_________________________________________________________________________________________________________________ TELECOM ITALIA – GESTIONE DELLE SEGNALAZIONI TELECOM ITALIA • GESTIONE DELLE SEGN AL AZIONI _________________________________________________________________________________________________________________ GESTIONE DELLE SEGNALAZIONI Adottata in data 15.03.2013 SOMMARIO 1. SCOPO E CAMPO DI APPLICAZIONE 2 2. DESTINATARI 2 3. RIFERIMENTI 2 4. TUTELA DEL TRATTAMENTO DEI DATI PERSONALI 3 5. COMPITI E RESPONSABILITA' 3 6. PROCESSO 4 6.1 Ricevimento segnalazioni 4 6.2 Analisi preliminare 5 6.3 Attivazione di Audit 5 6.4 Comunicazione dei risultati 5 6.5 Attivita' di follow-up 6 7. CONSERVAZIONE DELLA DOCUMENTAZIONE 6 8. ENTRATA IN VIGORE 6 9. ALLEGATO 6 1 _________________________________________________________________________________________________________________ TELECOM ITALIA – GESTIONE DELLE SEGNALAZIONI TELECOM ITALIA • GESTIONE DELLE SEGN AL AZIONI _________________________________________________________________________________________________________________ 1. SCOPO E CAMPO DI APPLICAZIONE Istituire un processo idoneo a garantire la ricezione, l'analisi ed il trattamento di segnalazioni relative a problematiche di sistema di controllo interno, informativa societaria, frodi o altre materie (violazioni del Codice Etico e di Condotta, pratiche di mobbing, furti, security, ecc.), inoltrate in qualsiasi modo (cartaceo, elettronico, fax, etc.) da dipendenti (incluso il Top Management), collaboratori, consulenti, prestatori di lavoro, nonché terzi in rapporti d’affari con il Gruppo, ad esclusione delle segnalazioni ricevute dal Collegio Sindacale/Audit Committee e dall’Organismo di Vigilanza 231, rispetto alle quali non variano le modalità operative da tali Organi stabilite. Per “segnalazione” s'intende qualsiasi notizia riguardante sospette/presunte violazioni, comportamenti e pratiche non conformi a quanto stabilito dal Codice Etico e di Condotta di Telecom Italia, dall’intera normativa di Corporate Governance di Telecom Italia, nonché dal correlato sistema procedurale finalizzato alla corretta attuazione di detto quadro, e/o che, comunque, possano arrecare danno o pregiudizio, anche solo d’immagine, al Gruppo Telecom Italia (incluse le società controllate). Tali segnalazioni possono essere riferibili a dipendenti (incluso il Top Management), a membri degli organi sociali (Consiglio di Amministrazione, Collegio Sindacale), alla società di revisione e a terzi (partner, clienti, fornitori, consulenti, collaboratori) e, in generale, a chiunque sia in relazioni d'affari con il Gruppo. Si precisa che, nell’ipotesi in cui la segnalazione riguardi fatti penalmente rilevanti per i quali Telecom Italia presenti denuncia o rispetto ai quali intenda proporre querela, quanto riportato nella presente procedura dovrà rispettare le esigenze di riservatezza delle indagini secondo i termini e le condizioni che verranno volta per volta condivise da Legal Affairs, d’intesa con il Responsabile della Direzione Audit, con l’Autorità Giudiziaria procedente. 2. DESTINATARI La presente normativa ha la massima diffusione possibile. A tal fine, viene resa disponibile: a ogni membro del Consiglio di Amministrazione e del Collegio Sindacale di Telecom Italia S.p.A. e delle società controllate; a ogni dipendente di Telecom Italia S.p.A. e delle società controllate, tramite pubblicazione ed apposita evidenza sul sito intranet http://noiportal.telecomitalia.it Il Responsabile della Direzione Audit, d'intesa con la Funzione Human Resources and Organization individua le più opportune iniziative per assicurare la massima diffusione della presente normativa ed il corretto recepimento dei suoi contenuti. 3. RIFERIMENTI Il Codice Etico e di Condotta di Gruppo (art. 7) prevede che i dipendenti, i collaboratori, i consulenti, i prestatori di lavoro, nonché i terzi in rapporti d’affari con il Gruppo segnalino tempestivamente al Responsabile della Direzione Audit di Telecom Italia, anche per il tramite del superiore gerarchico, eventuali violazioni o induzioni alla violazione di norme di legge o di regolamento, di prescrizioni di detto Codice, di procedure interne, ogni irregolarità e/o negligenza, quali, tra l’altro, quelle in tema di tenuta della contabilità, di conservazione della relativa documentazione, di adempimento degli obblighi di reportistica contabile o gestionale interna, nonché eventuali richieste di chiarimenti sulla valutazione della correttezza di comportamenti propri o altrui. Nessuna conseguenza negativa deriva in capo a chi abbia in buona fede effettuato una segnalazione. E’ in ogni caso assicurata la riservatezza dell’identità dei segnalanti secondo apposite procedure interne, fatti salvi gli obblighi di legge. Inoltre, la gestione delle segnalazioni, anche di specifica competenza del Responsabile della Direzione Audit (c.d. “whistleblowing”), è un requisito SOX (sezioni 301-302-806). Sono altresì rispettate le “Regole per la definizione delle normative e per la gestione del sistema documentale del Gruppo Telecom Italia (cod. 2002 – 00001 – versione 3 del 10.10.2012)”. 2 _________________________________________________________________________________________________________________ TELECOM ITALIA – GESTIONE DELLE SEGNALAZIONI TELECOM ITALIA • GESTIONE DELLE SEGN AL AZIONI _________________________________________________________________________________________________________________ 4. TUTELA DEL TRATTAMENTO DEI DATI PERSONALI Le informazioni ed ogni altro dato personale acquisiti in applicazione della presente procedura sono trattati nel rispetto della vigente normativa privacy (D.Lgs 196/03). In particolare, le Società del Gruppo interessate (le “Società”) garantiscono che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità degli interessati, con particolare riferimento alla riservatezza ed alla sicurezza dei dati, seguendo le disposizioni nel seguito riportate. Ai sensi e per gli effetti dell’articolo 11 del D.Lgs 196/03, i dati personali di cui le Società vengono a conoscenza ai fini della presente procedura devono essere: limitati a quelli strettamente e obiettivamente necessari per verificare la fondatezza della segnalazione e per la relativa gestione; trattati lecitamente e secondo correttezza. Inoltre, è necessario che: tutte le funzioni/posizioni organizzative del Gruppo Telecom Italia e delle relative Società controllate interessate dalla ricezione e trattamento delle segnalazioni, assicurino l’assoluta riservatezza delle persone segnalanti. Nel merito si ribadisce che, ai sensi dell'art. 7 del Codice Etico e di Condotta, il segnalante in buona fede è sempre tutelato contro qualsiasi forma di ritorsione, discriminazione o penalizzazione e che è in ogni caso assicurata la riservatezza dell’identità del segnalante (fatti salvi gli obblighi di legge); il Responsabile della Direzione Audit renda disponibile agli interessati l’informativa privacy di cui all’allegato 1, che costituisce parte integrante e sostanziale della presente procedura; il Responsabile della Direzione Audit comunichi agli interessati che i loro dati personali sono trattati in relazione ad una segnalazione pervenuta alla Società solo qualora non sussista il rischio che, comunicando tale informazione, si comprometta la capacità di verificare efficacemente la fondatezza della segnalazione; non siano fornite al segnalato indicazioni sull’identità del segnalante, fatti salvi gli obblighi di legge; solo ed esclusivamente nel caso in cui la segnalazione sia attinente a fattispecie in relazione alle quali la Società svolge attività di pubblico servizio (es. imposizione di servitù, servizio universale), il segnalato abbia facoltà di avvalersi del diritto di accesso ai sensi dell’art. 24 ultimo comma L. 241/90 - con esclusivo riferimento al merito della segnalazione (non all’identità del segnalante) - a partire dal termine delle attività di accertamento e verifica; la gestione delle segnalazioni sia tenuta separata dalla gestione degli altri dati personali. Le informazioni raccolte e trattate nell'ambito della gestione delle segnalazioni devono essere trasmesse, per quanto necessario, esclusivamente alle Funzioni o Incaricati del trattamento competenti ad avviare il procedimento di verifica o ad adottare le misure necessarie in funzione delle risultanze. In ogni caso i destinatari delle informazioni devono garantire che queste ultime siano sempre gestite in regime di riservatezza e che siano applicate le dovute misure di sicurezza. Per quanto non espressamente previsto al presente capitolo 4, con particolare riferimento ad eventuali trasferimenti di dati all’estero, si rinvia al “Sistema delle regole per l’applicazione della normativa privacy nel Gruppo Telecom Italia”, emesso dalla Funzione Privacy (codice 2009-00048), consultabile sul sito intranet della Funzione stessa. 5. COMPITI E RESPONSABILITA’ Ai fini della presente procedura, si evidenzia che la decisione circa la fondatezza o meno delle segnalazioni e le successive azioni ed attività rientrano nelle competenze del Responsabile della Direzione Audit, il quale fornisce idonea informativa al Vertice Aziendale, al Comitato controllo e rischi e al Collegio Sindacale, oltre che ai Responsabili delle Strutture competenti. 3 _________________________________________________________________________________________________________________ TELECOM ITALIA – GESTIONE DELLE SEGNALAZIONI TELECOM ITALIA • GESTIONE DELLE SEGN AL AZIONI _________________________________________________________________________________________________________________ Il Responsabile della Direzione Audit, avvalendosi operativamente del Responsabile della funzione Progetti Speciali e Fraud Audit (nell’ambito della suddetta Direzione) formalmente delegato: garantisce la ricezione, protocollazione ed analisi preliminare delle segnalazioni pervenute; in base agli esiti dell’analisi preliminare, avvia (qualora necessario) una attività strutturata di audit; assicura la tracciabilità e la conservazione della documentazione; effettua le attività di aggiornamento della presente procedura, nonché, di concerto con Human Resources and Organization, la diffusione della procedura medesima. Qualora le segnalazioni pervenute al Responsabile della Direzione Audit presentino aspetti anche di specifica competenza del Collegio Sindacale/Audit Committee e/o dell’Organismo di Vigilanza ex D.Lgs. n. 231/2001, sarà cura del Responsabile della Direzione Audit stesso trasmettere le denunce a tale Organo sociale ed a detto OdV, secondo le modalità dagli stessi previste, concordando le azioni più opportune da intraprendere. I riceventi le segnalazioni assumono la responsabilità di inviarle in originale al Responsabile della Direzione Audit con la massima tempestività e complete di tutta la eventuale documentazione di supporto pervenuta, indipendentemente da chi le riceve e dalla fonte denunciante. Garantiscono, inoltre, la distruzione di qualsiasi copia delle stesse. Si evidenzia che i riceventi non sono autorizzati ad intraprendere alcuna iniziativa di analisi e/o approfondimento in merito alle segnalazioni ricevute, se non previamente concordate con il Responsabile della Direzione Audit. Nel caso in cui siano ricevute segnalazioni riguardanti il Responsabile della Direzione Audit, le stesse dovranno essere trasmesse direttamente al Presidente del Consiglio di Amministrazione di TI S.p.A., quale Organo sociale da cui tale Responsabile dipende. Le strutture aziendali interessate dalle attività di approfondimento derivanti da segnalazioni garantiscono la massima e tempestiva collaborazione per l’effettuazione delle stesse. 