Whistleblowing

La normativa ha previsto l’istituzione di un canale interno per la segnalazione di eventuali violazioni alle norme che regolano l’attività della Società. Spafid ha pertanto definito una Politica di Whistleblowing (approvata dal Consiglio di Amministrazione) che consente ai soggetti indicati nel paragrafo successivo di segnalare violazioni delle quali sono a conoscenza o che sospettano siano in corso. Le segnalazioni saranno gestite ai sensi della Politica come riassunto nei punti successivi.

1. Chi può segnalareIl canale di segnalazione interna e i canali di segnalazione esterna sono disponibili per chiunque rientri in una delle seguenti categorie:

dipendente della Società (indipendentemente dalla forma contrattuale e inclusi il personale in somministrazione lavoro, gli stagisti, i consulenti che prestano la loro attività presso Spafid e i collaboratori che operano sulla base di rapporti che ne determinano l’inserimento nell’organizzazione aziendale);

fornitore della Società;

membro degli organi sociali della Società.

I canali sono disponibili anche nei confronti di chi non rientra ancora in una delle categorie sopra (qualora la violazione sia avvenuta nel corso del processo di selezione) e di chi non ha più rapporti con la Società (qualora la violazione sia avvenuta quando il rapporto era ancora in essere).

Spafid gestirà, secondo i principi indicati in questa informativa, ove praticabile e secondo un principio di proporzionalità, anche eventuali segnalazioni provenienti da soggetti diversi da quelli sopra indicati.

2. Che cosa è possibile segnalareTramite i canali di whistleblowing possono essere segnalate le violazioni delle norme esterne e interne alla Società, con particolare riferimento a:

illeciti relativi all’attività fiduciaria, alla prevenzione del riciclaggio e del finanziamento del terrorismo, alla riservatezza delle informazioni, alla protezione dei dati personali, alla sicurezza delle reti e dei sistemi informativi, alla tutela dell’ambiente e in materia di appalti pubblici;
frodi ai danni dello Stato o della UE;
illeciti rilevanti ai sensi del d. lgs. 231/2001 e violazioni del Modello di organizzazione e gestione definito da Spafid.

Come disciplinato dalla normativa esterna, non rientrano invece nell’ambito di applicazione dei canali whistleblowing le contestazioni legate a interessi di carattere personale inerenti al rapporto di lavoro del segnalante. Eventuali segnalazioni su temi HR (es. molestie, bullismo, pari opportunità) saranno gestite ai sensi della normativa interna in materia, che risulta comunque coerente, secondo un principio di proporzionalità, con i presidi previsti in materia di whistleblowing.

3. Come fare la segnalazione internaÈ possibile effettuare una segnalazione interna in uno di questi due modi:

Tramite portale whistleblowing https://digitalroom.bdo.it/Spafid;

tramite posta interna/ordinaria (Spafid, Foro Buonaparte 10, 20121 Milano – all’attenzione della Responsabile della Funzione Compliance).

È inoltre possibile chiedere un incontro diretto con il Responsabile del canale interno di whistleblowing per effettuare la segnalazione. In questo caso, con il consenso del segnalante, l’incontro sarà verbalizzato, per gestire la segnalazione.La segnalazione deve contenere le informazioni riguardanti il nominativo del/i soggetto/i presunti responsabili della violazione e una breve descrizione della supposta violazione, con indicazione delle circostanze di tempo e di luogo in cui si è verificato il fatto oggetto della segnalazione, evidenziando anche eventuali soggetti terzi coinvolti (es. facilitatori, soggetti a conoscenza dei fatti, soggetti potenzialmente danneggiati). Per facilitare la gestione della segnalazione, è opportuno allegare tutta la documentazione di supporto disponibile.Il segnalante che risulta coinvolto nella violazione segnalata, dovrà specificarlo, poiché potrebbe ricevere un trattamento diverso rispetto agli altri soggetti responsabili, compatibilmente con la normativa applicabile.Nella segnalazione non devono essere inseriti dati personali ulteriori a quelli strettamente necessari per analizzarla e darle seguito.È possibile effettuare una segnalazione interna anche in forma anonima. Tuttavia, in questo caso, la Società avrà possibilità più limitate di investigare efficacemente, poiché non sarà possibile instaurare un rapporto diretto con la persona segnalante. Pertanto, è ancora più importante che le segnalazioni anonime siano chiare e dettagliate, per facilitare i necessari approfondimenti.Qualora la segnalazione riguardi la Responsabile della Funzione Compliance o uno dei membri del Consiglio di Amministrazione della Società, dovrà essere indirizzata al Responsabile della Funzione Group Audit, compilando l’apposito campo in piattaforma o tramite posta interna/ordinaria (Mediobanca, p.tta Cuccia 1, 20121 Milano – all’attenzione del Responsabile della Funzione Group Audit).

4. Il portale whistleblowing di SpafidLa piattaforma consente, attraverso un percorso guidato, di effettuare una segnalazione garantendo, anche tramite il ricorso a strumenti di crittografia, la riservatezza sull’identità del segnalante o il suo totale anonimato (ove prescelto), la sicurezza, l’integrità e la riservatezza dei dati inseriti. La segnalazione potrà essere inviata in forma scritta (compilando un apposito modulo di segnalazione) oppure in forma orale (tramite un meccanismo di registrazione). Nel momento dell’invio della segnalazione, la piattaforma genera un codice identificativo che sarà conosciuto solo dal segnalante e che permetterà a quest’ultimo di accedere alla propria segnalazione per (i) monitorarne lo stato di avanzamento, (ii) avere interlocuzioni dirette con il Responsabile e/o (iii) rispondere ad eventuali domande di approfondimento. Sarà pertanto onere del segnalante accedere regolarmente alla propria segnalazione per verificarne lo stato di avanzamento e/o la presenza di eventuali messaggi da parte del Responsabile Anche le segnalazioni ricevute al di fuori della piattaforma potranno essere gestite all’interno della stessa. In tal caso il Responsabile comunicherà al segnalante (ove non anonimo) il codice identificativo generato per consentire a quest’ultimo di accedere alla propria segnalazione e seguirne l’evoluzione.La piattaforma usata dalla Società è fornita da BDO Advisory Services S.r.l., che non può accedere alle informazioni contenute nelle segnalazioni effettuate.

5. Come la Società gestisce le segnalazioni interneLa Società ha identificato nella Responsabile della Funzione Compliance il Responsabile del canale interno di whistleblowing.Per le segnalazioni che riguardano la Responsabile della Funzione Compliance o uno dei membri del Consiglio di Amministrazione della Società, il ruolo del Responsabile del canale interno di whistleblowing è svolto dal Responsabile della Funzione Group Audit, che potrà avvalersi di altre risorse della Funzione Group Audit nella gestione delle segnalazioni.Una volta effettuata la segnalazione, il segnalante riceverà conferma della ricezione entro sette giorni. In caso di segnalazione inviata tramite il canale di posta ordinaria/interna il Responsabile sarà in grado di fornire tale avviso solo in presenza di segnalazione non anonima.Il Responsabile potrà contattare il segnalante durante la fase di istruttoria interna qualora fossero necessari approfondimenti o ulteriori informazioni. Il Responsabile, in qualità di Responsabile di una funzione di controllo interna, ha a disposizione un proprio budget, che potrà essere impiegato anche per approfondimenti legati alla fase di istruttoria, ed è autorizzato a richiedere agli uffici interni competenti tutte le informazioni necessarie a completare l’istruttoria, nel rispetto della riservatezza dei soggetti coinvolti.L’attività di istruttoria e gestione interna potrà coinvolgere altri soggetti che sono autorizzati a trattare i dati personali del segnalante e delle altre persone coinvolte nella segnalazione. A questa attività non parteciperanno in nessun caso eventuali soggetti coinvolti nella segnalazione effettuata.Entro tre mesi dalla data di avviso di ricevimento (o, in mancanza di tale avviso, entro tre mesi dalla data di scadenza del termine di sette giorni dalla presentazione della segnalazione), il Responsabile informerà il segnalante sull’esito dell’istruttoria e sulle eventuali misure adottate o in corso di adozione. Qualora l’istruttoria non si sia conclusa entro tre mesi, il Responsabile informerà nuovamente il segnalante al momento della chiusura della stessa. Il Responsabile predispone, nell’ambito della relazione annuale della Funzione Compliance per gli Organi Sociali, un’informativa annuale riepilogativa sul corretto funzionamento dei sistemi interni di segnalazione, contenente le informazioni aggregate sulle risultanze dell’attività svolta a seguito delle segnalazioni rilevanti ricevute.

