Whistleblowing esp

0.PREMISA
El presente procedimiento y las instrucciones operativas relacionadas con él son parte integrante e implementan la aplicación directa de lo dispuesto en el Modelo de Organización, Gestión y Control según el Decreto Legislativo 231/2001: su incumplimiento podría, por lo tanto, dar lugar a la aplicación de sanciones basadas en lo regulado por el mismo.
Cualquier violación del procedimiento y del Modelo debe ser comunicada al Organismo de Vigilancia.

1.OBJETO
El presente procedimiento ilustra las modalidades con las que el destinatario del Modelo de Organización, Gestión y Control (en lo sucesivo, “Modelo” o “MOGC231”) puede realizar denuncias relativas a hechos que podrían generar responsabilidad en virtud del D.L.231/01 o que, en cualquier caso, representen una denuncia de infracciones/violaciones, como se detalla más adelante.

1.1Destinatarios
Los destinatarios del presente procedimiento son:
• Destinatarios del Modelo: todo destinatario del MOGC231 puede asumir el papel de denunciante.
• Organismo de Vigilancia (OdV): destinatario de las denuncias, encargado de la gestión de la propia denuncia.

2.REFERENCIAS
El presente procedimiento responde a los requisitos especificados en las normas de referencia (tanto de carácter obligatorio como voluntario) que la organización ha adoptado y hecho propias (ver PQDRM02 – Listado de Normas y Leyes), con especial referencia a:
• D.L.231/01 y sucesivas modificaciones e integraciones (en lo sucesivo, también «Decreto 231»);
• Ley 179/17 del 30/11/2017: Protección del empleado o colaborador que denuncia ilícitos en el sector privado;
• GDPR – Reglamento 2016/679/UE del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos);
• Decreto Legislativo de 30 de junio de 2003 n. 196 (Código en materia de protección de datos personales) y sucesivas modificaciones e integraciones, incluido el Decreto Legislativo de 10 de agosto de 2018, n. 101, así como las disposiciones legislativas vinculadas;
• Directiva 2019/1937/UE del Parlamento Europeo y del Consejo, relativa a la “protección de las personas que informen sobre infracciones de la Ley de la Unión”;
• D.L.24/23 decreto de aplicación de la Directiva 2019/1937/UE del Parlamento Europeo y del Consejo, relativa a la “protección de las personas que informen sobre infracciones de la Ley de la Unión”.

Asimismo, remite a las normas y reglas internas recogidas en los siguientes documentos, disponibles en la red en la ruta \Datastoresrv\Sistema_Qualita’:
• Modelo Organizativo de Gestión y Control según el D.L.231/01 [“MOGC231”, Sección general y especial]
• Manual de Gestión Empresarial (MGA) y anexos correspondientes, entre ellos:
• Código Ético (Anexo 2a del MGA)
• Cuadro de poderes y delegaciones (Anexo 3c del MGA)
• Políticas de Comportamiento (Anexo 2b del MGA)
• IOQ&S02 – Políticas de Seguridad

2.1.Documentos de registro
Los modelos/plantillas de referencia, publicados en \Datastoresrv\Sistema_Qualita’\Modelli_new o en carpetas específicas, se detallan en las Instrucciones Operativas (IO) de referencia y se indican aquí:
• Formulario para la denuncia de conductas ilícitas
Como se especifica en el §4.1.2, el formulario no es estrictamente necesario para realizar la denuncia.

3.TÉRMINOS Y DEFINICIONES
DOCUMENTOS DEL SISTEMA DE GESTIÓN EMPRESARIAL:
SGA Sistema de Gestión Empresarial
MGA Manual de Gestión Empresarial
PQ Procedimiento del Sistema de Gestión Empresarial
IO Instrucción Operativa
MOD Formato/Plantilla

FUNCIONES:
Son válidas las siglas definidas en el organigrama de la empresa.

DEFINICIONES ESPECÍFICAS:
Se remite a las definiciones previstas en el D.L.24/23, art.2, entre las cuales se recogen las más significativas:
Whistleblowing. Whistleblowing deriva de la frase “to blow the whistle”, literalmente «tocar el silbato», referida a la acción del árbitro al señalar una falta o a la de un policía que intenta detener una acción ilegal.
Con la Ley 179/17 de 30 de noviembre de 2017, se insertó el apartado 2-bis en el art.6 del D.L.231/01 que establece la disciplina de la “Protección del empleado o colaborador que denuncia ilícitos en el sector privado”.
Según dicha normativa, los destinatarios del MOGC231 que hayan tenido conocimiento de conductas ilícitas relevantes según el D.Lgs.231/01 o de violaciones según lo indicado en el §4.1, están invitados a realizar denuncias detalladas y fundamentadas en elementos de hecho precisos y concordantes.

Whistleblower (denunciante/informante). Según lo dispuesto en los art.1 y 2 del D.L.24/23, se define como Whistleblower a quien informa, divulga o denuncia ante la Autoridad judicial o contable, infracciones de disposiciones normativas nacionales o de la Unión Europea que lesionen el interés público o la integridad de la administración pública o del ente privado, de las que haya tenido conocimiento en un contexto laboral público o privado.
Están legitimadas para realizar denuncias las personas que operen en el contexto laboral de un sujeto del sector público o privado, en calidad de:
• empleados
• trabajadores subordinados
• trabajadores autónomos/colaboradores
• profesionales freelance
• voluntarios y becarios
• terceros como proveedores, consultores y, en general, los grupos de interés (stakeholders)
• accionistas y personas con funciones de administración, dirección, control, vigilancia o representación

Denuncia comunicación, escrita u oral, de información relativa a una posible infracción (como se especifica mejor en el §4.1). Las denuncias se refieren a todas aquellas situaciones en las que el denunciante actúa en defensa de un interés no personal, ya que el hecho denunciado, habitualmente, se refiere a peligros o riesgos que amenazan a la organización en su conjunto, al personal, a terceros o incluso, de forma más general, a la colectividad.
Facilitador: una persona física que asiste a una persona denunciante en el proceso de denuncia, que opera dentro del mismo contexto laboral y cuya asistencia debe mantenerse confidencial.

