Da questa pagina puoi accedere a tutte le risorse, alla documentazione tecnica, ai contenuti formativi sul whistleblowing e a una serie di FAQ a supporto degli enti e delle organizzazioni del settore pubblico e privato che aderiscono al progetto, utili non solo nell’utilizzo della piattaforma, ma anche nell’implementazione di procedure e policy adeguate per realizzare un efficiente sistema di whistleblowing.
risorse
documentazione tecnica
Qui trovi il contratto di servizio, i documenti su privacy e sicurezza e le certificazioni relative al progetto.
materiali di comunicazione
In questa pagina sono disponibili dei modelli di comunicazioni e altri materiali per diffondere il servizio.
normativa e pubblicazioni
Abbiamo raccolto i riferimenti normativi sul whistleblowing e le migliori ricerche e analisi sul tema.
Tutorial
faq
Adempimenti normativi
Se adotto una piattaforma del progetto WhistleblowingIT il mio ente è adempiente rispetto agli obblighi in materia di whistleblowing previsti per il settore pubblico e per il settore privato, in particolare rispetto al decreto legislativo n. 24/2023?
Sì. Le soluzioni offerte per le diverse tipologie di enti e organizzazioni nell’ambito del progetto WhistleblowingIT sono progettate in conformità alla normativa vigente sia per quanto riguarda i requisiti tecnici che deve rispettare la piattaforma informatica, sia per quanto riguarda i questionari standard proposti che sono stati appositamente studiati per essere in regola con le disposizioni normative nazionali, europee e in linea con le migliori best-practice internazionali.
In caso di novità normative sono previsti aggiornamenti?
Il progetto WhistleblowingIT è costantemente aggiornato rispetto alla normativa di riferimento. La piattaforma è in continuo sviluppo per rispondere non solo ai requisiti legislativi ma anche alle necessità degli utenti. Gli aggiornamenti vengono rilasciati in maniera costante a beneficio di tutti. I questionari standard proposti nell’ambito di questo progetto (versione gratuita per le Pubbliche Amministrazioni, versione per le Società in Controllo Pubblico e versione per gli enti di diritto privato) sono aggiornati direttamente da parte del team di progetto in caso di nuovi requisiti normativi, nel rispetto delle tempistiche indicate dalla legge. Le modifiche sulle versioni personalizzate sono concordate direttamente con l’ente/organizzazione per andare incontro alle specifiche esigenze. Gli aggiornamenti normativi per tutte le tipologie di piattaforme vengono effettuati senza costi aggiuntivi, come parte integrante del servizio offerto nell’ambito del progetto WhistleblowingIT.
Posso pubblicare il link della piattaforma solo sulla intranet dell’ente/organizzazione?
No. Il decreto legislativo 24/2023 prevede che anche soggetti esterni all’ente/organizzazione (lavoratori o collaboratori di aziende fornitrici, consulenti esterni, azionisti) e soggetti che non abbiano ancora o non abbiano più un rapporto di collaborazione attivo, possano effettuare una segnalazione. Per consentire questo diritto a tutti i soggetti previsti dalla legge, il link alla piattaforma di segnalazione deve essere pubblico e facilmente accessibile sul sito internet dell’ente/organizzazione, qualora questo ne sia dotato, così come espressamente previsto dalla legge.
Per le segnalazioni orali previste dall’art. 4 del decreto legislativo 24/2023, il progetto WhistleblowingIT prevede una soluzione per gli enti/organizzazioni?
Non è prevista la possibilità di effettuare segnalazioni orali attraverso il software messo a disposizione nelle soluzioni standard offerte dal progetto WhistleblowingIT. Questa opportunità è offerta solo nell’ambito della soluzione personalizzata, nel caso in cui questa funzionalità venga richiesta dall’ente/organizzazione. Per tutte le altre versioni abbiamo scelto di non abilitare questa funzione perché riteniamo che la ratio della norma sia quella di offrire un canale alternativo per la segnalazione orale e non una sezione diversa dello stesso canale previsto per la segnalazione scritta, per andare incontro alle esigenze di accessibilità dei segnalanti.
Qual è la documentazione necessaria da predisporre una volta attivata la piattaforma per essere in linea con la normativa?
Una volta attivata la piattaforma, per completare gli adempimenti normativi è necessario produrre la seguente documentazione:
- Nomina a responsabile esterno al trattamento dei dati disponibile qui e da restituire firmata a info@whistleblowing.it;
- Procedura di whistleblowing in cui si fa riferimento ai canali attivati e ai riferimenti normativi (modello disponibile qui);
- Informativa privacy tra ente e segnalante (modello disponibile qui);
- Valutazione d’impatto sul trattamento dei dati personali (DPIA) che può essere redatta più facilmente grazie alla documentazione a supporto prodotta nell’ambito di questo progetto e disponibile qui.
Nella breve guida pratica sul trattamento dei dati disponibile al seguente link sono spiegati gli adempimenti in materia di privacy.
adesione a whistleblowingpa
È possibile iniziare ad utilizzare la versione gratuita della piattaforma per Pubbliche Amministrazioni e poi decidere di passare alla versione personalizzata?
Sì. La versione base gratuita è pensata per tutte le pubbliche amministrazioni che hanno bisogno di uno strumento sicuro e dedicato e che la legge coglie impreparate. È pensato per essere uno strumento adatto sia ai piccoli comuni che ad enti molto strutturati. La versione personalizzata, che può essere adottata in un secondo momento, permette un ulteriore miglioramento delle procedure interne di whistleblowing, adattando la piattaforma agli scopi specifici dell’amministrazione.
I dati inseriti in fase di registrazione possono essere cambiati in un secondo momento?
Sì. La sostituzione dell’email associata alla piattaforma può essere fatta direttamente dall’ente nel proprio pannello gestionale. Gli altri dati di registrazione rilevano solo allo scopo di registrazione e non sono riportati sulla piattaforma. Durante la registrazione è necessario avere accesso all’email indicata in quanto la procedura di configurazione richiede una verifica dell’email inserita e prevede l’invio di informazioni essenziali all’indirizzo riportato.
L’ente pubblico deve sottoscrivere un contratto per attivare la piattaforma gratuita?
L’ente accetta dei termini di servizio contrattuali nel momento in cui registra una piattaforma tramite questo progetto. Una copia degli stessi termini di servizio è disponibile per la visione anche nella pagina documentazione tecnica di questo sito al seguente link. L’ente è inoltre tenuto a restituire firmata la nomina a Responsabile esterno del trattamento dei dati disponibile al seguente link e a comunicare tramite il seguente modulo l’indirizzo web della pagina del proprio sito internet istituzionale dedicata al whistleblowing in cui è pubblicato anche l’indirizzo della piattaforma, come indicato nel Regolamento di Uso Accettabile.
PERCHè NON TROVO IL MIO ENTE NELL’ELENCO DEGLI ADERENTI?
L’elenco degli enti e organizzazioni che hanno aderito al progetto viene aggiornato settimanalmente con i dati degli aderenti per i quali è stata verificata la pubblicazione della piattaforma sul sito internet istituzionale. Per completare tale verifica è necessario che l’ente comunichi tramite il seguente modulo l’indirizzo web della pagina dedicata al whistleblowing in cui è pubblicato anche l’indirizzo della piattaforma. Se il tuo ente non è presente tra gli aderenti è possibile che non abbiamo ancora aggiornato l’elenco o che non abbiamo ricevuto la comunicazione della pubblicazione.
caratteristiche delle piattaforme
Attraverso le piattaforme offerte dal progetto è possibile effettuare una segnalazione in forma orale?
Il software GlobaLeaks ha sviluppato una funzionalità di messaggistica vocale che, però, non verrà integrata nella versione gratuita e nelle versioni standard della piattaforma. Sarà disponibile, ove richiesta, nelle piattaforme personalizzate. Non pensiamo che i sistemi di messaggistica vocale costituiscano una buona pratica per il whistleblowing, in quanto non permettono di ricevere una segnalazione qualificata, con un percorso che guidi il segnalante a fornire informazioni mirate. Comporta poi un onere non indifferente per il ricevente che deve sbobinare il file orale ricevuto, verbalizzarlo e raggiungere, se possibile, il segnalante per la validazione del verbale e poter quindi completare la segnalazione. Riteniamo inoltre che il canale orale debba essere alternativo in termini di accessibilità a quello scritto tramite piattaforma e quindi non debba essere messo a disposizione attraverso lo stesso mezzo. La nostra raccomandazione è quella che la segnalazione orale venga garantita attraverso un canale mediato, tramite incontro personale o contatto telefonico su richiesta del segnalante.
Le piattaforme del progetto WhistleblowingIT effettuano la separazione tra segnalazione e identità del segnalante attraverso la funzionalità del cosiddetto custode?
No. Le Linee Guida dell’ANAC (adottate con Delibera n. 469 del 9 giugno 2021 e ora superate dalla nuova normativa) avevano previsto la figura del Custode dell’identità. Tale figura era stata istituita pensando che nascondere l’identità del segnalante al RPCT fosse utile alla tutela del segnalante; tuttavia le organizzazioni promotrici di questo progetto credono che non vi sia un effettivo valore aggiunto e che non solo le tutele nei confronti di chi segnala potrebbero essere depotenziate, ma anche che le responsabilità del RPCT diventerebbero meno chiare una volta introdotto un altro soggetto nel processo di gestione della segnalazione. Il progetto WhistleblowingIT ha deciso quindi di non implementare, nelle sue versioni gratuita e standard, una separazione tra segnalazione e identità del segnalante attraverso l’introduzione della figura del custode.
WhistleblowingIT è un servizio qualificato ACN?
Sì. Il servizio di whistleblowing digitale offerto nell’ambito di questo progetto ha ottenuto la qualificazione dall’Agenzia per la Cybersicurezza Nazionale (ACN). Consulta la qualificazione qui.
Le piattaforme del progetto WhistleblowingIT prevedono l’invio automatico di un avviso di ricevimento della segnalazione entro 7 giorni dalla sua ricezione?
Da un punto vista tecnico, le piattaforme danno al segnalante una conferma immediata di avvenuta ricezione della segnalazione. Tuttavia, riteniamo che con la previsione dell’art. 5.1 del decreto legislativo 24/2023 il legislatore intendesse prevedere un’azione specifica da parte del soggetto ricevente a confermare l’effettiva presa in carico della segnalazione. Per questo, invitiamo i soggetti riceventi ad agire in tal senso.
Posso attivare il software di whistleblowing sui miei sistemi informativi interni anziché aderire a una delle soluzioni previste dal progetto WhistleblowingIT?
Il software di whistleblowing GlobaLeaks su cui si basano le soluzioni offerte dal progetto WhistleblowingIT è open source ed è quindi liberamente scaricabile dal sito www.globaleaks.org, modificabile e ridistribuibile secondo la licenza AGPL 3.0. Può essere installato in autonomia da un tecnico informatico seguendo le istruzioni riportate sul sito. Non esistono forme di lock-in o altri impedimenti applicati talvolta in ambito commerciale, di modo che sia possibile esportare e migrare le impostazioni della piattaforma attivata tramite questo progetto ad una installazione del software realizzata in autonomia presso i propri sistemi informativi. Tutto il software impiegato, e in futuro ulteriormente sviluppato, nel progetto WhistleblowingIT è pubblico, libero e gratuito, riutilizzabile da parte di enti, società private, consorzi e associazioni per realizzare progetti simili in autonomia.
Come avviene il trattamento delle informazioni identificative del segnalante?
Le piattaforme WhistleblowingIT prevedono sia la possibilità di segnalazioni anonime che di segnalazioni dichiarate. Contestualmente all’apertura della segnalazione, il segnalante ha la possibilità di scegliere se fornire i propri dati identificativi, quali nome, cognome ed un eventuale metodo di contatto alternativo alle comunicazioni via piattaforma. Se non forniti, il segnalante può a sua scelta decidere di comunicare la propria identità successivamente in fase di integrazione della segnalazione. In ogni situazione in cui il segnalante abbia inserito queste informazioni a sistema, i riceventi hanno la possibilità di vedere se queste siano presenti e accedervi tramite il pulsante “Mostra” all’interno della segnalazione. Tali informazioni identificative del segnalante sono infatti visualizzabili in una apposita sezione separata dai contenuti della segnalazione. Per ragioni di sicurezza del processo e di audit in fase di primo accesso ai dati identificativi del segnalante, il sistema registra la data e l’utenza che ha effettuato la richiesta di visualizzazione.
QUAL è IL TEMPO DI CONSERVAZIONE DELLE SEGNALAZIONI SULLA PIATTAFORMA?
In conformità con la normativa, che prevede che le segnalazioni debbano essere conservate per il solo tempo necessario al loro trattamento, abbiamo impostato una data retention policy di 12 mesi, un tempo che ci sembra congruo a effettuare le attività di accertamento e allo stesso tempo non lesivo del principio di minimizzazione di trattamento dei dati.
Rispetto alla singola segnalazione, il soggetto ricevente può anticipare la scadenza delle segnalazioni fino a 3 mesi dalla data dell’operazione e può prorogare la scadenza delle segnalazioni per il tempo ritenuto congruo al trattamento dei dati. Anticipazioni e proroghe delle scadenze possono essere fatte dal soggetto ricevente più volte.
assistenza
Se ho bisogno di assistenza tecnica sulla piattaforma cosa devo fare?
È possibile richiedere supporto tecnico direttamente dall’interfaccia di accesso della propria piattaforma o all’interno della stessa cliccando sull’icona di supporto disponibile in alto a destra. Il team WhistleblowingIT vi fornirà informazioni e provvederà a risolvere eventuali problemi in maniera tempestiva.
Cosa devo fare se ho dimenticato la password?
Per poter accedere nuovamente alla propria piattaforma in caso di smarrimento della password, si può procedere in diversi modi, a seconda delle informazioni conosciute da parte dell’utente:
- Se si conosce la chiave di recupero dell’account e l’email collegata alla piattaforma, è possibile reimpostare la password in autonomia attraverso il pannello di accesso al link specifico della propria piattaforma.
- Se si conosce l’email collegata alla piattaforma ma non si ha conservato copia della chiave di recupero, va effettuata una richiesta di reset cliccando sul pulsante “Password dimenticata?” nel pannello di accesso alla propria piattaforma e successivamente su “Richiedi supporto”, specificando che si desidera richiedere un reset della password all’indirizzo collegato alla piattaforma.
- Se non si conosce né la chiave di recupero né l’email collegata alla piattaforma o sia necessario sostituire la stessa, va fatta richiesta via e-mail a info@whistleblowing.it, specificando anche l’email che si intende sostituire. Nel caso di Pubbliche Amministrazioni, va allegata alla richiesta anche la nomina del nuovo RPCT.
Cos’è la chiave di recupero e dove la trovo?
La chiave di recupero è una chiave che protegge una copia della chiave crittografica della piattaforma. Si trova all’interno della piattaforma nella sezione Preferenze e serve, tra le altre cose, per poter reimpostare la password in autonomia e recuperare il proprio account in caso di smarrimento di quest’ultima. Raccomandiamo di accedere alla chiave di recupero e salvarla in un luogo sicuro dopo aver effettuato il primo accesso alla piattaforma.