Whistleblowing Protocol

 

UNLAWFUL CONDUCT REPORTING PROTOCOL

(so-called WHISTLEBLOWING) 

BATHSYSTEM S.p.A.

 

  

TABLE OF CONTENTS

 

1. INTRODUCTION

2. DEFINITIONS

3. PERSONS WHO MAY REPORT

4. SUBJECT OF THE REPORT

5. BODY IN CHARGE OF HANDLING THE REPORTS

6. HOW TO REPORT

7. METHODS AND HANDLING OF THE REPORT AND GUARANTEE OF CONFIDENTIALITY

8. PROCEDURE FOR ASSESSING THE REPORTS RECEIVED

9. RESPONSIBILITY OF THE REPORTING PERSON

10. PROTECTIONS FOR THE REPORTING PERSON IN CASE OF RETALIATION

11. SANCTIONING REGIME

12. THE EXTERNAL REPORTING CHANNEL AT ANAC

13. COMMUNICATION, MONITORING AND UPDATING OF THE PROCEDURE

 

 

1. INTRODUCTION

Bathsystem S.p.A. is firmly committed to fostering transparency, legality and enhancing the skills and abilities of its employees, professionals and external suppliers with whom it works.

For these reasons, the Company has adopted a process for receiving, analysing and processing reports (including anonymous reports) concerning the Company, sent by third parties who have relations with the Company or by Company’s Staff.

The process complies with the legislation introduced by Legislative Decree No. 24 of 10 March 2023 implementing Directive (EU) 2019/1937 of the European Parliament and of the Council of 23 October 2019 on the protection of persons who report breaches of Union law and laying down provisions regarding the protection of persons who report breaches of national legal provisions (the so-called  “Whistleblowing Decree”), as well as the guidelines of ANAC and those provided by the Italian Data Protection Authority.

This Protocol on reporting unlawful conduct has the following objectives:

–    to foster a healthy working environment, characterised by a sense of belonging and legality, by protecting employees/suppliers/collaborators who report unlawful conduct of which they have become aware as a result of their relationship with our company;

–    to provide for one or more channels enabling the above-mentioned persons to submit, in order to protect the integrity of the entity, circumstantiated reports of unlawful conduct, significant under the aforementioned decree and based on precise and concordant facts of which they have become aware by virtue of their functions;

–    to ensure the confidentiality of both the reporting person/facilitator and the report;

–    to provide for an alternative reporting channel capable of ensuring, by computerised means, the confidentiality of the identity of the reporting person.

With this in mind and with the intention of concretely implementing the above-mentioned regulatory provisions, this Protocol identifies operational lines of conduct aimed at protecting persons who report any unlawful conduct and, in particular, the procedures for submitting, receiving and handling reports that may occur within the scope of the Company’s core business.

 

2. DEFINITIONS 

“ANAC” The National Anti-Corruption Authority
Company” BATHSYSTEM S.p.A.
GDPR Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016
“Staff” Employees, self-employed workers, holders of a collaboration relationship, volunteers and trainees, including unpaid ones, working at Bathsystem S.p.A.
Whistleblowing Decree” Legislative Decree No. 24 of 10 March 2023.
“Whistleblowing Manager”

  “Manager”

The external party identified as recipient and manager of Reports pursuant to Article 4 of the Whistleblowing Decree and authorised to process the data pursuant to the GDPR
Procedure” or ” Whistleblowing Procedure “. This procedure

 

“Reporting person(s)” Employees, collaborators, shareholders, persons exercising (even on a mere de facto basis) functions of administration, management, control, supervision or representation of the Company and other third parties interacting with the Company (including suppliers, consultants, intermediaries, etc.) as well as trainees or probationary workers, job applicants and former employees
“Reporting” Reports made in accordance with this Protocol and the applicable whistleblowing legislation
“Facilitator” The natural person assisting the reporting person in the reporting process, operating within the same work-related context, whose assistance must be kept confidential
“Data processing” Any operation or set of operations, carried out even without the help of electronic means, concerning the collection, recording, organisation, storage, consultation, processing, modification, selection, extraction, comparison, use, interconnection, blocking, communication, dissemination, erasure and destruction of data, even if not recorded in a database
“Personal data” Any information relating to an identified or identifiable natural person, even indirectly by reference to any other information, including a personal identification number
“Retaliatory behaviour” Any discriminatory measure, act, omission, taken against the whistleblower (reporting person) because of the report he/she has made and which causes or is likely to cause harm to him/her
“Reporting channel” The modalities through which a report under this Protocol can be made
“Identification data” Personal data allowing direct identification of the reporting person

 

3. PERSONS WHO MAY REPORT

The following persons may make a report:

–    employees, self-employed workers, contractors, volunteers and trainees, including unpaid ones, who work for the Company;

–    workers or collaborators, who perform their work for entities that supply goods or services or carry out works for third parties;

–    freelancers and consultants working for the Company;

–    shareholders and Company Staff with administrative, management, control, supervisory or representative functions.

These individuals report information on breaches they have become aware of within their work-related context.

Reports may also be made:

–    when the legal relationship has not yet begun, if information on breaches was acquired during the selection process or at other pre-contractual stages;

–    during the probationary period;

–    after the termination of the relationship if the information on breaches was acquired in the course of the relationship.

The company hopes that the identity of the reporting person, whose confidentiality is guaranteed in compliance with the law, will always be made explicit in the reports, in order to facilitate the verification of the facts reported and to inform the reporting person of the outcome of the investigations carried out. However, reports in anonymous form are allowed.

 

4. SUBJECT OF THE REPORT

Information on breaches concerning facts (of any nature whatsoever, including mere omissions), relating to Company Staff, which may include:

Reports must relate to facts of which the reporting person has direct knowledge, the reporting person having reasonable grounds to believe that the information reported is true at the time the report is made.

Reports must be made in a timely manner with respect to the knowledge of the facts so as to make it concretely possible to verify them.

The following do not constitute whistleblowing reports: objections, claims or requests linked to an interest of a personal nature on the part of the reporting person, which relate exclusively to his/her individual employment relationship, or inherent to his/her relationship with hierarchically superior figures; communications or complaints relating to activities of a commercial or public service nature.

 

5. BODY IN CHARGE OF HANDLING THE REPORTS

In consideration of the requirements related to its size, the nature of its business and the concrete organisational reality, Bathsystem S.p.A. has entrusted the process of managing reports of unlawful conduct to an external professional, identified in the person of lawyer  Beatrice Tomasoni of the Court of Brescia, who took on the role of Whistleblowing Manager.

 

6. HOW TO REPORT

The reporting person must provide all useful elements to enable the Manager to carry out the necessary and appropriate checks and verifications to establish whether the report is well-founded.

In particular, the report must contain the following elements:

Anonymous and unsubstantiated reports, i.e. lacking elements allowing their author to be identified, are normally dismissed and, therefore, will not be taken into account within the framework of the procedures aimed at protecting employees who report wrongdoings. Reports that, however, contain news of particularly serious conduct and whose content is detailed and circumstantiated may nevertheless be subject to careful assessment by the Manager.

It should be mentioned that Bathsystem S.p.A. will apply disciplinary sanctions for specious and/or improper use of reporting.

Similarly, the system of disciplinary sanctions protects well-founded and relevant reporting in accordance with the inspiring principles of the institution; so that no one may be fired or, again, suffer retaliation or demotion as a result of a lawful and relevant use of whistleblowing. Any form of retaliation or discriminatory measures against an employee/collaborator who makes a report shall not be tolerated. Discriminatory measures include disciplinary measures, harassment or retaliation, leading to unacceptable working conditions, cancellation of a supply contract (the decree also covers formally third parties), blacklisting, cancellation of licences or permits, and submission to medical examinations or psychiatric tests.

An employee who believes he or she is the subject of discriminatory measures as a result of a report may inform the Manager, who, in turn, will report to the Board of Directors, which is responsible for restoring normal working conditions if the discriminatory measures are confirmed.

 

7. METHODS AND HANDLING OF THE REPORT AND GUARANTEE OF CONFIDENTIALITY

Reporting can be done in the following ways:

In order to ensure the utmost confidentiality of the reporting person and/or of the person in charge of the physical delivery of the report (facilitator) and to prevent the report from being processed in a way that does not comply with this protocol, the closed envelope must be clearly marked “whistleblower” and the sender must not be indicated, which may instead be indicated in the document inside the envelope.

In order to protect the identity of the reporting person or of the facilitator, when the report is delivered to the Company’s headquarters, the staff in charge of receiving reports shall: (a) insert the sealed envelope containing the report into another sealed envelope addressed to the Whistleblowing Manager, bearing the chronological number of the report (e.g. report 1, report 2, etc.) and (b) insert a document containing the identification data of the person who physically delivered the report into another sealed envelope addressed to the Whistleblowing Manager, bearing the same chronological number (e.g. report 1, report 2, etc.).

In order to ensure the utmost confidentiality of the reporting person and/or of the person in charge of the physical delivery of the report (facilitator) and to prevent the report from being processed in a way that does not comply with this protocol, the sealed envelope must be clearly marked “whistleblower” and the sender must not be indicated, which may instead be indicated in the document inside the envelope.

Specifically, the cryptographic algorithm converts data from a readable format into an encrypted format, which can only be read or processed after it has been decrypted. The adoption of such a tool makes it possible to maximise the degree of protection of the data contained in the report and of the reporting person himself.

Only the Whistleblowing Manager has access to the above-mentioned telematic address or to the recordings of voice messages.

Upon receipt of the report, the identification data of the reporting person will be kept confidential for the duration of the proceedings aimed at ascertaining whether the report is well-founded.

The data provided will be processed within the framework of and in compliance with company policies, which provide, among other things, for the guarantee of confidentiality and the possibility of using the data acquired exclusively for the purpose of exercising the functions falling within the competence of the subject receiving the data.

Breach of the duty of confidentiality on the part of the reporting person entails breach of official duties, with consequent disciplinary liability and the infliction of the relevant sanctions. The transmission of the report to persons within the Company must always take place after deletion of all references that could lead to the identity of the reporting person.

In disciplinary proceedings, the identity of the reporting person may only be disclosed in the following cases:

–        with the explicit consent of the reporting person;

–        if the report proves to be well-founded and knowledge of the identity of the reporting person is absolutely necessary for the defence of the reported person.

The Board of Directors of the company will authorise the disclosure of the identity of the reporting person if the Manager has established that such disclosure is absolutely necessary for the defence of the reported person.

The anonymity of the reporting person is not enforceable against the judicial authority; however, the report to the judicial authority must be made by pointing out that the report was received from a person to whom confidentiality is granted.

The data provided for the benefit of those who should exercise their rights under Article 7 of Italian Legislative Decree No. 196/2003 and Articles 15 to 22 of EU Reg. 2016/679, may not contain data and/or information that would make it possible to trace the reporting person.

With the report, the identity of the reporting person will be kept confidential, and the reporting person will benefit from the protections provided by law in the event of any retaliation.

 

8. PROCEDURE FOR ASSESSING THE REPORTS RECEIVED

Within seven days of receipt of the report, the Whistleblowing Manager issues a receipt notice to the reporting person. Within three months of the report’s receipt notice or, in the absence thereof, within three months of the expiry of the seven-day term of the report, a feedback is provided to the reporting person.

Each report will be assigned an identification code consisting of a sequential number followed by the year.

While respecting confidentiality and guaranteeing impartiality, the Manager must carry out any activity deemed necessary to assess the validity of the report, also resorting, if necessary, to the support and cooperation of the competent corporate structures and, where appropriate, of external control bodies (e.g. Board of Auditors).

Provided that the establishment of the facts be not compromised, the reported person may be informed of the allegations against him/her; in any case, the anonymity of the reporting person must be preserved.

The Manager may communicate to the reporting person, in a concise and timely manner, the determinations relating to and/or resulting from the report.

