La circostanza è nota ai più e certamente ai lettori di queste pagine: dopo cinque anni e mezzo ho lasciato l’incarico di componente del Collegio del Garante per la protezione dei dati personali, rassegnando le mie dimissioni.
Una scelta difficile e sofferta, ma una scelta, a mio avviso, necessaria per scongiurare il rischio che le ombre proiettate sul mio operato e su quello dei miei colleghi, prima da un’inchiesta giornalistica e poi da un’inchiesta giudiziaria, non si allungassero anche, più di quanto inevitabilmente accaduto, sull’Autorità.
A rischio, secondo me — pur sentendomi assolutamente a posto con la coscienza prima ancora che con la legge — non dimettendomi avrei posto l’autorevolezza percepita — mai quella reale — di un’Autorità con una storia gloriosa e un presente e un futuro indispensabili alle persone, al Paese e alla democrazia.
Ma di questo ho già scritto e parlato e non è questa la sede per tornarci.
Mentre la fine di un mandato — in qualunque momento e per qualsiasi ragione giunga — è il tempo dei bilanci e della condivisione delle lezioni imparate.
Indice degli argomenti
Persone e fondi: il bilancio di Scorza al Garante privacy tra crescita e limiti
Comincio da qualche numero che mi pare utile a raccontare quanto accaduto negli anni del mio mandato, anche se, naturalmente, l’attività di un’Autorità per la promozione e protezione di un diritto fondamentale come il diritto alla privacy non credo possa essere efficacemente riassunta solo in numeri.
E inizio dalla spina dorsale dell’Autorità, dalla sua risorsa più grande, dal capitale umano, dalle donne e dagli uomini che vi lavorano.
L’organico: più persone, ma ancora troppo poche
Nel 2020, al mio ingresso, ho trovato in Autorità meno di 130 persone, mentre oggi ce ne lavorano quasi 200.
Sempre troppo poche, anzi, pochissime in relazione alle sfide con le quali l’Autorità si confronta quotidianamente.
Quella registrata negli ultimi cinque anni, tuttavia, è la più importante iniezione di risorse umane dalla nascita del Garante.
Un risultato, credo di poter dire serenamente, importante.
Finanziamenti e costi: il raddoppio che non torna
Diversa la situazione sul versante delle risorse finanziarie.
Al riguardo vale, innanzitutto, la pena ricordare che l’attività del Garante per la protezione dei dati personali, a differenza di quella di altre Autorità, è finanziata esclusivamente dal Governo, non da una percentuale sulle sanzioni irrogate, non da contributi dei grandi soggetti vigilati.
Qui i bilanci pubblicati sul sito dell’Autorità, dei quali tanto — spesso in maniera, per la verità, inesatta e approssimativa — si è parlato negli ultimi mesi, raccontano che nel 2020 il Garante riceveva dall’erario circa 30 milioni di euro, mentre oggi riceve poco più di 45 milioni.
Prima, tuttavia, di dirsi soddisfatti del risultato anche su questo fronte, vale la pena di riflettere sulla circostanza che, complice l’aumento importante e prezioso delle risorse umane dell’Autorità, mentre nel 2020 il personale costava complessivamente poco più di 20 milioni di euro, oggi ne costa quasi il doppio.
La sintesi è presto fatta: mentre il trasferimento di risorse dall’Erario al Garante è aumentato ma non raddoppiato, il costo del personale è raddoppiato, con la conseguenza che, in effetti, le risorse per tutte le altre voci di costo sono diminuite e non aumentate.
La mia impressione, per quanto impopolare possa sembrare dirlo ora, è sempre stata e rimane che servirebbero molte più risorse per consentire al Garante di giocare le tante e difficili partite nelle quali è chiamato a scendere in campo.
Reclami, segnalazioni e data breach: i numeri del lavoro quotidiano
E che le cose stiano così, lo dicono altri numeri.
Quelli delle sanzioni, non semplicemente irrogate ma riscosse, non dal Garante ma dall’Erario, per oltre 100 milioni di euro negli ultimi cinque anni.
