Whistleblowing, privacy e regolazione

Il parere del Garante del 9 ottobre 2025 come snodo della nuova governance dei canali di segnalazione

Il 9 ottobre 2025 il Garante per la protezione dei dati personali ha pubblicato il parere sugli schemi di Linee guida ANAC in materia di whistleblowing, riguardanti sia i canali interni di segnalazione sia la modifica della precedente delibera sulle segnalazioni esterne, con provvedimento n. 581.

Il documento si colloca all’intersezione tra la Direttiva (UE) 2019/1937 , il D.Lgs. 24/2023 e il nuovo corpus regolatorio di ANAC sulle segnalazioni esterne e interne.

L’intervento del Garante definisce in modo tecnicamente puntuale l’architettura di protezione dei dati personali che deve sorreggere i sistemi di whistleblowing.
Protezione del segnalante, efficacia dei procedimenti e tutela dei dati personali non sono linee parallele ma componenti di un’unica infrastruttura regolatoria.

La riservatezza come architrave del sistema di segnalazione

Il punto di partenza del parere è chiaro. Nel contesto del whistleblowing la principale esigenza è la tutela della riservatezza dell’identità del segnalante e del contenuto della segnalazione, allo scopo di prevenire misure discriminatorie e ritorsive nei confronti del segnalante e degli altri soggetti tutelati dalla legge, bilanciandola con la necessità di accertare gli illeciti e con il diritto di difesa e di contraddittorio del segnalato.

Il Garante richiama espressamente la ragionevole aspettativa di riservatezza in capo alla persona che effettua la segnalazione.
Tale aspettativa deve essere rispettata anche nei casi in cui, in esito alle verifiche, la segnalazione non risulti rilevante ai fini dell’applicazione della disciplina sul whistleblowing.
In altre parole, l’errata qualificazione della vicenda da parte del segnalante non può tradursi in un venir meno delle garanzie di riservatezza a suo favore.

 

Chi sono i soggetti obbligati ad adottare procedure di whistleblowing

Nel ricostruire il quadro di applicazione della disciplina, è essenziale richiamare i soggetti che, ai sensi del D.Lgs. 24/2023, sono tenuti ad attivare canali interni di segnalazione e ad adottare procedure conformi.

Il parere del Garante riprende espressamente tali categorie, chiarendo che l’ambito di applicazione soggettivo della normativa coincide con quello individuato dall’art. 3 del decreto, che comprende:

• tutti i soggetti del settore pubblico, incluse amministrazioni statali, enti pubblici territoriali, enti pubblici economici, enti pubblici non economici e soggetti tenuti alla nomina del Responsabile della prevenzione della corruzione e della trasparenza (RPCT) ;
• i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati pari ad almeno 50 unità, oppure operano nei settori qualificati come sensibili dalla Direttiva (UE) 2019/1937 e dal decreto, indipendentemente dal numero di dipendenti;
• le imprese che hanno adottato Modelli organizzativi 231, per le quali il decreto impone che i modelli includano specificamente canali interni di segnalazione idonei a garantire la riservatezza dell’identità del segnalante, delle persone coinvolte e della documentazione trasmessa, anche tramite crittografia, in conformità all’art. 4, comma 1, del decreto stesso .

Il Garante richiama inoltre che la tutela e gli obblighi procedurali si applicano non solo ai lavoratori subordinati, ma anche a una platea molto più ampia di soggetti: collaboratori, liberi professionisti, consulenti, volontari, tirocinanti, azionisti, persone con funzioni di amministrazione, direzione, controllo o vigilanza, includendo anche chi segnala violazioni apprese durante fasi precontrattuali, di selezione o dopo la cessazione del rapporto di lavoro.

L’ampliamento dell’ambito soggettivo è uno degli elementi qualificanti della riforma.
Il parere del Garante lo conferma, sottolineando che il sistema di gestione delle segnalazioni deve essere progettato in modo da essere accessibile e sicuro per tutte le categorie tutelate, anche quando il rapporto giuridico non è ancora sorto o è già cessato.

 

DPIA obbligatoria e ruolo non delegabile del titolare

Sul piano organizzativo e di accountability il parere ribadisce l’obbligo, per tutti i soggetti pubblici e privati tenuti ad attivare canali di segnalazione interna ai sensi del D.Lgs. 24/2023, di effettuare una valutazione di impatto sulla protezione dei dati specificamente riferita al sistema di gestione delle segnalazioni.

Il Garante precisa che:

• la DPIA deve essere svolta dagli enti in qualità di titolari del trattamento, ai sensi dell’art. 35 GDPR;
• il titolare può avvalersi del supporto del fornitore della soluzione tecnologica, utilizzando la documentazione da questo predisposta;
• tale supporto non comporta il trasferimento della responsabilità sulle valutazioni finali e sulle scelte in materia di misure di sicurezza.

Questa impostazione si fonda sui principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, ancorati agli artt. 5, 24, 25 e 32 GDPR, che il parere richiama espressamente nel pretendere che il modello di gestione delle segnalazioni sia progettato avendo come riferimento il rischio specifico elevato tipico dei trattamenti connessi al whistleblowing, anche alla luce del coinvolgimento di dati appartenenti a categorie particolari e relativi a condanne penali e reati.

 

Il ruolo del responsabile della protezione dei dati, ove presente, viene espressamente richiamato nella fase di progettazione e valutazione delle misure, a conferma della centralità della funzione DPO in questo ambito.

 

Piattaforme informatiche e canali interni

Preferenza qualificata, canali tradizionali blindati e inadeguatezza strutturale dell’e-mail

Il parere si colloca nel solco del D.Lgs. 24/2023, che all’art. 4, comma 3, consente la presentazione delle segnalazioni:

• in forma scritta, anche con modalità informatiche;
• in forma orale, attraverso linee telefoniche o sistemi di messaggistica vocale;
• su richiesta della persona segnalante, mediante un incontro diretto fissato entro un termine ragionevole.

All’interno di questo perimetro, il Garante:

• riconosce una preferenza qualificata per l’impiego di piattaforme informatiche dedicate;
• valuta la posta elettronica aziendale come canale di per sé non adeguato a garantire la riservatezza;
• ammette l’uso di canali tradizionali (cartaceo, telefonico, incontri diretti) solo se sottoposti a misure tecniche e organizzative rigorose.

 

La preferenza per le piattaforme informatiche

Richiamando lo schema di linee guida ANAC sui canali interni, il Garante sottolinea che le modalità di effettuazione della segnalazione devono privilegiare l’impiego di piattaforme informatiche, in quanto tramite strumenti software adeguatamente progettati è possibile assicurare un elevato livello di protezione dei dati personali tanto nella fase di acquisizione quanto in quella di gestione, consentendo anche la cifratura dei dati a riposo e un’interlocuzione riservata con la persona segnalante.

Il parere richiama le linee guida ANAC che prevedono, per le segnalazioni, il fatto di privilegiare «l’impiego di piattaforme informatiche, tenuto conto che, attraverso strumenti software, è possibile adottare stringenti misure di sicurezza»

Questo passaggio non introduce un obbligo normativo esclusivo a favore delle piattaforme. Di fatto però le qualifica come canale tecnologico di riferimento, perché:

• consentono la cifratura dei dati a riposo e in transito;
• permettono di implementare controlli di accesso granulari e logging coerente con il principio di minimizzazione;
• sono compatibili con una DPIA dedicata che tenga conto di architettura, flussi e misure tecniche;
• consentono, anche in caso di esternalizzazione, una corretta qualificazione del fornitore quale responsabile del trattamento ex art. 28 GDPR.

In questa logica, la piattaforma informatica dedicata si configura come il canale nativamente più idoneo ad allinearsi, per impostazione predefinita, con i requisiti tecnici e giuridici del sistema.

