliance hanno accesso all’intero gruppo di Segnalazioni ricevute (ad esclusione di quelle specifiche nelle quali uno dei membri appartenente a questi organi sia oggetto di Segnalazione) mentre, secondo il principio del need to know, qualsiasi altro soggetto avrà accesso solamente alle informazioni riferite alla Segnalazione per la quale si è reso necessario il suo coinvolgimento nell’attività di gestione, analisi e verifica.

    1. ATTIVITÀ DI ANALISI DEL REPORT E DECISIONI SUCCESSIVE

Il RPC, ricevuto il Report e valutato il suo contenuto, provvede a porre in essere (anche con il supporto della Rappresentanza Legale della Società), le azioni correttive che si rendessero necessarie e che possono prevedere:

      1. la possibile adozione di provvedimenti sanzionatori nei confronti del segnalato e/o dei soggetti risultati autori delle condotte illecite e/o delle violazioni segnalate;
      2. l’adozione di ogni eventuale azione di rafforzamento del sistema di controllo interno e di gestione dei rischi e del Modello 231; nonché, ove si rendesse necessario, l’eventuale segnalazione all’Autorità Giudiziaria di fatti costituenti reato, ovvero la promozione di azioni civili e/o di natura amministrativa.

Il RPC garantisce un riscontro al Segnalante rispetto alla presa in carico della Segnalazione e di informarlo/a circa le misure adottate, lo stadio delle indagini e l’esito, secondo quanto stabilito dalla legge e dalle migliori prassi.

Un Executive Summary del Report viene inoltre condiviso con l’Amministratore, con il Collegio Sindacale, con l’Organismo di Vigilanza e con gli ulteriori destinatari individuati di volta in volta dal RPC., ove nominati

    1. REPORTING

Il RPC redige semestralmente una reportistica riepilogativa delle attività svolte. Tale reportistica verrà condivisa con l’amministratore, con il Collegio Sindacale e con l’Organismo di Vigilanza ove nominati

 

  1. SISTEMA SANZIONATORIO

Nel caso in cui, dalle verifiche delle Segnalazioni ricevute, emerga un comportamento illecito tenuto da un dipendente della impresa, quest’ultimo è soggetto a misure e provvedimenti sanzionatori adeguati e proporzionati, secondo quanto disposto dal Modello 231, dal Contratto Nazionale del Lavoro e dalle altre norme applicabili.

Sono in aggiunta previsti provvedimenti disciplinari nei confronti di chi violi le misure di tutela del Segnalante o di chi adotta misure ritorsive e/o discriminatorie nei confronti del Segnalante.

Nel caso di dipendenti della impresa, spetta alla funzione HR di valutare i provvedimenti disciplinari da applicare, in accordo con l’Amministratore.

Nel caso di altri soggetti diversi dai dipendenti (es. clienti, fornitori, consulenti, collaboratori, stagisti, tirocinanti, partner commerciali) è di competenza della funzione Legale valutare, di volta in volta, gli eventuali provvedimenti sanzionatori applicabili, in accordo con l’Amministratore Unico.

 

  1. TRACCIABILITÀ

Il RPC, attraverso l’utilizzo della piattaforma elettronica dedicata, assicura la tracciabilità del processo di gestione delle Segnalazioni unitamente alla corretta conservazione ed archiviazione della documentazione prodotta in sede di Segnalazione e successivamente durante tutto il processo di analisi e verifica, al fine di permettere la ricostruzione dell’intero processo di gestione della Segnalazione stessa.

 

  1. LINEA GUIDA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Nel processo di Segnalazione oggetto della presente Linea Guida viene garantito il rispetto del Modello per la protezione dei dati personali, adottato dall’impresa, un tanto per assicurare la conformità del sistema al GDPR e ad ogni altra normativa applicabile in materia di protezione dei dati personali.

Considerando la tipologia dei dati personali che potranno essere impattati dal processo di Segnalazione, il DPO ha adottato le seguenti azioni:

  1. strutturazione dei processi e della piattaforma di gestione delle Segnalazioni in modo da garantire la conformità alla normativa privacy (privacy by design), in collaborazione e con il supporto del fornitore della piattaforma;
  2. attivazione di una piattaforma dedicata di gestione delle Segnalazioni atta ad assicurare adeguate misure di sicurezza, tecniche ed organizzative;
  3. nomina a responsabile del trattamento del fornitore della piattaforma dedicata e, se del caso, di eventuali altri fornitori coinvolti nel trattamento di dati personali in questione;
  4.  esecuzione di DPIA – Data Protection Impact Assessment - per descrivere il trattamento, valutarne la necessità e la proporzionalità e definire le modalità di gestione degli eventuali rischi per i diritti e le libertà delle persone derivanti dal trattamento stesso;
  5. definizione dei ruoli e delle responsabilità privacy del personale autorizzato al trattamento dei dati;
  6. nomina e formazione del personale autorizzato al trattamento dei dati personali, compresi gli amministratori di sistema;
  7. predisposizione di adeguate informative privacy per tutti i soggetti interessati, in particolare Segnalante (ex art. 13 GDPR) e segnalato (ex art. 14 GDPR);
  8. esecuzione di un adeguato programma di comunicazione per i dipendenti;

Come sopra accennato, ex art. 32 GDPR sono state altresì definite misure di sicurezza adeguate in base al trattamento fra cui: protocollo di rete HTTPS, crittografia, account personali e non condivisi, autenticazione informatica forte, in ottemperanza ai provvedimenti del Garante Privacy.

L’impresa provvede alla anonimizzazione dei dati personali trasmessi attraverso i canali di Segnalazione al termine del periodo necessario al completamento dell’istruttoria mantenendo i soli dati idonei a garantire il reporting statistico (area di provenienza, categoria di Segnalazione, ecc.).

 

  1. DIFFUSIONE E PUBBLICAZIONE DELLA PRESENTE LINEA GUIDA

Con il supporto della funzione Marketing, l’impresa provvede alla diffusione e pubblicazione della presente Linea Guida sul sito internet dell’ impresa

Con il supporto della funzione provvede inoltre alla diffusione della presente Linea Guida mediante strumenti quali la consegna di flyer, ecc.

 

  1. SEGNALAZIONI VIOLAZIONI DELLA LINEA GUIDA

Se un destinatario della presente Linea Guida dovesse venire a conoscenza di qualsiasi violazione o deroga alla stessa, deve comunicarlo attraverso i canali di segnalazione sopra indicati.