1.Inquadramento generale e normativa di riferimento
Il termine anglosassone whistleblowing, comunemente tradotto con l’espressione “soffiare il fischietto”, indica la condotta di chi, nell’ambito del proprio contesto lavorativo, segnala a soggetti interni all’organizzazione o ad autorità esterne comportamenti illeciti, irregolari o comunque lesivi dell’interesse pubblico o dell’integrità dell’organizzazione di appartenenza.
L’istituto trova una disciplina organica a livello europeo con la Direttiva (UE) 2019/1937,[1] che introduce uno statuto minimo di tutela volto a uniformare le normative nazionali muovendo dal presupposto che coloro che segnalano minacce o pregiudizi al pubblico interesse, di cui sono venuti a sapere nell’ambito delle loro attività professionali, esercitano il diritto alla libertà di espressione[2].
In Italia, la Direttiva è stata recepita, in ritardo, con il D.lgs. 10 marzo 2023, n. 24 (di seguito, Decreto whistleblowing) che individua i presupposti oggettivi e soggettivi di tutela e disciplina le modalità di segnalazione, i canali utilizzabili e le misure di protezione contro eventuali atti ritorsivi nei confronti del segnalante. Sotto il profilo oggettivo, rientrano nell’ambito applicativo del Decreto whistleblowing le segnalazioni concernenti violazioni – intese come comportamenti, atti od omissioni – che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato e che consistono in illeciti penali, civili, amministrativi o contabili, nonché in condotte illecite rilevanti ai sensi del D.lgs. n. 231/2001 o violazioni dei modelli di organizzazione, gestione e controllo ivi previsti[3].
A queste si aggiungono le segnalazioni inerenti le violazioni delle misure restrittive dell’Unione europea, come previsto dal recente D.lgs. 30 dicembre 2025, n. 211[4] osservandosi, più in generale, un trend di estensione degli ambiti di applicazione della disciplina. Si pensi, ad esempio, agli orientamenti dell’Autorità Garante della Concorrenza e del Mercato (AGCM) sui programmi di compliance antitrust[5], che promuovono l’adozione di modelli di reporting interno che consentano al personale di segnalare rapidamente problematiche concorrenziali, ottenere chiarimenti e denunciare, anche in forma anonima, possibili violazioni.
Sotto il profilo soggettivo, la tutela si estende a una platea particolarmente ampia di soggetti, comprendendo i lavoratori pubblici e privati, dipendenti o collaboratori, i lavoratori subordinati e autonomi, i liberi professionisti e consulenti, i volontari e tirocinanti, anche non retribuiti, gli azionisti e le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza, anche laddove tali ruoli siano esercitati in via di fatto[6].
In tale contesto, l’acquisizione e la gestione delle segnalazioni whistleblowing comportano inevitabilmente lo svolgimento di operazioni di trattamento di dati personali[7] ai sensi del Regolamento (UE) 2016/679 (di seguito, GDPR) [8]. Ne deriva che l’affidabilità e la sicurezza dei sistemi di segnalazione assumono un rilievo strutturale ai fini dell’effettività dell’istituto e delle tutele ivi previste, incidendo direttamente sulla tutela della riservatezza dell’identità del segnalante e dei soggetti coinvolti. I soggetti che gestiscono le segnalazioni, in qualità di Titolari del trattamento[9], sono pertanto chiamati a adottare un approccio di tipo risk-based fondato sulla responsabilizzazione (accountability), che si traduce nell’individuazione consapevole delle finalità, delle modalità e degli strumenti del trattamento, nonché nell’implementazione di misure tecniche e organizzative adeguate alla natura dei dati trattati.
2.Il trattamento dei dati personali nell’ambito delle segnalazioni whistleblowing
L’acquisizione e la gestione delle segnalazioni comportano il trattamento di dati personali relativi a tutte le persone fisiche, identificate o identificabili, coinvolte a vario titolo nei fatti segnalati[10]. Si tratta di trattamenti che, per loro natura, presentano un elevato impatto sui diritti e sulle libertà fondamentali degli interessati, potendo includere anche dati relativi a condanne penali, alla salute, all’orientamento sessuale o altre categorie particolari di dati[11].
