Whistleblowing e gestione del rischio: una lettura critica delle linee guida ANAC

Whistleblowing e gestione del rischio: una lettura critica delle linee guida ANAC
意大利ANAC于2025年发布的新版 whistleblowing 指南完善了2023年的相关规定，明确了内部举报渠道的管理框架，并强调 whistleblowing 应被视为组织安全和风险治理的基础结构而非仅合规工具。指南还涉及数据保护、外部举报渠道的使用条件及与欧盟法规的协调。 2026-1-2 10:16:32 Author: www.cybersecurity360.it(查看原文) 阅读量:2 收藏

Le nuove Linee Guida ANAC sui canali interni di segnalazione (e l’aggiornamento di quelle generali del 2023) completano e razionalizzano il quadro applicativo del D.lgs. 24/2023 in materia di whistleblowing, incidendo in modo significativo sull’organizzazione dei presìdi di sicurezza informativa e sulla gestione del rischio.

Secondo una lettura critica e sistemica delle Linee Guida, alla luce degli snodi interpretativi, le Linee Guida ANAC 2025 chiedono di interpretare il whistleblowing non come un adempimento settoriale, ma come una vera e propria infrastruttura trasversale di sicurezza organizzativa e di governance del rischio.

Le Linee Guida ANAC 2025 in materia di whistleblowing

Con le Delibere n. 478 e 479 del 26 novembre 2025, rispettivamente, ANAC ha varato le Linee Guida in materia di whistleblowing sui canali interni di segnalazione e modificato e integrato le Linee Guida del 2023 relative alle segnalazioni esterne ma di portata generale su tale strumento.

Con questi atti, l’Autorità ha completato il quadro applicativo delineato dal D.lgs. 24/2023, adottato in attuazione della Direttiva UE 2019/1937.

Ecco i principali snodi interpretativi e applicativi che emergono dal testo e dalla Relazione illustrativa, da interpretare anche alla luce delle interazioni con la disciplina in materia di protezione dei dati personali.

Le due Linee Guida

L’insieme delle due Linee Guida assolve a una funzione essenzialmente sistematica: non introduce nuovi obblighi quanto chiarisce e coordina – in vari casi innovandone l’articolazione – profili già previsti dalla normativa primaria e dalle Linee Guida del 2023.

Esse si configurano, pertanto, come uno strumento interpretativo di raccordo, volto a stabilizzare l’assetto complessivo del sistema di segnalazione, con particolare riferimento ai rapporti tra canale interno, canale esterno e divulgazione pubblica, ai requisiti organizzativi dei soggetti coinvolti, nonché alle modalità di trattamento dei dati personali.

La consultazione pubblica

L’emanazione delle Linee Guida sui canali interni è stata preceduta da una consultazione pubblica (con 47 partecipanti e oltre 230 osservazioni), dalla quale ANAC ha tratto numerosi spunti, anche dello scrivente, confluiti nella versione definitiva del testo, confermando l’utilità di un approccio regolatorio improntato all’ascolto e al confronto con gli operatori.

Tre approfondimenti per la bozza messa in consultazione

Sulla base di alcune delle questioni rappresentate, ANAC ha provveduto a corredare la bozza messa in consultazione con tre approfondimenti sull’applicazione del whistleblowing in ordine a:

modello organizzativo 231;
i gruppi societari;
enti del terzo settore (Ets).

La funzione delle Linee Guida e il metodo adottato

Un primo profilo di rilievo concerne l’approccio metodologico seguito dall’Autorità.

Muovendo dalle risultanze della consultazione pubblica, ANAC ha evitato di tradurre le istanze emerse in un apparato prescrittivo rigido, confermando un modello regolatorio fondato sui principi di autonomiaorganizzativa, accountability e proporzionalità.

Le Linee Guida non impongono soluzioni standardizzate, ma individuano criteri di riferimento entro i quali gli enti sono chiamati a esercitare le proprie scelte organizzative in modo responsabile.

In tale prospettiva, il canale interno di segnalazione rappresenta un presidio strutturale di governance.

La sua progettazione è ricondotta alla sfera delle scelte organizzative sensibili, analogamente ad altri sistemi di controllo e sicurezza interna, con conseguente rilievo anche sul piano della gestione del rischio e della qualità complessiva dei modelli organizzativi.

