1. OBIETTIVI E AMBITO DI APPLICAZIONE

La presente Whistleblowing Policy (di seguito la “Policy”) adottata da SIM SRL (di seguito la “Società”), stabilisce la procedura per effettuare una Segnalazione relativa a Violazioni, le linee guida per gestire le Segnalazioni e gli standard di protezione per i Segnalanti, i Facilitatori e le Persone Correlate (per tutte le definizioni dei termini utilizzati si veda il punto “Definizioni”). La Policy garantisce inoltre i principi di riservatezza, protezione dell’anonimato e divieto di ritorsione, in conformità con le normative applicabili. Le disposizioni di questa Policy non pregiudicano né limitano in alcun modo il diritto o l’obbligo, come eventualmente definiti dalla normativa applicabile, di segnalazione alle autorità regolamentari, di vigilanza o giudiziarie competenti nei Paesi dove opera la Società e/o a qualsiasi organo di controllo istituito presso la Società. Questa Policy è rivolta a tutti i Destinatari definiti nel punto “Definizioni” e si applica alla Società, fatte salve eventuali leggi locali specifiche disciplinanti il tema in oggetto che siano in contrasto con la stessa.

La Policy è redatta conformemente alle seguenti normative:

• D. Lgs. 231/2001 recante “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”;
• D. Lgs. 24/23 recante “Attuazione della direttiva europea 1937/19 del Parlamento Europeo e del Consiglio, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali”;
• Regolamento (UE) 2016/679, recante “Protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);
• D. Lgs 196/2013 e s.m.i., recante “Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.”

2. DEFINIZIONI

Per “Whistleblowing” si intende l’azione di segnalazione di Violazioni da parte del Segnalante.

Le “Segnalazioni” oggetto di questa Policy indicano la comunicazione, attraverso la procedura esposta nei paragrafi seguenti, di informazioni su Violazioni. Le “Violazioni” riguardano azioni od omissioni commesse durante le attività lavorative o collegate alle stesse, da qualsiasi soggetto all’interno della Società, per suo conto o nei rapporti con la Società o gli stakeholder della Società, che si sono verificate, si può ragionevolmente supporre che si siano verificate oppure che è molto probabile che si verifichino, così come tentativi di occultare tali azioni od omissioni, e che:

a) costituiscano o possano costituire una violazione, o un’induzione ad una violazione oppure vanifichino l’oggetto o la finalità:

• di leggi e altre normative applicabili, a tutti i livelli (internazionale, nazionale, regionale, locale), fatte salve eventuali limitazioni specifiche definite dalla normativa applicabile localmente (si veda il D. Lgs. 24/2023, art. 1 “Ambito di applicazione oggettivo”);
• dei valori e dei principi stabiliti nel Codice Etico della Società, nei Principi di Comportamento della Società e nelle altre procedure della Società in materia di anticorruzione;
• del Modello di Organizzazione Gestione e Controllo, al Codice etico e al Codice disciplinare eventualmente adottati dalla Società ai sensi del D.Lgs. 231/01, delle Policy e delle Procedure della Società e dei principi di controllo interno;

b) illeciti amministrativi, contabili, civili o penali;
c) causino o possano causare qualsiasi tipo di danno (per esempio economico, ambientale, di sicurezza o reputazionale) alla Società, ai suoi dipendenti e a terzi, quali ad esempio, fornitori, clienti, partner commerciali o la comunità esterna;
d) siano identificate come pertinenti dalle normative applicabili che disciplinano la segnalazione di violazioni delle disposizioni normative.

I “Destinatari” di questa Policy sono persone fisiche che hanno ottenuto direttamente o indirettamente informazioni in merito a Violazioni, a titolo esemplificativo e non esaustivo:

• dipendenti, inclusi ex dipendenti e candidati in fase di selezione;
• collaboratori (liberi professionisti, consulenti, volontari, stagisti, ecc.);
• membri degli organi sociali (inclusi i membri degli organi amministrativi, gestionali o di vigilanza) e azionisti della Società;
• dipendenti, collaboratori, membri degli organi sociali e azionisti, di clienti, fornitori, subfornitori (inclusa tutta la catena di approvvigionamento) e altri partner commerciali (comprese le joint-venture);
• qualsiasi terzo affiliato alle persone menzionate in precedenza;
• comunità locali e membri delle organizzazioni della società civile (per es. ONG);
• più in generale, qualsiasi stakeholder della Società.

