Il Garante per la protezione dei dati personali, nella Newsletter n. 540 del 27 novembre 2025, ha emanato un proprio parere sugli schemi di “Linee Guida sul whistleblowing”, riguardanti sia le procedure di segnalazione interne che le segnalazioni esterne.
L’obiettivo è quello di assicurare, in particolare, la piena tutela della riservatezza dell’identità del segnalante e del contenuto della segnalazione, nonché la tutela dei dati delle persone a vario titolo coinvolte.
Tra i punti di attenzione abbiamo:
- Posta elettronica come canale per whistleblowing
L’utilizzo dell’e-mail come canale di segnalazione può comportare rischi significativi. Metadati e log relativi all’invio e alla ricezione dei messaggi possono rendere possibile risalire, anche indirettamente, all’identità del segnalante, soprattutto se viene utilizzata la casella di posta aziendale.
- DPIA obbligatoria e responsabilità del titolare
La valutazione d’impatto (DPIA) è obbligatoria. La sicurezza delle piattaforme, la cifratura, la protezione dei log e le configurazioni di rete devono impedire ogni forma di tracciabilità interna del segnalante. La DPIA dovrà essere redatta anche con l’eventuale supporto dei fornitori di tecnologia.
- Conservazione segnalazioni whistleblowing
La conservazione della segnalazione e della relativa documentazione è limitata a cinque anni.
- Formazione sul whistleblowing
I soggetti addetti o coinvolti nel processo di gestione delle segnalazioni devono ricevere una specifica formazione anche in materia di protezione dei dati personali.
Le Linee Guida Whistleblowing 2025 sui canali interni di segnalazione forniscono indicazioni e princìpi che i datori di lavoro potranno tenere in considerazione nell’attivazione dei propri canali di acquisizione e gestione della segnalazione.
L’approccio richiesto è quello dell’accountability: non basta la conformità formale, ma occorre adottare misure tecniche e organizzative adeguate e proporzionate ai rischi. Tra queste rientrano soluzioni che impediscano la tracciabilità di chi accede ai canali di segnalazione, prevenendo qualsiasi forma di identificazione indiretta da parte del datore di lavoro.
Fonte: Garante per la protezione dei dati personali
Leggi anche: