Un sistema de información es un canal de información que permite al informador presentar información sobre quejas de forma confidencial o anónima. Este canal de información forma parte del sistema de gestión del cumplimiento y sirve para la detección precoz de infracciones de las normas y delitos penales.
La Ley de Protección de los Informantes (HinSchG) fue aprobada en el Bundestag el 16 de diciembre de 2022. La HinSchG estipula que el informante debe disponer de canales adecuados de información anónima. Además, debe garantizarse la posibilidad de una comunicación adecuada entre la oficina de información interna y el informador anónimo. Se necesita un sistema de alerta sencillo y seguro que, por un lado, cumpla los requisitos legales y, por otro, garantice la protección del informador, así como el tratamiento seguro y conforme con la protección de datos de los datos sensibles. La forma más adecuada de cumplir estos requisitos es implantar un sistema de información anónimo y digital.
Digital software de canal de denuncias permite al informante presentar una notificación de infracción a través de Internet de forma anónima o confidencial. Los requisitos son un navegador y una conexión a Internet intacta.
El llamado SaaS (Software as a Service) está basado en la nube, no requiere instalación en los dispositivos finales de la empresa y permite una implantación sencilla y rápida. Otras ventajas son la reducción del esfuerzo de administración informática, ya que no hay que operar servidores propios ni instalar actualizaciones. El software garantiza un acceso independiente del dispositivo y la ubicación en todo momento. Los centros de datos certificados según la norma ISO 27001 garantizan la seguridad de los datos mediante un sistema profesional de gestión de la seguridad informática. El espacio de almacenamiento puede ampliarse en cualquier momento. Si cambian los requisitos, se pueden hacer ajustes en el software.
El alto grado de flexibilidad, la seguridad de los datos y la protección de los recursos informáticos internos hacen que SaaS resulte muy atractivo para empresas y administraciones públicas.
El sistema digital de notificación de irregularidades de DISS-CO es un software seguro de notificación de irregularidades basado en Internet con numerosos módulos seleccionables, integraciones y opciones de personalización. El programa, que también puede utilizarse como software de gestión de reclamaciones, ofrece cuadros de mando y una gestión intuitiva de los casos que almacena de forma centralizada los datos personales sensibles y los relacionados con los casos, de conformidad con la DSGVO y sin posibilidad de manipulación. El informante tiene la opción de presentar una notificación anónima o confidencial. A través de una comunicación cifrada y anónima, como exige la HinSchG, se puede obtener más información del informante. Garantizar el anonimato del sistema de información también genera una enorme seguridad y confianza en la oficina de información interna y en la empresa. Al eliminar los metadatos de los archivos adjuntos, el sistema de información garantiza el anonimato técnico. La comunicación interna, así como la comunicación con los asesores, también puede tener lugar de forma exclusiva y cifrada en la plataforma. Esto reduce el riesgo de fuga de datos. Se puede utilizar un concepto de autorización individual para regular el acceso dentro de la organización. Si la oficina de información interna está parcial o totalmente externalizada, los encargados externos del tratamiento tienen acceso a la información mediante un concepto de autorización. Las personas que colaboran en el esclarecimiento de un caso pueden obtener acceso fácil y rápidamente para la gestión de tareas sin tener que ver todo el caso. Esto permite a la persona responsable del caso hacer un seguimiento de las tareas en todo momento y definir plazos y dependencias. Además, un tablero Kanban ofrece una visión general del estado de las tareas pendientes y en curso. Por seguridad de auditoría, toda la información queda registrada y no puede modificarse hasta la eliminación definitiva de todo el caso. El programa también recuerda los plazos legales.
El tratamiento centralizado, seguro e inmanipulable de la información en relación con una comunicación segura, respetando al mismo tiempo el anonimato de la persona que facilita la información, permite una tramitación eficaz de los expedientes.
Muchas empresas siguen proporcionando una dirección de correo electrónico general para notificar infracciones.
Si la persona que da el chivatazo quiere permanecer en el anonimato, no hay forma de evitar una cuenta de correo electrónico anónima. Crear una cuenta de correo electrónico con un proveedor de correo privado es muy fácil y gratuito hoy en día. Sin embargo, este método tiene varias desventajas y riesgos.
