Compliance Italian D.lgs. n. 24/2023

[simonelucarellisoftec]

Proposal

Hi developers!

I'd like to know if developments in order to be compliant with the new italian law (D.lgs. n. 24/2023) are scheduled, and, if they are, when you plan to release them.

We are using your platform in several business environments and we're interested in particolar in 2 features mandatory in italian law:

1. notify the user for received reports ("segnalazioni");
2. alert the user for upcoming 90 days overdue date, starting from 7 days after report ("segnalazione") creation date.

Hope to receive good news!
Thank you,

Simone Lucarelli
Softec S.p.A.
www.softecspa.com

Motivation and context

Terms of law in Italian D.lgs. n. 24/2023

[gianlucagilardi]

Hi there!

1. What do you mean with "notify the use for received reports"? If the "user" is the whistleblower, they get the receipt of the filed report immediately upon filing (it is the 16-digit code displayed upon filing); if the "user" is the recipient, they already receive an email notifying the report upon the submission itself has been completed.
2. The platform does not alert the whistleblower (quite obviously), but it already has a reminder fore recipients set at 90 days after the report has been filed.

[simonelucarellisoftec]

Salve Gianluca, se posso scrivo in Italiano con la speranza di riuscire a spiegarmi meglio. 1. Mi dicono che la legge prevede che il whistleblower riceva notifica (non so in quale forma) della "ricezione" intesa come "presa in carico" della sua segnalazione. Anche a me sembra improbabile, anche considerando che l'indirizzo email potrebbe non esserci, ma mi dicono che questo è richiesto dalla normativa. 2. Il secondo punto mi è stato definito come segue: "alert per la scadenza dei 90 gg per la gestione della segnalazione, decorrenti dai sette gg successivi al ricevimento della stessa", credo però alert rivolto ai "riceventi". A questi punti, aggiungo se possibile una domanda più generale: possiamo dare la piattaforma come conforme alla nuova normativa italiana in oggetto? Grazie mille della celerità e precisione, S.L. Il giorno gio 29 giu 2023 alle ore 15:14 Gianluca Gilardi < ***@***.***> ha scritto:

…

Hi there! 1. What do you mean with "notify the use for received reports"? If the "user" is the whistleblower, (s)he gets the receipt of the filed report immediately upon filing (it is the 16-digit code displayed upon filing); if the "user" is the recipient, (s)he already receives an email notifying the submission upon the submission itself. 2. The platform does not alert the whistleblower (quite obviously), but it already has a reminder fore recipients set at 90 days after the report has been filed. — Reply to this email directly, view it on GitHub <#3506 (comment)>, or unsubscribe <https://github.com/notifications/unsubscribe-auth/AD4RFJ65ZSWKA64GAF2T4R3XNV5UVANCNFSM6AAAAAAZYPVFJY> . You are receiving this because you authored the thread.Message ID: ***@***.***>

-- *Simone Lucarelli* Technology Team Leader *P*: +39 0574 5877 *M*: +39 347 3778724 *W*: *www.softecspa.com <https://www.softecspa.com>* ……………………………………………………. *Softec S.p.A. *– Viale E. Jenner, 53 20159 Milano – Cap. Soc. Euro 2.497.960,00 - Isc. alla CCIAA di Milano n. 01309040473 - R.E.A. n. 1883334 - P.IVA 01309040473 Questo messaggio di posta elettronica contiene informazioni di carattere confidenziale rivolte esclusivamente al destinatario sopra indicato. E' vietato l'uso, la diffusione, la distribuzione o riproduzione da parte di ogni altra persona. Nel caso aveste ricevuto questo messaggio di posta elettronica per errore, siete pregati di segnalarlo immediatamente al mittente e distruggere quanto ricevuto (compresi i file allegati) senza farne copia. Qualsivoglia utilizzo non autorizzato del contenuto di questo messaggio costituisce violazione dell'obbligo di non prendere cognizione della corrispondenza tra altri soggetti, salvo più grave illecito, ed espone il responsabile alle relative conseguenze. Confidentially notice. This e-mail transmission may contain legally privileged and/or confidential information. Please do not read it if you are not the intended recipient(S). Any use, distribution, reproduction or disclosure by any other person is strictly prohibited. If you have received this e-mail in error, please notify the sender and destroy the original transmission and its attachments without reading or saving it in any manner.

[gianlucagilardi]

Cerchiamo di gettare un po' di luce :)

1. l'art. 5 del D. Lgs 24/23 testualmente dice:
   " 1. Nell'ambito della gestione del canale di segnalazione interna,
   la persona o l'ufficio interno ovvero il soggetto esterno, ai quali
   e' affidata la gestione del canale di segnalazione interna svolgono
   le seguenti attivita':
   a) rilasciano alla persona segnalante avviso di ricevimento della
   segnalazione entro sette giorni dalla data di ricezione; [...]"

In piattaforma l'"avviso di ricevimento della segnalazione" è, per l'appunto, il codice di 16 cifre che viene rilasciato al momento in cui la segnalazione "inviata al server" è "ricevuta dal server" ed acquisita al sistema.

2. Il reminder non è un requisito di compliance: la norma prevede che entro 90 giorni debba essere notiziato il segnalante (" d) forniscono riscontro alla segnalazione entro tre mesi dalla data dell'avviso di ricevimento [che per noi è la data della segnalazione giusto quanto sopra N.d.R.] o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione; ") ma nulla dice la norma su eventuali reminder ai riceventi. Detto questo, e' possibile impostare in piattaforma un reminder di scadenza.

Piu' in generale, la piattaforma e' al 99% conforme: sono in rilascio per il 15 luglio due funzionalità (messaggistica vocale e cancellazione selettiva del contenuto della segnalazione) che porteranno la compliance al 100%.

[simonelucarellisoftec]

Grazie Gianluca, molto chiaro e decisivo, adottiamo senz'altro la lettura della normativa e i suggerimenti operativi. Il giorno gio 29 giu 2023 alle ore 17:11 Gianluca Gilardi < ***@***.***> ha scritto:

…

Cerchiamo di gettare un po' di luce :) 1. l'art. 5 del D. Lgs 24/23 testualmente dice: *" 1. Nell'ambito della gestione del canale di segnalazione interna, la persona o l'ufficio interno ovvero il soggetto esterno, ai quali e' affidata la gestione del canale di segnalazione interna svolgono le seguenti attivita': a) rilasciano alla persona segnalante avviso di ricevimento della segnalazione entro sette giorni dalla data di ricezione; [...]"* In piattaforma l'"avviso di ricevimento della segnalazione" è, per l'appunto, il codice di 16 cifre che viene rilasciato al momento in cui la segnalazione "inviata al server" è "ricevuta dal server" ed acquisita al sistema. 1. Il reminder *non* è un requisito di compliance: la norma prevede che entro 90 giorni debba essere notiziato il segnalante (" *d) forniscono riscontro alla segnalazione entro tre mesi dalla data dell'avviso di ricevimento* [che per noi è la data della segnalazione giusto quanto sopra N.d.R.] *o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione;* ") ma nulla dice la norma su eventuali reminder ai riceventi. Detto questo, e' possibile impostare in piattaforma un reminder di scadenza. Piu' in generale, la piattaforma e' al 99% conforme: sono in rilascio per il 15 luglio due funzionalità (messaggistica vocale e cancellazione selettiva del contenuto della segnalazione) che porteranno la compliance al 100%. — Reply to this email directly, view it on GitHub <#3506 (comment)>, or unsubscribe <https://github.com/notifications/unsubscribe-auth/AD4RFJ3B7PNRD7FNYAQEPW3XNWLJNANCNFSM6AAAAAAZYPVFJY> . You are receiving this because you authored the thread.Message ID: ***@***.***>

-- *Simone Lucarelli* Technology Team Leader *P*: +39 0574 5877 *M*: +39 347 3778724 *W*: *www.softecspa.com <https://www.softecspa.com>* ……………………………………………………. *Softec S.p.A. *– Viale E. Jenner, 53 20159 Milano – Cap. Soc. Euro 2.497.960,00 - Isc. alla CCIAA di Milano n. 01309040473 - R.E.A. n. 1883334 - P.IVA 01309040473 Questo messaggio di posta elettronica contiene informazioni di carattere confidenziale rivolte esclusivamente al destinatario sopra indicato. E' vietato l'uso, la diffusione, la distribuzione o riproduzione da parte di ogni altra persona. Nel caso aveste ricevuto questo messaggio di posta elettronica per errore, siete pregati di segnalarlo immediatamente al mittente e distruggere quanto ricevuto (compresi i file allegati) senza farne copia. Qualsivoglia utilizzo non autorizzato del contenuto di questo messaggio costituisce violazione dell'obbligo di non prendere cognizione della corrispondenza tra altri soggetti, salvo più grave illecito, ed espone il responsabile alle relative conseguenze. Confidentially notice. This e-mail transmission may contain legally privileged and/or confidential information. Please do not read it if you are not the intended recipient(S). Any use, distribution, reproduction or disclosure by any other person is strictly prohibited. If you have received this e-mail in error, please notify the sender and destroy the original transmission and its attachments without reading or saving it in any manner.

[evilaliv3]

Hello! I confirm this intepretation that is the same used in italy and other european countries by the different users of globaleaks and also implementors of other digital tools.

We consider the regulator wanted to ensure that in front of a postmail or a voice mail the whistleblower is informed by the confirmation of reception and have possibility to verify the status of the report (e.g. know the handling is overdue); Thes aspect are solved within a digital plaform by informing the user that the report was stored correctly and giving them access that enables them to continuously stay up to date with the handling of their report..