E quelli dei reclami e delle segnalazioni alle quali l’Autorità ha dato riscontro: oltre 4000 reclami e oltre 93 mila segnalazioni nel 2024, secondo gli ultimi dati ufficiali disponibili nella Relazione annuale, in attesa di quelli del 2025 che, comunque, verosimilmente, daranno conto di un incremento.
E sono significativi, ai fini delle considerazioni qui sopra sull’insufficienza delle risorse delle quali dispone l’Autorità, anche i dati relativi alle denunce di data breach ricevute e gestite, sempre nel 2024: oltre 2200.
Vale, infine, forse, la pena chiarire una cosa che, nelle scorse settimane, ha dato a qualcuno da discutere: a dispetto del momento, innegabilmente infelice, vissuto dal Garante negli ultimi mesi del 2025, momento che indubbiamente ha assorbito risorse, sono convinto che i numeri della prossima relazione racconteranno di un anno chiuso senza nessuna flessione nella nostra attività.
Ma, naturalmente, inutile fare spoiler: qualche mese di pazienza e disporremo dei dati ufficiali.
Sin qui i numeri, che dicono tanto ma non dicono tutto.
Il resto, per me la parte che conta di più, del bilancio di questi cinque anni, lo raccontano le questioni affrontate e alcune delle decisioni assunte.
Promuovere la privacy: eventi, scuole e dialogo con la società
Sono stati cinque anni e mezzo di attività intensissima nella promozione e protezione dei dati personali.
Avevo detto all’assunzione dell’incarico e ho continuato a ripetere sino all’ultimo giorno, perché ne resto convinto, che la promozione di un diritto fragile e garbato non conta di meno della sua protezione.
Anzi, è vero l’esatto contrario.
Ne era convinto Stefano Rodotà e lo disse, con parole, senza nessuna sorpresa insuperabili, Umberto Eco, a Venezia, sul finire del secolo scorso, parlando alle Autorità di protezione dei dati personali di tutta Europa che allora muovevano i primi passi: “Il vero lavoro che dovrete svolgere non sarà quello di garantire la privacy a coloro che la richiedono (una percentuale esigua rispetto alla popolazione totale), ma quello di far sì che coloro che vi hanno rinunciato con entusiasmo la considerino un bene prezioso”.
È, personalmente, stata la mia principale scommessa, è stata la mia personalissima interpretazione del ruolo, è stato quello che ho provato a fare quotidianamente, certamente commettendo degli errori, certamente dando spazio a equivoci e incomprensioni, certamente attirandomi critiche di diverso genere.
Ho partecipato, in media, a oltre 150 incontri ogni anno, in sedi pubbliche e private, in Italia e all’estero, nelle più piccole e periferiche delle scuole italiane come nelle più blasonate istituzioni accademiche al mondo, da Harvard alla Sorbona.
L’ho fatto talvolta da solo, in prima persona, e ho contribuito a farlo fare all’Autorità, organizzando iniziative ed eventi inediti nella sua storia: il Privacy Tour, prima nel sud Italia e nei piccoli comuni e poi nei capoluoghi di provincia, e State of Privacy, il primo rivolto alla gente comune e il secondo agli addetti ai lavori.
Due iniziative, l’una e l’altra, semplicemente impossibili senza il contributo, da una parte, delle donne e degli uomini che lavorano al Garante e, dall’altra, senza quello di centinaia di soggetti pubblici e privati che hanno condiviso l’importanza di promuovere il diritto alla privacy.
Un solo obiettivo: innescare un processo di autentico innamoramento delle persone, delle società, delle Istituzioni verso il diritto alla privacy, certo del fatto che i diritti, a cominciare proprio da quello alla privacy, non esistono se le persone non li conoscono e non se ne innamorano.
Ho sbagliato?
Naturalmente è possibile, perché non esiste un manuale del buon componente del Collegio del Garante: ciascuno sceglie la sua interpretazione, ciascuno sceglie i suoi riferimenti e modelli, ciascuno utilizza gli strumenti dei quali dispone e che pensa di poter usare più efficacemente.
E ciascuno, poi, naturalmente, ne risponde davanti alle persone.
Io credo che la privacy oggi sia più conosciuta di quando ho cominciato, anche al di fuori del circuito degli addetti ai lavori, sia più accessibile, sia, in qualche modo, più res publica.