6. Come la Società tutela la riservatezza del segnalanteSpafid garantisce la riservatezza dell’identità della persona segnalante e delle altre persone coinvolte o menzionate nella segnalazione, del contenuto della segnalazione e dei relativi documenti. Tuttavia, nel caso in cui le segnalazioni siano oggetto di denuncia alle Autorità, l’obbligo di riservatezza dell’identità delle Persone coinvolte o menzionate nella segnalazione potrebbe venire meno nei modi e alle condizioni previste dalla normativa applicabile. L’identità del segnalante e qualsiasi altra informazione da cui si può evincere possono essere rivelate a persone diverse da quelle competenti a gestire la segnalazione solo con il consenso del segnalante, oppure quando la rivelazione dell’identità è indispensabile (ad esempio nell’ambito di indagini avviate all’autorità giudiziaria). In questo caso, il segnalante sarà informato dalla Società in merito ai motivi di tale comunicazione.Per maggiori informazioni sul trattamento dei dati personali effettuato dalla Società nell’ambito della ricezione e della gestione delle segnalazioni, si prega di prendere visione dell’informativa sul trattamento dei dati personali ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”) e della normativa nazionale vigente in materia di protezione dei dati personali. Tale informativa si applica al trattamento dei dati personali di tutti i soggetti che possono a vario titolo essere acquisiti dalla Società per via di una segnalazione (segnalante, Segnalato, Persone coinvolte, altri soggetti menzionati nella segnalazione, cfr. par. 8). In ogni caso, il trattamento dei dati personali effettuato dalla Società nell’ambito della ricezione e della gestione delle segnalazioni è svolto in conformità con le disposizioni del GDPR e della normativa nazionale vigente in materia di protezione dei dati personali.

7. Come la Società protegge il segnalante dalle ritorsioniSpafid si impegna a proteggere le persone segnalanti e le altre persone coinvolte nella segnalazione da ritorsioni legate alle segnalazioni. In particolare, costituiscono ritorsioni: il licenziamento, la sospensione o misure equivalenti; la retrocessione di grado o la mancata promozione; il mutamento di funzioni, il cambiamento del luogo di lavoro, la riduzione dello stipendio, la modifica dell’orario lavorativo; la sospensione della formazione; le referenze negative; la coercizione, l’intimidazione, le molestie o il mobbing; la discriminazione o comunque il trattamento sfavorevole; la mancata conversione di un contratto di lavoro a termine in un contratto di lavoro a tempo indeterminato; il mancato rinnovo o la risoluzione anticipata di un contratto di lavoro a termine.Le persone coinvolte in una segnalazione sono inoltre protette da ripercussioni negative diverse da eventuali provvedimenti disciplinari adottati a seguito dell’istruttoria sulla segnalazione giudicata fondata. Il segnalante non sarà soggetto a ripercussioni negative per le segnalazioni effettuate, anche se infondate, tranne nei casi di dolo e/o colpa grave.Sono protetti dalle ritorsioni anche i facilitatori, i familiari e colleghi della persona segnalante e le società legate alla persona segnalante.Chiunque pone in essere condotte ritorsive, discriminatorie o sleali nei confronti della persona segnalante e delle altre persone coinvolte nella segnalazione potrà essere sottoposto a procedimento disciplinare, ove applicabile.

8. Come fare segnalazioni esterneÈ possibile effettuare direttamente una segnalazione esterna tramite i canali attivati dalle Autorità competenti solo qualora sia soddisfatta almeno una delle seguenti condizioni:

la segnalazione interna effettuata non ha avuto seguito;

sussistono fondati motivi di ritenere che, se fosse effettuata una segnalazione interna, non le verrebbe dato efficace seguito o potrebbe comportare il rischio di ritorsione nei confronti del segnalante;

sussiste il fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.

Di seguito riportiamo i canali di segnalazione attualmente attivati dalle Autorità di vigilanza competenti sull’attività di Spafid validi al momento della pubblicazione di questa informativa. È opportuno visitare direttamente i siti delle Autorità per verificare eventuali ulteriori condizioni per la segnalazione esterna e aggiornamenti sui canali di segnalazione.

Sito di riferimento:

Ove possibile, Spafid si impegna a tutelare la riservatezza del segnalante e a proteggerlo dalle ritorsioni anche con riferimento alle segnalazioni esterne effettuate.

