Il sistema whistleblowing tra D.Lgs. 24/2023, G.D.P.R. e Modelli 231: le indicazioni del Garante Privacy

Il parere del Garante per la Protezione dei Dati Personali del 9.10.2025 rappresenta un documento di fondamentale importanza per l’interpretazione e l’applicazione operativa del D.lgs. 10 marzo 2023, n. 24, attuativo della Direttiva (UE) 2019/1937 in materia di whistleblowing.

L’analisi del Garante, richiesta da ANAC in vista dell’adozione delle “Linee guida in materia di whistleblowing sui canali interni di segnalazione”, si concentra sul delicato bilanciamento tra la necessità di far emergere gli illeciti e la tutela dei diritti e delle libertà fondamentali degli individui coinvolti, con un focus specifico sulla protezione dei dati personali.

Il commento si focalizza in particolare sulle implicazioni per gli enti che hanno adottato o sono tenuti ad adottare un Modello di Organizzazione, Gestione e Controllo ai sensi del D.Lgs. 8 giugno 2001, n. 231.

1. Il Quadro Normativo di Riferimento: L’Integrazione tra D.Lgs. 24/2023 e D.Lgs. 231/2001

Il D.Lgs. 24/2023 ha segnato un punto di svolta, abrogando la precedente disciplina e introducendo un regime organico per la protezione dei segnalanti sia nel settore pubblico che in quello privato.

La ratio dell’istituto è quella di incoraggiare la segnalazione di illeciti, proteggendo il dipendente da possibili ritorsioni, nell’interesse superiore dell’integrità dell’ente e del buon andamento dell’azione amministrativa.

Una delle novità più significative, e di diretto interesse per la presente analisi, è l’esplicita e obbligatoria integrazione tra la disciplina del whistleblowing e i Modelli di Organizzazione e Gestione (MOG) ex D.Lgs. 231/2001. L’articolo 4, comma 1, del D.Lgs. 24/2023 stabilisce infatti che “I modelli di organizzazione e di gestione, di cui all’articolo 6, comma 1, lettera a), del decreto legislativo n. 231 del 2001, prevedono i canali di segnalazione interna di cui al presente decreto”.

Il parere del Garante interviene proprio per delineare i contorni pratici di questa integrazione, ponendo l’accento sugli obblighi in materia di protezione dei dati che gli enti devono rispettare nella configurazione di tali canali all’interno dei propri MOG.

Le violazioni segnalabili, come ricordato dal Garante, non si limitano ai reati presupposto del D.Lgs. 231/2001, ma includono un’ampia gamma di condotte illecite, tra cui le violazioni del diritto nazionale (illeciti civili, amministrativi, penali, contabili, condotte illecite rilevanti ai sensi del d.lgs. n. 231/2001, violazioni dei modelli di organizzazione e gestione previsti nel d.lgs. n. 231/2001), nonché in violazioni della normativa dell’Unione europea.

Questo ampliamento dell’oggetto della segnalazione rafforza il ruolo del MOG 231, che diventa il contenitore procedurale per la gestione di flussi informativi critici che vanno oltre il perimetro dei soli reati 231.

2. Prospettive Operative e Obblighi per gli Enti: le Indicazioni del Garante

Il parere del Garante traduce i principi del D.Lgs. 24/2023 e del GDPR in prescrizioni operative concrete, che gli enti devono recepire nell’aggiornamento dei propri Modelli 231.

1. a) Scelta e Gestione dei Canali di Segnalazione.

Il Garante, in linea con le bozze di Linee Guida ANAC, promuove l’adozione di piattaforme informatiche dedicate, in quanto strumenti idonei a garantire, tramite crittografia e altre misure di sicurezza, la riservatezza richiesta dalla normativa. Di contro, viene espressa una forte criticità verso l’uso di canali non specializzati. Il ricorso alla posta elettronica (ordinaria o certificata) è considerato di per sé non adeguato a garantire la riservatezza dell’identità della persona segnalante, se non accompagnato da specifiche contromisure opportunamente giustificate.

Questa indicazione, già presente nelle Linee Guida ANAC del 2023 (Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali), viene qui rafforzata.

La ragione risiede nel rischio intrinseco che i metadati e i log dei sistemi di posta elettronica possano consentire di risalire, anche indirettamente, all’identità del segnalante, vanificando le tutele previste. Per gli enti dotati di MOG 231, ciò significa che la mera indicazione di un indirizzo email (anche se dedicato) non è più sufficiente a integrare un sistema di segnalazione conforme.

Inoltre, il Garante sottolinea la necessità di garantire la non tracciabilità della connessione ai canali di segnalazione quando questa avviene dalla rete aziendale, per evitare che apparati come firewall o proxy possano registrare l’identità del segnalante.

