Informativa privacy per il segnalante

Informativa sul trattamento di dati personali nell’ambito della procedura segnalazioni - whistleblowing
PERSONE SEGNALANTI

PREMESSE NORMATIVE

Questa informativa è fornita agli utenti/visitatori che interagiscono con il sistema web ufficiale del Gruppo Exprivia, per le segnalazioni in merito a potenziali illeciti o irregolarità di cui si sia venuti a conoscenza nell’ambito dell’attività lavorativa e intende promuovere la cultura dell’etica e della legalità di fronte a condotte irregolari di cui si è testimoni, accessibile per via telematica a partire dall'indirizzo https://whistleblowing.exprivia.it.

Le seguenti informazioni sono rese, ai sensi:

  • dell’art. 13 del Regolamento UE 2016/679;
  • Del D. Lgs. 24 del 2023 che ha abrogato il co 2 bis dell’art. 6 del D. Lgs. 231/2001 ed introdotto in via specifica, all’art. 13, l’obbligo di rilasciare le informative privacy ai segnalanti nonché alle persone coinvolte;
  • della Delibera nr. 311 del 12 luglio 2023 – “Linee Guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne” meglio note come Linee Guida Whistleblowing pubblicate sulla Gazzetta Ufficiale Serie Generale nr. 172 del 25 luglio 2023;
  • del Parere del Garante per la protezione dei dati personali del 6 luglio 2023 sullo Schema delle Linee Guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne adottato dall’ANAC (docweb nr. 9912239);
  • della Guida operativa per gli enti privati intitolata “Nuova disciplina whistleblowing” adottata da Confindustria nell’ottobre 2023;
  • della Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (in G.U.U.E. L 305, 26.11.2019, p. 17–56);
  • della legge 30 novembre 2017 n. 179, «Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato», entrata in vigore il 29 dicembre 2017 che prevede un articolo inerente la «Tutela del dipendente o collaboratore che segnala illeciti nel settore privato», e stabilisce, per la prima volta nel nostro ordinamento, specifiche misure a tutela dei whistleblowers nel settore privato, aggiungendo il co. 2-bis all’interno dell’art. 6 del decreto legislativo 8 giugno 2001, n. 231, «Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300». Tale comma 2 bis è stato sostituito dall’art. 24 del d. lgs. nr. 24 del 2023 che stabilisce che i modelli organizzativi 231 prevedano i canali di segnalazione interna, il divieto di ritorsione ed il sistema disciplinare;
  • del Parere del Garante del 4 dicembre 2019, doc web nr. 9215763, sullo schema di “Linee Guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro ai sensi dell’art. 54 bis del d. lgs. 165/2001 (cd whistleblowing)” di ANAC.

OGGETTO DELLE SEGNALAZIONI WHISTLEBLOWING

Il sistema è destinato ai dipendenti del Gruppo Exprivia e a tutti coloro che, in generale, operano, in Italia e all’estero, per conto o a favore del Gruppo o che intrattengono relazioni d’affari con quest’ultimo attraverso qualunque tipo di contratto o incarico e che siano venuti a conoscenza del fato illecito che costituirà oggetto di segnalazione nel contesto lavorativo.

Gli eventi oggetto di segnalazione devono riguardare, in generale, il ragionevole e legittimo sospetto o la consapevolezza in buona fede di condotte illecite o di irregolarità di cui si è venuti a conoscenza nell’ambito dell’attività lavorativa che possano nuocere all’integrità del Gruppo Exprivia quali, ad esempio, la violazione delle leggi italiane nel cui ambito rientrano le violazioni dei reati presupposto di cui al D. Lgs. 231/2001 e la violazione del modello organizzativo 231 nonché la violazione di norme europee direttamente applicabile e delle norme di attuazione in materia di contratti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell'ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi, ma anche altre norme europee specificamente individuate. 

Invece, non devono essere oggetto di segnalazione i fatti che riguardano:

  • richieste legate ad un interesse di carattere personale del segnalante, o della persona che ha presentato denunzia all’autorità giudiziaria o contabile che attendono ai propri rapporti individuali di lavoro o di impiego;
  • alle segnalazioni di violazioni già disciplinate da altri atti dell’Unione europea indicati nella parte II dell’allegato del d. lgs. 24/2023;
  • alle segnalazioni in materia di sicurezza nazionale, apparati di difesa e materie analoghe.

La presente policy descrive le modalità di gestione del sistema ufficiale del Gruppo Exprivia, ma non di altri siti web esterni consultabili eventualmente dall'utente tramite link. Informazioni aggiuntive potranno essere fornite all'interno di specifiche sezioni.

Il D. Lgs. 24/2023, all’art. 12, richiede che venga tutelata l’identità del segnalante e di ogni altra informazione da cui possa evincersi, in modo diretto o indiretto, salvo che il segnalante abbia prestato il suo consenso alla comunicazione dei suoi dati a terzi.

Nell’ambito del procedimento disciplinare contro il segnalato l’identità del segnalante non può essere rilevata, nel caso in cui la contestazione dell’addebito disciplinare sia fondata su accertamenti ulteriori rispetto alla segnalazione.

Si tenga conto che nel caso in cui la conoscenza del segnalante sia indispensabile per la difesa del segnalato la segnalazione potrà essere impiegata nel procedimento disciplinare contro il segnalato solo se il segnalante darà il proprio consenso alla rilevazione della sua identità o sussistano le condizioni di legge. La presente informativa viene rilasciata sin da ora, anche ai sensi dell’art. 12 commi 5 e 6 del D. Lgs. 24/2023.

Riguardo le ipotesi in cui è necessario procedere alla rilevazione dell’identità del segnalante si rimanda alla Procedura di segnalazione per il whistleblowing predisposta da parte dei Titolari.

Si ricorda che a tutela della riservatezza la segnalazione per il whistleblowing è sottratta alle procedure di accesso alla legge 241/1990 ed alle procedure di accesso civico.

La invitiamo ad indicare nella segnalazione che vuole mantenere riservata la sua identità e che vuole avvalersi del sistema di tutela normative anche contro ritorsioni.

I VARI CANALI DI SEGNALAZIONE

Le ricordiamo che Lei per la segnalazione potrà fare uso di tutti i canali di segnalazione adottati da parte delle società Titolari quali:

  • La piattaforma informatica accessibile dal sito delle società Titolari;
  • Il numero di telefono del centralino aziendale da impiegare a seconda che Lei intenda o meno rilasciare informazioni sulla sua identità pur se le ricordiamo che il telefono in ogni caso consente di ascoltare la sua voce e che essa stessa è dato personale per cui Lei potrebbe essere identificabile;
  • Richiesta di incontro che potrà essere avanzata tramite centralino aziendale, all’ufficio di gestione delle segnalazioni istituito presso le società Titolari e contattabile direttamente di persona o telefonicamente al numero dedicato attivato dalle società Titolari;
  • L’invio tramite posta cartacea. Nel caso in cui scelga questa modalità Le chiediamo di usare una doppia busta ed inserire la segnalazione in una busta specifica indirizzata all’ufficio di segnalazione

Le chiediamo invece, di evitare di inviare le sue segnalazioni tramite mail o tramite PEC, poiché come evidenziato dal Garante privacy nel suo Parere del 6 luglio 2023, sulle Linee Guida ANAC del 2023 circa le segnalazioni di whistleblowing, tali modalità non ci consentono di tutelare la riservatezza della sua identità considerate le misure di sicurezza tecniche a protezione di tali modalità.

I canali di segnalazione interna vengono istituiti, nel settore privato, mediante il modello organizzativo 231 o con atto interno (ad esempio regolamento) che rinvii al medesimo modello.

LA FACOLTA’ DI REVOCA DELLA SEGNALAZIONE

Ricordiamo al segnalante che nell’opportunità di privilegiare la sua volontà, egli potrà sempre ritirare la segnalazione mediante apposita comunicazione da trasmettere attraverso il canale originariamente prescelto per l’inoltro della stessa. L’istruttoria potrà proseguire ugualmente se si tratta di fatti gravi.

TIPOLOGIA DI DATI TRATTATI E FINALITA’ DEL TRATTAMENTO

Il trattamento è eseguito con le finalità:

  1. Di adempiere a tutti gli obblighi previsti dal D. Lgs. 24 del 2023 in materia di whistleblowing che ha ratificato la Direttiva UE 2019/1937;
  2. di avviare le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto di segnalazione, appreso nell’esecuzione del rapporto di lavoro, relativamente ad attività illecite o fraudolenti, per come indicate dal D. Lgs. 24/2023, che possono riguardare:
    1. illeciti, amministrativi, contabili, civili o penali;
    2. condotte illecite rilevanti ai fini del d. lgs. 231/2001;
    3. illeciti che rientrano nell’ambito di applicazione degli atti dell’unione europea;
    4. atti o omissioni che ledono gli interessi finanziari dell’Unione europea comprese le violazioni delle norme dell’Unione europea;
    5. Atti o omissioni riguardanti il mercato interno o atti o omissioni che vanificano gli atti dell’Unione europea dei punti precedenti.
  3. Far osservare il divieto di compiere atti di ritorsione o discriminatori ex art. 19 del D. Lgs. 24/2023, diretti o indiretti, nei confronti del soggetto segnalante e dei facilitatori per motivi collegati, direttamente o indirettamente, alla segnalazione, anche mediante la comunicazione all’INPS;
  4. Adottare sanzioni disciplinari predisposte dal datore di lavoro conformemente al modello organizzativo di cui alla Legge 231/2001 sia nei confronti di chi viola le misure di tutela del soggetto segnalante che nei confronti di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate;
  5. Adempiere gli obblighi di legge (es. Reg. eur. 679/2016, D. lgs. 24 del 2023 sul whistleblowing, ecc.).

La base giuridica del trattamento è inerente la necessità di adempiere a un obbligo di legge cui è soggetto il Titolare, con riferimento alle previsioni contenute nel D. Lgs. 24 del 2023 in materia di ratifica della Direttiva UE nr. 2019/1937 in materia di whistleblowing, nonché nella Legge 30 novembre 2017, n. 179 (“Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato”) e nel Decreto Legislativo 8 giugno 2001, n. 231 (“Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300”).

In via maggiormente dettagliata i trattamenti di dati personali effettuati dal Titolare sono, pertanto, necessari per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento (art. 6, § 1, lett. c) del Regolamento 679/2016), e, con riguardo a categorie particolari di dati (art. 9, § 2, lett. b) del Regolamento 679/2016) o a dati relativi a condanne penali e reati, possono, altresì, essere considerati necessari per l’esecuzione di un compito di interesse pubblico contemplato dall’ordinamento (art. 6, § 1, lett. e) e art. 9, § 2, lett. g) e 10 del Regolamento.

I dati personali dei segnalati potranno, altresì, essere utilizzati per l'adempimento degli obblighi di legge. I dati dei segnalanti potranno essere trattati solo nei casi previsti dalla normativa vigente.

Le prescrizioni a tutela della privacy e della sicurezza dei dati personali trattati nei siti collegati da o verso il sito del Gruppo Exprivia non sono coperte dalla presente policy privacy. Exprivia, pertanto, non è responsabile delle condotte in materia di privacy tenute da questi siti.

MODALITA' DEL TRATTAMENTO E CONSERVAZIONE DEI DATI

I dati personali sono trattati con strumenti automatizzati (ad es. utilizzando procedure e supporti elettronici) e/o manualmente (ad es. su supporto cartaceo) per il tempo strettamente necessario a conseguire gli scopi per cui sono raccolti e, comunque, in conformità alle disposizioni normative vigenti in materia e quindi non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, per come previsto dall’art. 14 del D. Lgs. 24/2023.

Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati. Ai dati raccolti non sarà applicato alcun processo decisionale automatizzato e nessuna forma di profilazione.

Decorso tale termine, i dati saranno cancellati o trasformati in forma anonima, salvo che la loro ulteriore conservazione sia necessaria per assolvere ad obblighi di legge o per adempiere ad ordini impartiti da Pubbliche Autorità o per l’esercizio del diritto di difesa.

NOTIZIE SPECIFICHE PER IL CANALE DI SEGNALAZIONE COSTITUITO DALLA PIATTAFORMA INFORMATICA

I Titolari del trattamento non procedono alla tracciatura dei segnalanti che fanno uso del canale informatico.