Un approccio e un modello ideale?
Niente affatto.
Ha tanti limiti e, legittimamente, in tanti, hanno idee diverse.
Pareri e avvertimenti: cosa racconta il bilancio al Garante privacy sui poteri pubblici
In cinque anni e mezzo, tuttavia, benché l’attività di promozione sia stata tanta, quella di vigilanza, più tradizionale, non è stata di meno, in tutte le direzioni, nei confronti dei poteri pubblici e di quelli privati, del Governo e del mercato, davvero senza guardare in faccia nessuno, con indipendenza, terzietà e rigore che rivendico con forza.
Provando, sempre, prima lo strumento del dialogo, con i pareri o magari attraverso la misura — espressamente prevista dalla disciplina europea — dell’avvertimento, e, quindi, quando non è bastato, con ammonimenti e sanzioni.
Impossibile ripercorrere a ritroso oltre cinque anni di pareri e provvedimenti.
Il meglio che, probabilmente, si può fare è mettere in fila qualche esempio.
Il primo che torna in mente è, certamente, l’avvertimento, il primo nella storia del Garante, trasmesso direttamente a Palazzo Chigi, all’indirizzo del Governo.
Oggetto: il certificato vaccinale prima maniera, quello che avrebbe imposto a decine di milioni di persone nel nostro Paese di dire troppo a troppi a proposito della propria situazione medico-sanitaria per circolare liberamente, lavorare, accedere in una serie di luoghi pubblici e privati.
La storia è nota: marcia indietro del Governo, certamente non solo per merito del nostro provvedimento, e, poi, anche grazie al lavoro frattanto fatto a Bruxelles con i colleghi del resto d’Europa, via libera al green pass, un compromesso, certamente migliore, tra esigenze sanitarie e privacy.
Ma, sempre per restare alle iniziative nei confronti dei soggetti pubblici, difficile dimenticare anche il parere, del quale ho avuto il privilegio di essere relatore, con il quale abbiamo detto “no”, senza riserve, all’utilizzabilità da parte del Ministero dell’Interno del c.d. SARI real time.
Il sistema diversamente intelligente di riconoscimento facciale avrebbe trasformato chiunque di noi, a passeggio per strada, in un potenziale sospettato e lo avrebbe esposto al rischio di ritrovarsi, magari incolpevolmente, considerato responsabile di chissà quale genere di crimine o delitto.
Nessun eroismo dei diritti, intendiamoci: abbiamo fatto solo il nostro dovere.
Abbiamo fatto quello che andava fatto, tanto con l’avvertimento a proposito del certificato vaccinale, quanto con il parere sul SARI real time.
Ma, confesso, che pensare a quei provvedimenti e poi leggere delle contestazioni sull’indipendenza nell’azione dell’Autorità, della sua pretesa politicizzazione, dell’inefficacia e ineffettività della sua azione verso i poteri pubblici, mi fa, al tempo stesso, sorridere e rammaricare.
In tutta sincerità non credo, in questi cinque anni e mezzo, di aver mai tentennato nell’assumere le iniziative che andavano assunte anche davanti ai più “forti” dei poteri pubblici.
Poi, come sempre, il giudizio di chi guarda da fuori conta di più di quello di chi è stato protagonista di certe iniziative.
Interventi sui privati: TikTok, OpenAI e la tutela dei minori
E vengo alle iniziative nei confronti dei poteri, altrettanto forti, privati.
È il gennaio del 2021: una bambina di nove anni muore a Palermo soffocata da una cinta stretta al collo, probabilmente — l’inchiesta della magistratura è ancora in corso — partecipando a una challenge su TikTok, un social, come gli altri, riservato a chi ha almeno tredici anni.
Lì, in quel social, quella bambina, che per certo c’era, non avrebbe dovuto esserci.
L’Autorità, nello spazio di qualche ora, vieta a TikTok di proseguire il trattamento dei dati personali dei più piccoli, di disconnettere tutti gli utenti italiani, verificare la loro età e riammetterli solo dopo aver raggiunto ragionevole certezza che si trattasse almeno di ultratredicenni.
