Seguridad informática y protección de datos de los sistemas de denuncia de irregularidades

En los sistemas digitales de denuncia de irregularidades deben aplicarse diversos requisitos de seguridad informática y protección de datos. Los informes de los denunciantes sobre infracciones de leyes o políticas corporativas pueden contener datos personales, algunos de los cuales pueden ser sensibles. En la siguiente entrada del blog se describen los requisitos esenciales. Además, le mostraremos que nuestro Hintbox cumple todos estos requisitos, tanto desde el punto de vista técnico y organizativo como jurídico.

Uso de las últimas tecnologías de cifrado 

La legislación europea sobre protección de datos establece que los responsables y encargados del tratamiento de los sistemas de denuncia de irregularidades deben aplicar medidas técnicas y organizativas adecuadas para garantizar un nivel de protección proporcional al riesgo. Esto incluye, en particular, el cifrado de los datos personales (art. 32 (1) (a) GDPR). 

Las bases de datos de Hintbox están ampliamente protegidas contra el acceso no autorizado mediante tecnologías de encriptación de última generación. El cifrado TLS (Transport Layer Security) garantiza la transmisión segura de datos entre usted y Hintbox y nuestro sitio web.

Además, actualmente estamos implantando el cifrado de extremo a extremo, desde la introducción de una denuncia por parte del denunciante hasta su almacenamiento en nuestro servidor, con el fin de ofrecer a nuestros clientes el mayor nivel de seguridad posible. Como resultado, los datos personales en nuestro sistema de denuncia están encriptados en todas las estaciones de transmisión y sólo las partes autorizadas (el denunciante, así como la empresa/autoridad u oficial de cumplimiento/responsable) pueden desencriptar y ver los datos. El cifrado tiene lugar exclusivamente en el sitio del denunciante o del responsable de cumplimiento. Esto significa que los datos llegan a nuestros servidores ya encriptados, de modo que ni nosotros, ni el lawcode, ni otros terceros pueden leer la información en ningún momento.

Garantizar la confidencialidad, integridad y disponibilidad de los sistemas y la recuperación

Nuestro sistema Hintbox también garantiza la confidencialidad, integridad y disponibilidad de los sistemas y datos (art. 32(1)(b) DSGVO). Cada usuario de Hintbox puede activar la autenticación segura de 2 factores para garantizar la confidencialidad de los datos. Además, cada uno de nuestros clientes de Hintbox recibe su propia instancia separada de Hintbox, lo que garantiza una estricta separación de los datos. Por lo tanto, el acceso no autorizado a datos de terceros queda excluido gracias al almacenamiento aislado de datos en nuestro sistema de denuncia.

Mediante el uso de las tecnologías de encriptación más avanzadas y la indexación de la entrada de datos y sus cambios, también garantizamos la integridad de los datos en el Hintbox. Nuestro sistema de denuncia de irregularidades también es altamente disponible. También permite la aplicación de los requisitos de supresión exigidos tanto por la ley de protección de datos como por la Directiva de la UE sobre denuncia de irregularidades. Nuestro sistema de denuncia de irregularidades también permite la aplicación de un concepto de autorización en el que sólo las personas autorizadas (como el responsable de cumplimiento) tienen acceso a las denuncias recibidas.

Además, los datos pueden restaurarse fácilmente mediante copias de seguridad en tiempo real (art. 32 (1) (c) GDPR). Como parte de nuestro sistema de gestión de la protección de datos implementado, la eficacia de nuestras medidas técnicas y organizativas también se audita y evalúa periódicamente (Art. 32 (1) (d) GDPR).

Alojamiento de datos en un centro de datos certificado en Alemania

Todos los datos de nuestro sistema de denuncia están alojados en Alemania, en un centro de datos con certificación ISO/IEC 27001. No hay alojamiento ni transferencia de datos a terceros países. Esto significa que no hay problemas críticos para nuestros clientes en relación con una transferencia a terceros países que planteen las autoridades supervisoras de protección de datos o los tribunales (eficacia de las cláusulas contractuales estándar o sentencias del TJUE "Schrems I y II").

Garantizar el anonimato

El Hintbox garantiza técnicamente el anonimato del denunciante en caso de denuncia anónima. No se almacenan direcciones IP o MAC, datos de localización u otra información que permita extraer conclusiones sobre un sujeto de datos. Los datos de inicio de sesión de un denunciante anónimo también se generan de forma aleatoria y automática. Estos datos de acceso permiten la comunicación anónima entre el denunciante y el responsable del cumplimiento o la parte responsable. Esto permite completar la información de la denuncia o formular preguntas de seguimiento.

Cumplimiento de los requisitos de protección de datos para un sistema de denuncia de irregularidades

Hintbox cumple las normas para el tratamiento de datos personales y, por tanto, se ajusta al Reglamento General de Protección de Datos y a la Ley Federal de Protección de Datos. El cumplimiento de estos requisitos es también una obligación explícita de la Directiva de protección de datos de la UE. Tratamos datos personales exclusivamente según instrucciones documentadas y en nombre de nuestros clientes como encargados del tratamiento. Para ello, celebramos con nuestros clientes un acuerdo de tratamiento por encargo de conformidad con el art. 28 DSGVO. Este acuerdo también contiene los altos estándares de medidas técnicas y organizativas que garantizamos con nuestro sistema hintbox. Como resultado, nuestro Hintbox también cumple con los requisitos de las autoridades supervisoras para un sistema de denuncia de irregularidades (Conferencia de las Autoridades Independientes de Protección de Datos del Gobierno Federal y los Länder, Orientación de las Autoridades Supervisoras de Protección de Datos sobre las líneas directas de denuncia de irregularidades: Sistemas internos de alerta de las empresas y protección de datos de los empleados, de 14 de noviembre de 2018).