1. Finalità e ambito di applicazione

La presente procedura disciplina il whistleblowing in conformità a Direttiva (UE) 2019/1937, D.Lgs. 24/2023, Regolamento (UE) 2016/679 (GDPR), UK GDPR e UK Public Interest Disclosure Act 1998 (PIDA). Si applica a dipendenti, candidati, ex dipendenti, collaboratori, consulenti, fornitori, subappaltatori, tirocinanti e a chiunque entri in contatto con la Società.

Nota soglie: ove la normativa preveda soglie dimensionali/settoriali per l’obbligatorietà dei canali, la Società applica comunque la presente procedura anche su base volontaria a tutela dell’integrità aziendale.

2. Chi può segnalare

Chiunque venga a conoscenza, nell’ambito del proprio rapporto con la Società, di condotte illecite o irregolarità può effettuare una segnalazione in buona fede e nell’interesse pubblico.

3. Oggetto delle segnalazioni

Rientrano, a titolo esemplificativo:

• Violazioni di norme UE/Italia/UK; reati societari/finanziari; corruzione, frode, riciclaggio;
• Violazioni in materia di salute e sicurezza, ambiente, tutela dei consumatori;
• Gravi violazioni di politiche interne, sicurezza informatica, uso improprio di asset;
• Violazioni in materia di protezione dei dati personali.

Restano escluse le rimostranze puramente personali (es. vertenze individuali HR) non aventi rilievo di interesse pubblico.

4. Canali di segnalazione

1. Canale interno dedicato
   Email: [email protected]
   Modulo sicuro: (inserire link al form interno cifrato, se disponibile)
   Opzioni di sicurezza consigliate

   È possibile richiedere l’invio cifrato (PGP/SMIME). Per supporto tecnico scrivere a [email protected].

2. Segnalazione anonima
   È possibile inviare la segnalazione senza indicare i propri dati. La Società tratta comunque le informazioni con riservatezza e adotta misure per impedire l’identificazione indiretta.
3. Segnalazione esterna
   V. sezione Autorità esterne per Italia/UE/UK.
4. Divulgazione pubblica
   Consentita nei soli casi previsti dalla Direttiva UE (es. mancato riscontro entro i termini, pericolo imminente per l’interesse pubblico, rischio di ritorsioni o scarsa probabilità di trattamento efficace).

5. Tutele e divieti di ritorsione

• Divieto assoluto di ritorsioni: licenziamento, sanzioni, demansionamento, trasferimento, molestie, ostracismo o altre misure pregiudizievoli.
• Riservatezza dell’identità del segnalante e di chiunque sia menzionato; accesso limitato al personale autorizzato.
• Assistenza: possibilità di rivolgersi a sindacati, legali, organismi indipendenti o autorità competenti.

6. Presa in carico, tempi e comitato

• Conferma di ricezione entro 7 giorni dalla segnalazione (canale interno).
• Riscontro/aggiornamento entro 3 mesi dalla conferma (prorogabili a 6 mesi in casi complessi).
• Gestione affidata a un Responsabile Whistleblowing e a un Comitato di Valutazione indipendente nominati dalla Società.
• Audit trail: tutte le attività sono registrate in modo tracciabile e conservate secondo legge.

7. Privacy, trattamento dati e conservazione

Titolare del trattamento: Villa Traiano Holding Ltd, 20 Wenlock Road, London, England, N1 7GU. Per le attività in Italia, Villa Traiano Management S.r.l. opera quale contitolare o responsabile ex art. 28 GDPR.

DPO: [email protected] — Contatti privacy: [email protected]

• Basi giuridiche: adempimento di obblighi legali (art. 6.1.c GDPR / UK GDPR), interesse pubblico (art. 6.1.e), legittimo interesse (art. 6.1.f) per prevenzione frodi e tutela integrità.
• Dati particolari (art. 9) e dati relativi a reati (art. 10) trattati solo se strettamente necessari e autorizzati da norme o obblighi di legge.
• Conservazione: massimo 5 anni dalla chiusura del caso, salvo obblighi legali diversi o contenziosi.
• Trasferimenti UE↔UK: basati su decisioni di adeguatezza e/o Standard Contractual Clauses quando necessario.
• Misure tecniche: cifratura a riposo e in transito, segregazione ruoli, RBAC, registri di accesso, valutazioni d’impatto se richieste (DPIA).
• Diritti degli interessati: accesso, rettifica, limitazione, opposizione, cancellazione nei limiti in cui l’esercizio non pregiudichi indagini o diritti di terzi.

