Nel complesso scenario della privacy digitale italiana ed europea, l'indipendenza del Garante per la protezione dei dati personali rappresenta una questione cruciale che va oltre le contingenze politiche. Recentemente, le pressioni mediatiche e politiche sui vertici dell'autorità hanno esposto non solo specifiche decisioni controverse, ma soprattutto fragilità strutturali nel modello di governance italiano. Questo articolo affronta come gestire una crisi che ha messo simultaneamente in evidenza i difetti organizzativi dell'autorità e, al contempo, la sua funzione irreplacibile nell'ecosistema europeo della protezione dei dati. Comprendere queste dinamiche è essenziale per chiunque operi nel campo del diritto, della tecnologia e della policy privacy.

Executive summary

La richiesta di dimissioni e il fuoco mediatico non riguardano solo casi specifici. Espongono criticità sistemiche comuni alle autorità indipendenti italiane: opacità nella selezione dei casi, comunicazione istituzionale confusa con funzioni "quasi-giurisdizionali", dialettica non trasparente fra uffici istruttori e Collegio, responsabilità difficili da individuare.

Queste problematiche non sono frutto di negligenza, bensì di scelte organizzative ereditate e raramente revisionate. Il quadro normativo europeo, per contro, ha evoluto costantemente i suoi standard di indipendenza e accountability. Lo standard UE richiede indipendenza "piena" e tracciabilità, già ribaditi dalla Corte di giustizia in tre sentenze cardine (2010, 2012, 2014) e dal GDPR stesso (art. 51-59).

L'eventuale "Digital Omnibus" della Commissione europea aggiunge un ulteriore strato di rischio regolatorio: potenziali modifiche alle basi giuridiche e ai presidi su dati sensibili potrebbero indebolire ulteriormente il perimetro di azione di autorità già sotto pressione.

La priorità strategica non è invocare dimissioni (soluzione tattica che non affronta le radici del problema), bensì stabilizzare la crisi comunicativa e rendere verificabili processi e priorità istruttorie. In questo modo, l'autorità recupera legittimità tecnica indipendentemente dalle oscillazioni politiche.

Scopo e campo

Scopo di questa analisi è valutare l'adeguatezza dell'assetto italiano rispetto ai requisiti di indipendenza e accountability delle autorità di controllo previsti dall'ordinamento europeo, e proporre interventi immediati e di medio periodo che siano realizzabili senza stravolgimenti legislativi.

Il campo di analisi abbraccia molteplici dimensioni: la struttura di governance del Garante e il ruolo del suo Collegio; il ciclo procedurale dell'istruttoria amministrativa; la comunicazione esterna e interna; il contenzioso dinanzi ai Tribunali amministrativi regionali (TAR); e il coordinamento con le omologhe autorità europee.

La base giuridica poggia sugli articoli 51-59 del GDPR, sulla consolidata giurisprudenza della Corte di giustizia dell'Unione europea in tema di indipendenza delle autorità amministrative, e sulla disciplina nazionale che regola composizione, nomina e mandato dei componenti il Collegio.

Contesto normativo essenziale

Il Regolamento europeo (GDPR) non è un semplice standard tecnicamente desiderabile, ma un vincolo giuridico. Impone indipendenza "completa" delle autorità di protezione dei dati, assenza di istruzioni provenienti da altri organi, risorse adeguate e stabili, nomine e revoche al riparo da condizionamenti di natura politica o economica. Richiede inoltre che queste autorità dispongano di poteri effettivi di controllo e di cooperazione fattiva nel network europeo.

La Corte di giustizia dell'UE ha progressivamente censurato modelli nazionali che consentivano influenze esterne, interruzioni arbitrarie del mandato, o mancanza di separazione tra funzione di controllo e funzione politica. In tre sentenze fondamentali (Commission v. Germany 2010, Commission v. Austria 2012, Commission v. Hungary 2014), la Corte ha chiarito che la forma giuridica della nomina è meno rilevante della sostanza del regime garantistico e della stabilità operativa.

