Il parere del Garante privacy sulle linee guida di whistleblowing (la segnalazione di condotte illecite, irregolarità o reati in un contesto lavorativo (pubblico o privato) da parte di un dipendente o collaboratore) rafforza le misure di privacy by design e trasforma la sicurezza digitale dei canali di segnalazione, in un vero e proprio baluardo e presidio di deterrenza all’illecito per tutta l’organizzazione.
Non ci sono più scuse per non garantire i requisiti di privacy mediante implementazione di una reale sicurezza digitale per i potenziali canali di segnalazione illeciti.
Indice degli argomenti
Le linee guida dell’ANAC
Le “Linee guida in materia di whistleblowing sui canali interni di segnalazione” sono state approvate con delibera n. 478 del 26 novembre 2025. Nella stessa data sono state aggiornate, con modifiche e integrazioni, le linee guida sul canale di segnalazione esterno (originariamente emesse nel 2023) con la delibera 479/2025.
Entrambe le linee guida consolidano la disciplina del whistleblowing in Italia grazie al recepimento del parere del Garante privacy che ha fornito indicazioni stringenti sulla tutela della riservatezza del segnalante in tutte le condizioni in cui avviene la segnalazione (canale interno, canale esterno, ma anche in caso di utilizzo di canale improprio ‘non ufficiale’).
Il canale diventa quindi mezzo fondamentale di legalità e buona amministrazione se e solo se è opportunamente e adeguatamente protetto, secondo i requisiti di sicurezza informatica e di protezione dei dati di privacy.
Il parere del Garante
In relazione alle due proposte di delibera dell’ANAC, il Garante della Privacy ha espresso diversi punti di attenzione legati a: “possibili rischi di tracciabilità derivanti dall’utilizzo della posta elettronica (email e PEC) come canale di segnalazione; necessità che sia svolta una previa valutazione di impatto sulla protezione dei dati, anche con l’eventuale supporto dei fornitori di tecnologia; tempi di conservazione della segnalazione e della relativa documentazione; possibilità, in talune circostanze, di condividere il canale di segnalazione, ferma restando la necessità di adottare misure tecniche e organizzative per garantire che ciascun ente abbia accesso solo alle segnalazioni di propria competenza”.
In particolare, il Garante raccomanda l’uso di software specializzati che garantiscano la crittografia dei dati e l’anonimato del segnalante.
L’obiettivo delle misure di sicurezza è impedire la tracciabilità della persona segnalante dall’interno dell’organizzazione (come potrebbe avvenire ad esempio per le segnalazioni che usino un canale interno che sono tracciabili da strumenti di rete mediante log).
Anche quando il canale di segnalazione usato è improprio, il Garante ha richiesto di predisporre procedure e mezzi tecnici di tutela della riservatezza del segnalante dal rischio di tracciabilità.
E se la gestione del canale o della piattaforma software di segnalazione è affidata all’esterno, il soggetto incaricato opera come responsabile del trattamento e quindi va impostato un rapporto coerente con l’art. 28 del GDPR.
Infine, la documentazione deve essere cancellata entro cinque anni dall’esito finale della procedura, salvo gli atti necessari ai procedimenti avviati (fonte: Garante privacy).
Il parere del Garante, dunque, mira a garantire che la riservatezza non sia solo formale, bensì sostanziale, attraverso un elevato livello di protezione tecnologica conforme ai requisiti di protezione dati espressi nel GDPR.
Significato materiale per i datori di lavoro
Per i datori di lavoro significa dover analizzare e valutare i rischi di violazione della riservatezza del canale interno ed esterno e valutare eventuali altri canali usabili, adoperandosi per mettere in sicurezza anche quelli. Il riferimento è relativo alla gestione dei metadati digitali che possono essere un mezzo di tracciamento.
Il Garante indica che il canale di segnalazione realizzato con “posta elettronica (ordinaria o certificata) sia considerato di per sé non adeguato a garantire la riservatezza dell’identità della persona segnalante, a meno che non sia accompagnato da specifiche contromisure opportunamente giustificate, come le misure di mitigazione del rischio individuate in sede di definizione della valutazione di impatto sulla protezione dei dati”.
Ma in generale la sicurezza informatica e di accesso al canale di segnalazione deve garantire accessi selettivi, crittografia e l’impossibilità di tracciare il segnalante, anche quando accede dalla rete interna aziendale (assenza di log identificativi).
Questo significa effettuare l’analisi di Impatto preventiva sulla protezione dei dati (Data Protection Impact analisys – DPIA) con una visione più ampia dell’intero ecosistema digitale aziendale, per considerare tutti gli scenari possibili in cui un mezzo aziendale possa diventare canale di segnalazione.
In particolare, significa guardare alla tutela dei dati personali, dei sistemi di segnalazione già attivi, per misurarne l’adeguatezza di diversi elementi: impostazione e configurazione; piattaforme informatiche; flussi procedurali; rapporti con eventuali fornitori.
Lo strumento di analisi rappresenta un metodo sistemico di gestione e induce ad una governance più attenta e ad una puntuale responsabilizzazione dei datori di lavoro pubblici e privati. Infatti, l’impianto del canale sicuro come presidio di tutela di privacy by design del segnalante richiede una presa di coscienza più pragmatica e meno minimalista del significato stesso di whistleblowing.
Significato da interpretare non più come sola aderenza normativa “di facciata”, ma come vero e proprio mezzo di deterrenza da tutte le condotte illecite.
L’impegno dell’azienda nella sicurezza digitale diventa quindi uno specchio dell’impegno contro gli illeciti e di una cultura aziendale che non dovrebbe ammettere deroghe in proposito.
