Dalle inchieste di Report in Italia all’ex lobbista di Meta nominata a componente Data Protection Commission irlandese, fino alle pressioni politiche in Europa: nel mondo, le autorità per la protezione dei dati dovrebbero essere indipendenti, ma la realtà ne mette spesso in dubbio l’imparzialità.
Dall’Italia al Giappone, passando per Stati Uniti, Germania e India, un viaggio tra modelli di nomina, casi controversi e possibili rimedi per restituire credibilità a chi vigila sul potere dei dati.
Indice degli argomenti
Garante privacy, il caso Report
In Italia, la fiducia nel Garante per la protezione dei dati personali non è mai stata intaccata da scandali comparabili a quelli di Dublino o Bruxelles, ma non è immune da ombre. Nelle ultime settimane infatti, diverse inchieste della trasmissione Report di Sigfrido Ranucci hanno acceso i riflettori sulla gestione interna dell’Autorità, sollevando dubbi su possibili conflitti d’interesse, incarichi poco trasparenti e interazioni tra membri del Collegio del Garante e partiti politici.
Il confronto è esploso dopo che il Garante ha comminato una sanzione di 150.000 euro alla Rai per un servizio di Report ritenuto lesivo della privacy del ministro della Cultura, Gennaro Sangiuliano.
Nei giorni successivi, il programma ha denunciato pressioni e diffide preventive da parte di un membro del Collegio in particolare, Agostino Ghiglia, per impedirne la messa in onda, portando la vicenda al centro del dibattito politico e mediatico.
L’ultima inchiesta in ordine di tempo di Report ha riguardato un presunto “sconto” concesso dal Garante a Meta Platforms in una sanzione per i dispositivi Ray-Ban / Meta; il servizio ha ricostruito i rapporti intercorsi tra Agostino Ghiglia, e rappresentanti dell’azienda, sottolineando la partecipazione del commissario a un evento istituzionale a cui erano presenti dirigenti Meta alla vigilia della decisione del Garante. Anche in questo caso il Garante ha utilizzato lo strumento della diffida nei confronti di Report chiedendo che la puntata non fosse mandata in onda.
L’Autorità ha respinto ogni accusa di condizionamento, ma le vicende riportate dalle inchieste e l’uso reiterato dello strumento della diffida nei confronti della redazione di Report (quale censura preventiva rispetto alla messa in onda dei servizi) hanno contribuito ad alimentare ed accendere il dibattito sull’effettiva indipendenza dell’autorità, sulla trasparenza e sull’opportunità dei rapporti tra regolatori e soggetti vigilati.
Perché l’indipendenza delle authority conta
Pur in assenza di procedimenti formali o di rilievi istituzionali specifici, la sequenza degli eventi ha dunque riacceso in Italia il tema dell’indipendenza effettiva del Garante, della trasparenza delle nomine parlamentari e della necessità di separare i poteri regolatori dalle influenze politiche. Si tratta in realtà di temi che riaffiorano puntualmente a ogni rinnovo del Collegio. Una situazione emblematica quella italiana, che mostra come anche in Paesi considerati “modello” l’autonomia dei garanti resti un equilibrio, che riflette una questione più ampia: quanto sono davvero indipendenti le autorità privacy nel mondo?
Il diritto alla protezione dei dati è infatti oggi un pilastro della fiducia digitale tra cittadini, imprese e istituzioni, ma la fiducia esiste solo se chi controlla è davvero indipendente. Servono autorità autonome sia per legge che nella percezione pubblica: quando nomine, bilanci o carriere incrociate ne incrinano la credibilità, l’intero sistema rischia di perdere forza. Il GDPR ha sancito l’indipendenza come condizione essenziale (libertà da influenze esterne, autonomia di bilancio e membri non soggetti ai governi) ma la pratica, dentro e fuori l’Europa, racconta una realtà molto più sfumata.
Come vengono scelti i garanti privacy in Europa
L’architettura europea è fondata su una pluralità di autorità nazionali che confluiscono nel Comitato Europeo per la Protezione dei Dati (EDPB). Tuttavia, ogni Stato membro mantiene proprie regole di nomina e governance, che in sintesi sono le seguenti:
- Italia – Garante per la protezione dei dati personali: collegio di 4 membri (Presidente + 3 componenti) eletti dal Parlamento in seduta comune a maggioranza qualificata. Mandato settennale non rinnovabile, autonomia di bilancio e di regolamento interno. È considerato uno dei modelli più stabili d’Europa, anche se la scelta parlamentare mantiene una componente politica inevitabile.
- Francia – CNIL (Commission nationale de l’informatique et des libertés): composta da 18 membri designati da più istituzioni: Parlamento, Governo, Consiglio di Stato, Corte di Cassazione e Consiglio economico e sociale. La pluralità delle nomine diluisce il potere politico e rappresenta un esempio di equilibrio istituzionale. Il presidente è eletto internamente tra i membri.
- Germania – BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit): commissario federale eletto dal Bundestag su proposta del Governo. Mandato di 5 anni rinnovabile una volta. Gode di autonomia funzionale ma dipende finanziariamente dal bilancio del Ministero dell’Interno, aspetto che genera dibattito sulla reale indipendenza economica.
- Spagna – AEPD (Agencia Española de Protección de Datos): Direttore nominato dal Governo su proposta del Ministro della Giustizia, previa consultazione del Parlamento; mandato quadriennale rinnovabile una sola volta. Recenti riforme hanno introdotto una commissione di selezione indipendente, ma la nomina resta a discrezione dell’Esecutivo.
- Irlanda – Data Protection Commission (DPC): tre membri nominati direttamente dal Governo su raccomandazione del Ministro della Giustizia. È l’autorità capofila per molte big tech, poiché la sede europea di Meta, Google e altri colossi è a Dublino: la composizione e le nomine hanno assunto per questo rilevanza geopolitica.
- Belgio – Autorité de Protection des Données (APD): composta da un comitato di direzione di 5 membri nominati dal Parlamento. È stata oggetto di una procedura di infrazione UE per presunta mancanza di indipendenza a causa della presenza di funzionari ministeriali tra i vertici.
- Ungheria – National Authority for Data Protection and Freedom of Information (NAIH): istituita nel 2012, è guidata da un presidente monocratico nominato dal Primo Ministro e in carica per nove anni, senza approvazione parlamentare. Si tratta di uno dei modelli europei più fortemente governativi, già oggetto di critiche e di una condanna della Corte di Giustizia per interferenze sull’indipendenza del precedente commissario.
- Regno Unito – Information Commissioner’s Office (ICO): rappresenta un caso a sé; la ICO è formalmente indipendente ma strettamente legata al Governo per nomina e finanziamento. Il Commissario è designato dalla Corona su proposta del Primo Ministro, con audizione parlamentare non vincolante, e il budget proviene in gran parte dal Department for Science, Innovation and Technology.
In Europa il principio di indipendenza è ampiamente condiviso sulla carta, ma il grado effettivo di autonomia (politica, finanziaria o operativa) varia sensibilmente da Paese a Paese, e dipende spesso più dalle prassi e dalla cultura istituzionale che dalle leggi scritte.
Le autorità per la privacy nel mondo
Negli Stati Uniti, a livello federale, la privacy è vigilata in modo frammentato. La Federal Trade Commission (FTC) conta cinque commissari nominati dal Presidente e confermati dal Senato, massimo tre per partito, con un mandato di sette anni. L’equilibrio bipartitico è un baluardo formale, ma la possibilità di revoca politica resta aperta.
In California, la Privacy Protection Agency (CPPA) è composta da cinque membri nominati da diversi organi (Governatore, Senato, Camera e Attorney General), con poteri regolatori propri. È uno dei modelli più innovativi perché distribuisce il potere di nomina.
In Canada, l’Office of the Privacy Commissioner (OPC) è nominato dal Parlamento come “Officer of Parliament”. Ha un rapporto diretto con le Camere e un bilancio autonomo ed è oggi considerato il modello più indipendente tra i Paesi OCSE.
In Asia–Pacifico, il quadro è variegato e caratterizzato da modalità di nomina che variano a seconda dei Paesi. In Giappone, la Personal Information Protection Commission (PPC) è composta da un presidente e otto membri nominati dal Primo Ministro con consenso delle due Camere; ha un mandato quinquennale e, pur essendo formalmente indipendente, il legame con l’esecutivo rimane forte. In Corea del Sud, la Personal Information Protection Commission (PIPC) è presieduta da un membro designato dal Presidente della Repubblica su raccomandazione del Primo Ministro; è caratterizzata da un’autonomia operativa crescente dal 2020.
A Singapore, la Personal Data Protection Commission (PDPC) è un’autorità collocata all’interno del Ministero delle Comunicazioni; gode di un’indipendenza solo funzionale. In India, il Data Protection Board (DPB) è stato istituito nel 2023 e interamente nominato dal Governo; riscuote critiche diffuse su possibili ingerenze politiche.
In Australia, infine, l’ Office of the Australian Information Commissioner (OAIC), è un’agenzia indipendente con tre commissari nominati dal Governo, con un mandato di cinque anni. Ha una struttura collegiale che favorisce la trasparenza, ma è caratterizzato da cronica carenza di risorse.
Quando l’indipendenza vacilla: i casi europei
Nonostante il quadro rigoroso del GDPR, anche in Europa la promessa di indipendenza delle autorità per la privacy si è rivelata, in più di un’occasione, fragile. Le nomine, i legami con la politica e le revolving doors tra pubblico e privato hanno sollevato dubbi sulla reale autonomia di chi dovrebbe vigilare su governi e imprese.
In Irlanda, nel 2025, la nomina di Niamh Sweeney, ex responsabile delle relazioni istituzionali di Meta, a componente della Data Protection Commission, ha provocato una reazione immediata di ONG e associazioni europee. Per la società civile è un caso da manuale di conflitto d’interessi: la commissaria chiamata a vigilare sulle grandi piattaforme digitali proviene proprio da una di esse. Le richieste di intervento alla Commissione europea non si sono fatte attendere, e il caso è diventato il simbolo di un sistema in cui la forma dell’indipendenza non basta più a garantire la sostanza.
In Belgio, già nel 2023, Bruxelles aveva aperto una procedura di infrazione contro l’Autorité de Protection des Données (APD) per la presenza di membri che non potevano essere considerati pienamente indipendenti, poiché legati a funzioni ministeriali o a incarichi governativi. La procedura, formalizzata con lettera di messa in mora già nel 2021 e ribadita nel pacchetto d’infrazioni del gennaio 2023, ha posto il Belgio sotto osservazione per possibili interferenze dell’esecutivo sull’attività dell’autorità garante. Un’anomalia incompatibile con l’articolo 52 del GDPR, che vieta ogni ingerenza dell’esecutivo. La vicenda si è chiusa con le dimissioni di alcuni componenti e la promessa di una riforma della governance, ma il danno reputazionale è stato profondo.
Anche in Francia, nonostante la CNIL sia considerata tra le autorità più solide e autorevoli, vi è un dibattito costante su quanto la pluralità delle nomine riesca davvero a tradursi in indipendenza sostanziale, specialmente nei casi che coinvolgono lo Stato come titolare del trattamento. Un segnale di quanto sia sottile la linea che separa la competenza tecnica dalla prossimità politica.
Nel Regno Unito, dopo la Brexit, le riforme proposte con il Data Protection and Digital Information Bill hanno rafforzato il controllo ministeriale sulle attività dell’ICO, suscitando forti critiche da parte di ONG e accademici per il rischio di “cattura regolatoria”. Anche la nomina dell’attuale commissario, John Edwards, ex garante della Nuova Zelanda, è stata accompagnata da polemiche sul processo di selezione, interamente gestito dal Governo. Negli ultimi anni, l’ICO è stato accusato di “perdita di mordente”: meno sanzioni ai colossi digitali, più “collaborazioni” e toni concilianti in nome della competitività. Anche se l’indipendenza formale non è in discussione, la percezione di un garante più vicino all’esecutivo e al business rischia di minare la fiducia pubblica e, in prospettiva, anche l’adeguatezza UE dei flussi dati con Londra.
Una nota a parte la merita l’Ungheria, dove il governo ha riconfermato nel 2020 il commissario Attila Péterfalvi per un secondo mandato, senza audizione parlamentare. La durata eccezionalmente lunga e la mancanza di un organo collegiale rendono questo uno dei modelli più centralizzati e governativi d’Europa. Tale dipendenza politica è particolarmente sensibile in un Paese dove la separazione dei poteri è considerata debole e ciò suscita perplessità tra le organizzazioni europee per la privacy e i gruppi di monitoraggio democratico.
L’Europa resta un continente di autorità formalmente indipendenti (fatta eccezione per la situazione ungherese), ma la cronaca dimostra che la percezione pubblica di neutralità è un bene fragile: basta un sospetto, un’inchiesta televisiva o una nomina opaca per erodere anni di credibilità istituzionale.
I casi di ingerenza politica negli USA
Se in Europa le autorità della privacy faticano a liberarsi dall’ombra della politica, negli Stati Uniti il problema è quasi speculare. Non esiste un garante federale unico e le competenze sulla privacy si distribuiscono fra agenzie diverse, la più importante delle quali è la Federal Trade Commission (FTC).
La FTC, nata per sorvegliare la concorrenza e le pratiche commerciali scorrette, è diventata negli ultimi vent’anni anche il principale arbitro dei casi di violazione della privacy. Il fatto che i suoi cinque commissari siano nominati dal Presidente e confermati dal Senato, con la regola che non più di tre appartengano allo stesso partito, rappresenta sulla carta un equilibrio bipartisan per garantire continuità istituzionale. Tuttavia, nel 2025 la Casa Bianca ha scosso questo fragile equilibrio rimuovendo due commissari democratici in carica, dopo una serie di decisioni ritenute troppo aggressive verso le big tech. L’episodio ha aperto un dibattito acceso sulla tenuta dell’indipendenza delle agenzie federali: se il Presidente può licenziare a piacimento chi dovrebbe controllare il mercato, quanto resta dell’autonomia regolatoria?
A complicare ulteriormente il quadro, il fenomeno delle revolving doors: negli ultimi anni numerosi ex funzionari della FTC hanno accettato incarichi di consulenza o ruoli dirigenziali in colossi tecnologici e studi legali che assistono quelle stesse aziende davanti alla Commissione. Nessuna violazione di legge, ma un chiaro problema di percezione: il controllore che si siede accanto al controllato mina la fiducia pubblica più di qualsiasi provvedimento mancato.
Non tutto, però, è immobilismo. A livello statale stanno nascendo modelli più equilibrati, come la CPPA, operativa in California dal 2021: la prima autorità americana interamente dedicata alla privacy, dotata di poteri regolatori autonomi. Si tratta di un esperimento interessante di pluralismo istituzionale, poiché nessuna parte politica detiene il controllo esclusivo delle nomine e la trasparenza è tutelata da pubbliche audizioni. In un Paese dove l’indipendenza delle agenzie è continuamente messa alla prova da dinamiche politiche e interessi economici colossali, la CPPA rappresenta oggi un laboratorio di equilibrio tra regolazione, responsabilità democratica e distanza dal potere.
L’Asia tra agenzie autonome e dipendenza ministeriale
Nel vasto panorama asiatico, la parola “indipendenza” assume sfumature diverse a seconda dei contesti politici. In alcuni Paesi le autorità per la privacy sono vere e proprie agenzie autonome; in altri, sono invece rami dell’amministrazione pubblica e rispondono direttamente ai ministeri. Il risultato è una costellazione di modelli molto distanti dallo schema europeo.
In Giappone, la PPC rappresenta uno degli esempi più avanzati dell’area asiatica in quanto ha la possibilità di agire in modo indipendente: si tratta di una garanzia formale importante, ma la nomina governativa resta un punto critico. La PPC ha comunque dimostrato, in casi come la gestione dei flussi transfrontalieri UE-Giappone, la capacità di agire con autonomia tecnica. In Corea del Sud, la PIPC è divenuta autorità centrale nel 2020, dopo la riforma che l’ha emancipata dal Ministero degli Interni. Tuttavia, il presidente continua a essere designato dal Capo dello Stato su raccomandazione del Primo Ministro, e il budget controllato dal Governo. Una riforma a metà: l’indipendenza funzionale esiste, ma la dipendenza istituzionale permane.
Scenario opposto in Singapore, dove la PDPC è direttamente collocata all’interno dell’Infocomm Media Development Authority (IMDA), cioè un ministero economico. Pur godendo di poteri sanzionatori e di enforcement notevoli, la sua struttura ministeriale le impedisce di essere una vera “autorità indipendente” nel senso europeo. È, piuttosto, un organismo tecnico del Governo, con ruoli di promozione e mediazione tra industria e cittadini.
Il caso dell’India
Il caso più discusso è però quello dell’India. Con l’adozione del Digital Personal Data Protection Act 2023, il Governo di Nuova Delhi ha istituito il Data Protection Board of India, incaricato di vigilare sull’uso dei dati personali. Tuttavia, la legge prevede che tutti i membri del Board siano nominati dal Governo centrale, senza alcun controllo parlamentare o procedura pubblica. Le associazioni per i diritti digitali e diversi giuristi internazionali hanno denunciato il rischio di sottomissione dell’autorità all’esecutivo. Le ampie esenzioni concesse agli enti pubblici e la mancanza di un effettivo meccanismo di ricorso hanno alimentato l’idea di un garante “governativo” più che di un’autorità indipendente.
Un paradosso, in un Paese che ospita uno dei più grandi ecosistemi digitali del mondo.
La carenza di risorse dell’autorità australiana
La regione Asia-Pacifico mostra un tratto comune: l’indipendenza come conquista ancora incompleta. A chiudere questo quadro, l’Australia, dove l’OAIC opera come agenzia statutaria autonoma. È un modello solido sulla carta, ma logorato dalla carenza di risorse. L’inchiesta parlamentare del 2023 descrive il sistema federale FOI australiano come “not fit for purpose”, evidenziando arretrati consistenti, risorse insufficienti e capacità limitate della OAIC. Qui l’indipendenza non manca nei principi, ma è svuotata di mezzi.
Possibili soluzioni
L’indipendenza si costruisce con regole chiare, trasparenza e risorse adeguate.
Dopo scandali e critiche, molte autorità stanno rivedendo la propria governance, ma i margini di miglioramento restano ampi. Il primo passo riguarda le nomine: i modelli più solidi (come la CNIL francese o la CPPA californiana) prevedono che i membri siano scelti da più istituzioni, con mandati lunghi e non rinnovabili. In questo modo si riduce la possibilità che un singolo governo o partito “occupi” l’autorità.
Altrettanto essenziale è affrontare il problema delle porte girevoli. Servono cooling-off period di almeno due o tre anni per chi proviene da aziende vigilate (e viceversa), come raccomandato da Transparency International EU e OECD nelle loro linee guida etiche sui conflitti d’interesse post-impiego, oggi adottate anche in diverse istituzioni europee; registri pubblici degli interessi e obblighi di astensione nei procedimenti che coinvolgono ex datori di lavoro o clienti. La trasparenza (degli incontri, dei bilanci, delle decisioni) è la miglior difesa contro il sospetto di cattura.
Un’altra leva decisiva è quella economica. Un’autorità che dipende dal bilancio di un ministero non sarà mai del tutto indipendente. Servono stanziamenti pluriennali autonomi e risorse proporzionate ai compiti, soprattutto ora che i casi legati a intelligenza artificiale, profilazione e sicurezza informatica sono in crescita esponenziale.
Infine, l’indipendenza va verificata. Audit periodici, peer review tra autorità e report pubblici sull’efficacia dell’enforcement rendono il sistema più credibile agli occhi dei cittadini e delle imprese.
Il modello italiano
Il Garante italiano parte da basi solide, quali: mandato lungo, collegio autonomo e reputazione tecnica riconosciuta anche in Europa. Tuttavia, l’indipendenza può essere resa più strutturale e trasparente: audizioni pubbliche, registro degli interessi, agenda ufficiale degli incontri, indicatori di performance e risorse pluriennali stabili.
Riforme semplici e compatibili con l’attuale ordinamento, che rafforzerebbero una credibilità già consolidata e avvicinerebbero l’Italia ai modelli più evoluti.
Perché un’autorità che controlla il potere, in una democrazia matura, non deve solo essere autonoma: deve anche apparire tale.
Indipendenza come infrastruttura della fiducia digitale
Alla fine di questo viaggio attraverso i diversi continenti emerge una verità semplice e scomoda: l’indipendenza delle autorità privacy non è mai scontata, neppure dove le leggi la proclamano. È un equilibrio instabile tra principio giuridico e realtà politica. Il GDPR ha imposto un modello di garanzia formale, ma i casi di Irlanda, Belgio, Stati Uniti, India e le recenti inchieste di Report in Italia, mostrano quanto fragile resti la distanza tra chi controlla e chi è controllato. Eppure, è proprio questa distanza a rendere credibile la tutela dei dati: senza autonomia non c’è fiducia, e senza fiducia la privacy diventa burocrazia.
L’indipendenza non è un privilegio per le autorità, ma una garanzia per i cittadini: ciò significa poter indagare un ministero o sanzionare un colosso senza condizionamenti, poter dire “no” al potere, economico o politico che sia.
