GH GambleHub

Canal para informantes y protección de datos

1) Asignación y ámbito

Proporcionar una forma segura, accesible y confiable para que empleados, contratistas, afiliados y otros stakeholder denuncien irregularidades (corrupción, fraude, AML/sanciones, RG, GDPR/PII, PCI/IB, publicidad/afiliados, conflictos de intereses, discriminación y acoso, violación de licencias/ley). El documento regula los canales, el anonimato, el procesamiento de datos, los procedimientos de investigación y la protección contra represalias.

2) Principios

Tolerancia cero a la represión. Cualquier respuesta está prohibida.
Privacidad y minimización de datos. La recogida es sólo necesaria, según el principio de need-to-know.
Anonimato a elección del informante. La posibilidad de comunicarse sin revelar la identidad.
Oportunidad y justicia. SLA de recepción/revisión; metodología documentada, imparcial.
Independencia. Reparto de roles: recepción de mensajes, investigación, sanciones.
Transparencia del proceso. Seguimiento del estado, retroalimentación, estadísticas públicas sin personalidades.

3) Roles y RACI

Whistleblowing Officer (WBO) es el propietario del proceso, triaje, coordinación de investigaciones, informes. (A/R)

Compliance/Legal/DPO - evaluación legal, protección de datos, política de privacidad. (R/C)

InfoSec/CISO: seguridad del canal, cifrado, control de acceso, registro. (R)

HR/ER (Relaciones con el Empleador) - casos de ética/comportamiento, medidas de apoyo. (R)

La Auditoría Interna (IA) es un control independiente de la calidad de las investigaciones y la CAPA. (C)

Security/Trust & Safety - casos técnicos/de frod, recolección de artefactos digitales. (R)

Exec Sponsor (CEO/COO) - «tone from the top», recursos, escaladas S1. (I/A)

4) Canales de recepción de mensajes

1. Formulario web (principal recomendado): mantener el anonimato; correspondencia protegida por token/pin.
2. Correo electrónico: caja dedicada con cifrado automático, autocine sin revelar el contenido.
3. Línea directa/teléfono: registro en el sistema con datos enmascarados.
4. Chatbot en el mensajero corporativo: no para anónimos (o con mecanismo proxy).
5. Dirección de correo/casilla física: para mensajes fuera de línea (escanear y cargar en el Sistema).
6. Contacto directo con WBO/IA: reunión personal - a petición del informante.

Requisitos de canal: TLS end-to-end, almacenamiento en almacenamiento cifrado, RBAC, registros de acceso son inmutables, no hay seguimiento IP/dispositivos en forma anónima, política transparente de cookies/registros.

5) Protección de datos y bases jurídicas

Base de Lawful: cumplimiento de obligaciones legales, intereses legítimos de la empresa, interés público (dependiendo de la jurisdicción).
DPIA: antes del lanzamiento - evaluación del impacto en la privacidad; fijación de riesgos y medidas de reducción.
Clasificación de datos: personales, sensibles (salud, etnicidad, etc.), secretos comerciales, artefactos de investigación.
Minimización: no recoger el exceso; eliminar documentos no conformes.
Transferencias transfronterizas: sólo cuando existen bases jurídicas y garantías contractuales.
Derechos de los interesados: DSAR son procesados por DPO; Excepción: no revelar la identidad del informante y los datos que pongan en peligro la investigación/terceros.
Retencion: mensajes y artefactos - normalmente 5 años, ya sea por política/ley/licencia; a continuación, eliminación segura (crypto-shred/borrado lógico con registro).

6) Medidas técnicas y de seguridad

Encriptación: en-nat (KMS/HSM), en-tránsito (TLS), claves - con rotación y delimitación.
Acceso: RBAC/ABAC, el principio de menos privilegios, dominios individuales para casos anónimos.
Registros: inmutables (WORM), monitoreo de accesos inusuales, alertas.
Segmentación: el sistema de mensajes está aislado de los sistemas prod; backups individuales con comprobación de recuperación.
Metadatos: enmascarar, eliminar EXIF de los archivos adjuntos, advertir al informante de la identificación automática.
Canales secretos de comunicación: buzón/correo web seguro para la correspondencia anónima bidireccional.

