Prima di accedere nel portale Whistleblowing di MiT, dedicato alla gestione delle segnalazioni di condotte illecite si prega di leggere la “Procedura Whistleblowing” qui sotto riportata.
1. PREMESSA
La presente Procedura illustra i principi e le misure adottate da MIT SIM S.p.A. (di seguito la “Società” o la “SIM”) in materia di sistemi interni di segnalazione delle violazioni, o whistleblowing, coerentemente con il quadro normativo vigente.
In via generale, attraverso il whistleblowing i dipendenti e collaboratori di una società, come di seguito meglio individuati, segnalano, a specifici individui o organismi, un reato, un illecito o qualunque condotta irregolare, commessa da altri soggetti appartenenti all’organizzazione. La finalità del whistleblowing è quindi quella di consentire alle organizzazioni di affrontare tempestivamente il problema segnalato, contribuendo alla prevenzione e al contrasto di eventuali illeciti. Pertanto, un’efficiente gestione dei sistemi di segnalazione delle violazioni contribuisce non solo ad individuare e contrastare possibili illeciti ma anche a diffondere la cultura dell’etica e della legalità all’interno delle organizzazioni. La presente Procedura è adottata nel rispetto del quadro normativo applicabile alla SIM, di seguito sinteticamente illustrato. La disciplina del whistleblowing assume rilevanza, con riferimento alla SIM, in via generale in forza delle disposizioni recate in materia di responsabilità amministrativa degli enti, per la disciplina in materia di antiriciclaggio nonché con riferimento al quadro normativo applicabile alla stessa in quanto intermediario vigilato, in particolare in ragione di quanto previsto dalla normativa sugli abusi di mercato. Con riferimento all’ambito antiriciclaggio, l’articolo 48 del Decreto Legislativo 25 maggio 2017, n. 90 che modifica, dando attuazione in ambito nazionale alla Direttiva (UE) 849/2015 (c.d. “IV Direttiva Antiriciclaggio”), il Decreto Legislativo 21 novembre 2007, n. 231, introduce l’obbligo di adozione del sistema di segnalazione di violazioni, potenziali o effettive, delle disposizioni dettate in funzione di prevenzione del riciclaggio e del finanziamento del terrorismo. In particolare, è previsto che tale sistema garantisca la tutela della riservatezza dell’identità del segnalante e del presunto responsabile delle violazioni e la tutela del soggetto che effettua la segnalazione contro condotte ritorsive, discriminatorie o sleali conseguenti la segnalazione. Inoltre, deve essere previsto uno specifico canale di segnalazione anonimo e indipendente, proporzionato alla natura e alle dimensioni del soggetto obbligato.
Con riferimento, invece, alle disposizioni che disciplinano l’attività svolta dagli intermediari, a seguito dell’entrata in vigore del Decreto Legislativo 3 agosto 2017, n. 129, sono stati introdotti nel Decreto legislativo del 24 febbraio 1998, n. 58 (“TUF”) l’articolo 4-undecies “Sistemi interni di segnalazione delle violazioni” e l’articolo 4-duodecies “Procedura di segnalazione alle Autorità di Vigilanza” che hanno esteso l’ambito di applicazione delle segnalazioni interne, da parte del personale, agli atti o fatti che possano costituire violazioni delle norme disciplinanti l’attività svolta, incluso il Regolamento (UE) n. 596/2014 sugli abusi di mercato. In particolare, l’articolo 4-undecies del TUF prevede che gli intermediari adottino procedure specifiche per la segnalazione al proprio interno, da parte del personale, di atti o fatti che possano costituire violazioni delle norme disciplinanti l’attività svolta, incluse quelle in tema di abusi di mercato, e ne individua gli elementi necessari in termini di garanzie e tutele dei soggetti segnalanti e segnalati. L’articolo prevede inoltre che la Banca d’Italia e la Consob, secondo le rispettive competenze, adottino le necessarie disposizioni attuative. Al riguardo, si evidenzia che la Banca d’Italia ha emanato, in data 5 dicembre 2019, il “Regolamento di attuazione degli articoli 4-undecies e 6, comma 1, lettere b) e c-bis), del TUF” che, ai sensi del combinato disposto degli articoli 39 e 9, prevede, con riferimento alle SIM, che “L’organo con funzione di supervisione strategica approva i sistemi interni di segnalazione delle violazioni”, secondo quanto previsto al relativo Allegato 4. L’articolo 4-duodecies del TUF prevede invece che la Banca d’Italia e la Consob ricevano, ciascuna per le materie di propria competenza, da parte del personale dei soggetti indicati dall’articolo 4-undecies del TUF, le segnalazioni che si riferiscono a violazioni delle norme del TUF, nonché di atti dell’Unione europea direttamente applicabili nelle stesse materie. In particolare, le segnalazioni di presunte violazioni delle norme del TUF e del Regolamento (UE) n. 596/2014 sono effettuate alla Consob secondo le procedure e i canali adottate dalla stessa conformemente a quanto previsto dalla direttiva di esecuzione (UE) 2015/2392. Anche la Banca d’Italia ha attivato due canali telematici dedicati alla ricezione delle segnalazioni aventi a oggetto possibili violazioni normative o presunte irregolarità gestionali riscontrate presso intermediari vigilati dalla stessa e dedicati a dipendenti e collaboratori degli intermediari vigilati (“Segnalazioni whistleblowing”) o soggetti terzi (“Segnalazioni aziendali”).
2. RIFERIMENTI NORMATIVI
Si riportano di seguito le principali fonti legislative, di rango nazionale ed europeo, che recano la disciplina in materia di whistleblowing:
- Decreto Legislativo 21 novembre 2007, n. 231 e successive modifiche ed integrazioni, recante l’attuazione della direttiva 2005/60/CE concernente la prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo nonché della direttiva 2006/70/CE che ne reca misure di esecuzione;
- Decreto legislativo 8 giugno 2001, n. 231 e successive modifiche ed integrazioni, recante la disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica;
- Decreto Legislativo del 24 febbraio 1998, n. 58, e successive modifiche ed integrazioni, recante il testo unico delle disposizioni in materia di intermediazione finanziaria; • Regolamento (UE) 596/2014 del Parlamento europeo e del Consiglio, del 16 aprile 2014, relativo agli abusi di mercato;
- Direttiva di esecuzione (UE) 2015/2392) della Commissione, del 17 dicembre 2015, relativa al Regolamento (UE) n. 596/2014 del Parlamento europeo e del Consiglio e concernente la segnalazione alle autorità competenti di violazioni effettive o potenziali del suddetto Regolamento;
- Provvedimento della Banca d’Italia del 5 dicembre 2019 recante le norme di attuazione degli articoli 4-undecies e 6, comma 1, lettere b) e c-bis), del TUF;
- Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (“GDPR”);
- Decreto Legislativo 30 giugno 2003, n. 196 e successive modifiche ed integrazioni recante il “Codice in materia di protezione dei dati personali”.
Ai fini della presente Procedura possono altresì assumere rilevanza altre disposizioni normative comunque applicabili tra cui quelle in materia giuslavoristica, nonché, ove rilevanti, le disposizioni civili e penali eventualmente applicabili caso per caso.
3. NORMATIVA INTERNA
- Codice Etico di MiT Sim approvato dal Consiglio di Amministrazione;
- Modello di Organizzazione gestione e controllo ex D. Lgs. 231/01;
- Sistema procedurale della Società.
4. OGGETTO DELLA PROCEDURA
La presente Procedura ha l’obiettivo di individuare soluzioni organizzative in materia di whistleblowing al fine di implementare il sistema interno di segnalazione delle violazioni, in conformità con quanto previsto dalle disposizioni normative richiamate al paragrafo 2 e, nel rispetto del principio di proporzionalità, coerentemente con il profilo dimensionale e la complessità operativa della Società. A tal fine, la Procedura individua:
- l’ambito di applicazione soggettivo, ovverosia i soggetti che possono fare una segnalazione;
- l’ambito di applicazione oggettivo, ovverosia gli atti o i fatti che possono essere oggetto di segnalazione;
- le modalità per la trasmissione delle segnalazioni;
- il ruolo dei soggetti preposti alla loro ricezione;
- il procedimento di valutazione delle segnalazioni;
- le modalità attraverso cui il soggetto segnalante e il soggetto segnalato sono informati sugli sviluppi del procedimento;
- le forme di tutela dei soggetti segnalanti e segnalati;
- la formazione del personale della SIM.
Il sistema interno delle segnalazioni di cui alla presente Procedura è adottato con delibera del Consiglio di Amministrazione.
5. AMBITO DI APPLICAZIONE
La presente Procedura si applica a tutto il personale della SIM, ovverosia, ai sensi dell’art. 1, co. 1, lett. i-ter, TUF e dell’articolo 1, comma 2, lettera cc) del Decreto Legislativo n. 231 del 2007, ai dipendenti e a coloro che comunque operano sulla base di rapporti che ne determinano l’inserimento nell’organizzazione aziendale, anche in forma diversa dal rapporto di lavoro subordinato. (il “Personale”). La SIM aggiorna almeno annualmente, e in ogni caso quando si rende necessario, il perimetro dei soggetti che possono effettuare le segnalazioni.
Costituiscono segnalazioni, ai fini della presente Procedura, tutte le comunicazioni aventi ad oggetto il ragionevole e legittimo sospetto o la consapevolezza di violazioni, potenziali o effettive, della disciplina applicabile alla SIM ovvero di fatti e circostanze che possano recare un danno alla stessa o a terzi (le “Segnalazioni”). In particolare, possono essere segnalati, in via esemplificativa, fatti o azioni che potrebbero integrare reati, illeciti, irregolarità, che siano suscettibili di arrecare un pregiudizio patrimoniale o di immagine alla Società, che siano suscettibili di arrecare un danno alla salute o sicurezza dei dipendenti, che siano posti in essere in violazione delle disposizioni interne potenzialmente sanzionabili dal punto di vista disciplinare.