NOTIZIE SPECIFICHE PER IL CANALE DI SEGNALAZIONE COSTITUITO DALL’INCONTRO DIRETTO

Il segnalante, ai sensi dell’art. 13 del D. Lgs. 24/2023, può richiedere di essere sentito da parte dell’Ufficio interno segnalazione per presentare la segnalazione mediante un incontro diretto.

In tal caso conformemente a quanto previsto dal D. Lgs. 24/2023, all’art. 14 comma 4, si procede alla redazione del verbale.

In caso di redazione del verbale il segnalante ha il diritto di verificare, rettificare e confermare il verbale dell’incontro mediante la propria sottoscrizione.

NOTIZIE SPECIFICHE PER IL CANALE DI SEGNALAZIONE COSTITUITO DALLA LINEA TELEFONICA

Il segnalante potrà rappresentare i suoi sospetti di illecito anche telefonicamente.

La segnalazione è documentata per iscritto tramite un resoconto della conversazione, a cura dell’Ufficio interno di whistleblowing, il segnalante procede alla verifica, rettifica o conferma del contenuto del resoconto dettagliato mediante la propria sottoscrizione.

Nell’informativa breve rilasciata telefonicamente viene fatto riferimento al link in cui è presente questa informativa estesa.

TITOLARE, RESPONSABILE PER LA PROTEZIONE DEI DATI (DPO) E INCARICATI

I Titolari autonomi del trattamento dei dati dei personali, relativi a persone identificate o identificabili raccolti tramite questo sistema sono le Società appartenenti al Gruppo Exprivia:

  • Exprivia S.p.A. con sede legale in via A. Olivetti, 11- Molfetta (BA);
  • Exprivia Projects S.r.l. con sede legale in Via della Bufalotta 378– Roma.

I Titolari del trattamento hanno nominato un Responsabile della protezione dei dati personali o Data Protection Officer in conformità agli artt. 37 ss. del Regolamento UE 2016/679 che può essere contattato:

I trattamenti connessi ai servizi web di questo sito sono curati esclusivamente da personale tecnico, incaricato/autorizzato ed istruito al corretto trattamento dei dati personali che, in nessun caso, saranno oggetto di diffusione.

Ai fini della gestione della procedura di whistleblowing sono stati individuati anche i soggetti autorizzati al trattamento nelle persone che compongono l’Ufficio di whistleblowing ai sensi dell’art. 2 quaterdecies del Codice privacy.

L’ufficio di gestione delle segnalazioni di whistleblowing è un ufficio interno. Per le modalità di contatto e la sua composizione vedi la Procedura di whistleblowing pubblicata sui siti delle società titolari.

COMUNICAZIONE E/O DIFFUSIONE DEI DATI 

Sono destinatari dei dati raccolti a seguito della segnalazione, se del caso, l’Autorità Giudiziaria, la Corte dei conti e l’ANAC.

In particolare, la trasmissione potrà avvenire nei confronti di:

  • consulenti esterni (per es. studi legali) eventualmente coinvolti nella fase istruttoria della segnalazione;
  • i componenti dell’Ufficio interno whistleblowing e le funzioni aziendali coinvolte nell’attività di esame e valutazione delle segnalazioni;
  • posizioni organizzative incaricate di svolgere accertamenti sulla segnalazione nei casi in cui la loro conoscenza sia indispensabile per la comprensione dei fatti segnalati e/o per la conduzione delle relative attività di istruzione e/o trattazione;
  • istituzioni e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia, Agenzie investigative;
  • organismo di vigilanza nominato ai sensi del D. Lgs. 231/2001 laddove la segnalazione riguardi un reato presupposto o la violazione del modello organizzativo 231;
  • responsabile prevenzione corruzione e trasparenza (RPCT) laddove sussistente;
  • il segnalato laddove la conoscenza dell’identità del segnalante sia necessaria per la difesa del segnalato;
  • l’INPS e l’ANAC laddove siano stati accertati atti ritorsivi nei confronti del segnalante.

