温斯顿史密斯的大幅海报 la paranoia è una virtù 2026-001

A/"Voi non vedete quello che io vedo ogni giorno nei fascicoli." Cinquantotto ricorsi presentati al Garante da una singola persona in un singolo anno? Spam, cookie non rispettati, mail non desiderate, telecamere in condomini. Questioni minori, certo, ma sistemiche. Il punto non è la singola mail. È il pattern: alcuni ricorsi vengono processati in pochi mesi, altri languiscono. Tre dirigenti di un'azienda licenziati ricevono tre decisioni coerenti del Garante. Un quarto dirigente, caso identico, riceve una decisione opposta un mese fa. Che cosa cambia? Forse è questione di opportunità mediatica. Forse di relazioni personali con i componenti del collegio. O forse il Garante semplicemente cambia orientamento senza spiegare i criteri di cambio.

E poi c'è la comunicazione. I componenti del collegio esprimono pubblicamente le loro opinioni su social media, in convegni, su piattaforme controllate dalle stesse aziende che poi dovranno controllare. Un membro del collegio dichiara settimane prima del voto cosa pensa di un caso. Poi nella seduta decide, o si astiene. Ma ha già influenzato l'orientamento degli altri tre. Non è colpa professionale nel senso penale. È qualcosa di più insidioso: è la violazione strutturale del principio di imparzialità. I processi si fanno in tribunale, non su Instagram.

La malattia è qui: dentro questo istituto, in queste procedure, in questa permeabilità tra collegio e uffici, tra dichiarazioni pubbliche e votazioni private.

B/"Voi state guardando i sintomi. Guardate il corpo intero." È vero, gli errori procedurali esistono. Ma perché? Perché al Garante è stato assegnato un compito impossibile. Centocinquantacinque dipendenti gestiscono non solo cinquantotto ricorsi dal cittadino — che forse avrebbero potuto rimanere competenza dei tribunali ordinari — ma anche consulenze sul PNRR, pareri preventivi (fino al 2021), dialogo con le autorità europee, monitoraggio degli algoritmi, analisi di leggi in corso di approvazione.

Il Garante è una porta girevole: da una parte entra lo spam di un cittadino, dall'altra il decreto capienze del Governo che smantella i suoi stessi poteri. Mentre gestisce il reclamo minore, qualcuno sottrae al Garante la capacità di dire no alle scelte pubbliche più pericolose. Non è una questione di collegio bravo o cattivo. È una questione di struttura. Un'autorità che protegge un diritto fondamentale — come recita la Carta UE all'articolo 8 — non può funzionare con la logica di un'agenzia amministrativa ordinaria, o di un tribunale bagatterale.

Il vero problema non è la disparità di trattamento nei vari ricorsi. Il vero problema è che mentre il Garante si consuma su spam e cookie, lo Stato smonta i poteri di controllo sugli algoritmi, sulla sorveglianza, sul mercato ma soprattutto sullo Stato stesso: sul Grande Fratello - che, per dirne una, sta piazzando telecamere con riconiscimento facciale ovunque nel silenzio di tutti. Il nemico quindi non è dentro il Garante. È il disegno che lo circonda.

A/B/"Come vi mettete d'accordo?" La risposta è che non è una questione di accordo. Entrambe le visioni colgono il vero. Il Garante ha procedure opache e criteri incoerenti — questo è un fatto. Ma anche: il Garante non ha mai avuto gli strumenti per fare il suo vero lavoro — questo è altrettanto vero.

La critica puntuale chiede trasparenza e coerenza. Giusto. Ma se il Garante continua a gestire i ricorsi minori mentre il Governo gli sottrae il potere di consultazione preventiva, la trasparenza interna non cambierà il risultato: uno strumento di protezione svuotato di potere reale.

La ricostruzione sistemica chiede nuove strutture giuridiche — forse una Corte costituzionale della privacy, forse una redefizione radicale dei compiti. Giusto. Ma senza agire contemporaneamente su trasparenza e incoerenza interna, l'istituzione nuova erediterà gli stessi vizi.

Forse non servono entrambe Ma certamente serve urgenza su entrambe. Serve che chi governa smetta di nascondere il disarmo del Garante dietro gli aumenti di stipendio.

Sei interventi normativi dal 2021 a oggi hanno progressivamente svuotato di significato i poteri di controllo del Garante sulla pubblica amministrazione. Non si tratta di episodi isolati. È una strategia coerente, articolata nel tempo, costruita con precisione chirurgica.

Il decreto capienze dell'ottobre 2021 rappresenta il momento di massima vulnerabilità. Non per il Garante come persona — il collegio ha i suoi meriti e i suoi difetti — ma per il sistema di protezione dei dati che avevamo costruito. Fino a quel momento, la regola era semplice e costituzionalmente solida: se la pubblica amministrazione voleva trattare dati personali per finalità di interesse pubblico, doveva ancorare quella scelta a una norma di legge primaria. Consultazione preventiva obbligatoria al Garante nei casi ad alto rischio. Funzionava. Abbiamo bloccato l'App IO quando le garanzie non c'erano. Abbiamo chiesto correzioni sul Green Pass prima della sua implementazione. Questa era una forma di giusto processo — il Garante non diceva no per principio, ma verificava che le scelte pubbliche rispettassero i diritti fondamentali.

Dopo il decreto capienze, tutto cambia. La pubblica amministrazione può trattare dati "sempre, se necessario per l'adempimento di un compito svolto nel pubblico interesse". Sono poche parole, ma svuotano la norma di contenuto reale. Chi decide cosa sia "necessario"? La PA stessa. Chi fissa le finalità? La PA stessa, mediante atti amministrativi generici, senza passare per il Parlamento. E il Garante? Non interviene più in via preventiva. Lo hanno tolto di mezzo.

Cosa accade in parallelo? Lo stesso decreto che disarma il Garante alza gli stipendi del collegio. Perfeziona il meccanismo: non è ricatto esplicito, è più raffinato. Ti do quello che vuoi — compensi tra i massimi d'Italia — ma in cambio non mi disturbi. Non è un complotto. È semplicemente la logica del potere che difende se stesso: se uno strumento di controllo è scomodo, non lo abolisci formalmente — quello costringherebbe il Parlamento europeo a parlarne. Lo neutralizzi. Lo lasci esistere sulla carta, ma gli togli i denti.

Negli anni successivi, altre modifiche che incidono sul Garante consolidano il risultato. Ognuna sembra marginale ma lette insieme costruiscono un paesaggio in cui il Garante privacy — un'autorità che dovrebbe stare al centro della protezione costituzionale del diritto fondamentale ai dati — diventa sempre più periferico rispetto al vero potere: quello dello Stato.

Il vero nemico non è il collegio che commette errori di comunicazione o conflitti di interesse. Il vero nemico è una visione del potere pubblico che non sopporta controlli strutturali. E lo affronta, non abolendoli, ma trasformandoli in organismi decorativi. Questo è ciò che non possiamo permetterci.

\vspace{3cm}

Negli anni Settanta accadde qualcosa di straordinario nelle aule giudiziarie italiane. Gli avvocati disponevano di nuove norme che tutelavano il diritto del lavoro: lo Statuto dei Lavoratori, del 1970, fu il punto d'arrivo d'un importante percorso. Ma furono i giudici, insieme alla comunità forense, a costruire una giurisprudenza che diede vita e sostanza alla tutela dei lavoratori. Passo dopo passo, sentenza dopo sentenza, il diritto del lavoro divenne vivo. Divenne cultura comune che si diffuse nella società.

Oggi, la protezione dei dati personali non gode di nessun vantaggio simile. Anzi, il sistema è strutturato per scoraggiare il ricorso giudiziario.

Un cittadino la cui privacy viene violata da una grande piattaforma digitale — Google, Meta, Amazon — o, a maggior ragione dallo Stato, si ritrova di fronte a un calcolo economico sconfortante. L'azione legale costa migliaia di euro. I danni riconosciuti dalla giurisprudenza italiana sono simbolici. La Corte di Cassazione ha persino invocato il principio di solidarietà costituzionale per giustificare la tolleranza di lesioni "minime" al diritto alla privacy. Qual è il messaggio? Che la violazione massiccia dei dati, se distribuita su milioni di persone in dosi "piccole", rimane conveniente per chi la perpetra. Per lo Stato? Convenientissima!

Negli Stati Uniti esistono i danni punitivi — importi che non solo compensano il danno specifico ma scoraggiano il comportamento scorretto. In Europa non c'è niente di simile. Il risultato è una scommessa giuridica perfettamente razionale: violo i diritti, pago qualche multa amministrativa (già prevista dal GDPR), e i costi rimangono marginali rispetto ai profitti della sorveglianza. Il mercato scarica i costi sugli utenti, lo Stato sui cittadini.

La via amministrativa — il Garante — doveva colmare questo vuoto. Ma il Garante è stato progressivamente svuotato. Rintanato nella gestione di reclami minori, privo di strumenti di controllo preventivo sullo Stato, assorbe l'energia dell'istituzione senza proteggere i veri rischi sistemici.

Il risultato è una doppia chiusura: né il tribunale civile funziona (costa troppo, paga poco), né l'autorità amministrativa funziona (è stata disarmata). La privacy diventa un diritto fondamentale sulla carta, abbandonato nella pratica.