TikTok esegue e centinaia di migliaia di bambini vengono messi alla porta dal social.
Contestualmente, grazie a un inedito supporto delle principali emittenti televisive pubbliche e private, con una campagna di comunicazione istituzionale, informiamo gli adulti, in particolare i genitori, della circostanza che i social sono riservati a chi ha almeno tredici anni e che, se i loro figli fossero stati più piccoli, non avrebbero dovuto lasciarli entrare.
Per carità, il problema dei più piccoli che usano servizi digitali non adatti alla loro età e dei fornitori che sfruttano i loro dati personali con l’alibi che abbiano l’età che dichiarano di avere pur di entrare è ancora lì, purtroppo lontano dal potersi considerare risolto.
E, però, l’iniziativa credo abbia avuto il merito di porre la questione all’attenzione della comunità internazionale, una questione che oggi, cinque anni dopo, è al centro di un dibattito planetario.
Impossibile, poi, tra tanti, dimenticare il provvedimento di limitazione temporanea del trattamento adottato il 30 marzo 2023 nei confronti di OpenAI, a pochi mesi dal lancio di ChatGPT.
Un provvedimento fondato sulla circostanza che la società, nel distribuire il proprio servizio di intelligenza artificiale generativa in Italia, aveva, pressoché completamente, ignorato le regole europee sulla protezione dei dati personali, ritenendole inapplicabili.
All’indomani del provvedimento siamo stati letteralmente travolti dalle critiche, accusati di essere luddisti, di dare a pensare che l’Italia fosse un Paese nemico dell’innovazione, quasi che l’innovazione sia un lasciapassare per derogare, violare o eludere le leggi.
Che la nostra Autorità, solo perché prima al mondo a intervenire su OpenAI, fosse la più retrograda.
Ho un ricordo doloroso di quei giorni.
Ho dovuto lasciare i social per una settimana per sopravvivere, cosa che non mi era mai successa e non mi è mai più successa neppure nel pieno della bufera mediatico-politica che, nei giorni scorsi, mi ha poi suggerito di dimettermi per il bene dell’Autorità.
Con tutto il possibile rispetto per chi criticava quella scelta e per chi, magari, ancora oggi pensa sia stata sbagliata, credo, tuttavia, che il tempo ci abbia dato ragione.
Nelle settimane successive OpenAI ha messo a posto una serie di profili, pur non mettendosi completamente in regola, e il Garante ha rivisto il suo provvedimento originario.
Frattanto abbiamo avviato con le altre Autorità europee di protezione dei dati personali una task force congiunta per affrontare le questioni giuridiche all’origine della decisione e, in tutto il mondo, i procedimenti nei confronti di OpenAI, per gli stessi profili o profili analoghi, si sono rapidamente moltiplicati.
Mi piace credere — ma sono, naturalmente, di parte — che siamo stati pionieri più che luddisti, ricordando al mercato un pensiero, non a caso caro a Stefano Rodotà, primo presidente del Garante: quando nell’universo tecnologico le regole non arrivano in tempo, quello che accade e che non dovrebbe accadere è che la tecnologia diventa essa stessa regolamentazione.
E plasma la vita delle persone e della società al posto delle regole che escono dalle Istituzioni democratiche, quelle stesse regole che le Autorità sono chiamate a far rispettare.
Quando succede e, probabilmente, sta accadendo, la democrazia cede il passo alla tecnocrazia, oggi all’algocrazia.
All’epoca, abbiamo, nel nostro piccolo, provato a impedirlo.
Quello che posso dire, nella dimensione autobiografica, è che ovunque sia andato nel mondo in questi anni, il Garante per la protezione dei dati personali veniva riconosciuto — e spero continui a esserlo — come un esempio e un riferimento sicuro lungo la strada del governo del futuro.
Questi sono esempi che, personalmente e nella consapevolezza che ogni valutazione non aritmetica e non scientifica è, naturalmente, opinabile, inserirei tra le poste attive del bilancio.
Sconfitte e limiti del sistema: quando il diritto non arriva (in tempo)
Non è però andata sempre così.
Ho vissuto anche cocenti sconfitte.
Tra le tante, quella relativa all’impossibilità di dare esecuzione al provvedimento adottato nei confronti di ClearviewAI, la società che ha illegittimamente pescato a strascico dal web le immagini di miliardi di persone, ne ha estratto l’impronta biometrica e ha poi iniziato a vendere, a forze dell’ordine e privati in tutto il mondo, un servizio di riconoscimento facciale intelligente, semplicemente ignorando le leggi.
Nel febbraio del 2022, con un provvedimento al quale sono particolarmente affezionato e del quale fui relatore, ordinammo alla società di interrompere la raccolta delle immagini delle persone che vivevano in Italia, di cancellare tutte le foto raccolte e di pagare una sanzione da venti milioni di euro.
Tre anni dopo, ho, sfortunatamente, lasciato il Garante senza che la società — che pure non ha mai impugnato il provvedimento — abbia pagato la sanzione e, verosimilmente, abbia cancellato le immagini a suo tempo raccolte.
Nessuno lo sa.
E, apparentemente, nessuno può saperlo, perché la società che pure, all’inizio, si è difesa regolarmente nel procedimento, si è poi, semplicemente, rifugiata dietro all’inesistenza di un accordo internazionale tra Italia e Stati Uniti per la notifica e esecuzione di provvedimenti come quelli adottati dall’Autorità.
Un baco, secondo me, enorme, un buco nero direi, se si considera che l’Europa continua a considerare gli Stati Uniti un approdo sicuro per i nostri dati personali e che la più parte dei servizi digitali che garantiscono il funzionamento della nostra società sono erogati da soggetti che battono proprio la bandiera americana.
È stata una delle sconfitte che, ancora oggi, mi fanno più male, una delle poste più evidentemente negative dell’ideale bilancio di questi cinque anni.
Certo resta la soddisfazione di aver fatto la nostra parte, ma è una soddisfazione quasi annullata dal rammarico di averlo fatto in un sistema imperfetto che ha privato la nostra azione della necessaria effettività.
Non è stata, naturalmente, l’unica sconfitta.
Nella stessa colonna devo, egualmente a malincuore, inserire anche la sconfitta, almeno sostanziale — e, benché, ancora una volta si tratti più di una sconfitta del sistema che del Garante — nei confronti di DeepSeek, la concorrente cinese — per dirla giornalisticamente — di OpenAI e dei campioni americani dell’intelligenza artificiale generativa.
Nel gennaio del 2025, esattamente un anno fa, all’indomani dello sbarco del servizio sul mercato italiano, preso atto che la società, esattamente come, a suo tempo, la sua concorrente americana, aveva completamente ignorato le regole europee sulla privacy operando nel nostro Paese, le indirizzammo una richiesta di informazioni sulle ragioni all’origine di questa scelta.
Da Pechino risposero immediatamente: “non riteniamo che le regole del GDPR ci si applichino e, in ogni caso, non abbiamo interesse a operare in Italia e in Europa”.
Immediata la nostra risposta, con la quale abbiamo ricordato alla società che la scelta imprenditoriale di operare o meno in Italia toccava naturalmente a loro, ma che, se avessero inteso proseguire, avrebbero dovuto rispettare le regole europee sulla privacy.
Poi il silenzio, mentre il servizio restava accessibile dall’Italia e, quindi, il trattamento di dati personali proseguiva in aperta violazione di tutte le regole.
Quindi l’unica, credo ancora oggi, risposta possibile da parte nostra: un ordine di inibitoria temporanea al trattamento dei dati personali delle persone che vivevano in Italia, lo stesso a suo tempo adottato nei confronti di OpenAI.
Da una società che aveva appena messo nero su bianco di non avere intenzione di operare in Italia ci si sarebbe attesi che, ricevuto l’ordine, si fermasse e chiudesse il servizio in Italia.
Ma niente.
L’app scomparve dagli store di Apple e Google, ma il servizio rimase accessibile via web.
