Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

la guida

Formazione whistleblowing, ecco quali competenze privacy servono

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

La delibera ANAC 478/2025 rilancia la formazione nel whistleblowing come misura di compliance, collegandola ai principi del GDPR. Dal dovere di istruzione del personale alle competenze richieste ai gestori delle segnalazioni, emergono obblighi e casi operativi (riservatezza, consensi, conservazione) per tutelare segnalanti e organizzazioni

Pubblicato il 2 mar 2026
privacy digital omnibus; convenzioni Consip; ISO/IEC 27701; BIM delete act california; formazione whistleblowing

In sintesi

  • La formazione è un presidio di compliance e di accountability secondo il GDPR (art. 24) e le indicazioni dell’ANAC (Delibera 478/2025).
  • I gestori dei canali di Whistleblowing devono ricevere formazione specialistica prevista dal d.lgs. n. 24/2023 (art. 4) su normativa, procedure e gestione dei conflitti.
  • La formazione pratica riduce i rischi (es. omissione di notifica del data breach), garantisce riservatezza, corretto trattamento dei consensi e tutela segnalante e organizzazione.
Riassunto generato con AI

Una cosa è certa: la formazione, anche quella in ambito privacy, non è solo un obbligo normativo necessario a cui le aziende devono conformarsi ma è, soprattutto, un presidio di compliance. La nuova Delibera 478 del 26 novembre 2025 dell’Autorità Nazionale Anticorruzione ”mette in risalto gli obblighi di formazione specifica nel contesto del Whistleblowing, definendola come “misura volta ad implementare la conoscenza normativa, le migliori pratiche e gli strumenti operativi necessari per gestire efficacemente ed in modo adeguato le segnalazioni di whistleblowing”. Di seguito cerchiamo di capirli insieme contestualizzandoli nella cornice del GDPR.

Whistleblowing, che cos’è e come si mette in pratica

L’art. 24 del Reg. UE n. 2016/679 è infatti uno dei capisaldi del principio della responsabilizzazione, ossia del concetto di “accountability” su cui si fonda tutta la normativa: “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.

Misure organizzative e formazione privacy whistleblowing nella logica GDPR

Ecco, quando si pensa alle misure “tecniche e organizzative adeguate” non bisogna per forza pensare ad un programma aerospaziale per andare su Marte. Ad esempio, un corso di formazione in materia di privacy deve essere visto come una misura messa in atto dal Titolare del trattamento per sensibilizzare il personale sull’argomento e per limitare, se non evitare, danni o violazione delle disposizioni normative.

Certo, non è con un corso di formazione privacy “base” che si diventa esperti della privacy. Tuttavia, se fatto bene, può sensibilizzare fortemente l’ascoltatore ad essere partecipe di un obiettivo comune: proteggere e tutelare i dati personali degli interessati, ossia delle persone fisiche, ovvero di tutti noi, inquadrati agli occhi del Titolare del trattamento come un utente, un abbonato, un cliente (e chi ne ha più ne metta).

I riferimenti normativi: art. 29 GDPR e Codice privacy

In materia di formazione e istruzione, come non richiamare sia l’art. 29 del GDPR che sancisce la necessità che “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.” oppure l’art. 2-quaterdecies del D. Lgs. 196/2003 (anche “Codice Privacy”) in cui “1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. 2. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta”.

Quanto detto è cruciale per comprendere che una delle azioni più importanti che possa fare una organizzazione, proprio per garantire e dimostrare che il trattamento è conforme al GDPR, sia proprio quella di sensibilizzare e istruire il personale su tale materia. Passaggio questo fondamentale poiché se si creano le fondamenta della governance privacy ma non si forma il personale, il risultato sarà inevitabilmente “mozzato”.

Un esempio pratico: la procedura data breach senza formazione

Pensiamo ad un esempio, molto semplice: una organizzazione redige una politica di gestione dei data breach. Il “manuale” viene approvato dal management, descrive che cosa si intende per violazione di dati personali, riassume per filo e per segno i passaggi interno all’azienda da porre in essere in caso di anomalie, prevede l’elencazione di casi concreti e richiama le Linee Guida elaborate dall’EDPB (European Data Protection Board) o i vademecum rilasciati dall’Autorità Garante per la protezione dei dati personali (di seguito anche “Garante”). Un manuale, sulla carta, perfetto che tuttavia non viene divulgato al personale ma resta nel cassetto di qualche dirigente oppure che viene divulgato formalmente ma senza nessuna spiegazione sull’uso che bisogna farne.

Quindi, tempo e risorse per un lavoro vano? Purtroppo, a queste condizioni, la risposta è “”.

Perché la redazione di una procedura, un manuale, una politica, se non è accompagnata da una sensibilizzazione o una formazione al personale, rischia di non portare i risultati sperati ossia: il personale non comprende che l’anomalia avvenuta configura una violazione di dati personali e non conosce che, in alcuni casi e a determinare condizioni, occorre procedere con la notifica al Garante entro le 72 ore dalla consapevolezza del data breach.

