Whistleblowing EU

Software de denúncia de código aberto (Portugal)

Procura uma plataforma de denúncia segura, ética e conforme com a Diretiva europeia sobre whistleblowing?

Experimente o GlobaLeaks, o software livre e de código aberto concebido para:

Saiba mais na documentação oficial.

Documentação Demo

A Diretiva europeia sobre whistleblowing

A Diretiva da UE relativa à proteção das pessoas que denunciam violações do direito da União obriga as organizações a criarem canais de denúncia seguros e confidenciais e a proteger os denunciantes contra retaliações.

Em Portugal a Diretiva está transposta pela Lei n.º 93/2021, de 20 de dezembro, que estabelece o regime geral de proteção de denunciantes de infrações. Aplica-se a entidades públicas e privadas com 50 ou mais trabalhadores. A entidade competente para o canal externo é o Ministério Público.

Obrigações legais e conformidade

Referência Obrigação Como o GlobaLeaks a cumpre
Art. 8.º As entidades com 50 ou mais trabalhadores são obrigadas a dispor de canais de denúncia interna; as entidades que empreguem entre 50 e 249 trabalhadores podem partilhar recursos para a receção de denúncias e a realização do respetivo seguimento. O GlobaLeaks é um canal de denúncia interno dedicado, auto-hospedado e de software livre/código aberto auditável, que qualquer entidade obrigada pela Lei 93/2021 pode implementar; várias entidades podem partilhar a mesma instância, mantendo a gestão estruturada de casos e o controlo de acesso granular na base da necessidade de conhecer.
Art. 9.º, n.º 1 Os canais de denúncia interna devem garantir a apresentação e o seguimento seguros da denúncia, assegurando a confidencialidade da identidade ou o anonimato do denunciante e impedindo o acesso de pessoas não autorizadas. A denúncia pode ser apresentada de forma anónima ou confidencial (configurável); a cifragem das denúncias e dos anexos, associada a um controlo de acesso granular na base da necessidade de conhecer, garante a apresentação e o seguimento seguros e impede o acesso de pessoas não autorizadas, mantendo a identidade do denunciante protegida em todas as fases. O anonimato total é possível graças à integração da tecnologia Tor.
Art. 10.º, n.º 1 e 2 A denúncia pode ser apresentada por escrito e/ou verbalmente; a pedido do denunciante, deve ser possível a sua apresentação em reunião presencial, realizada num prazo razoável. O GlobaLeaks permite a denúncia escrita com anexos e a mensagem de voz para a apresentação verbal, disponibilizando ainda a possibilidade de pedir uma reunião presencial.
Art. 11.º, n.º 1 A entidade competente deve notificar o denunciante da receção da denúncia no prazo de sete dias a contar da respetiva receção. É emitido de imediato um comprovativo de receção e a gestão estruturada de casos, com prazos, temporizadores e lembretes, assegura o cumprimento do prazo de sete dias.
Art. 11.º, n.º 3 A entidade deve comunicar ao denunciante as medidas previstas ou adotadas para dar seguimento à denúncia num prazo máximo de três meses a contar da data da receção da denúncia. O canal bidirecional assíncrono, que preserva o anonimato, permite comunicar ao denunciante as medidas adotadas, enquanto os temporizadores, os lembretes e o painel da gestão estruturada de casos monitorizam o prazo máximo de três meses.
Art. 18.º A identidade do denunciante, bem como todas as informações que permitam a sua identificação direta ou indireta, é confidencial e não pode ser divulgada a pessoas não autorizadas. A identidade do denunciante está protegida em todas as fases, com o apoio da denúncia anónima ou confidencial e do controlo de acesso granular na base da necessidade de conhecer; a ausência de registo de endereços IP reforça a proteção contra a identificação indireta.
Art. 19.º Tratamento dos dados pessoais em conformidade com o GDPR, segundo o princípio da minimização. Self-hosting, ausência de componentes ou serviços de terceiros, sem registo de endereços IP, minimização de metadados.
Art. 20.º, n.º 1 A entidade deve manter um registo das denúncias recebidas e conservá-las durante um período mínimo de cinco anos, bem como durante a pendência de processos judiciais ou administrativos delas decorrentes. O registo de auditoria que preserva a privacidade documenta as denúncias recebidas e a gestão estruturada de casos assegura a sua conservação pelo período mínimo de cinco anos exigido.