di Riccardo Tripepi
È stato un mese in cui l’Autorità Garante per la protezione dei dati personali si è trovata, paradossalmente, al centro proprio di quel tipo di esposizione mediatica da cui, per istituzione e mandato, dovrebbe restare immune. Una fase in cui si sono intrecciati più livelli. L’inchiesta televisiva di Report e le ricostruzioni dei quotidiani, tensioni interne mai sperimentate prima, la sofferenza del personale che ha portato alle dimissioni del segretario generale e infine la notizia di un’indagine della procura sui presunti accessi ai computer dei dipendenti alla ricerca di una “talpa”.
Una “tempesta perfetta”, come la definisce Guido Scorza, componente del Collegio dell’Autorità Garante, non per la gravità dei singoli episodi, almeno stando alla sua versione, ma quanto per la loro simultaneità e per l’effetto cumulativo sulla percezione pubblica dell’istituzione.
Tutto questo accade in uno dei momenti più intensi della storia recente della privacy con l’annuncio del Digital Omnibus che rischia di comprimere diritti e tutele sull’altare della competizione geopolitica. Un periodo che Scorza ripercorre così.
Comincerei dalla ricostruzione del quadro di insieme, per quanto possibile. Negli ultimi mesi l’Autorità è stata al centro di una vicenda che ha combinato l’inchiesta televisiva di Report, il racconto dei quotidiani, tensioni interne e ora la notizia di un’indagine della procura su presunti accessi ai pc dei dipendenti. Come si arriva a questo punto?
La necessaria premessa è che, come dico spesso, sono solo un quarto del Collegio del Garante e, quindi, rispondo a titolo esclusivamente personale. È stato un mese intenso, difficile da riassumere in poche battute. L’inchiesta televisiva, gli articoli sui giornali, le reazioni della politica e poi le questioni interne, quelle con il personale. Una storia che, forse, un giorno sarà interessante raccontare dal principio e nei dettagli. Parlerei di una tempesta perfetta il cui innesco è stato un’inchiesta giornalistica, quella di Report. Qui voglio essere assolutamente chiaro e evitare ogni equivoco. L’ho detto, scritto e continuo a pensarlo anche dopo l’ultima puntata di domenica scorsa. La stampa fa il suo lavoro, ed è giusto che lo faccia. È sacrosanto che il giornalista si ponga delle domande, cerchi delle risposte, provi a verificarle, , e poi le racconti. Ed è ancora più sacrosanto quando questo avviene in relazione all’attività di un’autorità pubblica, alle sue scelte, all’agire dei suoi vertici. Bene che la stampa faccia la stampa. Lo penso da sempre e non cambio idea semplicemente perché, in questo caso, alcune delle cose che vengono scritte o dette, e che secondo me non sono vere o non sono esatte, riguardano direttamente me. La stampa, in principio, resta per me una pietra angolare della democrazia.
A quali notizie si riferisce quando dice che avrebbero meritato maggiore attività di verifica, che sono false o inesatte?
Parlo, naturalmente, delle notizie che mi hanno riguardato direttamente, poche per la verità. La contestazione più rilevante che mi è stata mossa, probabilmente nata sui social e raccolta un po’ frettolosamente dalla stampa, è stata quella del conflitto di interessi potenziale che avrei avuto quando lo Studio legale del quale sono stato un fondatore si è trovato a assistere dei titolari del trattamento davanti al Garante.
Mi è dispiaciuto dover prendere atto che non ci si è fermati davanti alla circostanza provata che ho lasciato definitivamente quello Studio prima di entrare al Garante, recedendo dall’associazione professionale che lo gestisce, a quella che lo Studio in questione è stato coinvolto in provvedimenti adottati dal Collegio, in dodici casi, sui duemila e seicento decisi in questi cinque anni e al fatto che, ogni qualvolta ho avuto notizia del suo coinvolgimento, mi sono astenuto o non ho partecipato al voto.
E mi sono rammaricato di veder diventare un caso nazionale quello della Asl di Avezzano, un’ipotesi nella quale non ho partecipato a un voto che è comunque stato assunto all’unanimità dei partecipanti con la conseguenza che se anche avessi votato, il mio voto sarebbe stato indifferente. Mi è sembrato un po’ un inseguimento di una tesi precostituita, contro l’evidenza e contro la prova contraria. Ma pazienza. E lo stesso rammarico ho provato lo scorso week end quando si è giunti a ipotizzare che un intero Collegio sia entrato nell’Autorità in un giorno di festa assieme a un manipolo di uomini per compiere furtivamente chissà quale attività di spionaggio in danno del personale del Garante. Parlo per me. Come ho già detto, spiegato e documentato, sono entrato nel mio ufficio per tre minuti e da solo. Francamente costruire l’ennesimo caso su un episodio, almeno per quel che mi riguarda, completamente falso, mi è sembrata una forzatura evitabile. Ma ripeto, grande rispetto per i giornalisti che, mi auguro, abbiano detto e scritto quello che hanno detto e scritto dopo aver verificato le fonti.
E per quanto riguarda le questioni con il personale e la richiesta di dimissioni?
Io ho già scritto e detto, e lo ribadisco, che considero assolutamente naturale ciò che è accaduto nell’assemblea del personale del venti novembre. Se sei un funzionario di questa Autorità, e ti senti dire che il segretario generale avrebbe chiesto di accedere alle tue mail e ad altri dati che ti riguardano, non puoi restare sereno, anzi non devi.
Provi sofferenza, provi dolore, ti senti leso nella fiducia e nella dignità, e chiedi le dimissioni del vertice. Se fossi stato seduto dall’altra parte, avrei fatto esattamente la stessa cosa.
E adesso come immagina che l’Autorità possa venire fuori da questa fase?
Ora bisogna uscire dalla tempesta perfetta. Rimediare ai danni che, a torto o a ragione. inchieste e questioni interne hanno prodotto e continuare a lavorare come credo di aver fatto in questi cinque anni, senza sosta, con determinazione e passione.
Non vedo l’ora. Sono un inguaribile ottimista e, francamente, credo che sia un obiettivo raggiungibile su entrambi i fronti. Non sarà facile e, naturalmente, non mi aspetto delle scuse da quella parte dei media e dell’opinione pubblica che, credo, onestamente, è stata un po’ affrettata in certi giudizi. È anche la ragione per la quale, di recente, ho detto che, almeno per ora, non ho intenzione di dimettermi pur avendoci pensato più volte in quest’ultimo mese.
“Per ora” vuol dire che non si dimette in attesa di verificare ulteriori aspetti di quanto sta avvenendo?
Voglio dire che la mia non è una risposta scolpita nella pietra. Non sto dicendo “non mi dimetterò mai”, sto dicendo che non lo faccio per ora. E non credo lo farò mai perché me lo chiede la politica, o perché me lo si chiede mediaticamente.
Credo farlo sarebbe un errore, non tanto per me, ma per il sistema delle Autorità indipendenti. Guai se bastasse un’inchiesta giornalistica o la richiesta di una o più forze politiche per mettere in dubbio la legittimazione di un componente a continuare a fare il proprio lavoro. Questo, naturalmente, nella misura in cui l’inchiesta giornalistica non faccia emergere responsabilità oggettive che, per quanto mi riguarda, non mi sembra siano emerse. Se passasse l’idea che un componente di un’Autorità indipendente può essere spinto fuori dal suo ruolo a colpi di inchieste giornalistiche o di campagne mediatiche, potremmo dire addio all’indipendenza delle Autorità per i prossimi decenni. Basterebbe riprodurre un mese come questo ogni volta che l’Autorità prende un provvedimento scomodo per un governo o per un grande attore economico, ed ecco che la garanzia dell’inamovibilità diventerebbe carta straccia. Io questo non lo considero accettabile, né per me né per chi verrà dopo di me. Il discorso delle dimissioni richieste dalle persone con le quali lavoro è diverso. Se non riuscissi a recuperare la loro fiducia, chiarendo l’accaduto e impegnandomi a far meglio potrei valutare un passo indietro. E lo stesso potrebbe accadere se, davanti allo specchio e solo con la mia coscienza, mi convincessi che il mio passo indietro è utile a un’Autorità alla quale sono visceralmente legato da prima di entrarvi.
Questa tempesta perfetta come lei la definisce, però, sembra avere minato pesantemente la credibilità dell’Autorità nell’opinione pubblica anche sul fronte dell’indipendenza dalla politica…
Probabilmente lo ha fatto. Ma non è una delle contestazioni che mi sono visto muovere e, quindi, dell’indipendenza o mancanza di indipendenza dalla politica non parlo.
Esiste, però, quantomeno una questione di indipendenza percepita…
Sì, ma sottolineo la parola “percepita”, perché, in questi cinque anni, io non ho mai avvertito un problema di indipendenza effettiva o di autorevolezza effettiva dell’Autorità. Nei fatti, credo, abbiamo dimostrato esattamente il contrario. Penso, per esempio, all’avvertimento sul Green Pass. Il primo e unico in Europa che un’Autorità per la protezione dei dati abbia rivolto a un governo. Penso allo stop a OpenAI, anche quello primo e unico in Europa. Questo non significa che abbiamo sempre avuto ragione, ma significa che non abbiamo avuto paura di esercitare la nostra autonomia e indipendenza né nei confronti del potere politico né nei confronti del potere economico.
Dal punto di vista dell’indipendenza sostanziale, quindi, personalmente, mi sento sereno. L’indipendenza percepita è un’altra cosa rispetto a quella effettiva. Una certa immagine, un certo racconto, certe insinuazioni, i conflitti di interessi “sedicenti” con uno studio che non frequento più da anni, una vicenda come quella di Meta, possono minare la percezione che gli stakeholder, i cittadini, gli operatori hanno dell’Autorità. Questo è ciò che è accaduto: una flessione, appunto, della credibilità percepita. E, personalmente, sono determinato a fare il possibile per rimediare. È un mio dovere, innanzitutto, davanti alle donne e agli uomini che lavorano in Autorità e che continueranno a lavorarvi quando io sarò uscito.
Uno dei passaggi più forti dell’ultima puntata di Report riguarda i presunti accessi ai pc dei dipendenti e la “caccia alla talpa”. Si parla di persone entrate negli uffici dell’Autorità di notte, anche lei tra gli altri, addirittura di qualcuno che avrebbe dormito negli uffici. E’ una ricostruzione fedele di quanto avvenuto?
Questa è, con ogni probabilità, la ricostruzione più inverosimile di tutte. Io so di essere entrato in Autorità in quella circostanza per tre, quattro, cinque minuti. I miei colleghi mi hanno detto, e lo hanno messo nero su bianco, di non essere mai entrati. E in alcuni casi so con certezza che non erano nemmeno a Roma. L’idea che qualcuno, accompagnato da noi, abbia avuto addirittura bisogno di pernottare dentro l’Autorità, di passare la notte qui o di lavorare fino all’alba alla ricerca di non si sa bene che cosa, francamente mi sembra inverosimile. Se mai fosse accaduto – e, appunto, lo escluderei – io non c’ero e non ne ho mai sentito parlare. Detto questo, non voglio eludere una questione importante della quale non parla nessuno: se il vertice di un’Autorità si rende conto che i propri uffici sono diventati permeabili all’esterno, credo abbia il dovere di interrogarsi su quanto accade e, soprattutto, di cercare soluzioni per il futuro. Il punto non è – come si è scritto – “dare la caccia alle talpe” per evitare che passino informazioni sensibili ai giornalisti perché facciano il loro lavoro. Il punto è scongiurare il rischio che la stessa permeabilità poi mini il funzionamento dell’Autorità consegnando alla politica, al mercato, all’industria, a terzi non autorizzati ogni genere di informazione. Ecco mi sarebbe piaciuto che qualcuno si fosse interrogato anche su questo. Ma questo non ha, naturalmente, niente a che vedere con iniziative potenzialmente capaci di determinare condotte illecite di intromissione nella corrispondenza del personale, come quella emersa nel corso dell’assemblea dello scorso venti novembre, un’iniziativa da condannare senza riserve. Ma di quell’iniziativa non ho mai saputo nulla se non dopo che era stata già promossa e si era già, fortunatamente, rivelata infruttuosa grazie alla pronta e puntuale risposta di un dirigente dell’Autorità.
Conferma che su queste presunte “intrusioni” è stata aperta un’indagine da parte della Procura?
Non ho nessuna notizia diversa da quelle lette sui giornali, ma considero un fatto positivo l’esistenza di un’indagine della procura, se davvero esiste come è stato dato per certo. Bene che si indaghi. Non la considero un’indagine contro di me. Al contrario la considero un’indagine nell’interesse dell’Autorità. Tenderei, però a escludere qualsiasi intrusione abusiva nei sistemi informatici dell’Autorità perché ho grande fiducia nella gestione di quei sistemi da parte del nostro personale. Se fosse accaduto se ne sarebbero avveduti e ce lo avrebbero comunicato.
Questa vicenda ha riacceso anche il dibattito sulle regole di nomina del Garante. Troppa influenza da parte della politica? Immagina dei correttivi per garantire più indipendenza all’Autorità?
Io sono stato eletto dal Parlamento,. Il Parlamento è l’istituzione democratica per antonomasia. Dire che il voto del Parlamento non è un meccanismo adeguato per designare i componenti di un’Autorità indipendente significa, dal mio punto di vista, mettere in discussione la democrazia alle radici. Chi dovrebbe eleggere o selezionare i componenti di un’Autorità? Il processo di costituzione del Collegio di quest’Autorità passa oggi attraverso una procedura che, francamente, io considero robusta.: la pubblicazione dei curricula di chi si candida, la dimostrazione pubblica del possesso dei requisiti, un filtro tecnico che avviene nei gruppi parlamentari, il voto dell’Aula. Non riesco a immaginare, ad oggi, un meccanismo più solido, almeno per quanto riguarda il momento genetico di un’Autorità amministrativa indipendente.