9. Informativa privacyInformativa ai sensi degli articoli 13 e 14 del Regolamento UE 2016/679 e della normativa nazionale vigente in materia di protezione dei dati personali – Segnalazioni di violazioni di norme nazionali ed europee (c.d. whistleblowing)Si comunica che ai sensi del Regolamento (UE) 2016/679 (di seguito, “GDPR”) e della normativa nazionale vigente in materia di protezione dei dati personali (di seguito, unitamente al GDPR, “Normativa Privacy”), Società per Amministrazioni Fiduciarie “Spafid” S.p.A. con sede in Milano, Via Filodrammatici 10 (di seguito, la “Società” o il “Titolare”) ,in qualità di Titolare del trattamento, è tenuta a fornire l’informativa relativa all’utilizzo dei Suoi dati personali.Il Titolare può trattare i Suoi dati personali nel contesto dei canali istituiti nel rispetto della normativa applicabile, per permettere la segnalazione di violazioni di norme nazionali ed europee che ledono l'interesse pubblico o l'integrità della Banca (c.d. whistleblowing), nonché per la gestione di tali segnalazioni. La presente informativa deve essere letta unitamente alle “Linee Guida operative per la segnalazione di violazioni alle norme” e, per i dipendenti, alla “Politica su whistleblowing”, che contengono informazioni sulle violazioni che possono essere segnalate, sui presupposti per l’effettuazione della segnalazione e sulle tutele riservate dalla normativa applicabile ai soggetti interessati dalla segnalazione. La presente informativa si applica ai soggetti che segnalano le suddette violazioni, ai soggetti segnalati indicati come presunti responsabili, ai soggetti implicati nelle violazioni, ai soggetti al corrente dei fatti o comunque menzionati nella segnalazione.Finalità e modalità del trattamento: il Titolare può trattare i dati personali per la ricezione e gestione delle segnalazioni, compresa l'istruttoria e l’investigazione delle stesse, l'applicazione di misure correttive, il monitoraggio della loro applicazione e l'aggiornamento del segnalante sui risultati del procedimento. Il trattamento dei dati avviene mediante strumenti manuali, informatici e telematici con logiche strettamente correlate alle finalità indicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi, nel rispetto delle previsioni della normativa vigente in materia. Base giuridica: le attività di trattamento sono svolte in base ad un obbligo legale a cui il Titolare è soggetto (art. 6, par. 1, lett. c) GDPR), ai sensi della normativa applicabile in materia di whistleblowing. Qualora, nell’ambito di una segnalazione, vengano fornite categorie particolari di dati, il Titolare le tratterà in virtù delle seguenti deroghe previsti dall’art. 9 GDPR consistenti: (i) nella necessità di assolvere gli obblighi ed esercitare i diritti specifici del Titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale (art. 9, par. 2, lett. b) GDPR); e (ii) nella necessità di accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali (art. 9, par. 2, lett. f) GDPR) per quanto concerne il trattamento dei dati personali necessari in sede di contenzioso o in sede precontenziosa, per far valere o difendere un diritto, anche del Titolare o di un terzo, in sede giudiziaria, nonché in sede amministrativa o di arbitrato e conciliazione.Categorie di dati personali e fonti di origine dei dati: in base all’esperienza del Titolare, possono essere trattati i seguenti dati personali dei soggetti interessati:

dati identificativi;
dati di contatto;
dati relativi alle presunte condotte segnalate, attribuite al segnalato, nelle quali l’interessato potrebbe essere coinvolto o delle quali potrebbe essere a conoscenza;
immagini e altra documentazione allegata alle segnalazioni;
categorie particolari di dati personali eventualmente contenuti nelle segnalazioni;
contenuti delle comunicazioni scambiate tra il segnalante e i soggetti che gestiscono le segnalazioni.

