Regolamento di gestione delle segnalazioni WhistleBlowing

1. PREMESSA

L’istituto del Whistleblowing consiste nella possibilità data ai dipendenti, nonché ad altri soggetti coinvolti,  di segnalare potenziali illeciti e condotte irregolari commessi ai danni dell’organizzazione, di seguito la “Società”. 

Il presente Regolamento ha come scopo quello di disciplinare la procedura di gestione delle segnalazioni di illeciti e di rendere note le modalità con cui l’ente, di seguito la “Società”, garantisce le tutele del segnalante, c.d. whistleblower, prevista dalla normativa vigente in materia.. 

La società CARTELLI SEGNALATORI SRL CF: 07803080154 è una impresa che opera in uncontesto aperto alla concorrenza, nel settore ANTINFORTUNISTICO, con oggetto laproduzione e il commercio di segnaletica stradale, di interni, di sicurezza, antincendio e ilcommercio di dispositivi di protezione individuale e per la collettività.

La Società ha nominato un Gestore della Segnalazione il cui nominativo e riferimenti sono pubblicati sul sito istituzionale della Società.

2. COSA SI PUO’ SEGNALARE

Il d.lgs. n. 24/2023 stabilisce che possono essere oggetto di segnalazione, divulgazione pubblica o denuncia, le informazioni sulle violazioni, compresi i fondati sospetti, di normative nazionali e dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato commesse nell’ambito organizzativo dell’ente con cui il segnalante intrattiene uno di rapporti giuridici e di cui sia venuto a conoscenza.

A titolo esemplificativo possono costituire oggetto della segnalazione:

1. Violazioni del diritto nazionale;

2. Illeciti amministrativi, contabili, civili o penali;

3. condotte illecite rilevanti ai sensi del decreto legislativo 8 giugno 2001, n. 231;

4. Violazioni del diritto dell’UE;

5. Atti od omissioni che ledono gli interessi finanziari dell'Unione Europea;

6. Atti od omissioni riguardanti il mercato interno, che compromettono la libera circolazione delle merci, delle persone, dei servizi e dei capitali.

Possono essere, inoltre, oggetto della segnalazione tutti quegli elementi che riguardano condotte volte ad occultare le violazioni stesse.

Sono escluse dall’ambito oggettivo tutte quelle informazioni che appaiono palesemente prive di fondamento, di dominio pubblico o acquisite attraverso il “vociferare”.

3. CHI PUO’ SEGNALARE

Le  disposizioni  del decreto legislativo 24/2023 si applicano alle persone segnalanti che  segnalano, denunciano  all'autorità  giudiziaria  o   contabile   o   divulgano pubblicamente le violazioni  di  cui  sono  venute  a conoscenza nell'ambito del proprio contesto lavorativo.

In particolare, i soggetti che possono segnalare sono: (l’elenco deve rispettare i soggetti operanti all’interno della società)

1. Lavoratori subordinati, ivi compresi i Lavoratori il cui rapporto di lavoro è disciplinato dal d.lgs. n. 81/2015 o Lavoratori che svolgono prestazioni occasionali;

2. Lavoratori autonomi;

3. Lavoratori autonomi che svolgono la propria attività lavorativa presso soggetti del settore privato;

4. Titolari di un rapporto di collaborazione;

5. Titolari di un rapporto di collaborazione di cui all’art. 2 del d.lgs. n. 81/2015. Si tratta delle collaborazioni organizzate dal committente che si concretino in prestazioni di lavoro esclusivamente personali e continuative, le cui modalità di esecuzione siano organizzate dal committente;

6. Liberi professionisti e consulenti che prestano la propria attività presso soggetti del settore privato;

7. Volontari e tirocinanti, retribuiti e non retribuiti;

8. Azionisti persone fisiche, quando presenti;

9. Persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza.

Le tutele si applicano anche qualora la segnalazione provenga:

•  da chi non ha un rapporto giuridico non  e'  ancora iniziato;

• dai Candidati se, le informazioni sulle violazioni,  sono  state  acquisite durante il processo di selezione o in altre fasi precontrattuali;

• da chi è si trova nel periodo di prova;

• successivamente allo scioglimento del rapporto giuridico se le informazioni sulle violazioni sono  state  acquisite  nel  corso  del

          rapporto stesso.

