Lección 1Roles de operadores y modelo de gobernanza: oficial(es) de denuncia interna(s), suplente, Legal, RRHH y roles de proveedor externoEsta sección aclara el modelo de gobernanza y roles de operadores. Define responsabilidades de oficiales de denuncia internos, suplentes, Legal, RRHH y proveedores externos, y explica vías de escalada, salvaguardas de independencia y arreglos de respaldo.
Mandate of the internal reporting officerDeputy arrangements and business continuityInterfaces with Legal, HR, and ComplianceUse of external ombuds or hotline providersIndependence, conflicts, and reporting linesLección 2Mapeo de procesos: recepción, triaje, evaluación preliminar, investigación formal, acción correctiva, cierreEsta sección explica cómo mapear el proceso de denuncia de principio a fin, desde recepción hasta cierre. Define triaje, evaluación preliminar, investigación formal, acciones correctivas y documentación, asegurando claridad de roles, plazos y puntos de decisión.
Designing the intake and registration stepsTriage rules and risk-based prioritizationPreliminary assessment and scopingFormal investigation workflow and controlsCorrective action, closure, and lessons learnedLección 3Control de acceso y permisos basados en roles para sistemas de recepción, investigación y archivoEsta sección define conceptos de control de acceso para sistemas de denuncia. Cubre permisos basados en roles, segregación de deberes, principio de menor privilegio y archivo seguro, asegurando que solo personal autorizado pueda ver, editar o exportar datos sensibles de casos.
Role design for intake and investigation teamsLeast privilege and need-to-know principlesSegregation of duties and conflict checksAccess reviews and recertification cyclesSecure archive access and export controlsLección 4Medidas técnicas y organizacionales para confidencialidad: encriptación, pseudonimización, registros de auditoría, cronogramas de retenciónEsta sección detalla salvaguardas técnicas y organizacionales para confidencialidad, incluyendo encriptación, pseudonimización, controles de acceso, registro y retención. Vincula estas medidas a requisitos legales, evaluaciones de riesgo y políticas internas de seguridad.
End-to-end encryption for reporting channelsPseudonymisation and data minimization rulesSecure storage, backups, and key managementAudit logging and monitoring of accessRetention schedules and secure deletionLección 5Gobernanza de escalada y reporte a la junta: cuándo involucrar a gerencia senior, Legal, Comité de CumplimientoEsta sección explica reglas de escalada, estructuras de gobernanza y reporte a la junta. Aclara cuándo involucrar a gerencia senior, Legal o cuerpos de Cumplimiento, y cómo documentar decisiones, proteger independencia y evitar riesgos de represalias.
Escalation criteria and materiality thresholdsRoles of senior management in case handlingInvolvement of Legal and Compliance bodiesBoard and committee reporting formatsDocumenting escalation decisionsLección 6Selección y especificación de canales de denuncia (formularios de recepción en línea seguros, línea directa telefónica, postal, presencial, correo delegado)Esta sección explica cómo seleccionar y especificar canales de denuncia, incluyendo formularios en línea, líneas directas telefónicas, postales, presenciales y correo delegado. Cubre seguridad, usabilidad, disponibilidad y documentación para asegurar acceso confiable y conforme para todos los denunciantes.
Channel mix: online, phone, postal, in-personSecurity requirements for each channel typeDesigning usable and clear intake formsDelegated email and mailbox managementBusiness continuity and fallback channelsLección 7Plazos y SLAs alineados con HinSchG: plazo de confirmación, hitos de investigación, retroalimentación al denuncianteEsta sección se enfoca en plazos y SLAs alineados con HinSchG. Explica plazos de confirmación, hitos de investigación y obligaciones de retroalimentación, y muestra cómo integrarlos en procedimientos, herramientas y tableros de monitoreo para cumplimiento.
HinSchG timelines and legal benchmarksAcknowledgement and status update deadlinesInvestigation duration and milestone trackingFeedback obligations to the reporterMonitoring SLA breaches and remediationLección 8Requisitos multilingües y de accesibilidad (alemán, inglés y consideraciones lingüísticas alemán-austríaco; opciones de denuncia anónima)Esta sección aborda necesidades multilingües y de accesibilidad para denunciantes. Cubre uso de alemán e inglés, variantes austríacas, lenguaje sencillo, opciones anónimas y adaptaciones para discapacidades, asegurando acceso igualitario y seguro a todos los canales de denuncia.
Language strategy for German and EnglishHandling Austrian-German terminologyPlain language and easy-to-read draftingAccessibility for disabilities and assistive techAnonymous and confidential reporting optionsLección 9Evaluación de proveedores terceros y cláusulas contractuales (DPA, confidencialidad, derechos de auditoría, SLA para tiempos de respuesta)Esta sección guía la evaluación de proveedores externos de líneas directas o plataformas. Cubre debida diligencia, DPA, confidencialidad, derechos de auditoría, SLAs y monitoreo continuo para asegurar cumplimiento legal, seguridad de datos y entrega confiable de servicios.
Due diligence on hotline and platform vendorsData Processing Agreement key clausesConfidentiality and conflict-of-interest termsAudit and inspection rights in contractsSLAs for uptime and response timesLección 10Documentos plantilla y registro: formularios de recepción, cartas de confirmación, planes de investigación, informes finales, plantillas de anonimizaciónEsta sección cubre plantillas obligatorias y registros a lo largo del ciclo de vida del caso. Explica cómo estandarizar recepción, confirmaciones, planes de investigación, informes y anonimizaciones para asegurar consistencia, auditabilidad y cumplimiento con HinSchG y RGPD.
Standardized intake and case opening formsAcknowledgement and follow-up letter templatesInvestigation planning and scoping templatesFinal report and management summary formatsRedaction standards for shared documents
