Icona / logo background Created with Sketch.

1. Riferimenti Normativi

La Legge 179/2017 all’art. 2 intitolato “Tutela del dipendente o collaboratore che segnala illeciti nel settore privato” ha introdotto il comma 2-bis all’articolo 6 del decreto legislativo 8 giugno 2001, n.  231, che ha regolato una misura finalizzata a favorire l’emersione di fattispecie di illecito.

Di seguito nella Gazzetta Ufficiale del 15 marzo 2023 è stato pubblicato il decreto legislativo 10 marzo 2023, n. 24, di recepimento della direttiva UE 2019/1937 riguardante “la protezione delle persone che segnalano violazioni del diritto dell’Unione” (cd. disciplina whistleblowing).

Nel sistema 231 si fa riferimento al dipendente di un ente che segnala all’Organismo di Vigilanza (di seguito ODV) violazioni o irregolarità commesse ai danni dell’integrità dell’ente; la segnalazione, in tale ottica, è un atto di manifestazione di senso civico, attraverso cui il segnalante contribuisce all’emersione e alla prevenzione di rischi e situazioni pregiudizievoli per l’ente di appartenenza. Lo scopo principale della segnalazione è quello di prevenire o risolvere un problema di rilevanza penale internamente e tempestivamente all’ente.

L’obiettivo della direttiva europea, invece, è stabilire norme minime comuni per garantire un elevato livello di protezione delle persone che segnalano violazioni del diritto dell’Unione, invitando i Datori di Lavoro a creare canali di comunicazione sicuri sia all’interno di un’organizzazione, sia all’esterno. In casi specifici, è prevista la possibilità di effettuare la segnalazione mediante la divulgazione pubblica attraverso i media.

2. Scopo della procedura

Scopo del presente documento è quello di rimuovere i fattori che possono ostacolare o disincentivare il ricorso alla segnalazione, quali i timori di ritorsioni o discriminazioni.

    In tale prospettiva, l’obiettivo, perseguito dalla decisione di creare una procedura unica che integra i sistemi 231 e whistleblowing, è quello di fornire chiare, sia al segnalante sia al ricevente, indicazioni operative circa oggetto, contenuti, destinatari e modalità di trasmissione delle segnalazioni, nonché circa le forme di tutela che vengono offerte al segnalante, ma anche sanzioni in caso segnalazioni strumentali o prive di fondamento.

    3. Oggetto della segnalazione

    L’ODV considera rilevanti le segnalazioni che riguardano comportamenti, rischi, reati o irregolarità, consumati o tentati, ai danni dell’integrità dell’ente o dei lavoratori

    In particolare la segnalazione può riguardare azioni od omissioni, commesse o tentate:

    • rilevanti ai sensi del D.lgs. 231/01, poste in essere in violazione di codici di comportamento, del codice etico, del modello organizzativo di gestione e controllo; 
    • poste in essere in violazione della normativa europea in materia di sicurezza dei trasporti, tutela dell’ambiente, radioprotezione e sicurezza nucleare, sicurezza degli alimenti e dei mangimi e salute e benessere degli animali, salute pubblica, protezione dei consumatori, tutela della vita privata e protezione dei dati personali, sicurezza delle reti e dei sistemi informativi; violazioni della normativa in materia di concorrenza e aiuti di Stato.

    Restano invece escluse le contestazioni legate a un interesse di carattere personale del segnalante, che attengono ai rapporti individuali di lavoro, nonché quelle in materia di sicurezza e difesa nazionale.

    Più specificatamente la segnalazione non può riguardare doglianze di carattere personale del segnalante o rivendicazioni/istanze che rientrano nella disciplina del rapporto di lavoro o rapporti col superiore gerarchico o colleghi, per cui occorre fare riferimento alla disciplina e alle procedure di competenza.

    4. Contenuto delle segnalazioni

    Il segnalante deve fornire tutti gli elementi utili a consentire all’ODV di procedere alle dovute ed appropriate verifiche ed accertamenti a riscontro della fondatezza dei fatti oggetto di segnalazione.

