Mappa di copertura della Direttiva (UE) 2019/1937 #
EthicsPortal è progettato per mantenere la tua organizzazione conforme alla Direttiva (UE) 2019/1937, al suo recepimento nazionale nel tuo Paese e al GDPR. Ogni funzione corrisponde direttamente a un requisito giuridico.
Questa pagina è la mappa funzione-requisito: ogni articolo della Direttiva è abbinato alla specifica funzionalità di EthicsPortal che lo soddisfa. Per il modo in cui EthicsPortal interpreta le disposizioni ambigue di tali articoli — la soglia dei 50 lavoratori, cosa si intende per “seguito diligente”, le giustificazioni della conservazione, la base giuridica del GDPR, la prevalenza del diritto nazionale — vedi le interpretazioni separate.
Tutti i 27 Stati membri dell’UE hanno recepito la Direttiva nel proprio ordinamento nazionale. La tua organizzazione deve conformarsi alla legge nazionale del proprio Paese di attività — consulta la nostra raccolta normativa sul whistleblowing per Paese per i nomi specifici delle leggi, le sanzioni e le autorità competenti. Tra le principali leggi nazionali figurano la Loi Waserman (Francia), l’HinSchG (Germania), il D.Lgs. 24/2023 (Italia), la Ley 2/2023 (Spagna) e la Legge del 14 giugno 2024 (Polonia).
Ultimo aggiornamento: 2026-05-17.
§1. Canali di segnalazione (art. 8) #
Le organizzazioni con 50 o più dipendenti devono istituire canali di segnalazione interni sicuri.
| Requisito | Come lo gestisce EthicsPortal |
|---|---|
| Canale sicuro per la segnalazione | Portale web crittografato con URL univoco per organizzazione |
| Riservatezza dell’identità del segnalante | Crittografia end-to-end di tutti i dati personali, nessuna registrazione degli indirizzi IP, rimozione automatica dei metadati dai file caricati |
| Accessibile a tutti i lavoratori | Il portale web funziona su qualsiasi dispositivo, senza installazione di app o account |
| Personalizzabile per l’organizzazione | Categorie, logo e messaggio di benvenuto configurabili |
§2. Procedure di segnalazione (art. 9) #
| Requisito | Articolo | Come lo gestisce EthicsPortal |
|---|---|---|
| Designare una persona o un ufficio imparziale | Art. 9(1)(c) | Sistema di assegnazione dei casi con accesso basato sui ruoli — solo i gestori autorizzati vedono le segnalazioni |
| Dare avviso di ricevimento entro 7 giorni | Art. 9(1)(b) | Monitoraggio automatico dei termini con notifiche via email ai gestori all’avvicinarsi o al superamento del termine di 7 giorni |
| Seguito diligente da parte della persona designata | Art. 9(1)(d) | Gestione dei casi con flusso di stato (ricevuto, con avviso di ricevimento, in istruttoria, chiuso), note interne per la collaborazione tra gestori e registro delle attività completo |
| Fornire un riscontro entro tre mesi | Art. 9(1)(f) | Monitoraggio automatico del termine di 3 mesi con avvisi di ritardo a tutti gli amministratori dell’organizzazione. I segnalanti vedono la sequenza temporale sul portale e possono controllare lo stato in qualsiasi momento utilizzando l’ID del caso e il codice di accesso |
| Consentire la segnalazione orale (telefono, messaggio vocale o incontro di persona su richiesta) | Art. 9(2) | Numero di telefono configurabile visualizzato sul portale; i gestori possono registrare direttamente nel sistema le segnalazioni telefoniche, di persona e per lettera |
| Informare sulle opzioni di segnalazione esterna | Art. 9(1)(g) | Il portale visualizza informazioni sul diritto del segnalante di contattare le autorità nazionali competenti, citando la Direttiva (UE) 2019/1937 |
§3. Ambito di protezione (art. 4) #
La direttiva tutela non solo i dipendenti, ma anche collaboratori, fornitori, azionisti e altri terzi.
EthicsPortal visualizza sul portale indicazioni chiare sul fatto che la segnalazione è aperta a dipendenti, collaboratori, fornitori e qualsiasi altro terzo.
Il modulo di acquisizione chiede inoltre al segnalante — facoltativamente — il suo rapporto con l’organizzazione (dipendente attuale o ex, collaboratore, fornitore, candidato, azionista o altro), rispecchiando le categorie di ambito personale dell’art. 4, così che i gestori possano confermare che la protezione si applica. La domanda è ignorabile, così l’anonimato non è mai condizionato dalla sua risposta.