I dati personali dei soggetti diversi dal segnalante sono solitamente forniti dal segnalante tramite la segnalazione oppure dagli altri soggetti interessati (qualora questi siano sentiti durante l’istruttoria o investigazione delle segnalazioni).Comunicazione e diffusione dei dati: potranno venire a conoscenza dei dati solo i soggetti specificatamente autorizzati della Società, eventualmente coinvolti nell’analisi e nell’approfondimento o istruttoria della segnalazione. In ogni caso, l’identità del segnalante, e qualsiasi altra informazione da cui si può evincere, possono essere rivelate a soggetti diversi dal personale dipendente o dai soggetti esterni autorizzati a gestire la segnalazione o l’istruttoria per conto del Titolare, solo con l’autorizzazione del segnalante oppure quando obbligatorio o legittimo ai sensi della normativa applicabile. In casi eccezionali, qualora la rivelazione dell’identità sia indispensabile per la difesa del segnalato (nell’ambito di un procedimento disciplinare) o della persona coinvolta (nell’ambito delle procedure interne), il Segnalante sarà informato per iscritto dalla Società in merito ai motivi di tale comunicazione. La tutela della riservatezza viene garantita anche agli altri soggetti interessati, fino alla conclusione dei procedimenti avviati in ragione della segnalazione e nel rispetto delle medesime garanzie previste in favore del segnalante. Tuttavia, nel caso in cui le segnalazioni siano oggetto di denuncia alle autorità competenti, l’obbligo di riservatezza dell’identità delle persone coinvolte o menzionate nella segnalazione potrebbe venire meno nei modi e alle condizioni previste dalla normativa applicabile.Inoltre, i dati potrebbero essere condivisi con i seguenti soggetti esterni, a seconda dei casi agenti in qualità di titolari autonomi del trattamento o responsabili del trattamento:

avvocati e consulenti, che forniscono servizi di consulenza o di indagine;

autorità giudiziarie, di vigilanza, supervisione o di polizia, nei casi previsti dalla legge.

Nella misura di quanto strettamente indispensabile e, comunque, a fronte di apposite garanzie, i dati potrebbero essere trattati dalle società che forniscono al Titolare sistemi informativi e/o società che sono coinvolte nella loro manutenzione e sicurezza.I dati personali non vengono diffusi, non sono trasferiti al di fuori dello Spazio Economico Europeo, né saranno soggetti a processi decisionali interamente automatizzati.Data retention: nel rispetto dei principi di proporzionalità e necessità, i dati personali saranno conservati in una forma che consenta l’identificazione degli interessati per il tempo necessario a evadere la segnalazione e, comunque, non oltre cinque anni a decorrere dalla data della comunicazione al segnalante dell’esito finale della procedura di segnalazione. Sono fatti salvi eventuali specifici obblighi normativi o la sopravvenuta necessità del Titolare di agire o difendersi in giudizio, che rendano necessario il trattamento e la conservazione dei dati per periodi di tempo ulteriori. Obbligatorietà del conferimento dei dati: è possibile inoltrare una segnalazione in forma anonima o non anonima. In caso di segnalazione anonima, il Titolare potrebbe non essere in grado di investigare efficacemente la segnalazione e di proteggere adeguatamente la riservatezza dell’identità. Pertanto, ove applicabile, La invitiamo a segnalare qualsiasi violazione fornendo tutte le informazioni richieste (ivi inclusa la Sua identità), così da permettere al Titolare di chiedere ulteriori informazioni. In ogni caso, il Titolare assicurerà che tutti i dati personali trattati nel contesto della segnalazione rimangano strettamente riservati.Diritti dell’interessato: Lei ha il diritto in qualunque momento di ottenere la conferma dell’esistenza o meno dei Suoi dati e di conoscerne il contenuto e l’origine, verificarne l’esattezza o chiederne l’integrazione o l’aggiornamento, oppure la rettifica (artt. 15 e 16 del GDPR).Inoltre, ha il diritto di chiedere la cancellazione, la limitazione al trattamento, la revoca del consenso, la portabilità dei dati nonché di proporre reclamo all’autorità di controllo e di opporsi in ogni caso, per motivi legittimi, al loro trattamento (art. 17 e ss. del GDPR).Tali diritti sono esercitabili mediante comunicazione scritta da inviarsi a: privacy@Spafid.it.Il Titolare, anche tramite le strutture designate, provvederà a prendere in carico la Sua richiesta e a fornirLe, senza ingiustificato ritardo, le informazioni relative all’azione intrapresa riguardo alla Sua richiesta. Le segnaliamo, tuttavia, che l’esercizio dei Suoi diritti potrebbe essere limitato o escluso, ai sensi di quanto previsto dalla Normativa Privacy, nel caso in cui dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante.Titolare del trattamento e Data Protection Officer: Il Titolare del trattamento dei dati è Società per Amministrazioni Fiduciarie “Spafid” S.p.A. con sede in Milano, Via Filodrammatici 10. Spafid ha designato quale Responsabile della protezione dei dati personali il Data Protection Officer del Gruppo. Il Data Protection Officer può essere contattato ai seguenti indirizzi: dpo.mediobanca@mediobanca.com; dpomediobanca@pec.mediobanca.com.