Should the report prove to be well-founded, the Manager and/or the Board of Directors shall, alternatively or jointly, depending on the nature of the offence, proceed to:

The report will certainly be dismissed by the Manager in the following cases:

–        lack of interest in respect of corporate integrity;

–        lack of competence of the Whistleblowing Manager;

–        unfoundedness due to the absence of factual elements that would justify investigations;

–        generic content of the report that does not allow understanding of the facts, or report of offences accompanied by inappropriate or irrelevant documentation;

–        production of documents only, without a report of unlawful conduct or irregularities;

–        lack of data constituting essential elements of the report.

 

9. RESPONSIBILITY OF THE REPORTING PERSON

This Protocol does not affect criminal liability in the case of slanderous or defamatory reports.

The protection of the reporting person (whistleblower) does not apply in the case of criminal liability (slander or defamation) or civil liability (unfair harm caused by willful intent or negligence).

 

10. PROTECTIONS FOR THE REPORTING PERSON IN CASE OF RETALIATION

Italian Legislative Decree No. 24/2023 provides for a system of protection for the reporting person that includes:

Unless the reporting person authorises it, the disclosure of the identity of the reporting person is permitted, subject to a written declaration by the company setting out the reasons for the need for such disclosure, in the following cases:

In such cases, the alleged retaliation, even if only attempted or threatened, must be reported exclusively to ANAC, which is entrusted with the task of ascertaining whether it is a consequence of the report, complaint or public disclosure made.

If ANAC establishes that a retaliation has occurred:

 

11. SANCTIONING REGIME

Should it be ascertained that the reports received by the Manager are unfounded and/or specious, or concern facts that are not relevant under this Protocol, the company reserves the right to impose disciplinary sanctions on such conduct.

Similarly, in the event deficiencies are found in the management of the reporting procedures, with particular reference to breaches of the confidentiality obligation in the management of reports, in violation of the Protocol adopted by the company, and attributable to persons linked to the company by a collaborative relationship, at the outcome of the checks that will be carried out, if negligence or breach attributable to the aforementioned persons is found, the Company may terminate the existing collaborative relationship for just cause, subject to written notice to be sent to the person found to have committed the breach.

 

12. THE EXTERNAL REPORTING CHANNEL AT ANAC

Notwithstanding the preference for the internal reporting channel, the Italian Legislative Decree No. 24 of 10 March 2023 also provides for the possibility for both public and private sector entities to report through an external channel at ANAC.

The conditions provided for by the Decree to use the external channel at ANAC occur when:

–      it would not be effectively followed up;

–      this could lead to a risk of retaliation;

 

13. COMMUNICATION, MONITORING AND UPDATING OF THE PROCEDURE

This Protocol is published on the Company Notice Board so that it can be easily consulted by all employees and suppliers, who may alternatively consult it by accessing the Company’s website on which it is published.

The number of reports received and their progress status will be reported annually to the Board of Directors.

The Procedure will be periodically updated in order to ensure constant alignment with the regulations in force and in view of the evolution of the company’s operations and organisation.

Whistleblowing Privacy Information

 

PROTOCOLLO SEGNALAZIONE CONDOTTE ILLECITE

(c.d. WHISTLEBLOWING)

BATHSYSTEM S.p.A.

 

INDICE

 

  1. INTRODUZIONE
  2. DEFINIZIONI
  3. SOGGETTI CHE POSSONO EFFETTUARE UNA SEGNALAZIONE
  4. OGGETTO DELLE SEGNALAZIONE
  5. ORGANO DEPUTATO A GESTIRE LA SEGNALAZIONE
  6. COME EFFETTUARE UNA SEGNALAZIONE
  7. MODALITÀ E GESTIONE DELLE SEGNALAZIONI – GARANZIA DI RISERVATEZZA
  8. PROCEDIMENTO DI VALUTAZIONE DELLE SEGNALAZIONI
  9. RESPONSABILITÀ DEL SEGNALANTE
  10. TUTELE PER IL SEGNALANTE IN CASO DI RITORSIONI
  11. REGIME SANZIONATORIO
  12. IL CANALE ESTERNO DI SEGNALAZIONE PRESSO ANAC
  13. COMUNICAZIONE, MONITORAGGIO E AGGIORNAMENTO DELLA PROCEDURA

 

 

  1. INTRODUZIONE

Bathsystem S.p.A. è fermamente impegnata nel favorire la trasparenza, la legalità e la valorizzazione delle competenze e delle capacità dei propri dipendenti, professionisti e fornitori esterni con i quali collabora.

Per tali ragioni, la Società ha inteso adottare un processo di ricezione, analisi e trattamento delle segnalazioni (anche anonime) riguardanti l’Azienda, inviate da Terzi che abbiano rapporti con la Società ovvero da Personale della Società stessa.

Il processo è conforme alla normativa introdotta con D.lgs. 10 marzo 2023, n. 24 di attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali (c.d. “Decreto Whistleblowing”), nonché alle linee guida di ANAC e a quelle  fornite dell’Autorità Garante per la Protezione dei Dati Personali.

Il presente Protocollo sulla segnalazione delle condotte illecite si prefigge i seguenti obiettivi:

–    favorire un ambiente di lavoro sano, caratterizzato da senso di appartenenza e legalità, tutelando il dipendente/fornitore/collaboratore che segnali condotte illecite di cui sia venuto a conoscenza in ragione del rapporto in essere con la nostra azienda;

–    prevedere uno o più canali che consentano ai soggetti sopra indicati di presentare, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del citato decreto e fondate su elementi di fatto precisi e concordanti di cui siano venuti a conoscenza in ragione delle funzioni svolte;

–    garantire la riservatezza sia del soggetto segnalante/facilitatore che della segnalazione;

–    prevedere un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante.

In tale prospettiva e con l’intenzione di dare concreta attuazione alle disposizioni normative indicate, il presente Protocollo individua linee di condotta operative tese a tutelare i soggetti che segnalino eventuali condotte illecite e in particolare le modalità di presentazione, ricezione e gestione delle segnalazioni che si possono verificare nell’ambito dell’attività caratteristica della Società.

 

  1. DEFINIZIONI
ANAC L’Autorità Nazionale Anticorruzione
Società” – “Azienda BATHSYSTEM S.p.A.
GDPR Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016
Personale I dipendenti, i lavoratori autonomi, i titolari di un rapporto di collaborazione, i volontari e i tirocinanti anche non retribuiti che svolgono la propria attività lavorativa presso Bathsystem S.p.A.
Decreto Whistleblowing Il D.Lgs. 10 marzo 2023, n. 24
“Responsabile della

Gestione

delle segnalazioni”

 “Responsabile”

Il soggetto esterno individuato quale destinatario e gestore delle Segnalazioni ai sensi dell’art. 4 del Decreto Whistleblowing e autorizzato al trattamento dei dati ai sensi del GDPR
Procedura” o “Procedura Whistleblowing La presente procedura

 

Segnalanti/e I dipendenti, collaboratori, azionisti, persone che esercitano (anche in via di mero fatto) funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza della Società e altri soggetti terzi che interagiscano con la Società (compresi i fornitori, consulenti, intermediari, ecc.) nonché stagisti o lavoratori in prova, candidati a rapporti di lavoro ed ex dipendenti
Segnalazione” La segnalazione effettuata in conformità alla presente Protocollo e alla normativa applicabile in materia di whistleblowing
Facilitatore La persona fisica che assiste il segnalante nel processo di segnalazione, operante all’interno del medesimo contesto lavorativo, la cui assistenza deve essere mantenuta riservata
Trattamento dei dati Qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati
“Dato personale” Qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale
“Comportamenti ritorsivi” Qualsiasi misura discriminatoria, atto, omissione, posto in essere nei confronti del whistleblower (segnalante) a causa della segnalazione che ha effettuato e che rechi o possa arrecare danno a quest’ultimo
“Canale di segnalazione” Le modalità attraverso le quali poter effettuare una segnalazione ai sensi del presente Protocollo
“Dati identificativi” i dati personali che permettono l’identificazione diretta del soggetto segnalante

 

  1. SOGGETTI CHE POSSONO EFFETTUARE LA SEGNALAZIONE

Possono effettuare una segnalazione:

–    i dipendenti, i lavoratori autonomi, i titolari di un rapporto di collaborazione, i volontari e i tirocinanti anche non retribuiti che svolgono la propria attività lavorativa presso la Società;

–    i lavoratori o i collaboratori, che svolgono la propria attività lavorativa presso enti che forniscono beni o servizi o che realizzano opere in favore di terzi;

–    i liberi professionisti e i consulenti che prestano la propria attività presso la Società;

–    gli azionisti e il Personale della Società con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza.

Tali soggetti segnalano informazioni sulle violazioni di cui sono venuti a conoscenza nell’ambito del proprio contesto lavorativo.

Le segnalazioni possono essere effettuate anche:

–    quando il rapporto giuridico non è ancora iniziato, se le informazioni sulle violazioni sono state acquisite durante il processo di selezione o in altre fasi precontrattuali;

–    durante il periodo di prova;

–    successivamente allo scioglimento del rapporto se le informazioni sulle violazioni sono state acquisite nel corso del rapporto stesso.

La società auspica che nelle segnalazioni sia sempre esplicitata l’identità del Segnalante, di cui è garantita la riservatezza nel rispetto della normativa vigente, in modo da rendere più agevole la verifica dei fatti segnalati ed informare il Segnalante sugli esiti degli accertamenti svolti. Sono comunque ammesse le segnalazioni in forma anonima.

 

  1. OGGETTO DELLE SEGNALAZIONI

Informazioni sulle violazioni aventi ad oggetto fatti (di qualsivoglia natura, anche meramente omissivi), riferibili a Personale della Società, che possano integrare:

Le segnalazioni devono riguardare fatti di cui il Segnalante abbia conoscenza diretta, avendo lo stesso Segnalante fondati motivi di ritenere che le informazioni segnalate siano vere al momento in cui viene effettuata una segnalazione.

Le segnalazioni devono essere effettuate tempestivamente rispetto alla conoscenza dei fatti in modo da renderne concretamente possibile la verifica.

Non costituiscono segnalazioni c.d. whistleblowing: le contestazioni, rivendicazioni o richieste legate ad un interesse di carattere personale del Segnalante che attengono esclusivamente al proprio rapporto individuale di lavoro, ovvero inerenti al proprio rapporto con le figure gerarchicamente sovraordinate; le comunicazioni o i reclami relativi ad attività di natura commerciale o di servizi al pubblico.

 

  1. ORGANO DEPUTATO A GESTIRE LE SEGNALAZIONI

Tenuto conto delle esigenze connesse alle dimensioni, alla natura dell’attività esercitata e alla realtà organizzativa concreta, Bathsystem S.p.A. ha affidato il processo di gestione delle segnalazioni di condotte illecite ad un professionista esterno, individuato nella persona dell’avv. Beatrice Tomasoni del Foro di Brescia, la quale ha assunto il ruolo di “Responsabile della Gestione delle segnalazioni di condotte illecite”.

 

  1. COME EFFETTUARE LA SEGNALAZIONE

Il segnalante deve fornire tutti gli elementi utili a consentire al Responsabile di procedere alle dovute e appropriate verifiche ed accertamenti a riscontro della fondatezza della segnalazione.

In particolare, la segnalazione deve contenere i seguenti elementi:

–      generalità (nome e cognome) del soggetto che effettua la segnalazione, con indicazione della posizione o funzione svolta nell’ambito della Società;

–      una chiara e completa descrizione delle condotte oggetto di segnalazione;

–      le circostanze di tempo e di luogo in cui sono state commesse le condotte in ipotesi illecite;

–      se conosciute, le generalità o altri elementi utili ad identificare il soggetto/i che ha/hanno posto/i in essere le condotte oggetto della segnalazione;

–      se conosciuti, l’indicazione di eventuali altri soggetti che possono riferire sulle condotte oggetto di segnalazione;

–      se noti, l’indicazione di eventuali documenti che possono confermare la fondatezza delle condotte oggetto della segnalazione;

–      ogni altra informazione che possa fornire un utile riscontro circa la sussistenza delle condotte oggetto della segnalazione.

