Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

vademecum

Canali di whistleblowing: gli obblighi tra ANAC e GDPR

Home Documenti digitali
Partecipa al dibattito
Indirizzo copiato

Le nuove Linee Guida ANAC rafforzano gli obblighi su canali interni, riservatezza e ruoli organizzativi. Per enti e aziende diventa centrale costruire procedure sicure, formare il personale e definire misure tecniche coerenti con GDPR e d.lgs. 24/2023

Pubblicato il 13 mar 2026
Anna Perut

Avvocata

pec interoperabile; fattura elettronica; informatica forense; Cessione di beni con dichiarazione di intento; regolamento Rem; Formweb
E-invoice and online digital statements concept. Businessman using computer laptop with invoice icons on virtual screen.
AI Questions Icon
Chiedi allʼAI Nextwork360
Riassumi questo articolo
Approfondisci con altre fonti

In sintesi

  • Il quadro normativo (d.lgs. 24/2023, Direttiva (UE) 2019/1937) estende la tutela del whistleblowing per prevenire corruzione e proteggere da ritorsioni.
  • Le Linee Guida ANAC e il parere del Garante impongono misure tecniche e principi di privacy by design/privacy by default, privilegiando la piattaforma ma prevedendo la segnalazione cartacea.
  • Organizzazione e responsabilità: nomina del gestore (attenzione al cumulo con DPO), obblighi GDPR e integrazione nel Modello 231; PEC/e-mail sconsigliate, formazione e procedure per evitare sanzioni.
Riassunto generato con AI

L’istituto del whistleblowing, introdotto nel nostro ordinamento inizialmente solo nell’ambito della Pubblica Amministrazione per effetto della Legge 06.11.2012 n. 190 sulla prevenzione della corruzione, esteso poi alle società che avessero adottato un modello di organizzazione, gestione e controllo ai sensi del d.lgs. 231/01, è stato oggetto di una disciplina più stringente per effetto del d.lgs. 10.03.2023 n. 24.

La normativa, integrata dalle indicazioni dell’Autorità Nazionale Anticorruzione e del Garante per la protezione dei dati personali, fornisce precise indicazioni sui presupposti e su come gestire in modo corretto i canali di segnalazioni attivabili dai soggetti che rientrano nel perimetro normativo. Con il recente aggiornamento delle Linee Guida ANAC sono state rafforzate le valutazioni sulla sicurezza tecnologia, ad ulteriore presidio della tutela della riservatezza.

Whistleblowing e cultura della segnalazione, quanti nodi ancora da sciogliere

Il contesto normativo dei canali di whistleblowing

L’attuale contesto normativo è costituito dal d.lgs. 24/2023 che ha recepito la Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione, diventando il quadro di riferimento per tutti i soggetti pubblici e privati tenuti all’istituzione del sistema di gestione delle segnalazioni.

La nuova disciplina è orientata, da un lato, a garantire la manifestazione della libertà di espressione e di informazione, dall’altra è strumento di prevenzione e contrasto alla corruzione e alla cattiva amministrazione nel settore pubblico e privato, garantendo protezione e tutela contro ogni forma di ritorsione che il segnalante dovesse subire come conseguenza della segnalazione stessa.

Come incidono le Linee Guida ANAC sui canali di whistleblowing

La normativa è integrata dalle Linee Guida di ANAC adottate con delibera n. 311 del 12.07.2023, recentemente modificate dalla delibera n. 479 del 26.11.2025. Queste Linee Guida, pur vertendo sulle procedure per la presentazione e gestione delle segnalazioni esterne verso ANAC, contengono una serie di indicazioni e principi che i soggetti pubblici e privati possono tener conto per i propri modelli organizzativi. A queste si aggiungono le recenti “Linee guida in materia di whistleblowing sui canali interni di segnalazione” approvate da ANAC con delibera n. 478 del 26.11.2025.

Tale documento, espressione del generale potere di indirizzo attribuito ad ANAC in materia di misure di prevenzione della corruzione, fornisce indicazioni sulle modalità di gestione dei canali interni di segnalazione al fine di garantire un’applicazione uniforme ed efficace della normativa. L’esigenza di intervenire con un nuovo atto regolatorio è sorta in seguito ai risultati nel monitoraggio sull’attuazione della normativa che ANAC ha svolto nel 2023, ove sono emerse significative criticità in riferimento alla gestione dei canali di segnalazione, formazione del personale e comunicazione interna.

