1. RACCOLTA DELLA SEGNALAZIONE
Il Segnalante avvia le fasi di segnalazione nel rispetto del “Regolamento WhistleBlowing” adottato dal Titolare del Trattamento.
Il Segnalante, mediante link, accessibile all’URL https://www.iusprivacy.eu/whistleblowing/whistleblowing/902614539/700014802/IT/, posizionato nella parte bassa del sito web del Titolare del Trattamento, accede all’interfaccia della Piattaforma WhistleBlowing, appositamente predisposta e formula la Segnalazione.
Il Segnalante può, mediante l’interfaccia della Piattaforma:
formulare la Segnalazione, indicando i propri dati personali identificativi e recapiti o, in alternativa, può formulare una Segnalazione in forma anonima;
inserire nel dettaglio le condotte illecite dei quali è venuto a conoscenza nell’ambito delle proprie mansioni, rispondendo agli elementi richiesti dalla Piattaforma WhistleBlowing utili all’accertamento della segnalazione o, in alternativa, registrare e trasmettere un file audio in cui è descritta la violazione;
indicare eventuali soggetti e fornire ogni altro elemento che possa contribuire al riscontro certo di quanto segnalato, anche mediante la trasmissione di documentazione (allegati);
accedere, mediante specifica password fornita al momento dell’inserimento, alla segnalazione in precedenza inserita al fine di consultare lo stadio di avanzamento della violazione comunicata e/o leggere/scrivere comunicazioni dal/al GdS autorizzato.
I dati personali raccolti al momento dell'inserimento della Segnalazione sono di seguito descritti:
2. GESTIONE DEL RESPONSABILE DEL SISTEMA INTERNO DI SEGNALAZIONE
All’interno della Piattaforma WhistleBlowing il Gestore della Segnalazione può impostare:
l’esito della Segnalazione come uno delle seguenti ipotesi: Consegnata, Presa in Carico, Respinta, Fondata e Infondata;
lo stato della Segnalazione: Da Esaminare, In Corso di Esame, Richieste Informazioni, Esame Concluso.
Il GdS (Gestore della Segnalazione) accede, periodicamente o perché notificato dal sistema di alert email, alla Piattaforma WhistleBlowing con le proprie credenziali di accesso, effettuando una doppia autenticazione tramite OTP trasmesso alla propria casella email.
Segnalazione Consegnata - Quando il WhistleBlower inserisce una segnalazione questa viene annotata automaticamente come “Consegnata”; la Piattaforma provvede a fornire al WhistleBlower un messaggio con l’esito della corretta ricezione della Segnalazione (ricevuta di segnalazione), nella disponibilità ed esclusiva custodia del Segnalante, da utilizzare come password per la consultazione successiva della stessa.
Segnalazione Presa in Carico - Il GdS consulta la Segnalazione ricevuta impostandola, quando presenta elementi attendibili, come “Presa in Carico”; quando la Segnalazione è presa in carico la Piattaforma WhistleBlowing genera un “Avviso di Ricevimento” (codice alfanumerico) .
Il Segnalante può prendere cognizione dell’Avviso di Ricevimento accedendo, mediante la propria password di accesso (“Ricevuta di Segnalazione”), alla Segnalazione verificando lo stato di quest’ultima.
Il Segnalante potrà, accedendo al sistema, esaminare in qualsiasi momento lo stato della segnalazione trasmessa.
Qualora la Segnalazione venisse considerata attendibile e “Presa in Carico”, il GdS svolge tutte le attività di indagine che consistono nell’accertamento dei fatti segnalati tramite la valutazione degli elementi raccolti nella Segnalazione nonché l’acquisizione di ulteriori informazioni utili per un effettivo riscontro dei fatti al fine di stabilire se siano presenti i requisiti di fondatezza dell’illecito segnalato e assicurata la riservatezza dell’identità del Segnalante.
Il Gestore della Segnalazione provvede:
all’inoltro della pratica e dei relativi esiti dell'indagine alla direzione aziendale di competenza, affinché possa determinare ed adottare le misure di intervento adeguate;
ad informare il Segnalante che è in corso un’indagine impostando lo stato della lavorazione come “in Corso di Esame”; o in alternativa “Richieste Informazioni" qualora il GdS richieda ulteriori informazioni al Segnalante.
Il GdS può individuare e avvalere di strutture interne e/o esterne al Titolare del Trattamento, le quali si attivano prontamente nelle attività di supporto, nel rispetto dei principi di tutela e riservatezza.
Segnalazione Respinta - Se la segnalazione non presenta elementi tali da poter proseguire con la fasi successive, in quanto non rientra nel perimetro oggettivo di riferimento della normativa WhistleBlowing, il GdS imposta la Segnalazione come “Respinta” fornendo specifiche informazioni al Segnalante sulla non pertinenza della Segnalazione trasmessa.
Segnalazione Fondata - Se le attività di indagine dovessero accertare effettive condotte illecite la Direzione adotterà le azioni adeguate come previste dal Regolamento WhistleBlowing adottato dal Titolare del Trattamento. Il GdS provvede ad annotare all’interno della Piattaforma WhistleBlowing la motivazione ad impostare la Segnalazione come “Fondata” e lo stato di lavorazione come “Esame Concluso” qualora siano terminate tutte le attività.
