Politica generale Informazioni sul sistema interno

1 INTRODUZIONE

Il recepimento della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, nell'ordinamento giuridico spagnolo con la Legge 2/2023, del 20 febbraio, che disciplina la protezione delle persone che segnalano violazioni normative e la lotta alla corruzione.Ciò implica l'incorporazione di strumenti specifici affinché coloro che sono a conoscenza di azioni illegali o irregolari possano fornire dati e informazioni utili, garantendo la piena ed effettiva protezione di questi informatori.

In questo senso, la normativa citata disciplina gli aspetti minimi che i diversi canali informativi interni ed esterni devono soddisfare, insieme al regime speciale di protezione per gli informatori che agiscono in buona fede e con coscienza onesta, in modo disinteressato.

In conformità a quanto sopra, l'Entità ha implementato un Sistema informativo interno (SIIF)che si configura come un asse fondamentale per la supervisione, il controllo e la prevenzione nell'ambito della compliance normativa. Tale sistema costituisce un canale preferenziale e uno strumento obbligatorio per veicolare diligentemente le informazioni, al fine di rafforzare la cultura dell'informazione all'interno dell'organizzazione stessa.

Il SIIFIF è stato concepito come strumento di controllo e prevenzione, che contempla canali informativi gestiti sia internamente sia da una società esterna specializzata. Questi canali godono dei più alti livelli di professionalità, esperienza, indipendenza, riservatezza, conformità alle norme sulla protezione dei dati e agli altri quadri normativi applicabili. Allo stesso modo, il SIIF garantisce i principi fondamentali di anonimato, corretta registrazione, conservazione e non alterazione, prevenzione dei conflitti di interesse, tutela dell'informatore e divieto di ritorsioni.

In conformità con la suddetta legge, è un requisito indispensabile che il SIIF abbia un una politica che definisca i principi generali del sistema e la difesa del whistleblowerdebitamente pubblicizzata all'interno dell'Ente. Pertanto, insieme alla Procedura per la gestione delle informazioni ricevute, tale Politica costituisce un elemento essenziale della configurazione e del funzionamento del SIIF.

2 PRINCIPI DI AZIONE E GARANZIE ESSENZIALI

Il Sistema Informativo Interno (SIIF) è uno degli assi portanti dei sistemi di compliance normativa e di prevenzione penale. Nel rispetto dei più elevati standard di diligenza in questo ambito, l'Ente ha dotato il SIIF di una serie di garanzie per assicurarne l'efficacia, con la collaborazione e il supporto dell'esperto esterno BONET consulting. In particolare, i principi base e le garanzie fondamentali che regolano il processo e le azioni dell'Ente in relazione al SIIF sono i seguenti:

  • Indipendenza, autonomia, imparzialità e assenza di conflitti di interesse: Nella ricezione e nel trattamento delle informazioni sulle violazioni, sono stati definiti meccanismi di reazione per gestire e controllare eventuali conflitti di interesse e/o mancanza di indipendenza, quando i responsabili della gestione, del controllo e/o della supervisione presentano una serie di caratteristiche che compromettono e condizionano lo svolgimento dei loro compiti. Allo stesso modo, tutte le comunicazioni ricevute sono soggette ad analisi con i necessari requisiti di indipendenza, che garantiscono equità e giustizia nel loro trattamento.

  • Professionalità ed esperienza: Professionisti esperti in conformità normativa, prevenzione penale e buon governo sono responsabili del trattamento e della corretta gestione delle comunicazioni, preservando i diritti degli informatori e degli imputati.  Completezza, integrità e riservatezza delle informazioni: I partecipanti alle diverse fasi dell'indagine hanno l'obbligo di riservatezza su tutte le informazioni a cui possono avere accesso o di cui sono a conoscenza in ragione dell'esercizio delle loro funzioni. Inoltre, viene impedito l'accesso alle informazioni da parte di personale non autorizzato e viene consentito di conservarle in modo durevole e sicuro, attraverso la creazione di copie di backup delle informazioni e di file indipendenti.

  • Protezione dei dati e segretezza delle comunicazioni: Il trattamento dei dati è conforme e rispetta le più rigorose misure e politiche di protezione dei dati personali, in conformità con la normativa vigente in materia di protezione dei dati personali. Allo stesso modo, vige l'obbligo di segretezza su qualsiasi aspetto relativo alle informazioni comunicate. 