Misure tecniche e organizzative per i canali di whistleblowing

Le recenti Linee Guida di ANAC si soffermano sugli adempimenti da seguire per l’implementazione dei canali interni e sul ruolo del gestore delle segnalazioni, individuando alcune criticità e possibili soluzioni pratiche. Con questo documento ANAC non si limita a ribadire i principi del D.Lgs. 24/2023 ma trasforma le indicazioni generali in regole stringenti, con un focus particolare sulla protezione dei dati personali e sulla compliance tecnologica.

Le soluzioni scritte per i canali di whistleblowing

Per quanto riguarda la forma scritta, l’obiettivo primario è quello di scegliere una forma che garantisca una adeguata riservatezza della segnalazione, sulla base dei principi di privacy by design e privacy by default, tenuto conto del contesto di riferimento dell’organizzazione e delle risorse a disposizione.

La scelta della forma di segnalazione scritta presuppone una serie di valutazioni ad ampio respiro. È evidente che la soluzione della piattaforma informatica sia quella in astratto preferibile, dal momento che garantisce standard di sicurezza informatica molto elevati.

Quando i canali di whistleblowing richiedono più tutele tecniche

Al fine di rafforzare la tutela dei dati, ANAC, facendo proprie le indicazioni che il Garante per la protezione dei dati personali ha reso nel suo parere propedeutico, suggerisce l’adozione di misure ulteriori finalizzate a garantire la non tracciabilità della persona segnalante nel momento in cui viene stabilita la connessione al canale, sia nella piattaforma che negli apparati (es. firewall o proxy), tramite la rete dati interna dell’ente.

Nel mercato ci sono molte alternative disponibili che offrono elevati standard di sicurezza in termini di protocolli di crittografia (sia in transito che a riposo), controllo degli accessi logici, archiviazione e backup, sicurezza dei canali informatici, lotta al malware, gestione delle vulnerabilità, interlocuzione riservata con il segnalante.

Piattaforme, carta e limiti organizzativi nei canali di whistleblowing

Il ricorso alla piattaforma, tuttavia, non è sempre percorribile, tenuto conto dei costi di attuazione che possono essere difficilmente sostenibili per le aziende. È vero che vi sono anche soluzioni open source, ma questo implica disporre di un reparto IT in grado di implementare il sistema, eventualità non così scontata, soprattutto nelle realtà meno strutturate.

Ecco perché ANAC evidenza, ancora una volta, l’alternativa di ricorrere alla segnalazione tramite strumenti cartacei (soluzione di fatto privilegiata nelle società di piccole dimensioni), ribadendo la best practice della tripla busta (la prima contenente i dati identificativi del segnalante, la seconda contenente la segnalazione e la terza ove inserire le prime due buste, recante la dicitura “riservata” indirizzata al gestore delle segnalazioni). Si sottolinea che ANAC ha rimosso l’obbligo di inserire nella busta relativa ai dati personali una copia di un documento di riconoscimento del segnalante, per coerenza con il canale informatico, ove non è richiesto. Viene precisato che la segnalazione cartacea dovrebbe costituire una extrema ratio per gli enti che rientrano nel campo di applicazione del Codice dell’Amministrazione Digitale, i quali dovrebbero optare per soluzioni conformi al CAD.

I canali di whistleblowing nella Pubblica Amministrazione

Si ricorda inoltre che la Pubblica Amministrazione può optare solo per soluzioni cloud qualificate dall’Autorità Nazionale di Cybersicurezza Nazionale, consultabili agevolmente nel Catalogo delle Infrastrutture digitali e dei Servizi Cloud sul sito internet di ACN.

In coerenza con gli orientamenti del Garante Privacy nell’ambito dei contesti lavorativi, e tenuto conto della particolare criticità dei dati trattati, ANAC ribadisce che il ricorso alla posta elettronica, sia ordinaria che certificata, non costituisce un canale di segnalazione adeguato a garantire la riservatezza del segnalante.

Perché e-mail e PEC non sono canali di whistleblowing adeguati

Numerose sono le criticità legate all’utilizzo della casella di posta elettronica, che oggi ci sembrerebbe la soluzione più semplice e anche di più immediata fruizione. Un profilo di rischio è legato alla permanenza delle e-mail nei back up dei server, risultando così accessibili a soggetti non autorizzati che potrebbero prendere visione del contenuto della segnalazione. Ulteriori criticità in termini di tutela della riservatezza derivano evidentemente dal fatto che mentre la piattaforma o la segnalazione cartacea permettono di scindere il contenuto della segnalazione dall’identità del segnalante, nella posta elettronica questo non è possibile, men che meno nella PEC che associa in modo certo e certificato il messaggio a un’identità digitale. ANAC evidenza anche i rischi correlati ai log relativi all’invio e alla ricezione dei messaggi, che vengono raccolti dai sistemi informatici di gestione della posta e che possono comportare la possibilità di risalire, anche indirettamente, all’identità del segnalante, specialmente in caso di utilizzo della posta elettronica aziendale.

Ecco perché questa soluzione potrebbe essere implementata solo in casi eccezionali, previa adozione di specifiche contromisure di mitigazione del rischio individuate in sede di DPIA.

I canali orali e le garanzie di riservatezza

L’ente deve garantire la possibilità di effettuare la segnalazione anche in forma orale tramite linee telefoniche, sistemi di messaggistica vocale o incontro diretto con il gestore.

Per quanto riguarda le linee telefoniche e la messaggistica, viene ribadito che la registrazione è possibile solo con il consenso del segnalante e deve avvenire tramite dispositivi idonei da un punto di vista della sicurezza. Per quanto riguarda l’incontro in presenza, è fondamentale che lo stesso avvenga in luoghi riservati, non facilmente monitorabili da colleghi. Il verbale dell’incontro, così come della segnalazione telefonica non registrata, il cui contenuto può essere verificato e sottoscritto dal segnalante, deve essere conservato in modo sicuro, sia nel formato cartaceo che digitale, ad esempio in armadi o cassetti chiusi a chiave, per i documenti cartacei, e in cartelle crittografate, per i documenti digitali, in entrambi i casi accessibili solo al gestore.

Il ruolo del gestore nei canali di whistleblowing

La gestione delle segnalazioni può essere affidata ad un soggetto interno o esterno all’ente, che rispetti i necessari requisiti di imparzialità e indipendenza. È fondamentale, infatti, che il gestore sia libero da condizionamenti o favoritismi e deve poter svolgere le proprie attività in autonomia operativa e valutativa. Per questi motivi, ANAC invita a prestare particolare attenzione al cumulo di incarichi, che può comportare il rischio di conflitto di interessi.

Gestore, DPO e conflitti di interessi nei canali di whistleblowing

ANAC analizza, in particolare, il cumulo tra la figura del gestore e del DPO, invitando, per quanto possibile, a mantenere la distinzione tra questi due ruoli, soprattutto negli enti di grandi dimensioni, al fine di non limitare l’effettività dello svolgimento delle attività proprie delle due funzioni. Il discorso può essere diverso nelle realtà più contenute, laddove la carenza di personale costituisce un ostacolo fattuale da tenere in necessaria considerazione.

Sempre in tema di conflitto di interessi, ANAC pone l’accento anche sulla opportunità di disciplinare già nell’atto organizzativo/Modello 231 l’ipotesi in cui il gestore si trovi coinvolto nella segnalazione come soggetto segnalante, segnalato o persona coinvolta, definendo un sostituto del gestore che prenderà in carico la segnalazione, nel rispetto dell’obbligo di riservatezza. Per gli enti di piccole dimensioni, ove non sia possibile individuare un sostituto, il segnalante può ricorrere direttamente alla segnalazione esterna ad ANAC.

Profili GDPR nella nomina del gestore

La nomina del gestore, sia interno che esterno, deve essere accompagnata dalla corretta definizione del ruolo dal punto di vista della normativa sulla protezione dei dati, procedendo alla nomina ad autorizzato al trattamento ex art. 29 GDPR (per il gestore interno) e alla nomina a responsabile del trattamento (per il gestore esterno), assicurandosi in entrambi i casi che vengano rispettati tutti i presidi di riservatezza nei trattamenti dei dati.

