Whistleblowing Ultimo aggiornamento: 26 agosto 2025
Titolare del sito: Villa Traiano Holding Ltd – 20 Wenlock Road, London, England, N1 7GU. Per le attività operative in Italia, Villa Traiano Management S.r.l. opera quale contitolare o responsabile del trattamento (ai sensi degli artt. 26/28 GDPR) secondo gli accordi in essere.
1. Finalità e ambito di applicazione
La presente procedura disciplina il whistleblowing in conformità a Direttiva (UE) 2019/1937, D.Lgs. 24/2023, Regolamento (UE) 2016/679 (GDPR), UK GDPR e UK Public Interest Disclosure Act 1998 (PIDA). Si applica a dipendenti, candidati, ex dipendenti, collaboratori, consulenti, fornitori, subappaltatori, tirocinanti e a chiunque entri in contatto con la Società.
Nota soglie: ove la normativa preveda soglie dimensionali/settoriali per l’obbligatorietà dei canali, la Società applica comunque la presente procedura anche su base volontaria a tutela dell’integrità aziendale.
2. Chi può segnalare
Chiunque venga a conoscenza, nell’ambito del proprio rapporto con la Società, di condotte illecite o irregolarità può effettuare una segnalazione in buona fede e nell’interesse pubblico.
3. Oggetto delle segnalazioni
Rientrano, a titolo esemplificativo:
- Violazioni di norme UE/Italia/UK; reati societari/finanziari; corruzione, frode, riciclaggio;
- Violazioni in materia di salute e sicurezza, ambiente, tutela dei consumatori;
- Gravi violazioni di politiche interne, sicurezza informatica, uso improprio di asset;
- Violazioni in materia di protezione dei dati personali.
Restano escluse le rimostranze puramente personali (es. vertenze individuali HR) non aventi rilievo di interesse pubblico.
4. Canali di segnalazione
- Canale interno dedicato
Email: [email protected]
Modulo sicuro: (inserire link al form interno cifrato, se disponibile)Opzioni di sicurezza consigliate
È possibile richiedere l’invio cifrato (PGP/SMIME). Per supporto tecnico scrivere a [email protected].
- Segnalazione anonima
È possibile inviare la segnalazione senza indicare i propri dati. La Società tratta comunque le informazioni con riservatezza e adotta misure per impedire l’identificazione indiretta. - Segnalazione esterna
V. sezione Autorità esterne per Italia/UE/UK. - Divulgazione pubblica
Consentita nei soli casi previsti dalla Direttiva UE (es. mancato riscontro entro i termini, pericolo imminente per l’interesse pubblico, rischio di ritorsioni o scarsa probabilità di trattamento efficace).
5. Tutele e divieti di ritorsione
- Divieto assoluto di ritorsioni: licenziamento, sanzioni, demansionamento, trasferimento, molestie, ostracismo o altre misure pregiudizievoli.
- Riservatezza dell’identità del segnalante e di chiunque sia menzionato; accesso limitato al personale autorizzato.
- Assistenza: possibilità di rivolgersi a sindacati, legali, organismi indipendenti o autorità competenti.
6. Presa in carico, tempi e comitato
- Conferma di ricezione entro 7 giorni dalla segnalazione (canale interno).
- Riscontro/aggiornamento entro 3 mesi dalla conferma (prorogabili a 6 mesi in casi complessi).
- Gestione affidata a un Responsabile Whistleblowing e a un Comitato di Valutazione indipendente nominati dalla Società.
- Audit trail: tutte le attività sono registrate in modo tracciabile e conservate secondo legge.
7. Privacy, trattamento dati e conservazione
Titolare del trattamento: Villa Traiano Holding Ltd, 20 Wenlock Road, London, England, N1 7GU. Per le attività in Italia, Villa Traiano Management S.r.l. opera quale contitolare o responsabile ex art. 28 GDPR.
DPO: [email protected] — Contatti privacy: [email protected]
- Basi giuridiche: adempimento di obblighi legali (art. 6.1.c GDPR / UK GDPR), interesse pubblico (art. 6.1.e), legittimo interesse (art. 6.1.f) per prevenzione frodi e tutela integrità.
- Dati particolari (art. 9) e dati relativi a reati (art. 10) trattati solo se strettamente necessari e autorizzati da norme o obblighi di legge.
- Conservazione: massimo 5 anni dalla chiusura del caso, salvo obblighi legali diversi o contenziosi.
- Trasferimenti UE↔UK: basati su decisioni di adeguatezza e/o Standard Contractual Clauses quando necessario.
- Misure tecniche: cifratura a riposo e in transito, segregazione ruoli, RBAC, registri di accesso, valutazioni d’impatto se richieste (DPIA).
- Diritti degli interessati: accesso, rettifica, limitazione, opposizione, cancellazione nei limiti in cui l’esercizio non pregiudichi indagini o diritti di terzi.