  • Anonimato e anonimizzazione: È prevista la possibilità di inoltrare e successivamente trattare comunicazioni anonime, nonché il dovere generale di preservare l'identità dell'informatore che si è identificato al momento della comunicazione, mantenendolo anonimo e non rivelando la sua identità a terzi.

  • Utilizzo accessibile, semplicità e gratuità: È garantita la semplicità della comunicazione, che consente l'accesso universale al sistema senza alcun costo associato, e l'effettiva applicazione dei principi di legalità ed etica che regolano l'attività dell'Ente. 

  • Registrazione adeguata e indipendente: Delle informazioni ricevute e delle indagini interne cui hanno dato luogo viene tenuta una registrazione privata, a garanzia del loro trattamento, della loro gestione e della loro non alterazione, in modo indipendente e senza conflitti di interesse, per un periodo di tempo necessario e proporzionato ai sensi della normativa vigente. In nessun caso i dati saranno conservati per un periodo superiore a dieci anni.

  • Buone pratiche di monitoraggio e ricerca: Per verificare la veridicità delle comunicazioni, la corretta raccolta delle prove e per garantire i diritti degli interessati, il ciclo di vita delle comunicazioni sarà regolato da una procedura interna efficace e trasparente. Queste pratiche saranno documentate nella procedura di gestione delle informazioni ricevute.

  • Protezione dell'informatore e delle persone interessate: Le persone che segnalano o rivelano illeciti hanno diritto a misure di protezione e non devono subire ritorsioni o conseguenze negative per la loro collaborazione, comprese le minacce di ritorsione e i tentativi di ritorsione. Allo stesso modo, le persone interessate dalla comunicazione hanno diritto alla stessa protezione prevista per gli informatori, preservando la loro identità e garantendo la riservatezza dei fatti e dei dettagli del procedimento.

  • Diligenza, responsabilità e buona fede dell'informatore: L'utilizzo del sistema si basa sui principi di responsabilità, diligenza e buona fede, in base ai quali ogni segnalante deve avere ragionevoli motivi per credere che le informazioni siano veritiere al momento della segnalazione. La comunicazione di fatti infondati, falsi o travisati, così come la trasmissione di informazioni ottenute in modo illecito, con un atteggiamento malizioso e moralmente disonesto, costituisce una violazione del principio di buona fede e può comportare un'azione disciplinare. 

RESPONSABILE DEL SISTEMA INFORMATIVO INTERNO

Per l'efficacia del Sistema Informativo Interno (SIIF), è essenziale designare una persona responsabile del suo corretto funzionamento, dell'organizzazione e dell'elaborazione diligente delle informazioni. Sarà inoltre responsabile di assicurare la corretta comunicazione e diffusione degli IFRS, nonché di realizzare e aggiornare il relativo piano di formazione.

L'organo amministrativo o di governo dell'Ente è responsabile della nomina e della comunicazione all'autorità competente della persona fisica o dell'organo collegiale responsabile della gestione di tale sistema e della sua revoca o licenziamento (di seguito, il "Direttore"). Direttore del sistema).

Il Responsabile del Sistema svolge le sue funzioni nei seguenti modindipendente e autonomo rispetto al resto degli organi organizzativi dell'Ente, evitando possibili situazioni di conflitto di interesse con l'ordinario svolgimento delle proprie funzioni. Tuttavia, il Responsabile di Sistema può avvalersi di altri soggetti terzi per ricevere supporto specialistico e/o per soddisfare i requisiti di indipendenza, al fine di garantire il corretto svolgimento delle proprie funzioni.

In particolare, per l'esercizio delle sue funzioni, il Gestore del sistema si coordinerà con i seguenti soggetti:

  • Il Responsabile delle Risorse Umane, per l'eventuale adozione di provvedimenti disciplinari nei confronti dei soggetti coinvolti e/o per coordinare l'applicazione di misure di tutela.
  • I responsabili della compliance normativa e/o i servizi legali dell'Ente, qualora sia necessario adottare provvedimenti di natura legale o di compliance normativa che debbano essere presi in considerazione dagli stessi in relazione alle comunicazioni ricevute nel SIIF.
  • I responsabili del trattamento eventualmente nominati.
  • Il Delegato alla Protezione dei Dati / Responsabile della Protezione dei Dati.
  • Altre persone e/o enti coinvolti nella gestione del SIIF.

