Un sistema de denuncia digital es un canal de denuncia que permite a un denunciante enviar información sobre infracciones de forma confidencial o anónima. Dicho canal de denuncia forma parte del sistema de gestión del cumplimiento y sirve para la detección precoz de infracciones de las normas y delitos penales.
Las leyes nacionales de protección de los denunciantes se basan en Directiva de la UE 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que denuncian infracciones del Derecho de la Unión, que debía transponerse a la legislación nacional de todos los Estados miembros de la UE. La Ley de Protección de los Denunciantes estipula que los denunciantes deben disponer de canales de denuncia confidenciales adecuados.
Además, debe garantizarse la posibilidad de una comunicación adecuada entre la oficina de denuncia interna y el denunciante. Se necesita un software de denuncia digital sencillo y seguro que, por un lado, cumpla los requisitos legales y, por otro, garantice la protección del denunciante, así como el tratamiento seguro y conforme con la protección de datos sensibles. La forma más adecuada de cumplir estos requisitos es utilizar un software de denuncia anónimo y digital.
Un sistema de denuncia digital permite a un denunciante presentar un informe de una infracción a través de Internet de forma anónima o confidencial. Los requisitos son un navegador y una conexión a Internet intacta.
El llamado SaaS (Software as a Service) está basado en la nube, no requiere instalación en los dispositivos finales de la empresa y permite una implantación sencilla y rápida. Otras ventajas son la reducción del esfuerzo de administración informática, ya que no hay que operar servidores propios ni instalar actualizaciones. El software garantiza un acceso independiente del dispositivo y la ubicación en todo momento. Los centros de datos certificados según la norma ISO 27001 garantizan la seguridad de los datos mediante un sistema profesional de gestión de la seguridad informática. El espacio de almacenamiento puede ampliarse en cualquier momento. Si cambian los requisitos, se pueden hacer ajustes en el software.
El alto grado de flexibilidad, la seguridad de los datos y la protección de los recursos informáticos internos hacen que SaaS resulte muy atractivo para empresas y administraciones públicas.
El sistema de denuncia digital de DISS-CO es un software de denuncia digital seguro con numerosos módulos seleccionables, integraciones y opciones de personalización. El software, que también puede utilizarse como software de gestión de denuncias, ofrece cuadros de mando y una gestión intuitiva de los casos que almacena de forma centralizada los datos personales sensibles y los relacionados con los casos, de conformidad con la DSGVO y sin posibilidad de manipulación. El denunciante tiene la opción de presentar una denuncia anónima o confidencial. A través de una comunicación encriptada y anónima, se puede obtener más información del denunciante.
Garantizar el anonimato del sistema de denuncia también genera una enorme seguridad y confianza en la oficina de denuncia interna y en la empresa. Al eliminar los metadatos de los archivos adjuntos, el sistema de denuncia garantiza el anonimato técnico. La comunicación interna, así como la comunicación con los asesores, también puede tener lugar de forma exclusiva y encriptada en la plataforma. Esto reduce el riesgo de fuga de datos. Se puede utilizar un concepto de autorización individual para regular el acceso dentro de la organización.
Si la oficina de información interna está parcial o totalmente externalizada, los agentes externos tienen acceso a la información mediante un concepto de autorización. Las personas que colaboran en el esclarecimiento de un caso pueden obtener acceso fácil y rápidamente para la gestión de tareas sin tener que ver todo el caso. Esto permite al responsable del caso mantener una visión general de las tareas en todo momento y definir plazos y dependencias. Además, un tablero Kanban proporciona una visión general del estado de las tareas pendientes y en curso. Por seguridad de auditoría, toda la información queda registrada y no puede modificarse hasta la eliminación definitiva de todo el caso. El software también recuerda los plazos legales.
El tratamiento centralizado, seguro e inmanipulable de la información en relación con una comunicación segura, respetando al mismo tiempo el anonimato de la persona que facilita la información, permite una tramitación eficaz de los expedientes.
Muchas empresas siguen proporcionando una dirección de correo electrónico general para notificar infracciones.
Si la persona que da el chivatazo quiere permanecer en el anonimato, no hay forma de evitar una cuenta de correo electrónico anónima. Crear una cuenta de correo electrónico con un proveedor de correo privado es muy fácil y gratuito hoy en día. Sin embargo, este método tiene varias desventajas y riesgos.
