INDICE

1          Premessa.. 3

2          Scopo.. 4

3          Ambito.. 4

3.1           Processi coinvolti 4

3.2           Ambito temporale. 4

3.3           Soggetti interessati (stakeholder) 5

3.4           Ambito della segnalazione. 6

3.5           Criterio di valutazione della segnalazione. 8

3.6           Ambito di esclusione. 9

4          I canali di presentazione delle segnalazioni 9

5          Riferimenti normativi 9

6          Responsabilità.. 9

6.1           Budget e risorse. 10

7          Disciplina organizzativa dei canali di segnalazione interna all’Orchestra Sinfonica di Sanremo.. 10

8          Fasi del processo.. 15

8.1           Analisi e gestione del rischio. 15

8.1.1               Rischio di mancata segnalazione. 15

8.1.2               Rischio di inefficacia. 15

8.1.3               Rischio di mancata protezione del Segnalante. 16

8.1.4               Rischi protezione dati personali 16

8.1.4.1                Limitazioni all’esercizio dei diritti 17

8.1.4.2                Rischio di diffamazione. 17

8.1.5               Data retention.. 17

8.1.6               Protezione degli stakeholder coinvolti 18

8.2           Progettazione dei canali di segnalazione interna. 18

8.2.1               Riservatezza “by design” e “by default” dei canali interni 19

9          Fasi operative.. 19

9.1           Fase 1 – Registrazione segnalazione. 19

9.2           Fase 2 – Valutazione preliminare e ammissibilità segnalazione. 19

9.3           Fase 3 – Istruttoria. 20

9.4           Fase 4 – Trasmissione. 22

10        Canali di segnalazione esterna.. 23

11        Denuncia all’Autorità giudiziaria.. 23

12        Archiviazione della documentazione.. 24

13        Audit interni 24

14        Pubblicazione.. 24

 

 

 

 

 

 

 

 

 

 

Il decreto legislativo 10 marzo 2023, n. 24 (di seguito, per brevità, semplicemente “Decreto”) recepisce in Italia la Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione.

 

La nuova disciplina è orientata, da un lato, a garantire la manifestazione della libertà di espressione e di informazione; dall’altro, è strumento per contrastare (e prevenire) la corruzione, la maladministration e la prevenzione di violazioni di legge nel settore pubblico e privato.

 

Il segnalante si pone nelle condizioni di fornire informazioni tali da condurre all’indagine, all’accertamento e al perseguimento di fenomeni corruttivi o comunque di fatti illeciti. In tal modo il soggetto fornisce il proprio contributo all’azione responsabile da parte delle istituzioni democratiche.

 

La norma nazionale garantisce la protezione, nelle differenti articolazioni di tutela della riservatezza e di copertura da fenomeni di ritorsione, dei soggetti che si espongano con segnalazioni, denunce o con il nuovo istituto della divulgazione pubblica. Tale protezione viene peraltro oggi estesa a soggetti diversi da chi segnala, quali il facilitatore o comunque le persone menzionate nella segnalazione: i legislatori europeo e nazionale hanno infatti inteso rafforzare l’istituto in questione, potenziandone la funzione di presidio per la legalità, nonché per il buon andamento e l’imparzialità delle pubbliche amministrazioni.

 

L’Autorità Nazionale Anticorruzione (di seguito ANAC) ha approvato, con Delibera n. 311/2023, le nuove Linee Guida in materia, qui in larga parte richiamate nella descrizione testuale dell’istituto.

 

Tali Linee Guida, pur volte a dare solo indicazioni per la presentazione e gestione delle segnalazioni esterne in capo all’Autorità ai sensi dell’art. 10 del D. Lgs. 24/2023, sono state proposte anche al fine di fornire indicazioni e principi di cui gli enti pubblici e privati possono tenere conto per i propri canali e modelli organizzativi interni.

Le principali novità contenute nella nuova disciplina vengono richiamate da ANAC come di seguito:

• specificazione dell’ambito soggettivo con riferimento agli enti di diritto pubblico, di quelli di diritto privato e estensione del novero di questi ultimi;
• ampliamento del novero dei soggetti, persone fisiche, che possono essere protetti per le segnalazioni, denunce o divulgazioni pubbliche;
• espansione dell’ambito oggettivo, cioè di ciò che è considerato violazione rilevante ai fini della protezione nonché distinzione tra ciò che è oggetto di protezione e ciò che non lo è;
• disciplina di tre canali di segnalazione e delle condizioni per accedervi: interno (negli enti con persona o ufficio dedicato oppure tramite un soggetto esterno con competenze specifiche), esterno (gestito da ANAC) nonché il canale della divulgazione pubblica (tramite stampa o social media);
• indicazione di diverse modalità di presentazione delle segnalazioni, in forma scritta o orale;
• disciplina dettagliata degli obblighi di riservatezza e del trattamento dei dati personali ricevuti, gestiti e comunicati da terzi o a terzi;
• chiarimenti su che cosa si intenda per ritorsione e ampliamento della relativa casistica;
• specifiche sulla protezione delle persone segnalanti o che comunicano misure ritorsive offerta sia da ANAC che dall’autorità giudiziaria e maggiori indicazioni sulla responsabilità del segnalante e sulle scriminanti;
• introduzione di apposite misure di sostegno per le persone segnalanti e coinvolgimento a tal fine di enti del Terzo settore che abbiano competenze adeguate e che prestino la loro attività a titolo gratuito;
• revisione della disciplina delle sanzioni applicabili da ANAC e introduzione da parte dei soggetti privati di sanzioni nel sistema disciplinare adottato ai sensi del d.lgs. n. 231/2001.

 

 

Lo scopo del presente documento è quello di definire le modalità, le procedure, gli strumenti e le responsabilità con le quali l’Orchestra Sinfonica di Sanremo (di seguito, per brevità, semplicemente “Sinfonica”) intende definire, implementare e manutenere misure organizzative e tecnologiche necessarie e sufficienti a:

• garantire, per le persone che effettuano le segnalazioni, un livello adeguato di protezione secondo quanto previsto dal D.Lgs. 24/2023 e s.m.i;
• garantire che il processo di gestione delle segnalazioni delle violazioni avvenga nel pieno rispetto dei diritti e delle libertà garantite dalle vigenti normative in materia di protezione dei dati personali;
• definire le modalità di svolgimento delle istruttorie successive alle segnalazioni;
• monitorare l’efficacia ed efficienza della presente procedura, in modo da assicurare nel tempo la conformità alle evoluzioni normative, organizzative e tecnologiche.

 

 

1. 1. Processi coinvolti

La presente procedura si applica a tutte le attività correlate con la protezione delle persone che segnalano violazioni di   disposizioni   normative   nazionali o dell'Unione europea che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica o dell'ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato.

 

1. 2. Ambito temporale

E’ possibile effettuare la segnalazione:

• quando il rapporto giuridico è in corso;
• quando il rapporto giuridico non è ancora iniziato, se le informazioni sulle violazioni sono state acquisite durante il processo di selezione o in altre fasi precontrattuali;
• durante il periodo di prova;
• successivamente allo scioglimento del rapporto giuridico se le informazioni sulle violazioni sono state acquisite prima dello scioglimento del rapporto stesso (pensionati).
  3. Soggetti interessati (stakeholder)

Il Decreto individua l’ambito soggettivo di applicazione della nuova disciplina con contenuti molto innovativi rispetto alla precedente normativa. Vi sono ricompresi, tra l’altro, tutti i soggetti che si trovino anche solo temporaneamente in rapporti lavorativi con una amministrazione o con un ente privato, pur non avendo la qualifica di dipendenti (es. i volontari, i tirocinanti, retribuiti o meno) nonché, seppur a determinate condizioni, coloro che ancora non abbiano un rapporto giuridico con l’ente (in fase di trattative precontrattuali) ovvero coloro il cui rapporto sia cessato o che siano in periodo di prova.

 

Quanto agli enti tenuti ad applicare la disciplina e tenuti a prevedere misure di tutela per il dipendente che denuncia gli illeciti, la norma si riferisce sia soggetti del settore pubblico, sia a soggetti del settore privato.

Come evidenziato da ANAC, le tipologie di soggetti pubblici o privati sono individuabili con il sistema di rinvii alle norme che, riferendosi ai soggetti da tutelare, indirettamente identificano anche i datori di lavoro di questi ultimi, dando luogo a una notevole estensione della disciplina ad enti ed imprese di diritto privato.

