Whistleblowing: ok del Garante alle Linee guida ANAC

Pubblicato il 28 novembre 2025

Ok del Garante per la privacy alle Linee guida dell’Autorità Nazionale Anticorruzione (ANAC) in tema di whistleblowing.

Con provvedimento n. 581 del 9 ottobre 2025, reso noto con Newsletter del 27 novembre 2025, sono state infatti approvate le Linee guida predisposte dall’ANAC per le segnalazioni interne e per quelle esterne.

La tutela del segnalante, insieme alla corretta gestione dei dati personali trattati durante il processo di segnalazione, costituisce infatti un elemento centrale del sistema introdotto dal quadro normativo vigente; in questo contesto, il parere del Garante per la protezione dei dati personali riveste un ruolo determinante per l’interpretazione e l’applicazione uniforme della disciplina.

Il Parere fornisce peraltro indicazioni operative che rafforzano le garanzie di riservatezza e protezione dei dati personali nel trattamento delle segnalazioni, sia interne sia esterne, con particolare riferimento ai rischi connessi ai canali di trasmissione, alle misure tecniche da adottare e agli obblighi di accountability dei soggetti tenuti a implementare sistemi di whistleblowing conformi.

Il sistema normativo di riferimento è costituito dal decreto legislativo 24/2023 che ha recepito nell’ordinamento italiano la direttiva (UE) 2019/1937 in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione.

Il decreto ha ridisegnato l’intero impianto relativo alle segnalazioni introducendo obblighi rilevanti per datori di lavoro, enti pubblici, imprese private e soggetti destinatari della normativa. In particolare, il decreto legislativo 24/2023 ha delineato un sistema organico che disciplina:

• i canali interni di segnalazione, che devono essere istituiti da una vasta categoria di soggetti pubblici e privati;
• i canali esterni di segnalazione, gestiti direttamente dall’ANAC;
• le forme di divulgazione pubblica, regolamentate come extrema ratio;
• la protezione del segnalante, con garanzie specifiche contro ritorsioni e misure discriminatorie;
• gli obblighi di riservatezza relativi all’identità del segnalante, al contenuto della segnalazione e ai dati delle persone coinvolte.

Il Parere del Garante sulla proposta di aggiornamento delle Linee guida ANAC assume dunque particolare rilievo poiché interviene su aspetti tecnici e organizzativi che incidono direttamente sulla conformità dei processi di segnalazione ai principi del Regolamento (UE) 2016/679 (GDPR).

Il Garante sottolinea l’importanza di adottare canali di comunicazione idonei, evitando strumenti che possano esporre a rischi di tracciabilità o accessi non autorizzati. Tra i principali fattori di rischio individuati, il parere evidenzia l’uso della posta elettronica non adeguatamente protetta come canale di segnalazione, poiché l’email può generare metadati che rivelano l’identità del segnalante o altri dati sensibili.

Il contesto normativo definito dal decreto legislativo 24/2023 richiede ai soggetti obbligati di adottare misure tecniche e organizzative proporzionate ai rischi, applicando il principio di accountability previsto dal GDPR. Questo principio impone agli enti pubblici e ai datori di lavoro privati di documentare le scelte effettuate, dimostrando di aver adottato misure adeguate per proteggere i dati trattati nell’ambito delle segnalazioni. Le nuove Linee guida ANAC, elaborate anche sulla base delle indicazioni del Garante, forniscono un riferimento operativo che facilita la corretta implementazione dei canali, soprattutto nella fase di progettazione delle infrastrutture e nella definizione delle procedure interne.

Il Parere del Garante dunque, oltre a rafforzare la cornice interpretativa, offre una serie di indicazioni pratiche, tra cui l’invito a effettuare una valutazione di impatto sulla protezione dei dati (DPIA) quando il sistema di whistleblowing comporta trattamenti potenzialmente rischiosi per i diritti e le libertà delle persone. Il Garante richiama anche la necessità di coinvolgere fornitori esterni che offrano garanzie adeguate, soprattutto quando i sistemi di segnalazione si avvalgono di piattaforme tecnologiche dedicate. Particolare attenzione viene rivolta ai tempi di conservazione delle segnalazioni e della documentazione correlata, che devono essere limitati al periodo strettamente necessario alla gestione degli adempimenti previsti dalla normativa.