1. b) Ruoli e Responsabilità nel Trattamento dei Dati

Il parere offre chiarimenti cruciali sulla qualificazione soggettiva ai sensi del GDPR, essenziale per una corretta impostazione del MOG e dei relativi flussi informativi.

• Titolare del Trattamento: L’ente (pubblico o privato) che istituisce il canale è sempre il titolare del trattamento. Spetta a quest’ultimo l’onere di effettuare la Valutazione di Impatto sulla Protezione dei Dati (DPIA) ai sensi dell’art. 35 del GDPR, data l’elevata rischiosità del trattamento.
• Responsabile del Trattamento: Qualora la gestione del canale o la fornitura della piattaforma tecnologica sia affidata a un soggetto esterno, quest’ultimo deve essere designato quale responsabile del trattamento ai sensi dell’art. 28 del GDPR, con un apposito contratto che ne disciplini compiti e obblighi.
• Gestione Infragruppo: Il Garante affronta specificamente il caso dei gruppi societari, spesso dotati di un unico MOG o di procedure centralizzate. Viene chiarito che se una società capogruppo gestisce il canale per le controllate, essa agisce come responsabile del trattamento per conto delle singole società del gruppo, che rimangono titolari. Il parere evidenzia e chiede di correggere un’ambiguità presente nella bozza delle Linee Guida, che qualificava erroneamente tale rapporto come di contitolarità.
• Contitolarità: L’ipotesi di contitolarità (art. 26 GDPR) si configura invece quando più enti di minori dimensioni condividono, come consentito dalla legge, lo stesso canale e la relativa gestione. In tal caso, è necessario un accordo interno che definisca le rispettive responsabilità.

1. c) Conservazione e Riservatezza

Il parere ribadisce il principio sancito dall’art. 14 del D.Lgs. 24/2023: le segnalazioni e la relativa documentazione devono essere conservate per il tempo necessario al trattamento e comunque non oltre cinque anni dalla comunicazione dell’esito finale della procedura.

Viene però fornita una precisazione fondamentale: fermo restando che potranno essere conservati, nei termini di legge, gli atti e i documenti che afferiscono ai procedimenti avviati e alle iniziative assunte dal datore di lavoro (ad esempio, procedimento disciplinare; trasmissione degli atti alle autorità competenti; ecc.) che abbiano avuto origine in tutto o in parte dalla segnalazione; ciò in considerazione della circostanza che, fatto salvo quanto previsto dall’art. 12, co. 5, del Decreto, tali atti e documenti non dovrebbero, di regola, contenere riferimenti puntuali alla persona segnalante.

Questa distinzione è cruciale per gli enti con MOG 231. Mentre la segnalazione in sé ha un termine di conservazione definito, gli atti successivi (es. indagini interne dell’Organismo di Vigilanza, procedimenti disciplinari) seguono i propri termini di conservazione, ma devono essere gestiti in modo da “spersonalizzare” l’origine dell’informazione, tutelando così la riservatezza del whistleblower anche a distanza di tempo.

3. Conclusioni e Prospettive Future

Il parere del Garante del 9.10.2025 consolida un’interpretazione rigorosa del D.Lgs. 24/2023, orientata a rendere effettiva la tutela della riservatezza attraverso precise misure tecniche e organizzative. Per le società dotate di MOG 231, le implicazioni sono profonde:

1. Revisione Obbligatoria dei Modelli: I MOG devono essere aggiornati non solo per recepire l’esistenza dei canali di segnalazione, ma per descrivere in dettaglio una procedura pienamente conforme al GDPR e alle indicazioni di ANAC e Garante.
2. Investimenti Tecnologici: L’orientamento a favore di piattaforme dedicate spinge le aziende a superare soluzioni artigianali (come la posta elettronica), investendo in software specializzati che garantiscano crittografia, anonimato e gestione sicura dei dati.
3. Centralità della DPIA: La valutazione d’impatto diventa un passaggio ineludibile nella progettazione e gestione del sistema di whistleblowing, costringendo gli enti a un’analisi preventiva dei rischi per i diritti degli interessati (segnalante, segnalato, terzi).
4. Formazione Specifica: Il personale addetto alla gestione delle segnalazioni, incluso l’Organismo di Vigilanza, deve ricevere una formazione specifica non solo sulle procedure, ma anche sui principi e gli obblighi derivanti dalla normativa sulla protezione dei dati.

In sintesi, il parere del Garante agisce come catalizzatore, trasformando l’obbligo normativo di istituire canali di segnalazione in un progetto complesso di compliance integrata, dove la responsabilità amministrativa degli enti (D.Lgs. 231/2001) e la protezione dei dati personali (GDPR) si fondono in un unico framework operativo, volto a creare un ambiente di lavoro trasparente e sicuro.