Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

autorità di controllo

La nomina dei componenti del Garante e il carattere di “piena indipendenza” dell’Autorità di controllo

L’Autorità per la privacy svolge un ruolo delicatissimo a tutela di diritti fondamentali. Perciò è essenziale una totale indipendenza dai meccanismi e dal dibattito politico. Un’analisi dei principi e delle condizioni introdotte dal Gdpr per la nomina dei componenti, dei requisiti necessari e delle criticità delle procedure

21 Gen 2019

Filiberto E. Brozzetti

Consigliere giuridico, Garante per la protezione dei dati personali

Cyber security concept businessman Lock on digital screen, contrast, virtual screen with a consultant doing presentation in the background Closed Padlock on digital, cyber security, key

Con l’art. 54, il Regolamento europeo per la protezione dei dati personali (Gdpr) rinvia alla legislazione attuativa (in senso tecnico, in questo caso) dei singoli Stati membri dell’Unione per la fissazione degli specifici termini nei quali i principi e le condizioni generali per l’operatività e soprattutto la “piena indipendenza” delle Autorità di controllo siano tradotte negli ordinamenti nazionali.

Ai tre articoli precedenti la norma regolamentare detta una sorta di “statuto” giuridico europeo delle Autorità di controllo[1], che i Legislatori nazionali hanno avuto cura di calare debitamente e coerentemente nell’assetto istituzionale dei singoli Paesi. La discrezionalità nell’adozione delle scelte concrete atte a dare attuazione (sempre propriamente detta[2]) al dettato della normativa sovranazionale trova dimensione al proprio margine esattamente nei canoni definiti dal Gdpr, da intendersi quali parametri vincolanti di legittimità nel vaglio della Commissione europea, propedeutico ad eventuali procedure d’infrazione.

Sia detto che l’art. 153 del Codice privacy era già pienamente conforme, nella sua originaria impostazione, ai postulati del Regolamento di cui agli articoli succitati. Tuttavia, sin dalla prima bozza del decreto di adeguamento, parve chiaro che il Legislatore delegato avrebbe rimesso mano allo “statuto” del Garante.

L’indipendenza del Garante Privacy

Fra le altre, le norme sulla nomina dei componenti delle Autorità di controllo, disposte dall’art. 53 del GDPR, sono puntelli se non dell’effettività, quantomeno delle condizioni idealmente idonee a garantirne l’indipendenza e l’imparzialità del vertice, come prescritte dall’art. 52. Si aggiunga, inoltre, che tali condizioni non erano contemplate nel dettaglio dalla Direttiva 95/46, ma solo successivamente rese esplicite dalla giurisprudenza della CGUE nell’applicazione della stessa. La naturale propensione delle legislazioni nazionali a prevederle nelle proprie normative di attuazione è derivata, evidentemente, dalle omologhe esperienze nell’istituzione di Autorità indipendenti in altri settori, tant’è che è stato acutamente notato come, “in tali disposti il Regolamento sembra più preoccupato di dare ‘copertura’ nella normativa europea alle soluzioni già adottate e vigenti nei singoli ordinamenti nazionali che di individuare un modello sovranazionale di struttura, requisiti soggettivi e sistemi di scelta dei componenti dell’autorità di controllo che si imponga agli Stati”[3].

Il meccanismo di nomina dei componenti

Il meccanismo di nomina è il primo espediente adoperato per tentare di allontanare, sin dal momento originario del mandato, ogni eventuale sospetto di faziosità tanto dei nominati, quanto dei nominanti, nella composizione di un organo la cui missione è bilanciare interessi particolari con un diritto fondamentale.

Ai sensi dell’art. 54, par. I, lett. c), sono gli Stati membri a prevedere con legge le norme e le procedure della nomina, ma è il par. I dell’art. 53 ad elencare tassativamente quattro possibili designatori che, nelle intenzioni del Legislatore europeo, assicurerebbero il raggiungimento del risultato suddetto.

  • Il Parlamento, da intendersi come il plenum dell’Aula e non una o più commissioni competenti (ma senza specificare se per il voto di nomina siano necessarie maggioranze qualificate, o l’approvazione da parte di entrambi i rami del Parlamento nel caso dei sistemi bicamerali).
  • Il Governo, che però non parrebbe assicurare l’espressione di un favore astrattamente bipartisan sui nomi dei membri, specie nei sistemi maggioritari.
  • Il Capo dello Stato, così enfatizzandone il ruolo di rappresentare dell’intera Nazione, terzo e superiore rispetto alla faziosità politica (vero solo nel caso dei sistemi parlamentari e laddove sia egli stesso nominato attraverso una procedura che ne garantisca l’imparzialità).
  • O, infine, un organismo indipendente incaricato della nomina, come potrebbe essere un comitato istituito ovvero nominato ad hoc, o un organo già esistente che annovera anche questa fra le sue ulteriori funzioni (dovendosi in tal caso risolvere primariamente la questione dell’indipendenza di quest’ultimo).

Spetta pertanto ai Legislatori nazionali valutare ed individuare quale soggetto fra questi (nulla osta a che ne siano coinvolti anche più d’uno) e quale procedura possano più efficacemente garantire l’indipendenza e l’imparzialità dei membri dell’Autorità di controllo, come richiesta dall’art. 52, a seconda delle specificità del proprio sistema politico.

Indipendenza dalla politica

Non sfugge come il Gdpr, ansioso di sottrarre le Autorità dall’influenza e dalle pressioni della politica (in linea con la giurisprudenza della CGUE interpretativa dell’art. 28, par. I, secondo comma, della Direttiva[4]) affidi in tre casi su quattro la nomina dei loro membri a degli organi indubitabilmente politici. In linea di principio, non appare una scelta d’ingegneria istituzionale sbagliata, in quanto, da un lato, dà voce – nel momento della selezione dei componenti dell’Autorità – a quel principio di rappresentatività che poi viene meno per tutta la durata del mandato e, dall’altro, controbilancia il rischio di tendenze autonomiste da parte del personale burocratico dell’Autorità, che, selezionato in base ai criteri dell’art. 52, scardinato dai ruoli della funzione pubblica statale, in assenza dell’indirizzo e controllo da parte di un vertice scelto in base ad altre logiche, potrebbe cadere vittima di auto-referenzialità tecnocratica, sottolineando la convenienza di contemperare esigenze di competenza tecnica con la necessità di sensibilità politica, richiesta dalle funzioni attribuite ed anche dalla collocazione istituzionale.

La trasparenza della procedura

Il par. I dell’art. 53 pone anche un’ulteriore condizione alla discrezionalità degli Stati nella normazione del meccanismo di nomina e cioè la trasparenza della procedura. Se tale premessa è validamente proclamata ad accreditare l’imparzialità e l’indipendenza dei membri, è specioso come poi il potere di nomina di questi venga attribuito agli organi di cui si è detto. Difatti, per quanto la procedura di voto (ma nel solo caso della nomina parlamentare) possa avere evidenza pubblica (ma, trattandosi di votazioni su persone, lo scrutinio assembleare sarà comunque segreto), l’iter o le logiche per le quali si giungerebbe a definire la rosa dei “papabili” resta agli arcana imperii. Rimane cioè geneticamente oscura la prima individuazione dei nomi, dei criteri di valutazione dei curricula, che, anche laddove pubblicati, saranno considerati soggettivamente (peculiare la soluzione britannica di nominare il Commissioner all’esito di una selezione pubblica comparativa per titoli).

Come avviene la nomina nei diversi Paesi Ue

Allo stato attuale dieci Stati membri optano per la nomina parlamentare, pur secondo procedure differenti (Belgio, Bulgaria, Croazia, Germania, Italia, Polonia, Romania, Slovacchia, Slovenia e Ungheria); cinque per quella governativa (Cipro, Finlandia, Irlanda, Lettonia e Svezia); sette per la designazione da parte del Capo dello Stato, su proposta governativa o parlamentare (Austria, Grecia, Lussemburgo, Paesi Bassi, Regno Unito, Repubblica Ceca e Spagna); uno per una procedura mista attraverso la quale alcuni componenti sono scelti dal Parlamento ed altri dal Governo (Francia) ed uno per una procedura mista attraverso la quale alcuni componenti sono scelti dal Parlamento, altri dal Governo ed altri ancora dal Consiglio Superiore della Magistratura, quale organismo indipendente incaricato della nomina a norma del diritto dello Stato membro (Portogallo). Certamente per dare piena attuazione al dettato del Regolamento, quattro Stati membri hanno dovuto modificare la propria legislazione (Danimarca, Estonia, Lituania e Malta) poiché prevedeva che i membri della propria Autorità di controllo fossero nominati da un singolo esponente del Governo.

La Repubblica italiana ha mantenuto la tradizionale procedura di nomina dei componenti, optando dunque per l’elezione parlamentare. Nello specifico, il primo comma dell’art. 153 del Codice, rinnovellato nella forma, ma non nella sostanza, ribadisce che due componenti siano eletti dalla Camera dei Deputati e due dal Senato con voto limitato. È chiaro dunque che una norma simile possa trovare ragion d’essere esclusivamente in un sistema bicamerale perfetto, ove ambo i rami del Parlamento svolgono analogo ruolo di rappresentanza politica nazionale. La proposta di riforma costituzionale Renzi-Boschi durante la XVII Legislatura nella prospettiva di articolazione differenziata del bicameralismo prevedeva, ad esempio, che i titolari delle Autorità di garanzia e vigilanza venissero eletti dal solo Senato della Repubblica a maggioranza dei tre quinti dei suoi componenti.