TFUE Tratado de Funcionamiento de la Unión Europea: describe el funcionamiento de la UE y determina los ámbitos, modalidades y límites de su ejercicio y de su competencia.

c.p. Código Penal (italiano)

4.PROCESO
En los apartados siguientes se ilustra el “Whistleblowing scheme” adoptado por Area, es decir, el procedimiento a seguir para realizar denuncias.

4.1 Alcance de la denuncia

4.1.1 Objeto de la denuncia
El presente sistema de denuncia ha sido establecido por Area en respuesta al requisito normativo específico dictado por el D.L.231/01 y enmiendas subsecuentes, art.6, apartado 2-bis y tiene, por tanto, el objetivo principal de gestionar las denuncias de irregularidades y/o ilícitos (ocurridos o que puedan ocurrir) en referencia a las disposiciones del D.L.231/01 y/o del MOGC231.

Además, con la entrada en vigor del D.L.24/23, se establece que son objeto de denuncia las informaciones sobre infracciones, incluidas las sospechas bien fundamentadas, de normativas nacionales y de la Unión Europea que lesionen el interés público o la integridad de la administración pública o del ente privado, cometidas en el ámbito de la organización de la entidad con la que el denunciante mantiene relaciones jurídicas (ver definición de “Whistleblower”).
La información sobre las infracciones también puede referirse a infracciones aún no cometidas que el informante, razonablemente, considere que podrían serlo sobre la base de elementos concretos. Tales elementos pueden ser también irregularidades y anomalías (índices sintomáticos) que el denunciante considere que pueden dar lugar a una de las infracciones previstas por el decreto.

Las infracciones identificadas por el legislador, y tipificadas a continuación, pueden referirse a:
• Ilícitos penales;
• Ilícitos administrativos;
• Ilícitos contables;
• Ilícitos civiles;
• Violaciones de conductas ilícitas relevantes según el D.L.231/01 y lo previsto en el relativo MOGC231 implementado en AREA;
• Ilícitos cometidos en violación de la normativa de la UE indicada en el Anexo 1 al D.L.24/23 y de todas las disposiciones nacionales que le dan cumplimiento, en referencia a los siguientes sectores: contratación pública; servicios, productos y mercados financieros y prevención del blanqueo de capitales y de la financiación del terrorismo; seguridad y conformidad de los productos; seguridad del transporte; protección del medio ambiente; protección de radiación y seguridad nuclear; seguridad de los alimentos y la alimentación y sanidad y bienestar de los animales; salud pública; protección de los consumidores; protección de la vida privada y de los datos personales y seguridad de las redes y de los sistemas de información;
• Actos u omisiones que lesionen los intereses financieros de la Unión Europea (TFUE, art.325) tal como se identifican en reglamentos, directivas, decisiones, recomendaciones y dictámenes de la UE, que tengan como objetivo la lucha contra el fraude y las actividades ilegales que lesionen los intereses financieros de la UE;
• Actos u omisiones relativos al mercado interior de la UE, que comprometan la libre circulación de mercancías, personas, servicios y capitales (TFUE, art.26, apartado 2); se incluyen las infracciones de las normas de la UE en materia de competencia y de ayudas de Estado, del impuesto sobre sociedades y/o las actividades destinadas a obtener una ventaja fiscal que desvirtúe el objeto o la finalidad de la normativa aplicable en materia de dicho impuesto sobre sociedades;
• Actos o comportamientos que desvirtúen el objeto o la finalidad de las disposiciones de la Unión Europea en los sectores indicados en los puntos anteriores.

Desde el punto de vista operativo, esto implica la participación de las funciones encargadas del cumplimiento de la normativa en los diversos ámbitos, las cuales deberán alimentar el sistema de denuncias.
A título ejemplificativo y no exhaustivo, constituyen hechos objeto de posible denuncia:
• robo de bienes propiedad de la organización;
• falsificación o alteración de documentos;
• falsificación o manipulación de cuentas y omisión intencionada de registros, hechos o datos;
• destrucción, ocultación o uso inapropiado de documentos, archivos, expedientes, equipos y herramientas de la empresa;
• apropiación indebida de dinero, valores, suministros u otros bienes pertenecientes a la organización o a terceros;
• entrega de una suma de dinero o concesión de otra utilidad a un funcionario público como contrapartida por la función desempeñada o por la omisión de un acto de oficio (ej. no levantar un acta de infracción por irregularidades fiscales);
• aceptación de dinero, bienes, servicios u otro beneficio como incentivos para favorecer a proveedores/empresas;
• falsificación de notas de gastos (ej. reembolsos “inflados” o por viajes falsos);
• falsificación de la asistencia al trabajo;
• revelación de información confidencial y de propiedad de la organización a partes externas, incluidos competidores;
• uso de los recursos y bienes de la empresa para uso personal, sin autorización;
• presencia de anomalías en equipos, sustancias, materiales y dispositivos;
• acciones u omisiones susceptibles de causar un perjuicio patrimonial a la organización;
• acciones u omisiones susceptibles de causar un perjuicio a la imagen de la organización;
• presencia de peligro grave e inminente para la salud y seguridad de los trabajadores (el trabajador, además de informar, deberá también actuar para eliminar el peligro, de forma compatible con sus capacidades y competencias).

Se precisa que el whistleblowing no se refiere a quejas de carácter personal del denunciante, ya que las denuncias, incluso cuando son anónimas, deben afectar al interés público o al interés de la integridad del ente.
El anonimato no puede representar en modo alguno el instrumento para dar rienda suelta a desavenencias o conflictos entre empleados/colaboradores.
Igualmente queda prohibido:
• el recurso a expresiones injuriosas;
• el envío de denuncias con fines puramente difamatorios o calumniosos;
• el envío de denuncias que se refieran exclusivamente a aspectos de la vida privada, sin ninguna vinculación directa o indirecta con la actividad empresarial. Tales denuncias serán consideradas aún más graves cuando se refieran a hábitos y orientaciones sexuales, religiosos, políticos y filosóficos.

4.1.2.Requisitos y contenido de la denuncia
Las denuncias, según lo previsto por la normativa (D.Lgs.231/01, art.6, apartado 2-bis), deben ser:
• detalladas (circunstanciadas);
• fundamentadas en elementos de hecho precisos y concordantes.

A este respecto, conviene precisar que “no es necesario que el denunciante esté seguro del efectivo acontecimiento de los hechos denunciados y del autor de los mismos. Se considera, en cambio, suficiente que el denunciante, sobre la base de sus propios conocimientos, considere altamente probable que se haya verificado un hecho ilícito.” [Lineamientos ANAC].
Por el contrario, no se tomarán en consideración las denuncias basadas en meras sospechas o rumores.

Toda denuncia deberá recibirse aportando la siguiente información:
• el periodo de referencia y el lugar físico en el que ocurrió;
• la naturaleza de las acciones/omisiones cometidas o intentadas;
• la descripción de la irregularidad/violación o del ilícito presuntamente cometidos;
• las posibles causas y finalidades del acto contrario al MOGC231;
• las personas o estructuras de la empresa involucradas en calidad de autor/es del hecho;
• otros posibles sujetos con conocimiento del hecho.

Se recomienda proporcionar toda la información y los datos necesarios para permitir un tratamiento exhaustivo de la denuncia.
En caso de imposibilidad de comprobar la veracidad de la denuncia y/o de analizar el contenido de la misma, se procederá al archivo automático.

4.1.3.Sujetos que pueden realizar una denuncia
El denunciante es aquel que, testigo de un ilícito o de una irregularidad en el lugar de trabajo, decide denunciarlo. Puede ser denunciante cualquier persona que desempeñe una determinada tarea o función dentro de la organización, por ejemplo: los empleados, los directivos, los accionistas, los administradores, quienes desempeñen funciones de control y vigilancia, los colaboradores, los consultores, los voluntarios, los becarios, terceros como los proveedores y, en general, los stakeholders.

Por lo tanto, las denuncias pueden realizarse cuando:
• La relación jurídica está en curso,
• La relación jurídica aún no ha comenzado si la información sobre las infracciones se ha adquirido durante el proceso de selección u otras fases precontractuales,
• La relación jurídica ha finalizado, si la información sobre las infracciones se ha adquirido antes de la finalización de la propia relación (jubilados).

4.1.4.Sujetos que pueden ser denunciados
Cualquier persona puede ser denunciada por el informante que la considere responsable de una irregularidad y/o de una infracción.
El sujeto denunciado es informado lo antes posible desde que se registran los datos que le conciernen. Bajo ninguna circunstancia se puede permitir que el denunciado se acoja a su derecho de acceso para obtener información sobre la identidad del denunciante.

4.1.5.Los canales de denuncia
Con la entrada en vigor del D.L.24/23 el legislador ha previsto varios posibles canales de denuncia para el Whistleblower; a continuación se resumen las modalidades de denuncia disponibles en Area, en cumplimiento de la normativa vigente:
• El canal interno de denuncias en Area está confiado al OdV (Organismo de Vigilancia), el cual gestiona las denuncias recibidas, garantizando la confidencialidad y el anonimato del denunciante;
• El canal externo de denuncias está confiado a la ANAC (como prevé el D.L.24/23, art.7); es posible hacer uso de dicho canal, por ejemplo, cuando:
• el denunciante ya haya realizado una denuncia interna sin haber recibido respuesta alguna;
• el denunciante tenga motivos fundados para creer que la infracción puede constituir un peligro inminente o manifiesto para el interés público.

También en el ámbito del canal “externo”, el D.Lgs.24/23 prevé la posibilidad de que el denunciante proceda también mediante:
• La divulgación pública: permite al denunciante hacer pública información sobre infracciones a través de la prensa o medios electrónicos o, en cualquier caso, a través de medios de difusión capaces de llegar a un gran número de personas. Esto se permite únicamente en caso de que el denunciante haya utilizado el canal interno y el canal externo mencionados anteriormente pero no se haya tomado una acción apropiada, en caso de que la infracción pueda representar un peligro inminente o manifiesto para el interés público o en caso de que el denunciante tenga motivos fundados para creer que la denuncia mediante el canal “ANAC” pueda implicar el riesgo de represalias o pueda no tener un seguimiento eficaz;
• Denuncia ante la Autoridad judicial: el decreto, de conformidad con la normativa anterior, reconoce a los sujetos protegidos también la posibilidad de dirigirse a las Autoridades judiciales para presentar una denuncia de conductas ilícitas de las que hayan tenido conocimiento en un contexto laboral público o privado.
Como prevé la normativa actual, las modalidades de denuncia se publican además en una sección específica del sitio web de la empresa (https://www.area.it/codice-etico/).

4.2.Destinatario de la denuncia

4.2.1.Órgano competente del canal interno (y protección)
La responsabilidad de la recolección y gestión de las denuncias realizadas a través del canal interno recae en el OdV – Organismo de Vigilancia – nombrado en el ámbito del D.L.231/01.
El OdV es, además, el órgano ya encargado de recibir los flujos de información que tengan por objeto los resultados periódicos de la actividad de control sobre la aplicación efectiva del MOGC231.
Cuando lo considere oportuno, el OdV podrá contar con la colaboración de los referentes de la empresa interesados o, en caso de denuncias que requieran competencias específicas, de profesionales externos, preservando en todo caso la confidencialidad del denunciante.

4.2.3.Escalación
En el caso de que la denuncia afecte directamente a uno de los miembros del OdV, ésta deberá dirigirse al Consejo de Administración (CdA), que pasará a ser responsable de la gestión de la denuncia específica.

4.2.4.Poderes del Órgano destinatario
Dentro de su autonomía, el OdV tiene la facultad de proceder a las actividades de profundización que considere oportunas para verificar eficazmente el fundamento de la denuncia, sin perjuicio de las normas relativas a los controles e investigaciones a los que se refiere el Título I del Estatuto de los Trabajadores (italiano), relativos a los controles del hombre sobre el hombre (“De la libertad y dignidad del trabajador”) y los límites establecidos por las demás normas obligatorias (ej.: GDPR, ver §4.66).

4.2.5.Órgano competente del canal externo (y protección)
La responsabilidad de la recopilación y gestión de las denuncias realizadas a través del canal externo recae en la ANAC, según lo establecido por el D.L.24/23.
La ANAC, sin embargo, no se considera el destinatario de las denuncias comunicadas mediante “Divulgación Pública” y “Denuncia ante la autoridad”.

4.3.Procedimiento de denuncia Interna

4.3.2.Responsable del procedimiento
El Esquema de Whistleblowing prevé la identificación de un Responsable de los sistemas internos de denuncia, el cual:
• asegura el correcto desarrollo del procedimiento,
• informa directamente y sin demora a los órganos de la empresa sobre la información objeto de las denuncias, cuando sea relevante,
• elabora un informe anual sobre el correcto funcionamiento del procedimiento de alerta interna.

El Responsable del procedimiento, en Area, se identifica con el OdV, responsable también de la recepción y gestión de las propias denuncias.
Ante esto, el OdV debe también:
• informar al denunciado lo antes posible desde que se registran los datos que le conciernen;
• elaborar un informe anual de síntesis sobre las denuncias recibidas y sobre el proceso correspondiente.

La organización tiene la obligación de proteger al Responsable del procedimiento de denuncia contra presiones y discriminaciones ejercidas por o a nombre del denunciado.

4.3.3.Modalidades de la denuncia
Denuncia de forma verbal
El Denunciante puede solicitar una reunión con el OdV durante la cual exponer el contenido de la denuncia. En cualquier caso, se prevé la formalización escrita (acta) de la denuncia.
Denuncia en formato papel
El Denunciante puede transmitir la denuncia, en sobre cerrado y sellado, con la indicación externa “reservada/personal” a: AREA S.p.A. – Organismo di Vigilanza, Via Gabriele D’Annunzio, 2, Vizzola Ticino (VA).

Alternativamente, el mismo sobre puede introducirse en el buzón situado en la Planta 3 de la sede de Area, en el Edificio MXP (Via Gabriele D’Annunzio, 2, Vizzola Ticino), habilitado con el fin de recoger la documentación reservada destinada a la oficina de RRHH.
La denuncia en formato papel, si es anónima, se tomará en consideración única y exclusivamente si está adecuadamente detallada y realizada con profusión de detalles, de tal manera que permita aflorar hechos y situaciones determinados y precisos.

Si la denuncia no presenta ningún dato identificativo del denunciante y no puede establecerse de ninguna manera un canal de comunicación con el mismo, aunque la propia denuncia vaya acompañada de la información necesaria para profundizar en ella, no podrá ser gestionada respetando las garantías de protección hacia el denunciante, ni respetando los plazos previstos por la normativa para la devolución de las respuestas oportunas.
Denuncia por medios informáticos
El denunciante, como excepción a lo previsto en las Políticas de Seguridad (IOQ&S02, §§ 5.4.11 y 5.4.19), puede hacer uso también de buzones de correo personales/privados, eventualmente no identificativos de la identidad del remitente, para enviar la denuncia a la dirección dedicada segnalazione@legalmail.it, de acceso exclusivo del OdV.
En este caso, aunque la denuncia resulte anónima, será tratada teniendo en cuenta los tiempos y garantías descritos en el D.L.24/23.

La modalidad de envío de la denuncia que garantiza el cifrado del contenido y la completa confidencialidad del mismo, consiste en adjuntar al correo electrónico la documentación explicativa comprimida en formato 7-zip (.7z) protegida por contraseña, eliminando del cuerpo del correo electrónico cualquier referencia en texto claro.
La contraseña no deberá comunicarse en el cuerpo del mismo correo electrónico, sino que se enviará a través de otros medios de contacto al OdV (ej.: verbalmente o en otro correo electrónico).

4.3.4.Modalidades de gestión de la denuncia
El OdV, órgano responsable de gestionar la denuncia, tras la recepción de la misma analiza su contenido identificando y analizando:
• la fecha de recepción;
• la relevancia de la denuncia;
• si se trata de una acción cometida o intentada;
• la naturaleza del hecho: irregularidad o violación del modelo, tipo de violación;
• el proceso (y protocolo) de referencia, si es aplicable;
• los posibles sujetos y/u oficinas competentes para la temática específica;
• la necesidad o no de profundizaciones y posible participación de terceros para la realización de las mismas (en caso de consultores externos, firma de un NDA específico).

Posteriormente, el OdV procede con la gestión de la denuncia con las siguientes fases:
• Realización de las investigaciones respetando los principios de imparcialidad y confidencialidad, llevando a cabo cualquier actividad que considere oportuna, incluida la posible audiencia personal del denunciante y de otros posibles sujetos que puedan informar sobre los hechos denunciados.
Si, tras la verificación, la denuncia resulta fundada, en relación con la naturaleza de la infracción, se procederá a:
• comunicar el resultado de la comprobación al Gerente de RRHH (HR Manager) y al Responsable de la estructura a la que pertenezca el autor de la infracción comprobada, para que proceda a la adopción de las medidas de gestión de su competencia, incluido, si se dan los presupuestos, el ejercicio de la acción disciplinaria;
• comunicar el resultado de la comprobación al Consejo de Administración (CdA), para las acciones adicionales que resulten necesarias para la protección de la Empresa;
• presentar la denuncia, según la normativa, ante la autoridad judicial competente.

• Informe: el OdV redacta el informe de la investigación realizada, lo comparte con el posible encargado de la propia investigación y con el CdA. Dicho documento incluye los detalles y la información necesaria para definir posibles medidas, entre ellas las destinadas a evitar la repetición de los hechos denunciados.

Posteriormente se identificarán las intervenciones de mejora para la reducción del riesgo de comisión de delitos y/o infracciones.
A raíz de dicho informe, se evaluará también la necesidad de actualizar los posibles documentos utilizados por la organización e impartir la formación oportuna a los empleados/colaboradores, con el fin de compartir las modificaciones
surgidas.

4.3.5.Feedback al denunciante
El OdV debe informar al denunciante de la recepción de la denuncia en un plazo de 7 días; posteriormente dispone de 3 meses, desde la fecha de recepción de la denuncia, para dar una respuesta (aceptación o archivo de la denuncia). Si el proceso aún no ha concluido, el OdV está obligado en cualquier caso a informar al denunciante, quien será actualizado sobre los desarrollos posteriores.
El denunciante tiene derecho a un feedback cuya naturaleza será decidida por el OdV en cada caso, respetando la privacidad del denunciado.

4.4.Procedimiento de denuncia Externa

4.4.1Responsable del procedimiento
La gestión de las denuncias externas está regulada en los art.6-7-8 del D.L.24/23, en los que se indica como responsable de los sistemas de denuncia a la ANAC.
La ANAC ha activado un canal externo para las denuncias que garantiza, mediante el uso de herramientas de cifrado, la confidencialidad de la identidad de la persona denunciante, de la persona involucrada y de las posibles personas mencionadas en la denuncia, así como del contenido de la denuncia y de la documentación relacionada.

4.4.2.Modalidades de la denuncia
La denuncia externa es recibida por la ANAC mediante:
• Plataforma informática
• Denuncia telefónica
• Reunión en persona

Denuncia en plataforma informática
La plataforma ANAC permite, de forma electrónica, el llenado, el envío y la recepción del formulario de denuncia, la gestión de la instrucción y el posible envío a otras Autoridades competentes.
En el sitio institucional de la ANAC, haciendo clic en el enlace a la página dedicada, se accede al servicio dedicado al Whistleblowing – Formulario para la denuncia de conductas ilícitas en virtud del decreto legislativo n.24/2023 (https://whistleblowing.anticorruzione.it/#/).

Denuncia de forma telefónica
La ANAC ha habilitado un servicio telefónico con operador que, previa presentación vocal de la información sobre el tratamiento de datos personales y de las indicaciones necesarias para encontrar en línea el texto completo de dicha información, permite la recepción de denuncias orales. El operador es un miembro de la Oficina ANAC competente. Este recibe la denuncia telefónicamente y la introduce en la plataforma ANAC junto con el archivo de audio de grabación de la llamada. Posteriormente, el operador proporcionará al denunciante el código único de 16 dígitos que le permitirá realizar el primer acceso a la plataforma, donde se le proporcionará un nuevo código.

Denuncias recogidas mediante reuniones en persona
La ANAC ofrece la posibilidad de realizar denuncias también mediante reunión presencial, previa presentación de la información sobre el tratamiento de datos personales: el informante realizará su denuncia ante un operador que la introducirá en la plataforma electrónica, de forma similar a lo previsto para las denuncias telefónicas descritas anteriormente.

4.4.3.Modalidades de gestión de la denuncia
La ANAC, tras recibir la denuncia, analiza su contenido determinando su competencia y legitimidad.
• Instrucción: La denuncia recibida y la documentación adjunta se transmiten a las Oficinas de vigilancia competentes respecto al caso concreto, llevando a cabo la instrucción necesaria para dar seguimiento a la denuncia, incluso mediante audiencias y obtención de documentos.

La comunicación debe indicar, bajo pena de inadmisibilidad:
• la denominación y los datos de contacto completos del interesado, así como, si está disponible, la dirección de correo electrónico certificada (PEC) que la Autoridad utilizará para posibles comunicaciones;
• el autor de la presunta infracción;
• los hechos que originan la comunicación;
• los documentos que avalan la comunicación.
Cuando sea necesario obtener información, aclaraciones o documentos adicionales a los contenidos en la comunicación, la Oficina puede convocar a audiencia a los sujetos que los posean o enviarles una solicitud de documentación adicional con la asignación de un plazo, no superior a 30 días, dentro del cual se debe dar respuesta.

Informe: Finalizada la fase de instrucción, la ANAC procede a comunicar a la persona denunciante el resultado final de la instrucción, llevada a cabo por la Oficina de vigilancia competente, el cual puede consistir también en la entrega o reenvío de los documentos a las Autoridades competentes o en una recomendación o en una sanción administrativa.

4.4.4.Retroalimentación al denunciante
La ANAC debe dar aviso al denunciante del recibo de la denuncia en un plazo de 7 días desde la fecha de su recepción, salvo solicitud explícita de lo contrario por el propio denunciante, o salvo que la ANAC considere que el aviso perjudicaría la protección de la confidencialidad de la identidad del denunciante.
Posteriormente a la fase de instrucción, la oficina de vigilancia debe dar respuesta al denunciante en un plazo de 3 meses o, si existen razones justificadas y motivadas, 6 meses desde la fecha de aviso de recibo de la denuncia externa, comunicando el resultado final de la denuncia.

4.5.Protección del denunciante

4.5.1.Obligación de confidencialidad de la identidad
Debe garantizarse la confidencialidad de la identidad del denunciante en las actividades de gestión de la denuncia, a partir de la recepción de la misma y en cada fase posterior.
La confidencialidad debe garantizarse, además de a la identidad del denunciante, también a cualquier otra información o elemento de la denuncia de cuya revelación se pueda deducir directa o indirectamente la identidad del denunciante.
La violación de la obligación de confidencialidad es fuente de responsabilidad disciplinaria, sin perjuicio de otras formas de responsabilidad previstas por el ordenamiento.
Por lo tanto, la identidad del denunciante no puede ser revelada sin su consentimiento expreso, por escrito, en respuesta a una comunicación escrita que indique los motivos que conducen a la revelación de la identidad. Esta protección debe ser aplicada también por parte de los órganos de dirección de la organización, que no pueden disponer investigaciones o solicitar información con el fin de rastrear la identidad del denunciante. La obligación de mantener la máxima confidencialidad sobre la identidad del denunciante y de no llevar a cabo las investigaciones o solicitar la información mencionadas afecta a todos aquellos que, por cualquier motivo, tengan conocimiento de la misma o estén involucrados en el procedimiento de comprobación de la denuncia y podrá ser reiterada también mediante la solicitud de firma de un compromiso formal en tal sentido.

En caso de activación de un procedimiento disciplinario a raíz de los hechos objeto de la denuncia, la identidad del denunciante podrá ser revelada, previo consentimiento, cuando:
• la imputación del cargo disciplinario resulte fundamentada, total o parcialmente, en la denuncia y
• el conocimiento de la identidad del denunciante resulte absolutamente indispensable para la defensa del inculpado, siempre que tal circunstancia sea por este último aducida y probada en la fase de audiencia o mediante la presentación de minutas de la defensa.

Tales medidas de protección valen exclusivamente para quienes informen de buena fe, es decir, para aquellos denunciantes que hayan comunicado el problema considerando altamente probable, sobre la base de sus conocimientos, que se ha verificado un hecho ilícito o una irregularidad.
No se debe ninguna protección en caso de que el denunciante incurra, con su propia denuncia, en responsabilidad penal por calumnia (art.368 Código Penal italiano) o difamación (art.595 Código Penal italiano) o indemnización por hecho ilícito (art.2043 del Código Civil italiano) y en el supuesto de que el anonimato no sea aplicable por ley (ej. investigaciones penales, tributarias o administrativas, inspecciones de órganos de control).
Con la entrada en vigor del D.L.24/23, el legislador ha extendido la protección prevista para el denunciante a todas las figuras que por su actividad asistan al denunciante en la emisión de sus declaraciones, tales como:
• facilitadores, es decir, las personas físicas que asisten al denunciante en el proceso de denuncia, que operan dentro del mismo contexto laboral y cuya asistencia debe mantenerse confidencial;
• las personas del mismo contexto laboral del denunciante que estén vinculadas a él por un vínculo afectivo estable o de parentesco hasta el cuarto grado;
• compañeros de trabajo del denunciante que tengan con dicha persona una relación habitual y corriente;
• entidades propiedad del denunciante para las que este trabaje, así como entidades que operen en el mismo contexto laboral del propio denunciante.

4.5.2.Prohibición de represalias
Frente al destinatario del Esquema que realice una denuncia en virtud del presente procedimiento no se permite, ni se tolera, ninguna forma de represalia o medida discriminatoria, directa o indirecta o intentada, que tenga efectos sobre las condiciones de trabajo por motivos vinculados directa o indirectamente a la denuncia, tales como causar un daño injusto al denunciante (despido, degradación, traslado injustificado o comportamientos clasificables como mobbing, notas de mérito negativas y otras condiciones indicadas en el art.17 del D.L.24/23). Por medidas discriminatorias se entienden acciones disciplinarias injustificadas, acoso en el lugar de trabajo y cualquier otra forma de represalia que determine condiciones de trabajo intolerables.

El denunciante que considere haber sufrido una discriminación por el hecho de haber realizado una denuncia de ilícito debe dar noticia detallada de la discriminación ocurrida al OdV, con referencia a la denuncia realizada previamente. El OdV, una vez evaluada la existencia de los elementos, comunica la hipótesis de discriminación:
• al responsable de la estructura de pertenencia del empleado/colaborador autor de la presunta discriminación;
• al Gerente de RRHH (HR Manager);
• a otra estructura que se considere idónea, en caso de que la discriminación haya sido llevada a cabo conjuntamente por el Gerente de RRHH y por el responsable de la función.
El Responsable de la estructura, en colaboración con el Gerente de RRHH, evalúa oportunamente la conveniencia/necesidad de adoptar actos o medidas para restablecer la situación y/o para remediar los efectos negativos de la discriminación por vía administrativa y la existencia de los fundamentos para iniciar el procedimiento disciplinario contra la persona autora de la discriminación.
Queda a salvo la facultad del empleado de dirigirse directamente a la inspección de trabajo o al sindicato de pertenencia.

