Invia una segnalazione con la massima riservatezza
Info utili
Cosa segnalare Approfondisci

Note riservatezza e sicurezza

WHISTLEBLOWING E TUTELA DEL SEGNALANTE

Il D.Lgs. 24/2023 (“Attuazione della Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali”), è da ultimo intervenuto sulla disciplina relativa al cosiddetto “whistleblowing” al fine di favorire ulteriormente l’emersione di fattispecie di illecito e/o irregolarità commesse nell’ambito di contesti lavorativi pubblici e privati.

Il Decreto prevede specifiche forme di tutela a favore di plurimi soggetti - tra cui i dipendenti pubblici o privati - che segnalino ai soggetti preposti, con le modalità e nelle forme previste dalla normativa, condotte giuridicamente illecite, reati, o altre forme di violazioni, con conseguente protezione del segnalante contro eventuali ritorsioni o misure in senso lato discriminatorie o ritorsive, dirette o indirette, da questi subite in conseguenza o comunque per effetto della segnalazione medesima. Ai sensi della vigente normativa le medesime tutele sono estese, tra gli altri, anche ai cosiddetti “facilitatori” (i.e. persone fisiche, operanti nel medesimo contesto lavorativo, che assistono il segnalante nel processo di segnalazione), nonché ai colleghi di lavoro e alle persone, afferenti al medesimo contesto lavorativo, legate al segnalante da uno stabile legame affettivo o di parentela entro il quarto grado.

L’identità del segnalante e qualsiasi altra informazione da cui possa evincersi, anche indirettamente, tale identità, non possono essere rivelate senza il suo espresso consenso. I soggetti competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzati a trattare tali dati in linea con le previsioni di cui al Regolamento (UE) 2016/679 (“GDPR”), sono tenuti a tutelare la riservatezza di tale informazione.

La segnalazione è inoltre sottratta all'accesso previsto dagli artt. 22 e seguenti della L. 241/1990, nonché dagli artt. 5 e seguenti del D.Lgs. 33/2013.

Qualsiasi atto avente carattere discriminatorio o ritorsivo adottato dall’Ente in conseguenza o comunque a causa della segnalazione è nullo.

*

Obblighi di riservatezza sull’identità del whistleblower

La normativa assicura la tutela del segnalante mantenendo riservata e protetta la sua identità in ogni momento e contesto successivo all’inoltro della segnalazione all’Ente.

La garanzia di riservatezza presuppone che il segnalante renda nota la propria identità. Anche in caso di segnalazione anonima, comunque, al segnalante sono garantite le medesime tutele sopra descritte, qualora questi sia stato successivamente identificato e abbia subito ritorsioni.

La predetta tutela decade:

  • nei casi in cui sia accertata, anche con sentenza di primo grado, la responsabilità penale del segnalante per i reati di calunnia o diffamazione o, comunque, per i medesimi reati commessi mediante denuncia all'autorità giudiziaria o contabile;
  • nei casi in cui sia accertata, anche con sentenza di primo grado, la responsabilità civile del segnalante per lo stesso titolo, nei casi di segnalazione compiuta con dolo o colpa grave;
  • nei casi in cui la riservatezza non sia opponibile per legge (es. indagini penali, tributarie o amministrative, ispezioni di organi di controllo).

In tali casi è prevista la possibilità di irrogare una sanzione disciplinare al segnalante / denunciante.

Nell'ambito del procedimento penale, l'identità della persona segnalante è coperta dal segreto nei modi e nei limiti previsti dall'art. 329 c.p.p.

Nell’ambito del procedimento dinanzi alla Corte dei conti, l'identità della persona segnalante non può essere rivelata fino alla chiusura della fase istruttoria.

Nell'ambito del procedimento disciplinare, l'identità della persona segnalante non può essere rivelata, ove la contestazione dell'addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità della persona segnalante sia indispensabile per la difesa dell'incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità.

Per maggior riservatezza ti suggeriamo di:

  • non inserire dati personali che potrebbero far risalire alla tua identità nella descrizione del fatto segnalato;
  • non utilizzare un indirizzo email aziendale per la registrazione o per ricevere notifiche dal sistema;
  • non inviare una segnalazione dalla tua postazione di lavoro.

