La presente Procedura Whistleblowing (di seguito “Procedura”) si applica a V2 S.p.A.
I destinatari della presente procedura sono
i vertici aziendali e i componenti degli organi sociali;
gli azionisti;
i dipendenti e i collaboratori aziendali (ad esempio: stagisti, tirocinanti, lavoratori somministrati, ecc.), anche in periodo di prova o cessati;
partner commerciali, clienti, fornitori, consulenti, soci e, più in generale, chiunque sia in relazione d’interessi con la società.
(D’ora in avanti collettivamente “Destinatari”)
2. Informativa
La Legge 179/2017, il D.Lgs. 231/2001 e il D.Lgs. 24/2023 prevedono l’adozione di uno strumento informatico mediante il quale i soggetti identificati dalla normativa possono segnalare frodi, reati, illeciti o condotte irregolari.
La direttiva europea stabilisce norme minime per garantire la protezione delle persone che segnalano violazioni del diritto dell’Unione, creando canali di comunicazione sicuri, interni ed esterni all’organizzazione. In casi specifici è prevista la divulgazione pubblica mediante media.
La presente Procedura disciplina ricezione, analisi e trattamento delle segnalazioni, anche anonime, e descrive i canali istituiti per le segnalazioni.
Il whistleblowing è uno strumento fondamentale per contrastare illeciti e promuovere etica e legalità.
3. Procedura
Tutti i Destinatari sono tenuti a segnalare potenziali attività illecite che possano violare la legge o le politiche di V2 S.p.A.
Le segnalazioni consentono alla società di indagare e adottare misure correttive per ridurre rischi o danni.
Per segnalare è possibile utilizzare il portale GRC CORA Whistleblowing, che consente segnalazioni anonime o nominate. È altresì possibile utilizzare altri canali esterni conformi alla legge.
4. Forme di tutela
V2 S.p.A. ha designato più istruttori e un custode per la gestione delle segnalazioni sulla piattaforma. Il custode può, se necessario e nei limiti previsti, concedere visibilità dei dati agli istruttori.
Altri soggetti interni potranno essere coinvolti per informazioni o pareri senza avere accesso ai dettagli identificativi del segnalante.
La piattaforma consente, tra l’altro:
separazione dei dati identificativi dal contenuto della segnalazione;
iter procedurale definito con termini per avvio e conclusione;
riservatezza del contenuto delle segnalazioni;
protocolli sicuri e crittografia per i dati e gli allegati;
conservazione dei dati in modalità fisica, logica o ibrida;
accesso riservato ai soli funzionari autorizzati;
possibilità per il segnalante di monitorare lo stato dell’istruttoria;
divulgazione dell’identità del segnalante solo nei casi previsti dalla legge;
audit degli accessi;
conformità al modello software ANAC;
inserimento successivo dei dati anagrafici;
misure avanzate per la protezione del referrer e header di sicurezza.
La piattaforma è web-based, accessibile da PC e dispositivi mobili, e consente dialogo anonimo con l’istruttore.
V2 S.p.A. garantisce riservatezza, vieta ritorsioni e adotta misure a tutela dei diritti dei soggetti coinvolti.
Sicurezza della piattaforma
La piattaforma è soggetta a periodici Application Security Assessment (ISO 27001, OWASP).
Data Retention Policy: le segnalazioni hanno validità limitata e vengono rimosse alla scadenza;
Server resiliency: protezione contro attacchi DDoS;
Web content security: comunicazione cifrata (TLS 1.3) e header di sicurezza;
File encryption: cifratura AES con possibilità di utilizzo chiavi PGP;
GDPR: conformità al Regolamento UE 2016/679.
5. Cosa segnalare
Segnalazioni relative a fatti già accaduti o verosimilmente imputabili a persone di V2 S.p.A. o a terzi che possano integrare illeciti o irregolarità, quali:
illeciti amministrativi, contabili, civili o penali;
violazioni di norme europee o nazionali nei settori: appalti pubblici, mercati finanziari, sicurezza dei prodotti, tutela dell’ambiente, sanità, protezione dei consumatori, protezione dei dati, sicurezza informatica, ecc.;
atti o omissioni che ledono gli interessi finanziari dell’Unione;
atti o comportamenti che vanificano le finalità delle disposizioni europee.
Le segnalazioni devono basarsi su conoscenza diretta e fondata. Sono escluse rimostranze di carattere personale.
6. Perché dovresti fare una segnalazione?
Segnalazioni in buona fede e nell’interesse comune permettono di individuare tempestivamente e correggere comportamenti irregolari o illeciti, proteggendo la società.
7. Violazione della presente procedura e responsabilità del segnalante
I dipendenti che violano la Procedura saranno soggetti a procedimenti disciplinari. Per gli altri Destinatari la violazione può determinare responsabilità contrattuali o extracontrattuali.
Segnalazioni calunniose o diffamatorie e abusi della procedura sono vietati e sanzionati dalla legge.
8. Contenuto della segnalazione
La segnalazione deve contenere elementi utili per le verifiche. È preferibile includere:
qualifica del segnalante;
descrizione dei fatti con circostanze di tempo e luogo, se note;
Il segnalante può indicare la propria identità o restare anonimo; l’accesso è soggetto alla politica “no-log” per impedire l’identificazione dell’indirizzo IP.
Alla trasmissione viene rilasciato un KEY CODE univoco di 16 cifre necessario per monitorare la segnalazione e interagire con l’istruttore. Il KEY CODE non è recuperabile in caso di smarrimento.
10. Gestione della segnalazione
Le segnalazioni sono ricevute e gestite dall’istruttore designato, con imparzialità e riservatezza.
Iter procedurale sintetico:
avviso di ricevimento entro 7 giorni;
possibilità di interlocuzione e richiesta di integrazioni;
svolgimento dell’istruttoria, audizioni e acquisizione documenti;
riscontro al segnalante entro 3 mesi (6 mesi se giustificato);
comunicazione dell’esito finale.
11. Conservazione della segnalazione e privacy
Segnalazioni e relativa documentazione sono conservate per il tempo necessario al trattamento e comunque non oltre 5 anni dalla comunicazione dell’esito finale, nel rispetto della normativa europea e nazionale sulla protezione dei dati personali.
Documento redatto per V2 S.p.A. — Procedura Whistleblowing