 

In parallelo, il decreto amplia notevolmente, rispetto alla precedente normativa, il novero dei soggetti a cui viene riconosciuta protezione, anche da ritorsioni, in caso di segnalazione, interna o esterna, divulgazione pubblica e denuncia all’Autorità giudiziaria.

 

Ulteriore novità del Decreto consiste nel fatto che la tutela è riconosciuta, oltre a determinati soggetti del settore pubblico e del settore privato che effettuano segnalazioni, denunce o divulgazioni pubbliche, anche ad alcuni soggetti diversi dal segnalante che potrebbero essere destinatari di ritorsioni anche indirette, in ragione del ruolo assunto nell’ambito del processo di segnalazione, divulgazione pubblica o denuncia e/o del particolare rapporto che li lega al segnalante o denunciante.

 

I soggetti tutelati diversi da chi segnala, denuncia o effettua divulgazioni pubbliche sono i seguenti:

• Facilitatore, persona fisica che assiste il segnalante nel processo di segnalazione, operante all’interno del medesimo contesto lavorativo e la cui assistenza deve essere mantenuta riservata;
• Persone del medesimo contesto lavorativo del segnalante, denunciante o di chi effettua una divulgazione pubblica e che sono legate ad essi da uno stabile legame affettivo o di parentela entro il quarto grado;
• Colleghi di lavoro del segnalante, denunciante o di chi effettua una divulgazione pubblica, che lavorano nel medesimo contesto lavorativo della stessa e che hanno con detta persona un rapporto abituale e corrente;
• Enti di proprietà, in via esclusiva o in compartecipazione maggioritaria di terzi, del segnalante, denunciante o di chi effettua una divulgazione pubblica;
• Enti presso i quali il segnalante, denunciante o chi effettua una divulgazione pubblica lavorano (art. 3, co. 5, lett. d));
• Enti che operano nel medesimo contesto lavorativo del segnalante, denunciante o di chi effettua una divulgazione pubblica.

 

Whistleblower (Sentinella)	Il Whistleblower è la persona che segnala, divulga ovvero denuncia all'autorità giudiziaria o contabile, violazioni di disposizioni normative nazionali o dell'Unione Europea che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica o dell'ente privato, di cui è venuto a conoscenza in un contesto lavorativo pubblico privato.
	Dipendenti pubblici (compresi i Dipendenti di società in house, concessionari di pubblico servizio, etc) Lavoratori subordinati Lavoratori autonomi che svolgono la propria attività lavorativa presso soggetti del settore pubblico o del settore privato Collaboratori, liberi professionisti e i consulenti che prestano la propria attività presso soggetti del settore pubblico o del settore privato Volontari e i tirocinanti, retribuiti e non retribuiti, Azionisti e le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza, anche qualora tali funzioni siano esercitate in via di mero fatto, presso soggetti del settore pubblico o del settore privato.
Facilitatori	Sono le figure, interne e/o esterne all’organizzazione, deputate a mettere in atto ogni risorsa utile a gestire in conformità con il D.Lgs. n. 24/2023 il processo di gestione delle segnalazioni
RPCT	Responsabile Prevenzione Corruzione Trasparenza – responsabile operativo per la gestione delle segnalazioni e la garanzia in materia di applicazione delle tutele previste dal c.d. “Whistleblowing”
DPO	Data Protection Officer – consultato per la valutazione in merito alle segnalazioni potenzialmente impattanti in ambito protezione dati personali, responsabile operativo per il follow up delle segnalazioni in tale ambito, responsabile operativo per garantire la riservatezza “by design” e “by default” del processo Whistleblowing

 

1. 4. Ambito della segnalazione

Oggetto di segnalazione, denuncia e divulgazione pubblica sono informazioni sulle violazioni di specifiche normative nazionali e dell’Unione Europea: il legislatore individua con una certa ampiezza le tipologie di illeciti da considerare e solo queste rilevano affinché una segnalazione, una divulgazione pubblica o una denuncia possano essere considerate ai fini dell’applicabilità della disciplina.

 

Nella trattazione sull’ambito oggettivo rientrano anche le comunicazioni ad ANAC delle ritorsioni che coloro che hanno effettuato segnalazioni, denunce o divulgazioni pubbliche ritengono di aver subito nel proprio contesto lavorativo. Anche in tal caso, la nuova disciplina si evolve rispetto alla precedente, poiché fornisce un elenco, sia pure non tassativo, di misure ritorsive, dopo aver esteso la tutela anche a soggetti diversi dal segnalante, divulgatore e denunciante.

 

Il Decreto stabilisce che sono oggetto di segnalazione, divulgazione pubblica o denuncia le informazioni sulle violazioni che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato.

 

Le informazioni possono riguardare sia le violazioni commesse, sia quelle non ancora commesse che il whistleblower, ragionevolmente, ritenga possano concretizzarsi. Possono essere oggetto di segnalazione, divulgazione pubblica o denuncia anche condotte volte ad occultare le violazioni.

 

Non sono ricomprese, tra le informazioni, violazioni segnalabili o denunciabili ai sensi della normativa in questione, le notizie palesemente prive di fondamento, le informazioni che sono già totalmente di dominio pubblico, nonché informazioni acquisite solo sulla base di indiscrezioni sommarie (cd. voci di corridoio).

 

Il legislatore ha inteso tipizzare gli illeciti, gli atti, i comportamenti o le omissioni che possono essere segnalati, divulgati o denunciati, indicando - con una tecnica di rinvio che la stessa ANAC definisce piuttosto complessa - cosa sia qualificabile come violazione.

 

Diversamente da quanto previsto nelle precedenti Linee Guida ANAC n. 469/2021, non sono più ricomprese, tra le violazioni segnalabili, le irregolarità nella gestione o organizzazione dell’attività.

La ratio di fondo è quella sempre e comunque di valorizzare i principi costituzionali di buon andamento e imparzialità dell’azione amministrativa di cui all’art. 97 Cost. nonché quello della correttezza dell’azione in capo ai soggetti che operano nell’ambito di un ente pubblico o privato, rafforzando i principi di legalità nonché della libertà di iniziativa economica e di libera concorrenza tutelati ai sensi dell’art. 41 della Cost.

 

Ai fini di un inquadramento completo dell’ambito oggettivo di applicazione, è indispensabile tener conto del fatto che il legislatore specifica ciò che non può essere oggetto di segnalazione, divulgazione pubblica o denuncia.

Si riporta di seguito la elencazione fornita da ANAC:

 Le contestazioni, rivendicazioni o richieste legate ad un interesse di carattere personale del segnalante o della persona che ha sporto una denuncia all'Autorità giudiziaria o contabile e che attengano esclusivamente ai propri rapporti individuali di lavoro o di impiego pubblico, ovvero inerenti ai propri rapporti di lavoro o di impiego pubblico con le figure gerarchicamente sovraordinate. Sono quindi, escluse, ad esempio, le segnalazioni riguardanti vertenze di lavoro, discriminazioni tra colleghi, conflitti interpersonali tra la persona segnalante e un altro lavoratore;

 Le segnalazioni di violazioni, laddove già disciplinate in via obbligatoria dagli atti dell'Unione europea o nazionali, indicate nella parte II dell'allegato al decreto ovvero da disposizioni nazionali che costituiscono attuazione degli atti dell'Unione europea (indicati nella parte II dell'allegato alla direttiva (UE) 2019/1937, seppur non indicati nella parte II dell'allegato al decreto);

 Le segnalazioni di violazioni in materia di sicurezza nazionale, nonché di appalti relativi ad aspetti di difesa o di sicurezza nazionale, a meno che tali aspetti rientrino nel diritto derivato pertinente dell'Unione europea.

Le segnalazioni che riguardino argomenti disciplinati da disposizioni nazionali o dell’UE su: informazioni classificate (cd. segreto di Stato); segreto professionale forense; segreto professionale medico; segretezza delle deliberazioni degli organi giurisdizionali; segretezza derivante da norme di procedura penale, dalla autonomia e indipendenza della magistratura, da esigenze di difesa nazionale e di ordine e sicurezza pubblica, dall’esercizio dei diritti dei lavoratori (diritto di consultare i propri rappresentanti o i sindacati, con garanzia di protezione contro le condotte o gli atti illeciti posti in essere in ragione di tali consultazioni).

