RICEZIONE E GESTIONE DELLE SEGNALAZIONI ai sensi del D. Lgs. 10 marzo 2023 n. 24

Premesse

Sin dalla sua costituzione Osteria dell’Orsa SAS (di seguito, la “Società”) si impegna a creare e a mantenere le condizioni necessarie affinché le relazioni instaurate con tutti i propri Dipendenti, Collaboratori, Consulenti, ma anche Azionisti, Fornitori e Partner avvengano sempre in un contesto aziendale di trasparenza, integrità e responsabilità.

Questo è il modo in cui, da sempre Osteria dell’Orsa SAS conduce il proprio business.

In un’ottica di miglioramento continuo e in linea con l’attuale evoluzione della normativa applicabile, Osteria dell’Orsa SAS ha deciso di dare un segnale forte di rispetto dei suddetti principi, rafforzando i propri assetti organizzativi e formalizzando una procedura aziendale di ricezione e gestione delle segnalazioni interne, anche mediante l’adozione di una nuova Procedura di ricezione e gestione delle segnalazioni interne (“Protocollo Whistleblowing”), in conformità al D. Lgs. 10 marzo 2023 n. 24.

Chi può segnalare – Soggetti tutelati

Chiunque può utilizzare i canali interni di segnalazione per comunicare possibili violazioni della legge o presunte condotte illecite delle quali siano venuti a conoscenza in ragione del proprio rapporto con la Società. I soggetti tutelati dalla normativa contro eventuali ritorsioni o condotte discriminatorie sono i dipendenti, ex dipendenti, stagisti, collaboratori, consulenti, volontari, tirocinanti, azionisti, persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza presso la società, nonché altresì i facilitatori e i colleghi del segnalante che abbiano con lo stesso un rapporto abituale e corrente.

Come segnalare

La Società ha istituito canali interni di segnalazione, gestiti da una società esterna indipendente.

I canali sono:

1) in forma scritta:

mediante l’invio di una lettera per posta ordinaria (lettera semplice e/o raccomandata) all’indirizzo del Gestore: Noverim S.r.l. Società Benefit, Piazza Degli Affari n. 3, Milano 20123, avendo cura di indicare sulla busta: “riservata personale – segnalazione Whistleblowing e nel testo della lettera indicare il nome della società.

2) in forma orale, mediante un incontro diretto con il Gestore o con un suo delegato appositamente formato in materia e all’uopo incaricato anche ai sensi della normativa privacy. L’incontro sarà garantito entro 20 giorni lavorativi dalla richiesta, da inviarsi all’indirizzo whistleblowing@noverim.it. La segnalazione in forma orale, previo consenso scritto della persona segnalante, è documentata a cura del Gestore, mediante registrazione su un dispositivo idoneo alla conservazione e all’ascolto oppure mediante trascrizione integrale. In caso di trascrizione, il Segnalante dovrà verificare, rettificare o confermare il contenuto della trascrizione mediante la propria sottoscrizione.

È necessario che la segnalazione sia il più possibile circostanziata.

In particolare, al fine del vaglio di ammissibilità, è necessario che dalla segnalazione risultino chiari i seguenti elementi essenziali:

È consigliabile, laddove possibile, allegare anche documenti attestanti la fondatezza dei fatti oggetto di segnalazione, nonché l’indicazione di altri soggetti potenzialmente a conoscenza dei fatti.

Cosa segnalare

Oggetto della segnalazione possono essere tutti i comportamenti o i fatti che, a parere del segnalante, configurino o siano potenzialmente in grado di configurare illeciti di natura civile, penale, amministrativa e contabile e siano lesivi di un interesse pubblico o privato.

Questo canale può essere utilizzato per segnalare violazioni, ossia comportamenti, atti o omissioni, che ledono l’integrità della Società o l’interesse pubblico, riferibili – a titolo esemplificativo e non esaustivo – a:

  • violazioni di leggi e regolamenti (nazionali ed europee);
  • atti di corruzione;
  • molestie sul posto di lavoro;
  • frodi aziendali;
  • diritti umani;
  • comportamenti che arrechino danno o pregiudizio, anche solo d’immagine, alla Società.

La segnalazione non può avere ad oggetto:

–    contestazioni, rivendicazioni o richieste legate ad un interesse di carattere personale della persona segnalante che attengono esclusivamente ai propri rapporti individuali di lavoro ovvero inerenti ai propri rapporti di lavoro con le figure gerarchicamente sovraordinate;

–    notizie palesemente prive di fondamento, informazioni acquisite solo sola base di indiscrezioni o vociferazioni scarsamente attendibili (cd. voci di corridoio);

–    informazioni che sono già totalmente di dominio pubblico.

Come sono gestite le segnalazioni

Entro 7 giorni dalla ricezione, sarà dato un avviso di ricevimento della segnalazione ed entro 3 mesi da tale avviso verrà fornito un riscontro sul seguito che viene dato o si intende dare alla segnalazione.

In ogni caso, il Gestore delle segnalazioni può interfacciarsi con il segnalante se reputa necessari eventuali approfondimenti oppure avviare un dialogo volto ad acquisire chiarimenti o documenti.

È sempre ammesso richiedere un incontro con il soggetto gestore delle segnalazioni attraverso i canali di segnalazione.

Garanzia di riservatezza e tutele

Al segnalante, al facilitatore e alle persone coinvolte nella segnalazione è garantita l’assoluta riservatezza.

Non è consentita, né tollerata alcuna forma di ritorsione personale o professionale in ragione della segnalazione effettuata. Se si ritiene di aver subito una ritorsione a causa della segnalazione, è possibile comunicarlo all’Autorità Nazionale Anticorruzione (ANAC).

Ogni trattamento dei dati personali è effettuato nel rispetto della normativa sulla protezione dei dati personali. Si veda Allegato Informativa Privacy.

Si ricorda che chiunque abusi delle tutele previste del presente Protocollo, segnalando fatti o atti manifestamente infondati od opportunistici, al solo scopo di danneggiare il denunciato o altri soggetti, sarà ritenuto responsabile in sede disciplinare e in ogni altra sede competente.

Nel caso di segnalazioni ordinarie effettuate al proprio responsabile e/o superiore gerarchico, le tutele previste dal Decreto Whistleblowing non sono garantite, salvo che il Segnalante non specifichi o non mostri la volontà di beneficiare delle suddette tutele.

*.*.*

Per maggiori dettagli sulla procedura di segnalazione, si rinvia al Protocollo pubblicato nella intranet aziendale e/o affisso nelle bacheche aziendali di tutte le sedi della Società. In ogni caso, è sempre possibile richiedere copia del protocollo inviando una e-mail al seguente indirizzo whistleblowing@noverim.it.

11 dicembre 2023

Firma società

Osteria dell’Orsa

ALLEGATO A

INFORMATIVA IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 IN RELAZIONE ALLE SEGNALAZIONI DI “WHISTLEBLOWING”

Osteria dell’Orsa SAS (di seguito “Società”) informa che i dati personali (ivi inclusi eventuali dati sensibili, quali l’origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’adesione a partiti politici, sindacati, nonché i dati personali idonei a rivelare lo stato di salute e l’orientamento sessuale) dei Segnalanti, del Segnalato e di altri soggetti eventualmente coinvolti (complessivamente, “Dati Personali”), acquisiti in occasione della gestione delle Segnalazioni, saranno trattati in piena conformità a quanto stabilito dalle normative vigenti in materia di protezione dei dati personali e saranno altresì limitati a quelli strettamente necessari per verificare la fondatezza della Segnalazione e per la gestione della stessa.

  1. Finalità del trattamento

I dati forniti dal Segnalante al fine di rappresentare le presunte condotte illecite delle quali sia venuto a conoscenza in ragione del proprio rapporto con la Società commesse dai soggetti che a vario titolo interagiscono con il medesimo, vengono trattati allo scopo di effettuare le necessarie attività istruttorie volte a verificare la fondatezza del fatto oggetto di segnalazione e l’adozione dei conseguenti provvedimenti.

  • Tipologia di dati trattati

La ricezione e la gestione delle segnalazioni dà luogo a trattamenti di dati personali c.d. “comuni” (nome, cognome, ruolo lavorativo, ecc.), nonché può dar luogo, a seconda del contenuto delle segnalazioni e degli atti e documenti a queste allegati, a trattamenti di dati personali c.d. “particolari” (dati relativi a condizioni di salute, orientamento sessuale o appartenenza sindacale, di cui all’art. 9 GDPR) e di dati personali relativi a condanne penali e reati (di cui all’art. 10 GDPR).

  •  Base giuridica del trattamento e modalità del trattamento

La base giuridica del trattamento dei Dati Personali è individuata nell’art. 6, comma 1, lett. c) del Regolamento (UE) 2016/679, ossia adempimento ad un obbligo legale al quale è soggetto il titolare del trattamento.