Le segnalazioni anonime e non circostanziate, vale a dire prive di elementi che consentano di identificare il loro autore, di regola vengono archiviate e, quindi, non verranno prese in considerazione nell’ambito delle procedure volte a tutelare il dipendente che segnala illeciti. Le segnalazioni che, tuttavia, contengono notizie relative a condotte di particolare gravità e il cui contenuto è dettagliato e circostanziato potranno essere comunque sottoposte ad una attenta valutazione da parte del Responsabile.

È opportuno ricordare che Bathsystem S.p.A sanzionerà disciplinarmente l’uso strumentale e/o improprio della segnalazione.

Allo stesso modo, il sistema sanzionatorio disciplinare tutela la segnalazione fondata e pertinente secondo i principi ispiratori dell’istituto; onde nessuno potrà essere licenziato o, ancora, subire ritorsioni o demansionamenti in conseguenza di un uso lecito e pertinente della segnalazione. Non è tollerata alcuna forma di ritorsione o misure discriminatorie nei confronti del dipendente/collaboratore che effettui una segnalazione. Tra le misure discriminatorie vanno ricomprese misure disciplinari, molestie o ritorsioni, che determinino condizioni di lavoro inaccettabili, l’annullamento di un contratto di fornitura (il decreto copre anche soggetti formalmente terzi), l’inserimento in black list, l’annullamento di licenze o permessi, la sottoposizione a visite mediche o accertamenti psichiatrici.

Il dipendente che ritiene di essere oggetto di misure discriminatorie a seguito di una segnalazione può informare il Responsabile, il quale, a sua volta, riporterà al Consiglio di Amministrazione a cui compete, ove confermate le misure discriminatorie, ripristinare le normali condizioni di lavoro.

 

  1. MODALITÀ E GESTIONE DELLA SEGNALAZIONE E GARANZIA DI RISERVATEZZA

La segnalazione può essere effettuata con le seguenti modalità:

Al fine di garantire la massima riservatezza del segnalante e/o del soggetto deputato alla consegna materiale della segnalazione (facilitatore) ed evitare che la segnalazione sia trattata in modo non conforme al presente protocollo, è necessario che sulla busta chiusa sia indicato a chiare lettere la dicitura “whistleblower” e non sia indicato il mittente, che potrà essere invece indicato nel documento presente all’interno della busta.

All’atto della consegna presso la sede della Società, il personale deputato a ricevere le segnalazioni, al fine di tutelare l’identità del segnalante ovvero del facilitatore, dovrà inserire la busta chiusa contenente la segnalazione in un ulteriore busta chiusa indirizzata al Responsabile della Gestione della segnalazioni di condotte illecite, recante il numero cronologico della segnalazione (es. segnalazione 1, segnalazione 2, etc.) e in un’altra busta chiusa indirizzata al Responsabile della Gestione della segnalazioni di condotte illecite recante il medesimo numero cronologico della segnalazione, un documento riportante i dati identificativi del soggetto che materialmente l’ha consegnata.

Al fine di garantire la massima riservatezza del segnalante e/o del soggetto deputato alla consegna materiale della segnalazione ed evitare che la segnalazione sia trattata in modo non conforme al presente protocollo, è necessario che sulla busta chiusa sia indicato a chiare lettere la dicitura “whistleblower” e non sia indicato il mittente, che potrà essere invece indicato nel documento inserito nella busta.

Nello specifico, l’algoritmo crittografico, converte i dati da un formato leggibile in un formato codificato, che può essere letto o elaborato solo dopo che è stato decrittato. L’adozione di tale strumento consente di elevare al massimo il grado di protezione dei dati contenuti nella segnalazione che del segnalante stesso.

All’indirizzo telematico sopra indicato ovvero alle registrazioni dei messaggi vocali, ha accesso esclusivamente il Responsabile della Gestione delle segnalazioni di condotte illecite.

All’atto del ricevimento della segnalazione i dati identificativi del segnalante saranno secretati per tutta la durata del procedimento volto ad accertare la fondatezza della segnalazione.

I dati forniti saranno trattati nell’ambito e nel rispetto delle policy aziendali, le quali prevedono, tra l’altro, la garanzia di riservatezza e la possibilità di utilizzare i dati acquisiti esclusivamente al fine di esercitare le funzioni di competenza del soggetto destinatario dei dati medesimi.

La violazione degli obblighi di riservatezza del segnalante comporta la violazione dei doveri d’ufficio con la conseguente responsabilità disciplinare e irrogazione delle relative sanzioni. La trasmissione della segnalazione a soggetti interni alla Società dovrà avvenire sempre previa eliminazione di tutti i riferimenti che consentono di risalire all’identità del segnalante.

Nell’ambito di un procedimento disciplinare, l’identità del segnalante può essere rivelata solo:

–        con il consenso esplicito del segnalante;

–        qualora la segnalazione risulti fondata e la conoscenza dell’identità del segnalante sia assolutamente necessaria alla difesa del segnalato.

Il Consiglio di Amministrazione della società autorizzerà la conoscenza dell’identità del segnalante qualora il Responsabile ne abbiano accertato l’assoluta necessità per la difesa del segnalato.

L’anonimato del segnalante non è opponibile all’autorità giudiziaria, tuttavia, la segnalazione all’autorità giudiziaria deve avvenire evidenziando che essa è pervenuta da un soggetto cui è accordata la tutela della riservatezza.

I dati forniti in favore di chi dovesse esercitare i diritti di cui all’art. 7 del D.Lgs. n. 196/2003 e di cui agli artt. da 15 a 22 del Reg. UE 2016/679, non potranno contenere dati e/o informazioni che consentano di risalire al segnalante.

Con la segnalazione verrà mantenuta riservata l’identità del segnalante, il quale potrà beneficiare delle tutele previste dalla Legge nel caso di eventuali ritorsioni.

 

  1. PROCEDIMENTO DI VALUTAZIONE DELLE SEGNALAZIONI RICEVUTE

Il Responsabile, entro sette giorni dal ricevimento della segnalazione, rilascia alla persona segnalante un avviso di ricevimento. Entro tre mesi dall’avviso di ricevimento della segnalazione o, in mancanza, entro tre mesi dalla scadenza del termine di sette giorni dalla segnalazione forniscono riscontro al segnalante.

Ad ogni segnalazione sarà assegnato un codice identificativo composto da numero progressivo seguito dall’anno.

Il Responsabile deve, nel rispetto della riservatezza e garantendo l’imparzialità, effettuare ogni attività ritenuta necessaria al fine di valutare la fondatezza della segnalazione, avvalendosi, eventualmente, del supporto e della collaborazione delle competenti strutture aziendali e, all’occorrenza, di organi di controllo esterni (es. Collegio sindacale).

Nel caso in cui non si comprometta l’accertamento dei fatti, il segnalato potrà essere informato delle segnalazioni a suo carico; in ogni caso dovrà essere salvaguardato l’anonimato del segnalante.

Il Responsabile potrà comunicare al segnalante, in modo sintetico e tempestivo, le determinazioni relative e/o conseguenti alla segnalazione.

Nel caso in cui la segnalazione dovesse risultare fondata, il Responsabile e/o il Consiglio di Amministrazione provvederanno, alternativamente o congiuntamente, a seconda della natura dell’illecito, a:

La segnalazione sarà senz’altro archiviata dal Responsabile nelle seguenti ipotesi:

–        mancanza di interesse all’integrità aziendale;

–        incompetenza del Responsabile della Gestione delle segnalazioni di condotte illecite;

–        infondatezza per l’assenza di elementi di fatto idonei a giustificare accertamenti;

–        contenuto generico della segnalazione che non consente la comprensione dei fatti ovvero segnalazione di illeciti corredata da documentazione non appropriata o inconferente;

–        produzione di sola documentazione in assenza di segnalazione di condotte illecite o irregolarità;

– mancanza di dati che costituiscono elementi essenziali della segnalazione.

 

  1. RESPONSABILITÀ DEL SEGNALANTE

Il presente Protocollo lascia inalterata la responsabilità penale nel caso di segnalazioni calunniose o diffamatorie.

La tutela del whistleblower (segnalante) non trova applicazione in caso di responsabilità penale (calunnia o diffamazione) o civile (danno ingiusto causato da dolo o colpa).

 

  1. TUTELE PER IL SEGNALANTE IN CASO DI RITORSIONI

Il d.lgs. n. 24/2023 ha previsto un sistema di protezione per il soggetto segnalante che prevede:

L’identità del segnalante, salvo il caso in cui sia quest’ultimo ad autorizzare la divulgazione, è consentita, previa dichiarazione scritta dell’azienda con cui vengono esposte le ragioni della necessità di tale rivelazione, nei seguenti casi:

In questi casi, le presunte ritorsioni, anche solo tentate o minacciate, devono essere comunicate esclusivamente ad ANAC, alla quale è affidato il compito di accertare se esse siano conseguenti alla segnalazione, denuncia, divulgazione pubblica effettuata.

Qualora ANAC accerti una ritorsione:

 

  1. REGIME SANZIONATORIO

Qualora sia accertato che le segnalazioni pervenute al Responsabile, siano infondate e/o pretestuose ovvero riguardino fatti non rilevanti ai sensi del presente Protocollo, l’azienda si riserva di sanzionare disciplinarmente detti comportamenti.

Parimenti, nel caso in cui vengano riscontrate carenze nella gestione delle procedure di segnalazione, con particolare riferimento alle violazioni dell’obbligo di riservatezza nella gestione delle segnalazioni in difformità del Protocollo adottato dall’azienda e risultino addebitabili a soggetti legati all’azienda da un rapporto di collaborazione, all’esito delle verifiche che verranno effettuate, qualora si dovesse riscontrare una negligenza o inadempimento riconducibili ai menzionati soggetti, la Società potrà risolvere il rapporto di collaborazione in essere per giusta causa, previa contestazione scritta da inviare al soggetto che risulta aver commesso la violazione.

 

  1. IL CANALE ESTERNO DI SEGNALAZIONE PRESSO ANAC

Ferma restando la preferenza per il canale di segnalazione interno, il decreto D.lgs. 10 marzo 2023, n. 24 prevede, altresì, per i soggetti del settore sia pubblico sia privato la possibilità di effettuare una segnalazione attraverso un canale esterno presso ANAC.

Le condizioni previste dal Decreto per ricorrere al canale esterno presso ANAC si verificano quando:

–      alla stessa non sarebbe dato efficace seguito;

–      questa potrebbe determinare rischio di ritorsione;

 

  1. COMUNICAZIONE, MONITORAGGIO E AGGIORNAMENTO DELLA PROCEDURA

Il presente Protocollo viene pubblicato nella Bacheca aziendale affinché possa essere facilmente consultato da tutti i dipendenti e fornitori, i quali potranno alternativamente consultarlo accedendo al sito internet della Società sul quale è pubblicato.

Il numero di segnalazioni ricevute e il relativo stato di avanzamento saranno comunicate, con cadenza annuale, al Consiglio di Amministrazione.

La Procedura sarà oggetto di aggiornamento periodico in modo da assicurare il costante allineamento alla normativa e in ragione dell’evoluzione dell’operatività e dell’organizzazione aziendale.

Informativa Privacy Whistleblowing

Privacy Policy

 

PRIVACY INFORMATION FOR PERSONAL DATA PROCESSING 

According to D.L. n. 196/2003 and EU Regulation n. 679/2016 (GDPR) and with regard to personal data of your concern and that will be the object of processing activity, we inform you that:

  1. PURPOSE OF DATA PROCESSING

BATHSYSTEM SPA as data controller, will process his customer’s data for below purposes only:

  1. Evaluation on a possible contract agreement (customer economic capacity and possible future reputation consequence on business relation, anticorruption compliance and money laundering);
  2. Conclusion, management and execution of contracts drafted with customer;
  3. Law compliance in relation to civil, fiscal and accounting regulation; compliance on contract obligation; assistance and technical support with regards to any possible non-conformity of products you have purchased, after-sales as well and after warranty period if applicable; relations administrative management.

 

2. LEGAL BASIS OF DATA PROCESSING

Customer personal data will be treated following consent expressed by signing this information paper.

