Le vicende che stanno interessando l’Autorità Garante per la protezione dei dati personali, da qualche settimana a questa parte, sono dolorose e creano sconcerto al tempo stesso. Per diversi profili soggettivi e oggettivi.
La mia storia personale e professionale è profondamente legata a quella Autorità, che mi ha formato e che ho contribuito a costruire negli anni in cui la guida del Garante era affidata a Stefano Rodotà e Giovanni Buttarelli. Nel tempo il Garante è cambiato, è cresciuto, da un punto di vista quantitativo (quando vi entrai io, eravamo in 35) e qualitativo: all’epoca era una Autorità pionieristica che doveva guadagnarsi un ruolo nella società e fra le istituzioni, operando soprattutto attraverso la leva culturale piuttosto che mediante il ricorso a censure e sanzioni.
Le stagioni che si sono susseguite hanno visto un Garante che ha affrontato, con il Collegio a guida di Francesco Pizzetti, di petto ogni tema di possibile impatto della circolazione e protezione di dati e cosi sono nate tutte le principali linee guida che ancora oggi disciplinano il mercato dei dati e si sono viste le prime sanzioni.
Con il Collegio di Antonello Soro, poi, si è preparato il terreno al GDPR e si è guidata per bene la transizione dal Codice Privacy al nuovo regolamento europeo. Infine, è arrivato il Collegio attuale. Stesse regole di ingaggio, stesse dinamiche politico istituzionali. Tanti i problemi che sono stati affrontati, il Covid, la cooperazione con le Autorità europee, l’intelligenza artificiale, il fascicolo sanitario e molte altre vicende, tutte gestite con tempismo e unanime plauso sociale ed istituzionale.
Cosa ha fatto il Garante Privacy in questi anni
Mai una critica a valle della presentazione delle Relazioni annuali al Parlamento, nel corso degli anni. Mai il dibattito è diventato acceso intorno ai provvedimenti adottati nel corso degli anni – ad eccezione forse dei provvedimenti sul Green Pass e quelli sull’AI.
Questo Garante ha lavorato bene, diversamente dagli altri, ma in linea con la sua tradizione. Di certo ha comunicato di più e meglio rispetto al passato. Inoltre, non dimentichiamolo mai, il Garante è fatto anzitutto da decine e decine di donne e uomini di grande qualità ed esperienza, che conoscono il mercato dei dati e gli aspetti tanto di tutela dei diritti fondamentali, quanto quelli relativi all’impatto economico della regolazione.
Sono state anche applicate diverse sanzioni. Talune anche milionarie, anche se ad oggi la sanzione più alta irrogata dal Garante non supera l’1 per cento del fatturato globale del trasgressore, a fronte di una legge europea, il GDPR, che prevede sanzioni nel massimo edittale parametrate fino al 4% del fatturato del trasgressore. Unanimemente, tra gli esperti di settore, questo Garante è stato visto da subito come molto dialogante, aperto ed attento alle esigenze del mercato, esattamente come da sempre avviene nel resto del mondo che consideriamo civilizzato.
E questo è stato un bene. L’Autorità ha poi ripreso quel ruolo di guida internazionale, tra le varie Autorità gemelle europee che siedono nello European Data Protection Board, ruolo che aveva sempre avuto a livello funzionariale e dirigenziale, ma che a livello di Collegio non aveva più dai tempi di Rodotà e Buttarelli. Un po’ per ragioni di conoscenza della lingua inglese, un po’ per attitudine dei commissari.
In tutti i miei precedenti articoli sul tema, segnalavo, anche in qualità di Country Leader della IAPP International Association of Privacy Professionals, la centralità e l’importanza per questa Autorità di controllo e garanzia di presidiare settimanalmente Bruxelles, non solo con l’eccellente presenza dei funzionari, ma anche e soprattutto con la partecipazione dei componenti del Board, dato che ai sensi del GDPR le politiche sul trattamento dei dati si decidono ormai a Bruxelles e non più a livello nazionale.
E devo dire che la partecipazione costante di questo Collegio agli eventi ed ai tavoli internazionali è stata costante e con crescente e apprezzata influenza, culminata lo scorso anno con il G7 dei Garanti privacy a Roma. Questo fa parte dei principali compiti istituzionali dell’Autorità.
Gli ultimi tre anni, poi, hanno posto il Garante al centro del mondo, sul dibattito tecnologico, sugli impatti della regolazione rispetto alle scelte tecnologiche e sulle ricadute sulla società, anche di natura etica.
Non so se sia chiaro a tutti il ruolo centrale che le Autorità di controllo sulla protezione dei dati svolgono nei tanti Paesi del mondo in cui sono istituite (parliamo di oltre 150 nazioni). Il Garante privacy non esiste solo in Italia e non se ne può fare a meno. I dati sono il motore del mondo. Da sempre.
Si dice che la storia sia nata con la scrittura e con la scrittura si è iniziato a raccogliere dati, informazioni, immagini, che via via sono stati immagazzinati in supporti diversi, dalla pietra al papiro, dalla carta ai nastri magnetici, dai cd-rom ai super computer contemporanei. Chi detiene dati ha un vantaggio competitivo su chi non ne ha. I dati sono dunque anche una forma di potere, determinano potere e lo delimitano nei diversi ambiti in cui si opera. I dati sono una leva economica formidabile.
Determinano le politiche di marketing, le vendite, la produzione, gli stock delle aziende. Rendono efficienti l’azione delle pubbliche amministrazioni. Abilitano la ricerca scientifica, statistica, storica.
Sono imprescindibili nei tribunali, nel mercato del lavoro e negli ospedali. Credito e assicurazioni senza dati non esisterebbero. Per non parlare poi degli ambiti della scuola, della difesa e della sicurezza nazionale. Sono l’ingrediente principale del giornalismo e la colonna portante delle relazioni interpersonali e ci rappresentano nella dinamica sociale, pubblica e privata delimitando la nostra identità, raccontando gli ambiti delle nostre libertà, costruendo nel gioco tra trasparenza e riservatezza le dinamiche democratiche delle società liberali. Solo in quest’ultima dimensione si incarnano nel diritto alla riservatezza.
Tutto il resto riguarda le politiche di trattamento dei dati calate nelle diverse finalità che la società può immaginare e descrivere. Poi c’è il capitolo intelligenza artificiale che non può esistere senza dati personali. Senza contare poi gli aspetti di cybersicurezza, protezione informatica dei dati personali e degli asset informativi di aziende e p.a.
Il Garante Privacy conta 170 dipendenti e una dotazione economica molto bassa
Ecco, di tutto questo si occupa chi si occupa di protezione e circolazione dei dati e di questo deve occuparsi l’Autorità Garante per la protezione dei dati personali, con un organico ridicolo di circa 170 dipendenti rispetto all’ampiezza del suo raggio di controllo e con una dotazione economica molto bassa, di circa 50 milioni di euro, considerate le tante sfide istituzionali a cui l’Autorità deve far fronte. In Irlanda, nel Regno Unito, in Francia, il personale delle Data Protection Authority super le 500 unità, più o meno come la dotazione di alcune importanti agenzie italiane, tipo l’ACN.
Basta leggere una qualunque delle 28 relazioni annuali che negli anni, a partire dalla fondazione del Garante nel 1997 si sono susseguite per comprendere la complessità di quel lavoro e la delicatezza di quegli equilibri.
L’Autorità si occupa di centinaia di casi l’anno e dovrebbe occuparsi di migliaia, in verità, se fosse meglio strutturata, tra segnalazioni e reclami, e poi deve occuparsi delle ispezioni, delle consultazioni preventive, della redazione dei codici di condotta (tra cui quello sul giornalismo, sui sistemi di informazione creditizia, sulle informazioni commerciali, sugli investigatori privati, sul telemarketing, sui software, sul mercato del lavoro) e del monitoraggio di tutti gli ambiti amministrati.
