In Italia la disciplina del whistleblowing è stata significativamente riformata dal D.lgs. 24/2023, che ha recepito la Direttiva UE 2019/1937. Il d.lgs. 24/2023 prevede l’obbligo per soggetti pubblici e privati di istituire canali interni (e in alcuni casi esterni) di segnalazione

di violazioni del diritto dell’Unione o della normativa nazionale. Il ruolo dell’ANAC si inserisce nella gestione di segnalazioni esterne; il Garante Privacy interviene in tema di protezione dei dati personali connessi alle procedure di segnalazione. 

Protezione dei dati e valutazione d’impatto. Nel contesto del Regolamento (UE) 2016/679 (“GDPR”), l’art. 35 prevede che il titolare del trattamento effettui una valutazione d’impatto sulla protezione dei dati (DPIA) quando un trattamento «può presentare un rischio elevato per i diritti e le libertà delle persone fisiche». Il Garante Privacy in Italia ha elaborato un “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto” (provvedimento 11 ottobre 2018) contenente criteri indicativi (profilazione, dati sensibili, larga scala, uso di tecnologie nuove…) che aiutano a stabilire la necessità della DPIA.  Diversa dottrina e pratica evidenziano che le procedure di segnalazione – soprattutto quando informatizzate, gestite da piattaforme esterne, o aventi potenziale impatto su più interessati – possono rientrare in quelle trattazioni che richiedono la DPIA. 

L’intervento recente del Garante Privacy Il Garante ha reso pubblico il provvedimento n. 581 del 9 ottobre 2025 (ufficializzato il 27 novembre 2025) in cui esprime il proprio parere sugli schemi di Linee guida che l’ANAC sta predisponendo in materia di whistleblowing. Nel suddetto provvedimento vengono segnalati “i rischi connessi alle e-mail come strumento di segnalazione”. Il Garante sottolinea che l’utilizzo della posta elettronica – come canale di segnalazione – può richiedere una valutazione d’impatto in quanto il trattamento di dati personali (anche sensibili/giudiziari) connessi alla segnalazione può comportare rischi elevati in termini di diritti e libertà degli interessati.   Dal punto di vista tecnico-organizzativo e del rischio privacy, l’uso della posta elettronica come “canale di segnalazione” presenta specifici profili di vulnerabilità che giustificano l’approfondimento della DPIA:

Identificazione e riservatezza del segnalante Il regime di whistleblowing (art. 54-bis d.lgs. 165/2001 per il pubblico e dall’art. 2 d.lgs. 24/2023 per il privato) prevede la tutela dello “whistleblower”, in particolare l’obbligo di riservatezza dell’identità e di anonimato o minimo identificativo. Un canale e-mail può rendere più complesso assicurare la riservatezza: ad esempio, se l’indirizzo e-mail include nome/cognome, se il contenuto lascia tracce negli header, nei log, nei backup, nei sistemi di archiviazione. Anche il segnalato (o le persone menzionate) sono “interessati” ai sensi del GDPR e conservano diritti (accesso, rettifica, cancellazione) che devono essere bilanciati con la tutela del segnalante. 

Trattamento di categorie particolari di dati Le segnalazioni possono implicare il trattamento di “dati relativi a condanne penali e reati” (art. 10 d.lgs. 24/2023) o di dati che permettono l’identificazione di più persone fisiche. Tali trattamenti sono tipicamente tra quelli che possono presentare “rischio elevato” e richiedere la DPIA, stante la combinazione con altri criteri (dato sensibile/giudiziario, su larga scala, possibile impatto sui diritti degli interessati). 

Canali ordinarî vs. sistemi dedicati, rischi tecnici-organizzativi. Un muster e-mail non progettato appositamente per la segnalazione può risultare carente in termini di: crittografia, autenticazione del mittente, segregazione dei dati, log accessi, conservazione minima, controllo delle autorizzazioni, tracciamento degli accessi e modifica, capacità di garantire la “non ritorsione” del segnalante (vedi l’approfondimento). Il Garante ha rilevato casi in cui la piattaforma di segnalazione non aveva effettuato la DPIA e/o non aveva predisposto misure adeguate (log utente, indirizzi IP, registrazione utenza, informativa, nomina dei responsabili del trattamento) con conseguente accertamento di violazioni.  Il canale via e-mail può essere integrato all’interno di flussi aziendali più ampi (comunicazioni interne, procedure disciplinari, riscontri con terze parti, passaggio dati verso autorità esterne) e ciò amplifica la potenziale estensione del trattamento e il numero di interessati coinvolti. La necessità di garantire la riservatezza e l’incolumità del segnalante richiede che venga definito chi ha accesso, in che fasi, quali ruoli sono coinvolti, se ci sono trasferimenti di dati all’esterno, se la piattaforma è gestita in outsourcing, se sono previste profilazioni automatiche o sistemi analitici (anche via e-mail) che monitorano/rintracciano gli utenti. Tali elementi possono amplificare la probabilità di richiedere la DPIA.

Qual è la soglia e quali sono le condizioni che impongono la DPIA. Alla luce delle fonti citate, e raccordandosi alla prassi del Garante e della dottrina, si possono delineare alcuni criteri-guida per valutare se la DPIA sia obbligatoria nel contesto di un canale di segnalazione via e-mail: Se il canale e-mail è occasionale, “leggero”, con un numero molto limitato di segnalanti/interessati e con dati trattati in modo minimizzato, la DPIA potrebbe non ritenersi necessaria. Tuttavia, la prudenza suggerisce che ciò vada ben motivato.  Se il canale e-mail è parte integrante di un sistema di segnalazione strutturato, con ricezione centralizzata, conservazione dei dati, coinvolgimento di soggetti terzi (es. provider esterni), trasferimento di dati a autorità esterne, trattamenti di categorie particolari (giudiziari, penali), numero elevato di interessati, profilazione, tracciamento accessi tecnici, allora sussiste il “rischio elevato” che impone la DPIA. Come indicato nella dottrina, più criteri del WP 248 (profilazione, larga scala, dati sensibili, nuova tecnologia) convergono → aumenta la probabilità dell’obbligo di DPIA. Il Garante stesso, nel provvedimento 581/2025, segnala che l’e-mail come strumento di segnalazione può far scattare l’obbligo della DPIA, in considerazione dei rischi “connessi”. 

Raccomandazioni operative per i titolari (enti pubblici e privati) Per chi opera in ambito lavoristico/compliance e deve predisporre o verificare un sistema di segnalazione interno (canale via e-mail), si suggeriscono i seguenti passaggi operativi: Mappatura del trattamento: individuare tutte le fasi del canale: ricezione e-mail, protocollazione, accesso da parte di incaricati, conservazione, cancellazione, comunicazioni interne/esterne, trasferimenti di dati (anche all’ANAC o ad autorità competenti). Analisi dei dati trattati: verificare se ci sono categorie particolari (salute, penali, giudiziari), identificabilità della persona segnalante o di terzi, profilazione, trattamenti su larga scala, accessi da terzi (provider). Valutazione preliminare del rischio: considerare impatti materiali e immateriali per segnalante, segnalato e altre persone coinvolte: es. rischio di identificazione del segnalante, rischio reputazionale, rischio di violazione dei diritti degli interessati. Decidere se è obbligatoria la DPIA: se la mappatura evidenzia rischio elevato (almeno secondo criteri WP 248) via e-mail, procedere con DPIA ex art. 35 GDPR; documentare le ragioni in cui si ritiene non necessaria se si decide che non lo è. Condurre la DPIA: includere descrizione del trattamento, valutazione della necessità e proporzionalità, analisi dei rischi per diritti e libertà degli interessati, misure previste per mitigare (sicurezza tecnica, procedure segregazione accessi, conservazione minima, crittografia e-mail, controllo autenticità mittente, logging accessi, contratto con provider esterni, backup sicuro, pseudonimizzazione se possibile). Attuazione misure e monitoraggio: realizzare misure tecniche/organizzative, aggiornare l’informativa dei dati personali, nomina del responsabile del trattamento se esternalizzato, predisporre procedure per gestire il canale (inclusi accessi, riservatezza, archiviazione, eliminazione), formazione del personale incaricato.

Documentazione e revisione: conservare la DPIA con evidenza delle decisioni, aggiornare in caso di cambiamenti (es. modifica del canale, aumento del numero di segnalazioni, introduzione di piattaforme terze, trasferimenti internazionali).

Interfaccia con ANAC/Garante: verificare che le Linee guida dell’ANAC (e il parere del Garante) siano integrate nel regolamento interno del sistema di segnalazione, con particolare riferimento alle raccomandazioni del Garante nel provvedimento 581/2025. 

Rischi specifici e criticità da evidenziare Se il canale e-mail non è progettato come “dedicato” (ad es. utilizzo di casella generica non isolata dal sistema di posta ordinaria dell’organizzazione), vi è rischio di accesso non autorizzato o di associazione al mittente. Se non è previsto un livello minimo di anonimizzazione o pseudonimizzazione – ad esempio, la e-mail contiene direttamente nome/cognome del segnalante o riferimenti che consentono facilmente l’identificazione – si incrementa il rischio. Se la conservazione delle e-mail è illimitata, non controllata o con policy di retention non definite, il rischio di esposizione aumenta (ad es. memorizzazione su server generici con accessi ampi). Se il provider del sistema e-mail è esterno, con hosting in paesi terzi o con procedure contrattuali deboli, i rischi di trasferimento dati e di responsabilità esterna aumentano. Se non vi è buon bilanciamento tra tutela del segnalante e diritto del segnalato (es. diritto d’accesso agli atti), la procedura può essere considerata non conforme: il Garante ha infatti evidenziato che il segnalato mantiene i diritti ex art. 15-22 GDPR. 

Conclusione In sintesi: l’utilizzo della posta elettronica come canale di segnalazione nell’ambito del sistema di whistleblowing richiede una particolare attenzione sotto il profilo privacy. Secondo il Garante Privacy, come evidenziato dal provvedimento 581/2025, l’e-mail comporta rischi connessi – e tali rischi possono configurare la necessità di una DPIA. In concreto, per enti pubblici e privati che attivano o gestiscono canali di segnalazione, è fortemente consigliato: mappare accuratamente il trattamento, valutare se sussiste rischio elevato, dare avvio alla DPIA ove necessario, implementare misure adeguate e documentare tutto. Dal punto di vista della prassi giuslavoristica e della compliance, ciò significa che gli uffici legali, gli addetti alla protezione dati (DPO) e le funzioni HR/compliance devono collaborare per integrare il canale di segnalazione con le politiche di protezione dati (privacy by design e by default), verificare che i processi interni riflettano le linee guida ANAC e il parere del Garante, e aggiornare i regolamenti interni (o i codici etici/whistleblowing) con riferimento esplicito al trattamento dei dati personali, alle modalità di accesso, conservazione, riservatezza e anonimizzazione.

Approfondimento🡪Con muster e-mail (più correttamente casella e-mail generica o standard) si intende una normale casella di posta: spesso condivisa, integrata nella normale infrastruttura IT aziendale, non isolata, non dotata di misure specifiche di sicurezza e riservatezza. Esempio: segnalazioni@azienda.it creata come una normale casella Outlook/Google Workspace, senza configurazioni ad hoc e gestita come tutte le altre caselle aziendali. Una casella così configurata non è un canale di segnalazione “dedicato”, quindi può essere strutturalmente inadeguata rispetto ai requisiti del whistleblowing e del GDPR. Perché?  Perché una normale e-mail: non garantisce che il contenuto sia cifrato “end-to-end”; può essere leggibile in determinati passaggi intermedi; può essere registrata in chiaro sui server. Per un sistema di whistleblowing questo è un rischio enorme: la segnalazione può contenere dati sensibili o accusatori. Inoltre una casella standard: non assicura che il mittente sia effettivamente chi dice di essere; può essere vulnerabile a spoofing; non permette meccanismi di anonimizzazione volontaria (es. invio senza identificazione automatica). Ricordiamo che chi segnala potrebbe voler essere anonimo (la casella e-mail “svela” la sua identità nell’indirizzo — e spesso negli header tecnici). Non solo una casella e-mail standard: è spesso accessibile da più soggetti (IT, amministrazione, dirigenti); è ospitata nel flusso generale di posta aziendale; può finire nei backup generali, nei sistemi di ricerca interna, nei filtri antispam. Questo espone i dati della segnalazione a visioni non autorizzate, violando la riservatezza del whistleblower. Una casella e-mail: conserva i messaggi fino a quando qualcuno non li cancella manualmente; può avere retention indefinite; viene inclusa nei backup quotidiani. Il GDPR invece impone la conservazione limitata allo stretto necessario: una segnalazione non può essere archiviata all’infinito o finire in backup di 10 anni. Nelle caselle ordinarie gli amministratori IT possono accedere per policy tecnica; più persone possono essere delegate alla gestione; i ruoli non sono limitati ai soli soggetti incaricati della gestione whistleblowing. Questo viola il principio “need to know”: in un sistema conforme, solo 1–2 persone autorizzate devono avere accesso alle segnalazioni. E questo solo per enumerare alcune delle criticità insite nella posta ordinaria. Una casella e-mail standard non possiede le garanzie tecniche e organizzative necessarie per proteggere la riservatezza, l’integrità e la sicurezza delle segnalazioni, e rischia di compromettere la tutela del segnalante e la conformità alla normativa GDPR e al D.lgs. 24/2023.

Conoscere i propri diritti è importante ma, ancora di più, è esercitarli nel modo corretto. I dirigenti di Azione Sindacale Udine garantiscono ai propri iscritti una tutela gratuita, qualificata e tempi di attesa che non superano, nella peggiore delle ipotesi, le 48 ore. 

• puoi chiamarci: Linea mobile 331-7497940  

o contattarci via e-mail: azionesindacale.fvg@gmail.com