Garante privacy: whistleblowing – nuovo parere sulle Linee guida di ANAC.
Parere sugli schemi di “Linee guida in materia di whistleblowing sui canali interni di segnalazione” e di delibera di modifica e integrazione della Delibera ANAC recante le recante le “Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne” – 9 ottobre 2025
Il Garante per la protezione dei dati personali, nella Newsletter n. 540 del 27 novembre 2025, ha espresso parere su due proposte di delibera dell’Anac relative al whistleblowing. La prima riguarda l’approvazione delle Linee guida per le segnalazioni interne, la seconda l’aggiornamento delle Linee guida per le segnalazioni esterne. L’obiettivo è rendere la gestione delle segnalazioni, sia interne che esterne, più uniforme ed efficace.
Le Linee guida tengono conto delle interlocuzioni intercorse con l’Ufficio del Garante, nella prospettiva di assicurare, in particolare, la piena tutela della riservatezza dell’identità del segnalante e del contenuto della segnalazione, nonché la tutela dei dati delle persone a vario titolo coinvolte.
Molti i punti di attenzione, tra i quali, in particolare, i possibili rischi derivanti dall’utilizzo della posta elettronica come canale di segnalazione; la necessità che sia svolta una previa valutazione di impatto sulla protezione dei dati, anche con l’eventuale supporto dei fornitori di tecnologia; i tempi di conservazione della segnalazione e della relativa documentazione; la possibilità, in talune circostanze, di condividere il canale di segnalazione, ferma restando la necessità di adottare misure tecniche e organizzative per garantire che ciascun ente abbia accesso solo alle segnalazioni di propria competenza.
In continuità con gli orientamenti del Garante in materia, le Linee guida sui canali interni di segnalazione forniscono indicazioni e princìpi che i datori di lavoro potranno tenere in considerazione nell’attivazione dei propri canali di acquisizione e gestione della segnalazione.
Ciò anche con riguardo alle misure tecniche e organizzative che, nel rispetto del principio di accountability, i datori di lavoro pubblici e privati, e gli altri soggetti obbligati, potranno adottare per proteggere i dati delle persone nel corso del processo di acquisizione e gestione della segnalazione, come, ad esempio, accorgimenti per impedire la tracciabilità della persona segnalante che acceda ai canali interni di segnalazione dalla rete dati interna all’organizzazione del datore di lavoro.
News sicurezza, ambiente, qualità, E-learning, Formazione, Competenze. Newsletter 23 del 2 Luglio 2025
Whistleblowing, PFAS, Garante privacy, AI.
In caso di difficoltà nel recupero credenziali, non esiti a inviare una mail a mail@portaleconsulenti.it.
Ricordiamo che l’accesso al Portale è Gratuito per l’utilizzo dell’intera Banca Dati.
PortaleConsulenti.it lancia il suo Canale WhatsApp
Un Nuovo Strumento per rimane informato.
Siamo entusiasti di annunciare il lancio del nostro nuovo Canale WhatsApp ANONIMO dedicato a tutti i professionisti che operano nel settore della sicurezza e salute sul lavoro, ambiente, qualità, HACCP, formazione, E-learning, etc.
Con questo nuovo strumento, PortaleConsulenti.it intende offrire un canale diretto e rapido per fornire aggiornamenti costanti, notizie rilevanti, novità normative e contenuti formativi a chiunque sia coinvolto in questi ambiti cruciali. Il nostro obiettivo è semplificare l’accesso a informazioni tempestive e utili per supportare l’aggiornamento e la crescita professionale dei nostri iscritti.… LEGGI TUTTO
Pressa impiallacciatura lista di controllo pressa impiallacciatura
Lista di controllo pressa impiallacciatura: evitare gli schiacciamenti. La pressa a piastre per impiallacciatura presente nella vostra azienda è sicura e viene utilizzata in condizioni di sicurezza? Soprattutto durante i …LEGGI TUTTO
Whistleblowing una guida pratica
Open the Whistle: Protecting whistleblowers through transparency, cooperation and Open Government strategies (OPWHI) è un progetto co-finanziato dall’Unione Europea (Progetto numero: 101140801 — Bando: CERV-2023-CHAR-LITI-WHISTLE) che mira a creare un ambiente … LEGGI TUTTO
PFAS cosa sono, dove si trovano
Le sostanze per- e polifluoroalchiliche (PFAS): cosa sono, dove si trovano, problematiche e misure di gestione. Bollettino MASE di informazione SOSTANZE CHIMICHE – AMBIENTE & SALUTE n. 1/2025 Il bollettino …LEGGI TUTTO
Bando Voucher imprese turistiche
Bando Voucher per la transizione sostenibile delle imprese turistiche della Provincia di Venezia e di Rovigo – 2025 Data apertura: 09/07/2025 – Data chiusura: 31/07/2025. FORMA agevolazione: Contributo/Fondo perduto SETTORE: …LEGGI TUTTO
Trattamento illecito lavoratore Garante privacy
Il Garante ha esaminato un reclamo presentato da una dipendente di Autostrade per l’Italia S.p.A., oggetto di due contestazioni disciplinari fondate su contenuti tratti dal suo profilo Facebook, da conversazioni …LEGGI TUTTO
Ddl sull’AI italiana, la Camera approva
Il testo ora approvato dalla Camera sul ddl AI ha novità sostanziali rispetto a quello del Senato. Spicca un ruolo di coordinamento alla presidenza del Consiglio e via all’obbligo di … LEGGI TUTTO
Stress termico calore, Reach e EoW, EU-OSHA
News sicurezza, ambiente, qualità, E-learning, Formazione, Competenze. Newsletter 22 del 25 Giugno 2025 Stress termico calore, Reach e EoW, EU-OSHA, Cantieri più sicuri. In caso di difficoltà nel recupero credenziali, …LEGGI TUTTO
Ad ogni modo, Cliccando sul link del gruppo potrai ricevere le notifiche direttamente da Linkedin ed essere aggiornato costantemente sulle novità in ambito HSE sicurezza ambiente qualità E-learning
Il Garante ha esaminato un reclamo presentato da una dipendente di Autostrade per l’Italia S.p.A., oggetto di due contestazioni disciplinari fondate su contenuti tratti dal suo profilo Facebook, da conversazioni su Messenger e da messaggi WhatsApp. Trattamento illecito lavoratore Garante privacy.
Contestazioni mosse alla società
La dipendente lamenta che i suoi dati personali siano stati trattati in modo illecito, poiché utilizzati senza un’adeguata base giuridica e per finalità non compatibili con la loro raccolta (cioè per avviare procedimenti disciplinari).
Difesa della società
Autostrade per l’Italia ha sostenuto che:
non ha svolto ricerche attive, ma ha ricevuto i contenuti spontaneamente da colleghi o terzi;
ha agito nel proprio legittimo interesse, per tutelare i propri diritti nel contesto lavorativo;
ha effettuato valutazioni interne di bilanciamento tra interessi contrapposti;
le opinioni espresse dalla dipendente, anche se fuori dal lavoro, potevano incidere sull’immagine aziendale.
Conclusioni del Garante
Il Garante ha ritenuto illecito il trattamento dei dati personali per le seguenti motivazioni:
Violazione dei principi di liceità, finalità e minimizzazione previsti dal Regolamento (UE) 2016/679 (GDPR);
Violazione della riservatezza delle comunicazioni private, tutelata dall’art. 15 Cost. e dall’art. 8 della CEDU;
Utilizzo di informazioni tratte da canali privati (Facebook chiuso, Messenger, WhatsApp) senza adeguato test di bilanciamento e in assenza di idonea base giuridica;
Inosservanza dell’art. 113 del Codice Privacy, che vieta la raccolta e l’uso di informazioni non pertinenti alla valutazione dell’attitudine professionale del lavoratore;
I contenuti trattati erano opinioni personali e fatti esterni al rapporto lavorativo, non riconducibili a una valutazione professionale.
Provvedimenti adottati
Sanzione amministrativa pecuniaria di €420.000 a carico di Autostrade per l’Italia S.p.A.;
Pubblicazione dell’ordinanza sul sito del Garante, in considerazione della gravità e natura delle violazioni;
Ingiunzione di pagamento entro 30 giorni, con possibilità di riduzione del 50% se pagata entro il termine previsto per il ricorso.
Considerazioni finali
Il provvedimento ribadisce che:
anche le informazioni reperite passivamente (non cercate) sono soggette alla disciplina sul trattamento dei dati;
la semplice accessibilità online di un contenuto non ne autorizza l’uso indiscriminato da parte del datore di lavoro;
le comunicazioni private, anche se spontaneamente inoltrate da terzi, non possono essere utilizzate a fini disciplinari senza un’attenta valutazione di liceità e proporzionalità;
l’adozione di una “social media policy” aziendale non giustifica di per sé il trattamento illecito dei dati personali.
Il provvedimento rappresenta un’importante presa di posizione a tutela della riservatezza dei lavoratori, anche nell’ambito dei rapporti di lavoro e dell’utilizzo dei social network.
Sanzione di 80mila euro a un’azienda che effettuava i backup durante il rapporto di lavoro. stop al software che accede all’email del dipendente.
Il datore di lavoro non può accedere alla posta elettronica del dipendente o del collaboratore né utilizzare un software per conservare una copia dei messaggi. Un simile trattamento di dati personali oltre a configurare una violazione della disciplina in materia di protezione dei dati personali, è idoneo a realizzare un’illecita attività di controllo del lavoratore.
Il Garante, intervenuto a seguito del reclamo presentato da un agente di commercio, ha accertato che la società nel corso del rapporto di collaborazione, attraverso un software, aveva effettuato un backup della posta elettronica, conservando sia i contenuti che i log di accesso alla email e al gestionale aziendale.
Le informazioni raccolte erano poi state utilizzate dalla società in un contenzioso.
L’Autorità ha appurato inoltre l’inidoneità e la carenza dell’informativa resa ai lavoratori. Il documento prevedeva infatti la possibilità, per il datore di lavoro, di accedere alla posta elettronica dei propri dipendenti e collaboratori per garantire la continuità dell’attività aziendale, in caso di loro assenza o cessazione del rapporto, senza citare, tra l’altro, l’effettuazione del backup e il relativo tempo di conservazione.
Nel definire il procedimento, il Garante ha affermato che la sistematica conservazione delle email – effettuata per un considerevole periodo di tempo (pari a tre anni successivamente alla cessazione del rapporto) – e la sistematica conservazione dei log di accesso alla posta elettronica e al gestionale utilizzato dai lavoratori non erano conformi alla disciplina di protezione dei dati. Tale conservazione infatti risultava non proporzionata e necessaria al conseguimento delle finalità dichiarate dalla Società di garantire la sicurezza della rete informatica e la continuità dell’attività aziendale.
Ciò, inoltre, aveva consentito alla Società di ricostruire, minuziosamente, l’attività del collaboratore, incorrendo così in una forma di controllo vietata dallo Statuto dei lavoratori.
Per quanto riguarda infine l’uso dei dati in tribunale, il Garante ricorda che il trattamento effettuato accedendo alla posta elettronica del dipendente per finalità di tutela in ambito giudiziario si riferisce a contenziosi già in atto, non ad ipotesi di tutela astratte e indeterminate come in questo caso.
Oltre alla sanzione, l’Autorità ha disposto il divieto di ulteriore trattamento dei dati attraverso il software utilizzato per il backup della posta elettronica.
Provvedimento del 6 giugno 2024 – Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati [10026277]. Garante Privacy
Nell’ambito di accertamenti condotti dal Garante con riguardo ai trattamenti di dati personali effettuati nel contesto lavorativo è emerso il rischio che programmi e servizi informatici per la gestione della posta elettronica, anche qualora commercializzati da fornitori in modalità cloud, possano raccogliere per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti, conservando gli stessi per un esteso arco temporale. Nel seguito del documento si farà riferimento alternativamente ai “metadati di posta elettronica” o “log di posta elettronica”.
I metadati cui fa riferimento il presente documento di indirizzo, sottoposto a consultazione pubblica, corrispondono tecnicamente alle informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client (le postazioni terminali che effettuano l’invio dei messaggi e che consentono la consultazione della corrispondenza in entrata accedendo ai mailbox elettroniche, definite negli standard tecnici quali MUA – Mail User Agent).
Tali informazioni relative alle operazioni di invio e ricezione e smistamento dei messaggi possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, in relazione al sistema di gestione del servizio di posta elettronica utilizzato, anche l’oggetto del messaggio spedito o ricevuto.
I metadati cui ci si riferisce nel presente documento (sia quelli di origine prettamente tecnica sia quelli, come il campo “Oggetto”, determinati dagli utenti) presentano la caratteristica di essere registrati automaticamente dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utilizzatore.
Gli stessi metadati come qui intesi non vanno in alcun modo confusi con le informazioni contenute nei messaggi di posta elettronica nella loro “body-part” (corpo del messaggio) o anche in essi integrate – ancorché talvolta non immediatamente visibili agli utenti dei software “client” di posta elettronica (i cosiddetti MUA – Mail User Agent) – a formare il cosiddetto envelope, ovvero l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici. Le informazioni contenute nell’envelope, ancorché corrispondenti a metadati registrati automaticamente nei log dei servizi di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo dell’utente (sia esso il mittente o il destinatario dei messaggi).
Pertanto, le indicazioni contenute nel documento relativamente ai tempi di conservazione dei metadati come sopra definiti non riguardano i contenuti dei messaggi di posta elettronica (né le informazioni tecniche che ne fanno comunque parte integrante) che rimangono nella disponibilità dell’utente/lavoratore, all’interno della casella di posta elettronica attribuitagli.
Il presente documento non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento ma intende offrire una ricostruzione sistematica delle disposizioni applicabili in tale specifico ambito, alla luce di talune precedenti decisioni dell’Autorità, al solo fine di richiamare l’attenzione su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme che stabiliscono le condizioni per l’impiego degli strumenti tecnologici nei luoghi di lavoro.
In questa prospettiva l’Autorità intende altresì fornire ai datori di lavoro indicazioni in ordine alla possibilità di trattare tali informazioni per consentire il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica, senza necessità di attivare la procedura di garanzia prevista dall’art. 4, comma 1, l. 20/5/1970, n. 300, espressamente richiamata dall’art. 114 del Codice.
Stante la natura orientativa del documento di indirizzo, dallo stesso non discendono nuovi adempimenti o responsabilità.
Alla luce delle osservazioni e delle proposte pervenute al Garante nell’ambito della consultazione pubblica cui il presente documento è stato sottoposto (provv. del 22 febbraio 2024, n. 127, doc. web n. 9987885; Gazzetta Ufficiale n. 64 del 16 marzo 2024), sono state apportate alcune modifiche e integrazioni al presente documento di indirizzo anche con riferimento ai criteri che possano orientare le scelte dei datori di lavoro nell’individuazione dell’eventuale periodo di conservazione dei predetti log, ai fini dell’applicazione dell’eccezione contenuta nell’art. 4, comma 2, della l. 20 maggio 1970, n. 300 rispetto alla regola di cui al comma 1, per assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica. Sono stati, inoltre, forniti chiarimenti in merito all’ambito oggettivo di applicazione del documento, anche indicando la definizione di metadato, e alla natura del documento. Infine, è stata richiamata l’attenzione dei fornitori dei servizi di posta elettronica sulla necessità di tenere in considerazione del diritto alla protezione dei dati conformemente allo stato dell’arte, già in fase di progettazione di servizi e prodotti.
Cosa sono gli IRCCS? Come possono utilizzare i dati personali raccolti per la cura dei pazienti per finalità di ricerca? A quali adempimenti sono tenuti in base al Codice privacy? A queste domande ha risposto il Garante Privacy con le Faq presenti in questa pagina.
Gli IRCCS sono enti del Servizio sanitario nazionale a rilevanza nazionale dotati di autonomia e personalità giuridica che, secondo standard di eccellenza, perseguono finalità di ricerca, prevalentemente clinica e traslazionale, nel campo biomedico e in quello dell’organizzazione e gestione dei servizi sanitari ed effettuano prestazioni di ricovero e cura di alta specialità (art.1 d.lgs. 16/10/2003, n. 288).
I chiarimenti dell’Autorità sono rivolti agli IRCCS, ossia quegli enti del Servizio sanitario nazionale che, secondo standard di eccellenza, perseguono finalità di ricerca nel campo biomedico e in quello dell’organizzazione e gestione dei servizi sanitari ed effettuano prestazioni di ricovero e cura di alta specialità.
Nelle Faq è spiegato che gli IRCCS, per poter utilizzare i dati dei loro pazienti anche per l’attività di ricerca scientifica autorizzata dal Ministero, devono individuare una base giuridica idonea a legittimare tale trattamento e una deroga adeguata al generale divieto di trattare i dati sulla salute e genetici.
Il Garante ha dunque chiarito che gli IRCCS pubblici e privati, oltre che sul consenso dei partecipanti alla ricerca, possono fondare il trattamento dei dati personali raccolti a scopo di cura per ulteriori finalità di ricerca sull’art. 110-bis, comma 4 del Codice privacy, in base al quale non costituisce trattamento ulteriore dei dati raccolti per l’attività clinica, quello svolto a fini di ricerca.
Nel caso in cui gli IRCCS si avvalgano di questa disposizione, hanno però l’obbligo di svolgere la Valutazione d’impatto (Vip) e di pubblicarla sui propri siti web. Tuttavia, se la pubblicazione per intero della Vip può ledere diritti di proprietà intellettuale, segreti commerciali o altro, l’Istituto può pubblicarla per estratto. Una specifica sezione delle Faq è dedicata alle diverse le modalità per informare i partecipanti alla ricerca a seconda che i dati siano raccolti presso di essi ovvero presso banche dati interne all’istituto o altri centri partecipanti.
L’Autorità ha infine chiarito l’ambito oggettivo di applicazione dell’art. 110-bis, comma 4 del Codice, che riguarda ogni tipo di ricerca medica, biomedica, epidemiologica, prospettica e retrospettiva, promossa da IRCCS, ivi inclusi gli studi multicentrici, sia svolti nell’ambito delle reti di ricerca degli IRCCS che in quelli promossi da tali istituti con la partecipazione di enti che non godono di tale riconoscimento.
Presupposti giuridici e principali adempimenti per il trattamento da parte degli IRCCS dei dati personali raccolti a fini di cura della salute per ulteriori scopi di ricerca
Intelligenza artificiale: il Garante privacy scrive a Parlamento e Governo. Necessario individuare Autorità di vigilanza indipendenti e imparziali.
Il Garante per la protezione dei dati personali possiede i requisiti di competenza e indipendenza necessari per attuare il Regolamento europeo sull’intelligenza artificiale coerentemente con l’obiettivo di un livello elevato di tutela dei diritti fondamentali.
È quanto scrive il Presidente, Pasquale Stanzione, in una segnalazione inviata nei giorni scorsi ai Presidenti di Senato e Camera e al Presidente del Consiglio.
La recente approvazione dell’AI Act da parte del Parlamento europeo – spiega il Presidente dell’Autorità – “impone agli Stati membri alcune scelte essenziali sulle norme di adeguamento degli ordinamenti interni”.
L’incidenza dell’IA sui diritti suggerisce di attribuirne la competenza ad Autorità caratterizzate da requisiti d’indipendenza stringenti, come le Authority per la privacy, anche in ragione della stretta interrelazione tra intelligenza artificiale e protezione dati e della competenza già acquisita in materia di processo decisionale automatizzato.
L’AI Act – ricorda il Garante – si fonda sull’articolo 16 del Trattato sul funzionamento dell’Unione europea, che è la base giuridica della normativa di protezione dei dati, e lo stesso Regolamento sull’intelligenza artificiale prevede il controllo delle Autorità di protezione dei dati personali su processi algoritmici che utilizzino dati personali.
La sinergia tra le due discipline e la loro applicazione da parte di un’unica Autorità è quindi determinante per l’effettività dei diritti e delle garanzie sanciti – conclude Stanzione – suggerendo in proposito una riflessione a Parlamento e Governo.
INFORMATIVA
Utilizziamo i cookie sul nostro sito Web per offrirti l'esperienza più pertinente ricordando le tue preferenze e ripetendo le visite. Cliccando su "Accetta tutto", acconsenti all'uso di TUTTI i cookie necessari. Tuttavia, puoi visitare Cookie Settings per fornire un consenso controllato.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Durata
Descrizione
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
