1. PREMESSE. SCOPO DELLA PROCEDURA.

  1.1         Introduzione.

  L’Istituto CFR Srl di Nola eroga, in regime di accreditamento istituzionale definitivo con il Servizio Sanitario Nazionale (per il tramite di quello regionale e della competente ASL Napoli 3 Sud), servizi di riabilitazione ed abilitazione delle disabilità permanenti - complesse e/o transitorie e/o minimali fisiche, psichiche, sensoriali -, nei vari settings previsti dall’art. 26 della L. /1978 (ambulatoriale, domiciliare, semiresidenziale e residenziale), e dall’art. 44 della stessa legge (FKT ambulatoriale).

 Il regime di accreditamento consente alle strutture in possesso dei requisiti previsti di poter siglare, con la ASL di riferimento, e con cadenza annuale, un contratto ex art. 8-quinquies della legge n. 502/1992, accordo che definisce gli obiettivi di salute, il volume massimo delle prestazioni erogabili, i requisiti del servizio prestato in vece del pubblico, il debito informativo nei confronti della PA e i livelli qualitativi e disciplinari da applicare.  Per quanto trattato in questo testo, la struttura privata viene equiparata ad una pubblica, proprio perché titolare di un pubblico servizio.

   1.2         Finalità della Procedura.

  La presente Procedura Operativa ha lo scopo di regolamentare il processo di ricezione, di analisi, di gestione e di trasmissione delle Segnalazioni relative al cosiddetto Whistleblowing, su informazioni, adeguatamente circostanziate, presentate dai soggetti “segnalatori”, come più avanti precisati, in merito a presunte violazioni di leggi e regolamenti, o specifiche ed illegittime inosservanze dei codici di buona condotta, trasgressioni coinvolgenti – a tutti i livelli funzionali esistenti – amministratori, dirigenti, funzionari o operatori della struttura CFR di Nola.

  La procedura è finalizzata a dare precisa attuazione al Decreto legislativo 10 marzo 2023, n. 24 (pubblicato in G.U. il 15 marzo 2023, in vigore dal 30 marzo 2023), recante il recepimento della Direttiva (UE) 2019/1937, riguardante “la protezione delle persone che segnalano violazioni del diritto dell’Unione (cd. disciplina Whistleblowing)”.  Si precisa che, per quanto non espressamente regolato dalla Procedura, si conviene che resti integralmente applicabile quanto previsto dal suddetto Decreto legislativo.

  In sintesi, la normativa citata disciplina, in sintesi:

• il regime di tutela verso determinate categorie di soggetti che segnalano informazioni, acquisite nel contesto lavorativo, pertinenti violazioni di disposizioni normative nazionali o dell’Unione Europea che ledono l’interesse pubblico o l’integrità della struttura societaria coinvolta;
• alcune misure di protezione a tutela del Segnalante - tra le quali, ad esempio, il divieto di ritorsioni - nonché dei Facilitatori, dei colleghi e dei parenti del Segnalante, e inoltre dei soggetti giuridici in qualche modo collegati al Segnalante;
• l’istituzione di canali di segnalazione “interni” all’azienda – tra i quali, in particolare, un canale di tipo informatico - per la trasmissione tutelata di segnalazioni; i suddetti canali devono garantire, anche tramite il ricorso a strumenti di crittografia, la tutela della riservatezza dell’identità del Segnalante, della Persona coinvolta e/o comunque menzionata nella segnalazione, del contenuto della segnalazione e della relativa documentazione;
• oltre alla facoltà di sporgere denuncia all’Autorità giudiziaria o contabile, la possibilità (qualora ricorra una delle condizioni previste all’art. 6, comma 1, del D. n. 24/2023) di effettuare segnalazioni “esterne”, tramite il canale gestito direttamente dall’Autorità Nazionale Anticorruzione (ANAC), nonché l’opportunità di effettuare divulgazioni “pubbliche” (al ricorrere di una delle condizioni previste all’art. 15, comma 1, del D. lgs. n. 24/2023), tramite la stampa, o altri mezzi elettronici di diffusione in grado di raggiungere un numero elevato di persone;
• i provvedimenti disciplinari, nonché le sanzioni amministrative pecuniarie, irrogate da ANAC nei casi previsti dagli artt. 16 e 21 del D. n. 24/2023.

