1. RECOGIDA DEL INFORME
El denunciante inicia los trámites de denuncia de conformidad con el "Reglamento de denuncia de irregularidades" adoptado por el responsable del tratamiento.
El Denunciante, a través de un enlace, accesible en la URL https://www.iusprivacy.eu/whistleblowing/whistleblowing/902709961/700010126/SP/, situada en la parte inferior del sitio web del Responsable del Tratamiento, accede a la interfaz de la Plataforma WhistleBlowing, habilitada al efecto, y realiza la Denuncia.
El reportero puede, a través de la interfaz de la plataforma:
formular el Informe, indicando su identificación personal y sus datos de contacto o, alternativamente, pueden formular un Informe de forma anónima;
introducir detalladamente la conducta ilícita de la que haya tenido conocimiento en el ejercicio de sus funciones, respondiendo a los elementos requeridos por la Plataforma WhistleBlowing que sean útiles para la investigación de la denuncia o, alternativamente, grabar y transmitir un archivo de audio que describa la infracción;
indicar las materias y aportar cualquier otro elemento que pueda contribuir a la comprobación cierta de lo denunciado, también mediante la presentación de documentación (anexos);
acceder, mediante una contraseña específica facilitada en el momento de la entrada, al informe previamente introducido para consultar el estado de avance de la infracción denunciada y/o leer/escribir comunicaciones de/a el SO autorizado.
A continuación se describen los datos personales recogidos al entrar en el Informe:
2. GESTIÓN DEL GESTOR DEL SISTEMA DE INFORMACIÓN INTERNA
Dentro de la Plataforma WhistleBlowing, el Administrador de WhistleBlowing puede establecer:
el resultado del Informe como uno de los siguientes: Entregado, Encargado, Rechazado, Encontrado e Insustanciado;
el estado del Informe: A examinar, En examen, Información solicitada, Examen concluido.
El GdS (Whistleblowing Manager) accede a la Plataforma WhistleBlowing, bien de forma periódica o bien porque es avisado por el sistema de alertas por correo electrónico, con sus propias credenciales de acceso, realizando una doble autenticación mediante una OTP transmitida a su propio buzón de correo.
Informe Entregado - Cuando el Denunciante introduce un Informe, éste se anota automáticamente como "Entregado"; la Plataforma proporciona al Denunciante un mensaje con el resultado de la recepción satisfactoria del Informe (Recibo del Informe), bajo la disponibilidad y custodia exclusiva del Denunciante, que se utilizará como contraseña para la posterior consulta del Informe.
Denuncia Tomada a Cargo - La GdS consulta la Denuncia recibida, configurándola, cuando tiene elementos fehacientes, como 'Tomada a Cargo'; cuando la Denuncia es tomada a cargo, la Plataforma de Denuncias genera un 'Aviso de Recepción' (código alfanumérico).
El sujeto obligado puede tomar conocimiento del Acuse de Recibo accediendo, mediante su clave de acceso ("Acuse de Recibo"), al Acuse de Recibo y comprobando su estado.
El declarante podrá, accediendo al sistema, revisar en cualquier momento el estado de la alerta transmitida.
Si la Denuncia es considerada fiable y "Tomada a Cargo", el GdS realiza todas las actividades de investigación consistentes en la averiguación de los hechos denunciados mediante la valoración de los elementos recogidos en la Denuncia, así como la obtención de información adicional útil para una efectiva comprobación de los hechos con el fin de establecer si se cumplen los requisitos de legitimidad del delito denunciado, y garantizando la confidencialidad de la identidad del denunciante.
El gestor de informes proporciona:
remitir el expediente y los resultados de la investigación a la dirección correspondiente de la empresa, para que determine y adopte las medidas oportunas;
informar al informador de que se está llevando a cabo una investigación, estableciendo el estado de tramitación como "En examen"; o alternativamente "Solicitar información" si el SO solicita más información al informador.
La GdS podrá identificar y hacer uso de estructuras internas y/o externas al Responsable del Tratamiento, que realizarán puntualmente actividades de apoyo, respetando los principios de protección y confidencialidad.
Informe Rechazado - Si el Informe no presenta elementos que permitan continuar con los siguientes pasos, por no entrar dentro del perímetro objetivo de la legislación sobre WhistleBlowing, la GdS establece el Informe como "Rechazado", proporcionando información específica al Whistleblower sobre la irrelevancia del Informe transmitido.
Informe fundado - En caso de que las actividades de investigación determinen una conducta ilícita real, la Dirección tomará las medidas apropiadas según lo dispuesto en el Reglamento WhistleBlowing adoptado por el Responsable del Tratamiento. La dirección de WhistleBlowing registrará en la plataforma WhistleBlowing el motivo por el que el informe se considera "fundado" y el estado de procesamiento como "examen concluido" si se han completado todas las actividades.
Denuncia infundada - Si las actividades de investigación no determinan la conducta ilícita encontrada en la Denuncia, la Dirección tomará las medidas apropiadas según lo dispuesto por el Reglamento WhistleBlowing adoptado por el Controlador de Datos. La Dirección de WhistleBlowing registrará el motivo en la Plataforma WhistleBlowing, establecerá el Informe como "Infundado" y el estado de procesamiento como "Examen Concluido" si se han completado todas las actividades.
