Plataforma ATM Group con sección y gestión independientes para cada empresa

Notas sobre confidencialidad y seguridad

Formas de tutela de demandante previstas por la ley

En el art. 1, párrafo 51, de la ley 190/2012 (llamada ley anticorrupción) se ha añadido un nuevo artículo, el 54-bis, en el contexto del DLeg. 165/2001, denominado "protección del empleado público que denuncia irregularidades", en virtud del cual se introdujo en nuestro sistema una medida destinada a favorecer la aparición de delitos, conocida en los países anglosajones como whistleblowing.

El whistleblowing está regulado por la Ley 179 del 30/11/2017, que modificó el art. 54-bis del DLeg. 165/2001. La legislación prevé la tutela de los empleados públicos y privados que denuncian la comisión de un delito y / o irregularidad a las personas responsables, protegiéndolo contra cualquier represalia o medida discriminatoria, directa o indirecta, por parte de compañeros o superiores.

La identidad del demandante no puede ser revelada sin su consentimiento expreso y todos los que reciben o están involucrados en la gestión de las denuncias deben proteger la confidencialidad de esta información.

Los actos discriminatorios o de represalias adoptados por la administración o por la entidad son nulos.

La ANAC, a través de la Determinación n.6 de 28 de abril de 2015, emitió las "Directrices sobre la tutela de los empleados públicos que denuncian irregularidades (whistleblower)" con la clara indicación de que las denuncias, con el objetivo de tutelar al demandante, se procesen electrónicamente con sistemas computarizados y criptográficos.

Obligaciones de confidencialidad respecto a la identidad del demandante

A excepción de los casos en los que se puede configurar la responsabilidad por calumnias y difamación, la identidad del demandante está protegida en todos los contextos posteriores a la denuncia. La identidad del demandante puede ser revelada a la autoridad disciplinaria y al culpable solo en los casos en que:

  • exista el consentimiento expreso del demandante;

  • el cuestionamiento del cargo disciplinario resulte fundado, total o parcialmente, sobre la denuncia y el conocimiento de la identidad del demandante sea indispensable para la defensa del acusado, siempre que esta circunstancia sea deducida y probada por este último durante la audiencia o mediante la presentación de memorias defensivas.

Distinción entre denuncia anónima y confidencialidad de la identidad del demandante.

El procedimiento para gestionar la denuncia debe garantizar la confidencialidad de la identidad del demandante desde el momento en que se recibe la denuncia o en fases sucesivas.

La garantía de confidencialidad presupone que el demandante da a conocer su identidad. En esencia, el fundamento de la normativa es garantizar la protección del empleado, manteniendo su identidad confidencial.

 

Infraestructura y seguridad

El software de gestión de la denuncia de irregularidades o whistleblowing, en línea con la legislación mencionada, garantiza niveles muy altos de seguridad tanto para el demandante como para la infraestructura.

Seguridad del demandante y de las denuncias
  • Cifrado asimétrico de los contenidos de texto y archivos adjuntos: el cifrado no requiere acciones específicas por parte de los usuarios. El sistema criptográfico garantiza que los mensajes y los archivos adjuntos relativos puedan ser leídos exclusivamente por el remitente y el destinatario mediante la combinación de la "clave criptográfica pública y privada".

  • Posibilidad de acceder mediante una smart card.

  • Acceso regulado de acuerdo con la política de privacidad: el acceso a las denuncias se permite exclusivamente a través de credenciales (para usuarios registrados) o introduciendo los códigos asociados con la denuncia (para usuarios no registrados).

Seguridad de la aplicación

Separación de la denuncia de la identidad del demandante: según lo previsto en la Determinación ANAC n. 6 del 28 de abril de 2015, Parte III, cap. 2. La privacidad del demandante está garantizada por la aplicación, que proporciona una separación completa del proceso de registro del proceso de denuncia, para una correcta separación de los datos; de hecho, en la denuncia enviada, no se indica el nombre del demandante. Permanece invariable la posibilidad del responsable de activar el procedimiento mediante el cual el sistema asocia la identidad del demandante con la denuncia, motivando la solicitud, cuando se considere necesario y en los casos previstos por la normativa. Esta acción se notifica automáticamente al demandante y se registra en el sistema.

Servidores específicos DigitalPA: máxima protección de los datos y de los niveles de seguridad, garantizados tanto por la certificación DigitalPA ISO 27001/2014 como por la infraestructura del servidor farm con certificación ISO 27001/2014.

Firewall hardware y software integrado: cada plataforma posee un firewall integrado con reglas muy estrictas, que limitan el acceso y las acciones a las tareas exclusivas dedicadas al software; los firewall se integran y potencian aún más la seguridad.

Certificado SSL: se puede acceder al software de whistleblowing exclusivamente a través del acceso HTTPS (Secure Sockets Layer).

IP y certificado SSL específicos para cada cliente.

Validaciones input usuario: la plataforma se basa en un enfoque de validación input del usuario. Mediante reglas extremadamente estrictas, el usuario se verifica tanto a nivel cliente como a nivel servidor.

Prevención CSRF: todas las solicitudes gestionadas por la plataforma están protegidas por token CSRF.