Istruzioni per la compilazione di una segnalazione WhistleBlowing

Di seguito sono descritte le istruzioni per la compilazione di una segnalazione WhistleBlowing

1. RACCOLTA DELLA SEGNALAZIONE

Il Segnalante avvia le fasi di segnalazione nel rispetto del “Regolamento WhistleBlowing” adottato dal Titolare del Trattamento.

Il Segnalante, mediante link, accessibile all’URL https://www.iusprivacy.eu/whistleblowing/whistleblowing/902709961/700010126/IT/ posizionato nella parte bassa del sito web del Titolare del Trattamento, accede all’interfaccia della Piattaforma WhistleBlowing,  appositamente predisposta e formula la Segnalazione.

Il Segnalante può, mediante l’interfaccia della Piattaforma:

 formulare la Segnalazione, indicando i propri dati personali identificativi e recapiti o, in alternativa, può formulare una Segnalazione in forma anonima;

  • inserire  nel dettaglio le condotte illecite dei quali è venuto a conoscenza nell’ambito delle proprie mansioni, rispondendo agli elementi richiesti dalla Piattaforma WhistleBlowing utili all’accertamento della segnalazione o, in alternativa, registrare e trasmettere un file audio  in cui è descritta la violazione;

  • indicare eventuali soggetti e fornire ogni altro elemento che possa contribuire al riscontro certo di quanto segnalato, anche mediante la trasmissione di documentazione (allegati);

  • accedere, mediante specifica password fornita al momento dell’inserimento, alla segnalazione in precedenza inserita al fine di consultare lo stadio di avanzamento della violazione comunicata e/o leggere/scrivere comunicazioni dal/al GdS autorizzato.

 I dati personali raccolti al momento dell'inserimento della Segnalazione sono di seguito descritti:

ID della segnalazione

Intero

ID del sistema di segnalazione aziendale

Intero

ID del proprietario del sistema di segnalazione

Intero

Data ed Ora di Inserimento della Segnalazione

Data

Sessione della Segnalazione

Cifrato

Interesse Privato nella Segnalazione

Cifrato

Partecipazione all'Illecito

Cifrato

Nome e Cognome del Segnalante (se non anonima)

Cifrato

Metodo di comunicazione (se non anonima)

Cifrato

email del Segnalante (se non anonima)

Cifrato

Prefisso Telefono del Segnalante (se non anonima)

Cifrato

Telefono del Segnalante (se non anonima)

Cifrato

Ufficio/funzione di appartenenza

Cifrato

Nome e Cognome del Segnalato

Cifrato

Informazioni sul Segnalato

Cifrato

Segnalazione in forma anonima

Cifrato

Stato di Accettazione della Segnalazione

Intero

Stato di Lavorazione della Segnalazione

Intero

Tipo di illecito Segnalato

Cifrato

Oggetto della Segnalazione

Cifrato

Descrizione della Segnalazione

Cifrato

Luogo in cui è stato commesso l'illecito

Cifrato

Periodo in cui è stata commessa la violazione

Cifrato

Presa Visione INformativa Privacy

Intero

Impronta digitale dell'informativa Privacy Consultata

Cifrato

Presa Visione Regolamento Privacy

Intero

Impronta digitale del Regolamento WhistleBlowing accettato

Cifrato

Password cifrata di Accesso alla Segnalazione

Cifrato

Data di Cancellazione(quando realizzate le fasi previste)

Data

Note della Segnalazione

Cifrato

ID del Responsabile dei Servizi Interni di Segnalazione (RSIS)

Intero

Data ed ora di aggiornamento della Segnalazione

Data

Codice Presa In Carico della Segnalazione

Intero

Comunicazioni Intercorse tra il Segnalante e il Resp. Sist. Int. di Segnalazione (se inserite)

Cifrato

Allegati in formato PDF o segnalazione Audio

Cifrato

 

2. GESTIONE DEL RESPONSABILE DEL SISTEMA INTERNO DI SEGNALAZIONE

All’interno della Piattaforma WhistleBlowing il Gestore della Segnalazione può  impostare:

  • l’esito della Segnalazione come uno delle seguenti ipotesi: Consegnata, Presa in Carico, Respinta, Fondata e  Infondata;

  • lo stato della Segnalazione: Da Esaminare, In Corso di Esame, Richieste Informazioni, Esame Concluso.

Il GdS (Gestore della Segnalazione) accede, periodicamente o perché notificato dal sistema di alert email, alla Piattaforma WhistleBlowing con le proprie credenziali di accesso, effettuando una doppia autenticazione tramite OTP trasmesso alla propria casella email.

Segnalazione Consegnata - Quando il WhistleBlower inserisce una segnalazione questa viene annotata automaticamente come “Consegnata”; la Piattaforma provvede a fornire al WhistleBlower un messaggio con l’esito della corretta ricezione della Segnalazione (ricevuta di segnalazione), nella disponibilità ed esclusiva custodia del Segnalante, da utilizzare come password per la consultazione successiva della stessa.

Segnalazione Presa in Carico - Il GdS consulta la Segnalazione ricevuta impostandola, quando presenta elementi attendibili, come “Presa in Carico”; quando la Segnalazione è presa in carico la Piattaforma WhistleBlowing genera un “Avviso di Ricevimento” (codice alfanumerico) . 

Il Segnalante può prendere cognizione dell’Avviso di Ricevimento accedendo, mediante la propria password di accesso (“Ricevuta di Segnalazione”), alla Segnalazione verificando lo stato di quest’ultima.

Il Segnalante potrà, accedendo al sistema, esaminare in qualsiasi momento lo stato della segnalazione trasmessa.

 

Qualora la Segnalazione venisse considerata attendibile e “Presa in Carico”, il GdS svolge tutte le attività di indagine che consistono nell’accertamento dei fatti segnalati tramite la valutazione degli elementi raccolti nella Segnalazione nonché l’acquisizione di ulteriori informazioni utili per un effettivo riscontro  dei fatti al fine di stabilire se siano presenti i requisiti di fondatezza dell’illecito segnalato e assicurata la riservatezza dell’identità del Segnalante.

Il Gestore della Segnalazione provvede:

  • all’inoltro della pratica e dei relativi esiti dell'indagine alla direzione aziendale di competenza, affinché possa determinare ed adottare le misure di intervento adeguate;

  • ad informare il Segnalante che è in corso un’indagine impostando lo stato della lavorazione come “in Corso di Esame”; o in alternativa “Richieste Informazioni" qualora il GdS richieda ulteriori informazioni al Segnalante.

Il GdS può individuare e avvalere di strutture interne e/o esterne al Titolare del Trattamento, le quali si attivano prontamente nelle attività di supporto, nel rispetto dei principi di tutela e riservatezza.


Segnalazione Respinta - Se la segnalazione non presenta elementi tali da poter proseguire con la fasi successive, in quanto non rientra nel perimetro oggettivo di riferimento della normativa WhistleBlowing, il GdS imposta la Segnalazione come “Respinta” fornendo specifiche informazioni al Segnalante sulla non pertinenza della Segnalazione trasmessa.

Segnalazione Fondata - Se le attività di indagine dovessero accertare effettive condotte illecite la Direzione adotterà le azioni adeguate come previste dal Regolamento WhistleBlowing adottato dal Titolare del Trattamento. Il GdS provvede ad annotare all’interno della Piattaforma WhistleBlowing la motivazione ad impostare la Segnalazione come “Fondata” e lo stato di lavorazione come “Esame Concluso” qualora siano terminate tutte le attività.

Segnalazione Infondata -  Se le attività di indagine non dovessero accertare le condotte illecite raccolte nella Segnalazione la Direzione adotterà le azioni adeguate come previsto dal Regolamento WhistleBlowing adottato dal Titolare del Trattamento. Il GdS provvede  ad annotare all’interno della Piattaforma WhistleBlowing la motivazione,  ad impostare la Segnalazione come “Infondata” e lo stato di lavorazione come “Esame Concluso” qualora siano terminate tutte le attività.

 

Il D. Lgs. 24 / 2023 dispone che il GdS debba fornire un riscontro al Segnalante, entro tre mesi dalla data di avviso di ricevimento o - in mancanza di tale avviso - entro tre mesi dalla data di scadenza del termine di sette giorni per tale avviso.

Al riguardo, è opportuno specificare che non è necessario concludere l’attività di accertamento entro i tre mesi, considerando che possono sussistere fattispecie che richiedono, ai fini delle verifiche, un tempo maggiore. Pertanto, si tratta di un riscontro che, alla scadenza del termine indicato, può essere definitivo se l’istruttoria è terminata oppure di natura interlocutoria sull’avanzamento dell’istruttoria, ancora non ultimata.

Pertanto, alla scadenza dei tre mesi, il gestore della segnalazione può comunicare al segnalante:

  • l’avvenuta archiviazione della segnalazione, motivandone le ragioni;

  • l’avvenuto accertamento della fondatezza della segnalazione e la sua trasmissione agli organi interni competenti;

  • l’attività svolta fino a questo momento e/o l’attività che intende svolgere.

 

In tale ultimo, caso è consigliabile comunicare alla persona segnalante anche il successivo esito finale dell’istruttoria della segnalazione (archiviazione o accertamento della fondatezza della segnalazione con trasmissione agli organi competenti), in linea con le LG ANAC.

 

c. CANCELLAZIONE DELLE SEGNALAZIONI

Il termine di conservazione è stabilito in 5 anni dal termine della procedura di valutazione della Segnalazione raccolta. Tale periodo è stato individuato prendendo a riferimento quanto espresso dall’Art.14 del D. Lgs n. 24  / 2023.

Rimane salva la facoltà del Titolare del Trattamento di utilizzare, sia per le Fondate, sia per quelle Infondate,  le informazioni raccolte con la Segnalazione per azionare la difesa dei diritti in sede giudiziaria e/o dar luogo a eventuali procedimenti disciplinari.

La Piattaforma WhistleBlowing esporrà, per ogni Segnalazione, la data da cui sarà possibile procedere alla cancellazione della Segnalazione che avverrà sempre in modalità manuale a cura del GdS.

Regolamento di gestione delle segnalazioni WhistleBlowing

Di seguito è descritto il regolamento di gestione delle segnalazioni WhistleBlowing

1. PREMESSA

L’istituto del Whistleblowing consiste nella possibilità data ai dipendenti, nonché ad altri soggetti coinvolti,  di segnalare potenziali illeciti e condotte irregolari commessi ai danni dell’organizzazione, di seguito la “Società”. 

Il presente Regolamento ha come scopo quello di disciplinare la procedura di gestione delle segnalazioni di illeciti e di rendere note le modalità con cui l’ente, di seguito la “Società”, garantisce le tutele del segnalante, c.d. whistleblower, prevista dalla normativa vigente in materia.. 

Ro Technology S.r.l. (ROTECH in breve) è una PMI fondata nel gennaio 2011 da un gruppo di professionisti con una lunga esperienza nella progettazione e nello sviluppo di sistemi embedded, GIS, Web application e crittografia. La società opera nel mercato ICT a 360 gradi, concentrando la propria attività nello sviluppo di nuove tecnologie e capacità e garantendo una crescita aziendale progressiva e sostenibile. 

Ro Technology è oggi una media impresa, competitiva e con una forte spinta innovativa in un mercato in grande crescita (circa 7% quello dell’ICT e circa del 6,2% quello dei servizi IT dedicati allo sviluppo, all’integrazione e alla gestione di sistemi e applicazioni). In questo contesto, il progresso della società è stato sempre costante ed incrementale negli anni sia in termini di fatturato, sia rispetto al personale, passando dai 3 dipendenti del 2011 fino agli 82 del 2023.

 

La Società ha nominato il Gestore della segnalazione, Marialuisa Scalise.

 

2. COSA SI PUO’ SEGNALARE

Il d.lgs. n. 24/2023 stabilisce che possono essere oggetto di segnalazione, divulgazione pubblica o denuncia, le informazioni sulle violazioni, compresi i fondati sospetti, di normative nazionali e dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato commesse nell’ambito organizzativo dell’ente con cui il segnalante intrattiene uno di rapporti giuridici e di cui sia venuto a conoscenza.

A titolo esemplificativo possono costituire oggetto della segnalazione:

  1. Violazioni del diritto nazionale;

  2. Illeciti amministrativi, contabili, civili o penali;

  3. condotte illecite rilevanti ai sensi del decreto legislativo 8 giugno 2001, n. 231;

  4. Violazioni del diritto dell’UE;

  5. Atti od omissioni che ledono gli interessi finanziari dell'Unione Europea;

  6. Atti od omissioni riguardanti il mercato interno, che compromettono la libera circolazione delle merci, delle persone, dei servizi e dei capitali.

Possono essere, inoltre, oggetto della segnalazione tutti quegli elementi che riguardano condotte volte ad occultare le violazioni stesse.

Sono escluse dall’ambito oggettivo tutte quelle informazioni che appaiono palesemente prive di fondamento, di dominio pubblico o acquisite attraverso il “vociferare”.

 

3. CHI PUO’ SEGNALARE

Le  disposizioni  del decreto legislativo 24/2023 si applicano alle persone segnalanti che  segnalano, denunciano  all'autorità  giudiziaria  o   contabile   o   divulgano pubblicamente le violazioni  di  cui  sono  venute  a conoscenza nell'ambito del proprio contesto lavorativo.

