Whistleblowing

PlayPlay
Angle Bottom

PROCEDURA WHISTLEBLOWING

 

1. SCOPO E CONTESTO NORMATIVO DI RIFERIMENTO

Il sistema whistleblowing di SEC Newgate S.p.A. (di seguito, la “Società” oppure “SEC Newgate”) risponde alla necessità di conformarsi alle previsioni del D.lgs. n. 24 del 10 marzo 2023 recante “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali” (di seguito, il “Decreto Whistleblowing”).

A tal fine, la Società ha predisposto la presente procedura (di seguito, “Procedura”) al fine di:

  1. definire gli obblighi della Società in termini di non discriminazione dei segnalanti e tutela della riservatezza degli stessi;
  2. individuare le tutele dei Segnalanti;
  3. definire i canali di segnalazione interna secondo quanto previsto dal Decreto Whistleblowing;
  4. contrastare atti di ritorsione o discriminatori nei confronti del Segnalante per motivi legati alla Segnalazione;
  5. prevedere nel sistema disciplinare sanzioni nei confronti di chi viola le misure di tutela del Segnalante nonché di chi effettua con dolo o colpa grave Segnalazioni che si rivelino infondate.
2. DEFINIZIONI
ANAC Autorità Nazionale Anticorruzione
Codice Privacy D.lgs. 30 giugno 2003, 196 (“Codice in materia di protezione dei dati personali“) che prevede la tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali
Decreto 231 D.lgs. 8 giugno 2001, n. 231 e successive modifiche ed integrazioni
GDPR Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
Modello 231 Modello di organizzazione e di gestione, previsto dal Decreto 231, adottato dalla Società
Data Protection Officer o DPO DPO della Società titolare del processo di gestione delle Segnalazioni disciplinato dalla Procedura
Segnalante Coloro che hanno la facoltà di effettuare una Segnalazione Whistleblowing ai sensi del Decreto Whistleblowing e, in generale, della presente Procedura, tra i quali, dipendenti, collaboratori, azionisti, persone che esercitano (anche in via di mero fatto) funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza della Società e altri soggetti terzi che interagiscano con la Società (compresi i fornitori, consulenti, ecc.) nonché stagisti o tirocinanti, candidati a rapporti di lavoro ed ex dipendenti
Segnalazione Whistleblowing o Segnalazione Segnalazione presentata da un Segnalante ai sensi del Decreto Whistleblowing nonché dei principi e delle regole di cui alla presente Procedura
Soggetto Coinvolto Persona fisica o giuridica menzionata nella Segnalazione come persona alla quale la Violazione è attribuita o come persona comunque implicata nella Violazione segnalata
Facilitatore Persona fisica che assiste il Segnalante nel processo di effettuazione della Segnalazione, operante all’interno del medesimo contesto lavorativo e la cui assistenza deve essere mantenuta riservata (si tratta di soggetti che avendo un legame qualificato con il Segnalante potrebbero subire ritorsioni in ragione di detta connessione).
3. CHI PUÒ SEGNALARE

Sono legittimate a segnalare le persone che operano nel contesto lavorativo della Società, in qualità di:

  • lavoratori subordinati;
  • lavoratori autonomi che svolgono la propria attività lavorativa presso la Società;
  • lavoratori o collaboratori che svolgono la propria attività lavorativa presso soggetti del settore privato che forniscono beni o servizi o che realizzano opere in favore della Società;
  • liberi professionisti e consulenti che prestano la propria attività presso la Società;
  • volontari e tirocinanti – retribuiti e non retribuiti – che prestano la propria attività presso la Società;
  • azionisti (persone fisiche);
  • persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza, anche qualora tali funzioni siano esercitate in via di mero fatto, presso la Società.

Per tali soggetti, la tutela si applica:

  • quando il rapporto giuridico è in corso;
  • durante il periodo di prova;
  • quando il rapporto giuridico non è ancora iniziato, se le informazioni sulle violazioni sono state acquisite durante il processo di selezione o in altre fasi precontrattuali;
  • successivamente allo scioglimento del rapporto giuridico, se le informazioni sulle violazioni sono state acquisite prima dello scioglimento del rapporto stesso.
4. COSA SI PUÒ SEGNALARE

Possono essere oggetto di Segnalazione comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità della Società e che consistono in violazioni del Modello 231 adottato dalla Società, delle prescrizioni contenute nel Codice Etico nonché nei reati presupposto per l’applicazione del Decreto 231.

La Segnalazione può avere ad oggetto anche:

  • le informazioni relative alle condotte volte ad occultare le violazioni sopra indicate;
  • le attività illecite non ancora compiute ma che il Segnalante ritiene – ragionevolmente – possano verificarsi in presenza di elementi concreti, precisi e concordanti;
  • i fondati sospetti di commissione delle violazioni sopra indicate.
5. COSA NON SI PUÒ SEGNALARE

Il Decreto Whistleblowing esclude espressamente che possano essere oggetto di Segnalazione:

  • contestazioni, rivendicazioni o richieste legate ad un interesse di carattere personale del Segnalante che attengono esclusivamente ai propri rapporti individuali di lavoro, ovvero inerenti ai propri rapporti di lavoro con le figure gerarchicamente superiori (ad es. segnalazioni riguardanti vertenze di lavoro, discriminazioni tra colleghi, conflitti interpersonali tra Segnalante e un altro lavoratore);
  • violazioni già disciplinate in via obbligatoria nelle direttive e nei regolamenti dell’Unione europea e nelle disposizioni attuative dell’ordinamento italiano che già garantiscono apposite procedure di segnalazione (aventi ad oggetto – a titolo esemplificativo e non esaustivo – un abuso di informazioni privilegiate, una manipolazione o un tentativo di manipolazione del mercato, ovvero operazioni sospette di riciclaggio);
  • violazioni in materia di sicurezza nazionale, nonché di appalti relativi ad aspetti di difesa o di sicurezza nazionale (aventi ad oggetto – a titolo esemplificativo e non esaustivo – la sicurezza delle infrastrutture e degli apparati destinati a tutelare l’integrità del territorio dello Stato), a meno che tali aspetti rientrino nel diritto derivato pertinente dell’Unione europea.

Non sono ricomprese tra le informazioni sulle violazioni segnalabili le notizie palesemente prive di fondamento, le informazioni che sono già totalmente di dominio pubblico, nonché le informazioni acquisite solo sulla base di indiscrezioni o meri sospetti scarsamente attendibili (c.d. voci di corridoio).

Non sono altresì ricomprese tra le violazioni segnalabili le irregolarità nella gestione o organizzazione dell’attività degli uffici.