6. NOMINA DEL RESPONSABILE DEI SISTEMI INTERNI DI SEGNALAZIONE
Conformemente a quanto previsto dalle disposizioni normative applicabili, la SIM designa un Responsabile dei sistemi interni di segnalazione (il “Responsabile”), con il compito di assicurare il corretto funzionamento del sistema di segnalazione delle violazioni. La SIM individua nell’Organismo di Vigilanza il soggetto responsabile dei sistemi interni di segnalazione. Coerentemente con le previsioni normative e con il proprio modello organizzativo e operativo, in ragione del principio di proporzionalità, la SIM ha ritenuto di attribuire al Responsabile dei sistemi interni di segnalazione anche le attività di ricezione delle Segnalazioni nonché di esame e valutazione delle stesse. Qualora il Responsabile dei sistemi interni di segnalazione sia il presunto responsabile della violazione, ovvero sia gerarchicamente o funzionalmente subordinato al soggetto segnalato, ovvero abbia un potenziale interesse correlato alla segnalazione tale da compromettere l’imparzialità di giudizio, le attività di ricezione, esame e valutazione delle Segnalazioni sono svolte dalla Funzione Compliance, quale “Funzione di riserva”. Infine, il Responsabile redige una relazione annuale sul corretto funzionamento del sistema interno di segnalazione, fornendo informazioni aggregate sulle risultanze dell’attività svolta a seguito delle segnalazioni ricevute. La relazione è sottoposta all’attenzione del Consiglio di Amministrazione e successivamente messa a disposizione del Personale della SIM. Nello svolgimento delle proprie funzioni, il Responsabile dei sistemi interni di segnalazione riferisce direttamente e senza indugio al Collegio Sindacale circa i riscontri emersi, ove rilevanti.
7. SEGNALAZIONI INTERNE
7.1. INVIO DELLA SEGNALAZIONE
La Segnalazione deve riguardare condotte fondate su elementi di fatto precisi e concordanti di cui il soggetto segnalante (il “Segnalante”) sia venuto a conoscenza in ragione delle funzioni lavorative svolte. È possibile segnalare esclusivamente i fatti che siano di diretta conoscenza del Segnalante e non siano stati riferiti da altri soggetti. Le segnalazioni possono riguardare tutto il Personale della SIM, ivi inclusi dipendenti e dirigenti di ogni ordine e grado, membri degli organi societari nonché terzi collegati a tali soggetti quali consulenti terzi o fornitori.
In particolare, la Segnalazione deve contenere i seguenti elementi:
- generalità del soggetto segnalante, con indicazione dell’inquadramento e della qualifica professionale, sede di lavoro e recapiti;
- luogo e data o arco temporale in cui si è verificato il fatto oggetto della Segnalazione; • descrizione chiara e completa dei fatti oggetto di Segnalazione;
- ove noto, ambito normativo di riferimento (ad esempio la disciplina in materia di abusi di mercato, intermediazione mobiliare, antiriciclaggio);
- generalità o altri elementi che consentano di identificare il soggetto o i soggetti che hanno posto in essere i fatti segnalati (il/i “Segnalato/i”);
- eventuali altri soggetti che possono riferire sui fatti oggetto di Segnalazione ovvero eventuali altri soggetti a conoscenza dei fatti;
- ogni altra informazione utile a fornire riscontro circa la sussistenza dei fatti oggetto della Segnalazione;
- eventuali documenti (da allegare) che possono confermare la fondatezza di tali fatti;
- dichiarazione del Segnalante in merito all’assenza o alla sussistenza di un interesse privato collegato alla Segnalazione.
È possibile effettuare una Segnalazione anonima; tuttavia, una Segnalazione anonima ovvero una Segnalazione priva dei predetti elementi può essere ritenuta infondata dal Responsabile il quale, quando mancano elementi essenziali per la valutazione della stessa, può ritenere che non sussistano sufficienti elementi per procedere all’esame di merito della stessa. Le segnalazioni possono essere effettuate tramite:
- canale digitale di segnalazione – l’applicativo informativo raggiungibile dal sito web della Società ed accessibile da qualsiasi pc, tablet o smartphone;
- posta ordinaria, all’indirizzo della Società, all’attenzione del Responsabile dei sistemi interni di segnalazione ed in busta chiusa che rechi all’esterno la dicitura “Riservata”.
Si suggerisce di utilizzare il canale digitale di segnalazione, poiché:
- l’uso della posta ordinaria non può garantire il medesimo livello di protezione dell’anonimato dei segnalanti e di efficienza nella gestione delle segnalazioni;
- in caso di segnalazione anonima, l’uso del canale digitale di segnalazione è l’unica modalità che consente di chiedere chiarimenti al segnalante, mantenendo il suo anonimato.
Nel caso in cui la segnalazione sia effettuata tramite posta ordinaria, il Segnalante è tenuto ad utilizzare il modello riportato in allegato alla presente Procedura (“Allegato – Modulo per la segnalazione delle violazioni”). Qualora il Responsabile dei sistemi interni di segnalazione sia il presunto responsabile della violazione, ovvero sia gerarchicamente o funzionalmente subordinato al soggetto segnalato, ovvero abbia un potenziale interesse correlato alla Segnalazione tale da compromettere l’imparzialità di giudizio, la Segnalazione è effettuata alla Funzione di riserva all’indirizzo e-mail marco.aluigi@mitsim.it (Responsabile della Funzione Compliance) ovvero tramite posta ordinaria, indirizzandola alla Società, all’attenzione del Responsabile Compliance ed in busta chiusa che rechi all’esterno la dicitura “Riservata”. In ogni caso, dovrà essere garantita la riservatezza dei dati personali del Segnalante e del presunto responsabile della violazione, ferme restando le regole che disciplinano le indagini o i procedimenti avviati dall’autorità giudiziaria in relazione ai fatti oggetto della Segnalazione. L’identità del Segnalante è sottratta all’applicazione dell’articolo 15, comma 1, lettera g) del GDPR e non può essere rivelata per tutte le fasi della procedura, salvo suo consenso o quando la conoscenza sia indispensabile per la difesa del segnalato. Dovrà altresì essere garantita la tutela adeguata del soggetto segnalante contro condotte ritorsive, discriminatorie o comunque sleali conseguenti la segnalazione (cfr. paragrafo 8).