Segnalazione Infondata - Se le attività di indagine non dovessero accertare le condotte illecite raccolte nella Segnalazione la Direzione adotterà le azioni adeguate come previsto dal Regolamento WhistleBlowing adottato dal Titolare del Trattamento. Il GdS provvede ad annotare all’interno della Piattaforma WhistleBlowing la motivazione, ad impostare la Segnalazione come “Infondata” e lo stato di lavorazione come “Esame Concluso” qualora siano terminate tutte le attività.
Il D. Lgs. 24 / 2023 dispone che il GdS debba fornire un riscontro al Segnalante, entro tre mesi dalla data di avviso di ricevimento o - in mancanza di tale avviso - entro tre mesi dalla data di scadenza del termine di sette giorni per tale avviso.
Al riguardo, è opportuno specificare che non è necessario concludere l’attività di accertamento entro i tre mesi, considerando che possono sussistere fattispecie che richiedono, ai fini delle verifiche, un tempo maggiore. Pertanto, si tratta di un riscontro che, alla scadenza del termine indicato, può essere definitivo se l’istruttoria è terminata oppure di natura interlocutoria sull’avanzamento dell’istruttoria, ancora non ultimata.
Pertanto, alla scadenza dei tre mesi, il gestore della segnalazione può comunicare al segnalante:
l’avvenuta archiviazione della segnalazione, motivandone le ragioni;
l’avvenuto accertamento della fondatezza della segnalazione e la sua trasmissione agli organi interni competenti;
l’attività svolta fino a questo momento e/o l’attività che intende svolgere.
In tale ultimo, caso è consigliabile comunicare alla persona segnalante anche il successivo esito finale dell’istruttoria della segnalazione (archiviazione o accertamento della fondatezza della segnalazione con trasmissione agli organi competenti), in linea con le LG ANAC.
c. CANCELLAZIONE DELLE SEGNALAZIONI
Il termine di conservazione è stabilito in 5 anni dal termine della procedura di valutazione della Segnalazione raccolta. Tale periodo è stato individuato prendendo a riferimento quanto espresso dall’Art.14 del D. Lgs n. 24 / 2023.
Rimane salva la facoltà del Titolare del Trattamento di utilizzare, sia per le Fondate, sia per quelle Infondate, le informazioni raccolte con la Segnalazione per azionare la difesa dei diritti in sede giudiziaria e/o dar luogo a eventuali procedimenti disciplinari.
La Piattaforma WhistleBlowing esporrà, per ogni Segnalazione, la data da cui sarà possibile procedere alla cancellazione della Segnalazione che avverrà sempre in modalità manuale a cura del GdS.
1. PREMESSA
L’istituto del Whistleblowing consiste nella possibilità data ai dipendenti, nonché ad altri soggetti coinvolti, di segnalare potenziali illeciti e condotte irregolari commessi ai danni dell’organizzazione, di seguito la “Società”.
Il presente Regolamento ha come scopo quello di disciplinare la procedura di gestione delle segnalazioni di illeciti e di rendere note le modalità con cui l’ente, di seguito la “Società”, garantisce le tutele del segnalante, c.d. whistleblower, prevista dalla normativa vigente in materia..
La società Nuova Pasquini & Bini S.p.A. è una impresa che opera in un contesto aperto alla concorrenza, nel settore produzione di vasi e contenitori in plastica
La Società ha nominato un Gestore della Segnalazione/Responsabile della Prevenzione della Corruzione e per la Trasparenza (il “R.P.C.T.”) il cui nominativo e riferimenti sono riportati alla voce Trasparenza sul sito istituzionale della Società.
Ai sensi del D.Lgs. 8 giugno 2001, n. 231, e ss.mm.ii., (“Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300”) (il “D.Lgs. 231/2001”) e delle ulteriori normative in materia, la Società ha adottato sia un Codice Etico e di Comportamento e successivi aggiornamenti (il “Codice Etico”) sia un Modello di Organizzazione, Gestione e Controllo e successivi aggiornamenti (il “M.O.G.”) e ha nominato un Organismo di Vigilanza collegiale (l’“O.D.V.”) per l’esercizio delle funzioni di cui al D.Lgs. 231/2001.
2. COSA SI PUO’ SEGNALARE
Il d.lgs. n. 24/2023 stabilisce che possono essere oggetto di segnalazione, divulgazione pubblica o denuncia, le informazioni sulle violazioni, compresi i fondati sospetti, di normative nazionali e dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato commesse nell’ambito organizzativo dell’ente con cui il segnalante intrattiene uno di rapporti giuridici e di cui sia venuto a conoscenza.
A titolo esemplificativo possono costituire oggetto della segnalazione:
Violazioni del diritto nazionale;
Illeciti amministrativi, contabili, civili o penali;
condotte illecite rilevanti ai sensi del decreto legislativo 8 giugno 2001, n. 231;
Violazioni del diritto dell’UE;
Atti od omissioni che ledono gli interessi finanziari dell'Unione Europea;
Atti od omissioni riguardanti il mercato interno, che compromettono la libera circolazione delle merci, delle persone, dei servizi e dei capitali.
Possono essere, inoltre, oggetto della segnalazione tutti quegli elementi che riguardano condotte volte ad occultare le violazioni stesse.
Sono escluse dall’ambito oggettivo tutte quelle informazioni che appaiono palesemente prive di fondamento, di dominio pubblico o acquisite attraverso il “vociferare”.