Establece que el SO debe proporcionar información de retorno al informador en un plazo de tres meses a partir de la fecha del acuse de recibo o -en ausencia de dicho aviso- en un plazo de tres meses a partir de la fecha de expiración del plazo de siete días para dicho aviso.
Al respecto, cabe precisar que no es necesario concluir la actividad de evaluación en el plazo de tres meses, considerando que pueden existir casos que requieran un plazo mayor para su verificación. Por lo tanto, se trata de una constatación que, al vencimiento del plazo indicado, puede ser definitiva si la investigación ha concluido o de carácter interlocutorio sobre el avance de la investigación, que aún no ha concluido.
Por lo tanto, una vez transcurridos los tres meses, el gestor de alertas puede informar al informador:
la presentación del informe, indicando los motivos;
si el informe está bien fundado y se remite a los órganos internos competentes;
la actividad realizada hasta el momento y/o la actividad que pretende realizar.
En este último caso, es aconsejable informar también al denunciante del posterior resultado final de la investigación de la denuncia (archivo o valoración del fondo de la denuncia con remisión a los órganos competentes), en consonancia con la ANAC LG.
c. SUPRESIÓN DE DESCRIPCIONES
El período de conservación se fija en 5 años a partir del final del procedimiento de evaluación del Informe recogido. Este período se ha establecido por referencia a las disposiciones del art. 14 del Decreto Legislativo N º 24 / 2023.
Ello se entiende sin perjuicio del derecho del Responsable del tratamiento de los datos a utilizar, tanto para las denuncias fundadas como para las no fundadas, la información recopilada con el Informe para proseguir la defensa de los derechos ante los tribunales y/o dar lugar a posibles procedimientos disciplinarios.
La Plataforma WhistleBlowing mostrará, para cada Denuncia, la fecha a partir de la cual se podrá proceder al borrado de la misma, que se realizará siempre en modo manual por parte de la GdS.
1. INTRODUCCIÓN
El instituto de denuncia de irregularidades consiste en la posibilidad que se brinda a los empleados, así como a otras partes involucradas, de denunciar potenciales delitos y conductas irregulares cometidos contra la organización, en adelante la “Empresa”.
El presente Reglamento tiene por objeto regular el procedimiento de gestión de las denuncias de infracciones y dar a conocer los métodos con los que el organismo, en adelante la "Empresa", garantiza la protección del denunciante, denominado "Whistlerblower". denunciante, previsto por la legislación vigente en la materia.
La sociedad Ro Technology CF: 11250391007 es una empresa que opera en un contexto abierto a la competencia, en el sector [SETTORE].
La Compañía ha designado un Gerente de Prevención de la Corrupción y Transparencia (el "R.P.C.T.") (por ejemplo, cuyo nombre y referencias se publican en el sitio web institucional de la Compañía).
De conformidad con el Decreto Legislativo del 8 de junio de 2001, n. 231, y modificaciones posteriores, (“Disciplina de la responsabilidad administrativa de las personas jurídicas, empresas y asociaciones incluso sin personalidad jurídica, de conformidad con el artículo 11 de la ley nº 300, de 29 de septiembre de 2000”) (el “Decreto Legislativo 231/2001”) y demás normativa en la materia, la Sociedad ha adoptado tanto un Código de Ética y Conducta y posteriores actualizaciones (el “Código Ético”) como un Modelo de Organización, Gestión y Control y posteriores actualizaciones (el “M.O.G.”) y ha designado un Órgano colegiado de Supervisión (el “O.D.V.”) para el ejercicio de las funciones previstas en el Decreto Legislativo 231/2001.
2. LO QUE PUEDES INFORMAR
Decreto Legislativo núm. 24/2023 establece que la información sobre violaciones, incluidas sospechas fundadas, de la normativa nacional y de la Unión Europea que lesionen el interés público o la integridad de la administración pública o de la entidad privada cometidas en el ámbito organizativo de la entidad con la que el informante tiene relaciones jurídicas y de las que ha tenido conocimiento.
A modo de ejemplo, pueden ser objeto del informe los siguientes:
Violaciones de la ley nacional;
Infracciones administrativas, contables, civiles o penales;
Cconducta ilícita significativa de conformidad con el Decreto Legislativo del 8 de junio de 2001, n. 231;
Infracciones de la legislación de la UE;
Actos u omisiones que perjudiquen los intereses financieros de la Unión Europea;
Actos u omisiones relativas al mercado interior, que comprometan la libre circulación de bienes, personas, servicios y capitales.
Además, pueden ser objeto del informe todos aquellos elementos que se refieren a conductas encaminadas a ocultar las propias violaciones.
Queda excluida del ámbito objetivo toda información que parezca claramente infundada, de dominio público o adquirida mediante "rumor".
3. QUIÉN PUEDE INFORMAR
Las disposiciones del Decreto Legislativo 24/2023 se aplican a los denunciantes que denuncien, denuncien ante la autoridad judicial o contable o revelen públicamente infracciones de las que tengan conocimiento en su contexto laboral.
En particular, los sujetos que pueden denunciar son: (la lista debe respetar los sujetos que operan dentro de la empresa)
Trabajadores por cuenta ajena, incluidos los Trabajadores cuya relación laboral se rige por el Decreto Legislativo núm. 81/2015 o Trabajadores que realizan servicios ocasionales;
Trabajadores por cuenta propia;
Trabajadores por cuenta propia que realicen su trabajo para entidades del sector privado;
Titulares de una relación de colaboración;
Titulares de una relación de colaboración a que se refiere el art. 2 del Decreto Legislativo núm. 81/2015. Se trata de colaboraciones organizadas por el cliente que se concretan en un trabajo exclusivamente personal y continuo, cuyos métodos de ejecución son organizados por el cliente;
Profesionales y consultores independientes que trabajan para entidades del sector privado;
Voluntarios y pasantes, remunerados y no remunerados;
Accionistas, personas naturales, cuando estén presentes;
Personas con funciones de administración, dirección, control, supervisión o representación.
Las protecciones también aplican si el reporte proviene de:
por quienes no tienen relación jurídica aún no iniciada;
por los Candidatos si la información sobre las infracciones fue adquirida durante el proceso de selección o en otras fases precontractuales;
por quienes se encuentren en período de prueba;
tras la disolución de la relación jurídica si la información sobre las violaciones fue adquirida durante elrelación misma.
De conformidad con el art. 3, apartado 5, del Decreto Legislativo 24/2023, la protección se reconoce no sólo al Denunciante, sino también a todos aquellos sujetos que, sin embargo, podrían ser destinatarios de represalias en virtud del papel asumido dentro del proceso de denuncia.
En particular, se aplican las medidas de protección a que se refiere el Decreto nº 24/2023:
Facilitadores;
Personas del mismo contexto laboral con parentesco hasta el cuarto grado y vínculo afectivo estable;
Compañeros de trabajo con relación habitual y actual en el mismo contexto laboral;
Entidades de propiedad del informante o para las que trabaja el informante o que operan en el mismo contexto laboral.
4. INFORMES
4.1 MÉTODOS Y CANALES DE INFORME
Según lo exige el decreto, los métodos de presentación de informes son los siguientes:
Canal interno: de conformidad con el artículo 4, apartado 2 del Decreto, el canal interno de denuncias puede ser gestionado tanto por una persona o una oficina dentro de la entidad como por un tercero. En ambos casos, la persona que gestionará los informes será autónoma y estará adecuadamente formada.
Canal externo de la ANAC: el Denunciante puede realizar un reporte externo, utilizando el canal externo habilitado para tal efecto en la A.N.A.C. de conformidad con el art. 7 del Decreto Legislativo 24/2023 y los Lineamientos de la A.N.A.C. 2023, cuando, en el momento de su presentación, se cumpla una de las siguientes condiciones previstas por el art. 6 del Decreto Legislativo 24/2023: ya se ha realizado un informe interno y no se le ha dado seguimiento; teme que el informe pueda entrañar riesgos de represalias o que no pueda realizarse un seguimiento eficaz; considera que la violación puede constituir un peligro inminente u evidente para el interés público.
Divulgación pública: el denunciante podrá recurrir a la divulgación pública a través de la prensa o medios de comunicación, redes sociales cuando: ya haya realizado una denuncia interna y/o ante la ANAC sin recibir respuesta; teme que el informe pueda generar riesgo de represalias o que no pueda tener un seguimiento efectivo debido a las circunstancias específicas del caso concreto; considera que la violación puede constituir un peligro inminente u evidente para el interés público.
Denunciar: el decreto finalmente reconoce también el derecho del denunciante a denunciar conductas ilegales que puedan ser consideradas delito directamente a las autoridades competentes.
Los informes pueden realizarse por escrito, utilizando métodos informáticos utilizando la plataforma adecuada, o de forma oral.
Las denuncias internas en forma oral podrán realizarse a través de líneas telefónicas o sistemas de mensajería de voz o, a petición del denunciante, mediante reunión directa fijada en un plazo razonable.
4.2 CONTENIDO DEL INFORME
Es necesario que el informe sea lo más detallado posible para que las partes competentes puedan esclarecer los hechos.
Además, es necesario que el informe contenga claramente:
los datos personales u otros elementos que permitan identificar a la persona a quien puedan atribuirse los hechos denunciados;
las circunstancias de tiempo y lugar en que ocurrió el hecho denunciado;
la descripción del hecho;
adjuntar documentos que puedan aportar elementos de fundamentación de los hechos denunciados;
la indicación de posibles testigos.
Si el informe no está suficientemente detallado, quien gestiona los informes podrá solicitar elementos adicionales al denunciante a través de la plataforma o incluso personalmente, si el denunciante ha solicitado una reunión personal.
Las denuncias de las que no es posible deducir la identidad del denunciante se consideran anónimas. Los informes anónimos, cuando sean detallados, se equipararán a los informes ordinarios y se tratarán secuencialmente de conformidad con lo dispuesto en el presente Reglamento.
4.3 PROCEDIMIENTO DE DENUNCIA: LA PLATAFORMA WhistleBlowing IusPrivacy
La Sociedad ha establecido un canal interno propio mediante el uso de la plataforma IusPrivacy WhistleBlowing accesible desde el sitio web [URL DEL SITIO WEB], en adelante “Plataforma de Denuncias”, en la que, en el apartado específico, se publican las instrucciones para la formulación y consulta de informes.