E, a quel punto, scoprimmo — si fa per dire, perché la circostanza ci era, purtroppo, nota — che anche tra Italia e Cina non esistono accordi di cooperazione per la notifica di provvedimenti amministrativi come quello adottato nei confronti di DeepSeek e che il Garante non può neppure ordinare agli intermediari della comunicazione italiani di bloccare — a prescindere da qualsivoglia considerazione sull’efficacia assoluta della misura — il traffico che fa rotta verso un sito utilizzato per l’esercizio di un’attività illecita.
Inutile, sin qui, la richiesta a Parlamento e Governo di attribuire all’Autorità questo genere di poteri.
Ancora una sconfitta, ancora lo stesso senso di frustrazione legato alla consapevolezza che fare la propria parte per difendere la privacy di milioni di persone, nella società globale in cui viviamo, non basta.
Stessa identica sensazione registrata quando, qualche mese fa, ancora una volta primi in Europa e, forse, al mondo, abbiamo ordinato a Clothoff, l’applicazione che consente, grazie all’intelligenza artificiale generativa, a chiunque di spogliare chiunque altro, bambine e adolescenti incluse, e trasformarle, in pochi tap sullo schermo di uno smartphone, in pornoattrici, di interrompere ogni trattamento di dati personali nel nostro Paese.
La società che ha sede alle Isole Vergini ha, semplicemente, ignorato il nostro provvedimento.
Doloroso prendere atto che, nonostante l’intervento tempestivo di un’Autorità, un servizio di violenza sessuale artificiale ma, pur sempre, di violenza sessuale, può continuare a essere commercializzato liberamente, massacrando vite e diritti, senza che nessuno, in un Paese democratico come il nostro, almeno ambisca a essere, possa fermare la società che lo eroga solo perché si è stabilita in un paradiso fiscale e giudiziario.
Questo bilancio, quello delle iniziative assunte nello sforzo di far prevalere le regole democratiche sugli algoritmi, tra vittorie e sconfitte, potrebbe, naturalmente, proseguire a lungo, ma mi fermo qui.
Il sito internet dell’Autorità è un buon testimone di ciò che si è fatto, almeno per chi voglia sfogliarlo in maniera obiettiva e scevra da pregiudizi.
Mi sembra, invece, più importante, ora, provare a mettere in fila le lezioni che ho imparato.
Lezioni di metodo nel bilancio al Garante privacy: organizzazione e decisioni
Ho imparato tantissimo, inutile dirlo.
Molto di più di quanto non si possa scrivere in un articolo come questo.
E ho un solo cruccio: non posso tornare indietro e farne tesoro.
Non posso, quindi, che condividere queste lezioni un po’ come occasione per scusarmi per gli errori commessi, un po’ a beneficio di chi arriverà, spero il prima possibile, dopo di me.
Anche perché, benché non ci si pensi mai, non c’è modo di studiare da Garante: si può sapere di privacy, di dati, di tecnologia e di diritti, ma sapere come giocare al meglio un ruolo che ciascuno può ricoprire una sola volta nella vita è molto più difficile.
Dialogo interno: perché gli uffici fanno la differenza
La prima lezione riguarda l’organizzazione dell’Autorità, una macchina complessa, anzi, no, meglio, un organismo vivente, straordinariamente articolato e complesso, fatto di persone — poche, ancora oggi, nonostante l’aumento dell’organico raccontato sopra — ma determinate, competenti e appassionate alla difesa della privacy oltre ogni ragionevole dubbio.
Questo con la necessaria avvertenza che, come ogni discorso del genere, non può che farsi in generale, guardando ai più o alla media, perché, naturalmente, le eccezioni esistono al Garante come in qualsiasi altra realtà pubblica o privata.
L’Autorità funziona perché ci sono gli uffici.
Collegio e Segretario Generale, naturalmente, sono importanti, essendone rispettivamente il vertice politico e quello amministrativo, ma da soli non possono nulla.
E questo rende fondamentale il dialogo tra Collegio, Segretario Generale e Uffici.
Sono entrato in Autorità alla fine di luglio del 2020: gli uffici erano prima deserti e poi, per mesi, semi deserti causa lockdown da pandemia, smart working e periodo, comunque, non facile per tutti.
Girarci attorno è inutile: qualcosa, in quel momento, è mancato.
