Le recenti evoluzioni normative e interpretative in materia di whistleblowing impongono a imprese private, pubbliche amministrazioni e gruppi societari un ripensamento profondo dei modelli organizzativi, delle architetture tecnologiche e delle procedure di gestione del canale di segnalazione.

Il parere rilasciato dal Garante per la protezione dei dati personali il 9 ottobre 2025, relativo agli schemi aggiornati delle Linee Guida ANAC sui canali interni ed esterni, introduce chiarimenti rilevanti per garantire una gestione delle segnalazioni pienamente conforme al D.lgs. 24/2023 e al GDPR. Le considerazioni dell’Autorità contengono indicazioni operative cruciali per tutti i soggetti obbligati, con particolare enfasi sulla riservatezza, sulla sicurezza tecnica dei canali, sull’adeguatezza delle misure e sul ruolo dei titolari del trattamento.

L’obiettivo principale è rendere omogeneo, efficace e sicuro l’intero processo di whistleblowing, tutelando in modo pieno la persona segnalante, la documentazione e le informazioni trattate.

1. L’approccio generale richiesto da ANAC e Garante: protezione by design e accountability

Le nuove indicazioni ribadiscono la necessità che i canali di segnalazione siano progettati e gestiti adottando una logica di:

  • protezione dei dati fin dalla progettazione,
  • protezione per impostazione predefinita,
  • responsabilizzazione del titolare del trattamento,
  • soluzioni tecnologiche proporzionate ai rischi specifici del contesto lavorativo.

Il Garante evidenzia che i trattamenti operati tramite il canale di whistleblowing rientrano tra quelli più delicati in assoluto, poiché possono riguardare dati personali comuni, categorie particolari di dati, informazioni su illeciti civili, amministrativi o penali, e identità di soggetti vulnerabili. Questi elementi richiedono una gestione particolarmente rigorosa, coerente con i principi degli artt. 5, 24, 25 e 32 GDPR.

Ne consegue che ogni organizzazione deve adottare un modello documentato, chiaro, aggiornato e specifico: non è sufficiente un approccio formale o meramente dichiarativo.

2. L’uso della posta elettronica: possibile, ma solo con misure speciali

Una delle precisazioni più rilevanti riguarda l’utilizzo della posta elettronica come canale di segnalazione.

Il Garante sottolinea che l’email, anche certificata, non garantisce di per sé la riservatezza dell’identità del segnalante, poiché genera metadati e log di sistema potenzialmente idonei a rivelare l’origine della comunicazione, soprattutto quando la segnalazione proviene da caselle istituzionali interne.

Ciò non significa che l’uso dell’email sia vietato, ma la sua adozione richiede l’applicazione di contromisure molto stringenti, tra cui:

  • isolamento della casella dedicata dalle altre componenti dell’infrastruttura;
  • limitazione drastica dei log generati dai sistemi di posta;
  • assenza di reindirizzamenti automatici, integrazioni con sistemi di ticketing o antispam invasivi;
  • esclusivo accesso da parte del gestore del canale;
  • configurazioni specifiche su firewall, proxy e altri apparati affinché non vengano registrati dati sull’origine della connessione.

Nel caso di segnalazioni gestite con strumenti tradizionali, permane il principio della “doppia busta”, utile a separare contenuto e identità della persona segnalante.

3. Piattaforme dedicate: l’opzione privilegiata per sicurezza e riservatezza

Le indicazioni aggiornate valorizzano l’utilizzo di piattaforme specializzate per il whistleblowing. Si tratta della soluzione che, più delle altre, permette di garantire:

  • cifratura dei dati a riposo e in transito;
  • anonimizzazione o non tracciabilità dell’IP e delle sessioni di navigazione;
  • autenticazione selettiva degli incaricati;
  • segregazione delle segnalazioni per enti, reparti o società del gruppo;
  • automatismi di retention e cancellazione coerenti con i cinque anni previsti dal D.lgs. 24/2023.

Le piattaforme, se correttamente progettate, consentono inoltre di stabilire un’interlocuzione riservata con la persona segnalante, mantenendo livelli di sicurezza elevati e controllabili, come richiesto dal Garante.

Per un’organizzazione, scegliere un fornitore esterno implica la necessità di:

  • verificare attentamente la documentazione tecnica,
  • integrare nel contratto di servizi obblighi specifici di sicurezza,
  • nominare il fornitore quale responsabile esterno ex art. 28 GDPR,
  • mantenere comunque la piena titolarità del trattamento.

4. DPIA: obbligatoria, concreta e cucita sul canale reale

Il Garante chiarisce in modo espresso che la valutazione d’impatto (DPIA) è sempre necessaria per il canale di whistleblowing. Questa valutazione non può essere generica o standardizzata: deve invece riflettere i rischi reali derivanti dai flussi di segnalazione dell’organizzazione.

La DPIA deve includere:

  • mappatura dettagliata dei flussi (ricezione, gestione, archiviazione, cancellazione);
  • valutazione delle misure tecniche adottate per evitare la tracciabilità del segnalante, soprattutto nei canali interni;
  • descrizione dei sistemi di rete (firewall, proxy, posta, VPN, logging);
  • verifica puntuale delle garanzie offerte dal fornitore, se il canale è esternalizzato;
  • analisi della proporzionalità della soluzione adottata in relazione ai principi del GDPR.

Per molte organizzazioni è necessario un coordinamento stretto tra:

  • DPO,
  • IT/Cybersecurity Manager,
  • Compliance/231,
  • fornitore della piattaforma.

5. Whistleblowing nei gruppi societari: ruolo privacy della capogruppo

Una delle novità più rilevanti riguarda la gestione dei canali per i gruppi societari. Il Garante chiarisce che, quando la capogruppo gestisce per le società controllate il canale di segnalazione, il suo ruolo è quello di responsabile del trattamento, non di contitolare.

Questo implica che:

  • deve essere predisposta una nomina intercompany ex art. 28 GDPR;
  • ogni società controllata mantiene la titolarità;
  • ciascuna società deve avere un proprio gestore interno delle segnalazioni;
  • la piattaforma deve garantire una rigorosa segregazione degli accessi.

L’organizzazione deve quindi rivedere le proprie strutture di governance privacy per allineare ruoli e responsabilità.

6. Segnalazioni non rilevanti: la riservatezza resta obbligatoria

Se una segnalazione non rientra nel perimetro del whistleblowing – ad esempio perché riguarda una questione HR, una richiesta personale o un messaggio confidenziale – la riservatezza del segnalante non può essere compromessa. Il Garante evidenzia che la persona può ragionevolmente aspettarsi protezione, anche se la segnalazione è impropria.

Ne deriva che:

  • non sono ammessi inoltri indiscriminati;
  • non va attivata protocollazione aperta;
  • il trattamento resta soggetto ai principi di minimizzazione e riservatezza.

7. Tempi di conservazione: massimo cinque anni dall’esito della procedura

L’Autorità conferma che la documentazione deve essere conservata per un periodo non superiore a cinque anni dalla comunicazione dell’esito della procedura. Possono essere trattenuti più a lungo solo documenti necessari per finalità ulteriori (disciplinari, giudiziarie, amministrative), ma tali atti non dovrebbero contenere l’identità del segnalante salvo eccezioni previste dalla legge. Questo richiede un adeguamento dei sistemi di retention, dei registri delle attività di trattamento e delle procedure di cancellazione.

8. Il ruolo del DPO nel nuovo modello di whistleblowing

Il Responsabile della Protezione dei Dati assume un ruolo sempre più strategico nella governance dei canali di segnalazione.

In particolare, il DPO deve:

  • supportare il titolare nella progettazione del canale nel rispetto dei principi del GDPR;
  • verificare la DPIA e formulare osservazioni puntuali;
  • monitorare l’efficacia delle misure tecniche e organizzative;
  • supervisionare il rapporto con il fornitore nominato responsabile esterno;
  • contribuire alla formazione del personale incaricato;
  • vigilare sulla corretta gestione delle segnalazioni non rilevanti o improprie.

Per le organizzazioni con modelli 231 già in essere, il coordinamento tra DPO, OdV e Compliance diventa essenziale.

9. Perché tutto questo è importante: rischi cumulativi e governance

Un canale di whistleblowing non conforme espone l’organizzazione a tre livelli di rischio:

  1. sanzioni ANAC, per violazioni del D.lgs. 24/2023;
  2. sanzioni GDPR, per carenze in sicurezza, DPIA, design dei sistemi o ruoli privacy errati;
  3. contenzioso interno, per azioni da parte del dipendente che ritenga compromessa la propria riservatezza.

Ogni livello ha impatti economici, reputazionali e organizzativi significativi.

Un canale progettato correttamente diventa invece uno strumento di governo aziendale: intercetta rischi, migliora la cultura interna, rafforza la fiducia e contribuisce alla responsabilità d’impresa.

Checklist operativa per adeguarsi alle nuove indicazioni

A. Progettazione e tecnologia

  • Verificare se l’email aziendale è adeguata o se richiede contromisure elevate.
  • Preferire piattaforme dedicate con cifratura, anonimizzazione del traffico e segregazione degli accessi.
  • Garantire la non tracciabilità del segnalante attraverso analisi delle configurazioni di rete.
  • Aggiornare la documentazione tecnica del fornitore responsabile ex art. 28 GDPR.

B. Documentazione e ruoli

  • Aggiornare il modello 231 e gli atti organizzativi.
  • Definire chiaramente titolarità e responsabilità, soprattutto nei gruppi societari.
  • Formalizzare la nomina a responsabile della capogruppo quando gestisce il canale.
  • Mantenere evidenza delle autorizzazioni interne e della formazione del personale.

C. DPIA

  • Redigere o aggiornare la DPIA in modo specifico per il canale.
  • Mappare i flussi, incluse le interazioni con firewall, proxy, mail server e piattaforme cloud.
  • Valutare i rischi legati alla tracciabilità e all’accesso indiscriminato.
  • Coordinarsi con DPO, IT e fornitore per la validazione finale.

D. Gestione delle segnalazioni

  • Garantire protocollazione riservata per segnalazioni tradizionali.
  • Tutelare sempre la riservatezza del segnalante, anche in caso di segnalazioni non rilevanti.
  • Assicurare un sistema di interlocuzione sicuro e protetto.

E. Conservazione e cancellazione

  • Impostare retention non superiori a cinque anni dall’esito.
  • Implementare procedure automatiche di cancellazione.
  • Verificare che gli atti ulteriori non includano l’identità del segnalante.

Concludendo

Le nuove indicazioni del Garante e gli aggiornamenti delle Linee Guida ANAC portano chiarezza e maggiore rigore nella gestione del whistleblowing. Le organizzazioni sono chiamate a rivedere tecnologie, procedure e governance, adottando un approccio pienamente orientato alla riservatezza, alla sicurezza e alla responsabilizzazione.

Investire in un canale progettato correttamente non rappresenta solo un obbligo normativo: è un elemento strategico per la tutela dell’integrità, della trasparenza e della fiducia all’interno dell’organizzazione. Hai bisogno di approfondire il tema? Contattaci, ti aiuteremo volentieri.

Leave a Reply