Whistleblowing con la piattaforma di Gestione EQS Integrity Line

Whistleblowing

La normativa italiana sul whistleblowing è disciplinata principalmente dalla Legge 30 dicembre 2016, n. 179, che ha introdotto disposizioni volte a promuovere e tutelare l’attività di segnalazione di illeciti da parte dei dipendenti pubblici e privati.

Questa legge, nota anche come “Legge Giano”, stabilisce che le organizzazioni con almeno 50 dipendenti o un fatturato superiore a 10 milioni di euro siano tenute a istituire specifici canali di segnalazione interna, garantendo l’anonimato del segnalante e vietando ogni forma di ritorsione nei suoi confronti.

Il whistleblowing, secondo la normativa, può riguardare violazioni di leggi, normative comunitarie, o regolamenti interni dell’organizzazione. La segnalazione può essere effettuata sia internamente, attraverso i canali previsti dall’azienda, che esternamente, alle autorità competenti, nel caso in cui l’organizzazione non adotti misure adeguate in seguito alla segnalazione interna o se il segnalante teme ritorsioni.

La legge prevede specifiche disposizioni per garantire la riservatezza delle informazioni, imponendo sanzioni per la violazione di tale riservatezza. Inoltre, introduce misure di protezione per il whistleblower, compresa la possibilità di ricorrere a vie legali nel caso in cui subisca discriminazioni o rappresaglie a seguito della segnalazione.

In sintesi, la normativa sul whistleblowing in Italia mira a promuovere la trasparenza organizzativa attraverso l’istituzione di canali di segnalazione interni, proteggendo coloro che segnalano illeciti e garantendo la riservatezza delle informazioni.

EQS Integrity Line – La piattaforma di segnalazione online in linea con la Direttiva UE sul Whistleblowing & GDPR

EQS Integrity Line è una soluzione online, facile e pronta all’uso, che vi permette di raccogliere e gestire le segnalazioni interne in linea con i nuovi requisiti dettati dalla Direttiva UE sul Whistleblowing (2019/1937). Sviluppata e creata per soddisfare le esigenze di ogni tipologia di azienda, la piattaforma soddisfa tutti i requisiti normativi italiani, europei e internazionali.

  • In linea con i requisiti della nuova Direttiva UE sul Whistleblowing
  • Pronta all’uso, senza installazione e personalizzabile
  • Certificata con i più alti standard di sicurezza internazionali

Protezione Massima dell’Identità dei Segnalanti

La nostra piattaforma consente la scelta tra accettare segnalazioni completamente anonime o meno. In ogni situazione, i dati sensibili e le informazioni nella segnalazione vengono elaborati con la massima cura, nel pieno rispetto delle normative del GDPR.

Anche in presenza di segnalazioni anonime, è possibile interagire con i segnalanti per ottenere ulteriori dettagli o confermare la ricezione del messaggio tramite una casella di posta elettronica sicura.

Inserimento Facile delle Segnalazioni

Il processo di invio delle segnalazioni è intuitivo e guidato passo dopo passo per l’utente. Puoi inviare una segnalazione da qualsiasi dispositivo, come smartphone, tablet o PC. Inoltre, il sistema EQS Integrity Line per le segnalazioni è accessibile e conforme alla Direttiva UE sull’accessibilità dei siti web e alle linee guida WCAG 2.1.

Sicurezza Certificata per i Dati

Assicuriamo la massima sicurezza per i vostri dati sensibili. Il sistema di segnalazione EQS Integrity Line conserva esclusivamente i dati in Germania. Utilizzando tecnologie avanzate di crittografia e certificati SSL, i vostri dati sono inaccessibili a chiunque esterno all’azienda.

Funzioni Analitiche e Statistiche Avanzate

EQS Integrity Line fornisce diversi cruscotti e grafici interattivi per facilitare la creazione dei vostri report. I dati sono analizzabili in tempo reale e le pratiche funzioni di ricerca consentono di individuare rapidamente l’indagine desiderata.

È inoltre possibile scaricare tutte le informazioni nel formato Excel per una maggiore flessibilità.

Caratteristiche tecniche fondamentali

  • Crittografia dei dati secondo le specifiche BSI, con la possibilità di garantire la ricezione di segnalazioni anonime e canale di comunicazione diretto;
  • Personalizzazione della pagina per l’invio delle segnalazioni (loghi, testi, domande);
  • Case Management: Sezione dedicata alla gestione dei casi ricevuti (lato azienda personalizzabile)
    Traduzione delle segnalazioni;
  • Gestione e pianificazione di scadenze, gestione della documentazione e reportistica;
  • Connessione ad un canale di invio delle segnalazioni telefoniche;
  • Autenticazione a 2 fattori (2FA);
  • Sicurezza e gestione dei dati in data center certificati ISO 27001 all’interno dell’UE;
  • Pagina di invio delle segnalazioni accessibile secondo lo standard WCAG 2.1 (Web Content Accessibility Guidelines W3C).

FAQ

Come viene garantito l’anonimato del segnalante?

Il nostro sistema di whistleblowing, EQS Integrity Line, garantisce l’anonimato del segnalante e assicura che la sua identità non possa essere rintracciata con mezzi tecnici. EQS Integrity Line è ospitato su server esterni certificati ISO 27001 ad alta sicurezza. Su questi server non sono memorizzati indirizzi IP, dati di localizzazione, specifiche del dispositivo o altri dati che possano consentire di trarre conclusioni sull’identità del whistleblower.

Il segnalante può decidere se preferisce rimanere anonimo oppure se fornire le proprie informazioni personali. In ogni caso, il contenuto della segnalazione è criptato utilizzando una procedura a chiave pubblica-privata (PGP) con 2048 bit RSA. Inoltre, tutte le comunicazioni sul server avvengono tramite una connessione HTTPS sicura.

Quali standard di sicurezza soddisfa EQS Integrity Line?

Sia EQS Group come azienda che il software per la gestione del whistleblowing EQS Integrity Line sono certificati secondo lo standard di sicurezza delle informazioni ISO 27001. Lo sviluppo del prodotto e il suo continuo aggiornamento seguono il principio “Security by Design”.

Inoltre, il sistema garantisce la piena conformità con la normativa UE GDPR e con le normative vigenti in tutto il mondo riguardo la protezione dei dati, sia per il whistleblower nel processo di segnalazione che per il case manager nella gestione integrata dei casi.

EQS Integrity Line soddisfa i più elevati requisiti di sicurezza e crittografia (trasmissione e accesso ai dati) e garantisce l’assoluta riservatezza delle segnalazioni inviate.

  • Data center ad alta sicurezza certificato ISO 27001;
  • Sicurezza del sistema confermata dal penetration test annuale esterno;
  • Connessione SSL;
  • Crittografia dei dati;
  • Crittografia caso per caso;
  • Definizione di utenti e ruoli per l’accesso alle informazioni;
  • Protezione completa dell’anonimato del segnalante;
  • Controlli di sicurezza e penetration test periodici.

Come viene garantita la conformità al GDPR?

EQS supporta il rispetto del regolamento europeo sulla protezione dei dati (GDPR) e di altre normative vigenti in tutto il mondo riguardo la protezione, attraverso diverse misure a livello organizzativo, tecnico e funzionale.

A livello organizzativo attraverso misure adottate per la sicurezza delle informazioni e la protezione dei dati sotto forma di un ISMS adeguato e certificato secondo lo standard ISO 27001. Ciò è soggetto a regolari audit interni e indipendenti.

A livello tecnico, EQS Integrity Line è stata sviluppata secondo i più elevati standard per la protezione e la sicurezza dei dati. Questo significa:

  • Nessuna registrazione dei dati personali dei visitatori e dei segnalanti;
  • Crittografia dei dati in transito e dei dati archiviati;
  • Nessuna analisi o ricerca di metadati con i dati dei nostri clienti;
  • Possibilità di inviare notifiche sulla protezione dei dati (disclaimer) e altre informazioni durante il processo di segnalazione;
  • Attivazione di diverse funzioni di sicurezza in relazione all’accesso e al trattamento dei dati

A livello funzionale, EQS Integrity Line supporta il gestore della segnalazione nelle attività relative ai processi interni di protezione dei dati. Questo include:

  • Promemoria e notifiche quando si verificano determinati criteri di protezione dei dati, inclusa l’indicazione delle azioni necessarie;
  • Supporto con anonimizzazione dei dettagli del caso (es. dati anagrafici);
  • Automazione delle procedure interne di approvazione e principio del doppio controllo per il trattamento dei casi sensibili;
  • Gestione granulare delle autorizzazioni e concetto di ruolo per la messa a punto dell’accesso ai contenuti dei casi sensibili.

Quanto tempo è necessario per l’implementazione del sistema?

EQS Integrity Line offre diversi pacchetti e configurazioni per soddisfare al meglio le diverse esigenze dei clienti. Le soluzioni “ready to go” sono disponibili in pochi giorni. Soluzioni personalizzate con funzioni estese di case management sono solitamente disponibili per l’uso operativo entro 4-8 settimane. Durante l’implementazione, i nostri esperti project manager sono al fianco del cliente per un’implementazione ottimale e una consulenza circa le best practice.

Quali lingue supporta la piattaforma?

La soluzione EQS Integrity Line è disponibile in oltre 80 lingue.

Conforme alla Direttiva UE sul Whistleblowing (2019/1937) e al GDPR?
Assolutamente, si!

Focus GDPR/DPIA
Il Whistleblowing e la Redazione della DPIA: Un Impegno Procedurale, Non Limitato alla Piattaforma

Nel contesto della nuova normativa sul Whistleblowing, la Valutazione d’Impatto sulla Protezione dei Dati (DPIA) emerge come una delle principali misure volte a garantire la sicurezza dei dati personali. Tuttavia, la sua implementazione presenta alcuni elementi critici che meritano un’analisi dettagliata per garantire la conformità normativa.

La recente normativa sul whistleblowing, disciplinata dal D.lgs. del 10 marzo 2023 n. 24, pone un’enfasi particolare sulla tutela della privacy e della riservatezza attraverso una serie di misure mirate alla sicurezza dei dati personali.

Tra queste misure, la DPIA è menzionata esplicitamente nell’art. 13 co. 6, il quale stabilisce che i soggetti di cui all’articolo 4 devono definire il proprio modello di ricezione e gestione delle segnalazioni interne. Ciò implica l’individuazione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato ai rischi specifici dei trattamenti effettuati. Questa valutazione deve basarsi su un’analisi d’impatto sulla protezione dei dati e deve disciplinare il rapporto con fornitori esterni che trattano dati personali per conto dell’organizzazione.

La DPIA nella normativa sul whistleblowing assume un ruolo di rilievo in quanto esprime chiaramente la responsabilità dei titolari dei dati nei confronti dei trattamenti effettuati, come richiesto dal GDPR all’articolo 35. Il suo sviluppo è responsabilità del Titolare del trattamento, con il supporto, se presente, del Data Protection Officer (DPO), al fine di valutare e convalidare il processo.

La DPIA non dovrebbe limitarsi alla mera piattaforma di segnalazione, ma deve essere una valutazione completa del processo di gestione dei dati, includendo sia il canale orale che quello scritto, come specificato dalle Linee Guida dell’ANAC e dalla Guida operativa di Confindustria. La distinzione cruciale è che la DPIA della piattaforma deve essere considerata come parte integrante della DPIA dell’organizzazione, che esamina l’intero processo di gestione dei dati al di là della piattaforma stessa.

Alcuni elementi critici includono la possibile fuoriuscita dei dati dalla piattaforma durante le attività istruttorie e la redazione di documenti in seguito alle segnalazioni orali. Tutti questi dati personali possono circolare all’interno dell’organizzazione, innescando trattamenti ad alto rischio che devono essere inclusi e valutati nella DPIA.

Un’ulteriore criticità è rappresentata dal trattamento verbale, che richiede il consenso del segnalante, come stabilito dal Decreto. Questa modalità, non menzionata nel GDPR, è considerata dalla Linea Guida UNI CEI EN ISO/IEC 27002:2023, aggiungendo un ulteriore livello di complessità.

Analizzare il ciclo di vita dei dati nel whistleblowing è essenziale per la conformità normativa. La DPIA deve coprire l’intero processo, dall’attivazione e configurazione della piattaforma fino alla possibile dismissione e cancellazione sicura dei dati.

Per essere veramente conformi, è fondamentale non solo pianificare attentamente il processo di segnalazione, ma anche eseguire audit periodici sulla conformità del processo e sulle misure implementate. La DPIA non è un documento statico, ma dinamico e deve essere rivalutata in base alle segnalazioni ricevute, agli audit e agli sviluppi normativi o organizzativi.

Soggetti in campo:

  • Titolare del trattamento;
  • DPO (Data Protection Officer);
  • Segnalante;
  • Soggetto segnalato;
  • Organo di gestione;
  • Fornitore della piattaforma;
  • Stakeholder.

 

Alcuni riferimenti normativi:

Dir. UE 2019/1937 Whistle
D.lgs. del 10 marzo 2023 n. 24
GDPR (Regolamento UE 2016/679): Art. 4, Art. 13 co. 6, Art. 35
Decreto legislativo n. 51 del 2018 Art. 18
Linee Guida dell’ANAC
Guida operativa di Confindustria
Delibera n. 311 del 12 luglio 2023
Linea Guida UNI CEI EN ISO/IEC 27002:2023
D. Lgs. 10 Marzo 2023 n. 24 Art. 14

Chiamaci adesso

Chiama adesso il numero verde 800 522084 per ricevere tutte le informazioni commerciali che desideri