4.6.Documentación y sistema informático

4.6.1.Cumplimiento de los principios de Privacidad por Diseño y Privacidad por Defecto
Dentro del sistema de denuncia, se ha definido un formato específico que guía al denunciante en el llenado de una denuncia para enviar.
El formato (Formato para la denuncia de conductas ilícitas) facilita la compilación, con el fin de ayudar al denunciante a aportar toda y solo la información necesaria para la propia denuncia, sin excederse respecto a ella (Privacidad por defecto).

El llenado del formato no se considera necesario, sin embargo es extremadamente útil para enviar todos y solo los datos indispensables para el análisis de lo ocurrido. Por lo tanto, es aconsejable llenarlo y enviarlo o, alternativamente, enviar una denuncia completa con los datos solicitados en él.
• Las denuncias recibidas de forma verbal durante una reunión y luego formalizadas por escrito y las denuncias recibidas en formato de papel no se duplican y se conservan en el archivo del OdV, único organismo que accede a ellas como destinatario de las denuncias;
• Los datos contenidos en la denuncia recibida a través de los canales internos están protegidos según las políticas aplicadas con base en los parámetros de seguridad del gestor del servidor de correo; por este motivo es aconsejable enviar siempre las denuncias en formato .7z protegido por contraseña que, por defecto, aplica un método de cifrado tal que hace inaccesible el contenido del archivo a quien no posea la clave de descifrado adecuada.

La denuncia llega al OdV, el cual tiene la obligación de no divulgar los datos personales contenidos en ella y tratar los mismos solo si son estrictamente necesarios para la finalidad específica de análisis y evaluación de la denuncia (Privacidad por diseño).

4.6.2.Obligaciones de información según el art.13 del GDPR
A continuación se recoge la información que el Responsable del procedimiento facilita al denunciante en cumplimiento del art.13 del Reglamento (UE) 2016/679, recogiéndola de forma resumida también en el formato para la denuncia de conductas ilícitas, en referencia al procesamiento de los datos en caso de denuncia mediante canal interno.

Naturaleza del procesamiento de datos
La información se refiere a los datos personales propios del denunciante, enviados por él mismo de forma espontánea con ocasión de una denuncia.
• Responsable de los datos
• El responsable de los datos es la sociedad Area S.p.A. unipersonal, con domicilio registrado en Via Gabriele D’Annunzio 2, Vizzola Ticino – Varese, Milano Malpensa, dirección de correo electrónico: privacy@area.it.
• Los datos de contacto del Delegado de Protección de Datos (DPO) de la sociedad son: dpo@area.it.
• Finalidades del procesamiento de datos
Los datos recolectados se utilizarán para las finalidades vinculadas y/o instrumentales al análisis profundo de la denuncia recibida.

Métodos del procesamiento
En relación con las finalidades indicadas anteriormente, el tratamiento de los datos personales se realiza mediante el uso de herramientas manuales, informáticas y telemáticas aptas para memorizar, gestionar y transmitir los propios datos, únicamente con el fin de perseguir las finalidades para las que han sido recopilados y, en cualquier caso, de forma que se garantice su seguridad y confidencialidad. La organización, además, trata los datos personales adquiridos respetando plenamente el principio de justicia, legalidad y transparencia, así como en cumplimiento de la normativa vigente en materia de protección de datos personales.
Con el fin de proteger la confidencialidad de la identidad del denunciante, siempre que sea posible, el contenido de la denuncia se separará inmediatamente de los datos identificativos del denunciante, manteniendo una correspondencia conocida únicamente por el OdV.

Naturaleza de la comunicación de los datos y efectos de la posible negativa
La comunicación de los datos para las finalidades vinculadas y/o instrumentales al análisis de la denuncia es facultativa y queda a voluntad del denunciante realizarla en la fase de presentación de la propia denuncia.
Se precisa que, si el denunciante no tiene intención de proporcionar datos personales evidentemente indispensables para permitir un tratamiento exhaustivo de la denuncia, se procederá al archivo automático de la misma.

Ámbito de revelación de los datos
Los datos comunicados son revelados y tratados por los miembros del OdV, para las finalidades indicadas anteriormente. Dichos sujetos están legitimados para el tratamiento de los datos dentro de los límites de sus competencias y de conformidad con las instrucciones que les imparta el Responsable de los datos.

Conservación de los datos
La sociedad conserva los datos personales adquiridos de una forma que permita la identificación de los interesados durante un periodo de tiempo no superior a 5 años tras la consecución de las finalidades para las que se tratan. En cualquier caso, el procesamiento de los datos cesará tras la solicitud de eliminación< por parte del interesado.
El OdV conserva copia de la denuncia y de las actuaciones relativas a la instrucción realizada, debidamente anonimizadas, por un periodo de 10 años.

Comunicación y difusión de los datos personales
Los datos personales proporcionados no serán objeto de difusión, es decir, no se darán a conocer a sujetos indeterminados, en ninguna forma posible, incluida la de su puesta a disposición o simple consulta.
En caso de que surgiera la necesidad de comunicar a terceros los datos personales proporcionados, esto se hará únicamente previo consentimiento escrito del interesado.

Información al denunciado
En el momento en que el OdV informa al denunciado que los datos que le conciernen han sido guardados, el OdV le informa simultáneamente sobre:
• la naturaleza de los datos procesados;
• el nombre del Responsable del procesamiento,
• las Finalidades y Métodos del Procesamiento,
• las posibles modalidades de comunicación a terceros,
• el ámbito de revelación y difusión,
las modalidades de conservación.

