https://ethicsportal.eu/it/EthicsPortal is a secure, anonymous whistleblower reporting platform that helps organizations comply with EU Directive 2019/1937.it-ITThu, 18 Jun 2026 20:09:21 +0000https://ethicsportal.eu/images/logo.svghttps://ethicsportal.eu/https://ethicsportal.eu/it/whistleblower-laws/italy/Fri, 24 Apr 2026 00:00:00 +0000https://ethicsportal.eu/it/whistleblower-laws/italy/Il quadro normativo italiano sul whistleblowing ai sensi del Decreto Legislativo 24/2023: la regola dei 50 lavoratori, l'estensione ai Modelli 231 e le fonti ufficiali dell'ANAC.<h1 id="normativa-sul-whistleblowing-in-italia"> Normativa sul whistleblowing in Italia <a href="#normativa-sul-whistleblowing-in-italia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p>L’Italia ha recepito la Direttiva (UE) 2019/1937 con il <strong>Decreto Legislativo 10 marzo 2023, n. 24</strong>. Il quadro normativo italiano è di particolare rilievo commerciale perché combina la soglia standard dei <strong>50 lavoratori</strong> con una regola distinta per le organizzazioni che hanno adottato un <strong>Modello 231</strong> di compliance.</p> <h2 id="legge-applicabile"> Legge applicabile <a href="#legge-applicabile" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li><a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg" rel="nofollow">Decreto Legislativo 10 marzo 2023, n. 24 — testo ufficiale</a> </li> <li><a href="https://www.anticorruzione.it/en/-/whistleblowing" rel="nofollow">Pagina dell’ANAC sul whistleblowing</a> </li> </ul> <h2 id="chi-deve-istituire-un-canale-interno"> Chi deve istituire un canale interno <a href="#chi-deve-istituire-un-canale-interno" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Gli enti privati con <strong>almeno 50 lavoratori</strong> devono istituire un canale di segnalazione interno. L’Italia richiede i canali anche per gli enti che hanno adottato un modello di organizzazione e gestione <strong>Modello 231</strong>, anche se di dimensioni inferiori.</p> <h2 id="autorità-di-segnalazione-esterna"> Autorità di segnalazione esterna <a href="#autorit%c3%a0-di-segnalazione-esterna" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>L’autorità esterna ufficiale è l’<a href="https://www.anticorruzione.it/en/-/whistleblowing" rel="nofollow">ANAC</a> , che fornisce le procedure di segnalazione esterna e le indicazioni pubbliche sul regime italiano di whistleblowing.</p> <h2 id="autorità-per-la-protezione-dei-dati"> Autorità per la protezione dei dati <a href="#autorit%c3%a0-per-la-protezione-dei-dati" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Per i reclami in materia di GDPR relativi al trattamento dei dati dei segnalanti, l’autorità competente è il <a href="https://www.garanteprivacy.it/" rel="nofollow">Garante per la protezione dei dati personali</a> .</p> <h2 id="punti-chiave-di-conformità"> Punti chiave di conformità <a href="#punti-chiave-di-conformit%c3%a0" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li>La sovrapposizione con il Modello 231 in Italia fa sì che il mercato si attenda un posizionamento giuridico preciso, anziché un generico messaggio “oltre 50 dipendenti”.</li> <li>Il regime italiano è documentalmente impegnativo: le imprese necessitano di una procedura interna chiara, di una configurazione con gestore designato e di un’informativa sulla privacy conforme.</li> <li>L’ANAC resta il punto di riferimento ufficiale centrale anche quando la segnalazione riguarda un ente privato.</li> </ul> <h2 id="fonti-ufficiali"> Fonti ufficiali <a href="#fonti-ufficiali" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li><a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg" rel="nofollow">Decreto Legislativo 10 marzo 2023, n. 24 — testo ufficiale</a> </li> <li><a href="https://www.normattiva.it/" rel="nofollow">Normattiva — banca dati dei testi di legge italiani</a> </li> <li><a href="https://www.anticorruzione.it/en/-/whistleblowing" rel="nofollow">ANAC — whistleblowing</a> </li> <li><a href="https://www.garanteprivacy.it/" rel="nofollow">Garante privacy</a> </li> </ul> <hr> <p><a href="/pricing/">Attiva il tuo canale di segnalazione →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/sla/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/sla/Obiettivo di disponibilità mensile per i portali del segnalante e dell'operatore di EthicsPortal, come viene misurato e cosa è escluso.<h1 id="accordo-sul-livello-di-servizio"> Accordo sul livello di servizio <a href="#accordo-sul-livello-di-servizio" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p>EthicsPortal si impegna a rispettare un obiettivo di disponibilità mensile per i portali del segnalante e dell’operatore. Questa pagina indica l’obiettivo, come viene misurato e cosa è escluso.</p> <p>Ultimo aggiornamento: 2026-05-17.</p> <hr> <h2 id="obiettivo-di-disponibilità"> Obiettivo di disponibilità <a href="#obiettivo-di-disponibilit%c3%a0" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p><strong>99,5% di tempo di attività mensile</strong> per:</p> <ul> <li>Il portale di segnalazione — la superficie in cui i segnalanti inviano i casi e ne danno seguito.</li> <li>Il portale dell’operatore e del gestore — la superficie in cui i gestori designati accedono ai casi e li trattano.</li> </ul> <p>Il 99,5% mensile consente circa 3 ore e 36 minuti di inattività non pianificata per mese di calendario.</p> <p>Il sito di marketing e la documentazione sono forniti secondo il principio del massimo impegno e non sono coperti.</p> <hr> <h2 id="misurazione"> Misurazione <a href="#misurazione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Il tempo di attività è misurato mensilmente come percentuale di minuti durante i quali le superfici coperte rispondono alle richieste HTTP con uno stato privo di errori. La misurazione è effettuata da un servizio di monitoraggio esterno, non autodichiarata.</p> <hr> <h2 id="cosa-incide-sulla-disponibilità"> Cosa incide sulla disponibilità <a href="#cosa-incide-sulla-disponibilit%c3%a0" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li>Le interruzioni dell’infrastruttura applicativa di EthicsPortal.</li> <li>Le interruzioni di un sub-responsabile del trattamento (hosting, email, archiviazione di oggetti) che degradano una superficie coperta.</li> <li>Gli incidenti di sicurezza che richiedono la disattivazione di una superficie coperta.</li> </ul> <p>Le interruzioni dei sub-responsabili del trattamento non sono escluse. L’impegno riflette ciò che gli operatori e i segnalanti effettivamente sperimentano.</p> <hr> <h2 id="esclusioni"> Esclusioni <a href="#esclusioni" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>La disponibilità è misurata escludendo:</p> <ul> <li><strong>La manutenzione programmata</strong> annunciata con almeno 48 ore di anticipo. Pianificata al di fuori degli orari lavorativi europei e di norma di durata inferiore a 30 minuti.</li> <li><strong>La forza maggiore</strong> — interruzioni regionali di internet, calamità naturali, malfunzionamenti del DNS o delle autorità di certificazione esterne alla nostra catena di fornitori.</li> <li><strong>L’uso non autorizzato o abusivo</strong> che richieda misure di protezione come la limitazione delle richieste o la sospensione degli account.</li> </ul> <hr> <h2 id="obiettivi-di-ripristino"> Obiettivi di ripristino <a href="#obiettivi-di-ripristino" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>In uno scenario di disaster recovery, EthicsPortal si pone come obiettivo:</p> <ul> <li><strong>Obiettivo del punto di ripristino (RPO): 24 ore.</strong> I dati scritti nelle 24 ore precedenti un guasto catastrofico potrebbero andare perduti.</li> <li><strong>Obiettivo del tempo di ripristino (RTO): 4 ore.</strong> Le superfici coperte vengono ripristinate a uno stato funzionante entro quattro ore dalla dichiarazione di un incidente.</li> </ul> <p>Il meccanismo di backup, la posizione di archiviazione, la conservazione e la cadenza dei test di ripristino sono documentati sulla <a href="/security/#backups-and-restore">pagina sulla sicurezza</a> .</p> <hr> <h2 id="comunicazione-delle-inattività"> Comunicazione delle inattività <a href="#comunicazione-delle-inattivit%c3%a0" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>La disponibilità in tempo reale delle superfici coperte è pubblicata su <a href="https://secure.ethicsportal.eu/up" rel="nofollow">secure.ethicsportal.eu/up</a> .</p> <p>Le interruzioni rilevanti sono registrate nel <a href="/incidents/">registro degli incidenti</a> . Qualsiasi interruzione superiore a due ore su una superficie coperta dà luogo a una voce nel registro.</p> <p>I dati sul tempo di attività mensile sono disponibili agli operatori su richiesta.</p> <hr> <h2 id="crediti-di-servizio"> Crediti di servizio <a href="#crediti-di-servizio" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>I piani standard non includono crediti di servizio monetari. I rimedi per inadempimenti rilevanti o ripetuti sono indicati nei <a href="/terms/">Termini di servizio</a> e nell’<a href="/dpa/">accordo sul trattamento dei dati</a> . Nella misura massima consentita dalla legge, le pretese derivanti da o relative al presente SLA rientrano nello stesso massimale di responsabilità aggregata applicabile al Servizio.</p> <hr> <h2 id="domande"> Domande <a href="#domande" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Per domande sulla disponibilità o per richiedere i dati sul tempo di attività mensile, contatta <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/dpa/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/dpa/Accordo sul trattamento dei dati ai sensi dell'articolo 28 del GDPR per i clienti di EthicsPortal. Copre ambito, misure di sicurezza, sub-responsabili del trattamento e trasferimenti internazionali.<h1 id="accordo-sul-trattamento-dei-dati"> Accordo sul trattamento dei dati <a href="#accordo-sul-trattamento-dei-dati" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p><strong>Data di efficacia:</strong> 22 aprile 2026</p> <p>Il presente accordo sul trattamento dei dati (“DPA”) costituisce parte dell’accordo tra il cliente (“Titolare del trattamento”) ed EthicsPortal (“Responsabile del trattamento”) per la fornitura della piattaforma di segnalazione EthicsPortal (“Servizio”).</p> <blockquote> <p><strong>Hai bisogno di una copia firmata?</strong> Contatta <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> per richiedere una versione PDF controfirmata del presente DPA per i tuoi archivi.</p> </blockquote> <hr> <h2 id="1-parti"> 1. Parti <a href="#1-parti" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p><strong>Titolare del trattamento:</strong> L’organizzazione che sottoscrive EthicsPortal e che determina le finalità e i mezzi del trattamento dei dati personali attraverso il Servizio.</p> <p><strong>Responsabile del trattamento:</strong> EthicsPortal, gestito da Yaroslav Shmarov, con sede in ul. Obrzeżna 1A, 02-691 Varsavia, Polonia. Contatto: <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> .</p> <hr> <h2 id="2-ambito-e-finalità-del-trattamento"> 2. Ambito e finalità del trattamento <a href="#2-ambito-e-finalit%c3%a0-del-trattamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Il Responsabile del trattamento tratta i dati personali per conto del Titolare del trattamento unicamente per fornire il Servizio, che include:</p> <ul> <li>Ricevere e archiviare le segnalazioni</li> <li>Consentire una comunicazione sicura tra segnalanti e gestori del caso</li> <li>Gestire i flussi di lavoro dei casi (assegnazione, monitoraggio dello stato, risoluzione)</li> <li>Generare registri delle attività e documentazione di conformità</li> <li>Inviare notifiche email transazionali ai gestori del caso e agli amministratori dell’organizzazione</li> <li>Elaborare i pagamenti per il Servizio</li> </ul> <p>Il Responsabile del trattamento non tratta i dati personali per finalità diverse dalla fornitura del Servizio secondo le istruzioni del Titolare del trattamento.</p> <hr> <h2 id="3-tipi-di-dati-personali-trattati"> 3. Tipi di dati personali trattati <a href="#3-tipi-di-dati-personali-trattati" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <table> <thead> <tr> <th>Categoria di dati</th> <th>Esempi</th> <th>Crittografati a riposo</th> </tr> </thead> <tbody> <tr> <td>Identità del segnalante (facoltativa)</td> <td>Nome, indirizzo email, numero di telefono</td> <td>Sì (non deterministica)</td> </tr> <tr> <td>Contenuto della segnalazione</td> <td>Descrizione della preoccupazione segnalata</td> <td>Sì (non deterministica)</td> </tr> <tr> <td>Contenuto delle comunicazioni</td> <td>Messaggi tra segnalante e gestore del caso</td> <td>Sì (non deterministica)</td> </tr> <tr> <td>Allegati</td> <td>Documenti, immagini, audio, video caricati dai segnalanti</td> <td>Archiviati con metadati rimossi</td> </tr> <tr> <td>Codici di accesso</td> <td>Codici univoci utilizzati dai segnalanti per accedere alle proprie segnalazioni</td> <td>Sì</td> </tr> <tr> <td>Dati di gestori e amministratori</td> <td>Nome, indirizzo email, ruolo, appartenenza all’organizzazione</td> <td>No (dati operativi)</td> </tr> <tr> <td>Voci del registro delle attività</td> <td>Marche temporali, identità dell’attore, tipo di azione</td> <td>No (record critici per l’integrità)</td> </tr> <tr> <td>Dati tecnici</td> <td>Indirizzi IP sottoposti a hash unidirezionale (non reversibile) solo per la limitazione delle richieste</td> <td>Non applicabile (hash, non dato personale)</td> </tr> </tbody> </table> <hr> <h2 id="4-categorie-di-interessati"> 4. Categorie di interessati <a href="#4-categorie-di-interessati" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li><strong>Segnalanti</strong> — persone che inviano segnalazioni tramite il portale (possono essere anonime)</li> <li><strong>Gestori del caso</strong> — persone designate dal Titolare del trattamento per ricevere e gestire le segnalazioni</li> <li><strong>Amministratori dell’organizzazione</strong> — persone che gestiscono l’account e le impostazioni EthicsPortal del Titolare del trattamento</li> </ul> <hr> <h2 id="5-durata-del-trattamento"> 5. Durata del trattamento <a href="#5-durata-del-trattamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Il Responsabile del trattamento tratta i dati personali per la durata dell’abbonamento del Titolare del trattamento al Servizio. Alla cessazione:</p> <ul> <li>Il Titolare del trattamento può esportare i propri dati prima del termine dell’abbonamento.</li> <li>I dati delle segnalazioni sono conservati secondo il periodo di conservazione configurato dal Titolare del trattamento (12, 24, 36, 48 o 60 mesi dopo la chiusura della segnalazione) e quindi eliminati definitivamente. Una segnalazione rimasta senza attività per 18 mesi viene chiusa automaticamente affinché abbia inizio il periodo di conservazione.</li> <li>Su richiesta scritta, il Responsabile del trattamento eliminerà tutti i dati residui del Titolare del trattamento entro 30 giorni dalla cessazione dell’abbonamento, salvo i casi in cui la conservazione sia richiesta dalla legge applicabile.</li> </ul> <hr> <h2 id="6-obblighi-del-responsabile-del-trattamento"> 6. Obblighi del Responsabile del trattamento <a href="#6-obblighi-del-responsabile-del-trattamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <h3 id="61-istruzioni-di-trattamento"> 6.1 Istruzioni di trattamento <a href="#61-istruzioni-di-trattamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Il Responsabile del trattamento tratta i dati personali solo sulla base di istruzioni documentate del Titolare del trattamento, salvo che vi sia obbligato dal diritto dell’UE o di uno Stato membro. Qualora insorga tale obbligo legale, il Responsabile del trattamento ne informerà il Titolare del trattamento prima del trattamento, salvo che la legge vieti tale informativa.</p> <h3 id="62-riservatezza"> 6.2 Riservatezza <a href="#62-riservatezza" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Tutte le persone autorizzate a trattare i dati personali si sono impegnate alla riservatezza o sono soggette a un adeguato obbligo legale di riservatezza.</p> <h3 id="63-misure-di-sicurezza"> 6.3 Misure di sicurezza <a href="#63-misure-di-sicurezza" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Il Responsabile del trattamento attua e mantiene le misure tecniche e organizzative descritte nella pagina <a href="/security/">Sicurezza</a> , tra cui:</p> <ul> <li>Crittografia non deterministica a riposo per tutti i dati sensibili delle segnalazioni</li> <li>Nessuna memorizzazione degli indirizzi IP grezzi dei segnalanti nel database (hashing unidirezionale solo per la limitazione delle richieste)</li> <li>Rimozione automatica dei metadati dei file (EXIF, GPS, dati dell’autore)</li> <li>Controllo di accesso basato sui ruoli con le policy di autorizzazione di Pundit</li> <li>Registro delle attività in sola aggiunta per tutte le azioni</li> <li>Limitazione delle richieste su tutti gli endpoint del portale pubblico</li> <li>HTTPS/TLS per tutte le connessioni</li> <li>Protezione CSRF</li> </ul> <p>Le vulnerabilità di sicurezza e le segnalazioni di incidenti possono essere inviate a <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> . Le richieste degli interessati e di tipo DPO possono essere inviate a <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> o <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> .</p> <h3 id="64-sub-responsabili-del-trattamento"> 6.4 Sub-responsabili del trattamento <a href="#64-sub-responsabili-del-trattamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Il Responsabile del trattamento utilizza i sub-responsabili del trattamento elencati nella Sezione 8. Il Responsabile del trattamento informerà il Titolare del trattamento almeno 30 giorni prima di aggiungere o sostituire un sub-responsabile del trattamento. Il Titolare del trattamento può opporsi alla modifica; se non si raggiunge una soluzione, il Titolare del trattamento può risolvere l’accordo.</p> <h3 id="65-diritti-degli-interessati"> 6.5 Diritti degli interessati <a href="#65-diritti-degli-interessati" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Il Responsabile del trattamento assiste il Titolare del trattamento nel rispondere alle richieste degli interessati che esercitano i propri diritti ai sensi del GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione) fornendo le necessarie capacità tecniche all’interno del Servizio.</p> <h3 id="66-notifica-delle-violazioni-dei-dati"> 6.6 Notifica delle violazioni dei dati <a href="#66-notifica-delle-violazioni-dei-dati" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>In caso di violazione dei dati personali, il Responsabile del trattamento informerà il Titolare del trattamento senza ingiustificato ritardo e in ogni caso <strong>entro 72 ore</strong> dalla conoscenza della violazione. La notifica includerà:</p> <ul> <li>Una descrizione della natura della violazione</li> <li>Le categorie e il numero approssimativo di interessati coinvolti</li> <li>Le probabili conseguenze della violazione</li> <li>Le misure adottate o proposte per affrontare la violazione</li> </ul> <h3 id="67-valutazioni-dimpatto-sulla-protezione-dei-dati"> 6.7 Valutazioni d’impatto sulla protezione dei dati <a href="#67-valutazioni-dimpatto-sulla-protezione-dei-dati" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Il Responsabile del trattamento assiste il Titolare del trattamento nelle valutazioni d’impatto sulla protezione dei dati e nelle consultazioni preventive con le autorità di controllo, nella misura in cui le attività di trattamento del Responsabile del trattamento richiedano tale assistenza.</p> <h3 id="68-eliminazione-e-restituzione-dei-dati"> 6.8 Eliminazione e restituzione dei dati <a href="#68-eliminazione-e-restituzione-dei-dati" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Alla cessazione del Servizio, il Responsabile del trattamento, a scelta del Titolare del trattamento:</p> <ul> <li>Restituirà tutti i dati personali al Titolare del trattamento nei formati di esportazione resi disponibili dal Servizio al momento della cessazione, incluse le esportazioni dei casi in PDF e i relativi allegati, oppure</li> <li>Eliminerà tutti i dati personali e confermerà l’eliminazione per iscritto</li> </ul> <p>salvo che il diritto dell’UE o di uno Stato membro imponga la conservazione continuata.</p> <p>Qualora il Titolare del trattamento necessiti ragionevolmente di un formato di portabilità aggiuntivo per la migrazione o l’esame da parte delle autorità, il Responsabile del trattamento valuterà la richiesta in buona fede e, ove tecnicamente fattibile, lo fornirà sulla base di una separata richiesta scritta.</p> <h3 id="69-diritti-di-audit"> 6.9 Diritti di audit <a href="#69-diritti-di-audit" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Il Responsabile del trattamento mette a disposizione del Titolare del trattamento tutte le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all’articolo 28 del GDPR. Il Titolare del trattamento può condurre audit, comprese ispezioni, direttamente o tramite un revisore incaricato, con ragionevole preavviso (almeno 30 giorni) e durante il normale orario lavorativo. Il Responsabile del trattamento collaborerà a tali audit.</p> <h3 id="610-nessun-trattamento-del-contenuto-delle-segnalazioni-tramite-ia-o-llm"> 6.10 Nessun trattamento del contenuto delle segnalazioni tramite IA o LLM <a href="#610-nessun-trattamento-del-contenuto-delle-segnalazioni-tramite-ia-o-llm" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Il Responsabile del trattamento si impegna a che i dati personali trattati ai sensi del presente DPA — inclusi il contenuto delle segnalazioni, l’identità dei segnalanti, i messaggi dei gestori, gli allegati e le voci del registro delle attività — <strong>non siano trasmessi ad alcun modello linguistico di grandi dimensioni, servizio di IA generativa o classificatore basato su IA</strong>, gestito dal Responsabile del trattamento o da terzi (inclusi, a titolo esemplificativo, OpenAI, Anthropic, Google e Mistral). Il Servizio non esegue categorizzazione, smistamento, sintesi, traduzione o risposte suggerite basate su IA sui dati personali. Il Titolare del trattamento può fare affidamento su questo impegno nel valutare gli obblighi in materia di processo decisionale automatizzato ai sensi dell’<a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 22</a> del GDPR e nel definire la divulgazione dei sub-responsabili del trattamento nelle proprie informative sulla privacy e valutazioni d’impatto sulla protezione dei dati. Qualsiasi modifica a questo impegno costituirebbe una modifica sostanziale del Servizio e verrebbe notificata al Titolare del trattamento ai sensi della Sezione 6.4 (Sub-responsabili del trattamento) e della Sezione 11 (Durata e cessazione).</p> <p>La traduzione automatica statistica self-hosted che gira interamente su infrastruttura controllata dal Responsabile del trattamento (nessun dato lascia l’infrastruttura del Responsabile del trattamento, nessuna chiamata di inferenza esterna) non rientra nell’ambito di questa restrizione e può essere utilizzata per tradurre i messaggi del segnalante o del gestore ove il Titolare del trattamento l’abbia abilitata.</p> <p>Questo impegno è riesaminato annualmente. La data di “Ultimo aggiornamento” in cima al presente DPA riflette la conferma più recente. Qualora il Responsabile del trattamento intenda in qualsiasi momento introdurre il trattamento tramite IA o LLM dei dati personali coperti dal presente DPA, il Responsabile del trattamento ne darà notifica al Titolare del trattamento ai sensi della Sezione 6.4 e la modifica avrà effetto non prima del periodo di preavviso ivi indicato.</p> <h3 id="611-chiavi-di-crittografia-gestite-dal-cliente-byok"> 6.11 Chiavi di crittografia gestite dal cliente (BYOK) <a href="#611-chiavi-di-crittografia-gestite-dal-cliente-byok" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Il Servizio non supporta chiavi di crittografia gestite dal cliente — siano esse descritte come bring-your-own-key (BYOK), hold-your-own-key (HYOK) o integrazione con un servizio esterno di gestione delle chiavi (KMS). Si tratta di una scelta architetturale deliberata, non di una limitazione operativa, e si fonda su due garanzie di riservatezza e di ciclo di vita che il Responsabile del trattamento offre altrove nel presente DPA:</p> <ul> <li><strong>Confine delle chiavi segnalante–gestore.</strong> I dati personali coperti dal presente DPA sono crittografati a riposo con chiavi gestite dal Responsabile del trattamento detenute all’interno del Servizio. Il confine di crittografia che protegge l’identità del segnalante e il contenuto della segnalazione dalle parti esterne è lo stesso confine che li protegge dagli stessi amministratori IT del Titolare del trattamento. Trasferire la custodia delle chiavi al Titolare del trattamento sposterebbe tale confine nell’ambiente del Titolare del trattamento, dove gli amministratori lato Titolare diverrebbero, in linea di principio, in grado di decrittografare l’identità del segnalante — invertendo il modello di riservatezza richiesto dall’<a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 16</a> della Direttiva (UE) 2019/1937.</li> <li><strong>Garanzia di eliminazione end-to-end.</strong> L’eliminazione basata sulla conservazione (<a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 5(1)(e)</a> del GDPR) e l’eliminazione contrattuale alla cessazione (Sezione 6.8 sopra) si basano sulla capacità del Responsabile del trattamento di distruggere crittograficamente e fisicamente i dati cifrati indipendentemente dal Titolare del trattamento. Una chiave detenuta dal Titolare del trattamento creerebbe una classe di malfunzionamenti in cui il Responsabile del trattamento non può, da solo, garantire l’eliminazione completa entro la finestra contrattuale.</li> </ul> <p>Lo schema di crittografia a riposo del Responsabile del trattamento, le proprietà di crittografia non deterministica e l’isolamento delle chiavi sono documentati nella pagina <a href="/security/#data-encryption">Sicurezza</a> . Una modifica a questa posizione costituirebbe una modifica sostanziale del Servizio e verrebbe notificata al Titolare del trattamento ai sensi della Sezione 6.4 (Sub-responsabili del trattamento) e della Sezione 11 (Durata e cessazione).</p> <hr> <h2 id="7-obblighi-del-titolare-del-trattamento"> 7. Obblighi del Titolare del trattamento <a href="#7-obblighi-del-titolare-del-trattamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Il Titolare del trattamento è responsabile di:</p> <ul> <li>Garantire una base giuridica per il trattamento dei dati personali attraverso il Servizio</li> <li>Fornire le informative sulla privacy richieste agli interessati (EthicsPortal visualizza un’informativa sulla privacy nel modulo di invio del portale)</li> <li>Configurare periodi di conservazione dei dati adeguati all’interno del Servizio</li> <li>Designare i gestori e gli amministratori autorizzati</li> <li>Rispondere alle richieste degli interessati, con l’assistenza del Responsabile del trattamento come sopra descritto</li> </ul> <hr> <h2 id="8-sub-responsabili-del-trattamento"> 8. Sub-responsabili del trattamento <a href="#8-sub-responsabili-del-trattamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>I seguenti sub-responsabili del trattamento sono autorizzati alla data di efficacia del presente DPA:</p> <table> <thead> <tr> <th>Sub-responsabile del trattamento</th> <th>Finalità</th> <th>Posizione</th> <th>Garanzie</th> </tr> </thead> <tbody> <tr> <td><a href="https://www.hetzner.com" rel="nofollow">Hetzner Online GmbH</a> </td> <td>Hosting dell’applicazione, database e archiviazione degli allegati</td> <td>Norimberga, Germania (UE)</td> <td>Dati trattati interamente all’interno dell’UE</td> </tr> <tr> <td><a href="https://stripe.com" rel="nofollow">Stripe Payments Europe, Ltd</a> </td> <td>Elaborazione dei pagamenti</td> <td>Irlanda (UE)</td> <td>Nessuna credenziale di pagamento memorizzata dal Responsabile del trattamento; Stripe è certificata PCI DSS Livello 1</td> </tr> <tr> <td><a href="https://www.mailjet.com" rel="nofollow">Mailjet (Sinch)</a> </td> <td>Invio di email transazionali</td> <td>Francia (UE)</td> <td>Dati trattati interamente all’interno dell’UE</td> </tr> <tr> <td><a href="https://www.cloudflare.com" rel="nofollow">Cloudflare, Inc.</a> </td> <td>CDN ed erogazione edge per il sito di marketing</td> <td>Stati Uniti</td> <td>I trasferimenti, ove siano coinvolti dati personali, si basano sulle clausole contrattuali tipo e su garanzie supplementari</td> </tr> <tr> <td><a href="https://www.appsignal.com" rel="nofollow">AppSignal B.V.</a> </td> <td>Monitoraggio degli errori e delle prestazioni applicative per le interfacce di amministrazione e gestione</td> <td>Paesi Bassi (UE)</td> <td>Dati trattati interamente all’interno dell’UE; gli indirizzi IP dei segnalanti non vengono mai registrati</td> </tr> <tr> <td><a href="https://crisp.chat" rel="nofollow">Crisp IM SARL</a> </td> <td>Chat in-app per i gestori e supporto alla verifica dell’identità</td> <td>Francia (UE)</td> <td>Caricato solo nel portale dei gestori; non caricato sul sito di marketing o sulle pagine rivolte ai segnalanti</td> </tr> </tbody> </table> <p>Gli strumenti di analisi del marketing (Cloudflare Web Analytics) sono privi di cookie e non trattano dati personali.</p> <p><strong>Nessun sub-responsabile del trattamento basato su IA o LLM.</strong> Nessun modello linguistico di grandi dimensioni, servizio di IA generativa o classificatore basato su IA è sub-responsabile del trattamento del Responsabile del trattamento. I dati personali trattati ai sensi del presente DPA non vengono trasmessi a OpenAI, Anthropic, Google, Mistral o ad altri fornitori di inferenza IA. Vedi la Sezione 6.10.</p> <hr> <h2 id="9-trasferimenti-internazionali-di-dati"> 9. Trasferimenti internazionali di dati <a href="#9-trasferimenti-internazionali-di-dati" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>I dati principali delle segnalazioni, inclusi il contenuto delle segnalazioni e l’archiviazione degli allegati, sono ospitati all’interno dell’<strong>Unione europea</strong> (Hetzner, Germania). L’elaborazione dei pagamenti avviene all’interno dell’UE (Stripe) e le email transazionali sono recapitate dall’UE (Mailjet, Francia).</p> <p>Le richieste al sito di marketing sono instradate tramite Cloudflare (CDN, Stati Uniti), che tratta metadati di rete (indirizzi IP dei visitatori e header delle richieste) per l’erogazione dei contenuti e la protezione DDoS. Nessuna segnalazione, dato dei gestori o dato degli account è condiviso con Cloudflare. I trasferimenti si basano sulle clausole contrattuali tipo e su garanzie supplementari. Il portale di segnalazione e il portale dei gestori non caricano Cloudflare. AppSignal (Paesi Bassi) e Crisp (Francia) hanno sede nell’UE; Crisp è caricato solo nel portale dei gestori.</p> <hr> <h2 id="10-responsabilità"> 10. Responsabilità <a href="#10-responsabilit%c3%a0" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>La responsabilità di ciascuna parte ai sensi del presente DPA è soggetta alle limitazioni di responsabilità stabilite nell’accordo principale di servizio tra le parti. Nella misura massima consentita dalla legge, le pretese derivanti da o relative al presente DPA rientrano nello stesso massimale di responsabilità aggregata applicabile al Servizio.</p> <hr> <h2 id="11-durata-e-cessazione"> 11. Durata e cessazione <a href="#11-durata-e-cessazione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Il presente DPA ha effetto quando il Titolare del trattamento inizia a utilizzare il Servizio e resta in vigore finché il Responsabile del trattamento tratta dati personali per conto del Titolare del trattamento. Gli obblighi del presente DPA sopravvivono alla cessazione nella misura necessaria a completare l’eliminazione o la restituzione dei dati personali.</p> <hr> <h2 id="12-legge-applicabile"> 12. Legge applicabile <a href="#12-legge-applicabile" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Il presente DPA è disciplinato dalla legge della Repubblica di Polonia, senza riguardo ai principi di conflitto di leggi. I tribunali competenti di Varsavia, Polonia hanno giurisdizione esclusiva sulle controversie derivanti dal presente DPA.</p> <hr> <h2 id="contatto"> Contatto <a href="#contatto" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Per domande sul presente DPA o per richiedere una copia firmata:</p> <p><strong>EthicsPortal</strong> Yaroslav Shmarov ul. Obrzeżna 1A, 02-691 Varsavia, Polonia <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/product/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/product/Attiva un canale di segnalazione interno sicuro per la conformità alla Direttiva (UE) 2019/1937, con configurazione del portale, gestione dei casi ed esportazioni per le verifiche incluse.