Ti ricordi il whistleblowing? Il Garante sì!
Il Garante per la protezione dei dati personali ha rimesso il whistleblowing sotto i riflettori. Con la deliberazione n. 451 del 4 agosto 2025, l’Autorità ha definito il piano ispettivo per il secondo semestre dell’anno, che prevede almeno 35 controlli mirati.
Tra le otto aree prioritarie figura la verifica dei sistemi di gestione delle segnalazioni interne, in relazione agli obblighi introdotti dal D.lgs. 24/2023, che recepisce la Direttiva UE 2019/1937.
Già in passato, ancora prima del recepimento della direttiva, il Garante, dimostrando forte attenzione e sensibilità, era intervenuto sul tema, sanzionando, fra gli altri, un’Università degli Studi per la divulgazione dei dati personali dei segnalanti di condotte illecite, l’Azienda Ospedaliera Universitaria Integrata di Verona, ISWEB spa e l’Azienda ospedaliera di Perugia.
In questo articolo, vediamo perché il whistleblowing è una priorità regolatoria e anche un vantaggio competitivo per le aziende.
Perché il whistleblowing è una priorità regolatoria
Il decreto impone alle aziende con più di 50 dipendenti o che adottano il modello 231, agli enti pubblici e a determinati settori sensibili di adottare canali sicuri, riservati e accessibili per consentire ai dipendenti e agli stakeholder di segnalare illeciti o irregolarità.
Nell’ambito dei n. 1.350 fascicoli aperti da ANAC nel 2024, le segnalazioni di illecito sono pari a n. 1.213; di queste, n. 970 sono state trasmesse da segnalanti del settore pubblico e ben n. 243 da segnalanti del settore privato (fonte: ANAC, Relazione annuale 2025).
Quest’ultimo dato è particolarmente allarmante se letto alla luce del fatto che, per il segnalante del settore privato, l’accesso al canale esterno di ANAC ha natura sussidiaria ed è ammesso solo al ricorrere di particolari condizioni.
Fra le altre: “non è prevista, nell'ambito del suo contesto lavorativo, l'attivazione obbligatoria del canale di segnalazione interna ovvero questo, anche se obbligatorio, non è attivo o, anche se attivato, non è conforme”.
Vale la pena sottolineare, non di meno, che ANAC, disattendendo il dettame normativo, non riceve segnalazioni nell’ipotesi di attivazione del canale non obbligatoria. I casi residui, dunque, riguardano situazioni già di per sé stesse passibili di sanzione e che dunque non dovrebbero verificarsi.
Non si tratta, dunque, solo di predisporre una casella email; oggi il sentire è comune e consolidato: il rispetto della norma richiede piattaforme dedicate in grado di garantire:
-
Riservatezza dell’identità del segnalante e delle persone coinvolte
-
Protezione dei dati personali, in linea con il GDPR
-
Tracciabilità e sicurezza informatica, con crittografia e audit trail
-
Gestione tempestiva e documentata delle segnalazioni, con procedure interne chiare
-
Canali alternativi (es. segnalazioni orali) e tutela contro le ritorsioni
Il Garante verificherà non solo la presenza di questi strumenti, ma anche la loro effettiva adeguatezza tecnica e organizzativa.
