La deriva pericolosamente autoreferenziale delle autorità garanti (e lo spettro dei conflitti di interesse)
[scarica la versione PDF di questo articolo su Zenodo.org]
Sono molti i giuristi che stanno sollevando il problema del posizionamento istituzionale e costituzionale di questi enti che, ricordiamolo, non sono previsti dalla Costituzione ma nello stesso tempo si stanno prendendo sempre più spazio e più competenze, non sempre nel rispetto del principio di legalità e del principio cardine della divisione dei poteri dello Stato. E soprattutto non sempre hanno tra i loro membri e commissari personalità all’altezza del delicatissimo ruolo; a volte il rischio è quello di trovare lì persone (se non addirittura “personaggi”) in cerca di una poltrona ben retribuita (240 mila euro lordi all’anno, più del Presidente della Repubblica) e soprattutto di una posizione di potere capace di influire su più piani della società civile e del mondo imprenditoriale.
Tra gli esperti che si sono espressi, sono a mio avviso degni di nota (in ordine di apparizione dei loro contributi) il collega Avv. Andrea Monti, il Prof. Giuseppe Corasaniti, il collega Avv. Andrea Lisi e il Prof. Michele Iaselli, i quali hanno firmato interessanti interventi che stanno finalmente aprendo una breccia nel velo di omertà sull'eccesso di protagonismo del Garante Privacy e sul suo (auto-attribuito) ruolo di massimo giudice.
Qualche giorno fa Andrea Monti, nell'articolo Caso Raoul Bova: più che la privacy c’entra il codice penale, ha scritto:
Le vittime di fatti come quelli di cui racconta la vicenda di Bova troveranno maggiore tutela nel rivolgersi alla magistratura invece che alle autorità indipendenti, i cui poteri sono, per legge, molto limitati. L’autorità garante può infatti occuparsi soltanto del mancato rispetto del GDPR a prescindere dal fatto che chi reclama abbia subito o meno un danno. Questo ultimo aspetto, infatti, è una competenza della magistratura.
Sempre Monti, in un altro articolo intitolato Le regole di Agcom sugli influencer sottraggono spazio ai giudici nella tutela degli utenti in rete, aveva scritto:
le autorità indipendenti che pure non fanno parte della magistratura hanno progressivamente invaso il campo della giustizia rivendicando il potere di tutelare i diritti dei cittadini e si sono attribuite il potere di compiere atti — come gli oscuramenti di siti e la rimozione di contenuti — che spetterebbero solo a un giudice. Molti sarebbero i casi da citare, ma in ordine di tempo, basta ricordare il provvedimento dell’undici luglio 2025 emesso dal Garante per i dati personali che ha adottato una vera e propria misura cautelare reale — un sequestro per oscuramento— per impedire la diffusione di immagini relative all’autopsia di Chiara Poggi e, appunto la delibera di approvazione del Codice di condotta e le linee guida per gli influencer.
A queste considerazioni, da parte mia aggiungerei che, visto che la definizione di "trattamento dati personali" prevista dal GDPR è davvero molto ampia, la privacy può diventare un pretesto che consente al Garante di mettere bocca su moltissime situazioni giuridicamente rilevanti. Io ho iniziato a notare questo aspetto sul tema intelligenza artificiale nel 2023 con i blocchi imposti a ChatGPT. Sembrava quasi che il Garante fosse l'autorità preposta alla regolamentazione dell'AI in Italia (cosa appunto falsa, dato che la AI Authority dev'essere ancora costituita). Ho invece l'impressione che il Garante (in particolare uno dei quattro membri, quello a cui piace comparire ovunque per ottenere visibilità personale) scelga di occuparsi proprio dei temi che portano maggiore riverbero mediatico e che incrociano meglio gli hashtag (esempi: la KissCam del Coldplay, Chiara Poggi, Raul Bova) e non necessariamente quelli che impattano davvero sulla vita dei cittadini (esempio: i call center, il pay-or-ok di molti siti web di informazione).
Questo quadro si iscrive perfettamente nella logica di autonomia di queste autorità. L’autonomia è anche di carattere finanziario, nel senso che devono autosostenersi con la loro attività di controllo/sanzione. Ne consegue che hanno tutto l’interesse a focalizzarsi su fascicoli che consentono maggior visibilità e quindi maggior introito economico, tralasciando questioni meno remunerative ma che coinvolgono privati cittadini o piccole realtà. O ancora peggio hanno tutto l’interesse a non colpire società e realtà che costantemente realizzano iniziative in collaborazione con il Garante, ad esempio in veste di media partner (pensiamo ai siti web su cui i quattro membri costantemente hanno un “palcoscenico” ignorando il sito web ufficiale del Garante) o ad esempio in veste di veri e propri sponsor (pensiamo alle aziende big tech che hanno sponsorizzato il famoso Privacy Tour).
Sul tema dell’indipendenza che andrebbe maggiormente osservata e salvaguardata da parte dell’authority, si è espresso anche il prof. Michele Iaselli (Presidente del Comitato Scientifico ANDIP e Coordinatore del Comitato scientifico di Federprivacy) nell’articolo L’ombra lunga dell’autorevolezza: il caso di un dossier ingeneroso del 31 luglio. Iaselli, cogliendo proprio l’occasione di un commento (critico) al dossier del finto Rodotà, non manca di segnalare anch’egli qualche punto dolente e di invitare tutti ad
affrontare davvero — con spirito critico ma equilibrato — le vere problematiche che attraversano tutte le autorità amministrative indipendenti: il rischio di autoreferenzialità, l’opacità nei meccanismi di nomina, la difficile valutazione dell’efficacia reale del loro operato e il ruolo ibrido tra tecnicità e politica. Un’analisi seria e utile dovrebbe piuttosto interrogarsi, con senso istituzionale, su come rafforzare l’autonomia delle Autorità senza che ciò significhi isolamento; su come garantire trasparenza nelle nomine senza trasformarle in terreno di scontro politico o corporativo; su come assicurare efficienza e competenza senza cadere nella tecnocrazia o nel protagonismo.
Sullo stesso tema, interessantissimi e super opportuni risultano i post LinkedIn del Prof. Corasaniti, Ordinario di Informatica Giuridica e commentatore sempre molto equilibrato. Mi riferisco in particolare a quello di lunedì 28 luglio (vedi post) in cui scrive:
Nelle autorità indipendenti con la concentrazione di poteri sanzionatori diretti e autofinanziamento da sanzioni, insieme al debole controllo politico parlamentare si può determinare una deriva di autoreferenzialità istituzionale, in cui l’autorità si pone “fuori dal circuito della responsabilità” (politica e giurisdizionale), pur restando formalmente ‘indipendente’.
È quindi urgente rafforzare i meccanismi di controllo giurisdizionale e parlamentare, riformare i sistemi di nomina e finanziamento delle autorità, istituire verifiche periodiche indipendenti (Corte dei conti, Parlamento) sul corretto esercizio del potere sanzionatorio.
In un altro post dello stesso giorno (vedi post) ha scritto:
Se da un lato queste Autorità garantiscono imparzialità e regolazione tecnica in settori strategici, dall’altro la dottrina e la prassi segnalano alcune criticità strutturali:
Deficit democratico — Non rispondono direttamente al circuito della rappresentanza politica: le relazioni annuali al Parlamento non bastano a garantire un pieno controllo democratico.
Sovrapposizioni istituzionali — La coesistenza con Ministeri e agenzie centrali genera talvolta duplicazioni di competenze e conflitti di attribuzione.
Opacità e accountability limitata — In alcuni casi, la trasparenza delle decisioni e la valutazione dell’efficacia delle azioni è carente, nonostante l’indipendenza dovrebbe accompagnarsi a rigore e responsabilità.
Non finisce qui. A tutto ciò si aggiunge un livello di discrezionalità che normalmente non si riscontra in altre autorità e tantomeno nei giudici propriamente detti (tribunali, corti); discrezionalità che poi porta facilmente a disparità di trattamento a volte davvero inspiegabili; oppure, secondo alcuni, spiegabili con la malafede dei membri dell'autorità che appunto vogliono portare acqua a specifici mulini (che incrociano interessi di parte). A segnalare molto chiaramente questo problema è stato un puntuale articolo del collega Avv. Andrea Lisi, in commento allo stranissimo provvedimento del Garante Privacy sul data breach dell'ASL Avezzano/Sulmona. In sostanza, uno dei data breach più massicci di dati sanitari che sia avvenuto in Italia da quando esiste la normativa privacy è stato qualificato dal Garante Privacy come "violazione minore" e liquidato senza una sanzione pecuniaria nemmeno simbolica, in virtù di un non ben specificato atteggiamento collaborativo dell’ASL nei confronti del Garante. Vi invito a leggere l'articolo Gestione data breach: l'insegnamento dei provvedimenti del Garante su Federprivacy e ASL 1 Avezzano Sulmona e notare come, pur di fronte a situazioni giuridicamente molto simili, il Garante Privacy ha emesso provvedimenti molto diversi senza motivare questa scelta.
Molti hanno notato che, a ben vedere, qualcosa di diverso in effetti ci sarebbe: gli avvocati! Lo studio che ha difeso l'ASL abruzzese di fronte al Garante è uno studio molto vicino (per motivi di parentela stretta e di provenienza accademica) a ben due dei quattro membri del collegio giudicante. Se questa situazione (giuridicamente surreale) si fosse verificata in un tribunale ordinario e non in un’authority amministrativa, qualsiasi avvocato avrebbe avuto gli strumenti per sollevare un problema di poca imparzialità del giudice e per chiedere l’attribuzione del fascicolo a un altro giudice. Di fronte al Garante è sostanzialmente impossibile ricusare il giudice (nonostante qualche “martire” ci abbia comunque provato); ed è una gravissima pecca del sistema, a danno dei cittadini. Mi chiedo se i bambini affetti da malattie incurabili e ricoverati presso gli ospedali di Avezzano e Sulmona (i cui dati personali sanitari sono stati spiattellati a mezzo mondo) abbiano avuto una sufficiente tutela. Oppure gli avvocati che li hanno assistiti non erano abbastanza nelle grazie del Garante? Funziona davvero così la tutela dei diritti della persona nell’ordinamento italiano? Spero proprio di no.
Come ho già scritto in altre sedi, questa deriva va assolutamente contenuta prima che sfugga di mano. Le autorità indipendenti sono cosa buona finché si comportano da difensore civico, da vigile super partes, e finché sono in mano a persone davvero indipendenti ed equilibrate. Altrimenti diventano dei pericolosissimi centri di potere, dei poltronifici e dei luoghi per scambi di favori... come appunto sta accadendo nel Garante Privacy.
__________________
[NOTA: questo articolo, prima di essere pubblicato su canali gestiti autonomamente dall'autore, è stato proposto a varie testate; tutte hanno rifiutato o addirittura hanno ignorato i messaggi.]
Commenti