Whistleblowing: il Garante Privacy dà il via libera alle nuove Linee guida ANAC su canali interni ed esterni
Con il Parere n. 581 del 9 ottobre 2025, il Garante per la protezione dei dati personali ha esaminato gli schemi aggiornati delle Linee guida ANAC sui canali interni di whistleblowing e sulla contestuale modifica delle Linee guida per le segnalazioni esterne, approvate nel 2023. Il parere arriva dopo una serie di interlocuzioni tecniche tra ANAC e l’Autorità, finalizzate ad assicurare il pieno coordinamento tra disciplina anticorruzione e normativa privacy.
Le Linee guida sono state elaborate per garantire un’applicazione uniforme del d.lgs. 24/2023, che ha recepito la Direttiva UE 2019/1937 e ridisegnato l’intero sistema di gestione delle segnalazioni interne ed esterne, ampliandone il perimetro soggettivo e rafforzando le tutele per segnalanti, segnalati e persone menzionate nella segnalazione.
Una disciplina più ampia: contenuti, soggetti obbligati e garanzie
Nel parere, il Garante ricostruisce l’impianto del decreto, ricordando che la tutela è riconosciuta a chi segnala violazioni di norme nazionali o UE che ledono l’interesse pubblico, incluse violazioni civili, amministrative, penali, contabili e illeciti 231, oltre alle norme su privacy e cybersecurity.
Il Decreto impone a enti pubblici e privati di attivare canali interni idonei a garantire la massima riservatezza, utilizzando strumenti che consentano:
- tutela dell’identità del segnalante e degli altri soggetti citati;
- crittografia e misure tecniche adeguate;
- gestione affidata a personale interno formato o a soggetti esterni indipendenti;
- possibilità di segnalazioni scritte, orali o tramite incontro diretto;
- condivisione del canale tra enti più piccoli, con obblighi di contitolarità.
Misure tecniche e organizzative: posta elettronica non sufficiente, piattaforme preferite
Uno dei punti più significativi del parere riguarda l’utilizzo degli strumenti tecnologici. Il Garante sottolinea che:
- la posta elettronica, ordinaria o PEC, non è di per sé adeguata a garantire la riservatezza del segnalante, a causa dei metadati e dei log generati dai sistemi aziendali;
- le piattaforme informatiche dedicate, dotate di crittografia e configurate secondo i principi di privacy by design e by default, costituiscono lo strumento preferibile;
- se la segnalazione avviene tramite rete interna dell’ente, deve essere assicurata la non tracciabilità del segnalante anche nei firewall e proxy aziendali.
Il parere ribadisce inoltre che ogni ente deve svolgere una valutazione d’impatto (DPIA) ai sensi dell’art. 35 GDPR, pur potendo avvalersi della documentazione fornita dal gestore della piattaforma.
Gestione delle segnalazioni: ruoli, responsabilità e contitolarità nei gruppi societari
Il documento analizza in dettaglio le modalità di gestione del canale interno, chiarendo i casi in cui:
- il gestore opera come responsabile del trattamento (art. 28 GDPR), ad esempio se fornisce la piattaforma;
- l’intera gestione è esternalizzata;
- più enti, inclusi enti del Terzo settore, condividono il canale e diventano contitolari (art. 26 GDPR), con accordi interni che definiscono responsabilità e accessi selettivi alle sole segnalazioni rilevanti.
Tempi di conservazione e cancellazione: massimo cinque anni
Il parere conferma che i dati relativi alle segnalazioni devono essere conservati solo per il tempo necessario alla gestione del procedimento e comunque non oltre cinque anni dall’esito finale. Restano conservabili — separatamente — gli atti di procedimenti disciplinari o giudiziari derivati dalla segnalazione, purché non riportino riferimenti diretti al segnalante.
Aggiornamento delle Linee guida ANAC per i canali esterni
Lo schema di delibera integrativo delle Linee guida 2023 modifica anche le procedure operative della piattaforma di ANAC, introducendo:
- autenticazione rafforzata (es. OTP per SPID o CNS non precedenti);
- nuove misure per evitare furti di identità digitale;
- criteri più rigorosi per consentire l’accesso a soggetti esterni.
Conclusione
Il parere del Garante rappresenta un passaggio determinante per il consolidamento del nuovo sistema di whistleblowing in Italia. Le indicazioni fornite rafforzano la coerenza con il GDPR, orientano gli enti nella scelta degli strumenti tecnologici e garantiscono un equilibrio tra tutela del segnalante, esigenze di accertamento e diritti del segnalato.