Ai sensi dell’art. 3, comma 5, del D.Lgs. 24/2023, la tutela è riconosciuta, oltreché al Segnalante, anche a tutti quei soggetti che, tuttavia, potrebbero essere destinatari di ritorsioni in forza del ruolo assunto nell’ambito del processo di segnalazione.

In particolare, le misure di protezione di cui al Decreto n.24/2023 si applicano: 

1. Facilitatori;

2. Persone del medesimo contesto lavorativo con legame di parentela fino a quarto grado e legame affettivo stabile;

3. Colleghi di lavoro con rapporto abituale e corrente nel medesimo contesto lavorativo;

4. Gli enti di proprietà di chi segnala o per i quali lavora il segnalante o che operano nel medesimo contesto lavorativo. 

4. SEGNALAZIONI

4.1 MODALITA’ E CANALI DELLA SEGNALAZIONE

Come previsto dal decreto, le modalità di segnalazione sono le seguenti: 

1. Canale interno: ai sensi dell’art 4 comme 2 del Decreto, il canale di segnalazione interno, può essere gestito tanto da una persona o un ufficio interno all’ente, quanto da un soggetto esterno. In entrambi i casi, il soggetto che gestirà le segnalazioni sarà autonomo e adeguatamente formato.

2. Canale esterno ANAC: il Segnalante può effettuare una Segnalazione esterna, avvalendosi del canale esterno attivato, a tal fine, presso l’A.N.A.C. ai sensi dell’art. 7 del D.Lgs. 24/2023 e delle Linee Guida A.N.A.C. 2023, ove, al momento della sua presentazione, ricorra una delle seguenti condizioni previste dall’art. 6 del D.Lgs. 24/2023:  ha già effettuato una segnalazione interna e la medesima non ha avuto seguito;  teme che la segnalazione possa determinare il rischio di ritorsione o che non possa avere efficace seguito;  ritiene che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse. 

3. Divulgazione pubblica: il segnalante puòÌ? ricorrere a divulgazione pubblica a mezzo stampa o media, social media quando:  ha già effettuato una segnalazione interna e/o ad ANAC senza ricevere riscontro;  teme che la segnalazione possa determinare il rischio di ritorsione o che non possa avere efficace seguito in ragione delle specifiche circostanze del caso concreto;  ritiene che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse. 

4. Denuncia: il decreto in ultimo riconosce anche la facoltà al segnalante di denuncia delle condotte illecite configurabili come reati direttamente alle Autorità competenti. 

Le segnalazioni possono essere effettuate  in  forma  scritta, con modalita'  informatiche attraverso l'utilizzo dell’apposita piattaforma,  oppure  in  forma  orale.

Le  segnalazioni interne in forma orale possono essere effettuate attraverso linee telefoniche o sistemi di messaggistica vocale o, su  richiesta  della  persona segnalante, mediante un incontro diretto  fissato  entro  un  termine ragionevole.

4.2 CONTENUTO SEGNALAZIONE

È necessario che la segnalazione sia il più possibile circostanziata al fine di consentire la delibazione dei fatti da parte dei soggetti competenti.

Inoltre, è necessario che la segnalazione contenga in modo chiaro:

• le generalità o altri elementi che consentano di identificare il soggetto cui attribuire i fatti segnalati;

• le circostanze di tempo e di luogo in cui si è verificato il fatto oggetto della segnalazione;

• la descrizione del fatto;

• allegare documenti che possano fornire elementi di fondatezza dei fatti oggetto di segnalazione;

• l’indicazione di potenziali testimoni.

Se la segnalazione non è adeguatamente circostanziata, chi gestisce le segnalazioni potrà chiedere elementi integrativi al segnalante tramite la piattaforma o anche di persona, se il segnalante abbia richiesto un incontro personale.

