L’introduzione del D.Lgs. 24/2023, che recepisce la Direttiva (UE) 2019/1937, ha rafforzato in modo significativo i sistemi di whistleblowing in Italia, estendendone l’applicazione e consolidando standard comuni di tutela dei segnalanti sia nel settore pubblico che in quello privato.
Tale disciplina, però, si interseca con un ambito particolarmente sensibile: la protezione dei dati personali. Infatti, il trattamento dei dati effettuato nell’ambito delle segnalazioni – spesso riguardante informazioni delicate riferibili sia al whistleblower sia ai soggetti segnalati – impone un rigoroso rispetto dei principi di necessità, proporzionalità e minimizzazione previsti dal GDPR, soprattutto quando le attività investigative interne potrebbero incidere sui diritti e sulle libertà fondamentali delle persone coinvolte.
Indice degli argomenti
Il fondamento del whistleblowing e privacy nel quadro normativo
Per questa ragione, l’implementazione dei sistemi di whistleblowing pone una questione particolarmente delicata dal punto di vista della protezione dei dati personali: il bilanciamento tra i diritti degli interessati previsti dal GDPR e la necessità di garantire l’efficacia delle segnalazioni e la tutela del segnalante, segnalato e terzi.
Nell’ambito delle segnalazioni interne, coesistono due esigenze di primaria rilevanza: da un lato, la necessità dell’organizzazione di prevenire e reprimere comportamenti illeciti, favorendo l’emersione delle irregolarità attraverso canali sicuri; dall’altro, la tutela dei diritti e delle libertà fondamentali degli interessati coinvolti nel processo.
Con particolare sensibilità verso la figura del segnalante, la normativa stabilisce che l’identità del whistleblower non possa essere rilevata senza il suo consenso, salvo specifiche eccezioni previste dalla legge.
Nel contesto normativo, l’articolo 23 del Regolamento UE 2016/679 consente agli Stati membri di introdurre limitazioni all’esercizio di alcuni diritti degli interessati quando tali restrizioni siano necessarie e proporzionate per salvaguardare interessi pubblici rilevanti, tra cui la prevenzione, l’indagine, l’accertamento e il perseguimento di reati oppure per condotte illecite di natura amministrativa o disciplinare, ambiti nei quali si collocano fisiologicamente i meccanismi di whistleblowing.
Allo stesso tempo, il fondamento giuridico di tali limitazioni trova concretezza in quanto previsto dal Codice Privacy all’articolo 2-undecies, lettera f), dedicato alla riservatezza dell’identità del dipendente che segnala ai sensi della Legge 30 novembre 2017, n. 179, l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio, dalle Linee Guida ANAC n. 1/2025 (Delibera n. 478 del 26 novembre 2025) sui canali interni di segnalazione, nonché dal D.Lgs. 24/2023, che disciplina i sistemi di segnalazione e rafforza la tutela della riservatezza del segnalante.
Ne consegue che il punto di equilibrio tra sistemi di whistleblowing e tutela dei diritti privacy affonda le proprie radici nel principio di bilanciamento tra interessi contrapposti previsto dal GDPR, il quale impone al titolare del trattamento di valutare in modo ponderato e proporzionato le esigenze di tutela dell’indagine rispetto ai diritti degli interessati coinvolti. Tale bilanciamento opera entro i limiti della base giuridica applicabile, l’adempimento di un obbligo legale ai sensi dell’articolo 6, paragrafo 1, lettera c), del GDPR, in attuazione del D.Lgs. 24/2023, e delle restrizioni consentite dall’articolo 23 del medesimo Regolamento.
In questo senso, il bilanciamento non rappresenta una deroga arbitraria all’esercizio dei diritti, bensì un meccanismo giuridico che consente di armonizzare il diritto alla segnalazione — riconosciuto come espressione della libertà di espressione e come presidio essenziale per la legalità — con i principi cardine della protezione dei dati personali. Ciò rende il sistema di whistleblowing non solo conforme agli obblighi normativi, ma anche sostenibile sotto il profilo dei diritti fondamentali, garantendo un equilibrio dinamico e responsabile tra trasparenza, controllo organizzativo e tutela della persona.
Quali diritti degli interessati possono essere limitati
Nel contesto delle segnalazioni interne, le limitazioni riguardano principalmente i diritti di segnalante, segnalato e terzi menzionati nella segnalazione che rimangono comunque interessati ai sensi del GDPR.
L’obiettivo di tali limitazioni è evitare che la persona oggetto della segnalazione possa venire a conoscenza dell’esistenza dell’indagine in una fase iniziale, compromettendo così la raccolta di prove o l’accertamento dei fatti.
Tra i diritti che possono essere temporaneamente limitati si trovano in particolare:
Informazione all’interessato e obblighi di trasparenza
Il diritto all’informazione rappresenta una delle principali declinazioni del principio di trasparenza, imponendo al titolare del trattamento di informare l’interessato in merito alle modalità, finalità e basi giuridiche del trattamento dei dati personali che lo riguardano.
Nel contesto delle procedure di whistleblowing, la limitazione del diritto all’informazione nei confronti del soggetto segnalato trova il proprio fondamento, da un lato, nell’articolo 14, paragrafo 5, lettere b) e c), del GDPR, che esclude l’obbligo informativo qualora la comunicazione delle informazioni risulti impossibile o implichi uno sforzo sproporzionato ovvero pregiudichi gravemente il conseguimento delle finalità del trattamento; dall’altro lato, nell’articolo 23 del GDPR, che consente di introdurre restrizioni ai diritti degli interessati per garantire la prevenzione, l’indagine e l’accertamento di reati o di illeciti amministrativi o disciplinari, dal momento che informare il soggetto segnalato immediatamente dopo la ricezione della segnalazione potrebbe compromettere la raccolta delle prove, esporre il segnalante a ritorsioni, pregiudicare l’integrità dell’indagine.
Accesso ai dati e tutela dell’identità del segnalante
Tale diritto costituisce uno strumento fondamentale di controllo individuale sui dati personali. Nel contesto delle procedure di whistleblowing, la limitazione del diritto di accesso assume un rilievo centrale, in quanto l’esercizio integrale e immediato di tale diritto da parte del soggetto segnalato potrebbe compromettere l’efficacia delle attività di verifica e accertamento degli illeciti.
In particolare, l’accesso ai dati contenuti nella segnalazione o negli atti istruttori potrebbe comportare la rivelazione diretta o indiretta dell’identità del segnalante, nonché consentire interferenze con l’indagine in corso, attraverso la distruzione di elementi probatori o la concertazione di versioni difensive non genuine.
Sotto il profilo normativo, la limitazione del diritto di accesso trova fondamento, da un lato, nell’articolo 23 del GDPR, che consente di introdurre restrizioni ai diritti degli interessati per salvaguardare, tra l’altro, la prevenzione, l’indagine e l’accertamento di illeciti; dall’altro lato, nella base giuridica del trattamento fondata sull’obbligo legale ai sensi dell’articolo 6, paragrafo 1, lettera c), del GDPR, che caratterizza i trattamenti effettuati in attuazione del D.Lgs. 24/2023.
Rettifica dei dati e integrità del contenuto segnalato
Il diritto di rettifica attribuisce all’interessato la facoltà di ottenere dal titolare del trattamento la correzione dei dati personali inesatti che lo riguardano e l’integrazione di quelli incompleti. Si tratta di un diritto strettamente connesso al principio di esattezza del dato, volto a garantire che le informazioni personali oggetto di trattamento riflettano correttamente la realtà fattuale.
Nel contesto del whistleblowing, la limitazione del diritto di rettifica assume una connotazione peculiare, in quanto i dati trattati nelle fasi iniziali della procedura consistono prevalentemente in asserzioni, dichiarazioni o rappresentazioni soggettive fornite dal segnalante, che non hanno ancora formato oggetto di verifica istruttoria. In questa fase, le informazioni contenute nella segnalazione non possono essere qualificate come “inesatte” o “erronee” in senso tecnico, ma come elementi informativi provvisori destinati a essere valutati e accertati dall’organizzazione. Ne consegue che l’immediata attivazione del diritto di rettifica rischierebbe di incidere sull’integrità del contenuto segnalato, alterando la fonte informativa originaria e compromettendo l’efficacia dell’attività di accertamento.
Sotto il profilo normativo, la limitazione del diritto di rettifica trova fondamento, anzitutto, nell’articolo 23 del GDPR, che consente di circoscrivere l’esercizio dei diritti degli interessati al fine di garantire la prevenzione, l’indagine e l’accertamento di illeciti. Inoltre, nelle procedure di whistleblowing disciplinate dal D.Lgs. 24/2023, il trattamento dei dati personali è fondato sull’adempimento di un obbligo legale ai sensi dell’articolo 6, paragrafo 1, lettera c), del GDPR.
Cancellazione dei dati e obblighi di conservazione
Il diritto di cancellazione attribuisce all’interessato la facoltà di ottenere la cancellazione dei dati personali che lo riguardano quando ricorrono specifici presupposti, tra cui l’assenza di una base giuridica valida, il venir meno delle finalità del trattamento o l’illiceità dello stesso. Nel contesto delle procedure di whistleblowing, la limitazione del diritto di cancellazione assume una valenza particolarmente significativa.
I dati personali contenuti nelle segnalazioni e nelle successive attività istruttorie risultano infatti funzionali all’accertamento di possibili illeciti e alla tutela dell’integrità dell’organizzazione, collocandosi all’interno di un perimetro normativo che impone specifici obblighi di conservazione. In tali ipotesi, il diritto di cancellazione trova un limite diretto nell’articolo 17, paragrafo 3, lettera b), del GDPR, che esclude l’applicabilità del diritto qualora il trattamento sia necessario per adempiere un obbligo legale cui è soggetto il titolare del trattamento.
La limitazione del diritto di cancellazione opera inoltre in funzione della necessità di garantire l’esercizio o la difesa di un diritto in sede giudiziaria, ai sensi dell’articolo 17, paragrafo 3, lettera e). Le informazioni contenute nelle segnalazioni di whistleblowing possono infatti assumere rilievo probatorio sia nell’ambito di procedimenti disciplinari, sia in eventuali contenziosi civili, penali o amministrativi. Pertanto, la cancellazione anticipata dei dati comprometterebbe in modo irreversibile la possibilità di ricostruire i fatti o di dimostrare la correttezza delle attività svolte dall’organizzazione.
Opposizione al trattamento e presupposti di esercitabilità
Importante rilevanza ha in tale contesto il diritto di opposizione, il quale costituisce una facoltà riconosciuta all’interessato esclusivamente in presenza di specifiche basi giuridiche del trattamento.
In particolare, la norma trova applicazione unicamente nei casi in cui il trattamento sia fondato sull’articolo 6, paragrafo 1, lettera e) esecuzione di un compito di interesse pubblico o esercizio di pubblici poteri ovvero sull’articolo 6, paragrafo 1, lettera f) perseguimento del legittimo interesse del titolare o di terzi. Diversamente, laddove il trattamento dei dati personali trovi fondamento nell’articolo 6, paragrafo 1, lettera c) del GDPR — ossia nell’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento — il diritto di opposizione non risulta applicabile.
Infatti, in tali ipotesi, il legislatore europeo ha escluso in radice la possibilità di attivare un meccanismo di bilanciamento individuale, ritenendo prevalente e non derogabile l’interesse generale sotteso all’obbligo normativo. Ne consegue che il diritto di opposizione non è semplicemente destinato a essere rigettato nel merito, ma non è nemmeno esperibile dall’interessato, venendo meno il presupposto stesso della sua esercitabilità.
Limitazione del trattamento e continuità dell’istruttoria
Tale diritto consente all’interessato di ottenere che i dati personali che lo riguardano siano sottoposti a un regime di trattamento circoscritto.
Nel contesto delle procedure di whistleblowing, l’esercizio del diritto alla limitazione del trattamento incontra significative restrizioni, dovute alla natura e alle finalità del trattamento stesso. I dati personali trattati nell’ambito delle segnalazioni e delle attività istruttorie sono infatti funzionali alla prevenzione, all’indagine e all’accertamento di possibili illeciti, assumendo un ruolo centrale nell’effettività del sistema delineato. L’accoglimento indiscriminato di una richiesta di limitazione del trattamento nel corso dell’indagine potrebbe compromettere in modo rilevante la capacità del titolare di verificare i fatti segnalati, interrompere le attività istruttorie o precludere l’utilizzabilità delle informazioni raccolte.
Sotto il profilo normativo, la limitazione del diritto previsto dall’articolo 18 GDPR trova fondamento, anzitutto, nell’articolo 23 del GDPR, che consente agli Stati membri di introdurre restrizioni ai diritti degli interessati per salvaguardare interessi pubblici rilevanti, tra cui la prevenzione e l’accertamento di illeciti di natura penale, amministrativa o disciplinare. Inoltre, nelle procedure di whistleblowing disciplinate dal D.Lgs. 24/2023, il trattamento dei dati personali è fondato sull’adempimento di un obbligo legale ai sensi dell’articolo 6, paragrafo 1, lettera c), del GDPR. In tali ipotesi, il diritto alla limitazione del trattamento non può essere esercitato in modo tale da vanificare o ostacolare l’adempimento dell’obbligo normativo imposto al titolare.
Come applicare la proporzionalità nel whistleblowing e privacy
Il principio di proporzionalità costituisce l’asse portante del bilanciamento tra l’interesse dell’organizzazione a garantire un sistema efficace di segnalazione degli illeciti e la tutela dei diritti degli interessati prevista dal GDPR. Questo principio, radicato nei criteri generali di liceità del trattamento, impone che ogni misura restrittiva dei diritti privacy sia non solo necessaria, ma anche adeguata e non eccedente rispetto allo scopo perseguito.
La proporzionalità si traduce dunque in una verifica puntuale dell’impatto delle misure adottate: l’organizzazione deve accertare che la raccolta dei dati sia limitata allo stretto necessario, che l’accesso sia riservato solo a personale autorizzato e che ogni restrizione ai diritti dell’interessato sia temporalmente circoscritta e giustificata. È importante rilevare che la compressione dei diritti privacy non possa mai trasformarsi in una deroga generalizzata, ma debba essere calibrata “caso per caso” attraverso un approccio di privacy by design e by default.
Senza un’applicazione stringente e documentata di tale principio, il sistema di whistleblowing rischierebbe o di essere inefficace — perché incapace di tutelare il segnalante e proteggere l’indagine — oppure eccessivamente invasivo — perché lesivo dei diritti del segnalato o di terzi. Il bilanciamento proporzionato, invece, permette di rafforzare sia la legittimità del sistema di segnalazione sia la fiducia degli individui che vi partecipano.
Ciò significa che le organizzazioni devono valutare caso per caso:
• Se la limitazione sia davvero necessaria;
• Per quanto tempo debba essere mantenuta;
• Quali diritti possono essere esercitati senza compromettere l’indagine.
Gli assetti organizzativi per una governance efficace
Per garantire un corretto bilanciamento tra tutela del segnalante e diritti degli interessati, le organizzazioni devono adottare procedure chiare e ben documentate. La governance privacy, nella pratica, si concretizza attraverso quattro componenti chiave.
Supervisione del DPO e controllo di liceità
Il ruolo del DPO (Responsabile della Protezione dei Dati) il quale:
• verifica la liceità e proporzionalità dei trattamenti;
• supporta il titolare nella corretta applicazione delle norme;
• garantisce che la riservatezza del segnalante sia rispettata;
• vigila sul rispetto dei principi di minimizzazione, integrità e accountability.
Il ruolo del DPO trova espressione nell’essenziale supervisione al fine di evitare trattamenti eccedenti e definire correttamente le limitazioni dei diritti dell’interessato.
Procedure interne, ruoli e responsabilità
La definizione di procedure, ruoli e misure interne. Infatti, la governance privacy non è solo un presidio formale, ma un’architettura operativa. Un sistema di whistleblowing conforme richiede:
• procedure interne chiare per la ricezione, l’analisi e la gestione delle segnalazioni;
• ruoli e responsabilità allocate in modo specifico (chi gestisce le segnalazioni, chi accede ai dati, chi conserva la documentazione);
• misure tecniche e organizzative adeguate, come segregazione degli accessi, crittografia e canali sicuri;
• registrazione e tracciatura dei processi per garantire accountability.
DPIA e valutazione preventiva dei rischi
La definizione di una DPIA come strumento di bilanciamento strutturale rappresenta un elemento cardine della governance privacy nei sistemi di whistleblowing, specialmente in presenza di trattamenti ad alto rischio.
La DPIA infatti permette di:
• valutare preventivamente i rischi;
• documentare il bilanciamento tra interessi contrapposti;
• stabilire misure proporzionate;
• definire criteri di differimento dell’informativa, accesso, rettifica e opposizione;
• garantire che le limitazioni ai diritti siano sempre giustificate e temporanee.
Sicurezza del trattamento e misure tecnico-organizzative
L’implementazione di misure tecnico-organizzative al fine di garantire la sicurezza del trattamento rappresenta un obbligo autonomo: l’articolo 32 del GDPR, infatti, impone al titolare del trattamento di adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento. Nel whistleblowing, dove convergono dati personali e potenziali rischi per il segnalante, tale obbligo assume una valenza particolarmente stringente.
Il D.Lgs. 24/2023 rafforza questa impostazione sul piano applicativo, richiedendo che i canali di segnalazione garantiscano la riservatezza dell’identità del segnalante, del segnalato e di eventuali terzi menzionati, nonché del contenuto della segnalazione e della relativa documentazione. Le Linee Guida ANAC n. 1/2025 (Delibera n. 478 del 26 novembre 2025) hanno ulteriormente specificato i requisiti operativi dei canali interni, rendendo le misure di sicurezza un elemento di conformità verificabile e non più solo raccomandato.
In termini concreti, le misure che le organizzazioni devono adottare riguardano almeno i seguenti profili:
• Cifratura end-to-end delle comunicazioni, per garantire che il contenuto delle segnalazioni sia accessibile esclusivamente ai soggetti autorizzati alla gestione del canale;
• Controllo degli accessi e segregazione dei ruoli, con definizione puntuale di chi può accedere ai dati della segnalazione, in quale fase del processo e con quale livello di dettaglio;
• Pseudonimizzazione o anonimizzazione dei dati nelle fasi di analisi che non richiedano l’identificazione del segnalante, in applicazione del principio di minimizzazione;
• Audit log e tracciatura degli accessi, per garantire accountability e consentire la verifica di eventuali accessi non autorizzati o anomalie nel trattamento;
• Politiche di retention differenziate, che definiscano tempi di conservazione proporzionati alla fase dell’indagine e alle obbligazioni di legge, con cancellazione sicura dei dati al termine del periodo necessario;
• Piani di risposta agli incidenti specifici per il canale di segnalazione, data l’elevata sensibilità delle informazioni trattate e le potenziali conseguenze per il segnalante in caso di violazione.
È importante sottolineare che le misure di sicurezza non esauriscono il proprio ruolo nella protezione tecnica dei dati: esse costituiscono, al tempo stesso, uno strumento di tutela sostanziale dei diritti degli interessati e una condizione necessaria per la legittimità delle limitazioni operate ai sensi dell’articolo 23 GDPR. Un sistema di whistleblowing privo di adeguate garanzie di sicurezza non può, infatti, invocare correttamente il bilanciamento con i diritti privacy, perché verrebbe meno il presupposto di proporzionalità e necessità su cui tale bilanciamento si fonda.
Perché whistleblowing e privacy richiedono un equilibrio stabile
Il bilanciamento tra whistleblowing e tutela dei diritti degli interessati rappresenta uno dei temi più sensibili nella governance dei sistemi di compliance.
L’intero impianto normativo – dal GDPR al D.Lgs. 24/2023 – mostra chiaramente che il trattamento dei dati personali nelle segnalazioni non può essere gestito in modo standardizzato, ma richiede un approccio fondato su proporzionalità, necessità e accountability.
In definitiva, il corretto bilanciamento tra indagini interne e data protection non si ottiene riducendo i diritti privacy, ma governandoli correttamente.
Un sistema di whistleblowing è legittimo, efficace e sostenibile solo se:
• tutela il segnalante con misure robuste di riservatezza;
• protegge i diritti del segnalato evitando trattamenti impropri o eccessivi;
• documenta ogni scelta tramite la DPIA e processi formalizzati;
• applica rigorosamente i principi di proporzionalità, minimizzazione e sicurezza.
Il risultato è un modello in cui integrità organizzativa e tutela della persona non sono in conflitto, ma parte di un’unica architettura di responsabilità, trasparenza e conformità normativa.
Per le organizzazioni, la sfida consiste nel gestire questo equilibrio attraverso procedure trasparenti, misure tecniche adeguate e un solido sistema di governance dei dati. Solo in questo modo il whistleblowing può diventare uno strumento efficace di integrità e compliance senza compromettere i principi fondamentali della protezione dei dati personali.
