Whistleblowing sotto controllo: ispezioni del Garante Privacy nel primo semestre 2026

Con il Provvedimento del 30 dicembre 2025 [10214259], l’Autorità Garante per la protezione dei dati personali ha definito il piano delle attività ispettive programmate per il periodo gennaio–luglio 2026, evidenziando un’attenzione rafforzata sulle verifiche nei confronti dell’utilizzo degli applicativi maggiormente diffusi per l’acquisizione e la gestione delle segnalazioni di illeciti (c.d. “whistleblowing”).

In parallelo, l’Autorità Nazionale Anticorruzione (ANAC) ha pubblicato due nuove Linee Guida in materia di whistleblowing (delibere ANAC n. 478 e n. 479 del 26 novembre 2025) le quali intervengono sul quadro regolatorio nazionale, fornendo ulteriori indicazioni operative agli enti pubblici e ai soggetti obbligati, con particolare riferimento all’organizzazione dei canali di segnalazione, interno ed esterno, e alla loro conformità ai principi di riservatezza e protezione dei dati personali.

Implicazioni operative per enti pubblici e soggetti obbligati

Il quadro che emerge a seguito di questi interventi delle Autorità evidenzia un trend sempre più chiaro: la gestione del whistleblowing non è soltanto un tema di compliance organizzativa, ma rappresenta anche un ambito che comporta trattamenti di dati personali particolarmente delicati, che richiede una gestione rigorosa sotto il profilo della tutela dei dati personali, soprattutto in relazione agli strumenti digitali adottati.

Le delibere ANAC del 26 novembre 2025 si inseriscono nell’ambito del recepimento della disciplina europea sul whistleblowing (Direttiva UE 2019/1937 attuata in Italia dal D.lgs. 24/2023), ribadendo l’obbligo per le amministrazioni e per i soggetti privati tenuti all’adempimento di garantire canali di segnalazione sicuri, riservati e facilmente accessibili. In particolare, viene rafforzata l’attenzione sulla corretta gestione delle piattaforme informatiche, che devono assicurare la protezione dell’identità del segnalante, del segnalato e di eventuali terzi citati nella segnalazione.

Dal punto di vista della protezione dei dati personali, tali indicazioni si collegano direttamente al Regolamento (UE) 2016/679 (GDPR), imponendo una serie di adempimenti non solo formali, ma sostanziali. Tra questi, assume rilievo centrale la necessità di effettuare, da parte del titolare del trattamento, una valutazione d’impatto sulla protezione dei dati – DPIA (art. 35 GDPR e art. 13 D.lgs. 24/2023), in considerazione dell’elevata sensibilità delle informazioni trattate e dei potenziali rischi per i diritti e le libertà degli interessati.

Ispezioni del Garante Privacy sulle piattaforme e requisiti GDPR

Il Provvedimento del Garante del 30 dicembre 2025, nel delineare il piano ispettivo per la prima parte del 2026, dedica un’attenzione specifica proprio agli applicativi/piattaforme utilizzate per la gestione delle segnalazioni whistleblowing. L’obiettivo è verificare non solo la conformità formale alla normativa privacy, ma anche l’effettiva implementazione di misure tecniche e organizzative adeguate, in grado di garantire la riservatezza e la sicurezza delle informazioni.

Tra gli aspetti che con ogni probabilità saranno oggetto di verifica rientrano: la corretta configurazione dei sistemi di accesso ai dati, la tracciabilità delle operazioni compiute sulle segnalazioni, la cifratura dei dati personali, nonché la gestione corretta dei tempi di conservazione delle informazioni, che devono essere limitati al minimo necessario per il perseguimento delle finalità previste dalla normativa.

Particolare attenzione sarà inoltre rivolta ai rapporti con i fornitori delle piattaforme digitali per la raccolta e la gestione delle segnalazioni. Molti enti, infatti, si sono dotati di soluzioni in cloud o di software in outsourcing, rendendo fondamentale non solo il corretto inquadramento dei ruoli privacy rivestiti dai soggetti coinvolti (titolare, responsabile del trattamento ed eventuali sub-responsabili) ma anche la stipula di contratti che prevedano il rispetto dell’articolo 28 del GDPR.

Anonimato, sicurezza dei dati e rischi nelle segnalazioni whistleblowing

Un profilo particolarmente critico riguarda la gestione dell’anonimato e della riservatezza del segnalante. Le piattaforme devono essere progettate secondo i principi previsti dall’art.25 del GDPR, ovvero di “privacy by design e by default”, garantendo che le identità dei soggetti coinvolti nelle segnalazioni non siano accessibili a soggetti non autorizzati e che i flussi informativi siano strettamente limitati al personale espressamente autorizzato a trattare tali dati.

In questo contesto, le ispezioni programmate dal Garante per il primo semestre del 2026 rappresentano un segnale chiaro di intensificazione dei controlli su un settore particolarmente delicato, in cui la mancata conformità può comportare non solo sanzioni amministrative, ma anche gravi conseguenze reputazionali per gli enti coinvolti.

In via conclusiva, si può affermare che il quadro delineato dalle linee guida ANAC e dal piano ispettivo del Garante, attualmente in corso, impone alle organizzazioni, pubbliche e private, un approccio strutturato e consapevole alla governance del whistleblowing. Infatti, l’adozione di una piattaforma informatica per la raccolta e gestione delle segnalazioni non esaurisce il rispetto del quadro normativo: risulta necessario realizzare una serie di adempimenti e valutazioni in materia di protezione dei dati personali non solo per garantire il rispetto della normativa ed evitare sanzioni, ma anche per poter assicurare un equilibrio efficace tra trasparenza, tutela della riservatezza e rispetto dei diritti fondamentali degli interessati.