Los correos electrónicos no suelen estar cifrados, lo que supone un riesgo para la seguridad de la empresa. Además, los empleados se ven prácticamente obligados a transmitir información interna de la empresa a través de un proveedor privado de correo electrónico. La información sensible podría ser intervenida durante la transmisión o posteriormente. Los proveedores estadounidenses habituales de correo electrónico, como Google y Yahoo, transmiten los datos a servidores de Estados Unidos o de otros países, o a subcontratistas o filiales, que a su vez procesan y transmiten la información a sus subcontratistas y filiales. Para los usuarios, la cadena de procesamiento de datos no es transparente. Si, por ejemplo, las autoridades estadounidenses participan en investigaciones externas, los proveedores están obligados a cooperar y deben transmitir la información y los correos electrónicos a las autoridades. No se informa a los interesados de la transferencia. En ambos casos, la consecuencia es que información sensible interna de la empresa se transmite y procesa de forma incontrolada.
Los empleados también utilizan a veces sus dispositivos privados, en función de la estructura y las políticas informáticas de la empresa. Ya sea porque no necesitan dispositivos finales como ordenadores portátiles y teléfonos inteligentes para su trabajo o porque existe una política de "traiga su propio dispositivo" o no está regulado el uso de dispositivos finales privados para fines de la empresa. Esto supone un alto riesgo para el interesado. En el pasado, se han producido repetidamente casos de informantes con consecuencias penales para el informante debido a la transferencia de información de la empresa al ámbito privado. Los datos se transferían física o digitalmente para su transmisión a organismos de información externos o a la prensa desde el entorno de la empresa, a veces después de que la persona sufriera represalias debido a una información interna. No es relevante si, por ejemplo, se transfieren físicamente una o varias carpetas de archivos o si los datos se transfieren digitalmente a un soporte de almacenamiento externo o por correo electrónico. Lo relevante es la transferencia en sí. Además, el alcance de los datos transferidos es relevante.
Las transmisiones de datos a través de los dispositivos finales de la empresa y desde la red de la empresa pueden rastrearse utilizando varios métodos. Esto puede revelar la identidad del informador anónimo. Más seguro es el uso del software de alerta por Internet Smart Intergity Platfom por parte de DISS-CO y la aplicación de las directrices asociadas, que, entre otras cosas, prohíben el seguimiento del uso de la URL específica por parte de TI.
Si se adjuntan archivos al informe, los metadatos pueden utilizarse para determinar la identidad de la persona que facilita la información. Los metadatos se adjuntan a cada archivo y proporcionan información sobre el autor, los usuarios y el historial del archivo, entre otras cosas. Si la persona que facilita la información es lo suficientemente hábil como para eliminar ella misma los metadatos, la información no podrá rastrearse. Sabemos por la práctica que sólo un pequeño porcentaje de las personas que suelen informar sobre las irregularidades tienen los conocimientos técnicos necesarios o están dispuestas a leer sobre el tema en detalle. Por ello, el software de alerta de DISS-CO elimina automáticamente los metadatos de las notificaciones anónimas.
Además, por motivos de seguridad, algunas empresas cuentan con las llamadas herramientas de prevención de pérdida de datos (DLP), que pueden registrar y supervisar todas las acciones. Las herramientas DLP pueden utilizarse de forma preventiva para evitar el robo de datos, pero también son muy adecuadas para la vigilancia de los empleados y pueden poner en peligro el anonimato del informante. Se aconseja a los informadores que se informen de antemano sobre el uso de las herramientas DLP si desean utilizar el sistema de alerta para realizar notificaciones anónimas.
Utilizar una dirección de correo electrónico como canal interno de información ofrece muchos riesgos para la empresa y para el informante. La información sensible dentro de la empresa se procesa y se envía al exterior de forma incontrolada, podría utilizarse indebidamente y causar daños financieros y de reputación. Las posibles consecuencias negativas para el informante reducen la confianza en el sistema de alerta, lo que conduce a un menor uso del mismo. Esto, a su vez, hace que las infracciones pasen más tiempo sin detectarse.
Mediante la implantación de un sistema seguro de notificación de irregularidades basado en Internet, como la Plataforma Smart Integrity, las empresas y las autoridades pueden ofrecer seguridad a los informantes y descubrir riesgos en una fase temprana.
