Recentemente l’Autorità Garante per la protezione dei dati personali, con il provvedimento n. 581 del 9 ottobre 2025, ha espresso parere formale sulle “Linee guida in materia di whistleblowing sui canali interni di segnalazione” e sulla “Delibera di modifica delle Linee guida ANAC relative ai canali esterni”.
Tale parere si inserisce nel quadro di attuazione del d.lgs. 10 marzo 2023, n. 24 , che recepisce la Direttiva (UE) 2019/1937, finalizzato ad assicurare la protezione delle persone fisiche che segnalano violazioni normative nazionali o dell'Unione Europea di cui siano venute a conoscenza nel contesto lavorativo. Le condotte oggetto di segnalazione includono, in particolare, violazioni relative alla “ tutela della vita privata e dei dati personali e sicurezza delle reti e dei sistemi informativi ”, con specifico riferimento al GDPR e al Codice Privacy. L'acquisizione e la gestione delle segnalazioni da parte dei soggetti pubblici e privati obbligati comporta il trattamento di dati personali, anche appartenenti a categorie particolari o relativi a condanne penali e reati, riferiti a segnalanti, segnalati o altri soggetti coinvolti. Il Garante Privacy ritiene che tali trattamenti siano leciti in quanto necessari per dare attuazione agli obblighi di legge e ai compiti di interesse pubblico previsti dalla disciplina di settore (articolo 6, par. 1, lett. c) ed e), 9, par. 2, lett. b) e g), del GDPR ). I soggetti pubblici e privati coinvolti agiscono in qualità di Titolari del trattamento e sono tenuti al rispetto dei principi generali in materia di protezione dei dati , definendo il proprio modello di gestione in conformità al principio di protezione dei dati fin dalla progettazione e per impostazione predefinita ( articolo 25 GDPR ). È richiesto che i soggetti tenuti alle previsioni del Decreto svolgano la Valutazione di Impatto sulla Protezione dei Dati (DPIA) ai sensi dell' articolo 35 GDPR . Misure tecniche e organizzative Il Garante Privacy ha evidenziato l'importanza di privilegiare l'impiego di piattaforme informatiche specificamente progettate , che permettono di adottare stringenti misure di sicurezza, di assicurare la cifratura dei dati a riposo e di mantenere un'interlocuzione riservata con la persona segnalante. Si sconsiglia l'utilizzo di canali non strutturati quali: posta elettronica : il ricorso alla posta elettronica (ordinaria o certificata) è considerato di per sé non adeguato a garantire la riservatezza, salvo specifiche contromisure giustificate nell'ambito della DPIA. Difatti, i sistemi di gestione della posta elettronica generano log che potrebbero consentire di risalire indirettamente all'identità del segnalante, soprattutto se si utilizza la casella fornita dal datore di lavoro; rete aziendale : se l'accesso ai canali interni avviene dalla rete dati interna, deve essere garantita la non tracciabilità della persona segnalante, sia sulle piattaforme che negli apparati di rete (es. firewall o proxy) coinvolti nella trasmissione delle comunicazioni; canali tradizionali : in caso di utilizzo di tecniche tradizionali (non informatiche), deve essere assicurata la riservatezza richiesta, ad esempio mediante la protocollazione riservata attraverso il meccanismo delle due buste chiuse nonché in caso di richiesta di un incontro diretto da parte del segnalante. Il Garante Privacy ha altresì fornito indicazioni specifiche sui ruoli e le responsabilità in contesti organizzativi complessi: condivisione tra enti minori : gli enti di dimensioni minori che condividono il canale interno (ex articolo 4, comma 4, del Decreto) sono considerati contitolari del trattamento ai sensi dell' articolo 26 del GDPR e devono stipulare un accordo interno, adottando misure tecniche e organizzative che garantiscano a ciascun ente l'accesso solo alle segnalazioni di propria competenza; gruppi societari : nel caso in cui una società del gruppo affidi la gestione del canale alla capogruppo, quest'ultima deve essere qualificata come responsabile del trattamento ai sensi dell' articolo 28 del GDPR . Conservazione dei dati La documentazione inerente alle segnalazioni deve essere conservata solo per il tempo necessario alla gestione e comunque non oltre cinque anni dalla comunicazione dell'esito finale della procedura . Il Garante Privacy chiarisce che, una volta concluse le attività di gestione, la segnalazione e la relativa documentazione devono essere cancellate . Tuttavia, gli atti e i documenti che afferiscono a procedimenti avviati (es. procedimenti disciplinari) che abbiano avuto origine dalla segnalazione possono essere conservati nei termini di legge, a condizione che non contengano riferimenti puntuali alla persona segnalante. Conclusioni Il Parere del Garante Privacy mira a garantire il necessario bilanciamento tra l'esigenza di riservatezza della segnalazione e la necessità di accertamento degli illeciti , tutelando contestualmente il diritto di difesa del segnalato, in un contesto lavorativo e professionale delicato.
Provvedimento del 9 ottobre 2025, n. 581