6. GLI ELEMENTI E LE CARATTERISTICHE DELLE SEGNALAZIONI

Le informazioni sulle violazioni devono riguardare comportamenti, atti od omissioni che il Segnalante ha appreso nel contesto lavorativo. Le Segnalazioni saranno accessibili e gestite esclusivamente dal DPO della Società.

È necessario che la Segnalazione sia il più possibile circostanziata al fine di consentire la valutazione dei fatti da parte del DPO.

In particolare, è importante che risultino chiare:

  • le circostanze di tempo e di luogo in cui si è verificato il fatto oggetto della Segnalazione;
  • la descrizione del fatto;
  • le generalità o altri elementi che consentano di identificare il soggetto cui attribuire i fatti segnalati.

È utile anche allegare documenti che possano fornire elementi di fondatezza dei fatti oggetto di Segnalazione, nonché l’indicazione di altri soggetti potenzialmente a conoscenza dei fatti.

7. PROCEDURA DI SEGNALAZIONE

Il Decreto Whistleblowing prevede diversi canali di presentazione delle Segnalazioni e, in particolare:

  • canali interni alla Società;
  • canale esterno attivato presso ANAC.

La Società mette a disposizione i seguenti canali interni di segnalazione:

  1. Consegna a mano o posta ordinaria in plico chiuso indirizzato al DPO c/o: SEC Newgate S.p.A., Via Ferrante Aporti 6/8, 20125 Milano. La Segnalazione – conformemente alle indicazioni di ANAC – deve essere inserita all’interno di una busta chiusa, a sua volta all’interno di un plico chiuso riportante l’indicazione “RISERVATO – SEGNALAZIONE”. All’interno di tale plico potrà essere inserita, oltre alla segnalazione, un’altra busta chiusa contenente la copia di un documento di riconoscimento con in calce la firma del segnalante, per consentire al DPO di fornire gli opportuni riscontri al segnalante.
  2. Contatto telefonico al numero +39 348 7548949, con segreteria automatica che permette la registrazione di un messaggio vocale, nel corso del quale il Segnalante è invitato a lasciare la Segnalazione oltre ad un proprio recapito sempre per consentire al DPO di fornire gli opportuni riscontri.

Quando il Segnalante effettua una chiamata al numero +39 348 7548949 si attiva un messaggio registrato con una breve informativa sul trattamento dei dati, dopodiché il sistema telefonico attiva la registrazione della telefonata.

Al DPO può altresì essere richiesto un appuntamento telefonico; in tale ipotesi verrà fissato un colloquio – entro un termine ragionevole – al fine di raccogliere la Segnalazione mediante verbalizzazione dei contenuti. Nel corso del colloquio potrà essere richiesto al Segnalante di chiarire o di fornire ulteriori informazioni.

Laddove il DPO versi in un’ipotesi di conflitto di interessi rispetto ad una specifica Segnalazione (in quanto, ad esempio, soggetto segnalato o Segnalante) ricorre una delle condizioni per effettuare una segnalazione esterna ad ANAC, non potendo essere assicurato che alla Segnalazione sia dato efficace seguito.

7.1. Segnalazioni scritte
Tutti i dati, compresi gli eventuali dati identificativi del Segnalante, sono trattati con la necessaria riservatezza dal DPO, esclusivamente nell’esercizio delle proprie funzioni di legge. L’inserimento dei dati personali, quali nome, cognome, numero di telefono ed e-mail, non è obbligatorio e può avvenire anche in fase successiva su iniziativa del Segnalante.

7.2. Segnalazioni orali
Come sopra riportato, le Segnalazioni possono essere effettuate anche in forma orale su richiesta del Segnalante mediante un incontro richiesto al DPO e da quest’ultimo fissato entro un termine ragionevole. In tal caso saranno concordati i tempi, i luoghi e le modalità di svolgimento dell’incontro (in presenza o tramite video-collegamento). Al termine dell’incontro sarà sottoscritto il verbale della Segnalazione, custodito dal DPO in modalità riservata e con l’applicazione di idonee misure di sicurezza.

7.3. Ruolo del DPO nella gestione delle Segnalazioni interne
Il DPO gestisce il canale di segnalazione, garantendo la riservatezza dell’identità del Segnalante, del Facilitatore, del Soggetto Coinvolto, nonché del contenuto della Segnalazione e della relativa documentazione.

Le Segnalazioni interne e la relativa documentazione sono conservate per il tempo necessario al trattamento della Segnalazione e, comunque, non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.

Ricevuta la Segnalazione il DPO assegna alla stessa uno specifico ID alfanumerico – per preservare la riservatezza del Segnalante nel caso in cui si rendesse necessario condividere la segnalazione con altre funzioni interne alla Società nell’ambito dell’istruttoria – e procede a protocollare all’interno di un proprio registro cartaceo gli estremi della segnalazione, in particolare:

  • giorno e ora;
  • ID alfanumerico;
  • oggetto della segnalazione;
  • eventuali note;
  • stato della Segnalazione (da compilare ad ogni fase del processo; ad esempio: istruttoria preliminare, istruttoria e comunicazione delle risultanze emerse, archiviazione).

Eventuali segnalazioni consegnate a soggetti diversi dal DPO devono essere immediatamente consegnate a quest’ultimo.

Svolgimento dell’istruttoria

Il DPO procede, nel rispetto di tempistiche ragionevoli e della riservatezza dei dati, ad una valutazione circa la sussistenza dei requisiti essenziali della Segnalazione per valutarne l’ammissibilità e poter quindi accordare al Segnalante le tutele previste, rilasciando allo stesso un avviso di ricevimento della Segnalazione entro sette giorni dalla data di ricezione.

Il DPO:

  • laddove rilevi fin da subito che la Segnalazione sia palesemente infondata, procede alla sua archiviazione immediata;
  • laddove la Segnalazione non sia adeguatamente circostanziata richiede, laddove possibile, ulteriori informazioni al Segnalante. Il DPO concede al Segnalante un termine di 15 giorni per l’integrazione documentale e, in caso di mancata risposta, dispone l’archiviazione della Segnalazione con adeguata motivazione. Nel caso in cui non sia possibile raccogliere informazioni sufficienti a circostanziare la Segnalazione e avviare l’indagine, questa viene archiviata;
  • nel caso in cui la Segnalazione appaia circostanziata con elementi di fatto precisi e concordanti, procede con le ulteriori fasi dell’istruttoria.

Nel corso dell’istruttoria, il DPO verifica il contenuto della Segnalazione e acquisisce tutti gli elementi utili alla successiva fase di valutazione, garantendo la riservatezza dei dati. È compito di tutti cooperare con il DPO, il quale valuta la veridicità delle informazioni sottoposte ad indagine, anche attraverso procedure di audit.