7.2. VALUTAZIONE PRELIMINARE DELLA SEGNALAZIONE
Il Responsabile dei sistemi interni di segnalazione riceve e verifica preliminarmente le segnalazioni ricevute, al fine di valutare la sussistenza dei relativi presupposti giuridici e di fatto per l’avvio della valutazione di merito della stessa. Tale valutazione viene effettuata anche attraverso successivi contatti con il Segnalante finalizzati all’ottenimento di ulteriori informazioni, ove necessario. Ad esito di tale valutazione:
i. nel caso in cui la Segnalazione risulti fondata, il Responsabile comunica l’esito di tale valutazione preliminare al Segnalante ed avvia la fase di valutazione di merito della stessa;
ii. nel caso in cui la Segnalazione risulti manifestamente infondata o non possieda i requisiti formali per essere presa in considerazione, il Responsabile comunica l’esito di tale valutazione preliminare al Segnalante e archivia la Segnalazione.
Nel caso in cui la valutazione preliminare si sia conclusa con una valutazione di infondatezza della Segnalazione, il Segnalante non è soggetto ad alcuna azione disciplinare fatto salvo qualora abbia agito con dolo e/o colpa grave, ovvero la Segnalazione sia stata effettuata al solo scopo di danneggiare o recare pregiudizio al Segnalato. Resta ferma l’eventuale responsabilità nelle ipotesi in cui sia configurabile in capo al Segnalante una responsabilità a titolo di calunnia e di diffamazione ai sensi delle disposizioni del Codice Penale o ai sensi dell’articolo 2043 del Codice Civile. Tale fase di valutazione preliminare della Segnalazione si conclude entro 20 giorni dalla trasmissione della stessa. La comunicazione al Segnalante circa l’esito della valutazione preliminare della Segnalazione è trasmessa con le medesime modalità adottate per la trasmissione della stessa e contiene una sintetica illustrazione delle ragioni che hanno condotto a ritenere fondata o meno la Segnalazione.
7.3. VALUTAZIONE DI MERITO DELLA SEGNALAZIONE
In caso di fondatezza della Segnalazione, il Responsabile dei sistemi interni di segnalazione procede con la verifica di merito della Segnalazione, effettuando ogni attività ritenuta opportuna, inclusa l’audizione del Segnalante, del Segnalato e/o di eventuali altri soggetti che possano riferire sui fatti segnalati, nonché richiedendo, se necessario, il supporto delle necessarie Funzioni aziendali ovvero di periti e consulenti esterni. In ogni caso, il Segnalato ha il diritto di essere messo a conoscenza dell’avvio di un processo di valutazione circa le presunte violazioni dallo stesso compiute e di trasmettere in forma scritta le proprie memorie circa i fatti oggetto di Segnalazione, entro 15 giorni dalla comunicazione. Resta esclusa la possibilità di effettuare un confronto diretto tra Segnalante e Segnalato, fatta salva l’ipotesi in cui i fatti oggetto della segnalazione siano di estrema rilevanza, sia strettamente necessario il confronto e il Segnalante abbia dato il proprio consenso a rivelare la propria identità al Segnalato. Tale attività di verifica è effettuata nel rispetto della normativa interna in tema di protezione dei dati personali, delle norme e dei principi contenuti nel Contratto Collettivo Nazionale del Lavoro applicabile e di tutte le norme vigenti. La valutazione di merito della Segnalazione si conclude nel minor tempo possibile e comunque entro 60 giorni dalla ricezione della Segnalazione, salvo casi eccezionali e opportunamente motivati in cui l’esame e la valutazione della Segnalazione possa estendersi fino a 180 giorni. In tal caso, il Responsabile informa il Collegio Sindacale del processo in corso e delle ragioni per le quali lo stesso non può concludersi in un lasso di tempo inferiore. A conclusione della valutazione, il Responsabile trasmette al Consiglio di Amministrazione e al Collegio Sindacale un apposito documento sugli esiti degli accertamenti svolti che illustri:
- gli elementi della Segnalazione;
- le verifiche svolte e gli eventuali soggetti terzi e funzioni aziendali coinvolti nel corso delle stesse;
- la valutazione del Responsabile dei sistemi interni di segnalazione, con specifica indicazione della fattispecie accertata/non accertata e delle relative motivazioni.
Quando i fatti oggetto della Segnalazione assumono rilevanza ai fini della disciplina in materia di contrasto al riciclaggio e finanziamento del terrorismo, il documento di cui sopra viene trasmesso anche al Responsabile Antiriciclaggio. Resta in ogni caso fermo che quando nel corso del processo di valutazione della Segnalazione si riscontrino comportamenti illegittimi particolarmente importanti, in ragione della condotta segnalata e/o della figura professionale interessata, il Responsabile informa senza indugio il Collegio Sindacale, il Responsabile Antiriciclaggio ove competente, e/o l’Amministratore Delegato e il Consiglio di Amministrazione. Nel caso in cui la valutazione di merito si concluda con l’accertamento delle violazioni oggetto della Segnalazione, il Consiglio di Amministrazione ed il Collegio Sindacale (e se del caso il Responsabile Antiriciclaggio) valutano l’eventuale adozione dei provvedimenti, anche disciplinari, di rispettiva competenza. Il Consiglio di Amministrazione può adottare provvedimenti di natura organizzativa e gestionale volti a prevenire il futuro ripetersi della violazione. Nel caso in cui il Segnalante sia corresponsabile della violazione oggetto di Segnalazione, può essere previsto un trattamento attenuato nei suoi confronti rispetto agli altri corresponsabili, salvi i casi in cui la condotta del Segnalante risulti di particolare gravità. Al riguardo, il Consiglio di Amministrazione e il Collegio Sindacale possono altresì valutare di segnalare alla Autorità di Vigilanza ovvero alle competenti autorità giudiziarie i fatti oggetto della Segnalazione qualora costituiscano gravi violazioni di disposizioni normative vigenti. Nel caso in cui la valutazione si sia conclusa con il mancato accertamento delle violazioni oggetto della Segnalazione, il Segnalante non è soggetto ad alcuna azione disciplinare fatto salvo qualora abbia agito con dolo e/o colpa grave, ovvero la Segnalazione sia stata effettuata al solo scopo di danneggiare o recare pregiudizio al Segnalato. Resta ferma l’eventuale responsabilità nelle ipotesi in cui sia configurabile in capo al Segnalante una responsabilità a titolo di calunnia e di diffamazione ai sensi delle disposizioni del Codice Penale o ai sensi dell’articolo 2043 del Codice Civile. In ogni caso, ad esito della valutazione di merito della Segnalazione, il Segnalante e il Segnalato sono informati circa la conclusione del processo di valutazione, l’esito della stessa e le relative motivazioni.
8. TUTELA DEL SEGNALANTE
8.1. Tutela dell’anonimato
Al fine di evitare che il timore di subire conseguenze pregiudizievoli possa indurre a non segnalare le violazioni, la SICAF garantisce la riservatezza e l’anonimato del Segnalante.
L’identità del Segnalante è sottratta all’applicazione dell’articolo 15, comma 1, lettera g) del GDPR e non può essere rivelata per tutte le fasi della procedura. A tal fine, nel corso dell’esame della Segnalazione di cui al paragrafo 7.2, l’identità del Segnalante non può essere rivelata a soggetti diversi da quelli coinvolti nel processo di esame della Segnalazione senza il suo espresso consenso. Pertanto, tutti i soggetti che ricevono la Segnalazione o sono coinvolti nella valutazione della sua fondatezza o, a tali fini, della gestione della Segnalazione, sono tenuti a tutelarne la riservatezza. L’identità del Segnalante può invece essere rivelata al soggetto Segnalato, con il consenso espresso del Segnalante nonché nei casi in cui la conoscenza dell’identità del Segnalante sia assolutamente indispensabile per la difesa del Segnalato. L’obbligo di riservatezza non sussiste nelle ipotesi in cui sia configurabile in capo al Segnalante una responsabilità per i reati di calunnia o di diffamazione ai sensi delle disposizioni del Codice Penale o ai sensi dell’articolo 2043 del Codice Civile, nonché in tutte le ipotesi in cui l’anonimato del Segnalante non sia opponibile per legge. La violazione dell’obbligo di riservatezza da parte dei soggetti che sono tenuti a garantire la stessa ai sensi della presente Procedura è considerata una violazione del GDPR ed è fonte di responsabilità disciplinare, fatte salve ulteriori responsabilità previste dall’ordinamento.
8.2.Divieto di discriminazione
La SICAF vigila affinché il Segnalante non sia sottoposto a condotte ritorsive, discriminatorie o comunque sleali conseguenti, direttamente o indirettamente, alla Segnalazione. In Particolare, il Segnalante non può essere sanzionato, licenziato, né possono essere disposte misure equivalenti in relazione al tipo di rapporto di lavoro o collaborazione in essere, ovvero sottoposto ad alcuna forma di discriminazione (ad es. azioni disciplinari ingiustificate, molestie sul luogo di lavoro o altre forme di ritorsione), diretta o indiretta, per motivi collegati, anche indirettamente, alla Segnalazione. Il Segnalante, ove ritenga di aver subito una discriminazione, ne dà comunicazione al Responsabile che, accertatane la fondatezza, segnala la stessa agli organi aziendali competenti, affinché siano adottati i provvedimenti necessari a ripristinare la situazione e/o rimediare agli effetti negativi della discriminazione. Resta ferma l’applicabilità delle tutele e delle garanzie previste dall’ordinamento contro le ipotesi di licenziamento ritorsivo o discriminatorio ovvero di altre condotte discriminatorie. È altresì vietata ogni forma di ritorsione o discriminazione verso i soggetti che collaborano alle attività di riscontro della fondatezza della Segnalazione ai sensi del paragrafo 7.2.