 

Le informazioni sulle violazioni devono riguardare comportamenti, atti od omissioni di cui il segnalante o il denunciante sia venuto a conoscenza in un contesto lavorativo pubblico o privato.

L’accezione da attribuire al contesto lavorativo deve necessariamente essere ampia e considerarsi non solo con riguardo a chi abbia un rapporto di lavoro in senso stretto con l’organizzazione del settore pubblico o privato.

Occorre infatti considerare anche coloro che abbiano instaurato con i soggetti pubblici e privati altri tipi di rapporti giuridici (consulenti, collaboratori, volontari, tirocinanti, azionisti degli stessi soggetti pubblici e privati ove assumano la forma societaria, persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza). Ciò anche quando si tratti di situazioni precontrattuali, periodi di prova o situazioni successive allo scioglimento del rapporto giuridico se le informazioni sulle violazioni sono state acquisite nel corso del rapporto stesso.

Pertanto, a rilevare è l’esistenza di una relazione qualificata tra il segnalante e il soggetto pubblico o privato nel quale il primo opera, relazione che riguarda attività lavorative o professionali presenti o anche passate.

 

Le segnalazioni da cui non sia possibile ricavare l’identità del segnalante sono considerate anonime.

I soggetti del settore pubblico e del settore privato che ricevono le segnalazioni tramite canali interni considerano le segnalazioni anonime alla stregua di segnalazioni ordinarie da trattare secondo i criteri stabiliti nei rispettivi ordinamenti.

Nei casi di segnalazione, denuncia all'autorità giudiziaria o contabile o divulgazione pubblica anonime, se la persona segnalante è stata successivamente identificata e ha subito ritorsioni si applicano le misure di protezione per le ritorsioni.

 

E’ possibile segnalare comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato e che consistono in:

• Violazione di disposizioni normative nazionali
  • illeciti amministrativi, contabili, civili o penali
  • condotte illecite rilevante ai sensi del D.Lgs. n. 231/2001 oppure violazione dei modelli di organizzazione e gestione ivi previsti
• Violazione di disposizioni normative europee illeciti che rientro nell’ambito di applicazione degli atti dell’Unione Europea relativi ai settori in elenco:
  • appalti pubblici;
  • servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo;
  • sicurezza e conformità dei prodotti;
  • sicurezza dei trasporti;
  • tutela dell’ambiente;
  • radioprotezione e sicurezza nucleare;
  • sicurezza degli alimenti e dei mangimi e salute e benessere degli animali;
  • salute pubblica;
  • protezione dei consumatori;
  • tutela della vita privata e protezione dei dati personali;
  • sicurezza delle reti e dei sistemi informativi.
• Atti e/o omissioni che ledono gli interessi finanziari dell’unione europea
• Atti e/o omissioni riguardato il mercato interno (violazioni in materia di concorrenza di aiuti di Stato)
• Atti e/o comportamenti che vanificano l’oggetto la finalità delle disposizioni di cui agli atti dell’unione

Possono inoltre essere oggetto di segnalazione:

• i comportamenti volti a occultare le condotte illecite oppure a sviare eventuali verifiche in corso
• informazioni, concrete, precise e concordanti, che il segnalatore ritenga possano condurre ad attività illecite

 

1. 5. Criterio di valutazione della segnalazione

Coloro i quali sono deputati a valutare la liceità della segnalazione devono escludere il criterio della motivazione, che deve essere ritenuto irrilevante. In altri termini, l’oggetto, la veridicità e l’affidabilità della segnalazione di attività illecite che riguardino la Società in senso lato sono gli elementi fondamentali ed in quest’ottica non dovrà essere esclusa la segnalazione pur potenzialmente motivata (a mero titolo di esempio) dall’interesse personale.

 

1. 6. Ambito di esclusione

Viceversa, non si applicano le disposizioni tutelanti del D.Lgs 24/2023, qualora la segnalazione riguardasse esclusivamente questioni relative ad interessi lavorativi personali (contestazioni, rivendicazioni o richieste legate ad un interesse di carattere personale della persona segnalante che attengono esclusivamente ai propri rapporti individuali di lavoro o di impiego pubblico, ovvero inerenti ai propri rapporti di lavoro o di impiego pubblico con le figure gerarchicamente sovraordinate). 

 

Il Decreto, nel recepire le indicazioni della Direttiva europea, ha previsto un sistema diversificato di presentazione delle segnalazioni.

 

L’amministrazione o ente deve approntare canali interni per ricevere e trattare le segnalazioni. Questi canali sono senza dubbio privilegiati, in quanto più prossimi all’origine delle questioni oggetto della segnalazione.

 

Solo ove si verifichino particolari condizioni specificamente previste dal legislatore i segnalanti possono fare ricorso al canale esterno attivato presso ANAC ai sensi degli artt. 5 ss. del D. Lgs. 24/2023.

 

Nell’ottica di consentire di scegliere il canale di segnalazione più adeguato in funzione delle circostanze specifiche del caso, è stata prevista anche la possibilità di effettuare una divulgazione pubblica, ma in presenza di particolari condizioni assolutamente residuali e rigidamente disciplinate dall’art. 15 del D. Lgs. 24/2023

 

Si deve comunque effettuare una denuncia nei casi in cui il diritto dell’Unione o nazionale imponga alle persone segnalanti di rivolgersi alle autorità nazionali competenti, per esempio nell’ambito dei propri doveri e responsabilità professionali o in ragione del fatto che la violazione possa costituire reato.

 

I riferimenti normativi sono elencati nell’allegato omonimo, in modo da semplificare e massimizzare l’efficacia in previsione di aggiornamenti futuri in ottica di manutenzione ed aggiornamento della presente procedura.

 

Di seguito sono riportati i ruoli e le responsabilità dei soggetti coinvolti, per fasi di attività

 

Attività	Responsible (operativo)	Accountable (decisionale)	Consulted	Informed
Budget e risorse	RPCT	CDA	RPCT, DPO	Assemblea Soci
Protezione dati personali	RPCT / DPO	Titolare del trattamento	DPO	CDA
Formazione ed informazione	HR	CDA	RPCT, DPO	Stakeholder
Predisposizione strumenti tradizionali ed avanzati di gestione del canale interno	RPCT / DPO	RPCT	RPCT / DPO	Stakeholder
Strumenti tradizionali gestione canale interno (email, cassetta dedicata, incontro diretto, etc)	RPCT	RPCT	DPO	Stakeholder
Gestione Piattaforma (IT)		RPCT	DPO, RPCT	CDA
Ricezione e valutazione segnalazioni	RPCT	CDA	RPCT, DPO	Stakeholder
Follow-up segnalazioni	RPCT	CDA	DPO, RPCT	CDA, Stakeholder

 

1. 1. Budget e risorse

Il CDA deve assicurare le risorse necessarie e sufficienti a garantire la conformità normativa alle disposizioni attuali e future in materia di Whistleblowing, assicurando che siano disponibili per i responsabili delle attività sia il budget sia le competenze ed il tempo necessario.

 

 

L’art. 4 del D. Lgs. 24/2023 prevede che i soggetti del settore pubblico e i soggetti del settore privato, sentite le rappresentanze o le organizzazioni sindacali di cui all'articolo 51 del decreto legislativo n. 81 del 2015, attivino propri canali di segnalazione che garantiscano, anche tramite il ricorso a strumenti di crittografia, la riservatezza dell'identità della persona segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione.

 

Con il presente atto organizzativo, la Sinfonica intende stabilire:

1) il ruolo ed i compiti dei soggetti a cui è consentito l’accesso alle informazioni e ai dati contenuti nella segnalazione;

2) i canali di segnalazione interna, previa individuazione dei relativi profili di adeguatezza;

3) modalità e termini di conservazione dei dati.

 

7.1 Ruoli e compiti

La gestione dei canali di segnalazione interna è affidata al Responsabile Prevenzione Corruzione e Trasparenza (RPCT), il quale può avvalersi di personale espressamente autorizzato a ricevere o a dare seguito alle segnalazioni, ai sensi degli articoli 29 e 32, paragrafo 4, del regolamento (UE) 2016/679 e dell'articolo 2-quaterdecies del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196. Tale autorizzazione terrà conto del principio del privilegio minimo (PoLP), mutuato dall’ambiente della sicurezza delle informazioni, secondo il quale, ad un utente, vengono concessi i livelli – o permessi – minimi di accesso dei quali ha bisogno per svolgere le proprie mansioni.