Per ogni Segnalazione, il DPO prepara un report finale contenente almeno:

  • i fatti accertati;
  • le evidenze raccolte;
  • le cause e le carenze che hanno permesso il verificarsi della situazione segnalata.

All’esito dell’istruttoria, qualora il DPO riscontri l’infondatezza della Segnalazione ricevuta, la stessa procede all’archiviazione della Segnalazione con adeguata motivazione e ne dà comunicazione al Segnalante.

Ove necessario per lo svolgimento dell’attività istruttoria, il DPO può acquisire atti e documenti dagli altri uffici della Società nonché coinvolgere terze persone tramite audizioni o altre richieste avendo sempre cura che non sia compromessa la tutela della riservatezza del Segnalante e del segnalato. Nel caso in cui risulti fondata, la Segnalazione, debitamente anonimizzata per garantire la riservatezza dell’identità del Segnalante, viene trasmessa alle funzioni competenti le quali decideranno se instaurare un procedimento disciplinare o svolgere ulteriori approfondimenti o, infine, investire l’Autorità giudiziaria.

Al fine di garantire la tracciabilità, la riservatezza, la conservazione e la reperibilità delle informazioni durante l’intera attività istruttoria, i documenti attinenti la Segnalazione sono conservati e archiviati a cura il DPO, adottando le più opportune misure a garanzia della riservatezza.

Esito istruttoria

All’esito dell’istruttoria, il DPO fornisce un riscontro al Segnalante che può consistere nella comunicazione dell’archiviazione, nell’avvio di un’inchiesta interna ed eventualmente nelle relative risultanze, nei provvedimenti adottati per affrontare la questione sollevata, nel rinvio ad altro soggetto competente per ulteriori indagini. Il medesimo riscontro può anche essere meramente interlocutorio, giacché possono essere comunicate al Segnalante le informazioni relative a tutte le attività sopra descritte che si intende intraprendere e lo stato di avanzamento dell’istruttoria. In tale ultimo caso, terminata l’istruttoria, gli esiti dovranno comunque essere comunicati al Segnalante.

Tale comunicazione viene inviata entro tre mesi dalla data dell’avviso di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della Segnalazione, nonché – in caso di richiesta di integrazioni – entro tre mesi dal ricevimento delle integrazioni medesime.

8. LE MISURE DI PROTEZIONE

Il Decreto Whistleblowing e, di conseguenza, la Società prevedono le seguenti misure di protezione:

  1. tutela della riservatezza. Fermo il rispetto dei principi in materia di protezione dei dati personali, vige il divieto di rivelare l’identità del Segnalante, senza il consenso espresso dello stesso, a persone diverse dal DPO, durante tutte le fasi del procedimento di segnalazione, ivi compreso l’eventuale trasferimento delle Segnalazioni ad altri soggetti. Il divieto si riferisce non solo al nominativo del Segnalante ma anche a qualsiasi altra informazione o elemento della Segnalazione, ivi inclusa la documentazione ad essa allegata, dai quali si possa ricavare, anche indirettamente, l’identificazione del Segnalante. L’identità del Segnalante è tutelata anche nel procedimento penale, contabile e disciplinare entro i termini indicati nel Decreto Whistleblowing. È tutelata anche l’identità del Facilitatore, del Soggetto Coinvolto e della/e persona/e menzionata/e nella Segnalazione fino alla conclusione dei procedimenti avviati in ragione della Segnalazione nel rispetto delle medesime garanzie previste in favore del Segnalante. La riservatezza viene garantita anche nel caso di Segnalazioni – interne o esterne – effettuate in forma orale ovvero, su richiesta del Segnalante, mediante un incontro diretto con il DPO. La Società, inoltre, tutela la riservatezza del Segnalante anche quando la Segnalazione viene effettuata attraverso modalità diverse da quelle istituite con la Procedura o perviene a personale diverso dal DPO, al quale, comunque, le stesse vanno trasmesse senza ritardo.

Nell’ambito del procedimento disciplinare, l’identità della Segnalante non può essere rivelata, ove la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla Segnalazione, anche se conseguenti alla stessa.

Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della Segnalante alla rivelazione della propria identità.

È dato avviso al Segnalante mediante comunicazione scritta delle ragioni della rivelazione dei dati riservati, nella ipotesi di cui al precedente paragrafo, nonché nelle procedure di segnalazione interna ed esterna di cui alla presente Procedura quando la rivelazione della identità del Segnalante e delle informazioni di cui all’art. 12, comma 2 del Decreto Whistleblowing è indispensabile anche ai fini della difesa del Soggetto Coinvolto.

Infine, la Società per rivelare l’identità del Segnalante, oltre al previo consenso espresso dello stesso, invierà al medesimo anche una comunicazione scritta delle ragioni di tale rivelazione:

  • nel procedimento disciplinare laddove la rivelazione dell’identità del Segnalante sia indispensabile per la difesa del soggetto a cui viene contestato l’addebito disciplinare;
  • nei procedimenti instaurati in seguito a Segnalazioni interne o esterne laddove tale rivelazione sia indispensabile anche ai fini della difesa del Soggetto Coinvolto.
  • Protezione dalle ritorsioni. È vietata ogni forma di ritorsione dove per ritorsione si intende: «qualsiasi comportamento, atto od omissione, anche solo tentato o minacciato, posto in essere in ragione della segnalazione, della denuncia all’autorità giudiziaria o contabile o della divulgazione pubblica e che provoca o può provocare alla persona segnalante o alla persona che ha sporto la denuncia, in via diretta o indiretta, un danno ingiusto».

Pertanto, il Segnalante non potrà essere sanzionato, licenziato o sottoposto a qualsivoglia misura discriminatoria, diretta o indiretta, avente effetti sulle condizioni di lavoro per motivi collegati direttamente o indirettamente alla Segnalazione. La gestione delle comunicazioni di ritorsioni compete all’ANAC che può avvalersi della collaborazione dell’Ispettorato della funzione pubblica e dell’Ispettorato Nazionale del lavoro.

  1. Le limitazioni di responsabilità. Non è punibile la persona che rileva o diffonde informazioni coperte dall’obbligo di segreto in particolare rispetto a:
  • rivelazione e utilizzazione del segreto d’ufficio;
  • rivelazione del segreto professionale;
  • rivelazione dei segreti scientifici e industriali;
  • violazione del dovere di lealtà e fedeltà;
  • violazioni delle disposizioni relative alla tutela del diritto d’autore o alla protezione dei dati personali;
  • rivelazione o diffusione di informazioni che offendono la reputazione del Soggetto Coinvolto.

Quando ricorrono le ipotesi di cui sopra, è esclusa altresì ogni responsabilità anche di natura civile o amministrativa. Allo stesso tempo, è esclusa la responsabilità in caso di accesso lecito alle informazioni segnalate o ai documenti contenenti dette informazioni.

