Di bene in maggio, di male in peggio!
Ha preso consistenza la voce che sostiene come il nuovo presidente dell’Autorità Garante per la protezione dei dati personali possa essere Ignazio La Russa. Questa eventualità è vista con preoccupazione da molti operatori della materia e da molti esperti.
La Russa, è senatore della Repubblica, vicepresidente del Senato e sembra sedere in Parlamento dal 1992. Non pare essersi mai distinto né parlamentare, né come avvocato, in attività relative alla protezione dei dati personali, all’informatica giuridica, alle norme amministrative che riguardino la protezione dei dati personali.
Nelle righe che seguono cerco di ricordare chi ha presieduto l’Autorità Garante negli anni scorsi e provo a spiegare le perplessità per la scelta che emerge, perplessità che non sono dovute allo schieramento politico, esplicito e perentorio, del candidato.
Cosa dovrà fare l’Autorità Garante da qui al 2026? Provo a mettere una minima lista di temi su cui i componenti dovrebbero essere già preparati.
L’Autorità di controllo, vale a dire l’Autorità Garante
In Italia, con la legge 675 del 1996 è stata istituita l’Autorità indipendente con competenze sulle norme riguardanti la protezione dei dati personali. Stefano Rodotà è stato il Garante Privacy, e ha presieduto l’Autorità indipendente dal 1997 sino al 2005.
Il d.lg. 196/2003 ha trasformato l’Autorità Garante e Rodotà è così divenuto il primo presidente dell’Autorità Garante dopo essere stato IL Garante.
Tutta la materia di protezione dei dati personali è poi stata oggetto di trasformazione grazie alla lenta elaborazione del Regolamento Europeo 2016/679 che tutti abbiamo preso a chiamare GDPR (in inglese) o RGPD (in italiano o francese). Tutte le autorità indipendenti che già esistevano per impulso autonomo (ad esempio in Francia la CNIL) o per effetto della direttiva 1995/58/CE sono state regolate dalla stessa norma (appunto il regolamento) e hanno tutte il nome di Autorità di Controllo.
La loro composizione è, tra l’altro definita dall’art. 53 del Regolamento che è in parte ribadito dall’art. 153 dell’attuale d.lg.196/2003 che è stato ampiamente revisionato dopo l’entrata in vigore del Regolamento Europeo.
Sia l’articolo 53 del Regolamento che il 153 della norma nazionale insistono nel prescrivere che l’elettorato passivo dei componenti dell’Autorità di controllo sia scelto tra:
“persone che assicurino indipendenza e che risultino di comprovata esperienza nel settore della protezione dei dati personali, con particolare riferimento alle discipline giuridiche o dell’informatica.” (art. 153 d.lg. 196/2003)
Il concetto è espresso con parole diverse ma è del tutto analogo nell’art. 53 del Regolamento:
Gli Stati membri dispongono che ciascun membro delle rispettive autorità di controllo sia nominato attraverso una procedura trasparente: […]
Ogni membro possiede le qualifiche, l’esperienza e le competenze, in particolare del settore della protezione dei dati personali, richieste per l’esercizio delle sue funzioni e dei suoi poteri. (art. 53 RGPD)
I presidenti dell’Autorità dall’istituzione ad oggi
L’Autorità Garante per la protezione dei dati personali ha avuto, dalla sua nascita, tre presidenti.
Stefano Rodotà
Come già detto il primo presidente è stato Stefano Rodotà, noto a livello nazionale e internazionale per gli studi accademici anche sulla protezione dei dati personali era stimato da moltissimi studiosi per le sue intuizioni e per il suo lavoro scientifico e accademico. Ha presieduto l’Autorità dalla sua costituzione e ci ha lasciato moltissimi provvedimenti che ancora oggi citiamo nel nostro lavoro, inoltre ha definito moltissime delle linee di indirizzo che ancora oggi — a distanza di molti anni — l’Autorità segue.
Francesco Pizzetti
La seconda presidenza ha raccolto una eredità ben importante, il prof. Pizzetti aveva un curriculum non spiccatamente indirizzato alla protezione dei dati personali, tuttavia aveva una solidissima esperienza in diritto pubblico.
Nel corso degli anni la sua presidenza ha varato moltissimi provvedimenti ancora oggi efficaci e importanti per l’individuazioni di obblighi e facoltà dei titolari del trattamento (si pensi alle norme su “Posta elettronica e Internet sul luogo di lavoro” del 2007 o a quella sugli Amministratori di Sistema non ancora novellata).
Antonello Soro
È stato il primo presidente che proviene da un ceto politico in modo esplicito. Non aveva alcuna formazione giuridica e non aveva alcuna competenza esplicita sul tema della protezione dei dati personali, la sua nomina infatti, destò moltissime perplessità perché era in chiaro contrasto con le prescrizioni normative del Codice allora vigente.
Sotto la sua presidenza, tuttavia, il collegio è stato capace di regalare moltissimi dei provvedimenti che ancora oggi risultano efficaci sia per tutelare gli interessati, sia per aiutare i titolari a rispettare le norme cogenti, si pensi alle Linee Guida sul Dossier sanitario e fascicolo sanitario, e alle prescrizioni in tema di Data breach che sono venute prima ancora delle norme Europee.
E ora?
Come detto in frontespizio sta prendendo corpo l’ipotesi che il candidato più credibile sia Ignazio La Russa. Ignazio La Russa è parlamentare dal 1992 ed oggi è vicepresidente del Senato, di professione fa l’avvocato.
Per obbedire alle regole dell’art. 53 del Regolamento il Parlamento ha pubblicato l’elenco dei candidati al Collegio dell’Autorità Garante, con il relativo Curriculum.
Il Curriculum di Ignazio La Russa non mostra nessuna attività relativa alla protezione dei dati personali, non sono evidenziate che le sue attività politiche (anche prestigiose e rilevanti) che però non hanno mai riguardato i temi della protezione dei dati personali, l’uso degli strumenti elettronici o le misure di sicurezza telematiche e informatiche.
Anzi, come sottolinea Fabio Chiusi su Valigia Blu in molte occasioni l’avvocato La Russa ha preso posizioni del tutto atipiche rispetto agli operatori del settore, che in alcuni casi contrastano molto fortemente (e criticamente) con le linee di indirizzo degli esperti e delle Autorità di controllo.
Cosa aspetta il nuovo collegio dell’Autorità Garante Privacy ?
Tutto questo avviene mentre un lavoro titanico aspetta l’Autorità di controllo nei prossimi anni. Ho provato a mettere insieme un paio di questioni cruciali da qui al 2026:
- Come operare sulla così detta data retention che la giurisprudenza comunitaria avversa rispetto a molte norme nazionali?
- Come tutelare la presunta neutralità della rete? Oppure, come accettare la sua non neutralità?
- Come definire nuove misure di sicurezza obbligatorie? Che inter relazione si dovrà avere tra le norme cogenti e le norme volontarie ISO?
- Come intervenire sui dispositivi sanitari per cui si attende un regolamento Europeo? Cosa dire sul concetto di dato personale in rapporto ai big data?
- L’esplosione di URI che divengono dati personali e l’esplosione di metadati deve essere contrastata o regolata? E come eventualmente si pensa di regolarla?
- Cosa hanno da dire i candidati sul riconoscimento facciale? Come conciliare l’inarrestabilità della tecnica con le norme che erano state definite in campo Europeo?
- C’è un giudice a Berlino? Tra le ultime riflessioni illuminanti di Rodotà che ho sentito c’erano queste, come facciamo ad arginare il trasferimento dei dati all’estero?
L’avvocato Ignazio La Russa (ma non solo!) dovrebbero esprimersi in modo esplicito e chiaro su questi punti, perché la procedura di selezione dei componenti (e non solo del presidente!) dovrebbe tenere conto non tanto di nomi, quanto di curriculum, chiare esperienze e, se non altro, almeno della capacità di organizzare, ora, un discorso sui temi caldi della materia.
