Forme di tutela del whistleblower previste dalla normativa
Divieto di Ritorsione:
Nei confronti del Segnalante non è consentita, né tollerata, alcuna forma di ritorsione o misura discriminatoria collegata, direttamente o indirettamente, alla Segnalazione formulata sulla base di elementi concreti o con il fondato motivo di ritenere, al momento della Segnalazione, che le informazioni sulle violazioni segnalate fossero vere e rientrassero nell'ambito delle violazioni segnalabili (per esemplificazione delle possibili ritorsioni vedi art 17 comma 4 del D.lgs 24/23 riprodotto di seguito)
Articolo 17
Divieto di ritorsione
1. Gli enti o le persone di cui all'articolo 3 non possono subire alcuna ritorsione.
2. Nell'ambito di procedimenti giudiziari o amministrativi o comunque di controversie stragiudiziali aventi ad oggetto l'accertamento dei comportamenti, atti o omissioni vietati ai sensi del presente articolo nei confronti delle persone di cui all'articolo 3, commi 1, 2, 3 e 4, si presume che gli stessi siano stati posti in essere a causa della segnalazione, della divulgazione pubblica o della denuncia all'autorità giudiziaria o contabile. L'onere di provare che tali condotte o atti sono motivati da ragioni estranee alla segnalazione, alla divulgazione pubblica o alla denuncia è a carico di colui che li ha posti in essere.
3. In caso di domanda risarcitoria presentata all'autorità giudiziaria dalle persone di cui all'articolo 3, commi 1, 2, 3 e 4, se tali persone dimostrano di aver effettuato, ai sensi del presente decreto, una segnalazione, una divulgazione pubblica o una denuncia all'autorità giudiziaria o contabile e di aver subito un danno, si presume, salvo prova contraria, che il danno sia conseguenza di tale segnalazione, divulgazione pubblica o denuncia all'autorità giudiziaria o contabile.
4. Di seguito sono indicate talune fattispecie che, qualora siano riconducibili all'articolo 2, comma 1, lettera m), costituiscono ritorsioni:
a) il licenziamento, la sospensione o misure equivalenti;
b) la retrocessione di grado o la mancata promozione;
c) il mutamento di funzioni, il cambiamento del luogo di lavoro, la riduzione dello stipendio, la modifica dell'orario di lavoro;
d) la sospensione della formazione o qualsiasi restrizione dell'accesso alla stessa;
e) le note di merito negative o le referenze negative;
f) l'adozione di misure disciplinari o di altra sanzione, anche pecuniaria;
g) la coercizione, l'intimidazione, le molestie o l'ostracismo;
h) la discriminazione o comunque il trattamento sfavorevole;
i) la mancata conversione di un contratto di lavoro a termine in un contratto di lavoro a tempo indeterminato, laddove il lavoratore avesse una legittima aspettativa a detta conversione;
l) il mancato rinnovo o la risoluzione anticipata di un contratto di lavoro a termine;
m) i danni, anche alla reputazione della persona, in particolare sui social media, o i pregiudizi economici o finanziari, comprese la perdita di opportunità economiche e la perdita di redditi;
n) l'inserimento in elenchi impropri sulla base di un accordo settoriale o industriale formale o informale, che può comportare l'impossibilità per la persona di trovare un'occupazione nel settore o nell'industria in futuro;
o) la conclusione anticipata o l'annullamento del contratto di fornitura di beni o servizi;
p) l'annullamento di una licenza o di un permesso;
q) la richiesta di sottoposizione ad accertamenti psichiatrici o medici.
Obbligo di Riservatezza:
L'identità del Segnalante non può essere rivelata, così come qualsiasi altra informazione da cui può evincersi direttamente o indirettamente tale identità, senza il consenso espresso della stessa persona, a soggetti diversi da quelli competenti a ricevere o a dare seguito alla Segnalazione. Detti soggetti sono espressamente autorizzati a trattare tali dati, nei termini ed alle condizioni del Reg UE 679/2016 sulla tutela dei dati personali (“GDPR”). Allo stesso modo è tutelata l’identità del Facilitatore
La riservatezza della persona fisica o giuridica alla quale la violazione è attribuita o comunque in essa implicata (definita “Persona coinvolta”), nonché delle persone semplicemente menzionate nella Segnalazione sono tutelate fino alla conclusione dei procedimenti avviati in ragione della segnalazione nel rispetto delle medesime garanzie previste in favore della persona segnalante.
In particolare va precisato:
- nell’ambito del procedimento penale, l’identità del Segnalante è coperta dal segreto nei modi e nei limiti previsti dall’articolo 329 del codice di procedura penale;
- nell’ambito del procedimento dinanzi alla Corte dei conti, l’identità del Segnalante non può essere rivelata fino alla chiusura della fase istruttoria;
- nell’ambito del procedimento disciplinare, l’identità del Segnalante non può essere rivelata, ove la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla Segnalazione, anche se conseguenti alla stessa, mentre se fondata in tutto o in parte sulla Segnalazione e la conoscenza dell’identità del Segnalante sia indispensabile per la difesa dell’incolpato, la Segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso del Segnalante alla rivelazione della propria identità.
Fermo il diritto di ricorrere all’autorità giudiziaria, le comunicazioni di ritorsioni che siano trasmesse ad ANAC per gli accertamenti che la legge le attribuisce e per l’eventuale irrogazione della sanzione amministrativa al responsabile, sono coperte dalla medesime tutele di riservatezza del D.Lgs. n. 24/2023.
Infrastruttura e sicurezza
Il software gestionale del Whistleblowing, in linea con il dettato normativo, garantisce altissimi livelli di sicurezza sia al segnalatore che a livello di infrastruttura.
Sicurezza del segnalante e delle segnalazioni
-
Crittografia asimmetrica sui contenuti testuali e sui file allegati: la crittografia non richiede azioni specifiche da parte degli utenti. Il sistema crittografico, garantisce che i messaggi ed i relativi allegati possano essere letti esclusivamente dal mittente e destinatario attraverso l’abbinamento della “chiave crittografica pubblica e privata”.
-
Possibilità di accesso tramite smart card.
-
Accesso regolamentato a norma privacy: l’accesso alle segnalazioni è consentito esclusivamente tramite credenziali (per gli utenti registrati) o tramite l’inserimento dei codici associati alla segnalazione (per gli utenti non registrati).
Sicurezza applicativa
Separazione della segnalazione dall’identità del segnalante: come previsto nella Determinazione ANAC n. 6 del 28 aprile 2015, Parte III, cap. 2. La riservatezza del segnalatore è ulteriormente garantita dall’applicazione, che prevede una netta separazione del processo di iscrizione dal processo di segnalazione, per una corretta separazione dei dati; nella segnalazione inviata, infatti, non viene indicato il nominativo del segnalante.
Resta ferma la possibilità per il responsabile di attivare la procedura tramite la quale il sistema associa l’identità del segnalante alla segnalazione, motivando la richiesta, quando ciò è ritenuto necessario e nei casi previsti dalla normativa. Tale azione viene automaticamente notificata al segnalatore e registrata nel sistema.
Server dedicati DigitalPA: massima protezione dei dati e dei livelli di sicurezza, garantiti sia dalla certificazione DigitalPA ISO 27001/2014 che dalla infrastruttura della server farm certificata ISO 27001/2014.
Firewall hardware e Software integrato: ogni piattaforma dispone di un firewall integrato con strettissime regole, che limitano gli accessi e le azioni agli esclusivi compiti dedicati al software; i firewall si integrano e potenziano ulteriormente la sicurezza.
Certificato SSL: il software di whistleblowing è accessibile esclusivamente tramite accesso HTTPS (Secure Sockets Layer).
IP e Certificato SSL dedicati per ciascun cliente.
Validazioni input utente: la piattaforma è basata su un approccio di validazione input dell’utente. Attraverso regole estremamente rigide l’utente viene verificato sia a livello client che a livello server.
Prevenzione CSRF: tutte le richieste gestite dalla piattaforma sono protette da token CSRF.
