Whistleblowing e protezione dei dati: il parere del Garante sulle linee guida ANAC

gdpr

G7 2025: cooperazione internazionale per privacy e innovazione digitale

Dicembre 11, 2025
gdpr

Garante Privacy sanziona struttura sanitaria: campione biologico smaltito per errore da Humanitas Mirasole S.p.A.

Dicembre 26, 2025
gdpr

G7 2025: cooperazione internazionale per privacy e innovazione digitale

Dicembre 11, 2025
gdpr

Garante Privacy sanziona struttura sanitaria: campione biologico smaltito per errore da Humanitas Mirasole S.p.A.

Dicembre 26, 2025
gdpr

Con il parere del 9 ottobre 2025, il Garante ha esaminato le Linee guida ANAC sui canali interni e le modifiche alla Delibera n. 311/2023. Inoltre, ha fornito indicazioni su come garantire che il trattamento dei dati dei segnalanti avvenga attraverso canali sicuri e processi strutturati, nel rispetto della normativa sulla protezione dei dati personali.
Gli enti pubblici e privati, soggetti alla normativa in materia di whistleblowing, devono attivare un canale interno dedicato. Devono definire in un apposito atto organizzativo compiti, poteri e responsabilitร  del gestore. Il canale puรฒ essere gestito da personale interno o esterno, purchรฉ sia autonomo e adeguatamente formato.

Per le segnalazioni, il Garante ritiene preferibile lโ€™utilizzo di piattaforme informatiche sicure, che consentano misure di protezione efficaci, cifratura e comunicazioni riservate con il segnalante. Tali strumenti devono essere affidabili e conformi ai principi di privacy by design e privacy by default (art. 25 GDPR), e valutati nellโ€™ambito della valutazione dโ€™impatto prevista dallโ€™art. 35 GDPR.
Lโ€™utilizzo della posta elettronica ordinaria o certificata non รจ considerato adeguato, salvo lโ€™adozione di specifiche misure di sicurezza identificate in una valutazione dโ€™impatto (DPIA art. 35 GDPR), poichรฉ log e metadati potrebbero rivelare lโ€™identitร  del segnalante.

Particolare attenzione deve essere dedicata alla gestione e conservazione dei dati. La documentazione puรฒ essere conservata per un massimo di cinque anni dallโ€™esito finale della procedura di segnalazione. I dati manifestamente non necessari non devono essere raccolti e, se acquisiti per errore, devono essere cancellati immediatamente (principio di minimizzazione, art. 5 GDPR).

Il Garante precisa che anche le segnalazioni irrilevanti o inviate tramite canali impropri devono essere trattate con la massima riservatezza, evitando qualunque possibilitร  di identificare il segnalante. Inoltre, quando la segnalazione passa dalla rete interna dellโ€™ente o del datore di lavoro, bisogna assicurare che il segnalante non possa essere tracciato mentre accede ai canali di segnalazione, nรฉ dalle piattaforme informatiche nรฉ dagli apparati di rete come firewall o proxy.
Il parere evidenzia infine il necessario bilanciamento tra la tutela della riservatezza del segnalante e il diritto di difesa della persona segnalata: entrambi i diritti devono coesistere in modo proporzionato, preservando la confidenzialitร  della segnalazione ma garantendo al segnalato gli elementi essenziali per esercitare le proprie garanzie difensive. Un equilibrio che consente di prevenire possibili ritorsioni e, al contempo, di assicurare un corretto accertamento degli illeciti nel delicato contesto lavorativo e professionale.

 

 

Comments are closed.