Le garanzie più importanti, però, vengono dopo. La prima è proprio quella che in queste settimane qualcuno ha messo in discussione e cioè l’inamovibilità. Se fossimo rimovibili dalla politica o persino dal Parlamento, vivremmo il settennato, di durata del mandato sotto la costante minaccia di scontentare qualcuno e di essere rimossi per questo. L’inamovibilità è la condizione per poter adottare, se necessario, provvedimenti scomodi, sapendo che non basta un mese di fuoco mediatico per farti dimettere.
C’è poi la non rieleggibilità, che è un’altra garanzia. Non posso strizzare l’occhio a nessuno nella speranza di ottenere un secondo mandato, perché un secondo mandato è escluso dalla legge. Questo libera il componente da qualsiasi forma di “riconoscenza anticipata”.
Sulla base della mia esperienza personale, in cinque anni e mezzo io non ho ricevuto pressioni politiche. Nessuna telefonata, nessun messaggio, nessuna richiesta di intervento sul mio mandato da parte delle forze politiche che più hanno contribuito alla mia elezione. E sono tuttora convinto che la migliore garanzia di indipendenza, oltre alle regole, resti la competenza. Se dovessi immaginare un correttivo, lo immaginerei nel senso opposto rispetto a quello di cui si è parlato in questi giorni. Non meno politica, ma più competenza.
Credo che il tema vero sia la professionalizzazione diffusa dei vertici. Non basta essere “bravi” in generale, bisogna essere bravi in quello che si è chiamati a fare. Alla fine, la competenza è la più forte garanzia di indipendenza” Contro i conflitti di interesse esistono antidoti, ma contro l’incompetenza no.
Guardiamo avanti, e più in particolare a un tema centrale per il futuro dell’Europa e della stessa privacy e che Byte.Legali sta seguendo con grande attenzione. La Commissione ha avviato il percorso del cosiddetto Digital Omnibus, che interviene anche sul GDPR in chiave di semplificazione. È un’opportunità o un rischio per la protezione dei dati?
Anche qui parlo a titolo personale, perché non c’è ancora una posizione ufficiale dell’Autorità e immagino che in futuro potrà esserci una posizione comune dello European Data Protection Board, alla cui formazione parteciperemo. La mia opinione è che la stagione delle grandi leggi “monolite”, immutabili per decenni, sia finita. Non vedo nulla di scandaloso, in principio, nel fatto che si metta mano anche al GDPR, così come ad altre regolamentazioni. Anzi, se si decide di intervenire, preferisco che lo si faccia andando fino in fondo, alla radice, piuttosto che con piccoli ritocchi cosmetici. L’obiettivo di semplificare è, in sé, condivisibile. Mi dispiace soltanto che si parli di semplificazione o di rinvio dell’entrata in vigore di regolamenti molto giovani, per i quali forse certe valutazioni avrebbero potuto e dovuto essere fatte prima. Non era particolarmente difficile immaginare che una certa infrastruttura normativa rischiasse di essere sovradimensionata rispetto alla capacità del mercato e dell’industria di assorbirla. La preoccupazione, però, è fondata. Semplificare, però, non deve significare comprimere diritti e libertà fondamentali di 500 milioni di persone che vivono in Europa, magari in nome di obiettivi geopolitici o di equilibri transatlantici. Secondo me, per esempio, la strada giusta non è quella di impoverire la definizione di “dato personale”, né di aprire scorciatoie che consentano di trattare dati per addestrare algoritmi senza adeguate garanzie. Semmai il concetto di dato personale dovrebbe essere arricchito e rafforzato, in una stagione tecnologica nella quale un dato comune, può diventare personale in pochi tap di chiunque sullo schermo di uno smartphone. Occorre invece lavorare su strumenti più concreti di controllo da parte degli interessati sui loro dati, tool reali, capaci di consegnare alle persone la possibilità di governare per davvero i propri dati, senza al tempo stesso paralizzarne la circolazione, che è nel titolo stesso del GDPR. C’è poi un tema di metodo che mi preoccupa: l’effetto annuncio. Tra il momento in cui si dichiara di voler rivedere le regole e il momento in cui quelle nuove entrano davvero in vigore, passerà del tempo. Il rischio è che mercato e industria inizino già oggi a comportarsi come se il nuovo quadro normativo fosse realtà, producendo una flessione dell’effettività dell’attuale regolamentazione in vista di un suo futuro e solo eventuale ammorbidimento. Una volta annunciata l’iniziativa, l’auspicio è che il percorso sia il più possibile rapido e trasparente, perché la zona grigia è sempre il luogo più pericoloso.
