Assonime ha pubblicato, il 20 aprile 2026, un Vademecum operativo sul whistleblowing alla luce delle recenti Linee Guida ANAC, con l’obiettivo di offrire alle imprese un supporto pratico nella gestione dei canali interni di segnalazione.
Il documento interviene su alcuni profili applicativi del Decreto legislativo n. 24/2023, tra cui il ruolo del gestore del canale, il possibile coinvolgimento del DPO, il rapporto con il modello organizzativo 231, le modalità di segnalazione e la gestione nei gruppi societari.
La disciplina del whistleblowing è contenuta nel Decreto legislativo n. 24/2023, che ha recepito la Direttiva UE 2019/1937 sulla protezione delle persone che segnalano violazioni del diritto dell’Unione e delle disposizioni nazionali.
Il sistema è finalizzato a tutelare chi segnala illeciti conosciuti nel contesto lavorativo, garantendo riservatezza, protezione contro le ritorsioni e canali sicuri per la trasmissione delle informazioni.
Il quadro applicativo è stato integrato dall’ANAC con le Linee Guida approvate nel 2025:
Le nuove indicazioni non sostituiscono quelle già adottate, ma le completano, con l’obiettivo di rendere più uniforme la gestione delle segnalazioni e rafforzare le tutele riconosciute al whistleblower.
Uno dei profili più rilevanti affrontati da Assonime riguarda l’individuazione del soggetto incaricato della gestione del canale interno.
Il gestore può essere una persona interna, un ufficio autonomo dedicato oppure un soggetto esterno. In ogni caso, deve essere imparziale, indipendente, specificamente formato e in grado di trattare correttamente le segnalazioni, anche sotto il profilo della riservatezza e della protezione dei dati personali.
In questo contesto, Assonime si sofferma sul possibile cumulo tra il ruolo di gestore del canale whistleblowing e quello di DPO, ossia il responsabile della protezione dei dati personali.
La coincidenza tra le due funzioni non è esclusa in assoluto. Tuttavia, l’impresa deve svolgere una valutazione concreta e motivare la scelta, verificando che il cumulo non comprometta autonomia, indipendenza ed effettività delle funzioni.
Nelle organizzazioni di grandi dimensioni o caratterizzate da strutture complesse, resta preferibile mantenere distinti il DPO e il gestore del canale. Ciò per evitare sovrapposizioni operative, eccessivi carichi di lavoro e possibili conflitti di interesse, soprattutto considerando che il gestore interviene direttamente nel trattamento delle segnalazioni e dei dati personali in esse contenuti.
Per le realtà di minori dimensioni, il Vademecum ammette una maggiore flessibilità.
Negli enti con meno di 50 dipendenti, il cumulo tra DPO e gestore può essere consentito quando la carenza di personale renda difficoltosa la separazione delle funzioni. Anche in questo caso, però, non si tratta di una soluzione automatica.
L’ente deve effettuare una valutazione specifica e fornire adeguata motivazione, dimostrando che il soggetto individuato è comunque in grado di operare con autonomia, imparzialità e competenza.
Il Vademecum dedica attenzione anche alla gestione delle segnalazioni nei gruppi societari, distinguendo tra condivisione del canale ed esternalizzazione della gestione.
Per le imprese che, nell’ultimo anno, hanno impiegato una media di lavoratori subordinati non superiore a 249 unità, è possibile condividere il canale interno. Il limite dimensionale, precisa Assonime, deve essere verificato con riferimento alla singola impresa e non al gruppo nel suo complesso.
La condivisione si realizza attraverso una piattaforma unica, articolata però in sotto-canali autonomi per ciascuna società. Ogni ente resta quindi titolare del proprio presidio e deve individuare un gestore incaricato di trattare le segnalazioni di propria competenza.
Diversa è l’esternalizzazione del canale, consentita a tutti i gruppi, indipendentemente dalla dimensione delle imprese. In questo caso la gestione può essere affidata a un soggetto terzo, che può essere anche la capogruppo, una controllata o un soggetto esterno al gruppo. È necessario, tuttavia, stipulare un apposito contratto di affidamento, da richiamare nell’atto organizzativo o nel modello 231, con indicazione di compiti, poteri e responsabilità del gestore esterno.
Resta ferma la responsabilità della singola società per la corretta istituzione e conformità del canale. L’esternalizzazione, infatti, non esonera l’ente dai propri obblighi, soprattutto se al momento dell’affidamento era evidente l’inidoneità del soggetto incaricato.
Sul piano privacy, il soggetto che gestisce le segnalazioni opera come responsabile del trattamento ai sensi dell’art. 28 GDPR e deve adottare misure tecniche e organizzative adeguate alla riservatezza delle informazioni trattate.
Assonime richiama anche ulteriori profili organizzativi.
L’attivazione del canale interno deve avvenire dopo avere sentito le rappresentanze o organizzazioni sindacali. Il confronto ha natura informativa, ma la sua omissione può incidere sulla conformità della procedura.
Quanto alle modalità di segnalazione, il canale interno deve consentire sia la forma scritta sia la forma orale. La scelta tra le due modalità spetta al segnalante, non all’impresa. Le piattaforme informatiche sono considerate preferibili per le maggiori garanzie di sicurezza, ma restano ammesse soluzioni diverse, purché adeguate al contesto aziendale e alla tutela della riservatezza.
Sul ruolo del gestore, Assonime precisa che l’autonomia richiesta riguarda la gestione della segnalazione e l’esito dell’istruttoria, ma non impedisce flussi informativi verso l’organo di indirizzo. Tali comunicazioni devono avere carattere generale, anche in forma aggregata o anonimizzata, e servono a monitorare il corretto funzionamento della procedura, senza entrare nel merito delle singole segnalazioni.
Se la gestione è affidata a un soggetto esterno, l’impresa deve metterlo nelle condizioni di conoscere la struttura e il contesto aziendale, ad esempio attraverso l’accesso all’organigramma o incontri con le funzioni interne.
Il Vademecum sottolinea inoltre la necessità di disciplinare i casi di conflitto di interessi del gestore, prevedendo un sostituto o modalità alternative di gestione. Se il conflitto riguarda un componente della struttura di supporto o un membro di un organo collegiale, è sufficiente l’astensione del soggetto interessato.
Quanto alle segnalazioni anonime, l’ente può decidere se trattarle come whistleblowing o come segnalazioni ordinarie. Resta fermo che una segnalazione anonima non circostanziata non può essere qualificata come whistleblowing, perché priva degli elementi minimi necessari per l’esame.
Infine, se una segnalazione è trasmessa a più soggetti interni non competenti, questi devono inoltrarla al gestore entro 7 giorni, dandone contestuale notizia al segnalante. Per le imprese dotate di modello 231, il sistema whistleblowing deve essere coordinato con il MOG, aggiornando procedure, sistema disciplinare e flussi informativi con l’Organismo di vigilanza.
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".