In particolare, i soggetti che possono segnalare sono: (l’elenco deve rispettare i soggetti operanti all’interno della società)

  1. Lavoratori subordinati, ivi compresi i Lavoratori il cui rapporto di lavoro è disciplinato dal d.lgs. n. 81/2015 o Lavoratori che svolgono prestazioni occasionali;

  2. Lavoratori autonomi;

  3. Lavoratori autonomi che svolgono la propria attività lavorativa presso soggetti del settore privato;

  4. Titolari di un rapporto di collaborazione;

  5. Titolari di un rapporto di collaborazione di cui all’art. 2 del d.lgs. n. 81/2015. Si tratta delle collaborazioni organizzate dal committente che si concretino in prestazioni di lavoro esclusivamente personali e continuative, le cui modalità di esecuzione siano organizzate dal committente;

  6. Liberi professionisti e consulenti che prestano la propria attività presso soggetti del settore privato;

  7. Volontari e tirocinanti, retribuiti e non retribuiti;

  8. Azionisti persone fisiche, quando presenti;

  9. Persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza.

Le tutele si applicano anche qualora la segnalazione provenga:

  •  da chi non ha un rapporto giuridico non  e'  ancora iniziato;

  • dai Candidati se, le informazioni sulle violazioni,  sono  state  acquisite durante il processo di selezione o in altre fasi precontrattuali;

  • da chi è si trova nel periodo di prova;

  • successivamente allo scioglimento del rapporto giuridico se le informazioni sulle violazioni sono  state  acquisite  nel  corso  del

          rapporto stesso.

Ai sensi dell’art. 3, comma 5, del D.Lgs. 24/2023, la tutela è riconosciuta, oltreché al Segnalante, anche a tutti quei soggetti che, tuttavia, potrebbero essere destinatari di ritorsioni in forza del ruolo assunto nell’ambito del processo di segnalazione.

In particolare, le misure di protezione di cui al Decreto n.24/2023 si applicano: 

  1. Facilitatori;

  2. Persone del medesimo contesto lavorativo con legame di parentela fino a quarto grado e legame affettivo stabile;

  3. Colleghi di lavoro con rapporto abituale e corrente nel medesimo contesto lavorativo;

  4. Gli enti di proprietà di chi segnala o per i quali lavora il segnalante o che operano nel medesimo contesto lavorativo. 

 

4. SEGNALAZIONI

4.1 MODALITA’ E CANALI DELLA SEGNALAZIONE

Come previsto dal decreto, le modalità di segnalazione sono le seguenti: 

  1. Canale interno: ai sensi dell’art 4 comme 2 del Decreto, il canale di segnalazione interno, può essere gestito tanto da una persona o un ufficio interno all’ente, quanto da un soggetto esterno. In entrambi i casi, il soggetto che gestirà le segnalazioni sarà autonomo e adeguatamente formato.

  2. Canale esterno ANAC: il Segnalante può effettuare una Segnalazione esterna, avvalendosi del canale esterno attivato, a tal fine, presso l’A.N.A.C. ai sensi dell’art. 7 del D.Lgs. 24/2023 e delle Linee Guida A.N.A.C. 2023, ove, al momento della sua presentazione, ricorra una delle seguenti condizioni previste dall’art. 6 del D.Lgs. 24/2023:  ha già effettuato una segnalazione interna e la medesima non ha avuto seguito;  teme che la segnalazione possa determinare il rischio di ritorsione o che non possa avere efficace seguito;  ritiene che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse. 

  3. Divulgazione pubblica: il segnalante puòÌ? ricorrere a divulgazione pubblica a mezzo stampa o media, social media quando:  ha già effettuato una segnalazione interna e/o ad ANAC senza ricevere riscontro;  teme che la segnalazione possa determinare il rischio di ritorsione o che non possa avere efficace seguito in ragione delle specifiche circostanze del caso concreto;  ritiene che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse. 

  4. Denuncia: il decreto in ultimo riconosce anche la facoltà al segnalante di denuncia delle condotte illecite configurabili come reati direttamente alle Autorità competenti. 

Le segnalazioni possono essere effettuate  in  forma  scritta, con modalita'  informatiche attraverso l'utilizzo dell’apposita piattaforma,  oppure  in  forma  orale.

Le  segnalazioni interne in forma orale possono essere effettuate attraverso linee telefoniche o sistemi di messaggistica vocale o, su  richiesta  della  persona segnalante, mediante un incontro diretto  fissato  entro  un  termine ragionevole.

 

4.2 CONTENUTO SEGNALAZIONE

È necessario che la segnalazione sia il più possibile circostanziata al fine di consentire la delibazione dei fatti da parte dei soggetti competenti.

Inoltre, è necessario che la segnalazione contenga in modo chiaro:

  • le generalità o altri elementi che consentano di identificare il soggetto cui attribuire i fatti segnalati;

  • le circostanze di tempo e di luogo in cui si è verificato il fatto oggetto della segnalazione;

  • la descrizione del fatto;

  • allegare documenti che possano fornire elementi di fondatezza dei fatti oggetto di segnalazione;

  • l’indicazione di potenziali testimoni.

Se la segnalazione non è adeguatamente circostanziata, chi gestisce le segnalazioni potrà chiedere elementi integrativi al segnalante tramite la piattaforma o anche di persona, se il segnalante abbia richiesto un incontro personale.

Le segnalazioni dalle quali non è possibile ricavare l’identità del segnalante sono considerate anonime. Le segnalazioni anonime, ove circostanziate, sono equiparate alle segnalazioni ordinarie e trattate consequenzialmente in conformità a quanto previsto dal presente Regolamento.

 

4.3 PROCEDURA SEGNALAZIONE: LA PIATTAFORMA WhistleBlowing IusPrivacy

La Società ha istituito un proprio canale interno attraverso l’utilizzo della piattaforma IusPrivacy WhistleBlowing accessibile dal sito  [URL SITO WEB] , di seguito “Piattaforma di Segnalazione”, in cui, nella specifica sezione, sono pubblicate le istruzioni per formulazione e consultazione delle segnalazioni.

 

5. TUTELA DEL SEGNALANTE

La disciplina del whistleblowing prevede un corpo di misure volte a tutelare il segnalante.

Nel dettaglio, costituiscono predette misure:

  • La tutela della riservatezza rivolta al segnalante, al facilitatore, alla persona coinvolta e alle persone menzionate nella segnalazione;

  • La tutela da eventuali ritorsioni adottate dall’ente in ragione della segnalazione, divulgazione pubblica o denuncia effettuata e le condizioni per la sua applicazione;

  • Le limitazioni della responsabilità rispetto alla rivelazione e alla diffusione di alcune categorie di informazioni che operano al ricorrere di determinate condizioni.