6. PROCESSO Il processo prevede le seguenti attività: ricevimento della segnalazione e relativa protocollazione e custodia; analisi preliminare per valutare gli elementi oggettivi e soggettivi che caratterizzano la segnalazione; attivazione, ove necessario, di audit; comunicazione delle risultanze della verifica al Top Management (qualora parte interessata), al Collegio Sindacale, al Comitato controllo e rischi di Telecom Italia ed alle Funzioni competenti per l’adozione degli eventuali provvedimenti; eventuale attività di follow-up. 6.1 Ricevimento segnalazioni La segnalazione può essere ricevuta dalle strutture aziendali e dai terzi sia verbalmente (di persona o telefonicamente) sia per iscritto (posta esterna o interna, e-mail, fax). Tutte le segnalazioni pervenute, indipendentemente da chi le riceve e dalla fonte denunciante, devono essere subito inviate al Responsabile della Direzione Audit tramite l’apposita casella e-mail [email protected] oppure via fax al numero 06418686941. Un ulteriore canale di ricezione delle segnalazioni è costituito dalla hotline gratuitamente 24 ore su 24 e 7 giorni su 7 da rete fissa e rete mobile2. 1 , accessibile Le segnalazioni verbali dovranno essere esposte per iscritto dal ricevente con tutti i dettagli possibili ed utili. Nel caso di segnalazioni ricevute via posta, la lettera dovrà essere anticipata via fax, mentre l’originale sarà inviato al Responsabile della Direzione Audit via posta interna. 4 _________________________________________________________________________________________________________________ TELECOM ITALIA – GESTIONE DELLE SEGNALAZIONI TELECOM ITALIA • GESTIONE DELLE SEGN AL AZIONI _________________________________________________________________________________________________________________ La mancata comunicazione di una segnalazione ricevuta costituisce una violazione della presente procedura e del Codice Etico e di Condotta, con la conseguente applicabilità dell’apparato sanzionatorio previsto. Il Responsabile della Direzione Audit all’atto della ricezione di una segnalazione, ne riporta gli estremi sul file di protocollo delle segnalazioni (archiviato in apposita area protetta del server “GIADA” in uso alla Direzione Audit), che riassume i dati essenziali di tutte le segnalazioni pervenute e ne traccia sinteticamente l’evoluzione. Nella stessa area viene contemporaneamente creata una apposita cartella, contenente tutta la documentazione e le e-mail scambiate inerenti a ciascuna segnalazione, sino alla chiusura della stessa. 6.2 Analisi preliminare Tutte le segnalazioni ricevute dal Responsabile della Direzione Audit sono oggetto di analisi preliminare, svolta esclusivamente sulla base di quanto riportato nella denuncia e di eventuali primi elementi informativi già a disposizione. Obiettivo della analisi preliminare è valutare i presupposti giuridici e di fatto della segnalazione, per decidere se proseguire o meno nell’attività accertativa. L’attività è svolta con il supporto eventuale delle strutture (Legal Affairs, Security, Human Resources and Organization, Administration Finance and Control, Business Support Officer o altre) individuate a seconda dell’area di competenza. A conclusione della fase di analisi preliminare, nel caso si decida di non procedere, la segnalazione viene archiviata, motivandone (e tracciandone) le ragioni. 6.3 Attivazione di audit Per le segnalazioni per le quali sussistono, invece, elementi validi per procedere ad accertamenti, il Responsabile della Direzione Audit: previa informativa alle strutture aziendali interessate, avvia il processo di audit; può sospendere o interrompere l’istruttoria in qualunque momento se viene rilevata l’infondatezza della segnalazione; nel caso di segnalazioni meramente diffamatorie (vale a dire dolosamente offensive dell'altrui reputazione), fatte salve le tutele individuali in sede giudiziale di cui il segnalato vorrà avvalersi, può richiedere l’avvio, d’intesa con Human Resources and Organization e Legal Affairs, di un procedimento nei confronti del segnalante; concorda con il Management responsabile della Funzione interessata dall’attività di audit i contenuti dell’eventuale "piano di azione" necessario per la rimozione delle criticità rilevate, secondo gli standard operativi della Direzione Audit; concorda con Human Resources and Organization e Legal Affairs (e/o con altre funzioni interessate) eventuali iniziative da intraprendere a tutela degli interessi del Gruppo Telecom Italia (ad. es. azioni giudiziarie). Il Responsabile della Direzione Audit, qualora necessario, potrà anche avvalersi di specialisti esterni al Gruppo Telecom Italia, individuati dallo stesso. 6.4 Comunicazione dei risultati Il Responsabile della Direzione Audit: comunica i risultati delle verifiche al Top Management (se parte interessata), ai Responsabili delle strutture aziendali competenti, nonché al Collegio Sindacale/Audit Committee ed all’Organismo di Vigilanza 231, qualora vi siano aspetti di diretto interesse degli stessi. Se necessario, sottopone alla struttura Human Resources and Organization proposte di provvedimenti da intraprendere nel rispetto dei necessari criteri di riservatezza. Nel caso in cui la segnalazione sia inerente a presunte criticità nel rapporto di lavoro tra il segnalante e TI, i risultati delle analisi saranno comunicati al segnalante dalla competente struttura Human Resources and Organization, dando apposito riscontro formale al Responsabile della Direzione Audit della avvenuta chiusura; 2 Le segnalazioni ricevute tramite hotline saranno comunque trascritte con tutti i dettagli possibili ed utili ed archiviate in modo analogo alle segnalazioni ricevute tramite la casella e-mail. 5 _________________________________________________________________________________________________________________ TELECOM ITALIA – GESTIONE DELLE SEGNALAZIONI TELECOM ITALIA • GESTIONE DELLE SEGN AL AZIONI _________________________________________________________________________________________________________________ fornisce al Comitato controllo e rischi ed al Collegio Sindacale informazione periodica in merito alle segnalazioni pervenute ed alle iniziative conseguentemente intraprese. 6.5 Attività di follow-up Il Responsabile della Direzione Audit garantisce il monitoraggio dello stato di avanzamento dell’eventuale piano d'azione derivante dalle attività di audit svolte sulle segnalazioni di competenza, in base agli standard operativi vigenti per la suddetta Direzione. 7. CONSERVAZIONE DELLA DOCUMENTAZIONE E’ responsabilità di chi riceve la segnalazione inviare al Responsabile della Direzione Audit tutta la documentazione ricevuta e distruggerne eventuali copie. Al fine di garantire la gestione e la tracciabilità delle segnalazioni e delle relative attività di audit, il Responsabile della Direzione Audit cura la predisposizione e l’aggiornamento del protocollo delle segnalazioni ed assicura l'archiviazione di tutta la relativa documentazione di supporto, incluse le carte di lavoro e la reportistica di audit, in base ai tempi ed al livello di sicurezza/riservatezza standard, adottati normalmente dalla suddetta Direzione. 8. ENTRATA IN VIGORE La presente procedura entra in vigore a partire dal 15.03.2013. 9. ALLEGATO Allegato 1: informativa privacy 6 _________________________________________________________________________________________________________________ TELECOM ITALIA – GESTIONE DELLE SEGNALAZIONI TELECOM ITALIA • GESTIONE DELLE SEGN AL AZIONI _________________________________________________________________________________________________________________ Allegato 1 INFORMATIVA PRIVACY Ai sensi dell’articolo 13 del Codice in materia di protezione dei dati personali (D.Lgs 196/03) Telecom Italia S.p.A. fornisce, qui di seguito, l’informativa sui trattamenti dei dati personali dei segnalanti, segnalati ed eventuali altri soggetti terzi coinvolti (“Interessati”), effettuati dalla stessa in relazione alla gestione delle segnalazioni disciplinate dalla “Procedura gestione segnalazioni” emessa da Telecom Italia Audit & CS il 17.11.2008 (codice 2008-00108). 1) Finalità del trattamento e conferimento obbligatorio dei dati I dati personali degli interessati sono trattati per le finalità connesse all’applicazione della procedura sopra citata e per adempiere gli obblighi previsti dalla legge, dai regolamenti o dalla normativa comunitaria. 2) Modalità e logica del trattamento I trattamenti dei dati sono effettuati manualmente (ad esempio, su supporto cartaceo) e/o attraverso strumenti automatizzati (ad esempio, utilizzando procedure e supporti elettronici), con logiche correlate alle finalità sopraindicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati. 3) Titolare, Responsabili e categorie degli Incaricati I dati personali sono trattati dal “Preposto al Controllo interno” in qualità di Responsabile del trattamento, dalle competenti Funzioni Risorse Umane e Legali, dalle Funzioni di Security e di Audit, dalle Funzioni di Finanza e Amministrazione e controllo, dal Comitato per il Controllo Interno e per la Corporate Governance, dal Collegio Sindacale. Il Titolare dei trattamenti dei Suoi dati personali è Telecom Italia S.p.A, con sede in Milano, Piazza degli Affari, 2. Il Responsabile dei trattamenti medesimi è il Preposto al Controllo interno, dott. Federico Maurizio d’Andrea, domiciliato presso Telecom Italia Audit & CS, Via Negri 1, Milano. 4) Categorie di soggetti terzi ai quali i dati potrebbero essere comunicati in qualità di Titolari o che potrebbero venirne a conoscenza in qualità di Responsabili o Incaricati Oltre che dai soggetti interni di cui al precedente punto 3) alcuni trattamenti dei dati personali degli interessati potranno essere effettuati anche da soggetti terzi, ivi incluse le società del Gruppo Telecom Italia. In tal caso gli stessi soggetti saranno individuati come autonomi Titolari oppure designati come Responsabili o Incaricati del trattamento, in conformità alle vigenti disposizioni di legge in materia di privacy. In ogni caso ai Responsabili o agli Incaricati Telecom Italia fornirà adeguate istruzioni operative, con particolare riferimento all’adozione delle misure minime di sicurezza, al fine di poter garantire la riservatezza e la sicurezza dei dati. Tali soggetti, che in alcuni casi possono avere sede anche all’estero, sono ricompresi nelle seguenti categorie: a) Consulenti (Organizzazione, Contenzioso, Studi Legali, ecc.) b) Società incaricate dell’amministrazione e gestione del personale, della conservazione dei dati personali dei dipendenti, dello sviluppo e/o esercizio dei sistemi informativi a ciò dedicati c) Società incaricate per la gestione degli archivi aziendali, ivi inclusi i dati personali dei dipendenti cessati dal servizio d) Società di Revisione/auditing e) Istituzioni e/o Autorità Pubbliche, Autorità Giudiziaria, Organi di Polizia, Agenzie investigative. 5) Diritto di accesso ai dati personali ed altri diritti ai sensi dell’articolo 7 del Codice in materia di protezione dei dati personali (D.Lgs 196/03) L’interessato ha diritto di accedere in ogni momento ai dati che lo riguardano – fatto salvo quanto riportato nel capitolo 4 della vigente procedura - e di esercitare gli altri diritti previsti dall’art. 7 del Codice privacy, rivolgendosi al Responsabile del trattamento indicato al precedente punto 3). Allo stesso modo può chiedere l’origine dei dati, la correzione, l’aggiornamento o l’integrazione dei dati inesatti o incompleti, ovvero la cancellazione o il blocco per quelli trattati in violazione di legge, o ancora opporsi al loro utilizzo per motivi legittimi da evidenziare nella richiesta 7