    A tal fine, la segnalazione deve comprendere:

    • generalità del soggetto che effettua la segnalazione, con indicazione della posizione o funzione svolta (facoltativo);
    • una chiara e completa descrizione dei fatti oggetto di segnalazione;
    • se conosciute, le circostanze di tempo e di luogo in cui sono stati commessi i fatti segnalati;
    • se conosciute, le generalità o altri elementi (come la qualifica e il servizio in cui svolge l’attività) che consentano di identificare il/i soggetto/i che ha/hanno posto/i in essere i fatti segnalati;
    • l’indicazione di eventuali altri soggetti che possono riferire sui fatti oggetto di segnalazione (testimoni);
    • l’indicazione di eventuali documenti che possono confermare la fondatezza di tali fatti;
    • ogni altra informazione che possa fornire un utile riscontro circa la sussistenza dei fatti segnalati.

    Le segnalazioni anonime, vale a dire prive di elementi che consentano di identificare il loro autore saranno prese in considerazione, purché si presentino adeguatamente:

    • circostanziate rese con dovizia di particolari, siano tali cioè da far emergere fatti e situazioni relazionandoli a contesti determinati (esempio indicazioni di nominativi o qualifiche particolari, menzione di uffici specifici, procedimenti o eventi particolari, ecc.).

    5. Modalità di presentazione della segnalazione

    Le segnalazioni possono essere effettuate mediante l’utilizzo di tre strumenti (art. 2): i) canali di segnalazione interni all’ente; ii) canale esterno gestito dall’ANAC; iii) divulgazione pubblica tramite la stampa o mezzi elettronici o mezzi di diffusione in grado di raggiungere un numero elevato di persone. Queste informazioni sono esposte in struttura, nonché, inserite nel sito internet dell’ente.

    I canali interni identificati dalla Società PROJECT GROUP SRL sono:

    • segnalazione indirizzata all’ODV;

    La segnalazione può essere presentata con le seguenti modalità:

    • mediante colloquio riservato con l’ODV;
    • mediante apposito link pubblicato sul sito web, Projectgroup.it. Al fine di garantire la riservatezza e l’anonimato ai segnalanti che non desiderano essere riconosciuti, gli stessi non dovranno accedere al link dai dispositivi aziendali o comunque da dispositivi connessi alla rete aziendale in quanto attraverso il firewall risulta possibile risalire all’identità del segnalante;
    • Raccomandata senza ricevuta di ritorno indirizzata a Project Group.

    In ogni caso in cui la segnalazione sia resa in forma non anonima, l’identità del segnalante sarà conosciuta solo dall’ODV, essendo unico autorizzato ad accedere alle segnalazioni ricevute tramite i diversi canali a disposizione e che ne garantirà la riservatezza, fatti salvi i casi in cui non è opponibile per legge (indagini penali, tributarie o amministrative, ispezioni di organi di controllo).

    Relativamente ai canali di comunicazione informatici si precisa che sono state attivate idonee misure di sicurezza atte a garantire la riservatezza delle comunicazioni: in particolare è stato attivato un certificato di sicurezza “HTTPS” per il sito web dell’Ente ospitante il link al form di raccolta dati e l’account mail dell’ODV è stato configurato attivando le porte SSL dei server in/out.

    6. Attività di gestione della segnalazione

    La gestione e la verifica della fondatezza delle circostanze rappresentate nella segnalazione sono affidate all’ODV che vi provvede nel rispetto dei principi di imparzialità e riservatezza effettuando ogni attività ritenuta opportuna, inclusa l’audizione personale del segnalante e di eventuali altri soggetti che possono riferire sui fatti segnalati. A tal fine, l’ODV può avvalersi di consulenti esterni.

    Qualora, all’esito della verifica, la segnalazione risulti fondata, l’ODV, in relazione alla natura della violazione, potrà: comunicare l’esito dell’accertamento agli organi amministrativi affinché adottino gli eventuali ulteriori provvedimenti e/o azioni che nel caso concreto si rendano necessari a tutela dell’ente.

    L’ODV diversamente potrà archiviare l’indagine.

