Il presidio privacy come elemento strutturale del canale interno di whistleblowing
Nell’implementazione dei canali interni di whistleblowing, il presidio privacy non rappresenta un adempimento accessorio o meramente formale, ma un elemento strutturale del sistema di segnalazione.
Le Linee guida ANAC sui canali interni, già adottate ai sensi del d.lgs. 24/2023, si muovono infatti in un quadro in cui la tutela dei dati personali è funzionale alla stessa effettività del whistleblowing: senza garanzie solide di riservatezza, sicurezza e corretto trattamento dei dati, il canale rischia di non essere utilizzato o di esporre l’ente a rilevanti profili di rischio.
Il successivo parere del Garante per la protezione dei dati personali (9 ottobre 2025), pur intervenendo a valle dell’adozione delle Linee guida, rafforza e chiarisce questo approccio, mettendo in evidenza che la gestione delle segnalazioni comporta trattamenti di dati particolarmente delicati, spesso idonei a rivelare informazioni giudiziarie, disciplinari o afferenti a categorie particolari di dati.
Ne discende che il canale interno deve essere progettato e gestito secondo i principi di privacy by design e by default, prevedendo:
- una valutazione di impatto (DPIA) specifica;
- l’adozione di misure tecniche e organizzative adeguate (cifratura, controllo degli accessi, tracciabilità selettiva);
- una chiara allocazione dei ruoli privacy (titolare, responsabile, contitolari nei casi di condivisione o gruppo);
- regole stringenti su conservazione, cancellazione e accesso ai dati;
- una formazione mirata dei soggetti coinvolti nella gestione delle segnalazioni.
In questa prospettiva, la privacy non è un vincolo esterno al whistleblowing, ma una leva di fiducia: è proprio la solidità del presidio privacy a rendere credibile il canale interno e a garantire l’equilibrio tra tutela del segnalante, accertamento degli illeciti e diritti di difesa dei soggetti segnalati.