We inform you that, without any consent or after its revocation, your personal data may be used in the    following circumstances and legal basis:

  1. If data processing is necessary in the execution of a contract you are part of, or in the execution of pre-contractual measures your request;
  2. If data processing is necessary for BATHSYSTEM SPA legal obligation;
  3. If data processing is necessary for the safety of one’s person interest
  4. If data processing is necessary for the execution of public interest task or linked to the exercise of public power of which BATHSYSTEM SPA is responsible
  5. If data processing is necessary BATHSYSTEM SPA pursuit of legitimate interest; in particular we consider legitimate interests:

at the condition that all interests, rights and fundamental freedoms of the person who asks for protection of his own data don’t prevail.

 

3. DATA PROVISION

Considering the autonomy of concerned person, directly acquired data provision can be:

a) compulsory according to law, regulation or EU legislation and also according to disposition issued by authorities legitimated by the law or issued by supervisors and control bodies;

b) Strictly necessary to the agreement of new contracts between customer and BATHSYSTEM SPA or to management and execution of ongoing ones. Possible opposition to data processing and/or refusal of personal data provision may cause impossibility or refusal of partial or complete new agreement and execute of ongoing contracts, may cause also impossibility to comply with legal obligation, regulation or EU legislation and to disposition issued by authorities legitimated by the law or issued by supervisors and control bodies.

 

4. DATA COLLECTED BY THIRD PARTIES

We inform you that personal data subject to processing activity, in particular those referred to point 1. a) may be collected by third parties through access to public database or through dedicated inspection services.

 

5. DATA PROCESSING METHOD

Personal data processing may be executed through both analogic, electronic or automatic methods, using methods and procedures strictly necessary to pursuit of above mentioned scopes.

BATHSYSTEM SPA conducts data processing directly through his own organization subjects or through external subjects. Those subjects will treat data:

a) In accordance to instructions received from data Controller, respectively as authorized or responsible, and exclusively for the achievement of the specific purposes indicated in this statement;

b) In total autonomy, as autonomous holders.

 

6. DATA COMMUNICATION AND DISCLOSURE

Personal data, exclusively following scopes of point 1, may be communicated to:

a) BATHSYSTEM SPA personnel and collaborators authorized to data processing by the company;

b)banks, service companies for registration, enveloping, transport and sorting of documents, contractors companies or service providers, notaries, lawyers, experts, consultants and specialized companies for debt collection and auditing;

c) Subjects to whom communication is due complying to any collective agreements (labor unions) or specific legal obligation (Public security bodies or any other public authority)

Any other data distribution is excluded.

 

7. RIGHTS OF THE INTEREST PARTY

Data protection legislation (art. 7-10 D.Lgs. 196/2003 and art. 12-22 EU REGULATION 679/2016) grants the right to be informed on data processing, and the right of any time access to those data and request for updating integration and amendment. Where applied, the interested party can also claim the right to the deletion of data, to the limitation of their processing, to the portability of data, to the opposition to treatment and the right not to be subjected to decisions based solely on automated processing.

If personal data processing is based on interest party approval, he has the right to revoke that approval

The interest party regarding the exercise of his own rights and also regarding any detailed  information about the subjects or the categories of subjects to whom data are communicated or who are aware of them as responsible or authorized subjects, may contact the data protection reference person at BATHSYSTEM SPA  con sede in Via Cavour, 149 – 25011 Calcinato casella di posta elettronica: [email protected]

If he considers that his rights have been violated, he can protect himself by proposing a complaint before the Guarantor for the protection of personal data.

 

8. DATA CONSERVATION PERIOD

Personal data will be kept for the period necessary to achieve the purposes referred to in point 1 and, following the exhaustion of these purposes, until the limitation period of the rights arising from you and BATHSYSTEM SPA as a consequence of the legal and factual relations between the parties and connected directly or indirectly to those purposes (10 years).

 

9. THIRD PARTIES DATA PROCESSING

Customer is aware that, if he involves third parties (for example representatives, personnel and collaborators) in the execution of contracts agreed with BATHSYSTEM SPA, their personal data can be treated by BATHSYSTEM SPA as data Controller for the purposes referred to in point 1 and in particular the customers’ contacts and assignees. These treatments have the same purposes, methods and retention times of the data described in this statement; in relation to these treatments, in addition, the interested parties have the same rights identified in point 8.

The customer undertakes to correctly inform the interested parties involved about the aforementioned treatments, also by submitting them to this statement and by registering their signature for inspection.

 

 

INFORMATIVA AI CLIENTI PER IL TRATTAMENTO DEI DATI PERSONALI

 

Ai sensi del Decreto Legislativo n. 196/2003 e del Regolamento UE n. 679/2016 (GDPR) ed in relazione ai dati personali che La/Vi riguardano e che formeranno oggetto di trattamento, La/Vi informiamo di quanto segue.

 1. FINALITA’ DEL TRATTAMENTO DEI DATI

BATHSYSTEM SPA nella sua qualità di titolare del trattamento, tratterà i dati del cliente per le seguenti finalità:

a) valutazioni in merito all’opportunità di concludere il contratto (capacità economica del cliente e potenziali risvolti reputazionali del rapporto, adempimenti anti corruzione e riciclaggio);

b) conclusione, gestione ed esecuzione dei contratti stipulati con il cliente;

c) adempimenti di legge connessi a norme civilistiche, fiscali, contabili; adempimenti degli obblighi derivanti da stipulati contratti; assistenza e supporto tecnico in merito ai prodotti e servizi da Voi acquistati anche post vendita e post periodo eventuale di garanzia se espressamente prevista; gestione amministrativa dei rapporti.

 

2. BASI GIURIDICHE DEL TRATTAMENTO DEI DATI

I dati personali del cliente saranno trattati in forza del consenso espresso mediante la sottoscrizione della presente informativa.

Le/Vi comunichiamo che, anche in caso di mancato conferimento del consenso o di revoca dello stesso, i Suoi/Vostri dati personali potranno comunque essere trattati nelle seguenti ipotesi e in forza delle seguenti basi giuridiche:

a) qualora il trattamento sia necessario all’esecuzione di un contratto di cui Lei/Voi siete parte, o all’esecuzione di misure precontrattuali adottate su Sua/Vostra richiesta;

b) qualora il trattamento sia necessario per adempiere un obbligo legale al quale è soggetta BATHSYSTEM SPA

c) qualora il trattamento sia necessario per la salvaguardia degli interessi di una persona fisica;

d) qualora il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui sia investita BATHSYSTEM SPA

e) qualora il trattamento sia necessario per il perseguimento di un legittimo interesse di BATHSYSTEM SPA in particolare possono costituire legittimi interessi:

a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato richiedenti la protezione dei dati personali.