Derechos del interesado
En relación con los tratamientos ya mencionados, el interesado podrá ejercer los derechos previstos en los art.15-21 del GDPR, dirigiéndose al Responsable de los datos, tales como:
• derecho de acceso: derecho a obtener del Responsable de los datos la confirmación de si se están procesando o no datos personales y, en tal caso, a obtener el acceso a los datos personales y a información adicional sobre el origen, finalidad, categoría de datos tratados, destinatarios de comunicación y/o transferencia de datos, etc.;
• derecho de rectificación: derecho a obtener del Responsable de los datos la rectificación de los datos personales inexactos sin dilación indebida, así como a que se completen los datos personales que sean incompletos, incluso mediante una declaración adicional;
• derecho de supresión: derecho a obtener del Responsable la supresión de los datos personales sin dilación indebida en caso de que:
• los datos personales ya no sean necesarios en relación con las finalidades del tratamiento;
• se revoque el consentimiento en el que se basa el tratamiento y no exista otro fundamento jurídico para el tratamiento;
• los datos personales hayan sido tratados ilícitamente;
• los datos personales deban suprimirse para el cumplimiento de una obligación legal;
• derecho de oposición al procesamiento: derecho a oponerse en cualquier momento al procesamiento de los datos personales que tengan como base jurídica un interés legítimo del Responsable;
• derecho de limitación del procesamiento: derecho a obtener del Responsable la limitación del procesamiento de los datos en los casos en que se impugne la exactitud de los datos personales (durante el plazo necesario para que el responsable del procesamiento verifique la exactitud de los mismos), si el procesamiento de los datos es ilícito y/o el interesado se ha opuesto al procesamiento;
• derecho a la portabilidad de los datos: derecho a recibir en un formato estructurado, de uso común y lectura mecánica los datos personales y a transmitir dichos datos a otro responsable del procesamiento, solo para los casos en que el procesamiento se base en el consentimiento y para los únicos datos tratados mediante herramientas electrónicas;
• derecho a presentar una reclamación ante una autoridad de control: sin perjuicio de cualquier otro recurso administrativo o judicial, el interesado que considere que el tratamiento de sus datos infringe el GDPR tiene derecho a presentar una reclamación ante la autoridad de control del Estado miembro en el que resida o trabaje habitualmente, o del Estado donde se haya producido la presunta infracción;

4.6.3.Modalidades de archivado y conservación de los datos
Los datos personales enviados por el denunciante en papel, se separa del contenido de la denuncia y no se duplica; la única copia se archiva en el archivo físico del OdV, bajo llave y accesible solo al propio OdV.

Incluso si la denuncia se realiza a través de formato electrónico, el archivo será responsabilidad exclusiva del OdV, que conservará los datos en el buzón de correo PEC o, alternativamente, previa impresión de la documentación, en el archivo físico del OdV.

Los datos personales NO deben guardarse en la red de la empresa en texto desencriptado, salvo que sea indispensable para el proceso de gestión de la denuncia destinado a verificar la veracidad de la misma.
En la red se puede guardar, en cambio, el contenido de la denuncia, debidamente anonimizado.

4.6.4.Políticas seguras de acceso a los datos
La red (intranet) de la empresa está construida según políticas de Seguridad precisas, de acuerdo también con el estándar internacional ISO/IEC 27001, y por tanto están activas medidas técnicas y organizativas de control de accesos, entre ellas:
• Credenciales de acceso de lectura y/o escritura específicas por ruta;
• Proceso de atribución de credenciales mediante solicitud formal y verificación por parte de Cumplimiento (Compliance) y del Gerente de RRHH;
• Acceso a la red únicamente desde equipos controlados por el dominio y/o de forma remota mediante VPN;
• Expiración periódica de las contraseñas individuales de acceso al propio equipo (y por tanto a la intranet).

4.6.5.Gestión transparente de las denuncias
Cada denuncia se gestiona de acuerdo con el presente procedimiento.
La Unidad de Cumplimiento (Compliance Unit) tiene la facultad de realizar auditorías destinadas a verificar que la gestión de una o más denuncias, elegidas por muestreo, respete las modalidades definidas; al realizar las auditorías, queda garantizada en todo caso la confidencialidad del denunciante así como del denunciado, ya que las propias auditorías se realizan en referencia al proceso de “Whistleblowing” y no está previsto que entren en el fondo de las valoraciones relativas al contenido de las denuncias.

4.7.Sanciones
El Sistema Disciplinario descrito en el MOGC231 – Parte General (§3.2.3) prevé sanciones también por las infracciones del procedimiento de denuncia descrito en el presente documento.

A título ejemplificativo, se prevén sanciones:
• A cargo del denunciado, en caso de que sea considerado responsable de lo ocurrido tras la actividad de investigación realizada por el órgano destinatario de la denuncia;
• En caso de comportamientos abusivos del denunciante;
• En caso de comportamientos de represalia o discriminatorios por parte de los trabajadores – directivos y subordinados – hacia el denunciante;
• A cargo del OdV si, tras haber recibido la denuncia, no verifica lo comunicado por el denunciante;
• En caso de violación de las obligaciones de confidencialidad asociadas a la gestión de las denuncias.

Las sanciones se aplican según lo previsto por el MOGC231 vigente y sobre la base del Estatuto de los Trabajadores (ley n.300/1970) y de los distintos Convenios Colectivos Nacionales.

PQDR05-Canal de Denuncias – Versión 2.1, publicada el 31/12/2024.
Cualquier actualización o revisión será objeto de una nueva publicación en el sitio web corporativo.