Il token è una sequenza numerica che viene utilizzata solitamente come chiave di accesso nella maggior parte dei software whistleblowing.
Di conseguenza l’utente che vuole effettuare una segnalazione non deve registrarsi in piattaforma e ritiene che il proprio anonimato sia maggiormente garantito.
La Direttiva europea sul whistleblowing però dà delle indicazioni molto precise sul rapporto e quindi sulla comunicazione che è necessario stabilire tra segnalante e chi gestisce le segnalazioni.
L’obiettivo della Direttiva, non bisogna dimenticarlo, è proteggere il segnalante da eventuali ritorsioni e allo stesso tempo far emergere i possibili illeciti.
Entro 7 giorni bisogna comunicare al segnalante l’avvenuto recepimento della segnalazione ed entro 3 mesi occorre comunicare lo stato della segnalazione, se cioè è stata archiviata o se le indagini proseguono.
ANAC ha la possibilità di comminare sanzioni fino a 50.000 euro per le aziende inadempimenti, quindi sono tempistiche e procedure che è necessario rispettare.
Fatta questa precisazione è utile calare la teoria della norma, nell’atto pratico quotidiano, e capire a quali concretissimi scenari si va incontro.
Pensare che tutti i segnalanti ricordino il codice token è un’utopia.
Secondo un recente articolo del New York Times il 20% dei bitcoin, cioè l’equivalente di 140 miliardi di dollari, è bloccato e inaccessibile perché i proprietari hanno dimenticato il token di accesso.
140 miliardi di dollari. Inaccessibili.
La stessa identica cosa accade con i segnalanti che perdono o non memorizzano il codice token. Non possono accedere alla piattaforma, e a quel punto potrebbero inviare una nuova segnalazione, o coinvolgere un ente esterno vanificando completamente tutti gli sforzi che l’azienda ha messo in atto per gestire questo tipo di situazioni.
Il gestore delle segnalazioni si troverebbe a dover gestire centinaia di segnalazioni (se consideriamo la popolazione aziendale) che, in molti casi, potrebbero essere semplicemente dei duplicati.
Ma non solo, ci sono segnalazioni che richiedono una intensa comunicazione tra segnalante e gestore delle segnalazioni, perché chi indaga ha la necessità di avere più informazioni e prove circostanziate.
Il codice token può dare al segnalante una maggiore garanzia del proprio anonimato, ma nell’atto pratico diventa poco utile, se non addirittura controproducente, se l’obiettivo è quello di riuscire a portare a termine un’indagine accurata sulla base della segnalazione e fornire al segnalante una risposta entro i termini stabiliti dalla Direttiva.
La vera garanzia di anonimato c’è quando è il software stesso a rendere la segnalazione anonima, il token è un mero strumento di accesso.
I segnalanti che utilizzano My Whistleblowing accedono ad una piattaforma web con la garanzia di essere inaccessibile a terzi.
Il segnalante può quindi utilizzare la propria e-mail personale per registrarsi, avendo la certezza che i propri dati sono protetti da un sistema di crittografia asimmetrica e garantiti giuridicamente dal GDPR.
Anche chi gestisce le segnalazioni trae benefici da questa scelta perché ha la certezza di poter comunicare sempre con il segnalante nel pieno rispetto della privacy e può portare a termine le indagini interne in conformità con la Direttiva.