Formazione privacy whistleblowing come presidio: livelli e periodicità

Formare il personale e sensibilizzarlo su determinati argomenti, significa avere dei “vigilantes” in grado di poter presidiare determinate tematiche.

È per questo motivo che la pianificazione e l’organizzazione, con cadenza periodica, di corsi di formazione in ambito privacy, anche su diversi livelli, può ridurre i pericoli e permettere di intervenire tempestivamente: formazione “base” per tutto il personale e formazioni “ad hoc” per il solo personale che ha un ruolo centrale o strategico con i dati personali.

Solo in questo modo se ne può uscire vincenti.

Il ruolo del whistleblowing nella formazione privacy

E il Whistleblowing cosa c’entra con la formazione?

Ormai sono trascorsi diversi anni da quando il nuovo intervento normativo, introdotto con il Decreto Legislativo n. 24 del 10 marzo 2023 (di seguito anche il “Decreto”), e di attuazione della Direttiva UE 2019/1937 (di seguito anche la “Direttiva”), ha posto una maggiore attenzione sull’istituto del “Whistleblowing” e, di conseguenza, sulla protezione del segnalante “whistleblower” (anche dalle ritorsioni) e la tutela della sua riservatezza in quanto è lui e solo lui che ha il potere di portare alla luce le condotte illecite, mediante anche la progettazione di canali di segnalazione efficaci, riservati e sicuri.

Questa nuova impostazione dovrebbe contribuire a prevenire e scoraggiare le violazioni delle normative europea e nazionale, determinandone inevitabilmente un rafforzamento dell’ambito applicativo.

Linee guida ANAC 478/2025 e gestione dei canali interni

Senza voler entrare nel merito di tutta la normativa applicabile, è utile ricordare che l’ANAC, a fine anno passato, con Delibera n° 478 del 26 novembre 2025, ha approvato – in aggiunta alle precedenti – le “[…] nuove Linee Guida con l’obiettivo di fornire indicazioni più approfondite circa le modalità di gestione dei canali interni di segnalazione. Ciò al fine di garantire un’applicazione uniforme ed efficace della normativa sul whistleblowing e di indirizzare i soggetti tenuti a dare attuazione alla stessa […]”.

Formazione privacy whistleblowing per chi gestisce le segnalazioni

Proprio, relativamente a tale ultimo aspetto, occorre ricordare che l’art. 4, comma 2, del Decreto, in materia di canali di segnalazione interna, prevede come: “La gestione del canale di segnalazione è affidata a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato per la gestione del canale di segnalazione, ovvero è affidata a un soggetto esterno, anch’esso autonomo e con personale specificamente formato”.

Appare pacifico pertanto che la formazione, anche secondo il Decreto, è un tassello molto importante, soprattutto nei confronti del personale che è deputato alla gestione di una segnalazione. Ma di quale formazione si parla?

Sicuramente il richiamo voluto dall’art. 4 del Decreto è di ampio raggio e vuole mandare un messaggio ben preciso: chi gestisce una segnalazione, deve conoscere la normativa nella sua interezza; deve avere competenze specifiche e necessarie per poter ricoprire nel migliore dei modi il suo ruolo; deve sapersi muovere a seconda degli scenari che possono verificarsi, soprattutto, ad esempio, con riguardo alla possibilità di poter – in determinate circostanze tassative previste dalla legge – rivelare l’identità del segnalante o del segnalato; deve – sostanzialmente – essere formato o formarsi (a seconda dei casi), proprio per evitare di commettere azioni che possano essere in violazione della norma stessa.

Il capitolo ANAC sulla formazione e i contenuti minimi

Quanto detto, trova riscontro anche nelle nuove linee guida sopra richiamate, che proprio per fornire indicazioni più approfondite, dedica un intero capitolo (nello specifico il paragrafo 5) alla formazione, proprio perché: “[…] In particolare, la formazione del personale è una misura volta ad implementare la conoscenza normativa, le migliori pratiche e gli strumenti operativi necessari per gestire efficacemente ed in modo adeguato le segnalazioni di whistleblowing, proteggendo le persone segnalanti e, contemporaneamente, salvaguardando la stessa organizzazione dell’ente. Una formazione regolare e con cadenza periodica in materia – tenuto anche conto che la tutela della persona segnalante rientra a pieno titolo tra le misure generali di prevenzione della corruzione – è infatti essenziale per creare una cultura di trasparenza e integrità all’interno dell’organizzazione, che rafforza la fiducia dei dipendenti nell’ente e promuove un ambiente lavorativo più etico e responsabile.”