AUTORITÀ INDIPENDENTE PER LA PROTEZIONE DELL'INFORMATORE

Il Sistema Informativo Interno (SIIF). dell'Ente è il mezzo prioritario e obbligatorio per la segnalazione di illeciti o violazioni note, in quanto garantisce la corretta adozione delle misure di tutela e favorisce la cultura della segnalazione all'interno dell'organizzazione.

Tuttavia, sono stati individuati altri canali informativi "esterni", al fine di offrire ai cittadini un'alternativa dove poter presentare una segnalazione e/o un reclamo, nel caso in cui i canali interni non rispettino le garanzie richieste dalla normativa vigente, non vengano applicate le relative misure di tutela o le persone siano esposte a ritorsioni a causa del loro status di whistleblower.

Di conseguenza, qualsiasi persona fisica può presentare una segnalazione direttamente alla Autorità indipendente per la protezione degli informatori (I.A.P.A.).. di qualsiasi azione o omissione che costituisca una violazione della legge, attraverso il canale di segnalazione esterno di questa autorità pubblica specializzata. L'accesso a questo canale di informazione esterno e i dettagli di contatto dell'Autorità sono pubblicati sul suo sito web.

RISERVATEZZA E PROTEZIONE DEI DATI PERSONALI

Il trattamento dei dati personali derivanti dal Sistema Informativo Interno (SIIF) sono disciplinati dalle disposizioni del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, della Legge Organica 3/2018 del 5 dicembre e della Legge Organica 7/2021 del 26 maggio. Pertanto, al momento della raccolta, gli interessati sono informati del trattamento dei loro dati e dei loro diritti, in conformità alla normativa vigente.

In conformità al principio di minimizzazione dei datiI dati personali raccolti sono quelli necessari e rilevanti per il trattamento della comunicazione. Nel caso in cui vengano raccolti casualmente dati che non sono necessari per la conoscenza e l'indagine delle azioni o delle omissioni, essi saranno cancellati senza indebito ritardo. I dati saranno inoltre conservati per il tempo necessario a decidere sulla precedenza dell'avvio di un'indagine.

D'altro canto, la progettazione del SIIF garantisce la riservatezza dell'identità dell'informatore e di eventuali terzi citati nella comunicazione, nonché delle azioni svolte nella gestione e nel trattamento della stessa. In tal senso, l'accesso ai dati personali e alle altre informazioni contenute nel sistema è limitato ai responsabili della gestione, nell'ambito delle loro competenze e funzioni. Pertanto, sono in atto misure tecniche e organizzative adeguate per preservare l'identità degli interessati e impedire l'accesso a persone non autorizzate.

In caso di dubbi o domande sul trattamento dei dati personali effettuato all'interno dell'Entità in relazione agli IFRS, ogni interessato può contattare Responsabile della protezione dei dati / Responsabile della protezione dei dati designato, attraverso i recapiti che gli sono stati precedentemente comunicati e che sono a sua disposizione.

MISURE DI PROTEZIONE

Le persone che comunicano o rivelano le violazioni utilizzando il sito web Sistema informativo interno (SIIF) dell'Entità hanno diritto alla protezioneL'Ente ha diritto a essere tutelato alle stesse condizioni di chi segnala attraverso canali esterni, purché abbia ragionevoli motivi per ritenere che le informazioni siano vere al momento della comunicazione o divulgazione, anche se non fornisce prove conclusive.

A questo proposito, sono espressamente vietati le ritorsionicomprese le minacce e i tentativi, nei confronti delle persone che inviano una comunicazione sono espressamente vietate. Per ritorsione si intende:

  • Atti o omissioni vietati dalla legge.

  • Atti od omissioni che, direttamente o indirettamente, comportano un trattamento sfavorevole, ponendo la persona in una posizione di svantaggio rispetto a un'altra.