 

L’inadeguatezza intrinseca della posta elettronica aziendale

Sul versante opposto, il Garante assume una posizione molto netta. Il ricorso alla posta elettronica, ordinaria o certificata, come canale interno di segnalazione è definito di per sé non adeguato a garantire la riservatezza dell’identità della persona segnalante, se non accompagnato da specifiche contromisure di mitigazione individuate e giustificate in sede di DPIA.

La motivazione è strutturale. I sistemi di posta elettronica generano, raccolgono e conservano in modo generalizzato log relativi all’invio e alla ricezione dei messaggi.
Ciò comporta il rischio concreto che si possa risalire, anche indirettamente, all’identità della persona segnalante, soprattutto quando viene utilizzata la casella di posta elettronica fornita dal datore di lavoro.

Il parere afferma che «il ricorso alla posta elettronica (ordinaria o certificata) sia considerato di per sé non adeguato a garantire la riservatezza dell’identità della persona segnalante»

Ne consegue che risulta difficilmente giustificabile la scelta della posta elettronica aziendale come canale ordinario o principale per le segnalazioni interne.
Un eventuale utilizzo dovrebbe comunque avere natura residuale ed eccezionale, incapsulato in misure di hardening tecnico e organizzativo che riducano drasticamente la possibilità di risalire al segnalante attraverso i log di sistema, misure che dovranno essere dettagliate e motivate nella DPIA.

 

Quali altri canali il Garante considera ammissibili e a quali condizioni

Il parere non propone nuovi canali alternativi rispetto alle piattaforme informatiche. Si limita a:

• riprendere i canali già previsti dal D.Lgs. 24/2023;
• precisare le condizioni affinché tali canali possano considerarsi compatibili con i requisiti di riservatezza e sicurezza.

In sintesi emergono i seguenti canali:

1. canale cartaceo tradizionale;
2. linea telefonica dedicata o sistemi di messaggistica vocale;
3. incontro diretto con il gestore;
4. canali condivisi tra più enti o nei gruppi societari, quando tecnicamente progettati e regolati in modalità conforme.

Canale cartaceo e protocollazione riservata

Il Garante evidenzia che, quando si utilizzano canali e tecniche tradizionali, occorre comunque garantire la riservatezza richiesta dalla normativa di settore.
A questo fine viene richiamato l’uso della protocollazione riservata e del meccanismo delle due buste chiuse, che consente di separare fisicamente le informazioni identificative del segnalante dal contenuto della segnalazione.

 

Linee telefoniche e messaggistica vocale

Il parere richiama l’art. 4, comma 3, D.Lgs. 24/2023, che consente le segnalazioni orali attraverso linee telefoniche o sistemi di messaggistica vocale .
La compatibilità con i requisiti privacy richiede che tali linee siano dedicate, soggette a controllo dell’accesso e integrate in una DPIA che disciplini eventuali registrazioni, tempi di conservazione e modalità di consultazione riservata da parte del gestore.

 

Incontri diretti con il gestore della segnalazione

Il Garante precisa che la riservatezza deve essere garantita anche nel caso in cui la persona segnalante richieda un incontro diretto con chi tratta la segnalazione.
Le modifiche alle linee guida ANAC, sollecitate nel parere, impongono misure organizzative che evitino esposizioni indebite dell’identità del segnalante e che assicurino che la documentazione dell’incontro sia trattata con le stesse garanzie previste per gli altri canali.

 

Canali condivisi tra più enti e gruppi societari

Per i casi di condivisione del canale di segnalazione interna tra più enti, come previsto dall’art. 4, comma 4, D.Lgs. 24/2023, il Garante chiarisce che:

• gli enti devono essere qualificati contitolari del trattamento, con accordo ex art. 26 GDPR;
• devono essere adottate misure tecniche e organizzative che assicurino che ciascun ente acceda solo alle segnalazioni di propria competenza;
• i canali devono essere progettati per consentire un accesso selettio alle segnalazioni solo da parte del personale autorizzato.

Analogo ragionamento è svolto con riferimento ai gruppi societari, per i quali il Garante richiede l’aggiornamento delle bozze ANAC al fine di superare ambiguità sulla titolarità, sulle responsabilità e sulla gestione tecnica degli accessi condivisi.

 

Tabella comparativa dei canali di segnalazione secondo il parere del Garante

canale di segnalazione	base normativa richiamata	valutazione del Garante	condizioni di utilizzo ritenute adeguate
piattaforma informatica dedicata	D.Lgs. 24/2023, art. 4, co. 3; schema linee guida ANAC canali interni; parere Garante	canale preferito; consente misure di sicurezza elevate, cifratura, accesso selettivo e interlocuzione riservata; compatibile con privacy by design e DPIA mirata	progettazione conforme a art. 25 e 32 GDPR; cifratura dei dati a riposo; controllo degli accessi; logging coerente con minimizzazione; DPIA specifica; corretta nomina del fornitore quale responsabile ex art. 28 GDPR
posta elettronica aziendale ordinaria o PEC	schema linee guida ANAC, sezione sui canali scritti; parere Garante	canale definito “di per sé non adeguato” a garantire la riservatezza dell’identità del segnalante; intrinsecamente rischioso per la presenza di log di invio e ricezione, specie se si usa la casella aziendale	utilizzabile solo, in via del tutto eccezionale, se la DPIA individua contromisure molto robuste; in ogni caso non idoneo come canale principale; richiesta giustificazione dettagliata delle misure di mitigazione
canale cartaceo con protocollazione riservata e due buste	riferimento a canali tradizionali nelle linee guida; parere Garante	canale tradizionale ammissibile se gestito con protocollazione riservata e separazione tra identità del segnalante e contenuto; non espone ai log tipici della posta elettronica ma richiede disciplina accurata	uso di due buste chiuse; protocollazione riservata; accesso limitato al solo gestore; conservazione in archivi fisici sicuri; rispetto del limite dei cinque anni di cui all’art. 14 D.Lgs. 24/2023
linea telefonica dedicata o messaggistica vocale	D.Lgs. 24/2023, art. 4, co. 3; parere Garante	canale ammesso per segnalazioni orali; non indicato come preferito ma compatibile se configurato in modo da garantire riservatezza e accesso selettivo	linea dedicata con accesso ristretto; eventuali registrazioni gestite con tempi di conservazione limitati e misure di sicurezza adeguate; integrazione nella DPIA sul processo; informativa chiara al segnalante
incontro diretto con il gestore	D.Lgs. 24/2023, art. 4, co. 3; modifiche alle linee guida ANAC su richiesta del Garante	canale ammesso su richiesta della persona segnalante; ad alto rischio organizzativo se non strutturato; il Garante insiste sulla necessità di garantire la riservatezza anche in questa modalità	procedure che disciplinano l’organizzazione degli incontri; accesso fisico riservato; documentazione trattata come per gli altri canali; misure per evitare che la sola presenza dell’interessato lo renda identificabile; copertura nella DPIA e nelle misure di sicurezza organizzative
canali condivisi tra enti o gruppi societari	D.Lgs. 24/2023, art. 4, co. 4; schema linee guida ANAC; parere Garante su contitolarità e accessi	modalità ammessa ma complessa; il Garante richiede chiarezza su contitolarità, responsabilità e accessi; forte attenzione alla separazione logica delle segnalazioni	accordo di contitolarità ex art. 26 GDPR; misure tecniche per separare le segnalazioni dei diversi enti; nomina di un gestore per ciascun ente; accessi profilati; revisione dei testi ANAC per superare le ambiguità sulla titolarità

 

Condivisione dei canali e responsabilità

Il caso di piccoli enti e gruppi societari

Al di là della dimensione strettamente tecnica dei canali, il parere si sofferma anche sulla distribuzione delle responsabilità quando la gestione del canale è condivisa.

Per gli enti di minori dimensioni che condividono canale e risorse per lo svolgimento delle indagini, il Garante richiede che:

• ciascuna amministrazione nomini comunque un proprio gestore della segnalazione;
• siano adottate misure tecniche e organizzative per garantire che ogni gestore abbia accesso solo alle segnalazioni relative al proprio ente.

Per i gruppi societari, il Garante segnala la necessità di aggiornare le previsioni degli approfondimenti ANAC per superare le ambiguità residuali sulla contitolarità e sulle responsabilità in materia privacy, sottolineando che l’affidamento della gestione del canale a una società del gruppo o a terzi esige una chiara ripartizione dei ruoli ai sensi degli artt. 26 e 28 GDPR.

 

Conservazione dei dati e cancellazione

Il limite dei cinque anni

Sul tema della conservazione il Garante si allinea alla disciplina dell’art. 14, comma 1, D.Lgs. 24/2023, ribadendo che:

• una volta concluse le attività di gestione della segnalazione, il gestore deve provvedere a cancellare segnalazione e relativa documentazione al più tardi decorsi cinque anni dalla comunicazione dell’esito finale alla persona segnalante;
• restano comunque conservabili, nei termini di legge, gli atti e i documenti relativi ai procedimenti disciplinari, amministrativi o giudiziari avviati a partire dalla segnalazione, purché tali atti non contengano riferimenti puntuali alla persona segnalante.

 

In questo modo si tenta di conciliare il principio di limitazione della conservazione con le esigenze probatorie e di accountability degli enti.

 

Integrazione con i Modelli 231 e le linee guida ANAC sui canali interni

Le linee guida ANAC sui canali interni, nella versione in consultazione del 7 novembre 2024, richiamano la necessità che i modelli di organizzazione, gestione e controllo ex D.Lgs. 231/2001 prevedano espressamente i canali di segnalazione interna, definendo compiti, poteri e modalità di gestione del soggetto destinatario delle segnalazioni .

Il parere del Garante si innesta in questa prospettiva evidenziando che:

• i soggetti pubblici e privati obbligati ad attivare canali interni devono garantire, anche tramite crittografia, la riservatezza dell’identità del segnalante, delle persone coinvolte e menzionate e del contenuto della segnalazione;
• tali canali devono essere espressamente previsti anche nei Modelli 231, in coerenza con l’art. 4, comma 1, D.Lgs. 24/2023.

L’approfondimento dedicato al rapporto tra disciplina whistleblowing e modello organizzativo 231, contenuto nelle linee guida ANAC , viene rafforzato dal parere, che enfatizza come la protezione dei dati e la protezione del segnalante siano elementi strutturali del sistema di prevenzione dei reati, non profili accessori.

 

Il riscontro empirico dei dati ANAC 2024

La Relazione ANAC 2025 consente di valutare in modo concreto l’andamento del canale esterno nel corso del 2024, offrendo una fotografia utile per comprendere l’effettiva capacità del sistema di intercettare le segnalazioni e di gestirle secondo le regole previste dal D.Lgs. 24/2023.

Nel periodo considerato sono pervenute 1.350 segnalazioni, delle quali solo 285 sono state ritenute ammissibili. Una parte rilevante, 388 segnalazioni, è stata dichiarata improcedibile per l’assenza dei presupposti richiesti dall’art. 6 del decreto, spesso per mancanza di un canale interno attivo o conforme o perché non ricorrevano le condizioni che giustificano il ricorso diretto al canale esterno.

A queste si aggiungono 263 segnalazioni inammissibili ai sensi dell’art. 8 del Regolamento ANAC, per carenze negli elementi essenziali o per documentazione inidonea, e 277 segnalazioni dichiarate inammissibili per incompetenza, poi trasmesse ai soggetti competenti. Il quadro evidenzia come una quota significativa delle segnalazioni non superi lo stadio preliminare di valutazione.

Sul fronte dei canali utilizzati, emerge un dato coerente con le indicazioni del hanno utilizzato strumenti non telematici o il protocollo informatico. La prevalenza del canale digitale conferma la crescente centralità delle piattaforme dedicate come modalità efficace per la gestione delle segnalazioni, anche in termini di sicurezza, tracciabilità e riservatezza.

La distribuzione settoriale mostra una predominanza delle amministrazioni pubbliche, che hanno originato 970 segnalazioni, a fronte delle 243 provenienti dal settore privato. Il dato riflette l’ampiezza del perimetro soggettivo pubblico coinvolto e il diverso livello di maturazione dei sistemi interni nei due comparti.

Sul versante dei procedimenti sanzionatori, ANAC segnala sette procedimenti avviati nel 2024 per presunte misure ritorsive, quattro dei quali conclusi con sanzione. Le tipologie di violazioni segnalate riguardano principalmente appalti pubblici, procedure concorsuali, gestione delle risorse pubbliche, mancata attuazione delle misure anticorruzione e casi di maladministration, talvolta con profili di rilevanza penale.

Dalla lettura complessiva emergono due criticità strutturali.

Da un lato, l’elevata incidenza di segnalazioni improcedibili o inammissibili indica la necessità di una comunicazione più chiara sulle condizioni di utilizzo del canale esterno e sul ruolo dell’Autorità.

Dall’altro lato, ANAC ribadisce l’esigenza di una formazione specifica dei gestori delle segnalazioni e, più in generale, di un costante presidio informativo da parte degli enti obbligati, affinché il sistema dei canali sia effettivamente accessibile e comprensibile per lavoratori e cittadini.

Questi elementi confermano, anche sul piano empirico, quanto evidenziato dal Garante: la protezione del segnalante e la tutela dei dati personali richiedono misure organizzative adeguate, una comunicazione trasparente e personale formato per operare in un contesto ad alto rischio per i diritti e le libertà delle persone coinvolte.

 

Un sistema integrato ma ancora in evoluzione

Dall’insieme delle fonti emerge un sistema che tende a una forte integrazione tra i diversi livelli:

• direttiva europea che stabilisce norme minime comuni e perimetro di tutela degli informatori;
• decreto nazionale che recepisce e amplia la disciplina, definendo obblighi, canali e sanzioni;
• linee guida ANAC, esterne e interne, che traducono in regole operative la gestione delle segnalazioni, con accento su soggetti obbligati, procedure, regime sanzionatorio e rapporto con 231;
• parere del Garante che fissa i confini della liceità dei trattamenti, chiarisce i ruoli privacy, la necessità della DPIA, l’assetto delle misure tecniche e organizzative e l’inadeguatezza di strumenti non progettati ad hoc, come la posta elettronica aziendale.

In questo quadro la piattaforma informatica dedicata emerge come il canale tecnicamente più adeguato.

Gli altri canali risultano ammissibili se supportati da misure tecniche e organizzative tali da consentire il raggiungimento di un livello di protezione sostanzialmente equivalente.

L’e-mail aziendale, al contrario, è definita dal Garante di per sé non adeguata a garantire la riservatezza dell’identità del segnalante, salvo l’adozione di misure di mitigazione molto incisi.

La disciplina italiana sul whistleblowing appare così come un sistema ad alta complessità regolatoria, in progressivo affinamento, nel quale protezione del segnalante e protezione dei dati personali non sono due binari paralleli ma l’ossatura comune di una stessa infrastruttura di legalità.

 

iSimply e Gruppo 2G sono a disposizione per fornire supporto operativo e consulenziale nell’analisi dei requisiti, nella progettazione dei canali di segnalazione e nell’adeguamento delle procedure di whistleblowing e dei relativi presidi privacy, in coerenza con il D.Lgs. 24/2023, con le Linee guida ANAC e con il parere del Garante.

Per ulteriori informazioni è possibile contattarci tramite la e-mail info@isimply.it oppure al numero di telefono 0125 1899500