Il quadro delineato evidenzia come il decreto legislativo 24/2023, insieme alle nuove Linee guida ANAC e alle osservazioni del Garante privacy, rappresenti un sistema integrato volto a garantire la corretta gestione delle segnalazioni e la protezione delle persone coinvolte. Il parere del Garante costituisce quindi un passaggio essenziale per assicurare coerenza interpretativa, uniformità di applicazione e una più ampia tutela della riservatezza, rafforzando nel complesso l’efficacia del sistema di whistleblowing introdotto nella normativa italiana.

Vediamo ora nello specifico quanto sottolineato dal Garante.

Linee guida per le segnalazioni interne

Le Linee guida per le segnalazioni interne hanno l’obiettivo di fornire indicazioni operative che consentano ai datori di lavoro pubblici e privati di progettare, implementare e gestire canali interni di whistleblowing in modo conforme ai requisiti normativi. La disciplina mira a migliorare l’efficienza del processo di segnalazione, ridurre i rischi di violazioni dei dati personali e assicurare la massima tutela della riservatezza del segnalante.

Gli obiettivi principali della nuova disciplina possono essere sintetizzati come segue.

• Tutela dell’identità del segnalante, garantendo che il trattamento dei dati personali avvenga in modo sicuro e che l’accesso ai dati sia limitato alle sole persone autorizzate.
• Uniformità delle procedure, affinché i canali interni siano strutturati sulla base di standard omogenei tra organizzazioni diverse.
• Riduzione dei rischi informatici, mediante l’adozione di strumenti tecnologici idonei a prevenire la tracciabilità delle connessioni e a proteggere i dati durante tutte le fasi del processo.
• Promozione della cultura della segnalazione, incentivando i lavoratori ad attivare i canali interni in un contesto protetto e affidabile.
• Conformità al principio di accountability, imponendo ai soggetti obbligati di documentare le misure tecniche e organizzative adottate per gestire le segnalazioni in modo sicuro.

La disciplina delle segnalazioni interne assume un ruolo strategico, poiché la maggior parte dei casi di whistleblowing viene gestita direttamente dalle organizzazioni. Per questo motivo, le Linee guida costituiscono uno strumento fondamentale per orientare i datori di lavoro nella scelta dei sistemi e nella definizione delle procedure, contribuendo a ridurre i rischi di esposizione indebita dei dati e a favorire la gestione tempestiva delle segnalazioni.

Nel Parere, il Garante privacy ha individuato una serie di principi generali che devono orientare la progettazione dei canali interni.

• Riservatezza e minimizzazione dei dati: le organizzazioni devono trattare solo i dati strettamente necessari per la gestione della segnalazione, limitando l’accesso alle sole figure autorizzate.
• Integrità e sicurezza del trattamento: i sistemi devono essere progettati per prevenire accessi non autorizzati, perdite di dati o interferenze esterne.
• Proporzionalità delle misure adottate: le misure tecniche e organizzative devono essere proporzionate alla complessità dell’organizzazione, al numero di dipendenti e al livello di rischio associato alle informazioni trattate.
• Trasparenza delle procedure: è necessario fornire al segnalante informazioni chiare sul funzionamento dei canali interni, sui tempi di risposta e sulle modalità di trattamento dei dati personali.
• Verifica periodica dei sistemi: le organizzazioni devono eseguire controlli regolari per valutare l’adeguatezza delle misure adottate e aggiornare le soluzioni tecnologiche in base all’evoluzione delle minacce informatiche.

Un ulteriore punto di attenzione riguarda il rischio di tracciabilità del segnalante nel caso di utilizzo della rete aziendale: il Garante raccomanda l’adozione di misure che impediscano la registrazione di metadati che possano rivelare l’identità del dipendente che effettua la segnalazione. Tra queste misure rientrano la cifratura del traffico dati, l’uso di piattaforme dedicate con logging minimizzato e il divieto di utilizzare la posta elettronica non protetta come canale primario.