 

Al fine di garantire la riservatezza dei soggetti che beneficino della tutela normativa prevista dal D. Lgs.24/2023, la loro identità potrà essere conosciuta solo dal RPCT e, su sua disposizione, dal Delegato.

 

La segnalazione interna presentata ad un soggetto diverso dal RPCT è trasmessa a quest’ultimo, senza ritardo e, comunque, entro sette giorni dal suo ricevimento, dando contestuale notizia della trasmissione alla persona segnalante. È fatto divieto al ricevente di prendere conoscenza del contenuto della segnalazione (e dell’identità del segnalante) nel caso in cui risulti chiaramente, nell’oggetto della segnalazione o da altri elementi esteriori, che si tratta di una segnalazione per la quale si intende mantenere riservata l’identità del segnalante e beneficiare delle tutele previste nel caso di eventuali ritorsioni subite in ragione della segnalazione.

 

7.2 Canali di segnalazione interna

Secondo quanto previsto dal Decreto, le segnalazioni possono essere effettuate:

 in forma scritta, anche con modalità informatiche (piattaforma on line);

 su richiesta della persona segnalante, mediante un incontro diretto fissato entro un termine ragionevole.

 

Al fine di promuovere e valorizzare comportamenti eticamente adeguati da parte del personale aziendale impiegato ad ogni livello negli affidamenti di beni, servizi e lavori, una specifica direttiva disporrà l’inserimento nei documenti contrattuali dell’obbligo, in capo all’operatore economico, di rendere nota a dipendenti e subappaltatori la procedura del c.d. “Whistleblowing” con link diretto alla pagina dedicata sul sito internet della Sinfonica.

 

La Sinfonica intende favorire il ricorso all’istituto del whistleblowing, assicurando molteplicità di canali disponibili e adeguate procedure gestionali.

 

È necessario che la segnalazione sia il più possibile circostanziata al fine di consentire la delibazione dei fatti da parte del RPCT o di ANAC.

In particolare, è necessario risultino chiare:

- le circostanze di tempo e di luogo in cui si è verificato il fatto oggetto della segnalazione;

- la descrizione del fatto;

- le generalità o altri elementi che consentano di identificare il soggetto cui attribuire i fatti segnalati.

È utile anche allegare documenti che possano fornire elementi di fondatezza dei fatti oggetto di segnalazione, nonché l’indicazione di altri soggetti potenzialmente a conoscenza dei fatti.

 

7.2.1 Segnalazioni anonime

Le segnalazioni da cui non sia possibile ricavare l’identità del segnalante sono considerate anonime.

Le segnalazioni anonime sono prese in considerazione solo ove si presentino adeguatamente circostanziate e sono rese con dovizia di particolari, in modo da far emergere fatti e situazioni connessi a contesti determinati. Ad ogni modo, il segnalante anonimo, ove successivamente identificato, può beneficiare della tutela che il Decreto garantisce, alle condizioni stabilite dallo stesso.

La Sinfonica registra a protocollo riservato le segnalazioni anonime ricevute e conserva la relativa documentazione non oltre cinque anni decorrenti dalla data di ricezione di tali segnalazioni, rendendo così possibile rintracciarle, nel caso in cui il segnalante comunichi ad ANAC di aver subito misure ritorsive a causa di quella segnalazione anonima.

 

7.2.2 Protezione dei dati personali

L‘assolvimento degli obblighi previsti dal Decreto, comporta il trattamento di dati personali, riguardanti le persone fisiche che beneficiano della tutela normativa nonché di quelle coinvolte nell’attività di gestione delle segnalazioni.

 

Rispetto a tali trattamenti la Sinfonica, nella qualità di Titolare del trattamento, ha definito il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, sulla base di una valutazione d' impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 del RGPD.

 

La scelta dei canali di segnalazione interna e la predisposizione delle misure tecniche ed organizzative ha visto il coinvolgimento del Responsabile della Protezione dei Dati Personali (RPD o DPO), il quale dovrà esprimere parere favorevole sulle conclusioni contenute nella DPIA.

 

Sarà cura della Sinfonica garantire che gli interessati ricevano le informazioni di cui agli articoli 13 e 14 del RGPD, secondo criteri di tempestività ed adeguatezza, privilegiando la modalità digitale.

 

È istituita, all’interno del sito web istituzionale della Sinfonica, apposita pagina dedicata all’istituto del whistleblowing, presso la quale sono rese disponibili informazioni dettagliate circa i canali a disposizione per inviare segnalazioni, il collegamento alla piattaforma informatica dedicata ed il collegamento ai canali di segnalazione esterni individuato da ANAC.

 

 

7.2.3 Piattaforma informatica

È istituita e resa disponibile, quale canale di segnalazione e di comunicazione con il segnalante, primariamente consigliato, una piattaforma informatica, raggiungibile via web da chi intenda effettuare una segnalazione, nonché da parte del RPCT e del personale autorizzato. Essa presenta tutte le caratteristiche di sicurezza necessarie a garantire la protezione dell’identità del segnalante e delle altre persone tutelate dalla normativa di riferimento.

 

In caso di modifica soggettiva del RPCT o del soggetto da questi delegato, la Sinfonica provvede immediatamente a disabilitare il relativo accesso alla piattaforma e ad abilitare il nuovo soggetto.

 

La piattaforma consente l’acquisizione delle segnalazioni che il segnalante intenda effettuare in forma scritta. E’ possibile il caricamento di documenti in formato digitale.

 

La piattaforma informatica dedicata costituisce un registro speciale di protocollazione e consente l’identificazione di ogni segnalazione ricevuta mediante l’attribuzione di un codice univoco progressivo (key code), generato in modo casuale e automatico dalla piattaforma stessa.

Si precisa che, in caso di smarrimento del key code, il segnalante non può effettuare l’accesso alla segnalazione. Il key code non può essere replicato. Si rammenta quindi che è onere del segnalante averne adeguata cura. In caso di smarrimento del key code diventa onere del segnalante far presente al RPCT tale situazione, comunicando ogni informazione utile, in merito alla segnalazione di cui ha smarrito il key code.

 

Una volta effettuato l’accesso alla piattaforma informatica, il segnalante che non intenda rimanere anonimo, inserisce le informazioni che lo identificano univocamente e le informazioni in suo possesso per identificare eventuali altri soggetti citati nella segnalazione.

 

Resta naturalmente salva la possibilità per il segnalante di effettuare un’apposita registrazione alla Piattaforma.

 

L’interessato è in ogni caso tenuto a compilare, in modo chiaro, preciso e circostanziato, tutte le sezioni del modulo di segnalazione fornendo le informazioni richieste come obbligatorie e il maggior numero possibile di quelle facoltative.

 

Il segnalante che abbia inserito la segnalazione tramite piattaforma non può, successivamente, accedere ad essa attraverso altri canali.

 

Al fine di garantire una più efficace e sicura gestione della segnalazione, ogni qualvolta pervenga una segnalazione a mezzo di un canale diverso dalla piattaforma dedicata, il RPCT invita il segnalante a creare una nuova segnalazione, utilizzando la piattaforma, all’interno della quale annotare l’avvenuta presentazione di una segnalazione attraverso un altro canale.

Ove, a seguito dell’invito ricevuto, il segnalante proceda con l’inserimento della nuova segnalazione, il RPCT (o suo delegato) vi inserisce le informazioni ed i documenti già eventualmente ricevuti attraverso altro canale. Ogni ulteriore attività, quale l’acquisizione di documenti ed informazioni, il caricamento di documenti ed eventuali comunicazioni con il segnalante, avverrà con tale modalità.

Nel caso in cui il segnalante, debitamente invitato, non inserisca una nuova segnalazione sulla piattaforma dedicata, il RPCT (o suo delegato) procederà con la creazione di una segnalazione, qualificata come “interna”, nella quale inserire tutte le informazioni ed i documenti acquisiti con altro canale.

 

L’utilizzo della piattaforma informatica consente al segnalante di accedere alla propria segnalazione fino a cinque anni successivi alla data dell’archiviazione da parte della Sinfonica della segnalazione stessa - tramite l’utilizzo del codice identificativo univoco (key code) che gli viene fornito all’esito della procedura di segnalazione (sia essa anonima o con identificazione) – e di dialogare con la Sinfonica. Ciò al fine di monitorare lo svolgimento del procedimento amministrativo eventualmente avviato in seguito alla segnalazione.