§4. Divieto di ritorsioni (artt. 6, 19-21) #
I segnalanti devono essere informati che le ritorsioni sono vietate dalla legge.
EthicsPortal visualizza un avviso anti-ritorsioni su ogni pagina del portale, citando la Direttiva (UE) 2019/1937, prima dell’invio della segnalazione.
Il modulo di acquisizione consente inoltre al segnalante di indicare, facoltativamente, se teme o già subisce ritorsioni. Quando impostato, la segnalazione riporta un’evidente etichetta di urgenza nella vista del gestore, così che un caso che richiede una protezione rafforzata sia visibile a colpo d’occhio.
§5. Riservatezza dell’identità (art. 16) #
| Requisito | Come lo gestisce EthicsPortal |
|---|---|
| Identità non divulgata oltre il personale autorizzato | Controllo di accesso basato sui ruoli — solo gli amministratori, l’assegnatario principale e i partecipanti aggiunti esplicitamente (ad es. legale, risorse umane) possono visualizzare una segnalazione. I gestori non amministratori vedono solo i casi a cui sono assegnati o aggiunti come partecipanti |
| Anonimato del gestore nei confronti del segnalante | I segnalanti vedono “Gestore del caso” nei messaggi, mai il nome reale o l’email del gestore |
| Dati sensibili crittografati | Nomi dei segnalanti, dati di contatto, descrizioni delle segnalazioni e corpo dei messaggi sono crittografati a riposo con crittografia non deterministica |
Nessun trattamento del contenuto delle segnalazioni tramite IA. La riservatezza ai sensi dell’Art. 16 si estende a quali terzi vedono la segnalazione. EthicsPortal non trasmette il contenuto delle segnalazioni, l’identità dei segnalanti o le comunicazioni dei casi ad alcun modello linguistico di grandi dimensioni o servizio di inferenza IA — né per la categorizzazione, né per la sintesi, né per la traduzione. Nessun fornitore di IA (OpenAI, Anthropic, Google, Mistral o altro) è sub-responsabile del trattamento. Ciò elimina una classe di divulgazione di sub-responsabili del trattamento dal tuo DPA ed elimina le considerazioni relative all’Art. 22 (processo decisionale automatizzato) dalla tua DPIA. Vedi l’elenco dei sub-responsabili del trattamento per la voce corrispondente.
Due ulteriori ragioni per cui si tratta di una scelta di livello “riservatezza”, non di una preferenza di funzionalità:
- Nessuna allucinazione nella catena delle evidenze di conformità. I modelli linguistici di grandi dimensioni producono output probabilistici. Una sintesi che afferma “questa segnalazione non sembra urgente” è una probabilità, non un fatto, e non può essere riprodotta o verificata. EthicsPortal registra in modo deterministico l’attore, l’azione e la marca temporale — il registro delle attività è un’evidenza, non una congettura.
- Nessuna superficie di attacco di prompt injection sugli invii dei segnalanti. L’input del segnalante è per definizione non attendibile. Indirizzarlo a un LLM crea una classe di attacchi in cui istruzioni incorporate nel testo della segnalazione possono manipolare l’output rivolto al gestore (risposte suggerite, sintesi, categorizzazione). EthicsPortal elimina del tutto la superficie non eseguendo inferenza sul contenuto delle segnalazioni.
§6. Conservazione dei registri (art. 18) #
| Requisito | Come lo gestisce EthicsPortal |
|---|---|
| Conservare i registri di ogni segnalazione | Registro delle attività completo di tutte le azioni: invii, modifiche di stato, messaggi, assegnazioni e visualizzazioni delle segnalazioni |
| Registri conservati in modo sicuro | Tutti i campi sensibili crittografati a riposo |
| Registri recuperabili | Esportazione completa del caso in PDF inclusi metadati, thread dei messaggi, elenco degli allegati e registro delle attività. Rapporto di conformità a livello di organizzazione in PDF disponibile per gli organi di verifica — include la checklist della direttiva, le metriche SLA e la sintesi sulla protezione dei dati senza esporre i dati sensibili delle segnalazioni |
| Eliminare i registri quando non più necessari | Periodo di conservazione dei dati configurabile (12, 24, 36 o 60 mesi) con eliminazione automatica delle segnalazioni chiuse scadute |
§7. Conformità al GDPR #
| Requisito | Articolo | Come lo gestisce EthicsPortal |
|---|---|---|
| Base giuridica del trattamento | Art. 6, par. 1, lett. c) | Il trattamento è necessario per adempiere alla Direttiva (UE) 2019/1937 |
| Informativa sul trattamento dei dati | Art. 13/14 | Informativa sulla privacy visualizzata nel modulo di invio della segnalazione prima dell’invio da parte del segnalante |
| Minimizzazione dei dati | Art. 5, par. 1, lett. c) | Vengono raccolti solo i campi essenziali; il nome e il contatto del segnalante sono facoltativi |
| Limitazione della conservazione | Art. 5, par. 1, lett. e) | Periodo di conservazione configurabile per organizzazione con eliminazione automatica |
| Integrità e riservatezza | Art. 5, par. 1, lett. f) | Crittografia a riposo per tutti i dati sensibili; nessuna registrazione degli indirizzi IP sulle rotte del portale; metadati dei file rimossi automaticamente |
| Diritto alla cancellazione | Art. 17 | Eliminazione automatica basata sulla conservazione; eliminazione manuale disponibile per gli amministratori |
§8. Misure di sicurezza #
| Misura | Dettaglio |
|---|---|
| Crittografia a riposo | Tutte le descrizioni delle segnalazioni, i nomi dei segnalanti, i dati di contatto e il corpo dei messaggi sono crittografati con crittografia non deterministica |
| Nessuna registrazione degli IP | Gli indirizzi IP dei segnalanti non vengono mai memorizzati — la limitazione delle richieste utilizza hash unidirezionali irreversibili |
| Rimozione dei metadati dei file | I dati EXIF (coordinate GPS, modello della fotocamera, informazioni sull’autore) vengono rimossi automaticamente dalle immagini caricate prima dell’archiviazione |
| Identità anonima del gestore | I segnalanti non vedono mai il nome reale del gestore — i messaggi mostrano “Gestore del caso” |
| Limitazione delle richieste | Gli endpoint del portale pubblico sono soggetti a limitazione delle richieste per prevenire abusi |
| Controllo di accesso | I permessi basati sui ruoli garantiscono che solo i gestori autorizzati possano visualizzare le segnalazioni; i gestori non amministratori vedono solo i casi a cui sono assegnati o aggiunti come partecipanti |
| Registro delle attività | Ogni azione è registrata con marca temporale, attore e tipo di azione — in sola aggiunta e sempre disponibile per la verifica delle autorità |
§9. Cosa deve ancora fare la tua organizzazione #
EthicsPortal gestisce i requisiti tecnici. La tua organizzazione è responsabile di:
- Designare un referente per le segnalazioni — assegnare almeno una persona responsabile della gestione delle segnalazioni
- Politica interna — adottare una policy di protezione dei segnalanti e comunicarla ai dipendenti
- Formazione — assicurarsi che i gestori designati comprendano gli obblighi di riservatezza
- Applicazione del divieto di ritorsioni — assicurarsi che la direzione comprenda che le ritorsioni costituiscono una violazione di legge
- Consenso alla divulgazione dell’identità — se l’identità di un segnalante deve essere condivisa oltre i gestori autorizzati (ad es. con le autorità di contrasto), ottenere prima il consenso esplicito del segnalante (Art. 16(2) )
- Informare i lavoratori — condividere l’URL del portale con i dipendenti (EthicsPortal fornisce un link condivisibile e un codice QR)
Domande? #
Gli amministratori possono scaricare un rapporto di conformità in PDF direttamente dalla pagina delle impostazioni del portale. Include una checklist completa della Direttiva (UE) 2019/1937, le metriche SLA, le misure di protezione dei dati e una sintesi del registro delle attività — pronto da consegnare a un organo di verifica senza esporre alcun dato sensibile delle segnalazioni.
Per i requisiti specifici per Paese (sanzioni, periodi di conservazione, autorità competenti), consulta la nostra raccolta normativa sul whistleblowing per Paese .
Per il modo in cui EthicsPortal interpreta le disposizioni ambigue della Direttiva (la soglia dei 50 lavoratori, cosa si intende per “seguito diligente”, le giustificazioni della conservazione, la base giuridica del GDPR), vedi le interpretazioni della Direttiva (UE) 2019/1937 .
Se hai bisogno di aiuto per dimostrare la conformità al tuo team legale o all’autorità, contattaci a legal@ethicsportal.eu .
Ultimo aggiornamento: