Canali whistleblowing sotto la lente del Garante: novità ANAC e check di conformità per le aziende

Con la Deliberazione 30 dicembre 2025, n. 797, l’Autorità Garante per la protezione dei dati personali (il “Garante” o l’”Autorità”) ha definito il piano ispettivo per il semestre gennaio-luglio 2026, che, tra le varie attività, prevede – in continuità con il semestre precedente – attività ispettive aventi ad oggetto il tema whistleblowing.

Per chiarezza, con “whistleblowing” si intende, ai sensi del D.lgs. 24/2023 (il “Decreto WB”) – che ha recepito nell’ordinamento italiano la direttiva UE 20/19/1937 riguardante “la protezione delle persone che segnalano violazioni del diritto dell’Unione” (c.d. Whistleblowing), qualsiasi segnalazione, proveniente da chiunque, riguardante la comunicazione di informazioni su comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità di una società e ai quali il segnalante abbia assistito in ragione dello svolgimento della propria attività lavorativa o professionale (di seguito “Segnalazione”). 

Di particolare rilievo, al riguardo, sono le violazioni rilevanti ai sensi del D.lgs. 8 giugno 2001, n. 231 (“Decreto 231”), e quindi le condotte penalmente rilevanti ai sensi degli artt. 24 e ss. del Decreto 231, nonché le infrazioni del Modello Organizzativo 231, del Codice Etico e, più in generale, delle diverse componenti del sistema di regole e procedure eventualmente adottate dalle società.

La normativa whistleblowing richiede espressamente l’implementazione di diverse tipologie di canali di segnalazione, preferendo quelli informatici. Infatti, attraverso tali software/applicativi, è possibile adottare stringenti misure di sicurezza e assicurare un maggiore livello di protezione dei dati personali tanto nella fase di acquisizione delle Segnalazioni quanto in quella di gestione delle stesse. D’altra parte, le piattaforme, adeguatamente progettate e configurate, assicurano di cifrare i dati a riposo e di mantenere una interlocuzione riservata con la persona segnalante

Il tema della protezione dei dati è infatti centrale nella gestione delle Segnalazioni, imponendo di conseguenza lo svolgimento di valutazioni e lo svolgimento di specifici adempimenti nel rispetto del Regolamento Generale (UE) 2016/679 (“GDPR”), del D. Lgs. n. 196/2003, come modificato dal D. Lgs. n. 101/2018 (“Codice Privacy”).

Premesso quanto sopra, l’attività ispettiva del Garante prevede proprio la prosecuzione delle verifiche sull’utilizzo degli applicativi maggiormente diffusi per l’acquisizione e la gestione delle segnalazioni whistleblowing.

Ma prima di comprendere come si possono preparare le aziende per eventuali controlli, è necessario analizzare le recenti novità introdotte dall’Autorità Nazionale Anticorruzione (“ANAC”).

I principali aggiornamenti dell’ANAC

L’ANAC ha di recente emanato due provvedimenti: la Delibera n. 478 del 26 novembre 2025, contenente le nuove linee guida sui canali interni di segnalazione (“LG Canali Interni”), e la Delibera n. 479 del 26 novembre 2025, con cui vengono aggiornate e integrate le precedenti Linee guida n. 311/2023 allo scopo di assicurarne una coerenza complessiva (complessivamente intesi, “Aggiornamenti ANAC”).  

L’obbiettivo degli Aggiornamenti ANAC è quello di garantire una maggiore omogeneità ed efficienza nell’intero sistema di gestione delle Segnalazioni, assicurando e mantenendo la piena tutela della riservatezza dell’identità del segnalante, del contenuto della Segnalazione e dei dati personali di tutti i soggetti coinvolti.

Le principali novità sono contenute principalmente nel documento LG Canali interni, ove l’ANAC affronta espressamente per la prima volta il tema della condivisione dei canali interni all’interno di gruppi di imprese.

Nello specifico, l’ANAC individua due diverse soluzioni praticabili a seconda del numero di lavoratori impiegati.

Nel caso di società di gruppi che impiegano “fino a 249 lavoratori”, le stesse possono, in via alternativa:

• condividere il canale interno; o
• affidare la gestione del canale di segnalazione a terzi (c.d. esternalizzazione), che, in riferimento ai gruppi di imprese, può coincidere anche con la capogruppo.

Diversamente, qualora i dipendenti siano più di 249, l’unica soluzione praticabile sarà l’affidamento della gestione del canale di segnalazione a terzi (c.d. esternalizzazione).

Ora, quali sono i principali adempimenti per una corretta implementazione delle novità ANAC?

