Whistleblowing: Canali Interni, Gestione e Outsourcing Conforme 2026
Guida completa al D.Lgs. 24/2023 sulla protezione dei segnalanti: software whistleblowing, outsourcing della gestione, requisiti ANAC, DPIA e modelli 231. Sanzioni e adempimenti pratici per aziende obbligate.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
Nota metodologica. La presente analisi è aggiornata al 17 giugno 2026. Il D.Lgs. 24/2023 (recepimento della Direttiva UE 2019/1937) è in vigore dal 15 luglio 2023, con obblighi per le aziende con almeno 50 dipendenti scattati dal 17 dicembre 2023. Le Linee Guida ANAC sono state adottate con Delibera n. 301 del 12 luglio 2023 e aggiornate con Delibera n. 311 del 20 giugno 2024. Il contenuto ha finalità esclusivamente informativa e non costituisce parere legale.
Fonti primarie: D.Lgs. 24/2023, GURI · ANAC, Whistleblowing · Garante Privacy, Whistleblowing · Direttiva UE 2019/1937, EUR-Lex
La mia azienda è obbligata a dotarsi di un canale di whistleblowing? Posso affidare la gestione a un consulente esterno?
Il D.Lgs. 24/2023 impone l'obbligo di istituire un canale di segnalazione interno a tutte le aziende private che hanno impiegato una media di almeno 50 dipendenti nell'ultimo anno, nonché a quelle che, indipendentemente dal numero di dipendenti, adottano un Modello Organizzativo ex D.Lgs. 231/2001 o operano in settori regolamentati specifici (intermediazione finanziaria, bancario, assicurativo, antiriciclaggio). La gestione del canale può essere affidata a un ufficio interno autonomo (Organismo di Vigilanza, funzione compliance, ufficio legale) o a un soggetto esterno (consulente legale, DPO esterno, società specializzata), purché formalmente nominato e dotato delle necessarie garanzie di indipendenza e autonomia.
1. Il perimetro delle aziende obbligate: non solo le grandi
L'ambito soggettivo del D.Lgs. 24/2023 è più ampio di quanto si creda e si articola in due fasce:
1.1. Aziende con almeno 50 dipendenti
Il numero medio di dipendenti è calcolato sulla base della media dell'ultimo anno, includendo lavoratori subordinati a tempo indeterminato e determinato, apprendisti e lavoratori somministrati. Il superamento della soglia anche per un solo mese rilevante nel periodo di osservazione determina l'obbligo.
Importante: l'obbligo non grava solo sulla società capogruppo. Ogni entità giuridica che supera autonomamente la soglia dimensionale deve dotarsi di un proprio canale. Le aggregazioni di gruppo possono prevedere un canale unico centralizzato, ma solo se questo garantisce l'autonomia e l'indipendenza richieste dalla normativa.
1.2. Aziende sotto 50 dipendenti ma obbligate per altra via
L'Art. 3 del D.Lgs. 24/2023 estende l'obbligo a tutte le imprese che:
- Adottano volontariamente il Modello Organizzativo ex D.Lgs. 231/2001 (anche con un solo dipendente)
- Operano nei settori della intermediazione finanziaria, bancario, assicurativo e della prevenzione del riciclaggio
- Fanno parte di un gruppo con obbligo di segnalazione centralizzata
2. Canale esterno (outsourcing): quando e come è possibile
Il D.Lgs. 24/2023 consente espressamente (Art. 4, comma 4) di affidare la gestione del canale di segnalazione a un soggetto esterno specializzato, scegliendo tra:
- Avvocato o studio legale esterno: opzione preferita dalle PMI per il vantaggio della segretezza professionale
- DPO esterno già nominato: può essere il gestore se il suo incarico copre il trattamento dei dati del whistleblowing
- Società specializzata: piattaforme SaaS di whistleblowing con servizio di gestione delle segnalazioni integrato
- Associazione di categoria: per microimprese, che può offrire un canale aggregato (attenzione alla verifica dell'indipendenza)
La gestione esterna è considerata da ANAC una best practice, perché riduce il rischio di conflitti di interessi e ritorsioni interne. Tuttavia, richiede:
- Nomina formale: atto scritto che individui il gestore esterno, le sue funzioni, i limiti del mandato e le garanzie di riservatezza
- DPIA dedicata: il trattamento dei dati personali del segnalante da parte del gestore esterno deve essere coperto da una valutazione d'impatto specifica
- Contratto di DPA (Data Processing Agreement): il gestore esterno è responsabile del trattamento ai sensi dell'Art. 28 GDPR
3. Software di whistleblowing: cosa deve garantire
Il Regolamento ANAC e il Garante Privacy hanno chiarito che gli strumenti generici (email, PEC, moduli cartacei, form non crittografati) non sono conformi. Il software adottato, interno o esterno, deve soddisfare requisiti minimi inderogabili:
| Requisito | Specifica tecnica |
|---|---|
| Crittografia end-to-end | RSA 2048 bit o AES 256 per tutti i contenuti (testo della segnalazione e allegati) |
| Anonimato tecnico | Divieto di memorizzazione di IP, user agent, timestamp o cookie di sessione del segnalante |
| Separazione dei dati | Le credenziali identificative del segnalante devono essere segregabili dal contenuto della segnalazione anche a livello di database (cifratura con chiavi separate) |
| Canale bidirezionale | Possibilità per il gestore di comunicare con il segnalante in modo anonimo e protetto |
| Audit logging | Registrazione delle operazioni effettuate sul sistema senza esporre l'identità del segnalante |
| Rientro nella disponibilità | Possibilità per l'azienda di importare le segnalazioni in caso di cessazione del rapporto con il fornitore |
La scelta del software non è neutrale per la compliance: un sistema che non garantisce l'anonimato tecnico (es. che logga l'IP in violazione delle indicazioni del Garante) espone l'azienda a sanzioni per omessa adozione di misure tecniche adeguate (Art. 32 GDPR + D.Lgs. 24/2023).
