Il tema del whistleblowing – ossia la segnalazione di comportamenti illeciti o irregolari in ambito lavorativo – è divenuto centrale nel dibattito giuridico e organizzativo degli ultimi anni, specialmente dopo l’entrata in vigore del D.Lgs. 24/2023, che ha dato attuazione alla direttiva UE 2019/1937. Ma accanto alla tutela del segnalante emerge un’altra esigenza: quella di garantire la protezione dei dati personali e la riservatezza delle persone coinvolte. La sfida, oggi, è quella di trovare un equilibrio tra la necessità di trasparenza e il rispetto dei principi del Regolamento (UE) 2016/679 (GDPR). Il “Formulario commentato della privacy”, acquistabile cliccando su Shop Maggioli o su Amazon, dedica un intero capitolo a questo delicato rapporto, illustrando le basi normative e gli orientamenti europei e nazionali che disciplinano la materia.
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.
Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:
• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti
• Gestione del personale: smart working, telelavoro e whistleblowing
• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda
• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti
• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.
Giuseppe Cassano
Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.
Enzo Maria Tripodi
attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.
Cristian Ercolano
Partner presso Theorema Srl - Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Leggi descrizione
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano, 2025, Maggioli Editore
62.00 €
58.90 €
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.
Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:
• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti
• Gestione del personale: smart working, telelavoro e whistleblowing
• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda
• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti
• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.
Giuseppe Cassano
Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.
Enzo Maria Tripodi
attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.
Cristian Ercolano
Partner presso Theorema Srl - Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Privacy e whistleblowing: un binomio non più in conflitto
Per anni, la dottrina ha considerato il diritto alla privacy un possibile ostacolo alla piena attuazione dei sistemi di whistleblowing. Il dibattito si è incentrato sul timore che la protezione dei dati personali potesse limitare o rendere inefficace la possibilità di segnalare condotte illecite all’interno di organizzazioni pubbliche e private.
Tuttavia, a distanza di tempo, la prospettiva si è completamente ribaltata: oggi la normativa sulla protezione dei dati non è più vista come un vincolo, ma come un presidio di correttezza, trasparenza e affidabilità dei meccanismi di segnalazione.
A dimostrarlo sono le indicazioni del Working Party 29 (WP29) e del Garante per la protezione dei dati personali, che hanno definito un quadro normativo in grado di garantire la coesistenza tra trasparenza e tutela della riservatezza.
L’impianto normativo europeo: dal WP29 al GDPR
Il punto di svolta risale al Parere n. 1/2006 del WP29, relativo all’applicazione della normativa UE sulla protezione dei dati alle procedure interne di whistleblowing.
Già allora il Gruppo di lavoro europeo chiariva che la disciplina privacy non impedisce la creazione di sistemi di segnalazione, ma ne favorisce il buon funzionamento, introducendo principi di lealtà, proporzionalità e sicurezza dei trattamenti.
Alla luce del Regolamento (UE) 2016/679 (GDPR), le basi di legittimità del trattamento dei dati in tali contesti possono essere:
-
l’obbligo legale (art. 6, par. 1, lett. c, GDPR), imposto dal diritto dell’Unione o nazionale;
-
l’interesse legittimo del titolare del trattamento (art. 6, par. 1, lett. f, GDPR), purché bilanciato con i diritti fondamentali dell’interessato.
Tale equilibrio deve essere assicurato tramite una valutazione di impatto e un test di proporzionalità, considerando la gravità delle violazioni segnalabili, le conseguenze per le persone coinvolte e la necessità di garantire la tutela sia del segnalante sia del segnalato.
Segnalazioni anonime e gestione dei dati: le regole di equilibrio
Uno degli aspetti più controversi è la possibilità di effettuare segnalazioni anonime.
Secondo il WP29, la raccolta dei dati deve avvenire “lealmente”, quindi in via ordinaria le segnalazioni dovrebbero essere nominative, con garanzia di riservatezza.
L’anonimato resta ammesso solo in via eccezionale, e a condizione che:
-
non sia incoraggiato come metodo ordinario di denuncia;
-
il sistema assicuri comunque riservatezza totale dell’identità del segnalante;
-
il denunciante sia informato sulla possibilità che la sua identità possa essere rivelata, solo se necessario per finalità giudiziarie o disciplinari.
Il WP29 raccomanda inoltre che i dati raccolti siano cancellati entro due mesi dal completamento della verifica dei fatti, salvo casi di azioni giudiziarie o disciplinari pendenti.
Le segnalazioni infondate devono invece essere eliminate immediatamente.
Consiglio: per approfondimenti in materia, segnaliamo, con piacere, l’uscita della seconda edizione del “Formulario commentato della privacy”, acquistabile cliccando su Shop Maggioli o su Amazon.
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.
Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:
• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti
• Gestione del personale: smart working, telelavoro e whistleblowing
• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda
• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti
• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.
Giuseppe Cassano
Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.
Enzo Maria Tripodi
attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.
Cristian Ercolano
Partner presso Theorema Srl - Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Leggi descrizione
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano, 2025, Maggioli Editore
62.00 €
58.90 €
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.
Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:
• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti
• Gestione del personale: smart working, telelavoro e whistleblowing
• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda
• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti
• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.
Giuseppe Cassano
Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.
Enzo Maria Tripodi
attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.
Cristian Ercolano
Partner presso Theorema Srl - Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
I diritti del segnalato e le linee guida del Garante Privacy
Un aspetto centrale riguarda la posizione del segnalato, che deve poter esercitare i diritti previsti dagli artt. 15–22 GDPR, seppure con limitazioni.
L’art. 2-undecies del Codice privacy consente infatti l’esercizio di tali diritti per il tramite del Garante, che verifica la legittimità del trattamento senza compromettere l’efficacia delle indagini.
Il Garante, nel suo parere sulle Linee guida ANAC, ha inoltre precisato che:
-
la piattaforma di gestione delle segnalazioni non deve inviare notifiche che rivelino l’identità del segnalante;
-
l’accesso ai dati deve essere selettivo, tracciato e riservato solo ai soggetti autorizzati;
-
l’identità del segnalante non può essere comunicata se la contestazione disciplinare è fondata su accertamenti autonomi e ulteriori rispetto alla segnalazione.
Tali indicazioni valgono tanto per il settore pubblico quanto per quello privato, dove il rispetto dei principi di minimizzazione, integrità e confidenzialità rappresenta la chiave per garantire un whistleblowing realmente sicuro.
Conclusioni: il binomio necessario tra etica e protezione dei dati
Il whistleblowing efficace non può prescindere da un sistema di garanzie privacy solide.
Solo una corretta gestione dei dati e delle identità consente di conciliare:
-
la tutela del segnalante contro possibili ritorsioni;
-
la difesa del segnalato da accuse infondate;
-
l’interesse pubblico alla trasparenza e alla legalità.
La normativa sulla privacy, lungi dal rappresentare un ostacolo, è oggi uno strumento di fiducia e legittimazione del sistema delle segnalazioni: un presidio per le organizzazioni che vogliano adottare procedure etiche, sicure e conformi al GDPR.
Whistleblowing e privacy: domande frequenti
Il datore di lavoro può conoscere l’identità del segnalante?
Solo se strettamente necessario per la gestione del procedimento o su consenso espresso del segnalante; altrimenti, la sua identità resta riservata in ogni fase.
Le segnalazioni anonime sono sempre valide?
No. Sono ammesse solo in via eccezionale, se il sistema tutela pienamente la riservatezza e consente comunque la verifica dei fatti.
Quanto tempo possono essere conservati i dati di una segnalazione?
Generalmente, fino a due mesi dalla conclusione della verifica; oltre, solo in caso di contenzioso o procedimenti disciplinari.
Il segnalato può accedere ai propri dati?
Sì, ma attraverso il Garante per la protezione dei dati, per evitare che l’accesso comprometta le indagini o riveli l’identità del segnalante.
Le stesse regole valgono nel settore privato?
Sì. I principi di riservatezza, proporzionalità e minimizzazione dei dati sono validi per enti pubblici e aziende private.
