Sembra che il tema delle segnalazioni di whistleblowing, comunicazioni riservate con cui un lavoratore o collaboratore segnala comportamenti illeciti, irregolarità o violazioni all’interno dell’organizzazione). rappresenti un argomento di primaria importanza per i nostri lettori. Come sappiamo queste segnalazioni servono a far emergere problemi che possono danneggiare l’ente o l’interesse pubblico. Il problema sollevato è sempre lo stesso: Usare la posta elettronica richiede o non richiede una valutazione d’impatto? Il Garante privacy segnala all’Anac i rischi legati alle e-mail come strumento di segnalazione e, con il provvedimento n. 581 del 9 ottobre 2025 (pubblicato il 27 novembre 2025), esprime il proprio parere sugli schemi di Linee guida che l’Anac sta preparando in materia di whistleblowing. Si tratta di un passaggio molto importante: dopo l’entrata in vigore del Dlgs

24/2023, le organizzazioni – pubbliche e private – devono trovare un equilibrio delicato tra tutela del segnalante, protezione dei dati personali e gestione efficace delle segnalazioni. Nel suo parere, il Garante interviene su due fronti: Le procedure di segnalazione con e-mail aziendale interna, cioè quelle adottate dalle singole amministrazioni o aziende. Le regole per le segnalazioni esterne, gestite direttamente da Anac. Il punto più rilevante riguarda l’uso della posta elettronica come canale di whistleblowing. Secondo il Garante, le e-mail – pur essendo uno strumento diffuso e semplice – non garantiscono di per sé il livello di riservatezza e sicurezza richiesto dalla normativa. L’ente sottolinea che: una casella di posta può essere accessibile a più persone; i server potrebbero conservare tracce identificative del segnalante; eventuali inoltri non controllati possono compromettere l’anonimato e la protezione dei dati. Obbligo di valutazione d’impatto🡪 Proprio a causa di questi rischi, l’uso della posta elettronica come canale di segnalazione richiede una valutazione d’impatto sulla protezione dei dati (DPIA), uno strumento che serve a verificare e mitigare i rischi per le persone coinvolte. Il messaggio del Garante è chiaro: le e-mail non possono essere considerate un canale “sicuro” per definizione. Se un’organizzazione decide comunque di utilizzarle, deve farlo solo dopo aver dimostrato – tramite DPIA – di aver adottato misure tecniche e organizzative realmente idonee. Il quadro che emerge dal provvedimento conferma la complessità del tema whistleblowing. La normativa vuole proteggere chi segnala comportamenti illeciti, ma allo stesso tempo impone di trattare i dati personali in modo rigoroso, evitando qualunque rischio di identificazione non necessaria. Le Linee guida dell’Anac, integrate dalle osservazioni del Garante, puntano dunque a creare un sistema di segnalazione sicuro, affidabile e realmente protettivo, che favorisca l’emersione delle irregolarità senza esporre i segnalanti a ritorsioni.

Approfondimento🡪 Cos’è e come funziona davvero una DPIA. Quando un’azienda decide di introdurre nuove tecnologie o nuovi processi che richiedono di raccogliere e utilizzare dati personali, deve assicurarsi che tutto avvenga nel rispetto della privacy delle persone. Uno degli strumenti più importanti previsti dal GDPR per farlo è la DPIA, cioè la Valutazione d’Impatto sulla Protezione dei Dati. La DPIA non è un documento burocratico da compilare solo perché è obbligatorio, ma un vero e proprio percorso di analisi. Serve per capire quali rischi potrebbero nascere dal trattamento dei dati e come evitarli. In pratica, l’azienda si ferma un momento e si chiede: “I dati personali raccolti sono davvero necessari? Come li proteggiamo? Cosa potrebbe andare storto?” Tutto inizia con una descrizione chiara del trattamento: quali dati vengono raccolti, per quale scopo, chi può accedervi e per quanto tempo vengono conservati. Poi si passa alla valutazione dei rischi: si analizzano possibili problemi come accessi non autorizzati, perdita di informazioni, utilizzi impropri o conseguenze negative per le persone interessate. Una volta identificati i rischi, si definiscono le misure per ridurli. Queste misure possono essere tecniche – come password robuste, crittografia, sistemi di controllo degli accessi – oppure organizzative, come procedure interne più rigorose o formazione per i dipendenti. La DPIA si conclude verificando se, grazie a queste misure, i rischi sono stati ridotti a un livello accettabile. Solo allora il trattamento dei dati può essere avviato o continuato in sicurezza. Inoltre, la DPIA non è un documento “una tantum”: deve essere aggiornata ogni volta che cambiano le tecnologie, gli strumenti o le modalità di utilizzo dei dati. In sintesi, la DPIA è un modo per proteggere sia l’azienda sia i lavoratori e gli utenti. Garantisce che ogni trattamento di dati personali sia ponderato, sicuro e rispettoso dei diritti delle persone. È uno strumento che promuove trasparenza e fiducia, elementi essenziali in un ambiente di lavoro moderno e responsabile.

Conoscere i propri diritti è importante ma, ancora di più, è esercitarli nel modo corretto. I dirigenti di Azione Sindacale Udine garantiscono ai propri iscritti una tutela gratuita, qualificata e tempi di attesa che non superano, nella peggiore delle ipotesi, le 48 ore. 

• puoi chiamarci: Linea mobile 331-7497940