Anonimato del segnalante e Responsabile esterno al trattamento dei dati etc

Salve
sono un nuovo utente del Vs forum e nel ringraziarvi per il supporto ed il lavoro finora svolto volevo chiedere alcune delucidazioni per poi procedere alla registrazione del mio Ente al Vs servizio.
Le domande sono:

  1. anonimato del segnalante: il segnalante riceve un codice per poter tracciare lo stato della sua segnalazione, ma non c’è una preventiva fase preventiva di registrazione? Non mi è chiaro come il RPCT riceva in forma crittografata le segnalazioni e nel caso ci sia un utilizzo non conforme da parte del segnalante abusando del sistema denunciando fatti non veritieri responsabile, quindi, di reati di calunnia e/o diffamazione oppure segnalazioni manifestamente opportunistiche e/o effettuate al solo scopo di danneggiare il denunciato o altri soggetti, e ogni altra ipotesi di utilizzo improprio o di intenzionale strumentalizzazione dell’istituto come è possibile identificarlo? In assenza di una procedura di registrazione allora le segnalazioni sono solo ed esclusivamente anonime!
  2. la sicurezza della segnalazione: la segnalazione viene inviata a mezzo mail al RPCT a seguito della compilazione del form, ma sui VS server/db resta traccia di tale informazione? Che sistema di sicurezza è adottato affinché tutto sia crittografato e, quindi, nessun altro posso leggere tali notizie? Esiste una crittografia end-to-end? C’è qualche manuale tecnico da voi predisposto per tali informazioni? In caso negativo, Voi sareste un potenziale Responsabile esterno al trattamento dei dati e non mi sembra che per tale istituto sia contemplato tale ruolo atteso anche la sensibilità delle informazioni segnalate.
  3. L’ente, in qualità di Titolare del trattamento dei dati, in che misura è responsabile per eventuali bug e/o anomalie di funzionamento del sistema, anche a seguito di aggiornamenti evolutivi, che potrebbero compromettere la riservatezza del whistleblower e delle relative segnalazione, anche alla stregua della recente sentenza del Garante per la Protezione dei dati in un caso analogo disponibile a questo link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9269618
  4. L’ANAC ha messo a disposizione un software per tale adempimento, peraltro a riuso. Al fine di poter confrontare la Vs soluzione con la procedure de quo è disponibile un’analisi tecnica di confronto tale da poter giustificare la scelta della Vs soluzione software anziché quella proposta dall’Autorità? Noto una certa relazione tra il Vs software e quello proposto dall’Anac: il legame a Globaleaks, analoghi tecnici che rispondono nei rispettivi forum di discussione (vedi Fabio Pitrosanti) che relazione esiste? C’è magari competizione quindi l’analisi è di parte?
  5. Il servizio è web-oriented quindi soggioga alle regole del SaaS. Non rilevando la Vs registrazione sul portale cloud Italia gestito dall’AgID, atteso che siete operativi da oltre un anno e gestite centinaia di PPAA, e sicuramente avete idonee certificazioni per gestire tali dati e, quindi, la motivazione della mancata presenza sull’elenco dei SaaS certificati dall’Agenzia disponibile a questo indirizzo https://cloud.italia.it/marketplace/show/all?searchCategory=SaaS
  6. I dati sono ubicati sul territorio nazionale/europeo o extraUE?
  7. In questi mesi avete registrato abusi nell’utilizzo dell’infrastruttura, violazione degli accessi, tale da attivare la procedura di data breach?
  8. Esiste un piano di valutazione del rischio, in particolare le contromisure adottate per limitare/impedire l’accesso da parte di personale interno alla banca dati? Qual è il livello di rischio associato a tale minaccia?
  9. Esiste un sistema di log che garantisce la tracciabilità delle operazioni svolte sulla piattaforma? Se si questa dashboard è disponibile anche con le credenziali dell’Ente così da poter almeno monitorare gli accessi alla banca dati (ip, orario,…)
  10. Esiste anche una versione webapp o addirittura un’app per smartphone oppure la soluzione è semplicemente responsive adattandosi, quindi, al device utente?

Ci sarebbero anche altre domande ma queste rappresentano le più importanti e una Vs chiara delucidazione cipermetterebbe con serenità e con cognizione di sperimentare la soluzione proposta.
Distinti saluti
ing. Salvatore La Rocca

stiamo preparando la risposta a tutte le sue domande. lo faremo il prima possibile.