5. PROTECCIÓN DEL REPORTERO
El reglamento sobre denuncia de irregularidades prevé un conjunto de medidas destinadas a proteger al denunciante.
En detalle, las medidas antes mencionadas constituyen:
La protección de la confidencialidad dirigida al denunciante, al facilitador, al involucrado y a las personas mencionadas en el informe;
Protección contra posibles represalias adoptadas por la entidad con motivo de la denuncia, divulgación pública o denuncia realizada y las condiciones para su aplicación;
Las limitaciones de responsabilidad con respecto a la divulgación y difusión de ciertas categorías de información que operan bajo ciertas condiciones.
5.1 Confidencialidad
La identidad del denunciante y cualquier otra información de la que se pueda inferir, directa o indirectamente, dicha identidad no puede ser ni será revelada sin el consentimiento expreso del denunciante a personas distintas de las competentes para recibir o dar seguimiento a la información. información informes.
Cómo se garantiza la confidencialidad del denunciante:
en el marco del proceso penal, la identidad del denunciante está protegida por el secreto en las formas y dentro de los límites establecidos por el artículo 329 del Código de Procedimiento Penal;
En los procedimientos ante el Tribunal de Cuentas, la identidad del denunciante no podrá revelarse hasta que concluya la fase de instrucción;
En el marco del procedimiento disciplinario, no se puede revelar la identidad del denunciante. Si el litigio se basa, total o parcialmente, en el informe y el conocimiento de la identidad del denunciante es indispensable para la defensa del imputado, el informe sólo se utilizará a efectos del procedimiento disciplinario en presencia del consentimiento expreso del denunciante a la revelación de su identidad.
Para proteger la identidad del denunciante, la Empresa adopta estrictas medidas de seguridad descritas en el apartado específico de la Plataforma de Denuncias.
También se garantiza la confidencialidad de todos los implicados en el informe.
Se garantiza la confidencialidad tanto en el caso de denuncias internas como externas, realizadas de forma oral a través de líneas telefónicas o, alternativamente, sistemas de mensajería de voz o, a petición del denunciante, mediante reunión directa con la persona que lleva la denuncia.
La confidencialidad del denunciante está protegida incluso cuando la denuncia llegue a personal distinto del autorizado y competente para gestionar las denuncias, a quien, en todo caso, deberá remitirse sin demora.
El Decreto prevé sólo 2 hipótesis en las que es posible revelar la identidad del denunciante. En estos casos, no sólo es necesario el consentimiento expreso del mismo sino también una comunicación por escrito de los motivos de dicha divulgación.
Las dos hipótesis:
en procedimientos disciplinarios en los que la revelación de la identidad del denunciante sea imprescindible para la defensa de la persona contra la que se impugna la acusación disciplinaria;
en procedimientos iniciados a raíz de denuncias internas o externas cuando dicha divulgación sea también indispensable a efectos de la defensa del interesado.
5.2 PROTECCIÓN DEL ANONIMATO
Para proteger al denunciante, también se prevé la medida del anonimato, es decir, la identidad del denunciante no puede revelarse sin su consentimiento expreso.
Todos aquellos que reciben o participan en la gestión de informes están obligados a proteger la confidencialidad de esta información.
5.3 PROTECCIÓN CONTRA REPRESALIAS
El Decreto prevé, para proteger al denunciante, la prohibición de tomar represalias, que se define como "cualquier comportamiento, acto u omisión, incluso si sólo se intenta o amenaza, realizado como resultado de la denuncia, la denuncia ante la autoridad judicial o la opinión pública". divulgación y que cause o pueda causar, directa o indirectamente, un daño injusto al denunciante o a quien presentó la denuncia” (Decreto Legislativo 24/2023, art. 2, apartado 1, letra m).
La empresa xxx, en cumplimiento de las disposiciones reglamentarias, será parte activa en prevenir la manifestación de medidas de retorsión tales como a modo de ejemplo y no exhaustivamente:
a) despido, suspensión o medidas equivalentes;
b) degradación de rango o falta de ascenso;
c) cambio de funciones, cambio de lugar de trabajo, reducción de salario, modificación de jornada de trabajo;
d) suspensión de la formación o cualquier restricción de acceso a la misma;
e) notas de demérito o referencias negativas;
f) adopción de medidas disciplinarias u otras sanciones, incluidas las pecuniarias;
g) coerción, intimidación, acoso u ostracismo;
h) discriminación o cualquier otro trato desfavorable;
i) no convertir un contrato de trabajo de duración determinada en un contrato de trabajo indefinido, cuando el trabajador tenía una expectativa legítima de dicha conversión;
j) falta de renovación o terminación anticipada de un contrato de trabajo de duración determinada;
k) daños, incluida la reputación de la persona, en particular en las redes sociales, o perjuicios económicos o financieros, incluida la pérdida de oportunidades económicas y de ingresos;
l) inserción en listados indebidos sobre la base de un acuerdo sectorial o industrial formal o informal, que puede resultar en que la persona no pueda encontrar empleo en el sector o industria en el futuro;
m) terminación anticipada o cancelación del contrato de suministro de bienes o servicios;
n) cancelación de una licencia o permiso;
o) solicitud de someterse a pruebas psiquiátricas o médicas.
5.4. LIMITACIÓN DE RESPONSABILIDAD PARA LOS REPORTEROS
El arte. 20 del Decreto regula el alcance de las limitaciones de responsabilidad.