Sotto il profilo della liceità, tali trattamenti trovano la propria base giuridica nell’adempimento di un obbligo legale cui è soggetto il Titolare del trattamento[12]. Essi devono pertanto conformarsi ai principi sanciti dall’art. 5 del GDPR, in primo luogo a quelli di liceità, correttezza e trasparenza, che impongono di trattare i dati in modo lecito, corretto e trasparente nei confronti dell’interessato, trattandoli esclusivamente per la gestione delle segnalazioni, secondo il principio di limitazione delle finalità.
Il Titolare è inoltre tenuto a trattare i soli dati adeguati, pertinenti e limitati alle finalità perseguite, in applicazione del principio di minimizzazione, nonché a garantirne l’esattezza, adottando misure idonee alla rettifica o cancellazione di quelli inesatti o non aggiornati.
Quanto alla conservazione, il GDPR dispone che i dati siano conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità perseguite. In coerenza con tale principio, il Decreto whistleblowing stabilisce che le segnalazioni e la relativa documentazione siano conservate per il tempo necessario al trattamento e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione[13].
Il principio di integrità e riservatezza impone, infine, che i dati siano trattati in maniera da garantirne un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti, nonché da perdita, distruzione o danno accidentali.
Proprio in ragione dell’elevato rischio per i diritti e le libertà degli interessati intrinseco in tali trattamenti, risulta necessaria la predisposizione di una valutazione d’impatto sulla protezione dei dati (DPIA)[14] prima dell’avvio degli stessi. La DPIA, in tal senso, si configura come strumento cardine del risk-based approach, attraverso cui il Titolare analizza i trattamenti, individua le vulnerabilità dei sistemi utilizzati e definisce le misure tecniche e organizzative idonee a mitigare i rischi individuati, dando concreta attuazione al principio di accountability ed orientandone la progettazione secondo i principi di privacy by design e privacy by default.
3.I canali interni di segnalazione: progettazione e garanzie di sicurezza
Il Decreto whistleblowing, come delineato anche dalle più recenti Linee guida ANAC[15], impone agli enti destinatari della disciplina l’istituzione di canali interni di segnalazione idonei ad assicurare la riservatezza dell’identità del segnalante, delle persone coinvolte e menzionate nella segnalazione, nonché del contenuto e della documentazione eventualmente allegata, prevedendo la possibilità di ricorrere tanto alla forma orale quanto a quella scritta[16].
Pur riconoscendo un certo margine di discrezionalità in capo agli enti nella scelta delle soluzioni ritenute più idonee, le segnalazioni orali possono avvenire mediante linee telefoniche dedicate, sistemi di messaggistica vocale o, su richiesta della persona segnalante, incontri diretti da svolgersi in un luogo interno o esterno alla sede dell’ente, purché siano garantite la riservatezza e la tracciabilità procedimentale. Quanto alla forma scritta, l’ANAC privilegia l’utilizzo di piattaforme informatiche appositamente predisposte, in grado – se adeguatamente progettate e configurate – di assicurare un maggiore livello di protezione dei dati personali, mitigando il rischio di accessi abusivi e di eventi di data breach, attraverso la cifratura dei dati a riposo e in transito, nonché di garantire un’interlocuzione riservata con la persona segnalante nel corso dell’istruttoria interna. In tale contesto assumono rilevante importanza misure quali, l’uso di codici identificativi della segnalazione riservati e noti esclusivamente al segnalante (cd. key code), i sistemi di autenticazione a due fattori, il blocco automatico dell’accesso nelle ipotesi di sospetti o molteplici tentativi falliti, l’uso della crittografia sia in fase di trasmissione che di conservazione dei dati e della documentazione allegata alla segnalazione, l’anonimizzazione dei dati, ovvero la pseudonimizzazione dei dati al fine di impedire la loro attribuzione in capo ad un dato soggetto senza l’ausilio di informazioni aggiuntive, a loro volta conservate in modo separato e protette da ulteriori misure tecniche ed informatiche.
L’Autorità richiama inoltre l’obbligo di valutare l’affidabilità e la sicurezza delle soluzioni tecnologiche adottate, anche attraverso la verifica di certificazioni o dell’inserimento nel Catalogo delle Infrastrutture digitali e dei Servizi cloud dell’Agenzia per la Cybersicurezza Nazionale e l’analisi della conformità complessiva del trattamento alla normativa privacy, in particolare in sede di DPIA. Il Titolare può pertanto avvalersi del supporto del provider, acquisendo la documentazione tecnica da questi messa a disposizione, ferma restando la propria responsabilità nella verifica sostanziale della conformità del sistema.
Diversamente, l’utilizzo della posta elettronica, ordinaria o certificata, è considerata di per sé inadeguata a garantire la riservatezza dell’identità del segnalante, salvo l’adozione di specifiche misure di mitigazione del rischio[17]. Il rischio, secondo il Garante, è che i sistemi informatici di gestione della posta elettronica possano raccogliere nel contesto lavorativo, per impostazione predefinita ed in modo generalizzato, i metadati (cd. log) relativi all’invio e alla ricezione dei messaggi, consentendo una ricostruzione indiretta dell’identità del segnalante. Analoghe cautele sono previste per l’accesso ai canali tramite reti interne, le quali devono garantire la non tracciabilità del segnalante al momento della connessione a tali canali, sia sulle piattaforme informatiche sia sugli apparati eventualmente coinvolti (es. firewall o proxy) nella trasmissione delle comunicazioni[18].
Nel loro complesso, dunque, tali indicazioni delineano un modello di gestione delle segnalazioni fortemente improntato ed orientato alla prevenzione dei rischi per i diritti e le libertà degli interessati, nel quale la scelta e la configurazione degli strumenti tecnologici assumono un ruolo centrale.
È proprio alla luce di tali standard tecnico-organizzativi che si collocano gli interventi del Garante di seguito descritti.
4.Sicurezza dei sistemi di whistleblowing e accountability del Titolare nella prassi del Garante per la protezione dei dati personali – Case study
Per concludere la trattazione, appare opportuno richiamare due provvedimenti del Garante adottati all’esito di attività ispettive aventi ad oggetto gli applicativi impiegati per la gestione delle segnalazioni whistleblowing e riguardanti, rispettivamente, la società Aeroporto Guglielmo Marconi di Bologna (provvedimento 10 giugno 2021) e l’Università degli Studi di Roma “La Sapienza” (provvedimento 23 gennaio 2020). Entrambe le decisioni consentono di cogliere come la tutela della riservatezza dei dati trattati debba essere assicurata attraverso un’adeguata progettazione ed effettivo funzionamento dei sistemi informatici impiegati, dei quali il Titolare del trattamento resta in ogni caso responsabile.
Con specifico riferimento al caso della società aeroportuale, l’Autorità ha accertato la sussistenza di un trattamento dei dati personali svolto in violazione dei principi di integrità e riservatezza, di privacy by design e di privacy by default, essendo emerso che l’applicativo utilizzato per l’acquisizione e la gestione delle segnalazioni di illeciti operava mediante un protocollo di rete diverso da https, non idoneo a garantire l’integrità e la riservatezza dei dati scambiati tra il browser dell’utente e il server ospitante la piattaforma, né consentiva agli utenti di verificare l’autenticità del sito web con il quale gli utenti interagivano. A tali profili si affiancava il mancato impiego di strumenti di crittografia per la cifratura dei dati identificativi del segnalante, delle informazioni relative alla segnalazione e dell’eventuale documentazione allegata conservati nel database dell’applicativo.
Ulteriormente, l’Ufficio del Garante ha rilevato che la società, avvalendosi di un applicativo fornito da un soggetto esterno designato quale Responsabile del trattamento[19], non aveva preliminarmente effettuato una valutazione d’impatto sulla protezione dei dati, in ragione dell’esiguo numero di segnalazioni acquisite e il limitato numero di interessati coinvolti in qualità di segnalanti e segnalati. In tale prospettiva, l’Autorità ha dichiarato l’illiceità del trattamento posto in essere dalla società, sanzionata per euro 40.000, e ha ribadito che il Titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, è responsabile della conformità del trattamento ai principi e alle disposizioni del Regolamento, dovendo adottare, in applicazione del principio di accountability, misure tecniche e organizzative adeguate, impartire le necessarie istruzioni al fornitore del servizio e procedere a una concreta valutazione dei rischi, verificando altresì che siano disattivate tutte le funzioni prive di base giuridica o incompatibili con le finalità perseguite.
In termini analoghi, il tema della verifica sostanziale degli strumenti tecnologici adottati per la gestione delle segnalazioni emerge nel provvedimento che ha coinvolto l’università romana, sanzionata per aver reso accessibili online i dati identificativi di due soggetti che avevano segnalato possibili illeciti.