  1. Come lei scrive no, il nostro sistema non prevede una fase preventiva di registrazione. Faccio alcune considerazioni su quello che lei scrive:
  • il segnalante, quando scrive internamente al proprio RPCT attraverso un sistema che protegge la segnalazione e anche il soggetto segnalato, non lo sta “denunciando” ma sta facendo una “segnalazione” che in base alle proprie convinzioni potrebbe essere vera. Se questa è circostanziata (e può diventare circostanziata anche grazie al dialogo sulla piattaforma con il segnalante) può diventare oggetto di accertamenti da parte del RPCT (è suo onere in base alla legge). Converrà con me che se si vuole calunniare o diffamare qualcuno questo non è il canale più naturale.
    La legge non vieta le segnalazioni anonime. Semplicemente, quando la segnalazione arriva in forma anonima il RPCT non ha obblighi di tutelare il soggetto segnalante in quanto non lo conosce. Se il segnalante vuole usufruire dei benefici della normativa dovrà identificarsi. Detto ciò, se l’ente vuole ricevere segnalazioni, deve dimostrare di essere aperto ad accettare anche segnalazioni anonime (le statistiche dimostrano come il numero di segnalazioni interne agli enti ad oggi sia prossimo allo zero, specialmente in enti di dimensioni modeste). Qualora fosse necessaria l’identificazione del segnalante per procedere, il RPCT può anche chiederla nel corso del dialogo.
    Se la segnalazione è ben fatta e ben documentata, la trattazione da parte dell’RPCT è la stessa. Nel caso in cui sia anonima, il RPCT ha un onere in meno durante la fase di accertamento.
    Gli enti ricevono già segnalazioni anonime e continueranno a riceverle, perché esistono per legge anche altri canali che le consentono. Le piattaforme informatiche riescono però a minimizzare le debolezze delle segnalazioni anonime, permettendo il dialogo anche in anonimato con i segnalanti e quindi dando modo di chiarire o approfondire aspetti poco chiari o incompleti.
  1. Le specifiche circa la crittografia usata sono disponibili qui: https://www.globaleaks.org/docs/en/globaleaks-encryption-white-paper.pdf
    Il protocollo è stato realizzato in collaborazione con l’Open Technology Found di Washington.
    Qui trova i nostri continui penetration test indipendenti: https://www.globaleaks.org/docs/en/penetration-tests.pdf

3.• L’ente è corresponsabile con noi di eventuali anomalie di funzionamento del sistema. Può nominare le associazioni responsabili del trattamento.
Come può vedere nella documentazione indicata nelle risposte precedenti, il sistema non ha mai manifestato anomalie che possano compromettere la riservatezza del whistleblower e delle segnalazioni.
Per quanto riguarda la sentenza del Garante, fa riferimento al fatto che la piattaforma utilizzata dall’Università non avesse il minimo protocollo di sicurezza (https), cosa che non avviene con la nostra piattaforma.

  1. Che noi sappiamo non ci sono analisi tecniche di confronto. Non sta a noi valutare il funzionamento della soluzione proposta dall’Autorità. Sappiamo solo che il software proposto da ANAC è basato su una versione molto vecchia di GLobaleaks, che ha modificato il codice sorgente e che quindi non beneficia degli sviluppi evolutivi del software base GLobaleaks.
    Sappiamo anche che l’implementazione dello stesso software è molto complessa e che pochissimi enti sono riusciti a installarlo e a utilizzarlo, probabilmente nessuno in modo gratuito.
    I tecnici che rispondono nei forum di discussione e che sono riferibili all’Associazione Hermes (come Pietrosanti che lei cita) fanno parte del progetto WhistleblowingPA e non del progetto dell’ANAC. Se rispondono anche nei forum di discussione di ANAC è perché sono responsabili del software open source di Globaleaks che è anche alla base (con i limiti di cui sopra) del software ANAC e quindi lo conoscono come nessun altro.
    Tra i motivi per cui rispondono anche nei forum relativi al software di ANAC:
    • Perché nessun altro dà assistenza su quei forum
    • Perché gli utilizzatori sono molto confusi
    Il progetto WhistleblowingPA nasce prima della messa a disposizione del software ANAC ma lo rifaremmo anche dopo, vista l’estrema difficoltà di utilizzo dello stesso. Credo che la ratio numerica sia al momento 675 utilizzi contro meno di 10, sulla cui gratuità non esiste certezza peraltro.
    In ogni caso la parola competizione è sbagliata. Noi siamo due associazioni no profit che con costi propri mettono a disposizione gratuita degli enti un servizio di whistleblowing conforme a normativa. Su quello che fanno società commerciali, ANAC o altri possiamo dare delle valutazioni sulla base delle nostre conoscenze professionali ma non ci interessa. Cerchiamo solo di proporre quella che secondo noi è la soluzione migliore possibile per gli enti.

  2. Ha ragione, non siamo ancora sul portale di AGID ma lo saremo presto. Stiamo completando alcune certificazioni e compariremo. Siamo in fase di piena acquisizione di certificazione 27001, 27017, 27018 (audit già effettuati) accreditamento agid e compliance GDPR. Essendo sistemi avanzati e sperimentali segnaliamo che non si conoscono altri soggetti che abbiano al momento realizzato nulla di simile.
    Abbiamo però scelto un server provider (Seeweb), presso cui sono caricate le piattaforme, che è sul portale AGID.

  3. Nazionale. I server di Seeweb sono a Milano e, per ridondanza, a Frosinone.

  4. No. La piattaforma Globaleaks è stata sottoposta a numerosi penetration test e non è mai stata violata.
    Allego anche una documentazione sulla sicurezza della piattaforma utilizzata per il nostro progetto.
    È una piattaforma che nasce in contesti molto più pericolosi dell’anticorruzione in Italia, come il contrasto alla criminalità organizzata in Messico o le violazioni dei diritti umani in Libia e nella Repubblica Centrale Africana. Gli aspetti relativi alla sicurezza sono alla base del software.

  5. Si. Come suddetto l’intera catena di fornitura del servizio di whistleblowing è in fase di completa certificazione 27001, estenzione 17 e 18.

  6. Si. Tutti gli eventi critici piu importanti sono già tracciati.
    Il sistema di audit è in fase di completamento ma è previsto il tracciamento di ogni azione effettuata sul sistema.
    I requisiti per la sua realizzazione sono stati raccolti in progetti con corte penale internazionale (applicazione libia), grosse multinazionali (cameo, angelini, leonardo) e se ne prevede pieno completamento entro secondo quadrimestre 2020.
    Tutti i requisiti raccolti sono leggibili qui: https://github.com/globaleaks/GlobaLeaks/issues

  7. È responsive.