8.3. Responsabilità del segnalante
Fuori dei casi di responsabilità a titolo di calunnia o diffamazione, ovvero per lo stesso titolo ai sensi dell’articolo 2043 del Codice civile, la presentazione di una segnalazione nell’ambito della presente Procedura non costituisce violazione degli obblighi derivanti dal rapporto di lavoro. Resta tuttavia impregiudicata la responsabilità penale e disciplinare del Segnalante, nell’ipotesi in cui la Segnalazione integri le predette fattispecie, secondo le relative previsioni della disciplina applicabile. Possono inoltre assumere rilevanza, sia in sede disciplinare che eventualmente nelle altre sedi ove rilevanti, eventuali forme di abuso, quali le segnalazioni manifestamente infondate, pretestuose e strumentali, ad esempio se effettuate al solo scopo di danneggiare il segnalato e/o altri soggetti.
9. TUTELA DEL SEGNALATO
Nel corso dell’esame della Segnalazione di cui al precedente paragrafo 7.2, come già sopra precisato, l’identità del presunto responsabile non può essere rivelata a soggetti diversi da quelli coinvolti nel processo di esame della Segnalazione. Tutti i soggetti che ricevono la Segnalazione o sono coinvolti nella valutazione della sua fondatezza o, a tali fini, della gestione della Segnalazione, sono pertanto tenuti a tutelarne la riservatezza. Ad esito dell’esame della Segnalazione, in caso di accertamento della violazione, la riservatezza del Segnalato viene meno qualora sia necessario effettuare una segnalazione alle Autorità di Vigilanza o all’autorità giudiziaria competente e in ogni caso in cui l’anonimato del Segnalato non sia opponibile per legge. La SIM vigila inoltre affinché il Segnalato non sia sottoposto a condotte ritorsive, discriminatorie o comunque sleali conseguenti, direttamente o indirettamente, alla Segnalazione diverse dai provvedimenti disciplinari legittimamente adottati al ricorrerne dei presupposti previsti dalla normativa vigente. Resta ferma la possibilità, per il Responsabile dei sistemi interni di segnalazione ovvero il Consiglio di Amministrazione e il Collegio Sindacale, di valutare l’adozione di ulteriori provvedimenti interni all’organizzazione a tutela della riservatezza del Segnalato al fine di proteggere lo stesso da azioni discriminatorie o ritorsive. Come già evidenziato, la violazione dell’obbligo di riservatezza da parte dei soggetti che sono tenuti a garantire la stessa ai sensi della presente Procedura è considerata una violazione del GDPR ed è fonte di responsabilità disciplinare, fatte salve ulteriori responsabilità previste dall’ordinamento. In ogni caso, resta ferma l’applicabilità delle tutele e delle garanzie previste dall’ordinamento contro le ipotesi di licenziamento ritorsivo o discriminatorio ovvero di altre condotte discriminatorie.
10. TRATTAMENTO DEI DATI PERSONALI E ARCHIVIAZIONE DEI DOCUMENTI
Si precisa che i dati personali dei Segnalanti, dei Segnalati e di tutti i soggetti coinvolti nella Segnalazione sono trattati in conformità con la normativa vigente sulla protezione dei dati personali di cui al Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (“GDPR”) e di cui al D.lgs. 196/2003, così come modificato dal D.lgs. 101/2018. In particolare, si evidenza in tale contesto che:
- le attività di trattamento sottese alla gestione della Segnalazione sono svolte nel rispetto dei principi dettati dall’art. 5 GDPR;
- il soggetto Segnalante, tramite la presente procedura, unitamente al “Modulo di segnalazione di condotte illecite” visiona l’informativa di cui all’art. 13 GDPR in cui sono specificate le finalità e modalità del trattamento dei propri dati personali e il periodo di conservazione degli stessi, le condizioni di liceità su cui si basa il trattamento, le categorie di destinatari a cui possono essere trasmessi i dati nell’ambito della gestione della Segnalazione e i diritti riconosciuti al Segnalante dal Regolamento;
- il sistema di segnalazione prevede il trattamento dei dati personali (potenzialmente, anche i dati particolari di cui all’art. 9 GDPR) adeguati pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono raccolti. Inoltre, i dati personali saranno trattati per il tempo necessario per il raggiungimento delle finalità che ne giustificano la raccolta (es.: valutazione e gestione della segnalazione); una volta esaurita la finalità di trattamento, i dati personali saranno conservati sulla base dei criteri e per i periodi indicati all’interno dell’informativa privacy resa all’interessato;
- sono messe in atto le misure tecniche e organizzative adeguate a garantire la sicurezza dei dati personali, in conformità con la normativa vigente, sia in fase di trasmissione della Segnalazione, sia in fase di gestione e archiviazione della Segnalazione;
- l’esercizio dei diritti da parte del Segnalante o del Segnalato (soggetti “interessati” ai sensi della normativa privacy), in relazione ai propri dati personali trattati nell’ambito del processo di Whistleblowing, possono essere limitati, ai sensi e per gli effetti di cui all’articolo 2-undecies del D. lgs. 196/2003 come novellato dal D.lgs. 101/2018, nel caso in cui da un tale esercizio possa derivarne un pregiudizio effettivo e concreto ad altri interessi tutelati da specifiche disposizioni normative, con la precisazione che in nessuna circostanza può essere permesso al Segnalato di avvalersi dei propri diritti per ottenere informazioni sull’identità del Segnalante;
- l’accesso ai dati personali viene concesso solamente ai soggetti responsabili e abilitati alla ricezione di tale tipologia di Segnalazioni, limitando il trasferimento delle informazioni riservate e dei dati personali soltanto quando ciò risulta necessario;
- i dati personali vengono conservati limitatamente ai termini appropriati e proporzionati al fine di consentire l’esecuzione della Procedura di Whistleblowing.