La possibilità di costruire un rapporto solido e di persona con gli uffici, il confronto, lo scambio, la costruzione di relazioni interpersonali con un esercito senza uniforme di persone che serve la stessa bandiera, in buona parte, da decenni.
E che vede, inesorabilmente, ogni sette anni cambiare i generali.
Conoscevo da anni la più parte delle persone dell’Autorità, ma certamente non tutte e, comunque, naturalmente, non avevo mai lavorato con nessuna di loro.
Non è stato il modo migliore di iniziare e l’inizio ha segnato un po’ il resto del quinquennato.
È un po’ come quando si inizia a sciare senza maestro: non si scia benissimo, ma si arriva a valle.
Poi si rischia di proseguire così e non si impara mai a far meglio perché, in fondo, in qualche modo, funziona.
Nel mio ultimo giorno in Autorità, lunedì scorso, ho fatto un giro per gli uffici e ho salutato uno ad uno i presenti.
Mi sarebbe piaciuto farlo anche il primo giorno, ma non ho potuto.
Nei mesi successivi avrei sicuramente potuto, ma non l’ho fatto.
Le ragioni sono tante, dal tempo che, frattanto, diventava sempre meno alle indicazioni sbagliate ricevute, ma non cambierebbero la realtà.
Negli anni successivi ho recuperato, tardivamente, in molte direzioni, ma, certamente, non in tutte e non con tutti.
Ho sbagliato.
È la prima lezione imparata: l’Autorità funziona se il dialogo tra Uffici, Segretario generale (che degli Uffici è il vertice) e Collegio è costante, franco, costruttivo, sebbene nel rispetto dei ruoli.
Tempi e istruttorie: serve osmosi tra uffici e Collegio
E questo è importante in generale e lo diventa, senza nessuna sorpresa, ancora di più se si guarda alla gestione dei procedimenti e all’adozione dei provvedimenti.
Quello che oggi accade è che gli uffici istruiscono i procedimenti talvolta per anni, maturano un convincimento sulla base delle competenze e esperienze — oggettivamente e, sempre nella media, fuori dal comune — di chi vi lavora e lo riassumono in una proposta di provvedimento che, a qualche giorno dall’adunanza nella quale dovrebbe essere adottato, viene posta a disposizione del Collegio.
Assieme alla relativa documentazione, nei casi più complessi costituita da migliaia di pagine.
Il Collegio, a questo punto, deve entrare in vicende e riflessioni più o meno articolate in pochissimo tempo e poi decidere se confermare o meno la proposta degli uffici.
La struttura in teoria è sana: una rigida ripartizione tra chi gestisce l’istruttoria e formula la proposta di decisione e chi poi la decide.
La mia personalissima impressione, tuttavia, è che si tratti di una ripartizione di competenze preziosa, ma da ammorbidire per scongiurare il rischio di frustrare contemporaneamente il ruolo degli uffici e quello del Collegio.
Da una parte, infatti, c’è il rischio che le conclusioni tecno-giuridiche degli uffici vengano travolte dalle sensibilità, discrezionalità tecnica e valutazioni giuridiche che il Collegio si forma su base, prevalentemente, documentale.
Dall’altra, che il Collegio, che pure è chiamato dalla legge a dare il proprio indirizzo politico, nel senso più alto del termine, all’Autorità, innanzitutto attraverso le proprie decisioni, resti prigioniero dell’istruttoria condotta dagli uffici.
Inesorabilmente, con ambiti e direzioni più esplorati e approfonditi di altri, e costretto tra la scelta di appiattirsi sulla proposta degli uffici o vanificare mesi e talvolta anni di prezioso lavoro istruttorio del quale, appunto, non è detto debba condividere le conclusioni.
Tutto questo, oggi, inevitabilmente, con un tempo di riflessione e ponderazione enormemente inferiore rispetto a quello avuto dagli uffici.
Qui la questione diventa complicata e la più facile delle soluzioni, purtroppo, impraticabile: il Collegio difficilmente può prendersi più tempo per decidere, tornando, magari, a discutere con gli uffici taluni aspetti perché, normalmente, quando la proposta di provvedimento arriva sulle scrivanie dei componenti, i termini per la definizione dei procedimenti sono ormai prossimi alla scadenza.
