G7 2025: cooperazione internazionale per privacy e innovazione digitale
Dicembre 11, 2025Garante Privacy sanziona struttura sanitaria: campione biologico smaltito per errore da Humanitas Mirasole S.p.A.
Dicembre 26, 2025 Con il parere del 9 ottobre 2025, il Garante ha esaminato le Linee guida ANAC sui canali interni e le modifiche alla Delibera n. 311/2023. Inoltre, ha fornito indicazioni su come garantire che il trattamento dei dati dei segnalanti avvenga attraverso canali sicuri e processi strutturati, nel rispetto della normativa sulla protezione dei dati personali.
Gli enti pubblici e privati, soggetti alla normativa in materia di whistleblowing, devono attivare un canale interno dedicato. Devono definire in un apposito atto organizzativo compiti, poteri e responsabilitĂ del gestore. Il canale puĂČ essere gestito da personale interno o esterno, purchĂ© sia autonomo e adeguatamente formato.
Per le segnalazioni, il Garante ritiene preferibile lâutilizzo di piattaforme informatiche sicure, che consentano misure di protezione efficaci, cifratura e comunicazioni riservate con il segnalante. Tali strumenti devono essere affidabili e conformi ai principi di privacy by design e privacy by default (art. 25 GDPR), e valutati nellâambito della valutazione dâimpatto prevista dallâart. 35 GDPR.
Lâutilizzo della posta elettronica ordinaria o certificata non Ăš considerato adeguato, salvo lâadozione di specifiche misure di sicurezza identificate in una valutazione dâimpatto (DPIA art. 35 GDPR), poichĂ© log e metadati potrebbero rivelare lâidentitĂ del segnalante.
Particolare attenzione deve essere dedicata alla gestione e conservazione dei dati. La documentazione puĂČ essere conservata per un massimo di cinque anni dallâesito finale della procedura di segnalazione. I dati manifestamente non necessari non devono essere raccolti e, se acquisiti per errore, devono essere cancellati immediatamente (principio di minimizzazione, art. 5 GDPR).
Il Garante precisa che anche le segnalazioni irrilevanti o inviate tramite canali impropri devono essere trattate con la massima riservatezza, evitando qualunque possibilitĂ di identificare il segnalante. Inoltre, quando la segnalazione passa dalla rete interna dellâente o del datore di lavoro, bisogna assicurare che il segnalante non possa essere tracciato mentre accede ai canali di segnalazione, nĂ© dalle piattaforme informatiche nĂ© dagli apparati di rete come firewall o proxy.
Il parere evidenzia infine il necessario bilanciamento tra la tutela della riservatezza del segnalante e il diritto di difesa della persona segnalata: entrambi i diritti devono coesistere in modo proporzionato, preservando la confidenzialitĂ della segnalazione ma garantendo al segnalato gli elementi essenziali per esercitare le proprie garanzie difensive. Un equilibrio che consente di prevenire possibili ritorsioni e, al contempo, di assicurare un corretto accertamento degli illeciti nel delicato contesto lavorativo e professionale.