La condivisione del canale di segnalazione
Le linee guida ANAC del novembre 2025 forniscono importanti chiarimenti anche in merito alla condivisione del canale interno di segnalazione.
In base all’art. 4, co. 4 del d.lgs. 24/2023, “i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati (...) non superiore a 249, possono condividere il canale di segnalazione interna e la relativa gestione”.
In alternativa, specificano le linee guida, tali imprese possono optare per l’affidamento della gestione del canale di segnalazione ad un soggetto esterno (c.d. esternalizzazione).
Diversamente, per le imprese che hanno impiegato una media di lavoratori subordinati superiore alla predetta soglia dimensionale, è percorribile esclusivamente la strada dell’esternalizzazione.
Con riferimento alla condivisione del canale, essa si realizza mediante l’istituzione di una piattaforma unica, ma ramificata con tanti sotto canali autonomi quante sono le società del gruppo. Soluzione, questa che consente ad ogni ente di assolvere all’obbligo di istituzione del canale.
Ad ogni modo, ciascun ente è tenuto a nominare un proprio gestore per istruire e trattare le segnalazioni ricevute.
Come precisa Assonime, “un punto fondamentale, che è stato accolto a seguito della consultazione avviata dall’Autorità, riguarda il fatto che il segnalante non sceglie a quale società del gruppo inviare la segnalazione; tale società può, poi, valutare, previa informativa alla persona segnalante, se avvalersi della capacità investigativa della capogruppo”. Le linee guida puntualizzano altresì che se il segnalante presta la propria attività lavorativa presso la capogruppo e vuole segnalare a tale società, la capogruppo può avvalersi del supporto degli uffici di una società controllata solo se opportuno e se segnalazione si riferisce anche all’attività di quest’ultima.
Inoltre, la scelta della condivisione del canale deve risultare da un apposito contratto, nell’ambito del quale è necessario definire i compiti e le responsabilità del rapporto, anche in relazione all’adempimento degli obblighi in materia di privacy.
Con riferimento al trattamento dei dati, ogni gestore deve avere accesso soltanto alle segnalazioni dell’ente di appartenenza: trova applicazione, in tal caso, l’art. 28 del GDPR che attribuisce, infatti, alla capogruppo il ruolo di responsabile del trattamento.
In caso di condivisione, infine, assumono particolare rilevanza i poteri ispettivi di ANAC, che può i) vigilare sul singolo canale che fa capo all’ente quale articolazione della piattaforma centralizzata; ii) verificare che segnalazioni ricevute sia dato adeguato seguito; iii) controllare il rispetto degli adempimenti relativi alle interlocuzioni con il segnalante da parte dell’ente.