 

3. CONFERIMENTO DEI DATI

Ferma l’autonomia dell’interessato, il conferimento dei dati personali direttamente acquisiti può essere:

a) obbligatorio in base a legge, regolamento o normativa comunitaria ovvero in base a disposizioni impartite da Autorità a ciò legittimate dalla legge o da Organi di vigilanza e controllo;

b) strettamente necessario alla conclusione di nuovi rapporti tra il cliente e BATHSYSTEM SPA. o alla gestione ed esecuzione dei rapporti già in essere.

L’eventuale opposizione al trattamento dei dati e/o il rifiuto da parte dell’interessato di conferire i dati personali può comportare l’impossibilità o il rifiuto, in tutto o in parte, di stipulare nuovi contratti con esso o di dare esecuzione a quelli già in essere, di adempiere a obblighi previsti da leggi, regolamenti o normative comunitarie, ovvero da disposizioni impartite da Autorità a ciò legittimate dalla legge e da Organi di vigilanza e controllo.

 

 4. DATI RACCOLTI PRESSO TERZI

La/Vi informiamo che i dati personali oggetto del trattamento, in particolare in relazione alle finalità di cui al punto 1, lett. a), potranno essere acquisiti non dall’interessato stesso ma da soggetti terzi, mediante l’accesso a banche dati pubbliche o mediante il ricorso a servizi ispettivi dedicati.

 

5. MODALITA’ DEL TRATTAMENTO DEI DATI

Il trattamento dei dati personali potrà essere effettuato con l’ausilio di mezzi sia analogici sia elettronici o comunque automatizzati, con modalità e procedure strettamente necessarie al perseguimento delle finalità sopra descritte.

BATHSYSTEM SPA. svolge il trattamento direttamente tramite soggetti appartenenti alla propria organizzazione o avvalendosi di soggetti esterni alla Società stessa. Tali soggetti tratteranno i dati:

a) conformemente alle istruzioni ricevute dal Titolare del trattamento, rispettivamente in qualità di autorizzati o di responsabili, ed esclusivamente per il conseguimento delle specifiche finalità indicate nella presente informativa.

b) in totale autonomia, in qualità di titolari autonomi.

 

6. COMUNICAZIONE E DIFFUSIONE DEI DATI

I dati personali, per le esclusive finalità di cui al punto 1, potranno essere comunicati a:

a) dipendenti o collaboratori di BATHSYSTEM SPA autorizzati dalla società stessa al trattamento dei dati;

b) istituti di credito, società di servizi per la registrazione, l’imbustamento, il trasporto e lo smistamento dei documenti, imprese appaltatrici di opere e lavori o fornitrici di servizi, notai, avvocati, periti, consulenti e società specializzate per il recupero dei crediti, società di revisione;

c) soggetti a cui la comunicazione è dovuta in adempimento ad eventuali accordi collettivi (es. associazioni sindacali) od a specifici obblighi normativi (es. Enti di Pubblica Sicurezza o altre Autorità pubbliche).

É esclusa qualsiasi operazione di diffusione dei dati.

 

7. DIRITTI DELL’INTERESSATO

La normativa sulla tutela dei dati (artt. 7-10 del D.Lgs. 196/2003 e artt. 12-22 del Regolamento UE 679/2016) garantisce il diritto di essere informati sui trattamenti dei dati, e il diritto di accedere in ogni momento ai dati stessi e di richiederne l’aggiornamento, l’integrazione e la rettifica.  Ove ricorrano le condizioni previste dalla normativa l’interessato può inoltre vantare il diritto alla cancellazione dei dati, alla limitazione del loro trattamento, alla portabilità dei dati, all’opposizione al trattamento, a non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato.

Qualora il trattamento dei dati personali sia fondato sul consenso dell’interessato questi ha diritto a revocare il consenso prestato.

Per l’esercizio dei Suoi diritti, nonché per informazioni più dettagliate circa i soggetti o le categorie di soggetti ai quali sono comunicati i dati o che ne vengono a conoscenza in qualità di responsabili o autorizzati, potrà rivolgersi al referente della protezione dei dati personali presso BATHSYSTEM SPA  con sede in Via Cavour, 149 – 25011 Calcinato casella di posta elettronica: [email protected]

Ove ritenga lesi i suoi diritti, può tutelarsi proponendo reclamo innanzi al Garante per la protezione dei dati personali.

 

8. PERIODO DI CONSERVAZIONE DEI DATI

I dati personali saranno conservati per il periodo necessario a realizzare le finalità di cui al punto 1 nonché, in seguito all’esaurimento di tali finalità, sino al termine di prescrizione dei diritti insorti in capo a Voi e a BATHSYSTEM SPA. in conseguenza dei rapporti giuridici e di fatto intercorsi tra le parti e connessi direttamente o indirettamente alle finalità stesse (10 anni).

 

9. TRATTAMENTI DEI DATI DI TERZI

Il cliente è informato che, qualora coinvolga soggetti terzi (ad esempio rappresentanti, dipendenti collaboratori) nell’esecuzione di contratti stipulati con BATHSYSTEM SPA, i dati personali di questi ultimi potranno essere trattati da BATHSYSTEM SPA., sempre in qualità di titolare del trattamento, per le finalità di cui al punto 1 ed in particolare per la gestione dei contatti con i referenti e gli incaricati del cliente.

Tali trattamenti hanno le medesime finalità, modalità e tempi di conservazione dei dati descritti nella presente informativa; in relazione a tali trattamenti, inoltre, i soggetti interessati vantano i medesimi diritti individuati al punto 8.

Il cliente si impegna a informare correttamente i soggetti interessati da esso coinvolti in merito ai suddetti trattamenti, anche mediante la consegna agli stessi della presente informativa e mediante la registrazione della loro firma per presa visione.