 

5.1 Riservatezza

L'identità della persona segnalante e qualsiasi altra informazione dalla quale si può, direttamente o indirettamente, risalire a tale identità non possono essere e non saranno rivelate senza il consenso espresso della stessa persona segnalante a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni.

Come è garantita la riservatezza del segnalante: 

  • nell’ambito del procedimento penale, l’identità del segnalante è coperta dal segreto nei modi e nei limiti previsti dall’articolo 329 c.p.p.;

  • Nell'ambito del procedimento dinanzi alla Corte dei conti, l'identità della persona segnalante non può essere rivelata fino alla chiusura della fase istruttoria;

  • nell’ambito del procedimento disciplinare l'identità della persona segnalante non può essere rivelata. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità della persona segnalante sia indispensabile per la difesa dell'incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità.

La Società al fine di  tutelare l’identità del segnalante, adotta severe misure di sicurezza descritte all’interno della specifica sezione della Piattaforma di Segnalazione.

E’ garantita la riservatezza anche di tutti i soggetti coinvolti nella segnalazione.

La riservatezza viene garantita sia nel caso di segnalazioni interne che esterne, effettuate in forma orale attraverso linee telefoniche o, in alternativa, sistemi di messaggistica vocale o, su richiesta della persona segnalante, mediante un incontro diretto con chi tratta la segnalazione

La riservatezza del segnalante è tutelata anche quando la segnalazione perviene a personale diverso da quello autorizzato e competente a gestire le segnalazioni, al quale, comunque, le stesse vanno trasmesse senza ritardo.

Il Decreto prevede solo 2 ipotesi in cui è possibile rivelare l’identità del segnalante. In queste ipotesi è necessario non solo il consenso espresso dello stesso ma anche una comunicazione scritta delle ragioni di tale rivelazione.

Le due ipotesi:

  1. nel procedimento disciplinare laddove il disvelamento dell’identità del segnalante sia indispensabile per la difesa del soggetto a cui viene contestato l’addebito disciplinare;

  2. nei procedimenti instaurati in seguito a segnalazioni interne o esterne laddove tale rivelazione sia indispensabile anche ai fini della difesa della persona coinvolta.

 

5.2 TUTELA DELL’ANONIMATO

A tutela del segnalante è prevista anche la misura dell’anominato, ovvero l’identità del segnalante (whistleblower) non può essere rivelata senza il suo espresso consenso.

Tutti coloro che ricevono o sono coinvolti nella gestione delle segnalazioni, sono tenuti a tutelare la riservatezza di tale informazione.

 

5.3 TUTELA DALLE RITORSIONI

Il Decreto prevede, a tutela del whistleblower, il divieto di ritorsione che è definita come “qualsiasi comportamento, atto od omissione, anche solo tentato o minacciato, posto in essere in ragione della segnalazione, della denuncia all'autorità giudiziaria o della divulgazione pubblica e che provoca o può provocare alla persona segnalante o alla persona che ha sporto la denuncia, in via diretta o indiretta, un danno ingiusto”(d.lgs 24/2023, art. 2, comma 1, lett. m).

La società xxx in osservanza alle disposizioni normative, sarà parte attiva nell’impedire la manifestazione di misure ritorsive quali devono intendersi a titolo esemplificativo e non esaustivo:

a) licenziamento, sospensione o misure equivalenti;

b) retrocessione di grado o mancata promozione;

c) mutamento di funzioni, cambiamento del luogo di lavoro, riduzione dello stipendio, modifica dell’orario di lavoro;

d) sospensione della formazione o qualsiasi restrizione dell’accesso alla stessa;

e) note di demerito o referenze negative;

f) adozione di misure disciplinari o di altra sanzione, anche pecuniaria;

g) coercizione, intimidazione, molestie o ostracismo;

h) discriminazione o comunque trattamento sfavorevole;

i) mancata conversione di un contratto di lavoro a termine in un contratto di lavoro a tempo indeterminato, laddove il lavoratore avesse una legittima aspettativa a detta conversione;

j) mancato rinnovo o risoluzione anticipata di un contratto di lavoro a termine;

k) danni, anche alla reputazione della persona, in particolare sui social media, o pregiudizi economici o finanziari, comprese la perdita di opportunità economiche e la perdita di redditi;

l) inserimento in elenchi impropri sulla base di un accordo settoriale o industriale formale o informale, che può comportare l’impossibilità per la persona di trovare un’occupazione nel settore o nell’industria in futuro;

m) conclusione anticipata o annullamento del contratto di fornitura di beni o servizi;

n) annullamento di una licenza o di un permesso;

o) richiesta di sottoposizione ad accertamenti psichiatrici o medici.

 

5.4. LIMITAZIONE DI RESPONSABILITA’ PER CHI SEGNALA

L’art 20 del Decreto disciplina la misura delle limitazioni di responsabilità.

Tale misura opera solo nei casi in cui ricorrono, contestualmente, due condizioni:

1. La prima richiede che al momento della rivelazione o diffusione vi siano fondati motivi per ritenere che le informazioni siano necessarie per far scoprire la violazione. Il segnalante, quindi, deve ritenere che quelle informazioni siano indispensabili per far emergere la violazione; 

2. La seconda condizione, invece, esige che la segnalazione, la divulgazione pubblica o la denuncia sia stata effettuata nel rispetto delle condizioni previste dal d.lgs. n. 24/2023 per beneficiare della tutela dalle ritorsioni.

Entrambe le condizioni, come precedentemente detto, devono sussistere per escludere la responsabilità.

Se soddisfatte, le persone che segnalano, denunciano o effettuano una divulgazione pubblica non incorrono in alcun tipo di responsabilità civile, penale, amministrativa o disciplinare.

 

5.5 CONDIZIONI PER L’APPLICAZIONE DELLE TUTELE

Le misure previste si applicano ai segnalanti quando ricorrono le seguenti condizioni:

  • i segnalanti devono ragionevolmente credere che le informazioni sulle violazioni segnalate siano veritiere (non supposizioni, voci di corridoio o notizie di pubblico dominio); 

  • viene tutelata la buona fede del segnalante anche in caso di segnalazione inesatte per via di errori genuini (scarsa conoscenza delle norme giuridiche);

  • il segnalante deve indicare chiaramente nell’oggetto della segnalazione che si tratta di una segnalazione whistleblowing; deve esserci uno stretto collegamento o consequenzialità tra la segnalazione e l’atto sfavorevole direttamente o indirettamente subito dal segnalante, per configurare la ritorsione.

  • la segnalazione deve essere fatta secondo quanto previsto nel Capo II del D.lgs. 24 del 2023 e descritto nei precedenti punti 4.1, 4.2, 4.3. 

 

6. MANUALE OPERATIVO DELLA PIATTAFORMA

Le istruzioni per la formulazione di una segnalazione nonché le modalità di consultazione delle stesse sono riportate nell’apposita sezione pubblicata sulla piattaforma web.

Informativa Privacy per il sistema di segnalazione WhistleBlowing

Termini per il trattamento dei dati personali a seguito della compilazione di una segnalazione WhistleBlowing

Con il presente documento (“Informativa”) il Titolare del trattamento, come di seguito definito, desidera informarla sulle finalità e le modalità del trattamento dei Suoi dati personali e sui diritti che Le sono riconosciuti dal Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali nonché alla loro libera circolazione (“GDPR”). La presente Informativa potrà essere integrata dal Titolare ove eventuali servizi aggiuntivi da Lei richiesti dovessero comportare ulteriori trattamenti.

 

1. TITOLARE DEL TRATTAMENTO

Ro Technology CF: 11250391007, via dei Mamili 11 Roma 00175 (Roma), tel: 06 2112 8876, email: hr@rotechnology.it

 

2. RESPONSABILE PROTEZIONE DEI DATI / DPO

Email:  dpo.iusprivacy@iusprivacy.eu

 

3. TIPI DI DATI TRATTATI

Le attività di trattamento svolte sono finalizzate all'acquisizione dei seguenti dati personali:

  • Dati comuni: dati anagrafici.

  • Dati giudiziari: dati relativi a notizie di reato e condanne penali.

  • Dati particolari: se conferiti dal segnalante reltive alle condizione di salute, orientamento sessuale, appartenenza sindacale, credo religioso etc.

4. CATEGORIE DI INTERESSATI

Le attività di trattamento svolte sono rivolte alle seguenti categorie di interessati: segnalante, segnalati, facilitatori, soggetti coinvolti dalla segnalazione.

 

5. FINALITÀ DEL TRATTAMENTO E CONDIZIONE CHE RENDE LECITO IL TRATTAMENTO

a. Sistema di Segnalazioni Whistleblowing

Il whistleblowing è un atto attraverso il quale un individuo (segnalante), spesso dipendente di un'organizzazione, segnala o denuncia informazioni riservate o comportamenti illeciti o scorretti all'interno dell'organizzazione stessa, o a un'autorità esterna competente, al fine di rendere note le presunte condotte illecite delle quali sia venuto a conoscenza in ragione del proprio rapporto di lavoro con il Titolare del trattamento e commesse dai soggetti che a vario titolo interagiscono con il medesimo segnalante, al fine di effettuare le necessarie attività di verifica delle notizie oggetto della segnalazione. I suoi dati personali saranno trattati per le seguenti finalità:

Finalità del trattamento: i) per l’adempimento di obblighi previsti: dalle leggi sia nazionali, europee e da disposizioni di organi di vigilanza e controllo o da altre autorità a ciò legittimate, D. Lgs n. 231/2001,  disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, D.lgs. 10 marzo 2023, n. 24 in attuazione della direttiva (UE) 2019/1937; ii) per consentire le segnalazioni whistleblowing, verificarne la fondatezza, pertinenza e rilevanza dei fatti, delle circostanze denunciate al fine di adottare, ove necessario, ogni conseguente misura, anche disciplinare, che sia ritenuta necessaria od opportuna ai sensi di legge.

Condizione Liceità Trattamento: Obbligo Legale - Art. 6, c.1, let. c. GDPR, Legittimo Interesse - Art. 6, c.1, let. f. GDPR.

Natura del conferimento: Per il segnalante il conferimento degli elementi della segnalazione è obbligatoria, anche in forma anonima; il mancato conferimento non permette la formulazione della segnalazione. Potrebbero essere coinvolti nel processo di segnalazione, oltre alle informazioni conferite dal segnalante, anche i dati personali dei soggetti segnalati.

Periodo conservazione dati personali: i Suoi dati Le segnalazioni interne ed esterne e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre 5 anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui alla normativa europea e nazionale in materia di protezione di dati personali.

 

b. Difesa in sede Giudiziale e Stragiudiziale, anche nei rapporti di lavoro

I suoi dati personali potranno essere trattati per accertare, esercitare o difendere i diritti del Titolare in sede giudiziale e Stragiudiziale anche nei rapporti di lavoro.

Condizione Liceità Trattamento: Legittimo Interesse - Art. 6, c.1, let. f. GDPR

Finalità del trattamento: i) Esercizio di difesa del Titolare in sede Giudiziale e Stragiudiziale, anche nei rapporti di lavoro; ii) Trattamento di dati particolari, anche di dipendenti, per far valere o difendere un diritto, anche di un terzo, in sede giudiziale, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione, nei casi previsti dalle leggi, dalla normativa dell’Unione europea, dai regolamenti o dai contratti collettivi.

Natura del conferimento: L’utilizzo dei dati personali è strettamente necessario per l'eventuale difesa in sede giudiziale e stragiudiziale.

Periodo conservazione dati personali: I dati personali saranno impiegati per il periodo di tempo non superiore a quelli previsti dalla legge e comunque fino all’esaurimento dei termini di esperibilità delle azioni di impugnazione e non oltre alla conclusione del giudizio.

Modalità del Trattamento: Il trattamento è eseguito, prevalentemente, con strumenti informatici e cartacei.

 

c. Gestione sistemi IT

I dati personali sono utilizzati, per il legittimo interesse del Titolare e degli Interessati, per la gestione la sicurezza delle infrastrutture tecnologiche (IT)

Finalità del trattamento: Gestione dei sistemi IT, incluse la gestione dell'infrastruttura, la continuità operativa del business e la sicurezza IT.

Natura del conferimento: Obbligatorio - L'opposizione al trattamento potrà comportare l'impossibilità, per il Titolare del Trattamento, di fornire il servizio desiderato.

Periodo conservazione dati personali: le Sue informazioni personali sono conservate per tutto il periodo di tempo utile alla fornitura dei servizi nonché a garantire l'esercizio o la difesa di diritti.

Modalità del Trattamento: Il trattamento è eseguito con strumenti informatici.

Condizione Liceità Trattamento: Legittimo Interesse - Art. 6, c.1, let. f. GDPR

 

6. TRASFERIMENTO DATI EXTRA UE

I dati personali sono trattati esclusivamente all'interno della Unione Europea

 

7. DESTINATARI DEL TRATTAMENTO

Responsabile del Trattamento: Fornitori Servizi di Hosting, servizi mantenimento sistemi di ICT.

Soggetto Designato al Trattamento (Interno): RPCT, gestori della segnalazione.

Titolare Autonomo: ANAC, Autorità giudiziaria.