Linee guida aggiornate per le segnalazioni esterne

Le segnalazioni esterne rappresentano un elemento centrale del sistema di whistleblowing, in quanto costituiscono il canale alternativo al sistema interno previsto per i casi in cui il segnalante ritiene non efficace o non sicuro rivolgersi all’organizzazione di appartenenza. L’ANAC, in qualità di autorità competente, svolge un ruolo determinante nella gestione di questo canale, garantendo un livello elevato di indipendenza, imparzialità e protezione.

Il ruolo dell’ANAC comprende:

• la ricezione delle segnalazioni esterne, tramite piattaforme tecnologiche sicure e canali diversificati;
• la valutazione preliminare della segnalazione, per verificare la sussistenza dei requisiti previsti dalla normativa;
• la gestione delle attività istruttorie, con modalità che assicurino la tutela dei dati personali e la riservatezza dell’identità del segnalante;
• la comunicazione degli sviluppi e l’aggiornamento del segnalante, nei limiti consentiti dalla legge;
• la collaborazione con altre autorità, ove necessario, per garantire un’azione coordinata.

Il parere del Garante privacy conferma la necessità che i sistemi tecnologici utilizzati dall’ANAC siano conformi ai principi di privacy by design e privacy by default, garantendo elevati standard di sicurezza informatica, cifratura dei dati e limitazione degli accessi.

Aspetti innovativi introdotti nelle nuove Linee guida

Le Linee guida aggiornate per le segnalazioni esterne introducono una serie di aspetti innovativi che mirano a migliorare l’efficacia del sistema e a rafforzare la protezione dei diritti delle persone coinvolte.

Tra le principali innovazioni si segnalano.

• Maggiore chiarezza nella definizione dei flussi informativi, con indicazioni operative su come ANAC debba gestire le diverse fasi del procedimento.
• Introduzione di misure tecniche specifiche per ridurre il rischio di tracciabilità del segnalante, soprattutto nei casi in cui la segnalazione avvenga tramite sistemi informatici con potenziali criticità.
• Rafforzamento delle procedure di autenticazione e autorizzazione, che regolano l’accesso ai dati personali da parte del personale dell’ANAC.
• Definizione di tempi di conservazione più aderenti al principio di limitazione, limitando il trattamento ai periodi strettamente necessari.
• Maggiore integrazione con gli obblighi del GDPR, con richiami espressi alle regole sulla valutazione di impatto, sulla registrazione delle attività di trattamento e sulla gestione delle violazioni dei dati (data breach).

Le innovazioni introdotte consentono di uniformare la gestione delle segnalazioni esterne, migliorare la qualità del processo e garantire una tutela più forte dell’identità del segnalante, soprattutto nei casi sensibili o ad alto rischio.

Nel Parere relativo alle nuove Linee guida elaborate dall’ANAC, il Garante per la protezione dei dati personali ha individuato però una serie di aspetti critici che richiedono particolare attenzione da parte degli enti pubblici e privati chiamati a gestire i canali di whistleblowing.

L’analisi del Garante mette in evidenza come un sistema di segnalazione non adeguatamente progettato possa infatti esporre il segnalante a rischi rilevanti, compromettendo la riservatezza e la fiducia nell’intero sistema. Per questo motivo, le Linee guida richiedono un approccio strutturato che includa misure preventive, valutazioni di impatto, controlli periodici e una gestione consapevole dei dati trattati durante tutto il ciclo di vita della segnalazione.

Rischi connessi all’utilizzo della posta elettronica

Vulnerabilità del canale e mail

Il Garante privacy ha ribadito che l’utilizzo della posta elettronica come canale per la trasmissione delle segnalazioni presenta numerose vulnerabilità che lo rendono, nella maggior parte dei casi, non idoneo a garantire la riservatezza necessaria nel contesto del whistleblowing.

L’e mail, infatti, genera metadati come indirizzo IP, timestamp, mittente e destinatario, che possono essere facilmente registrati dai sistemi di rete o dai server aziendali. Questi elementi tecnici possono essere utilizzati per risalire all’origine della segnalazione, compromettendo la tutela del segnalante. Inoltre, la posta elettronica è spesso soggetta a rischi di intercettazione, accesso non autorizzato o perdita di dati, soprattutto quando non sono adottate soluzioni specifiche di cifratura punto-punto e protocolli avanzati di sicurezza.

