Invia una segnalazione con la massima riservatezza
Info utili
Cosa segnalare Approfondisci

WHISTLEBLOWING POLICY

 

 PROCEDURA PER LA

SEGNALAZIONE DI PRESUNTI ILLECITI E IRREGOLARITÀ

(c.d. whistleblowing)

 

Gli interventi legislativi in materia di segnalazione di irregolarità o violazioni della normativa, al fine di consentire la diffusione di comportamenti etici in ambito lavorativo, rafforzare il rispetto delle norme ed il governo societario, hanno espresso l’esigenza di adottare un sistema di segnalazione delle violazioni (c.d. “whistleblowing”) e di disciplinarne i relativi aspetti di natura organizzativa e procedurale.

 

Il 29 dicembre 2017 è entrata in vigore la Legge 30 novembre 2017, n. 179, recante «Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato» («Legge sul Whistleblowing»). La ratio sottesa all’adozione della normativa in esame è stata quella di individuare strumenti di tutela nei confronti dei lavoratori che denuncino reati o irregolarità di cui siano venuti a conoscenza nell’ambito delle proprie attività lavorative. Conformemente a tale normativa BasicNet ha istituito canali informativi di whistleblowing per garantire la comunicazione di irregolarità o violazioni del Codice Etico e del Modello di Organizzazione, Gestione e Controllo di BasicNet S.p.A. ai sensi del D.Lgs. 231/2001.

 

Con il Decreto Legislativo n. 24/2023 è stata data attuazione nell’ordinamento italiano alla Direttiva (UE) 2019/1937 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato (cd. Direttiva Whistleblowing).

Tale decreto ha abrogato e modificato la disciplina nazionale previgente (sono stati abrogati l’art. 6, commi 2 ter e 2 quater, D. Lgs. 231/2001 e l’art. 3 della legge n. 179/2017 ed è stato modificato l’art.6, comma 2 bis del d.lgs. 231/01), racchiudendo in un unico testo normativo – per il settore pubblico e per il settore privato – il regime di protezione dei soggetti che segnalano condotte illecite, di cui siano venuti a conoscenza nel contesto lavorativo, che violino non solo disposizioni europee, ma anche nazionali e il Modello di Organizzazione, Gestione e Controllo adottato ai sensi del D.lgs. 231/2001, purché basate su fondati motivi e lesive dell’interesse pubblico o dell’integrità dell’ente. Il D. Lgs. 24/2023 è entrato in vigore il 15 luglio 2023, salvo il termine più ampio del 17 dicembre 2023 per i soggetti del settore privato che abbiano impiegato fino a 249 lavoratori nell’ultimo anno.

La procedura che segue è finalizzata a dare attuazione al Decreto Legislativo 10 marzo 2023 n. 24 per BasicNet e le società del Gruppo (di seguito Gruppo BasicNet).

 

1 – Scopo

 

Il presente documento (di seguito “Procedura”), si propone di disciplinare il processo di ricezione, analisi e trattamento delle Segnalazioni, da chiunque inviate o trasmesse all’Organismo di vigilanza o, in mancanza, all’organo deputato alla gestione delle medesime.

Tali Segnalazioni riguardano, in particolare, i seguenti ambiti inerenti al sistema di controllo:

a) presunte violazioni, richieste o induzioni alla violazione di norme di legge nazionali o dell’Unione Europea, di prescrizioni del Codice Etico, di procedure interne, con riferimento alle attività e prestazioni di interesse del Gruppo (es: inosservanza di clausole contrattuali, diffamazione, minacce, violazione della privacy, frodi, improprio utilizzo di dotazioni aziendali);

b) presunte violazioni del Modello Organizzativo 231, ove adottato, anche a seguito di comportamenti a rischio reato e/o illecito previsti dal Modello Organizzativo 231.

 

La presente procedura è tesa a: a) garantire la riservatezza dei dati personali del segnalante e del presunto responsabile della violazione, ferme restando le regole che disciplinano le indagini o i procedimenti avviati dall'autorità giudiziaria in relazione ai fatti oggetto della segnalazione; b) tutelare adeguatamente il soggetto segnalante contro condotte ritorsive poste in essere in ragione della segnalazione; c) assicurare per la segnalazione un canale specifico, indipendente e autonomo.

 

 

2 - Definizioni

 

Codice Etico di Gruppo

Il Codice Etico di Gruppo contiene i principi di comportamento cui il Gruppo ritiene indispensabile attenersi nello svolgimento delle attività richieste per il perseguimento dei fini istituzionali ad essa propri.

Esso si compone di un complesso di valori e regole il cui rispetto e la cui osservanza costituiscono essenziali ed imprescindibili elementi di orientamento dell’attività aziendale. Ha la funzione di improntare a trasparenza, correttezza, lealtà, integrità e credibilità i rapporti che il Gruppo BasicNet   intrattiene, sia in via permanente, sia in via occasionale, con gli stakeholder e con qualunque altro soggetto terzo, pubblico o privato, al fine di favorire l’etica nei processi aziendali.

 

Modello di Organizzazione, Gestione e Controllo

Previsto dal Decreto Legislativo 8 giugno 2001, n.231, recante «Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’art. 11 della legge 29 settembre 2000, n. 300», ha introdotto un regime di responsabilità amministrativa a carico delle società per alcune tipologie di reati.

 

Segnalazione

Per "segnalazione" s'intende, ai fini del presente documento, qualsiasi notizia acquisita nel contesto lavorativo e riguardante possibili violazioni, comportamenti, pratiche non conformi a quanto stabilito nel Modello, nelle procedure aziendali che ne garantiscono l’attuazione e nel Codice Etico del Gruppo BasicNet, violazioni di disposizioni normative nazionali o dell’Unione Europea, che ledono l’interesso pubblico o l’integrità dell’ente.

Le segnalazioni devono essere circonstanziate e basate su fondati motivi tali da far ritenere che le informazioni sulle violazioni siano vere.

 

Segnalazione in "mala fede"

Per "segnalazione in mala fede" s'intende la segnalazione priva di un fondamento tale da far ritenere che le informazioni sulla violazione siano vere, fatta allo scopo di danneggiare, o altrimenti recare pregiudizio, a risorse umane, a membri di organi sociali (Consiglio di Amministrazione, organo di controllo), alla società di revisione ed a terzi (es. clienti, fornitori, consulenti, collaboratori) in relazione d'affari con la Società.

 

3 - Segnalazioni

 

La presente procedura deve essere utilizzata da:

  • risorse umane
  • collaboratori e i consulenti, con qualsiasi tipologia di contratto o incarico e a qualsiasi titolo
  • collaboratori a qualsiasi titolo di imprese fornitrici di beni o servizi o che realizzano opere in favore dell’amministrazione
  • i soci e i componenti degli organi sociali

che intendono segnalare comportamenti o eventi che possono determinare una violazione del Codice Etico o al Modello organizzativo e in generale violazioni di disposizioni normative nazionali o dell’Unione Europea, che ledono l’interesso pubblico o l’integrità dell’ente.

Le segnalazioni devono essere rese in buona fede e non in forma anonima.

Il soggetto competente alla ricezione e alla gestione delle segnalazioni (il soggetto ricevente) è la funzione Internal Audit della capogruppo e, ove presente, l’OdV di ciascuna società. I soggetti di cui sopra sono specificatamente formati per la gestione delle segnalazioni.

Il soggetto ricevente, dopo un’analisi delle segnalazioni, se del caso, può inoltrare le stesse alla Responsabile della Dot.com cui si referisce la segnalazione, se non è il soggetto coinvolto nella medesima, o, in alternativa al responsabile della gestione risorse umane del Gruppo.

Il soggetto ricevente è tenuto alla riservatezza dell’identità del segnalante, delle persone coinvolte e/o comunque menzionate nella segnalazione, del contenuto della segnalazione e della relativa documentazione.

La mancata comunicazione di una segnalazione ricevuta, nonché la violazione dell’obbligo di riservatezza costituiscono una violazione della Procedura e potranno comportare l’adozione di provvedimenti disciplinari.

Al fine di dare diligente seguito alle segnalazioni interne ricevute, BasicNet e le Società Controllate si sono dotate di un Portale informatico, accessibile dalla pagina dedicata al “Whistleblowing” presente sia sul sito internet di BasicNet.com sia sui rispettivi siti internet.

Il canale è accessibile:

- dalla piattaforma web Legality Whistleblowing, sulla quale è possibile inviare una segnalazione scritta o vocale (tramite registrazione di un messaggio audio al quale verrà applicata una distorsione della voce al link):

https://basicnet.segnalazioni.net/

Le segnalazioni possono essere altresì trasmesse:

- a mezzo posta ordinaria, indirizzata al soggetto ricevente per ciascuna società, presso la rispettiva sede legale.

 

Resta inoltre possibile anche effettuare una segnalazione orale richiedendo un incontro diretto con il soggetto ricevente.

Nel caso in cui una segnalazione risulti non adeguatamente circostanziata, il soggetto ricevente avrà facoltà di richiedere al segnalante, ulteriori elementi di dettaglio, ai fini di una analisi approfondita della fattispecie segnalata.

Come previsto dalla legge, il Gruppo BasicNet ha predisposto sistemi di tutela della riservatezza circa l’identità del segnalante. In particolare, l’identità del segnalante è protetta come segue:

        • l’identità del segnalante non può essere rivelata, senza il suo consenso espresso, a persone diverse dal soggetto ricevente la segnalazione;
  • nell'ambito del procedimento disciplinare, l'identità della persona segnalante non può essere rivelata, ove la contestazione dell'addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità della persona segnalante sia indispensabile per la difesa dell'incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità.

In tali casi è data preventiva comunicazione scritta, al Segnalante delle ragioni della necessità della rivelazione della sua identità. In caso di mancato consenso, la Segnalazione non potrà produrre effetto alcuno e verrà archiviata per il tempo normativamente previsto, al termine del quale i relativi dati verranno eliminati.

    • il Gruppo BasicNet applica inoltre “by design” il principio di minimizzazione dei dati e trattamenti: qualora la fondatezza della segnalazione venisse accertata autonomamente, a seguito dell’istruttoria, il soggetto ricevente disporrà in modo da evitare che i dati identificativi del segnalante possano essere acquisiti e che l’identità del segnalante non sia oggetto di ricerche e indagini;
  • il segnalante che dovesse ritenere di aver subito ritorsioni in ragione della segnalazione potrà comunicare tali fatti al soggetto competente alla rilevazione e gestione delle Segnalazioni.

La segnalazione ricevuta viene protocollata e custodita con modalità tecniche tali da garantire la massima sicurezza.

 

4 - Istruttoria

 

4.1 Verifica preliminare

Una volta ricevute le segnalazioni il soggetto ricevente rilascia alla persona segnalante avviso di ricevimento della segnalazione, effettua le opportune verifiche preliminari e decide se procedere ad ulteriori verifiche e se attivare o meno la successiva fase di accertamento.

A conclusione della fase di verifica preliminare, il soggetto ricevente in caso di decisione a non procedere, archivia la segnalazione, mantenendo traccia delle relative motivazioni.

 

4.2 Accertamento della segnalazione

Le attività di accertamento sono eseguite dalla funzione Internal Audit di Gruppo, con priorità rispetto alle attività ordinarie pianificate durante l’anno.

Al fine della buona riuscita dell’accertamento la funzione Internal Audit di Gruppo, può richiedere documenti e/o effettuare verifiche a propria discrezione.

 

4.3 Mala fede

Se dalla verifica preliminare o dall’accertamento emergono elementi oggettivi comprovanti la "malafede" da parte del soggetto che ha effettuato la segnalazione, la funzione Internal Audit di Gruppo, informa il Presidente della Società per gli opportuni provvedimenti.

 

4.4 Follow-up

Il soggetto ricevente, fornisce riscontro alla segnalazione entro tre mesi dalla data dell’avviso di ricevimento.

Il soggetto ricevente, garantisce il monitoraggio dello stato di avanzamento del piano d'azione per ogni rilievo di audit.

Il segnalante riceverà aggiornamenti periodici sull'andamento dell'indagine e sulle azioni intraprese. Una volta conclusa l'indagine, il segnalante riceverà una relazione finale, come previsto dal decreto legislativo n. 24/2023 o dalla normativa corrispondente.

 

5- Registrazione ed archiviazione

Ogni informazione, segnalazione, report, relazione trasmessi come flusso informativo sono conservati dal soggetto ricevente in un apposito archivio (informatico) protetto da accessi non autorizzati per il tempo necessario al trattamento della segnalazione e comunque non oltre 5 anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione. Trascorso tale termine, i dati verranno eliminati.

 

6 – Relazione annuale

Una volta all’anno l’OdV riferisce agli organi competenti (organi sociali e Comitato di Controllo e Rischi, ove nominato) circa il numero di segnalazioni ricevute, il numero di segnalazioni archiviate e sul numero e sull’esito di quelle che ha ritenuto di istruire e trasmettere.

Sulla base di tale relazione si possono stabilire interventi di verifica e correzione delle criticità emerse, nonché monitorare l’evoluzione delle segnalazioni inoltrate.

 

7 - Trattamento dei dati personali e conservazione della documentazione

Ogni trattamento dei dati personali, anche nel contesto del Portale, è effettuato nel rispetto degli obblighi di riservatezza di cui all’art. 12 del d.lgs. n. 24/2023 ed in conformità alla normativa sulla protezione dei dati personali di cui al Regolamento (UE) 2016/679 (Regolamento Generale sulla Protezione dei Dati – GDPR), al decreto legislativo 30 giugno 2003 n. 196 e al decreto legislativo 18 maggio 2018 n. 51.

La tutela dei dati personali è assicurata oltre che al Segnalante, al Facilitatore nonché alla Persona coinvolta o menzionata nella segnalazione.

Ai possibili interessati viene resa un’informativa sul trattamento dei dati personali nella sezione del sito BasicNet nel quale sia pubblicato il link alla piattaforma.

In ottemperanza all’art. 13, comma 6, del d.lgs. n. 24/2023, è stato effettuato un Privacy Impact Assessment (PIA), redatto ai sensi dell’art. 35 del Regolamento (UE) 2016/679 (Regolamento Generale sulla Protezione dei Dati - GDPR), al fine di definire le misure tecniche ed organizzative necessarie a ridurre il rischio per i diritti degli interessati, comprese le misure di sicurezza necessarie a prevenire trattamenti non autorizzati o illeciti.

Al fine di garantire la gestione e la tracciabilità delle Segnalazioni e delle attività conseguenti, la Funzione Internal Audit cura la predisposizione e l’aggiornamento di tutte le informazioni riguardanti le Segnalazioni ed assicura, avvalendosi del Portale, la conservazione di tutta la correlata documentazione di supporto per il tempo strettamente necessario alla loro definizione, e comunque per non più di 5 anni, decorrenti dalla data di comunicazione dell’esito finale della Segnalazione  al soggetto ricevente oltre il quale termine i dati verranno cancellati.

I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati tempestivamente.

Gli originali delle segnalazioni pervenute in forma cartacea sono conservati in apposito ambiente protetto.