I requisiti chiave per la conformità
Essere compliant significa implementare un sistema che rispetti sia il D.lgs. 24/2023 sia il GDPR. In concreto:
1. Predisporre un canale interno sicuro
Il canale di segnalazione deve essere progettato per garantire massima riservatezza e protezione dei dati. Ciò implica:
- Crittografia end-to-end per impedire accessi non autorizzati, sia durante la trasmissione che nella conservazione dei dati
- Accesso profilato: solo il personale autorizzato (es. gestore delle segnalazioni) può accedere alle informazioni, con autenticazione forte e controlli periodici
- Audit trail completo: ogni operazione (apertura, modifica, chiusura) deve essere registrata per garantire tracciabilità e accountability
- Protezione contro intrusioni: firewall, sistemi anti-malware e monitoraggio continuo per prevenire attacchi informatici
- Anonimato opzionale: la piattaforma dovrebbe consentire al segnalante di rimanere anonimo, senza compromettere la gestione del caso
2. Integrazione con il sistema privacy
Il canale whistleblowing non è un’isola: deve essere integrato nel modello di gestione della privacy aziendale, in linea con il GDPR. Questo significa:
- Registro dei trattamenti: inserire il trattamento delle segnalazioni nel registro, specificando finalità, basi giuridiche e categorie di dati
- DPIA (Data Protection Impact Assessment): obbligatoria, perché il trattamento riguarda dati particolari e comporta rischi elevati per i diritti degli interessati
- Policy e informative aggiornate: informare i segnalanti e le persone coinvolte su modalità di trattamento, tempi di conservazione e diritti
- Misure tecniche e organizzative: pseudonimizzazione, limitazione degli accessi, procedure per la cancellazione sicura dei dati
- Coinvolgimento del DPO: il Data Protection Officer deve essere parte attiva nella progettazione e nel monitoraggio del sistema
Perché conviene essere conformi: i vantaggi per le aziende virtuose
La conformità non è solo un obbligo normativo, ma un fattore strategico. Alcuni dati lo dimostrano:
- Le aziende che adottano sistemi digitali di whistleblowing ottengono visibilità sui rischi sistemici, riducono i costi legati a frodi e migliorano la governance
- Riduzione del rischio sanzionatorio: fino a 50.000 € per il decreto 24/23 e fino a 20 milioni € per il GDPR
- Prevenzione di frodi e illeciti: un canale efficace consente di intercettare problemi prima che diventino casi pubblici con inevitabile ricaduta sulla brand reputation
- Reputazione e fiducia: trasparenza e tutela dei segnalanti rafforzano la credibilità verso clienti, investitori e autorità
- Vantaggio competitivo: le aziende “audit-ready” sono più attrattive per partner internazionali e bandi pubblici
- Miglioramento della governance: il whistleblowing diventa parte integrante dei sistemi di compliance e sostenibilità ESG
Conclusione: dalla compliance alla governance responsabile
Il messaggio del Garante è chiaro: non basta essere conformi sulla carta, serve un approccio sostanziale. Le aziende che investono oggi in sistemi sicuri e trasparenti, non lasciandosi abbagliare dal miraggio di un risparmio transeunte e soltanto apparente, non solo evitano sanzioni, ma costruiscono un modello di governance solido, capace di generare fiducia e valore nel lungo periodo.
Le aziende dovranno prestare la massima attenzione nella scelta dei fornitori di questi servizi informatici (che rivestiranno il ruolo di responsabili esterni) e valutare nel dettaglio il loro livello di affidabilità, anche dal punto di vista della privacy compliance (e alla relativa produzione documentale) e scegliere una soluzione conforme al dettato normativo (sia fronte decreto n. 24/23 che fronte GDPR) e garantista della riservatezza e confidenzialità.
Wallbrakers: il software per la gestione conforme delle segnalazioni anonime
Wallbreakers è un software certificato, garantito, assicurato, conforme, completo e costantemente manutenzionato.
Insieme alla sua attivazione viene fornita la completa produzione documentale lato GDPR compliance: informative, nomine, porzione del registro dei trattamenti e DPIA, anch’esse certificate e assicurate.
Wallbreakers è un potente strumento per le organizzazioni che desiderano promuovere la trasparenza e la responsabilità, fornendo un ambiente sicuro e protetto per i whistleblower.
Grazie alla sua tecnologia avanzata e alle sue funzionalità personalizzabili, contribuisce a creare un clima di fiducia e integrità all'interno dell'organizzazione, utile a superare lo scoglio della compliance e a navigare orientati nel mare della governance responsabile.