I requisiti per la selezione

La seconda norma che disciplina le condizioni per la nomina dei membri è quella che riguarda i requisiti a prova della competenza necessaria per assolvere al ruolo di membro dell’Autorità di controllo. Il par. II dell’art. 53 prescrive che ogni membro possieda 1) le qualifiche e 2) le condizioni di idoneità (esperienza, competenze e requisiti morali) richieste dalla legge dello Stato membro, ai sensi dell’art. 54, par. I, lett. b), ed in particolare nel settore della protezione dei dati personali.

Per “qualifiche” potrebbero intendersi titoli di studio, iscrizioni ad albi professionali o abilitazioni all’esercizio di determinate professioni, requisiti verificabili oggettivamente una volta e se individuati dal Legislatore nazionale. Le condizioni di idoneità sono invece necessariamente rimesse alla valutazione discrezionale dell’organo chiamato alla nomina, che, come detto, apprezzerà secondo il proprio insindacabile metro se una determinata esperienza professionale, o competenze maturate nell’assolvimento di altre funzioni, possano essere ritenute, o meno, ragioni valide per assegnare l’incarico ad un soggetto piuttosto che ad un altro.

A quanto si è assistito in passato e finora, le scelte sono ricadute, un po’ in tutti gli Stati membri, perlopiù su giuristi (alcuni dei quali con un passato da magistrati o dirigenti pubblici), politici, giornalisti ed in numero molto minore ingegneri e tecnici specializzati nelle scienze informatiche e delle tecnologie informatiche (tendenza di cui molti invocano l’inversione, considerata la sempre maggiore complessità tecnica e raffinatezza tecnologica delle modalità di trattamento più invasive[5]).

È palese come assegnare un rilievo sostanziale, quando non esclusivo, alla sussistenza di requisiti rigorosi, di certo utili all’individuazione di soggetti che già abbiano cognizione delle problematiche e dimestichezza con la specifica materia, rischi però di ridurre il novero degli “aspiranti alla nomina” ad una cerchia ristretta di professionisti specializzati, vieppiù qualora sia posta particolare enfasi su esperienza e competenze maturate nell’invero circoscritto ambito della protezione dei dati.

Le novelle apportate all’art. 153 del Codice riguardano precisamente i requisiti di eleggibilità: si richiede, infatti, che i componenti siano scelti tra persone che, oltre ad assicurare indipendenza, risultino appunto “di comprovata esperienza nel settore della protezione dei dati personali, con particolare riferimento alle discipline giuridiche e dell’informatica”, fra coloro che abbiano presentano la propria candidatura ed i cui curricula siano stati pubblicati nei siti internet della Camera, del Senato e del Garante.

Tali disposizioni danno adito ad alcune riflessioni problematiche. In primis, a differenza del passato, vengono proprio compresse le competenze giuridiche ed informatiche rilevanti per la nomina al solo settore specifico della protezione dei dati personali, all’interno del quale è richiesta per di più una comprovata esperienza. La limitazione sembra eccessiva, col rischio, oltre a quanto già detto pocanzi, di costituire de facto un ordine ultra-specializzato ed auto-referenziale di professionisti della privacy, ove i controllori verrebbero eletti fra le fila dei controllati e che, nel ristretto novero dei soliti noti svilupperebbe un sistema di rapporti e reciprocità talmente consolidato da recare seco un confitto d’interessi a priori, contrario al principio generale della piena indipendenza dei componenti.

Distinzione delle competenze fra Collegio e Segretario generale

Vieppiù tale specializzazione appare eccessiva, che il nuovo testo dell’articolo 156, al primo comma, dispone come il Segretario generale preposto all’Ufficio del Garante sia invece nominato – dal Collegio – fra persone di elevata e comprovata qualificazione professionale, scelto anche fra magistrati, avvocati dello Stato, professori universitari di ruolo in materie giuridiche ed economiche, o dirigenti di prima fascia dello Stato. Un curriculum da “mandarino”, ma senza alcun riferimento ad una specifica esperienza nel campo della protezione dei dati personali, o conoscenza di tipo informatico, che crea con ciò un’irragionevole discrasia fra i profili dei componenti del Collegio e quello di colui che viene impropriamente considerato il “quinto membro”.

Non si vede perché l’organo politico del Garante debba avere una così forte caratterizzazione professionale, mentre al Segretario generale, preposto sì all’amministrazione dell’Ufficio, ma anche all’operatività funzionale specializzata dell’Autorità, sia richiesta una competenza giuridica o economica generica da grand commis de l’État. Parrebbe quasi si volesse confinare il Collegio al disbrigo dei provvedimenti di stretta competenza ratione materiae, esautorandolo dalle mansioni gestionali dell’Amministrazione, sue proprie, invece, in quanto strategiche proprio per la funzione d’indirizzo e controllo dell’Ufficio, affidate esclusivamente al vertice amministrativo, per natura privo di qualsivoglia legittimazione politico-rappresentativa.

Insindacabilità delle delibere di nomina

Si è già detto anche della difficoltà di comprovare effettivamente detta esperienza dei componenti, non ulteriormente definita dalla norma del nuovo art. 153 del Codice, come invece è avvenuto per il Segretario generale all’art. 156. Tale prova risulta, inoltre, di scarso rilievo, considerando la difficile eccepibilità, su tale base, di una nomina parlamentare proceduralmente corretta, anche se a seguito di una selezione ad evidenza pubblica che conceda tutta la trasparenza possibile sui curricula (procedura che, peraltro, era già esperita in tal modo anche in assenza di norma positivizzata).

Nel caso, non più così scolastico, in cui, data una norma così rigida quanto ai requisiti, il Parlamento, supremo organo rappresentativo del Paese (stesso dicasi per quei Paesi che hanno optato per la nomina dei componenti da parte del Capo dello Stato), deliberi secondo procedura la nomina di soggetti privi di quella esperienza e di quelle competenze precise richieste dalla normativa di attuazione, chi e come potrebbe impugnare e invalidare tale decisione legittima e sovrana, in ragione del maggiore o minore grado di esperienza di un soggetto nel settore della protezione dei dati personali? Diventerebbe invero intrigante figurarsi un modo, da parte di un altro organo, di ricorrere contro e di invalidare una delibera simile.

Non sono previsti meccanismi di ricorso ed eventualmente l’unica sortita faticosamente congetturabile potrebbe essere quella di una lambiccata procedura d’infrazione promossa dalla Commissione europea per violazione, da parte dello Stato (di un ramo del suo Parlamento), di una norma cogente del Regolamento: cioè proprio quella di cui al par. II dell’art. 53, che però è espressa in termini non così rigidi da non permetterne un’interpretazione lata da parte di chi è chiamato ad applicarla, a meno dell’elezione di un soggetto dal curriculum palesemente molto lontano dal settore di riferimento.

La supposta violazione, però, non riguarderebbe direttamente una disposizione regolamentare, espressa in termini di cornice, ma invero una norma di attuazione della disciplina sovranazionale. La procedura d’infrazione attivata dalla Commissione dovrebbe pertanto necessariamente mediarsi attraverso la strettoia della norma interposta nazionale, con ciò risultando impraticabile.

Benché tutte o quasi le normative nazionali di attuazione della Direttiva già pretendessero, in termini pressoché simili, che i componenti delle Autorità di controllo fossero scelti fra esperti di riconosciuta competenza in materie giuridiche o dell’informatica, al fine di garantire l’indipendenza dell’organo, quest’ultima è stata in molti Paesi più efficacemente perseguita, nella realtà, ricorrendo alla notoria pratica della lottizzazione partitica.

L’idea a fondamento del nesso – ritenuto, o comunque ricercato – fra competenza dei membri ed indipendenza delle Autorità è invece proprio quella di farne istituzioni sganciate dai meccanismi e quindi dal dibattito politico: istituzioni del consenso, non del conflitto, auspicabilmente istituzioni non maggioritarie, in grado di assicurare quell’indirizzo c.d. “competente” – e non politico[6] – e l’“alta professionalità” necessari a districarsi fra e a dipanare interessi complessi ed a proporre una posizione imparziale nel proteggere diritti delicatissimi.

  1. A. Patroni Griffi, L’indipendenza del Garante, in Califano-Colapietro, Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Napoli, 2017, p. 290.
  2. F. Pizzetti, Privacy e il diritto europeo alla protezione dei dati, I, Torino 2016, p. 17.
  3. A. Patroni Griffi, Op. cit., p. 283.
  4. v. C-518/07 e C-614/10.
  5. C. D. Raab e I. Szekely, Data Protection Authorities and Information Technology, Computer Law & Security Review, XXXIII, Amsterdam, 2017, IV, pp. 417 ss.
  6. cfr. P. Rosanvallon, La legittimità democratica, Torino, 2015, pp. 206 ss.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4