L’ateneo ha ricondotto l’evento ad un aggiornamento della piattaforma software utilizzata che aveva comportato una sovrascrittura accidentale dei permessi di accesso di alcune sezioni interne dell’applicativo whistleblowing, rendendo così possibile a chiunque visualizzare i nomi e ulteriori informazioni riconducibili ai segnalanti. Le informazioni, una volta esposte, erano state indicizzate da alcuni motori di ricerca e rese temporaneamente reperibili online, fino a quando l’università, venuta a conoscenza della violazione, era intervenuta per richiederne la deindicizzazione e la rimozione delle copie memorizzate nelle cache.
Nel corso dell’istruttoria, il Garante ha accertato che il data breach fosse riconducibile all’assenza di adeguate misure tecniche per il controllo degli accessi, che avrebbero dovuto impedire la consultazione delle informazioni riservate da parte di soggetti non autorizzati. Anche in questo caso, l’Autorità ha dunque richiamato la responsabilità primaria del Titolare del trattamento di adottare, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, misure tecniche e organizzative idonee a garantire un livello di sicurezza proporzionato ai rischi, includendo tra queste procedure di verifica, test e valutazione periodica dell’efficacia delle misure implementate. Diversamente, l’ateneo si era limitato a recepire le scelte progettuali del fornitore dell’applicativo, senza esercitare un adeguato controllo sulla conformità della piattaforma ai requisiti del Regolamento, la quale non prevedeva né la cifratura dei dati personali, né l’adozione di un protocollo di comunicazione sicuro idoneo a garantire la riservatezza e l’integrità dei dati trasmessi, nonché l’autenticità del sito web utilizzato per l’invio delle segnalazioni.
Accertata l’illiceità del trattamento e l’inadempimento degli obblighi di sicurezza previsti dal GDPR, il Garante ha irrogato nei confronti dell’università una sanzione amministrativa pecuniaria pari a 30.000 euro, pur considerando il numero limitato di interessati coinvolti e la collaborazione prestata dall’Ente nel corso del procedimento.
[1] Direttiva del Parlamento europeo e del Consiglio del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione.
[2] Considerando 31.
[3] Cfr. Art. 2 D.lgs. 24/2023.
[4] “Attuazione della direttiva 2024/1226/UE del Parlamento europeo e del Consiglio, del 24 aprile 2024, relativa alla definizione dei reati e delle sanzioni per la violazione delle misure restrittive dell’Unione e che modifica la direttiva (UE) 2018/1673”, pubblicato in Gazzetta Ufficiale il 9 gennaio 2026.
[5] AGCM, “Linee guida sulla compliance antitrust”, Delibera del 25 febbraio 2025, n. 31466.
[6] Cfr. art. 3 D.lgs. 24/2023.
[7] Per “trattamento” si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (cfr. art. 4, co. 2, GDPR)
[8] “Regolamento generale sulla protezione dei dati del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE” anche noto con l’acronimo GDPR (General Data Protection Regulation).
[9] Persona fisica o giuridica, autorità pubblica, servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art. 4, co. 7, GDPR).
[10] Il segnalante, il facilitatore, i soggetti segnalati, i colleghi di lavoro, eventuali terzi menzionati nella segnalazione, gli enti di proprietà di chi segnala o per il quale lo stesso lavora, nonché ulteriori terzi eventualmente coinvolti nei fatti oggetto di segnalazione, ivi inclusi gli enti di proprietà del segnalante o connessi al contesto lavorativo di riferimento.
[11] Rientrano tra questi i dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici e biometrici intesi a identificare in modo univoco una persona fisica (art. 9, co. 1, GDPR).
[12] Cfr. art. 6, par. 1, lett. c) GDPR.
[13] Cfr. art. 14, co. 1, D.lgs. 24/2023.
[14] Art. 35 GDPR.
[15] ANAC, “Linee guida in materia di whistleblowing sui canali interni di segnalazione”, approvate con delibera n. 479 del 26 novembre 2025, modificative ed integrative della delibera n. 311 del 12 luglio 2023 recante “Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne”.
[16] Si precisa che il Decreto whistleblowing prevede altresì la possibilità di effettuare segnalazioni esterne all’ANAC e divulgazioni pubbliche di violazioni nei casi espressamente previsti.
[17] GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, “Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, provvedimento n. 364 del 6 giugno 2024.
[18] GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, “Parere sullo Schema di Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali – procedure per la presentazione e gestione delle segnalazioni esterne”, provvedimento n. 304 del 6 giugno 2023.
[19] Persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento, cfr. art. 4, n. 8, GDPR.