Le Linee guida chiariscono che una semplice casella di posta elettronica, anche se dedicata alle segnalazioni, non soddisfa i requisiti minimi di sicurezza previsti dal GDPR, in particolare in relazione al principio di integrità e riservatezza dei dati. Per questa ragione, il Garante suggerisce di utilizzare piattaforme informatiche dedicate, progettate con criteri di privacy by design e privacy by default, che consentano di ridurre significativamente i rischi connessi alla trasmissione e al trattamento dei dati sensibili.

Rischio di tracciabilità dell’identità del segnalante

Uno degli aspetti più critici evidenziati dal Garante riguarda il rischio di tracciabilità dell’identità del segnalante. Quando la segnalazione viene effettuata tramite un dispositivo connesso alla rete aziendale, è possibile che vengano generati log tecnici contenenti informazioni sui dispositivi utilizzati, sugli orari di accesso o sugli indirizzi IP. Anche quando l’identità non viene comunicata esplicitamente, tali elementi tecnici possono consentire di risalire al segnalante, vanificando le tutele previste dalla normativa.

Il Garante raccomanda pertanto l’adozione di misure tecniche specifiche, come:

• l’isolamento del canale di segnalazione dai sistemi di logging aziendali;
• la minimizzazione dei metadati generati durante l’accesso;
• l’uso di sistemi di cifratura avanzati;
• la disponibilità di canali accessibili anche da dispositivi non riconducibili alla rete interna dell’ente.

Necessità di una valutazione di impatto sulla protezione dei dati (DPIA)

La valutazione di impatto sulla protezione dei dati (Data Protection Impact Assessment - DPIA) rappresenta uno strumento fondamentale per analizzare i rischi derivanti dal trattamento dei dati personali nel contesto delle segnalazioni di whistleblowing. Il Garante privacy ha ribadito che la DPIA è obbligatoria quando il trattamento comporta un rischio elevato per i diritti e le libertà delle persone fisiche. Nel caso dei sistemi di whistleblowing, tali rischi derivano dalla natura sensibile del contenuto delle segnalazioni, dalla possibilità di trattare categorie particolari di dati e dall’elevata probabilità che la rivelazione indebita dell’identità del segnalante possa generare conseguenze dannose.

L’effettuazione della DPIA permette all’organizzazione di identificare in anticipo eventuali criticità, valutare le misure di sicurezza adottate e intervenire con azioni correttive prima dell’attivazione del canale. La DPIA deve includere una descrizione dettagliata dei trattamenti, un’analisi dei rischi, la valutazione delle misure tecniche esistenti e l’indicazione degli interventi necessari per assicurare la conformità al GDPR.

Coinvolgimento dei fornitori di tecnologia

Nel caso in cui la gestione del canale di segnalazione sia affidata a fornitori esterni, il Garante sottolinea l’importanza di coinvolgere tali fornitori durante la fase di valutazione di impatto. I fornitori, infatti, devono garantire che le piattaforme da loro sviluppate rispettino i principi di privacy by design, offrano adeguati livelli di cifratura, minimizzazione e controllo degli accessi e siano dotate di funzionalità che impediscano la tracciabilità indesiderata del segnalante.

Il titolare del trattamento deve inoltre verificare che il fornitore presenti adeguate garanzie mediante la stipula di un contratto conforme all’articolo 28 del GDPR, definendo chiaramente ruoli, responsabilità e misure di sicurezza adottate.

Tempi di conservazione delle segnalazioni

Uno degli aspetti più rilevanti affrontati dal Garante riguarda la durata della conservazione delle segnalazioni e della documentazione correlata. Il principio di limitazione della conservazione previsto dal GDPR richiede che i dati personali siano conservati solo per il periodo strettamente necessario alla gestione della segnalazione e agli adempimenti connessi. Le Linee guida suggeriscono di limitare la conservazione dei dati ai tempi indispensabili per lo svolgimento delle attività istruttorie, per la gestione di eventuali procedimenti disciplinari e per la tutela dei diritti delle parti coinvolte.

