1.Introduzione
La disciplina del whistleblowing è stata implementata a livello europeo dalla Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019 e poi recepita nell’ordinamento italiano con il D. Lgs. 10 marzo 2023, n. 24, ed ha introdotto una disciplina volta a favorire l’emersione di condotte illecite o irregolari, garantendo al contempo un elevato livello di protezione per i soggetti che, nel contesto lavorativo, decidono di segnalarle. Tale normativa è connotata da esigenze di trasparenza, prevenzione degli illeciti e tutela dei diritti fondamentali delle persone coinvolte. Tuttavia, l’applicazione di tale disciplina non si presenta uniforme in tutti i settori. In particolare, quando il whistleblowing viene calato nel contesto degli studi legali, emergono profili di complessità che rendono necessaria un’analisi specifica. La professione forense è infatti caratterizzata da un rapporto fiduciario qualificato con il cliente, tutelato attraverso il segreto professionale e la riservatezza, che non costituiscono meri obblighi deontologici, ma presidi funzionali all’esercizio del diritto di difesa. Il presente contributo si sofferma sul quadro normativo applicabile, sui limiti oggettivi alla segnalazione, sul ruolo dei diversi soggetti che operano all’interno dello studio e sulle implicazioni in termini di governance e data protection e trae spunto da una tensione osservata nella pratica: nonostante il segreto professionale suggerisca una governance peculiare del whistleblowing negli studi legali, molti modelli adottati risultano sovrapponibili a quelli aziendali.
2.Quadro normativo: Direttiva (UE) 2019/1937 e D. Lgs. 24/2023
La Direttiva (UE) 2019/1937 ha introdotto la struttura normativa di base relativa alla protezione per i segnalanti di violazioni del diritto dell’Unione Europea, prescrivendo agli Stati membri di predisporre canali di segnalazione interni ed esterni, e le misure di protezione contro le ritorsioni. Il D. Lgs. n. 24/2023 (il “Decreto Whistleblowing“), nel recepire la Direttiva, ha ampliato l’ambito oggettivo includendo, accanto alle violazioni del diritto UE, gli illeciti di matrice nazionale che, per essere rilevanti, devono appartenere alle categorie tipizzate dall’art. 2 (illeciti amministrativi, contabili, civili o penali, nonché condotte illecite ai sensi del D. Lgs. n. 231/2001 o violazioni di modelli organizzativi e gestionali, ove applicabili). Il perimetro applicativo del decreto riguarda sia soggetti pubblici che privati, e concerne pertanto anche gli studi legali, indipendentemente dalla loro forma (studi individuali, associazioni professionali, società tra avvocati), qualora gli stessi abbiano alle proprie dipendenze almeno 50 lavoratori subordinati ovvero, a prescindere dal numero di dipendenti, quando operino in certi settori regolamentati dal diritto dell’Unione Europea (come l’ambito dei servizi, prodotti e mercati finanziari, antiriciclaggio, sicurezza dei trasporti, ambiente) o abbiano adottato un Modello di Organizzazione, Gestione e Controllo ai sensi del D. Lgs. 231/2001. Il Decreto Whistleblowing è incentrato su due principali ambiti sistematici. Il primo riguarda chi può segnalare e in quale contesto: in particolare, l’art. 3 adotta una nozione ampia di “contesto lavorativo”, ricomprendendo lavoratori subordinati, autonomi, professionisti, consulenti, tirocinanti, volontari e chiunque operi sotto la direzione o supervisione dell’ente. Ne deriva che, negli studi legali organizzati con personale dipendente e collaboratori, la platea dei potenziali segnalanti può essere assai estesa. Il secondo profilo sistematico riguarda che cosa può essere segnalato e con quali modalità, imponendo l’istituzione di canali di segnalazione interni in grado di garantire la riservatezza dell’identità del segnalante, della persona segnalata e di ogni soggetto menzionato, nonché del contenuto della segnalazione (art. 4). L’ente deve predisporre procedure per la ricezione della segnalazione, la conferma di ricezione entro termini stabiliti, il seguito istruttorio con interlocuzione con il segnalante, la risposta entro il termine previsto, e la conservazione della documentazione con regole di accesso selettive. Sul piano sostanziale, il decreto introduce una tutela rafforzata contro le ritorsioni (art. 17), nonché misure di sostegno e tutela della riservatezza (artt. 12 e 13). Per gli studi legali, un aspetto decisivo è costituito dal limite oggettivo previsto dall’art. 1, comma 3, lett. b) del Decreto Whistleblowing, che esclude dall’ambito di applicazione le informazioni coperte da segreto professionale. La previsione riproduce il bilanciamento già contenuto nell’art. 3, par. 3, della Direttiva, e va letta in connessione con l’assetto costituzionale del diritto di difesa e con le regole deontologiche della professione. La rilevanza del segreto forense non si esaurisce quindi in una dimensione deontologica, ma si proietta sul piano costituzionale e sulla corretta amministrazione