Anzi, lo sono e lo saranno sempre di più se dovesse affermarsi un’interpretazione giurisprudenziale che inizia a diffondersi.
La mia personalissima impressione al riguardo è che serva creare forme di osmosi trasparenti e costruttive tra le due componenti dell’Autorità, prima che i procedimenti arrivino nel rettilineo che li conduce all’adozione del provvedimento.
La mia esperienza mi suggerisce che ogni volta che si è riusciti, prevalentemente nella dimensione informale, a creare occasioni di dialogo tra Collegio e Uffici, i provvedimenti hanno fatto un balzo in avanti straordinario in termini di qualità.
È un’altra lezione preziosa imparata, della quale mi rammarico di non poter far tesoro e che mi auguro sarà utile a chi verrà dopo di me.
Tante, troppe le altre lezioni imparate delle quali è impossibile raccontare qui.
Annoto qui i titoli di altre due, ciascuna delle quali richiederebbe pagine di racconto, tutte con un denominatore comune: sono aree dell’attività del Garante che hanno acquisito e continueranno ad acquisire un’importanza crescente e che non possono essere sottovalutate.
Credo di aver fatto del mio meglio per valorizzarle, ma sono certo — e qui stanno le lezioni imparate — non abbastanza.
Le sfide future: dimensione globale e velocità della tecnologia
Uno. La società è globale, i dati personali circolano nella dimensione internazionale e, tra quelle che contano davvero, non c’è più una fattispecie degna di attenzione, nella dimensione della promozione e protezione della privacy, che non travalichi i confini nazionali e quelli europei.
La necessaria conseguenza è che, ormai, la più parte delle partite che contano tra quelle che il Garante — così come tutte le altre autorità di protezione dei dati personali — è chiamato a giocare vanno giocate nella dimensione europea e internazionale.
In questo senso il Garante deve essere sempre più presente e sempre più protagonista nella comunità internazionale, costruire relazioni solide con i rappresentanti delle altre Autorità e agenzie che operano in giro per il mondo, imparare sempre di più a collaborare con queste ultime.
Due. Il progresso tecnologico, i mercati, l’industria non sono mai andati tanto veloci nella storia dell’umanità.
La velocità con la quale l’impatto delle loro azioni sulla società si consuma è incompatibile con quella dell’attività di vigilanza, specie se rallentata da un sottodimensionamento cronico delle risorse del Garante, con la conseguenza che, nonostante i migliori sforzi — e, credo, di poter dire sinceramente che se ne sono fatti tanti e importanti — il rischio che i provvedimenti arrivino troppo tardi è e sarà, sempre più spesso, elevato.
Ciò che già pensavo entrando in Autorità e di cui mi sono convinto lavorandoci è che raccontare, informare, educare al valore dei dati personali e a come proteggerli nella dimensione digitale debba essere una delle più importanti direttrici dell’azione di un’Autorità di protezione dei dati personali.
Una direttrice da percorrere imparando a usare forme e linguaggi di comunicazione accessibili, semplici, non ingessati nel rigore istituzionale, rivolti alla gente comune, ai media generalisti, alla politica, alle imprese, a cominciare dalle più piccole.
Mi fermo qui anche con le lezioni, ma solo per ragioni di spazio, non perché quelle imparate siano finite.
Quella al Garante è stata una delle esperienze più straordinarie della mia vita, nella dimensione umana e professionale, un’esperienza il cui ricordo non è stato e non sarà intaccato dall’epilogo indiscutibilmente diverso da quello che mi sarei aspettato.
Muovendo da qui — ed è bene scriverlo in modo trasparente a beneficio di chi è arrivato sin qui nella lettura dell’articolo — il bilancio dei miei cinque anni alle spalle non può, dalla mia prospettiva, che essere positivo, attivo, in utile.
Ma i fatti sono fatti e, quindi, ho la serenità che ciascuno potrà formarsi la propria idea, il proprio giudizio, la propria convinzione.
Io auguro il meglio al Garante e alle donne e uomini che ci lavorano, il meglio ai miei colleghi rimasti in Autorità, il meglio a chi verrà dopo di me.