A titolo esemplificativo e non esaustivo, le rappresaglie sono considerate ritorsioni:

  • Sospensione del contratto di lavoro, licenziamento o cessazione del rapporto, risoluzione anticipata, annullamento del contratto di lavoro e/o commerciale, misure disciplinari, rimprovero o altra sanzione, demansionamento o rifiuto di promozione, modifica sostanziale delle condizioni e mancata trasformazione del contratto a tempo determinato in contratto a tempo indeterminato o misure equivalenti.
  • Danni (anche alla reputazione), perdite finanziarie, coercizione, intimidazione, molestie o ostracismo.
  • Valutazione negativa o riferimenti a prestazioni lavorative o professionali.
  • inserimento in una lista nera o diffusione di informazioni che ostacolano o impediscono l'accesso all'impiego/ai contratti di lavoro o di servizi.
  • Diniego o revoca di una licenza o di un permesso.
  • Rifiuto di formazione.  Discriminazione, trattamento sfavorevole o ingiusto.
  • Negazione di incentivi, benefici, bonus, commissioni e qualsiasi altro tipo di compenso.
  • Risoluzione anticipata, sospensione, modifica o cancellazione di contratti per beni o servizi.

Questi atti saranno nulli e daranno luogo, se del caso, a misure disciplinari correttive o di responsabilità, che possono includere il corrispondente risarcimento dei danni alla parte lesa. Al fine di garantire il diritto alla protezione dell'informatore e delle persone interessate dalla comunicazione, l'Entità ha stabilito le seguenti misure tecniche e organizzative, che vengono applicate dal momento iniziale in cui la comunicazione viene ricevuta:

  1. Configurazione del SIIFIl SIIF è stato progettato con le opportune misure tecniche e organizzative per garantire la protezione dell'identità dell'informatore, nonché dei dati e delle informazioni ricavate dalle comunicazioni presentate. A questo proposito, l'Ente ha predisposto una serie di canali interni di segnalazione, che consentono di effettuare segnalazioni anonime. Tali canali sono:

    Canale on-line / digitalePiattaforma digitale per l'invio di comunicazioni scritte.

    Canale faccia a facciaIl sistema di ricezione delle comunicazioni tramite incontro diretto o videoconferenza.

    Indipendentemente dal canale utilizzato, la SIIF garantisce l'effettiva attuazione dei principi fondamentali e delle salvaguardie specificate nella presente Policy, al fine di rispettare i requisiti del quadro normativo e di tutelare i diritti dei segnalanti e delle persone interessate.

  2. Responsabile per SIIFAl fine di garantire la corretta implementazione del SIIF, l'Entità ha designato un responsabile il cui ruolo è quello di supervisionare, monitorare e controllare il funzionamento del SIIF. A questo proposito, il responsabile, insieme all'esperto esterno, adotta le misure di protezione necessarie e si assicura che siano debitamente monitorate e attuate. La partecipazione dell'esperto esterno conferisce alle funzioni del Controllore gli elementi di autonomia e indipendenza richiesti dalla normativa vigente. Allo stesso modo, il Titolare del trattamento avrà il compito di effettuare un'analisi preliminare delle comunicazioni ricevute al fine di determinare l'opportunità di adottare specifiche misure di protezione nei confronti dell'informatore e/o dei terzi interessati. Inoltre, a seconda della natura e della portata delle informazioni, il Titolare si avvarrà del supporto e della consulenza dei responsabili delle diverse aree operative dell'Ente per il buon esito dell'indagine. Può anche ricorrere a terzi specializzati per le questioni che richiedono il parere di esperti.

  3. Custodia, gestione e sicurezza delle informazioni SIIFL'Entità dispone di un sistema di gestione dei documenti con adeguate misure di sicurezza e di controllo per garantire l'efficacia degli IFRS. Si noti che tale sistema prevede processi di anonimizzazione, in modo da non consentire l'identificazione degli informatori. Inoltre, l'Ente ha adottato misure tecniche ragionevoli per l'archiviazione, il recupero e lo smaltimento sicuro delle informazioni, nonché l'implementazione di controlli di accesso per prevenire l'uso non autorizzato.

Tuttavia, sono escluse dalla suddetta protezione le informazioni trasmesse che siano false, travisate, palesemente prive di credibilità e fondamento o che abbiano ragionevoli motivi per ritenere che siano state ottenute attraverso la commissione di un reato. Questo perché tutte le comunicazioni devono essere effettuate secondo il principio di buona fede e quindi l'informatore deve avere ragionevoli motivi per credere che le informazioni siano veritiere al momento della comunicazione. In breve, il principio della buona fede richiede che in nessun caso si possa dedurre che vi sia falsità, travisamento, intento di ritorsione o di danneggiare un terzo.

È importante ricordare che le misure di protezione non sono solo a beneficio degli informatori. Anche le persone a cui si riferiscono i fatti riportati nella comunicazione (persone interessate) sono protetti in modo univoco dal rischio che le informazioni, anche se sembrano vere, possano essere state manipolate, possano essere false o possano essere motivate da altre ragioni. Durante il trattamento del caso, queste persone hanno diritto alla presunzione di innocenza, alla protezione e alla difesa giudiziaria, all'accesso al fascicolo, nonché alla riservatezza dei fatti e dei dati del procedimento e alla riservatezza della loro identità. In conclusione, hanno la stessa protezione e gli stessi diritti dell'informatore.

REGIME DISCIPLINARE

L'inosservanza della normativa applicabile e i comportamenti contrari alle istruzioni, alle politiche, ai codici, alle procedure e ai protocolli dell'Entità costituiscono motivo di applicazione del regime disciplinare a livello lavorativo e commercialeSi applica il sistema disciplinare dell'Ente, in coordinamento con le disposizioni del Contratto Collettivo di Lavoro applicabile, dello Statuto dei Lavoratori e delle altre normative vigenti.

L'Ente dovrà notificare e sanzionare qualsiasi azione od omissione contraria alla presente Politica commessa da dipendenti, collaboratori o qualsiasi membro collegato all'Ente e, in particolare:

  • Mancata segnalazione di sospette o note violazioni o non conformità con il quadro normativo e con i protocolli e le regole interne dell'Ente attraverso gli IFRS.
  • Qualsiasi tentativo o azione efficace per ostacolare la presentazione delle segnalazioni o per impedire, vanificare o rallentare il loro seguito.
  • L'utilizzo degli IFRS in malafede, ad esempio fornendo informazioni o documentazione sapendo che sono false.
  • intraprendere azioni di ritorsione nei confronti dei segnalanti o di altre persone interessate a seguito della segnalazione.
  • Violazione delle garanzie di riservatezza e anonimato, rivelando l'identità delle persone interessate e violando il dovere di segretezza delle informazioni.
  • Violazione dell'obbligo di collaborare alle indagini sulle informazioni.

COMUNICAZIONE, REVISIONE E AGGIORNAMENTO

La presente Policy, così come tutte le informazioni necessarie sull'uso del Sistema Informativo Interno (SIIF) è disponibile in una sezione separata e facilmente identificabile, in modo che tutte le parti interessate possano averla a portata di mano in modo chiaro e facilmente accessibile. Tuttavia, chiunque può richiedere all'Ente ulteriori informazioni attraverso i recapiti del Titolare del trattamento.

Il Amministratore di sistema riesamina periodicamente e, se del caso, propone all'organo di gestione o all'organo di governo dell'Ente l'aggiornamento della presente Policy, al fine di adeguarla alle circostanze e ai cambiamenti che dovessero intervenire, nonché alle normative o alla giurisprudenza che dovessero essere emanate. Tutto ciò, con l'obiettivo di adeguare gli IFRS ai massimi requisiti di conformità normativa per il loro corretto funzionamento ed efficacia.

Allo stesso modo, l'Entità è aperta a qualsiasi suggerimenti e/o proposte che possano migliorare la propria performance etica e favorire la cultura del rispetto delle normative, sottolineando la necessità che tutti i dipendenti e i membri legati all'Ente o a terzi collaborino al fine di rispettare i propri valori e principi.

CANALI INFORMATIVI INTERNI

Al fine di ottemperare alle disposizioni della Legge 2/2023, l'Ente ha implementato un sistema configurato con i requisiti tecnici e procedurali richiesti da tale Legge per la corretta gestione delle comunicazioni. L'obiettivo è quello di offrire agli informatori un ambiente di comunicazione sicuro, riservato o addirittura anonimo con l'Entità, e di elaborare le informazioni in modo efficiente, professionale e indipendente.

