Lección 1Roles de operadores y modelo de gobernanza: oficial(es) de reporte interno(s), suplente, Legal, RRHH y roles de proveedor externoEsta sección aclara el modelo de gobernanza y roles de operadores. Define responsabilidades de oficiales de reporte internos, suplentes, Legal, RRHH y proveedores externos, y explica vías de escalación, salvaguardas de independencia y arreglos de respaldo.
Mandate of the internal reporting officerDeputy arrangements and business continuityInterfaces with Legal, HR, and ComplianceUse of external ombuds or hotline providersIndependence, conflicts, and reporting linesLección 2Mapeo de procesos: recepción, triaje, evaluación preliminar, investigación formal, acción correctiva, cierreEsta sección explica cómo mapear el proceso de reporte de principio a fin, desde recepción hasta cierre. Define triaje, evaluación preliminar, investigación formal, acciones correctivas y documentación, asegurando claridad de roles, plazos y puntos de decisión.
Designing the intake and registration stepsTriage rules and risk-based prioritizationPreliminary assessment and scopingFormal investigation workflow and controlsCorrective action, closure, and lessons learnedLección 3Control de acceso y permisos basados en roles para sistemas de recepción, investigación y archivoEsta sección define conceptos de control de acceso para sistemas de reporte. Cubre permisos basados en roles, segregación de deberes, principio de menor privilegio y archivo seguro, asegurando que solo personal autorizado pueda ver, editar o exportar datos sensibles de casos.
Role design for intake and investigation teamsLeast privilege and need-to-know principlesSegregation of duties and conflict checksAccess reviews and recertification cyclesSecure archive access and export controlsLección 4Medidas técnicas y organizacionales para confidencialidad: encriptación, pseudonimización, registros de auditoría, cronogramas de retenciónEsta sección detalla salvaguardas técnicas y organizacionales para confidencialidad, incluyendo encriptación, pseudonimización, controles de acceso, registro y retención. Vincula estas medidas a requisitos legales, evaluaciones de riesgo y políticas internas de seguridad.
End-to-end encryption for reporting channelsPseudonymisation and data minimization rulesSecure storage, backups, and key managementAudit logging and monitoring of accessRetention schedules and secure deletionLección 5Gobernanza de escalación y reporte a la junta: cuándo involucrar a gerencia senior, Legal, Comité de CumplimientoEsta sección explica reglas de escalación, estructuras de gobernanza y reportes a la junta. Aclara cuándo involucrar a gerencia senior, Legal o cuerpos de Cumplimiento, y cómo documentar decisiones, proteger independencia y evitar riesgos de represalias.
Escalation criteria and materiality thresholdsRoles of senior management in case handlingInvolvement of Legal and Compliance bodiesBoard and committee reporting formatsDocumenting escalation decisionsLección 6Selección y especificación de canales de reporte (formularios de recepción en línea seguros, línea telefónica, postal, en persona, correo delegado)Esta sección explica cómo seleccionar y especificar canales de reporte, incluyendo formularios en línea seguros, línea telefónica, postal, en persona y correo delegado. Cubre seguridad, usabilidad, disponibilidad y documentación para asegurar acceso confiable y conforme para todos los denunciantes.
Channel mix: online, phone, postal, in-personSecurity requirements for each channel typeDesigning usable and clear intake formsDelegated email and mailbox managementBusiness continuity and fallback channelsLección 7Plazos y SLAs alineados con HinSchG: plazo de acuse, hitos de investigación, retroalimentación al denuncianteEsta sección se enfoca en plazos y SLAs alineados con HinSchG. Explica plazos de acuse, hitos de investigación y obligaciones de retroalimentación, y muestra cómo integrarlos en procedimientos, herramientas y tableros de monitoreo para cumplimiento.
HinSchG timelines and legal benchmarksAcknowledgement and status update deadlinesInvestigation duration and milestone trackingFeedback obligations to the reporterMonitoring SLA breaches and remediationLección 8Requisitos multilingües y de accesibilidad (alemán, inglés y consideraciones de lenguaje alemán-austriaco; opciones de reporte anónimo)Esta sección aborda necesidades multilingües y de accesibilidad para denunciantes. Cubre uso de alemán e inglés, variantes austriacas, lenguaje sencillo, opciones anónimas y adaptaciones para discapacidades, asegurando acceso igualitario y seguro a todos los canales de reporte.
Language strategy for German and EnglishHandling Austrian-German terminologyPlain language and easy-to-read draftingAccessibility for disabilities and assistive techAnonymous and confidential reporting optionsLección 9Evaluación de proveedores terceros y cláusulas contractuales (DPA, confidencialidad, derechos de auditoría, SLA para tiempos de respuesta)Esta sección guía la evaluación de proveedores externos de línea directa o plataformas. Cubre debida diligencia, acuerdos de tratamiento de datos, confidencialidad, derechos de auditoría, SLAs y monitoreo continuo para asegurar cumplimiento legal, seguridad de datos y entrega confiable de servicios.
Due diligence on hotline and platform vendorsData Processing Agreement key clausesConfidentiality and conflict-of-interest termsAudit and inspection rights in contractsSLAs for uptime and response timesLección 10Documentos plantilla y registro: formularios de recepción, cartas de acuse, planes de investigación, reportes finales, plantillas de anonimizaciónEsta sección cubre plantillas y registros obligatorios a lo largo del ciclo de vida del caso. Explica cómo estandarizar recepción, acuses, planes de investigación, reportes y anonimizaciones para asegurar consistencia, auditabilidad y cumplimiento con HinSchG y RGPD.
Standardized intake and case opening formsAcknowledgement and follow-up letter templatesInvestigation planning and scoping templatesFinal report and management summary formatsRedaction standards for shared documents