In Italia, il Garante è un collegio costituito da quattro membri eletti dal Parlamento per un mandato di sette anni non rinnovabili. Questa modalità di nomina, di origine parlamentare, è il frutto di compromessi politici storici. Tuttavia, proprio perché l'origine è politica, la legittimazione sostanziale dell'indipendenza richiede di essere compensata con garanzie procedurali e di trasparenza particolarmente elevate: criteri di priorità pubblici, separazione visibile tra fasi istruttorie e decisorie, motivazione articolata delle scelte, meccanismi di controllo interno documentati.

Diagnosi delle criticità emerse

La crisi attuale ha portato alla luce una serie di disfunzioni che, se considerate singolarmente, potrebbero sembrare marginali, ma che nel loro insieme compromettono la percezione e la realtà dell'indipendenza.

Selezione opaca dei casi. Non esiste una policy pubblica e verificabile sulla prioritizzazione dei fascicoli istruttori. Quando l'opinione pubblica o i media chiedono "perché questo caso è stato aperto e quell'altro no?", l'autorità non dispone di una risposta metodica e documentata. Questo vuoto espone l'amministrazione a interpretazioni sospettose: che le scelte siano arbitrarie, politicizzate, o motivate da pressioni mediatiche piuttosto che da ragionato criterio di rischio.

Comunicazione confusa tra funzione istruttoria e funzione decisoria. Quando l'autorità comunica sui media durante il corso di un'istruttoria, o subito a ridosso di eventi sensibili, il confine tra informazione istituzionale e assunzione anticipata di posizione si sfuma. Il pubblico e i contendenti percepiscono la comunicazione come parte della decisione, non come mera illustrazione di fatto. Questo alimenta il sospetto che la decisione sia già stata presa prima del termine dell'istruttoria.

Dialettica interna non trasparente. Nel momento in cui il Collegio delibera, la struttura amministrativa (uffici istruttori) ha già condotto l'indagine e formulato una proposta. Il Collegio può accoglierla integralmente, modificarla, o respingerla. Tuttavia, il pubblico non vede mai questa dialettica: vede solo l'atto finale. Non conosce se il Collegio ha operato una valutazione critica autonoma oppure se ha semplicemente ratificato la proposta degli uffici. In caso di dissensi significativi, non sa quali argomenti sono stati valutati e scartati.

Responsabilità diffuse e difficili da individuare. Nel contenzioso TAR, l'amministrato contesta il provvedimento adottato dal Garante. Tuttavia, la motivazione pubblica non spiega sempre con chiarezza quale ufficio ha operato quale valutazione, quale membro del Collegio ha votato per quale esito, e su quali criteri. Se la sentenza TAR accoglie il ricorso, diventa difficile comprendere che cosa è andato storto e come correggerlo.

Queste fragilità non sono incompatibili con la forma italiana di nomina parlamentare del Collegio, ma sono incompatibili con lo standard di indipendenza sostanziale richiesto dalla giurisprudenza CJEU e dal GDPR. Una corte costituzionale o un'autorità indipendente nominata dal parlamento può funzionare egregiamente, purché la trasparenza procedurale compensen il dubbio circa l'origine politica della nomina.

Deficit di composizione pluridisciplinare

A questa analisi strutturale si aggiunge un'ulteriore criticità di natura più profonda: la composizione del Collegio è appiattita su una sola cultura professionale e disciplinare. L'attuale assetto favorisce prevalentemente giuristi di formazione tradizionale, deprimendo la partecipazione di profili diversi essenziali per un equilibrio decisionale robusto e consapevole degli effetti reali delle decisioni sull'ecosistema digitale.

La mancanza di giornalisti esperti di media digitale comporta una scarsa comprensione dei meccanismi di distribuzione dell'informazione e della neutralità dell'algoritmo. L'assenza di esperti di business e management genera una cecità rispetto alla fattibilità tecnica e organizzativa dei rimedi prescritti, nonché ai reali oneri di compliance per le aziende. Ancora più grave è l'esclusione di tecnici, ingegneri e innovatori: senza di loro, le decisioni rischiano di essere formalmente corrette ma sostanzialmente incoerenti con le architetture tecniche effettive, i vincoli di implementazione, e le opportunità di privacy by design.

Questa monocultura decisionale ha effetti tangibili: (i) riducono la varietà dei ragionamenti e rendono l'azione meno ricca di sfumature; (ii) compromettono la coerenza con gli effettivi interessi dei cittadini e delle imprese, che non sono puramente giuridici; (iii) aumentano il rischio di interferenze esterne, poiché soggetti non radicati in culture disciplinari alternative risultano più vulnerabili a pressioni mediatiche, politiche o lobbistiche che approfittano del loro isolamento professionale.

Un collegio multidisciplinare non è una soluzione tecnica, ma un presupposto di legittimità sostanziale. Se il GDPR e la giurisprudenza CJEU richiedono indipendenza, questa non può realizzarsi pienamente con una sola prospettiva di analisi. La diversità cognitiva è un meccanismo di contrappeso interno, complementare alla trasparenza procedurale.

Rischio regolatorio europeo imminente

Lo scenario internazionale complica ulteriormente il quadro. Negli ultimi mesi, la Commissione europea ha circolato bozze di revisione della normativa digitale, informalmente riferite come "Digital Omnibus". Questi interventi mirano ad armonizzare e, in alcuni casi, semplificare i requisiti normativi sui pacchetti digitali (GDPR, DMA, DSA, AI Act) al fine di accelerare l'adozione dell'intelligenza artificiale e ridurre il carico amministrativo sulle aziende.

Il rischio per la privacy è reale: potrebbero essere ampliate le basi giuridiche per l'utilizzo dei dati nel training di modelli di IA, attenuati i presidi su dati sensibili (genetici, biometrici, dati relativi al traffico e alla localizzazione), o compresse le tutele per il tracciamento e la profilazione comportamentale. Il dibattito è ancora in evoluzione, ma le pressioni industriali sono forti.

Per un'autorità nazionale già sotto pressione politica interna, il rischio è una doppia delegittimazione: politica (dalle forze che chiedono dimissioni) e regolatoria (se il quadro UE viene effettivamente indebolito). In tale contesto, l'unica difesa possibile è una postura tecnica rigorosa, ben documentata e difendibile in sede giudiziale. Non è possibile "negoziare" politicamente una crisi di fiducia: è necessario demolire i fondamenti stessi su cui poggia la critica, cioè dimostrare che i processi sono trasparenti, ragionati e tracciabili.

Obiettivi operativi

Gli obiettivi strategici che l'autorità dovrebbe porsi sono:

• Stabilizzare la crisi comunicativa, riducendo il danno reputazionale e recuperando spazi di ascolto tra operatori e stakeholder.
• Mantenere l'autonomia di giudizio, evitando al contempo ogni apparenza di arbitrarietà o di influenza politica.
• Aumentare la verificabilità dei processi, rendendo pubblici o consultabili (con accesso limitato) i criteri, le fasi e i checkpoint decisionali.
• Ridurre l'attrito comunicativo, separando nettamente le comunicazioni durante l'istruttoria da quelle successive alla decisione.
• Migliorare la difendibilità in giudizio, fornendo motivazioni articolate e dimostrabili, così che i TAR possano valutar il ragionamento e non vedano la decisione come opaca.
• Allineare pratiche interne allo standard CJEU di indipendenza sostanziale, indipendentemente dalla fonte politica della nomina.

Interventi immediati (crisis handling)

Nel breve termine, sono necessarie azioni concrete e visibili che affrontino direttamente i punti di criticità.

Linea comunicativa unitaria e separata. Definire una policy ristretta e rigorosa che separi in modo netto l'informazione istituzionale dalla decisione finale. Durante l'istruttoria, non si comunicano risultati parziali, non si commentano media su fatti sottoposti a verifica, non si anticipano conclusioni. Si comunica solo a istruttoria conclusa, con una nota tecnica che riporti: i fatti accertati (in sintesi); le basi giuridiche applicate; l'analisi di proporzionalità; le alternative sanzionatorie considerate e i motivi della scelta; le eventuali procedure di cooperazione europea attivate. Questa separazione riduce il sospetto di pre-giudizio e aumenta l'autorevolezza della decisione finale.

Professionalizzazione della comunicazione e separazione dalla vertenza. Un elemento critico spesso trascurato è il ruolo diretto dei vertici politici e decisionali nella comunicazione pubblica. Quando i consiglieri comunicherebbero personalmente, via media tradizionali o social network, utilizzando linguaggio popolare o toni suggestivi, ogni loro intervento diviene facilmente contestabile, alimenta sospetto di pregiudizialità, e compromette l'autorevolezza dell'istituzione. La comunicazione della vertenza è un'attività distinta dalla decisione tecnica e deve essere demandatata a professionisti dediti.

Raccomandazione operativa: Istituire un Ufficio interno di educazione e comunicazione sulla privacy con competenze in comunicazione strategica, media digitali, storytelling e public engagement. Questo ufficio dovrebbe diventare l'unico canale di comunicazione pubblica dell'autorità su temi di rilevanza generale (sensibilizzazione su diritti, best practice, tassonomia di rischi). Per le comunicazioni specifiche su casi sensibili o decisioni di rilievo, l'Ufficio deve operare con linguaggio tecnico verificato, trasparenza sulle fonti e assenza di toni populisti. Il Collegio deve rimanere visibile solo nella formulazione di pareri tecnici scritti e documentati, mai in estemporanee intervistate mediatiche durante o immediatamente dopo controversie decisionali. Questa separazione trasmette che le persone decidono in base a principi istituzionali, non in risposta a pressioni emotive o mediatiche. Quando il Collegio comunica raramente e solo su base scritta, le sue parole acquisiscono peso maggiore e minore vulnerabilità a distorsioni interpretative.

Criterio di priorità pubblico e motivato. Pubblicare una nota metodologica sui "criteri di priorità" usati per calendarizzare i casi istruttori. La nota deve includere: il volume di dati personali interessati (ordini di grandezza); la categoria di dato (ordinario vs. sensibile); l'impatto potenziale sui diritti dell'interessato; il grado di recidiva dell'ente controllato; il livello di cooperazione volontaria offerto dal titolare; l'impatto transfrontaliero (rilevanza UE). Per ciascun criterio, fornire esempi reali anonimizzati e indicatori di scoring numerico o ordinale. Questa trasparenza riduce l'accusa di arbitrarietà e consente ai controllati di autodiagnosticarsi come "ad alto rischio" o "a basso rischio".

Registro di trasparenza istruttoria. Annunciare e implementare un "Registro di trasparenza istruttoria" accessibile al pubblico (con limitazioni ragionevoli di confidenzialità). Per ciascuna categoria di fascicoli (es. sanzioni gravi, denunce, audit d'ufficio), il registro mostra: lo stato di avanzamento aggregato (fase di ammissibilità, fase di investigazione, fase di decisione); le finestre temporali attese (es. 3-6 mesi); i punti di controllo interno previsti. Questo trasmette l'idea che l'autorità ha un metodo e lo rispetta, non agisce ad capriccio o sotto pressione.

Scheda motivazione standardizzata. Introdurre un modello standardizzato per la motivazione dei provvedimenti significativi. La scheda deve contenere sezioni esplicite: basi giuridiche applicate; fatti accertati; analisi di proporzionalità (con esplicitazione della riduzione o aumento rispetto alla proposta degli uffici e i motivi); meccanismi di cooperazione UE eventualmente attivati; considerazioni di precedente interno o giurisprudenziale TAR. Questa struttura rende il ragionamento trasparente e verificabile.

Riforme di processo a medio periodo

Nel medio termine (3-6 mesi), è opportuno introdurre modifiche organizzative che istituzionalizino la trasparenza e riducano il rischio di interpretazioni soggettive.

Separazione formale dei ruoli e responsabilità. Distinguere e documentare formalmente le fasi procedurali: (i) filtro e scoring del rischio iniziale; (ii) istruttoria vera e propria, con assegnazione nominativa di responsabilità; (iii) redazione di una proposta motivata da parte della struttura istruttoria; (iv) deliberazione e voto del Collegio; (v) redazione della motivazione finale. Per ciascuna fase, è necessario un checkpoint documentato, cosicché il flusso sia tracciabile nel tempo.

Criteri di scoring trasparenti e pubblicati. Rendere pubblici (con un adeguato livello di dettaglio tecnico) i parametri di scoring utilizzati per assegnare priorità ai casi: numero di interessati, categoria di dato (ordinario/sensibile), impatto sulla libertà di espressione o sulla libertà di movimento, percentuale di violazione della norma, grado di negligenza vs. intenzionalità, cooperazione del titolare, rischio transfrontaliero, precedenti violazioni. La pubblicazione di questi parametri serve a chiarire che la selezione dei casi segue logica di rischio, non logica politica.

Pubblicazione di estratti istruttori. Con un ritardo ragionevole (es. 12-18 mesi dalla decisione), pubblicare estratti delle istruttorie in forma anonimizzata: i fatti accertati; le norme applicate; le alternative sanzionatorie valutate e i motivi dello scarto. Questo consente alla comunità di esperti (avvocati, professori, esperti di tecnologia) di verificare la coerenza delle decisioni nel tempo e di fornire feedback costruttivo. Inoltre, disaccoppia il momento della decisione dal momento della pubblica scrutinabilità (riducendo i clamori mediatico-politici immediati).

Meccanismo del "parere contrario" interno. Quando il Collegio decide di discostarsi significativamente dalla proposta della struttura istruttoria (in aumento o in diminuzione della sanzione, o in una valutazione dei fatti diversa), registrare formalmente questo dissenso interno e indicarlo nella motivazione finale con una breve spiegazione. Questo trasmette che il Collegio opera una valutazione critica autonoma, non è un mero timbro di ratifica, e che ragionamenti alternativi sono stati considerati e deliberatamente scartati.

Gestione documentata della cooperazione europea. Per i casi cross-border, documentare in modo esplicito l'uso dei canali di cooperazione predisposti dal GDPR (Board, Comitato per i DPA europei, riunioni bilaterali). Se emergono dissensi significativi con altre autorità europee, indicare brevemente quale era il punto di dissenso e come è stato risolto. Questo previene il sospetto di oscillazioni arbitrarie e dimostra che l'autorità italiana non opera in silos.

Coordinamento europeo

Il contesto europeo merita attenzione specifica. Negli ultimi mesi, una serie di DPA (Data Protection Authorities) europee hanno pubblicamente espresso preoccupazioni rispetto alle proposte di revisione della normativa digitale e al rischio di indebolimento del GDPR. Noyb (None of Your Business), organizzazione di attivismo per la privacy fondata da Max Schrems, ha diffuso bozze interne della Commissione indicando le aree di potenziale revisione.

In questo contesto, l'autorità italiana dovrebbe:

• Produrre un parere tecnico pubblico sui punti di revisione che incidono su basi giuridiche, dati sensibili, legittimo interesse, tracciamento, e che siano controversi. Questo parere deve essere ancorato ai precedenti della CJEU e alle acquisizioni scientifiche sulla protezione dei dati, non a considerazioni politiche.
• Coordinarsi con omologhe autorità europee (in particolare con le DPA di Germania, Francia, Spagna) per una postura coordinata di fronte alle istituzioni UE, cosicché l'Italia non sia isolata e una singola voce critica sia sommergibile dalle pressioni industriali.
• Documentare trasparenza nella cooperazione, in modo che il pubblico e i media capiscano che le posizioni italiane non sono prevenzioni ideologiche, ma frutto di consultazione con altre autorità e di analisi tecnica.

Effetti attesi

Se le misure proposte vengono implementate, gli effetti attesi sono molteplici:

Riduzione dell'interpretazione politico-mediatica. La divulgazione di criteri espliciti e di passaggi procedurali riduce lo spazio per interpretazioni sospettose o strumentalizzazioni. Non è più possibile affermare "il Garante agisce in base al vento politico" quando è documentato che agisce in base a parametri di rischio definiti ex ante.

Separazione comunicativa tra accusa e giudizio. Mantenendo separati i tempi di comunicazione (silenzio durante l'istruttoria, comunicazione a decisione conclusa), si limita l'accusa di "procura e giudice insieme". Questa separazione è uno standard fondamentale nello stato di diritto.

Tracciabilità e solidità processuale. La tracciabilità dei processi decisionali rende il provvedimento amministrativo più solido anche in sede TAR. Il giudice amministrativo può verificare che il ragionamento è coerente, proporzionato e rispettoso del procedimento. Se il provvedimento è legittimo secondo il giudice TAR, la crisi reputazionale diminuisce.

Ancoraggio ai precedenti CJEU. La documentazione del ragionamento, riferito ai precedenti della Corte di giustizia, tutela l'autorità anche in caso di revisione del quadro normativo UE. Se le norme cambiano ma l'autorità ha operato correttamente sotto il regime precedente, le decisioni restano difendibili.

Prevedibilità per gli operatori. Gli operatori economici (piattaforme digitali, aziende che processano dati, startup) traggono beneficio da una trasparenza maggiore. Se conoscono i criteri di priorità e il metodo di valutazione, possono adeguarsi più efficacemente e razionalmente al regime normativo.

Note sulla fattibilità istituzionale

Una questione ricorrente è: "Se il Collegio è stato eletto dal Parlamento su base politica, come può il Collegio stesso implementare riforme di trasparenza senza apparire una retroguardia autoreferenziale?"

La risposta è che la composizione parlamentare del Collegio non viola di per sé lo standard UE (come confermato dalla Corte di giustizia nelle sentenze citate), ma richiede cautele organizzative specifiche per garantire indipendenza effettiva e percepita. Le misure proposte non sono "auto-assoluzione" bensì "auto-imposizione di vincoli": il Collegio si vinc ola a principi di trasparenza e tracciabilità, riducendo così il rischio che la sua decisione venga letta come espressione della sua origine politica.

Inoltre, l'implementazione di queste riforme può essere accelerata da una consultazione preliminare con i sindacati interni, con alcuni esponenti dell'opposizione parlamentare, con le associazioni dei dati protection officer, e con i tribunali amministrativi. Un processo di "co-design" della trasparenza aumenta il buy-in politico e riduce il rischio di contestazione successiva.

Le misure proposte sono in linea con l'art. 52 GDPR (requisiti di indipendenza) e con l'indirizzo consolidato della CJEU sulla necessità di protezione da influenze esterne e di stabilità del mandato.

Riferimenti

• CJEU. Commission v Germany, C-518/07, 9 Mar 2010. (curia.europa.eu)
• CJEU. Commission v Austria, C-614/10, 16 Oct 2012. (curia.europa.eu)
• CJEU. Commission v Hungary, C-288/12, 8 Apr 2014. (curia.europa.eu)
• EU. Regulation (EU) 2016/679 (GDPR), artt. 51–59. (eur-lex.europa.eu)
• Garante. "Collegio: composizione e mandato." (garanteprivacy.it)
• FRA. GDPR in practice – Experiences of DPAs (2024). (fra.europa.eu)
• Reuters. "Proposed changes to GDPR…" (10 Nov 2025). (Reuters)
• NOYB. "EU Commission internal draft…" (10 Nov 2025). (noyb.eu)
• Techradar/Politico summary on "digital omnibus" (10 Nov 2025). (TechRadar)