A tal fine, l'Ente si è dotato di risorse materiali, tecniche e umane per predisporre diversi canali interni per l'invio di comunicazioni in forma scritta o verbale. Tali canali sono configurati, progettati e supportati da un esperto esterno al fine di fornire i massimi livelli di professionalità, esperienza, indipendenza, riservatezza, protezione dei dati e delle segnalazioni, e altri ambiti applicabili a questo tipo di canali.

Si noti che le informazioni fornite attraverso uno dei canali interni saranno trattate in modo confidenziale e solo il personale autorizzato avrà accesso ad esse per la loro corretta gestione ed elaborazione.

I canali a disposizione di qualsiasi dipendente o terzo collegato all'Entità per l'invio di comunicazioni sono dettagliati di seguito:

Canale on-line/digitale

L'Ente dispone di uno strumento digitale che consente l'invio di comunicazioni scritte tramite un modulo, che permette di allegare file. Una volta compilato il modulo, lo strumento genera automaticamente un codice che consente al responsabile dell'elaborazione della comunicazione di seguirla e gestirla. Allo stesso modo, all'informatore viene inviata una conferma dell'inserimento e della registrazione della comunicazione nel sistema, che contiene un riepilogo delle informazioni fornite e il codice per consentire anche all'informatore di effettuare il follow-up.

Questo strumento è dotato di misure di sicurezza che garantiscono la protezione delle informazioni, dell'identità dell'informatore e di quella delle persone interessate, nonché la riservatezza e la confidenzialità dell'intero processo di gestione ed elaborazione della segnalazione. In questo senso, l'Entità garantisce un ambiente di comunicazione sicuro e diligente per la ricezione delle comunicazioni.

Lo strumento consente inoltre di inviare le comunicazioni in forma anonima. Grazie al suo sistema di comunicazione e monitoraggio, l'informatore e il Gestore del sistema possono comunicare attraverso lo strumento, indipendentemente dal fatto che la segnalazione sia stata presentata in forma anonima.

Il link per accedere a questo strumento e il suo ambito di utilizzo sono disponibili sul sito web dell'Ente.

Canale faccia a faccia

Un altro dei canali che l'Ente mette a disposizione dei propri dipendenti e dei terzi che hanno rapporti con esso è il canale face-to-face, il cui scopo è quello di consentire la presentazione di comunicazioni verbali attraverso un incontro faccia a faccia o in videoconferenza. In questo caso, e tenuto conto della complessità che comporta per l'Ente garantire l'anonimato dell'informatore nei casi in cui questo sia richiesto, l'Ente ha affidato questa funzione all'esperto esterno BONET consulting, che si occupa di ricevere e gestire le comunicazioni con queste caratteristiche, nonché quelle in cui gli informatori sono identificati ed è richiesta una gestione faccia a faccia. A questo proposito, l'esperto esterno garantisce la tutela dell'identità dell'informatore sia nel processo di richiesta di un appuntamento preventivo, sia nella presentazione di una comunicazione in formato face-to-face, sia nel luogo in cui viene effettuata.

Per garantire la sicurezza e preservare l'integrità delle informazioni fornite dall'informatore, l'incontro sarà registrato in conformità alle disposizioni della Legge e con il consenso preventivo dell'informatore. L'incontro sarà documentato in un formato sicuro, con le misure di sicurezza e anonimizzazione richieste dal quadro normativo. In questo senso, BONET consulting dispone e metterà a disposizione i meccanismi tecnologici necessari per inviare la documentazione complementare alle informazioni fornite durante l'incontro.

Per poter usufruire di questo canale, l'Ente ha predisposto un numero di telefono e una e-mail di contatto per richiedere la presentazione di comunicazioni in questo formato, la cui attenzione e coordinamento dell'incontro sarà svolta esclusivamente da BONET consulting. I recapiti per tale richiesta sono debitamente pubblicati sul sito web dell'Ente.

COPYRIGHT

Il contenuto della presente politica generale sul sistema informativo interno è soggetto a copyright. Di conseguenza, per procedere alla sua distribuzione o comunicazione ad altri enti, è necessario il consenso esplicito del titolare del copyright..