3. CHI PUO’ SEGNALARE
Le disposizioni del decreto legislativo 24/2023 si applicano alle persone segnalanti che segnalano, denunciano all'autorità giudiziaria o contabile o divulgano pubblicamente le violazioni di cui sono venute a conoscenza nell'ambito del proprio contesto lavorativo.
In particolare, i soggetti che possono segnalare sono: (l’elenco deve rispettare i soggetti operanti all’interno della società)
Lavoratori subordinati, ivi compresi i Lavoratori il cui rapporto di lavoro è disciplinato dal d.lgs. n. 81/2015 o Lavoratori che svolgono prestazioni occasionali;
Lavoratori autonomi;
Lavoratori autonomi che svolgono la propria attività lavorativa presso soggetti del settore privato;
Titolari di un rapporto di collaborazione;
Titolari di un rapporto di collaborazione di cui all’art. 2 del d.lgs. n. 81/2015. Si tratta delle collaborazioni organizzate dal committente che si concretino in prestazioni di lavoro esclusivamente personali e continuative, le cui modalità di esecuzione siano organizzate dal committente;
Liberi professionisti e consulenti che prestano la propria attività presso soggetti del settore privato;
Volontari e tirocinanti, retribuiti e non retribuiti;
Azionisti persone fisiche, quando presenti;
Persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza.
Le tutele si applicano anche qualora la segnalazione provenga:
da chi non ha un rapporto giuridico non e' ancora iniziato;
dai Candidati se, le informazioni sulle violazioni, sono state acquisite durante il processo di selezione o in altre fasi precontrattuali;
da chi è si trova nel periodo di prova;
successivamente allo scioglimento del rapporto giuridico se le informazioni sulle violazioni sono state acquisite nel corso del
rapporto stesso.
Ai sensi dell’art. 3, comma 5, del D.Lgs. 24/2023, la tutela è riconosciuta, oltreché al Segnalante, anche a tutti quei soggetti che, tuttavia, potrebbero essere destinatari di ritorsioni in forza del ruolo assunto nell’ambito del processo di segnalazione.
In particolare, le misure di protezione di cui al Decreto n.24/2023 si applicano:
Facilitatori;
Persone del medesimo contesto lavorativo con legame di parentela fino a quarto grado e legame affettivo stabile;
Colleghi di lavoro con rapporto abituale e corrente nel medesimo contesto lavorativo;
Gli enti di proprietà di chi segnala o per i quali lavora il segnalante o che operano nel medesimo contesto lavorativo.
4. SEGNALAZIONI
4.1 MODALITA’ E CANALI DELLA SEGNALAZIONE
Come previsto dal decreto, le modalità di segnalazione sono le seguenti:
Canale interno: ai sensi dell’art 4 comme 2 del Decreto, il canale di segnalazione interno, può essere gestito tanto da una persona o un ufficio interno all’ente, quanto da un soggetto esterno. In entrambi i casi, il soggetto che gestirà le segnalazioni sarà autonomo e adeguatamente formato.
Canale esterno ANAC: il Segnalante può effettuare una Segnalazione esterna, avvalendosi del canale esterno attivato, a tal fine, presso l’A.N.A.C. ai sensi dell’art. 7 del D.Lgs. 24/2023 e delle Linee Guida A.N.A.C. 2023, ove, al momento della sua presentazione, ricorra una delle seguenti condizioni previste dall’art. 6 del D.Lgs. 24/2023: ha già effettuato una segnalazione interna e la medesima non ha avuto seguito; teme che la segnalazione possa determinare il rischio di ritorsione o che non possa avere efficace seguito; ritiene che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.
Divulgazione pubblica: il segnalante puòÌ? ricorrere a divulgazione pubblica a mezzo stampa o media, social media quando: ha già effettuato una segnalazione interna e/o ad ANAC senza ricevere riscontro; teme che la segnalazione possa determinare il rischio di ritorsione o che non possa avere efficace seguito in ragione delle specifiche circostanze del caso concreto; ritiene che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.
Denuncia: il decreto in ultimo riconosce anche la facoltà al segnalante di denuncia delle condotte illecite configurabili come reati direttamente alle Autorità competenti.
Le segnalazioni possono essere effettuate in forma scritta, con modalita' informatiche attraverso l'utilizzo dell’apposita piattaforma, oppure in forma orale.
Le segnalazioni interne in forma orale possono essere effettuate attraverso linee telefoniche o sistemi di messaggistica vocale o, su richiesta della persona segnalante, mediante un incontro diretto fissato entro un termine ragionevole.
4.2 CONTENUTO SEGNALAZIONE
È necessario che la segnalazione sia il più possibile circostanziata al fine di consentire la delibazione dei fatti da parte dei soggetti competenti.
Inoltre, è necessario che la segnalazione contenga in modo chiaro:
le generalità o altri elementi che consentano di identificare il soggetto cui attribuire i fatti segnalati;
le circostanze di tempo e di luogo in cui si è verificato il fatto oggetto della segnalazione;
la descrizione del fatto;
allegare documenti che possano fornire elementi di fondatezza dei fatti oggetto di segnalazione;
l’indicazione di potenziali testimoni.
Se la segnalazione non è adeguatamente circostanziata, chi gestisce le segnalazioni potrà chiedere elementi integrativi al segnalante tramite la piattaforma o anche di persona, se il segnalante abbia richiesto un incontro personale.
Le segnalazioni dalle quali non è possibile ricavare l’identità del segnalante sono considerate anonime. Le segnalazioni anonime, ove circostanziate, sono equiparate alle segnalazioni ordinarie e trattate consequenzialmente in conformità a quanto previsto dal presente Regolamento.
4.3 PROCEDURA SEGNALAZIONE: LA PIATTAFORMA WhistleBlowing IusPrivacy
La Società ha istituito un proprio canale interno attraverso l’utilizzo della piattaforma IusPrivacy WhistleBlowing accessibile dal sito [URL SITO WEB] , di seguito “Piattaforma di Segnalazione”, in cui, nella specifica sezione, sono pubblicate le istruzioni per formulazione e consultazione delle segnalazioni.
5. TUTELA DEL SEGNALANTE
La disciplina del whistleblowing prevede un corpo di misure volte a tutelare il segnalante.
Nel dettaglio, costituiscono predette misure:
La tutela della riservatezza rivolta al segnalante, al facilitatore, alla persona coinvolta e alle persone menzionate nella segnalazione;
La tutela da eventuali ritorsioni adottate dall’ente in ragione della segnalazione, divulgazione pubblica o denuncia effettuata e le condizioni per la sua applicazione;
Le limitazioni della responsabilità rispetto alla rivelazione e alla diffusione di alcune categorie di informazioni che operano al ricorrere di determinate condizioni.
5.1 Riservatezza
L'identità della persona segnalante e qualsiasi altra informazione dalla quale si può, direttamente o indirettamente, risalire a tale identità non possono essere e non saranno rivelate senza il consenso espresso della stessa persona segnalante a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni.
Come è garantita la riservatezza del segnalante:
nell’ambito del procedimento penale, l’identità del segnalante è coperta dal segreto nei modi e nei limiti previsti dall’articolo 329 c.p.p.;
Nell'ambito del procedimento dinanzi alla Corte dei conti, l'identità della persona segnalante non può essere rivelata fino alla chiusura della fase istruttoria;
nell’ambito del procedimento disciplinare l'identità della persona segnalante non può essere rivelata. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità della persona segnalante sia indispensabile per la difesa dell'incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità.
La Società al fine di tutelare l’identità del segnalante, adotta severe misure di sicurezza descritte all’interno della specifica sezione della Piattaforma di Segnalazione.
E’ garantita la riservatezza anche di tutti i soggetti coinvolti nella segnalazione.
La riservatezza viene garantita sia nel caso di segnalazioni interne che esterne, effettuate in forma orale attraverso linee telefoniche o, in alternativa, sistemi di messaggistica vocale o, su richiesta della persona segnalante, mediante un incontro diretto con chi tratta la segnalazione
La riservatezza del segnalante è tutelata anche quando la segnalazione perviene a personale diverso da quello autorizzato e competente a gestire le segnalazioni, al quale, comunque, le stesse vanno trasmesse senza ritardo.
Il Decreto prevede solo 2 ipotesi in cui è possibile rivelare l’identità del segnalante. In queste ipotesi è necessario non solo il consenso espresso dello stesso ma anche una comunicazione scritta delle ragioni di tale rivelazione.
Le due ipotesi:
nel procedimento disciplinare laddove il disvelamento dell’identità del segnalante sia indispensabile per la difesa del soggetto a cui viene contestato l’addebito disciplinare;
nei procedimenti instaurati in seguito a segnalazioni interne o esterne laddove tale rivelazione sia indispensabile anche ai fini della difesa della persona coinvolta.
5.2 TUTELA DELL’ANONIMATO
A tutela del segnalante è prevista anche la misura dell’anominato, ovvero l’identità del segnalante (whistleblower) non può essere rivelata senza il suo espresso consenso.
Tutti coloro che ricevono o sono coinvolti nella gestione delle segnalazioni, sono tenuti a tutelare la riservatezza di tale informazione.
5.3 TUTELA DALLE RITORSIONI
Il Decreto prevede, a tutela del whistleblower, il divieto di ritorsione che è definita come “qualsiasi comportamento, atto od omissione, anche solo tentato o minacciato, posto in essere in ragione della segnalazione, della denuncia all'autorità giudiziaria o della divulgazione pubblica e che provoca o può provocare alla persona segnalante o alla persona che ha sporto la denuncia, in via diretta o indiretta, un danno ingiusto”(d.lgs 24/2023, art. 2, comma 1, lett. m).
La società xxx in osservanza alle disposizioni normative, sarà parte attiva nell’impedire la manifestazione di misure ritorsive quali devono intendersi a titolo esemplificativo e non esaustivo:
a) licenziamento, sospensione o misure equivalenti;
b) retrocessione di grado o mancata promozione;
c) mutamento di funzioni, cambiamento del luogo di lavoro, riduzione dello stipendio, modifica dell’orario di lavoro;
d) sospensione della formazione o qualsiasi restrizione dell’accesso alla stessa;
e) note di demerito o referenze negative;
f) adozione di misure disciplinari o di altra sanzione, anche pecuniaria;
g) coercizione, intimidazione, molestie o ostracismo;
h) discriminazione o comunque trattamento sfavorevole;
i) mancata conversione di un contratto di lavoro a termine in un contratto di lavoro a tempo indeterminato, laddove il lavoratore avesse una legittima aspettativa a detta conversione;
j) mancato rinnovo o risoluzione anticipata di un contratto di lavoro a termine;
k) danni, anche alla reputazione della persona, in particolare sui social media, o pregiudizi economici o finanziari, comprese la perdita di opportunità economiche e la perdita di redditi;
l) inserimento in elenchi impropri sulla base di un accordo settoriale o industriale formale o informale, che può comportare l’impossibilità per la persona di trovare un’occupazione nel settore o nell’industria in futuro;
m) conclusione anticipata o annullamento del contratto di fornitura di beni o servizi;
n) annullamento di una licenza o di un permesso;
o) richiesta di sottoposizione ad accertamenti psichiatrici o medici.
5.4. LIMITAZIONE DI RESPONSABILITA’ PER CHI SEGNALA
L’art 20 del Decreto disciplina la misura delle limitazioni di responsabilità.
Tale misura opera solo nei casi in cui ricorrono, contestualmente, due condizioni:
1. La prima richiede che al momento della rivelazione o diffusione vi siano fondati motivi per ritenere che le informazioni siano necessarie per far scoprire la violazione. Il segnalante, quindi, deve ritenere che quelle informazioni siano indispensabili per far emergere la violazione;
2. La seconda condizione, invece, esige che la segnalazione, la divulgazione pubblica o la denuncia sia stata effettuata nel rispetto delle condizioni previste dal d.lgs. n. 24/2023 per beneficiare della tutela dalle ritorsioni.
Entrambe le condizioni, come precedentemente detto, devono sussistere per escludere la responsabilità.
Se soddisfatte, le persone che segnalano, denunciano o effettuano una divulgazione pubblica non incorrono in alcun tipo di responsabilità civile, penale, amministrativa o disciplinare.
5.5 CONDIZIONI PER L’APPLICAZIONE DELLE TUTELE
Le misure previste si applicano ai segnalanti quando ricorrono le seguenti condizioni:
i segnalanti devono ragionevolmente credere che le informazioni sulle violazioni segnalate siano veritiere (non supposizioni, voci di corridoio o notizie di pubblico dominio);
viene tutelata la buona fede del segnalante anche in caso di segnalazione inesatte per via di errori genuini (scarsa conoscenza delle norme giuridiche);
il segnalante deve indicare chiaramente nell’oggetto della segnalazione che si tratta di una segnalazione whistleblowing; deve esserci uno stretto collegamento o consequenzialità tra la segnalazione e l’atto sfavorevole direttamente o indirettamente subito dal segnalante, per configurare la ritorsione.
la segnalazione deve essere fatta secondo quanto previsto nel Capo II del D.lgs. 24 del 2023 e descritto nei precedenti punti 4.1, 4.2, 4.3.
6. MANUALE OPERATIVO DELLA PIATTAFORMA
Le istruzioni per la formulazione di una segnalazione nonché le modalità di consultazione delle stesse sono riportate nell’apposita sezione pubblicata sulla piattaforma web.
Con il presente documento (“Informativa”) il Titolare del trattamento, come di seguito definito, desidera informarla sulle finalità e le modalità del trattamento dei Suoi dati personali e sui diritti che Le sono riconosciuti dal Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali nonché alla loro libera circolazione (“GDPR”). La presente Informativa potrà essere integrata dal Titolare ove eventuali servizi aggiuntivi da Lei richiesti dovessero comportare ulteriori trattamenti.
1. TITOLARE DEL TRATTAMENTO
Nuova Pasquini & Bini Spa CF: 01211640477, Loc. Tei Z.I. Altopascio 55011 (Lucca), tel: +39.0583264656, email: direzione@pasquiniebini.it
2. RESPONSABILE PROTEZIONE DEI DATI / DPO
Email: dpo.iusprivacy@iusprivacy.eu
3. TIPI DI DATI TRATTATI
Le attività di trattamento svolte sono finalizzate all'acquisizione dei seguenti dati personali:
Dati comuni: dati anagrafici.
Dati giudiziari: dati relativi a notizie di reato e condanne penali.
Dati particolari: se conferiti dal segnalante reltive alle condizione di salute, orientamento sessuale, appartenenza sindacale, credo religioso etc.
4. CATEGORIE DI INTERESSATI
Le attività di trattamento svolte sono rivolte alle seguenti categorie di interessati: segnalante, segnalati, facilitatori, soggetti coinvolti dalla segnalazione.
5. FINALITÀ DEL TRATTAMENTO E CONDIZIONE CHE RENDE LECITO IL TRATTAMENTO
a. Sistema di Segnalazioni Whistleblowing
Il whistleblowing è un atto attraverso il quale un individuo (segnalante), spesso dipendente di un'organizzazione, segnala o denuncia informazioni riservate o comportamenti illeciti o scorretti all'interno dell'organizzazione stessa, o a un'autorità esterna competente, al fine di rendere note le presunte condotte illecite delle quali sia venuto a conoscenza in ragione del proprio rapporto di lavoro con il Titolare del trattamento e commesse dai soggetti che a vario titolo interagiscono con il medesimo segnalante, al fine di effettuare le necessarie attività di verifica delle notizie oggetto della segnalazione. I suoi dati personali saranno trattati per le seguenti finalità:
Finalità del trattamento: i) per l’adempimento di obblighi previsti: dalle leggi sia nazionali, europee e da disposizioni di organi di vigilanza e controllo o da altre autorità a ciò legittimate, D. Lgs n. 231/2001, disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, D.lgs. 10 marzo 2023, n. 24 in attuazione della direttiva (UE) 2019/1937; ii) per consentire le segnalazioni whistleblowing, verificarne la fondatezza, pertinenza e rilevanza dei fatti, delle circostanze denunciate al fine di adottare, ove necessario, ogni conseguente misura, anche disciplinare, che sia ritenuta necessaria od opportuna ai sensi di legge.
Condizione Liceità Trattamento: Obbligo Legale - Art. 6, c.1, let. c. GDPR, Legittimo Interesse - Art. 6, c.1, let. f. GDPR.
Natura del conferimento: Per il segnalante il conferimento degli elementi della segnalazione è obbligatoria, anche in forma anonima; il mancato conferimento non permette la formulazione della segnalazione. Potrebbero essere coinvolti nel processo di segnalazione, oltre alle informazioni conferite dal segnalante, anche i dati personali dei soggetti segnalati.
Periodo conservazione dati personali: i Suoi dati Le segnalazioni interne ed esterne e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre 5 anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui alla normativa europea e nazionale in materia di protezione di dati personali.
b. Difesa in sede Giudiziale e Stragiudiziale, anche nei rapporti di lavoro
I suoi dati personali potranno essere trattati per accertare, esercitare o difendere i diritti del Titolare in sede giudiziale e Stragiudiziale anche nei rapporti di lavoro.
Condizione Liceità Trattamento: Legittimo Interesse - Art. 6, c.1, let. f. GDPR
Finalità del trattamento: i) Esercizio di difesa del Titolare in sede Giudiziale e Stragiudiziale, anche nei rapporti di lavoro; ii) Trattamento di dati particolari, anche di dipendenti, per far valere o difendere un diritto, anche di un terzo, in sede giudiziale, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione, nei casi previsti dalle leggi, dalla normativa dell’Unione europea, dai regolamenti o dai contratti collettivi.
Natura del conferimento: L’utilizzo dei dati personali è strettamente necessario per l'eventuale difesa in sede giudiziale e stragiudiziale.
Periodo conservazione dati personali: I dati personali saranno impiegati per il periodo di tempo non superiore a quelli previsti dalla legge e comunque fino all’esaurimento dei termini di esperibilità delle azioni di impugnazione e non oltre alla conclusione del giudizio.
Modalità del Trattamento: Il trattamento è eseguito, prevalentemente, con strumenti informatici e cartacei.
c. Gestione sistemi IT
I dati personali sono utilizzati, per il legittimo interesse del Titolare e degli Interessati, per la gestione la sicurezza delle infrastrutture tecnologiche (IT)
Finalità del trattamento: Gestione dei sistemi IT, incluse la gestione dell'infrastruttura, la continuità operativa del business e la sicurezza IT.
Natura del conferimento: Obbligatorio - L'opposizione al trattamento potrà comportare l'impossibilità, per il Titolare del Trattamento, di fornire il servizio desiderato.
Periodo conservazione dati personali: le Sue informazioni personali sono conservate per tutto il periodo di tempo utile alla fornitura dei servizi nonché a garantire l'esercizio o la difesa di diritti.
Modalità del Trattamento: Il trattamento è eseguito con strumenti informatici.
Condizione Liceità Trattamento: Legittimo Interesse - Art. 6, c.1, let. f. GDPR
6. TRASFERIMENTO DATI EXTRA UE
I dati personali sono trattati esclusivamente all'interno della Unione Europea
7. DESTINATARI DEL TRATTAMENTO
Responsabile del Trattamento: Fornitori Servizi di Hosting, servizi mantenimento sistemi di ICT.
Soggetto Designato al Trattamento (Interno): RPCT, gestori della segnalazione.
Titolare Autonomo: ANAC, Autorità giudiziaria.
8. DIRITTI DELL'INTERESSATO - RECLAMO ALL'AUTORITÀ DI CONTROLLO
In relazione ai trattamenti descritti nella presente Informativa, in qualità di interessato Lei potrà, alle condizioni previste dal GDPR, esercitare i diritti sanciti dagli articoli da 15 a 22 del GDPR e, in particolare, i seguenti diritti:
diritto di accesso – articolo 15 GDPR: diritto di ottenere conferma che sia o meno in corso un trattamento di dati personali che La riguardano e, in tal caso, ottenere l'accesso ai Suoi dati personali;
diritto di rettifica – articolo 16 GDPR: diritto di ottenere, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che La riguardano e/o l’integrazione dei dati personali incompleti;
diritto alla cancellazione (diritto all’oblio) – articolo 17 GDPR: diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati personali che La riguardano. Il diritto alla cancellazione non si applica nella misura in cui il trattamento sia necessario per l’adempimento di un obbligo legale o per l’esecuzione di un compito svolto nel pubblico interesse o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
diritto di limitazione di trattamento – articolo 18 GDPR: diritto di ottenere la limitazione del trattamento, quando: a) l’interessato contesta l’esattezza dei dati personali; b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo ; c) i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; d) l'interessato si è opposto al trattamento in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.
diritto alla portabilità dei dati – articolo 20 GDPR: diritto di ricevere, in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i dati personali che La riguardano forniti al Titolare e il diritto di trasmetterli a un altro titolare senza impedimenti, qualora il trattamento si basi sul consenso e sia effettuato con mezzi automatizzati. Inoltre, il diritto di ottenere che i Suoi dati personali siano trasmessi direttamente da questo titolare ad altro titolare qualora ciò sia tecnicamente fattibile;
diritto di opposizione – articolo 21 GDPR: diritto di opporsi, in qualsiasi momento, al trattamento dei dati personali che La riguardano basati sulla condizione di legittimità del legittimo interesse, compresa la profilazione, salvo che sussistano motivi legittimi per il Titolare di continuare il trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
diritto a non essere sottoposto a un processo decisionale automatizzato – articolo 22 GDPR: l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona, salvo che ciò sia necessario per la conclusione o esecuzione di un contratto o Lei abbia rilasciato il Suo consenso. In ogni caso, un processo decisionale automatizzato non potrà riguardare i Suoi dati personali e Lei potrà in ogni momento ottenere l'intervento umano da parte del titolare del trattamento, esprimere la propria opinione e contestare la decisione.
L’Interessato potrà inoltre proporre reclamo all’Autorità Garante per la protezione dei dati personali: http://www.garanteprivacy.it nonchè revocare il consenso prestato in ogni occasione e con la stessa facilità con cui è stato fornito senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.
I diritti di cui sopra potranno essere esercitati, nei confronti del Titolare, contattando i riferimenti sopra indicati.
L’esercizio dei Suoi diritti in qualità di interessato è gratuito ai sensi dell’articolo 12 GDPR. Tuttavia, nel caso di richieste manifestamente infondate o eccessive, anche per la loro ripetitività, il Titolare potrebbe addebitarle un contributo spese ragionevole, alla luce dei costi amministrativi sostenuti per gestire la Sua richiesta, o negare la soddisfazione della sua richiesta.
La informiamo, infine, che il Titolare potrà richiedere ulteriori informazioni necessarie a confermare l’identità dell’interessato.
Versione 1.0 del 31-10-2023
1.DEFINIZIONI
Al fine dell migliore comprensione delle misure di sicurezza di seguito sono descritte alcune definizioni:
“Firewall”: Un firewall è un componente di sicurezza di rete che funge da barriera tra una rete interna o privata e una rete esterna o pubblica. Esamina il traffico di rete in entrata e in uscita e decide se consentire o bloccare determinate comunicazioni in base a un insieme di regole predefinite. Le regole del firewall specificano quali pacchetti di dati sono consentiti o rifiutati in base a criteri come indirizzi IP, porte, protocolli e altro; nella presente valutazione sono omessi la versione ed il nome del firewall utilizzati al fine di evitare la diffusione di potenziali informazioni preziose a terzi;
Web Application Firewall (“WAF”): Un Web Application Firewall è un dispositivo o un'applicazione software che si trova tra un'applicazione web e il traffico di rete in ingresso. Il suo compito principale è rilevare, filtrare e bloccare minacce informatiche specifiche che mirano alle applicazioni web, come attacchi SQL injection, cross-site scripting (XSS), cross-site request forgery (CSRF) e altri; nella presente valutazione sono omessi la versione ed il nome del WAF utilizzati al fine di evitare la diffusione di potenziali informazioni preziose a terzi;
Chiave di Cifratura: Per utilizzare l’algoritmo AES, è necessario specificare una chiave di cifratura. Questa chiave è una stringa segreta che viene utilizzata per crittografare e decrittografare i dati. È importante proteggere questa chiave con estrema cura poiché il suo accesso non autorizzato potrebbe compromettere la sicurezza dei dati.
2. MISURE PER ASSICURARE LA RISERVATEZZA DELLE INFORMAZIONI
SPECIFICI RUOLI DI ACCESSO: L’accesso al Software è riservato esclusivamente al personale autorizzato (incaricati e responsabili al trattamento) in possesso di specifiche ed individuali credenziali di accesso anche mediante specifica designazione come previsto dalla normativa vigente in materia privacy;
ACCESSO DEGLI AMMINISTRATORI DI SISTEMA solo sempre tramite connessione protetta mediante protocollo SSH da IP espressamente autorizzati;
FIREWALL: Presenza di un Firewall che operaio il filtraggio del traffico di rete, inclusi input, output e regole forward;
WAF per la protezione dalle Vulnerabilità delle Applicazioni Web: Il WAF rileva e protegge dalle vulnerabilità comuni delle applicazioni web, come SQL injection, cross-site scripting (XSS), cross-site request forgery (CSRF) e molti altri attacchi web;
WAF per il blocco delle Richieste Maliziose, compreso analisi di IP Reputation: Il WAF rileva e blocca automaticamente le richieste HTTP dannose o sospette prima che raggiungano l'applicazione web. Ciò include la protezione contro bot malevoli, scanner di vulnerabilità e attacchi di forza bruta;
WAF per il controllo del Traffico: Il WAF analizza il traffico HTTP in entrata e in uscita per individuare attività sospette o comportamenti anomali. Ciò consente di identificare e mitigare minacce in tempo reale;
WAF per il rilevamento dei DDoS WAF include anche una protezione DDoS (Distributed Denial of Service) che può aiutare a mitigare gli attacchi DDoS contro il tuo server web;
ANALISI DEI LOG CONTINUO al fine di rilevare eventuali attacchi di tipo SQL Injection o XSS;
Sviluppo del Software secondo le migliori prassi, mediante anche l’utilizzo di PreparedStatement in Java, al fine di prevenire potenziali attacchi di tipo SQL e/o XSS Injection;
Accesso consentito al RSIS previa doppia autenticazione con codice temporaneo (OTP);
Cifratura delle informazioni delle Segnalazioni, registrate nel database, mediante algoritmo AES Encryption e specifica chiave di cifratura;
Cifratura del backup delle Segnalazioni: i file di backup sono generati da record i cui dati sono stati popolati in forma cifrata; di conseguenza il backup delle segnalazioni contiene record in forma cifrata.
LOG DI NAVIGAZIONE:
registrazione dei log delle operazioni del personale addetto alla gestione del Sistema di Segnalazione;
registrazione dei log di navigazione esclusivamente al fine di intercettare attacchi informatici e rimossi immediatamente la registrazione di una Segnalazione;
“Chiave di Cifratura”, creata con l’algoritmo SHA2
è costituita da una parte fissa collocata in una sezione protetta del web server ed una “dinamica” calcolata esclusivamente contestualmente all’inserimento della segnalazione;
è di conseguenza distinta per ogni Segnalazione;
non è nella disponibilità di nessuno, non è, né nella disponibilità del Titolare del Trattamento e/o nè nella disponibilità dei fornitori e/o soggetti autorizzati;
è creata automaticamente in occasione dell’inserimento o consultazione della Segnalazione da parte dell’RSIS;
E’ possibile ricostruire la Chiave di Cifratura su espressa richiesta del Titolare del Trattamento sempre nel rispetto delle norme vigenti;
Crittografia dei dati in transito dal Server della Piattaforma al cliente mediante protocollo SSL/TLS che impedisce a terze parti non autorizzate di intercettare e leggere il contenuto delle comunicazioni. SSL/TLS utilizza algoritmi di crittografia avanzati come RSA, DHE (Diffie-Hellman Ephemeral), ed ECC (Elliptic Curve Cryptography) per proteggere i dati.
3. MISURE PER ASSICURARE LA DISPONIBILITA’ ED INTEGRITA’ DEI DATI
Database distribuito, allineato in tempo reale su cluster con nodo master situato su due data center diversi: ServerPlan e Replica su Aruba;
Backup CDP, effettuato tramite il software "R1Soft CDP", esegue un backup incrementale di tutto il disco della macchina e collocato su macchine diverse da quella di produzione;
Backup FTP, sia dell’applicazione sia del database, trasferito su macchina diversa da quella di produzione.
4. FORNITORI (RESPONSABILI DEL TRATTAMENTO) INFRASTRUTTURE TECNOLOGICHE
I fornitori sono stati designati quali Responsabili del Trattamento ai sensi dell’Art. 28 del Regolamento UE 679/2016.
SOFTWARE - La Piattaforma WhistleBlowing IusPrivacy è una tecnologia interamente sviluppata e di proprietà di WRP srl. La Piattaforma WhistleBlowing, non deriva da applicazioni open source, ed è stata realizzata in linguaggio JAVA, allocata su servlet Container Tomcat. I dati personali ed informazioni sono annotati all’interno di database MySql.
Java è progettato con un'attenzione particolare alla sicurezza. La JVM impone restrizioni rigorose sull'accesso alla memoria e al database e offre meccanismi di sicurezza come la gestione delle eccezioni, che aiutano a prevenire molti tipi di errori e vulnerabilità comuni. Tomcat è un server web Java EE che supporta servlets e JSP (JavaServer Pages). Questi componenti offrono un'ampia flessibilità nel gestire la logica lato server delle web application.
HARDWARE - L’applicazione è allocata su cloud server del fornitore ServerPlan con SO Unix/Linux.è la soluzione che permette di ottenere rapidamente un hosting performante con risorse scalabili. Il Cloud Server è una macchina che, attraverso il processo di virtualizzazione, riesce a mettere in comune con altre macchine le proprie risorse in termini di RAM, spazio e processore.
Il cloud server adotta dischi enterprise SSD NVMe che garantiscono le migliori performance per l'applicazione. La soluzione in Cloud Server è allocata su Infrastruttura cloud ridondata con migrazione su altro nodo in caso di necessità e senza alcuna interruzione del servizio.
INFRASTRUTTURA - La Piattaforma è allocata su Data Center di ServerPlan in Italia: l’infrastruttura è realizzata con prodotti di fascia enterprise e tecnologia certificata. ServerPlan, e Aruba, adottano le migliori soluzioni disponibili sul mercato per garantire sempre le prestazioni più alte per velocità, stabilità e sicurezza.
Serverplan garantisce per la connettività di tutti i sistemi il 99.95% di uptime e assicura che tutti i dispositivi di routing siano accessibili. Possono verificarsi alcuni eventi non garantiti dalla sla, come, ad esempio, la manutenzione programmata della rete. In tal caso l’utente riceverà una notifica via e-mail in cui è indicata la data fissata per l’intervento.
Al fine di offrire elevati standard di sicurezza e di disponibilità del servizio, la Piattaforma WhistleBlowing è interamente replicata, su un server, diverso da quello di Serverplan, del fornitore Aruba S.p.A.