06.5921743
consulenza@legislazionetecnica.it
Logo ANAC

DPO e gestore delle segnalazioni di whistleblowing: criticità del cumulo di incarichi e indicazioni operative dalle Linee guida ANAC

L’adozione delle Linee guida ANAC n. 1/2025 (Delibera 478 del 26 novembre 2025) sui canali interni di segnalazione ha riportato in primo piano un tema di grande rilievo organizzativo: il possibile cumulo di incarichi tra il gestore del canale di whistleblowing e il Responsabile della protezione dei dati (DPO). ANAC richiama l’attenzione sui profili di criticità di tale coincidenza, in particolare sotto il profilo dell’autonomia funzionale e della tutela dei dati personali, imponendo a enti e consulenti una riflessione più consapevole sulle scelte organizzative adottate.

La diversa natura delle funzioni
Il gestore del canale di whistleblowing svolge una funzione prevalentemente operativa e istruttoria. Ai sensi dell’art. 5 del d.lgs. 24/2023, egli è chiamato a ricevere le segnalazioni, interloquire con il segnalante, svolgere verifiche preliminari e assumere decisioni istruttorie sul seguito da dare alla segnalazione.
Come già chiarito dalle Linee guida ANAC n. 311/2023, il “corretto seguito” implica una prima e imparziale delibazione dei fatti segnalati, che può comportare l’acquisizione di documenti, l’audizione di soggetti coinvolti e il coinvolgimento di strutture interne o soggetti esterni. Si tratta di un’attività che comporta valutazioni concrete sui fatti e incide direttamente sui trattamenti di dati personali, pur senza sconfinare nell’accertamento delle responsabilità individuali, riservato ad altri organi.
Il DPO, invece, svolge una funzione di garanzia, consulenza e sorveglianza sul rispetto della normativa in materia di protezione dei dati personali, ai sensi degli artt. 38 e 39 del Regolamento (UE) 2016/679. Il suo ruolo è orientato al controllo della conformità dei trattamenti e deve essere esercitato in piena indipendenza, senza coinvolgimento in attività operative o decisionali.

I profili di conflitto evidenziati dal Garante per la protezione dei dati personali
Il Garante per la protezione dei dati personali ha più volte evidenziato che il cumulo tra funzioni di controllo e funzioni operative o decisionali sui trattamenti può determinare un conflitto di interessi. Nel whistleblowing tale rischio è particolarmente accentuato, poiché il gestore tratta dati personali di elevata delicatezza e assume decisioni che incidono direttamente sulle modalità e sulle finalità del trattamento.
La coincidenza dei due ruoli può condurre il DPO a valutare la liceità di trattamenti da lui stesso determinati o gestiti, in contrasto con i principi di indipendenza e accountability sanciti dal GDPR.
Le Linee guida ANAC n. 1/2025, in linea con le indicazioni del Garante, affermano che il cumulo tra il ruolo di gestore del canale di whistleblowing e quello di DPO non è opportuno, soprattutto negli enti di grandi dimensioni o caratterizzati da una struttura organizzativa complessa. In tali contesti, la coincidenza dei ruoli rischia di compromettere sia l’indipendenza del gestore sia quella del DPO, in particolare nella fase istruttoria.
ANAC adotta tuttavia un approccio pragmatico, ammettendo che negli enti di ridotte dimensioni, in presenza di oggettive carenze di personale e previa valutazione puntuale e motivata, il cumulo possa essere tollerato, purché siano adottate adeguate misure organizzative di mitigazione del rischio.

 L’attività istruttoria come passaggio critico del cumulo
Il nodo principale del cumulo emerge proprio con riferimento all’attività istruttoria. Il gestore valuta la fondatezza della segnalazione, decide se e come proseguire l’istruttoria, individua i dati da acquisire e i soggetti da coinvolgere, determinando l’esito del procedimento (archiviazione, trasmissione ad altri organi, revisione di processi interni).
Le Linee guida ANAC precisano, ad esempio, che l’accesso all’identità del segnalante è consentito solo quando strettamente necessario e deve essere adeguatamente tracciato e motivato. Si tratta di scelte che incidono direttamente sui trattamenti di dati personali e che rendono difficilmente compatibile la coincidenza con il ruolo di DPO.
La giurisprudenza ha chiarito che la responsabilità in materia di protezione dei dati personali si fonda sulla colpa di organizzazione, intesa come inosservanza dell’obbligo di adottare adeguate cautele organizzative (Cass. civ., ord. n. 6642/2023).
Nel contesto del whistleblowing, la concentrazione nello stesso soggetto delle funzioni di gestione operativa e di controllo privacy potrebbe essere valutata come una carenza organizzativa, specie in presenza di trattamenti ad alto rischio per i diritti degli interessati.

Indicazioni operative per enti e consulenti
Alla luce delle indicazioni di ANAC e del Garante, la soluzione preferibile resta la separazione dei ruoli: il gestore cura la gestione e l’istruttoria delle segnalazioni, mentre il DPO fornisce supporto nella fase di progettazione del sistema e nella predisposizione della DPIA, senza partecipare alla gestione dei singoli casi. L’atto organizzativo per la corretta attuazione del whistleblowing è la sede per disciplinare espressamente incompatibilità e misure di prevenzione dei conflitti di interessi.
Nei casi in cui il cumulo sia ritenuto inevitabile, è necessario motivare la scelta, limitare il coinvolgimento del DPO nelle decisioni operative e rafforzare le misure di accountability e tracciabilità. Queste specifiche vanno fornite sia nell’atto che individua il gestore, sia nell’atto organizzativo.

Back To Top