Moduli HR & segnalazioni whistleblower
Reclami, colloqui di uscita, segnalazioni anonime, indagini sul posto di lavoro — progettati per team HR e compliance che necessitano di canali di segnalazione riservati senza affidare dati grezzi a un fornitore di moduli. Conoscenza zero, hosting svizzero, architettura allineata alla direttiva UE sui whistleblower.
Le segnalazioni dei whistleblower, i reclami sul posto di lavoro e le indagini HR condividono una caratteristica che la maggior parte degli altri dati aziendali non possiede: la disponibilità del segnalante a parlare dipende interamente dalla fiducia che quanto scrive non sarà letto dalla persona sbagliata. Quella fiducia è difficile da ottenere con uno strumento di moduli generico il cui fornitore può leggere ogni invio prima che raggiunga il team d'indagine.
Schweizerform parte dalla premessa opposta. Ogni invio — un reclamo, una segnalazione anonima, un esposto per molestie, una risposta a un colloquio di uscita — è crittografato nel browser del segnalante prima di raggiungere i nostri server. Schweizerform non può fisicamente leggerlo. Per le organizzazioni che attuano la direttiva UE sui whistleblower (2019/1937), sostengono le rappresentanze dei lavoratori o cercano semplicemente di coltivare una cultura del parlare liberamente, questa proprietà è la differenza tra un canale di cui le persone si fidano e uno che evitano.
A chi è rivolta questa pagina
Direzione HR, responsabili della conformità, avvocati interni, audit interno, ombudsman e rappresentanze dei lavoratori in organizzazioni che operano in Svizzera, nell'UE o in entrambe — e che necessitano di un canale di segnalazione che i dipendenti utilizzino davvero.
Perché la maggior parte degli strumenti di moduli fallisce sui canali whistleblower
La maggior parte degli strumenti di moduli online segue un modello SaaS convenzionale: il browser del segnalante invia dati in chiaro via HTTPS e il server del fornitore li memorizza. Quel server può leggere tutto. Lo stesso vale per lo staff del fornitore, i suoi partner di integrazione, chiunque ne comprometta l'infrastruttura e — a seconda della giurisdizione — qualsiasi autorità che notifichi al fornitore un provvedimento legale.
Per la maggior parte dei moduli — indagini di marketing, RSVP per eventi — questo modello è adeguato. Per un canale whistleblower crea invece un problema specifico: l'identità del segnalante e il contenuto della segnalazione si trovano in chiaro su un server di terze parti che l'organizzazione non controlla.
- Un dipendente segnala presunte molestie da parte di un manager nominato; il database del fornitore contiene un resoconto leggibile, consultabile da chiunque abbia accesso amministrativo
- Un contabile segnala registrazioni sospette; la segnalazione si trova accanto alle normali invii di moduli dell'azienda sulla stessa infrastruttura del fornitore
- Una risposta a un colloquio di uscita nomina colleghi specifici come motivo dell'addio; la risposta è indicizzata, salvata e potenzialmente esposta all'analytics
- Una richiesta di dati colpisce il fornitore; raggiunge i dati dei whistleblower senza che il segnalante ne sia mai informato
- Il fornitore viene acquisito, cambia politica o subisce una violazione; tutte le segnalazioni storiche sono esposte in un colpo solo
La direttiva UE sui whistleblower esige riservatezza per progettazione
La direttiva (UE) 2019/1937 richiede che i canali interni di segnalazione siano progettati, stabiliti e gestiti in modo da garantire la riservatezza dell'identità della persona segnalante e di qualsiasi terza persona menzionata (art. 9). La memorizzazione in chiaro presso un fornitore in grado di leggere gli invii è difficilmente compatibile con questo requisito quando tecnicamente evitabile.
Come Schweizerform preserva la riservatezza
Schweizerform è una piattaforma di moduli crittografata end-to-end a conoscenza zero. La crittografia avviene nel browser del segnalante, prima che i dati lascino il dispositivo. Solo i detentori dell'Access Code del modulo possono decrittare gli invii. Noi — il fornitore — non possiamo.
Generate un modulo e un Access Code
Alla creazione di un modulo whistleblower, Schweizerform genera una coppia di chiavi e un Access Code. La chiave pubblica vive nel modulo; l'Access Code resta nel team d'indagine. I nostri server non lo vedono mai.
Il segnalante invia in modo anonimo da qualsiasi dispositivo
All'invio, il browser crittografa ogni campo — e ogni documento caricato — con crittografia simmetrica forte, poi incapsula la chiave simmetrica con la chiave pubblica del modulo. I nostri server ricevono blob cifrati che non possono decrittare.
Il team d'indagine decritta nel browser
Quando un investigatore autorizzato apre l'invio, il suo browser recupera il blob cifrato, disincapsula la chiave simmetrica con l'Access Code e decritta localmente. Il testo in chiaro non tocca mai i nostri server.
Protezione dell'identità per architettura, non per policy
Poiché non vediamo mai invii in chiaro, non possiamo essere costretti a produrli, estrarli in analitiche o esporli in un incidente. La riservatezza è garantita dalla crittografia, non dalla fiducia nel fornitore.
Canali di segnalazione concreti
Segnalazioni anonime
Il caso d'uso principale. Un modulo dedicato, pubblicato in intranet o su una pagina conformità pubblica, raccoglie segnalazioni di condotte presumibilmente scorrette: irregolarità finanziarie, violazioni regolatorie, corruzione, violazioni ambientali, temi di diritto della concorrenza. Il segnalante sceglie se rivelare la propria identità; il canale non cerca di dedurla dai metadati che memorizziamo.
Segnalazioni su molestie, discriminazione e sicurezza sul lavoro
Le segnalazioni che nominano persone specifiche richiedono la postura di riservatezza più rigorosa. Un canale a conoscenza zero significa che HR, responsabili di linea e persino amministratori IT con accesso all'infrastruttura non possono vedere il contenuto di segnalazioni non aperte. Solo il comitato d'indagine con l'Access Code può.
Colloqui di uscita e testo libero nelle indagini interne
I collaboratori che lasciano condividono spesso informazioni che non avrebbero condiviso in servizio — feedback su cultura, gestione e incidenti specifici. Crittografare queste risposte protegge sia la persona (da ritorsioni) sia l'organizzazione (dal rischio di fuga via incidente fornitore o richiesta legale).
Invii verso le rappresentanze dei lavoratori
Nelle giurisdizioni con rappresentanza statutaria dei lavoratori (Betriebsrat in Germania, CSE in Francia, organi interni in Svizzera), un canale riservato fra personale e rappresentanti beneficia della stessa proprietà: nessun cloud di terze parti ha accesso leggibile al contenuto.
Accettazione d'indagine e dichiarazioni di testimoni
Durante un'indagine interna attiva, dichiarazioni di testimoni, caricamenti di prove e ricostruzioni temporali vengono raccolti tramite moduli sicuri. Ogni indagine può avere un proprio modulo con un proprio Access Code, così la cerchia di chi può leggere una data pratica resta strettamente delimitata.
Cosa vedono dipendenti, autorità e provvedimenti
| Prospettiva | Fornitore generico | Schweizerform |
|---|---|---|
| Dipendente che invia una segnalazione | Modulo in chiaro, memorizzato nel cloud del fornitore | Modulo in chiaro, crittografato nel browser prima dell'invio |
| Supporto / personale del fornitore | Può leggere il contenuto degli invii | Non può decrittare; vede solo blob cifrati |
| Provvedimento notificato al fornitore | Segnalazioni in chiaro producibili | Solo testo cifrato; inutile senza l'Access Code |
| Violazione presso il fornitore | Segnalazioni e identità leggibili esposte | Solo testo cifrato esposto; contenuto e identità restano illeggibili |
Contesto normativo: direttiva UE e posizione svizzera
La direttiva UE sui whistleblower (2019/1937) obbliga la maggior parte delle persone giuridiche con 50 o più lavoratori, nonché gli enti pubblici oltre una soglia dimensionale, a fornire un canale interno di segnalazione. I requisiti chiave includono la riservatezza dell'identità del segnalante e di eventuali terzi nominati, il riscontro entro 7 giorni, il feedback entro 3 mesi e la protezione dalle ritorsioni.
La Svizzera, al momento della stesura, non ha adottato una legge federale dedicata sul whistleblowing; una proposta di modifica al Codice delle obbligazioni è stata respinta nel 2020. Molti datori di lavoro svizzeri attuano comunque lo standard UE — sia perché hanno controllate UE nel perimetro della direttiva, sia perché investitori o quadri ESG spingono in quella direzione, sia come buona pratica. L'architettura di Schweizerform è allineata al requisito di riservatezza per progettazione in entrambi i casi.
La riservatezza è solo una parte della direttiva
Un canale interno conforme comporta anche tempi di riscontro definiti, una persona o unità imparziale designata, obblighi documentali e un chiaro divieto di ritorsioni. Schweizerform fornisce lo strato tecnico di riservatezza; il vostro programma di conformità fornisce il processo che lo circonda.
Funzionalità rilevanti per canali HR e whistleblower
- Crittografia end-to-end a conoscenza zero su ogni invio — nessun accesso in lettura del fornitore
- Vera modalità di invio anonimo — nessun account richiesto, nessun metadato del segnalante raccolto per impostazione predefinita
- Caricamento documenti crittografato — memo, registrazioni, fogli di calcolo e screenshot crittografati nel browser
- Moduli multilingue (EN / DE / FR / IT) nativi — lo stesso modulo in ogni lingua ufficiale svizzera e in inglese
- Access Code per modulo dedicati a team d'indagine specifici — pratiche diverse, codici diversi
- Hosting svizzero con postura di trattamento allineata alla nLPD — il payload delle risposte non lascia la Svizzera
- Log di audit degli accessi (chi ha aperto un invio crittografato e quando) senza esporre il contenuto
- Piano gratuito adatto a pilotare un singolo canale prima del rollout aziendale
Obiezioni frequenti
"I nostri segnalanti non si fideranno mai di un modulo online — vogliono una hotline."
La direttiva consente esplicitamente canali scritti, orali o entrambi. Molte organizzazioni scoprono che i canali scritti attirano segnalazioni diverse, spesso più dettagliate — e che un modulo scritto crittografato scala più facilmente di una hotline 24/7 multilingue. I due si completano; Schweizerform copre la parte scritta.
"Se perdiamo l'Access Code, perdiamo le segnalazioni."
Corretto, ed è una proprietà voluta dell'architettura a conoscenza zero. La pratica raccomandata è una procedura documentata di custodia delle chiavi — buste sigillate presso due responsabili indipendenti, custodia condivisa fra compliance e legale o un modulo di sicurezza hardware — affinché la perdita di un solo custode non comporti la perdita d'accesso e nessuna singola persona possa decrittare unilateralmente.
"Dobbiamo integrare il sistema di gestione dei casi."
Integrazioni reali esistono, ma devono avvenire dopo la decrittazione. La workstation dell'investigatore decritta un invio ed esporta il contenuto nello strumento di case management. Un'integrazione lato nostro server è per definizione impossibile — non abbiamo le chiavi.
"La rappresentanza dei lavoratori teme la sorveglianza."
Il timore di solito si dissolve spiegando l'architettura: il fornitore non può leggere gli invii, e il datore di lavoro può leggerli solo se detiene l'Access Code — normalmente in capo a un referente di compliance designato congiuntamente o a un ombudsman esterno. Abusare del canale diventa più difficile per chiunque, datore di lavoro incluso.
Avviare un canale whistleblower con Schweizerform
Definire ambito e modello di custodia
Decidete quali segnalazioni copre il canale (solo irregolarità finanziarie o l'intero perimetro della direttiva), chi detiene l'Access Code e come la custodia è ripartita per evitare il rischio di persona singola.
Redigere il modulo nelle quattro lingue
Campi brevi e opzionali. Un campo di testo libero, un selettore di categoria, un caricamento opzionale e un campo di contatto opzionale per i segnalanti che desiderano un dialogo. Pubblicate lo stesso modulo in EN / DE / FR / IT.
Pubblicare chiaramente il punto d'accesso
Collegate il modulo da intranet, pagina carriere, manuale del dipendente e, se applicabile, materiali di onboarding fornitori. Un URL stabile e visibile è parte dell'aspettativa di accessibilità della direttiva.
Formare il team d'indagine sul flusso di accesso
Gli investigatori che detengono l'Access Code decrittano gli invii dal proprio browser. Guidateli attraverso il flusso, i tempi di riscontro e il modello documentale.
Rivedere annualmente
Testate il canale almeno una volta l'anno: il modulo è raggiungibile, l'Access Code è presso le persone giuste, il processo di riscontro funziona, la politica di conservazione viene applicata?
La conclusione
Un canale di segnalazione vale quanto la riservatezza che il segnalante gli attribuisce. Uno strumento di moduli in grado di leggere ogni invio — per quanto bella l'interfaccia, per quanto basso il prezzo — fallisce quel test prima ancora che la prima segnalazione venga inviata.
Schweizerform offre una proposta diversa: crittografia end-to-end a conoscenza zero su ogni modulo, hosting svizzero e una postura allineata sia al requisito di riservatezza per progettazione della direttiva UE sia alle aspettative della nLPD. Nessun upgrade a pagamento per la sicurezza. Nessuna dipendenza dal cloud USA per i dati delle risposte. Nessuna copia leggibile da terzi di segnalazioni sensibili su un server che non controllate.
Iniziate con un singolo canale di segnalazione nel piano gratuito. Hosting svizzero, crittografia a conoscenza zero e pieno supporto EN / DE / FR / IT — nessuna carta di credito richiesta.
Avvertenza: Questa pagina è informazione generale e contenuto di marketing, non consulenza legale, di compliance o di diritto del lavoro. I riferimenti alla direttiva UE sui whistleblower (2019/1937), al Codice svizzero delle obbligazioni, alla nLPD, ai quadri di rappresentanza dei lavoratori e alle normative correlate sono riassunti a livello concettuale e soggetti a interpretazione giurisdizionale e a future modifiche legislative. La responsabilità per un canale di segnalazione conforme — comprese le misure anti-ritorsione, i tempi di riscontro, la documentazione e l'imparzialità delle indagini — resta del datore di lavoro. Consultate un legale qualificato in diritto del lavoro svizzero/UE e uno specialista in protezione dei dati prima di prendere decisioni di conformità o di acquisto.