Con riferimento alla sola conservazione dei Dati Personali successivamente alla chiusura del procedimento di gestione della segnalazione, la base giuridica è rappresentata dal legittimo interesse del Titolare e dei soggetti interessati all’esercizio dei propri diritti, in tutti i casi in cui si renda necessario (e.g. apertura di procedimenti disciplinari, giudiziari, richieste di risarcimento danni correlate alla segnalazione).

Ai sensi dell’art. 5 del GDPR i dati trattati nell’ambito della gestione delle segnalazioni devono essere trattati in modo lecito, corretto e trasparente, raccolti per finalità determinate, esplicite e legittime, adeguati, pertinenti e limitati a quelli strettamente e obiettivamente necessari per verificare la fondatezza della segnalazione, esatti e se necessario aggiornati.

Nel corso delle attività volte a verificare la fondatezza della Segnalazione saranno adottate tutte le misure necessarie a proteggere i dati dalla distruzione accidentale o illecita, dalla perdita e dalla divulgazione non autorizzata.

Qualora la segnalazione si riveli infondata, i dati non devono essere conservati oltre il termine previsto dalla legge per proporre denuncia o querela.

In base alle previsioni della normativa in materia di dati personali e del d.lgs. n. 24/2023, il Titolare del trattamento, il Responsabile del trattamento e le persone autorizzate a trattare i dati personali sono tenuti a rispettare i seguenti principi fondamentali:

  • trattare i dati in modo lecito, corretto e trasparente nei confronti dei soggetti interessati («liceità, correttezza e trasparenza»);
  • raccogliere i dati solo al fine di gestire e dare seguito alle segnalazioni effettuate da parte dei soggetti tutelati dal d.lgs. 24/2023 («limitazione della finalità»);
  • garantire che i dati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»). I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non verranno raccolti o, se raccolti accidentalmente, verranno cancellati senza indugio;
  • assicurare che i dati siano esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti relativi alla specifica segnalazione che viene gestita («esattezza»);
  • garantire il divieto di tracciamento dei canali di segnalazione;
  • garantire, ove possibile, il tracciamento dell’attività del personale autorizzato nel rispetto delle garanzie a tutela del segnalante, al fine di evitare l’uso improprio di dati relativi alla segnalazione. Deve essere evitato il tracciamento di qualunque informazione che possa ricondurre all’identità o all’attività del segnalante.
  • Ambito di comunicazione e trasferimento dei dati

I Dati Personali raccolti nell’ambito della ricezione e gestione della segnalazione non saranno diffusi all’estero e divulgati in alcun modo.

Esclusivamente per le finalità indicate, i Dati Personali potranno essere comunicati a soggetti terzi ai quali la Società e/o il Gestore potrebbero affidare talune attività (o parte di esse); tali soggetti opereranno in qualità di Titolari autonomi o saranno designati Responsabili del trattamento e sono essenzialmente ricompresi nelle seguenti categorie:

– Consulenti (Studi Legali, ecc.);

– Società incaricate dell’amministrazione e gestione del personale;

– Agenzie investigative;

– Istituzioni e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia.

  • Conservazione dei dati personali

La Società conserva i dati personali secondo nei termini previsti dall’art. 14 del d.lgs. n. 24/2023, cioè per il tempo necessario al trattamento della segnalazione e comunque per non oltre 5 anni a decorrere dalla data di comunicazione dell’esito finale della Segnalazione al Gestore. I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati tempestivamente.

  • Diritti dell’interessato

L’interessato, nelle persone del Segnalante o del Facilitatore, ha diritto di accedere in ogni momento ai dati che lo riguardano e di esercitare i diritti previsti dagli articoli da 15 al 22 del GDPR, per quanto applicabili (diritto di accesso ai dati personali, diritto a rettificarli, diritto di ottenerne la cancellazione o cd. diritto all’oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati personali o quello di opposizione al trattamento), inviando una e-mail all’indirizzo: whistleblowing@noverim.it. Inoltre, l’interessato ha diritto di proporre un reclamo al Garante della protezione dei dati personali.

I suddetti diritti non sono esercitabili dalla persona coinvolta o dalla persona menzionata nella segnalazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, ai sensi dell’art. 2- undecies del Codice Privacy in quanto dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona segnalante.

  • Titolare del trattamento e Soggetti Autorizzati al trattamento

Il Titolare del trattamento dei Dati Personali raccolti nell’ambito della Segnalazione Interna è la Società.

Il Gestore, appositamente nominato quale Responsabile del trattamento ex art. 28 GDPR, nonché il Soggetto Interno Competente – come sopra definito – sono stati autorizzate al trattamento dei dati personali da parte della Società, dalla quale hanno ricevuto, altresì, adeguate istruzioni operative.