Whistleblowing - Informativa privacy

Premessa

La vigente normativa sulle segnalazione di illeciti, cd. Whistleblowing, ha come finalità la protezione delle  persone  che segnalano  violazioni   di   disposizioni   normative   nazionali   o dell'Unione europea che ledono l'interesse  pubblico  o  l’integrità dell'amministrazione pubblica  o  dell'ente  privato,  di  cui  siano venute a conoscenza in un contesto lavorativo pubblico o privato.

 

L’organo competente a gestire le segnalazioni di illeciti, cd. Whistleblowing, ai sensi  del D.Lgs.  24/2023 è l’Organismo di Vigilanza di ICA.

 

Le segnalazioni di illeciti, cd. Whistleblowing, vanno effettuate mediante la piattaforma informatica raggiungibile al seguente indirizzo https://segnalazioni.icatributi.it/#/.

 

Nella prima pagina l’utente dovrà selezionare il pulsante “INVIA UNA SEGNALAZIONE” e nella seconda pagina potrà selezionare la seguente tipologia di segnalazione: Segnalazioni 231 - Whistleblowing ai sensi D.Lgs. n. 24/2023.

 

Con la presente informativa I.C.A. S.p.A.,, con sede legale in Roma, Via di Novella 22  (di seguito anche “ICA”) vuole descrivere, conformemente alle disposizioni di legge in materia, il canale messo a disposizione per la segnalazione degli illeciti, il meccanismo di funzionamento, l’iter procedurale, i termini di riscontro.

 

Questo documento è messo a disposizione degli interessati mediante i seguenti canali:

• pubblicazione sul sito aziendale;
• pubblicazione nella bacheca aziendale portale HR.

Ai sensi del D.Lgs. 24/2023 (di seguito anche “Decreto”) i soggetti legittimati alla segnalazione di eventuali illeciti aziendali sono:

1. lavoratori subordinati;
2. lavoratori autonomi;
3. collaboratori, liberi professionisti e consulenti;
4. tirocinanti;
5. azionisti e persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza.

Tali soggetti potranno segnalare le violazioni e gli illeciti di cui siano venuti a conoscenza nel contesto lavorativo.

In base all’Art. 2 del D.Lgs. 24/2023 possono essere oggetto di segnalazione solo comportamenti, atti od omissioni che consistono in:

1. illeciti amministrativi, contabili, civili o penali;
2. condotte illecite rilevanti ai sensi del decreto legislativo 231/2001, o violazioni dei modelli di organizzazione e gestione ivi previsti;
3. illeciti che rientrano nell’ambito di applicazione degli atti dell’Unione europea o nazionali relativi ai seguenti settori: appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell’ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi;
4. atti od omissioni che ledono gli interessi finanziari dell’Unione;
5. atti od omissioni riguardanti il mercato interno;
6. atti o comportamenti che vanificano l’oggetto o la finalità delle disposizioni di cui agli atti dell’Unione.

Condotte che non possono essere oggetto di segnalazione
Non possono essere oggetto di segnalazioni le contestazioni, rivendicazioni o richieste legate ad un interesse di carattere personale della persona segnalante o della persona che ha sporto una denuncia all'autorità giudiziaria o contabile che attengono esclusivamente ai propri rapporti individuali di lavoro o di impiego pubblico, ovvero inerenti ai propri rapporti di lavoro o di impiego pubblico con le figure gerarchicamente sovraordinate.

I canali di segnalazione che è possibile utilizzare sono 4:

• interno;
• esterno (ANAC);
• divulgazione pubblica (tramite la stampa, mezzi elettronici o mezzi di diffusione in grado di raggiungere un numero elevato di persone);
• denuncia all’Autorità giudiziaria.

Il canale di segnalazione interna viene gestito dall’Organismo di Vigilanza di ICA che svolge le seguenti attività:

1. rilascia alla persona segnalante avviso di ricevimento della segnalazione entro sette giorni dalla data di ricezione;
2. mantiene le interlocuzioni con la persona segnalante e può richiedere a quest’ultima, se necessario, integrazioni;
3. da diligente seguito alle segnalazioni ricevute;
4. fornisce riscontro alla segnalazione entro tre mesi dalla data dell’avviso di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione;
5. mette a disposizione informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne, nonché sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni esterne. Tale adempimento è effettuato mediante la presente informativa.

I segnalanti possono utilizzare il canale esterno (ANAC) solo quando:

• non sia stato attivato il canale di segnalazione interno o, anche se attivato, non sia conforme a quanto richiesto dalla legge; 
• la persona segnalante abbia già effettuato una segnalazione interna e la stessa non abbia avuto seguito;
• la persona segnalante abbia fondati motivi di ritenere che, se effettuasse una segnalazione interna, alla stessa non sarebbe dato efficace seguito ovvero che la stessa segnalazione potrebbe determinare un rischio di ritorsione;
• la persona segnalante abbia fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.

