WHISTLEBLOWING: LE INDICAZIONI DEL GARANTE PRIVACY PER IMPRESE ED ENTI PUBBLICI

Con il provvedimento n. 581 del 9 ottobre 2025, il Garante per la protezione dei dati personali fornisce importanti chiarimenti sulle misure che imprese e pubbliche amministrazioni devono adottare per adeguarsi alla normativa sul whistleblowing (d.lgs. 24/2023), approvando due proposte di delibera ANAC relative ai canali di segnalazione interni ed esterni.

Obblighi organizzativi

Enti pubblici e privati devono:

• definire compiti, poteri e procedure del soggetto incaricato di ricevere e gestire le segnalazioni;
• adottare un apposito atto organizzativo (PA) o integrarli nel Modello 231 (imprese);
• garantire canali interni protetti che tutelino la riservatezza del segnalante e lo proteggano da ritorsioni.

Privacy by design e by default

Il Garante richiede che i sistemi di whistleblowing siano progettati secondo i principi di privacy by design e by default. Anche quando la segnalazione non rientra nell’ambito della disciplina, l’identità del segnalante deve essere comunque tutelata.

Misure di sicurezza

• Preferenza per piattaforme informatiche dedicate.
• Obbligo di adottare misure tecniche avanzate, tra cui cifratura dei dati e tracciamento limitato.
• Garanzia di non tracciabilità dell’utente che accede al canale di segnalazione dalle reti interne.

L’uso della posta elettronica (PEC o ordinaria) è considerato non adeguato, salvo l’adozione di contromisure specifiche da documentare nella DPIA.

Valutazione di impatto (DPIA) obbligatoria

Tutti gli enti che gestiscono un canale interno di segnalazione devono redigere una DPIA ai sensi dell’art. 35 GDPR.
Il Garante precisa che:

• la documentazione del fornitore può essere utilizzata, ma non sostituisce il controllo dell’ente;
• eventuali carenze comportano comunque responsabilità diretta del titolare del trattamento, che potrà rivalersi solo in parte sul fornitore.

Formazione specifica

Gli addetti alla gestione delle segnalazioni devono ricevere una formazione ad hoc sul trattamento dei dati personali connesso al whistleblowing, distinta dalla formazione privacy generale. L’ente deve documentare corsi e aggiornamenti.

Fornitori esterni

Se la gestione tecnica o operativa del canale è affidata a un fornitore:

• deve essere stipulato un contratto di nomina a responsabile del trattamento ai sensi dell’art. 28 GDPR;
• il contratto commerciale non sostituisce gli obblighi privacy.

Canali condivisi e gruppi societari

• Gli enti di dimensioni ridotte (Comuni non capoluogo e imprese fino a 249 dipendenti) possono condividere i canali di segnalazione, divenendo contitolari del trattamento e dovendo stipulare un accordo ai sensi dell’art. 26 GDPR.
• Nei gruppi societari, la capogruppo che gestisce il canale assume il ruolo di responsabile del trattamento, tramite apposito contratto con ciascuna società.

Informative e basi giuridiche

Le informative rivolte ai segnalanti devono:

• indicare chiaramente la base giuridica del trattamento;
• richiamare gli articoli del GDPR applicabili (art. 6, par. 1 lett. c ed e, par. 2-3; art. 9, par. 2 lett. b e g; art. 10; art. 88), oltre agli artt. 2-ter e 2-sexies del Codice Privacy.

Conclusione

Il provvedimento del Garante rende evidente che la gestione del whistleblowing non è un mero adempimento formale, ma un processo strutturato che richiede:

• scelte tecniche adeguate,
• organizzazione interna chiara,
• piena conformità al GDPR,
• responsabilità diretta e non delegabile dell’ente.

Per imprese e PA è quindi necessario attivarsi tempestivamente per dotarsi di canali sicuri, procedure documentate e una governance privacy adeguata alla complessità del sistema.