Anzi l’ANAC va oltre, soffermandosi anche, e in particolare, sulla formazione del personale che gestisce le segnalazioni. Infatti, nelle stesse linee guida così viene detto: “[…] È opportuno che tali soggetti ricevano una formazione dettagliata sulla disciplina dell’istituto e sui molteplici adempimenti connessi alla gestione delle segnalazioni, al fine di poter operare in autonomia e con professionalità. Si ritiene, quindi, che il personale debba essere formato almeno sulle seguenti tematiche: i profili normativi in materia whistleblowing (sia la normativa europea che le disposizioni contenute nel d.lgs. n. 24/2023), con particolare attenzione anche alla tematica della protezione dei dati personali, per assicurare la massima sicurezza e riservatezza delle informazioni; la normativa in materia di tutela dei dati personali; le procedure e le modalità operative, con focus specifici dedicati agli adempimenti che devono essere svolti dai gestori, compresa la gestione dei conflitti di interesse; i principi generali di comportamento (confidenzialità e riservatezza, etica ed integrità, ascolto attivo, competenze comunicative e collaborazione).”

Ed ecco qui che l’“istruzione” in ambito privacy viene proprio richiamata dall’ANAC come parte integrante anche della formazione a più ampio raggio che il gestore della segnalazione deve ricevere. Lo si dice apertamente in quanto può succedere che l’ambito di appartenenza o il percorso curriculare del soggetto preposto a tale incarico, sia esterno che interno, non sia il mondo giuridico.

Privacy nel decreto whistleblowing: riservatezza, consensi e conservazione

Inoltre, è lo stesso Decreto che, oltre a dedicare un intero articolo al trattamento di dati personali (art. 13), richiama in altre disposizioni proprio la normativa privacy e il suo rigoroso rispetto: si pensi all’art. 12 recante “obbligo di riservatezza” oppure l’art. 14 in materia di “Conservazione della documentazione inerente alle segnalazioni”. Appare evidente, pertanto, che il gestore della segnalazione dovrà avere una buona conoscenza della normativa privacy proprio per assicurare quella riservatezza e protezione che il Decreto attribuisce al segnalante.

Basti ricordare l’obbligo da parte del Titolare del trattamento, per il tramite del gestore della segnalazione, di richiedere e raccogliere il consenso del segnalante in determinate circostanze.

Si pensi all’art. 12, 2 comma, del Decreto che prevede come “L’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rivelate, senza il consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate a trattare tali dati ai sensi degli articoli 29 e 32, paragrafo 4, del regolamento (UE) 2016/679 e dell’articolo 2-quaterdecies del codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196.”

Cosa succede in caso di rivelazione della segnalazione

Oppure al comma 5 del medesimo articolo nel caso di rivelazione della segnalazione per difesa dell’incolpato nel procedimento disciplinare “[…] Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità.”

O anche il consenso alla registrazione o alla verbalizzazione della segnalazione a norma dell’art. 14, comma 2: “Se per la segnalazione si utilizza una linea telefonica registrata o un altro sistema di messaggistica vocale registrato, la segnalazione, previo consenso della persona segnalante, è documentata a cura del personale addetto mediante registrazione su un dispositivo idoneo alla conservazione e all’ascolto oppure mediante trascrizione integrale. […]”.

Questi, come appare evidente, sono casi specifici e circostanze che possono emergere solo a seguito della segnalazione effettuata e che devono essere presidiati. Se il gestore della segnalazione non ha una buona conoscenza della normativa privacy o non riceve formazione specifica specialistica, potrebbe incorrere in errori.

Tra questi, ad esempio, potrebbe non richiedere i dovuti consensi previsti dalla normativa, esponendo la società a violazioni, con la potenziale applicabilità delle sanzioni.

Formazione privacy whistleblowing come tutela di segnalante e organizzazione

In conclusione, gli scriventi accolgono di buon occhio le nuove Linee Guida emesse da ANAC con riguardo all’attenzione che la stessa autorità ha voluto porre su un tema così importante. La formazione privacy, nota – per gli addetti ai lavori – come pietra miliare dell’accountability, deve essere vista come uno strumento di “schermatura” del segnalante, non solo in relazione alla protezione dalle ritorsioni ma anche alla tutela della riservatezza.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Marco Catalano
Avvocato
Seguimi su
Z
Alfredo Zallone
Avvocato
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • telecamere privacy

  • LA GUIDA

    Videosorveglianza in azienda, come chiedere l’autorizzazione all'Ispettorato del lavoro

    10 Lug 2025

    di Lorenzo Giannini

    Condividi
  • data protection officer

  • la guida

    DPO, chi è il data protection officer e perché è una figura controversa

    07 Apr 2025

    di Antonino Polimeni

    Condividi
  • tecnocontrollo digitale ia e discriminazione di genere chat control Sicurezza Predittiva

  • stato di diritto

    Algoritmi predittivi: il futuro della sicurezza passa dal diritto

    05 Feb 2026

    di Marco Martorana

    Condividi
0
Lascia un commento, la tua opinione conta.x