della giustizia. Tale qualificazione emerge nella giurisprudenza di legittimità, che ha sottolineato la funzione del segreto quale presidio del rapporto fiduciario con l’avvocato e della tutela del cliente[1]. In termini pratici, ciò impone di distinguere tra segnalazioni relative a illeciti interni allo studio e segnalazioni che comportino la divulgazione di informazioni acquisite nell’esecuzione del mandato professionale e coperte da segreto (di principio inammissibili nel perimetro del whistleblowing). Dalle linee guida ANAC[2] si desume che tale esclusione opera in modo oggettivo: ciò che conta è la natura dell’informazione e la fonte dell’obbligo di riservatezza, non la qualifica del segnalante. Ne consegue che lo studio, nel disegnare le proprie procedure, dovrebbe prevedere un momento di qualificazione preliminare della segnalazione, volto a evitare che il canale di whistleblowing diventi veicolo di circolazione impropria di informazioni riservate.
3.Whistleblowing: avvocati, personale non forense e perimetro del segreto professionale
L’applicazione del Decreto Whistleblowing con riferimento agli studi legali richiede di considerare la pluralità di soggetti che vi operano stabilmente. Accanto agli avvocati iscritti all’albo, gli studi legali – soprattutto di medie e grandi dimensioni – impiegano personale amministrativo, assistenti, addetti alla contabilità e al controllo di gestione, traduttori, project manager, nonché figure specialistiche dedicate alla compliance, all’IT e alla gestione dei dati. Questi soggetti possono anche non esercitare la professione forense, ma partecipano in ogni caso in modo strutturale ai processi organizzativi dello studio e possono venire a conoscenza di violazioni rilevanti ai fini del Decreto Whistleblowing e sotto il profilo soggettivo non vi è dubbio che tali figure rientrino nell’applicazione della relativa disciplina. L’art. 3 del Decreto Whistleblowing, infatti, ricomprende sia i lavoratori subordinati che i lavoratori autonomi che operano nel contesto lavorativo, a prescindere dalla natura professionale dell’attività svolta, ed estende a questi soggetti le tutele previste per il segnalante, inclusa la protezione contro le ritorsioni, a patto che la segnalazione riguardi informazioni rientranti nell’ambito oggettivo di applicazione della normativa. Ciò detto, occorre domandarsi sull’effettiva estensione del segreto professionale forense anche a tali soggetti.
Il segreto professionale é disciplinato dall’art. 622 del c.p. ed è declinato specificamente per l’avvocato dal Codice Deontologico Forense (in particolare dagli articoli 13 e 28[3]): esso grava quindi prima di tutto sul professionista iscritto all’albo e al riguardo l’art. 6 della legge 247/2012 (Nuova disciplina dell’ordinamento della professione forense) prescrive all’avvocato l’obbligo di massimo riserbo e segreto, nell’interesse della parte assistita, sui fatti e sulle circostanze appresi nell’espletamento delle attività di rappresentanza e assistenza in giudizio, di consulenza legale e di assistenza stragiudiziale, estendendo il perimetro del segreto ad ogni interlocuzione con la parte assistita. La norma citata estende poi espressamente l’obbligo di segreto – negli ambiti sopra descritti – ai dipendenti, ai collaboratori anche occasionali e ai tirocinanti per le circostanze apprese nella loro qualità o per effetto dell’attività svolta. L’avvocato è inoltre tenuto ad adoperarsi affinché anche da tali soggetti siano osservati gli obblighi di segretezza e di riserbo. Tale estensione non trasforma il collaboratore in titolare autonomo del segreto, ma impone comunque un obbligo di non divulgazione funzionale alla tutela dell’interesse del cliente e la sua violazione costituisce giusta causa per l’immediato scioglimento del rapporto di collaborazione o di dipendenza da parte dell’avvocato. Pertanto, la possibilità per il personale non forense di effettuare segnalazioni whistleblowing incontra limiti sostanzialmente analoghi a quelli operanti per gli avvocati, non già in ragione della qualifica soggettiva del segnalante, ma in funzione dell’oggetto della segnalazione. Anche quando la segnalazione provenga da soggetti non iscritti all’albo, trova infatti applicazione l’esclusione prevista dall’art. 1, comma 3, lett. b) del Decreto Whistleblowing per le informazioni coperte da segreto professionale, con la conseguenza che negli studi legali l’oggetto potenzialmente segnalabile dovrebbe essere individuato con le cautele del caso. Vi rientrano, in linea di principio, le segnalazioni aventi ad oggetto qualunque violazione ricompresa nell’ambito oggettivo del Decreto Whistleblowing – incluse violazioni di norme amministrative, contabili, civili o penali, nonché violazioni di modelli di organizzazione e gestione – purché tali segnalazioni non comportino la divulgazione di informazioni coperte da segreto professionale, né incidano sul contenuto del mandato professionale o sulla strategia difensiva dei clienti.
Tale distinzione assume rilievo anche per la data protection: le segnalazioni contengono frequentemente dati personali appartenenti a categorie particolari o dati relativi a presunti reati. Nel contesto degli studi legali il trattamento deve essere progettato secondo i principi di minimizzazione e di “need‑to‑know“, in coerenza con il regime rafforzato di tutela previsto dal Regolamento (UE) 2016/679, in particolare in presenza di dati di cui agli articoli 9 e 10, evitando che il canale divenga luogo di raccolta indiscriminata di dati eccedenti o privilegiati. In chiave sistematica, il segreto professionale forense opera quindi quale limite esterno alla segnalabilità, impedendo che il whistleblowing divenga strumento di elusione delle regole deontologiche e delle garanzie del cliente.
4.Whistleblowing, data protection e segreto professionale negli studi legali: governance operativa tra continuità organizzativa e vincoli professionali
L’implementazione dei sistemi di whistleblowing negli studi legali non determina, nella prassi, la costruzione di modelli organizzativi radicalmente diversi da quelli aziendali, ed infatti anche le law firm strutturate adottano architetture simili a quelle societarie, basate su canali dedicati, gestione centralizzata e integrazione con funzioni di compliance o risk management. La domanda che occorre porsi è allora se la presenza del segreto professionale e la natura fiduciaria del rapporto avvocato-cliente debbano incidere sulle modalità operative di trattamento delle segnalazioni, imponendo adattamenti concreti nei sistemi di governance, in linea con i principi e regole della GDPR e in particolare con l’art. 5, che prescrive la minimizzazione dei dati, la limitazione delle finalità, l’integrità e la riservatezza. Poiché infatti le segnalazioni possono includere informazioni relative a clienti, strategie difensive o attività consulenziali protette, il corretto trattamento dei dati personali si accompagna alla prevenzione della circolazione interna di informazioni che potrebbero eccedere quanto necessario o violare obblighi di segretezza. L’analisi della prassi applicativa può consentire pertanto di isolare alcuni profili di particolare rilievo, rispetto ai quali il sistema di whistleblowing negli studi legali potrebbe richiedere adattamenti organizzativi mirati nella gestione delle segnalazioni:
(a) Gestione della fase iniziale della segnalazione
Nei modelli aziendali non è inconsueto che la segnalazione sia automaticamente inoltrata a più funzioni (risorse umane, area legal, internal audit), ma negli studi legali questo approccio rischia di scontrarsi con il segreto professionale, perché comporterebbe un’ampia diffusione di informazioni coperte da riserbo. Per questo motivo, nell’ottica di uno studio legale sarebbe auspicabile introdurre una fase preliminare di triage, affidata a un soggetto qualificato – frequentemente il compliance officer o comitato – incaricato di valutare il contenuto della segnalazione prima della sua distribuzione interna. Ciò sarebbe operativamente in linea con il principio di minimizzazione dei dati (art. 5, par. 1, lett. c) e della privacy by design (art. 25) previsti dalla GDPR. Inoltre, ciò contribuirebbe ad evitare conflitti di interesse, nel senso che chi gestisce le segnalazioni deve essere autonomo e indipendente, e si dovrebbero quindi prevedere regole di incompatibilità per i casi in cui si possano coinvolgere avvocati-partner o responsabili di practice.