Le segnalazioni dalle quali non è possibile ricavare l’identità del segnalante sono considerate anonime. Le segnalazioni anonime, ove circostanziate, sono equiparate alle segnalazioni ordinarie e trattate consequenzialmente in conformità a quanto previsto dal presente Regolamento.

4.3 PROCEDURA SEGNALAZIONE: LA PIATTAFORMA WhistleBlowing IusPrivacy

La Società ha istituito un proprio canale interno attraverso l’utilizzo della piattaforma IusPrivacy WhistleBlowing accessibile dal sito  [URL SITO WEB] , di seguito “Piattaforma di Segnalazione”, in cui, nella specifica sezione, sono pubblicate le istruzioni per formulazione e consultazione delle segnalazioni.

5. TUTELA DEL SEGNALANTE

La disciplina del whistleblowing prevede un corpo di misure volte a tutelare il segnalante.

Nel dettaglio, costituiscono predette misure:

• La tutela della riservatezza rivolta al segnalante, al facilitatore, alla persona coinvolta e alle persone menzionate nella segnalazione;

• La tutela da eventuali ritorsioni adottate dall’ente in ragione della segnalazione, divulgazione pubblica o denuncia effettuata e le condizioni per la sua applicazione;

• Le limitazioni della responsabilità rispetto alla rivelazione e alla diffusione di alcune categorie di informazioni che operano al ricorrere di determinate condizioni.

5.1 Riservatezza

L'identità della persona segnalante e qualsiasi altra informazione dalla quale si può, direttamente o indirettamente, risalire a tale identità non possono essere e non saranno rivelate senza il consenso espresso della stessa persona segnalante a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni.

Come è garantita la riservatezza del segnalante: 

• nell’ambito del procedimento penale, l’identità del segnalante è coperta dal segreto nei modi e nei limiti previsti dall’articolo 329 c.p.p.;

• Nell'ambito del procedimento dinanzi alla Corte dei conti, l'identità della persona segnalante non può essere rivelata fino alla chiusura della fase istruttoria;

• nell’ambito del procedimento disciplinare l'identità della persona segnalante non può essere rivelata. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità della persona segnalante sia indispensabile per la difesa dell'incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità.

La Società al fine di  tutelare l’identità del segnalante, adotta severe misure di sicurezza descritte all’interno della specifica sezione della Piattaforma di Segnalazione.

E’ garantita la riservatezza anche di tutti i soggetti coinvolti nella segnalazione.

La riservatezza viene garantita sia nel caso di segnalazioni interne che esterne, effettuate in forma orale attraverso linee telefoniche o, in alternativa, sistemi di messaggistica vocale o, su richiesta della persona segnalante, mediante un incontro diretto con chi tratta la segnalazione

La riservatezza del segnalante è tutelata anche quando la segnalazione perviene a personale diverso da quello autorizzato e competente a gestire le segnalazioni, al quale, comunque, le stesse vanno trasmesse senza ritardo.

Il Decreto prevede solo 2 ipotesi in cui è possibile rivelare l’identità del segnalante. In queste ipotesi è necessario non solo il consenso espresso dello stesso ma anche una comunicazione scritta delle ragioni di tale rivelazione.

Le due ipotesi:

1. nel procedimento disciplinare laddove il disvelamento dell’identità del segnalante sia indispensabile per la difesa del soggetto a cui viene contestato l’addebito disciplinare;

2. nei procedimenti instaurati in seguito a segnalazioni interne o esterne laddove tale rivelazione sia indispensabile anche ai fini della difesa della persona coinvolta.

5.2 TUTELA DELL’ANONIMATO

A tutela del segnalante è prevista anche la misura dell’anominato, ovvero l’identità del segnalante (whistleblower) non può essere rivelata senza il suo espresso consenso.

Tutti coloro che ricevono o sono coinvolti nella gestione delle segnalazioni, sono tenuti a tutelare la riservatezza di tale informazione.

5.3 TUTELA DALLE RITORSIONI

Il Decreto prevede, a tutela del whistleblower, il divieto di ritorsione che è definita come “qualsiasi comportamento, atto od omissione, anche solo tentato o minacciato, posto in essere in ragione della segnalazione, della denuncia all'autorità giudiziaria o della divulgazione pubblica e che provoca o può provocare alla persona segnalante o alla persona che ha sporto la denuncia, in via diretta o indiretta, un danno ingiusto”(d.lgs 24/2023, art. 2, comma 1, lett. m).

La società xxx in osservanza alle disposizioni normative, sarà parte attiva nell’impedire la manifestazione di misure ritorsive quali devono intendersi a titolo esemplificativo e non esaustivo:

a) licenziamento, sospensione o misure equivalenti;

b) retrocessione di grado o mancata promozione;

c) mutamento di funzioni, cambiamento del luogo di lavoro, riduzione dello stipendio, modifica dell’orario di lavoro;

d) sospensione della formazione o qualsiasi restrizione dell’accesso alla stessa;

e) note di demerito o referenze negative;

f) adozione di misure disciplinari o di altra sanzione, anche pecuniaria;

g) coercizione, intimidazione, molestie o ostracismo;

h) discriminazione o comunque trattamento sfavorevole;

i) mancata conversione di un contratto di lavoro a termine in un contratto di lavoro a tempo indeterminato, laddove il lavoratore avesse una legittima aspettativa a detta conversione;

j) mancato rinnovo o risoluzione anticipata di un contratto di lavoro a termine;

k) danni, anche alla reputazione della persona, in particolare sui social media, o pregiudizi economici o finanziari, comprese la perdita di opportunità economiche e la perdita di redditi;

l) inserimento in elenchi impropri sulla base di un accordo settoriale o industriale formale o informale, che può comportare l’impossibilità per la persona di trovare un’occupazione nel settore o nell’industria in futuro;

m) conclusione anticipata o annullamento del contratto di fornitura di beni o servizi;

n) annullamento di una licenza o di un permesso;

o) richiesta di sottoposizione ad accertamenti psichiatrici o medici.

5.4. LIMITAZIONE DI RESPONSABILITA’ PER CHI SEGNALA

L’art 20 del Decreto disciplina la misura delle limitazioni di responsabilità.

Tale misura opera solo nei casi in cui ricorrono, contestualmente, due condizioni:

1. La prima richiede che al momento della rivelazione o diffusione vi siano fondati motivi per ritenere che le informazioni siano necessarie per far scoprire la violazione. Il segnalante, quindi, deve ritenere che quelle informazioni siano indispensabili per far emergere la violazione; 

2. La seconda condizione, invece, esige che la segnalazione, la divulgazione pubblica o la denuncia sia stata effettuata nel rispetto delle condizioni previste dal d.lgs. n. 24/2023 per beneficiare della tutela dalle ritorsioni.

Entrambe le condizioni, come precedentemente detto, devono sussistere per escludere la responsabilità.

Se soddisfatte, le persone che segnalano, denunciano o effettuano una divulgazione pubblica non incorrono in alcun tipo di responsabilità civile, penale, amministrativa o disciplinare.

5.5 CONDIZIONI PER L’APPLICAZIONE DELLE TUTELE

Le misure previste si applicano ai segnalanti quando ricorrono le seguenti condizioni:

• i segnalanti devono ragionevolmente credere che le informazioni sulle violazioni segnalate siano veritiere (non supposizioni, voci di corridoio o notizie di pubblico dominio); 

• viene tutelata la buona fede del segnalante anche in caso di segnalazione inesatte per via di errori genuini (scarsa conoscenza delle norme giuridiche);

• il segnalante deve indicare chiaramente nell’oggetto della segnalazione che si tratta di una segnalazione whistleblowing; deve esserci uno stretto collegamento o consequenzialità tra la segnalazione e l’atto sfavorevole direttamente o indirettamente subito dal segnalante, per configurare la ritorsione.

• la segnalazione deve essere fatta secondo quanto previsto nel Capo II del D.lgs. 24 del 2023 e descritto nei precedenti punti 4.1, 4.2, 4.3. 

6. MANUALE OPERATIVO DELLA PIATTAFORMA

Le istruzioni per la formulazione di una segnalazione nonché le modalità di consultazione delle stesse sono riportate nell’apposita sezione pubblicata sulla piattaforma web.

