Vai al contenuto principale Richiesto dal diritto UE per le organizzazioni con oltre 50 dipendenti

Domande frequenti #

Per i responsabili della compliance e i decisori #

EthicsPortal è conforme alla Direttiva (UE) 2019/1937? #

Sì. EthicsPortal è progettato specificamente per soddisfare i requisiti della Direttiva UE sulla protezione dei segnalanti. Ciò include un canale di segnalazione interno sicuro, una comunicazione bidirezionale anonima, il monitoraggio dei termini (avviso di ricevimento entro 7 giorni, riscontro entro 3 mesi), i controlli di accesso, le politiche di conservazione dei dati e un registro delle attività completo. Consulta la mappa di copertura della Direttiva (UE) 2019/1937 per un’analisi articolo per articolo.

In quali Paesi EthicsPortal è conforme? #

EthicsPortal copre i requisiti della Direttiva (UE) 2019/1937, che è stata recepita nell’ordinamento nazionale di tutti gli Stati membri dell’UE. La piattaforma è progettata per soddisfare i requisiti di base della Direttiva, che si applicano in tutta l’UE. Se il tuo Paese prevede requisiti nazionali aggiuntivi (ad esempio la Loi Waserman francese), consulta le nostre guide per Paese oppure contattaci .

Possiamo gestire il canale di segnalazione internamente? #

Sì — l’articolo 8, paragrafo 5, della Direttiva (UE) 2019/1937 lo consente espressamente. Ma soddisfare le condizioni della Direttiva è strutturalmente più difficile internamente.

L’articolo 9, paragrafo 1, richiede la riservatezza dell’identità del segnalante, un seguito imparziale e un accesso limitato alle segnalazioni. Un canale interno passa attraverso gli stessi amministratori IT, backup e strumenti di conservazione a fini di contenzioso che toccano ogni altro sistema dell’azienda. Un sottodominio o una casella di posta separati non cambiano chi ha accesso.

Il GDPR aggiunge un secondo problema. Il whistleblowing è nell’elenco delle DPIA obbligatorie dell’EDPB. Una DPIA interna deve documentare come il titolare del trattamento impedisce a sé stesso di accedere ai dati che lo riguardano — il che è circolare per definizione.

La gestione esterna è prevista dall’art. 8, par. 5, e dai recepimenti nazionali: Loi Sapin II / Waserman (FR), HinSchG §14 (DE), D.Lgs. 24/2023 (IT), Ley 2/2023 (ES).

Dove sono archiviati i miei dati? #

I dati principali delle segnalazioni sono archiviati su server Hetzner a Norimberga, in Germania. Il sito di marketing è erogato tramite Cloudflare (Stati Uniti); i portali di segnalazione e di gestione no. Hetzner è un fornitore di hosting tedesco soggetto al diritto UE in materia di protezione dei dati e le garanzie di trasferimento sono descritte nelle pagine DPA e sub-responsabili del trattamento .

La segnalazione è davvero anonima? #

Sì, se il segnalante lo sceglie. Fornire un nome o dati di contatto è facoltativo. EthicsPortal non registra gli indirizzi IP, rimuove i metadati dei file (EXIF, GPS, informazioni sull’autore) dai caricamenti e il thread di messaggi sicuro non rivela mai l’identità del gestore del caso al segnalante. Non esiste alcun meccanismo tecnico per ricondurre una segnalazione anonima a una persona.

Come funziona il monitoraggio dei termini di 7 giorni e 3 mesi? #

Quando una segnalazione viene inviata, EthicsPortal avvia automaticamente due cronometri basati sui requisiti della Direttiva:

Le segnalazioni in ritardo vengono evidenziate nella dashboard e i gestori ricevono notifiche all’avvicinarsi dei termini.

Offrite un accordo sul trattamento dei dati (DPA)? #

Sì. Il DPA attuale è pubblicato in DPA e un PDF controfirmato è disponibile su richiesta.

Quali certificazioni avete? #

EthicsPortal attualmente non dichiara su questo sito una certificazione ISO 27001 accreditata. Documentiamo pubblicamente l’attuale postura di sicurezza, i sub-responsabili del trattamento, la comunicazione degli incidenti e gli impegni di servizio nelle pagine sicurezza , sub-responsabili del trattamento , incidenti e SLA .

Chi è la parte contraente? #

EthicsPortal è gestito da Yaroslav Shmarov, registrato in Polonia. I dettagli di base su contrattualizzazione e approvvigionamento sono pubblicati sulla pagina trust .

Potete supportare la verifica in fase di approvvigionamento? #

Sì. I materiali pubblici di due diligence sono pubblicati sul sito e ulteriori materiali per l’approvvigionamento sono disponibili su richiesta durante la verifica. Vedi la pagina trust .

Posso esportare i dati dei casi per le verifiche delle autorità? #

Sì. Ogni segnalazione può essere esportata in PDF, inclusa l’intera cronologia dei messaggi, la sequenza temporale e il registro delle attività. È pensato per la condivisione con consulenti legali, organi di verifica o autorità. Se necessiti di un formato di portabilità aggiuntivo per la migrazione o l’esame da parte delle autorità, contattaci durante l’approvvigionamento o la verifica di dismissione.

Per i dipendenti e i segnalanti #

Devo creare un account per inviare una segnalazione? #

No. Non hai bisogno di un account, di un indirizzo email o di alcuna informazione personale. Visiti il link del portale, compili la segnalazione, scegli un codice di accesso di 6 cifre e ricevi un ID del caso. Tutto qui.

Il mio datore di lavoro può scoprire chi sono? #

Non tramite EthicsPortal. Se scegli di inviare la segnalazione in forma anonima (senza fornire il tuo nome o i tuoi dati di contatto), non esiste alcun modo per il tuo datore di lavoro di identificarti attraverso la piattaforma. EthicsPortal non registra il tuo indirizzo IP e rimuove i metadati identificativi da qualsiasi file che carichi.

Detto ciò, presta attenzione a ciò che scrivi — se la tua segnalazione contiene dettagli che solo tu potresti conoscere, ciò esula dal controllo della piattaforma.

Come faccio a controllare lo stato della mia segnalazione? #

Ti servono due cose: l’ID del caso (formato WB-XXXX-XXXX) mostrato dopo l’invio e il codice di accesso di 6 cifre che hai scelto. Torna al portale in qualsiasi momento, inserisci entrambi e vedi lo stato attuale o scambia messaggi con il gestore del caso. Conserva l’ID del caso in un luogo sicuro e ricorda il codice di accesso — non possiamo recuperare il codice di accesso ed entrambi sono necessari.

Posso allegare file alla mia segnalazione? #

Sì. Puoi caricare immagini, PDF, file video e audio fino a 100 MB ciascuno. Tutti i metadati dei file (dati di posizione, informazioni sull’autore, dettagli della fotocamera) vengono rimossi automaticamente prima dell’archiviazione per proteggere la tua identità.

Posso comunicare con il gestore del caso in forma anonima? #

Sì. Il thread di messaggi integrato è completamente anonimo. Vedi “Gestore del caso” — mai un nome reale. Il gestore vede i tuoi messaggi ma non ha alcun modo per identificarti, a meno che tu non scelga di condividere tu stesso tali informazioni.

Cosa succede dopo che ho inviato una segnalazione? #

La tua segnalazione viene ricevuta dal gestore del caso designato dall’organizzazione. Ai sensi del diritto UE, deve dare avviso di ricevimento entro 7 giorni e fornire un riscontro sostanziale entro 3 mesi. Puoi controllare lo stato in qualsiasi momento utilizzando l’ID del caso e il codice di accesso.

Per i team IT e tecnici #

Quale crittografia utilizzate? #

Tutti i dati sensibili delle segnalazioni sono crittografati a riposo nel database. Tutte le connessioni utilizzano TLS (HTTPS). I file caricati sono archiviati in forma crittografata su infrastruttura ospitata nell’UE.

Rimuovete i metadati dei file? #

Sì. Le immagini caricate vengono ripulite lato server prima dell’archiviazione. Anche i caricamenti di PDF, video e audio vengono elaborati per la rimozione dei metadati nella configurazione di produzione standard descritta sulla pagina sulla sicurezza . Ciò riduce il rischio di divulgazione accidentale dell’identità attraverso le proprietà dei file.

Sottoponete a scansione antivirus i file caricati? #

Sì. Tutti i file caricati vengono sottoposti a scansione antimalware con ClamAV, un motore antivirus open source. La scansione avviene lato server — nessun dato dei file viene inviato a servizi esterni. I file infetti vengono rimossi automaticamente prima che i gestori dei casi possano accedervi.

Registrate gli indirizzi IP? #

L’applicazione non memorizza nel database l’indirizzo IP grezzo del segnalante. La limitazione delle richieste sul portale di segnalazione pubblico utilizza un hash unidirezionale e i log dell’applicazione per le rotte del portale vengono ripuliti per proteggere l’anonimato dei segnalanti. Vedi sicurezza per la formulazione precisa.

Quali servizi di terze parti utilizzate? #

Sul portale di segnalazione stesso non vengono utilizzati network pubblicitari né cookie di tracciamento di terze parti.

Avete un’API? #

Attualmente non disponibile. Contattaci se l’accesso tramite API è un requisito per la tua organizzazione.

Supportate i domini personalizzati? #

Attualmente non disponibile. Tutti i portali sono erogati sotto il dominio EthicsPortal.

Supportate il Single Sign-On (SSO)? #

Attualmente non disponibile. Gli utenti accedono tramite magic link (autenticazione email senza password).

Fatturazione #

Quanto costa EthicsPortal? #

60 €/mese o 500 €/anno, forfettari. Un solo piano, tutto incluso. Nessun costo per utente, nessun costo per segnalazione, nessun livello di funzionalità.

Come funziona l’abbonamento? #

EthicsPortal è un servizio di compliance a pagamento: 60 €/mese o 500 €/anno, senza prova gratuita. Attiva il portale dall’applicazione, configura il canale di segnalazione e avvia la gestione una volta sottoscritto l’abbonamento.

Possiamo annullare l’abbonamento? #

Sì. Gli abbonamenti possono essere annullati dalle impostazioni dell’account. Non sono previsti costi di annullamento.

Quali metodi di pagamento accettate? #

Carte di credito e di debito tramite Stripe. Se hai bisogno di pagare tramite fattura o bonifico bancario, scrivi a support@ethicsportal.eu .

Hai ancora una domanda? #

Scrivi a support@ethicsportal.eu . Riceverai una risposta entro un giorno lavorativo.

Ultimo aggiornamento: