Canale interno whistleblowing: quando è obbligatorio e come attivarlo
Il whistleblowing aziendale è uno degli adempimenti più importanti per imprese, enti e organizzazioni che vogliono gestire in modo corretto, sicuro e riservato le segnalazioni di illeciti, violazioni o comportamenti non conformi. Ma una delle domande più frequenti resta sempre la stessa: chi è obbligato ad attivare un canale interno whistleblowing?
La risposta non può essere ridotta a una semplice formula valida per tutti. Il D.Lgs. 24/2023 individua diversi soggetti obbligati e richiede una valutazione che tenga conto della natura dell’organizzazione, del numero di lavoratori, dell’eventuale adozione di un Modello Organizzativo 231 e del settore in cui l’ente o l’azienda opera.
In questo articolo vediamo, con un taglio pratico, quando il canale whistleblowing è obbligatorio, cosa deve garantire, perché una semplice email non è una soluzione adeguata e quali passaggi sono necessari per attivarlo correttamente.
Cos’è il whistleblowing aziendale
Con il termine whistleblowing si fa riferimento alla possibilità, per determinati soggetti, di segnalare violazioni, illeciti o condotte irregolari di cui siano venuti a conoscenza nell’ambito del proprio contesto lavorativo o professionale.
Il sistema di whistleblowing non serve solo a ricevere una segnalazione. Serve soprattutto a garantire che quella segnalazione venga gestita in modo riservato, sicuro, tracciabile e conforme alla normativa applicabile.
La finalità è duplice: da un lato tutelare la persona che segnala, evitando ritorsioni o trattamenti sfavorevoli; dall’altro consentire all’organizzazione di intercettare tempestivamente criticità, violazioni o comportamenti potenzialmente dannosi.
Chi è obbligato ad attivare il canale whistleblowing
Il D.Lgs. 24/2023 ha introdotto un sistema articolato di obblighi che riguarda sia il settore pubblico sia il settore privato. Per questo motivo, prima di attivare un canale di segnalazione, è importante verificare con attenzione se l’organizzazione rientra tra i soggetti obbligati.
Enti del settore pubblico
Gli enti del settore pubblico sono generalmente tenuti a dotarsi di canali interni di segnalazione. In questa categoria rientrano, a titolo esemplificativo, amministrazioni pubbliche, enti pubblici economici, enti di diritto privato sottoposti a controllo pubblico, società in controllo pubblico e altri soggetti individuati dalla normativa.
Per questi enti, il canale interno rappresenta uno strumento fondamentale per favorire la trasparenza, la prevenzione della corruzione e la gestione corretta delle segnalazioni provenienti da lavoratori, collaboratori e altri soggetti legittimati.
Aziende private con almeno 50 lavoratori
Nel settore privato, uno dei criteri principali è rappresentato dalla soglia occupazionale. Le imprese che hanno impiegato, nell’ultimo anno, una media di almeno 50 lavoratori subordinati sono generalmente tenute ad attivare un canale interno di segnalazione.
Questo è uno dei casi più frequenti e riguarda molte PMI strutturate, aziende industriali, imprese di servizi, gruppi societari, strutture sanitarie private, realtà commerciali organizzate e aziende con più sedi operative.
Aziende con Modello Organizzativo 231
Un altro elemento da considerare è l’eventuale adozione del Modello di Organizzazione, Gestione e Controllo ai sensi del D.Lgs. 231/2001.
Le aziende che adottano un Modello 231 devono prestare particolare attenzione al tema whistleblowing, perché il canale di segnalazione si collega direttamente ai flussi informativi verso l’Organismo di Vigilanza, alla gestione delle anomalie, alla prevenzione dei reati presupposto e alla capacità dell’ente di dimostrare l’effettiva attuazione del proprio sistema organizzativo.
In questi casi, il canale whistleblowing non deve essere visto come uno strumento separato, ma come parte integrante del sistema di controllo interno e dei flussi previsti dal Modello 231.
Settori specifici anche sotto la soglia dei 50 lavoratori
Esistono poi settori nei quali l’obbligo può rilevare anche a prescindere dalla soglia dei 50 lavoratori. La normativa richiama, tra gli altri, ambiti regolati come servizi, prodotti e mercati finanziari, prevenzione del riciclaggio e del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente.
Per questo motivo, le aziende sotto soglia non dovrebbero escludere automaticamente l’obbligo. È sempre opportuno verificare il settore di attività, la struttura organizzativa, l’eventuale appartenenza a gruppi societari, la presenza di Modelli 231 e il quadro normativo specifico applicabile.
Il canale interno è solo un modulo online?
No. Uno degli errori più comuni è pensare che il canale whistleblowing coincida semplicemente con un modulo sul sito web, una casella email dedicata o un indirizzo PEC.
In realtà, il canale interno deve essere inserito in un sistema più ampio, composto da strumenti tecnici, procedure, ruoli, autorizzazioni, informative privacy, tempi di gestione e misure di sicurezza.
La piattaforma utilizzata è importante, ma non basta da sola. Serve anche una corretta organizzazione interna: chi riceve la segnalazione, chi può accedere ai dati, come vengono conservati gli allegati, quali risposte vengono inviate al segnalante, come si documentano le attività svolte e come si garantisce la riservatezza delle persone coinvolte.
Cosa deve garantire un canale whistleblowing
Un canale interno di segnalazione deve essere progettato per garantire sicurezza, riservatezza e corretta gestione del processo. Non basta raccogliere la segnalazione: bisogna gestirla secondo criteri coerenti con la normativa.
In particolare, un canale whistleblowing dovrebbe garantire:
- riservatezza dell’identità del segnalante;
- protezione delle persone coinvolte o menzionate nella segnalazione;
- accesso controllato solo ai soggetti autorizzati;
- tracciabilità delle attività di gestione;
- possibilità di dialogare con il segnalante in modo riservato;
- gestione ordinata degli allegati e della documentazione;
- rispetto dei tempi previsti dalla procedura;
- misure tecniche e organizzative adeguate alla protezione dei dati personali.
Questi elementi sono fondamentali perché la segnalazione può contenere dati personali, informazioni riservate, documenti aziendali, riferimenti a persone fisiche e contenuti potenzialmente delicati. Per questo motivo, il whistleblowing deve essere gestito anche in ottica privacy e GDPR.
Perché una semplice email non basta per gestire il whistleblowing
Molte organizzazioni, soprattutto nella prima fase di adeguamento, hanno pensato di gestire le segnalazioni tramite una semplice casella email dedicata. Questa soluzione, però, può presentare diverse criticità.
Una casella email tradizionale può rendere più difficile controllare gli accessi, garantire la riservatezza, documentare correttamente le attività, proteggere gli allegati, gestire le comunicazioni con il segnalante e separare i ruoli delle persone coinvolte nel processo.
Inoltre, le email possono essere inoltrate, scaricate, archiviate su dispositivi locali, sincronizzate su più client o conservate senza un controllo adeguato. Tutti questi aspetti possono generare rischi in termini di sicurezza, riservatezza e conformità.
Un canale whistleblowing professionale dovrebbe invece consentire una gestione più ordinata e controllata, riducendo il rischio di accessi impropri, dispersione delle informazioni e trattamenti non coerenti con i principi di protezione dei dati personali.
Whistleblowing e privacy: un collegamento da non sottovalutare
Ogni segnalazione può comportare il trattamento di dati personali. Possono essere presenti dati del segnalante, dati della persona segnalata, dati di testimoni, informazioni relative a dipendenti, collaboratori, fornitori o altri soggetti collegati all’organizzazione.
Per questo motivo, il canale whistleblowing deve essere valutato anche sotto il profilo privacy. L’organizzazione deve chiedersi quali dati vengono raccolti, per quali finalità, chi può accedervi, per quanto tempo vengono conservati, quali misure di sicurezza vengono applicate e quali informazioni devono essere rese disponibili agli interessati.
In molti casi sarà necessario predisporre o aggiornare:
- l’informativa privacy dedicata al canale whistleblowing;
- le autorizzazioni interne al trattamento dei dati;
- l’eventuale nomina del fornitore come responsabile del trattamento ai sensi dell’art. 28 GDPR;
- le istruzioni operative per chi gestisce le segnalazioni;
- le valutazioni sui tempi di conservazione;
- le misure di sicurezza tecniche e organizzative.
Questo passaggio è essenziale: un canale può essere tecnicamente funzionante, ma non correttamente integrato nel sistema privacy dell’azienda. E questo può esporre l’organizzazione a contestazioni, criticità operative e rischi reputazionali.
Quali documenti servono oltre al software
Un altro punto importante riguarda la documentazione. Attivare una piattaforma whistleblowing è un passaggio fondamentale, ma non esaurisce l’intero percorso di adeguamento.
L’organizzazione dovrebbe predisporre, con il supporto dei propri consulenti, una serie di documenti e procedure coerenti con il proprio contesto aziendale.
Tra i principali documenti da valutare troviamo:
- procedura whistleblowing, con indicazione dei soggetti legittimati, delle modalità di segnalazione e dei tempi di gestione;
- informativa privacy relativa al trattamento dei dati personali nell’ambito delle segnalazioni;
- DPA o nomina a responsabile del trattamento, se il servizio è fornito da un soggetto esterno;
- istruzioni operative per il gestore del canale;
- comunicazione interna ai lavoratori e collaboratori;
- documento di affissione o avviso con QR code, utile per rendere conoscibile il canale anche in sede;
- aggiornamento del Modello 231, se presente;
- definizione dei flussi informativi verso l’Organismo di Vigilanza, se applicabile.
Questo dimostra perché il whistleblowing non deve essere affrontato come un semplice adempimento tecnico. È un processo organizzativo che coinvolge governance, privacy, comunicazione interna, gestione documentale e controllo dei rischi.
Il ruolo dell’Organismo di Vigilanza nei flussi whistleblowing
Quando l’azienda ha adottato un Modello 231, il tema delle segnalazioni si collega direttamente all’Organismo di Vigilanza. L’OdV deve poter ricevere o conoscere, secondo quanto previsto dal modello e dalla procedura interna, informazioni rilevanti per il sistema di prevenzione dei reati e per il controllo sull’effettiva attuazione del modello.
Per questo motivo è importante che il canale whistleblowing sia progettato anche tenendo conto dei flussi verso l’OdV. Le segnalazioni non devono perdersi in comunicazioni disordinate, email frammentate o documenti non tracciati.
Un sistema organizzato permette di distinguere le diverse tipologie di segnalazione, gestire correttamente gli accessi, documentare le attività e mantenere un quadro più chiaro degli eventi rilevanti per il Modello 231.
Whistleblowing e parità di genere: perché il canale può essere strategico
Il canale di segnalazione può assumere un ruolo importante anche rispetto ai temi della parità di genere, della prevenzione delle discriminazioni e della tutela dell’ambiente di lavoro.
Molestie, discriminazioni, disparità di trattamento, comportamenti lesivi della dignità personale e situazioni di abuso possono emergere solo se le persone hanno a disposizione strumenti credibili, riservati e facilmente accessibili.
Naturalmente non tutte le segnalazioni rientrano automaticamente nel perimetro del whistleblowing previsto dal D.Lgs. 24/2023. Tuttavia, un’organizzazione attenta può strutturare canali e procedure capaci di gestire in modo ordinato anche flussi collegati alla parità di genere, alle policy interne e ai sistemi di prevenzione aziendale.
Questo è uno dei motivi per cui GuardianVox integra in un’unica piattaforma più ambiti di segnalazione: whistleblowing, parità di genere e flussi OdV/MOG 231.
Come informare lavoratori e collaboratori dell’esistenza del canale
Attivare il canale non basta. Le persone devono sapere che il canale esiste, come accedervi, quali segnalazioni possono essere inviate e quali tutele sono previste.
La comunicazione interna è quindi un passaggio fondamentale. L’azienda dovrebbe rendere disponibili le informazioni sul canale in modo chiaro e accessibile, ad esempio tramite:
- pagina dedicata sul sito aziendale;
- intranet aziendale;
- comunicazioni interne ai lavoratori;
- affissione in sede;
- QR code che rimanda direttamente al canale di segnalazione;
- documentazione consegnata a collaboratori e fornitori, quando opportuno.
Questo aspetto è particolarmente importante per aziende prive di un sito web aggiornato o per organizzazioni con personale operativo distribuito su più sedi. In questi casi, un documento di affissione con QR code può diventare uno strumento semplice ma molto efficace per rendere il canale realmente accessibile.
Gli errori più comuni da evitare
Nella gestione del whistleblowing aziendale, alcuni errori si ripetono con grande frequenza. Evitarli permette di ridurre i rischi e di costruire un sistema più solido.
Tra gli errori più comuni troviamo:
- attivare solo una casella email generica;
- non definire chiaramente chi gestisce le segnalazioni;
- non regolare gli accessi alle informazioni;
- non predisporre una procedura scritta;
- non informare correttamente lavoratori e collaboratori;
- non valutare gli aspetti privacy e GDPR;
- non nominare correttamente eventuali fornitori esterni;
- non aggiornare il Modello 231, se presente;
- non documentare le attività svolte nella gestione della segnalazione;
- non prevedere strumenti adeguati per il dialogo riservato con il segnalante.
Il punto centrale è questo: il whistleblowing non è soltanto ricezione della segnalazione. È gestione del processo. E un processo delicato richiede strumenti, ruoli e regole adeguate.
Come attivare correttamente un canale whistleblowing
Per attivare correttamente un canale interno di segnalazione, l’azienda dovrebbe seguire un percorso ordinato. Ogni realtà ha le proprie specificità, ma alcuni passaggi sono comuni.
1. Verificare se l’organizzazione è obbligata
Il primo passo è capire se l’azienda o l’ente rientra tra i soggetti obbligati. Bisogna considerare numero di lavoratori, natura pubblica o privata, settore di attività, eventuale Modello 231 e normative specifiche applicabili.
2. Scegliere uno strumento adeguato
Il canale deve garantire riservatezza, sicurezza, accessi controllati, tracciabilità e gestione ordinata delle comunicazioni. Una piattaforma dedicata consente di ridurre molte criticità tipiche dei sistemi improvvisati.
3. Definire chi gestisce le segnalazioni
L’organizzazione deve individuare i soggetti incaricati della gestione del canale, definendo responsabilità, autorizzazioni, istruzioni operative e limiti di accesso.
4. Predisporre procedura e documentazione privacy
Il canale deve essere accompagnato da una procedura interna, da un’informativa privacy coerente e, se necessario, da documenti contrattuali e nomine relative al trattamento dei dati personali.
5. Informare lavoratori, collaboratori e soggetti interessati
Il canale deve essere conoscibile e accessibile. Per questo è importante pubblicare le informazioni sul sito, predisporre comunicazioni interne e, quando utile, generare documenti di affissione con QR code.
6. Monitorare e aggiornare il sistema
Il sistema whistleblowing non dovrebbe restare fermo nel tempo. Procedure, ruoli, informative e strumenti devono essere aggiornati quando cambiano normativa, organizzazione aziendale, fornitori, sedi operative o flussi interni.
Come GuardianVox supporta aziende ed enti
GuardianVox nasce per aiutare aziende, enti e professionisti a gestire in modo più semplice, ordinato e sicuro i canali di segnalazione e i flussi collegati alla compliance aziendale.
La piattaforma permette di centralizzare la gestione delle segnalazioni, proteggere la riservatezza, organizzare i flussi, documentare le attività e rendere più accessibile il canale attraverso strumenti pensati per l’uso quotidiano.
Con GuardianVox è possibile gestire:
- canali di segnalazione whistleblowing;
- segnalazioni collegate alla parità di genere;
- flussi verso OdV e Modello 231;
- accessi riservati e controllati;
- tracciamento delle attività;
- documenti di affissione con QR code;
- pagine pubbliche dedicate al canale di segnalazione;
- supporto alla gestione ordinata delle comunicazioni.
L’obiettivo non è sostituire il lavoro dei consulenti legali, privacy o compliance, ma fornire uno strumento concreto che renda più semplice applicare le procedure e gestire le segnalazioni in modo coerente.
Il canale interno whistleblowing è oggi uno strumento fondamentale per molte aziende ed enti. Non deve essere considerato un semplice obbligo formale, ma una parte importante del sistema di governance, prevenzione e tutela delle persone.
Capire se si è obbligati, scegliere uno strumento adeguato, predisporre la documentazione corretta e informare lavoratori e collaboratori sono passaggi essenziali per evitare soluzioni improvvisate e rischi inutili.
GuardianVox nasce proprio per accompagnare questo percorso, offrendo una piattaforma semplice, sicura e pensata per integrare whistleblowing, privacy, parità di genere e flussi OdV/MOG 231.
Vuoi attivare un canale whistleblowing sicuro e organizzato per la tua azienda? Scopri GuardianVox e richiedi una demo della piattaforma.



Commento all'articolo