La condivisione dei canali di whistleblowing tra enti e imprese

Le Linee Guida intervengono anche nella condivisione del canale, facoltà concessa ai comuni diversi dai capoluoghi di provincia, agli enti pubblici di piccole dimensioni con meno di cinquanta dipendenti e alle aziende che abbiano impiegato nell’ultimo anno una media di lavoratori non superiore a duecentoquarantanove.

In questo caso, è necessario stipulare un contratto tra gli enti interessati che disciplini i relativi compiti e responsabilità, integrato dall’accordo di contitolarità del trattamento ai sensi dell’art. 26 GDPR. La piattaforma può basarsi su un’unica infrastruttura che permetta però la ramificazione in tanti canali quanti sono gli enti coinvolti, in modo che ogni gestore possa accedere solo alle segnalazioni relative all’ente di appartenenza (si ricorda infatti che ogni ente deve comunque nominare il proprio gestore).

Procedura interna e modello organizzativo

Tutti questi aspetti devono essere definiti in una apposita procedura adottata dall’ente con atto organizzativo o nell’ambito del proprio Modello 231. Prima della delibera di approvazione dell’atto organizzativo o della revisione del Modello 231, l’ente deve dare specifica informativa sul contenuto della procedura alle RSA o RSU aziendali o, qualora l’ente ne sia sprovvisto, alle corrispondenti organizzazioni territoriali delle associazioni sindacali più rappresentative sul piano nazionale. Non si tratta di una richiesta di approvazione ma semplicemente di un coinvolgimento interlocutorio, anche laddove sia necessario procedere a eventuali modifiche della procedura, preventivo rispetto all’adozione ufficiale.

Formazione e cultura dei canali di whistleblowing

ANAC evidenza l’importanza della formazione in materia, sia per i gestori delle segnalazioni che per tutto il personale aziendale, come strumento finalizzato ad aumentare la consapevolezza di tutti i soggetti coinvolti e misura di prevenzione della corruzione negli enti soggetti alla normativa di settore. Per questo motivo gli enti dovranno strutturare appositi momenti formativi tarati sui diversi destinatari, caratterizzati anche da esempi e casi pratici al fine di permettere la più ampia comprensione dell’istituto. A questo si aggiungono gli oneri informativi che gravano sugli enti, i quali devono dare adeguata pubblicità dei canali, delle procedure, dei presupposti delle segnalazioni, oltre all’informativa sul trattamento dati, sul proprio sito e sul luogo di lavoro.

Conclusioni sui canali di whistleblowing

L’implementazione dei canali di whistleblowing, alla luce delle ultime Linee Guida ANAC, comporta la necessità di trovare un delicato equilibrio tra esigenze organizzative e protezione dei dati personali.

Le criticità evidenziate — dalla vulnerabilità dei canali orali, alla necessità di crittografia avanzata per quelli scritti — dimostrano come l’obiettivo primario sia la protezione sostanziale del segnalante. Le aziende che decidano di sottovalutare questi aspetti rischiano di esporsi a possibili sanzioni pecuniarie, anche pesanti, e di minare la fiducia interna, rendendo lo strumento del reporting inefficace.

Ecco perché le aziende dovranno porsi l’obiettivo di trasformare il whistleblowing da obbligo di legge a opportunità di governance in grado di proteggere non solo chi segnala, ma l’integrità dell’intera organizzazione.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Anna Perut
Avvocata
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • telecamere privacy

  • LA GUIDA

    Videosorveglianza in azienda, come chiedere l’autorizzazione all'Ispettorato del lavoro

    10 Lug 2025

    di Lorenzo Giannini

    Condividi
  • cybersecurity e competitività europea; DPIA

  • vademecum

    DPIA in azienda, come si fa: la guida completa per le imprese

    10 Lug 2025

    di Lorenzo Giannini

    Condividi
  • Cup online, regione per regione appIO sanità formazione digitale in sanità GenAI in sanità; diagnosi precoce;cdss LLM in medicina ia in sanità IA generativa in sanità dossier sanitario elettronico privacy dei dati sanitari prima copia gratuita dei dati in cartella clinica

  • sponsored story

    Intelligenza artificiale in sanità, come automatizzare gli appunti e risparmiare tempo

    27 Mar 2025

    Condividi
0
Lascia un commento, la tua opinione conta.x