Deve presidiare i rapporti con le altre Autorità nazionali ed internazionali, deve fare divulgazione e formazione, deve occuparsi delle notifiche ricevute per i data breaches, e molto altro ancora.
Ecco, questo per me è il Garante. Indipendentemente dal Collegio pro tempore. La narrazione che giornali e televisione sta facendo al Paese è quantomeno ingenerosa e parziale. Se poi, nel caso di specie, ci sono state delle specifiche responsabilità di rilievo etico, amministrativo, contabile o penale, saranno le autorità competenti a doversi far carico dei relativi accertamenti e sono certo che gli interessati sapranno ben difendersi e riusciranno a provare le loro ragioni.
Bene fa il giornalismo di inchiesta ad approfondire con serietà e misura. Male fa se si spinge al sospetto, al gossip, allo stillicidio informativo che crea audience e attesa. Tutto ciò crea una sproporzione tra i poteri democratici.
Dall’altro lato c’è la politica che viene giustamente tirata in ballo, dato che il Collegio di questa come delle altre Autorità è nominato dai due rami del Parlamento. I partiti politici di maggioranza ed opposizione da sempre esprimono in maniera equanime i componenti delle Autorità, incluse AGCOM e Antitrust.
I meccanismi di nomina del Collegio
Anche il primo Collegio del Garante, quello presieduto da Stefano Rodotà vedeva due componenti espressione del centro sinistra (appunto Rodotà e De Siervo) e due del centro destra (Manganelli e Santaniello). Esattamente come quello in carica, equamente rappresentato da due componenti espressione dei voti della maggioranza e due espressioni della minoranza pro tempore.
Desta quindi sorpresa vedere come i rappresentanti politici odierni, chiamati ad occuparsi, quantomeno moralmente delle scelte fatte a suo tempo dalle loro parti politiche, agiscano come Alice nel Paese delle Meraviglie, rispetto ai meccanismi di nomina del Collegio.
In tempi non sospetti, già nel 2019, mi occupai su diversi giornali della cosa e suggerii di sottrarre alla politica attiva la scelta dei componenti delle Authority.
La proposta per la nomina dei prossimi componenti del collegio del Garante Privacy
Essendo questo l’ennesimo motivo di divisione quando invece la scelta dei componenti dei Garanti dovrebbe essere un momento di unità e condivisione di valori che prescindono dalla partigianeria politica, ho suggerito più volte, e lo ribadisco in questo momento di crisi, di cambiare le regole di ingaggio, pro futuro, che attribuiscono a Camera e Senato la nomina dei Garanti, spostando la competenza in capo al Presidente della Repubblica, sentiti i Presidenti di Camera e Senato e quello della Corte Costituzionale.
In tal modo si sottrae alla tentazione della lottizzazione una nomina tanto delicata quanto importante e soprattutto si restituisce al Paese un sistema di Autorità veramente tecniche, terze ed autorevoli.
In Europa il percorso è diverso, si raccolgono i curricula ed il Parlamento europeo effettua delle audizioni dei candidati che in tutta trasparenza vengono valutati rispetto al loro cv, ma anche rispetto alla loro attitudine in concreto a svolgere un ministero cosi alto come quello delle authority di regolazione. Il meccanismo dell’astensione in caso di conflitto di interesse ha un limite soggettivo invalicabile e quindi non è del tutto idoneo a sgombrare il campo da dubbi di commistioni e squilibri.
Né si può pensare di impedire a talune categorie (es. gli avvocati? Gli informatici? I professori universitari, di candidarsi alla guida delle Autorità). Ecco perché la scelta rimessa alle più alte cariche dello Stato potrebbe essere la più sicura e la più saggia.