 

Si auspica un comportamento collaborativo del segnalante, al quale si richiede, anche nel proprio interesse, di tenere costantemente aggiornata la Sinfonica in ordine all’evoluzione della propria segnalazione/comunicazione, soprattutto quando questa non sia più connotata dal carattere di attualità.

 

In ragione delle caratteristiche operative e delle misure tecniche ed organizzative adottate, la medesima piattaforma viene altresì individuata quale strumento gestionale di tutta l’attività (istruttoria compresa) compiuta dal RPCT o suo delegato, in relazione alle segnalazioni pervenute, anche se provenienti da canali differenti.

La piattaforma registra le operazioni svolte dal RPCT e dal personale autorizzato, ai fini dell'attribuzione delle responsabilità delle operazioni eseguite.

I soggetti autorizzati ad operare sulla piattaforma, in modalità c.d. back-end sono il RPCT ed i soggetti dal medesimo delegati, con compiti di gestione delle segnalazioni ed il personale tecnico con compiti di amministratore del sistema informatico, non autorizzato ad accedere alle segnalazioni né all’identità del segnalante.

 

7.2.4 Segnalazioni a mezzo posta o consegna diretta

In alternativa all’utilizzo della piattaforma, il segnalante può ricorrere a forme di comunicazione scritta tradizionali, quali la spedizione a mezzo posta o la consegna diretta.

In entrambi i casi, la procedura da seguire – a garanzia dell’identità del segnalante – è la seguente:

• inserire la segnalazione in una busta, che deve riportare all’esterno la dicitura “Riservata al Responsabile della Prevenzione della Corruzione e Trasparenza” od altra equivalente, in modo da consentire la comprensione del fatto che si tratta di una segnalazione per la quale si intende mantenere riservata la propria identità e beneficiare delle tutele previste nel caso di eventuali ritorsioni subite in ragione della segnalazione;

• nel caso il segnalante intenda rivelare la propria identità, inserire nella stessa busta un’altra busta chiusa, che deve recare al suo interno un biglietto con indicate le generalità del segnalante (nome, cognome, indirizzo, sede di lavoro, numero di telefono, indirizzo e-mail o pec);

• nel caso il segnalante non intenda rivelare la propria identità, indicare eventuali modalità con le quali il ricevente potrà comunicare con il segnalante stesso (si veda quanto previsto in relazione all’utilizzo della piattaforma informatica).

 

Il soggetto ricevente curerà la trasmissione della busta al RPCT, senza aprirla.

 

La documentazione analogica fatta pervenire dal segnalante è acquisita in modalità digitale per essere registrata all’interno della piattaforma dedicata, sotto la responsabilità del RPCT, il quale assicura che la conservazione analogica avverrà con modalità tali da proteggere l’identità del segnalante e delle altre persone fisiche che beneficiano della medesima tutela.

Eventuali documenti informatici sono registrati nella piattaforma dedicata ed i supporti, utilizzati per la relativa trasmissione, sono conservati con le stesse modalità della documentazione analogica.

 

È escluso l’utilizzo della posta elettronica quale canale di segnalazione interna.

 

7.2.5 Appuntamento con il RPCT

Il segnalante che non intenda avvalersi dei canali di segnalazione di cui sopra, può, con qualsiasi mezzo, analogico o digitale, scritto od orale, chiedere un incontro diretto che sarà tenuto entro 30 giorni dalla richiesta, dal RPCT o suo delegato. La richiesta di appuntamento non costituisce segnalazione e non sono raccolte informazioni diverse ed ulteriori rispetto a quelle necessarie alla fissazione e gestione dell’incontro. In particolare, è onere del segnalante non rivelare la propria identità e l’oggetto della segnalazione.

 

Il personale addetto comunicherà al segnalante il giorno di disponibilità del RPCT per permettere il realizzarsi dell’appuntamento, telefonico od in presenza.

 

Non è consentito effettuare una segnalazione direttamente utilizzando il tradizionale sistema telefonico. Nessun ufficio, né tantomeno il servizio di call center, è autorizzato a ricevere (e gestire) segnalazioni telefoniche.

 

La documentazione e verbalizzazione della segnalazione orale, resa durante l’incontro, avverrà nel rispetto di quanto previsto dall’art. 14 del D.Lgs. 24/2023. In particolare, la segnalazione, previo consenso della persona segnalante, è documentata mediante registrazione su un dispositivo idoneo alla conservazione e all'ascolto oppure mediante verbale. In caso di verbale, la persona segnalante può verificare, rettificare e confermare il verbale dell'incontro mediante la propria sottoscrizione.

 

La verbalizzazione dell’incontro, unitamente alla documentazione analogica eventualmente consegnata dal segnalante è acquisita in modalità digitale per essere registrata all’interno della piattaforma dedicata, sotto la responsabilità del RPCT, il quale assicura che la conservazione analogica avverrà con modalità tali da proteggere l’identità del segnalante e delle altre persone fisiche che beneficiano della medesima tutela.

 

Eventuali documenti informatici sono registrati nella piattaforma dedicata ed i supporti utilizzati per la relativa trasmissione, sono conservati con le stesse modalità della documentazione analogica.

 

La protezione dei Whistleblower inizia dall’analisi del rischio inerente al processo di segnalazione ex D.Lgs. 24/2023.

L’insieme di procedure, attività, strumenti che concorrono al raggiungimento dello scopo della presente Whistleblowing è definito da ora in poi “processo Whistleblowing”.

 

1. 1. Analisi e gestione del rischio

Sono di seguito elencate le categorie di rischio prese in esame dalla presente procedura:

 

1. 1. 1. Rischio di mancata segnalazione

Si intende il rischio di mancate segnalazioni di attività illecite poiché il potenziale Segnalante è portato a ritenere che:

1. la Sua segnalazione verrà ignorata / sottovalutata dalla Sinfonica;
2. la Sua persona possa essere oggetto di attività persecutorie da parte della Sinfonica alla quale appartiene e la Sua immagine diffamata attribuendo alla segnalazione una caratteristica negativa di delazione;

e pertanto sceglie di non procedere alla segnalazione, temendo per l’inefficacia della segnalazione versus un impatto negativo sulla Sua vita sociale e lavorativa.

E’ responsabilità del CDA della Sinfonica predisporre le seguenti misure organizzative allo scopo di mitigare l’accadimento di tale rischio inerente:

 

Rischio	Mitigazione
Ambiente culturalmente e organizzativamente ostile alla cultura del Whistleblowing	Formazione del personale coinvolto nel processo. Informative pubblicate e diffuse tramite il sito aziendale. Diffusione a tutti gli stakeholder della cultura del Whistleblowing, come fattore mitigante delle malversazioni. Evidenza di misure organizzative e tecnologiche, documentate e sottoposte a monitoraggio e miglioramento continuo, poste a protezione dei soggetti segnalanti.

 

1. 1. 2. Rischio di inefficacia

Questo rischio riguarda la possibilità che – una volta ricevuta – la segnalazione non sia correttamente ed adeguatamente processata, rendendo inefficace l’attività e alimentando un clima di sfiducia nel processo Whistleblowing.

 

Rischio	Mitigazione
Segnalazione ignorata / sottovalutata	Implementazione di un insieme di procedure, sottoposte a continua valutazione e miglioramento, per massimizzarne l’efficacia (gestione del ciclo di segnalazione che giunge agli obiettivi leciti del segnalante) ed efficienza (gestione rapida del ciclo, entro i termini normativamente previsti) del processo Whistleblowing Corretta attribuzione delle responsabilità per la gestione del ciclo di segnalazione. Monitoraggio dell’effettiva esecuzione delle fasi di gestione e di follow-up della segnalazione, da parte degli attori principali (RCPT, DPO), con report al CDA. Inserimento nell’agenda delle riunioni CDA della fase di valutazione sia delle segnalazioni pervenute sia del complessivo funzionamento del processo Whistleblowing.
Mobbing lavorativo e diffamazione del segnalante	Progettazione “by design” di sistemi di raccolta e gestione delle segnalazioni, così che garantiscano ab origine la riservatezza del segnalante. Stipula di adeguati contratti di riservatezza (NdA) con gli attori interni e Contratti protezione dati con i Responsabili del trattamento. Coinvolgimento, ove necessario, delle Rappresentanze Sindacali interne a protezione del Segnalante nell’ambito lavorativo e del DPO per gli aspetti generali di protezione dei dati personali del Segnalante. Progettazione ed applicazione di misure di protezione dei soggetti segnalanti, misure documentate e sottoposte a monitoraggio e miglioramento continuo.

 

1. 1. 3. Rischio di mancata protezione del Segnalante

Rischio

Mitigazione

Mobbing lavorativo e diffamazione del segnalante

Progettazione “by design” di sistemi di raccolta e gestione delle segnalazioni, così che garantiscano ab origine la riservatezza del segnalante. Divieto di ogni forma di ritorsione (anche tentata / minacciata) tramite procedure che prevedano l’esame collegiale di eventuali forme di pressione indebita sul Segnalante, coinvolgimento, ove necessario, delle Rappresentanze Sindacali (interne / esterne) a protezione del Segnalante nell’ambito lavorativo e del DPO aziendale per gli aspetti generali di protezione dei dati personali. Stipula di adeguati contratti di riservatezza (NdA) con gli attori interni e Contratti protezione dati con i Responsabili del trattamento. Progettazione ed applicazione di misure di protezione preventiva dei soggetti segnalanti, misure documentate e sottoposte a monitoraggio e miglioramento continuo.

 

1. 1. 4. Rischi protezione dati personali

Il rischio che i diritti e le libertà riconosciute al Segnalante ed a tutti gli stakeholder coinvolti, deve essere preventivamente misurato tramite DPIA (Valutazione degli Impatti Protezione Dati).

I rischi connessi ai trattamenti necessari all’esecuzione del processo Whistleblowing devono essere misurati sia periodicamente sia ad ogni segnalazione, qualora sussista la possibilità che le mitigazioni applicate non risultino efficaci, nello specifico caso in esame.

E’ responsabilità del Titolare monitorare il rischio in questo ambito, con il supporto operativo del DPO e dei Referenti interni in materia di protezione dati personali.

 

Il RPCT e tutti gli stakeholder coinvolti nella segnalazione (figure di supporto del RPCT, amministratore di sistema, personale incaricato autorizzato al trattamento dei dati personali) sono responsabili, anche disciplinarmente, qualora venisse violata la riservatezza dell’identità del segnalante, il contenuto della segnalazione e le informazioni ivi contenute.

 

1. 1. 1. 1. Limitazioni all’esercizio dei diritti

Sono applicate le previsioni novellate dal comma f) dell’art. 2-undecies del D.Lgs. 196/2003, a protezione della riservatezza del segnalante. Riportiamo di seguito – per facilità di lettura – il comma sopra citato:

“f) alla riservatezza dell'identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte, ai sensi del decreto legislativo recante attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione, ovvero che segnala violazioni ai sensi degli articoli 52-bis e 52-ter del decreto legislativo 1° settembre 1993, n. 385, o degli articoli 4-undecies e 4-duodecies del decreto legislativo 24 febbraio 1998, n. 58;”

 

La segnalazione (compresa la documentazione eventualmente allegata) deve essere pertanto sottratta al diritto di accesso agli atti amministrativi (art. 22 e ss. Legge n.241/1990), nonché all’accesso civico generalizzato (art. 5 comma 2 D. Lgs. n.33/2013).

E’ responsabilità del RPCT provvedere in tal senso, sentito se necessario il DPO.

 

1. 1. 1. 2. Rischio di diffamazione

Si intende il rischio che la segnalazione venga dolosamente effettuata dal Segnalante per danneggiare terzi.

 

Rischio

Mitigazione

Diffamazione tramite il processo di Whistleblowing

Tutti gli stakeholder coinvolti nel processo hanno il dovere di approfondire adeguatamente le informazioni ricevute tramite la segnalazione e di verificarne la veridicità con la maggior obiettività possibile. Il DPO deve inoltre supportare il Titolare del trattamento nella necessità di coinvolgere i controinteressati dalla segnalazione, tutelando i diritti e le libertà garantite dalle vigenti normative in materia di protezione dati personali.

 

1. 1. 5. Data retention

Le segnalazioni e la relativa documentazione sono conservate per il tempo necessario alla gestione della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione. In adempimento al principio di minimizzazione dei dati (lett c) del comma 1) art. 5 del GDPR – Principi applicabili al trattamento di dati personali), i dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, devono essere immediatamente eliminati.

I dati personali raccolti nel processo di segnalazione sono trattati dalla Sinfonica in qualità di Titolare del trattamento nel rispetto dei principi e degli obblighi sanciti dalla normativa sulla protezione dei dati personali (Regolamento UE n. 2016/679 – GDPR e D. lgs n. 196/2003 – Codice Privacy) e sono protetti con misure di sicurezza adeguate. Ulteriori informazioni sul trattamento dei dati personali sono reperibili nell’informativa resa disponibile sul sito web della Sinfonica.

 

1. 1. 6. Protezione degli stakeholder coinvolti

Sono adottate tutte le misure necessarie a tutelare l’integrità fisica, la dignità e la salute mentale del Segnalante, assicurando un’adeguata tutela da qualsiasi forma di ritorsione, penalizzazione, discriminazione o minacce.

 

La Sinfonica, in qualità di Titolare del trattamento dati personali, disporrà a far sì che le misure di sicurezza “by default” implementate in ambito protezione dati personali, siano poste a salvaguardia dei dati personali di tutti gli attori coinvolti nel processo Whistleblowing e puntualmente durante il trattamento della segnalazione, con le seguenti caratteristiche specifiche:

• le misure di sicurezza dovranno essere parametrizzate alla necessità di trattare i dati della segnalazione come se appartenessero alla categoria “dati particolari” e/o “dati relativi alla salute”, quindi con il massimo livello di protezione possibile;
• dovrà essere eseguita opportuna valutazione degli impatti (DPIA), le cui risultanze sono discriminanti per la progettazione iterativa di misure di sicurezza sempre più efficaci e stringenti, fino a che il risultato sia che il rischio complessivo dei trattamenti subordinati al processo Whistleblowing non sia valutato “basso” dal DPO;
• stipula di contratti di riservatezza con i facilitatori, con i Responsabili del trattamento e con tutti gli attori del processo;
• audit DPO del processo, sia periodico sia contestuale a segnalazioni particolarmente impattanti dal punto di vista privacy.

 

1. 2. Progettazione dei canali di segnalazione interna

In relazione ai canali di segnalazione interna di cui al precedente paragrafo 7.2, sono previste le seguenti misure di sicurezza:

 

Canale	Misura di sicurezza
Applicativo dedicato, progettato per assicurare un adeguato livello di sicurezza (misurata secondo i paradigmi di disponibilità, riservatezza ed integrità) accessibile a tutti gli stakeholder tramite il apposito link	SLA tecnologico ed organizzativo per lo scouting della miglior soluzione (inclusa una versione on premise), come da allegata “Scheda SLA applicativo Whistleblowing” DPA con gli (eventuali) fornitori coinvolti, in qualità di responsabili
Pubblicazione del link di collegamento all’applicativo sul sito Istituzionale, nell’Area “Società Trasparente” sotto-sezione “Whistleblowing”	Audit RPCT e DPO di verifica dell’avvenuta pubblicazione, dei parametri di sicurezza concordati (SLA)
Servizio postale (o posta interna), inviando all’attenzione del Responsabile Prevenzione Corruzione e Trasparenza (RPCT) la segnalazione scritta in busta chiusa contenente la dicitura “STRETTAMENTE RISERVATA”	Protocollo riservato posta tradizionale
Incontro con il RPCT, contattando il centralino	Istruzione del personale addetto

 

 

1. 1. 1. Riservatezza “by design” e “by default” dei canali interni

In ogni fase del processo “Whistleblowing” viene protetta l’identità della persona segnalante, della persona segnalata e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione.

 

Qualora il Segnalante non intendesse rivelare la propria identità, gli strumenti:

• piattaforma digitale gestione segnalazione
• protocollo riservato

devono essere configurate “by design” per garantire l’anonimato e mantenere comunque la possibilità di dialogo ed approfondimento – per quanto necessario ed opportuno – della segnalazione.

 

E’ compito del Titolare del trattamento, sentito il DPO, provvedere a far sì che le informative in materia di Whistleblowing siano adeguate, sia in termini di rispetto normativo in materia di protezione dati personali sia per gli aspetti peculiari del processo Whistleblowing.

Il RPCT dovrà consultare il DPO e/o il Titolare per ogni aspetto propedeutico (“by design”) e per eventuali aspetti puntuali delle segnalazioni in esame.

 

 

1. 1. Fase 1 – Registrazione segnalazione

Il RPCT provvede a riportare i dati fondamentali della segnalazione utilizzando la piattaforma dedicata.

 

Il RPCT, oltre a ricevere e prendere in carico le segnalazioni, pone in essere gli atti necessari ad una prima attività di verifica e di analisi delle segnalazioni ricevute. In primo luogo, spetta al RPCT la valutazione in ordine all’afferenza della segnalazione all’ambito di applicazione oggettivo di cui all’art. 1 del d.lgs. 24/2023. In particolare, un corretto seguito implica, in primo luogo, nel rispetto di tempistiche ragionevoli e della riservatezza dei dati, una valutazione sulla sussistenza dei requisiti essenziali della segnalazione per valutarne l’ammissibilità e poter quindi accordare al segnalante le tutele previste.

 

1. 2. Fase 2 – Valutazione preliminare e ammissibilità segnalazione

Fase di valutazione preliminare della segnalazione, al fine di assegnare:

• la rilevanza della segnalazione relativamente al campo di applicazione del D.Lgs. n. 24/2023
• la gravità della segnalazione
• la presenza di interessi personali del Segnalante e di eventuali altri soggetti
• la necessità di approfondire il contenuto della segnalazione e con quali mezzi avviare l’indagine

e di identificare gli stakeholder coinvolti, con relativa tabella RACI, ai quali verrà assegnato il compito di avviare un’istruttoria puntuale.

 

La segnalazione è considerata inammissibile e viene archiviata in via diretta dal RPCT per i seguenti motivi:

a) manifesta infondatezza per l’assenza di elementi di fatto riconducibili alle violazioni tipizzate nell’art. 2, comma 1, lett. a) del d.lgs. 24/2023;

b) manifesta incompetenza della Sinfonica sulle questioni segnalate;

c) accertato contenuto generico della segnalazione di illecito tale da non consentire la comprensione dei fatti, ovvero segnalazione di illeciti corredata da documentazione non appropriata o inconferente tale da non far comprendere il contenuto stesso della segnalazione;

d) produzione di sola documentazione in assenza della segnalazione di condotte illecite;

Nel caso di cui alle lett. c) e d), il RPCT può chiedere al segnalante elementi integrativi tramite il canale a ciò dedicato o anche di persona, ove il segnalante abbia richiesto un incontro diretto.

 

Il RPCT dovrà documentare i criteri di valutazione e tracciare la decisione di consegnare il materiale documentale alla successiva fase istruttoria.

Il RPCT è tenuto a concludere la fase di valutazione preliminare e ammissibilità entro 15 giorni, decorrenti dalla ricezione della segnalazione.

 

1. 3. Fase 3 – Istruttoria

Una volta valutata l’ammissibilità della segnalazione, quale segnalazione di whistleblowing, il RPCT avvia l’istruttoria interna sui fatti o sulle condotte segnalate. Spetta al RPCT compiere una prima imparziale delibazione sulla sussistenza di quanto rappresentato nella segnalazione, in coerenza con il dato normativo, che si riferisce a una attività “di verifica e di analisi” e non di accertamento sull’effettivo accadimento dei fatti. Non spetta al RPCT accertare le responsabilità individuali qualunque natura esse abbiano, né svolgere controlli di legittimità o di merito su atti e provvedimenti adottati dalla Sinfonica, oggetto di segnalazione, a pena di sconfinare nelle competenze dei soggetti a ciò preposti all’interno di ogni ente o amministrazione ovvero della magistratura. Ciò in linea con le indicazioni già fornite nella Delibera ANAC n. 840 del 2 ottobre 2018 concernente in generale i poteri del RPCT.

 

E’ responsabilità del RPCT vigilare in modo da assicurare al processo istruttorio le caratteristiche di

• Tempestività
• Indipendenza
• Equità
• Riservatezza

tracciando opportunamente ogni decisione, richiesta di supporto interno e/o esterno e acquisizione di informazioni, con l’obiettivo di giungere ad una conclusione sulla veridicità della segnalazione e sulla necessità di segnalare alle Autorità competenti il potenziale reato, corredato di tutte le informazioni raccolte strutturate e delle decisioni motivate e tracciate.

 

Qualora, a seguito dell’attività svolta, il RPCT ravvisi elementi di manifesta infondatezza della segnalazione, ne dispone l’archiviazione con adeguata motivazione.

 

Qualora, invece, il RPCT ravvisi il fumus di fondatezza della segnalazione si rivolge immediatamente agli organi preposti interni o enti/istituzioni esterne, ognuno secondo le proprie competenze, in particolare:

a) fuori dai casi di inammissibilità, il RPCT trasmette agli organi preposti interni, competenti per materia, la segnalazione di illeciti, avendo cura di indicare che si tratta di segnalazione whistleblowing e che pertanto devono essere adottate tutte le cautele necessarie in termini di tutela della riservatezza e di trattamento dei dati personali. Relativamente alla trasmissione della segnalazione questa, a seguito di apposizione di protocollo riservato, di norma dovrà avvenire mezzo PEC, provvedendo ad espungere i dati ed ogni altro elemento che possa, anche indirettamente, consentire l’identificazione del segnalante e degli altri soggetti tutelati dal Decreto. Le attività istruttorie necessarie a dare seguito alla segnalazione, incluse le audizioni e le acquisizioni documentali, spettano esclusivamente all’Ufficio di vigilanza competente. Restano ferme le responsabilità disciplinari previste per violazione degli appositi doveri di comportamento e per violazione delle norme sulla tutela dei dati personali previste dal codice di settore. Al fine di consentire al RPCT di dare riscontro alla persona segnalante entro tre mesi dalla data dell'avviso di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione, gli uffici di vigilanza competenti, precedentemente investiti della questione, forniscono al RPCT le informazioni necessarie relative al seguito che è stato dato o che si intende dare alla segnalazione almeno 15 giorni prima della scadenza del termine trimestrale. Infine, il RPCT provvede a comunicare alla persona segnalante l’esito finale dell’istruttoria dell’Ufficio di vigilanza competente, che può consistere anche nell’archiviazione o nella trasmissione degli atti alle Autorità competenti o nella comminazione di sanzioni disciplinari;

b) Qualora la segnalazione abbia ad oggetto illeciti che rilevano sotto il profilo penale o erariale, il RPCT provvede alla loro immediata trasmissione alla competente Autorità giudiziaria o contabile, nel rispetto della tutela della riservatezza come prevista dalla normativa de qua;

c) qualora la segnalazione di illeciti abbia ad oggetto violazioni che rientrano altresì nella competenza di altra autorità amministrativa (a titolo meramente esemplificativo, l’Ispettorato della Funzione Pubblica, AGCM, Autorità dei Trasporti) o di un’istituzione, organo o organismo dell’Unione Europea, il RPCT, fatta salva la trasmissione di cui alla precedente lett. a), dispone la trasmissione per gli eventuali seguiti di competenza:

d) qualora la segnalazione abbia ad oggetto violazioni che rientrano nella competenza di Istituzioni, organi o organismi dell’Unione Europea, il RPCT provvede a trasmettere a tali soggetti la segnalazione per gli eventuali seguiti di competenza (a titolo meramente esemplificativo si pensi al caso delle violazioni che ledono gli interessi finanziari dell’UE) dandone comunicazione al segnalante.

 

Il RPCT rende conto al Consiglio di Amministrazione del numero di segnalazioni ricevute e del loro stato di avanzamento nella Relazione annuale di cui all’art. 1, co. 14, della legge 190/2012, garantendo comunque la riservatezza dell’identità del segnalante.

 

9.3.1 Poteri istruttori

Per il compimento delle attività di propria competenza, il RPCT può anche acquisire informazioni, atti e documenti da altri uffici della Sinfonica, avvalersi del loro supporto, coinvolgere terze persone tramite audizioni ed altre richieste, avendo sempre cura che non sia compromessa la tutela della riservatezza del segnalante e delle altre persone tutelate dal Decreto.

 

Il RPCT che constati essere stati raccolti dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione ne dispone l’immediata cancellazione o distruzione, annotando la categoria dei dati e le ragioni della ritenuta non utilità.