Un periodo di conservazione eccessivo aumenterebbe il rischio di accessi non autorizzati, violazioni dei dati e trattamenti non proporzionati alla finalità originaria. Per questo motivo, le organizzazioni devono definire con precisione i propri criteri interni, assicurando che la conservazione avvenga in forme cifrate o comunque protette fino al momento della cancellazione.

Criteri per la cancellazione e obblighi documentali

Il Garante raccomanda di stabilire procedure chiare per la cancellazione dei dati una volta concluso il procedimento. La cancellazione deve essere effettuata in modo sicuro, assicurando l’impossibilità di recupero dei dati eliminati. È inoltre necessario documentare le operazioni di cancellazione e le motivazioni che ne hanno determinato l’esecuzione, in linea con gli obblighi di accountability previsti dal GDPR.

Le Linee guida ribadiscono anche l’importanza di distinguere tra i dati necessari alla gestione della segnalazione e i dati meramente accessori, che devono essere eliminati tempestivamente per evitare trattamenti non necessari.

Condivisione del canale di segnalazione tra più enti

Quando è possibile la condivisione

Il Garante privacy affronta anche il tema della condivisione del canale di segnalazione tra più enti, pratica che può risultare utile in contesti in cui gli enti appartengono alla stessa struttura organizzativa o condividono risorse tecniche. Tuttavia, la condivisione è consentita solo quando sono rispettati rigorosi principi di separazione delle informazioni e di protezione dei dati. Inoltre, ciascun ente deve poter accedere esclusivamente alle segnalazioni che rientrano nella propria competenza.

La condivisione non deve generare confusione nei ruoli di titolare e responsabile del trattamento, né compromettere la riservatezza o la sicurezza dei dati trattati.

Misure tecniche e organizzative richieste

Per rendere conforme la condivisione del canale, il Garante indica una serie di misure tecniche e organizzative, tra cui:

• sistemi di autenticazione separati per ciascun ente;
• compartimentazione degli accessi basata sul principio del “need to know”;
• segregazione logica dei database;
• registrazione delle operazioni di accesso e consultazione;
• audit periodici per verificare il rispetto dei criteri di competenza.

L’obiettivo è garantire che la condivisione del canale non comprometta l’autonomia dei diversi enti né l’integrità delle informazioni trattate.

Misure raccomandate per segnalazioni interne

Le misure raccomandate sono concepite per ridurre i rischi derivanti dalla raccolta e dal trattamento dei dati personali nel contesto delle segnalazioni interne, con un approccio basato sul principio di privacy by design. Le organizzazioni devono adottare strumenti che assicurino la riservatezza, la sicurezza informatica e la corretta gestione dei flussi di dati durante tutte le fasi di acquisizione, registrazione, valutazione e conservazione delle segnalazioni.

Protezione dell’identità del segnalante

La tutela dell’identità del segnalante è un elemento centrale nel sistema di whistleblowing e costituisce un requisito essenziale previsto dal decreto legislativo 24/2023. Il Garante privacy sottolinea la necessità di evitare qualsiasi forma di tracciabilità tecnica che possa identificare, anche indirettamente, il dipendente che effettua la segnalazione tramite canali interni.

Per impedire la tracciabilità delle connessioni interne, le Linee guida raccomandano:

• isolamento del canale di segnalazione dalla rete aziendale, evitando che l’accesso venga registrato dai sistemi di logging ordinari;
• utilizzo di piattaforme dedicate, accessibili tramite connessioni anonime o protocolli che non registrano informazioni sull’indirizzo IP o sui dispositivi utilizzati;
• cifratura avanzata del traffico dati, sia durante la trasmissione sia durante il trattamento, per impedire intercettazioni o analisi dei metadati;
• anonimizzazione o pseudonimizzazione dei dati tecnici, in modo da rendere impossibile il collegamento tra la segnalazione e il dipendente;
• accesso tramite reti separate, disponibili anche da dispositivi personali o da reti esterne non riconducibili all’organizzazione;
• disattivazione dei sistemi di tracciamento automatico come cookie, session tracking o log di autenticazione non necessari.

