Il quadro normativo di riferimento
Il quadro normativo di riferimento

Il quadro normativo di riferimento

Quando un’impresa organizza il proprio sistema di whistleblowing, la prima scelta delicata non riguarda soltanto l’attivazione del canale, ma soprattutto l’individuazione del soggetto che dovrà gestirlo. La questione è particolarmente sensibile se la funzione viene affidata al DPO, figura che, per competenza e accesso alle dinamiche di trattamento dei dati, può apparire immediatamente idonea. Tuttavia, questa opzione non può essere adottata in modo automatico: richiede una valutazione puntuale, coerente e documentata.

Il tema si inserisce nel perimetro del d.lgs. 24/2023, che ha recepito la direttiva UE 2019/1937 e disciplina la protezione delle persone che segnalano illeciti in ambito pubblico e privato, garantendo riservatezza e tutela contro le ritorsioni. Le imprese soggette alla disciplina devono predisporre canali interni di segnalazione e affidarne la gestione a soggetti autonomi e specificamente formati, interni oppure esterni all’organizzazione.

Su questi profili è intervenuta Assonime con il “vademecum operativo al whistleblowing alla luce delle recenti Linee Guida ANAC”, che prende in esame le delibere n. 478 e 479 del 26/11/2025, con cui l’Autorità nazionale anticorruzione ha approvato le linee guida applicative del decreto. Il documento mette in evidenza un punto centrale: la scelta del gestore non può essere affidata a mere esigenze organizzative, ma deve essere il risultato di un bilanciamento tra competenze, autonomia e assenza di interferenze.

La posizione del DPO come possibile gestore

Una figura competente, ma non neutra in assoluto

Nel sistema delineato da Assonime, il DPO può essere considerato un candidato naturale alla gestione delle segnalazioni, soprattutto per la familiarità con i principi di riservatezza e sicurezza del trattamento. In questa prospettiva, la sua preparazione tecnica può rendere la funzione particolarmente efficiente, soprattutto nelle strutture in cui la tutela dei dati personali costituisce un nodo organizzativo rilevante.

Ciò non significa, però, che il cumulo tra DPO e gestore del canale sia sempre ammissibile. Il punto decisivo resta la verifica dell’eventuale conflitto di interessi, che va analizzato non solo sul piano organizzativo, ma anche sul versante della disciplina privacy. L’articolo 38 Gdpr, regolamento UE n. 2016/679, stabilisce infatti che il DPO non possa assumere altri compiti che ne compromettano indipendenza e autonomia.

Le attività del gestore e il rischio di interferenza

La gestione delle segnalazioni non si esaurisce in una mera funzione esecutiva. Il soggetto incaricato deve intervenire in più fasi del procedimento, compiendo valutazioni, verifiche, interlocuzioni e scelte che incidono direttamente sul trattamento di dati personali. Proprio questa partecipazione attiva può generare una sovrapposizione con la posizione del DPO, rendendo complesso stabilire se l’indipendenza richiesta dal Gdpr risulti davvero preservata.

La delicatezza del problema emerge con particolare evidenza anche nel settore pubblico, dove il canale di segnalazione è spesso gestito dal responsabile della prevenzione della corruzione e della trasparenza, il RPCT. In tale ambito, il Garante per la protezione dei dati personali ha ritenuto sussistente un conflitto di interessi nel cumulo tra DPO e RPCT negli enti di grandi dimensioni, mostrando invece un approccio più aperto per le amministrazioni minori. Il richiamo è significativo, perché conferma che non esiste un criterio astratto valido per ogni contesto.

Le indicazioni per gli enti di minori dimensioni

Le linee guida ANAC, per gli enti con meno di 50 dipendenti, ammettono una flessibilità maggiore. In tali realtà, il cumulo degli incarichi può essere valutato, ma solo se esiste una concreta impossibilità organizzativa di tenere separate le funzioni e sempre a condizione che la scelta sia sorretta da una motivazione specifica e verificabile. Non basta, dunque, invocare la semplicità della struttura: occorre dimostrare che la soluzione adottata è davvero necessaria.

In questo quadro, la motivazione non ha una funzione meramente formale. Essa rappresenta lo strumento attraverso cui l’ente mostra di avere esaminato l’assetto interno, il numero di risorse disponibili, la distribuzione delle competenze e il grado di esposizione a conflitti di ruolo. Senza tale passaggio, la designazione del DPO come gestore rischia di apparire una scorciatoia organizzativa priva di adeguato supporto.

Le strutture complesse e le cautele necessarie

Per gli enti di grandi dimensioni o con organizzazione articolata, il vademecum di Assonime mantiene ferma la preferenza per la separazione tra le due funzioni, ma esclude che il cumulo sia in radice vietato. La possibilità resta aperta, purché la scelta sia giustificata da elementi concreti e accompagnata da un’analisi accurata dei rischi di interferenza.

Proprio in questi casi, la competenza del DPO può diventare un argomento a favore dell’affidamento dell’incarico. Eppure tale considerazione non è sufficiente, da sola, a superare ogni dubbio. Il problema non è soltanto sapere se il soggetto sia capace di gestire il canale, ma se possa farlo senza alterare la propria posizione di indipendenza nelle attività connesse alla protezione dei dati. Il rischio non è teorico, è strutturale.

La responsabilità della scelta in capo all’impresa

In assenza di una regola rigida e universale, la decisione resta affidata all’impresa, che deve assumersene integralmente la responsabilità. Questo vale tanto per le piccole realtà quanto per le organizzazioni più grandi. La vera discriminante non è la mera comodità del cumulo, ma la capacità di dimostrare che la soluzione adottata non compromette autonomia, riservatezza e corretta gestione delle segnalazioni.

La documentazione interna della scelta assume così un ruolo centrale. L’azienda deve spiegare perché ha concentrato su un solo soggetto funzioni che, in linea ordinaria, sarebbe preferibile mantenere distinte. Deve farlo con rigore, evitando formule generiche e indicando le ragioni concrete che rendono quella soluzione compatibile con il d.lgs. 24/2023, con le delibere ANAC n. 478 e 479 del 26/11/2025 e con l’articolo 38 Gdpr, regolamento UE n. 2016/679.

In definitiva, l’affidamento della gestione del whistleblowing al DPO può essere una scelta praticabile, ma solo se l’ente è in grado di dimostrarne la sostenibilità giuridica e organizzativa, senza trascurare il punto decisivo della sua indipendenza.

La stessa attenzione dovrà essere riservata a ogni futuro assetto interno, perché nel whistleblowing la forma organizzativa non è mai neutra e ogni accentramento richiede una giustificazione all’altezza della funzione affidata.