Se si fa riferimento a un gruppo, dove la singola impresa ha meno di 249 lavoratori e la Società intende condividere il canale, la stessa dovrà:

1. nominare un gestore della segnalazione in riferimento a ciascuna società del gruppo;
2. adottate misure tecniche e organizzative per garantire che ciascun gestore abbia accesso solo alle segnalazioni relative alla propria società. Nei gruppi societari, ciò si traduce, ad esempio, nell’istituzione di una piattaforma unica ma ramificata a livello di gruppo, con tanti sotto-canali quante sono le società del gruppo (la società acquisisce la segnalazione attraverso il sotto-canale e tratta e istruisce le segnalazioni attraverso il proprio gestore). La singola società, ricevuta la segnalazione, ove opportuno, potrà avvalersi della capacità investigativa della capogruppo, previa informativa al segnalante;
3. stipulare un contratto che definisca compiti e responsabilità nell’ambito di tale rapporto;
4. ciascuna società dovrà dare conto della scelta della condivisione del canale interno e della relativa gestione nell’atto organizzativo/MOG.

In riferimento ai ruoli privacy delle parti, le LG Canali Interni prevedono espressamente: ove sia previsto questo tipo di condivisione del canale interno, pur venendo in rilievo l’ipotesi della condivisione, non potrà configurarsi una contitolarità del trattamento ex art. 26 del GDPR, dovendosi – al contrario – far riferimento a un rapporto titolare/responsabile di cui all’art. 28 del GDPR, con conseguente qualifica della capogruppo come responsabile del trattamento.

Al contrario, tutti i gruppi di imprese, a prescindere dalla soglia dimensionale, possono ricorrere alla cd. Esternalizzazione.

Ove sia applichi questo scenario, le imprese dovranno:

a. stipulare un contratto di affidamento con il soggetto terzo che disciplini:

• le modalità di ricezione delle segnalazioni;
• il ruolo e i compiti dei soggetti che gestiscono le segnalazioni;
• le modalità e i termini di conservazione dei dati;
• le ipotesi di conflitto di interessi;
• le fasi della procedura di gestione delle segnalazioni e relative tempistiche.

In questi casi, il soggetto terzo dovrà essere nominato responsabile del trattamento ex art. 28 del GDPR.

b. Nominare un referente interno per assicurare il coordinamento con il gestore. Ogni società del gruppo deve infatti avere contezza solo delle segnalazioni di propria spettanza affinché il relativo organo di indirizzo possa adottare gli eventuali provvedimenti conseguenti agli esiti dell’istruttoria svolta dal gestore.

Il parere del Garante privacy sulle Linee guida ANAC in materia di whistleblowing

Per completezza, occorre menzionare altresì che il Garante ha espresso il proprio parere positivo sugli Aggiornamenti ANAC, limitandosi ad apportare alcune precisazioni al fine di garantirne la piena conformità al GDPR e al Decreto WB.  

In particolare, viene ribadito l’obbligo per gli enti pubblici e privati di adottare canali interni caratterizzati da elevati standard di sicurezza, mediante misure tecniche e organizzative idonee a tutelare l’identità del segnalante, del segnalato e dei terzi coinvolti.

Particolare rilievo è attribuito, inoltre, all’obbligo di effettuare una valutazione di impatto sulla protezione dei dati (DPIA), nonché alla possibilità di esternalizzare la gestione del canale, con qualificazione del fornitore quale responsabile del trattamento ai sensi dell’art. 28 GDPR, e alla condivisione del canale tra più enti, purché sia garantito un accesso selettivo e conforme ai principi di sicurezza e riservatezza.

Elementi da attenzionare in caso di attività ispettive del Garante

Le imprese destinatarie degli obblighi di cui alla normativa Whistleblowing sono tenute, in un’ottica di adeguamento preventivo e secondo un criterio meramente esemplificativo, ad adottare i seguenti presidi organizzativi e tecnici:

• segregazione degli accessi e tracciabilità dei log: devono essere definiti profili autorizzativi coerenti con il principio del privilegio minimo, assicurando che si possa accedere esclusivamente ai dati e alle funzionalità strettamente necessari allo svolgimento delle proprie mansioni. In particolare, deve essere garantita una chiara separazione funzionale tra i soggetti preposti della ricezione e istruttoria delle Segnalazioni e coloro che esercitano attività di amministrazione dei sistemi informativi;
• tutela dell’identità del segnalante attraverso misure di sicurezza tecniche (es., cifratura, pseudonimizzazione, etc.);
• limitazione della conservazione e cancellazione dei dati: devono essere predeterminati termini di conservazione coerenti con le finalità del trattamento, implementando ove possibili meccanismi di cancellazione automatica o di blocco dei dati, con eventuali deroghe adeguatamente motivate e documentate.
• gestione dei fornitori e dei rischi connessi agli applicativi informatici: i rapporti con i fornitori devono essere disciplinati mediante accordi sul trattamento dei dati (DPA) e clausole contrattuali idonee a regolamentare subfornitori, localizzazione dei dati e trasferimenti verso Paesi terzi. Infine, le misure di sicurezza dichiarate devono essere verificabili e documentate attraverso apposita DPIA che deve essere effettiva, aggiornata e coerente con l’evoluzione del sistema.