Policy Whistleblowing – Protezione dei Segnalanti
Scopo della Policy:
La presente Whistleblowing Policy (“Policy”) definisce le linee guida principali da seguire in caso di segnalazioni effettuate dai soggetti sottoindicati (“Segnalanti”) e le misure di protezione a tutela dei Segnalanti.
La Policy si applica in caso di segnalazione da parte dei Segnalanti di condotte illecite come di seguito specificate.
Le segnalazioni possono riguardare comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità di Oxi Group e che consistono in:
- illeciti amministrativi, contabili, civili o penali; in particolare, illeciti relativi ai seguenti settori: corruzione, appalti pubblici, prevenzione del riciclaggio, tutela dell’ambiente, tutela della salute e sicurezza, tutela della vita privata e protezione dei dati personali;
- conflitti di interesse;
I Segnalanti possono essere i seguenti soggetti:
- tutti i dipendenti, compresi dipendenti part time e con contratto a termine;
- lavoratori somministrati;
- persone il cui rapporto di lavoro è terminato al momento dell’effettuazione delle segnalazioni, quando le informazioni sono state ottenute nel corso del rapporto di lavoro;
- persone che si sono candidate per un lavoro all’interno di Oxi Group, quando le informazioni sono state ottenute nell’ambito di tale candidatura;
- personale distaccato presso Oxi Group;
- lavoratori autonomi;
- liberi professionisti e consulenti;
- volontari e tirocinanti;
- dipendenti, collaboratori e amministratori di fornitori di Oxi Group;
- azionisti;
- persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza;
- i soci;
- i membri del Consiglio di amministrazione;
- co-appaltatori e subappaltatori.
La Policy stabilisce le misure di tutela concesse ai Segnalanti che in buona fede segnalino irregolarità, non-conformità o presunti comportamenti riprovevoli.
Data l’importanza di garantire la sicurezza e la riservatezza dei dati, Oxi Group ha deciso di adottare un sistema di segnalazione interno digitale attraverso una piattaforma informatica, che garantisce elevati standard di sicurezza.
La Policy si basa sul quadro normativo nazionale ed europeo applicabile, in particolare sul Decreto Legislativo 10 marzo 2023 n. 24, attuativo della Direttiva europea 2019/1937.
Definizioni:
Chi è un Segnalante e come è protetto?
Il Segnalante è definito dalla legge come la persona fisica che effettua la segnalazione o la divulgazione pubblica di informazioni su condotte illecite, acquisite nell’ambito del contesto lavorativo.
Le segnalazioni possono riguardare comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità di Oxi Group e che consistono in:
- illeciti amministrativi, contabili, civili o penali; in particolare, illeciti relativi ai seguenti settori: corruzione, appalti pubblici, prevenzione del riciclaggio, tutela dell’ambiente, tutela della salute e sicurezza, tutela della vita privata e protezione dei dati personali;
- conflitti di interesse;
Il Segnalante è protetto se, al momento della segnalazione, aveva fondato motivo di ritenere che le informazioni sulle violazioni segnalate fossero vere e rientrassero nell’ambito della Policy e della legge.
Il Segnalante è protetto dalla legge contro le ritorsioni, così come tutte le persone definite “facilitatori” ossia le persone operanti nel medesimo contesto professionale del Segnalante e che hanno aiutato il Segnalante ad effettuare la segnalazione.
Sono altresì protetti, in determinate circostanze indicate dalla legge, i colleghi e i parenti del Segnalante.
Il Segnalante non è invece protetto e può anche ricevere una sanzione disciplinare, in caso sia stata accertata la sua responsabilità penale o civile per i reati di diffamazione o di calunnia collegati a segnalazioni effettuate con dolo o colpa grave.
Qual è lo scopo e la portata del sistema di segnalazione?
Il diritto di segnalazione riconosciuto dalla legge non è un obbligo, ma una possibilità offerta ad ogni portatore di interesse di decidere in piena coscienza se segnalare una violazione dell’interesse generale o delle norme, di cui è a conoscenza.
Procedura di segnalazione:
Come presentare una segnalazione?
- Segnalazione interna: Procedura di raccolta
Allo scopo di rafforzare il sistema di segnalazione interno e garantire ai Segnalanti la protezione e la riservatezza dei loro dati e il follow-up ottimale delle segnalazioni, Oxi Group ha istituito un sistema di segnalazione sicuro, accessibile a tutti e nel rigoroso rispetto della legge.
Il Segnalante può inviare la sua segnalazione a Oxi Group tramite la piattaforma con apposito link presente sul portale web https://oxigroup.it/
Quando il Segnalante invia una segnalazione attraverso la piattaforma messa a disposizione, vengono generate le credenziali attraverso cui il segnalante potrà consultare una casella di posta elettronica sicura e anonima, se lo desidera (senza lasciare un indirizzo e-mail), che gli consente di corrispondere in assoluta riservatezza direttamente con il referente incaricato del trattamento della pratica. In questo caso, è consigliabile che il Segnalante consulti la casella di posta elettronica regolarmente nel caso in cui vi sia la necessità di fornire ulteriori informazioni.
L’avviso di ricevimento della segnalazione verrà rilasciato al Segnalante entro 7 (sette) giorni.
La gestione del canale di segnalazione è affidata a persone interne a Oxi Group, autonome e specificamente formate per garantire la gestione in conformità ai requisiti di legge.
Il Segnalante è invitato a utilizzare il canale di segnalazione interno. In ogni caso, il Segnalante può effettuare una segnalazione esterna (Autorità Nazionale Anticorruzione) o una divulgazione pubblica (attraverso la stampa o mezzi di diffusione elettronici), beneficiando della protezione descritta nella presente Policy, se ricorrono le seguenti condizioni:
– Il Segnalante ha già effettuato una segnalazione interna e la stessa non ha avuto seguito;
– il Segnalante ha fondati motivi di ritenere che, se effettuasse una segnalazione interna, alla stessa non sarebbe dato efficace seguito ovvero che la stessa segnalazione possa determinare il rischio di ritorsione;
– il Segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.
Informazioni da fornire in caso di segnalazione:
La segnalazione deve essere effettuata in buona fede sulla base di precisi elementi di fatto.
Il Segnalante è invitato a fornire tutte le informazioni utili, in particolare producendo documenti scritti (lettere, relazioni, documenti, ecc.) o altre prove.
Riservatezza:
Ai Segnalanti viene garantita la riservatezza del sistema di segnalazione interno istituito da Oxi Group, in particolare attraverso l’utilizzo della piattaforma di segnalazione sicura della sua casella di posta elettronica che garantisce la riservatezza delle informazioni trasmesse.
Gli elementi suscettibili di identificare il Segnalante possono essere divulgati solo con il consenso di quest’ultimo. Tuttavia, tali elementi possono essere comunicati all’autorità giudiziaria, nei modi e limiti previsti dal codice di procedura penale.
Gli elementi della segnalazione saranno utilizzati e conservati esclusivamente ai fini dell’investigazione della segnalazione stessa e saranno distrutti entro un massimo di cinque anni dalla comunicazione dell’esito finale della procedura di segnalazione.
Se lo desidera, il Segnalante può scegliere di effettuare la segnalazione in forma anonima e richiedere l’anonimato per tutta la durata del processo di accertamento della segnalazione.
Protezione dei dati personali:
In caso di segnalazione non anonima, i dati personali possono essere utilizzati per scopi amministrativi, in particolare per la gestione del registro delle segnalazioni.
I dati personali saranno trattati in conformità con la Policy sulla privacy di Oxi Group, in particolare adottando adeguate misure tecniche e organizzative e trattando i dati in conformità al quadro normativo, per tutta la durata della procedura d’indagine, nel rispetto dei diritti delle persone interessate.
Indagine a seguito di segnalazioni:
A seguito della segnalazione, il Segnalante riceve un avviso di ricevimento ed eventuali richieste di chiarimenti. Durante l’intero processo di elaborazione dei file è possibile comunicare attraverso la casella di posta elettronica sicura ospitata dalla piattaforma.
La decisione di intraprendere un controllo, un audit o qualsiasi altro tipo di indagine viene presa caso per caso dopo aver esaminato la gravità dei fatti addotti e l’accuratezza della segnalazione. La decisione viene presa il più rapidamente possibile in base alle specificità della segnalazione, e in ogni caso viene dato riscontro al Segnalante entro tre mesi dalla data di conferma di ricezione della segnalazione.
Il Segnalante viene informato entro gli stessi termini delle misure di follow-up che possono essere adottate in seguito alla sua segnalazione.
Sistema di protezione dei Segnalanti:
Sono vietate:
– La divulgazione dell’identità del Segnalante senza il suo consenso, tranne che all’autorità giudiziaria nei casi previsti dalla legge;
– Qualsiasi ritorsione nei confronti del Segnalante, intendendosi per ritorsione qualsiasi comportamento, atto od omissione, anche solo tentato o minacciato, che provoca o può provocare al segnalante un danno ingiusto.
A titolo di esempio, costituiscono forme vietate di ritorsione: licenziamento, demansionamento, mutamento di funzioni, adozione di misure disciplinari.
WHISTLEBLOWING – Informativa sulla protezione dei dati personali ex artt. 13 e 14 GDPR 679/2016
Nel rispetto di quanto previsto dal Reg. UE 2016/679 (Regolamento Europeo per la protezione dei dati personali) le forniamo le dovute informazioni in ordine al trattamento dei dati personali forniti. Si tratta di un’informativa che è resa ai sensi degli artt.13 e 14 del Reg. UE 2016/679 (Regolamento Europeo per la protezione dei dati personali).
TIPOLOGIA DI DATI TRATTABILI
I dati personali oggetto di trattamento rientrano nelle seguenti categorie:
Dati personali del segnalante in caso di segnalazioni effettuate in forma non anonima mediante la piattaforma dedicata:
– Comuni Obbligatori: nome, cognome, tipo di rapporto intercorrente con la Società;
– Comuni Facoltativi: inquadramento, ruolo, qualifica, contatto telefonico, indirizzo mail.
Dati personali del segnalante in caso di segnalazioni effettuate in forma non anonima attraverso canali diversi dalla piattaforma
In caso di segnalazioni effettuate verbalmente a mezzo telefonico o in sede di specifico incontro richiesto, i dati personali trattati sono quelli comunicati volontariamente dal segnalante.
Dati personali riferiti al/i segnalato/i e/o ad altre persone coinvolte nella segnalazione
I dati trattabili sono quelli che il segnalante ha inteso fornire per rappresentare i fatti descritti nella segnalazione. In questo caso la Società non è in grado di determinare a priori i dati oggetto della segnalazione, che potrà quindi contemplare anche dati particolari o relativi a condanne penali e reati.
I predetti dati saranno trattati con supporti informatici e cartacei che ne garantiscono la sicurezza e la riservatezza. La documentazione in formato cartaceo è limitata al minimo indispensabile e archiviata e custodita in armadi e locali dotati di serrature di sicurezza. La trasmissione dei dati forniti dal segnalante mediante accesso alla piattaforma è gestita con protocollo HTTPS. Sono inoltre applicate tecniche di crittografia end-to-end su tutti i dati in transito e archiviati, garantendo in questo modo la riservatezza delle informazioni trasmesse. Non viene fatto uso di cookie per la trasmissione di informazioni di carattere personale, né vengono utilizzati cookie persistenti per il tracciamento degli utenti. Vengono utilizzati esclusivamente cookie tecnici nella misura strettamente necessaria al corretto ed efficiente utilizzo della piattaforma. L’uso dei cookie di sessione (che non vengono memorizzati in modo persistente sul computer dell’utente e svaniscono con la chiusura del browser) è strettamente limitato alla trasmissione di identificativi di sessione (costituiti da numeri casuali generati dal server) necessari per consentire l’esplorazione sicura ed efficiente della piattaforma.
TITOLARE DEL TRATTAMENTO, ai sensi dell’art.4 del Reg. UE 2016/679, è OXI GROUP S.R.L. rappresentata dal suo Legale Rappresentante con sede in Via A. Costa 8/2 – 40057 Granarolo dell’Emilia (BO) PEC amministrazione@pec.oxi.it
FINALITA’ DEL TRATTAMENTO, BASE GIURIDICA, PERIODO DI CONSERVAZIONE e NATURA DEL CONFERIMENTO
- A) Esecuzione di attività istruttorie e adozione di provvedimenti: i Vostri dati saranno trattati allo scopo di effettuare le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto di segnalazione e l’adozione degli eventuali provvedimenti che potrebbero rendersi necessari.
Ai sensi dell’art. 6, comma 1, lett. b), il trattamento è necessario all’adempimento di un obbligo di legge (L. n. 179/2017, D.Lgs. n 24/2023 recante “Attuazione della direttiva UE 2019/1937”) I vostri dati sono conservati per un periodo di tempo non superiore a quello necessario per il perseguimento delle finalità per le quali sono stati raccolti, conformemente a quanto previsto dagli obblighi di legge o comunque per consentire alla Società la tutela dei diritti ed interessi propri o di terzi (es. difesa in giudizio). I dati vengono automaticamente eliminati dalla piattaforma trascorsi 5 anni dalla chiusura della segnalazione. Il conferimento dei dati è facoltativo resta inteso che un eventuale rifiuto a rispondere al momento della raccolta delle informazioni, o l’eventuale diniego di trattamento dei dati può comportare la nostra oggettiva impossibilità di prendere in considerazione la segnalazione.
SOGGETTI DESTINATARI O CATEGORIE DI DESTINATARI DEI DATI
Per il perseguimento delle finalità suddette, i dati personali forniti potranno essere resi accessibili solo a coloro i quali, all’interno della Società, ne abbiano necessità per il ruolo/mansione svolta in relazione al processo di ricezione, analisi, istruttoria e gestione delle segnalazioni e di eventuali azioni conseguenti. Tali soggetti sono opportunamente istruiti al fine di evitare la perdita, l’accesso ai dati da parte di soggetti non autorizzati o trattamenti non consentiti dei dati stessi e, più in generale, in relazione agli obblighi in materia di protezione dei dati personali. I dati possono essere trattati, inoltre, da Consulenti esterni e Terze Parti con funzioni tecniche (ad esempio, il provider della piattaforma IT), che agiscono in qualità di Responsabili/SubResponsabili del trattamento e hanno sottoscritto un apposito contratto che disciplina puntualmente i trattamenti loro affidati e gli obblighi in materia di protezione dei dati e sicurezza del trattamento ai sensi dell’art. 28, comma 3 del Regolamento. Infine, i dati personali potranno essere trasmessi anche ad altri soggetti autonomi titolari del trattamento, in base a norme di legge o di regolamento (es. Autorità Pubbliche, Autorità Giudiziaria, Corte dei conti e ANAC).
TRASFERIMENTO DATI VERSO UN PAESE TERZO
I suoi dati personali non verranno trasferiti fuori dall’UE.
DIRITTI DEGLI INTERESSATI
ll Regolamento UE 2016/679 (artt. da 15 a 22) conferisce agli interessati l’esercizio di specifici diritti. In particolare, in relazione al trattamento dei propri dati personali oggetto della presente informativa, l’interessato ha diritto di chiedere alla Società l’accesso, la rettifica, la cancellazione, la limitazione, l’opposizione e la portabilità; inoltre può proporre reclamo, nei confronti dell’Autorità di Controllo, che in Italia è il Garante per la Protezione dei Dati Personali (art. 77 del Regolamento UE 2016/679). Ai sensi dell’articolo 2-undecies del D.lgs. n. 196/2003 e s.m.i., si informa c he i summenzionati diritti non possono essere esercitati da parte di alcuni interessati coinvolti nella segnalazione, qualora all’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante.
In particolare, l’esercizio di tali diritti:
✓ sarà effettuabile conformemente alle disposizioni di legge o di regolamento che regolano il settore (tra cui il D.lgs. 231/2001 come modificato dalla L. n. 179/2017);
✓ potrà essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare la riservatezza dell’identità del segnalante;
✓ in tali casi, i diritti dell’interessato possono essere esercitati anche tramite il Garante con le modalità di cui all’articolo 160 del Codice Privacy, nel qual caso il Garante informa l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale.
In qualsiasi momento, l’interessato potrà chiedere di esercitare i suoi diritti a OXI GROUP S.R.L. rivolgendosi all’indirizzo mail amministrazione@pec.oxi.it.
MODIFICHE INFORMATIVA
Il titolare si riserva il diritto, a sua discrezione, di cambiare, modificare, aggiungere o rimuovere qualsiasi parte della presente informativa sulla privacy, in qualsiasi momento. Al fine di facilitare la verifica di eventuali cambiamenti, l’informativa conterrà l’indicazione della data di aggiornamento dell’informativa.
Data di aggiornamento 19.02.2024
Il Titolare del Trattamento
OXI GROUP S.R.L