Le modalità di segnalazione nel canale interno
Assonime è intervenuta sulle recenti linee guida pubblicate da ANAC in materia di whistleblowing (Delibera n. 478 del 26 novembre 2025), predisponendo un vademecum operativo teso a realizzare una sintesi ragionata dei principali adempimenti relativi al canale interno di segnalazione.
Tra i profili maggiormente significativi, compaiono quelli relativi alle modalità di segnalazione.
Sul punto, ANAC conferma la scelta adottata dal d.lgs. 24 del 2023 (decreto di recepimento della Direttiva whistleblowing del 2019), ribadendo che la modalità di segnalazione è duplice: “le segnalazioni sono effettuate in forma scritta, anche con modalità informatiche, oppure in forma orale” (art. 4, co. 3 d.lgs. cit.).
Con riguardo alle segnalazioni in forma scritta, nell’accordare preferenza al ricorso alla piattaforma informatica, in ragione del maggior livello di protezione dei dati personali che le nuove soluzioni tecnologiche sono in grado di garantire, ANAC suggerisce un’accurata due diligence sul fornitore della piattaforma, al fine di valutare sia l’idoneità delle misure di sicurezza dello strumento informatico sia la completa conformità al trattamento dei dati.
Come precisa Assonime, difatti, “viene riconosciuto grande rilievo alle certificazioni privacy che assumono valore dimostrativo delle garanzie richieste dalla normativa in materia di protezione dei dati, in linea con l’evoluzione normativa e giurisprudenziale più recente in tema di modelli organizzativi 231, in cui il sistema delle certificazioni e dei presidi interni all’impresa o alla sua catena interna di fornitura acquisiscono rilevanza anche esterna”.
Resta comunque ferma la possibilità di ricorrere al collaudato sistema della cd. “protocollazione riservata in doppia busta”, sul quale, tuttavia, ANAC fornisce alcuni utili chiarimenti. Non è più richiesto l’inserimento della copia del documento di identità all’interno della busta contenente i dati personali del segnalante in considerazione del fatto che, nelle piattaforme informatiche, non è possibile richiedere l’allegazione di documenti: precisazione, questa, tesa non solo ad evitare disparità di trattamento tra le diverse modalità di segnalazione, ma anche a garantire l’osservanza del principio di minimizzazione dei dati, sancito dall’art. 5 del GDPR (Regolamento UE 2016/679), il quale impone di raccogliere e trattare solo i dati personali strettamente necessari, adeguati e pertinenti rispetto alle finalità esplicite del trattamento.
Non mancano, infine, riferimenti alla segnalazione tramite posta elettronica (ordinaria o certificata), il ricorso alle quali sarebbe ammesso a condizione che l’ente adotti specifiche contromisure di “mitigazione del rischio” individuate in sede di definizione della valutazione di impatto del trattamento sulla protezione dei dati.
Con riguardo alla segnalazione orale, essa può essere effettuata, in via alternativa: (i) attraverso linee telefoniche (a titolo esemplificativo, con attivazione di una linea telefonica gratuita ad hoc gestita da un operatore autorizzato che acquisisce e registra le segnalazioni); (ii) attraverso sistemi di messaggistica vocale (eventualmente adottando un sistema di segreteria che riceve le segnalazioni sotto forma di messaggi vocali oppure implementando una casella vocale sulla piattaforma informatica che si utilizza per segnalare con forma scritta); (iii) con un incontro diretto (solo su richiesta del segnalante, ed entro un termine ragionevole, oggi anche in luogo esterno alla sede dell’ente).
Come sottolinea Assonime, a prescindere dallo strumento adottato per l’acquisizione e la gestione delle segnalazioni, la scelta dello stesso deve essere effettuata alla luce delle caratteristiche del contesto organizzativo di riferimento tenendo conto, in ogni caso, dei rischi effettivi della sicurezza dei dati e della riservatezza del segnalante.