<h1 id="come-funziona-ethicsportal"> Come funziona EthicsPortal <a href="#come-funziona-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <h2 id="flusso-di-attivazione"> Flusso di attivazione <a href="#flusso-di-attivazione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <h3 id="1-configura-il-tuo-portale"> 1. Configura il tuo portale <a href="#1-configura-il-tuo-portale" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Crea l’account dell’organizzazione, quindi configura:</p> <ul> <li><strong>Nome e logo dell’organizzazione:</strong> il tuo portale, la tua identità</li> <li><strong>Categorie di segnalazione:</strong> frode, molestie, sicurezza, oppure definisci le tue</li> <li><strong>Periodo di conservazione dei dati:</strong> 12, 24, 36 o 60 mesi, dopodiché eliminazione automatica</li> </ul> <p>Al portale viene assegnato un URL univoco non appena la configurazione viene salvata.</p> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-portal-edit.png" alt="Schermata di configurazione del portale" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <h3 id="2-condividi-il-link"> 2. Condividi il link <a href="#2-condividi-il-link" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Ogni portale dispone di un <strong>link condivisibile</strong> e di un <strong>codice QR</strong>. Colloca il codice QR nelle aree comuni, nei servizi igienici, nel manuale del dipendente, nei kit di onboarding. I dipendenti accedono al portale da qualsiasi browser. Non sono richiesti app, account o rete aziendale.</p> <p>Vedi il canale di segnalazione di EthicsPortal in produzione: <a href="https://secure.ethicsportal.eu/p/BiPdmk" rel="nofollow">secure.ethicsportal.eu/p/BiPdmk</a> .</p> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-portal-public-desktop.png" alt="Condivisione del link del portale e codice QR" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <h3 id="3-gestisci-il-flusso-di-lavoro-dei-casi"> 3. Gestisci il flusso di lavoro dei casi <a href="#3-gestisci-il-flusso-di-lavoro-dei-casi" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Quando arriva una segnalazione, ricevi una notifica via email. Dalla dashboard gestisci ogni caso in un’unica vista:</p> <ul> <li><strong>Assegna e smista:</strong> indirizza i casi al gestore giusto</li> <li><strong>Filtra e cerca:</strong> trova i casi per stato, categoria o termine</li> <li><strong>Registra le segnalazioni esterne:</strong> hai ricevuto una segnalazione per telefono, email o di persona? Creala manualmente in modo che tutto sia raccolto in un unico posto</li> </ul> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-reports.png" alt="Dashboard delle segnalazioni con elenco dei casi, filtri e stato" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <p>Apri un caso per gestirlo dall’inizio alla fine:</p> <ul> <li><strong>Leggi la segnalazione completa:</strong> descrizione, categoria, risposte strutturate al modulo di acquisizione e file caricati. Le segnalazioni che evidenziano una preoccupazione di ritorsioni riportano un’evidente etichetta di urgenza (art. 19 della Direttiva)</li> <li><strong>Dai avviso di ricevimento:</strong> la Direttiva lo richiede entro 7 giorni. EthicsPortal monitora il termine e segnala automaticamente i casi in ritardo</li> <li><strong>Comunica con il segnalante:</strong> messaggistica bidirezionale sicura tramite codice di accesso. Il segnalante resta anonimo e i nomi dei tuoi gestori non vengono mai rivelati</li> <li><strong>Fornisci un riscontro:</strong> la Direttiva lo richiede entro 3 mesi. Monitorato automaticamente</li> <li><strong>Aggiungi note interne:</strong> note invisibili al segnalante, visibili al tuo team</li> <li><strong>Esporta in PDF:</strong> genera un fascicolo del caso completo per l’esame legale, le verifiche delle autorità o la documentazione di conformità</li> </ul> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-report.png" alt="Vista del singolo caso con messaggistica sicura, termini e registro delle attività" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <hr> <h2 id="lesperienza-dei-segnalanti"> L’esperienza dei segnalanti <a href="#lesperienza-dei-segnalanti" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>L’esperienza del segnalante è importante perché determina se le persone utilizzeranno effettivamente il canale.</p> <ul> <li><strong>Nessun account, nessuna app, nessun login.</strong> Basta un browser su qualsiasi dispositivo, incluso un telefono personale con dati mobili</li> <li><strong>Completamente anonima per impostazione predefinita.</strong> Nessuna registrazione degli indirizzi IP. I metadati dei file (EXIF, GPS, autore) vengono rimossi automaticamente prima dell’archiviazione</li> <li><strong>Divulgazione facoltativa dell’identità.</strong> I segnalanti possono condividere il proprio nome se lo desiderano. Non è mai obbligatorio</li> <li><strong>Domande guidate facoltative.</strong> Una breve serie di domande, ignorabile e allineata alla Direttiva — rapporto con l’organizzazione (art. 4), come ne sono venuti a conoscenza, quando è avvenuto, se è stato segnalato in precedenza e se temono ritorsioni (art. 19) — aiuta i gestori nello smistamento. Ogni domanda è facoltativa, così l’anonimato non viene mai compromesso da una risposta obbligatoria</li> <li><strong>Accesso al caso a due fattori.</strong> Al momento dell’invio il segnalante sceglie un codice di accesso di 6 cifre e riceve un ID del caso (<code>WB-XXXX-XXXX</code>). Entrambi sono necessari per controllare gli aggiornamenti e rispondere ai messaggi del gestore</li> <li><strong>I nomi dei gestori non vengono mai mostrati.</strong> Il segnalante vede “Gestore del caso” e nulla di più</li> </ul> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-new-report-desktop.png" alt="Modulo di segnalazione anonima" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <p>Quando i segnalanti ritornano per controllare il proprio caso, inseriscono l’ID del caso e il codice di accesso di 6 cifre e vedono solo ciò di cui hanno bisogno: stato, messaggi del gestore ed eventuali file caricati. Le identità dei gestori restano nascoste dietro l’etichetta generica “Gestore del caso”.</p> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/en-public-report-desktop.png" alt="Vista del segnalante del proprio caso inviato con messaggistica bidirezionale sicura" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <hr> <h2 id="cosa-cè-sotto-il-cofano"> Cosa c’è sotto il cofano <a href="#cosa-c%c3%a8-sotto-il-cofano" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Ogni decisione tecnica serve a un solo scopo: mantenerti conforme e proteggere i tuoi segnalanti.</p> <ul> <li><strong>Crittografia a riposo.</strong> Tutti i dati delle segnalazioni sono crittografati nel database</li> <li><strong>Scansione antivirus.</strong> Tutti i file caricati vengono sottoposti a scansione antimalware lato server. I file infetti vengono rimossi automaticamente</li> <li><strong>Registro delle attività in sola aggiunta.</strong> Ogni azione viene registrata. Le voci non possono essere modificate dopo la creazione. Gli organi di verifica ottengono chi ha fatto cosa e quando</li> <li><strong>Autenticazione a due fattori.</strong> 2FA basata su TOTP per gli account dei gestori e degli amministratori, tramite qualsiasi app di autenticazione standard. Anche i segnalanti si autenticano con due fattori: ID del caso più un codice di accesso di 6 cifre scelto dal segnalante (memorizzato solo come digest bcrypt)</li> <li><strong>Monitoraggio automatico dei termini.</strong> Termini di 7 giorni per l’avviso di ricevimento e di 3 mesi per il riscontro, con notifiche per i ritardi</li> <li><strong>Dati delle segnalazioni ospitati nell’UE.</strong> I dati principali delle segnalazioni sono archiviati su server Hetzner a Norimberga, in Germania. Il sito di marketing è erogato tramite Cloudflare (CDN, Stati Uniti); i portali di segnalazione e di gestione no. Le garanzie di trasferimento sono documentate nell’elenco pubblicato dei sub-responsabili del trattamento</li> <li><strong>Nessun tracciamento.</strong> Nessuna registrazione degli indirizzi IP, nessun cookie di analisi, nessuno script di terze parti sul portale di segnalazione</li> </ul> <hr> <p>Per la mappa articolo per articolo di come ciascuna funzione soddisfa la Direttiva, consulta la <a href="/directive-coverage/">mappa di copertura della Direttiva (UE) 2019/1937</a> . Per le posizioni interpretative sulle disposizioni ambigue della Direttiva, consulta le <a href="/directive-interpretations/">interpretazioni della Direttiva (UE) 2019/1937</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/industries/financial-services/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/industries/financial-services/Requisiti di segnalazione per banche, imprese di investimento e assicuratori ai sensi della Direttiva (UE) 2019/1937, della MiFID II, del MAR e delle direttive antiriciclaggio.<h1 id="conformità-al-whistleblowing-per-i-servizi-finanziari"> Conformità al whistleblowing per i servizi finanziari <a href="#conformit%c3%a0-al-whistleblowing-per-i-servizi-finanziari" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p>Gli istituti finanziari operano sotto la Direttiva UE sul whistleblowing <em>e</em> normative specifiche di settore che richiedono autonomamente canali di segnalazione interni. La non conformità espone le imprese a sanzioni sia ai sensi delle leggi nazionali di recepimento sia da parte delle autorità di vigilanza finanziaria.</p> <h2 id="normative-che-richiedono-canali-di-segnalazione"> Normative che richiedono canali di segnalazione <a href="#normative-che-richiedono-canali-di-segnalazione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li><strong>Direttiva (UE) 2019/1937</strong> — si applica a tutte le imprese con 50 o più dipendenti. Richiede canali di segnalazione riservati, l’avviso di ricevimento entro 7 giorni e il riscontro entro 3 mesi.</li> <li><strong>MiFID II (2014/65/UE)</strong> — l’articolo 73 impone alle imprese di investimento di dotarsi di procedure che consentano ai dipendenti di segnalare internamente potenziali violazioni. Le autorità di vigilanza nazionali applicano tale obbligo indipendentemente dalla Direttiva sul whistleblowing.</li> <li><strong>Regolamento sugli abusi di mercato (UE 596/2014)</strong> — l’articolo 32 impone agli Stati membri di istituire meccanismi per la segnalazione di abusi di mercato effettivi o potenziali. Le imprese devono garantire l’esistenza di canali interni affinché i dipendenti possano segnalare prima di rivolgersi alle autorità.</li> <li><strong>Direttive antiriciclaggio (AMLD 4/5/6)</strong> — richiedono procedure di segnalazione interna per le operazioni sospette. L’imminente pacchetto AMLD (2024) rafforza le tutele dei segnalanti per le segnalazioni in materia di antiriciclaggio.</li> <li><strong>Solvency II (2009/138/CE)</strong> — l’articolo 71 impone agli assicuratori di mantenere procedure di whistleblowing.</li> </ul> <h2 id="autorità-di-vigilanza-di-settore-con-poteri-sanzionatori"> Autorità di vigilanza di settore con poteri sanzionatori <a href="#autorit%c3%a0-di-vigilanza-di-settore-con-poteri-sanzionatori" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <table> <thead> <tr> <th>Paese</th> <th>Autorità di vigilanza</th> <th>Ambito</th> </tr> </thead> <tbody> <tr> <td><a href="/whistleblower-laws/germany/">Germania</a> </td> <td>BaFin</td> <td>Banche, assicurazioni, titoli</td> </tr> <tr> <td><a href="/whistleblower-laws/france/">Francia</a> </td> <td>AMF / ACPR</td> <td>Mercati / banche e assicurazioni</td> </tr> <tr> <td><a href="/whistleblower-laws/netherlands/">Paesi Bassi</a> </td> <td>AFM / DNB</td> <td>Mercati / vigilanza prudenziale</td> </tr> <tr> <td><a href="/whistleblower-laws/italy/">Italia</a> </td> <td>Consob / Banca d’Italia</td> <td>Mercati / banche</td> </tr> <tr> <td><a href="/whistleblower-laws/spain/">Spagna</a> </td> <td>CNMV</td> <td>Mercati dei valori mobiliari</td> </tr> <tr> <td><a href="/whistleblower-laws/poland/">Polonia</a> </td> <td>KNF</td> <td>Tutti i settori finanziari</td> </tr> <tr> <td><a href="/whistleblower-laws/ireland/">Irlanda</a> </td> <td>Central Bank of Ireland</td> <td>Tutti i settori finanziari</td> </tr> </tbody> </table> <p>Queste autorità possono irrogare sanzioni indipendentemente dalle autorità nazionali per il whistleblowing.</p> <h2 id="cosa-viene-segnalato"> Cosa viene segnalato <a href="#cosa-viene-segnalato" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li>Manipolazione del mercato e abuso di informazioni privilegiate</li> <li>Carenze nelle procedure antiriciclaggio/KYC</li> <li>Vendita scorretta di prodotti finanziari</li> <li>Elusione delle sanzioni</li> <li>Negoziazione non autorizzata o superamento dei limiti di rischio</li> <li>Conflitti di interesse nei ruoli di consulenza</li> </ul> <h2 id="perché-un-canale-dedicato-è-importante"> Perché un canale dedicato è importante <a href="#perch%c3%a9-un-canale-dedicato-%c3%a8-importante" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>I dipendenti del settore finanziario che segnalano attraverso i canali generici delle risorse umane rischiano che la loro divulgazione venga indirizzata erroneamente alla persona responsabile della violazione. L’articolo 9 della Direttiva richiede canali che tutelino la riservatezza e prevengano i conflitti di interesse — un aspetto fondamentale nelle organizzazioni in cui compliance, negoziazione e direzione si sovrappongono.</p> <hr> <p><a href="/pricing/">Attiva il tuo canale di segnalazione →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/industries/manufacturing/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/industries/manufacturing/Requisiti di segnalazione per i produttori ai sensi della Direttiva (UE) 2019/1937, della legge tedesca sulla filiera (LkSG) e dell'imminente CSDDD dell'UE.<h1 id="conformità-al-whistleblowing-per-il-settore-manifatturiero-e-la-filiera"> Conformità al whistleblowing per il settore manifatturiero e la filiera <a href="#conformit%c3%a0-al-whistleblowing-per-il-settore-manifatturiero-e-la-filiera" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p>I produttori sono soggetti a obblighi di whistleblowing su due fronti: la Direttiva UE sul whistleblowing (2019/1937) per la segnalazione interna e le leggi sul dovere di diligenza nella filiera, che richiedono espressamente meccanismi di reclamo a copertura dei dipendenti <em>e</em> dei terzi.</p> <h2 id="normative-che-richiedono-canali-di-segnalazione"> Normative che richiedono canali di segnalazione <a href="#normative-che-richiedono-canali-di-segnalazione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li><strong>Direttiva (UE) 2019/1937</strong> — si applica a tutti i produttori con 50 o più dipendenti. Canali interni per i dipendenti.</li> <li><strong>Legge tedesca sulla filiera (LkSG)</strong> — in vigore da gennaio 2023. Impone alle imprese con 1.000 o più dipendenti (e ai loro fornitori diretti) di istituire una <strong>procedura di reclamo</strong> accessibile alle persone interessate nella filiera — non solo ai dipendenti. <a href="https://www.gesetze-im-internet.de/lksg/__8.html" rel="nofollow">Articolo 8 LkSG</a> </li> <li><strong>Direttiva UE sul dovere di diligenza delle imprese ai fini della sostenibilità (CSDDD)</strong> — adottata nel 2024, attuazione graduale dal 2027. Impone alle imprese con 1.000 o più dipendenti e oltre 450 milioni di € di fatturato di istituire meccanismi di reclamo per le violazioni dei diritti umani e ambientali nelle loro catene del valore.</li> <li><strong>Regolamento UE sulla sicurezza generale dei prodotti (2023/988)</strong> — impone ai produttori di dotarsi di canali interni per la segnalazione di problemi di sicurezza dei prodotti.</li> </ul> <h2 id="lksg-e-direttiva-sul-whistleblowing-a-confronto"> LkSG e Direttiva sul whistleblowing a confronto <a href="#lksg-e-direttiva-sul-whistleblowing-a-confronto" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <table> <thead> <tr> <th></th> <th>Direttiva sul whistleblowing</th> <th>LkSG</th> </tr> </thead> <tbody> <tr> <td>Chi può segnalare</td> <td>Dipendenti, collaboratori</td> <td>Dipendenti, fornitori, terzi interessati</td> </tr> <tr> <td>Ambito</td> <td>Violazioni del diritto UE/nazionale</td> <td>Violazioni dei diritti umani e ambientali nella filiera</td> </tr> <tr> <td>Anonimato richiesto</td> <td>Varia da Paese a Paese</td> <td>Non richiesto ma consigliato (indicazioni BAFA)</td> </tr> <tr> <td>Applicazione</td> <td>Autorità nazionali per il whistleblowing</td> <td>BAFA (Ufficio federale <a href="/whistleblower-laws/germany/">tedesco</a> per l’economia)</td> </tr> <tr> <td>Sanzioni</td> <td>Variano da Paese a Paese</td> <td>Fino al 2% del fatturato globale annuo</td> </tr> </tbody> </table> <p>Le imprese soggette a entrambe le leggi necessitano di un canale che assolva a obblighi duplici — whistleblowing interno <em>e</em> reclami sulla filiera. Un unico canale di segnalazione può coprire entrambi se configurato correttamente.</p> <h2 id="cosa-viene-segnalato"> Cosa viene segnalato <a href="#cosa-viene-segnalato" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li>Violazioni della sicurezza sul lavoro negli stabilimenti produttivi</li> <li>Inadempienze ambientali (emissioni, smaltimento dei rifiuti)</li> <li>Lavoro forzato o condizioni di sfruttamento presso i siti dei fornitori</li> <li>Difetti di sicurezza dei prodotti occultati alle autorità</li> <li>Corruzione negli approvvigionamenti o nei rapporti con i fornitori</li> <li>Elusione dei controlli sulle esportazioni o delle sanzioni</li> </ul> <h2 id="perché-è-importante-ora"> Perché è importante ora <a href="#perch%c3%a9-%c3%a8-importante-ora" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>La CSDDD estende gli obblighi di dovere di diligenza nella filiera a tutta l’UE, non solo alla Germania. Le imprese che si preparano alla conformità per il 2027 devono dotarsi di meccanismi di reclamo. Attendere significa adeguarsi sotto la pressione delle scadenze — lo stesso schema che ha portato cinque Stati membri a essere sanzionati per il recepimento tardivo della Direttiva.</p> <hr> <p><a href="/pricing/">Attiva il tuo canale di segnalazione →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/industries/public-sector/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/industries/public-sector/Requisiti di segnalazione per comuni, enti pubblici e amministrazioni ai sensi della Direttiva (UE) 2019/1937. Nessuna soglia dei 50 dipendenti.<h1 id="conformità-al-whistleblowing-per-il-settore-pubblico"> Conformità al whistleblowing per il settore pubblico <a href="#conformit%c3%a0-al-whistleblowing-per-il-settore-pubblico" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p>Gli enti del settore pubblico hanno un obbligo più rigoroso rispetto alle imprese private. Ai sensi della Direttiva (UE) 2019/1937, <strong>tutte le organizzazioni del settore pubblico devono istituire canali di segnalazione interni</strong> — non esiste una soglia minima di 50 dipendenti. La maggior parte dei recepimenti nazionali mantiene questo ambito più ampio.</p> <h2 id="come-la-direttiva-si-applica-in-modo-differente"> Come la Direttiva si applica in modo differente <a href="#come-la-direttiva-si-applica-in-modo-differente" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <table> <thead> <tr> <th>Requisito</th> <th>Settore privato</th> <th>Settore pubblico</th> </tr> </thead> <tbody> <tr> <td>Soglia di dipendenti</td> <td>50 o più dipendenti</td> <td><strong>Nessuna soglia</strong> (tutti gli enti)</td> </tr> <tr> <td>Termine</td> <td>Dicembre 2023 per 50-249 dipendenti</td> <td>Dicembre 2021 (nella maggior parte degli Stati membri)</td> </tr> <tr> <td>Canali condivisi</td> <td>Consentiti per i comuni con meno di 10.000 abitanti</td> <td>Consentiti per i comuni con meno di 10.000 abitanti</td> </tr> <tr> <td>Segnalazione anonima</td> <td>Varia da Paese a Paese</td> <td>Obbligatoria in alcuni Stati membri</td> </tr> </tbody> </table> <p>L’articolo 8, paragrafo 9, della Direttiva consente ai comuni con meno di 10.000 abitanti o meno di 50 lavoratori di condividere i canali di segnalazione. Questa è l’unica concessione — tutti gli altri enti pubblici devono gestire il proprio.</p> <h2 id="variazioni-nazionali"> Variazioni nazionali <a href="#variazioni-nazionali" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li><strong><a href="/whistleblower-laws/germany/">Germania</a> (HinSchG)</strong> — tutti i datori di lavoro pubblici devono istituire canali interni. Sanzioni da 20.000 a 50.000 € in caso di non conformità (fino a 500.000 € per le persone giuridiche).</li> <li><strong><a href="/whistleblower-laws/france/">Francia</a> (Loi Waserman)</strong> — tutti gli enti pubblici sono coperti. I segnalanti possono rivolgersi direttamente alle autorità esterne senza utilizzare prima i canali interni.</li> <li><strong><a href="/whistleblower-laws/poland/">Polonia</a> </strong> — tutti gli enti pubblici sono coperti. Procedure interne obbligatorie entro il 1° gennaio 2025.</li> <li><strong><a href="/whistleblower-laws/spain/">Spagna</a> (Ley 2/2023)</strong> — tutti gli enti pubblici sono coperti indipendentemente dalle dimensioni. Sanzioni fino a 1.000.000 €.</li> </ul> <h2 id="cosa-viene-segnalato"> Cosa viene segnalato <a href="#cosa-viene-segnalato" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li>Uso improprio di fondi pubblici o frode negli appalti</li> <li>Conflitti di interesse nell’aggiudicazione dei contratti</li> <li>Violazioni ambientali da parte dei lavori pubblici</li> <li>Carenze nella sicurezza sul lavoro nelle strutture pubbliche</li> <li>Violazioni della protezione dei dati che coinvolgono i dati dei cittadini</li> <li>Abuso di potere</li> </ul> <h2 id="perché-i-comuni-sono-a-rischio"> Perché i comuni sono a rischio <a href="#perch%c3%a9-i-comuni-sono-a-rischio" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>La maggior parte delle grandi amministrazioni pubbliche dispone di un’infrastruttura di compliance. I comuni e gli enti pubblici più piccoli spesso no. Presumono che la Direttiva non li riguardi perché hanno meno di 50 dipendenti. Li riguarda. Un canale di segnalazione interno per un comune può essere attivato direttamente, senza un ampio progetto di integrazione informatica.</p> <hr> <p><a href="/pricing/">Attiva il tuo canale di segnalazione →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/contact/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/contact/Contatta il team di EthicsPortal per domande sulla conformità alla normativa UE sul whistleblowing.<h1 id="contatti"> Contatti <a href="#contatti" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p>Hai domande su EthicsPortal o sulla conformità alla normativa UE sul whistleblowing? Scrivici direttamente.</p> <hr> <ul> <li><strong>Generale:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> </li> <li><strong>Privacy / diritti GDPR:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> </li> <li><strong>Responsabile della protezione dei dati:</strong> <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> </li> <li><strong>Segnalazioni di sicurezza:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> </li> <li><strong>Legale / DPA:</strong> <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> </li> <li><strong>Accessibilità:</strong> <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> </li> </ul> <p>Di norma rispondiamo entro un giorno lavorativo.</p> <hr> <h2 id="domande-frequenti"> Domande frequenti <a href="#domande-frequenti" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p><strong>“Quanto costa?”</strong> 60 €/mese o 500 €/anno. Tutto incluso. Vedi i <a href="/pricing/">prezzi</a> .</p> <p><strong>“Possiamo esaminare la piattaforma prima dell’attivazione?”</strong> Sì. Crea l’account dell’organizzazione su <a href="https://secure.ethicsportal.eu/session/new" rel="nofollow">ethicsportal.eu</a> per esaminare e configurare il portale. L’utilizzo in produzione richiede un piano attivo.</p> <p><strong>“È conforme alla Direttiva (UE) 2019/1937?”</strong> Sì. Consulta la nostra <a href="/directive-coverage/">mappa di copertura della Direttiva (UE) 2019/1937</a> per un’analisi articolo per articolo.</p> <p><strong>“Dove sono archiviati i miei dati?”</strong> I dati principali delle segnalazioni sono ospitati sull’infrastruttura Hetzner a Norimberga, in Germania. Il sito di marketing è erogato tramite Cloudflare (Stati Uniti); i portali di segnalazione e di gestione no. Consulta le nostre pagine <a href="/dpa/">DPA</a> e <a href="/subprocessors/">sub-responsabili del trattamento</a> .</p> <p><strong>“Offrite un DPA?”</strong> Sì. Consulta il nostro <a href="/dpa/">accordo sul trattamento dei dati</a> oppure scrivici per ricevere un PDF controfirmato.</p> <p><strong>“Chi è la parte contraente?”</strong> Consulta la nostra pagina <a href="/trust/">trust</a> per i dettagli sulla parte contraente e sull’approvvigionamento.</p> <p><strong>“Potete supportare la verifica in fase di approvvigionamento?”</strong> Sì. DPA firmato, evidenze di registro e ulteriori materiali per la verifica in fase di approvvigionamento sono disponibili su richiesta. Vedi <a href="/trust/">trust</a> .</p> <hr> <p><strong>LinkedIn:</strong> <a href="https://www.linkedin.com/company/ethicsportal" rel="nofollow">linkedin.com/company/ethicsportal</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/accessibility/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/accessibility/L'impegno di EthicsPortal per l'accessibilità e la conformità alla norma EN 301 549 e alle WCAG 2.2 livello AA.<h1 id="dichiarazione-di-accessibilità"> Dichiarazione di accessibilità <a href="#dichiarazione-di-accessibilit%c3%a0" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p>Ultimo aggiornamento: 2026-05-24.</p> <p>EthicsPortal si impegna a rendere la propria piattaforma di segnalazione accessibile a tutti gli utenti, in linea con la <strong>norma europea sull’accessibilità EN 301 549 V3.2.3</strong> e con le <strong>Linee guida per l’accessibilità dei contenuti web (WCAG) 2.2 livello AA</strong>. La EN 301 549 V3.2.1 resta la versione citata nell’elenco delle norme armonizzate ai sensi della Direttiva sull’accessibilità del web; ci rendicontiamo rispetto alla più recente V3.2.3 perché è la versione attualmente pubblicata della norma e sostituisce la V3.2.1 sul piano tecnico.</p> <p>Questa dichiarazione si applica a:</p> <ul> <li>L’applicazione web di EthicsPortal su <a href="https://secure.ethicsportal.eu" rel="nofollow">secure.ethicsportal.eu</a> </li> <li>I portali di segnalazione pubblici ospitati sotto <code>*.ethicsportal.eu</code></li> <li>Il sito di marketing su <a href="https://ethicsportal.eu">ethicsportal.eu</a> </li> </ul> <h2 id="stato-di-conformità"> Stato di conformità <a href="#stato-di-conformit%c3%a0" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>EthicsPortal è <strong>parzialmente conforme</strong> alla EN 301 549 V3.2.3 e alle WCAG 2.2 livello AA. “Parzialmente conforme” significa che alcune parti del contenuto non sono ancora pienamente conformi alla norma sull’accessibilità. Le non conformità e le alternative disponibili sono elencate di seguito.</p> <p>Un’autovalutazione clausola per clausola è pubblicata come <a href="/en-301-549-conformance/">rapporto di conformità EN 301 549</a> e può essere fornita in PDF su richiesta in fase di approvvigionamento.</p> <h2 id="come-ethicsportal-supporta-laccessibilità"> Come EthicsPortal supporta l’accessibilità <a href="#come-ethicsportal-supporta-laccessibilit%c3%a0" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Il prodotto è sviluppato e testato rispetto ai requisiti:</p> <ul> <li><strong>Operatività solo da tastiera</strong> nell’applicazione e nel portale di segnalazione pubblico — ogni elemento interattivo è raggiungibile e utilizzabile senza mouse</li> <li><strong>Supporto per gli screen reader</strong> verificato con VoiceOver (macOS, Safari) e NVDA (Windows, Firefox)</li> <li><strong>Autenticazione senza password</strong> tramite magic link o codice monouso, con TOTP facoltativo — elimina la barriera cognitiva della memorizzazione delle password (WCAG 2.2 §3.3.8 Autenticazione accessibile)</li> <li><strong>Supporto per il movimento ridotto</strong> — le animazioni e le transizioni sono disattivate quando il sistema operativo lo richiede</li> <li><strong>Zoom e ridisposizione</strong> — i layout si ridispongono al 200% di zoom del browser senza scorrimento orizzontale, fatta eccezione per tabelle e blocchi di codice</li> <li><strong>Lo zoom con le dita è abilitato</strong> su ogni pagina</li> <li><strong>Aree di tocco</strong> di almeno 24×24 pixel CSS, portate a 44×44 sui puntatori imprecisi dove il layout lo consente (WCAG 2.2 §2.5.8)</li> <li><strong>Testo ad alto contrasto</strong> — il testo del corpo utilizza un quasi-nero su bianco (≈21:1) nel tema chiaro e l’equivalente nel tema scuro</li> <li><strong>Localizzato</strong> in tutte le lingue ufficiali dell’UE, con l’attributo della lingua impostato su ogni pagina</li> </ul> <h2 id="contenuti-non-accessibili"> Contenuti non accessibili <a href="#contenuti-non-accessibili" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>I contenuti seguenti non sono pienamente accessibili. Stiamo lavorando per risolvere ciascun punto.</p> <h3 id="non-conformità-alla-norma-sullaccessibilità"> Non conformità alla norma sull’accessibilità <a href="#non-conformit%c3%a0-alla-norma-sullaccessibilit%c3%a0" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <ul> <li><strong>Documenti PDF generati</strong> — i rapporti di conformità, i certificati di conformità, i modelli di policy per il whistleblowing, le informative sulla privacy, i poster, il manuale del gestore del caso e le esportazioni dei casi sono prodotti come PDF non taggati. Non soddisfano la EN 301 549 §10.1 (struttura taggata, ordine di lettura, testo alternativo). Gli utenti che necessitano di una versione accessibile di un documento possono richiedere un’alternativa in HTML contattando <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> — vedi <a href="#feedback">Feedback</a> qui sotto. Stiamo migrando questi documenti verso una pipeline di PDF taggati; le alternative in HTML erogate all’interno dell’applicazione sono la soluzione provvisoria prevista.</li> <li><strong>Pagine di errore statiche (HTTP 400, 404, 422, 500 e la pagina di fallback per browser non supportati)</strong> — queste pagine sono erogate in inglese indipendentemente dalla lingua dell’utente (EN 301 549 §9.3.1.1 / WCAG 3.1.1 Lingua della pagina). Si incontrano raramente; le stesse informazioni sono presentate nella lingua dell’utente all’interno dell’applicazione. Le pagine stesse utilizzano HTML semantico e soddisfano gli altri requisiti web del §9.</li> </ul> <h3 id="contenuti-esenti-dai-requisiti-di-accessibilità"> Contenuti esenti dai requisiti di accessibilità <a href="#contenuti-esenti-dai-requisiti-di-accessibilit%c3%a0" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <ul> <li>I contenuti di terze parti incorporati nel prodotto — ad esempio il widget di chat dal vivo Crisp e le pagine di pagamento ospitate da Stripe — non sono sotto il controllo diretto di EthicsPortal. Abbiamo selezionato fornitori che pubblicano documentazione sull’accessibilità e riesaminiamo queste scelte ogni anno.</li> <li>I contenuti generati dagli utenti caricati dai gestori dei casi (note, file allegati) non rientrano nel controllo diretto di creazione del prodotto. L’interfaccia del gestore richiede descrizioni e alternative accessibili ove applicabile, ai sensi della EN 301 549 §11.8 / <a href="https://www.w3.org/TR/ATAG20/" rel="nofollow">ATAG 2.0</a> .</li> </ul> <h2 id="redazione-della-presente-dichiarazione"> Redazione della presente dichiarazione <a href="#redazione-della-presente-dichiarazione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Questa dichiarazione è stata redatta il <strong>14 maggio 2026</strong> sulla base di un’autovalutazione condotta da EthicsPortal rispetto alla <strong>EN 301 549 V3.2.3</strong> e alle <strong>WCAG 2.2 livello AA</strong>. La valutazione ha combinato:</p> <ul> <li>Controlli automatici in CI tramite <code>axe-core-capybara</code> sui flussi del portale di segnalazione pubblico (home, invio della segnalazione, consultazione)</li> <li>Test manuali da tastiera, con VoiceOver e con zoom al 200% sul flusso di invio della segnalazione nel portale, sul flusso di lavoro del gestore del caso, sull’autenticazione e sulla gestione dell’account</li> <li>Revisione del codice rispetto alla checklist interna di accessibilità documentata nel nostro repository di ingegneria</li> </ul> <p>La dichiarazione sarà riesaminata almeno con cadenza trimestrale e dopo ogni modifica significativa della piattaforma.</p> <h2 id="feedback"> Feedback <a href="#feedback" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Accogliamo con favore il tuo feedback sull’accessibilità di EthicsPortal. Se incontri una barriera all’accessibilità, non riesci ad accedere a un contenuto o necessiti di informazioni in un formato alternativo:</p> <ul> <li><strong>Email:</strong> <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> </li> <li><strong>Accettato anche:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> — indica “accessibility” nell’oggetto</li> <li>Ci impegniamo a confermare la ricezione delle richieste di accessibilità entro <strong>2 giorni lavorativi</strong> e a fornire un formato alternativo o una risposta sostanziale entro <strong>5 giorni lavorativi</strong></li> </ul> <h2 id="procedura-di-applicazione"> Procedura di applicazione <a href="#procedura-di-applicazione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Se non sei soddisfatto della nostra risposta, puoi rivolgerti all’organismo responsabile dell’applicazione delle norme sull’accessibilità nel tuo Paese:</p> <ul> <li><strong>Francia:</strong> Défenseur des droits — <a href="https://www.defenseurdesdroits.fr" rel="nofollow">defenseurdesdroits.fr</a> </li> <li><strong>Polonia:</strong> Minister właściwy do spraw informatyzacji — tramite <a href="https://www.gov.pl/" rel="nofollow">gov.pl</a> , con il Rzecznik Praw Obywatelskich come ricorso secondario per i reclami non risolti</li> <li><strong>Germania:</strong> Überwachungsstelle des Bundes für Barrierefreiheit von Informationstechnik — <a href="https://www.bfit-bund.de/" rel="nofollow">bfit-bund.de</a> </li> <li><strong>Altri Stati membri dell’UE:</strong> consulta l’elenco gestito dalla Commissione europea su <a href="https://digital-strategy.ec.europa.eu/en/policies/web-accessibility" rel="nofollow">digital-strategy.ec.europa.eu</a> </li> </ul> <h2 id="norme-e-riferimenti"> Norme e riferimenti <a href="#norme-e-riferimenti" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Questa dichiarazione è redatta con riferimento a:</p> <ul> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016L2102" rel="nofollow">Direttiva (UE) 2016/2102</a> — accessibilità dei siti web e delle applicazioni mobili degli enti pubblici</li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L0882" rel="nofollow">Direttiva (UE) 2019/882</a> — Atto europeo sull’accessibilità</li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32018D1523" rel="nofollow">Decisione di esecuzione (UE) 2018/1523</a> — modello di dichiarazione di accessibilità</li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.03_60/en_301549v030203p.pdf" rel="nofollow">EN 301 549 V3.2.3</a> — Requisiti di accessibilità per prodotti e servizi TIC (versione pubblicata rispetto alla quale ci rendicontiamo)</li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.01_60/en_301549v030201p.pdf" rel="nofollow">EN 301 549 V3.2.1</a> — versione elencata tra le norme armonizzate ai sensi della Direttiva sull’accessibilità del web</li> <li><a href="https://www.w3.org/TR/WCAG22/" rel="nofollow">WCAG 2.2 livello AA</a> </li> </ul>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/faq/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/faq/Domande comuni su EthicsPortal — conformità, anonimato, sicurezza dei dati, fatturazione e dettagli tecnici.<h1 id="domande-frequenti"> Domande frequenti <a href="#domande-frequenti" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <hr> <h2 id="per-i-responsabili-della-compliance-e-i-decisori"> Per i responsabili della compliance e i decisori <a href="#per-i-responsabili-della-compliance-e-i-decisori" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <h3 id="ethicsportal-è-conforme-alla-direttiva-ue-20191937"> EthicsPortal è conforme alla Direttiva (UE) 2019/1937? <a href="#ethicsportal-%c3%a8-conforme-alla-direttiva-ue-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Sì. EthicsPortal è progettato specificamente per soddisfare i requisiti della Direttiva UE sulla protezione dei segnalanti. Ciò include un canale di segnalazione interno sicuro, una comunicazione bidirezionale anonima, il monitoraggio dei termini (avviso di ricevimento entro 7 giorni, riscontro entro 3 mesi), i controlli di accesso, le politiche di conservazione dei dati e un registro delle attività completo. Consulta la <a href="/directive-coverage/">mappa di copertura della Direttiva (UE) 2019/1937</a> per un’analisi articolo per articolo.</p> <h3 id="in-quali-paesi-ethicsportal-è-conforme"> In quali Paesi EthicsPortal è conforme? <a href="#in-quali-paesi-ethicsportal-%c3%a8-conforme" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>EthicsPortal copre i requisiti della Direttiva (UE) 2019/1937, che è stata recepita nell’ordinamento nazionale di tutti gli Stati membri dell’UE. La piattaforma è progettata per soddisfare i requisiti di base della Direttiva, che si applicano in tutta l’UE. Se il tuo Paese prevede requisiti nazionali aggiuntivi (ad esempio la Loi Waserman francese), consulta le nostre <a href="/whistleblower-laws/">guide per Paese</a> oppure <a href="mailto:support@ethicsportal.eu">contattaci</a> .</p> <h3 id="possiamo-gestire-il-canale-di-segnalazione-internamente"> Possiamo gestire il canale di segnalazione internamente? <a href="#possiamo-gestire-il-canale-di-segnalazione-internamente" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Sì — l’articolo 8, paragrafo 5, della Direttiva (UE) 2019/1937 lo consente espressamente. Ma soddisfare le condizioni della Direttiva è strutturalmente più difficile internamente.</p> <p>L’articolo 9, paragrafo 1, richiede la riservatezza dell’identità del segnalante, un seguito imparziale e un accesso limitato alle segnalazioni. Un canale interno passa attraverso gli stessi amministratori IT, backup e strumenti di conservazione a fini di contenzioso che toccano ogni altro sistema dell’azienda. Un sottodominio o una casella di posta separati non cambiano chi ha accesso.</p> <p>Il GDPR aggiunge un secondo problema. Il whistleblowing è nell’elenco delle DPIA obbligatorie dell’EDPB. Una DPIA interna deve documentare come il titolare del trattamento impedisce a sé stesso di accedere ai dati che lo riguardano — il che è circolare per definizione.</p> <p>La gestione esterna è prevista dall’art. 8, par. 5, e dai recepimenti nazionali: Loi Sapin II / Waserman (FR), HinSchG §14 (DE), D.Lgs. 24/2023 (IT), Ley 2/2023 (ES).</p> <h3 id="dove-sono-archiviati-i-miei-dati"> Dove sono archiviati i miei dati? <a href="#dove-sono-archiviati-i-miei-dati" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>I dati principali delle segnalazioni sono archiviati su server Hetzner a Norimberga, in Germania. Il sito di marketing è erogato tramite Cloudflare (Stati Uniti); i portali di segnalazione e di gestione no. Hetzner è un fornitore di hosting tedesco soggetto al diritto UE in materia di protezione dei dati e le garanzie di trasferimento sono descritte nelle pagine <a href="/dpa/">DPA</a> e <a href="/subprocessors/">sub-responsabili del trattamento</a> .</p> <h3 id="la-segnalazione-è-davvero-anonima"> La segnalazione è davvero anonima? <a href="#la-segnalazione-%c3%a8-davvero-anonima" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Sì, se il segnalante lo sceglie. Fornire un nome o dati di contatto è facoltativo. EthicsPortal non registra gli indirizzi IP, rimuove i metadati dei file (EXIF, GPS, informazioni sull’autore) dai caricamenti e il thread di messaggi sicuro non rivela mai l’identità del gestore del caso al segnalante. Non esiste alcun meccanismo tecnico per ricondurre una segnalazione anonima a una persona.</p> <h3 id="come-funziona-il-monitoraggio-dei-termini-di-7-giorni-e-3-mesi"> Come funziona il monitoraggio dei termini di 7 giorni e 3 mesi? <a href="#come-funziona-il-monitoraggio-dei-termini-di-7-giorni-e-3-mesi" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Quando una segnalazione viene inviata, EthicsPortal avvia automaticamente due cronometri basati sui requisiti della Direttiva:</p> <ul> <li><strong>7 giorni</strong> per dare avviso di ricevimento della segnalazione.</li> <li><strong>3 mesi</strong> per fornire un riscontro sostanziale al segnalante.</li> </ul> <p>Le segnalazioni in ritardo vengono evidenziate nella dashboard e i gestori ricevono notifiche all’avvicinarsi dei termini.</p> <h3 id="offrite-un-accordo-sul-trattamento-dei-dati-dpa"> Offrite un accordo sul trattamento dei dati (DPA)? <a href="#offrite-un-accordo-sul-trattamento-dei-dati-dpa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Sì. Il DPA attuale è pubblicato in <a href="/dpa/">DPA</a> e un PDF controfirmato è disponibile su richiesta.</p> <h3 id="quali-certificazioni-avete"> Quali certificazioni avete? <a href="#quali-certificazioni-avete" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>EthicsPortal attualmente non dichiara su questo sito una certificazione ISO 27001 accreditata. Documentiamo pubblicamente l’attuale postura di sicurezza, i sub-responsabili del trattamento, la comunicazione degli incidenti e gli impegni di servizio nelle pagine <a href="/security/">sicurezza</a> , <a href="/subprocessors/">sub-responsabili del trattamento</a> , <a href="/incidents/">incidenti</a> e <a href="/sla/">SLA</a> .</p> <h3 id="chi-è-la-parte-contraente"> Chi è la parte contraente? <a href="#chi-%c3%a8-la-parte-contraente" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>EthicsPortal è gestito da Yaroslav Shmarov, registrato in Polonia. I dettagli di base su contrattualizzazione e approvvigionamento sono pubblicati sulla pagina <a href="/trust/">trust</a> .</p> <h3 id="potete-supportare-la-verifica-in-fase-di-approvvigionamento"> Potete supportare la verifica in fase di approvvigionamento? <a href="#potete-supportare-la-verifica-in-fase-di-approvvigionamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Sì. I materiali pubblici di due diligence sono pubblicati sul sito e ulteriori materiali per l’approvvigionamento sono disponibili su richiesta durante la verifica. Vedi la pagina <a href="/trust/">trust</a> .</p> <h3 id="posso-esportare-i-dati-dei-casi-per-le-verifiche-delle-autorità"> Posso esportare i dati dei casi per le verifiche delle autorità? <a href="#posso-esportare-i-dati-dei-casi-per-le-verifiche-delle-autorit%c3%a0" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Sì. Ogni segnalazione può essere esportata in PDF, inclusa l’intera cronologia dei messaggi, la sequenza temporale e il registro delle attività. È pensato per la condivisione con consulenti legali, organi di verifica o autorità. Se necessiti di un formato di portabilità aggiuntivo per la migrazione o l’esame da parte delle autorità, contattaci durante l’approvvigionamento o la verifica di dismissione.</p> <hr> <h2 id="per-i-dipendenti-e-i-segnalanti"> Per i dipendenti e i segnalanti <a href="#per-i-dipendenti-e-i-segnalanti" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <h3 id="devo-creare-un-account-per-inviare-una-segnalazione"> Devo creare un account per inviare una segnalazione? <a href="#devo-creare-un-account-per-inviare-una-segnalazione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>No. Non hai bisogno di un account, di un indirizzo email o di alcuna informazione personale. Visiti il link del portale, compili la segnalazione, scegli un codice di accesso di 6 cifre e ricevi un ID del caso. Tutto qui.</p> <h3 id="il-mio-datore-di-lavoro-può-scoprire-chi-sono"> Il mio datore di lavoro può scoprire chi sono? <a href="#il-mio-datore-di-lavoro-pu%c3%b2-scoprire-chi-sono" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Non tramite EthicsPortal. Se scegli di inviare la segnalazione in forma anonima (senza fornire il tuo nome o i tuoi dati di contatto), non esiste alcun modo per il tuo datore di lavoro di identificarti attraverso la piattaforma. EthicsPortal non registra il tuo indirizzo IP e rimuove i metadati identificativi da qualsiasi file che carichi.</p> <p>Detto ciò, presta attenzione a ciò che scrivi — se la tua segnalazione contiene dettagli che solo tu potresti conoscere, ciò esula dal controllo della piattaforma.</p> <h3 id="come-faccio-a-controllare-lo-stato-della-mia-segnalazione"> Come faccio a controllare lo stato della mia segnalazione? <a href="#come-faccio-a-controllare-lo-stato-della-mia-segnalazione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Ti servono due cose: l’ID del caso (formato <code>WB-XXXX-XXXX</code>) mostrato dopo l’invio e il codice di accesso di 6 cifre che hai scelto. Torna al portale in qualsiasi momento, inserisci entrambi e vedi lo stato attuale o scambia messaggi con il gestore del caso. Conserva l’ID del caso in un luogo sicuro e ricorda il codice di accesso — non possiamo recuperare il codice di accesso ed entrambi sono necessari.</p> <h3 id="posso-allegare-file-alla-mia-segnalazione"> Posso allegare file alla mia segnalazione? <a href="#posso-allegare-file-alla-mia-segnalazione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Sì. Puoi caricare immagini, PDF, file video e audio fino a 100 MB ciascuno. Tutti i metadati dei file (dati di posizione, informazioni sull’autore, dettagli della fotocamera) vengono rimossi automaticamente prima dell’archiviazione per proteggere la tua identità.</p> <h3 id="posso-comunicare-con-il-gestore-del-caso-in-forma-anonima"> Posso comunicare con il gestore del caso in forma anonima? <a href="#posso-comunicare-con-il-gestore-del-caso-in-forma-anonima" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Sì. Il thread di messaggi integrato è completamente anonimo. Vedi “Gestore del caso” — mai un nome reale. Il gestore vede i tuoi messaggi ma non ha alcun modo per identificarti, a meno che tu non scelga di condividere tu stesso tali informazioni.</p> <h3 id="cosa-succede-dopo-che-ho-inviato-una-segnalazione"> Cosa succede dopo che ho inviato una segnalazione? <a href="#cosa-succede-dopo-che-ho-inviato-una-segnalazione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>La tua segnalazione viene ricevuta dal gestore del caso designato dall’organizzazione. Ai sensi del diritto UE, deve dare avviso di ricevimento entro 7 giorni e fornire un riscontro sostanziale entro 3 mesi. Puoi controllare lo stato in qualsiasi momento utilizzando l’ID del caso e il codice di accesso.</p> <hr> <h2 id="per-i-team-it-e-tecnici"> Per i team IT e tecnici <a href="#per-i-team-it-e-tecnici" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <h3 id="quale-crittografia-utilizzate"> Quale crittografia utilizzate? <a href="#quale-crittografia-utilizzate" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Tutti i dati sensibili delle segnalazioni sono crittografati a riposo nel database. Tutte le connessioni utilizzano TLS (HTTPS). I file caricati sono archiviati in forma crittografata su infrastruttura ospitata nell’UE.</p> <h3 id="rimuovete-i-metadati-dei-file"> Rimuovete i metadati dei file? <a href="#rimuovete-i-metadati-dei-file" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Sì. Le immagini caricate vengono ripulite lato server prima dell’archiviazione. Anche i caricamenti di PDF, video e audio vengono elaborati per la rimozione dei metadati nella configurazione di produzione standard descritta sulla <a href="/security/">pagina sulla sicurezza</a> . Ciò riduce il rischio di divulgazione accidentale dell’identità attraverso le proprietà dei file.</p> <h3 id="sottoponete-a-scansione-antivirus-i-file-caricati"> Sottoponete a scansione antivirus i file caricati? <a href="#sottoponete-a-scansione-antivirus-i-file-caricati" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Sì. Tutti i file caricati vengono sottoposti a scansione antimalware con ClamAV, un motore antivirus open source. La scansione avviene lato server — nessun dato dei file viene inviato a servizi esterni. I file infetti vengono rimossi automaticamente prima che i gestori dei casi possano accedervi.</p> <h3 id="registrate-gli-indirizzi-ip"> Registrate gli indirizzi IP? <a href="#registrate-gli-indirizzi-ip" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>L’applicazione non memorizza nel database l’indirizzo IP grezzo del segnalante. La limitazione delle richieste sul portale di segnalazione pubblico utilizza un hash unidirezionale e i log dell’applicazione per le rotte del portale vengono ripuliti per proteggere l’anonimato dei segnalanti. Vedi <a href="/security/">sicurezza</a> per la formulazione precisa.</p> <h3 id="quali-servizi-di-terze-parti-utilizzate"> Quali servizi di terze parti utilizzate? <a href="#quali-servizi-di-terze-parti-utilizzate" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <ul> <li><strong>Hetzner</strong> (Germania) — hosting dei server</li> <li><strong>Stripe</strong> — elaborazione dei pagamenti</li> <li><strong>Mailjet</strong> (Francia) — invio di email transazionali</li> <li><strong>Cloudflare</strong> — CDN e analisi del sito di marketing</li> <li><strong>AppSignal</strong> (Paesi Bassi, UE) — monitoraggio degli errori e delle prestazioni applicative per le interfacce di amministrazione e gestione</li> <li><strong>Crisp</strong> — chat di assistenza in-app nel portale dei gestori</li> </ul> <p>Sul portale di segnalazione stesso non vengono utilizzati network pubblicitari né cookie di tracciamento di terze parti.</p> <h3 id="avete-unapi"> Avete un’API? <a href="#avete-unapi" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Attualmente non disponibile. <a href="mailto:support@ethicsportal.eu">Contattaci</a> se l’accesso tramite API è un requisito per la tua organizzazione.</p> <h3 id="supportate-i-domini-personalizzati"> Supportate i domini personalizzati? <a href="#supportate-i-domini-personalizzati" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Attualmente non disponibile. Tutti i portali sono erogati sotto il dominio EthicsPortal.</p> <h3 id="supportate-il-single-sign-on-sso"> Supportate il Single Sign-On (SSO)? <a href="#supportate-il-single-sign-on-sso" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Attualmente non disponibile. Gli utenti accedono tramite magic link (autenticazione email senza password).</p> <hr> <h2 id="fatturazione"> Fatturazione <a href="#fatturazione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <h3 id="quanto-costa-ethicsportal"> Quanto costa EthicsPortal? <a href="#quanto-costa-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p><strong>60 €/mese o 500 €/anno</strong>, forfettari. Un solo piano, tutto incluso. Nessun costo per utente, nessun costo per segnalazione, nessun livello di funzionalità.</p> <h3 id="come-funziona-labbonamento"> Come funziona l’abbonamento? <a href="#come-funziona-labbonamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>EthicsPortal è un servizio di compliance a pagamento: 60 €/mese o 500 €/anno, senza prova gratuita. Attiva il portale dall’applicazione, configura il canale di segnalazione e avvia la gestione una volta sottoscritto l’abbonamento.</p> <h3 id="possiamo-annullare-labbonamento"> Possiamo annullare l’abbonamento? <a href="#possiamo-annullare-labbonamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Sì. Gli abbonamenti possono essere annullati dalle impostazioni dell’account. Non sono previsti costi di annullamento.</p> <h3 id="quali-metodi-di-pagamento-accettate"> Quali metodi di pagamento accettate? <a href="#quali-metodi-di-pagamento-accettate" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Carte di credito e di debito tramite Stripe. Se hai bisogno di pagare tramite fattura o bonifico bancario, scrivi a <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> .</p> <hr> <h2 id="hai-ancora-una-domanda"> Hai ancora una domanda? <a href="#hai-ancora-una-domanda" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Scrivi a <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . Riceverai una risposta entro un giorno lavorativo.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/privacy/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/privacy/Informativa sulla privacy di EthicsPortal — come raccogliamo, utilizziamo, archiviamo e proteggiamo le tue informazioni personali.<h1 id="informativa-sulla-privacy"> Informativa sulla privacy <a href="#informativa-sulla-privacy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p><strong>Data di efficacia:</strong> 17 febbraio 2026 <strong>Ultimo aggiornamento:</strong> 30 maggio 2026</p> <h2 id="1-introduzione"> 1. Introduzione <a href="#1-introduzione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>EthicsPortal (“noi”, “ci”, “nostro”) è gestito da Yaroslav Shmarov, con sede in ul. Obrzeżna 1A, 02-691 Varsavia, Polonia. La presente Informativa sulla privacy descrive come raccogliamo, utilizziamo, archiviamo e proteggiamo le tue informazioni personali quando utilizzi EthicsPortal su <a href="https://ethicsportal.eu">ethicsportal.eu</a> (il “Servizio”).</p> <p>Utilizzando il Servizio, acconsenti alla raccolta e all’uso delle informazioni come descritto nella presente informativa. Se non sei d’accordo, ti preghiamo di non utilizzare il Servizio.</p> <p><strong>Contatto:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> </p> <p>Le informazioni di base sulla parte contraente sono pubblicate sulla pagina <a href="/trust/">trust</a> .</p> <h2 id="2-informazioni-che-raccogliamo"> 2. Informazioni che raccogliamo <a href="#2-informazioni-che-raccogliamo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <h3 id="21-informazioni-dellaccount"> 2.1 Informazioni dell’account <a href="#21-informazioni-dellaccount" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Quando crei un account, raccogliamo:</p> <ul> <li>Indirizzo email</li> <li>Nome visualizzato (se fornito)</li> <li>Preferenza di lingua</li> </ul> <p>L’autenticazione è senza password — utilizziamo magic link (codici monouso inviati alla tua email). Non raccogliamo né memorizziamo password.</p> <h3 id="22-informazioni-di-pagamento"> 2.2 Informazioni di pagamento <a href="#22-informazioni-di-pagamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>I pagamenti sono elaborati interamente da <a href="https://stripe.com" rel="nofollow">Stripe</a> . Non memorizziamo numeri di carte di credito, numeri di conto corrente o altri dati finanziari sensibili sui nostri server. Stripe può raccogliere i dettagli di pagamento direttamente. Per maggiori dettagli, consulta l’<a href="https://stripe.com/privacy" rel="nofollow">Informativa sulla privacy di Stripe</a> .</p> <h3 id="23-log-dei-server"> 2.3 Log dei server <a href="#23-log-dei-server" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>I nostri server registrano automaticamente le informazioni quando accedi al Servizio, tra cui:</p> <ul> <li>Indirizzo IP</li> <li>Tipo e versione del browser</li> <li>Pagine visitate e marche temporali</li> <li>URL di provenienza</li> </ul> <p>I log dei server sono utilizzati per il monitoraggio della sicurezza e il debug. Non sono utilizzati per la pubblicità o il tracciamento.</p> <p>Per le rotte del portale di segnalazione in particolare, i log dell’applicazione sono configurati per ripulire l’indirizzo IP del segnalante.</p> <h3 id="24-dati-delle-segnalazioni"> 2.4 Dati delle segnalazioni <a href="#24-dati-delle-segnalazioni" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Quando un segnalante invia una segnalazione tramite il portale di un’organizzazione, raccogliamo:</p> <ul> <li>Descrizione, categoria e fonte della segnalazione</li> <li>Nome e dati di contatto del segnalante (se forniti volontariamente)</li> <li>Messaggi scambiati tra il segnalante e l’organizzazione</li> </ul> <p>Le descrizioni delle segnalazioni, i nomi dei segnalanti, i dati di contatto dei segnalanti e il contenuto dei messaggi sono <strong>crittografati nel database</strong> mediante crittografia a livello applicativo. Gli indirizzi IP dei segnalanti sono <strong>anonimizzati</strong> mediante un hash unidirezionale e non vengono mai memorizzati nella loro forma originale. I log dei server per le rotte del portale vengono <strong>ripuliti</strong> degli indirizzi IP per proteggere l’identità dei segnalanti.</p> <h3 id="25-dati-personali-di-terzi-citati-nelle-segnalazioni"> 2.5 Dati personali di terzi citati nelle segnalazioni <a href="#25-dati-personali-di-terzi-citati-nelle-segnalazioni" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Una segnalazione può contenere dati personali di altre persone — ad esempio la persona cui la segnalazione si riferisce o i testimoni. Per questi dati delle segnalazioni, EthicsPortal agisce in qualità di <strong>responsabile del trattamento</strong> per conto dell’organizzazione cliente, che è il <strong>titolare del trattamento</strong>. L’organizzazione è responsabile della liceità di tale trattamento e della fornitura di qualsiasi informazione richiesta ai sensi dell’articolo 14 del GDPR alle persone interessate.</p> <p>In linea con l’articolo 14, paragrafo 5, lettera b), del GDPR e con i requisiti di riservatezza della Direttiva UE sul whistleblowing (2019/1937), la notifica a una persona citata può essere differita o limitata qualora ciò pregiudichi un’indagine o comprometta la protezione dell’identità del segnalante.</p> <h2 id="3-come-utilizziamo-le-tue-informazioni"> 3. Come utilizziamo le tue informazioni <a href="#3-come-utilizziamo-le-tue-informazioni" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Utilizziamo le informazioni che raccogliamo per:</p> <ul> <li><strong>Fornire il Servizio</strong> — creare e gestire il tuo account</li> <li><strong>Elaborare i pagamenti</strong> — gestire gli abbonamenti tramite Stripe</li> <li><strong>Inviare notifiche</strong> — recapitare notifiche in-app e via email sull’attività dell’account</li> <li><strong>Mantenere la sicurezza</strong> — rilevare e prevenire frodi, abusi e accessi non autorizzati</li> <li><strong>Migliorare il Servizio</strong> — diagnosticare problemi tecnici e migliorare le funzionalità</li> </ul> <p>Non vendiamo le tue informazioni personali. Non utilizziamo i tuoi dati per la pubblicità.</p> <h2 id="4-servizi-di-terze-parti"> 4. Servizi di terze parti <a href="#4-servizi-di-terze-parti" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Condividiamo i dati con i seguenti servizi di terze parti, solo nella misura necessaria a fornire il Servizio:</p> <table> <thead> <tr> <th>Servizio</th> <th>Finalità</th> <th>Dati condivisi</th> </tr> </thead> <tbody> <tr> <td><strong>Stripe</strong></td> <td>Elaborazione dei pagamenti</td> <td>Email, dettagli di pagamento (raccolti direttamente da Stripe)</td> </tr> <tr> <td><strong>Hetzner Object Storage</strong></td> <td>Caricamento file (avatar, allegati)</td> <td>File caricati</td> </tr> <tr> <td><strong>Mailjet</strong></td> <td>Invio di email transazionali</td> <td>Indirizzo email, contenuto dell’email</td> </tr> <tr> <td><strong>Cloudflare Web Analytics</strong></td> <td>Analisi del sito rispettosa della privacy</td> <td>Visualizzazioni di pagina, provenienza, tipo di browser, Paese (anonimi, senza cookie, senza dati personali)</td> </tr> <tr> <td><strong>Plausible Analytics</strong></td> <td>Analisi del sito rispettosa della privacy (ospitata nell’UE, Germania)</td> <td>Visualizzazioni di pagina, provenienza, tipo di browser, Paese (anonimi, senza cookie, IP non memorizzato, senza dati personali). Caricato solo sul sito di marketing pubblico — mai sull’applicazione o sul portale di segnalazione. Vedi la <a href="https://plausible.io/data-policy" rel="nofollow">Data Policy di Plausible</a> </td> </tr> <tr> <td><strong>AppSignal</strong></td> <td>Tracciamento di errori ed eccezioni, monitoraggio delle prestazioni applicative</td> <td>Dettagli degli errori e contesto delle richieste per le interfacce di amministrazione e gestione</td> </tr> <tr> <td><strong>Crisp</strong></td> <td>Assistenza tramite chat dal vivo</td> <td>Indirizzo email, nome, messaggi di chat, tipo di browser, pagine visitate. Crisp ha sede in Francia (UE). Vedi l’<a href="https://crisp.chat/en/privacy/" rel="nofollow">Informativa sulla privacy di Crisp</a> </td> </tr> </tbody> </table> <p>Ogni servizio di terze parti è disciplinato dalla propria informativa sulla privacy. Ti invitiamo a consultarle.</p> <h2 id="5-cookie"> 5. Cookie <a href="#5-cookie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Utilizziamo i seguenti cookie:</p> <table> <thead> <tr> <th>Cookie</th> <th>Finalità</th> <th>Durata</th> </tr> </thead> <tbody> <tr> <td><code>_ethicsportal_session</code></td> <td>Gestione della sessione (autenticazione)</td> <td>30 giorni</td> </tr> <tr> <td><code>session_token</code></td> <td>Identificatore di sessione firmato per il login persistente</td> <td>La sessione lato server scade dopo 14 giorni di inattività</td> </tr> <tr> <td><code>locale</code></td> <td>Memorizza la tua preferenza di lingua</td> <td>1 anno</td> </tr> </tbody> </table> <p>Durante il processo di accesso tramite magic link viene utilizzato un cookie temporaneo <code>pending_authentication_token</code> (15 minuti).</p> <p>La chat dal vivo Crisp può impostare propri cookie (ad es. <code>crisp-client/*</code>) quando i gestori utilizzano la chat di assistenza in-app. Questi cookie sono funzionali, non utilizzati per la pubblicità e impostati solo all’interno del portale dei gestori — non sul sito di marketing o sul portale di segnalazione.</p> <p>Tutti i cookie di prima parte sono impostati con i flag <code>Secure</code> e <code>HttpOnly</code> in produzione. Non utilizziamo cookie di tracciamento di terze parti o cookie pubblicitari. La protezione CSRF è gestita tramite token incorporati nei moduli HTML, non tramite cookie.</p> <h2 id="6-archiviazione-e-sicurezza-dei-dati"> 6. Archiviazione e sicurezza dei dati <a href="#6-archiviazione-e-sicurezza-dei-dati" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li><strong>Posizione dei server:</strong> I dati principali dell’applicazione sono ospitati da Hetzner a Norimberga, in Germania (Unione europea)</li> <li><strong>Crittografia in transito:</strong> Tutte le connessioni utilizzano HTTPS/TLS</li> <li><strong>Crittografia a riposo:</strong> I dati delle segnalazioni (descrizioni, nomi dei segnalanti, dati di contatto, messaggi) sono crittografati nel database mediante Active Record Encryption</li> <li><strong>Autenticazione senza password:</strong> Utilizziamo magic link — non vengono memorizzate password</li> <li><strong>Controllo di accesso:</strong> L’accesso al database è riservato esclusivamente al personale autorizzato</li> </ul> <p>Sebbene adottiamo misure ragionevoli per proteggere i tuoi dati, nessun metodo di trasmissione o archiviazione è sicuro al 100%. Se scopri una vulnerabilità di sicurezza, ti preghiamo di contattarci a <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> .</p> <h2 id="7-conservazione-dei-dati"> 7. Conservazione dei dati <a href="#7-conservazione-dei-dati" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li><strong>I dati dell’account</strong> sono conservati finché il tuo account è attivo</li> <li><strong>I dati dell’organizzazione</strong> sono conservati finché la tua organizzazione è attiva</li> <li><strong>Le segnalazioni</strong> — le segnalazioni chiuse o archiviate vengono eliminate automaticamente al termine del periodo di conservazione configurato dall’organizzazione cliente (12, 24, 36, 48 o 60 mesi). Le segnalazioni attive e in corso sono conservate fino alla chiusura; una segnalazione rimasta senza attività per 18 mesi viene chiusa automaticamente, il che avvia il periodo di conservazione</li> <li><strong>I log dei server</strong> sono conservati per un massimo di 90 giorni</li> <li><strong>I registri di pagamento</strong> sono conservati come richiesto dalle leggi fiscali e contabili applicabili</li> <li><strong>I registri delle attività</strong> — le registrazioni di chi ha avuto accesso alle segnalazioni e quando sono conservate insieme alla segnalazione per finalità di conformità</li> </ul> <p>Quando elimini il tuo account, i tuoi dati personali vengono rimossi definitivamente dai nostri sistemi, salvo i casi in cui la conservazione sia richiesta dalla legge (ad es. registri finanziari).</p> <h2 id="8-i-tuoi-diritti-ai-sensi-del-gdpr"> 8. I tuoi diritti ai sensi del GDPR <a href="#8-i-tuoi-diritti-ai-sensi-del-gdpr" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Poiché abbiamo sede nell’Unione europea, si applica il Regolamento generale sulla protezione dei dati (GDPR). Hai il diritto di:</p> <ul> <li><strong>Accesso</strong> — richiedere una copia dei dati personali che deteniamo su di te</li> <li><strong>Rettifica</strong> — richiedere la correzione di dati inesatti</li> <li><strong>Cancellazione</strong> — richiedere la cancellazione dei tuoi dati (“diritto all’oblio”)</li> <li><strong>Limitazione</strong> — richiedere che limitiamo il modo in cui trattiamo i tuoi dati</li> <li><strong>Portabilità dei dati</strong> — richiedere i tuoi dati in un formato strutturato e leggibile da macchina</li> <li><strong>Opposizione</strong> — opporti al trattamento dei tuoi dati</li> <li><strong>Revoca del consenso</strong> — revocare il consenso in qualsiasi momento laddove il trattamento si basi sul consenso</li> <li><strong>Reclamo</strong> — presentare un reclamo all’autorità di controllo nazionale per la protezione dei dati</li> </ul> <p><strong>Come esercitare i tuoi diritti:</strong> Puoi gestire la maggior parte dei tuoi dati direttamente tramite le impostazioni dell’account. Per eliminare il tuo account, visita la pagina delle impostazioni dell’account. Per qualsiasi altra richiesta, scrivici a <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> .</p> <p><strong>Se hai inviato una segnalazione:</strong> l’organizzazione di cui hai utilizzato il portale è il titolare del trattamento di tale segnalazione ed EthicsPortal agisce in qualità di suo responsabile del trattamento. Puoi accedere e scaricare in qualsiasi momento una copia completa della tua segnalazione dal portale utilizzando il codice di accesso e il codice di accesso a 6 cifre. Per correggere informazioni, aggiungi un messaggio alla tua segnalazione; per qualsiasi altra richiesta, contatta l’organizzazione (la assisteremo in qualità di responsabile del trattamento). Poiché la legge impone la conservazione delle segnalazioni per un periodo determinato, la cancellazione potrebbe non essere possibile fino alla scadenza di tale periodo.</p> <p><strong>Responsabile della protezione dei dati:</strong> Le richieste relative alle nostre prassi di protezione dei dati possono essere indirizzate a <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> .</p> <p>La nostra base giuridica per il trattamento dei tuoi dati è:</p> <ul> <li><strong>Esecuzione del contratto</strong> — per fornire il Servizio per cui ti sei registrato</li> <li><strong>Interesse legittimo</strong> — per mantenere la sicurezza e migliorare il Servizio</li> <li><strong>Consenso</strong> — per le funzionalità facoltative</li> </ul> <h2 id="9-eliminazione-dellaccount-e-dei-dati"> 9. Eliminazione dell’account e dei dati <a href="#9-eliminazione-dellaccount-e-dei-dati" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Puoi eliminare il tuo account in qualsiasi momento dalle impostazioni dell’account. L’eliminazione dell’account rimuove definitivamente:</p> <ul> <li>Il tuo profilo e le informazioni dell’account</li> <li>Le tue appartenenze alle organizzazioni</li> </ul> <h2 id="10-privacy-dei-minori"> 10. Privacy dei minori <a href="#10-privacy-dei-minori" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Il Servizio non è rivolto ai minori di 16 anni. Non raccogliamo consapevolmente informazioni personali da minori di 16 anni. Se ritieni che un minore di 16 anni ci abbia fornito informazioni personali, ti preghiamo di contattarci a <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> e le elimineremo.</p> <h2 id="11-trasferimenti-internazionali-di-dati"> 11. Trasferimenti internazionali di dati <a href="#11-trasferimenti-internazionali-di-dati" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>I dati principali delle segnalazioni sono archiviati su server situati in Germania (UE). Il sito di marketing è erogato tramite Cloudflare (Stati Uniti); i portali di segnalazione e di gestione no. Laddove avvengano trasferimenti verso un sub-responsabile del trattamento extra-UE, essi sono descritti nelle pagine <a href="/dpa/">DPA</a> e <a href="/subprocessors/">sub-responsabili del trattamento</a> .</p> <h2 id="12-candidati-a-posizioni-lavorative"> 12. Candidati a posizioni lavorative <a href="#12-candidati-a-posizioni-lavorative" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Quando ti candidi per una posizione presso di noi (ad esempio scrivendo a <a href="mailto:careers@ethicsportal.eu">careers@ethicsportal.eu</a> ), raccogliamo e trattiamo:</p> <ul> <li>Il tuo nome e i tuoi dati di contatto</li> <li>Il tuo CV, il messaggio di candidatura e tutto ciò che scegli di dirci sulla tua esperienza</li> <li>Le note di eventuali colloqui o conversazioni durante il processo di selezione</li> </ul> <p><strong>Base giuridica:</strong> il trattamento è necessario per eseguire misure su tua richiesta prima della conclusione di un contratto e per il nostro interesse legittimo a valutare i candidati e a condurre un processo di selezione equo. Non chiediamo, e ti chiediamo di non inviare, dati appartenenti a categorie particolari (come salute, religione o appartenenza sindacale) o lo storico retributivo di posizioni precedenti.</p> <p><strong>Conservazione:</strong> conserviamo i dati della candidatura solo per il tempo necessario a valutare la tua candidatura e a coprire la posizione. Se non vieni assunto, eliminiamo i dati della tua candidatura al termine del processo, a meno che tu non ci chieda di conservarli per posizioni future, nel qual caso li conserviamo per un massimo di 12 mesi.</p> <p>Hai gli stessi diritti GDPR sui dati della tua candidatura indicati nella sezione 8. Per esercitarli, o per chiederci di eliminare la tua candidatura, scrivi a <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> .</p> <h2 id="13-modifiche-alla-presente-informativa"> 13. Modifiche alla presente informativa <a href="#13-modifiche-alla-presente-informativa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Possiamo aggiornare la presente Informativa sulla privacy di tanto in tanto. Quando apportiamo modifiche sostanziali, ti avviseremo via email o tramite una notifica in-app. La data di “Ultimo aggiornamento” in cima a questa pagina indica quando l’informativa è stata rivista per l’ultima volta.</p> <p>L’utilizzo continuato del Servizio dopo la pubblicazione delle modifiche costituisce accettazione dell’informativa aggiornata.</p> <h2 id="14-contattaci"> 14. Contattaci <a href="#14-contattaci" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Se hai domande sulla presente Informativa sulla privacy o desideri esercitare i tuoi diritti sui dati, contattaci a:</p> <p><strong>Generale:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> <strong>Privacy / diritti GDPR:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> <strong>Responsabile della protezione dei dati:</strong> <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> <strong>Segnalazioni di sicurezza:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> <strong>Legale / DPA:</strong> <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> <strong>Sede:</strong> Varsavia, Polonia</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/about/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/about/EthicsPortal fornisce un canale di segnalazione interno sicuro, sviluppato in Europa, ospitato in Germania, progettato per la Direttiva (UE) 2019/1937.<h1 id="informazioni-su-ethicsportal"> Informazioni su EthicsPortal <a href="#informazioni-su-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p>Ultimo aggiornamento: 2026-05-24.</p> <p>La Direttiva (UE) 2019/1937 impone a ogni organizzazione con 50 o più dipendenti di gestire un canale di segnalazione interno sicuro e riservato. EthicsPortal è quel canale.</p> <hr> <h2 id="cosa-offriamo"> Cosa offriamo <a href="#cosa-offriamo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li>Segnalazione anonima e riservata, conforme a ogni articolo della Direttiva</li> <li>Archiviazione dei dati crittografata, ospitata su Hetzner a Norimberga, in Germania</li> <li>Monitoraggio automatico dei termini di 7 giorni per l’avviso di ricevimento e di 3 mesi per il riscontro</li> <li>Registro delle attività in sola aggiunta per le verifiche delle autorità</li> <li>Comunicazione bidirezionale sicura tra segnalanti e gestori del caso</li> <li>Supporto multilingua per le organizzazioni transfrontaliere</li> <li>Esportazione del caso in PDF per le verifiche e l’esame legale</li> </ul> <hr> <h2 id="dove-operiamo"> Dove operiamo <a href="#dove-operiamo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>EthicsPortal è gestito dalla Polonia e i dati principali delle segnalazioni sono ospitati all’interno dell’UE. La <a href="/directive-coverage/">mappa di copertura della Direttiva (UE) 2019/1937</a> , l’<a href="/security/">architettura di sicurezza</a> , l’<a href="/subprocessors/">elenco dei sub-responsabili del trattamento</a> , l’<a href="/dpa/">accordo sul trattamento dei dati</a> e la pagina <a href="/trust/">trust</a> sono pubblicati e disponibili per la consultazione.</p> <ul> <li>Nessun servizio di analisi di terze parti né cookie di tracciamento sul portale di segnalazione</li> <li>Esportazione completa dei dati in qualsiasi momento (PDF + CSV)</li> <li><a href="https://secure.ethicsportal.eu /up">Stato del servizio</a> </li> <li><a href="https://secure.ethicsportal.eu/p/BiPdmk" rel="nofollow">Canale di segnalazione interno</a> per sollevare preoccupazioni riguardo a EthicsPortal ai sensi della Direttiva (UE) 2019/1937</li> </ul> <hr> <h2 id="dati-aziendali"> Dati aziendali <a href="#dati-aziendali" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>EthicsPortal è gestito come attività registrata a Varsavia, in Polonia.</p> <ul> <li><strong>Operatore:</strong> Yaroslav Shmarov</li> <li><strong>Indirizzo registrato:</strong> ul. Obrzeżna 1A, 02-691 Varsavia, Polonia</li> <li><strong>Numero di identificazione fiscale (NIP):</strong> 5272755790</li> <li><strong>Contatto commerciale:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> </li> </ul> <p>I dettagli completi della parte contraente, le evidenze di registro e i documenti firmati sono pubblicati sulla <a href="/trust/">pagina trust</a> e forniti su richiesta durante le procedure di approvvigionamento.</p> <hr> <h2 id="contatti"> Contatti <a href="#contatti" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p><strong>Email:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . Di norma rispondiamo entro un giorno lavorativo.</p> <p><a href="https://secure.ethicsportal.eu /session/new" class="btn btn-primary btn-lg">Attiva il tuo canale di segnalazione interno →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/directive-interpretations/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/directive-interpretations/Come EthicsPortal interpreta le disposizioni ambigue della Direttiva (UE) 2019/1937. Un documento di riferimento per responsabili della compliance, responsabili della protezione dei dati e consulenti legali.<h1 id="interpretazioni-della-direttiva-ue-20191937"> Interpretazioni della Direttiva (UE) 2019/1937 <a href="#interpretazioni-della-direttiva-ue-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p>Questo documento registra come EthicsPortal interpreta le disposizioni della Direttiva (UE) 2019/1937 che ammettono più di una lettura ragionevole. È redatto per responsabili della compliance, responsabili della protezione dei dati e consulenti legali che devono assumere decisioni operative difendibili in assenza di indicazioni interpretative autorevoli da parte della Commissione europea o della Corte di giustizia.</p> <p>È un documento in continua evoluzione. Laddove la Corte di giustizia, il Comitato europeo per la protezione dei dati o un’autorità nazionale competente emetta un’interpretazione vincolante difforme dalle posizioni seguenti, questo documento viene rivisto e la posizione precedente è conservata nel registro delle revisioni.</p> <p>Per la mappa funzione-requisito — quale funzionalità di EthicsPortal soddisfa ciascuna disposizione della Direttiva — vedi la <a href="/directive-coverage/">mappa di copertura della Direttiva (UE) 2019/1937</a> . I due documenti sono complementari: la mappa di copertura documenta ciò che il prodotto fa; questo documento documenta come leggiamo la legge.</p> <p>Ultimo aggiornamento: aprile 2026.</p> <hr> <h2 id="1-ambito-e-fonti"> §1. Ambito e fonti <a href="#1-ambito-e-fonti" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>La presente metodologia riguarda la Direttiva (UE) 2019/1937 come recepita nell’ordinamento nazionale dei 27 Stati membri dell’UE. Laddove il recepimento nazionale sia più rigoroso della Direttiva, la regola nazionale prevale per le organizzazioni che operano in quella giurisdizione (vedi §9).</p> <p>Fonti autorevoli, in ordine di precedenza:</p> <ol> <li><strong>Il testo stesso della Direttiva</strong> — Direttiva (UE) 2019/1937 del 23 ottobre 2019, inclusi i suoi considerando.</li> <li><strong>Le leggi nazionali di recepimento</strong> — vincolanti all’interno di ciascuno Stato membro. Vedi la <a href="/whistleblower-laws/">normativa sul whistleblowing per Paese</a> per i nomi specifici delle leggi e le autorità competenti.</li> <li><strong>Le pronunce della Corte di giustizia dell’Unione europea</strong> — vincolanti in tutta l’Unione.</li> <li><strong>Le indicazioni del Comitato europeo per la protezione dei dati</strong> — per gli aspetti di protezione dei dati (articolo 17, sovrapposizione con il GDPR).</li> <li><strong>Le indicazioni delle autorità nazionali competenti</strong> — persuasive all’interno dello Stato che le emette.</li> </ol> <p>Questo documento è una metodologia operativa. Non costituisce consulenza legale. Le organizzazioni dovrebbero validare le interpretazioni con un consulente legale competente nella propria giurisdizione prima di farvi affidamento in sede di audit o di contenzioso.</p> <hr> <h2 id="2-convenzioni"> §2. Convenzioni <a href="#2-convenzioni" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p><strong>La Direttiva prevede</strong> introduce un’affermazione di ciò che il testo della Direttiva richiede.</p> <p><strong>In pratica, ciò significa</strong> introduce l’interpretazione di EthicsPortal laddove il testo consenta più di una lettura.</p> <p><strong>EthicsPortal lo realizza</strong> introduce il modo in cui l’interpretazione si manifesta nel prodotto. Gli operatori che scelgono un’interpretazione diversa potrebbero dover adeguare di conseguenza la configurazione o le procedure.</p> <p>Tutti i riferimenti agli articoli si riferiscono alla Direttiva (UE) 2019/1937 salvo diversa indicazione.</p> <hr> <h2 id="3-la-soglia-dei-50-lavoratori-art-8"> §3. La soglia dei 50 lavoratori (art. 8) <a href="#3-la-soglia-dei-50-lavoratori-art-8" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p><strong>La questione.</strong> L’articolo 8, paragrafo 3, impone agli enti con “50 o più lavoratori” di istituire canali di segnalazione interni. La Direttiva non definisce come si calcola il numero di lavoratori, come contano i lavoratori a tempo parziale e temporanei, né se la soglia si applichi per singola persona giuridica o per gruppo societario.</p> <p><strong>La Direttiva prevede</strong> che “i soggetti giuridici nel settore privato con 50 o più lavoratori” debbano conformarsi (art. 8, par. 3). Il considerando 48 chiarisce che la soglia è calcolata “conformemente al diritto nazionale che recepisce il pertinente diritto dell’Unione”.</p> <p><strong>In pratica, ciò significa</strong> che il calcolo segue le regole esistenti di ciascuno Stato membro per il computo della forza lavoro ai fini lavoristici e previdenziali. Tali regole variano:</p> <ul> <li><strong>Germania</strong> (HinSchG §12): numero di persone basato sui dipendenti abitualmente occupati, contati per singola persona giuridica.</li> <li><strong>Francia</strong> (Loi Waserman, art. 8): 50 lavoratori calcolati come numero medio mensile nei 12 mesi precedenti.</li> <li><strong>Italia</strong> (D.Lgs. 24/2023): occupazione media nell’anno precedente.</li> <li><strong>Spagna</strong> (Ley 2/2023): 50 lavoratori per ente, con canali a livello di gruppo consentiti a determinate condizioni.</li> </ul> <p><strong>La soglia è calcolata per singola persona giuridica</strong>, non per gruppo societario. Una capogruppo e una controllata sono enti distinti ai fini dell’articolo 8 salvo che il diritto nazionale disponga diversamente. L’articolo 8, paragrafo 6, consente la condivisione di risorse all’interno di un gruppo fino a 249 lavoratori — ma l’obbligo di istituire un canale resta comunque attivato per ciascun ente al di sopra della soglia dei 50 lavoratori.</p> <p><strong>Collaboratori, lavoratori somministrati e tirocinanti</strong> generalmente contano ai fini della soglia quando rientrano nella definizione nazionale di “lavoratore” — che è più ampia di “dipendente” ai sensi del diritto UE. La Corte di giustizia ha costantemente ritenuto che la nozione di “lavoratore” propria del diritto UE includa qualsiasi persona che fornisca prestazioni per conto e sotto la direzione di un’altra in cambio di una retribuzione (vedi <em>Lawrie-Blum</em>, C-66/85).</p> <p><strong>EthicsPortal lo realizza</strong> non limitando l’accesso in base al numero di lavoratori. Qualsiasi organizzazione può attivare un portale indipendentemente dalle dimensioni. Le organizzazioni al di sotto della soglia dei 50 lavoratori gestiscono frequentemente portali su base volontaria — per la gestione del rischio, perché il diritto nazionale applica una soglia inferiore al loro settore (ad es. i servizi finanziari) o perché la politica di gruppo lo impone.</p> <hr> <h2 id="4-il-termine-per-lavviso-di-ricevimento-art-9-par-1-lett-b"> §4. Il termine per l’avviso di ricevimento (art. 9, par. 1, lett. b)) <a href="#4-il-termine-per-lavviso-di-ricevimento-art-9-par-1-lett-b" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p><strong>La questione.</strong> L’articolo 9, paragrafo 1, lettera b), impone l’avviso di ricevimento “entro sette giorni dal ricevimento”. La Direttiva non specifica se si tratti di giorni di calendario o lavorativi, né quando inizi a decorrere il termine per le segnalazioni ricevute al di fuori dell’orario lavorativo.</p> <p><strong>La Direttiva prevede</strong> l’avviso di ricevimento “entro sette giorni dal ricevimento”. Non viene fornita alcuna ulteriore precisazione.</p> <p><strong>In pratica, ciò significa</strong> sette giorni di <strong>calendario</strong>, contati dal momento in cui la segnalazione entra nel canale. Ciò segue il principio generale per cui i termini del diritto dell’Unione decorrono in giorni di calendario salvo espressa diversa indicazione (Regolamento (CEE, Euratom) n. 1182/71, art. 3). Gli Stati membri che hanno recepito la Direttiva hanno costantemente trattato il termine di sette giorni come giorni di calendario (HinSchG §17(1)2; D.Lgs. 24/2023 art. 5, par. 1, lett. d); Loi Waserman art. 8).</p> <p>Una segnalazione inviata alle 23:59 di una domenica è una segnalazione ricevuta quella domenica. Il termine di sette giorni inizia a decorrere dal giorno successivo (giorno 1 = lunedì) e scade alla fine del settimo giorno. Ciò segue l’articolo 3, paragrafo 1, del Regolamento 1182/71, secondo cui, quando un periodo è espresso in giorni, il giorno dell’evento che lo fa decorrere non si computa.</p> <p><strong>L’avviso di ricevimento non equivale al riscontro sostanziale.</strong> L’avviso di ricevimento è una conferma che la segnalazione è stata ricevuta e registrata. Non deve contenere alcuna valutazione del merito della segnalazione, né il nome della persona che la gestisce.</p> <p><strong>EthicsPortal lo realizza</strong> inviando un avviso di ricevimento automatico al segnalante al momento dell’invio, visualizzato sul portale e (ove siano forniti dati di contatto) via email. L’avviso di ricevimento include il riferimento del caso e il termine legale di tre mesi per il riscontro. Le organizzazioni configurate per l’avviso di ricevimento manuale ricevono avvisi di scadenza 48 ore prima del termine di sette giorni e nel giorno della scadenza.</p> <hr> <h2 id="5-il-termine-per-il-riscontro-art-9-par-1-lett-f"> §5. Il termine per il riscontro (art. 9, par. 1, lett. f)) <a href="#5-il-termine-per-il-riscontro-art-9-par-1-lett-f" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p><strong>La questione.</strong> L’articolo 9, paragrafo 1, lettera f), impone un riscontro “entro un termine ragionevole non superiore a tre mesi dall’avviso di ricevimento o, in mancanza di un avviso di ricevimento inviato alla persona segnalante, tre mesi dalla scadenza del periodo di sette giorni dalla presentazione della segnalazione”. La Direttiva non definisce cosa si qualifichi come “riscontro”.</p> <p><strong>La Direttiva prevede</strong> che per “riscontro” si intenda “comunicazione alla persona segnalante di informazioni sull’azione prevista o adottata come seguito alla sua segnalazione e sui motivi di tale seguito” (art. 5, punto 13)).</p> <p><strong>In pratica, ciò significa</strong> che il riscontro è sostanziale. Un ulteriore avviso di ricevimento o una dichiarazione che la segnalazione è “in fase di esame” non costituisce un riscontro ai fini dell’articolo 9, paragrafo 1, lettera f). Il segnalante ha diritto di sapere, entro il termine di tre mesi, quale azione l’organizzazione intende adottare (o ha adottato) e le ragioni sottostanti.</p> <p>Il riscontro non deve essere una determinazione definitiva. Un’organizzazione può dichiarare che la questione è ancora in istruttoria, purché indichi anche ciò che è stato fatto finora, quali ulteriori passi sono previsti e quando ci si può attendere un ulteriore aggiornamento. Ciò che è richiesto sono informazioni sufficienti affinché il segnalante possa valutare se l’organizzazione stia gestendo la segnalazione con serietà.</p> <p><strong>Il termine di tre mesi decorre dalla data dell’avviso di ricevimento</strong>, non dalla data di invio della segnalazione. Laddove l’avviso di ricevimento sia ritardato, la finestra per il riscontro si accorcia di conseguenza — la data ultima ammissibile per il riscontro è tre mesi e sette giorni dopo la presentazione della segnalazione.</p> <p><strong>EthicsPortal lo realizza</strong> monitorando entrambi i termini (avviso di ricevimento a 7 giorni, riscontro a 3 mesi) per ogni caso e mostrando avvisi di ritardo a tutti gli amministratori dell’organizzazione. Il riscontro al segnalante è recapitato tramite il canale di messaggistica bidirezionale del portale, che preserva l’anonimato del segnalante laddove questi non abbia rivelato la propria identità.</p> <hr> <h2 id="6-seguito-diligente-art-9-par-1-lett-d"> §6. Seguito diligente (art. 9, par. 1, lett. d)) <a href="#6-seguito-diligente-art-9-par-1-lett-d" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p><strong>La questione.</strong> L’articolo 9, paragrafo 1, lettera d), impone un “seguito diligente da parte della persona o dell’ufficio designati di cui alla lettera c)”. “Diligente” non è definito.</p> <p><strong>La Direttiva prevede</strong> che per seguito si intenda “ogni azione intrapresa dal destinatario di una segnalazione o da qualsiasi autorità competente per valutare la sussistenza dei fatti segnalati e, se del caso, per affrontare la violazione segnalata” (art. 5, punto 12)).</p> <p><strong>In pratica, ciò significa</strong> che il seguito diligente ha tre componenti operative minime:</p> <ol> <li><strong>Valutazione.</strong> Una valutazione documentata sul fatto che le accuse, se vere, costituirebbero una violazione rientrante nell’ambito materiale della Direttiva (art. 2) o del recepimento nazionale.</li> <li><strong>Istruttoria proporzionata all’accusa.</strong> Passi istruttori commisurati alla gravità della presunta violazione, alla solidità delle prove e al potenziale danno. Non ogni segnalazione richiede un’istruttoria completa; una segnalazione priva di qualsiasi dettaglio concreto può essere valutata e chiusa con una motivazione documentata. Una segnalazione con dettagli specifici e corroborati ne richiede di più.</li> <li><strong>Registrazione contestuale.</strong> Le azioni intraprese, le decisioni assunte e le relative motivazioni devono essere registrate nel momento in cui avvengono. Un seguito diligente che non lascia traccia è indistinguibile dall’assenza totale di seguito.</li> </ol> <p>“Diligente” è uno standard oggettivo. Non è soddisfatto dalla sola buona fede soggettiva. Un’organizzazione che chiude abitualmente le segnalazioni senza valutazione, o che impiega mesi ad aprire un fascicolo, non è diligente anche se ritiene di esserlo.</p> <p><strong>EthicsPortal lo realizza</strong> fornendo un flusso di lavoro di gestione dei casi con transizioni di stato (ricevuto, con avviso di ricevimento, in istruttoria, chiuso), note interne per la collaborazione tra gestori e un registro delle attività in sola aggiunta che registra ogni azione con marca temporale e attore. Il registro delle attività è la prova primaria della diligenza in sede di audit o di verifica delle autorità.</p> <hr> <h2 id="7-riservatezza-dellidentità-art-16"> §7. Riservatezza dell’identità (art. 16) <a href="#7-riservatezza-dellidentit%c3%a0-art-16" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p><strong>La questione.</strong> L’articolo 16, paragrafo 1, impone che l’identità della persona segnalante non sia divulgata a nessuno al di là dei membri del personale autorizzati. La Direttiva non specifica se “identità” si estenda ai metadati che potrebbero identificare il segnalante (indirizzi IP, fingerprint del browser, metadati di paternità dei file, pattern di marche temporali).</p> <p><strong>La Direttiva prevede</strong> che “l’identità della persona segnalante non sia divulgata, senza il suo consenso esplicito, a persone diverse dai membri del personale autorizzati competenti a ricevere o dare seguito alle segnalazioni” (art. 16, par. 1).</p> <p><strong>In pratica, ciò significa</strong> che “identità” è letta in chiave funzionale: include qualsiasi informazione che, da sola o in combinazione, consenta l’identificazione del segnalante. Questa lettura è in linea con la definizione di dato personale del GDPR (Regolamento (UE) 2016/679, art. 4, punto 1)) e con la posizione costante del Comitato europeo per la protezione dei dati secondo cui l’identificabilità dipende dal contesto.</p> <p>Le seguenti informazioni sono trattate come informazioni identificative:</p> <ul> <li>Il nome del segnalante, i suoi dati di contatto e qualsiasi informazione che fornisce su di sé.</li> <li>L’<strong>indirizzo IP</strong> da cui è stata inviata la segnalazione.</li> <li>I <strong>metadati dei file</strong> incorporati nei documenti caricati (nome dell’autore, coordinate GPS nelle foto, identificatori dei dispositivi, cronologia delle revisioni nei documenti d’ufficio).</li> <li>Pattern di marche temporali o di accesso che potrebbero identificare univocamente una persona (ad es. una segnalazione inviata a un orario in cui plausibilmente solo un dipendente avrebbe potuto inviarla).</li> </ul> <p>Le organizzazioni che conservano gli indirizzi IP dei segnalanti, o che accettano file caricati senza rimuovere i metadati, sono esposte a una violazione della riservatezza che è tecnicamente una violazione dell’articolo 16 anche se il nome del segnalante non viene mai divulgato.</p> <p><strong>EthicsPortal lo realizza</strong> non memorizzando mai gli indirizzi IP dei segnalanti (la limitazione delle richieste utilizza hash unidirezionali irreversibili), rimuovendo i metadati EXIF e dei documenti da tutti i file caricati prima dell’archiviazione e crittografando i campi dell’identità del segnalante a riposo con crittografia non deterministica (così che nemmeno il pieno accesso al database consenta una ricerca massiva per nome).</p> <hr> <h2 id="8-periodo-di-conservazione-art-18"> §8. Periodo di conservazione (art. 18) <a href="#8-periodo-di-conservazione-art-18" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p><strong>La questione.</strong> L’articolo 18, paragrafo 1, impone che i registri delle segnalazioni siano conservati “per un periodo non superiore a quanto necessario e proporzionato per conformarsi alle prescrizioni imposte dalla presente direttiva o ad altre prescrizioni imposte dal diritto dell’Unione o nazionale”. La Direttiva non specifica un periodo massimo.</p> <p><strong>La Direttiva prevede</strong> uno standard “necessario e proporzionato”, ancorato alle finalità di conformità.</p> <p><strong>In pratica, ciò significa</strong> che la conservazione deve essere giustificata con riferimento a una finalità giuridica o operativa concreta, limitata nel tempo e documentata nei registri di protezione dei dati dell’organizzazione (art. 30 GDPR). In assenza di un’indagine in corso, di un contenzioso o di una specifica prescrizione di legge, la conservazione oltre la chiusura del caso diventa progressivamente più difficile da giustificare.</p> <p>Giustificazioni comuni e le loro durate tipiche:</p> <table> <thead> <tr> <th>Finalità</th> <th>Conservazione tipica</th> </tr> </thead> <tbody> <tr> <td>Caso attivo (dal ricevimento alla chiusura)</td> <td>Durata del caso</td> </tr> <tr> <td>Successiva indagine o contenzioso</td> <td>Fino alla risoluzione definitiva</td> </tr> <tr> <td>Registro delle attività per audit regolamentari</td> <td>Periodo stabilito dalla regolamentazione di settore (comunemente 5 anni per i servizi finanziari)</td> </tr> <tr> <td>Protezione contro le pretese per ritorsioni (art. 21)</td> <td>Termine di prescrizione nazionale per le controversie di lavoro (tipicamente 2-5 anni)</td> </tr> <tr> <td>Reportistica statistica ai sensi dell’art. 27, par. 2</td> <td>Solo dati anonimizzati; i dati personali devono essere minimizzati o eliminati</td> </tr> </tbody> </table> <p>Il recepimento nazionale può fissare periodi specifici. Esempi:</p> <ul> <li><strong>Germania</strong> (HinSchG §11(5)): documentazione eliminata tre anni dopo la chiusura della procedura, più a lungo solo ove richiesto da altre leggi.</li> <li><strong>Francia</strong> (indicazioni della CNIL sulla Loi Waserman): periodi di conservazione calibrati per tipo di caso, con i casi ordinari eliminati entro due mesi dalla chiusura se non viene dato alcun seguito.</li> <li><strong>Italia</strong> (D.Lgs. 24/2023 art. 14): cinque anni dalla chiusura della segnalazione, fatta salva la minimizzazione del GDPR.</li> </ul> <p>Un periodo di conservazione generalizzato scelto per comodità (“conserviamo tutto per 10 anni”) non è conforme né all’articolo 18 né all’articolo 5, paragrafo 1, lettera e), del GDPR. La conservazione deve essere legata alla finalità.</p> <p><strong>EthicsPortal lo realizza</strong> fornendo periodi di conservazione configurabili (12, 24, 36, 60 mesi) con eliminazione automatica delle segnalazioni chiuse al termine del periodo configurato. L’impostazione predefinita è il periodo più breve che soddisfa i requisiti di recepimento nazionale più comuni. Gli operatori dei settori con obblighi di conservazione di legge più lunghi configurano il periodo di conseguenza.</p> <hr> <h2 id="9-base-giuridica-del-trattamento-interazione-con-il-gdpr"> §9. Base giuridica del trattamento (interazione con il GDPR) <a href="#9-base-giuridica-del-trattamento-interazione-con-il-gdpr" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p><strong>La questione.</strong> L’articolo 17 della Direttiva impone che il trattamento dei dati personali sia conforme al GDPR. La Direttiva di per sé non è una base giuridica ai sensi dell’articolo 6 del GDPR — un titolare del trattamento deve individuare quale base specifica si applichi.</p> <p><strong>La Direttiva prevede</strong> che il trattamento “sia effettuato a norma del regolamento (UE) 2016/679” (art. 17).</p> <p><strong>In pratica, ciò significa</strong> che la base giuridica è l’<strong>articolo 6, paragrafo 1, lettera c), del GDPR — obbligo legale</strong>, laddove l’organizzazione sia soggetta a un obbligo legale di istituire e gestire un canale di segnalazione. Per le organizzazioni al di sopra della soglia dei 50 lavoratori (o al di sotto di essa laddove una legge settoriale imponga l’obbligo), l’articolo 6, paragrafo 1, lettera c), è la base corretta e sufficiente. Non è richiesto alcun consenso del segnalante, e nessuno dovrebbe essere richiesto — trattare il trattamento come basato sul consenso sarebbe fuorviante e creerebbe un teorico diritto di revoca che il titolare del trattamento non può onorare.</p> <p>Per le organizzazioni che gestiscono un canale di segnalazione su base <strong>volontaria</strong> (al di sotto della soglia dei 50 lavoratori e non soggette a un mandato settoriale), la base giuridica è l’<strong>articolo 6, paragrafo 1, lettera f) — interesse legittimo</strong>, subordinata a un test di bilanciamento documentato. L’interesse legittimo a prevenire e individuare condotte illecite all’interno dell’organizzazione è ben consolidato ed è stato riconosciuto nelle indicazioni nazionali di tutti gli Stati membri.</p> <p>Categorie particolari di dati personali (art. 9 GDPR) possono comparire incidentalmente nelle segnalazioni — una segnalazione di discriminazione può rivelare informazioni sulla salute o l’origine etnica. La base giuridica per i dati di cui all’articolo 9 è tipicamente l’articolo 9, paragrafo 2, lettera g) — interesse pubblico rilevante, purché il trattamento sia proporzionato e accompagnato da garanzie specifiche. Le segnalazioni che rivelano reati (art. 10 GDPR) sono trattate sulla base corrispondente di cui all’articolo 10 nel diritto nazionale.</p> <p><strong>EthicsPortal lo realizza</strong> documentando l’articolo 6, paragrafo 1, lettera c), come base giuridica predefinita nell’accordo sul trattamento dei dati e nell’informativa sulla privacy. Gli operatori al di sotto della soglia di legge adeguano l’informativa sulla privacy per riflettere l’articolo 6, paragrafo 1, lettera f), e registrano separatamente il proprio test di bilanciamento.</p> <hr> <h2 id="10-prevalenza-del-diritto-nazionale-art-25"> §10. Prevalenza del diritto nazionale (art. 25) <a href="#10-prevalenza-del-diritto-nazionale-art-25" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p><strong>La questione.</strong> L’articolo 25, paragrafo 1, prevede che gli Stati membri possano introdurre o mantenere disposizioni “più favorevoli ai diritti delle persone segnalanti” rispetto a quelle stabilite dalla Direttiva. La Direttiva non affronta il modo in cui gli operatori dovrebbero risolvere i conflitti quando il diritto nazionale è più rigoroso.</p> <p><strong>La Direttiva prevede</strong> all’articolo 25, paragrafo 1, che “gli Stati membri possono introdurre o mantenere disposizioni più favorevoli ai diritti delle persone segnalanti rispetto a quelle stabilite dalla presente direttiva, fatti salvi l’articolo 22 [tutela delle persone coinvolte] e l’articolo 23, paragrafo 2 [sanzioni per segnalazioni consapevolmente false]”.</p> <p><strong>In pratica, ciò significa</strong> che, laddove il recepimento nazionale sia più rigoroso della Direttiva, <strong>il diritto nazionale prevale</strong> per le organizzazioni che operano in quella giurisdizione. Non vi è alcuna possibilità di fare affidamento sul minimo della Direttiva laddove la regola locale sia più rigorosa. La Direttiva fissa una soglia minima, non un massimale.</p> <p>Esempi pratici di regole nazionali più rigorose:</p> <ul> <li><strong>La Francia</strong> impone l’avviso di ricevimento delle segnalazioni esterne entro sette giorni lavorativi e un termine di riscontro che, per determinati settori, può essere inferiore al minimo della Direttiva (AMF, ACPR).</li> <li><strong>La Germania</strong> estende espressamente la protezione alle segnalazioni relative a determinate categorie di violazioni di legge oltre l’ambito materiale della Direttiva (HinSchG §2).</li> <li><strong>L’Italia</strong> impone una soglia di lavoratori inferiore (50, ma con settori specifici a qualsiasi numero di dipendenti per determinati enti) e formalità documentali specifiche.</li> <li><strong>La Polonia</strong> impone requisiti specifici sulla forma della policy del canale di segnalazione che non figurano nel testo della Direttiva.</li> </ul> <p><strong>Per gli operatori multi-Paese</strong>, la regola operativa è: in ciascuna giurisdizione, applicare la più rigorosa tra (Direttiva, diritto nazionale). Ciò talvolta significa che una policy di gruppo fissa uno standard elevato uniforme corrispondente alla regola nazionale più rigorosa tra i Paesi di attività. Ciò è generalmente preferibile al mantenimento di policy parallele per giurisdizione, che aumenta l’onere amministrativo e il rischio di applicare la regola sbagliata.</p> <p><strong>EthicsPortal lo realizza</strong> adottando come impostazione predefinita il minimo comune denominatore più rigoroso tra i 27 Stati membri: le finestre più brevi per l’avviso di ricevimento e il riscontro, il periodo di conservazione più ristretto, l’avviso anti-ritorsioni più completo. Gli operatori in un’unica giurisdizione possono allentare specifiche impostazioni predefinite per allinearsi alle regole nazionali, ma la base è calibrata al di sopra del minimo della Direttiva in ogni articolo in cui le leggi nazionali di recepimento lo superano.</p> <hr> <h2 id="11-segnalazione-anonima-art-6-par-2-art-9-par-1-lett-e"> §11. Segnalazione anonima (art. 6, par. 2, art. 9, par. 1, lett. e)) <a href="#11-segnalazione-anonima-art-6-par-2-art-9-par-1-lett-e" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p><strong>La questione.</strong> Un’organizzazione deve accettare le segnalazioni anonime?</p> <p><strong>La Direttiva prevede</strong> all’articolo 6, paragrafo 2, che essa “non pregiudica il potere degli Stati membri di decidere se i soggetti giuridici […] siano tenuti ad accettare e dare seguito alle segnalazioni anonime”. L’articolo 9, paragrafo 1, lettera e), impone un “seguito diligente, ove previsto dal diritto nazionale, riguardo alle segnalazioni anonime”.</p> <p><strong>In pratica, ciò significa</strong> che decide il diritto nazionale. Due posizioni:</p> <ul> <li><strong>Richiesta</strong> in alcune giurisdizioni o settori (ad es. la regolamentazione francese dei servizi finanziari).</li> <li><strong>Consentita</strong> nella maggior parte degli Stati membri — Germania (HinSchG), Italia (D.Lgs. 24/2023, con seguito diligente obbligatorio una volta accettata una segnalazione), Polonia (Ustawa o ochronie sygnalistów) e altri.</li> </ul> <p>Tre conseguenze.</p> <p><strong>Una volta accettata, vincolante.</strong> Un’organizzazione che pubblica “accettiamo segnalazioni anonime” ha attivato l’articolo 9, paragrafo 1, lettera e). L’obbligo si lega alla policy, non alla singola segnalazione.</p> <p><strong>Il divieto di ritorsioni si applica solo dall’identificazione.</strong> L’articolo 21 non può proteggere una persona sconosciuta. Le azioni intraprese durante il periodo anonimo non sono coperte retroattivamente.</p> <p><strong>L’anonimato è uno standard tecnico, non una promessa.</strong> Un modulo che raccoglie un’email non è anonimo. Un canale che registra gli indirizzi IP non è anonimo. La riservatezza di cui all’articolo 16 protegge un’identità nota dalla divulgazione; l’anonimato impedisce l’identificazione.</p> <p><strong>EthicsPortal lo realizza</strong> accettando le segnalazioni anonime per impostazione predefinita. Non sono richiesti dati di contatto. Gli indirizzi IP non vengono mai memorizzati (la limitazione delle richieste utilizza hash unidirezionali irreversibili). I metadati dei file vengono rimossi prima dell’archiviazione. Gli operatori possono configurare il portale in modo da richiedere i dati di contatto laddove il diritto nazionale imponga segnalazioni identificate. Le segnalazioni anonime accettate seguono lo stesso flusso di lavoro dei casi, gli stessi termini e lo stesso standard di seguito diligente di quelle identificate.</p> <hr> <h2 id="registro-delle-revisioni"> Registro delle revisioni <a href="#registro-delle-revisioni" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li><strong>Aprile 2026</strong> — aggiunto il §11 sulla segnalazione anonima (art. 6, par. 2, art. 9, par. 1, lett. e)).</li> <li><strong>Aprile 2026</strong> — prima pubblicazione.</li> </ul> <hr> <h2 id="correzioni-e-richieste"> Correzioni e richieste <a href="#correzioni-e-richieste" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Questo documento è inteso per essere citato e per esservi fatto affidamento. Se individui un errore, una posizione in conflitto con una pronuncia della Corte di giustizia, un parere del Comitato europeo per la protezione dei dati o indicazioni nazionali vincolanti, contatta <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> . Le correzioni sono pubblicate nel registro delle revisioni con data e sintesi della modifica.</p> <p>Per domande su come una specifica interpretazione si applichi alle circostanze della tua organizzazione, questo documento non sostituisce la consulenza legale. Contatta un consulente legale competente nella tua giurisdizione.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/directive-coverage/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/directive-coverage/Mappa articolo per articolo di come EthicsPortal soddisfa ogni requisito della Direttiva (UE) 2019/1937 e del GDPR per la protezione dei segnalanti.<h1 id="mappa-di-copertura-della-direttiva-ue-20191937"> Mappa di copertura della Direttiva (UE) 2019/1937 <a href="#mappa-di-copertura-della-direttiva-ue-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p>EthicsPortal è progettato per mantenere la tua organizzazione conforme alla Direttiva (UE) 2019/1937, al suo recepimento nazionale nel tuo Paese e al GDPR. Ogni funzione corrisponde direttamente a un requisito giuridico.</p> <p>Questa pagina è la mappa funzione-requisito: ogni articolo della Direttiva è abbinato alla specifica funzionalità di EthicsPortal che lo soddisfa. Per il modo in cui EthicsPortal interpreta le disposizioni ambigue di tali articoli — la soglia dei 50 lavoratori, cosa si intende per “seguito diligente”, le giustificazioni della conservazione, la base giuridica del GDPR, la prevalenza del diritto nazionale — vedi le <a href="/directive-interpretations/">interpretazioni</a> separate.</p> <p>Tutti i 27 Stati membri dell’UE hanno recepito la Direttiva nel proprio ordinamento nazionale. La tua organizzazione deve conformarsi alla legge nazionale del proprio Paese di attività — consulta la nostra raccolta <a href="/whistleblower-laws/">normativa sul whistleblowing per Paese</a> per i nomi specifici delle leggi, le sanzioni e le autorità competenti. Tra le principali leggi nazionali figurano la <a href="/whistleblower-laws/france/">Loi Waserman</a> (Francia), l’<a href="/whistleblower-laws/germany/">HinSchG</a> (Germania), il <a href="/whistleblower-laws/italy/">D.Lgs. 24/2023</a> (Italia), la <a href="/whistleblower-laws/spain/">Ley 2/2023</a> (Spagna) e la <a href="/whistleblower-laws/poland/">Legge del 14 giugno 2024</a> (Polonia).</p> <p>Ultimo aggiornamento: 2026-05-17.</p> <hr> <h2 id="1-canali-di-segnalazione-art-8"> §1. Canali di segnalazione (art. 8) <a href="#1-canali-di-segnalazione-art-8" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Le organizzazioni con 50 o più dipendenti devono istituire canali di segnalazione interni sicuri.</p> <table> <thead> <tr> <th>Requisito</th> <th>Come lo gestisce EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Canale sicuro per la segnalazione</td> <td>Portale web crittografato con URL univoco per organizzazione</td> </tr> <tr> <td>Riservatezza dell’identità del segnalante</td> <td>Crittografia end-to-end di tutti i dati personali, nessuna registrazione degli indirizzi IP, rimozione automatica dei metadati dai file caricati</td> </tr> <tr> <td>Accessibile a tutti i lavoratori</td> <td>Il portale web funziona su qualsiasi dispositivo, senza installazione di app o account</td> </tr> <tr> <td>Personalizzabile per l’organizzazione</td> <td>Categorie, logo e messaggio di benvenuto configurabili</td> </tr> </tbody> </table> <hr> <h2 id="2-procedure-di-segnalazione-art-9"> §2. Procedure di segnalazione (art. 9) <a href="#2-procedure-di-segnalazione-art-9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <table> <thead> <tr> <th>Requisito</th> <th>Articolo</th> <th>Come lo gestisce EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Designare una persona o un ufficio imparziale</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(c)</a> </td> <td>Sistema di assegnazione dei casi con accesso basato sui ruoli — solo i gestori autorizzati vedono le segnalazioni</td> </tr> <tr> <td>Dare avviso di ricevimento entro 7 giorni</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(b)</a> </td> <td>Monitoraggio automatico dei termini con notifiche via email ai gestori all’avvicinarsi o al superamento del termine di 7 giorni</td> </tr> <tr> <td>Seguito diligente da parte della persona designata</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(d)</a> </td> <td>Gestione dei casi con flusso di stato (ricevuto, con avviso di ricevimento, in istruttoria, chiuso), note interne per la collaborazione tra gestori e registro delle attività completo</td> </tr> <tr> <td>Fornire un riscontro entro tre mesi</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(f)</a> </td> <td>Monitoraggio automatico del termine di 3 mesi con avvisi di ritardo a tutti gli amministratori dell’organizzazione. I segnalanti vedono la sequenza temporale sul portale e possono controllare lo stato in qualsiasi momento utilizzando l’ID del caso e il codice di accesso</td> </tr> <tr> <td>Consentire la segnalazione orale (telefono, messaggio vocale o incontro di persona su richiesta)</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(2)</a> </td> <td>Numero di telefono configurabile visualizzato sul portale; i gestori possono registrare direttamente nel sistema le segnalazioni telefoniche, di persona e per lettera</td> </tr> <tr> <td>Informare sulle opzioni di segnalazione esterna</td> <td><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 9(1)(g)</a> </td> <td>Il portale visualizza informazioni sul diritto del segnalante di contattare le autorità nazionali competenti, citando la Direttiva (UE) 2019/1937</td> </tr> </tbody> </table> <hr> <h2 id="3-ambito-di-protezione-art-4"> §3. Ambito di protezione (art. 4) <a href="#3-ambito-di-protezione-art-4" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>La direttiva tutela non solo i dipendenti, ma anche collaboratori, fornitori, azionisti e altri terzi.</p> <p>EthicsPortal visualizza sul portale indicazioni chiare sul fatto che la segnalazione è aperta a dipendenti, collaboratori, fornitori e qualsiasi altro terzo.</p> <p>Il modulo di acquisizione chiede inoltre al segnalante — facoltativamente — il suo rapporto con l’organizzazione (dipendente attuale o ex, collaboratore, fornitore, candidato, azionista o altro), rispecchiando le categorie di ambito personale dell’art. 4, così che i gestori possano confermare che la protezione si applica. La domanda è ignorabile, così l’anonimato non è mai condizionato dalla sua risposta.</p> <hr> <h2 id="4-divieto-di-ritorsioni-artt-6-19-21"> §4. Divieto di ritorsioni (artt. 6, 19-21) <a href="#4-divieto-di-ritorsioni-artt-6-19-21" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>I segnalanti devono essere informati che le ritorsioni sono vietate dalla legge.</p> <p>EthicsPortal visualizza un avviso anti-ritorsioni su ogni pagina del portale, citando la Direttiva (UE) 2019/1937, prima dell’invio della segnalazione.</p> <p>Il modulo di acquisizione consente inoltre al segnalante di indicare, facoltativamente, se teme o già subisce ritorsioni. Quando impostato, la segnalazione riporta un’evidente etichetta di urgenza nella vista del gestore, così che un caso che richiede una protezione rafforzata sia visibile a colpo d’occhio.</p> <hr> <h2 id="5-riservatezza-dellidentità-art-16"> §5. Riservatezza dell’identità (art. 16) <a href="#5-riservatezza-dellidentit%c3%a0-art-16" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <table> <thead> <tr> <th>Requisito</th> <th>Come lo gestisce EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Identità non divulgata oltre il personale autorizzato</td> <td>Controllo di accesso basato sui ruoli — solo gli amministratori, l’assegnatario principale e i partecipanti aggiunti esplicitamente (ad es. legale, risorse umane) possono visualizzare una segnalazione. I gestori non amministratori vedono solo i casi a cui sono assegnati o aggiunti come partecipanti</td> </tr> <tr> <td>Anonimato del gestore nei confronti del segnalante</td> <td>I segnalanti vedono “Gestore del caso” nei messaggi, mai il nome reale o l’email del gestore</td> </tr> <tr> <td>Dati sensibili crittografati</td> <td>Nomi dei segnalanti, dati di contatto, descrizioni delle segnalazioni e corpo dei messaggi sono crittografati a riposo con crittografia non deterministica</td> </tr> </tbody> </table> <p><strong>Nessun trattamento del contenuto delle segnalazioni tramite IA.</strong> La riservatezza ai sensi dell’<a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 16</a> si estende a <em>quali terzi</em> vedono la segnalazione. EthicsPortal non trasmette il contenuto delle segnalazioni, l’identità dei segnalanti o le comunicazioni dei casi ad alcun modello linguistico di grandi dimensioni o servizio di inferenza IA — né per la categorizzazione, né per la sintesi, né per la traduzione. Nessun fornitore di IA (OpenAI, Anthropic, Google, Mistral o altro) è sub-responsabile del trattamento. Ciò elimina una classe di divulgazione di sub-responsabili del trattamento dal tuo DPA ed elimina le considerazioni relative all’<a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 22</a> (processo decisionale automatizzato) dalla tua DPIA. Vedi l’<a href="/subprocessors/">elenco dei sub-responsabili del trattamento</a> per la voce corrispondente.</p> <p>Due ulteriori ragioni per cui si tratta di una scelta di livello “riservatezza”, non di una preferenza di funzionalità:</p> <ul> <li><strong>Nessuna allucinazione nella catena delle evidenze di conformità.</strong> I modelli linguistici di grandi dimensioni producono output probabilistici. Una sintesi che afferma “questa segnalazione non sembra urgente” è una probabilità, non un fatto, e non può essere riprodotta o verificata. EthicsPortal registra in modo deterministico l’attore, l’azione e la marca temporale — il registro delle attività è un’evidenza, non una congettura.</li> <li><strong>Nessuna superficie di attacco di prompt injection sugli invii dei segnalanti.</strong> L’input del segnalante è per definizione non attendibile. Indirizzarlo a un LLM crea una classe di attacchi in cui istruzioni incorporate nel testo della segnalazione possono manipolare l’output rivolto al gestore (risposte suggerite, sintesi, categorizzazione). EthicsPortal elimina del tutto la superficie non eseguendo inferenza sul contenuto delle segnalazioni.</li> </ul> <hr> <h2 id="6-conservazione-dei-registri-art-18"> §6. Conservazione dei registri (art. 18) <a href="#6-conservazione-dei-registri-art-18" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <table> <thead> <tr> <th>Requisito</th> <th>Come lo gestisce EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Conservare i registri di ogni segnalazione</td> <td>Registro delle attività completo di tutte le azioni: invii, modifiche di stato, messaggi, assegnazioni e visualizzazioni delle segnalazioni</td> </tr> <tr> <td>Registri conservati in modo sicuro</td> <td>Tutti i campi sensibili crittografati a riposo</td> </tr> <tr> <td>Registri recuperabili</td> <td>Esportazione completa del caso in PDF inclusi metadati, thread dei messaggi, elenco degli allegati e registro delle attività. Rapporto di conformità a livello di organizzazione in PDF disponibile per gli organi di verifica — include la checklist della direttiva, le metriche SLA e la sintesi sulla protezione dei dati senza esporre i dati sensibili delle segnalazioni</td> </tr> <tr> <td>Eliminare i registri quando non più necessari</td> <td>Periodo di conservazione dei dati configurabile (12, 24, 36 o 60 mesi) con eliminazione automatica delle segnalazioni chiuse scadute</td> </tr> </tbody> </table> <hr> <h2 id="7-conformità-al-gdpr"> §7. Conformità al GDPR <a href="#7-conformit%c3%a0-al-gdpr" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <table> <thead> <tr> <th>Requisito</th> <th>Articolo</th> <th>Come lo gestisce EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Base giuridica del trattamento</td> <td>Art. 6, par. 1, lett. c)</td> <td>Il trattamento è necessario per adempiere alla Direttiva (UE) 2019/1937</td> </tr> <tr> <td>Informativa sul trattamento dei dati</td> <td>Art. 13/14</td> <td>Informativa sulla privacy visualizzata nel modulo di invio della segnalazione prima dell’invio da parte del segnalante</td> </tr> <tr> <td>Minimizzazione dei dati</td> <td>Art. 5, par. 1, lett. c)</td> <td>Vengono raccolti solo i campi essenziali; il nome e il contatto del segnalante sono facoltativi</td> </tr> <tr> <td>Limitazione della conservazione</td> <td>Art. 5, par. 1, lett. e)</td> <td>Periodo di conservazione configurabile per organizzazione con eliminazione automatica</td> </tr> <tr> <td>Integrità e riservatezza</td> <td>Art. 5, par. 1, lett. f)</td> <td>Crittografia a riposo per tutti i dati sensibili; nessuna registrazione degli indirizzi IP sulle rotte del portale; metadati dei file rimossi automaticamente</td> </tr> <tr> <td>Diritto alla cancellazione</td> <td>Art. 17</td> <td>Eliminazione automatica basata sulla conservazione; eliminazione manuale disponibile per gli amministratori</td> </tr> </tbody> </table> <hr> <h2 id="8-misure-di-sicurezza"> §8. Misure di sicurezza <a href="#8-misure-di-sicurezza" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <table> <thead> <tr> <th>Misura</th> <th>Dettaglio</th> </tr> </thead> <tbody> <tr> <td>Crittografia a riposo</td> <td>Tutte le descrizioni delle segnalazioni, i nomi dei segnalanti, i dati di contatto e il corpo dei messaggi sono crittografati con crittografia non deterministica</td> </tr> <tr> <td>Nessuna registrazione degli IP</td> <td>Gli indirizzi IP dei segnalanti non vengono mai memorizzati — la limitazione delle richieste utilizza hash unidirezionali irreversibili</td> </tr> <tr> <td>Rimozione dei metadati dei file</td> <td>I dati EXIF (coordinate GPS, modello della fotocamera, informazioni sull’autore) vengono rimossi automaticamente dalle immagini caricate prima dell’archiviazione</td> </tr> <tr> <td>Identità anonima del gestore</td> <td>I segnalanti non vedono mai il nome reale del gestore — i messaggi mostrano “Gestore del caso”</td> </tr> <tr> <td>Limitazione delle richieste</td> <td>Gli endpoint del portale pubblico sono soggetti a limitazione delle richieste per prevenire abusi</td> </tr> <tr> <td>Controllo di accesso</td> <td>I permessi basati sui ruoli garantiscono che solo i gestori autorizzati possano visualizzare le segnalazioni; i gestori non amministratori vedono solo i casi a cui sono assegnati o aggiunti come partecipanti</td> </tr> <tr> <td>Registro delle attività</td> <td>Ogni azione è registrata con marca temporale, attore e tipo di azione — in sola aggiunta e sempre disponibile per la verifica delle autorità</td> </tr> </tbody> </table> <hr> <h2 id="9-cosa-deve-ancora-fare-la-tua-organizzazione"> §9. Cosa deve ancora fare la tua organizzazione <a href="#9-cosa-deve-ancora-fare-la-tua-organizzazione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>EthicsPortal gestisce i requisiti tecnici. La tua organizzazione è responsabile di:</p> <ul> <li><strong>Designare un referente per le segnalazioni</strong> — assegnare almeno una persona responsabile della gestione delle segnalazioni</li> <li><strong>Politica interna</strong> — adottare una policy di protezione dei segnalanti e comunicarla ai dipendenti</li> <li><strong>Formazione</strong> — assicurarsi che i gestori designati comprendano gli obblighi di riservatezza</li> <li><strong>Applicazione del divieto di ritorsioni</strong> — assicurarsi che la direzione comprenda che le ritorsioni costituiscono una violazione di legge</li> <li><strong>Consenso alla divulgazione dell’identità</strong> — se l’identità di un segnalante deve essere condivisa oltre i gestori autorizzati (ad es. con le autorità di contrasto), ottenere prima il consenso esplicito del segnalante (<a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 16(2)</a> )</li> <li><strong>Informare i lavoratori</strong> — condividere l’URL del portale con i dipendenti (EthicsPortal fornisce un link condivisibile e un codice QR)</li> </ul> <hr> <h2 id="domande"> Domande? <a href="#domande" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Gli amministratori possono scaricare un <strong>rapporto di conformità in PDF</strong> direttamente dalla pagina delle impostazioni del portale. Include una checklist completa della Direttiva (UE) 2019/1937, le metriche SLA, le misure di protezione dei dati e una sintesi del registro delle attività — pronto da consegnare a un organo di verifica senza esporre alcun dato sensibile delle segnalazioni.</p> <p>Per i requisiti specifici per Paese (sanzioni, periodi di conservazione, autorità competenti), consulta la nostra raccolta <a href="/whistleblower-laws/">normativa sul whistleblowing per Paese</a> .</p> <p>Per il modo in cui EthicsPortal interpreta le disposizioni ambigue della Direttiva (la soglia dei 50 lavoratori, cosa si intende per “seguito diligente”, le giustificazioni della conservazione, la base giuridica del GDPR), vedi le <a href="/directive-interpretations/">interpretazioni della Direttiva (UE) 2019/1937</a> .</p> <p>Se hai bisogno di aiuto per dimostrare la conformità al tuo team legale o all’autorità, contattaci a <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/pricing/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/pricing/Prezzi semplici e trasparenti per EthicsPortal. Un solo piano, tutto incluso. Nessun costo per dipendente.support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/en-301-549-conformance/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/en-301-549-conformance/Autovalutazione di conformità clausola per clausola di EthicsPortal rispetto alla EN 301 549 V3.2.3 e alle WCAG 2.2 livello AA.<h1 id="rapporto-di-conformità-en-301-549"> Rapporto di conformità EN 301 549 <a href="#rapporto-di-conformit%c3%a0-en-301-549" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p>Ultimo aggiornamento: 2026-05-24.</p> <p>Questo rapporto è un’autovalutazione strutturata di EthicsPortal rispetto ai requisiti di accessibilità della <strong>EN 301 549 V3.2.3</strong> (e, in via transitiva, delle <strong>WCAG 2.2 livello AA</strong>). È destinato agli addetti all’approvvigionamento che necessitano di una risposta clausola per clausola oltre alla <a href="/accessibility/">dichiarazione di accessibilità</a> .</p> <table> <thead> <tr> <th>Campo</th> <th>Valore</th> </tr> </thead> <tbody> <tr> <td>Prodotto</td> <td>EthicsPortal — piattaforma di conformità UE per il whistleblowing</td> </tr> <tr> <td>Versione del prodotto</td> <td>Distribuita in continuo; questo rapporto descrive lo stato alla data di redazione</td> </tr> <tr> <td>Norma</td> <td>EN 301 549 V3.2.3 (che incorpora le WCAG 2.2 livello AA)</td> </tr> <tr> <td>Approccio di conformità</td> <td>Autovalutazione</td> </tr> <tr> <td>Data di redazione</td> <td>14 maggio 2026</td> </tr> <tr> <td>Prossimo riesame</td> <td>Agosto 2026 (trimestrale)</td> </tr> <tr> <td>Contatto</td> <td><a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> </td> </tr> </tbody> </table> <p>Una copia in PDF di questo rapporto può essere fornita per l’approvvigionamento su richiesta.</p> <h2 id="ambito"> Ambito <a href="#ambito" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Questo rapporto copre tre superfici di distribuzione:</p> <ol> <li><strong>Applicazione web</strong> — <code>secure.ethicsportal.eu</code>, l’interfaccia autenticata del gestore del caso</li> <li><strong>Portali di segnalazione pubblici</strong> — <code>*.ethicsportal.eu</code>, l’invio delle segnalazioni e il monitoraggio dei casi rivolti ai segnalanti</li> <li><strong>Sito di marketing</strong> — <code>ethicsportal.eu</code>, il sito pubblico generato con Hugo (questa pagina inclusa)</li> </ol> <p>Copre inoltre i documenti scaricabili e i servizi di assistenza erogati attraverso queste superfici.</p> <p>EthicsPortal è un prodotto SaaS basato sul web. Non fornisce app mobili native, hardware da chiosco, TIC con comunicazione vocale bidirezionale, output video per i media o testo in tempo reale. Le clausole 6, 7, 8 e 13 della EN 301 549 sono pertanto in larga parte <strong>non applicabili</strong>.</p> <h2 id="sintesi"> Sintesi <a href="#sintesi" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <table> <thead> <tr> <th>Area della clausola</th> <th>Stato</th> </tr> </thead> <tbody> <tr> <td>§5 Requisiti generici</td> <td>Conforme, con le eccezioni indicate al §5.4</td> </tr> <tr> <td>§6 TIC con comunicazione vocale bidirezionale</td> <td>Non applicabile</td> </tr> <tr> <td>§7 TIC con funzionalità video</td> <td>Non applicabile</td> </tr> <tr> <td>§8 Hardware</td> <td>Non applicabile</td> </tr> <tr> <td>§9 Web</td> <td>Parzialmente conforme (vedi i dettagli al §9)</td> </tr> <tr> <td>§10 Documenti non web</td> <td>Non conforme — vedi §10.1</td> </tr> <tr> <td>§11 Software</td> <td>Parzialmente conforme (vedi i dettagli al §11)</td> </tr> <tr> <td>§12 Documentazione e servizi di assistenza</td> <td>Conforme</td> </tr> <tr> <td>§13 TIC che forniscono accesso a servizi di relè o di emergenza</td> <td>Non applicabile</td> </tr> </tbody> </table> <h2 id="valutazione-clausola-per-clausola"> Valutazione clausola per clausola <a href="#valutazione-clausola-per-clausola" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <h3 id="5-requisiti-generici"> §5 Requisiti generici <a href="#5-requisiti-generici" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <table> <thead> <tr> <th>Clausola</th> <th>Requisito</th> <th>Stato</th> <th>Note</th> </tr> </thead> <tbody> <tr> <td>5.1.2.2 / 5.1.3</td> <td>Attivazione delle funzioni di accessibilità</td> <td>Conforme</td> <td>La piattaforma espone le funzioni di accessibilità tramite HTML standard e ARIA. Non è richiesto alcun passaggio di attivazione proprietario</td> </tr> <tr> <td>5.2</td> <td>Attivazione delle funzioni di accessibilità</td> <td>Conforme</td> <td>Sono rispettate le impostazioni di accessibilità a livello di browser e di sistema operativo (zoom, contrasto, movimento ridotto, screen reader)</td> </tr> <tr> <td>5.3</td> <td>Biometria</td> <td>Non applicabile</td> <td>L’autenticazione avviene tramite magic link o codice monouso con TOTP facoltativo; non è richiesto alcun input biometrico</td> </tr> <tr> <td>5.4</td> <td>Conservazione delle informazioni di accessibilità durante la conversione</td> <td>Parzialmente conforme</td> <td>Il contenuto dell’applicazione conserva le informazioni di accessibilità; le esportazioni in PDF no (vedi §10.1)</td> </tr> <tr> <td>5.5</td> <td>Parti operabili</td> <td>Conforme</td> <td>Tutti gli elementi interattivi sono operabili da tastiera e puntatore; la dimensione delle aree soddisfa il §2.5.8</td> </tr> <tr> <td>5.6</td> <td>Stato di blocco o di commutazione</td> <td>Conforme</td> <td>Gli stati di commutazione sono esposti tramite <code>aria-pressed</code> / <code>aria-expanded</code></td> </tr> <tr> <td>5.7</td> <td>Ripetizione dei tasti</td> <td>Non applicabile</td> <td>Il software non configura la ripetizione dei tasti di sistema</td> </tr> <tr> <td>5.8</td> <td>Accettazione della doppia pressione dei tasti</td> <td>Non applicabile</td> <td>Il software non configura l’accettazione dei tasti di sistema</td> </tr> <tr> <td>5.9</td> <td>Azioni utente simultanee</td> <td>Conforme</td> <td>Nessuna interazione richiede azioni utente simultanee</td> </tr> </tbody> </table> <h3 id="9-web-incorpora-le-wcag-22-livello-a-e-aa"> §9 Web (incorpora le WCAG 2.2 livello A e AA) <a href="#9-web-incorpora-le-wcag-22-livello-a-e-aa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>EthicsPortal punta alle WCAG 2.2 livello AA. I nuovi criteri aggiunti nelle WCAG 2.2 sono riportati singolarmente affinché gli addetti possano confermare la copertura oltre le WCAG 2.1.