Informativa Privacy per il sistema di segnalazione WhistleBlowing

Con il presente documento (“Informativa”) il Titolare del trattamento, come di seguito definito, desidera informarla sulle finalità e le modalità del trattamento dei Suoi dati personali e sui diritti che Le sono riconosciuti dal Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali nonché alla loro libera circolazione (“GDPR”). La presente Informativa potrà essere integrata dal Titolare ove eventuali servizi aggiuntivi da Lei richiesti dovessero comportare ulteriori trattamenti.

1. TITOLARE DEL TRATTAMENTO

CARTELLI SEGNALATORI CF: 07803080154, Via Volta 1 Cusago 20047 (Milano), tel: 0290399017, email: alessandrabagnoli@cartelli.it 

2. TIPI DI DATI TRATTATI

Le attività di trattamento svolte sono finalizzate all'acquisizione dei seguenti dati personali:

• Dati comuni: dati anagrafici.

• Dati giudiziari: dati relativi a notizie di reato e condanne penali.

• Dati particolari: se conferiti dal segnalante reltive alle condizione di salute, orientamento sessuale, appartenenza sindacale, credo religioso etc.
  
  

3. CATEGORIE DI INTERESSATI

Le attività di trattamento svolte sono rivolte alle seguenti categorie di interessati: segnalante, segnalati, facilitatori, soggetti coinvolti dalla segnalazione.

4. FINALITÀ DEL TRATTAMENTO E CONDIZIONE CHE RENDE LECITO IL TRATTAMENTO

a. Sistema di Segnalazioni Whistleblowing

Il whistleblowing è un atto attraverso il quale un individuo (segnalante), spesso dipendente di un'organizzazione, segnala o denuncia informazioni riservate o comportamenti illeciti o scorretti all'interno dell'organizzazione stessa, o a un'autorità esterna competente, al fine di rendere note le presunte condotte illecite delle quali sia venuto a conoscenza in ragione del proprio rapporto di lavoro con il Titolare del trattamento e commesse dai soggetti che a vario titolo interagiscono con il medesimo segnalante, al fine di effettuare le necessarie attività di verifica delle notizie oggetto della segnalazione. I suoi dati personali saranno trattati per le seguenti finalità:

Finalità del trattamento: i) per l’adempimento di obblighi previsti: dalle leggi sia nazionali, europee e da disposizioni di organi di vigilanza e controllo o da altre autorità a ciò legittimate, D. Lgs n. 231/2001,  disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, D.lgs. 10 marzo 2023, n. 24 in attuazione della direttiva (UE) 2019/1937; ii) per consentire le segnalazioni whistleblowing, verificarne la fondatezza, pertinenza e rilevanza dei fatti, delle circostanze denunciate al fine di adottare, ove necessario, ogni conseguente misura, anche disciplinare, che sia ritenuta necessaria od opportuna ai sensi di legge.

Condizione Liceità Trattamento: Obbligo Legale - Art. 6, c.1, let. c. GDPR, Legittimo Interesse - Art. 6, c.1, let. f. GDPR.

Natura del conferimento: Per il segnalante il conferimento degli elementi della segnalazione è obbligatoria, anche in forma anonima; il mancato conferimento non permette la formulazione della segnalazione. Potrebbero essere coinvolti nel processo di segnalazione, oltre alle informazioni conferite dal segnalante, anche i dati personali dei soggetti segnalati.

Periodo conservazione dati personali: i Suoi dati Le segnalazioni interne ed esterne e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre 5 anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui alla normativa europea e nazionale in materia di protezione di dati personali.

b. Difesa in sede Giudiziale e Stragiudiziale, anche nei rapporti di lavoro

I suoi dati personali potranno essere trattati per accertare, esercitare o difendere i diritti del Titolare in sede giudiziale e Stragiudiziale anche nei rapporti di lavoro.

Condizione Liceità Trattamento: Legittimo Interesse - Art. 6, c.1, let. f. GDPR

Finalità del trattamento: i) Esercizio di difesa del Titolare in sede Giudiziale e Stragiudiziale, anche nei rapporti di lavoro; ii) Trattamento di dati particolari, anche di dipendenti, per far valere o difendere un diritto, anche di un terzo, in sede giudiziale, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione, nei casi previsti dalle leggi, dalla normativa dell’Unione europea, dai regolamenti o dai contratti collettivi.

Natura del conferimento: L’utilizzo dei dati personali è strettamente necessario per l'eventuale difesa in sede giudiziale e stragiudiziale.

Periodo conservazione dati personali: I dati personali saranno impiegati per il periodo di tempo non superiore a quelli previsti dalla legge e comunque fino all’esaurimento dei termini di esperibilità delle azioni di impugnazione e non oltre alla conclusione del giudizio.

Modalità del Trattamento: Il trattamento è eseguito, prevalentemente, con strumenti informatici e cartacei.

c. Gestione sistemi IT

I dati personali sono utilizzati, per il legittimo interesse del Titolare e degli Interessati, per la gestione la sicurezza delle infrastrutture tecnologiche (IT)

Finalità del trattamento: Gestione dei sistemi IT, incluse la gestione dell'infrastruttura, la continuità operativa del business e la sicurezza IT.

Natura del conferimento: Obbligatorio - L'opposizione al trattamento potrà comportare l'impossibilità, per il Titolare del Trattamento, di fornire il servizio desiderato.

Periodo conservazione dati personali: le Sue informazioni personali sono conservate per tutto il periodo di tempo utile alla fornitura dei servizi nonché a garantire l'esercizio o la difesa di diritti.

Modalità del Trattamento: Il trattamento è eseguito con strumenti informatici.

Condizione Liceità Trattamento: Legittimo Interesse - Art. 6, c.1, let. f. GDPR

5. TRASFERIMENTO DATI EXTRA UE

I dati personali sono trattati esclusivamente all'interno della Unione Europea

6. DESTINATARI DEL TRATTAMENTO

Responsabile del Trattamento: Fornitori Servizi di Hosting, servizi mantenimento sistemi di ICT.

Soggetto Designato al Trattamento (Interno): RPCT, gestori della segnalazione.

Titolare Autonomo: ANAC, Autorità giudiziaria.

7. DIRITTI DELL'INTERESSATO - RECLAMO ALL'AUTORITÀ DI CONTROLLO

In relazione ai trattamenti descritti nella presente Informativa, in qualità di interessato Lei potrà, alle condizioni previste dal GDPR, esercitare i diritti sanciti dagli articoli da 15 a 22 del GDPR e, in particolare, i seguenti diritti:

• diritto di accesso – articolo 15 GDPR: diritto di ottenere conferma che sia o meno in corso un trattamento di dati personali che La riguardano e, in tal caso, ottenere l'accesso ai Suoi dati personali;

• diritto di rettifica – articolo 16 GDPR: diritto di ottenere, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che La riguardano e/o l’integrazione dei dati personali incompleti;

• diritto alla cancellazione (diritto all’oblio) – articolo 17 GDPR: diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati personali che La riguardano. Il diritto alla cancellazione non si applica nella misura in cui il trattamento sia necessario per l’adempimento di un obbligo legale o per l’esecuzione di un compito svolto nel pubblico interesse o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

• diritto di limitazione di trattamento – articolo 18 GDPR: diritto di ottenere la limitazione del trattamento, quando: a) l’interessato contesta l’esattezza dei dati personali; b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo ; c) i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; d) l'interessato si è opposto al trattamento in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.