7) Clasificación de casos y prioridades

S1 (Crítico): corrupción/sobornos, flagelo importante, filtración de PII/PCI, amenazas a la vida/seguridad, violaciones graves de licencias/leyes.
S2 (Alto): violaciones sistémicas de las políticas (AML/RG/GDPR/IB), graves conflictos de intereses, discriminación/acoso.
S3 (Promedio): irregularidades de procedimientos locales, errores de publicidad/afiliados, infracciones de conducta únicas.
S4 (Bajo): propuestas de mejoras, incidentes de bajo riesgo.

SLA:
  • Recibo de admisión: S1/S2 - ≤ 24 h; S3/S4 — ≤ 3 ríos dn.
  • Evaluación primaria (triage): S1 - ≤ 48 h; S2 — ≤ 5 ríos dn.; S3/S4 — ≤ 10 ríos dn.
  • Plan de investigación: S1 - ≤ 3 d. C.; S2 — ≤ 10 ríos dn.

8) Proceso desde el mensaje hasta el cierre

Paso 1 - Recepción y recibo. Asignación de ID, fijación de canales, preservación de evidencias «tal cual».
Paso 2 - Triaje e independencia. Verificación de conflictos de intereses entre las personas designadas; en caso de conflicto - redistribución.
Paso 3 - Evaluación del riesgo y plan. Volumen, hipótesis, legalidad de los métodos, lista de artefactos, hoja de ruta.
Paso 4 - Recolección de pruebas. Documentos, registros, entrevistas, muestras de transacciones; cumplimiento de cadena-de-custodia.
Paso 5 - Análisis y conclusiones. El hecho → criterio (política/ley/licencia) → el riesgo → el impacto.
Paso 6 - Recomendaciones y CAPA. Acciones correctivas/preventivas, propietarios, plazos, métricas de éxito.
Paso 7 - Comunicaciones y retroalimentación. Sin revelar la identidad del informante; lenguaje ordenado (sin cargos hasta la final).
Paso 8 - Cierre y retiro. Informe final, estado, almacenamiento de artefactos, publicación de estadísticas impersonales.

9) Comunicaciones y protección del informante

Sin tipping-off. No revelar a los presuntos infractores el hecho de la comunicación/investigación.
Protección contra represalias. Están prohibidas las reducciones, despidos, despidos de bonificaciones, acoso, etc. Las represalias se consideran una infracción S1/S2 separada.
Apoyo: si es necesario, traslado a otro equipo, vacaciones, asesoramiento de recursos humanos/abogados/apoyo psicológico.
Comunicación anónima bidireccional: el informante puede hacer preguntas y obtener estatus a través de un inbox/token web.

10) Relación con otras políticas

Código de Ética y Conducta - Normas y Canales.
Política anticorrupción - due diligence, regalos, intermediarios.
GDPR/PII - la legalidad del tratamiento, DSAR, retén.
AML/RG/PCI/IB - Procedimientos de perfil y triaje.
Auditoría interna: control independiente de la calidad de las investigaciones.

11) Hojas de cheques

11. 1 Antes de iniciar el canal

  • DPIA y política de privacidad aprobada por DPO/Legal.
  • Arquitectura técnica: cifrado, RBAC, registros WORM.
  • Se ha configurado un formulario Web anónimo y una comunicación bidireccional mediante token.
  • Capacitación del equipo de WBO/Triage en metodología de investigación.
  • Plantillas preparadas (recibo, plan de investigación, informe, carta de cierre).
  • Campaña de comunicación: «tone from the top», carteles, intranet, FAQ.

11. 2 Recepción de mensajes

  • ID asignado, fecha/canal/nivel S registrado.
  • La confirmación se envía al informante sin revelar los detalles.
  • Se ha comprobado el conflicto de intereses entre los autores.
  • Todos los datos adjuntos/metadatos están fijos, se ha realizado una identificación de.

11. 3 Investigación

  • Se han aprobado el plan y las hipótesis (Legal/DPO/InfoSec - según sea necesario).
  • La cadena de custodia se mantiene para cada artefacto.
  • Las entrevistas se registran; Advertencia de privacidad.
  • Las conclusiones se basan en hechos verificables, se ha realizado una revisión previa.

11. 4 Cierre

  • Se asignan CAPA, se definen plazos y métricas.
  • El informante (oportunidad) recibió retroalimentación impersonal.
  • Se establece la retención/clasificación; artefactos colocados en un archivo.
  • Estadísticas actualizadas en dashboard.

12) Plantillas de documentos (inserciones rápidas)

A) Recibo al informante

💡 Gracias por el mensaje. Su ID: WB-XXXX. Examinaremos la información y nos pondremos en contacto si es necesario a través de este canal seguro. Puede permanecer en el anonimato. Por favor, no revele la información públicamente hasta que se complete la verificación.

B) Plan de investigación (one-pager)

Caso: WB-XXXX Prioridad: S1/S2/S3/S4 Propietario:... Plazos:...
Hipótesis/criterios:...
Datos/artefactos:...

Entrevista: lista/gráfico

Riesgos de privacidad/restricciones legales:...
Comunicaciones y puntos de control:...

C) Informe final (estructura)

Resumen Hechos Criterios (política/ley) Análisis Conclusiones Recomendación CAPA Anexos (artefactos).

D) Carta de cierre

💡 Le informamos que el examen del caso WB-XXXX ha concluido. Se han adoptado medidas de conformidad. Gracias por contribuir al funcionamiento ético y seguro de la empresa.

13) Métricas y dashboard

Volumen Intake: número de mensajes por categoría y canal.
Time-to-Acknowledge / Time-to-Triage / Time-to-Decision.
SLA cumplimiento de los niveles S.
CAPA Progress: ejecutada/en trabajo/caducada, mediana de cierre.
Índice de recuperación: denuncias de represalias registradas (objetivo 0).
Anonymity Rate: proporción de mensajes anónimos y su conversión en casos confirmados.
Repeat Findings: repetibilidad de temas en 12 meses.
Awareness Impact: aumento de las llamadas después de las campañas; NPS de confianza en el canal.

14) Riesgos y medidas de control

Desanonimización a través de metadatos. → de identificación, eliminación de EXIF, advertencias explícitas.
Fugas de acceso a casos: → RBAC, segmentación, registros WORM, revisiones periódicas de acceso.
Mensajes/abusos ficticios. → filtro de cortesía y verificación de hechos; sanciones por declaraciones notoriamente falsas (sin efecto intimidación).
Conflicto de intereses en la investigación: → rotación de los autores, participación de IA/Legal.
Represión: → un flujo separado de quejas; respuesta rápida de HR/Compliance.

15) Formación y sensibilización

Onboarding: módulo sobre canal, anonimato y protección de datos (prueba ≥ 85%).
Recertificación anual para todos; capacitación adicional para WBO/investigadores.
Campañas trimestrales (carteles/bot quiz/video): cómo presentar lo que se espera, ejemplos.

16) Plan de implementación de 30 días

Semana 1

1. Designar a la WBO y al grupo de trabajo (Compliance/Legal/DPO/InfoSec/HR/IA).
2. Llevar a cabo DPIA, aprobar la política de privacidad y retención.
3. Especificar los canales (formulario web/correo/línea), requisitos de anonimato y logs.

Semana 2

4. Implementar plataforma técnica: cifrado, RBAC, registros WORM, inbox web anónimo.
5. Preparar plantillas y SOP: recibo, plan, informe, carta de cierre, CAPA.
6. Entrenar a un equipo de WBO/Triage; prescribir RACI y SLA.

Semana 3

7. Piloto: 1-2 casos de prueba (table-top), comprobación de la cadena de evidencia y retencion.
8. Configurar métricas de dashboard e informes para la administración/comité.
9. Comunicaciones: carta CEO, página en la intranet, preguntas frecuentes, carteles.

Semana 4

10. Inicio del canal; monitoreo de SLA/carga; Soporte caliente.
11. Revisiones semanales de casos de S1/S2 y estados CAPA.
12. Retro y ajustes v1. 1 (políticas, formularios, formación).

17) Secciones relacionadas

Código de Ética y Conducta

Política contra la corrupción

Formación y formación de empleados AML/Sensibilización del personal sobre el cumplimiento

Playbooks y scripts de incidentes

Dashboard de cumplimiento y monitoreo

Auditoría interna y auditoría externa

Notificaciones de infracciones y plazos de presentación de informes

Informes regulatorios y formatos de datos

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Telegram
@Gamble_GC
Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.