</p> <p><strong>Principio 1 — Percepibile</strong></p> <table> <thead> <tr> <th>SC</th> <th>Titolo</th> <th>Livello</th> <th>Stato</th> <th>Note</th> </tr> </thead> <tbody> <tr> <td>1.1.1</td> <td>Contenuto non testuale</td> <td>A</td> <td>Conforme</td> <td>Le immagini e le icone SVG hanno un testo alternativo o sono contrassegnate come decorative. I pulsanti con sola icona riportano <code>aria-label</code>. Lo stato indicato dalla sola icona ha un equivalente testuale <code>sr-only</code></td> </tr> <tr> <td>1.2.x</td> <td>Contenuti multimediali temporizzati</td> <td>A/AA</td> <td>Non applicabile</td> <td>Nessun contenuto audio o video</td> </tr> <tr> <td>1.3.1</td> <td>Informazioni e relazioni</td> <td>A</td> <td>Conforme</td> <td>HTML semantico; le tabelle usano <code><th scope></code>; i moduli usano <code><label></code></td> </tr> <tr> <td>1.3.2</td> <td>Sequenza significativa</td> <td>A</td> <td>Conforme</td> <td>L’ordine del DOM corrisponde all’ordine visivo</td> </tr> <tr> <td>1.3.3</td> <td>Caratteristiche sensoriali</td> <td>A</td> <td>Conforme</td> <td>Le istruzioni non si basano sulla sola forma, dimensione o posizione</td> </tr> <tr> <td>1.3.4</td> <td>Orientamento</td> <td>AA</td> <td>Conforme</td> <td>Il layout funziona in verticale e in orizzontale</td> </tr> <tr> <td>1.3.5</td> <td>Identificazione dello scopo dell’input</td> <td>AA</td> <td>Conforme</td> <td>Gli input che corrispondono agli scopi di input WCAG usano <code>autocomplete</code></td> </tr> <tr> <td>1.4.1</td> <td>Uso del colore</td> <td>A</td> <td>Conforme</td> <td>Il colore non è mai l’unico segnale — è abbinato a testo o icone</td> </tr> <tr> <td>1.4.3</td> <td>Contrasto (minimo)</td> <td>AA</td> <td>Conforme</td> <td>Testo del corpo ≥ 4,5:1, testo grande ≥ 3:1, verificato internamente</td> </tr> <tr> <td>1.4.4</td> <td>Ridimensionamento del testo</td> <td>AA</td> <td>Conforme</td> <td>Il layout si ridispone al 200% di zoom senza perdita di contenuto</td> </tr> <tr> <td>1.4.5</td> <td>Immagini di testo</td> <td>AA</td> <td>Conforme</td> <td>Il logo del marchio è l’unica immagine di testo; tutte le etichette dell’interfaccia sono in HTML</td> </tr> <tr> <td>1.4.10</td> <td>Ridisposizione</td> <td>AA</td> <td>Conforme</td> <td>Si ridispone a 320 pixel CSS di larghezza (tabelle e blocchi di codice esclusi come consentito)</td> </tr> <tr> <td>1.4.11</td> <td>Contrasto del contenuto non testuale</td> <td>AA</td> <td>Conforme</td> <td>I componenti dell’interfaccia e gli oggetti grafici soddisfano il 3:1</td> </tr> <tr> <td>1.4.12</td> <td>Spaziatura del testo</td> <td>AA</td> <td>Conforme</td> <td>Le sovrascritture utente della spaziatura del testo non rompono il layout</td> </tr> <tr> <td>1.4.13</td> <td>Contenuto al passaggio del mouse o al focus</td> <td>AA</td> <td>Conforme</td> <td>Tooltip eliminabili (Esc), raggiungibili con il mouse e persistenti finché l’elemento di attivazione non perde il focus</td> </tr> </tbody> </table> <p><strong>Principio 2 — Operabile</strong></p> <table> <thead> <tr> <th>SC</th> <th>Titolo</th> <th>Livello</th> <th>Stato</th> <th>Note</th> </tr> </thead> <tbody> <tr> <td>2.1.1</td> <td>Tastiera</td> <td>A</td> <td>Conforme</td> <td>Tutte le funzionalità sono operabili da tastiera</td> </tr> <tr> <td>2.1.2</td> <td>Nessuna trappola da tastiera</td> <td>A</td> <td>Conforme</td> <td>Le finestre modali intrappolano il focus solo mentre sono aperte e lo ripristinano alla chiusura</td> </tr> <tr> <td>2.1.4</td> <td>Scorciatoie con carattere singolo</td> <td>A</td> <td>Non applicabile</td> <td>Nessuna scorciatoia a carattere singolo implementata</td> </tr> <tr> <td>2.2.1</td> <td>Tempo regolabile</td> <td>A</td> <td>Conforme</td> <td>Il timeout di inattività della sessione è di 30 giorni, soddisfacendo l’eccezione delle 20 ore</td> </tr> <tr> <td>2.2.2</td> <td>Pausa, stop, nascondi</td> <td>A</td> <td>Conforme</td> <td>Nessun contenuto ad aggiornamento automatico si muove, lampeggia o scorre per più di 5 secondi senza un controllo per metterlo in pausa</td> </tr> <tr> <td>2.3.1</td> <td>Tre lampeggiamenti o meno</td> <td>A</td> <td>Conforme</td> <td>Nessun contenuto lampeggiante</td> </tr> <tr> <td>2.4.1</td> <td>Saltare blocchi</td> <td>A</td> <td>Conforme</td> <td>Link di salto al contenuto principale presente in ogni layout</td> </tr> <tr> <td>2.4.2</td> <td>Pagina con titolo</td> <td>A</td> <td>Conforme</td> <td>Ogni pagina ha un <code><title></code> localizzato e descrittivo</td> </tr> <tr> <td>2.4.3</td> <td>Ordine del focus</td> <td>A</td> <td>Conforme</td> <td>Il focus segue l’ordine del DOM</td> </tr> <tr> <td>2.4.4</td> <td>Scopo del link (nel contesto)</td> <td>A</td> <td>Conforme</td> <td>Il testo del link descrive la destinazione</td> </tr> <tr> <td>2.4.5</td> <td>Modalità multiple</td> <td>AA</td> <td>Conforme</td> <td>Sono disponibili ricerca nel sito, navigazione e breadcrumb</td> </tr> <tr> <td>2.4.6</td> <td>Intestazioni ed etichette</td> <td>AA</td> <td>Conforme</td> <td>Un solo <code><h1></code> per pagina; le intestazioni scendono senza salti</td> </tr> <tr> <td>2.4.7</td> <td>Focus visibile</td> <td>AA</td> <td>Conforme</td> <td><code>:focus-visible</code> è abilitato globalmente; gli anelli di focus non sono disattivati</td> </tr> <tr> <td>2.4.11</td> <td>Focus non oscurato (minimo)</td> <td>AA <em>(nuovo in 2.2)</em></td> <td>Conforme</td> <td>Gli elementi con focus non sono interamente coperti da intestazioni fisse o altro contenuto</td> </tr> <tr> <td>2.5.1</td> <td>Gesti del puntatore</td> <td>A</td> <td>Conforme</td> <td>Non sono richiesti gesti multipunto o basati su percorso</td> </tr> <tr> <td>2.5.2</td> <td>Annullamento del puntatore</td> <td>A</td> <td>Conforme</td> <td>Tutte le azioni di clic si completano al <code>up-event</code></td> </tr> <tr> <td>2.5.3</td> <td>Etichetta nel nome</td> <td>A</td> <td>Conforme</td> <td>I nomi accessibili contengono l’etichetta visibile</td> </tr> <tr> <td>2.5.4</td> <td>Attivazione tramite movimento</td> <td>A</td> <td>Non applicabile</td> <td>Nessun input basato sul movimento del dispositivo</td> </tr> <tr> <td>2.5.7</td> <td>Movimenti di trascinamento</td> <td>AA <em>(nuovo in 2.2)</em></td> <td>Conforme</td> <td>Nessun flusso di solo trascinamento; i caricamenti accettano alternative con clic e tastiera</td> </tr> <tr> <td>2.5.8</td> <td>Dimensione delle aree (minimo)</td> <td>AA <em>(nuovo in 2.2)</em></td> <td>Conforme</td> <td>Aree interattive ≥ 24×24 px CSS</td> </tr> </tbody> </table> <p><strong>Principio 3 — Comprensibile</strong></p> <table> <thead> <tr> <th>SC</th> <th>Titolo</th> <th>Livello</th> <th>Stato</th> <th>Note</th> </tr> </thead> <tbody> <tr> <td>3.1.1</td> <td>Lingua della pagina</td> <td>A</td> <td>Parzialmente conforme</td> <td>Le pagine dell’applicazione e del portale impostano <code><html lang></code> sulla lingua attiva. Le pagine di errore statiche di fallback sono solo in inglese — vedi la <a href="/accessibility/#non-accessible-content">dichiarazione di accessibilità</a> </td> </tr> <tr> <td>3.1.2</td> <td>Lingua delle parti</td> <td>AA</td> <td>Conforme</td> <td>Le stringhe in lingua straniera incorporate usano gli attributi <code>lang</code> ove necessario</td> </tr> <tr> <td>3.2.1</td> <td>Al focus</td> <td>A</td> <td>Conforme</td> <td>Il focus non innesca un cambiamento di contesto</td> </tr> <tr> <td>3.2.2</td> <td>All’input</td> <td>A</td> <td>Conforme</td> <td>L’input non innesca un cambiamento di contesto senza avviso</td> </tr> <tr> <td>3.2.3</td> <td>Navigazione coerente</td> <td>AA</td> <td>Conforme</td> <td>L’ordine di navigazione è coerente in tutta l’applicazione</td> </tr> <tr> <td>3.2.4</td> <td>Identificazione coerente</td> <td>AA</td> <td>Conforme</td> <td>Le icone e i componenti sono utilizzati in modo coerente</td> </tr> <tr> <td>3.2.6</td> <td>Aiuto coerente</td> <td>A <em>(nuovo in 2.2)</em></td> <td>Conforme</td> <td>Il contatto di assistenza e i link di aiuto compaiono nella stessa posizione su ogni pagina autenticata (area piè di pagina della barra laterale) e nel piè di pagina del portale</td> </tr> <tr> <td>3.3.1</td> <td>Identificazione degli errori</td> <td>A</td> <td>Conforme</td> <td>Gli errori sono mostrati tramite <code>role="alert"</code> e descritti all’utente</td> </tr> <tr> <td>3.3.2</td> <td>Etichette o istruzioni</td> <td>A</td> <td>Conforme</td> <td>Gli input sono etichettati; i suggerimenti usano <code>aria-describedby</code></td> </tr> <tr> <td>3.3.3</td> <td>Suggerimento di correzione degli errori</td> <td>AA</td> <td>Conforme</td> <td>Gli errori indicano cosa non va e come correggerlo</td> </tr> <tr> <td>3.3.4</td> <td>Prevenzione degli errori (legali, finanziari, di dati)</td> <td>AA</td> <td>Conforme</td> <td>Operazioni reversibili o conferma esplicita per le azioni distruttive</td> </tr> <tr> <td>3.3.7</td> <td>Inserimento ridondante</td> <td>A <em>(nuovo in 2.2)</em></td> <td>Conforme</td> <td>Le informazioni inserite in precedenza (email, organizzazione) vengono compilate automaticamente ove richieste di nuovo nella stessa sessione</td> </tr> <tr> <td>3.3.8</td> <td>Autenticazione accessibile (minimo)</td> <td>AA <em>(nuovo in 2.2)</em></td> <td>Conforme</td> <td>L’autenticazione usa magic link e codici monouso incollabili; non sono richiesti test di funzione cognitiva</td> </tr> </tbody> </table> <p><strong>Principio 4 — Robusto</strong></p> <table> <thead> <tr> <th>SC</th> <th>Titolo</th> <th>Livello</th> <th>Stato</th> <th>Note</th> </tr> </thead> <tbody> <tr> <td>4.1.2</td> <td>Nome, ruolo, valore</td> <td>A</td> <td>Conforme</td> <td>I controlli espongono nome, ruolo e stato</td> </tr> <tr> <td>4.1.3</td> <td>Messaggi di stato</td> <td>AA</td> <td>Conforme</td> <td>I messaggi flash, le notifiche e i risultati asincroni usano regioni <code>aria-live</code></td> </tr> </tbody> </table> <h3 id="10-documenti-non-web"> §10 Documenti non web <a href="#10-documenti-non-web" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <table> <thead> <tr> <th>Clausola</th> <th>Requisito</th> <th>Stato</th> <th>Note</th> </tr> </thead> <tbody> <tr> <td>10.1</td> <td>Documenti non web (PDF)</td> <td>Non conforme</td> <td>I rapporti di conformità, i certificati, i modelli di policy, i poster, il manuale del gestore del caso e le esportazioni dei casi sono prodotti come PDF non taggati. Alternative accessibili in HTML sono disponibili su richiesta tramite <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> . Una pipeline di PDF taggati è in roadmap.</td> </tr> <tr> <td>10.2</td> <td>Modelli di policy DOCX</td> <td>Parzialmente conforme</td> <td>I file DOCX generati (policy per il whistleblowing, informativa sulla privacy) mantengono la propria struttura ma non sono stati verificati rispetto alle aspettative equivalenti a PDF/UA per i documenti modificabili. Alternative in HTML sono disponibili su richiesta.</td> </tr> </tbody> </table> <h3 id="11-software"> §11 Software <a href="#11-software" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>L’applicazione web si qualifica come software ai sensi del §11. Il §11 incorpora le WCAG (valutate sopra al §9) più clausole specifiche del software:</p> <table> <thead> <tr> <th>Clausola</th> <th>Requisito</th> <th>Stato</th> <th>Note</th> </tr> </thead> <tbody> <tr> <td>11.5</td> <td>Interoperabilità con le tecnologie assistive</td> <td>Conforme</td> <td>Sviluppata su HTML semantico e ARIA; testata con VoiceOver, NVDA e la navigazione da tastiera della piattaforma</td> </tr> <tr> <td>11.6</td> <td>Uso documentato dell’accessibilità</td> <td>Conforme</td> <td>Questa pagina e la <a href="/accessibility/">dichiarazione di accessibilità</a> documentano le funzioni di accessibilità e i limiti noti</td> </tr> <tr> <td>11.7</td> <td>Preferenze utente</td> <td>Conforme</td> <td>Sono rispettate le preferenze a livello di sistema operativo (movimento ridotto, schema di colori, scalatura del testo)</td> </tr> <tr> <td>11.8</td> <td>Strumenti di authoring</td> <td>Parzialmente conforme</td> <td>L’interfaccia del gestore del caso è uno strumento di authoring ai sensi del §11.8 perché i gestori creano contenuti fruiti dai segnalanti. I caricamenti di allegati accettano descrizioni; le funzioni di testo formattato (quando introdotte) saranno valutate rispetto alle <a href="https://www.w3.org/TR/ATAG20/" rel="nofollow">ATAG 2.0</a> </td> </tr> </tbody> </table> <h3 id="12-documentazione-e-servizi-di-assistenza"> §12 Documentazione e servizi di assistenza <a href="#12-documentazione-e-servizi-di-assistenza" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <table> <thead> <tr> <th>Clausola</th> <th>Requisito</th> <th>Stato</th> <th>Note</th> </tr> </thead> <tbody> <tr> <td>12.1.1</td> <td>Funzioni di accessibilità e compatibilità</td> <td>Conforme</td> <td>Questo rapporto e la <a href="/accessibility/">dichiarazione di accessibilità</a> descrivono le tecnologie assistive supportate e le combinazioni di piattaforme</td> </tr> <tr> <td>12.1.2</td> <td>Documentazione accessibile</td> <td>Conforme</td> <td>La documentazione è erogata come HTML semantico sul sito di marketing e tramite l’aiuto in-app</td> </tr> <tr> <td>12.2.2</td> <td>Informazioni sulle funzioni di accessibilità</td> <td>Conforme</td> <td>Il personale di assistenza e la dichiarazione pubblicata possono rispondere alle domande sull’accessibilità</td> </tr> <tr> <td>12.2.3</td> <td>Comunicazione efficace</td> <td>Conforme</td> <td>Il canale di feedback sull’accessibilità è monitorato ogni giorno lavorativo; avviso di ricevimento entro 2 giorni lavorativi</td> </tr> <tr> <td>12.2.4</td> <td>Documentazione accessibile (assistenza)</td> <td>Parzialmente conforme</td> <td>I documenti forniti in risposta alle richieste di assistenza ereditano lo stesso stato degli artefatti sottostanti — i PDF sono segnalati; sono disponibili alternative in HTML</td> </tr> </tbody> </table> <h2 id="limiti-noti"> Limiti noti <a href="#limiti-noti" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Le voci seguenti sono monitorate, non nascoste:</p> <ol> <li><strong>PDF non taggati.</strong> Il divario più ampio. Mitigato oggi da alternative accessibili in HTML su richiesta; previsto di essere sostituito da una pipeline di PDF taggati o con HTML canonico.</li> <li><strong>Pagine di errore statiche solo in inglese.</strong> Incontrate raramente; le stesse informazioni sono presentate nella lingua dell’utente all’interno dell’applicazione.</li> <li><strong>Contenuti incorporati di terze parti (Crisp, pagine ospitate da Stripe)</strong> che esulano dal nostro controllo diretto; la documentazione sull’accessibilità del fornitore è riesaminata annualmente.</li> </ol> <h2 id="metodologia-di-test"> Metodologia di test <a href="#metodologia-di-test" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>L’autovalutazione ha combinato:</p> <ul> <li><strong>Automatica</strong>: <code>axe-core-capybara</code> viene eseguito sui flussi del portale di segnalazione pubblico (home, invio della segnalazione, consultazione) in CI tramite <code>test/system/portal_accessibility_system_test.rb</code>; qualsiasi violazione fa fallire la build. L’estensione della copertura automatica ai flussi autenticati del gestore del caso è in roadmap</li> <li><strong>Test manuali da tastiera</strong> sul flusso di invio della segnalazione nel portale, sul flusso di lavoro del gestore del caso, sulla gestione dell’account e sull’autenticazione</li> <li><strong>VoiceOver (macOS, Safari)</strong> e <strong>NVDA (Windows, Firefox)</strong> con passaggi di screen reader sugli stessi flussi</li> <li><strong>Controllo di ridisposizione al 200% di zoom</strong> su ogni layout a 1280×800</li> <li><strong>Movimento ridotto</strong> verificato abilitando la preferenza del sistema operativo</li> <li><strong>Simulazione del daltonismo</strong> con Coblis</li> <li><strong>Revisione del codice</strong> rispetto alla <a href="https://github.com/yshmarov/ethicsportal.eu/blob/main/docs/accessibility.md" rel="nofollow">guida di ingegneria dell’accessibilità</a> interna</li> </ul> <h2 id="contatto-e-feedback"> Contatto e feedback <a href="#contatto-e-feedback" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Preoccupazioni sull’accessibilità, richieste di formati alternativi e domande sull’approvvigionamento:</p> <ul> <li><a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> — monitorato ogni giorno lavorativo</li> <li>Vedi la <a href="/accessibility/">dichiarazione di accessibilità</a> per la procedura completa di feedback e applicazione</li> </ul> <h2 id="norme-e-riferimenti"> Norme e riferimenti <a href="#norme-e-riferimenti" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.03_60/en_301549v030203p.pdf" rel="nofollow">EN 301 549 V3.2.3</a> </li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.01_60/en_301549v030201p.pdf" rel="nofollow">EN 301 549 V3.2.1</a> (versione armonizzata)</li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016L2102" rel="nofollow">Direttiva (UE) 2016/2102</a> </li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L0882" rel="nofollow">Direttiva (UE) 2019/882</a> — Atto europeo sull’accessibilità</li> <li><a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32018D1523" rel="nofollow">Decisione di esecuzione (UE) 2018/1523</a> </li> <li><a href="https://www.w3.org/TR/WCAG22/" rel="nofollow">WCAG 2.2 livello AA</a> </li> <li><a href="https://www.w3.org/TR/ATAG20/" rel="nofollow">ATAG 2.0</a> </li> </ul>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/incidents/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/incidents/Registro pubblico degli incidenti rilevanti che interessano i dati personali trattati da EthicsPortal. Mantenuto nello spirito dell'articolo 33 del GDPR e come questione di trasparenza istituzionale.<h1 id="registro-degli-incidenti"> Registro degli incidenti <a href="#registro-degli-incidenti" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p>Questa pagina riporta ogni incidente rilevante che interessa la riservatezza, l’integrità o la disponibilità dei dati personali trattati da EthicsPortal. È mantenuta nello spirito dell’articolo 33 del GDPR (notifica delle violazioni dei dati personali) e come questione di trasparenza istituzionale.</p> <p>Ultimo aggiornamento: 2026-04.</p> <hr> <h2 id="ambito"> Ambito <a href="#ambito" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Una voce viene creata per ciascuna delle seguenti situazioni:</p> <ul> <li>Una violazione dei dati personali come definita dall’articolo 4, punto 12), del GDPR — “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali”.</li> <li>Un’interruzione del servizio superiore a due ore che ha impedito ai segnalanti di inviare segnalazioni o ai gestori di accedere ai casi attivi.</li> <li>Una vulnerabilità significativa in EthicsPortal o in un sub-responsabile del trattamento che ha richiesto una mitigazione d’emergenza.</li> <li>Qualsiasi incidente che richieda la notifica a un’autorità di controllo ai sensi dell’articolo 33 del GDPR.</li> </ul> <p>Le interruzioni ordinarie di durata inferiore a due ore, la manutenzione programmata e gli incidenti che non hanno coinvolto dati personali non sono riportati qui.</p> <hr> <h2 id="tempistica-di-comunicazione"> Tempistica di comunicazione <a href="#tempistica-di-comunicazione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li><strong>Entro 72 ore</strong> dalla conoscenza di una violazione dei dati personali — notifica agli operatori interessati (titolari del trattamento) via email, ai sensi dell’articolo 33, paragrafo 2, del GDPR.</li> <li><strong>Entro 7 giorni</strong> dal contenimento — voce preliminare aggiunta a questo registro con sintesi, categorie di dati interessate e stato della mitigazione.</li> <li><strong>Entro 30 giorni</strong> dal contenimento — voce definitiva con causa principale, rimedio e lezioni apprese.</li> </ul> <p>Le voci restano pubbliche a tempo indeterminato. Le voci non vengono mai modificate per ridurre l’imbarazzo; le correzioni sono aggiunte come voci successive.</p> <hr> <h2 id="segnalare-un-problema-di-sicurezza"> Segnalare un problema di sicurezza <a href="#segnalare-un-problema-di-sicurezza" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Per segnalare un problema di sicurezza che interessa EthicsPortal, contatta <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> . Le segnalazioni crittografate sono benvenute; chiave PGP su richiesta.</p> <hr> <h2 id="registro"> Registro <a href="#registro" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p><em>Nessuna voce.</em></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/penalties/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/penalties/Sanzioni pecuniarie e sanzioni per la non conformità alla Direttiva (UE) 2019/1937 in ogni Stato membro. Aggiornato regolarmente con le azioni di applicazione.<h1 id="sanzioni-della-direttiva-ue-sul-whistleblowing-per-paese"> Sanzioni della Direttiva UE sul whistleblowing per Paese <a href="#sanzioni-della-direttiva-ue-sul-whistleblowing-per-paese" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p>La Direttiva (UE) 2019/1937 impone a tutte le imprese con 50 o più dipendenti di istituire canali di segnalazione interni. Ogni Stato membro dell’UE ha recepito la direttiva nel proprio ordinamento nazionale con un proprio regime sanzionatorio.</p> <p>La non conformità non è teorica. Nel marzo 2025, la <a href="https://curia.europa.eu/site/upload/docs/application/pdf/2025-03/cp250029en.pdf" rel="nofollow">Corte di giustizia dell’UE ha sanzionato cinque Stati membri per un totale di 38,9 milioni di €</a> solo per essere stati in ritardo nell’attuazione della legge. Le imprese che non si conformano sono soggette a proprie sanzioni ai sensi del diritto nazionale.</p> <hr> <h2 id="le-sanzioni-in-sintesi"> Le sanzioni in sintesi <a href="#le-sanzioni-in-sintesi" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <table> <thead> <tr> <th>Paese</th> <th>Nessun canale di segnalazione</th> <th>Ritorsioni</th> <th>Responsabilità penale</th> <th>Legge</th> </tr> </thead> <tbody> <tr> <td><a href="/whistleblower-laws/spain/">Spagna</a> </td> <td>Fino a 1.000.000 €</td> <td>Fino a 1.000.000 €</td> <td>No</td> <td><a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513" rel="nofollow">Ley 2/2023</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/france/">Francia</a> </td> <td>—</td> <td>60.000 € + 3 anni di reclusione</td> <td><strong>Sì</strong></td> <td><a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi Waserman (2022-401)</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/poland/">Polonia</a> </td> <td>5.000 PLN (~1.200 €)</td> <td>Ostruzione: 1.080.000 PLN (~250.000 €) + fino a 1 anno di reclusione. Ritorsioni: fino a 2 anni di reclusione</td> <td><strong>Sì</strong></td> <td><a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Legge del 14 giugno 2024</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/portugal/">Portogallo</a> </td> <td>Fino a 125.000 €</td> <td>Fino a 250.000 €</td> <td>No</td> <td><a href="https://diariodarepublica.pt/dr/detalhe/lei/93-2021-175659849" rel="nofollow">Lei 93/2021</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/italy/">Italia</a> </td> <td>10.000-50.000 €</td> <td>10.000-50.000 €</td> <td>No</td> <td><a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg" rel="nofollow">D.Lgs. 24/2023</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/germany/">Germania</a> </td> <td>20.000-50.000 € (10x per le persone giuridiche)</td> <td>Fino a 50.000 €</td> <td>No</td> <td><a href="https://www.gesetze-im-internet.de/hinschg/" rel="nofollow">HinSchG</a> </td> </tr> <tr> <td><a href="/whistleblower-laws/romania/">Romania</a> </td> <td>3.000-30.000 RON (~600-6.000 €)</td> <td>Ostruzione: 2.000-20.000 RON (~400-4.000 €)</td> <td>No</td> <td><a href="https://legislatie.just.ro/public/DetaliiDocument/262872" rel="nofollow">Legea 361/2022</a> </td> </tr> </tbody> </table> <hr> <h2 id="dettagli-per-paese"> Dettagli per Paese <a href="#dettagli-per-paese" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <h3 id="spain"> <a href="/whistleblower-laws/spain/">Spagna</a> — Ley 2/2023 <a href="#spain" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p><strong>Legge:</strong> <a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513" rel="nofollow">Ley 2/2023, de 20 de febrero</a> — protezione delle persone che segnalano violazioni normative e lotta alla corruzione.</p> <p><strong>Si applica a:</strong> Imprese con 50 o più dipendenti. Il termine era il 13 giugno 2023 (250 o più dipendenti) e il 1° dicembre 2023 (50-249 dipendenti). <a href="https://www.garrigues.com/en_GB/new/spain-whistleblowing-law-published" rel="nofollow">Fonte: Garrigues</a> </p> <p><strong>Sanzioni:</strong></p> <ul> <li>Mancata istituzione di un canale di segnalazione interno: 600.000-1.000.000 € per le persone giuridiche. <a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/spain" rel="nofollow">Fonte: CMS Expert Guide</a> </li> <li>Violazione degli obblighi sul canale di segnalazione: 100.000-1.000.000 € per le persone giuridiche; 1.000-300.000 € per le persone fisiche. <a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/spain" rel="nofollow">Fonte: CMS Expert Guide</a> </li> <li>Sanzioni aggiuntive: ammonizione pubblica, divieto di accesso a sovvenzioni/agevolazioni fiscali per un massimo di 4 anni ed eventuale sospensione delle licenze di esercizio. <a href="https://www.garrigues.com/en_GB/new/whistleblowing-channels-companies-spain-key-aspects-new-law-protecting-whistleblowers-all" rel="nofollow">Fonte: Garrigues</a> </li> </ul> <p><strong>Autorità competente:</strong> Autoridad Independiente de Protección del Informante (A.A.I.)</p> <p>La Spagna ha le sanzioni più severe dell’UE per la non conformità in materia di whistleblowing.</p> <hr> <h3 id="france"> <a href="/whistleblower-laws/france/">Francia</a> — Loi Waserman <a href="#france" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p><strong>Legge:</strong> <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi n° 2022-401 du 21 mars 2022 (Loi Waserman)</a> , che modifica la <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000033558528" rel="nofollow">Loi Sapin II (2016-1691)</a> .</p> <p><strong>Si applica a:</strong> Imprese con 50 o più dipendenti. In vigore da settembre 2022. <a href="https://www.integrityline.com/expertise/blog/new-french-whistleblowing-law/" rel="nofollow">Fonte: IntegrityLine</a> </p> <p><strong>Sanzioni:</strong></p> <ul> <li>Ostruzione a una segnalazione: sanzione pecuniaria fino a 60.000 € e 1 anno di reclusione. <a href="https://www.whispli.com/eu-directive-whistleblowing/france/" rel="nofollow">Fonte: Whispli</a> </li> <li>Ritorsioni o discriminazione nei confronti di un segnalante: sanzione pecuniaria fino a 60.000 € e 3 anni di reclusione. <a href="https://www.jpkarsenty.com/en/the-whistleblower-the-impact-of-the-waserman-law-on-criminal-provisions-4-4/" rel="nofollow">Fonte: JP Karsenty</a> </li> </ul> <p>La Francia è uno dei pochi Paesi dell’UE in cui l’ostruzione e le ritorsioni comportano <strong>sanzioni penali, inclusa la reclusione</strong>.</p> <p><strong>Differenza chiave:</strong> In Francia i segnalanti non sono più tenuti a utilizzare i canali interni prima di rivolgersi alle autorità esterne (fine della “segnalazione a cascata”). <a href="https://www.integrityline.com/expertise/blog/new-french-whistleblowing-law/" rel="nofollow">Fonte: IntegrityLine</a> </p> <hr> <h3 id="germany"> <a href="/whistleblower-laws/germany/">Germania</a> — HinSchG <a href="#germany" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p><strong>Legge:</strong> <a href="https://www.gesetze-im-internet.de/hinschg/" rel="nofollow">Hinweisgeberschutzgesetz (HinSchG)</a> — entrata in vigore il 2 luglio 2023.</p> <p><strong>Si applica a:</strong> Imprese con 50 o più dipendenti. Il termine era il 2 luglio 2023 (250 o più dipendenti) e il 17 dicembre 2023 (50-249 dipendenti). Sanzioni applicabili dal 1° dicembre 2023. <a href="https://www.loc.gov/item/global-legal-monitor/2023-07-13/germany-whistleblower-protection-act-enters-into-force/" rel="nofollow">Fonte: Library of Congress</a> </p> <p><strong>Sanzioni:</strong></p> <ul> <li>Mancata istituzione di un canale di segnalazione: sanzioni di 20.000-50.000 € ai sensi della Sezione 40 HinSchG. <a href="https://www.ebnerstolz.de/en/what-we-offer/services/legal-advice/commercial-criminal-law/german-whistleblower-protection-act-27384.html" rel="nofollow">Fonte: Ebner Stolz</a> </li> <li>Per le persone giuridiche, le sanzioni possono aumentare di <strong>dieci volte</strong> (fino a 500.000 €) ai sensi della Sezione 40, comma 6. <a href="https://www.activemind.legal/guides/german-whistleblower-protection-act/" rel="nofollow">Fonte: activeMind</a> </li> <li>Ritorsioni nei confronti dei segnalanti: fino a 50.000 €. <a href="https://www.mofo.com/resources/insights/230602-the-new-german-whistleblowing-act" rel="nofollow">Fonte: Morrison Foerster</a> </li> </ul> <p><strong>Nota:</strong> La Germania è stata sanzionata con 34.000.000 € dalla Corte di giustizia dell’UE nel marzo 2025 per il recepimento tardivo della direttiva. <a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/" rel="nofollow">Fonte: eucrim</a> </p> <hr> <h3 id="italy"> <a href="/whistleblower-laws/italy/">Italia</a> — D.Lgs. 24/2023 <a href="#italy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p><strong>Legge:</strong> <a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg" rel="nofollow">Decreto Legislativo 10 marzo 2023, n. 24</a> .</p> <p><strong>Si applica a:</strong> Imprese con 50 o più dipendenti (e a tutte le imprese dotate di un Modello 231 di compliance, indipendentemente dalle dimensioni). Il termine era il 15 luglio 2023 (250 o più dipendenti) e il 17 dicembre 2023 (50-249 dipendenti). <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Fonte: Norton Rose Fulbright</a> </p> <p><strong>Sanzioni:</strong></p> <ul> <li>Mancata istituzione dei canali di segnalazione o procedure non conformi: 10.000-50.000 €. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Fonte: Norton Rose Fulbright</a> </li> <li>Ritorsioni o ostruzione alla segnalazione: 10.000-50.000 €. <a href="https://www.hoganlovells.com/en/publications/italy-implements-eu-whistleblower-directive-the-new-obligations-for-companies" rel="nofollow">Fonte: Hogan Lovells</a> </li> <li>Violazione della riservatezza dell’identità del segnalante: 10.000-50.000 €. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Fonte: Norton Rose Fulbright</a> </li> <li>Segnalazione falsa da parte del segnalante: 500-2.500 €. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Fonte: Norton Rose Fulbright</a> </li> </ul> <p><strong>Autorità competente:</strong> ANAC (Autorità Nazionale Anticorruzione). L’ANAC ha emesso la sua prima azione di applicazione nel luglio 2024 (Delibera n. 380, caso di ritorsioni). <a href="https://www.clearygottlieb.com/news-and-insights/publication-listing/whistleblowing-in-focus-part-two" rel="nofollow">Fonte: ANAC via Cleary Gottlieb</a> </p> <hr> <h3 id="poland"> <a href="/whistleblower-laws/poland/">Polonia</a> — Legge del 14 giugno 2024 <a href="#poland" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p><strong>Legge:</strong> <a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów</a> — entrata in vigore il 25 settembre 2024.</p> <p><strong>Si applica a:</strong> Datori di lavoro con 50 o più dipendenti. Procedure interne obbligatorie entro il 1° gennaio 2025. <a href="https://knowledge.dlapiper.com/dlapiperknowledge/globalemploymentlatestdevelopments/2024/poland-whistleblower-protection-act.html" rel="nofollow">Fonte: DLA Piper</a> </p> <p><strong>Sanzioni:</strong></p> <ul> <li>Mancata istituzione delle procedure di segnalazione interna: sanzione di 20-5.000 PLN (~5-1.200 €) come illecito amministrativo. I membri del consiglio di amministrazione sono personalmente responsabili. <a href="https://www.rsm.global/poland/en/insights/doing-business-poland/whistleblower-protection" rel="nofollow">Fonte: RSM Poland</a> </li> <li>Impedimento o ostruzione alla segnalazione: sanzione fino a 1.080.000 PLN (~250.000 €), limitazione della libertà o fino a 1 anno di reclusione. Con violenza o minacce: fino a 3 anni. <a href="https://www.cliffordchance.com/insights/resources/blogs/regulatory-investigations-financial-crime-insights/2024/07/poland-implements-the-eu-whistleblowing-directive.html" rel="nofollow">Fonte: Clifford Chance</a> </li> <li>Ritorsioni: sanzione, limitazione della libertà o fino a 2 anni di reclusione. <a href="https://www.kochanski.pl/en/whistleblower-protection-act-all-you-need-to-know/" rel="nofollow">Fonte: Kochański & Partners</a> </li> <li>Divulgazione dell’identità del segnalante: sanzione, limitazione della libertà o fino a 1 anno di reclusione. <a href="https://knowledge.dlapiper.com/dlapiperknowledge/globalemploymentlatestdevelopments/2024/poland-whistleblower-protection-act.html" rel="nofollow">Fonte: DLA Piper</a> </li> </ul> <p><strong>Autorità competente:</strong> Autorità indipendente per la protezione dei segnalanti (Rzecznik Praw Sygnalistów) — operativa dal 1° settembre 2025. <a href="https://wozniaklegal.com/en/news-and-insight/454/protection-of-whistleblowers-in-poland.html" rel="nofollow">Fonte: Wozniak Legal</a> </p> <p>La Polonia è uno dei pochi Paesi dell’UE in cui l’ostruzione e le ritorsioni comportano <strong>sanzioni penali, inclusa la reclusione</strong>.</p> <hr> <h3 id="portugal"> <a href="/whistleblower-laws/portugal/">Portogallo</a> — Lei 93/2021 <a href="#portugal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p><strong>Legge:</strong> <a href="https://diariodarepublica.pt/dr/detalhe/lei/93-2021-175659849" rel="nofollow">Lei n.º 93/2021, de 20 de dezembro</a> — Regime generale per la protezione dei segnalanti.</p> <p><strong>Si applica a:</strong> Imprese con 50 o più dipendenti. Regime sanzionatorio applicabile dal 7 giugno 2024. <a href="https://www.integrityline.com/expertise/blog/new-portuguese-whistleblowing-law/" rel="nofollow">Fonte: IntegrityLine</a> </p> <p><strong>Sanzioni:</strong></p> <ul> <li>Mancata istituzione dei canali di segnalazione (infrazione grave): sanzioni fino a 125.000 €. <a href="https://www.integrityline.com/expertise/blog/new-portuguese-whistleblowing-law/" rel="nofollow">Fonte: IntegrityLine</a> </li> <li>Ritorsioni, ostruzione o violazione della riservatezza (infrazione molto grave): sanzioni fino a 250.000 €. <a href="https://diariodarepublica.pt/dr/detalhe/lei/93-2021-175659849" rel="nofollow">Fonte: Lei 93/2021, art. 27.º</a> </li> </ul> <p><strong>Autorità competente:</strong> MENAC (Mecanismo Nacional Anticorrupção). La piattaforma elettronica è diventata operativa a novembre 2024. Ha ricevuto 152 segnalazioni nel 2024. Nel 2025 l’attenzione si sposta verso l’applicazione nel settore privato. <a href="https://commission.europa.eu/document/download/5a482f87-1f24-47bd-8595-d25f1ca29c6a_en" rel="nofollow">Fonte: Relazione sullo Stato di diritto 2025 della Commissione europea</a> </p> <hr> <h3 id="romania"> <a href="/whistleblower-laws/romania/">Romania</a> — Legea 361/2022 <a href="#romania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p><strong>Legge:</strong> <a href="https://legislatie.just.ro/public/DetaliiDocument/262872" rel="nofollow">Legea nr. 361/2022 privind protecția avertizorilor în interes public</a> — che recepisce la Direttiva (UE) 2019/1937.</p> <p><strong>Si applica a:</strong> Tutti gli enti del settore pubblico indipendentemente dal numero di dipendenti; gli enti di diritto privato con 50 o più dipendenti; determinati enti dei settori dell’Allegato 3 (servizi finanziari, antiriciclaggio, assicurazioni) indipendentemente dalle dimensioni. Il termine era il 22 dicembre 2022 (settore pubblico e 250 o più dipendenti) e il 17 dicembre 2023 (50-249 dipendenti). <a href="https://integritate.eu/comunicat-privind-obligatia-persoanelor-juridice-de-drept-privat-care-au-intre-50-si-249-de-angajati-de-a-identifica-sau-institui-canale-interne-de-raportare-legea-nr-361-2022-privind-protectia-ave/" rel="nofollow">Fonte: ANI</a> </p> <p><strong>Sanzioni (illeciti amministrativi ai sensi degli artt. 28-29):</strong></p> <ul> <li>Mancata istituzione dei canali di segnalazione interna: 3.000-30.000 RON (~600-6.000 €). <a href="https://legislatie.just.ro/public/DetaliiDocument/262872" rel="nofollow">Fonte: Legea 361/2022, art. 28(2)(c)</a> </li> <li>Ostruzione o impedimento di una segnalazione: 2.000-20.000 RON (~400-4.000 €).</li> <li>Violazione della riservatezza del segnalante: 4.000-40.000 RON (~800-8.000 €).</li> <li>Segnalazione consapevolmente falsa: 2.500-30.000 RON (~500-6.000 €).</li> </ul> <p><strong>Autorità competente:</strong> <a href="https://integritate.eu/competente/avertizori-in-interes-public/" rel="nofollow">Agenția Națională de Integritate (ANI)</a> .</p> <p><strong>Valutazione onesta dell’applicazione:</strong> Non è emersa alcuna documentazione pubblica di imprese sanzionate specificamente per un canale interno mancante e l’applicazione fino a oggi appare reattiva anziché basata su audit. L’ANI <a href="https://agerpres.ro/justitie/2026/05/18/ani-anul-trecut-au-crescut-semnificativ-raportarile-avertizorilor-de-integritate-privind-incalcari-a--1557362" rel="nofollow">ha registrato 329 segnalazioni esterne nel 2025</a> (188 in ambiti regolati dalla Legea 361/2022) — segnalazioni ricevute dall’autorità, non sanzioni irrogate nei confronti dei datori di lavoro. Un’analisi indipendente (<a href="https://ceeliinstitute.org/resource/beyond-paper-rights" rel="nofollow">CEELI Institute, 2023</a> ) documenta un divario tra la legge sulla carta e la sua attuazione. Il rischio reale è che una segnalazione raggiunga l’ANI in assenza di un canale interno, non una sanzione elevata.</p> <hr> <h2 id="sanzioni-della-corte-di-giustizia-dellue-nei-confronti-degli-stati-membri-marzo-2025"> Sanzioni della Corte di giustizia dell’UE nei confronti degli Stati membri (marzo 2025) <a href="#sanzioni-della-corte-di-giustizia-dellue-nei-confronti-degli-stati-membri-marzo-2025" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Cinque Paesi dell’UE sono stati sanzionati dalla Corte di giustizia per il mancato recepimento tempestivo della direttiva:</p> <table> <thead> <tr> <th>Paese</th> <th>Sanzione forfettaria</th> <th>Penalità giornaliera</th> </tr> </thead> <tbody> <tr> <td><a href="/whistleblower-laws/germany/">Germania</a> </td> <td>34.000.000 €</td> <td>—</td> </tr> <tr> <td><a href="/whistleblower-laws/czech-republic/">Repubblica Ceca</a> </td> <td>2.300.000 €</td> <td>—</td> </tr> <tr> <td><a href="/whistleblower-laws/hungary/">Ungheria</a> </td> <td>1.750.000 €</td> <td>—</td> </tr> <tr> <td><a href="/whistleblower-laws/estonia/">Estonia</a> </td> <td>500.000 €</td> <td>1.500 €/giorno</td> </tr> <tr> <td><a href="/whistleblower-laws/luxembourg/">Lussemburgo</a> </td> <td>375.000 €</td> <td>—</td> </tr> </tbody> </table> <p><a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/" rel="nofollow">Fonte: eucrim</a> — <a href="https://curia.europa.eu/site/upload/docs/application/pdf/2025-03/cp250029en.pdf" rel="nofollow">Fonte: comunicato stampa della CGUE (PDF)</a> </p> <hr> <h2 id="tutti-i-27-stati-membri"> Tutti i 27 Stati membri <a href="#tutti-i-27-stati-membri" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Tutti gli Stati membri dell’UE hanno ormai recepito la direttiva. Consulta la nostra raccolta completa:</p> <p><strong><a href="/whistleblower-laws/">Normativa sul whistleblowing in tutti i 27 Stati membri dell’UE →</a> </strong></p> <p>Il nome della legge nazionale di ogni Paese, il link al testo ufficiale, le sanzioni, i termini e l’autorità competente.</p> <hr> <h2 id="lapplicazione-sta-accelerando"> L’applicazione sta accelerando <a href="#lapplicazione-sta-accelerando" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>La maggior parte degli Stati membri ha completato il recepimento della direttiva solo nel 2023-2024. Le autorità competenti sono ora operative e impegnate attivamente nell’emanazione di linee guida:</p> <ul> <li><strong>Italia:</strong> L’ANAC ha irrogato la sua prima sanzione per ritorsioni nel luglio 2024 e ha pubblicato linee guida aggiornate sull’applicazione a novembre 2025.</li> <li><strong>Portogallo:</strong> La piattaforma elettronica di applicazione del MENAC è entrata in funzione a novembre 2024, con focus sul settore privato nel 2025.</li> <li><strong>Polonia:</strong> L’autorità indipendente di applicazione viene avviata a settembre 2025.</li> <li><strong>Germania:</strong> Sanzioni applicabili dal dicembre 2023.</li> <li><strong>Spagna:</strong> Sanzioni applicabili dal giugno 2023.</li> <li><strong>Romania:</strong> L’ANI è l’autorità competente, ma non è emersa alcuna documentazione pubblica di un’impresa sanzionata per un canale mancante; l’applicazione resta reattiva e basata sui reclami. L’ANI ha registrato 329 segnalazioni esterne nel 2025.</li> </ul> <p>La finestra per mettersi in regola prima dell’applicazione attiva si sta chiudendo.</p> <hr> <h2 id="mettiti-in-regola-ora"> Mettiti in regola ora <a href="#mettiti-in-regola-ora" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>EthicsPortal mette a disposizione della tua organizzazione un canale di segnalazione interno sicuro per la conformità alla Direttiva (UE) 2019/1937: crittografato, anonimo e con monitoraggio dei termini.</p> <p><a href="/directive-coverage/">Scopri come soddisfiamo ogni requisito</a> | <a href="https://secure.ethicsportal.eu/session/new" rel="nofollow">Attiva il tuo canale di segnalazione interno</a> </p> <hr> <p><em>Ultimo aggiornamento: aprile 2026. Gli importi delle sanzioni e lo stato dell’applicazione si basano sulle fonti legali pubblicamente disponibili indicate sopra. Contatta <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> se rilevi un errore.</em></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/security/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/security/Misure tecniche di sicurezza di EthicsPortal, tra cui crittografia, anonimato, controllo di accesso, registrazione delle attività e dettagli infrastrutturali per la verifica di conformità.<h1 id="sicurezza"> Sicurezza <a href="#sicurezza" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p>EthicsPortal tratta dati sensibili dei segnalanti. Questa pagina documenta le specifiche misure tecniche e organizzative che abbiamo adottato. È redatta per i responsabili della compliance, i DPO e i team legali che valutano la piattaforma.</p> <p>Ultimo aggiornamento: 2026-05-17.</p> <hr> <h2 id="crittografia-dei-dati"> Crittografia dei dati <a href="#crittografia-dei-dati" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Tutti i campi sensibili sono crittografati a riposo mediante Rails ActiveRecord Encryption con <strong>crittografia non deterministica</strong> (ogni crittografia produce un testo cifrato univoco, impedendo l’analisi dei pattern).</p> <table> <thead> <tr> <th>Campo</th> <th>Crittografato</th> <th>Deterministico</th> </tr> </thead> <tbody> <tr> <td>Descrizione della segnalazione</td> <td>Sì</td> <td>No</td> </tr> <tr> <td>Nome del segnalante</td> <td>Sì</td> <td>No</td> </tr> <tr> <td>Dati di contatto del segnalante</td> <td>Sì</td> <td>No</td> </tr> <tr> <td>Corpo del messaggio (comunicazione segnalante–gestore)</td> <td>Sì</td> <td>No</td> </tr> </tbody> </table> <p>La crittografia non deterministica significa che questi campi non possono essere interrogati per valore a livello di database. Anche con pieno accesso al database, un aggressore non può cercare uno specifico nome di segnalante tra i record.</p> <p>Tutte le connessioni a EthicsPortal utilizzano <strong>HTTPS/TLS</strong>. Le richieste HTTP non crittografate vengono reindirizzate.</p> <hr> <h2 id="anonimato-e-privacy"> Anonimato e privacy <a href="#anonimato-e-privacy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <h3 id="anonimizzazione-degli-indirizzi-ip"> Anonimizzazione degli indirizzi IP <a href="#anonimizzazione-degli-indirizzi-ip" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Le rotte del portale (invio della segnalazione, consultazione del caso, messaggistica) utilizzano un hash SHA256 unidirezionale dell’IP della richiesta esclusivamente per la limitazione delle richieste. L’hash non è reversibile — non è possibile recuperare l’IP originale dal valore memorizzato.</p> <p>A livello applicativo, l’indirizzo IP grezzo del segnalante non viene memorizzato nel database e i log dell’applicazione per le rotte del portale vengono ripuliti per proteggere l’anonimato dei segnalanti.</p> <h3 id="rimozione-dei-metadati-dei-file"> Rimozione dei metadati dei file <a href="#rimozione-dei-metadati-dei-file" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>I file caricati vengono automaticamente ripuliti dai metadati identificativi <strong>prima</strong> dell’archiviazione:</p> <table> <thead> <tr> <th>Tipo di file</th> <th>Metadati rimossi</th> <th>Metodo</th> </tr> </thead> <tbody> <tr> <td>Immagini (JPEG, PNG, TIFF, WebP)</td> <td>Dati EXIF: coordinate GPS, modello della fotocamera, numero di serie del dispositivo, autore, marche temporali</td> <td>Elaborazione immagini Vips</td> </tr> <tr> <td>Documenti PDF</td> <td>Autore, applicazione di creazione, cronologia delle modifiche</td> <td>exiftool nella configurazione di produzione standard</td> </tr> <tr> <td>File video</td> <td>GPS, informazioni sul dispositivo, software di registrazione</td> <td>exiftool nella configurazione di produzione standard</td> </tr> <tr> <td>File audio</td> <td>Dispositivo di registrazione, GPS, tag del software</td> <td>exiftool nella configurazione di produzione standard</td> </tr> </tbody> </table> <p>La rimozione dei metadati viene eseguita lato server prima dell’archiviazione. Per i tipi di file gestiti da <code>exiftool</code>, ciò dipende dalla presenza degli strumenti di produzione standard.</p> <h3 id="scansione-antivirus"> Scansione antivirus <a href="#scansione-antivirus" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Tutti i file caricati vengono automaticamente sottoposti a scansione antimalware mediante <a href="https://www.clamav.net" rel="nofollow">ClamAV</a> , un motore antivirus open source. La scansione avviene lato server in un processo in background dopo il caricamento. I file che non hanno superato la scansione sono bloccati alla consegna e i file infetti vengono rimossi automaticamente.</p> <p>I file vengono sottoposti a scansione sull’infrastruttura di EthicsPortal — nessun dato dei file viene inviato a servizi di scansione di terze parti.</p> <h3 id="anonimato-del-gestore"> Anonimato del gestore <a href="#anonimato-del-gestore" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>I segnalanti non vedono mai i nomi reali o gli indirizzi email delle persone che gestiscono la loro segnalazione. Tutti i messaggi dei gestori sono visualizzati come <strong>“Gestore del caso”</strong>. Ciò protegge l’identità del gestore e previene l’ingegneria sociale.</p> <h3 id="nessun-tracciamento"> Nessun tracciamento <a href="#nessun-tracciamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>EthicsPortal non utilizza cookie di tracciamento di terze parti, pixel pubblicitari o script di fingerprinting. Utilizziamo <a href="https://www.cloudflare.com/web-analytics/" rel="nofollow">Cloudflare Web Analytics</a> solo sulle pagine di marketing — è privo di cookie, non raccoglie dati personali ed è pienamente conforme al GDPR. Il portale di segnalazione stesso non ha strumenti di analisi.</p> <h3 id="stato-attuale-delle-garanzie"> Stato attuale delle garanzie <a href="#stato-attuale-delle-garanzie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>EthicsPortal attualmente non dichiara su questo sito una certificazione ISO 27001 accreditata. Non pubblica inoltre attualmente un audit indipendente di terze parti dell’architettura di anonimato. Qualora ciò cambi, l’ambito e la data saranno pubblicati qui.</p> <h3 id="materiali-per-la-verifica-di-sicurezza"> Materiali per la verifica di sicurezza <a href="#materiali-per-la-verifica-di-sicurezza" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>I clienti che necessitano di materiali per la verifica in fase di approvvigionamento o legale possono richiederli durante l’approvvigionamento. I materiali disponibili possono includere un DPA firmato, evidenze di registro e fiscali, un questionario di sicurezza compilato e risposte scritte relative alle procedure di backup e ripristino, all’accesso privilegiato in produzione e alla gestione della risposta agli incidenti.</p> <hr> <h2 id="controllo-di-accesso"> Controllo di accesso <a href="#controllo-di-accesso" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>L’autorizzazione è applicata a livello applicativo mediante le policy di <a href="https://github.com/varvet/pundit" rel="nofollow">Pundit</a> .</p> <table> <thead> <tr> <th>Ruolo</th> <th>Può visualizzare le segnalazioni</th> <th>Può gestire le impostazioni dell’organizzazione</th> <th>Può assegnare i gestori</th> </tr> </thead> <tbody> <tr> <td>Amministratore</td> <td>Tutte le segnalazioni</td> <td>Sì</td> <td>Sì</td> </tr> <tr> <td>Gestore</td> <td>Le segnalazioni a cui è assegnato o a cui partecipa</td> <td>No</td> <td>No</td> </tr> </tbody> </table> <ul> <li>I gestori non possono vedere le segnalazioni a cui non sono né assegnati né partecipanti. I partecipanti sono aggiunti esplicitamente da un amministratore o dall’assegnatario principale (ad esempio, coinvolgendo l’ufficio legale o le risorse umane).</li> <li>I segnalanti non hanno un account utente — accedono alla propria segnalazione tramite un ID del caso (<code>WB-XXXX-XXXX</code>) più un codice di accesso di 6 cifre che scelgono al momento dell’invio.</li> <li>Ogni azione del controller verifica l’autorizzazione. I tentativi di accesso non autorizzati vengono bloccati e registrati.</li> </ul> <h3 id="autenticazione-a-due-fattori"> Autenticazione a due fattori <a href="#autenticazione-a-due-fattori" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Gli account dei gestori e degli amministratori possono abilitare l’autenticazione a due fattori basata su TOTP tramite qualsiasi app di autenticazione standard (Google Authenticator, 1Password, Authy e alternative compatibili). Una volta abilitata, l’accesso richiede sia la credenziale primaria sia un codice rotante di 6 cifre.</p> <p>Anche i segnalanti si autenticano con due fattori: l’ID del caso (qualcosa che possiedono) e il codice di accesso scelto al momento dell’invio (qualcosa che conoscono). Il codice di accesso è memorizzato solo come digest bcrypt e non può essere recuperato. La casella di seguito e l’invio di messaggi sono protetti dalla sessione dietro questo controllo, così che un ID del caso trapelato da solo non possa leggere la segnalazione né impersonare il segnalante.</p> <h3 id="ciclo-di-vita-delle-sessioni"> Ciclo di vita delle sessioni <a href="#ciclo-di-vita-delle-sessioni" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Ogni sessione autenticata registra <code>last_seen_at</code> a ogni richiesta (con debounce). Gli utenti possono esaminare le proprie sessioni attive, vedere quando ciascuna è stata attiva l’ultima volta, revocare singolarmente qualsiasi sessione o disconnettersi da tutte le altre sessioni contemporaneamente dalle impostazioni dell’account.</p> <p>Le sessioni scadono automaticamente dopo <strong>14 giorni di inattività</strong>. La richiesta successiva da una sessione inattiva distrugge il record lato server, cancella il cookie e impone una nuova autenticazione tramite un nuovo magic link. Un processo notturno ripulisce le sessioni abbandonate sulla stessa scadenza, così che <code>user_agent</code> e <code>ip_address</code> non siano conservati oltre la finestra di inattività anche quando l’utente non ritorna mai.</p> <p>L’autenticazione tramite magic link limita l’impatto delle sessioni di lunga durata: un cookie di sessione rubato non fornisce una credenziale riutilizzabile e la nuova autenticazione richiede l’accesso all’email.</p> <h3 id="accesso-dei-membri-e-dismissione"> Accesso dei membri e dismissione <a href="#accesso-dei-membri-e-dismissione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>L’accesso all’organizzazione è applicato al confine della richiesta. Quando un membro viene disattivato:</p> <ul> <li>L’accesso all’organizzazione è rifiutato immediatamente, anche per gli URL salvati in precedenza.</li> <li>Le assegnazioni di segnalazioni aperte vengono annullate.</li> <li>Le partecipazioni vengono rimosse.</li> <li>La cronologia del registro delle attività attribuibile al membro è preservata.</li> <li>Il membro disattivato viene avvisato.</li> <li>La riattivazione non ripristina automaticamente l’accesso ai casi precedenti.</li> </ul> <p>L’ultimo amministratore attivo e il proprietario dell’organizzazione non possono essere disattivati. Tutti gli eventi di disattivazione e riattivazione sono scritti nel registro delle attività in sola aggiunta.</p> <p>Le appartenenze prive di rilevanza ai fini della conformità (nessuna voce nel registro delle attività, nessuna assegnazione, nessuna partecipazione) vengono eliminate definitivamente alla rimozione; le appartenenze con una rilevanza vengono disattivate in modo reversibile affinché il registro delle attività resti risolvibile.</p> <h3 id="limitazione-delle-richieste"> Limitazione delle richieste <a href="#limitazione-delle-richieste" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Gli endpoint del portale pubblico sono soggetti a limitazione delle richieste per prevenire abusi e attacchi di enumerazione:</p> <table> <thead> <tr> <th>Endpoint</th> <th>Limite</th> </tr> </thead> <tbody> <tr> <td>Invio della segnalazione</td> <td>5 ogni 10 minuti per IP anonimizzato</td> </tr> <tr> <td>Consultazione del caso (ID del caso + codice di accesso)</td> <td>10 ogni 3 minuti per IP anonimizzato</td> </tr> <tr> <td>Invio di messaggi</td> <td>10 ogni 3 minuti per IP anonimizzato</td> </tr> </tbody> </table> <p>La limitazione delle richieste utilizza l’hash IP unidirezionale descritto sopra — nessun IP reale viene memorizzato.</p> <hr> <h2 id="audit-e-conformità"> Audit e conformità <a href="#audit-e-conformit%c3%a0" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <h3 id="registro-delle-attività-in-sola-aggiunta"> Registro delle attività in sola aggiunta <a href="#registro-delle-attivit%c3%a0-in-sola-aggiunta" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Ogni azione in EthicsPortal è registrata con:</p> <ul> <li><strong>Marca temporale</strong> (UTC)</li> <li><strong>Attore</strong> (quale utente o processo di sistema ha eseguito l’azione)</li> <li><strong>Tipo di azione</strong> (segnalazione creata, stato modificato, messaggio inviato, gestore assegnato, segnalazione visualizzata, segnalazione esportata, segnalazione eliminata, ecc.)</li> </ul> <p>Le voci del registro delle attività sono in sola aggiunta. Non possono essere modificate o eliminate da alcun utente, inclusi gli amministratori dell’organizzazione. Il registro delle attività completo è incluso nelle esportazioni dei casi in PDF per la verifica delle autorità.</p> <h3 id="conservazione-dei-dati"> Conservazione dei dati <a href="#conservazione-dei-dati" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Le organizzazioni configurano il proprio periodo di conservazione: <strong>12, 24, 36, 48 o 60 mesi</strong> dopo la chiusura di una segnalazione. Alla scadenza del periodo di conservazione, la segnalazione e tutti i dati associati (messaggi, allegati, voci del registro delle attività) vengono eliminati automaticamente e definitivamente da un processo in background.</p> <p>Ciò soddisfa i requisiti di limitazione della conservazione del GDPR (art. 5, par. 1, lett. e)) e gli obblighi di conservazione dei registri della Direttiva (UE) 2019/1937 (artt. 17-18).</p> <h3 id="protezione-csrf"> Protezione CSRF <a href="#protezione-csrf" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Tutti gli invii di moduli sono protetti contro il cross-site request forgery mediante i token CSRF integrati di Rails.</p> <hr> <h2 id="ciclo-di-vita-di-sviluppo-sicuro"> Ciclo di vita di sviluppo sicuro <a href="#ciclo-di-vita-di-sviluppo-sicuro" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>EthicsPortal segue un ciclo di vita di sviluppo documentato per le modifiche che toccano il Servizio. Le fasi sono indicate qui affinché un addetto all’approvvigionamento possa mapparle ai controlli A.8.25-A.8.29 della ISO/IEC 27001:2022 (vedi la <a href="/iso-27001/">mappa dei controlli</a> per la mappatura completa).</p> <table> <thead> <tr> <th>Fase</th> <th>Prassi</th> </tr> </thead> <tbody> <tr> <td>Architettura e progettazione</td> <td>Le funzionalità che introducono nuovi flussi di dati personali, sub-responsabili del trattamento o ambiti di autorizzazione sono valutate rispetto agli impegni su crittografia, controllo di accesso e registro delle attività documentati in questa pagina prima dell’implementazione.</td> </tr> <tr> <td>Revisione del codice</td> <td>Le modifiche in produzione sono riesaminate rispetto a una checklist di sicurezza scritta (copertura della crittografia, ambito di autorizzazione, emissione del registro delle attività, validazione dell’input, gestione dei segreti) prima del deploy. L’analisi statica viene eseguita a ogni modifica e blocca il merge in caso di errore.</td> </tr> <tr> <td>Codifica sicura</td> <td>Il codice utilizza per impostazione predefinita le difese a livello di framework — query parametrizzate tramite ActiveRecord, strong parameters, escaping dell’output nelle viste, token CSRF, crittografia a livello di attributo, autorizzazione Pundit al confine del controller. Le deviazioni richiedono una giustificazione scritta.</td> </tr> <tr> <td>Test di sicurezza in sviluppo</td> <td>L’analisi statica (<a href="https://brakemanscanner.org" rel="nofollow">Brakeman</a> , <a href="https://github.com/rubysec/bundler-audit" rel="nofollow">bundler-audit</a> , <code>importmap audit</code>) viene eseguita a ogni modifica. I test coprono i percorsi di autorizzazione, gli invarianti della crittografia a riposo, l’emissione del registro delle attività e l’applicazione dei limiti di richieste. Vedi <a href="#dependency-and-patch-management">gestione delle dipendenze e delle patch</a> per la toolchain completa.</td> </tr> <tr> <td>Separazione degli ambienti</td> <td>Gli ambienti di produzione e non di produzione sono isolati. Nessun dato personale di produzione viene utilizzato al di fuori della produzione; gli ambienti di staging e sviluppo utilizzano fixture sintetiche.</td> </tr> <tr> <td>Risposta alle vulnerabilità</td> <td>Le segnalazioni ricevono avviso di ricevimento entro 2 giorni lavorativi (vedi <a href="#responsible-disclosure">divulgazione responsabile</a> ). Obiettivi: problemi critici risolti entro 7 giorni, di livello alto entro 30, medio entro 90. I problemi confermati che interessano i clienti attivi sono comunicati tramite il <a href="/incidents/">registro degli incidenti</a> quando soddisfano i criteri di ambito del registro.</td> </tr> </tbody> </table> <hr> <h2 id="gestione-delle-dipendenze-e-delle-patch"> Gestione delle dipendenze e delle patch <a href="#gestione-delle-dipendenze-e-delle-patch" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>EthicsPortal non distribuisce componenti software a fine vita. L’applicazione gira su versioni attivamente supportate di Rails, Ruby, PostgreSQL e del sistema operativo sottostante; le release di sicurezza a monte vengono applicate su base continuativa.</p> <p>Le dipendenze sono sottoposte a scansione continua in continuous integration:</p> <ul> <li><strong><a href="https://brakemanscanner.org" rel="nofollow">Brakeman</a> </strong> segnala le vulnerabilità specifiche di Rails a ogni modifica.</li> <li><strong><a href="https://github.com/rubysec/bundler-audit" rel="nofollow">bundler-audit</a> </strong> verifica il Gemfile rispetto al Ruby Advisory Database a ogni modifica e nuovamente su base giornaliera, così che i nuovi avvisi pubblicati vengano intercettati anche quando il codice non è cambiato.</li> <li><strong><code>importmap audit</code></strong> esegue la scansione delle importazioni JavaScript alla ricerca di vulnerabilità note a ogni modifica e nuovamente su base giornaliera.</li> <li><strong><a href="https://docs.github.com/en/code-security/dependabot" rel="nofollow">Dependabot</a> </strong> apre pull request settimanali per le gemme Ruby e le GitHub Actions obsolete, raggruppate per aggiornamenti minor/patch.</li> </ul> <p>I componenti che raggiungono il fine vita a monte vengono sostituiti o aggiornati prima della chiusura della loro finestra di supporto.</p> <hr> <h2 id="infrastruttura"> Infrastruttura <a href="#infrastruttura" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <table> <thead> <tr> <th>Componente</th> <th>Fornitore</th> <th>Posizione</th> </tr> </thead> <tbody> <tr> <td>Server applicativo e database</td> <td><a href="https://www.hetzner.com" rel="nofollow">Hetzner</a> </td> <td>Norimberga, Germania (UE)</td> </tr> <tr> <td>Archiviazione dei file</td> <td><a href="https://www.hetzner.com/storage/object-storage" rel="nofollow">Hetzner Object Storage</a> </td> <td>Norimberga, Germania (UE)</td> </tr> <tr> <td>Email transazionali</td> <td><a href="https://www.mailjet.com" rel="nofollow">Mailjet</a> </td> <td>Francia (UE)</td> </tr> <tr> <td>Elaborazione dei pagamenti</td> <td><a href="https://stripe.com" rel="nofollow">Stripe</a> </td> <td>UE</td> </tr> </tbody> </table> <ul> <li>Tutto il trattamento dei dati principale avviene all’interno dell’Unione europea.</li> <li>Nessun numero di carta di credito o credenziale di pagamento è memorizzato sui server di EthicsPortal. Tutti i dati di pagamento sono gestiti da Stripe.</li> <li>Mailjet è utilizzato per le email transazionali (notifiche ai gestori, non rivolte ai segnalanti). Mailjet ha sede in Francia e tratta tutti i dati all’interno dell’UE.</li> <li>Il sito di marketing è erogato tramite Cloudflare (CDN, Stati Uniti); i portali di segnalazione e di gestione no. Vedi la pagina <a href="/subprocessors/">sub-responsabili del trattamento</a> per l’elenco completo e le garanzie di trasferimento.</li> </ul> <hr> <h2 id="backup-e-ripristino"> Backup e ripristino <a href="#backup-e-ripristino" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>EthicsPortal opera due livelli di backup complementari, entrambi conservati all’interno dell’UE:</p> <table> <thead> <tr> <th>Livello</th> <th>Cosa</th> <th>Dove</th> <th>Conservazione</th> </tr> </thead> <tbody> <tr> <td>Database</td> <td>Dump PostgreSQL crittografati giornalieri tramite un accessorio Kamal</td> <td>Hetzner Object Storage, Norimberga (UE)</td> <td>7 giorni</td> </tr> <tr> <td>Server</td> <td>Snapshot completi del disco dell’host applicativo</td> <td>Hetzner Cloud, Norimberga (UE)</td> <td>7 giorni</td> </tr> </tbody> </table> <p><strong>Obiettivi di ripristino.</strong> L’obiettivo del punto di ripristino (RPO) è di 24 ore. L’obiettivo del tempo di ripristino (RTO) è di 4 ore. Questi obiettivi figurano anche nell’<a href="/sla/#recovery-objectives">accordo sul livello di servizio</a> .</p> <p><strong>Test di ripristino.</strong> Un’esercitazione di ripristino viene eseguita automaticamente ogni mese tramite un workflow CI che ripristina l’ultimo dump in un ambiente usa e getta, e su richiesta tramite <code>bin/backup-restore-test</code>. La freschezza dei backup è monitorata continuamente (avviso se il dump più recente è più vecchio di 36 ore).</p> <p><strong>Crittografia.</strong> I dump del database sono crittografati a riposo da Hetzner Object Storage; i campi a livello applicativo crittografati con Rails ActiveRecord Encryption restano crittografati nel dump.</p> <hr> <h2 id="esame-operativo"> Esame operativo <a href="#esame-operativo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Alcuni materiali operativi sono condivisi durante la verifica in fase di approvvigionamento anziché pubblicati per intero sul web aperto, perché contengono dettagli infrastrutturali e di risposta più appropriati per una divulgazione controllata.</p> <p>Tra gli argomenti disponibili su richiesta durante l’approvvigionamento figurano:</p> <ul> <li>Riepilogo dell’accesso privilegiato in produzione</li> <li>Flusso di lavoro di risposta agli incidenti e contatti per l’escalation</li> <li>Risposte su continuità operativa e dismissione/esportazione dei dati dei clienti</li> </ul> <hr> <h2 id="divulgazione-responsabile"> Divulgazione responsabile <a href="#divulgazione-responsabile" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Se scopri una vulnerabilità di sicurezza in EthicsPortal, ti preghiamo di segnalarla a <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> . Ti chiediamo di:</p> <ol> <li>Non divulgare pubblicamente la vulnerabilità prima che abbiamo avuto la possibilità di affrontarla.</li> <li>Fornire dettagli sufficienti affinché possiamo riprodurre e correggere il problema.</li> <li>Non accedere né modificare i dati di altri clienti.</li> </ol> <p>Daremo avviso di ricevimento della tua segnalazione entro 2 giorni lavorativi e ci impegneremo a risolvere prontamente le vulnerabilità confermate.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/subprocessors/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/subprocessors/Servizi di terze parti che trattano dati personali per conto di EthicsPortal. Pubblicati ai sensi dell'articolo 28 del GDPR.<h1 id="sub-responsabili-del-trattamento"> Sub-responsabili del trattamento <a href="#sub-responsabili-del-trattamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p>I sub-responsabili del trattamento sono terze parti che trattano dati personali per conto di EthicsPortal quando EthicsPortal agisce in qualità di responsabile del trattamento per le organizzazioni operatrici (titolari del trattamento). Questo elenco è pubblicato ai sensi dell’articolo 28, paragrafo 2, del GDPR e dell’accordo sul trattamento dei dati.</p> <p>Ultimo aggiornamento: 2026-06-17.</p> <hr> <h2 id="sub-responsabili-del-trattamento-attuali"> Sub-responsabili del trattamento attuali <a href="#sub-responsabili-del-trattamento-attuali" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <table> <thead> <tr> <th>Sub-responsabile del trattamento</th> <th>Giurisdizione</th> <th>Finalità</th> <th>Categorie di dati</th> </tr> </thead> <tbody> <tr> <td><img src="/images/subprocessors/hetzner.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Hetzner Online GmbH</td> <td>🇩🇪 Germania (UE)</td> <td>Hosting di server e database e archiviazione degli allegati</td> <td>Tutti i dati applicativi: segnalazioni, identità dei gestori, messaggi, registri delle attività; allegati caricati (metadati rimossi prima del caricamento)</td> </tr> <tr> <td><img src="/images/subprocessors/cloudflare.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Cloudflare, Inc.</td> <td>🇺🇸 Stati Uniti</td> <td>CDN del sito di marketing e protezione DDoS</td> <td>Indirizzi IP dei visitatori e header delle richieste per le richieste al sito di marketing; risorse statiche memorizzate nella cache. Nessuna segnalazione, dato dei gestori o dato degli account</td> </tr> <tr> <td><img src="/images/subprocessors/mailjet.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Mailjet SAS</td> <td>🇫🇷 Francia (UE)</td> <td>Invio di email transazionali</td> <td>Indirizzi email dei gestori, notifiche dei codici di accesso, email di fatturazione</td> </tr> <tr> <td><img src="/images/subprocessors/stripe.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Stripe Payments Europe, Ltd</td> <td>🇮🇪 Irlanda (UE)</td> <td>Fatturazione degli abbonamenti ed elaborazione dei pagamenti</td> <td>Contatto di fatturazione dell’operatore, dati di pagamento tokenizzati</td> </tr> <tr> <td><img src="/images/subprocessors/appsignal.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> AppSignal B.V.</td> <td>🇳🇱 Paesi Bassi (UE)</td> <td>Tracciamento degli errori e monitoraggio delle prestazioni applicative (solo lato amministratore e gestore)</td> <td>Stack trace, metadati delle richieste; gli IP dei segnalanti non vengono mai registrati</td> </tr> <tr> <td><img src="/images/subprocessors/crisp.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Crisp IM SARL</td> <td>🇫🇷 Francia (UE)</td> <td>Chat di assistenza in-app per i gestori (caricata solo nel portale dei gestori); supporta la verifica dell’identità dell’operatore (KYC). Vedi la nota seguente sulla privacy dei segnalanti.</td> <td>IP del gestore, contenuto della chat, nome e contatto dell’organizzazione operatrice, materiali di verifica dell’identità</td> </tr> </tbody> </table> <p><strong>Privacy del segnalante.</strong> Crisp è caricato solo nel portale dei gestori/amministratori. Non è presente sul sito di marketing né sul portale di segnalazione — la superficie in cui i segnalanti inviano le proprie segnalazioni e ne danno seguito. Nessuno script, cookie o identificatore Crisp raggiunge le pagine rivolte ai segnalanti. I segnalanti non vengono mai tracciati da Crisp.</p> <p><strong>Nessun sub-responsabile del trattamento basato su IA o LLM.</strong> Nessun modello linguistico di grandi dimensioni, servizio di IA generativa o classificatore basato su IA è sub-responsabile del trattamento di EthicsPortal. Il contenuto delle segnalazioni, l’identità dei segnalanti, i messaggi dei gestori e i registri delle attività non vengono trasmessi a OpenAI, Anthropic, Google, Mistral o ad altri fornitori di inferenza IA. Si tratta di un impegno di prodotto, non di un’impostazione predefinita di configurazione — vedi il <a href="/directive-coverage/#5-confidentiality-of-identity-art-16">§5 della mappa di copertura della Direttiva</a> per l’inquadramento giuridico.</p> <p>I trasferimenti verso giurisdizioni al di fuori dell’UE/SEE si basano sulle clausole contrattuali tipo e su garanzie aggiuntive come dettagliato nell’accordo sul trattamento dei dati.</p> <hr> <h2 id="cosa-si-intende-per-sub-responsabile-del-trattamento"> Cosa si intende per sub-responsabile del trattamento <a href="#cosa-si-intende-per-sub-responsabile-del-trattamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Un sub-responsabile del trattamento è qualsiasi servizio di terze parti che tratta dati personali per conto di EthicsPortal sulla base di un accordo scritto sul trattamento. I servizi compaiono qui solo se ricevono, archiviano o trasmettono dati personali. Le librerie interne, i registri dei pacchetti e le dipendenze in fase di build non sono sub-responsabili del trattamento.</p> <hr> <h2 id="comunicazione-delle-modifiche"> Comunicazione delle modifiche <a href="#comunicazione-delle-modifiche" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Gli operatori sono informati delle aggiunte o delle modifiche a questo elenco almeno 30 giorni prima che un nuovo sub-responsabile del trattamento inizi a trattare dati personali. Le obiezioni a un sub-responsabile del trattamento proposto possono essere sollevate ai sensi dell’accordo sul trattamento dei dati.</p> <hr> <h2 id="domande"> Domande <a href="#domande" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Per domande sul trattamento dei dati da parte dei sub-responsabili del trattamento, contatta <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/terms/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/terms/Termini di servizio di EthicsPortal — la piattaforma di segnalazione sicura per la conformità alla normativa UE.<h1 id="termini-di-servizio"> Termini di servizio <a href="#termini-di-servizio" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p><strong>Data di efficacia:</strong> 22 aprile 2026 <strong>Ultimo aggiornamento:</strong> 22 aprile 2026</p> <h2 id="1-introduzione"> 1. Introduzione <a href="#1-introduzione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>I presenti Termini di servizio (“Termini”) disciplinano l’utilizzo di EthicsPortal su <a href="https://ethicsportal.eu">ethicsportal.eu</a> (il “Servizio”). EthicsPortal è gestito da Yaroslav Shmarov, con sede in ul. Obrzeżna 1A, 02-691 Varsavia, Polonia (“noi”, “ci”, “nostro”). Le informazioni di base sulla parte contraente sono pubblicate sulla pagina <a href="/trust/">trust</a> .</p> <p>Creando un account o utilizzando il Servizio, accetti di essere vincolato dai presenti Termini. Se non accetti, non utilizzare il Servizio.</p> <h2 id="2-descrizione-del-servizio"> 2. Descrizione del servizio <a href="#2-descrizione-del-servizio" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>EthicsPortal è una piattaforma di segnalazione sicura. Il Servizio consente alle organizzazioni di gestire canali di segnalazione per la compliance e di proteggere i segnalanti.</p> <h2 id="3-requisiti-di-ammissibilità"> 3. Requisiti di ammissibilità <a href="#3-requisiti-di-ammissibilit%c3%a0" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Per utilizzare il Servizio devi:</p> <ul> <li>Avere almeno 16 anni</li> <li>Fornire un indirizzo email valido</li> <li>Avere la capacità giuridica di stipulare un accordo vincolante</li> </ul> <p>Ci riserviamo il diritto di rifiutare il Servizio a chiunque per qualsiasi motivo.</p> <h2 id="4-il-tuo-account"> 4. Il tuo account <a href="#4-il-tuo-account" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li>Sei responsabile del mantenimento della riservatezza delle tue credenziali di accesso</li> <li>Sei responsabile di tutte le attività che avvengono sotto il tuo account</li> <li>Devi fornire informazioni accurate e complete al momento della creazione del tuo account</li> <li>Non devi creare più account per la stessa persona</li> <li>Devi avvisarci immediatamente se sospetti un accesso non autorizzato al tuo account</li> </ul> <h2 id="5-abbonamenti-e-pagamenti"> 5. Abbonamenti e pagamenti <a href="#5-abbonamenti-e-pagamenti" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li>Le funzionalità a pagamento richiedono un abbonamento attivo</li> <li>Gli abbonamenti sono fatturati su base ricorrente (mensile o annuale) tramite <a href="https://stripe.com" rel="nofollow">Stripe</a> </li> <li>Non memorizziamo numeri di carte di credito o dati di conto corrente sui nostri server — tutta l’elaborazione dei pagamenti è gestita da Stripe</li> <li>I prezzi sono indicati nel Servizio e possono variare previo avviso</li> </ul> <h3 id="annullamento-e-rimborsi"> Annullamento e rimborsi <a href="#annullamento-e-rimborsi" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Puoi annullare il tuo abbonamento in qualsiasi momento dalle impostazioni di fatturazione. L’annullamento ha effetto al termine del periodo di fatturazione in corso — conservi l’accesso fino a quel momento.</p> <p><strong>Garanzia di rimborso entro 30 giorni.</strong> Se annulli entro 30 giorni dal primo addebito a pagamento, puoi richiedere il rimborso completo di tale pagamento iniziale scrivendo a <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . La garanzia si applica una volta per organizzazione al primo abbonamento a pagamento e non si applica ai rinnovi.</p> <p>Trascorsa la finestra di 30 giorni, gli abbonamenti non sono rimborsabili. Non rimborsiamo la parte non utilizzata di un periodo di fatturazione dopo l’annullamento. Vedi la <a href="/refunds/">politica di rimborso</a> per i dettagli.</p> <h2 id="6-contenuti-dellutente"> 6. Contenuti dell’utente <a href="#6-contenuti-dellutente" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>I “contenuti dell’utente” includono qualsiasi testo, immagine, file o altro materiale che invii al Servizio (informazioni del profilo, file caricati).</p> <ul> <li>Inviando contenuti al Servizio (informazioni del profilo, ecc.), ci concedi una licenza non esclusiva, mondiale e gratuita per utilizzare, mostrare e distribuire tali contenuti unicamente nella misura necessaria a fornire il Servizio</li> <li>Questa licenza cessa quando elimini i contenuti o il tuo account</li> <li>Non devi inviare contenuti illegali, lesivi di diritti altrui, diffamatori, osceni o altrimenti dannosi</li> </ul> <p>Ci riserviamo il diritto di rimuovere i contenuti che violano i presenti Termini.</p> <h2 id="7-condotte-vietate"> 7. Condotte vietate <a href="#7-condotte-vietate" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Accetti di non:</p> <ul> <li>Utilizzare il Servizio per qualsiasi finalità illegale</li> <li>Effettuare scraping o crawling, o utilizzare mezzi automatizzati per accedere al Servizio senza la nostra autorizzazione</li> <li>Creare account falsi o falsificare la tua identità</li> <li>Interferire con il Servizio o la sua infrastruttura o comprometterne il funzionamento</li> <li>Tentare di ottenere un accesso non autorizzato agli account o ai dati di altri utenti</li> <li>Utilizzare il Servizio per inviare spam, phishing o messaggi non richiesti</li> <li>Aggirare qualsiasi misura di sicurezza o controllo di accesso</li> <li>Effettuare reverse engineering, decompilare o disassemblare qualsiasi parte del Servizio</li> <li>Rivendere o ridistribuire il Servizio senza la nostra autorizzazione</li> </ul> <h2 id="8-proprietà-intellettuale"> 8. Proprietà intellettuale <a href="#8-propriet%c3%a0-intellettuale" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li><strong>La nostra proprietà:</strong> Il Servizio, inclusi il suo design, il codice, il marchio e la documentazione, è di nostra proprietà e protetto dalle leggi applicabili in materia di proprietà intellettuale. Non puoi copiare, modificare o distribuire alcuna parte del Servizio senza la nostra autorizzazione.</li> <li><strong>La tua proprietà:</strong> Conservi tutti i diritti sui contenuti che invii. Non rivendichiamo alcuna proprietà sui tuoi contenuti.</li> </ul> <h2 id="9-risoluzione"> 9. Risoluzione <a href="#9-risoluzione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li><strong>Da parte tua:</strong> Puoi eliminare il tuo account in qualsiasi momento dalle impostazioni dell’account. Ciò rimuove definitivamente i tuoi dati come descritto nella nostra <a href="/privacy/">Informativa sulla privacy</a> .</li> <li><strong>Da parte nostra:</strong> Possiamo sospendere o chiudere il tuo account se violi i presenti Termini, se tieni condotte vietate o se richiesto dalla legge. Faremo sforzi ragionevoli per avvisarti prima della risoluzione, salvo i casi in cui sia necessaria un’azione immediata (ad esempio frode, minacce alla sicurezza).</li> </ul> <p>Al momento della risoluzione, il tuo diritto di utilizzare il Servizio cessa immediatamente.</p> <h2 id="10-esclusione-di-garanzie"> 10. Esclusione di garanzie <a href="#10-esclusione-di-garanzie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Il Servizio è fornito <strong>“così com’è”</strong> e <strong>“come disponibile”</strong> senza garanzie di alcun tipo, espresse o implicite, incluse, a titolo esemplificativo, le garanzie implicite di commerciabilità, idoneità a uno scopo particolare e non violazione di diritti.</p> <p>Non garantiamo che:</p> <ul> <li>Il Servizio sarà ininterrotto, tempestivo, sicuro o privo di errori</li> <li>Il Servizio soddisferà i tuoi requisiti specifici</li> </ul> <h2 id="11-limitazione-di-responsabilità"> 11. Limitazione di responsabilità <a href="#11-limitazione-di-responsabilit%c3%a0" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Nella misura massima consentita dalla legge, non saremo responsabili per eventuali danni indiretti, incidentali, speciali, consequenziali o punitivi, inclusi, a titolo esemplificativo, la perdita di profitti, dati o opportunità commerciali.</p> <p>Nella misura massima consentita dalla legge, la nostra responsabilità aggregata complessiva derivante da o relativa al Servizio, ai presenti Termini, all’<a href="/dpa/">accordo sul trattamento dei dati</a> o all’<a href="/sla/">accordo sul livello di servizio</a> non supererà i corrispettivi che ci hai versato per il Servizio nei 12 mesi precedenti l’evento da cui deriva la pretesa.</p> <p>Nulla nei presenti Termini esclude o limita la responsabilità per frode, dolo o qualsiasi responsabilità che non possa essere esclusa o limitata ai sensi della legge applicabile.</p> <h2 id="12-manleva-per-violazione-della-proprietà-intellettuale"> 12. Manleva per violazione della proprietà intellettuale <a href="#12-manleva-per-violazione-della-propriet%c3%a0-intellettuale" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Nella misura massima consentita dalla legge, difenderemo il Titolare del trattamento da qualsiasi pretesa di terzi avanzata contro il Titolare del trattamento secondo cui il Servizio, come da noi fornito e utilizzato in conformità ai presenti Termini e all’<a href="/dpa/">accordo sul trattamento dei dati</a> , violi un diritto d’autore, un marchio o un brevetto azionabile nell’Unione europea, e pagheremo i danni e le spese ragionevoli definitivamente posti a carico del Titolare del trattamento da un tribunale competente o da noi concordati in via transattiva, a condizione che il Titolare del trattamento:</p> <ul> <li>Ci comunichi prontamente per iscritto la pretesa</li> <li>Ci conceda il controllo esclusivo della difesa e della transazione della pretesa, con la ragionevole collaborazione del Titolare del trattamento a nostre spese</li> <li>Non ammetta responsabilità né transiga la pretesa senza il nostro previo consenso scritto</li> </ul> <p>La presente manleva non si applica alle pretese derivanti da:</p> <ul> <li>Modifiche al Servizio apportate dal Titolare del trattamento o da terzi</li> <li>Utilizzo del Servizio in combinazione con componenti, dati o servizi non autorizzati o forniti da noi, qualora la pretesa non sarebbe sorta in assenza di tale combinazione</li> <li>Utilizzo del Servizio in violazione dei presenti Termini, dell’accordo sul trattamento dei dati o della legge applicabile</li> <li>Utilizzo continuato del Servizio dopo che abbiamo reso disponibile un’alternativa non lesiva di diritti o fornito un avviso scritto di cessazione dell’uso</li> </ul> <p>Se il Servizio diventa, o secondo la nostra ragionevole opinione è probabile che diventi, oggetto di una pretesa per violazione, possiamo, a nostra scelta e a nostre spese, (i) procurare al Titolare del trattamento il diritto di continuare a utilizzare il Servizio, (ii) modificare il Servizio in modo che non violi diritti preservando una funzionalità sostanzialmente equivalente, (iii) sostituire il Servizio con un’alternativa non lesiva di diritti dotata di funzionalità sostanzialmente equivalente, oppure (iv) qualora nessuna delle opzioni precedenti sia commercialmente ragionevole, risolvere la parte interessata del Servizio e rimborsare gli eventuali corrispettivi anticipati per la parte non utilizzata del periodo di fatturazione in corso.</p> <p>Nella misura massima consentita dalla legge, la presente Sezione 12 esprime la nostra intera responsabilità, e il rimedio esclusivo del Titolare del trattamento, in relazione alle pretese di terzi per violazione della proprietà intellettuale relative al Servizio. Gli importi dovuti ai sensi della presente Sezione 12 sono soggetti al massimale di responsabilità aggregata di cui alla Sezione 11.</p> <h2 id="13-legge-applicabile-e-controversie"> 13. Legge applicabile e controversie <a href="#13-legge-applicabile-e-controversie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>I presenti Termini sono disciplinati dalla legge polacca. Qualsiasi controversia derivante da o relativa ai presenti Termini o al Servizio sarà devoluta alla competenza esclusiva dei tribunali di Varsavia, Polonia.</p> <p>Se sei un consumatore residente nell’UE, hai anche il diritto di agire dinanzi ai tribunali del tuo Paese di residenza.</p> <h2 id="14-modifiche-ai-presenti-termini"> 14. Modifiche ai presenti Termini <a href="#14-modifiche-ai-presenti-termini" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Possiamo aggiornare i presenti Termini di tanto in tanto. Quando apportiamo modifiche sostanziali, ti avviseremo via email o tramite una notifica in-app almeno 14 giorni prima che le modifiche abbiano effetto.</p> <p>L’utilizzo continuato del Servizio dopo l’entrata in vigore dei Termini aggiornati costituisce accettazione delle modifiche. Se non accetti i Termini aggiornati, puoi eliminare il tuo account.</p> <h2 id="15-clausola-di-salvaguardia"> 15. Clausola di salvaguardia <a href="#15-clausola-di-salvaguardia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Qualora una disposizione dei presenti Termini risulti inapplicabile, le restanti disposizioni continueranno ad avere piena validità ed efficacia.</p> <h2 id="16-contattaci"> 16. Contattaci <a href="#16-contattaci" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Se hai domande sui presenti Termini, contattaci a:</p> <p><strong>Email:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> <strong>Sicurezza:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> <strong>Sede:</strong> Varsavia, Polonia</p> <p>DPA firmati, evidenze di registro e materiali per la verifica in fase di approvvigionamento sono disponibili su richiesta durante l’approvvigionamento.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/it/trust/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/it/trust/Parte contraente, residenza dei dati, certificazioni e materiali per l'approvvigionamento di EthicsPortal.<h1 id="trust"> Trust <a href="#trust" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h1> <p>Tutto ciò di cui un addetto all’approvvigionamento, un DPO o un team legale ha bisogno per valutare EthicsPortal.</p> <p>Ultimo aggiornamento: 2026-05-24.</p> <hr> <h2 id="parte-contraente"> Parte contraente <a href="#parte-contraente" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <ul> <li><strong>Nome del servizio:</strong> EthicsPortal</li> <li><strong>Operatore:</strong> Yaroslav Shmarov</li> <li><strong>Indirizzo registrato:</strong> ul. Obrzeżna 1A, 02-691 Varsavia, Polonia</li> <li><strong>Numero di identificazione fiscale (NIP):</strong> 5272755790</li> <li><strong>Firmatario autorizzato per accordi commerciali, DPA e questionari di sicurezza:</strong> Yaroslav Shmarov</li> <li><strong>Contatto commerciale:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> </li> <li><strong>Contatto per la sicurezza:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> </li> <li><strong>Contatto per privacy e protezione dei dati:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> </li> </ul> <p>Le evidenze di registro e i documenti contrattuali firmati sono forniti su richiesta durante l’approvvigionamento.</p> <hr> <h2 id="residenza-dei-dati-e-rapporto-di-responsabile-del-trattamento"> Residenza dei dati e rapporto di responsabile del trattamento <a href="#residenza-dei-dati-e-rapporto-di-responsabile-del-trattamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Nel modello di abbonamento standard, il cliente è il titolare del trattamento ed EthicsPortal agisce in qualità di responsabile del trattamento per i dati delle segnalazioni del cliente.</p> <p>I dati principali delle segnalazioni, inclusi l’applicazione, il database e l’archiviazione dei file, sono ospitati a Norimberga, in Germania, su <a href="https://www.hetzner.com" rel="nofollow">Hetzner</a> . Le email transazionali transitano tramite Mailjet (Francia). Il sito di marketing utilizza un solo sub-responsabile del trattamento extra-UE nominato, Cloudflare (CDN), elencato per intero nella pagina <a href="/subprocessors/">sub-responsabili del trattamento</a> . Il portale di segnalazione e il portale dei gestori non caricano Cloudflare.</p> <hr> <h2 id="continuità-e-personale"> Continuità e personale <a href="#continuit%c3%a0-e-personale" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p><strong>I dati del cliente sono recuperabili indipendentemente dalla disponibilità dell’operatore.</strong> In qualsiasi momento del rapporto e alla cessazione del contratto, le organizzazioni clienti hanno diritto a un’esportazione completa e leggibile da macchina dei propri dati, oltre a un periodo definito di dismissione per migrare verso un fornitore alternativo. Queste disposizioni sono indicate nell’<a href="/dpa/">accordo sul trattamento dei dati</a> e dettagliate nel <a href="/policies/business-continuity/">piano di continuità operativa</a> , che definisce gli eventi scatenanti di attivazione, <strong>RPO 24 ore / RTO 4 ore</strong> e la procedura in caso di indisponibilità dell’operatore.</p> <p><strong>Backup.</strong> Dump PostgreSQL crittografati giornalieri su Hetzner Object Storage (UE, conservazione di 7 giorni) più snapshot a livello di server Hetzner (conservazione di 7 giorni). Ultima esercitazione di ripristino: 2026-05-14.</p> <p><strong>Ambito del personale.</strong> Tutti i dati dei clienti sono trattati dall’operatore nominato. Non vi sono altri dipendenti o collaboratori — una scelta deliberata di ambito che rimuove dal modello delle minacce i rischi lato fornitore legati al personale (carenze nelle verifiche dei precedenti, fughe in fase di assunzione/cessazione, proliferazione di collaboratori). I controlli sull’accesso privilegiato dell’operatore nominato sono documentati e disponibili durante la verifica in fase di approvvigionamento.</p> <hr> <h2 id="stato-delle-certificazioni"> Stato delle certificazioni <a href="#stato-delle-certificazioni" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>EthicsPortal attualmente non dichiara su questo sito una certificazione ISO 27001 accreditata. Non risulta attualmente un penetration test esterno indipendente. Quando una delle due cose cambierà, qui verranno pubblicati il nome della certificazione (oppure l’ambito, la data e il riepilogo dei rimedi del test).</p> <p>In luogo di una certificazione accreditata, EthicsPortal pubblica un’autovalutazione strutturata rispetto agli stessi insiemi di controlli che un audit esterno valuterebbe:</p> <ul> <li>Una <a href="/iso-27001/">mappa dei controlli dell’Allegato A della ISO/IEC 27001:2022</a> che copre tutti i 93 controlli, con lo stato (Implementato / Autovalutato / Non applicabile / Controllo compensativo) e i riferimenti alle evidenze per ciascuno.</li> <li>Una <a href="/iso-37002/">mappa di allineamento alle linee guida della ISO 37002:2021</a> che copre il ciclo di vita della gestione del whistleblowing clausola per clausola, con l’indicazione del confine tra software e operatore. (La ISO 37002 è una norma di linee guida — nessuna organizzazione può essere certificata rispetto ad essa; l’allineamento è l’unica affermazione onesta che un fornitore possa fare.)</li> <li>Documenti di policy nominati su <a href="/policies/">/policies/</a> : <a href="/policies/information-security/">politica di sicurezza delle informazioni</a> , <a href="/policies/business-continuity/">piano di continuità operativa</a> , <a href="/policies/risk-register/">registro dei rischi</a> .</li> <li>Un <a href="/caiq/">questionario allineato al CAIQ precompilato</a> per le domande le cui risposte sono già documentate pubblicamente.</li> </ul> <p>L’autovalutazione è la sostanza che un accreditamento attesterebbe. EthicsPortal la pubblica direttamente affinché un addetto all’approvvigionamento possa valutare le stesse evidenze senza attendere un revisore.</p> <hr> <h2 id="ciclo-di-vita-operativo"> Ciclo di vita operativo <a href="#ciclo-di-vita-operativo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <table> <thead> <tr> <th>Domanda</th> <th>Risposta</th> </tr> </thead> <tbody> <tr> <td>Disponibilità in tempo reale</td> <td>Pubblicata su <a href="https://secure.ethicsportal.eu/up" rel="nofollow">secure.ethicsportal.eu/up</a> per le superfici coperte. Vedi l’<a href="/sla/">accordo sul livello di servizio</a> per la metodologia di misurazione e le esclusioni.</td> </tr> <tr> <td>Ciclo di vita di sessioni e accessi</td> <td>Le sessioni scadono automaticamente dopo 14 giorni di inattività e vengono ripulite ogni notte. Gli utenti possono esaminare e revocare le proprie sessioni in qualsiasi momento. Ogni sessione registra <code>last_seen_at</code>, così i dispositivi obsoleti sono identificabili. La disattivazione di un membro interrompe l’accesso al confine della richiesta, annulla l’assegnazione delle segnalazioni aperte e rimuove le partecipazioni preservando la cronologia di audit. Vedi <a href="/security/#access-control">Sicurezza</a> .</td> </tr> <tr> <td>Backup e ripristino</td> <td>Dump PostgreSQL crittografati giornalieri su Hetzner Object Storage (UE, conservazione di 7 giorni) più snapshot a livello di server Hetzner (conservazione di 7 giorni). <strong>RPO 24 ore, RTO 4 ore.</strong> Ultima esercitazione di ripristino: 2026-05-14. Vedi <a href="/security/#backups-and-restore">Sicurezza</a> .</td> </tr> <tr> <td>Gestione delle dipendenze e delle patch</td> <td>SCA continuo in CI (Brakeman, bundler-audit, importmap audit) più aggiornamenti settimanali di Dependabot. Nessun componente a fine vita in produzione. Vedi <a href="/security/#dependency-and-patch-management">Sicurezza</a> .</td> </tr> <tr> <td>Esportazione ed eliminazione</td> <td>L’esportazione del caso in PDF è disponibile in-app per ogni caso (descrizione, messaggi, registro delle attività, allegati). L’esportazione massiva leggibile da macchina dell’intero set di dati dell’organizzazione è disponibile su richiesta alla cessazione del contratto. Gli impegni contrattuali sono nell’<a href="/dpa/">accordo sul trattamento dei dati</a> .</td> </tr> <tr> <td>Obiettivi di ripristino</td> <td>Vedi l’<a href="/sla/#recovery-objectives">accordo sul livello di servizio</a> .</td> </tr> </tbody> </table> <hr> <h2 id="posizioni-contrattuali"> Posizioni contrattuali <a href="#posizioni-contrattuali" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Un’unica fonte di verità per le domande contrattuali che i team di approvvigionamento aziendale pongono più di frequente. Ogni riga rimanda al documento che disciplina la materia.</p> <table> <thead> <tr> <th>Voce</th> <th>Posizione di EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Massimale di responsabilità aggregata</td> <td>12 mesi di corrispettivi versati nei 12 mesi precedenti l’evento da cui deriva la pretesa (<a href="/terms/">Termini §11</a> ). L’accordo sul trattamento dei dati, l’accordo sul livello di servizio e la manleva per la proprietà intellettuale rientrano tutti nello stesso massimale aggregato.</td> </tr> <tr> <td>Manleva per violazione della proprietà intellettuale</td> <td>L’operatore difenderà il Titolare del trattamento da pretese di terzi in materia di diritto d’autore, marchi o brevetti derivanti dall’uso del Servizio in conformità ai Termini, fatte salve le esclusioni standard (modifiche del cliente, uso non autorizzato, combinazioni non autorizzate) e il massimale di responsabilità aggregata. Vedi <a href="/terms/">Termini §12</a> .</td> </tr> <tr> <td>Finestra di notifica delle violazioni</td> <td>Senza ingiustificato ritardo e in ogni caso entro 72 ore dalla conoscenza (<a href="/dpa/">DPA §6.6</a> ), in linea con l’<a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 33</a> del GDPR. Nei piani standard non viene offerta contrattualmente alcuna finestra più breve, perché finestre più brevi rischiano una notifica prematura e sono in conflitto con la soglia forense imposta dal GDPR.</td> </tr> <tr> <td>Diritti di audit</td> <td>Ai sensi dell’<a href="https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937" target="_blank" rel="noopener noreferrer">Art. 28(3)(h)</a> del GDPR, con almeno 30 giorni di preavviso e durante il normale orario lavorativo (<a href="/dpa/">DPA §6.9</a> ). Il Responsabile del trattamento risponderà a questionari di sicurezza scritti in luogo dell’audit in loco, ove la verifica del Titolare del trattamento possa essere soddisfatta in tal modo.</td> </tr> <tr> <td>Crediti di servizio</td> <td>I piani standard non includono crediti di servizio monetari. I rimedi per inadempimenti rilevanti o ripetuti in materia di disponibilità sono disciplinati dal massimale di responsabilità aggregata (<a href="/sla/">SLA</a> ).</td> </tr> <tr> <td>Chiavi di crittografia gestite dal cliente (BYOK / KMS esterno)</td> <td>Non supportate. Le chiavi gestite dal Responsabile del trattamento sono necessarie per mantenere il confine delle chiavi segnalante–gestore e la garanzia di eliminazione end-to-end. Vedi <a href="/dpa/">DPA §6.11</a> .</td> </tr> <tr> <td>Deposito del codice sorgente in escrow</td> <td>Non offerto. La continuità è gestita tramite le disposizioni in caso di indisponibilità dell’operatore del <a href="/policies/business-continuity/">piano di continuità operativa</a> e i diritti di esportazione ed eliminazione dei dati del Titolare del trattamento ai sensi del <a href="/dpa/">DPA §6.8</a> .</td> </tr> <tr> <td>Preavviso di modifica dei sub-responsabili del trattamento</td> <td>Almeno 30 giorni prima di aggiungere o sostituire un sub-responsabile del trattamento; il Titolare del trattamento può opporsi e risolvere il contratto se non si raggiunge una soluzione (<a href="/dpa/">DPA §6.4</a> ).</td> </tr> <tr> <td>Esportazione ed eliminazione dei dati alla cessazione</td> <td>Esportazione del caso in PDF self-service nel prodotto, più esportazione massiva leggibile da macchina su richiesta alla cessazione, più eliminazione entro 30 giorni dalla cessazione dell’abbonamento su richiesta scritta (<a href="/dpa/">DPA §6.8</a> ).</td> </tr> <tr> <td>Assicurazione di responsabilità cyber</td> <td>In fase di valutazione. L’importo della copertura e la compagnia saranno pubblicati qui una volta attivati.</td> </tr> <tr> <td>Penetration test esterno indipendente</td> <td>Attualmente nessuno risulta agli atti. Ambito, data e riepilogo dei rimedi saranno pubblicati qui una volta eseguito.</td> </tr> <tr> <td>Legge applicabile e foro competente</td> <td>Legge polacca; tribunali di Varsavia (<a href="/terms/">Termini §13</a> ). I consumatori dell’UE conservano il diritto di agire nel proprio Paese di residenza.</td> </tr> </tbody> </table> <p>Queste posizioni si riflettono nei <a href="/terms/">Termini di servizio</a> , nell’<a href="/dpa/">accordo sul trattamento dei dati</a> e nell’<a href="/sla/">accordo sul livello di servizio</a> pubblicati. Nei piani standard non sono concesse deviazioni sostanziali.</p> <hr> <h2 id="documenti-pubblici"> Documenti pubblici <a href="#documenti-pubblici" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>Tutto ciò di cui un addetto all’approvvigionamento ha bisogno è pubblicato apertamente. Raggruppato in base alla funzione del documento.</p> <h3 id="contrattuali"> Contrattuali <a href="#contrattuali" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Ciò che disciplina il rapporto tra EthicsPortal e il cliente.</p> <table> <thead> <tr> <th>Documento</th> <th>Finalità</th> </tr> </thead> <tbody> <tr> <td><a href="/terms/">Termini di servizio</a> </td> <td>Termini dell’abbonamento, annullamento, rimborsi, massimale di responsabilità, manleva sulla proprietà intellettuale</td> </tr> <tr> <td><a href="/dpa/">Accordo sul trattamento dei dati</a> </td> <td>Termini per il responsabile del trattamento ai sensi dell’art. 28 del GDPR</td> </tr> <tr> <td><a href="/sla/">Accordo sul livello di servizio</a> </td> <td>Obiettivo di disponibilità e misurazione</td> </tr> <tr> <td><a href="/privacy/">Informativa sulla privacy</a> </td> <td>Come vengono trattati i dati personali</td> </tr> </tbody> </table> <h3 id="operativi"> Operativi <a href="#operativi" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Come funziona il Servizio nel quotidiano e chi altro è coinvolto.</p> <table> <thead> <tr> <th>Documento</th> <th>Finalità</th> </tr> </thead> <tbody> <tr> <td><a href="/security/">Sicurezza</a> </td> <td>Misure tecniche e organizzative</td> </tr> <tr> <td><a href="/subprocessors/">Sub-responsabili del trattamento</a> </td> <td>Sub-responsabili del trattamento nominati e relativo ambito</td> </tr> <tr> <td><a href="/incidents/">Registro degli incidenti</a> </td> <td>Incidenti rilevanti che interessano i dati personali</td> </tr> <tr> <td><a href="/accessibility/">Accessibilità</a> </td> <td>Stato di conformità EAA / EN 301 549</td> </tr> </tbody> </table> <h3 id="riferimento-alla-direttiva"> Riferimento alla Direttiva <a href="#riferimento-alla-direttiva" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>Come EthicsPortal si rapporta alla Direttiva (UE) 2019/1937 e come la interpreta.</p> <table> <thead> <tr> <th>Documento</th> <th>Finalità</th> </tr> </thead> <tbody> <tr> <td><a href="/directive-coverage/">Mappa di copertura della Direttiva (UE) 2019/1937</a> </td> <td>Mappa funzione-articolo della Direttiva (UE) 2019/1937</td> </tr> <tr> <td><a href="/directive-interpretations/">Interpretazioni della Direttiva (UE) 2019/1937</a> </td> <td>Posizioni interpretative sulle disposizioni ambigue della Direttiva</td> </tr> <tr> <td><a href="/whistleblower-laws/">Normativa sul whistleblowing per Paese</a> </td> <td>Recepimenti nazionali, autorità competenti</td> </tr> <tr> <td><a href="/penalties/">Sanzioni per Paese</a> </td> <td>Sanzioni pecuniarie e responsabilità penale per Stato membro</td> </tr> </tbody> </table> <h3 id="autovalutazione"> Autovalutazione <a href="#autovalutazione" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h3> <p>I documenti di policy nominati e le mappe dei controlli che un audit esterno valuterebbe.</p> <table> <thead> <tr> <th>Documento</th> <th>Finalità</th> </tr> </thead> <tbody> <tr> <td><a href="/policies/information-security/">Politica di sicurezza delle informazioni</a> </td> <td>Dichiarazione di intenti, ambito, ruoli, impegni sui controlli</td> </tr> <tr> <td><a href="/policies/business-continuity/">Piano di continuità operativa</a> </td> <td>Eventi scatenanti di attivazione, obiettivi di ripristino, dichiarazione sull’indisponibilità dell’operatore</td> </tr> <tr> <td><a href="/policies/risk-register/">Registro dei rischi</a> </td> <td>Rischi principali, trattamento, posizione residua</td> </tr> <tr> <td><a href="/iso-27001/">Mappa dei controlli dell’Allegato A della ISO/IEC 27001:2022</a> </td> <td>Autovalutazione strutturata rispetto a tutti i 93 controlli</td> </tr> <tr> <td><a href="/caiq/">Questionario allineato al CAIQ</a> </td> <td>Valutazione di sicurezza del fornitore precompilata (struttura per domini CSA CAIQ v4)</td> </tr> </tbody> </table> <hr> <h2 id="disponibili-durante-la-verifica-in-fase-di-approvvigionamento"> Disponibili durante la verifica in fase di approvvigionamento <a href="#disponibili-durante-la-verifica-in-fase-di-approvvigionamento" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link a questa sezione">#</a> </h2> <p>I materiali seguenti sono condivisi tramite divulgazione controllata anziché pubblicati apertamente:</p> <ul> <li>DPA firmato</li> <li>Estratto di registro e prova del NIP / fiscale</li> <li>Questionario di sicurezza compilato</li> <li>Riepilogo dell’accesso privilegiato in produzione</li> <li>Riepilogo di risposta agli incidenti</li> <li>Risposte su continuità operativa, cessazione ed esportazione dei dati del cliente</li> <li>Riepilogo del penetration test esterno (quando agli atti)</li> </ul> <p>Per richiederli, scrivi a <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . Per domande sulla verifica di sicurezza, scrivi a <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)