4. DPIA obbligatoria: cosa documentare
L'Art. 35 GDPR impone al titolare del trattamento di redigere una Data Protection Impact Assessment prima di attivare il canale di segnalazione. La DPIA per il whistleblowing deve documentare:
- La descrizione sistematica del trattamento: flusso dei dati dal segnalante al gestore, conservazione, accesso
- La valutazione della necessità e proporzionalità: quali dati sono raccolti, perché, per quanto tempo
- I rischi per i diritti e le libertà degli interessati (segnalante, segnalato, terzi menzionati)
- Le misure di mitigazione: crittografia, limitazione degli accessi, formazione del personale, policy di retention
- Il periodo di conservazione: le segnalazioni vanno conservate per il tempo necessario alla loro gestione e comunque non oltre 5 anni dalla chiusura (Linee Guida ANAC)
La DPIA deve essere aggiornata quando cambia il software, il gestore o la tipologia di dati trattati.
5. Sanzioni: cosa rischia l'azienda inadempiente
| Violazione | Sanzione massima |
|---|---|
| Mancata istituzione del canale di segnalazione | Da €10.000 a €50.000 (ANAC) |
| Adozione di procedure non conformi (es. software inadeguato) | Da €10.000 a €50.000 (ANAC) |
| Misure ritorsive contro il segnalante (licenziamento, demansionamento, discriminazione) | Nullità dell'atto ritorsivo + risarcimento danni + sanzione amministrativa |
| Trattamento illecito di dati personali del segnalante | Fino a €10.000.000 o 2% fatturato (Garante Privacy, Art. 83.4 GDPR) |
6. Cosa fare subito
- Verificare la soglia dimensionale: calcolare la media dei dipendenti dell'ultimo anno per determinare l'obbligo
- Selezionare la modalità di gestione: interna (OdV/Compliance) o esterna (legale/DPO/società specializzata) con nomina formale
- Scegliere un software conforme: verificare crittografia E2E, anonimato tecnico, separazione dei dati
- Redigere la DPIA specifica per il canale di whistleblowing, prima dell'attivazione
- Predisporre la procedura di segnalazione: informative, policy interna, regole di gestione, template di riscontro
- Comunicare il canale: informare i dipendenti dell'esistenza e delle modalità di utilizzo del canale
Domande Frequenti (FAQ)
È obbligatorio il software di whistleblowing o è sufficiente una casella PEC? Una casella PEC non è conforme. ANAC e Garante Privacy hanno chiarito che l'email ordinaria e la PEC non garantiscono l'anonimato del segnalante perché l'IP del mittente è tracciabile, il contenuto non è crittografato end-to-end e non c'è segregazione dei dati. È obbligatorio l'utilizzo di una piattaforma crittografata che garantisca anonimato tecnico e separazione dei dati.
Chi gestisce le segnalazioni in outsourcing ha diritto di accesso ai dati dei segnalanti? Il gestore esterno, formalmente nominato e designato come soggetto autorizzato al trattamento (Art. 29 GDPR), ha accesso ai dati strettamente necessari alla gestione della segnalazione. L'outsourcing non elimina l'obbligo di segregazione dei dati: anche il gestore esterno deve operare sulla piattaforma secondo il principio del need-to-know. La nomina deve essere formalizzata in un contratto che specifichi i limiti dell'incarico, le misure di sicurezza e i termini di retention.
Cosa succede se un dipendente segnala un collega e la segnalazione si rivela infondata? La tutela dalla segnalazione si applica solo alle segnalazioni in buona fede (Art. 16 D.Lgs. 24/2023). Se la segnalazione è deliberatamente falsa o diffamatoria, il segnalante non beneficia della protezione e può essere soggetto alle sanzioni disciplinari previste dalla legge e dal contratto collettivo, nonché, nei casi più gravi, a procedimento penale per calunnia o diffamazione. L'ANAC richiede che la procedura interna specifichi le conseguenze delle segnalazioni dolosamente false.
Approfondimenti consigliati:
- NIS2: Supply Chain e Notifica Incidenti
- DPIA (Art. 35 GDPR): Valutazione d'Impatto
- Data Breach e Mancata Notifica: Sanzioni del Garante
Fonti: D.Lgs. 24/2023, Normattiva; ANAC, Delibera 301/2023; Garante Privacy, Whistleblowing; Direttiva UE 2019/1937, EUR-Lex.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze