Sicurezza informatica e protezione dei dati dei sistemi di whistleblower

Nei sistemi digitali di whistleblower è necessario implementare una serie di requisiti di sicurezza informatica e di protezione dei dati. Le segnalazioni degli informatori su violazioni di leggi o politiche aziendali possono contenere dati personali, alcuni dei quali possono essere sensibili. Il seguente blog post illustra i requisiti essenziali. Inoltre, vi mostreremo che il nostro Hintbox soddisfa tutti questi requisiti, sia dal punto di vista tecnico e organizzativo che legale.

Utilizzo delle più recenti tecnologie di crittografia 

La legge europea sulla protezione dei dati stabilisce che i responsabili e gli incaricati del trattamento dei sistemi di whistleblower devono attuare misure tecniche e organizzative adeguate per garantire un livello di protezione commisurato al rischio. Ciò include, in particolare, la crittografia dei dati personali (art. 32 (1) (a) GDPR). 

I database di Hintbox sono completamente protetti da accessi non autorizzati grazie a tecnologie di crittografia all'avanguardia. La crittografia TLS (Transport Layer Security) garantisce una trasmissione sicura dei dati tra voi e Hintbox e il nostro sito web.

Inoltre, stiamo attualmente implementando la crittografia end-to-end, dall'inserimento della segnalazione da parte del whistleblower fino alla sua archiviazione presso il nostro hoster, al fine di fornire ai nostri clienti il più alto standard di sicurezza possibile. Di conseguenza, i dati personali nel nostro sistema di whistleblower sono crittografati in tutte le stazioni di trasmissione e solo le parti autorizzate (whistleblower e azienda/autorità o responsabile della conformità/responsabile) possono decifrare e visualizzare i dati. La crittografia avviene esclusivamente presso la sede dell'informatore o del responsabile della conformità. Ciò significa che i dati arrivano sui nostri server già criptati, in modo che né noi, né il lawcode, né altri terzi possano leggere le informazioni in qualsiasi momento.

Garantire la riservatezza, l'integrità e la disponibilità dei sistemi e del ripristino.

Il nostro sistema Hintbox garantisce inoltre la riservatezza, l'integrità e la disponibilità dei sistemi e dei dati (Art. 32(1)(b) DSGVO). Ogni utente di Hintbox può attivare un'autenticazione sicura a due fattori per garantire la riservatezza dei dati. Inoltre, ciascuno dei nostri clienti Hintbox riceve una propria istanza Hintbox separata, garantendo una rigorosa separazione dei dati. L'accesso non autorizzato a dati di terzi è quindi escluso grazie all'archiviazione isolata dei dati nel nostro sistema di whistleblower.

Utilizzando le più elevate tecnologie di crittografia e indicizzando l'immissione dei dati e le loro modifiche, garantiamo anche l'integrità dei dati in Hintbox. Il nostro sistema di whistleblower è anche altamente disponibile. Consentiamo inoltre l'attuazione dei requisiti di cancellazione richiesti dalla legge sulla protezione dei dati e dalla direttiva UE sugli informatori. Il nostro sistema di whistleblower consente anche l'implementazione di un concetto di autorizzazione in cui solo singole persone autorizzate (come il responsabile della compliance) possono accedere alle segnalazioni ricevute.

Inoltre, i dati possono essere facilmente ripristinati attraverso backup in tempo reale (Art. 32 (1) (c) GDPR). Nell'ambito del nostro sistema di gestione della protezione dei dati, l'efficacia delle nostre misure tecniche e organizzative viene verificata e valutata regolarmente (Art. 32 (1) (d) GDPR).

Hosting dei dati presso un data center certificato in Germania

Tutti i dati del nostro sistema di denuncia sono ospitati in Germania in un centro dati certificato ISO/IEC 27001. Non c'è hosting di dati e non c'è trasferimento di dati verso paesi terzi. Ciò significa che per i nostri clienti non vi sono questioni critiche in relazione a un trasferimento da un Paese terzo, sollevate dalle autorità di controllo della protezione dei dati o dai tribunali (efficacia delle clausole contrattuali standard o delle sentenze della Corte di giustizia europea "Schrems I e II").

Garantire l'anonimato

Hintbox garantisce tecnicamente l'anonimato dell'informatore in caso di segnalazione anonima. Non vengono memorizzati indirizzi IP o MAC, dati di localizzazione o altre informazioni che consentano di trarre conclusioni su una persona. Anche i dati di accesso per un informatore anonimo sono generati in modo casuale e automatico. Questi dati di accesso consentono la comunicazione anonima tra l'informatore e il responsabile della conformità o la parte responsabile. Ciò consente di integrare le informazioni contenute nella segnalazione o di porre domande di follow-up.

Adempimento dei requisiti di protezione dei dati per un sistema di whistleblower

Hintbox rispetta le regole per il trattamento dei dati personali e quindi è conforme al Regolamento generale sulla protezione dei dati e alla Legge federale sulla protezione dei dati. L'osservanza di questi requisiti è anche un obbligo esplicito della direttiva UE sugli informatori. Trattiamo i dati personali esclusivamente in base a istruzioni documentate e per conto dei nostri clienti in qualità di incaricati del trattamento. A tal fine, stipuliamo con i nostri clienti un contratto di elaborazione su commissione ai sensi dell'art. 28 DSGVO. 28 DSGVO. Questo accordo contiene anche gli elevati standard di misure tecniche e organizzative che garantiamo con il nostro sistema Hintbox. Di conseguenza, il nostro Hintbox soddisfa anche i requisiti delle autorità di vigilanza per un sistema di whistleblower (Conferenza delle autorità indipendenti per la protezione dei dati del governo federale e dei Länder, Guidance of the Data Protection Supervisory Authorities on Whistleblowing Hotlines: Company Internal Warning Systems and Employee Data Protection del 14 novembre 2018).