• diritto alla portabilità dei dati – articolo 20 GDPR: diritto di ricevere, in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i dati personali che La riguardano forniti al Titolare e il diritto di trasmetterli a un altro titolare senza impedimenti, qualora il trattamento si basi sul consenso e sia effettuato con mezzi automatizzati. Inoltre, il diritto di ottenere che i Suoi dati personali siano trasmessi direttamente da questo titolare ad altro titolare qualora ciò sia tecnicamente fattibile;

• diritto di opposizione – articolo 21 GDPR: diritto di opporsi, in qualsiasi momento, al trattamento dei dati personali che La riguardano basati sulla condizione di legittimità del legittimo interesse, compresa la profilazione, salvo che sussistano motivi legittimi per il Titolare di continuare il trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

• diritto a non essere sottoposto a un processo decisionale automatizzato – articolo 22 GDPR: l'interessato ha il    diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona, salvo che ciò sia necessario per la conclusione o esecuzione di un contratto o Lei abbia rilasciato il Suo consenso. In ogni caso, un processo decisionale automatizzato non potrà riguardare i Suoi dati personali e Lei potrà in ogni momento ottenere l'intervento umano da parte del titolare del trattamento, esprimere la propria opinione e contestare la decisione.

L’Interessato potrà inoltre proporre reclamo all’Autorità Garante per la protezione dei dati personali: http://www.garanteprivacy.it nonchè revocare il consenso prestato in ogni occasione e con la stessa facilità con cui è stato fornito senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.

I diritti di cui sopra potranno essere esercitati, nei confronti del Titolare, contattando i riferimenti sopra indicati.

L’esercizio dei Suoi diritti in qualità di interessato è gratuito ai sensi dell’articolo 12 GDPR. Tuttavia, nel caso di richieste manifestamente infondate o eccessive, anche per la loro ripetitività, il Titolare potrebbe addebitarle un contributo spese ragionevole, alla luce dei costi amministrativi sostenuti per gestire la Sua richiesta, o negare la soddisfazione della sua richiesta.

La informiamo, infine, che il Titolare potrà richiedere ulteriori informazioni necessarie a confermare l’identità dell’interessato.

Versione 1.0 del 31-10-2023

Misure di sicurezza del sistema di segnalazione WhistleBlowing

1.DEFINIZIONI

Al fine dell migliore comprensione delle misure di sicurezza di seguito sono descritte alcune definizioni:

• “Firewall”: Un firewall è un componente di sicurezza di rete che funge da barriera tra una rete interna o privata e una rete esterna o pubblica. Esamina il traffico di rete in entrata e in uscita e decide se consentire o bloccare determinate comunicazioni in base a un insieme di regole predefinite. Le regole del firewall specificano quali pacchetti di dati sono consentiti o rifiutati in base a criteri come indirizzi IP, porte, protocolli e altro; nella presente valutazione sono omessi la versione ed il nome del firewall utilizzati al fine di evitare la diffusione di potenziali informazioni preziose a terzi;

• Web Application Firewall (“WAF”): Un Web Application Firewall è un dispositivo o un'applicazione software che si trova tra un'applicazione web e il traffico di rete in ingresso. Il suo compito principale è rilevare, filtrare e bloccare minacce informatiche specifiche che mirano alle applicazioni web, come attacchi SQL injection, cross-site scripting (XSS), cross-site request forgery (CSRF) e altri; nella presente valutazione sono omessi la versione ed il nome del WAF utilizzati al fine di evitare la diffusione di potenziali informazioni preziose a terzi;

• Chiave di Cifratura: Per utilizzare l’algoritmo AES, è necessario specificare una chiave di cifratura. Questa chiave è una stringa segreta che viene utilizzata per crittografare e decrittografare i dati. È importante proteggere questa chiave con estrema cura poiché il suo accesso non autorizzato potrebbe compromettere la sicurezza dei dati.

2. MISURE PER ASSICURARE LA RISERVATEZZA DELLE INFORMAZIONI

• SPECIFICI RUOLI DI ACCESSO: L’accesso al Software è riservato esclusivamente al personale autorizzato (incaricati e responsabili al trattamento) in possesso di specifiche ed individuali credenziali di accesso anche mediante specifica designazione come previsto dalla normativa vigente in materia privacy; 

• ACCESSO DEGLI AMMINISTRATORI DI SISTEMA solo sempre tramite connessione protetta mediante protocollo SSH da IP espressamente autorizzati;

• FIREWALL: Presenza di un Firewall che operaio il filtraggio del traffico di rete, inclusi input, output e regole forward;

• WAF per la protezione dalle Vulnerabilità delle Applicazioni Web: Il WAF rileva e protegge dalle vulnerabilità comuni delle applicazioni web, come SQL injection, cross-site scripting (XSS), cross-site request forgery (CSRF) e molti altri attacchi web;

• WAF  per il blocco delle Richieste Maliziose, compreso analisi di IP Reputation: Il WAF rileva e blocca automaticamente le richieste HTTP dannose o sospette prima che raggiungano l'applicazione web. Ciò include la protezione contro bot malevoli, scanner di vulnerabilità e attacchi di forza bruta;

• WAF per il controllo del Traffico:  Il WAF analizza il traffico HTTP in entrata e in uscita per individuare attività sospette o comportamenti anomali. Ciò consente di identificare e mitigare minacce in tempo reale;

• WAF per il rilevamento dei DDoS WAF include anche una protezione DDoS (Distributed Denial of Service) che può aiutare a mitigare gli attacchi DDoS contro il tuo server web;

• ANALISI DEI LOG CONTINUO al fine di rilevare eventuali attacchi di tipo SQL Injection o XSS;

• Sviluppo del Software secondo le migliori prassi, mediante anche l’utilizzo di PreparedStatement in Java, al fine di prevenire potenziali attacchi di tipo SQL e/o XSS Injection;

• Accesso consentito al RSIS previa doppia autenticazione con codice temporaneo (OTP);

• Cifratura delle informazioni delle Segnalazioni, registrate nel database, mediante algoritmo AES Encryption e specifica chiave di cifratura; 

• Cifratura del backup delle Segnalazioni: i file di backup sono generati da record i cui dati sono stati popolati in forma cifrata; di conseguenza il backup delle segnalazioni contiene record in forma cifrata.

• LOG DI NAVIGAZIONE:

1. registrazione dei log delle operazioni del personale addetto alla gestione del Sistema di Segnalazione;

2. registrazione dei log di navigazione esclusivamente al fine di intercettare attacchi informatici e rimossi immediatamente la registrazione di una Segnalazione;

• “Chiave di Cifratura”, creata con l’algoritmo SHA2

1. è costituita da una parte fissa collocata in una sezione protetta del web server ed una “dinamica” calcolata esclusivamente contestualmente all’inserimento della segnalazione;

2.  è di conseguenza distinta per ogni Segnalazione;

3. non è nella disponibilità di nessuno, non è, né nella disponibilità del Titolare del Trattamento e/o nè nella disponibilità dei fornitori e/o soggetti autorizzati;

4. è creata automaticamente in occasione dell’inserimento o consultazione della Segnalazione da parte dell’RSIS;

5. E’ possibile ricostruire la Chiave di Cifratura su espressa richiesta del Titolare del Trattamento sempre nel rispetto delle norme vigenti; 

6. Crittografia dei dati in transito dal Server della Piattaforma al cliente mediante protocollo SSL/TLS che  impedisce a terze parti non autorizzate di intercettare e leggere il contenuto delle comunicazioni. SSL/TLS utilizza algoritmi di crittografia avanzati come RSA, DHE (Diffie-Hellman Ephemeral), ed ECC (Elliptic Curve Cryptography) per proteggere i dati.

3. MISURE PER ASSICURARE LA DISPONIBILITA’ ED INTEGRITA’ DEI DATI

• Database distribuito, allineato in tempo reale su cluster con nodo master situato su due data center diversi: ServerPlan e Replica su Aruba;

• Backup CDP, effettuato tramite il software "R1Soft CDP", esegue un backup incrementale di tutto il disco della macchina e collocato su macchine diverse da quella di produzione;

• Backup FTP, sia dell’applicazione sia del database, trasferito su macchina diversa da quella di produzione.

4. FORNITORI (RESPONSABILI DEL TRATTAMENTO) INFRASTRUTTURE TECNOLOGICHE

I fornitori sono stati designati quali Responsabili del Trattamento ai sensi dell’Art. 28 del Regolamento UE 679/2016.

Verifica la segnalazione che hai in precendeza inserito mediante le credenziali di seguito richieste

Inserisci una nuova Segnalazione