2. DESTINATARI DELLA PROCEDURA.

  Destinatari della Procedura (cioè gli interessati in essa coinvolti, sia come possibili Segnalanti che come possibili Segnalati o Gestori), risultano essere:

• i Vertici aziendali e i componenti degli organi sociali formalmente costituiti (ad es., i membri dell’eventuale Organismo di Vigilanza);
• i dipendenti e gli ex dipendenti, ed anche i soli candidati a posizioni lavorative, nonché i soci, i clienti/utenti, i partner, i fornitori (anche in regime di appalto/subappalto/convenzione), i consulenti professionali, i collaboratori, tutti coloro che, nello svolgimento della propria attività lavorativa presso o per l’azienda CFR, vengano in possesso in possesso di informazioni su presunte violazioni riguardanti CFR o le società in rapporto con questa (quelle prima sommariamente citate).

  Rientrano, altresì, tra i Destinatari, i soggetti fisici e giuridici, non già ricompresi nelle precedenti categorie, ma ai quali possano ad effetto della Procedura applicarsi le misure di protezione indicate nel seguito.  Si rammenta che le disposizioni di cui trattasi si applicano anche nel caso di Segnalazioni anonime, purché presentate / rese pubbliche in maniera adeguatamente circostanziata.

 L’Azienda CFR attiverà i propri canali di segnalazione “interna” sentite le rappresentanze sindacali locali.

3. CAMPO DI APPLICAZIONE.

 Si è detto, dunque, che la Procedura regolamenta i processi di trasmissione, ricezione, analisi e gestione delle segnalazioni, in essi comprese l’archiviazione e la successiva cancellazione delle segnalazioni. La azienda CFR dichiara di voler garantire la corretta e costante applicazione, nonché la massima diffusione interna ed esterna, della Procedura in esame e delle Istruzioni di Lavoro a questa collegate. Il presente documento può costituire inoltre una base di riferimento per le società che hanno stabili rapporti con l’Istituto CFR, che sono da questo sensibilizzate a recepirla in conformità alle normative vigenti ed in relazione ai processi lavorativi che svolgono per conto della CFR.

  Sono invece escluse, dal perimetro di applicazione della Procedura, le segnalazioni inerenti a:

• contestazioni, rivendicazioni o richieste legate ad un interesse di esclusivo carattere personale del Segnalante, che attengono esclusivamente alla disciplina del rapporto di lavoro o ai rapporti con le figure gerarchicamente sovraordinate, salvo che le stesse siano collegate, o comunque riferibili, alla violazione di norme o di regole/procedure interne all’azienda;
• violazioni disciplinate in via obbligatoria da atti dell’Unione Europea o nazionali, come indicati nell’art. 1, co. 2, lett. b), del D. n. 24/2023 (in materia di servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente);
• fatti o circostanze rientranti nell’applicazione di disposizioni nazionali o dell’Unione Europea in materia di informazioni classificate, segreto forense o medico, e di segretezza delle deliberazioni degli organi giurisdizionali, nonché in materia di esercizio e tutela del diritto dei lavoratori di consultare i propri rappresentanti o i sindacati, di protezioni contro le condotte o gli atti illeciti posti in essere in ragione di tali consultazioni, di autonomia delle parti sociali e del loro diritto di stipulare accordi collettivi, nonché di repressione delle condotte antisindacali;
• richieste di esercizio dei diritti in materia di protezione dei dati personali, ai sensi del Regolamento (UE) n. 2016/679 (Regolamento Generale sulla Protezione dei Dati - GDPR), e dei D. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) e D. lgs. 10 agosto 2018, n. 101, e loro successive modifiche e integrazioni, per le quali si rimanda ai dati di contatto del DPO dell’azienda CFR.

3. DEFINIZIONE DEL PROCESSO E DELLE RESPONSABILITÀ.

  3.1         Descrizione del processo di segnalazione illeciti.

  La norma di riferimento principale prevede che la gestione del canale di segnalazione “interno” sia affidata a una persona o a un ufficio interno autonomo dedicato, e con personale specificamente formato per la conduzione dello stesso, ovvero possa essere affidata a un soggetto esterno, anch'esso autonomo e con personale specificamente formato.  Per le Segnalazioni riguardanti CFR, la Direzione aziendale ha stabilito che l’owner del processo di gestione sia l’Organismo di Vigilanza di CFR (o funzione a questa equivalente o sostitutiva per legge, vedi nel seguito §6.2), non sussistendo nella fattispecie l’obbligo di individuare la figura del Responsabile della prevenzione della corruzione e della trasparenza, e ferme restando in ogni caso le responsabilità e le prerogative del Collegio sindacale sulle segnalazioni a quest’ultimo eventualmente direttamente indirizzate.

 Al fine di dare seguito alle Segnalazioni, l’OdV di CFR (o Funzione equivalente o “soggetto con funzioni analoghe”) si avvale del supporto della Funzione Audit e Risk Management di CFR. Questa, nell’ambito delle attività di supporto all’Organismo di Vigilanza (o come si è detto, di chi ne assume, per legge, il medesimo ruolo), svolge altresì gli approfondimenti istruttori eventualmente richiesti da ANAC sulle Segnalazioni esterne, ovvero sulle Divulgazioni pubbliche riguardanti CFR, dandone adeguata informativa all’OdV (o a chi per esso).

 Le Funzioni aziendali di CFR eventualmente interessate/coinvolte da Enti, Istituzioni o Autorità esterne, in merito a Segnalazioni esterne, o Divulgazioni pubbliche, devono attivare tempestivamente la suddetta Funzione di CFR, per tutti gli approfondimenti lasciati alla sua competenza (in conformità a quanto espresso in questo documento).

 3.2         Specificità dell’Organismo di Vigilanza (o della Funzione equivalente).

  Nella fattispecie corrente, in osservanza delle norme sulla cd. Amministrazione Trasparente (in particolare, ai sensi del D. Lgs. 14 marzo 2013, n. 33, come modificato dal D. Lgs. 25 maggio 2016, n. 97), nell’azienda CFR – Istituto di Riabilitazione Srl di Nola (classificabile come “Operatore Economico” - Ente di diritto privato di cui all'art. 2-bis, co. 3 del D. Lgs. n. 33/2013, limitatamente all'attività di pubblico interesse), non sussistendo per essa, al momento, l’obbligo di creazione dell’Organismo interno di Vigilanza, il ruolo (la Funzione) di quest’ultimo è assegnato al legale Rappresentante dell’azienda, l’Amministratore unico.

 Poiché, a seconda della segnalazione pervenuta, potrebbe sussistere un evidente “conflitto di interessi”, laddove la Persona reputata dalla Segnalazione (o lo Staff della stessa) come coinvolta nell’atto illecito denunciato o ipotizzato, si stabilisce in tal evenienza il passaggio delle consegne al Consiglio sindacale e dei Revisori dei conti, che quindi assumono l’intera responsabilità del processo di gestione della Segnalazione

   3.3         Informative agli interessati sulle modalità di applicazione in ambito aziendale.

  L’Azienda CFR mette a disposizione dei Destinatari informazioni chiare sui canali di Segnalazione previsti, sulle procedure adottate e sui presupposti per effettuare sia le cd. Segnalazioni “interne”, che quelle “esterne”.  Le suddette informazioni sono esposte nei luoghi di lavoro, nonché pubblicate in una sezione dedicata del sito web aziendale e riassunte in una nota informativa del SFI – Servizio Formazione ed Informazione.

   3.4     Trasmissione della Segnalazione.

  I Destinatari della presente Procedura che vengono a conoscenza di Informazioni su violazioni sono tenuti obbligatoriamente ad effettuare una Segnalazione attraverso i canali di segnalazione “interni“, come descritti in questa POI.

 Chiunque riceve cioè una Segnalazione, in qualsiasi forma (orale o scritta), deve trasmetterla tempestivamente, e comunque entro 7 giorni dal suo ricevimento, all’Organismo di Vigilanza o Funzione equivalente, anche per il tramite della Funzione Audit di CFR, attraverso i canali di segnalazione interni di seguito descritti, dando contestuale notizia (opportunamente riservata) della trasmissione al Segnalante (ove questi sia soggetto noto e non anonimo). È, altresì, tenuto a trasmettere l’originale della Segnalazione, inclusa eventuale documentazione di supporto, nonché l’evidenza della comunicazione al Segnalante dell’avvenuto inoltro della Segnalazione. Non può trattenere copia dell’originale e deve eliminare eventuali copie in formato digitale o qualsiasi, astenendosi dall’intraprendere qualsiasi iniziativa autonoma di analisi e/o approfondimento. Lo stesso è tenuto alla estrema riservatezza dell’identità del Segnalante, delle Persone coinvolte e/o comunque menzionate nella Segnalazione, del contenuto della Segnalazione e della relativa documentazione.

 La mancata comunicazione di una Segnalazione ricevuta, nonché la violazione dell’obbligo di riservatezza, costituiscono una grave e sanzionabile violazione della Procedura, potendosi in tal evenienza adottare un provvedimento disciplinare.

  Al fine di dare diligente e conforme seguito alle Segnalazioni interne ricevute, CFR si avvale di un Portale informatico esterno espressamente dedicato a tale scopo e dotato di tutte le pertinenti autorizzazioni e caratteristiche di sicurezza, direttamente accessibile a tutti dalla pagina dedicata al “Whistleblowing” presente sul sito internet di CFR (sezione Amministrazione Trasparente).  La società che ha la gestione del Portale è opportunamente incaricata, ai fini di legge, quale Responsabile esterno del trattamento dati per conto del cd. Titolare, l’Istituto CFR (ai sensi del Regolamento europeo sulla Privacy e norme nazionali correlate), rimanendo in più vincolata contrattualmente a garantire la perfetta aderenza del processo di gestione de quo ai criteri normativi e giurisprudenziali cogenti.  L'accesso ai servizi del Portale è consentito a seguito della registrazione attraverso un processo online; la piattaforma è offerta in modalità SaaS (Software as a Service). I dati possono essere inseriti, modificati, elaborati, o altrimenti trattati, dal personale autorizzato dell’Azienda, solo nei modi e nelle forme esplicitamente previsti dal contratto stipulato con il Fornitore, condizioni pienamente soddisfacenti i requisiti di legge.

 Il Portale – denominato “Argus Watch / Whistleblowing Suite”, di Software Engine Srl di Solofra (AV) - consente di trasmettere, anche in maniera anonima, sia una Segnalazione propria sia una Segnalazione ricevuta da un terzo, previa presa visione dell’“Informativa Privacy” e delle altre procedute pubblicate sulla pagina dedicata al “Whistleblowing” presente sul sito internet di CFR (www.cfrriabilitazione.it  -  www.cfrnola.it).  La piattaforma digitale consente una appropriata interazione (anonima, se così desiderata) con i Segnalanti.

 Nella collocazione suindicata, è altresì pubblicata la presente Procedura e sono disponibili ulteriori informazioni agli interessati (per scopi di sensibilizzazione), e Istruzioni sui presupposti preliminari occorrenti per effettuare una Segnalazione tramite il canale “interno”, nonché informazioni aggiuntive su canali, procedure e presupposti per effettuare le Segnalazioni “esterne” e le Divulgazioni pubbliche.

 Al termine dell’inserimento, il Segnalante può annotare la data e il Codice Identificativo Unico (ticket alfanumerico che identifica in modo univoco la Segnalazione), automaticamente prodotto dal Portale, che consente di seguire nel tempo lo stato di lavorazione della Segnalazione medesima, garantendo tutti i requisiti desiderati di riservatezza e di anonimato.

  Le Segnalazioni potrebbero essere altresì trasmesse, come consentito dalla norma di riferimento, a mezzo di posta ordinaria, indirizzata all’Organismo di Vigilanza di CFR (o Funzione equivalente), presso la sede legale della società. Allo scopo, può essere utilizzato il Mod. ODV-SWB, tratto da quello in uso sul portale ufficiale dell’Autorità ANAC ed allegato in coda a questa Procedura. Si evidenzia che la preferenza adottata dall’azienda CFR è quella di favorire la ricezione delle Segnalazioni a mezzo del Portale, e di procedere, a seguito della notizia di questa, alla consultazione della stessa sempre grazie al Portale medesimo.

  Il Segnalante può inoltre chiedere di effettuare una Segnalazione orale mediante un incontro diretto con un membro dell’Organismo di Vigilanza di CFR (o Funzione equivalente), e/o, per suo conto, con il personale della Funzione Audit coinvolto nelle attività di cui trattasi. In tal caso, previo consenso del Segnalante, il colloquio è documentato a cura del personale addetto mediante registrazione su un dispositivo idoneo alla conservazione e all’ascolto, oppure mediante verbale scritto, che il Segnalante può verificare, rettificare e confermare mediante opportuna sottoscrizione a norma di legge.

 Eventuali Segnalazioni indirizzate al Collegio Sindacale di CFR sono a queste tempestivamente trasmesse. Resta salva per l’Organismo di Vigilanza di CFR (o Funzione equivalente) la facoltà di svolgere autonomi approfondimenti, direttamente o con il supporto della Funzione Audit, su fatti e circostanze di rilevanza.  NB: vale, comunque, quanto riportato nella nota (1) a pie’ di pagina 7. Analogamente, il Collegio Sindacale di CFR deve obbligatoriamente trasmettere all’Organismo di Vigilanza di CFR (o Funzione equivalente), tempestivamente e comunque entro 7 giorni dal suo ricevimento, eventuali Segnalazioni pervenute al predetto organo sociale ma indirizzate e/o di competenza dell’OdV, dando contestuale notizia della trasmissione al Segnalante (da registrare opportunamente, oltre a quanto riportato nel paragrafo seguente, anche sul Mod. ODV-RWB, Registro riservato Segnalazioni Whistleblowing).

