La segnalazione è accessibile solo a te e all’Organismo di Vigilanza di UPMC Italy, di ISMETT o di SMIH destinatario della segnalazione. Tramite questa piattaforma puoi inviare una segnalazione in maniera sicura e riservata e, se lo vorrai, anche in forma completamente anonima.

Segnalazione Riservata: per segnalazione riservata si intende una segnalazione in cui il segnalante è identificabile. Le segnalazioni riservate prevedono la registrazione preliminare dell’utente e successivamente, una volta creato l’account, l’utente può inviare la segnalazione. È possibile inviare una segnalazione riservata anche senza creare un account, compilando il modulo della segnalazione dalla sezione “Segnala senza registrazione” e indicando i dati personali alla fine del modulo. I dati del segnalante sono separati dalla segnalazione. Pertanto, la segnalazione riservata viene inviata all’Organismo di Vigilanza destinatario della segnalazione in forma anonima. Soltanto l’Organismo di Vigilanza è in grado di associare la segnalazione ai dati del segnalante e quindi visualizzarne l’identità.

Segnalazione Anonima: le segnalazioni anonime sono segnalazioni che non consentono l’associazione della segnalazione al nominativo del segnalante in quanto il dato del nominativo del segnalante non esiste. In questo caso il segnalante non è obbligato a registrarsi al sistema e può inviare la segnalazione come utente non registrato nella sezione “Segnala senza registrazione”.

Questa piattaforma garantisce la riservatezza e la sicurezza delle informazioni: Tutti i contenuti da te inseriti, compresa la tua identità sono crittografati e possono essere letti esclusivamente da te e dall’Organismo di Vigilanza destinatario della segnalazione.

Una volta inviata la segnalazione, puoi seguirne l’andamento e continuare a comunicare con l’Organismo di Vigilanza attraverso l’area messaggi, associata alla segnalazione. Anche in questo caso tutte le informazioni sono crittografate e protette dalla piattaforma. Se hai indicato un indirizzo e-mail (o se ti sei registrato), riceverai una notifica via e-mail, quando l’Organismo di Vigilanza ti invierà un messaggio. In ogni caso ti consigliamo di accedere periodicamente alla tua segnalazione per verificare la presenza di eventuali richieste di chiarimenti da parte dell’Organismo di Vigilanza. Per maggior riservatezza, ti consigliamo di non utilizzare un indirizzo e-mail aziendale.

Se hai indicato il tuo nome, o se invii la segnalazione come utente registrato, la tua identità resta nascosta anche all’Organismo di Vigilanza, che comunque avrà la facoltà di visualizzarla se lo riterrà necessario. In tal caso verrai informato da un avviso all’interno della segnalazione.

Per maggior riservatezza ti suggeriamo di:

1. non inserire dati personali che potrebbero far risalire alla tua identità nella descrizione del fatto segnalato;
2. non utilizzare un indirizzo e-mail aziendale per la registrazione o per ricevere notifiche dal sistema;
3. non inviare una segnalazione dalla tua postazione di lavoro.

INFRASTRUTTURE E SICUREZZA INFORMATICA

Il software di gestione del whistleblowing, in linea con la legge, garantisce i massimi livelli di sicurezza per il whistleblower e in relazione alle infrastrutture usate.

Sicurezza del whistleblower e delle segnalazioni

Crittografia asimmetrica sui contenuti testuali e sugli allegati: la crittografia non richiede azioni specifiche da parte degli utenti. Il sistema crittografico garantisce che sia i messaggi sia gli allegati possano essere letti solo dal mittente e dal destinatario attraverso una “chiave crittografica pubblica e privata”.

Log-in

Accesso regolato secondo la normativa sulla privacy: l’accesso ai report è consentito solo attraverso l’inserimento delle credenziali (per gli utenti registrati) o attraverso la digitazione dei codici associati al report (per gli utenti non registrati).

Sicurezza informatica

Separazione della segnalazione dall’identità del whistleblower: come previsto dalla Determinazione ANAC n. 6 del 28 aprile 2015, Parte III, Capitolo 2, la segretezza dell’identità del whistleblower è garantita dall’applicativo, che separa il processo di registrazione da quello di inserimento della segnalazione, per una corretta separazione dei dati; nella segnalazione, infatti, non viene riportato il nome del whistleblower. L’Organismo di Vigilanza ha la possibilità di attivare la procedura attraverso la quale il sistema collega l’identità del segnalante alla segnalazione, quando ciò sia ritenuto necessario e nei casi previsti dalla legge; l’Organismo di Vigilanza deve inserire una motivazione alla sua richiesta di rivelare l’identità del segnalante. Questa azione viene notificata automaticamente al segnalante dall’applicazione e viene registrata nei log di sistema.

Server dedicati DigitalPA: massima protezione dei dati e livelli di sicurezza, garantiti sia da DigitalPA sia dall’infrastruttura della server farm, ciascuno certificato ISO 27001/2014.

Firewall hardware e software integrati: ogni piattaforma dispone di un firewall integrato con regole rigide, che limitano gli accessi e le azioni esclusivamente alle attività che l’utente deve svolgere con il software; l’integrazione dei diversi firewall aumenta ulteriormente la sicurezza.

Certificato SSL: il software di whistleblowing è accessibile esclusivamente tramite accesso HTTPS (Secure Sockets Layer). IP e certificato SSL dedicati per ogni cliente.

Convalida dell’input dell’utente: la piattaforma si basa su un approccio di convalida dell’input dell’utente. Attraverso regole estremamente rigide, l’utente viene verificato sia a livello di client che di server.

Prevenzione CSRF: tutte le richieste gestite dalla piattaforma sono protette da token CSRF.