8. Autorità esterne (segnalazione esterna)
Italia – ANAC (Autorità Nazionale Anticorruzione)
Portale dedicato: whistleblowing.anticorruzione.it
Data Protection – Garante Privacy (IT) / ICO (UK)
IT: www.garanteprivacy.it — UK: ico.org.uk
Regno Unito – enti «prescribed persons» (PIDA)
Esempi: FCA, HMRC, HSE. Elenco aggiornato sul sito del Governo UK.
9. Segnalazioni manifestamente infondate
Resta ferma la responsabilità disciplinare/civile/penale in caso di dolo o colpa grave per segnalazioni falsamente diffamatorie. La buona fede è sempre tutelata.
10. Specifiche per il Regno Unito (PIDA)
Per chi opera sotto giurisdizione UK, la tutela si applica in presenza di una qualifying disclosure di wrongdoing (es. reati, danni alla salute/sicurezza, ambiente, violazioni legali, occultamento di illeciti). I criteri di divulgazione e i canali possono differire; la Società applica un processo armonizzato, senza pregiudizio per le tutele previste dal PIDA.
11. Aggiornamenti
Questa pagina potrà essere aggiornata per riflettere modifiche normative o organizzative. Le versioni precedenti sono disponibili su richiesta.
Whistleblowing Policy Last updated: 26 August 2025
Site owner (controller): Villa Traiano Holding Ltd – 20 Wenlock Road, London, England, N1 7GU. For Italian operations, Villa Traiano Management S.r.l. acts as joint controller or processor (per applicable agreements under GDPR Arts. 26/28).
1. Purpose & Scope
This policy complies with EU Directive 2019/1937, Italian Legislative Decree 24/2023, GDPR, UK GDPR and the UK Public Interest Disclosure Act (PIDA) 1998. It applies to employees, candidates, former employees, contractors, suppliers, interns and anyone interacting with the Company.
Thresholds: Where mandatory thresholds apply by law, the Company implements this framework also on a voluntary basis to safeguard integrity.
2. Who can report
Anyone who becomes aware—through their relationship with the Company—of unlawful conduct or irregularities may report in good faith and in the public interest.
3. What to report
- Breaches of EU/Italian/UK law; corporate/financial offences; bribery, fraud, money laundering;
- Health & safety, environmental, consumer protection violations;
- Serious breaches of internal policies, information security, misuse of company assets;
- Personal data protection violations.
Purely personal HR grievances without public-interest relevance are out of scope.
4. Reporting channels
- Internal channel
Email: [email protected]
Secure form: (insert link to encrypted internal form, if available)Security options
PGP/SMIME encryption can be arranged. Technical help: [email protected].
- Anonymous reporting is available; confidentiality and anti-identification safeguards apply.
- External reporting: see External authorities.
- Public disclosure allowed only under EU Directive conditions (e.g., no timely response, imminent danger, risk of retaliation, or low prospect of effective handling).
5. Protection & no retaliation
- Strictly prohibited: any retaliation (dismissal, sanctions, demotion, transfer, harassment, ostracism, or other detriments).
- Confidentiality of the reporter and all mentioned persons; access restricted to authorised staff.
- Support: trade unions, legal advisors, independent bodies or competent authorities.
6. Acknowledgement & timelines
- Acknowledgement within 7 days of receipt (internal channel).
- Feedback/update within 3 months of acknowledgement (extendable to 6 months for complex cases).
- Handling by an appointed Whistleblowing Officer and an independent Assessment Committee.
- Audit trail maintained and stored as required by law.
7. Privacy & retention
Controller: Villa Traiano Holding Ltd, 20 Wenlock Road, London, England, N1 7GU. For Italian operations, Villa Traiano Management S.r.l. acts as joint controller or processor under GDPR.
DPO: [email protected] — Privacy contact: [email protected]
- Legal bases: legal obligation (Art. 6(1)(c) GDPR/UK GDPR), public interest (Art. 6(1)(e)), legitimate interest (Art. 6(1)(f)).
- Special-category and criminal-offence data processed only if strictly necessary and legally authorised.
- Retention: up to 5 years after case closure unless longer required by law or litigation.
- Transfers EU↔UK: adequacy decisions and/or Standard Contractual Clauses (as applicable).
- Security: encryption at rest/in transit, RBAC, access logging, DPIA where required.
- Rights: access, rectification, restriction, objection, erasure where compatible with investigations and third-party rights.
8. External authorities
Italy – ANAC
Dedicated portal: whistleblowing.anticorruzione.it
Data Protection – Garante (IT) / ICO (UK)
IT: www.garanteprivacy.it — UK: ico.org.uk
United Kingdom – prescribed persons (PIDA)
Examples: FCA, HMRC, HSE. See the UK Government list for the current prescribed persons.
9. Manifestly unfounded reports
Disciplinary/civil/criminal liability may arise for wilfully false or grossly negligent reports. Good-faith reporters are protected.
10. UK specifics (PIDA)
For UK jurisdictions, protection applies to qualifying disclosures of wrongdoing (e.g., offences, health/safety risks, environmental damage, legal breaches, concealment). Criteria and channels may differ; this harmonised process applies without prejudice to PIDA safeguards.
11. Updates
This page may be updated to reflect legal or organisational changes. Previous versions are available on request.