Ricalibrare questo scenario richiede interventi concreti: l'introduzione di danni punitivi nel diritto italiano, la semplificazione dei ricorsi collettivi, la ridefinizione dei compiti del Garante verso i rischi sistemici piuttosto che i reclami individuali. Ma richiede anche una consapevolezza culturale che al momento manca: quella secondo cui il diritto alla protezione dei dati non è un'aggiunta normativa, ma un fondamento della democrazia contemporanea.

Gli avvocati e i giudici degli anni Settanta avevano la consapevolezza che proteggere il lavoro era essenziale. Oggi, forse, c'è bisogno di far crescere la consapevolezza dell'importanza della tutela dei dati personali, ma possiamo contare su norme europee solide — il GDPR esiste. Certamente manca la volontà politica di creare le condizioni per riportare questa tutela dentro le aule giudiziarie, come accadde allora per il lavoro.

Forse il vero imputato è qualcun altro!

Questa però non è una difesa ingenua. I problemi sono reali. Le comunicazioni avventate sui social media, i conflitti di interesse non gestiti, la permeabilità tra collegio e uffici — tutto questo esiste e nessuno lo nega. Ma esiste per una ragione strutturale che nessuno vuole affrontare: il Garante per la protezione dei dati personali è stato costruito male fin dall'inizio.

Non è un'autorità amministrativa ordinaria. Non è Consob, non è AGCM, non è Banca d'Italia. Queste autorità controllano mercati, competenze tecniche, settori economici specifici. Il Garante privacy no. Però è l'unica ad avere una base costituzionale. L'articolo 8 della Carta dei diritti fondamentali dell'Unione Europea non dice che uno Stato deve istituire un'agenzia per la privacy. Dice che il diritto alla protezione dei dati personali deve essere tutelato da un'autorità indipendente. Questa è una locuzione costituzionale, non amministrativa. Significa che stiamo parlando di un organo che protegge un diritto fondamentale — come la libertà di espressione, il diritto alla vita, la dignità personale.

Quando uno Stato crea un organo deputato a proteggere diritti fondamentali, non può usare lo schema dell'agenzia ordinaria. Dovrebbe fornire garanzie costituzionali: procedure di giusto processo, indipendenza vera, controllo democratico. Invece, il legislatore italiano ha fatto un ibrido impossibile: ha preso il modello anglo-sassone delle independent authorities, l'ha adattato superficialmente al diritto continentale, e l'ha piazzato dentro un ordinamento che non sa come gestirlo.

Risultato: un mostro giuridico. Il Garante è troppo potente per essere lasciato senza controlli — e infatti non ha controlli adeguati. Ma è anche troppo debole per fermare il potere vero. Non ha il rango di una corte costituzionale, non ha l'indipendenza garantita di un tribunale, non ha gli strumenti di chi sta al vertice della gerarchia istituzionale. Vive in uno spazio ibrido, dove accumula potere formale ma rimane vulnerabile al potere reale dello Stato.

Il Governo vuole eliminare i suoi poteri? Non lo abolisce. Lo disarma, anzi letteralmente lo disarticola, articolo per articolo, decreto per decreto. Però lo stesso decreto che riduce le sue competenze alza gli stipendi del collegio così nessuno può dire che lo Stato lo vuole distruggere — anzi paga bene. Ma gli ha tolto i denti. E non uno dei commissari l'ha detto!

Questo non è colpa del collegio attuale. Poteva essere composto da giuristi della massima levatura, e il problema sarebbe rimasto identico. È colpa di chi ha disegnato l'istituzione senza dare una risposta alla domanda fondamentale: come si protegge un diritto fondamentale in uno stato democratico? Con un'agenzia amministrativa? Con un organo giurisdizionale? Con un parlamento specializzato? Con una combinazione di questi?

Il processo che stiamo facendo al Garante è simbolico, non sostanziale. Stiamo cercando di punire l'istituzione per i sintomi di una malattia che l'ha infettata alla nascita. Il collegio attuale avrà commesso errori — probabilmente sì. Ma il vero imputato è il sistema che ha creato uno spazio di potere senza garanzie costituzionali adeguate, senza chiarezza su cosa debba fare, senza strutture che lo permettano di funzionare.

Finché continueremo a pensare al Garante come a un'autorità amministrativa che deve essere più trasparente, più coerente, più efficiente — e basta — non affronteremo il nodo vero. Il nodo è che abbiamo consegnato la protezione di un diritto fondamentale a un istituto costruito su categorie sbagliate.

O ripensiamo l'istituzione dalla base — la sua natura giuridica, i suoi compiti, la sua collocazione nell'ordinamento — oppure continueremo a processare i collegi successivi, ottenendo solo simboli di responsabilità senza cambiamenti veri.

Il Garante non merita questo processo. L'ordinamento merita una risposta seria sulla domanda che non ha mai voluto porsi.