Forme di tutela del whistleblower previste dalla normativa
L’identità del Whistleblower viene protetta sia in fase di acquisizione della Segnalazione, che in ogni contesto successivo alla stessa, ad eccezione dei casi in cui l’identità debba essere rilevata per legge (es. indagini penali, tributarie o amministrative, ispezioni di organi di controllo, etc.). L’identità del Whistleblower può essere rivelata ai soggetti responsabili della gestione dell’intero procedimento disciplinare e all’incolpato solo nei casi in cui:
- vi sia il consenso espresso del Segnalante;
- la contestazione dell’addebito disciplinare risulti fondata, in tutto o in parte, sulla Segnalazione e la conoscenza dell’identità del Segnalante risulti assolutamente indispensabile alla difesa dell’incolpato.
Tutti i soggetti che ricevono o sono coinvolti nella gestione della Segnalazione sono tenuti a tutelare la riservatezza dell’identità del Segnalante.
L’O.d.V. dovrà segnalare l’ipotesi di discriminazione al Consiglio di Amministrazione.
Il Fondo si impegna, altresì, anche ai sensi delle previsioni specifiche della normativa di riferimento, a tutelare il Responsabile della Funzione Fondamentale che effettua una segnalazione da eventuali atti ritorsivi e discriminatori, nel pieno rispetto della presente Procedura e dei principi contenuti nel Codice Etico.
Infrastruttura e sicurezza
Il software gestionale del Whistleblowing, in linea con il dettato normativo, garantisce altissimi livelli di sicurezza sia al Segnalante, che a livello di infrastruttura.
Sicurezza del Segnalante e delle Segnalazioni
-
Crittografia asimmetrica sui contenuti testuali e sui file allegati: la crittografia non richiede azioni specifiche da parte degli utenti. Il sistema crittografico, garantisce che i messaggi ed i relativi allegati possano essere letti esclusivamente dal mittente e destinatario attraverso l’abbinamento della “chiave crittografica pubblica e privata”.
-
Possibilità di accesso tramite smart card.
-
-
Accesso regolamentato nel rispetto della normativa in materia di privacy: l’accesso alle Segnalazioni è consentito esclusivamente tramite credenziali (per gli utenti registrati) o tramite l’inserimento dei codici associati alla segnalazione (per gli utenti non registrati).
Sicurezza applicativa
Separazione della Segnalazione dall’identità del Segnalante (come peraltro previsto anche nella Determinazione ANAC n. 6 del 28 aprile 2015, Parte III, cap. 2.): la riservatezza del Segnalante è ulteriormente garantita dal software, che prevede una netta separazione del processo di iscrizione dal processo di Segnalazione, per una corretta separazione dei dati. Nella Segnalazione inviata, infatti, non viene indicato il nominativo del Segnalante. Resta ferma la possibilità per i componenti dell’OdV di attivare la procedura tramite la quale il sistema associa l’identità del Segnalante alla Segnalazione, motivando la richiesta, quando ciò è ritenuto necessario e nei casi previsti dalla normativa. Tale azione viene automaticamente notificata al Segnalante e registrata nel sistema.
Server dedicati DigitalPA: massima protezione dei dati e dei livelli di sicurezza, garantiti sia dalla certificazione DigitalPA ISO 27001/2014 che dalla infrastruttura della server farm certificata ISO 27001/2014.
Firewall hardware e Software integrato: ogni piattaforma dispone di un firewall integrato con strettissime regole, che limitano gli accessi e le azioni agli esclusivi compiti dedicati al software; i firewall si integrano e potenziano ulteriormente la sicurezza.
Certificato SSL: il software di Whistleblowing è accessibile esclusivamente tramite accesso HTTPS (Secure Sockets Layer).
IP e Certificato SSL dedicati per ciascun cliente.
Validazioni input utente: la piattaforma è basata su un approccio di validazione input dell’utente. Attraverso regole estremamente rigide l’utente viene verificato sia a livello client che a livello server.
Prevenzione CSRF: tutte le richieste gestite dalla piattaforma sono protette da token CSRF.