 

8. DIRITTI DELL'INTERESSATO - RECLAMO ALL'AUTORITÀ DI CONTROLLO

In relazione ai trattamenti descritti nella presente Informativa, in qualità di interessato Lei potrà, alle condizioni previste dal GDPR, esercitare i diritti sanciti dagli articoli da 15 a 22 del GDPR e, in particolare, i seguenti diritti:

  • diritto di accesso – articolo 15 GDPR: diritto di ottenere conferma che sia o meno in corso un trattamento di dati personali che La riguardano e, in tal caso, ottenere l'accesso ai Suoi dati personali;

  • diritto di rettifica – articolo 16 GDPR: diritto di ottenere, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che La riguardano e/o l’integrazione dei dati personali incompleti;

  • diritto alla cancellazione (diritto all’oblio) – articolo 17 GDPR: diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati personali che La riguardano. Il diritto alla cancellazione non si applica nella misura in cui il trattamento sia necessario per l’adempimento di un obbligo legale o per l’esecuzione di un compito svolto nel pubblico interesse o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

  • diritto di limitazione di trattamento – articolo 18 GDPR: diritto di ottenere la limitazione del trattamento, quando: a) l’interessato contesta l’esattezza dei dati personali; b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo ; c) i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; d) l'interessato si è opposto al trattamento in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.

  • diritto alla portabilità dei dati – articolo 20 GDPR: diritto di ricevere, in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i dati personali che La riguardano forniti al Titolare e il diritto di trasmetterli a un altro titolare senza impedimenti, qualora il trattamento si basi sul consenso e sia effettuato con mezzi automatizzati. Inoltre, il diritto di ottenere che i Suoi dati personali siano trasmessi direttamente da questo titolare ad altro titolare qualora ciò sia tecnicamente fattibile;

  • diritto di opposizione – articolo 21 GDPR: diritto di opporsi, in qualsiasi momento, al trattamento dei dati personali che La riguardano basati sulla condizione di legittimità del legittimo interesse, compresa la profilazione, salvo che sussistano motivi legittimi per il Titolare di continuare il trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

  • diritto a non essere sottoposto a un processo decisionale automatizzato – articolo 22 GDPR: l'interessato ha il    diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona, salvo che ciò sia necessario per la conclusione o esecuzione di un contratto o Lei abbia rilasciato il Suo consenso. In ogni caso, un processo decisionale automatizzato non potrà riguardare i Suoi dati personali e Lei potrà in ogni momento ottenere l'intervento umano da parte del titolare del trattamento, esprimere la propria opinione e contestare la decisione.

 

L’Interessato potrà inoltre proporre reclamo all’Autorità Garante per la protezione dei dati personali: http://www.garanteprivacy.it nonchè revocare il consenso prestato in ogni occasione e con la stessa facilità con cui è stato fornito senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.

I diritti di cui sopra potranno essere esercitati, nei confronti del Titolare, contattando i riferimenti sopra indicati.

L’esercizio dei Suoi diritti in qualità di interessato è gratuito ai sensi dell’articolo 12 GDPR. Tuttavia, nel caso di richieste manifestamente infondate o eccessive, anche per la loro ripetitività, il Titolare potrebbe addebitarle un contributo spese ragionevole, alla luce dei costi amministrativi sostenuti per gestire la Sua richiesta, o negare la soddisfazione della sua richiesta.

La informiamo, infine, che il Titolare potrà richiedere ulteriori informazioni necessarie a confermare l’identità dell’interessato.


Versione 1.0 del 31-10-2023


Misure di sicurezza del sistema di segnalazione WhistleBlowing

Sono state adottate le misure adeguate per la gestione delle segnalazioni Whistle Blowing

1.DEFINIZIONI

Al fine dell migliore comprensione delle misure di sicurezza di seguito sono descritte alcune definizioni:

  • Firewall”: Un firewall è un componente di sicurezza di rete che funge da barriera tra una rete interna o privata e una rete esterna o pubblica. Esamina il traffico di rete in entrata e in uscita e decide se consentire o bloccare determinate comunicazioni in base a un insieme di regole predefinite. Le regole del firewall specificano quali pacchetti di dati sono consentiti o rifiutati in base a criteri come indirizzi IP, porte, protocolli e altro; nella presente valutazione sono omessi la versione ed il nome del firewall utilizzati al fine di evitare la diffusione di potenziali informazioni preziose a terzi;

  • Web Application Firewall (“WAF”): Un Web Application Firewall è un dispositivo o un'applicazione software che si trova tra un'applicazione web e il traffico di rete in ingresso. Il suo compito principale è rilevare, filtrare e bloccare minacce informatiche specifiche che mirano alle applicazioni web, come attacchi SQL injection, cross-site scripting (XSS), cross-site request forgery (CSRF) e altri; nella presente valutazione sono omessi la versione ed il nome del WAF utilizzati al fine di evitare la diffusione di potenziali informazioni preziose a terzi;

  • Chiave di Cifratura: Per utilizzare l’algoritmo AES, è necessario specificare una chiave di cifratura. Questa chiave è una stringa segreta che viene utilizzata per crittografare e decrittografare i dati. È importante proteggere questa chiave con estrema cura poiché il suo accesso non autorizzato potrebbe compromettere la sicurezza dei dati.

2. MISURE PER ASSICURARE LA RISERVATEZZA DELLE INFORMAZIONI

  • SPECIFICI RUOLI DI ACCESSO: L’accesso al Software è riservato esclusivamente al personale autorizzato (incaricati e responsabili al trattamento) in possesso di specifiche ed individuali credenziali di accesso anche mediante specifica designazione come previsto dalla normativa vigente in materia privacy; 

  • ACCESSO DEGLI AMMINISTRATORI DI SISTEMA solo sempre tramite connessione protetta mediante protocollo SSH da IP espressamente autorizzati;

  • FIREWALL: Presenza di un Firewall che operaio il filtraggio del traffico di rete, inclusi input, output e regole forward;

  • WAF per la protezione dalle Vulnerabilità delle Applicazioni Web: Il WAF rileva e protegge dalle vulnerabilità comuni delle applicazioni web, come SQL injection, cross-site scripting (XSS), cross-site request forgery (CSRF) e molti altri attacchi web;

  • WAF  per il blocco delle Richieste Maliziose, compreso analisi di IP Reputation: Il WAF rileva e blocca automaticamente le richieste HTTP dannose o sospette prima che raggiungano l'applicazione web. Ciò include la protezione contro bot malevoli, scanner di vulnerabilità e attacchi di forza bruta;

  • WAF per il controllo del Traffico:  Il WAF analizza il traffico HTTP in entrata e in uscita per individuare attività sospette o comportamenti anomali. Ciò consente di identificare e mitigare minacce in tempo reale;

  • WAF per il rilevamento dei DDoS WAF include anche una protezione DDoS (Distributed Denial of Service) che può aiutare a mitigare gli attacchi DDoS contro il tuo server web;

  • ANALISI DEI LOG CONTINUO al fine di rilevare eventuali attacchi di tipo SQL Injection o XSS;

  • Sviluppo del Software secondo le migliori prassi, mediante anche l’utilizzo di PreparedStatement in Java, al fine di prevenire potenziali attacchi di tipo SQL e/o XSS Injection;

  • Accesso consentito al RSIS previa doppia autenticazione con codice temporaneo (OTP);

  • Cifratura delle informazioni delle Segnalazioni, registrate nel database, mediante algoritmo AES Encryption e specifica chiave di cifratura; 

  • Cifratura del backup delle Segnalazioni: i file di backup sono generati da record i cui dati sono stati popolati in forma cifrata; di conseguenza il backup delle segnalazioni contiene record in forma cifrata.

  • LOG DI NAVIGAZIONE:

    1. registrazione dei log delle operazioni del personale addetto alla gestione del Sistema di Segnalazione;

    2. registrazione dei log di navigazione esclusivamente al fine di intercettare attacchi informatici e rimossi immediatamente la registrazione di una Segnalazione;

  • Chiave di Cifratura”, creata con l’algoritmo SHA2

    1. è costituita da una parte fissa collocata in una sezione protetta del web server ed una “dinamica” calcolata esclusivamente contestualmente all’inserimento della segnalazione;

    2.  è di conseguenza distinta per ogni Segnalazione;

    3. non è nella disponibilità di nessuno, non è, né nella disponibilità del Titolare del Trattamento e/o nè nella disponibilità dei fornitori e/o soggetti autorizzati;

    4. è creata automaticamente in occasione dell’inserimento o consultazione della Segnalazione da parte dell’RSIS;

    5. E’ possibile ricostruire la Chiave di Cifratura su espressa richiesta del Titolare del Trattamento sempre nel rispetto delle norme vigenti; 

    6. Crittografia dei dati in transito dal Server della Piattaforma al cliente mediante protocollo SSL/TLS che  impedisce a terze parti non autorizzate di intercettare e leggere il contenuto delle comunicazioni. SSL/TLS utilizza algoritmi di crittografia avanzati come RSA, DHE (Diffie-Hellman Ephemeral), ed ECC (Elliptic Curve Cryptography) per proteggere i dati.

 

3. MISURE PER ASSICURARE LA DISPONIBILITA’ ED INTEGRITA’ DEI DATI

  • Database distribuito, allineato in tempo reale su cluster con nodo master situato su due data center diversi: ServerPlan e Replica su Aruba;

  • Backup CDP, effettuato tramite il software "R1Soft CDP", esegue un backup incrementale di tutto il disco della macchina e collocato su macchine diverse da quella di produzione;

  • Backup FTP, sia dell’applicazione sia del database, trasferito su macchina diversa da quella di produzione.

 

4. FORNITORI (RESPONSABILI DEL TRATTAMENTO) INFRASTRUTTURE TECNOLOGICHE

I fornitori sono stati designati quali Responsabili del Trattamento ai sensi dell’Art. 28 del Regolamento UE 679/2016.

ServerPlan s.r.l.

Presidi di Sicurezza:

Sistema di rilevamento anti-intrusione;

Presidio con agenti di vigilanza 24 ore su 24, per sette giorni su sette;

Telecamere a circuito chiuso e archiviazione digitale delle riprese;

Sistemi di rilevamento anti-fumo, anti-incendio e anti-allagamento;

Alimentazioni multiple e indipendenti con percorsi diversificati;

Sistema di raffreddamento a doppio circuito di alimentazione;

2 Gruppi elettrogeni in ambienti separati;

Connettività verso internet 100Gbps multi operatore.

Certificazioni:

ISO 9001:2015, Sistemi di gestione per la qualità ambito Servizi di Web Hosting e servizi di registrazione domini, cloud storage, cloud computing, back up e disaster recovery. Servizi di posta e fatturazione elettronica, gestione e conservazione elettronica dei documenti e servizi informatici correlati

ISO 27001:2013, Sistemi di gestione della sicurezza delle informazioni ambito Servizi di Web Hosting e servizi di registrazione domini, cloud storage, cloud computing, back up e disaster recovery. Servizi di posta e fatturazione elettronica, gestione e conservazione elettronica dei documenti e servizi informatici correlati.

ISO 14001:2015, Server Plan è conforme allo standard ISO 14001:2015 per i servizi di Web Hosting e servizi di registrazione domini, cloud storage, cloud computing, back up e disaster recovery. Servizi di posta e fatturazione elettronica, gestione e conservazione elettronica dei documenti e servizi informatici correlati.

ISO 27017:2015, Ambito Controlli di sicurezza per servizi cloud. I servizi cloud Server Plan hanno ottenuto la certificazione ISO/IEC 27017, che prevede misure di sicurezza rafforzati e controlli aggiuntivi sulle informazioni gestite.

ISO 27018:2019, Ambito Protezione dei dati personali nei servizi Public Cloud. I servizi cloud Server Plan hanno ottenuto la certificazione ISO/IEC 27018 (che è un’espansione della Norma ISO 27001) con particolare riferimento alla gestione dei dati personali, ritenuta conforme agli standard internazionali.

Certificazione AGENZIA PER LA CYBERSICUREZZA NAZIONALE Server Plan ha superato i controlli e le verifiche per essere parte del gruppo di fornitori cloud IaaS per la pubblica amministrazione.



Aruba S.p.A.

Presidi di Sicurezza:

Sicurezza Fisica

Perimetri di sicurezza con TVCC, sensori antintrusione e dissuasori veicolari, Bussole di accesso degli edifici con metal detector, Mantrap di sicurezza con doppi sistemi di autenticazione, Sistemi tecnologici anti-tailgating, Parcheggi separati dipendenti/visitatori

Prevenzione dei Rischi

Aree a basso rischio sismico ed idrogeologico, Separazione di impianti elettrici e batterie in edifici dedicati, Impianti monitorati, refrigerati e protetti contro gli incendi, Sistemi automatici di rilevamento fumi e liquidi posizionati in tutte le aree sensibili, Sistemi di spegnimento a gas inerte e di interruzione del carburante in caso di incendio

Continuità del Servizio

UPS, gruppi elettrogeni e unità di raffreddamento ridondati, Dotazione di due PDU (Power Distribution Unit) per ciascun armadio rack, Gruppi elettrogeni di emergenza con autonomia a pieno carico di 48 ore senza rifornimento, Net Operation Center presidiati 24/7 e collegati costantemente tra loro, Sistemi di connettività ultra-ridondati grazie agli accordi con numerosi operatori.

Certificazioni:

ISO 9001:2015, La certificazione ISO 9001 è volta a migliorare la gestione organizzativa di un'impresa, mediante l'impiego di risorse, procedure ed istruzioni ispirate ai principi di semplificazione, efficienza ed efficacia. L'organizzazione dei processi interni, adottata con il Sistema di Qualità Certificato (SGQ), consente di offrire al Cliente un servizio più efficiente e competitivo dando reale dimostrazione della qualità dei prodotti Aruba.it, progettati, realizzati ed erogati nell'ottica di un continuo miglioramento.

ISO 27001:2013, La certificazione ISO 27001 è volta ad assicurare il rispetto di determinati standard di sicurezza nella gestione dei dati e delle informazioni aziendali, preservandone l'integrità, la riservatezza e la disponibilità. L'adozione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) consente di poter garantire ai propri Clienti l'utilizzo di processi ed applicazioni sicure in termini di confidenzialità, integrità, autenticità e disponibilità dei dati e delle informazioni trattate, idonee a prevenire e ridurre le vulnerabilità e gli impatti che minacce di accesso non autorizzato o di perdita possono avere sui dati e le informazioni gestite.

ISO 27017:2015 Lo standard ISO/IEC 27017 definisce dei controlli di sicurezza supplementari e rinforzati per indirizzare le misure di sicurezza messe in atto dai provider di servizi Cloud. Si attesta quindi che tali controlli sono stati integrati all’interno del nostro sistema di Gestione delle Informazioni.

ISO 27018:2015 Lo standard ISO/IEC 27018 è un’espansione della Norma ISO 27001 che, nello specifico, riguarda la gestione dei dati personali in relazione alle soluzioni cloud in modalità IaaS, PaaS e SaaS. La gestione dei dati personali trattati all’interno dei nostri servizi cloud è stata valutata conforme a questo standard internazionale nei suoi aspetti tecnici, organizzativi e contrattuali.

ISO 37001:2019 La certificazione ISO 37001 conferma il nostro impegno nel contrastare e prevenire eventuali condotte corruttive interne ed esterne al Gruppo, adottando un sistema di gestione per la prevenzione della corruzione in conformità alla norma ISO 37001:2016.

 

4. INFRASTRUTTURA TECNOLOGICA

SOFTWARE - La Piattaforma WhistleBlowing IusPrivacy è una tecnologia interamente sviluppata e di proprietà di WRP srl. La Piattaforma WhistleBlowing, non deriva da applicazioni open source, ed è stata realizzata in linguaggio JAVA, allocata su servlet Container Tomcat. I dati personali ed informazioni sono annotati all’interno di database MySql.

Java è progettato con un'attenzione particolare alla sicurezza. La JVM impone restrizioni rigorose sull'accesso alla memoria e al database e offre meccanismi di sicurezza come la gestione delle eccezioni, che aiutano a prevenire molti tipi di errori e vulnerabilità comuni. Tomcat è un server web Java EE che supporta servlets e JSP (JavaServer Pages). Questi componenti offrono un'ampia flessibilità nel gestire la logica lato server delle web application.

 

HARDWARE  - L’applicazione è allocata su  cloud server del fornitore ServerPlan con SO Unix/Linux.è la soluzione che  permette di ottenere rapidamente un hosting performante con risorse scalabili. Il Cloud Server è una macchina che, attraverso il processo di virtualizzazione, riesce a mettere in comune con altre macchine le proprie risorse in termini di RAM, spazio e processore.

Il cloud server adotta dischi enterprise SSD NVMe che garantiscono le migliori performance per l'applicazione. La soluzione in Cloud Server è allocata su Infrastruttura cloud ridondata con migrazione su altro nodo in caso di necessità e senza alcuna interruzione del servizio.


INFRASTRUTTURA - La Piattaforma è allocata su Data Center di ServerPlan in Italia: l’infrastruttura è realizzata con prodotti di fascia enterprise e tecnologia certificata. ServerPlan, e Aruba, adottano le migliori soluzioni disponibili sul mercato per garantire sempre le prestazioni più alte per velocità, stabilità e sicurezza.

Serverplan garantisce per la connettività di tutti i sistemi il 99.95% di uptime e assicura che tutti i dispositivi di routing siano accessibili. Possono verificarsi alcuni eventi non garantiti dalla sla, come, ad esempio, la manutenzione programmata della rete. In tal caso l’utente riceverà una notifica via e-mail in cui è indicata la data fissata per l’intervento.

Al fine di offrire elevati standard di sicurezza e di disponibilità del servizio, la Piattaforma WhistleBlowing è interamente replicata, su un server, diverso da quello di Serverplan, del fornitore Aruba S.p.A.

 

Verifica la segnalazione che hai in precendeza inserito mediante le credenziali di seguito richieste

Impostando le credenziali di autenticazione potrai esaminare lo stadio di avanzamento della segnalazione in precedenza formulata

Indica l'anno in cui è stata formulata la segnalazione
Valore inserito correttamente
 
Indica il mese in cui è stata formulata la segnalazione
Valore inserito correttamente
 
Indica la password che ti è stata assegnata a seguito dell'inserimento della segnalazione
Valore inserito correttamente
 

Inserisci una nuova Segnalazione

Inserisci una segnalazione: potrai inserire eventuali allegati nella pagina successiva alla prima

Indica se intendi formulare la presente segnalazione in modo anonimo

Dati del Segnalante
Valore inserito correttamente
*Indica se hai un interesse privato nella segnalazione
Valore inserito correttamente
*Indica se hai partecipato all'illecito/reato che intendi segnalare
Valore inserito correttamente
*Indica il tuo Nome e Cognome
Valore inserito correttamente
*Indica il metodo con cui vuoi essere contattato e/o rimanere informato
Valore inserito correttamente
*Indica la tua casella di posta elettronica
Prefisso
Valore inserito correttamente
*Indica il tuo numero di telefono
Dati della Segnalazione
Valore inserito correttamente
*Indica il tipo di reato/illecito commesso
Valore inserito correttamente
*Indica l'oggetto della Segnalazione
Valore inserito correttamente
*Descrivi, in modo esaustivo, l'illecito/reato compiuto
Valore inserito correttamente
*Indica il luogo, paese, città o sede dell'ente, in cui è stato commesso il reato/illecito
Valore inserito correttamente
*Indica il periodo in cui è stato commesso il reato/illecito: indica da quando nei hai avuto conoscenza e/o da quando è iniziato il comportamento non lecito nonchè se le azioni non corrette sono attualmente in corso o sono terminate
Dati del Segnalato
Valore inserito correttamente
*Indica il nome e cognome di chi, anche più persone, ha commesso il reato/illecito
Valore inserito correttamente
*Indica la divisione o l'ufficio in cui il segnalato espleta le sue funzioni
Valore inserito correttamente
*Indica eventuali altre informazioni su chi ha commesso il reato/illecito


Potrai inserire gli allegati nella prossima fase, dopo avere inserito la richiesta

www,iusprivacy.eu