I dati personali raccolti sono, soprattutto, trattati dal personale del Titolare che compone l’Ufficio Interno di Whistleblowing, che agisce sulla base di specifiche istruzioni fornite in ordine a finalità e modalità del trattamento medesimo.

Tali istruzioni sono contenute sia nella specifica procedura pubblicata sul sito che nelle istruzioni predisposte anche ai fini formativi.

I dati personali raccolti non saranno oggetto di diffusione e non saranno trasferiti a Paesi terzi (extra UE).

CONSERVAZIONE DEI DATI

I Titolari hanno l’obbligo di conservare la segnalazione non oltre cinque anni a decorrere dalla data dell’esito finale della procedura di segnalazione (art. 14, comma 1, del Decreto). Nel caso in cui tale esito debba essere comunicato al segnalante che ha fornito i suoi dati personali tale termine fa riferimento alla data di comunicazione dell’esito finale al segnalante come da Linee Guide ANAC deliberazione nr. 211 dell’11 luglio 2023.

I Titolari tuteleranno la riservatezza durante tale periodo (fatte salve le ipotesi previste dall’art. 12, commi 3-5, del Decreto), e, decorso tale periodo, dovendo la segnalazione essere cancellata, verrebbe comunque, meno la possibilità di risalire all’identità del segnalante (parte prima, par. 4.1.3)

Tutti i dati ricevuti nella segnalazione che palesemente siano irrilevanti rispetto alla vicenda segnalata saranno cancellati.

La cancellazione avverrà con modalità differenti a seconda delle modalità di ricezione della segnalazione medesime per cui potrà essere effettuata mediante eliminazione, o distruzione, ecc..

La cancellazione nella piattaforma informatica, ad esempio, avverrà tramite eliminazione.

Durante tutto il periodo di conservazione dei dati il segnalante che ha deciso di non restare anonimo (e che potrà avvalersi del sistema di tutela contro le ritorsioni), ha il diritto di accesso a tutti i documenti inerenti l’istruttoria ed il procedimento fino a quando essi non vengono cancellati.

DIRITTI DEGLI INTERESSATI

Gli "interessati", ovvero le persone fisiche cui si riferiscono i dati, hanno il diritto, in qualunque momento, di accedere alle informazioni che li riguardano e chiederne l'aggiornamento, la rettificazione e l'integrazione, nonché la cancellazione, la trasformazione in forma anonima o il blocco, la limitazione del trattamento e la portabilità dei dati, nonché di opporsi in ogni caso in tutto o in parte al trattamento, per motivi legittimi, al loro trattamento ai sensi degli articoli da 15 a 22 del Regolamento UE 2016/679.

Gli interessati, inoltre, qualora il trattamento dei loro dati è basato su consenso, potranno in qualunque momento revocarlo (ad esempio ai fini della comunicazione dell’identità al segnalato, laddove tale conoscenza non sia indispensabile per la difesa del segnalato). La revoca del consenso non inficia i precedenti trattamenti. Si ricorda che l’interessato può sempre opporsi al trattamento per fini promozionali.

La portabilità consiste nel diritto dell’interessato alla ricezione, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, dei dati personali forniti ai Titolari, nonché la trasmissione degli stessi a un altro titolare del trattamento, e ciò in qualsiasi momento, anche alla cessazione dei rapporti eventualmente intrattenuti con i Titolari.

I trattamenti di dati personali effettuati per fini di sicurezza informatica o per esigenze difensive rientrano tra i trattamenti per il legittimo interesse del Titolare, in tal caso l’interessato può opporsi solo per motivi connessi alla sua situazione particolare che il Titolare valuterà fermo restando l’esecuzione delle finalità difensive.

Per qualunque informazione in merito al trattamento dei dati, nonché per l’esercizio dei diritti di cui agli articoli 15-22 del Regolamento UE 2016/679, gli utenti possono inviare una e-mail agli indirizzi del DPO sopra indicati.

Inoltre, gli interessati hanno il diritto di rivolgersi al Garante per la protezione dei dati personali o ad altre Autorità per proporre un reclamo in merito al trattamento dei propri dati personali, nel caso in cui vi sia una violazione di Legge, ai sensi dell’art. 77 del GDPR.