Un “Segnalante” è qualsiasi Destinatario che presenti una Segnalazione.
La “Persona Segnalata” è l’autore o il presunto autore della Violazione.
Il “Gestore delle Segnalazioni” è la funzione o la/e persona/e incaricata/e di gestire la Segnalazione ricevuta, in base ai canali definiti nel punto “Canali di segnalazione”.
I “Facilitatori” sono le persone fisiche che assistono un Segnalante nella procedura di Segnalazione, collegate a quest’ultimo da un legame lavorativo.
Le “Persone Correlate” sono persone fisiche che hanno una relazione personale o lavorativa con il Segnalante.

Le estensioni o le limitazioni alla tutela legale garantita ai Segnalanti e altre parti correlate/di supporto possono variare in base alle leggi applicabili localmente, al loro ruolo e al tipo di Violazione segnalata.

3. PRINCIPI GENERALI

La Società si impegna a rispettare i seguenti principi generali nella gestione del processo di Whistleblowing e richiede che i Segnalanti e le altre persone coinvolte li rispettino per quanto di competenza:

• Principio di riservatezza: la Società garantisce la riservatezza dei Segnalanti, delle Segnalazioni e delle informazioni contenute al loro interno, come meglio precisato al punto “Riservatezza”;
• Principio di proporzionalità: le indagini condotte dalla Società sono adeguate, necessarie e commisurate per raggiungere lo scopo delle stesse;
• Principio di imparzialità: l’analisi e il trattamento delle Segnalazioni vengono eseguiti senza soggettività, indipendentemente dalle opinioni e dagli interessi delle persone responsabili della loro gestione;
• Principio di buona fede: le tutele al Segnalante (specificate nel punto “Divieto di ritorsione”) sono applicabili anche nei casi in cui la Segnalazione si riveli infondata, qualora sia stata fatta in buona fede (ovvero il Segnalante aveva motivi fondati di ritenere che le informazioni relative alle Violazioni fossero vere al momento della Segnalazione e che le informazioni rientrassero nell’ambito della Policy).

Nessun Segnalante può approfittare di tali tutele per evitare una sanzione disciplinare a proprio carico.

4. GESTIONE DELLE SEGNALAZIONI

4.1 CANALI DI SEGNALAZIONE

Le segnalazioni, che devono essere circostanziate e fondate su elementi di fatto precisi e concordanti, possono essere fatte accedendo alla piattaforma web tramite il seguente link: simwhistleblowing.it e seguendo le istruzioni ivi contenute.

I Gestori delle Segnalazioni ricevono istruzioni adeguate, sono indipendenti, hanno le competenze necessarie per svolgere la loro mansione e gestiscono le Segnalazioni con l’opportuna diligenza; possono eseguire altri compiti e mansioni oltre alla Gestione delle segnalazioni, a condizione che ciò non determini un conflitto di interessi. Chiunque riceva una Segnalazione che rientra nell’ambito di questa Policy al di fuori dei canali dedicati, per qualsiasi motivo e con ogni mezzo, deve:

• Garantire la riservatezza delle informazioni ricevute, avendo l’obbligo di non divulgare l’identità del Segnalante né della Persona Segnalata o qualsiasi altra persona menzionata nella Segnalazione, né qualsiasi informazione che consentirebbe di identificarle, direttamente o indirettamente (qualsiasi violazione della riservatezza sarà soggetta a responsabilità civile, disciplinare o penale, se applicabile);
• Indirizzare il Segnalante a conformarsi alla procedura per presentare Segnalazioni stabilita da questa Policy e/o inoltrare la Segnalazione usando i canali dedicati stabiliti da questa Policy.

La Violazione può essere eventualmente segnalata mediante il canale esterno attivato dall’ANAC, ovvero divulgata pubblicamente (rendendo di pubblico dominio informazioni sulle violazioni tramite la stampa o mezzi elettronici o comunque tramite mezzi di diffusione in grado di raggiungere un numero elevato di persone), solo quando, si verifichi anche una sola delle seguenti ipotesi:

• la segnalazione interna e/o esterna, già effettuata, non ha avuto seguito;
• il Segnalante ha fondati motivi di ritenere che, utilizzando il canale interno e/o esterno, non sarebbe dato efficace seguito alla segnalazione;
• il Segnalante ha il fondato timore di subire ritorsioni;
• la Violazione può costituire pericolo imminente o palese per l’interesse pubblico.

