Il passaggio di Helen Dixon dalla Data Protection Commission irlandese allo studio legale Mason Hayes & Curran ha generato in pochi giorni una reazione immediata nella comunità della privacy europea. L’annuncio, affidato a un post su LinkedIn, ha raccolto centinaia di commenti critici da parte di professionisti e attivisti per i diritti digitali: Dixon ha guidato la DPC per un decennio, diventando la principale responsabile dell’applicazione del GDPR nei confronti delle più grandi piattaforme tecnologiche mondiali, e Mason Hayes & Curran è lo studio che ha assistito Facebook nei procedimenti davanti alla stessa autorità che lei dirigeva.
Dieci anni di enforcement e il profilo dello studio che la accoglie
Dixon ha guidato la DPC dal 2014 al 2024, periodo in cui l’Irlanda si è trasformata nell’hub regolatorio di riferimento per le Big Tech presenti nell’Unione europea. Il meccanismo dello “sportello unico” del GDPR assegna la giurisdizione primaria all’autorità del paese in cui un’azienda ha il proprio stabilimento principale nell’UE: Dublino, scelta da Meta, Apple, Google, Microsoft, TikTok e LinkedIn per ragioni fiscali prima che per la qualità del suo ecosistema istituzionale, ha finito per concentrare nelle mani della DPC una responsabilità di vigilanza senza precedenti per portata globale. Sotto la direzione di Dixon, l’authority ha emesso sanzioni per circa tre miliardi di euro, inclusa la multa record da 1,2 miliardi inflitta a Meta nel 2023 per i trasferimenti di dati personali verso gli Stati Uniti. Di quella cifra complessiva, appena venti milioni risultano effettivamente riscossi, per via dei ricorsi giudiziari ancora pendenti che congelano l’esecutività delle decisioni più rilevanti. Dopo aver lasciato la DPC all’inizio del 2024, Dixon ha ricoperto per circa un anno un incarico alla Commission for Communications Regulation, da cui si è dimessa nel febbraio 2025. Il suo ingresso in Mason Hayes & Curran segna il primo approdo nel settore privato dopo quasi diciotto anni trascorsi in ruoli regolativi pubblici, portando con sé una conoscenza diretta dei meccanismi decisionali interni alla DPC e delle dinamiche operative dei procedimenti cross-border che nessun curriculum alternativo potrebbe replicare.
Lo studio, dal canto suo, dichiara pubblicamente di essere il “standing EU privacy counsel” di Facebook e di aver assistito il gruppo Meta nelle audit condotte dalla stessa DPC durante gli anni in cui Dixon era commissaria. In passato aveva anche sponsorizzato eventi pubblici a cui Dixon partecipava in carica.
Revolving door e credibilità dell’enforcement europeo sulla privacy
Mason Hayes & Curran ha precisato che Dixon non si occuperà di dossier nei quali aveva avuto un ruolo decisionale durante i suoi mandati precedenti. La clausola, però, non prevede meccanismi di verifica indipendenti né controlli pubblici sull’effettivo rispetto dell’impegno assunto, e su questo punto si concentra buona parte delle critiche emerse online.
Il fenomeno del revolving door – il passaggio di figure apicali tra autorità pubbliche di vigilanza e soggetti privati operanti nello stesso settore – è da anni al centro del dibattito sulla governance istituzionale in Europa, ma acquista una rilevanza particolare nel contesto della regolazione digitale, dove la complessità tecnica dei procedimenti rende il patrimonio informativo accumulato da un regolatore di lungo corso un vantaggio competitivo difficilmente neutralizzabile con dichiarazioni formali di incompatibilità. Chi ha trascorso un decennio a costruire e gestire i procedimenti più delicati della storia del GDPR conosce non solo le norme, ma i ritmi interni delle istruttorie, le soglie di tolleranza delle decisioni collegiali, le posizioni dei singoli membri dell’EDPB sui casi controversi: una mappa operativa che nessun documento pubblico trascriverebbe per intero. Il dibattito si inserisce in un momento di pressione sull’enforcement europeo: gli anni di procedimenti rallentati da contenziosi giudiziari e le tensioni tra la DPC e gli altri regolatori dell’EDPB hanno già alimentato perplessità sulla tenuta del sistema, proprio mentre il quadro normativo si amplia con l’AI Act e il Digital Services Act, due strumenti che aumentano le responsabilità delle authority e rendono la percezione di indipendenza dei regolatori un fattore con peso diretto sulla legittimità delle decisioni adottate. La DPC procede intanto con la nuova governance collegiale insediata nel 2024, con Des Hogan alla presidenza, mentre restano aperti diversi procedimenti su TikTok e Meta ancora in fase di istruttoria.
Il post su LinkedIn di Dixon ha raggiunto 141 commenti e oltre 950 reazioni nelle prime ore dalla pubblicazione, con una risposta che, per intensità e provenienza, va ben oltre la normale attenzione riservata agli annunci di carriera nel settore legale.