Los correos electrónicos suelen estar sin cifrar, lo que crea un riesgo de seguridad para la empresa. Además, los empleados se ven prácticamente obligados a transmitir información interna de la empresa a través de un proveedor de correo electrónico privado. La información sensible podría ser intervenida durante la transmisión o posteriormente. Los proveedores de correo electrónico habituales en EE.UU., como Google y Yahoo, transmiten los datos a servidores en EE.UU. o en otros lugares, o a subcontratistas o filiales, que a su vez procesan y transmiten la información a sus subcontratistas y filiales. Para los usuarios, esta cadena de procesamiento de datos no es transparente.
Si, por ejemplo, las autoridades estadounidenses participan en investigaciones externas, los proveedores están obligados a cooperar y deben transmitir la información y los correos electrónicos a las autoridades. Los interesados no son informados de la transmisión. En ambos casos, la consecuencia es que la información sensible interna de la empresa se transmite y se procesa de forma incontrolada.
Los empleados también utilizan a veces sus dispositivos privados, dependiendo de la estructura y las políticas de TI de la empresa. Ya sea porque no necesitan dispositivos finales como ordenadores portátiles y teléfonos inteligentes para su trabajo, porque existe una política de "traiga su propio dispositivo" o porque el uso de dispositivos finales privados para fines de la empresa no está regulado. Esto supone un alto riesgo para el interesado. En el pasado, se han producido repetidos casos de denuncia de irregularidades con consecuencias penales para el denunciante debido a la transferencia de información de la empresa al ámbito privado.
Los datos se transfirieron física o digitalmente con el fin de transmitirlos a organismos de información externos o a la prensa desde el entorno de la empresa, a veces después de que la persona sufriera represalias debido a una denuncia interna. No es relevante si, por ejemplo, se transfieren físicamente una o varias carpetas de archivos o si los datos se transfieren digitalmente a medios de almacenamiento externos o por correo electrónico. Lo relevante es la transferencia en sí. Además, el alcance de los datos transferidos es relevante.
Las transmisiones de datos a través de los dispositivos finales de la empresa y desde la red de la empresa pueden rastrearse utilizando diversos métodos. Esto puede revelar la identidad del denunciante anónimo. Más seguro es el uso del software de denuncia digital Smart Intergity Platfom por parte de DISS-CO y la aplicación de las directrices asociadas, que, entre otras cosas, prohíben el rastreo del uso de la URL específica por parte de TI.
Si se adjuntan archivos al informe, los metadatos pueden utilizarse para determinar la identidad de la persona que proporciona la información. Los metadatos se adjuntan a cada archivo y proporcionan información sobre el autor, los usuarios y el historial del archivo, entre otras cosas. Si la persona que proporciona la información es lo suficientemente hábil como para eliminar ella misma los metadatos, la información no podrá rastrearse. Sabemos por la práctica que sólo un pequeño porcentaje de las personas que suelen informar tienen los conocimientos técnicos necesarios o están dispuestas a leer sobre ello en detalle. Por ello, el software de denuncia digital de DISS-CO elimina automáticamente los metadatos de las denuncias anónimas.
Además, por motivos de seguridad, algunas empresas cuentan con las llamadas herramientas de prevención de pérdida de datos (DLP), que pueden registrar y supervisar todas las acciones. Las herramientas DLP pueden utilizarse de forma preventiva para evitar el robo de datos, pero también son muy adecuadas para la vigilancia de los empleados y pueden poner en peligro el anonimato del informante. Se aconseja a los informadores que se informen de antemano sobre el uso de las herramientas DLP si desean utilizar el sistema de alerta para realizar notificaciones anónimas.
Utilizar una dirección de correo electrónico como canal interno de denuncia de irregularidades ofrece muchos riesgos para la empresa y para el denunciante. La información sensible dentro de la empresa se procesa y se reenvía al exterior de forma incontrolada, podría utilizarse indebidamente y causar daños financieros y de reputación.
Las posibles consecuencias negativas para el denunciante reducen la confianza en el sistema de denuncia, lo que conduce a un menor uso del mismo. Esto, a su vez, conduce a que las infracciones pasen más tiempo sin ser detectadas.
Mediante la implantación de un sistema de denuncia digital como la Plataforma de Integridad Inteligente de DISS-CO, las empresas y las autoridades pueden ofrecer seguridad a los denunciantes y descubrir los riesgos en una fase temprana.
