In un’epoca segnata dalla crescente “datafication” della vita pubblica e privata, il ruolo delle Autorità nazionali per la protezione dei dati personali è diventato centrale non soltanto per la tutela dei diritti fondamentali, ma anche per il funzionamento stesso delle democrazie.

Ecco come assicurare l’indipendenza delle Autorità privacy e una governance resistente di fronte a crisi reputazionali, tra previsioni europee, fragilità nazionali e riforme per la resilienza istituzionale

L’indipendenza dell’Authority privacy come obbligo giuridico e garanzia democratica

Il Regolamento UE 2016/679 sulla privacy (GDPR, il Regolamento generale sulla protezione dei dati, entrato in vigore nel 2018) ha consolidato tale ruolo attribuendo a tali Autorità un mandato indipendente, vincolante e trasversale a tutti i settori della vita sociale.

Ma l’indipendenza, pur essendo un pilastro normativo del GDPR, non è di per sé auto-evidente né auto-sostenibile: richiede meccanismi giuridici robusti, pratiche istituzionali condivise e una cultura della responsabilità che ne preservi l’integrità.

L’articolo 52, paragrafo 1, del GDPR enuncia esplicitamente che ogni autorità di controllo agisce in piena indipendenza nell’adempimento dei propri compiti e nell’esercizio dei propri poteri”.

Tale principio non è un optional, ma una condizione essenziale per la credibilità del sistema di governance della privacy nell’Unione europea.

Il Regolamento UE 2018/1725, che disciplina il trattamento dei dati personali da parte delle istituzioni dell’Unione, offre un esempio paradigmatico di questa impostazione.

Esso stabilisce all’articolo 53, paragrafo 5, che il Garante europeo per la protezione dei dati (EDPS) può essere rimosso solo dalla Corte di giustizia, e unicamente su richiesta congiunta del Parlamento europeo, del Consiglio o della Commissione, in caso di perdita dei requisiti necessari o di colpa grave.

Si tratta di un meccanismo di accountability interno al sistema europeo, ma esterno all’Autorità stessa, che bilancia autonomia e responsabilità.

Se questo è lo standard europeo per il Garante UE, nulla vieta – anzi, molto consiglia – di ispirarvisi anche a livello nazionale.

Il modello italiano: solido in teoria ma criticato nella pratica

Per le Autorità nazionali, il Regolamento generale sulla protezione dei dati (art. 53) prevede che:

• la nomina può competere a Parlamento, governo, capo di Stato o organismi tecnici;
• il mandato può cessare anche per provvedimento d’ufficio secondo il diritto nazionale;
• la rimozione è ammessa solo in caso di colpa grave o di perdita dei requisiti richiesti.

L’ordinamento italiano ha recepito questi principi in modo formale e, a tratti, esemplare.
L’articolo 153 del Codice in materia di protezione dei dati personali affida la nomina dei quattro componenti del Garante per la protezione dei dati personali al Parlamento, con due membri scelti dalla Camera e due dal Senato.

La legge prevede inoltre un regime di incompatibilità: ai membri del Garante è vietato svolgere qualsiasi attività professionale, di consulenza o di rappresentanza, anche non retribuita, e ricoprire cariche elettive o incarichi direttivi in enti pubblici o privati.

Tuttavia non basta.

Una governance resistente di fronte a crisi reputazionali

L’esperienza recente ha dimostrato che una cornice normativa solida non è sufficiente a garantire una governance efficace e credibile, non solo autorevole, ma resistente di fronte a possibili crisi reputazionali.

La vicenda seguita alla sanzione di 150.000 euro inflitta alla RAI per violazioni legate alla trasmissione “Report” ha messo in luce / originato tensioni interne e esterne che hanno minato la percezione pubblica di imparzialità, a prescindere dalla fondatezza delle ricostruzioni circolate.

Questo episodio rivela una verità scomoda ma necessaria. L’indipendenza non è solo una questione giuridica, ma anche politica, organizzativa e culturale. Dipende tanto dalla lettera della legge quanto dalla qualità dei titolari, dalla trasparenza delle procedure di nomina, dalla coesione interna e dalla capacità di gestire in modo responsabile i conflitti.

Tre direttrici di riforma per un’Autorità Privacy più resiliente

Alla luce di queste considerazioni, si propongono tre assi di intervento mirati a rafforzare l’architettura istituzionale del Garante italiano, in piena conformità con il GDPR e con gli standard europei:

• nomina più trasparente e pluralista;
• rimozione;
• rafforzamento degli anticorpi interni.

Nomina più trasparente e pluralista

Il Parlamento potrebbe eleggere i componenti del Garante con maggioranza qualificata (ad esempio, i due terzi dei componenti di ciascuna Camera oppure in seduta comune), favorendo così un ampio consenso bipartisan.

In alternativa, si potrebbe prevedere l’intervento, come nel meccanismo di nomina dei vertici di altre Istituzioni, del Presidente della Repubblica, figura sovra-partitica per eccellenza.

L’obiettivo è ridurre il rischio di percezione di politicizzazione e rafforzare la legittimazione democratica del Collegio.

Rimozione

Andrebbe definito un iter, ispirato al modello EDPS, prevedendo una disciplina
della decadenza e della rimozione più rigorosa, sul modello del Regolamento UE 2018/1725.

Una possibile formulazione è la seguente:

“La rimozione dei membri del Collegio può essere decisa dalla Corte di Cassazione a Sezioni Unite, su richiesta di almeno una delle Camere con maggioranza qualificata, nei soli casi di:

• perdita dei requisiti di indipendenza;
• conflitti di interesse gravi;
• violazioni intenzionali o gravemente colpose dei doveri d’ufficio;
• condotte incompatibili con il ruolo, tali da compromettere la credibilità dell’Autorità.”.

Questa disciplina garantirebbe trasparenza, terzietà e proporzionalità, impedendo l’uso strumentale della rimozione.

Rafforzamento degli anticorpi interni

Invece di introdurre controlli esterni – come ventilato da pur autorevoli commentatori, ma che rischierebbero di minare l’autonomia, tutelata dalle norme UE, dell’Autorità – è preferibile potenziare gli strumenti di autoregolazione interna:

• attivare il Comitato etico, oggi assente nonostante l’esistenza di un Codice etico (aggiornato sulla base della vicenda in atto), con funzioni consultive e di supervisione sulla relativa osservanza;
• rendere operativo il Servizio di controllo interno, presente come casella dell’organigramma ma non attivato per quanto desumibile dagli incarichi assegnati e riportati sul portale dei Garante, come strumento di internal auditing sui processi decisionali e organizzativi;
• prevedere autovalutazioni periodiche sulla governance, a cura della Funzione di internal auditing, con relazioni annuali sintetiche, eventualmente pubbliche, per rendere conto della robustezza della governance istituzionale dell’Autorità.

Il ruolo (mancato) del whistleblowing nella tenuta istituzionale

Un profilo ulteriore attiene al ricorso ai canali di whistleblowing, disciplinati dal d.lgs. 24/2023, quale canale protetto di emersione di eventuali criticità interne. La normativa vigente assicura tutela del segnalante e prevede, in casi determinati, anche la divulgazione esterna (art. 15) qualora la segnalazione interna risulti prevedibilmente inefficace.

La recente diffusione di informazioni tramite la stampa, avvenuta al di fuori di tali canali, evidenzia l’esigenza di rafforzare la cultura organizzativa e le procedure interne, affinché il whistleblowing venga utilizzato in modo corretto e conforme al quadro normativo, contribuendo così alla trasparenza e alla tenuta istituzionale della Autorità come di tutte le organizzazioni tenute ad attuarlo.

L’indipendenza come patrimonio collettivo

L’indipendenza delle Autorità privacy non è un privilegio burocratico, ma un bene pubblico. Serve a garantire che il potere di controllare chi controlla non cada preda di logiche di parte.

Il caso italiano dimostra che senza meccanismi di resilienza interna e di responsabilità condivisa, anche il quadro normativo più avanzato può rivelarsi fragile.

È dunque urgente un dibattito pubblico serio e non strumentale su come rafforzare la governance del Garante, non per limitarne il potere, ma per preservarne la legittimità.

L’Unione europea, del resto, non esita a intervenire quando necessario, come testimonia la procedura di infrazione avviata dalla Commissione nel 2021 contro il Belgio per violazione dell’art. 52 GDPR, ritenendo che alcuni membri della relativa Autorità Garante ricoprissero incarichi incompatibili con la loro funzione.

Il quadro europeo richiede non solo indipendenza formale, ma indipendenza effettiva e percepibile.

L’Italia ha ora l’opportunità – e la responsabilità – di anticipare la possibilità di future crisi e possibili interventi dell’UE, riformando il proprio sistema, con coraggio e lungimiranza istituzionali.