 

Per lo svolgimento dell’istruttoria, il RPCT può avviare un dialogo con il whistleblower, chiedendo allo stesso chiarimenti, documenti e informazioni ulteriori, sempre tramite i canali a ciò dedicati. In particolare, nella procedura di segnalazione interna la persona coinvolta può essere sentita, ovvero, su sua richiesta, è sentita, anche mediante procedimento cartolare attraverso l'acquisizione di osservazioni scritte e documenti.

 

9.3.2 Comunicazioni con il segnalante

Nell'ambito della gestione del canale di segnalazione interna, il RPCT:

1. rilascia alla persona segnalante avviso di ricevimento della segnalazione entro sette giorni dalla data di ricezione;

2. mantiene le interlocuzioni con la persona segnalante e può richiedere a quest'ultima, se necessario, integrazioni;

3. fornisce riscontro alla segnalazione entro tre mesi dalla data dell'avviso di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione;

4. mette a disposizione informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne, nonché sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni esterne (sito internet e intranet)

 

Qualora il segnalante abbia effettuato la segnalazione attraverso la piattaforma dedicata, le comunicazioni e l’acquisizione di documenti ed informazioni avvengono per il tramite della piattaforma medesima. Nel caso in cui il segnalante abbia effettuato la segnalazione avvalendosi di canali diversi dalla piattaforma dedicata, le comunicazioni e l’acquisizione di documenti ed informazioni avvengono utilizzando il canale di scelto dal segnalante.

 

 

1. 4. Fase 4 – Trasmissione

In relazione alle comunicazioni effettuate dal RPCT ai sensi di quanto previsto dal precedente paragrafo 9.3, lettera b), giova evidenziare che la normativa vigente non indica espressamente le modalità che la Sinfonica è tenuta a seguire al fine di tutelare la riservatezza dell’identità del segnalante. Si ritiene, quindi - pur nella consapevolezza degli obblighi di legge vigenti rispetto ai procedimenti penali e a quelli davanti alla Corte dei Conti espressamente richiamati al comma 3 e al comma 4 dell’art. 12 del d.lgs. n. 24/2023 - che la trasmissione della segnalazione alla Autorità giudiziaria ordinaria e a quella contabile debba avvenire specificando che si tratta di una segnalazione whistleblowing, nel cui processo di gestione si dovrà pertanto assumere ogni cautela per garantire il rispetto delle disposizioni previste dal decreto. Laddove l’Autorità giudiziaria per esigenze istruttorie volesse conoscere il nominativo del segnalante, l’ente provvede a comunicare l’identità del medesimo. Nel caso in cui l’ente provveda all’inoltro della segnalazione alla competente Procura, dandone comunicazione al segnalante, eventuali successive integrazioni dovranno essere direttamente trasmesse da quest’ultimo all’Autorità giudiziaria individuata.

 

In relazione alle comunicazioni effettuate dal RPCT ai sensi di quanto previsto dal precedente paragrafo 9.3, lettera c), occorrerà evidenziare che si tratta di una segnalazione whistleblowing e che pertanto devono essere adottate tutte le cautele necessarie in termini di tutela della riservatezza e di trattamento dei dati personali. Relativamente alla trasmissione della segnalazione questa, a seguito di apposizione di protocollo riservato, di norma dovrà avvenire mezzo PEC.

 

In relazione alle comunicazioni effettuate dal RPCT ai sensi di quanto previsto dal precedente paragrafo 9.3, lettera d), ai sensi dell’art. 13, comma 1, del d.lgs. 24/2023, la comunicazione di dati personali da parte delle istituzioni, degli organi o degli organismi dell'Unione europea è effettuata in conformità del regolamento (UE) 2018/172.

 

E’, in ogni caso, necessario che il RPCT tenga traccia dell’attività svolta e fornisca informazioni al segnalante sullo stato di avanzamento dell’istruttoria, almeno con riferimento ai principali snodi decisionali.

 

 

La scelta del canale di segnalazione non è più rimessa alla discrezione del whistleblower, che deve, anzitutto, procedere tramite il canale interno a meno che non si verifichi almeno una delle seguenti condizioni:

• non è prevista, nell'ambito del contesto lavorativo, l'attivazione obbligatoria del canale di segnalazione interna ovvero questo, anche se obbligatorio, non è attivo oppure, anche se attivato, non è conforme a quanto previsto dall'articolo 4 del D.Lgs. n. 24/2023 (“Canali segnalazione interna”) poiché:
  • non vi sono adeguate garanzie di riservatezza

e/o

• • il RPCT non è adeguatamente formato oppure non lo sono gli altri attori essenziali (DPO)
• la persona segnalante ha già effettuato una segnalazione interna senza ottenere adeguato riscontro;
• la persona segnalante ha fondati motivi di ritenere che la segnalazione interna possa essere inefficace oppure innescare rivalse e ritorsioni;
• il segnalante ritiene che vi sia un pericolo immediato ed evidente per il pubblico interesse.

 

Qualora il segnalante ritenesse che neppure con il canale esterno vi fossero adeguate garanzie per l’efficacia ed efficienza della segnalazione e per la tutela della Sua persona, può ricorrere alla segnalazione pubblica.

 

Pertanto, è necessario che il segnalante sia adeguatamente informato della necessità di tenere traccia delle segnalazioni effettuate, per dimostrare la necessità assoluta del ricorso alla soluzione esterna oppure pubblica.

In caso contrario, il segnalante potrebbe non disporre delle protezioni previste dal D.Lgs 24/2023.

 

 

Il Decreto, in conformità alla precedente disciplina, riconosce ai soggetti tutelati anche la possibilità di valutare di rivolgersi alle Autorità nazionali competenti, giudiziarie e contabili, per inoltrare una denuncia di condotte illecite di cui questi siano venuti a conoscenza in un contesto lavorativo pubblico o privato.

 

ANAC richiama l’attenzione sui seguenti punti:

• qualora il whistleblower rivesta la qualifica di pubblico ufficiale o di incaricato di pubblico servizio, anche laddove lo stesso abbia effettuato una segnalazione attraverso i canali interni o esterni previsti dal decreto, ciò non lo esonera dall’obbligo - in virtù di quanto previsto dal combinato disposto dell’art. 331 c.p.p. e degli artt. 361 e 362 c.p - di denunciare alla competente Autorità giudiziaria o contabile i fatti penalmente rilevanti e le ipotesi di danno erariale;
• in ogni caso l’ambito oggettivo degli artt. 361 e 362 c.p., disponendo l’obbligo di denunciare soltanto reati (procedibili d’ufficio), è più ristretto di quello delle segnalazioni effettuabili dal whistleblower che può segnalare anche illeciti di altra natura;
• laddove il dipendente pubblico denunci un reato all’Autorità giudiziaria ai sensi degli artt. 361 o 362 c.p. e poi venga discriminato per via della segnalazione, potrà beneficiare delle tutele previste dal decreto per le ritorsioni subite;
• le stesse regole sulla tutela della riservatezza e del contenuto delle segnalazioni vanno rispettate dagli uffici delle Autorità giurisdizionali cui è sporta la denuncia.

 

 

Tutta la documentazione prodotta nell’ambito delle attività disciplinate nella presente procedura è conservata a cura del RPCT che dovrà documentare, se del caso, l’attribuzione ad altri soggetti aziendali della responsabilità della conservazione in originale della documentazione.

La stessa è, inoltre, messa a disposizione, su richiesta, solo ed esclusivamente ai soggetti autorizzati sulla base delle procedure aziendali e dell’organizzazione interna.

I documenti prodotti nell’ambito delle attività descritte nella presente procedura devono essere conservati per il periodo previsto dalle normative vigenti.

 

 

La verifica periodica (con periodicità adeguata alla struttura ed al livello di rischio di ispezione) della corretta applicazione della presente procedura deve essere condotta da RPCT (in veste simulata di “Internal Audit”) con attività di simulazione di segnalazione Whistleblowing.

Si considera metrica di misura l’efficienza e l’efficacia nella valutazione della liceità della segnalazione, nella corretta attribuzione della categoria di segnalazione effettuata, nella valutazione di aspetti privacy (presenza di controinteressati, livello di riservatezza, etc) ed infine nell’efficacia ed efficienza complessiva nel portare a termine la simulazione.

 

 

La presente Procedura è pubblicata sul sito internet della Sinfonica nella sezione “Società trasparente” sotto-sezione “Altri contenuti” “Whistleblowing”. E’ inoltra diffusa a tutti i Dipendenti tramite pubblicazione sulla bacheca interna e durante le fasi di formazione interna.