In queste settimane si parla molto del futuro collegio del Garante per la protezione dei dati personali. Purtroppo, dalla cronaca giornalistica si ha la sensazione di una vicenda incentrata sulle nomine e sui nominati più che sulla strategia che dovrebbe esserne d’ispirazione. Eppure, il collegio che verrà rappresenta una scelta che, per molti versi, è cruciale.
Una scelta cruciale per il sistema Paese
Lo è per le imprese, molte delle quali ancora non hanno chiaro come interpretare vari obblighi posti dal GDPR e vedono adottate le prime sanzioni amministrative in stile GDPR.
Lo è per le amministrazioni, che in molti casi vivono la tensione fra una progressiva espansione dell’e-government e delle smart cities, da un lato, e la complessità della gestione dati che questo comporta, dall’altro.
Lo è per i professionisti, spesso costretti a triangolazioni fra norme varie, linee guida europee ed internazionali, e provvedimenti nazionali.
Lo è, più in generale per il Paese, perché un’autorità forte e protagonista sullo scenario internazionale non può che facilitare, in una dinamica di sana competizione regolatoria, la realtà nazionale.
Per questo il dibattito non dovrebbe essere tanto sulle nomine, quanto piuttosto sul ruolo dell’autorità.
Un’autorità per il post-Gdpr
Quale autorità vogliamo per il post-GDPR? Perché il GDPR è una linea di demarcazione, oltre la quale si apre un modello diverso con sede sempre più a Bruxelles e a Lussemburgo, e sempre meno a Roma. Un modello di relazioni internazionali e di ricadute delle decisioni assunte da altre autorità. Un modello molto più integrato e corale, che dovrà confrontarsi con le sfide regolatorie poste dai business models dei grandi colossi – principalmente extra-EU – dell’economia digitale, mostrando autorevolezza ed autonomia. Si delinea, dunque, un contesto in cui è importante che l’autorità italiana non solo continui ad avere la voce che, nel tempo, ha più volte avuto in tanti contesti, ma che potenzi tale voce.
Il Garante è però anche l’autorità nazionale, quella che più che sanzionare deve accompagnare imprese ed amministrazioni nell’adempiere alla normativa. Le molte professionalità di cui dispone sono una risorsa preziosa che andrebbe potenziata per accrescerne la penetrazione nel tessuto sociale. Un regolatore più vicino ai regolati, con cui è possibile dialogare, magari anche grazie ad un certo grado di decentramento, costituisce indubbiamente un’importante risorsa per quanti debbono adempiere alla normativa tutti i giorni.
La politica, chiamata a decidere, dovrebbe tener conto di queste sfide e tenere a mente che esiste una comunità di regolatori ed una comunità di esperti in materia di protezione dei dati di respiro internazionale che guarderà alle scelte poste in essere non con gli occhi dell’opportunità, ma con quelli dell’expertise ed indipendenza apportate. Una comunità che potrebbe rimanere, dunque, stupita da scelte poco in linea con le sfide che la dimensione ormai globale della regolamentazione dei dati oggi pone e, sempre più, porrà negli anni a venire.
Alessandro Mantelero
Professore associato di Diritto Privato, Politecnico di Torino
Rapporteur su AI e tutela dei dati personali, Consiglio d’Europa – Consultative Committee of Convention 108