8. Autorità esterne (segnalazione esterna)

9. Segnalazioni manifestamente infondate

Resta ferma la responsabilità disciplinare/civile/penale in caso di dolo o colpa grave per segnalazioni falsamente diffamatorie. La buona fede è sempre tutelata.

10. Specifiche per il Regno Unito (PIDA)

Per chi opera sotto giurisdizione UK, la tutela si applica in presenza di una qualifying disclosure di wrongdoing (es. reati, danni alla salute/sicurezza, ambiente, violazioni legali, occultamento di illeciti). I criteri di divulgazione e i canali possono differire; la Società applica un processo armonizzato, senza pregiudizio per le tutele previste dal PIDA.

11. Aggiornamenti

Questa pagina potrà essere aggiornata per riflettere modifiche normative o organizzative. Le versioni precedenti sono disponibili su richiesta.

1. Purpose & Scope

This policy complies with EU Directive 2019/1937, Italian Legislative Decree 24/2023, GDPR, UK GDPR and the UK Public Interest Disclosure Act (PIDA) 1998. It applies to employees, candidates, former employees, contractors, suppliers, interns and anyone interacting with the Company.

Thresholds: Where mandatory thresholds apply by law, the Company implements this framework also on a voluntary basis to safeguard integrity.

2. Who can report

Anyone who becomes aware—through their relationship with the Company—of unlawful conduct or irregularities may report in good faith and in the public interest.

3. What to report

• Breaches of EU/Italian/UK law; corporate/financial offences; bribery, fraud, money laundering;
• Health & safety, environmental, consumer protection violations;
• Serious breaches of internal policies, information security, misuse of company assets;
• Personal data protection violations.

Purely personal HR grievances without public-interest relevance are out of scope.

4. Reporting channels

1. Internal channel
   Email: [email protected]
   Secure form: (insert link to encrypted internal form, if available)
   Security options

   PGP/SMIME encryption can be arranged. Technical help: [email protected].

2. Anonymous reporting is available; confidentiality and anti-identification safeguards apply.
3. External reporting: see External authorities.
4. Public disclosure allowed only under EU Directive conditions (e.g., no timely response, imminent danger, risk of retaliation, or low prospect of effective handling).

5. Protection & no retaliation

• Strictly prohibited: any retaliation (dismissal, sanctions, demotion, transfer, harassment, ostracism, or other detriments).
• Confidentiality of the reporter and all mentioned persons; access restricted to authorised staff.
• Support: trade unions, legal advisors, independent bodies or competent authorities.

6. Acknowledgement & timelines

• Acknowledgement within 7 days of receipt (internal channel).
• Feedback/update within 3 months of acknowledgement (extendable to 6 months for complex cases).
• Handling by an appointed Whistleblowing Officer and an independent Assessment Committee.
• Audit trail maintained and stored as required by law.

7. Privacy & retention

Controller: Villa Traiano Holding Ltd, 20 Wenlock Road, London, England, N1 7GU. For Italian operations, Villa Traiano Management S.r.l. acts as joint controller or processor under GDPR.

DPO: [email protected] — Privacy contact: [email protected]

• Legal bases: legal obligation (Art. 6(1)(c) GDPR/UK GDPR), public interest (Art. 6(1)(e)), legitimate interest (Art. 6(1)(f)).
• Special-category and criminal-offence data processed only if strictly necessary and legally authorised.
• Retention: up to 5 years after case closure unless longer required by law or litigation.
• Transfers EU↔UK: adequacy decisions and/or Standard Contractual Clauses (as applicable).
• Security: encryption at rest/in transit, RBAC, access logging, DPIA where required.
• Rights: access, rectification, restriction, objection, erasure where compatible with investigations and third-party rights.

8. External authorities

9. Manifestly unfounded reports

Disciplinary/civil/criminal liability may arise for wilfully false or grossly negligent reports. Good-faith reporters are protected.

10. UK specifics (PIDA)

For UK jurisdictions, protection applies to qualifying disclosures of wrongdoing (e.g., offences, health/safety risks, environmental damage, legal breaches, concealment). Criteria and channels may differ; this harmonised process applies without prejudice to PIDA safeguards.

11. Updates

This page may be updated to reflect legal or organisational changes. Previous versions are available on request.