Le limitazioni di responsabilità operano solo nei casi in cui ricorrono due condizioni:

  1. che al momento della rivelazione vi siano fondati motivi per ritenere che le informazioni siano necessarie per far scoprire la violazione. La persona, quindi, deve ragionevolmente ritenere, e non in base a semplici illazioni, che quelle informazioni debbano svelarsi perché indispensabili per far emergere la violazione, ad esclusione di quelle superflue, e non per ulteriori e diverse ragioni;
  2. che la Segnalazione sia stata effettuata nel rispetto delle condizioni previste dal Decreto Whistleblowing per beneficiare della tutela dalle ritorsioni.

Entrambe le condizioni devono sussistere per escludere la responsabilità.

  1. Le misure di sostegno. Tali misure consistono in informazioni, assistenza e consulenze a titolo gratuito sulle modalità di segnalazione e sulla protezione dalle ritorsioni offerta dalle disposizioni normative nazionali e da quelle dell’Unione europea, sui diritti del Soggetto Coinvolto, nonché sulle modalità e condizioni di accesso al patrocinio a spese dello Stato.

L’ANAC gestisce l’elenco degli Enti del Terzo settore che forniscono al Segnalante misure di sostegno. Non è possibile la rinuncia o la transazione dei diritti e dei mezzi di tutela previsti dal Decreto Whistleblowing, salvo che siano effettuate nelle sedi protette di cui all’art. 2113, comma 4, del c.c. (giudiziarie, amministrative sindacali).

Fermo quanto precede, non sarà possibile applicare le misure di protezione descritte nel caso sia impossibile individuare chi debba esserne destinatario ovvero nel caso in cui il Segnalante decida di restare anonimo. Laddove, invece, il Segnalante sveli successivamente la propria identità, la Società applicherà a favore dello stesso le misure di protezione ivi descritte.

9. A CHI SI APPLICANO LE MISURE DI PROTEZIONE E IL DIVIETO DI RITORSIONE

Oltre al Segnalante, la Società tutela anche quei soggetti diversi da quest’ultimo che, tuttavia, potrebbero essere destinatari di ritorsioni, intraprese anche indirettamente, in ragione del ruolo assunto nell’ambito del processo di segnalazione e/o del particolare rapporto che li lega al Segnalante.

In particolare, le misure di protezione e il divieto di ritorsione descritte al precedente § 8 si estendono anche a:

  • il Soggetto Coinvolto;
  • le persone diverse dal segnalato ma comunque implicate in quanto menzionate nella Segnalazione (ad es. eventuali persone indicate come testimoni);
  • il Facilitatore;
  • le persone del medesimo contesto lavorativo del Segnalante e che sono legate ad essi da uno stabile legame affettivo o di parentela entro il quarto grado;
  • i colleghi di lavoro del Segnalante che lavorano nel medesimo contesto lavorativo dello stesso e che hanno con detta persona un rapporto abituale e corrente;
  • enti di proprietà – in via esclusiva o in compartecipazione maggioritaria di terzi – del Segnalante;
  • enti presso i quali il Segnalante lavora;
  • enti che operano nel medesimo contesto lavorativo del Segnalante.
10. PERDITA DELLE TUTELE

Le tutele descritte nel § 8 non sono garantite e al Segnalante è irrogata una sanzione disciplinare quando è accertata, anche con sentenza non definitiva di primo grado, la responsabilità penale del Segnalante per i reati di diffamazione o di calunnia (o comunque per i medesimi reati commessi con la denuncia all’autorità giudiziaria o contabile) ovvero la sua responsabilità civile, per lo stesso titolo, nei casi di dolo o colpa grave.

11. TRATTAMENTO DEI DATI PERSONALI E DIRITTI DELL’INTERESSATO

Al fine di garantire il diritto alla protezione dei dati personali alle persone segnalanti, l’acquisizione e la gestione delle Segnalazioni avvengono in conformità alla normativa in tema di tutela dei dati personali, in particolare al GDPR nonché al Codice Privacy.

Il Soggetto Coinvolto nella Segnalazione, con riferimento ai propri dati personali trattati nell’ambito della Segnalazione non potrà esercitare i diritti che il GDPR riconosce agli interessati in quanto dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità del Segnalante.

Una specifica informativa ex artt. 13 e 14 del GDPR è pubblicata sul sito internet sella Società nella sezione https://secnewgate.com/privacy/ .

12. CANALI DI SEGNALAZIONE ESTERNI

Il Segnalante può decidere di inviare una segnalazione esterna tramite il canale ANAC, qualora ricorra una delle seguenti condizioni:

  • non è previsto, attivo o conforme un canale di segnalazione interno aziendale;
  • il Segnalante ha già effettuato una Segnalazione interna e la stessa non ha avuto seguito, perché non è stata trattata entro un termine ragionevole oppure non è stata intrapresa un’azione per affrontare la violazione;
  • il Segnalante ha fondati motivi di ritenere ragionevolmente sulla base di circostanze concrete allegate ed informazioni effettivamente acquisibili che, se effettuasse una Segnalazione interna, alla stessa non sarebbe dato efficace seguito ovvero che la stessa Segnalazione possa determinare il rischio di ritorsione;
  • il Segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.
13. PUBBLICAZIONE DELLA PROCEDURA

La Procedura è disponibile al seguente link: secnewgate.com/whistleblowing/

WHISTLEBLOWING
INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
(ai sensi degli artt. 13 e 14 del Regolamento UE n. 679/2016)

Titolare del trattamento e contatti
I dati saranno trattati da SEC Newgate S.p.A. (di seguito “SEC Newgate” o anche il “Titolare”) in qualità di Titolare del trattamento. La sede legale di SEC Newgate è sita in Via Ferrante Aporti n. 8 – 20125, Milano. Per qualsiasi informazione, approfondimento, domanda o suggerimento relativamente a questa informativa o sull’utilizzo dei dati personali è possibile contattare SEC Newgate tramite i vari canali indicati sul sito www.secnewgate.com/contacts/.

Contatti del Data Protection Officer
È, altresì, possibile contattare direttamente il nostro Data Protection Officer inviando una e-mail all’indirizzo dpo@secnewgate.com.

Informazioni raccolte
Il Titolare può acquisire alcuni dati personali come quelli relativi alla persona oggetto della segnalazione e ad eventuali altri soggetti indicati. Qualora la segnalazione non sia in forma anonima vengono acquisiti anche i dati del segnalante nonché gli eventuali ulteriori dati dallo stesso forniti. A tali dati personali si aggiungono, altresì, quelli che possono essere o entrare nella disponibilità del Titolare, anche a seguito delle attività volte alla verifica della fondatezza della segnalazione stessa, sempre nel rispetto delle leggi applicabili. La ricezione e la gestione delle segnalazioni può dar luogo, a seconda del contenuto delle segnalazioni e degli atti e documenti a queste allegati, a trattamenti di dati personali rientranti nelle categorie c.d. particolari (ad es. dati relativi a condizioni di salute, orientamento sessuale o appartenenza sindacale, di cui all’art. 9 GDPR) e di dati personali relativi a condanne penali e reati (di cui all’art. 10 GDPR). Fermo quanto precede, i dati personali che non sono manifestamente utili al trattamento di una specifica segnalazione non vengono raccolti, o se raccolti accidentalmente, vengono cancellati immediatamente.

Finalità del trattamento e base giuridica
I dati raccolti vengono trattati per la corretta gestione della segnalazione e per le eventuali indagini che ne dovessero derivare secondo le previsioni del D.lgs. n. 24/2023. La base giuridica che giustifica il trattamento dei dati è rappresentata dalla necessità di adempiere agli obblighi legali previsti dalle richiamate normative cui è soggetta SEC Newgate (art. 6, par. 1, lett. c, del GDPR). In taluni casi SEC Newgate potrà trattare i dati personali in forza del perseguimento del proprio legittimo interesse, ad es. per tutelare in sede giudiziaria i propri diritti, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato (art. 6, par. 1, lett. f, del GDPR).

Modalità di trattamento
Il trattamento dei dati avviene mediante supporto cartaceo, nel rispetto delle misure di sicurezza adottate dal Titolare, in conformità alle disposizioni contenute nell’art. 32 del GDPR. Il Titolare non utilizza processi decisionali automatizzati per trattare i dati né procede alla profilazione degli interessati. I dati saranno trattati esclusivamente dal soggetto a cui Sec Newgate ha affidato la gestione del canale di segnalazione ai sensi dell’art. 4, comma 2, del D.lgs. 24/2023.

Destinatari a cui vengono comunicati i dati e trasferimento
Per il trattamento dei dati contenuti nelle segnalazioni, il Titolare può avvalersi di soggetti terzi debitamente nominati Responsabili del trattamento dei dati ai sensi dell’art. 28 del GDPR, quali, ad esempio, eventuali consulenti esterni. I dati raccolti verranno trattati all’interno dello Spazio Economico Europeo (S.E.E.). L’eventuale trasferimento di dati personali al di fuori dello S.E.E. avverrà unicamente previa adozione delle adeguate garanzie così come previsto dal GDPR.

Natura del conferimento e conseguenze della mancata comunicazione
Il conferimento dei dati richiesti si rende necessario per consentire al Titolare di gestire correttamente la segnalazione. In caso di mancato conferimento dei dati non sarà possibile processare la segnalazione ricevuta. Resta ferma la possibilità di effettuare segnalazioni in forma anonima.

Tempo di conservazione dei dati
Nel rispetto dei principi di liceità, limitazione delle finalità e minimizzazione dei dati enucleati dall’art. 5 del GDPR, SEC Newgate tratterà i dati raccolti per il periodo di massimo 5 anni decorrenti dalla data della comunicazione dell’esito finale della procedura di segnalazione come previsto dall’art. 14 del D.lgs. n. 24/2023.

Diritti dell’interessato
L’interessato può esercitare una serie di diritti sui propri dati personali nei limiti previsti dagli artt. 15 e ss. del GDPR. In particolare, il GDPR attribuisce all’interessato il diritto di:

  • chiedere l’accesso ai dati personali, la rettifica di quelli che dovessero risultare inesatti nonché l’integrazione dei dati personali incompleti;
  • ottenere la cancellazione dei dati personali, salvo che il trattamento sia necessario per l’adempimento di un obbligo legale previsto dalla normativa nazionale o dell’Unione europea o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
  • nei casi previsti dall’art. 18 del GDPR, ottenere la limitazione del trattamento dei dati personali che lo riguardano;
  • qualora il trattamento sia effettuato con mezzi automatizzati e si basi sul consenso o sulla necessità di esecuzione di obblighi contrattuali, chiedere al titolare la portabilità dei dati, ossia ricevere in un formato strutturato e di uso comune i dati personali che lo riguardano, e ottenerne la trasmissione a un altro titolare del trattamento senza impedimenti;
  • qualora il trattamento sia basato sul consenso, revocare detto consenso in qualsiasi momento senza che ciò pregiudichi la liceità del trattamento basata sul consenso prestato prima della revoca;
  • proporre reclamo all’autorità di controllo competente (es. nello stato membro in cui l’interessato risiede abitualmente, lavora o del luogo dove c’è stata la presunta violazione).

Il Titolare, come prescritto dal GDPR, si impegna a fornire all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta di esercizio dei diritti senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa.

WHISTLEBLOWING PROCEDURE

1. SCOPE AND RELEVANT REGULATORY FRAMEWORK

The whistleblowing system of SEC Newgate S.p.A. (hereinafter, the “Company” or “SEC Newgate”) is designed to comply with the provisions of the Legislative Decree (D.lgsl) n.24 of March 10, 2023, concerning “The implementation of the Directive (EU) 2019/1937 of the European Parliament and of the Council of October 23, 2019, on the protection of persons who report breaches of Union law and containing provisions regarding the protection of persons who report breaches of provisions of national law” (hereinafter, the “Whistleblowing Decree”)

To this end, the Company has adopted this procedure (hereinafter, “Procedure”) in order to:

  1. define the Company’s obligation regarding non-discrimination and confidentiality protection for Whistleblowers;
  2. identify the protections for Whistleblowers;
  3. define the internal reporting channels in accordance with the Whistleblowing Decree;
  4. prevent retaliatory or discriminatory acts against Whistleblowers for reasons related to their Reports;
  5. include in the disciplinary system sanctions against those who violate Whistleblower protection measures, as well as those who, with intent or gross negligence, submit Reports that prove to
2. DEFINITION
ANAC National Anti-Corruption Authority
Privacy Code D.lgs. June 39, 2003, 196 (“Personal Data Protection Code“) which provides for the protection of individuals and other entities with regard to the processing of personal data
Decree 231 D.lgs. June 8, 2001, n. 231 and subsequent modifications and integrations
GDPR Regulation (EU) 2016/679 of the European Parliament and Council of April 27, 2016, related to the protection of individuals with regard to the processing of personal data, as well as free movement of such data and that abrogates the 95/46/CE Directive (general data protection)
Model 231 Organization and management model, required by the 231 Decree, adopted by the Company
Data Protection Officer or DPO DPO of the Company owner of the management process of the reports regulated by the Procedure
Whistleblower Those who are entitles to submit a Whistleblowing Report pursuant to the Whistleblowing Decree and, more generally, under this Procedure include employees, collaborators, shareholders, individuals who perform (even de facto) administrative, management, supervisory, control, or representative functions within the Company, as well as other third parties who interact with the Company (including suppliers, consultants, etc.), interns or trainees, job applicants, and former employees
Whistleblowing Report or Report Report submitted by a Whistleblower pursuant to the Whistleblowing Decree as well as the principles and rules set out in this Procedure
Involved Subject Natural or legal person mentioned in the Report as the individual to whom the Violation is attributed or as someone otherwise involved in the reported Violation
Facilitator Natural personal who assists the Whistleblower in the reporting process, operating within the same work environment, and whose assistance must be kept confidential (these are individuals who, due to their qualified connection with the Whistleblower, could be subject to retaliation as a result of that connection).
3. WHO CAN REPORT

Persons operating within the Company’s work environment are entitled to report, in the capacity of:

  • employees;
  • self-employed workers who carry out their professional activity at the Company;
  • employees or collaborators working for private sector entities that supply goods or services or carry our works on behalf of the Company;
  • freelancers and consultants providing services to the Company;
  • volunteers and interns – whether paid or unpaid – who carry out their activities at the Company;
  • shareholders (natural persons);
  • individuals holding administrative, management, supervisory, control, or representative functions, even if such functions are exercised de facto, within the Company.

For these individuals, protection applies

  • when the legal relationship is ongoing;
  • during the probationary period;
  • when the legal relationship has not yet begun, if the information on violations was acquired during the selection process or other pre-contractual stages;
  • after the termination of the legal relationship, if the information on violations was acquired before the termination itself.
4. WHAT CAN BE REPORTED

The following may be subject to a Report: behaviours, acts, or omissions that harm the public interest or the integrity of the Company and that constitute violations of the Organization, Management, and Control Model 231 adopted by the Company, the provisions of the Code of Ethics, as well as predicate offenses for the applications of the Legislative Decree 231.

The Report may also concern:

  • information related to conduct aimed at concealing the above-mentioned violations;
  • unlawful activities not yet committed but which the Whistleblower reasonably believes may occur based on concrete, precise, and consistent elements;
  • well-founded suspicions regarding the commission of the above-mentioned violations.
5. WHAT CAN’T BE REPORTED

The following are expressly excluded from the scope of the Whistleblowing Reports:

  • complaints, claims, or requests related to a personal interest of the Whistleblower, concerning exclusively their individual employment relationships or those with hierarchical superiors (e.g., reports regarding labour disputes, discrimination among colleagues, or interpersonal conflicts between the Whistleblower and another employee)
  • violations already governed by mandatory provisions in EU directives and regulations, and by implementing provisions of the Italian legal system that already provide for specific reporting procedures (including, but not limited to, insider trading, market manipulation or attempted manipulation, or suspicious money laundering operations);
  • violations concerning national security or contracts related to defence or national security aspects (e.g., the security of infrastructure and systems protecting the integrity of the State’s territory), unless such aspects fall within the scope of the relevant EU law.

Reports do not include clearly unfounded information, information already entirely in the public domain, or information acquired solely through rumours or unreliable suspicions (so-called “hallway gossip”).

Irregularities in the management or organization of office activities are also excluded from reportable violations.

6. ELEMENTS AND CHARACTERISTICS OF REPORTS

Information on violations must concern behaviours, acts, or omissions that the Whistleblower has become aware of in the work context. Reports will be accessible and managed exclusively by the Company’s DPO.

The Report must be as detailed as possible to allow the DPO to assess the facts. In particular, it is important that the following are clearly indicated:

  • the time and place in which the reported event occurred;
  • a description of the event;
  • the identity or other elements that allow the identification of the person to whom the reported facts are attributed.

It is also helpful to attach documents that support the credibility of the reported facts, as well as to indicate other individuals who may have knowledge of the events.

7. REPORTING PROCEDURE

The Whistleblowing Decree provides for several reporting channels, specifically:

  • internal channels within the Company;
  • an external channel managed by ANAC.

The Company provides the following internal reporting channel:

  1. By hand delivery or regular mail in a sealed envelope addressed to the DPO at: SEC Newgate S.p.A., Via Ferrante Aporti 6/8, 20125 Milan. The Report – according to ANAC guidelines – must be placed in a sealed envelope, itself enclosed in another sealed envelope marked “CONFIDENTIAL – REPORT”. A second sealed envelope may be included containing a copy of an identity document signed by the Whistleblower, to allow the DPO to provide appropriate feedback.
  2. Telephone contact at +39 348 7548949, with an automated voicemail system that allows the recording of a voice message. The Whistleblower is invited to leave the Report and a contact number so the DPO can provide feedback.

When the Whistleblower calls +39 348 7548949 a recorded message provides a brief privacy on the data processing, after which the system active the recording of the call.

A phone appointment with the DPO may also be requested. In this case, a meeting will be scheduled—within a reasonable time—to collect the Report through a verbal statement. During the meeting, the Whistleblower may be asked to clarify or provide additional information.

If the DPO has a conflict of interest in relation to a specific Report (e.g., being the subject of the Report or the Whistleblower), this constitutes grounds for submitting an external report to ANAC, as effective follow-up cannot be guaranteed.

7.1. Written reports
All data, including any identifying information of the Whistleblower, is processed with the necessary confidentiality by the DPO, exclusively in the exercise of their legal duty. The inclusion of personal data – such as name, surname, telephone number and e-mail, is not mandatory and may also be provided later at the Whistleblower’s discretion.

7.2. Oral reports
As mentioned above, the Reports can also be submitted orally upon the Whistleblower’s request through a meeting with the DPO and scheduled within a reasonable timeframe. The time, the place, and method of the meeting (in person or via video call) will be agreed upon. At the end of the meeting, a written record of the Report will be signed and securely stored by the DPO with appropriate security measures.

7.3. Role of the DPO in managing internal reports
The DPO manages the reporting channel, ensuring the confidentiality of the identity of the Whistleblower, the Facilitator, the Involved Person, as well as the content of the Report and related documentation.

Internal Reports and related documentation are retained for the time necessary to process the Report and, in any case, no longer than five years from the date of the final outcome communication.

Upon receiving a Report, the DPO assigns it a specific alphanumeric ID—to preserve the Whistleblower’s confidentiality in case the Report needs to be shared with other internal functions—and logs the details in a paper register, including:

  • date and time;
  • alphanumeric ID;
  • subject of the Report;
  • any notes;
  • status of the Report (to be updated at each stage of the process: e.g., preliminary review, investigation, outcome communication, archiving).

Any Reports received by individuals other than the DPO must be immediately forwarded to the DPO.

Investigation process

The DPO evaluates whether the Report meets the essential requirements to be considered admissible and to grant the Whistleblower the applicable protections. An acknowledgment of receipt is issued within seven days of receiving the Report.

The DPO:

  • immediately archives the Report if it is clearly unfounded;
  • requests additional information from the Whistleblower if the Report lacks sufficient detail. A 15-day deadline is given for integration, after which the Report is archived if no response is received;
  • proceeds with the investigation if the Report contains specific, consistent, and factual elements.

During the investigation, the DPO verifies the content of the Report and gathers all relevant information, ensuring data confidentiality. All parties are expected to cooperate. The DPO may use audit procedures to assess the truthfulness of the information.

A final report is prepared for each Report, including:

  • verified facts;
  • collected evidence;
  • causes and deficiencies that led to the reported situation.

At the conclusion of the investigation, if the DPO determines that the Report is unfounded, it will be archived with appropriate justification, and the Whistleblower will be informed accordingly.

If necessary for the conduct of the investigation, the DPO may obtain documents and records from other Company departments and may involve third parties through interviews or other requests, always ensuring that the confidentiality of both the Whistleblower and the reported person is not compromised.

If the Report is found to be substantiated, it will be properly anonymized to protect the identity of the Whistleblower and forwarded to the competent functions, which will decide whether to initiate disciplinary proceedings, conduct further inquiries, or refer the matter to the judicial authorities.

To ensure traceability, confidentiality, preservation, and accessibility of information throughout the investigation process, all documents related to the Report are stored and archived by the DPO using the most appropriate measures to safeguard confidentiality.

Outcome of the investigation

At the conclusion of the investigation, the DPO provides feedback to the Whistleblower, which may consist of a notice of archiving, the initiation of an internal inquiry and, where applicable, its findings, the measures adopted to address the reported issue, or the referral of the matter to another competent authority for further investigation.

This feedback may also be of a preliminary nature, informing the Whistleblower of the activities intended to be undertaken and the current status of the investigation. In such cases, once the investigation is completed, the final outcome must still be communicated to the Whistleblower.

This communication is sent within three months from the date of the acknowledgment of receipt or, in the absence of such acknowledgment, within three months from the expiry of the seven-day period following the submission of the Report. In the case of requests for additional information, the three-month period starts from the date of receipt of such additional information

8. PROTECTION MEASURES

The Whistleblowing Decree and, consequently, the Company provides the following protection measures:

  1. confidentiality protection. Without prejudice to the principles of personal data protection, the identity of the Whistleblower may not be disclosed—without their explicit consent—to anyone other than the DPO, at any stage of the reporting process, including any transfer of the Report to other parties. This prohibition applies not only to the Whistleblower’s name but also to any other information or element of the Report, including attached documentation, from which the Whistleblower’s identity could be directly or indirectly inferred. The Whistleblower’s identity is also protected in criminal, accounting, and disciplinary proceedings, within the limits set by the Whistleblowing Decree. The same confidentiality safeguards apply to the Facilitator, the Involved Person, and any other individuals mentioned in the Report, until the conclusion of proceedings initiated because of the Report. Confidentiality is also guaranteed for Reports—whether internal or external—submitted orally or, upon request of the Whistleblower, through a direct meeting with the DPO. The Company also ensures confidentiality when the Report is submitted through channels other than those established by the Procedure or is received by personnel other than the DPO, to whom such Reports must be promptly forwarded. In disciplinary proceedings, the identity of the Whistleblower may not be disclosed if the disciplinary charge is based on findings that are separate and additional to the Report, even if they result from it. If the charge is based, in whole or in part, on the Report and knowledge of the Whistleblower’s identity is essential for the defence of the accused, the Report may only be used in the disciplinary proceeding with the Whistleblower’s explicit consent to the disclosure of their identity. The Whistleblower will be notified in writing of the reasons for the disclosure of confidential data in the above case, as well as in internal and external reporting procedures under this Procedure, when disclosure of the Whistleblower’s identity and the information referred to in Article 12, paragraph 2 of the Whistleblowing Decree is also essential for the defence of the Involved Person. Finally, to disclose the Whistleblower’s identity, the Company must not only obtain the Whistleblower’s prior explicit consent but also send them a written notice explaining the reasons for such disclosure:
  • in disciplinary proceedings, where disclosure is essential for the defence of the person subject to the disciplinary charge;
  • in proceedings initiated following internal or external Reports, where such disclosure is also essential for the defence of the Involved Person.
  1. Protection from retaliation All forms of retaliation are strictly prohibited. Retaliation is defined as: “any behaviour, act, or omission—even if merely attempted or threatened—carried out as a result of the report, the complaint to judicial or accounting authorities, or public disclosure, and which causes or may cause the reporting person or the complainant, directly or indirectly, unjust harm.” As such, the Whistleblower may not be sanctioned, dismissed, or subjected to any discriminatory measure—whether direct or indirect—that affects their working conditions due to reasons directly or indirectly linked to the Report. The management of retaliation-related communications falls under the responsibility of ANAC (the Italian National Anti-Corruption Authority), which may rely on the collaboration of the Public Function Inspectorate and the National Labour Inspectorate.
  2. Limitations of liability. A person is not punishable for disclosing or disseminating information covered by confidentiality obligations, particularly with regard to:
  • disclosure and use of official secrets;
  • disclosure of professional secrets;
  • disclosure of scientific and industrial secrets;
  • breach of the duty of loyalty and fidelity;
  • violations of provisions concerning copyright protection or personal data protection;
  • disclosure or dissemination of information that may damage the reputation of the Involved Subject.

In such cases, no criminal, civil, or administrative liability shall apply. Likewise, there is no liability for lawful access to the reported information or to documents containing such information.

These limitations of liability apply only when both of the following conditions are met:

  1. at the time of disclosure, there are reasonable grounds to believe that the information is necessary to reveal a violation. The person must reasonably believe—based on more than mere speculation—that the information is essential to uncover the violation, excluding any superfluous details or disclosures made for other unrelated reasons;
  2. the Report has been submitted in accordance with the conditions set out in the Whistleblowing Decree to benefit from protection against retaliation.

Both conditions must be satisfied in order to exclude liability.

  1. Support measures. These measures consist of free information, assistance, and advice regarding the reporting process and the protection against retaliation provided by national and European Union legislation, the rights of the Involved Person, and the procedures and conditions for accessing legal aid at the State’s expense.

ANAC manages the list of Third Sector Entities that provide support measures to Whistleblowers.

Waiver or settlement of the rights and protections provided by the Whistleblowing Decree is not permitted, unless carried out in protected venues as defined by Article 2113, paragraph 4 of the Italian Civil Code (i.e., judicial, administrative, or trade union venues).

Without prejudice to the above, the protection measures described cannot be applied if it is impossible to identify the intended beneficiary or if the Whistleblower chooses to remain anonymous. However, if the Whistleblower later discloses their identity, the Company will apply the protection measures described herein in their favour.

9. BENEFICIARIES OF PROTECTION MEASURES AND THE PROHIBITION OF RETALIATION

In addition to the Whistleblower, the Company also protects other individuals who, although not the reporting party, may be subject to retaliation—direct or indirect—due to their role in the reporting process and/or their specific relationship with the Whistleblower.

In particular, the protection measures and the prohibition of retaliation described in § 8 also extend to:

  • the Subject Involved;
  • individuals other than the reported person but still implicated by being mentioned in the Report (e.g., persons identified as witnesses);
  • the Facilitator;
  • individuals within the same work environment as the Whistleblowers who have a close emotional or family relationship with them (up to the fourth degree);
  • the Whistleblower’s colleagues who work in the same environment and maintain a regular and ongoing relationship with them;
  • entities owned – either exclusively or jointly with third parties – by the Whistleblowers;
  • entities where the Whistleblowers works;
  • entities operating within the same work environment as the Whistleblower
  1. LOSS OF PROTECTION

The protections described in § 8 are not guaranteed, and the Whistleblower may be subject to disciplinary sanctions if their criminal liability is established—even by a non-final first-instance judgment—for the offenses of defamation or slander (including when such offenses are committed through a report to judicial or accounting authorities), or if their civil liability is established for the same conduct in cases of wilful misconduct or gross negligence.

11. PROCESSING OF PERSONAL DATA AND DATA SUBJECT RIGHTS

To ensure the right to personal data protection for Whistleblowers, the acquisition and management of Reports are carried out in compliance with data protection legislation, in particular the GDPR and the Italian Privacy Code.

The Involved Person mentioned in the Report, with regard to their personal data processed in the context of the Report, may not exercise the rights granted to data subjects under the GDPR, as the exercise of such rights could result in actual and concrete harm to the protection of the Whistleblower’s identity.

A specific privacy notice pursuant to Articles 13 and 14 of the GDPR is published on the Company’s website at the following section: https://secnewgate.com/privacy/.

12. EXTERNAL REPORTING CHANNELS

The Whistleblower may choose to submit an external report through the ANAC channel if one of the following conditions applies:

  • there is no internal company reporting channel in place, or it is not active or compliant;
  • the Whistleblower has already submitted an internal report and it has not been followed up, either because it was not addressed within a reasonable timeframe or no action was taken to address the violation;
  • the Whistleblower has reasonable grounds to believe-based on concrete circumstances and verifiable information-that an internal report would not be effectively followed up or that submitting such a report could expose them to a risk of retaliation;
  • the Whistleblower has reasonable grounds to believe that the violation may constitute an imminent or obvious danger to the public interest.
13. PUBLICATION OF THE PROCEDURE

The Procedure is available at the following link https://secnewgate.com/whistleblowing/.

WHISTLEBLOWING
PRIVACY NOTICE ON THE PROCESSING OF PERSONAL DATA
(pursuant to articles 13 and 14 of EU Regulation n. 679/2016)

Data controller and contact information
The data will be processed by SEC Newgate S.p.A. (hereinafter “SEC Newgate” or the “Controller”) as the Data Controller. SEC Newgate’s registered office is located at Via Ferrante Aporti 8 – 20125, Milan. For any information, clarification, question, or suggestion regarding this notice or the use of personal data, you may contact SEC Newgate through the channels listed on the website: https://www.secnewgate.com/contacts/.

Data Protection Officer contact
You may also contact our Data Protection Officer directly by sending an email to: dpo@secnewgate.com.

Information collected
The Controller may collect personal data related to the person who is the subject of the report, and any other individuals mentioned. If the report is not anonymous, the Whistleblower’s data and any additional information provided by them will also be collected. This may include personal data that becomes available to the Controller during the verification of the report’s validity, always in compliance with applicable laws. Depending on the content of the report and any attached documents, the processing may involve special categories of personal data (e.g., health status, sexual orientation, trade union membership under Article 9 GDPR) and data relating to criminal convictions and offenses (Article 10 GDPR). Personal data that is clearly not relevant to the handling of a specific report will not be collected or, if collected accidentally, will be immediately deleted.

Purpose and legal basis of processing
The data is processed for the proper management of the report and any resulting investigations, in accordance with Legislative Decree No. 24/2023. The legal basis for processing is the need to comply with legal obligations to which SEC Newgate is subject (Art. 6, par 1, lett. c of the GDPR). In some cases, SEC Newgate may process personal data based on its legitimate interest, such as defending its rights in legal proceedings, provided that such interests do not override the fundamental rights and freedoms of the data subject (Art. 6, par. 1, lett. f, of the GDPR).

Processing methods
Data is processed in paper format, in compliance with the security measures adopted by the Controller, in accordance with Article 32 of the GDPR. No automated decision-making or profiling is carried out. Data is processed exclusively by the person appointed by SEC Newgate to manage the reporting channel under Article 4(2) of Legislative Decree 24/2023.

Data recipients and transfers
The Controller may use third parties, duly appointed as Data Processors under Article 28 GDPR, such as external consultants, to process the data contained in reports. Data will be processed within the European Economic Area (EEA). Any transfer of personal data outside the EEA will only occur with appropriate safeguards as required by the GDPR.

Nature of data provision and consequences of non-provision
Providing the requested data is necessary to allow the Controller to properly manage the report. Failure to provide the data will prevent the report from being processed. Anonymous reporting remains possible.

Data retention period
In accordance with the principles of lawfulness, purpose limitation, and data minimization under Article 5 GDPR, SEC Newgate will retain the collected data for a maximum of 5 years from the date of the final outcome of the reporting procedure, as provided by Article 14 of Legislative Decree No. 24/2023.

Data subject rights
The data subject may exercise a range of rights over their personal data within the limits set by Articles 15 and following of the GDPR. In particular, the GDPR grants the right to:

  • request access to personal data, rectification of inaccurate data, and completion of incomplete data;
  • request the erasure of personal data, unless processing is necessary to comply with a legal obligation or for the establishment, exercise, or defence of legal claims;
  • request restriction of processing in the cases provided for under Article 18 GDPR;
  • where processing is based on consent or contractual necessity and carried out by automated means, request data portability;
  • withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal;
  • lodge a complaint with the competent supervisory authority (e.g., in the Member State of habitual residence, place of work, or where the alleged violation occurred).

As required by the GDPR, the Controller will provide information on the action taken in response to a request without undue delay and, in any case, within one month of receiving the request.