L’Autorità Garante per la protezione dei dati personali attraversa una fase di evidente difficoltà organizzativa e reputazionale. Non è una crisi normativa – perché i poteri sono integri e la cornice giuridica è solida – ma una crisi di affidabilità derivante da tensioni interne, fratture amministrative e dall’eco mediatica di episodi recenti che hanno indebolito la percezione di indipendenza e solidità dell’Istituzione.

Questa condizione pesa più del solito perché il contesto europeo è cambiato.

Il Garante privacy non è un’autorità come le altre: oggi è un nodo strategico nella governance del GDPR, un ruolo destinato a diventare ancora più rilevante di fronte alla portata delle tecnologie emergenti – in primo luogo l’intelligenza artificiale – nella tutela dell’identità digitale e nella cooperazione con le Autorità degli altri Stati membri.

La sua autorevolezza non è un dettaglio: è un elemento strutturale dell’infrastruttura democratica del Paese.

A legislazione invariata, esiste però un percorso immediato e concreto che si potrebbe valutare: aprire i processi dell’Autorità a verifiche terze, avviare audit indipendenti, confrontare le procedure con i modelli internazionali e ricostruire la relazione tra Collegio e struttura.

Il punto di arrivo di tale percorso sarebbe la certificazione del sistema di gestione dell’Autorità Garante. La certificazione dei processi non limita l’indipendenza ma piuttosto la rafforza perché restituisce trasparenza, ordine e credibilità a un presidio fondamentale per la democrazia informativa.

Aprire i processi dell’Autorità a una valutazione terza

Un’Autorità indipendente vive di credibilità più che di prerogative.

La sua forza deriva, più che dagli articoli della legge istitutiva, dalla fiducia che cittadini, imprese e istituzioni ripongono nella sua capacità di operare con equilibrio, riservatezza e rigore.

Quando questa fiducia si incrina – anche senza violazioni formali – l’Autorità entra in una zona di vulnerabilità silenziosa: continua a funzionare ma perde autorevolezza e forza di parola.

È quello che oggi accade al Garante per la protezione dei dati personali.

La situazione attuale non è una crisi giuridica né un deficit di potere e nemmeno un conflitto politico. È, secondo noi, una crisi di affidabilità sistemica derivante da tensioni interne tra organo amministrativo e Collegio, dimissioni improvvise, fughe di informazioni e un clima pubblico che ha indebolito la percezione di stabilità dell’Istituzione.

Ora, in un’epoca in cui l’Italia è chiamata a gestire l’attuazione di GDPR, identità digitale e dove le tecnologie emergenti sono sempre più impattanti, questa fragilità pesa più del previsto.

Eppure, secondo noi, esiste una via immediata, concreta, praticabile sin da domani mattina a legislazione invariata. Una via che non richiede riforme ma maturità istituzionale: aprire i processi dell’Autorità a una valutazione terza.

Perché un’Autorità indipendente non deve essere autoreferenziale

Indipendenza non significa isolamento, significa poter decidere senza pressioni e saper dimostrare al Paese che le proprie procedure sono trasparenti, tracciabili, disponibili, congruenti con quanto prevede la normativa alla valutazione imparziale.

Un organismo che controlla gli altri dovrebbe essere in grado di mostrare come controlla sé stesso.

Non è un obbligo ma certamente è un segno di maturità istituzionale.

La legittimazione più forte, oggi, non nasce dalla norma ma dalla qualità dei processi.

La crisi attuale: un problema di clima, non di potere

Oggi, il Garante privacy non ha perso i suoi poteri ma ha oggettivamente perso – temporaneamente – parte della fiducia interna ed esterna.

La frattura tra struttura amministrativa e Collegio, l’eco mediatica delle ultime vicende, la tensione generata dalle dimissioni interne e la percezione di una scarsa coesione organizzativa hanno fatto emergere un problema delicato: non si discute la legalità dell’Autorità ma la solidità della sua postura di legittimazione.

In un contesto simile, secondo noi, non servono riforme legislative. Servono atti chiari, immediati, verificabili.

Cosa fare subito, a legislazione invariata

Secondo noi, l’Autorità potrebbe valutare quattro iniziative immediate.

Avviare audit indipendenti sui processi interni

Un’Autorità che accetta di essere valutata, per sua scelta, invia un messaggio di forza e non di debolezza.

Un organismo terzo può analizzare procedure, flussi informativi, gestione documentale, sicurezza interna e funzionamento della macchina amministrativa.

Questo ha due effetti immediati: ridà ordine e serenità.

Standardizzare i processi con modelli di sistemi di gestione internazionali

ISO 9001 (qualità), ISO 27001 (sicurezza delle informazioni), ISO 37301 (compliance), ISO 37001 (anticorruzione). La certificazione non è un’etichetta ma un percorso che obbliga l’organizzazione a:

• definire regole;
• tracciare decisioni;
• ridurre ambiguità;
• migliorare l’accountability.

Istituire un protocollo interno di governance

Servirebbe documento chiaro e pubblico che definisca:

• tempi di risposta;
• strumenti di escalation;
• tutele del personale;
• canali di segnalazione indipendenti.

Questo riporterebbe ordine e prevedibilità, oltre a garantire una forma di contratto chiaro e trasparente con tutti i soggetti coinvolti.

Sottoporre annualmente i processi a una verifica terza

L’Autorità potrebbe scegliere il soggetto verificatore: università, centri di ricerca, magistratura amministrativa in congedo, autorità estere.

In ogni caso si tratterebbe di un soggetto indipendente, qualificato ed ovviamente nel perimetro della Pubblica amministrazione.

I risultati dovrebbero essere resi pubblici a meno che non vadano ad evidenziare potenziali criticità che potrebbero essere sfruttate da malintenzionati.

La verifica periodica diventerebbe così parte della cultura dell’Istituzione.

La certificazione come strumento di ricostruzione istituzionale

La certificazione del sistema di gestione non limiterebbe l’indipendenza dell’Autorità ma anzi la rafforzerebbe.

Dimostrerebbe che l’Autorità è:

• affidabile perché si mette in discussione;
• solida perché trasparente;
• serena perché verificabile;
• indipendente perché non teme lo sguardo di un soggetto imparziale.

E, soprattutto, dimostrerebbe che l’Autorità:

• non subisce la crisi ma la governa;
• non risponde al rumore con il rumore ma con la disciplina;
• non si difende, ma si riforma.

La credibilità non si comunica, si costruisce

La credibilità non è il risultato di un comunicato stampa o di un post, non si afferma ma si dimostra con atti concreti.

Le istituzioni non perdono autorevolezza per un errore ma per l’incapacità di mostrare come lo correggono in tempi rapidi ed eliminando in modo radicale le cause all’origine.

L’Autorità Garante, secondo noi, ha tutti gli strumenti – normativi, organizzativi, etici – per uscire da questa fase difficile con una postura di legittimazione ancora più solida, più matura e più moderna.

Nel tempo in cui la fiducia è il vero capitale istituzionale, la trasparenza dei processi è l’unica forma di ricostruzione che parla davvero al Paese.