L’accesso al canale esterno e il superamento di letture restrittive

Per il settore privato, la disciplina in materia di whistleblowing circoscrive l’ambito oggettivo delle segnalazioni alle violazioni del diritto dell’Unione europea e, ove adottato, alle violazioni del modello di organizzazione e gestione di cui al D.lgs. 231/2001; diversamente, per il settore pubblico, la tutela si estende anche alle violazioni del diritto interno, incluse quelle di natura amministrativa, contabile, civile o penale.

In tale quadro, assume particolare rilievo l’evoluzione interpretativa intervenuta nelle Linee guida ANAC del 2023 con riferimento ai soggetti legittimati ad avvalersi del canale di segnalazione esterna gestito dall’Autorità.

Chi può ricorrere al canale esterno

A seguito anche degli esiti della consultazione pubblica, ANAC ha chiarito che possono ricorrere al canale esterno, al ricorrere delle condizioni previste dalla legge, anche le persone che operano presso soggetti del settore privato con un organico medio inferiore a cinquanta dipendenti, non obbligati all’adozione di un modello organizzativo ai sensi del D.lgs. 231/2001 e non rientranti nei settori sensibili individuati dall’Allegato al D.lgs. n. 24/2023.

Ne consegue che il canale di whistleblowing esterno risulta oggi accessibile, in via sussidiaria e condizionata, anche a coloro che operano in organizzazioni private di minori dimensioni, qualora ricorrano le situazioni tipizzate dal legislatore, quali l’impossibilità di effettuare una segnalazione interna efficace, il fondato timore di ritorsioni ovvero la sussistenza di un rischio imminente o manifesto per l’interesse pubblico.

Tale ricostruzione appare coerente con la funzione attribuita al canale esterno dalla Direttiva UE 2019/1937, quale strumento di tutela effettiva attivabile in presenza di specifiche condizioni di rischio.

In tale contesto, può osservarsi come, nella fase immediatamente successiva all’adozione delle Linee guida del 2023, le indicazioni allora vigenti potrebbero aver orientato – in senso prudenziale – le condotte dei potenziali segnalanti operanti presso enti di ridotte dimensioni.

Al contempo, il quadro sinottico dei canali di segnalazione riportato nelle Linee guida aggiornate (p. 47), riferito agli enti dotati di modello 231 a prescindere dalla consistenza dell’organico, continua a rappresentare l’assetto ordinario dei flussi informativi, senza tuttavia evidenziare graficamente le ipotesi sussidiarie di ricorso al canale esterno previste dall’art. 6 del decreto. Tali ipotesi restano pertanto affidate alla disciplina normativa e a una lettura sistematica dell’intero impianto regolatorio.

Il gestore del canale: autonomia formale e sostanziale

Sul piano organizzativo, le Linee Guida dedicano ampio spazio alla figura del gestore del canale di segnalazione, ribadendo che i requisiti di autonomia, indipendenza e riservatezza costituiscono condizioni imprescindibili per la legittimità e l’efficacia del sistema.

Pur non vincolando la scelta a un soggetto predeterminato – quale l’Organismo di Vigilanza ex D.lgs. 231/2001, la funzione di internal audit o un consulente esterno -, l’ANAC chiarisce che la mera attribuzione formale dell’incarico non è sufficiente.

Si richiede che l’autonomia sia effettiva e sostanziale. Infatti un gestore privo di reale indipendenza compromette l’intero meccanismo di tutela previsto dalla normativa. In sintesi:

il gestore del canale interno deve essere autonomo (in termini di indipendenza e imparzialità), senza supervisione da parte degli organi di indirizzo;
l’intera istruttoria è di sua esclusiva competenza, con trasmissioni verso altri soggetti solo successivamente e per competenze specifiche;
l’ente deve strutturarne l’assetto (requisiti, assenza conflitti, sostituto, formazione) in modo da garantire effettivamente l’autonomia.

Dati identificativi del segnalante

Inoltre si prevede espressamente che il gestore possa venire a conoscenza dei dati identificativi del segnalante, solo nei casi in cui ciò sia necessario ai fini istruttori, rafforzando il principio di riservatezza come cardine del sistema.

In definitiva, la figura del gestore appare come il vero ‘garante interno’ della credibilità del sistema.