 

INFRASTRUTTURA E MISURE DI SICUREZZA

Il software gestionale del Whistleblowing, in linea con il dettato normativo, garantisce elevati livelli di sicurezza sia al segnalante, sia a livello di infrastruttura.

Sicurezza del segnalante e delle segnalazioni

Il sistema garantisce al segnalante l’accesso alla piattaforma con modalità completamente anonima, senza necessità di registrazione e/o identificazione.

Tutte le informazioni inserite nella piattaforma, sia dal segnalante che dai responsabili incaricati della gestione della segnalazione, sono cifrate tramite un avanzato sistema di crittografia. Le segnalazioni (comprese le bozze), gli allegati (anche quelli temporanei), i log di attività e le sessioni sono cifrate.

Tutte le informazioni che possono rivelare i contenuti di una segnalazione e l’identità del suo autore o che, al limite, possono dare indicazioni sull’attività di un segnalante, sono protette e cifrate a più livelli. Per ogni segnalazione vengono infatti create:

  • una coppia di chiavi, pubblica (KpubS) e privata (KprivS), di tipo RSA con un keysize di 4096 bit;
  • una chiave simmetrica (KsimS) lunga 32 caratteri;
  • una chiave di cifratura (Kmp) lunga 32 caratteri.

L’identità del whistleblower è protetta anche in caso di segnalazione effettuata tramite messaggio vocale registrato, in quanto il sistema è dotato di un sistema integrato di distorsione, che rende non riconoscibile la voce del segnalante.

Tutte le operazioni effettuate sulle segnalazioni, da parte di tutti gli utenti, vengono registrate nei log di sistema in maniera anonima e criptata per garantire la massima riservatezza e anonimato.

Architettura e Server

Il servizio viene erogato in S.a.a.S. (Software as a Service), garantendo la terzietà del sistema.

Sono garantiti continui aggiornamenti di sicurezza del software ed efficienza dell’Help Desk dedicato.

I dati inseriti nel sistema vengono cifrati sia in fase di trasmissione, tramite il protocollo HTTPS, sia in fase di memorizzazione, tramite un avanzato sistema di cifratura.

Il sistema è installato su una infrastruttura di Server Dedicati certificata TIER IV, che garantisce le migliori prestazioni in termini di sicurezza e di disponibilità dei dati.

I server sono dotati di un Firewall a cui è affiancato un Intrusion Prevention Software (IPS) che protegge i sistemi da attacchi di forza bruta. Il web server è dotato di Web Application Firewall (WAF) che filtra, monitora e blocca il traffico web, prevenendo gli attacchi che sfruttano le vulnerabilità note delle applicazioni web.

In linea con gli standard di qualità e sicurezza imposti dalle norme ISO:9001 ed ISO:27001, il fornitore del servizio provvede periodicamente alla simulazione di Disaster Recovery su un server con caratteristiche identiche ai server in produzione ed è altresì dotato di un Piano di Continuità Operativa certificata ISO 22301:2019.

Tutti gli accessi tecnici ai server vengono memorizzati su storage in modalità WORM (write once read many) e conservati per almeno 180 giorni.

Sicurezza applicativa

A livello di applicazione la sicurezza delle informazioni è garantita su vari livelli:

  • credenziali utente: ad ogni utente vengono associate delle credenziali personali. La password è cifrata con un algoritmo one-way, rendendo quindi impossibile risalire alla password in chiaro da quella cifrata. Per evitare che, in caso di furto delle password cifrate, si possa far ricorso ad uno dei numerosi database di password presenti in rete, ciò che viene cifrato non è esclusivamente la password ma una stringa formata dalla combinazione e manipolazione della password più una sequenza alfanumerica generata casualmente al momento della creazione dell’utente (salt);
  • blocco degli accessi: in caso di accesso errato ripetuto cinque volte consecutive l’accesso viene bloccato per 15 minuti;
  • permessi e ruoli: l’accesso alle varie funzionalità è gestito da un sistema di controllo di privilegi sia a livello utente che di gruppo;
  • antivirus: è presente un antivirus a livello di firewall che controlla tutti i file caricati a sistema. Il medesimo controllo viene effettuato a livello di applicazione impedendo che i file virati possano essere scaricati nel PC di un utente di backend.