Sicurezza del canale di segnalazione

Il canale interno di segnalazione deve essere progettato secondo criteri di robustezza e sicurezza, per ridurre il rischio di accessi non autorizzati, manipolazioni o fuoriuscita di informazioni sensibili. Il Garante privacy e l’ANAC indicano una serie di caratteristiche minime che il sistema deve possedere.

• Cifratura end-to-end dei dati trasmessi e dei contenuti archiviati, garantendo che solo le persone autorizzate possano accedere alle informazioni.
• Logging minimizzato, limitando la registrazione di metadati o di informazioni tecniche che possano rivelare dettagli sul segnalante.
• Autenticazione forte per gli operatori incaricati della gestione, con sistemi di accesso basati su credenziali robuste, autenticazione multifattore e controlli periodici.
• Segregazione logica dei dati, che assicura la separazione tra segnalazioni diverse e tra dati riconducibili a casi diversi.
• Resilienza dei sistemi, con procedure di backup sicure e meccanismi di continuità operativa che impediscano la perdita o la compromissione dei dati.
• Protezione contro intrusioni, attraverso firewall, sistemi di monitoraggio delle anomalie e strumenti di prevenzione delle minacce informatiche.
• Accessibilità controllata, garantendo che il canale sia fruibile da tutti i lavoratori ma protetto da accessi indebiti.

Procedure di accesso e trattamento dei dati

Un altro aspetto fondamentale riguarda l’attribuzione chiara dei ruoli e delle responsabilità delle persone autorizzate a gestire le segnalazioni. Il GDPR impone il rispetto del principio del “need to know”, che prevede che solo chi è strettamente necessario per la gestione della segnalazione possa accedere ai dati personali trattati.

Secondo le indicazioni del Garante privacy, le organizzazioni devono:

• designare formalmente il personale incaricato, definendo le attività consentite e i limiti operativi di ciascun ruolo;
• garantire che gli incaricati siano adeguatamente formati, soprattutto in materia di riservatezza, protezione dei dati personali e sicurezza informatica;
• limitare al minimo indispensabile l’accesso ai dati, garantendo che nessun soggetto non autorizzato, anche interno, possa consultare le segnalazioni;
• implementare sistemi di registrazione degli accessi, in modo da documentare chi ha consultato quali informazioni e in quale momento;
• adottare misure di controlli periodici, per verificare l’aderenza delle attività svolte alle procedure interne e ai requisiti normativi;
• prevedere responsabilità chiare in caso di violazioni o accessi impropri, incluse procedure disciplinari o penali nei casi previsti dalla legge.

Le procedure interne devono inoltre prevedere:

• la separazione funzionale tra chi riceve la segnalazione e chi svolge eventuali attività istruttorie;
• la protezione del contenuto della segnalazione, che deve essere conservato in forma cifrata e accessibile solo tramite autorizzazione;
• la notifica tempestiva di eventuali violazioni dei dati (data breach), secondo quanto previsto dal GDPR.

Riassumendo

Fattispecie	Indicazioni principali
Protezione dell’identità del segnalante	- Isolamento tecnico del canale di segnalazione - Accesso possibile anche da reti esterne non aziendali - Cifratura del traffico dati e minimizzazione dei metadati - Anonimizzazione o pseudonimizzazione degli elementi tecnici
Caratteristiche di sicurezza del canale di segnalazione	- Cifratura end-to-end - Logging ridotto al minimo indispensabile - Autenticazione forte per gli operatori autorizzati - Segregazione logica dei dati - Sistemi anti-intrusione e aggiornamento continuo
Procedure di accesso ai dati	- Accesso limitato al personale espressamente incaricato - Adozione del principio del “need to know” - Registrazione degli accessi e controlli periodici - Conservazione sicura dei dati e gestione dei permessi
Ruoli e responsabilità interne	- Formale designazione degli incaricati - Formazione specifica sulla riservatezza e sulla sicurezza - Separazione delle funzioni tra ricezione e istruttoria - Definizione di responsabilità in caso di violazioni