Esta medida opera sólo en los casos en que dos condiciones ocurren simultáneamente:
1. El primero exige que en el momento de la divulgación o revelación existan motivos razonables para creer que la información es necesaria para descubrir la infracción. El denunciante, por tanto, debe creer que esa información es indispensable para sacar a la luz la violación;
2. La segunda condición, sin embargo, exige que la denuncia, divulgación pública o denuncia se haya realizado respetando las condiciones establecidas en el Decreto Legislativo n. 24/2023 para beneficiarse de la protección contra represalias.
Ambas condiciones, como se mencionó anteriormente, deben existir para excluir responsabilidad.
Si están satisfechos, las personas que denuncian, denuncian o hacen una divulgación pública no incurren en ningún tipo de responsabilidad civil, penal, administrativa o disciplinaria.
5.5 CONDICIONES PARA LA APLICACIÓN DE PROTECCIONES
Las medidas previstas se aplican a los denunciantes cuando se cumplen las siguientes condiciones:
los reporteros deben creer razonablemente que la información sobre las violaciones denunciadas es veraz (no suposiciones, rumores o noticias de dominio público);
la buena fe del informante está protegida incluso en caso de informes inexactos debido a errores reales (desconocimiento de las normas legales);
el denunciante deberá indicar claramente en el asunto de la denuncia que se trata de una denuncia de irregularidades; debe existir una estrecha conexión o consecuencialidad entre la denuncia y el acto desfavorable sufrido directa o indirectamente por el denunciante, para que constituya represalia;
el informe deberá realizarse de conformidad con lo dispuesto en el Capítulo II del Decreto Legislativo. 24 de 2023 y descrito en los puntos 4.1, 4.2, 4.3 anteriores.
6. MANUAL DE OPERACIÓN DE LA PLATAFORMA
Las instrucciones para formular un informe así como cómo consultarlos se informan en el apartado específico publicado en la plataforma web.
Con este documento ("Información") el Responsable del tratamiento, tal como se define a continuación, desea informarle sobre los fines y métodos de procesamiento de sus datos personales y los derechos que le reconoce el Reglamento (UE) 2016/679 relativo a la protección de personas físicas, en lo que respecta al tratamiento de datos personales así como a su libre circulación ("GDPR"). Esta Información puede ser integrada por el Controlador de Datos si cualquier servicio adicional solicitado por usted implica un procesamiento adicional.
1. RESPONSABLE DEL TRATAMIENTO
Ro Technology CF: 11250391007, via dei Mamili 11 Roma 00175 (Roma), tel: 06 2112 8876, email: hr@rotechnology.it
2. DELGADO DE PROTECCIÓN DE DATOS/DPO
Email: [RECAPITO DPO]
3. TIPOS DE DATOS TRATADOS
Las actividades de tratamiento realizadas tienen como objetivo la adquisición de los siguientes datos personales:
Datos comunes: datos personales.
Datos judiciales: datos relativos a denuncias de delitos y condenas penales.
Datos especiales: si los proporciona el informante relacionados con condiciones de salud, orientación sexual, afiliación sindical, creencias religiosas, etc.
4. CATEGORÍAS DE INTERESADOS
Las actividades de tratamiento realizadas se dirigen a las siguientes categorías de interesados: denunciante, denunciados, facilitadores, sujetos implicados en la denuncia.
5. FINALIDAD DEL TRATAMIENTO Y CONDICIÓN QUE HACE LEGAL EL TRATAMIENTO
a. Sistema de denuncia de irregularidades
La denuncia de irregularidades es un acto mediante el cual un individuo (denunciante), a menudo un empleado de una organización, denuncia o denuncia información confidencial o comportamiento ilícito o incorrecto dentro de la propia organización, o a una autoridad externa competente, con el fin de dar a conocer la supuesta conducta ilícita. de los cuales tuvo conocimiento por su relación laboral con el Responsable y cometidos por los sujetos que en diversas calidades interactúan con un mismo denunciante, con el fin de realizar las necesarias actividades de verificación de la información objeto del informe.
Sus datos personales serán tratados con las siguientes finalidades:
Finalidad del tratamiento: i) para el cumplimiento de las obligaciones previstas: por las leyes nacionales y europeas y por las disposiciones de los órganos de supervisión y control o por otras autoridades legitimadas para ello, Decreto Legislativo n. 231/2001, regulación de la responsabilidad administrativa de las personas jurídicas, empresas y asociaciones incluso sin personalidad jurídica, Decreto Legislativo. 10 de marzo de 2023, n. 24 en aplicación de la Directiva (UE) 2019/1937; ii) permitir las denuncias, verificar la validez, pertinencia y pertinencia de los hechos y circunstancias denunciados para adoptar, en su caso, cualquier medida consiguiente, incluso disciplinaria, que se considere necesaria o adecuada conforme a la ley.
Condición de Legalidad del Tratamiento: Obligación Legal - Art. 6, c.1, let. C. RGPD, Interés Legítimo - Art. 6, c.1, let. F. RGPD.
Naturaleza de la prestación: para el denunciante, la prestación de los elementos de la denuncia es obligatoria, incluso de forma anónima; la no presentación del mismo no permite la formulación del informe. Además de la información proporcionada por el denunciante, en el proceso de denuncia podrían intervenir los datos personales de los sujetos denunciados.
Plazo de conservación de los datos personales: sus datos Los informes internos y externos y la documentación relacionada se conservan durante el tiempo necesario para procesar el informe y, en cualquier caso, a más tardar 5 años a partir de la fecha de comunicación del resultado final del procedimiento de presentación de informes, de conformidad de las obligaciones de confidencialidad a que se refiere la legislación europea y nacional en materia de protección de datos personales.
b. Defensa judicial y extrajudicial, incluso en relaciones laborales.
Sus datos personales podrán ser tratados para conocer, ejercer o defender los derechos del Responsable del tratamiento en procedimientos judiciales y extrajudiciales, incluso en las relaciones laborales.
Condición de Legalidad del Tratamiento: Interés Legítimo - Art. 6, c.1, let. F. RGPD
Finalidad del tratamiento: i) Ejercicio de la defensa del Responsable del tratamiento en asuntos judiciales y extrajudiciales, también en las relaciones laborales; ii) Tratamiento de datos particulares, incluidos los de los empleados, para hacer valer o defender un derecho, incluido el de un tercero, en procedimientos judiciales, así como en procedimientos administrativos o en procedimientos de arbitraje y conciliación, en los casos previstos por la leyes, por la normativa de la Unión Europea, por reglamentos o convenios colectivos.
Naturaleza de la prestación: El uso de datos personales es estrictamente necesario para cualquier defensa judicial y extrajudicial.
Plazo de conservación de los datos personales: Los datos personales se utilizarán durante un período de tiempo que no excederá de los exigidos por la ley y en todo caso hasta que se agoten los plazos de recurso y no más tarde de la conclusión de la sentencia.
Métodos de procesamiento: El procesamiento se realiza principalmente con herramientas informáticas y en papel.
C. gestion de sistemas informaticos
Los datos personales se utilizan, por interés legítimo del Responsable del tratamiento y de los Interesados, para gestionar la seguridad de las infraestructuras tecnológicas (TI).
Finalidad del tratamiento: Gestión de sistemas informáticos, incluida la gestión de infraestructuras, continuidad del negocio y seguridad informática.
Naturaleza de la prestación: Obligatoria - La oposición al tratamiento puede imposibilitar al Responsable del tratamiento la prestación del servicio deseado.
Plazo de conservación de los datos personales: su información personal se conserva durante todo el tiempo necesario para la prestación de los servicios así como para garantizar el ejercicio o defensa de los derechos.
Métodos de tratamiento: El tratamiento se realiza mediante herramientas informáticas.
Condición de Legalidad del Tratamiento: Interés Legítimo - Art. 6, c.1, let. F. RGPD
6. TRANSFERENCIA DE DATOS FUERA DE LA UE
Los datos personales se procesan exclusivamente dentro de la Unión Europea.
7. DESTINATARIOS DEL TRATAMIENTO
Responsable del tratamiento: Proveedores de servicios de hosting, servicios de mantenimiento de sistemas TIC.
Persona Designada para el Tratamiento (Interno): RPCT, responsables de informes.
Responsable del Tratamiento Independiente: ANAC, Autoridad Judicial.
8. DERECHOS DEL INTERESADO - DENUNCIA ANTE LA AUTORIDAD DE SUPERVISIÓN
En relación con el tratamiento descrito en esta Información, como interesado podrá, en las condiciones que establece el RGPD, ejercitar los derechos que establecen los artículos 15 a 22 del RGPD y, en particular, los siguientes derechos:
derecho de acceso – artículo 15 RGPD: derecho a obtener confirmación sobre si se están tratando datos personales que le conciernen y, en este caso, a obtener acceso a sus datos personales;
derecho de rectificación – artículo 16 del RGPD: derecho a obtener, sin demora injustificada, la rectificación de los datos personales inexactos que le conciernen y/o la integración de los datos personales incompletos;
derecho de cancelación (derecho al olvido) – artículo 17 RGPD: derecho a obtener, sin demora injustificada, la eliminación de los datos personales que le conciernen. El derecho de supresión no se aplica en la medida en que el procesamiento sea necesario para el cumplimiento de una obligación legal o para el desempeño de una tarea realizada en interés público o para el establecimiento, ejercicio o defensa de un derecho ante los tribunales;
derecho a limitar el procesamiento – artículo 18 RGPD: derecho a obtener la limitación del tratamiento, cuando: a) el interesado impugne la exactitud de los datos personales; b) el tratamiento es ilícito y el interesado se opone a la supresión de los datos personales y solicita en cambio la limitación de su uso; c) los datos personales son necesarios para que el interesado conozca, ejercite o defienda un derecho ante los tribunales; d) el interesado se ha opuesto al tratamiento a la espera de verificar la posible prevalencia de los motivos legítimos del responsable del tratamiento respecto de los del interesado;
derecho a la portabilidad de los datos – artículo 20 del RGPD: derecho a recibir, en un formato estructurado, comúnmente utilizado y legible por un dispositivo automático, los datos personales que le conciernen proporcionados al Responsable del tratamiento y derecho a transmitirlos a otro responsable del tratamiento sin impedimentos, si el tratamiento es se basa en el consentimiento y se lleva a cabo por medios automatizados. Además, el derecho a que sus datos personales se transmitan directamente de este propietario a otro propietario si esto es técnicamente posible;
derecho de oposición – artículo 21 del RGPD: derecho a oponerse, en cualquier momento, al tratamiento de los datos personales que le conciernen basándose en la condición de legitimidad del interés legítimo, incluida la elaboración de perfiles, a menos que existan motivos legítimos para que el Responsable del tratamiento continúe el tratamiento que prevalezcan sobre el intereses, sobre los derechos y libertades del interesado o para la valoración, ejercicio o defensa de un derecho ante los tribunales;
derecho a no ser sometido a decisiones automatizadas – Artículo 22 RGPD: el interesado tiene derecho a no ser sometido a una decisión basada únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre él o que le afecte igualmente significativamente, salvo que sea necesario para el celebración o ejecución de un contrato o usted ha dado su consentimiento. En cualquier caso, un proceso automatizado de toma de decisiones no puede afectar a sus datos personales y usted podrá obtener la intervención humana del responsable del tratamiento en cualquier momento, expresar su opinión y impugnar la decisión.
El interesado también podrá presentar una reclamación ante la Autoridad Garante en materia de protección de datos personales:http://www.garanteprivacy.it así como revocar el consentimiento prestado en cualquier ocasión y con la misma facilidad con la que fue prestado sin perjuicio de la licitud del tratamiento basado en el consentimiento prestado antes de la revocación.
Los derechos anteriores podrán ejercitarse contra el Propietario dirigiéndose a las referencias indicadas anteriormente.
El ejercicio de sus derechos como interesado es gratuito de conformidad con el artículo 12 RGPD. Sin embargo, en el caso de solicitudes manifiestamente infundadas o excesivas, también por su repetitividad, el Titular podrá cobrar una tarifa razonable, en vista de los costes administrativos incurridos para gestionar su solicitud, o negar la satisfacción de su solicitud.
Finalmente, le informamos que el Responsable del Tratamiento podrá solicitarle más información necesaria para confirmar la identidad del interesado.
Versión 1.0 del 11-07-2023
1. DEFINICIONES
Para comprender mejor las medidas de seguridad, a continuación se describen algunas definiciones:
“Cortafuegos”: Un firewall es un componente de seguridad de la red que sirve como barrera entre una red interna o privada y una red externa o pública. Examina el tráfico de red entrante y saliente y decide si permite o bloquea ciertas comunicaciones según un conjunto de reglas predefinidas. Las reglas del firewall especifican qué paquetes de datos se permiten o rechazan según criterios como direcciones IP, puertos, protocolos y más; en esta evaluación se omite la versión y el nombre del firewall utilizado para evitar la difusión de información potencialmente valiosa a terceros;
Cortafuegos de aplicaciones web (“WAF”): Un firewall de aplicaciones web es un dispositivo o aplicación de software que se encuentra entre una aplicación web y el tráfico de red entrante. Su tarea principal es detectar, filtrar y bloquear amenazas cibernéticas específicas dirigidas a aplicaciones web, como ataques de inyección SQL, secuencias de comandos entre sitios (XSS), falsificación de solicitudes entre sitios (CSRF) y otras; en esta evaluación se omite la versión y el nombre del WAF utilizado para evitar la difusión de información potencialmente valiosa a terceros;
Clave de encriptación: Para utilizar el algoritmo AES, debe especificar una clave de cifrado. Esta clave es una cadena secreta que se utiliza para cifrar y descifrar datos. Es importante proteger esta clave con extremo cuidado ya que el acceso no autorizado a ella podría comprometer la seguridad de sus datos.
2. MEDIDAS PARA GARANTIZAR LA CONFIDENCIALIDAD DE LA INFORMACIÓN
FUNCIONES DE ACCESO ESPECÍFICAS: el acceso al Software está reservado exclusivamente al personal autorizado (a cargo y responsable del procesamiento) en posesión de credenciales de acceso específicas e individuales también mediante designación específica como lo exige la legislación vigente en materia de privacidad;
ACCESO DEL ADMINISTRADOR DEL SISTEMA: sólo siempre a través de una conexión protegida utilizando el protocolo SSH desde IP expresamente autorizadas;
CORTAFUEGOS: Presencia de un Firewall que filtra el tráfico de la red, incluidas reglas de entrada, salida y reenvío;
WAFpara proteger contra vulnerabilidades de aplicaciones web: el WAF detecta y protege contra vulnerabilidades comunes de aplicaciones web, como inyección SQL, secuencias de comandos entre sitios (XSS), falsificación de solicitudes entre sitios (CSRF) y muchos otros ataques web;
WAFpara bloquear solicitudes maliciosas, incluido el análisis de reputación de IP: el WAF detecta y bloquea automáticamente solicitudes HTTP maliciosas o sospechosas antes de que lleguen a la aplicación web. Esto incluye protección contra bots maliciosos, escáneres de vulnerabilidades y ataques de fuerza bruta;
WAF Para control de tráfico: el WAF analiza el tráfico HTTP entrante y saliente para identificar actividades sospechosas o comportamientos anómalos. Esto le permite identificar y mitigar amenazas en tiempo real;
WAF para la detección de DDoS, WAF también incluye protección de denegación de servicio distribuida (DDoS) que puede ayudar a mitigar los ataques DDoS contra su servidor web;
ANÁLISIS DE REGISTROS CONTINUO para detectar cualquier inyección SQL o ataques XSS;
Desarrollo de software según mejores prácticas., también mediante el uso de PreparedStatement en Java, con el fin de prevenir posibles ataques de Inyección SQL y/o XSS;
Acceso permitido al RSIS después de doble autenticación con código temporal (OTP);
Cifrado de la información de los Informes, registrada en la base de datos, utilizando el algoritmo de Encriptación AES y clave de encriptación específica;
Cifrado de la copia de seguridad de los Informes: los archivos de copia de seguridad se generan a partir de registros cuyos datos se han completado de forma cifrada; en consecuencia, la copia de seguridad de los informes contiene registros en forma cifrada.
REGISTRO DE NAVEGACIÓN:
registro de los registros de operación del personal responsable de administrar el Sistema de Reportes;
registro de registros de navegación exclusivamente con el fin de interceptar ciberataques y eliminar inmediatamente el registro de un Informe;
“Clave de encriptación”, creata con l’algoritmo SHA2
se compone de una parte fija ubicada en una sección protegida del servidor web y una parte "dinámica" calculada exclusivamente en el momento de la inserción del informe;
en consecuencia, es distinto para cada Informe;
no está disponible para nadie, no está disponible para el Responsable del tratamiento y/o ni para proveedores y/o autorizados;
se crea automáticamente cuando el RSIS ingresa o consulta el Informe;
Es posible reconstruir la Clave de Cifrado a petición expresa del Responsable del Tratamiento, siempre respetando la normativa vigente;
Cifrado de datos en tránsito desde el Servidor de la Plataforma hasta el cliente mediante el protocolo SSL/TLS que evita que terceros no autorizados intercepten y lean el contenido de las comunicaciones. SSL/TLS utiliza algoritmos de cifrado avanzados como RSA, DHE (Diffie-Hellman Ephemeral) y ECC (Criptografía de curva elíptica) para proteger los datos.
3. MEDIDAS PARA GARANTIZAR LA DISPONIBILIDAD E INTEGRIDAD DE LOS DATOS
Base de datos distribuida, alineado en tiempo real en clusters con nodo maestro ubicado en dos centros de datos diferentes: ServerPlan y Replica en Aruba;
CDP de copia de seguridad, realizado a través del software "R1Soft CDP", realiza una copia de seguridad incremental de todo el disco de la máquina y la coloca en máquinas distintas a la de producción;
FTP de copia de seguridad, tanto la aplicación como la base de datos, transferidos a una máquina distinta a la de producción.
4. PROVEEDORES (RESPONSABLES DEL PROCESAMIENTO DE DATOS) INFRAESTRUCTURAS TECNOLÓGICAS
Los proveedores han sido designados como Encargados del Tratamiento de conformidad con el art. 28 del Reglamento UE 679/2016.
SOFTWARE -La Plataforma WhistleBlowing IusPrivacy es una tecnología íntegramente desarrollada y propiedad de WRP srl. La plataforma WhistleBlowing no deriva de aplicaciones de código abierto y fue creada en lenguaje JAVA, asignada en el servlet Container Tomcat. Los datos y la información personal se registran en bases de datos MySql.
Java está diseñado centrándose en la seguridad. La JVM impone restricciones estrictas al acceso a la memoria y a la base de datos y ofrece mecanismos de seguridad como el manejo de excepciones, que ayudan a prevenir muchos tipos de errores y vulnerabilidades comunes. Tomcat es un servidor web Java EE que admite servlets y JSP (JavaServer Pages). Estos componentes ofrecen una gran flexibilidad en la gestión de la lógica del lado del servidor de las aplicaciones web.
HARDWARE- La aplicación está alojada en servidores en la nube del proveedor ServerPlan con SO Unix/Linux, es la solución que permite obtener rápidamente un hosting de alto rendimiento con recursos escalables. El Servidor Cloud es una máquina que mediante el proceso de virtualización logra compartir sus recursos en cuanto a RAM, espacio y procesador con otras máquinas.
El servidor en la nube adopta discos empresariales NVMe SSD que garantizan el mejor rendimiento para la aplicación. La solución Cloud Server se ubica en una infraestructura de nube redundante con migración a otro nodo si es necesario y sin interrupción del servicio.
INFRAESTRUCTURA -La Plataforma está ubicada en el Centro de Datos de ServerPlan en Italia: la infraestructura está creada con productos de nivel empresarial y tecnología certificada. ServerPlan y Aruba adoptan las mejores soluciones disponibles en el mercado para garantizar siempre el máximo rendimiento en términos de velocidad, estabilidad y seguridad.
Serverplan garantiza un tiempo de actividad del 99,95 % para la conectividad de todos los sistemas y garantiza que todos los dispositivos de enrutamiento sean accesibles. Pueden ocurrir algunos eventos que no están garantizados por el SLA, como por ejemplo el mantenimiento programado de la red. En este caso el usuario recibirá una notificación vía correo electrónico indicando la fecha prevista para la intervención.
Para ofrecer altos estándares de seguridad y disponibilidad del servicio, la Plataforma WhistleBlowing está íntegramente replicada en un servidor diferente al de Serverplan, del proveedor Aruba S.p.A.