 

I segnalanti possono effettuare direttamente una divulgazione pubblica solo quando:

• la persona segnalante abbia previamente effettuato una segnalazione interna ed esterna ovvero abbia effettuato direttamente una segnalazione esterna e non sia stato dato riscontro entro i termini stabiliti in merito alle misure previste o adottate per dare seguito alle segnalazioni;
• la persona segnalante abbia fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse;
• la persona segnalante abbia fondato motivo di ritenere che la segnalazione esterna possa comportare il rischio di ritorsioni o possa non avere efficace seguito in ragione delle specifiche circostanze del caso concreto, come quelle in cui possano essere occultate o distrutte prove oppure in cui vi sia fondato timore che chi ha ricevuto la segnalazione possa essere colluso con l'autore della violazione o coinvolto nella violazione stessa. 

Al momento della segnalazione o della denuncia all'autorità giudiziaria o contabile o della divulgazione pubblica, la persona segnalante o denunciante deve avere un ragionevole e fondato motivo di ritenere che le informazioni sulle violazioni segnalate, divulgate pubblicamente o denunciate siano vere e rientrino nell'ambito della normativa.

L’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o  indirettamente, tale identità non possono essere rivelate, senza il consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni.

 

L'identità del segnalante non può essere rivelata a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni.

La segnalazione è sottratta all’accesso agli atti amministrativi e al diritto di accesso civico generalizzato.

 

La protezione della riservatezza è estesa all’identità delle persone coinvolte e delle persone menzionate nella segnalazione fino alla conclusione dei procedimenti avviati in ragione della segnalazione, nel rispetto delle medesime garanzie previste in favore della persona segnalante.

In particolare, vengono individuate, oltre al segnalante, 2 categorie di soggetti:

1. il «facilitatore»: la persona fisica che assiste il segnalante nel processo di segnalazione, operante all'interno del medesimo contesto lavorativo e la cui assistenza deve essere mantenuta riservata;
2. la «persona coinvolta»: la persona fisica o giuridica menzionata nella segnalazione interna o esterna ovvero nella divulgazione pubblica come persona alla quale la violazione è attribuita o come persona comunque implicata nella violazione segnalata o divulgata pubblicamente;

Il segnalante è protetto da comportamenti ritorsivi. La ritorsione è qualsiasi comportamento, atto od omissione, anche solo tentato o minacciato, posto in essere in ragione della segnalazione, della denuncia all’autorità giudiziaria o contabile, o della divulgazione pubblica e che provoca o può provocare, alla persona segnalante o alla persona che ha sporto la denuncia, in via diretta o indiretta, un danno ingiusto, da intendersi come danno ingiustificato.

Le tutele non sono garantite quando è accertata, anche solo con sentenza di primo grado, la responsabilità penale della persona segnalante per i reati di diffamazione o di calunnia o comunque per i medesimi reati commessi con la denuncia all’autorità giudiziaria o contabile ovvero la sua responsabilità civile, per lo stesso titolo, nei casi di dolo o colpa grave; in tali casi alla persona segnalante o denunciante può essere irrogata una sanzione disciplinare.

Il trattamento di dati personali relativi al ricevimento e alla gestione delle segnalazioni è effettuato da ICA in qualità di titolare del trattamento, nel rispetto dei princìpi europei e nazionali in materia di protezione di dati personali, fornendo idonee informazioni alle persone segnalanti e alle persone coinvolte nelle segnalazioni, nonché adottando misure appropriate a tutela dei diritti e delle libertà degli interessati.

Di seguito l’informativa dedicata alle attività di trattamento dei dati personali necessari per le segnalazioni degli illeciti sopra descritti.

Ai sensi e per gli effetti di cui agli Artt. 13 e 14 del Regolamento 2016/679 UE (di seguito anche “GDPR”), desideriamo informarLa che i dati personali da Lei forniti in sede di segnalazioni di condotte illecite (c.d. WHISTLEBLOWING) formano oggetto di trattamento nel rispetto della normativa sopra richiamata.

 

 

Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

 
Categorie particolari di dati

I dati che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona e i dati giudiziari.

 

La persona fisica cui si riferisce il Dato Personale.

 

Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

 

La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

 

La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

 

La persona fisica o giuridica che informa e fornisce consulenza al Titolare del trattamento dei dati personali, sorveglia sull’osservanza del GDPR, fornisce pareri in merito alla valutazione d’impatto (DPIA), coopera e funge da punto di contatto con l’Autorità Garante della protezione dei dati personali.

 

È il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali.

 

La persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.

 

Il D. Lgs. 196/2003 e successive modifiche e integrazioni e il Regolamento 2016/679 UE.

 

Il Titolare del trattamento dei dati personali è I.C.A. S.p.a., con sede legale in Roma, Italia, Via di Novella n.22 e con sede amministrativa in La Spezia (SP) Italia, Viale Italia 136 (di seguito anche “Titolare” o “ICA”) e-mail info@icatributi.it

 

Il Responsabile della protezione dei dati personali è Gesta S.r.l. Società Benefit Via Tolone 22 19124 La Spezia (SP) Italia, in persona del Dott. Renato Goretta.
Tel. 39 0187 564442 e-mail dpo@icatributi.it

 

I dati personali necessari per la segnalazione sono trattati ex art. 6, lett. c) del GDPR: il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento.