Al fine di assicurare la ricostruzione delle diverse fasi del processo di segnalazione, è cura del Responsabile garantire:
i. la tracciabilità delle Segnalazioni e delle relative attività di esame;
ii. la conservazione, in appositi archivi, della documentazione inerente alle Segnalazioni e le relative attività di esame.
11. SEGNALAZIONI ESTERNE ALLE AUTORITÀ DI VIGILANZA
Ai sensi dell’art. 4-duodecies del TUF, il Personale della SIM può effettuare le segnalazioni anche direttamente alle Autorità di Vigilanza in conformità alle regole operative da loro definite (“Segnalazioni Esterne”). A tal proposito, Banca d’Italia e Consob:
i. ricevono, ciascuna per le materie di propria competenza, segnalazioni da parte del Personale che si riferiscono a violazioni delle norme del TUF, nonché di atti dell’Unione europea direttamente applicabili nelle stesse materie;
ii. possono stabilire condizioni, limiti e procedure per la ricezione delle segnalazioni, tenendo conto: (a) della riservatezza dei dati personali del segnalante e del presunto responsabile della violazione e (b) della tutela adeguata del soggetto segnalante contro condotte ritorsive, discriminatorie o comunque sleali conseguenti la segnalazione;
iii. si avvalgono delle informazioni contenute nelle segnalazioni, ove rilevanti, esclusivamente nell’esercizio delle funzioni di vigilanza;
iv. prevedono, mediante protocollo d’intesa, le opportune misure di coordinamento nello svolgimento delle attività di rispettiva competenza, ivi compresa l’applicazione delle relative sanzioni.
Resta fermo che, poste le regole che disciplinano le indagini o i procedimenti avviati dall’autorità giudiziaria in relazione ai fatti oggetto della segnalazione, l’identità del segnalante è sottratta all’applicazione dell’articolo 15, comma 1, lettera g), del GDPR e non può essere rivelata per tutte le fasi della procedura, salvo suo consenso o quando la conoscenza sia indispensabile per la difesa del segnalato. In particolare, con riferimento alla Consob, sul sito internet dell’Autorità1 sono indicate le modalità operative per trasmettere direttamente alla Consob segnalazioni riferite a presunte violazioni o illeciti delle norme del TUF nonché degli atti dell’Unione europea direttamente applicabili nelle stesse materie. Sono garantite tutte le tutele degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro, in conformità con le previsioni di cui alla Legge 30 novembre 2017, n. 179, tra cui l’illegittimità di eventuali provvedimenti di tipo disciplinare con finalità ritorsive o discriminatorie del soggetto segnalante. Le segnalazioni alla Banca d’Italia sono invece trasmesse, dal Personale degli intermediari vigilati, attraverso l’apposito modulo e possono essere inviate tramite la piattaforma “Servizi online”, selezionando il box “Invia una segnalazione” sul sito internet dell’Autorità2, ovvero via posta ordinaria, all’indirizzo della Banca d’Italia – Servizio CRE – divisione SRE – a Roma, Via Nazionale n. 91, con busta recante la dicitura “riservato”. La Banca d’Italia si riserva – ove lo ritenga opportuno – di contattare il segnalante per ottenere ulteriori informazioni o chiarimenti, in osservanza al segreto d’ufficio che copre tutti i dati e le informazioni o notizie acquisiti in ragione dell’attività di vigilanza. La Banca d’Italia assicura la riservatezza dei dati personali del segnalante, anche al fine di assicurare quest’ultimo da possibili ritorsioni.
12. FORMAZIONE DEL PERSONALE
Per incentivare l’uso dei sistemi interni di segnalazione e favorire la diffusione di una cultura della legalità, la SIM assicura che il Personale sia informato in maniera chiara, precisa e completa sulle previsioni della presente Procedura e in particolare circa il procedimento di segnalazione interno e i presidi posti a garanzia della riservatezza dei dati personali del Segnalante e del presunto responsabile della violazione. Il Personale è avvertito che la disposizione di legge in base alla quale il presunto responsabile ha il diritto di ottenere, tra l’altro, l’indicazione dell’origine dei dati personali (cfr. art. 15, comma 1, lettera g) GDPR), non trova applicazione con riguardo all’identità del Segnalante, che può essere rivelata solo con il suo consenso o quando la conoscenza sia indispensabile per la difesa del Segnalato. Copia della presente Procedura è messa a disposizione del Personale, mediante l’intranet aziendale e sul sito web della Società. Una copia della stessa è trasmessa al nuovo Personale in sede di assunzione.
1 http://www.consob.it/web/area-pubblica/whistleblowing
2 https://www.bancaditalia.it/compiti/vigilanza/whistleblowing/index.html
ALLEGATO 1 – MODULO PER LA SEGNALAZIONE INTERNA DELLE VIOLAZIONI
ALLEGATO 2 – INFORMATIVA PRIVACY SUL TRATTAMENTO DEI DATI FORNITI PER LA SEGNALAZIONE DI PRESUNTE CONDOTTE ILLECITE E IRREGOLARITÀ
Il Responsabile Whistleblowing raccomanda al segnalante, in particolare nel momento in cui le proprie segnalazioni contengano dati personali che, ai sensi della legge 170/2017, siano soggetti al trattamento ai fini del Whistleblowing, di procedere all’invio delle medesime solo dopo avere letto attentamente l’informativa in tema di protezione dei dati personali, di seguito riportata.
1) Titolarità del trattamento
La titolarità del trattamento è del Responsabile Whistleblowing con sede legale in Italia.
Il Responsabile Whistleblowing può essere contattato, mediante e-mail all’indirizzo: Whistleblowing@mitsim da qualsiasi interessato per ogni questione relativa ai propri dati personali od all’esercizio dei diritti che gli derivano dal GDPR (segnatamente, articoli da 15 a 22).
2) Tipologia di dati personali
Ai sensi e per gli effetti di quanto disposto dall’art. 13 del Regolamento (UE) 2016/679 in materia di protezione dei dati personali, i dati personali trattati dalla titolarità in base alla procedura di whistleblowing saranno, ove conferiti, i dati identificativi/anagrafici strettamente necessari per verificare la fondatezza della segnalazione e per consentirne la relativa gestione. Il trattamento dei dati avverrà con supporti informatici e cartacei in modo da garantire idonee misure di sicurezza e riservatezza.
3) Finalità del trattamento
I dati personali degli interessati saranno trattati per le finalità connesse alla gestione della procedura di whistleblowing e per adempiere agli obblighi previsti dalla legge, dai regolamenti o dalla normativa comunitaria.
4) Base Giuridica del trattamento
La base giuridica del trattamento dei dati personali conferiti in occasione di segnalazioni riguardanti presunte irregolarità o illeciti di cui si sia venuti a conoscenza nell’ambito del rapporto di lavoro, in base alla procedura whistleblowing, è data dall’obbligo giuridico derivante dalle previsioni di cui all’art. 6 del D.lgs. n. 231 del 2001, come modificato dalla Legge n. 179 del 2017, recante “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”.
5) Natura del conferimento e conseguenze dell’eventuale rifiuto
Il conferimento dei dati del segnalante è obbligatorio nella “segnalazione nominativa”. Un eventuale rifiuto al conferimento dei dati nella “segnalazione nominativa” rende impossibile seguire l’iter della procedura.
Il conferimento dei dati del segnalante è facoltativo nella “segnalazione anonima”; tuttavia l’applicazione della procedura di segnalazione sarà possibile solo qualora le segnalazioni siano adeguatamente circostanziate e rese con dovizia di particolari, ove cioè siano in grado di far emergere fatti e situazioni relazionandoli a contesti determinati.
6) Destinatari/Categorie di destinatari dei dati personali
Destinatario dei dati personali è il Responsabile Whistleblowing che, in conformità a quanto previsto dalla vigente normativa in materia e dalla procedura di gestione delle segnalazioni (whistleblowing) adottata dalla Società, è tenuto a garantire la riservatezza dell’identità del segnalante.
In nessun caso i dati personali degli Interessati saranno oggetto di diffusione.
7) Conservazione dei dati raccolti
I dati personali saranno conservati solo per il tempo necessario alle finalità per le quali vengono raccolti nel rispetto del principio di minimizzazione ex art. 5.1.c) GDPR e, in particolare, alle finalità di gestione dell’istruttoria, di conclusione dell’attività di definizione della Segnalazione e di adozione dei relativi provvedimenti, in caso di accertamento.
8) Modalità di trattamento dei dati personali
Ai sensi e per gli effetti dell’articolo 5 del Regolamento UE 679/2016 (GDPR), i dati personali di cui la Società viene a conoscenza ai fini della presente procedura dovranno essere:
• trattati in modo lecito, corretto e trasparente nei confronti dell’interessato; raccolti per finalità determinate, esplicite e legittime e successivamente trattati in modo che non sia incompatibile con tali finalità;
• adeguati e pertinenti e limitati a quanto necessario per le finalità per le quali sono trattati;
• esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per i quali sono stati trattati;
• conservati in una forma che consenta l’identificazione degli interessati per un arco temporale non superiore al conseguimento delle finalità per le quali sono trattati;
• trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche ed organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita o distruzione o dal danno.
9) Diritti dell’interessato
Il Regolamento UE 2016/679 (artt. da 15 a 22) conferisce agli interessati l’esercizio di specifici diritti, quali:
• Diritto di accesso ai dati personali, che comprende altresì il diritto ad ottenere una copia dei dati personali oggetto di trattamento;
• Diritto di ricevere, in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile, i dati personali che lo riguardano;
• Diritto di ottenere l’aggiornamento, la rettifica o l’integrazione dei dati;
• Diritto di ottenere la cancellazione, la limitazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
• Diritto di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che la riguardano, anche se pertinenti allo scopo della raccolta ed ai trattamenti effettuati per le finalità previste dalla normativa vigente.
• Diritto di proporre reclamo al Garante dei dati personali, secondo la procedura consultabile sul sito del garante (www.garanteprivacy.it) per lamentare una violazione della disciplina in materia di protezione dei dati personali e richiedere una verifica dell‘Autorità.