    3.5         Registrazione della Segnalazione.

  Tutte le Segnalazioni, indipendentemente dalla modalità di ricezione, sono registrate nel Portale, che costituisce il database riepilogativo dei dati essenziali delle Segnalazioni e della loro gestione (tracciata tramite apposito workflow, confacente le caratteristiche di legge), ed assicura, altresì, l’archiviazione di tutta la documentazione allegata, nonché di quella prodotta o acquisita nel corso delle attività di analisi.

 La consultazione delle informazioni presenti sul Portale o comunque ricevute è limitata al solo personale della Funzione Audit coinvolto nelle attività di supporto all’Organismo di Vigilanza (o Funzione equivalente), abilitato con specifici profili funzionali di accesso al sistema, opportunamente “tracciati” attraverso log.  I componenti dell’Organismo di Vigilanza (o Funzione equivalente) di CFR possono comunque accedere direttamente al Portale, tramite un apposito profilo funzionale di sola visualizzazione, per prendere visione delle Segnalazioni di rispettiva competenza.

 3.6         Classificazione e analisi preliminare della segnalazione.

  Il personale della Funzione Audit coinvolto nelle attività di supporto all’OdV (o Funzione equivalente) di cui alla presente Procedura, analizza e classifica le Segnalazioni, per definire, appunto, quelle potenzialmente rientranti nel campo di applicazione della presente Procedura. Nell’ambito di tali attività di supporto, la Funzione Audit e Risk Management di CFR fornisce al Segnalante, tramite il Portale:

•      entro 7 giorni dalla data di ricezione della Segnalazione, un avviso di ricevimento della stessa;
•     entro 3 mesi dall’avviso di ricevimento della Segnalazione, un riscontro con informazioni sul seguito che viene dato o si intende dare alla Segnalazione, specificando se la Segnalazione rientra o meno nell’ambito di applicazione del D. n. 24/2023.

  La Funzione Audit in via preliminare valuta, anche tramite eventuali analisi documentali, la sussistenza dei presupposti necessari per l’avvio della successiva fase istruttoria, dando priorità alle Segnalazioni adeguatamente circostanziate, e comunica le suddette evidenze all’OdV (o Funzione equivalente) di CFR.

 Per le Segnalazioni di propria competenza, l’OdV, su base documentale, e anche in considerazione degli esiti delle preliminari analisi svolte dalla Funzione Audit, valuta:

• l’avvio della successiva fase di istruttoria;
• per le “Segnalazioni relative a fatti rilevanti”, la tempestiva informativa al Collegio Sindacale, per le autonome valutazioni;
• la chiusura delle Segnalazioni, in quanto: a) generiche o non adeguatamente circostanziate; b) palesemente infondate; c) riferite a fatti e/o circostanze oggetto in passato di specifiche attività istruttorie già concluse, ove dalle preliminari verifiche svolte non siano emerse nuove informazioni tali da rendere necessari ulteriori approfondimenti; d) “circostanziate verificabili”, per le quali, alla luce degli esiti delle preliminari verifiche svolte, non emergono elementi tali da supportare comunque l’avvio della successiva fase di istruttoria; e) “circostanziate non verificabili”, per le quali, alla luce degli esiti delle preliminari verifiche svolte, non risulta possibile, sulla base dei soli strumenti di analisi a disposizione, svolgere ulteriori approfondimenti per verificare la fondatezza della Segnalazione.

  Al fine di acquisire elementi informativi, l’Organismo di Vigilanza (o la Funzione equivalente) ha facoltà di:

• richiedere alla Funzione Audit, fermi restando i vigenti flussi informativi, l’attivazione di audit specifici sui fatti segnalati;
• svolgere, anche direttamente, nel rispetto di eventuali specifiche normative applicabili, approfondimenti tramite, ad esempio, la formale convocazione e audizione del Segnalante, del Segnalato e/o delle Persone coinvolte nella Segnalazione e/o comunque informate sui fatti, con le dovute condizioni di trasparenza e riservatezza, nonché richiedere ai predetti soggetti la produzione di relazioni informative e/o ulteriori documenti;
• avvalersi, se ritenuto opportuno, di esperti o periti o consulenti legali esterni a CFR.

  Nel caso in cui la Segnalazione riguardi uno o più componenti della Direzione aziendale, del Collegio Sindacale o dell’Organismo di Vigilanza stesso di CFR, viene attivata la gestione congiunta della medesima, avendo cura di far astenere – dandone comunicazione scritta - dalle attività di analisi ed istruttoria chi possa risultare in conflitto con tale gestione.

  Se la Segnalazione riguarda invece il Referente della Funzione Audit e Risk Management di CFR, l’Organismo di Vigilanza (o la Funzione equivalente) informa la Direzione strategica ed il Collegio Sindacale di CFR per la gestione congiunta del processo da questa originato.

 Traccia degli approfondimenti istruttori e delle azioni correttive/preventive decise sono oggetto di una nota di chiusura della Segnalazione, a firma dell’OdV (o …) e del Referente Audit che hanno gestito congiuntamente la stessa Segnalazione.

  3.7         Istruttoria conseguente alla segnalazione.

  La fase istruttoria della Segnalazione ha l’obiettivo di:

• procedere, nei limiti degli strumenti a disposizione della Funzione Audit, ad approfondimenti e analisi specifiche per verificare la ragionevole fondatezza delle circostanze fattuali segnalate;
• ricostruire i processi gestionali e decisionali correlati alla documentazione ed alle evidenze rese disponibili;
• fornire eventuali indicazioni in merito all’adozione delle necessarie azioni di rimedio, volte a correggere possibili carenze di controllo, o anomalie ed irregolarità rilevate sulle aree e sui processi aziendali esaminati.

  Non rientrano, nel perimetro di analisi dell’istruttoria (se non nei limiti della manifesta irragionevolezza), le valutazioni di merito o di opportunità, discrezionali o tecnico-discrezionali, degli aspetti decisionali e gestionali di volta in volta operati dalle strutture/posizioni aziendali coinvolte, in quanto di esclusiva competenza di queste ultime.  La Funzione Audit può richiedere integrazioni o chiarimenti al Segnalante nel corso degli approfondimenti. Inoltre, ove ritenuto utile per gli approfondimenti, può acquisire informazioni dalle Persone coinvolte nella Segnalazione (se non anonime), le quali hanno anche facoltà di chiedere di essere sentite o di produrre osservazioni scritte o documenti. In tali casi, anche al fine di garantire il diritto di difesa, viene dato avviso alla Persona coinvolta dell’esistenza della Segnalazione, pur garantendo la riservatezza sull’identità del Segnalante e delle altre Persone coinvolte e/o menzionate nella Segnalazione.

  La Funzione Audit cura lo svolgimento dell’istruttoria anche acquisendo dalle strutture interessate tutti gli elementi informativi necessari, in ciò coinvolgendo le competenti Funzioni aziendali ed avvalendosi, se ritenuto opportuno, di esperti o periti o consiglieri legali esterni a CFR.

  Le attività istruttorie sono svolte ricorrendo, a titolo non esaustivo, a: 1) dati/documenti aziendali utili ai fini dell’istruttoria (es. estrazioni da sistemi aziendali e/o altri sistemi specifici utilizzati); 2) banche dati esterne (es. info provider/banche dati su informazioni societarie); 3) fonti aperte; 4) evidenze documentali acquisite presso le strutture aziendali; 5) ove opportuno, dichiarazioni rese dai soggetti interessati o acquisite nel corso di interviste verbalizzate.

  3.8         Risultati della istruttoria (Reporting).

  A conclusione di ciascuna attività istruttoria, gli esiti sono comunicati all’Organismo di Vigilanza di CFR.

 Gli esiti degli approfondimenti sono sintetizzati in un report o, per le Segnalazioni “relative a fatti rilevanti” e/o con analisi complesse, in una nota istruttoria, in cui sono riportati:

• un giudizio di ragionevole fondatezza/non fondatezza sui fatti segnalati;
• l’esito delle attività svolte e le risultanze di eventuali precedenti attività istruttorie svolte sui medesimi fatti/soggetti segnalati, o su fatti analoghi a quelli oggetto della Segnalazione;
• eventuali indicazioni in merito alle necessarie azioni correttive sulle aree e sui processi aziendali esaminati, adottate dal competente management, che viene informato sugli esiti delle analisi.

  Al termine dell’attività istruttoria, l’Organismo di Vigilanza (o Funzione equivalente) delibera la chiusura della Segnalazione, evidenziando l’eventuale inosservanza di norme/procedure, senza nulla togliere alle prerogative e competenze della Funzione HRM (Gestione del Personale), in merito ad eventuali azioni disciplinari.

  Inoltre, se all’esito dell’istruttoria emergono:

• possibili fattispecie di rilevanza penale o di responsabilità civile, l’Organismo di Vigilanza (o Funzione equivalente) può disporre di comunicare le risultanze alla Funzione Legal Advisors (Consulenti legali e tributari), per le valutazioni di competenza;
• evidenti ipotesi di inosservanza di norme/procedure, o fatti di possibile rilevanza sotto il profilo disciplinare o giuslavoristico, l’Organismo di Vigilanza dispone di comunicare gli esiti alla Funzione HRM (Gestione del Personale), per le valutazioni di competenza, la quale provvede a dare comunicazione all’Organismo di Vigilanza delle determinazioni assunte.

  Le Segnalazioni chiuse, poiché palesemente infondate, se non anonime, sono trasmesse alla Direzione aziendale, affinché questa valuti se la Segnalazione sia stata effettuata al solo scopo di ledere la reputazione, o di danneggiare, o comunque di recare pregiudizio alla persona segnalata, ai fini dell’attivazione di ogni opportuna iniziativa nei confronti del Segnalante.

  A valle dell’informativa verso l’Organismo di Vigilanza (o Funzione equivalente), inoltre, la Funzione Audit di CFR comunica inoltre gli eventuali elementi di riscontro emersi dagli approfondimenti in merito a sospette frodi con potenziali impatti, per le azioni correttive/migliorative del caso.

  3.9         Azioni correttive e loro monitoraggio.

  Se dalle analisi sulle aree e sui processi aziendali esaminati emerge la necessità di formulare raccomandazioni, volte all’adozione di opportune azioni di rimedio, è responsabilità della Direzione aziendale, di concerto con i referenti di Settore/Reparto, definire un piano di azioni correttive per la rimozione delle criticità rilevate, e di garantirne l’implementazione entro un ragionevole periodo temporale, dandone comunicazione alla Funzione Audit che cura il monitoraggio sullo stato di attuazione delle medesime azioni, con notizia all’Organismo di Vigilanza (o Funzione equivalente).

  3.10         Trattamento dati personali. Gestione della documentazione.

  Ogni trattamento dei dati personali, anche nel contesto del Portale, è e deve essere effettuato nel pieno rispetto degli obblighi di riservatezza di cui all’art. 12 del D. lgs. n. 24/2023, nonché in conformità alla normativa sulla protezione dei dati personali di cui al Regolamento (UE) 2016/679 ed al decreto legislativo 30 giugno 2003, n. 196.

 La tutela dei dati personali è assicurata, oltre che al Segnalante (ovviamente per le segnalazioni non anonime), anche al Facilitatore e ad ogni Persona coinvolta o menzionata nella Segnalazione ricevuta. Ai possibili interessati viene resa un’informativa preventiva - sul trattamento specifico dei dati personali - attraverso la pubblicazione sul Portale dedicato e/o sul sito web aziendale.

  In ottemperanza all’art. 13, comma 6, del D. lgs. n. 24/2023, può essere effettuato – a cura del DPO aziendale - un periodico Privacy Impact Assessment (PIA), redatto ai sensi dell’art. 35 del Regolamento (UE) 2016/679 (GDPR), al fine di migliorare le misure tecniche ed organizzative istituite per ridurre ogni rischio per i diritti degli interessati, e ridefinire le misure di sicurezza occorrenti per prevenire trattamenti non autorizzati o addirittura illeciti.

Al fine di garantire la gestione e la tracciabilità delle Segnalazioni, e delle attività conseguenti, la Funzione Audit e Risk Management cura la predisposizione e l’aggiornamento di tutte le informazioni riguardanti le stesse Segnalazioni, ed assicura, avvalendosi anche del Portale, la conservazione di tutta la correlata documentazione di supporto, per il tempo strettamente necessario alla loro definizione e comunque per non più di 5 (cinque) anni, decorrenti dalla data di comunicazione dell’esito finale della Segnalazione all’Organismo di Vigilanza (o Funzione equivalente).

 I dati personali che manifestamente non sono utili al trattamento di una specifica Segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati tempestivamente, a cura di chi le detiene e su indicazione dell’OdV (o Funzione equivalente).  Gli originali delle Segnalazioni pervenute in forma cartacea devono essere conservati in un apposito ambiente “protetto”, con accesso limitato agli aventi diritto.

   3.11   Controlli periodici.

  Con periodicità annuale viene svolto un controllo di completezza, a cura della Funzione Audit, al fine di accertare che tutte le Segnalazioni pervenute siano state trattate, debitamente inoltrate ai destinatari di competenza e fatte oggetto di chiusura dell’istruttoria, secondo quanto previsto dalla presente Procedura.

4. GARANZIE E TUTELE.

  4.1         Tutela del Segnalante.

  Le Segnalazioni non possono essere utilizzate oltre quanto necessario per dare adeguato seguito alle stesse. Fatti salvi gli obblighi di legge, l’identità del Segnalante, e qualsiasi altra informazione da cui questa può evincersi direttamente o indirettamente, non possono essere rivelate, senza il consenso espresso dello stesso Segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle Segnalazioni, formalmente ed espressamente autorizzate a trattare tali dati ai sensi degli artt. 29 e 32, par. 4, del Regolamento (UE) 2016/679 (Regolamento Generale sulla Protezione dei Dati – GDPR) e dell’art. 2-quaterdecies del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali).

 In particolare, l’identità del Segnalante, e qualsiasi altra informazione da cui questa può evincersi direttamente o indirettamente, possono essere rivelate solo previo consenso espresso dello stesso:

• nell’ambito del procedimento disciplinare conseguente alla Segnalazione, qualora la contestazione sia stata comprovata come fondata, e la conoscenza dell’identità del Segnalante sia indispensabile per garantire la difesa dell’incolpato;
• nell’ambito del procedimento instaurato in seguito a Segnalazioni interne o esterne, se la rivelazione dell’identità del Segnalante è indispensabile, anche in questo caso, ai fini della difesa della Persona coinvolta.

 In tali evenienze è data quindi preventiva comunicazione scritta al Segnalante delle ragioni della rivelazione dei dati riservati che lo riguardano.

 Tutto il personale dell’Istituto coinvolto nella gestione delle Segnalazioni è tenuto alla riservatezza dell’identità del Segnalante, delle Persone coinvolte e/o comunque menzionate nella Segnalazione, del contenuto della Segnalazione e della relativa documentazione. La riservatezza è garantita anche a chi segnala prima dell’inizio, o successivamente alla cessazione del rapporto di lavoro, ovvero nel periodo di prova, qualora dette informazioni siano state acquisite nell’ambito del contesto lavorativo oppure nella fase selettiva o precontrattuale.

 È (e deve essere) altresì garantita la riservatezza sull’identità delle Persone coinvolte e/o menzionate nella Segnalazione, nonché sull’identità e sull’assistenza prestata dai Facilitatori, con le medesime garanzie previste per il Segnalante.

 La violazione dell’obbligo di riservatezza, fatte salve le eccezioni di cui sopra, può comportare nei confronti dell’interessato l’irrogazione di sanzioni amministrative pecuniarie anche da parte di Enti governativi esterni all’Azienda, nonché l’adozione di provvedimenti disciplinari interni.

  4.2         Misure di protezione.

  Nei confronti del Segnalante è vietato il compimento di “atti ritorsivi”, intesi come qualsiasi comportamento, atto od omissione, anche solo tentato o minacciato, posto in essere in ragione della Segnalazione interna o esterna/ o Divulgazione pubblica / o denuncia, che provoca o può provocare al Segnalante, in via diretta o indiretta, un danno ingiusto.

 La protezione è garantita anche al Segnalante anonimo, che ritiene di aver subito ritorsioni ed è stato successivamente identificato.

  Le misure di protezione si applicano nei limiti e alle condizioni previste dal capo III del D. lgs. n. 24/2023, e sono estese anche:

• alle categorie di Segnalanti che non rientrano nell’ambito di applicazione oggettivo e/o soggettivo previsto dal D. n. 24/2023;
• ai Facilitatori, alle persone del medesimo contesto lavorativo del Segnalante che sono legate ad esso da uno stabile legame affettivo o di parentela entro il quarto grado, ai colleghi di lavoro del Segnalante che lavorano nel medesimo contesto lavorativo e che hanno con esso un rapporto abituale e corrente;

  Chi ritiene di aver subito una ritorsione in ragione della Segnalazione può in ogni caso darne notizia all’Autorità ANAC.

  Gli atti ritorsivi eventualmente assunti in ragione della Segnalazione sono nulli e le persone che sono state licenziate a causa della Segnalazione hanno diritto a essere reintegrate nel posto di lavoro, in attuazione della disciplina applicabile al lavoratore.

  Resta ferma l’esclusiva competenza di ANAC in merito all’eventuale applicazione delle sanzioni amministrative di cui all’art. 21 del D. lgs. n. 24/2023.