 

Le segnalazioni, interne ed esterne, e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui all’articolo 12 del presente decreto e del principio di cui agli articoli 5, paragrafo 1, lettera e), del regolamento (UE) 2016/679 e 3, comma 1, lettera e), del decreto legislativo n. 51 del 2018.

 

Tipi di dati trattati, finalità e modalità del trattamento
Per garantire il servizio di segnalazione è necessario trattare due tipologie di dati:

La gestione e la preliminare verifica sulla fondatezza delle circostanze rappresentate nella segnalazione sono affidate all’Organismo di vigilanza di ICA che vi provvede nel rispetto dei principi di imparzialità e riservatezza effettuando ogni attività ritenuta opportuna, inclusa l’audizione personale del segnalante e di eventuali altri soggetti che possono riferire sui fatti segnalati.

Qualora, all’esito della verifica, si ravvisino elementi di non manifesta infondatezza del fatto segnalato, l’Organismo di vigilanza provvederà a trasmettere l’esito dell’accertamento per approfondimenti istruttori o per l’adozione dei provvedimenti di competenza:

• All’Organo Amministrativo della società;
• se del caso, all’Autorità Giudiziaria e all’ANAC.

In tali eventualità, nell'ambito del procedimento penale, l'identità del segnalante è coperta dal segreto nei modi e nei limiti previsti dall'art. 329 del Codice di procedura penale.

 

Nell'ambito del procedimento disciplinare l'identità del segnalante non può essere rivelata, ove la contestazione dell'addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità del segnalante sia indispensabile per la difesa dell'incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza di consenso del segnalante alla rivelazione della sua identità.

 

ICA deve offrire all’Organismo di vigilanza la collaborazione necessaria per lo svolgimento delle pratiche istruttorie, nel rispetto dei limiti imposti dalla normativa sopra richiamata.

Il personale autorizzato al trattamento dei dati personali dovrà attenersi al rispetto delle istruzioni impartite e alle cautele previste nella procedura di segnalazione e ai correlati obblighi di riservatezza.

 

È fatto salvo, in ogni caso, l’adempimento, da parte dell’Organismo di vigilanza e/o dei soggetti che per ragioni di servizio debbano conoscere l’identità del segnalante, degli obblighi di legge cui non è opponibile il diritto all’anonimato del segnalante.

Con modalità tali da garantire la riservatezza dell’identità del segnalante, l’Organismo di vigilanza rende conto del numero di segnalazioni ricevute e del loro stato di avanzamento.

 

I dati raccolti verranno conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

 

Il Titolare del trattamento può avvalersi di fornitori esterni per lo svolgimento di servizi che implicano il trattamento di dati personali.

ICA, al fine di gestire le segnalazioni di illeciti sopra descritte mediante una piattaforma di digital whistleblowing, ha individuato come fornitore la seguente società: Whistleblowing Solutions Impresa Sociale S.p.a. (WBS) con sede a Milano (MI) Italia, Viale Abruzzi 13/A.

 

WBS è stata, pertanto, designata dal Titolare del trattamento quale Responsabile del trattamento ai sensi dell’art. 28 del Regolamento UE 2016/679.

I dati raccolti a seguito della segnalazione, se del caso, potranno essere comunicati all’Autorità Giudiziaria e all’ANAC.

 

La piattaforma informatica di segnalazione fornita da Whistleblowing Solutions Impresa Sociale S.p.a. (WBS) è basata sul software libero ed open-source GlobaLeaks, di cui Whistleblowing Solutions è co-autore e coordinatore di progetto.

 

In aggiunta a GlobaLeaks, utilizzato in via principale per l’implementazione del servizio, per finalità di pubblicazione, documentazione e supporto del progetto vengono utilizzate altre tecnologie a codice aperto e di pubblico dominio la cui qualità è indipendentemente verificabile.

 

Vengono anche in modo limitato utilizzate alcune note tecnologie proprietarie e licenziate necessarie per finalità di gestione infrastrutturale e backup professionale.

Per maggiori informazioni sulla piattaforma utilizzata e sulle sue caratteristiche tecniche consultare la pagina https://www.whistleblowing.it/.

 

I dati personali sono trattati, principalmente, in Italia oppure in Paesi membri dell’Unione Europea.

 

I diritti di cui agli articoli da 15 a 22 del regolamento (UE) 2016/679 possono essere esercitati solo nei limiti di quanto previsto dall’articolo 2-undecies del Decreto legislativo 30 giugno 2003, n. 196.

 

Il segnalato può esercitare i propri diritti tramite l’Autorità Garante, ai sensi dell’art. 160 del Cod. Privacy, come sancito dal terzo comma dell’art. 2-undecies Cod. Privacy.

Ultima revisione: 25 Luglio 2024.