    Le norme disciplinano anche le attività che l’ODV deve assicurare, ossia tra le altre:

    1. rilasciare al segnalante avviso di ricevimento della segnalazione entro 7 giorni dalla data di ricezione;
    2. dare diligente seguito alle segnalazioni ricevute;
    3. fornire riscontro alla segnalazione entro 3 mesi dalla data dell’avviso di ricevimento o, in mancanza di tale avviso, entro 3 mesi dalla scadenza del termine di 7 giorni dalla presentazione della segnalazione.

    Inoltre, i) le segnalazioni non possono essere utilizzate oltre quanto necessario per dare adeguato seguito alle stesse; ii) l’identità del segnalante e qualsiasi altra informazione da cui può evincersi tale identità non possono essere rivelate, senza il consenso espresso dello stesso segnalante; iii) le segnalazioni e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e, comunque, non oltre 5 anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.

    La persona segnalante può effettuare una divulgazione pubblica, qualora ricorra una delle seguenti condizioni:

    • non è prevista, nell’ambito del suo contesto lavorativo, l’attivazione obbligatoria del canale di segnalazione interna ovvero questo, anche se obbligatorio, non è attivo o, anche se attivato, non è conforme;
    • ha già effettuato una segnalazione interna ed esterna, ovvero ha effettuato direttamente una segnalazione esterna e non è stato dato riscontro nei termini previsti in merito alle misure previste o adottate per dare seguito alle segnalazioni;
    • ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse;
    • ha fondato motivo di ritenere che la segnalazione possa comportare il rischio di ritorsioni o possa non avere efficace seguito in ragione delle specifiche circostanze del caso concreto, come quelle in cui possano essere occultate o distrutte prove oppure in cui vi sia fondato timore che chi ha ricevuto la segnalazione possa essere colluso con l’autore della violazione o coinvolto nella violazione stessa.

    7. Forme di tutela del segnalante

    Per tutelare il segnalante e, al contempo, incentivare le segnalazioni, la normativa stabilisce che il primo non possa subire alcuna ritorsione, prevedendo specifiche misure di protezione e limitazioni della responsabilità.

    Ad eccezione dei casi in cui sia configurabile una responsabilità a titolo di calunnia e di diffamazione ai sensi delle disposizioni del codice penale o dell’art. 2043 del codice civile e delle ipotesi in cui l’anonimato non è opponibile per legge, (es. indagini penali, tributarie o amministrative, ispezioni di organi di controllo) l’identità del segnalante viene protetta in ogni contesto successivo alla segnalazione.

    Pertanto, fatte salve le eccezioni di cui sopra, l’identità del segnalante non può essere rivelata senza il suo espresso consenso e tutti coloro che ricevono o sono coinvolti nella gestione della segnalazione sono tenuti a tutelare la riservatezza di tale informazione, soprattutto nei casi in cui la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa.

    La violazione dell’obbligo di riservatezza è fonte di responsabilità disciplinare, fatte salve ulteriori forme di responsabilità previste dall’ordinamento.

    Nel caso segua un procedimento disciplinare, l’identità del segnalante può essere rivelata al referente del contenzioso disciplinare e all’incolpato solo nei casi in cui:

    • vi sia il consenso espresso del segnalante;
    • la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità del segnalante sia indispensabile per la difesa dell’incolpato, sempre che tale circostanza venga da quest’ultimo dedotta e comprovata in sede di audizione o mediante la presentazione di memorie difensive.

    Nei confronti del dipendente che effettua una segnalazione ai sensi della presente procedura non è consentita, né tollerata alcuna forma di ritorsione o misura discriminatoria, diretta o indiretta, avente effetti sulle condizioni di lavoro per motivi collegati direttamente o indirettamente alla denuncia. Per misure discriminatorie si intendono le azioni disciplinari ingiustificate, le molestie sul luogo di lavoro ed ogni altra forma di ritorsione che determini condizioni di lavoro intollerabili.

    Dunque, il segnalante non può essere sanzionato, demansionato, licenziato, trasferito, o sottoposto ad altra misura organizzativa avente effetti negativi, diretti o indiretti, sulle condizioni di lavoro determinata dalla segnalazione. 

    Il dipendente che ritiene di aver subito una discriminazione per il fatto di aver effettuato la segnalazione di illecito:

    • deve dare notizia circostanziata dell’avvenuta discriminazione all’ODV per le seguenti motivazioni (canale obbligatorio non attivato, non conforme);

    non è prevista, nell’ambito del suo contesto lavorativo, l’attivazione obbligatoria del canale di segnalazione interna ovvero questo, anche se obbligatorio, non è attivo o, anche se attivato, non è conforme; che, valutata la sussistenza degli elementi, segnala all’Ente l’ipotesi di discriminazione; in tal caso l’ente si deve attivare per valutare tempestivamente l’opportunità/necessità di adottare atti o provvedimenti per ripristinare la situazione e/o per rimediare agli effetti negativi della discriminazione in via amministrativa e la sussistenza degli estremi per avviare il procedimento disciplinare nei confronti del dipendente autore della discriminazione;

    • può interessare le organizzazioni sindacali maggiormente rappresentative per la denuncia all’Ispettorato Nazionale del lavoro per i provvedimenti di propria competenza.

    Il licenziamento ritorsivo o discriminatorio del soggetto segnalante è nullo. Sono, altresì, nulli il mutamento di mansioni ai sensi dell’articolo 2103 c.c., nonché qualsiasi altra misura ritorsiva o discriminatoria adottata nei confronti del segnalante. È onere del datore di lavoro, in caso di controversie legate all’erogazione di sanzioni disciplinari o a demansionamenti, licenziamenti, trasferimenti o sottoposizione del segnalante ad altra misura organizzativa avente effetti negativi, diretti o indiretti, sulle condizioni di lavoro, successivi alla presentazione della segnalazione, dimostrare che tali misure sono fondate su ragioni estranee alla segnalazione stessa.

    8. Responsabilità del segnalante

    Il Decreto prevede poi limitazioni alla responsabilità del soggetto segnalante, che non è punibile qualora riveli o diffonda informazioni su violazioni coperte dall’obbligo di segreto (diverso da quello su informazioni classificate, segreto medico e forense e deliberazioni degli organi giurisdizionali), relative alla tutela del diritto d’autore o alla protezione dei dati personali o che offendono la reputazione della persona coinvolta o denunciata, quando, al momento della rivelazione o diffusione, vi fossero fondati motivi per ritenere che la rivelazione o diffusione delle stesse informazioni fosse necessaria per svelare la violazione. La presente procedura lascia impregiudicata la responsabilità penale e disciplinare del segnalante nell’ipotesi di segnalazione calunniosa o diffamatoria ai sensi del codice penale e dell’art. 2043 del codice civile. Sono altresì fonte di responsabilità, in sede disciplinare e nelle altre competenti sedi, eventuali forme di abuso della presente policy, quali le segnalazioni manifestamente opportunistiche e/o effettuate al solo scopo di danneggiare il denunciato o altri soggetti, e ogni altra ipotesi di utilizzo improprio o di intenzionale strumentalizzazione dell’istituto oggetto della presente procedura.

    9. Obbligo di segreto d’ufficio, aziendale, professionale, scientifico, industriale

    In caso di segnalazioni di cui alla presente procedura il  perseguimento dell’interesse  all’integrità  dell’interesse privato,  nonché  alla  prevenzione   e   alla   repressione   delle malversazioni, costituisce giusta causa  di  rivelazione  di  notizie coperte dall’obbligo di segreto di cui agli articoli 326, 622  e  623 del codice penale e all’articolo 2105 del codice civile, salvo il caso in cui nel caso in cui l’obbligo  di  segreto  professionale  gravi  su  chi  sia  venuto  a conoscenza della notizia in ragione  di  un  rapporto  di  consulenza professionale o di assistenza con la società interessata.

    Quando notizie e documenti che sono comunicati all’ODV sono oggetto   di   segreto   aziendale, professionale o d’ufficio,  costituisce  violazione  del   relativo obbligo di segreto la rivelazione con  modalità  eccedenti  rispetto alle finalità dell’eliminazione dell’illecito e, in particolare,  la rivelazione al di fuori del canale  di  comunicazione  specificamente predisposto a tal fine.

    10. Sanzioni

    Il Decreto affida all’ANAC il potere di sanzionare le violazioni della nuova disciplina (art. 21).

    In particolare, l’Autorità applica le seguenti sanzioni amministrative pecuniarie:

    • da 10.000 a 50.000 euro quando accerta che sono state commesse ritorsioni o quando accerta che la segnalazione è stata ostacolata o che si è tentato di ostacolarla o che è stato violato l’obbligo di riservatezza;
    • da 10.000 a 50.000 euro quando accerta che non sono stati istituiti canali di segnalazione, che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni ovvero che l’adozione di tali procedure non è conforme a quelle previste per i canali interni, nonché quando accerta che non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute.

    11. Informativa sul trattamento dei dati personali

    Ai sensi dell’art.13 del Reg. UE 679/296 sulla protezione dei dati personali, il Titolare del Trattamento PROJECT GROUP SRL informa l’interessato segnalante che i dati forniti in occasione della segnalazione di illeciti e irregolarità saranno trattati nel pieno rispetto della normativa sulla privacy vigente (Reg. UE 2016/679 cd “GDPR” e D.lgs. 196/2003 s.m.i.).

    In tale ambito i dati personali forniti verranno unicamente trattati per la finalità di gestione delle segnalazioni ricevute, loro valutazione e avvio di istruttoria da parte dell’ODV incaricato dal Titolare, in adempimento a quanto previsto dal Modello 231 adottato e dalla presente privacy policy.

    I dati conferiti saranno trattati e archiviati dall’incaricato del trattamento (ODV), per il corretto adempimento delle finalità sopraindicate mediante strumenti elettronici e supporti cartacei, nonché con l’impiego di misure di sicurezza atte a garantirne la riservatezza e ad evitare indebiti accessi a soggetti non autorizzati.

    Tali dati non saranno soggetti a diffusione e verranno trattati nei limiti e nei tempi necessari per l’espletamento delle finalità sopra indicate, comunque non saranno conservati per più di 5 anni.

    I dati potranno essere comunicati alle seguenti categorie di soggetti:

    • consulenti esterni individuati e incaricati dall’ODV per supportarlo tecnicamente nel corso delle indagini relative al fatto segnalato;
    • referente del contenzioso disciplinare e incolpato nei casi specificati al punto 7 FORME DI TUTELA DEL SEGNALANTE a cui si rimanda.

    Il segnalante potrà esercitare in ogni momento i diritti di cui dall’art.15 all’art. 21 del GDPR 679/2016 rivolgendosi direttamente al titolare del trattamento contattandolo via raccomandata all’indirizzo della sede operativa di Project Group. Ai sensi del GDPR, il segnalante che ritenga che il trattamento dei dati personali che lo riguarda violi il regolamento stesso, ha anche il diritto di proporre reclamo ad un’autorità di controllo.

    Informativa Privacy

    relativa al trattamento dei dati personali dei soggetti che inoltrano segnalazioni tramite My Whistleblowing

    Privacy Policy

    Ai sensi dell’art. 13 del D.lgs. n° 196/2003 del Codice in materia di protezione dei dati personali (di seguito, anche, il “Codice Privacy”) e ai sensi dell’art. 13 del Regolamento Europeo n. 679/2016 (di seguito, anche, il “GDPR”) Le forniamo la presente informativa.

    Il titolare del trattamento

    Il titolare del trattamento dei dati è PROJECT GROUP S.R.L. SB con sede in BRESCIA, VIA GUGLIELMO GHISLANDI 35/37 e-mail INFO@PROJECTGROUP.IT.

    Luogo di trattamento dei dati

    I trattamenti connessi hanno luogo in Italia e non sussiste alcuna attività di trasferimento o diffusione all’estero o in Paesi extra UE. Nessun dato viene comunicato o diffuso, salvo con finalità di rilevazione statistica e in ogni caso in modo anonimo e/o aggregato.

    Finalità del trattamento dei dati

    I dati personali da Lei forniti sono utilizzati al solo fine di gestire la segnalazione Whistleblowing da Lei effettuata.

    Dati trattati

    I dati personali trattati sono esclusivamente:

    • Nome
    • Cognome
    • Indirizzo e-mail.

    Base giuridica del trattamento

    La base giuridica in base alla quale vengono trattati i dati personali è data dall’obbligo giuridico derivante dalle previsioni di cui all’art. 6 del D.lgs. n. 231 del 2001, come modificato dalla Legge n. 179 del 2017, recante “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”.

    Tempi di conservazione

    I dati personali da Lei forniti saranno cancellati entro 5 anni dalla loro raccolta.

    Con chi condividiamo i dati raccolti

    Ai Suoi dati personali possono avere accesso i dipendenti incaricati dell’istruttoria delle segnalazioni Whistleblowing ed i membri dell’Organismo di Vigilanza ex D.lgs. 231/2001. Inoltre, considerato che le segnalazioni Whistleblowing vengono inoltrate tramite il software My Whistleblowing, ai Suoi dati personali può avere accesso anche il fornitore del predetto applicativo, nominato all’uopo responsabile del trattamento ai sensi dell’art. 28 del GDPR. Resta inteso che, in linea con il principio di tutela della riservatezza del segnalante di cui alla L. 179/2017, la condivisione dei Suoi dati personali sarà limitata allo stretto necessario al fine di garantire la Sua riservatezza.

    Modalità del trattamento

    I dati personali sono trattati sia con strumenti automatizzati che con strumenti manuali e per le finalità sopra indicate. Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.

    Diritti degli interessati

    A certe condizioni Lei ha il diritto di esercitare i diritti previsti dall’art. 7, 8, 9 e 10 del Codice Privacy e dagli artt. 15, 16, 17, 18, 19, 20, 21 e 22 del GDPR e, in particolare, di chiederci:

    • l’accesso ai Suoi dati personali,
    • la copia dei dati personali che Lei ci ha fornito (c.d. portabilità),
    • la rettifica dei dati in nostro possesso,
    • la cancellazione di qualsiasi dato per il quale non abbiamo più alcun presupposto giuridico per il trattamento,
    • l’opposizione al trattamento ove previsto dalla normativa applicabile
    • la revoca del Suo consenso, nel caso in cui il trattamento sia fondato sul consenso;
    • la limitazione del modo in cui trattiamo i Suoi dati personali, nei limiti previsti dalla normativa a tutela dei dati personali.

    L’esercizio di tali diritti soggiace ad alcune eccezioni finalizzate alla salvaguardia dell’interesse pubblico (ad esempio la prevenzione o l’identificazione di crimini) e di nostri interessi (ad esempio il mantenimento del segreto professionale). Nel caso in cui Lei esercitasse uno qualsiasi dei summenzionati diritti, sarà nostro onere verificare che Lei sia legittimato ad esercitarlo e Le daremo riscontro, di regola, entro un mese.

    Chiunque dovesse avere dubbi riguardanti il rispetto della politica per la tutela della privacy adottata da PROJECT GROUP S.R.L. SB, la sua applicazione, l’accuratezza dei propri dati personali o l’utilizzo delle informazioni raccolte può contattarci tramite e-mail all’indirizzo: INFO@PROJECTGROUP.IT. Tuttavia, se lo desidera, Lei potrà inoltrare i propri reclami o le proprie segnalazioni, ai sensi dell’art. 77 del GDPR, all’autorità responsabile della protezione dei dati, utilizzando gli estremi di contatto pertinenti:

    Garante per la protezione dei dati personali – Piazza di Monte Citorio n. 121 – 00186 ROMA – Fax: (+39) 06.69677.3785 – Telefono: (+39) 06.696771 – E-mail: garante@gpdp.it – Posta certificata: protocollo@pec.gpdp.it

    Link per le segnalazioni

    Scarica la certificazione ISO 9001:2015 per la gestione della qualità

    Scarica la certificazione ISO 21001:2018 per la gestione dell’apprendimento e formazione