(b) Integrazione del sistema di whistleblowing con gli strumenti digitali
Gli studi legali strutturati adottano di norma dei sistemi di gestione (matter management) per la catalogazione ed archivio delle pratiche. Di qui il rischio che nella prassi le segnalazioni vengano archiviate o trattate utilizzando infrastrutture condivise con i fascicoli dei clienti, con la possibilità che vi siano accessi non necessari da parte di professionisti o del personale. Per ovviare a questa eventualità una soluzione prudente può consistere nella segregazione tecnica degli archivi informatici delle segnalazioni, con accessi limitati e tracciati mediante accesso riservato (log in), in linea con i principi di accountability e integrità del trattamento dei dati.
(c) Piattaforme informatiche
Nelle proprie linee guida, ANAC ha confermato la preferenza come mezzo di segnalazione per le piattaforme informatiche affidate a fornitori di servizi esterni, in ragione del fatto che le stesse consentono un maggiore livello di protezione dei dati personali dalla fase di acquisizione delle segnalazioni alla fase di gestione delle stesse.[4] L’adozione di piattaforme esterne per la raccolta delle segnalazioni — suggerita quindi per garantire anonimato e indipendenza — implica la qualifica del fornitore come responsabile del trattamento ex art. 28 della GDPR e, nei contesti forensi, ciò dovrebbe richiedere non solo di accertare la sicurezza informatica, ma di valutare se l’architettura tecnica impedisca l’accesso del provider a contenuti coperti da segreto professionale o consenta adeguate forme di anonimizzazione.
(d) Destinatari interni della segnalazione
Negli studi legali, accanto agli avvocati operano figure amministrative e di supporto (HR, accounting, IT), spesso coinvolte nella gestione dei processi organizzativi. Sebbene tali soggetti siano vincolati da obblighi contrattuali di riservatezza, essi non sono titolari del segreto professionale in senso tecnico. Ne deriva la necessità di definire livelli di accesso differenziati, evitando che informazioni relative a clienti vengano condivise con personale non strettamente necessario alla gestione della segnalazione.
(e) Tutela del segnalante
Ai sensi del Decreto Whistleblowing, la buona fede del segnalante rappresenta condizione per l’applicazione delle protezioni normative, ma non costituisce una “scriminante” generalizzata rispetto alla divulgazione di informazioni riservate. Ed infatti l’art. 20 del decreto limita la responsabilità del segnalante in via di eccezione nel caso la rivelazione fosse necessaria per far emergere l’illecito, escludendo però dall’ambito di applicazione proprio il segreto professionale. In termini operativi sarebbe quindi opportuno verificare preliminarmente se il contenuto della segnalazione possa essere trattato senza violare obblighi di segretezza, evitando che il canale di whistleblowing venga utilizzato per diffondere dati eccedenti o non necessari.
(f) Diritti degli interessati
Negli Studi Legali il diritto di accesso del soggetto segnalato, previsto dagli artt. 15-22 della GDPR, potrebbe entrare in tensione con la riservatezza del segnalante e con la tutela delle informazioni privilegiate. Gli studi legali dovrebbero quindi implementare procedure che consentano limitazioni mirate dell’accesso quando necessarie a tutelare l’indagine o il segreto professionale, documentando adeguatamente il bilanciamento effettuato.
5.Conclusioni
L’analisi svolta ha cercato di mostrare alcune peculiarità della professione forense e come esse incidano in modo concreto sulla configurazione e sulla gestione dei sistemi di segnalazione nell’ambito della disciplina del whistleblowing e della data protection. Al riguardo è emerso come il segreto professionale non costituisca solo un limite esterno alla disciplina del whistleblowing, divenendone un elemento strutturale che condiziona gli stessi flussi informativi. Negli studi legali, infatti, i dati trattati nell’ambito delle segnalazioni non riguardano soltanto l’organizzazione interna, ma frequentemente coinvolgono informazioni relative a clienti, strategie difensive, contenziosi in corso e assetti negoziali coperti da particolari obblighi di riservatezza. Ciò fa desumere come l’applicazione delle norme sul whistleblowing non dovrebbe essere trasposta automaticamente dai modelli aziendali e come la stessa richieda auspicabilmente un adattamento interpretativo che tenga conto della specificità del contesto professionale. Per quanto riguarda il rapporto tra data protection e segreto professionale, la disciplina GDPR impone principi di minimizzazione, limitazione delle finalità e accountability che, negli studi legali, dovrebbero essere declinati attraverso procedure capaci di evitare la circolazione indiscriminata di informazioni coperte da segreto con la conseguenza che, ad esempio, si dovrebbe porre maggiore attenzione alla selezione dei soggetti autorizzati alla gestione delle segnalazioni, alla segmentazione degli accessi e alla definizione di criteri rigorosi di conservazione e cancellazione dei dati. Un ulteriore elemento di complessità deriva dalla possibile esternalizzazione dei canali di segnalazione mediante piattaforme tecnologiche o fornitori specializzati, che richiede un’attenta qualificazione dei ruoli privacy, nonché una verifica puntuale delle garanzie offerte dai responsabili del trattamento. Dal punto di vista della governance, si è preso atto che la gestione delle segnalazioni negli studi legali tende a inserirsi in strutture già esistenti, adattandosi alle dimensioni dello studio e alla cultura professionale interna. In definitiva, il contributo degli studi legali alla riflessione sul whistleblowing e sulla data protection risiede proprio nella necessità di conciliare tre dimensioni normative diverse: la protezione del segnalante, la tutela dei dati personali e la salvaguardia del segreto professionale. Tuttavia, l’equilibrio tra tali elementi non dovrebbe essere ricondotto a soluzioni standardizzate, ma richiede auspicabilmente un approccio interpretativo delle peculiarità della professione forense e delle concrete modalità operative degli studi. In questa prospettiva, il sistema di whistleblowing negli studi legali non appare radicalmente diverso rispetto ad altri contesti organizzativi, ma presenta specifici profili di adattamento che incidono sulla configurazione dei presidi privacy, sulla gestione dei flussi informativi e sulla delimitazione delle responsabilità. Proprio tali elementi rappresentano il terreno su cui può svilupparsi una governance efficace, capace di integrare compliance normativa e tutela professionale dell’avvocato.
[1] Cassazione civile sez. I, 20/08/2024, n. 22964.
[2] ANAC – “Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali“. Approvate con Delibera n. 311 del 12 luglio 2023, come modificata e integrata con Delibera n. 479 del 26 novembre 2025, par. 2.1.1, pag. 30.
[3] Art. 13 CDF (Dovere di segretezza e riservatezza): “L’avvocato è tenuto, nell’interesse del cliente e della parte assistita, alla rigorosa osservanza del segreto professionale e al massimo riserbo su fatti e circostanze in qualsiasi modo apprese nell’attività di rappresentanza e assistenza in giudizio, nonché nello svolgimento dell’attività di consulenza legale e di assistenza stragiudiziale e comunque per ragioni professionali”; art. 28 CDF (Riserbo e segreto professionale): “1. È dovere, oltre che diritto, primario e fondamentale dell’avvocato mantenere il segreto e il massimo riserbo sull’attività prestata e su tutte le informazioni che gli siano fornite dal cliente e dalla parte assistita, nonché su quelle delle quali sia venuto a conoscenza in dipendenza del mandato. 2. L’obbligo del segreto va osservato anche quando il mandato sia stato adempiuto, comunque concluso, rinunciato o non accettato. 3. L’avvocato deve adoperarsi affinché il rispetto del segreto professionale e del massimo riserbo sia osservato anche da dipendenti, praticanti, consulenti e collaboratori, anche occasionali, in relazione a fatti e circostanze apprese nella loro qualità o per effetto dell’attività svolta. 4. È consentito all’avvocato derogare ai doveri di cui sopra qualora la divulgazione di quanto appreso sia necessaria: a) per lo svolgimento dell’attività di difesa; b) per impedire la commissione di un reato di particolare gravità; c) per allegare circostanze di fatto in una controversia tra avvocato e cliente o parte assistita; d) nell’ambito di una procedura disciplinare. In ogni caso la divulgazione dovrà essere limitata a quanto strettamente necessario per il fine tutelato. 5. La violazione dei doveri di cui ai commi precedenti comporta l’applicazione della sanzione disciplinare della censura e, nei casi in cui la violazione attenga al segreto professionale, l’applicazione della sospensione dall’esercizio dell’attività professionale da uno a tre anni”.
[4] “Whistleblowing: le nuove Linee Guida ANAC sui canali interni di segnalazione“, Marco Dell’Antonia e Valentina Sarpi Montella, Giurisprudenza Penale Web, 2026, 2 – https://www.giurisprudenzapenale.com/2026/02/03/whistleblowing-le-nuove-linee-guida-anac-sui-canali-interni-di-segnalazione/.