Profili tecnologici e responsabilità del titolare

Con riferimento agli strumenti tecnologici, le Linee Guida raccomandano l’adozione di piattaforme dedicate, idonee a garantire la segregazione degli accessi, la tracciabilità delle operazioni e la riservatezza delle informazioni trattate.

In via residuale, resta ammesso l’utilizzo di strumenti tradizionali quali la posta elettronica certificata o l’email, purché l’ente proceda a una valutazione consapevole dei rischi, eventualmente mediante una valutazione d’impatto sulla protezione dei dati (DPIA), ai sensi del Regolamento (UE) 2016/679.

In questo ambito, le Linee Guida operano una chiara allocazione delle responsabilità: la scelta dello strumento ricade integralmente sull’ente, che deve essere in grado di dimostrare l’adeguatezza delle misure adottate.

Ne deriva un rafforzamento dell’approccio basato sul risk management, in coerenza con l’impianto del GDPR.

Inoltre si precisa che le segnalazioni possono essere sia scritte che orali; non sono alternative, quindi entrambe le modalità devono essere garantite.

I gruppi di imprese e la gestione accentrata del canale di segnalazione

Le Linee Guida ANAC chiariscono in modo puntuale la disciplina applicabile ai gruppi societari, distinguendo nettamente tale scenario dall’istituto della condivisione del canale interno di cui all’art. 4, co. 4, D.lgs. 24/2023 – prevedendola per i soggetti privati fino a 249 lavoratori e agli enti pubblici di ridotte dimensioni.

Nei gruppi di imprese, infatti, la condivisione è ammessa soltanto se ciascuna società del gruppo, considerata singolarmente, rientra nella soglia dei 249 lavoratori; diversamente, non è consentita e occorre ricorrere ad altri modelli organizzativi.

In tale quadro, ANAC precisa che l’eventuale accentramento del canale a livello di gruppo non può mai tradursi in una riduzione delle garanzie sostanziali riconosciute alla persona segnalante.

Il canale interno

Ogni società deve mantenere un proprio canale interno, eventualmente collocato all’interno di una piattaforma unica, ma articolata in sottocanali autonomi. E deve garantire una rigorosa segregazione degli accessi, così che ciascun gestore possa trattare esclusivamente le segnalazioni relative alla società di appartenenza.

È inoltre necessario il mantenimento di autonomia e piena responsabilità di ciascuna entità nell’istruttoria.

Economie di scala ed efficienza operativa

Sul piano dei ruoli privacy, le Linee Guida ribadiscono che, nei gruppi di imprese, non trova applicazione la disciplina della contitolarità prevista dall’art. 26 GDPR per i soli casi di condivisione legalmente consentita.

Nei gruppi, infatti, la capogruppo può operare esclusivamente quale responsabile del trattamento ai sensi dell’art. 28 GDPR, quando fornisce l’infrastruttura o supporto istruttorio alle società controllate.

Ogni società rimane titolare del trattamento per il proprio canale e conserva la piena responsabilità decisionale sul seguito da dare alle segnalazioni.

Ne deriva un modello che consente economie di scala e un’elevata efficienza operativa, ma che richiede particolare attenzione nella progettazione dei flussi informativi, nella definizione contrattuale dei rapporti tra le società del gruppo e la capogruppo-responsabile, nonché nella documentazione delle scelte adottate.

La piattaforma informatica ad hoc

L’utilizzo di una piattaforma informatica dedicata costituisce, secondo ANAC e in coerenza con il parere del Garante, lo standard tecnico preferibile per assicurare adeguati livelli di sicurezza, tracciabilità e riservatezza.

Coinvolgimento sindacale ed enti del terzo settore

In uno dei tre approfondimenti contenuti nella versione finale delle Linee Guida sul canale interno, tenendo conto delle osservazioni formulate anche da alcuni ETS, ANAC adotta una versione che specifica in maniera meno netta l’azione di tali Enti.

Si eliminano le previsioni secondo cui:

gli ETS non possono effettuare un vero e proprio trattamento di dati personali e laddove entrino involontariamente in contatto con tali dati sono tenuti a non utilizzarli per scopi diversi rispetto allo svolgimento della propria attività di sostegno e a non registrarli in archivi cartacei o informatici, procedendo quindi alla loro tempestiva cancellazione;
che bisogna distinguere le attività svolte dagli ETS dell’esame vero e proprio della segnalazione che, invece, compete al gestore.

In sostanza, ANAC ritiene di non dover assumere una posizione specifica sugli aspetti privacy della attività degli Ets (“esulano dalla specifica competenza di ANAC”) e, inoltre, non ritiene pertinente in sede di consultazione il suggerimento di rivedere il testo della Convenzione ANAC-Ets per aspetti privacy.

Questione demandata ad altra autorità competente

Pertanto si rimanda alla loro autonomia il puntuale rispetto delle previsioni sul whistleblowing – evitando (come pure sottolineato dallo stesso testo dell’ANAC) che il loro apporto arrivi ad essere anche quello di facilitatori.

Resta dunque aperta, anche sul piano applicativo, la questione del coordinamento tra ANAC e Garante per la protezione dei dati personali rispetto ai compiti effettivamente svolti dagli ETS (nel senso, sembra di capire, che per gli aspetti privacy dovrà pensarci il Garante).

Semplificazioni procedurali e trattamento dei dati

Sul piano procedurale, le Linee Guida introducono alcune semplificazioni coerenti con il principio di minimizzazione dei dati personali.

In particolare, nel caso delle segnalazioni cartacee effettuate mediante il sistema delle “due + una buste”, viene eliminata la previsione di allegare la copia del documento di identità.

Pertanto talune procedure che prevedono la richiesta della copia del documento di identità nelle segnalazioni cartacee, sono oggi superate dalle indicazioni ANAC 2025, che ne hanno eliminato l’obbligo per ragioni di minimizzazione e sicurezza.

Gli enti che ancora prevedono tale allegazione dovranno adeguare le proprie procedure alla luce delle nuove indicazioni.

Con riferimento alle segnalazioni orali, si recepisce l’indicazione di poter prevedere l’incontro anche in un luogo esterno alla sede dell’ente, ferma restando la conferma dell’obbligo di sottoscrizione del verbale, quale garanzia di correttezza procedurale e di adeguata documentazione della segnalazione.

Relazione illustrativa, valenza a fini di approfondimento

Unitamente all’analisi delle Linee Guida, risulta di particolare utilità la lettura della Relazione illustrativa, che dà conto delle valutazioni svolte da ANAC sulle osservazioni formulate in sede di consultazione pubblica.

L’interesse è duplice: da un lato, le osservazioni testimoniano un’esigenza diffusa di chiarimento su numerosi aspetti applicativi; dall’altro, le risposte fornite – anche in relazione alle proposte non accolte – consentono di orientare la prassi degli enti.

Tra le questioni trattate vi è quella di un possibile coinvolgimento concorrente di ANAC e dell’Autorità garante per la protezione dei dati personali su medesime fattispecie, con riferimento al rischio di una duplicazione sanzionatoria.

ANAC esclude la violazione del principio del Ne bis in idem, ritenendo che le fattispecie tutelate siano diverse.

Aldilà della questione della (enorme) differenza nella portata degli strumenti sanzionatori ad avviso dello scrivente la questione non appare del tutto priva di zone di contatto, soprattutto nei casi in cui le carenze strutturali del canale di segnalazione incidano simultaneamente sulla tutela della riservatezza e sulla protezione dei dati personali.

Trattamento documentale delle segnalazioni per le PA

Un altro aspetto proposto in sede di consultazione è quello del trattamento documentale delle segnalazioni per le Pubbliche Amministrazioni assoggettate al Codice dell’Amministrazione Digitale: l’ANAC non ritiene di esprimersi inquadrando la questione come richiesta di consulenza.

In materia, comunque, si può osservare che il D.lgs. 24/2023 non disciplina il profilo documentale delle segnalazioni, ma impone modalità di gestione incompatibili con il protocollo ordinario.

Spetta alle amministrazioni individuare soluzioni organizzative che consentano di coordinare la gestione delle segnalazioni con il DPR 445/2000 (TU sulla documentazione amministrativa).

Trattate tutte le segnalazioni in modo uniforme

A tal fine, potrebbe essere valutata la qualificazione del trattamento documentale delle segnalazioni whistleblowing come registrazione particolare ai sensi dell’art. 53, comma 5, del medesimo decreto, definita in sede organizzativa per assicurare la coerenza con il quadro del DPR 445/2000.

Se si conviene con tale ipotesi, tutte le segnalazioni whistleblowing dovrebbero essere trattate in modo uniforme, così da garantire omogeneità procedurale e un pari livello di protezione.

Cancellazione e anonimizzazione dei dati allo scadere dei termini di conservazione

ANAC esprime l’avviso che l’anonimizzazione non possa supplire all’obbligo di cancellazione espressamente previsto dal legislatore, richiamando una distinzione concettuale tra l’eliminazione del dato personale e la sua trasformazione tecnica.

Questa impostazione pone una questione di carattere più generale, che trascende il perimetro del whistleblowing e investe il rapporto tra obblighi legali di cancellazione e gestione della conoscenza all’interno delle organizzazioni.

La cancellazione risponde a una prescrizione giuridica puntuale. Invece l’anonimizzazione si colloca su un piano diverso, quale tecnica di trattamento che presuppone l’assenza di riferimenti personali e l’impossibilità di re-identificazione.

La distinzione tra i due momenti

In questa prospettiva, il problema non sembra tanto quello di individuare un’alternativa alla cancellazione, quanto piuttosto di comprendere se, e a quali condizioni, una volta adempiuto l’obbligo di eliminazione dei dati personali, possa residuare uno spazio per la conservazione di informazioni prive di carattere personale, ottenute attraverso processi di anonimizzazione effettivi e irreversibili, concepiti come fase logicamente e temporalmente successiva.

La distinzione tra i due momenti appare rilevante al fine di evitare sovrapposizioni concettuali e di preservare la coerenza sistematica tra obblighi normativi e ulteriori esigenze organizzative di analisi e valutazione.

Whistleblowing come indicatore della solidità dei modelli di governance e di gestione del rischi

Nel complesso, le Linee Guida di recente emanate consentono di ritenere conclusa la fase di costruzione normativa del whistleblowing nell’ordinamento italiano.

Il sistema risulta oggi completo sotto il profilo regolatorio e interpretativo. La questione centrale si sposta, pertanto, sul piano dell’attuazione concreta e della qualità organizzativa delle soluzioni adottate.

Il whistleblowing emerge sempre più come un indicatore della solidità dei modelli di governance e di gestione del rischio, piuttosto che come un mero obbligo di compliance.

In questa prospettiva, la credibilità del sistema – più ancora della sua conformità formale – rappresenta il vero banco di prova dell’efficacia della disciplina nei prossimi anni.

Whistleblowing: ipotesi di policy

Le considerazioni che seguono non intendono descrivere assetti normativi vigenti né anticipare soluzioni regolatorie. Ma si limitano a evidenziare alcune tensioni sistemiche e possibili direttrici evolutive che emergono dal quadro delineato dalle Linee Guida ed esulano dal merito delle stesse:

ai sensi della normativa europea sul whistleblowing – come ripreso anche nel D.lgs. 24 2023 – ai canali esterni nazionali si affianca di diritto la possibilità di ricorrere, in presenza delle condizioni previste per le segnalazioni esterne, ai competenti organismi dell’Unione, estendendo in linea di principio le tutele del whistleblowing anche a tale livello. La Commissione europea in alcuni settori regolatori ha concretato questa possibilità, attraverso l’attivazione di canali di segnalazione dedicati in specifici ambiti regolatori (da ultimo con riguardo al quadro dei nuovi meccanismi di vigilanza previsti dal Regolamento UE sull’intelligenza artificiale – AI ACT). Ciò pone interrogativi non marginali sul piano del coordinamento con i sistemi nazionali (quello italiano, assegnato all’ANAC, è disciplinato dal proprio Regolamento, che disciplina anche l’aspetto sanzionatorio, emanato nel 2023), in particolare con riferimento alla chiarezza dei percorsi di segnalazione, all’uniformità delle garanzie offerte ai segnalanti e al rischio di frammentazione o duplicazione delle segnalazioni. In tale prospettiva, andrebbe quantomeno sondato un progressivo affinamento dei meccanismi di raccordo istituzionale, affinché la pluralità dei livelli di tutela si traduca in un effettivo valore aggiunto e non in un fattore di incertezza per i potenziali whistleblower;
le norme primarie, europea e nazionale, fanno salvi i canali di segnalazione già previsti per alcuni settori con obblighi speciali canali dedicati (cfr art. 1 , comma 3, D.lgs. 24/2023 e Allegati II alle norme europea e nazionale sul whistleblowing), anche estendendo le limitazioni al diritto di accesso ( per alcuni di questi cfr art. 24 comma 4 del D.lgs. 24 2023). Tenendo conto della portata generale delle Linee Guida ANAC andrebbe condotta una riflessione sulla opportunità – necessità che anche tali sistemi adottino canali strutturati come per il whistleblowing “ordinario”. In tale occasione andrebbe anche verificato se le disposizioni sulla tutela della riservatezza delle persone coinvolte siano allineate a quelle generali;
sulla base dell’esempio della Commissione europea e alla luce dei canali specifici della Commissione e ai canali settoriali richiamati al punto b) andrebbe vagliato se non sarebbe più efficace e preferibile che: i) per gli aspetti privacy, la competenza venisse assegnata al Garante privacy. Il coinvolgimento del Garante per la protezione dei dati personali nel sistema di whistleblowing è giustificato dal ruolo decisivo che la privacy svolge nella tutela effettiva del segnalante: la riservatezza è la condizione necessaria per prevenire ritorsioni. Il sistema previsto dal D.lgs.  24/2023 comporta trattamenti ad alto rischio che richiedono orientamenti uniformi, vigilanza e standard tecnici coerenti con il GDPR. Il Garante, già coinvolto dal legislatore, rappresenta l’autorità competente per assicurare sicurezza, proporzionalità, minimizzazione e continuità di tutela, in linea con il modello europeo multilivello.; ii) il coinvolgimento dell’Ispettorato Nazionale del Lavoro nel sistema di whistleblowing è giustificato dalla sua competenza esclusiva in materia di accertamento di ritorsioni sui luoghi di lavoro, dalla natura lavoristica della maggior parte delle misure ritorsive censite dal D.lgs. 24/2023 e dalla necessità di coordinare la tutela anticorruzione con gli strumenti di vigilanza a protezione dei lavoratori. L’INL può offrire un contributo determinante per garantire una protezione effettiva e tempestiva ai whistleblower, assicurando un sistema integrato UE – Stati membri – Autorità indipendenti.

Ipotesi evolutiva

Il riferimento a tali soggetti non deve essere inteso, allo stato, come una proposta di modifica dell’assetto vigente né come anticipazione di orientamenti istituzionali in fase di definizione.

Si tratta esclusivamente di una ipotesi evolutiva, volta a mettere in luce alcune linee di possibile sviluppo del sistema.

L’osservazione sottende la constatazione che la tutela del segnalante, la protezione dei dati personali e la sicurezza delle informazioni si collocano sempre più in un contesto regolatorio complesso, che coinvolge autorità diverse e richiede, sul piano teorico, un ripensamento dei meccanismi di coordinamento.

Un modello multilivello

In questa prospettiva, la richiamata idea di un maggiore coinvolgimento del Garante per la protezione dei dati personali e dell’Ispettorato Nazionale del Lavoro non va letta come un’esigenza immediata di riforma, ma come un possibile esito evolutivo di lungo periodo: un modello multilivello nel quale anticorruzione, tutela lavoristica e protezione dei dati possano operare in modo maggiormente integrato.

Al momento, tali riflessioni hanno natura meramente teorica e non incidono sul quadro regolatorio vigente né sulle competenze istituzionali attuali.

La valorizzazione del whistleblowing

Al termine di questa analisi, un’ultima considerazione merita la questione della valorizzazione dello strumento di whistleblowing. Sulla formazione presso i luoghi di lavoro, recependo spunti emersi in consultazione, l’ANAC “raccomanda di sensibilizzare sull’importanza del whistleblowing come strumento di protezione del bene comune e della promozione dei diritti fondamentali di libertà di espressione e di informazione, principi posti a base dei sistemi democratici”.

Ma una campagna informativa pubblica aiuterebbe a accrescere l’effettività del whistleblowing come uno degli strumenti per la gestione dei rischi presso le organizzazioni pubbliche e private.

文章来源: https://www.cybersecurity360.it/legal/whistleblowing-come-infrastruttura-di-gestione-del-rischio-guida-applicativa-alle-linee-guida-anac/
如有侵权请联系:admin#unsafe.sh