4.2 CONTENUTO E INVIO DELLE SEGNALAZIONI

I Destinatari che vengano a conoscenza di Violazioni sono incoraggiati a segnalare i fatti, gli eventi e le circostanze correlate tempestivamente, in buona fede e a condizione di avere motivi fondati di ritenere che tali informazioni siano vere. Le Segnalazioni devono essere il più dettagliate possibile, per fornire informazioni utili e adeguate che consentano la verifica efficace della fondatezza degli eventi segnalati. Se possibile e quando noto al Segnalante, la Segnalazione deve includere:

• nome del Segnalante e dettagli di contatto relativi per ulteriori comunicazioni (tuttavia, le Segnalazioni possono anche essere presentate in forma anonima, e la Società garantisce ai Segnalanti anonimi mezzi adeguati a monitorare le loro Segnalazioni nel rispetto del loro anonimato);
• una descrizione dettagliata degli eventi che si sono verificati (ivi compresi data e luogo) e come il Segnalante ne è venuto a conoscenza;
• quale legge, regolamento interno, ecc. si ritiene sia stato/a violato/a;
• il nominativo e il ruolo della/e Persona/e Segnalata/e o le informazioni che consentono di identificarla/e;
• il nominativo e il ruolo di eventuali altre parti che possano riferire sugli eventi segnalati;
• eventuali documenti o altri elementi che possano comprovare gli eventi segnalati.

La documentazione verrà conservata e trattata secondo le leggi applicabili, come specificato anche nel punto “Trattamento dei dati personali”.

Tutti i canali elencati sono progettati e gestiti in modo sicuro, al fine di impedire l’accesso alle informazioni da parte di personale non autorizzato e di garantire che l’identità del Segnalante e delle altre persone coinvolte nelle indagini rimanga riservata. Non possono essere oggetto della Segnalazione, le contestazioni, rivendicazioni o richieste legate ad un interesse di carattere personale della persona segnalante o della persona che ha sporto una denuncia all'Autorità giudiziaria o contabile che attengono esclusivamente ai propri rapporti individuali di lavoro o di impiego pubblico, ovvero inerenti ai propri rapporti di lavoro o di impiego pubblico con le figure gerarchicamente sovraordinate (sono quindi, escluse, ad esempio, le segnalazioni riguardanti vertenze di lavoro, discriminazioni tra colleghi, conflitti interpersonali tra la persona segnalante e un altro lavoratore).

4.3 VERIFICA DELLE SEGNALAZIONI

Il Gestore delle Segnalazioni, ricevuta la segnalazione, rilascia al Segnalante avviso di ricevimento entro 7 giorni dalla data di ricezione. Il Gestore delle Segnalazioni esamina la Segnalazione per determinare se è comprovata.

Inizialmente, conduce una analisi preliminare per determinare se vi siano elementi sufficienti per una Violazione potenziale o effettiva (la cosiddetta “verifica di plausibilità”). In caso di esito positivo, la Segnalazione viene ulteriormente approfondita. In caso contrario, la Segnalazione sarà archiviata in un apposito registro, in linea con la normativa sulla conservazione dei dati applicabile; il Segnalante ne viene informato e, se la Segnalazione non rientra nell’ambito di questa Policy, può essere rinviato ad altri canali o ad altre procedure aziendali.

Se è possibile ritenere che i fatti contenuti nella Segnalazione costituiscano un reato, il Gestore delle Segnalazioni valuta, in accordo con le altre funzioni aziendali competenti e il management della Società, se e quando le informazioni contenute nella Segnalazione debbano essere notificate alle autorità giudiziarie competenti, anche in base alla normativa applicabile. Il Gestore delle Segnalazioni è quindi incaricato di verificare la Segnalazione e di condurre un’indagine tempestiva e accurata, nel rispetto dei principi di imparzialità, equità, proporzionalità e riservatezza nei confronti del Segnalante, della Persona Segnalata e di tutte le parti coinvolte nella Segnalazione.

Nel corso di tali verifiche, il Gestore delle Segnalazioni può avvalersi del supporto delle funzioni aziendali di volta in volta competenti e/o di consulenti esterni specializzati, garantendo la riservatezza delle informazioni e rendendo anonimi quanti più dati personali possibili. Il Gestore delle Segnalazioni può anche affidare ad altre funzioni aziendali la responsabilità di condurre alcune o tutte le attività di verifica della Segnalazione.

Il Gestore delle Segnalazioni resta in ogni caso responsabile di monitorare il rispetto dei principi previsti dalla presente Policy, la correttezza formale del processo e l’adeguatezza delle azioni successive. Resta inteso che eventuali misure disciplinari verranno definite come specificato nel punto “Risultati delle verifiche”.

Durante l’indagine il Gestore delle Segnalazioni può chiedere al Segnalante di fornire ulteriori informazioni a supporto, necessarie e proporzionate; il Segnalante ha diritto di completare o correggere le informazioni fornite al Gestore delle Segnalazioni, nel rispetto del principio di buona fede (la Società si riserva il diritto a intraprendere misure a propria tutela contro Segnalanti che presentino consapevolmente false segnalazioni).

Il Gestore delle Segnalazioni può anche condurre colloqui o richiedere informazioni ad altre persone che possono essere a conoscenza degli eventi segnalati. Alle Persone Segnalate è garantito il diritto alla difesa e/o di essere informate dell’esito dell’indagine, nei limiti previsti dalla normativa applicabile.

Qualora il Gestore della Segnalazione si trovasse in posizione di conflitto d’interesse nella valutazione della segnalazione e/o nell’esecuzione dell’istruttoria, dovrà dichiararlo all’organo amministrativo della Società e all’Organismo di Vigilanza (ove presente), e dovrà astenersi dal partecipare alle attività relative alla pratica specifica. Tale eccezione verrà tracciata sulla piattaforma.

4.4 RISULTATI DELLE VERIFICHE

Una volta completata la fase di verifica, il Gestore delle Segnalazioni predispone una relazione che riassume le indagini effettuate, i metodi usati, i risultati della verifica di plausibilità e/o dell’indagine, gli elementi a supporto raccolti, e le raccomandazioni per un piano d’azione. In caso di archiviazione della Segnalazione ne saranno precisati i motivi.

Il Gestore delle Segnalazioni procede, in ogni caso, a dare riscontro al Segnalante entro 3 mesi dalla data di avviso di ricevimento e comunque entro 3 mesi e 7 giorni, comunicando al Segnalante le informazioni relative allo stato della Segnalazione e le eventuali azioni che si intendono intraprendere a seguito della segnalazione.

In base ai risultati, la relazione viene quindi condivisa con i Responsabili della Società e delle funzioni aziendali coinvolte sulla base del principio “need to know” (ivi compresa la possibilità di condividere una versione anonimizzata del documento) per determinare, in accordo con le funzioni competenti, un piano d’azione (laddove necessario) e/o qualsiasi altra misura da adottare (comprese eventuali misure disciplinari nei confronti di dipendenti).

La documentazione relativa a ciascuna Segnalazione ricevuta, anche qualora le indagini concludano che non vi siano elementi a supporto sufficienti, viene conservata nel rispetto dei requisiti di riservatezza secondo le tempistiche e le modalità stabilite dalle normative in materia applicabili.

Il Gestore delle Segnalazioni riferisce, almeno ogni sei mesi, sul numero e sul tipo di Segnalazioni ricevute e sull’esito delle attività condotte agli organi statutari di controllo e supervisione aziendali (laddove presenti), garantendo l’anonimato dei soggetti coinvolti.

Nell’ambito di tale attività, verrà valutato anche se la procedura descritta in questa Policy sia efficace e raggiunga gli obiettivi definiti. Se vi sono indicazioni di cambiamenti nell’ambiente operativo o di altri elementi che incidano negativamente sull’efficacia del processo di Segnalazione, la Società valuterà eventuali modifiche al processo stesso.

5. ADOZIONE E DIFFUSIONE

L’adozione e l’aggiornamento della presente policy spetta all’Organo Amministrativo, previa consultazione delle rappresentanze e/o delle organizzazioni sindacali, ove presenti, in merito all’individuazione del canale di segnalazione interno.

Il presente documento è portato a conoscenza del personale aziendale all’atto dell’adozione, in caso di aggiornamento e comunque in fase di selezione e al momento dell’assunzione.
Il presente documento è esposto e reso facilmente accessibile al personale aziendale mediante affissione in bacheca e pubblicazione sulla Intranet aziendale.

Sul sito istituzionale della Società sono pubblicate informazioni chiare sul canale, sulle procedure e sui presupposti per poter effettuare le segnalazioni interne ed esterne.

6. RISERVATEZZA

Nell’incoraggiare i Destinatari a segnalare tempestivamente qualsiasi Violazione, la Società garantisce la riservatezza di ciascuna Segnalazione e delle informazioni contenute al suo interno, ivi compresa l’identità del Segnalante, della/e Persona/e Segnalata/e, dei Facilitatori e di ogni altra persona coinvolta. Le loro identità non saranno comunicate a nessuno al di fuori del Gestore delle Segnalazioni, tranne:

• laddove forniscano il proprio consenso esplicito, oppure abbiano intenzionalmente divulgato la propria identità in altri ambiti;
• la comunicazione è un obbligo necessario e proporzionato nell’ambito di indagini da parte delle Autorità o di procedimenti giudiziari, ai sensi della normativa applicabile.

Le informazioni contenute nelle Segnalazioni che costituiscono segreti commerciali non possono essere usate o divulgate per finalità diverse da quelle necessarie per risolvere la Segnalazione.

7. DIVIETO DI RITORSIONE

La Società non tollera alcuna forma di minaccia, ritorsione o discriminazione, tentata o effettiva, ai danni dei Segnalanti, dei Facilitatori, delle Persone Correlate, dalle Persone Segnalate e di chiunque abbia collaborato alle indagini per comprovare la fondatezza della Segnalazione (ivi comprese le rispettive Persone correlate).

La Società tenta di eliminare (laddove possibile) o compensare gli effetti di qualsiasi ritorsione ai danni dei soggetti sopra menzionati. La Società si riserva il diritto di intraprendere azioni adeguate contro chiunque ponga in essere, o minacci di porre in essere, atti di ritorsione contro i soggetti elencati in precedenza, fatto salvo il diritto delle parti coinvolte di tutelarsi legalmente qualora siano state riscontrate responsabilità di natura penale o civile legate alla falsità di quanto dichiarato o segnalato.

La Società può intraprendere le più opportune misure disciplinari e/o legali, nella misura consentita dalla normativa applicabile, a tutela dei propri diritti, dei propri beni e della propria immagine, nei confronti di chiunque abbia effettuato in mala fede Segnalazioni false, infondate od opportunistiche e/o al solo scopo di calunniare, diffamare o arrecare pregiudizio alla Persona Segnalata o ad altre parti coinvolte nella Segnalazione.

8. TRATTAMENTO DEI DATI

I dati personali (ivi inclusi eventuali dati appartenenti a categorie particolari, quali l’origine razziale ed etnica, le convinzioni religiose e filosofiche, le opinioni politiche, l’adesione a partiti politici o sindacati, nonché i dati personali idonei a rivelare lo stato di salute e l’orientamento sessuale, dati relativi a eventuali reati o condanne penali) dei Segnalanti e di altri soggetti eventualmente coinvolti, acquisiti in occasione della gestione delle Segnalazioni, saranno trattati per l’adempimento degli obblighi imposti dalla normativa applicabile sul “Whistleblowing”, nei limiti e con le garanzie previste da tale normativa, in piena conformità a quanto stabilito dalle normative applicabili in materia di protezione dei dati personali e con le disposizioni della Privacy Policy della Società.

Il trattamento dei dati personali sarà effettuato dal Gestore delle Segnalazioni (fatte salve eventuali specifiche normative locali in materia ed eventuali conflitti di interesse), ai soli fini di dare esecuzione alle procedure stabilite nella presente Policy.

Secondo i principi di “privacy by design” (protezione dei dati fin dalla progettazione) e “privacy by default and minimization” (privacy mediante impostazione predefinita e minimizzazione), la Società ha predisposto canali riservati per ricevere le Segnalazioni e le gestisce in modo sicuro per garantire l’anonimato del Segnalante oppure la riservatezza della sua identità e di qualsiasi terzo coinvolto (tranne per gli obblighi necessari e proporzionati nell’ambito di indagini da parte delle autorità competenti o di procedimenti giudiziari).

Il trattamento dei dati personali sarà limitato a quanto strettamente necessario e proporzionato per garantire la corretta gestione della Segnalazione e comunque non oltre il termine previsto dalla normativa applicabile.

All’occorrenza, le operazioni di trattamento dei dati saranno affidate, sotto la vigilanza del Gestore delle Segnalazioni, a dipendenti debitamente autorizzati, istruiti e specificamente formati in relazione all’esecuzione delle procedure di Whistleblowing, con particolare riferimento alle misure di sicurezza e alla tutela della riservatezza dei soggetti coinvolti e delle informazioni contenute nelle Segnalazioni oppure a specialisti esterni, in questo caso adottando adeguate tutele contrattuali.

I dati personali contenuti nelle Segnalazioni potranno essere comunicati dal Gestore delle Segnalazioni agli organi sociali e alle funzioni interne eventualmente di volta in volta competenti, così come all’Autorità Giudiziaria e/o a qualsiasi altra autorità competente, o a terze parti debitamente autorizzate, ai fini dell’attivazione delle procedure necessarie a garantire, in conseguenza della Segnalazione, idonea tutela giudiziaria e/o disciplinare nei confronti della/e Persona/e Segnalata/e, laddove dagli elementi raccolti e dagli accertamenti effettuati emerga la fondatezza delle circostanze inizialmente segnalate.

L’esercizio dei diritti degli interessati previsti dalla normativa applicabile in materia di protezione dei dati personali potrà essere limitato ove necessario per garantire il pieno rispetto della normativa Whistleblowing applicabile e per tutelare la riservatezza delle Segnalazioni e degli interessati.