Caso Fanizza al Garante Privacy: perché i consumatori devono preoccuparsi

La vicenda che ha travolto il Garante per la protezione dei dati personali non è una “questione interna” tra dirigenti e dipendenti. È qualcosa che riguarda direttamente tutti noi: cittadini, lavoratori, consumatori.

L’Autorità che da anni bacchetta aziende e pubbliche amministrazioni per controlli invasivi sui dipendenti è finita al centro di un caso che ha al centro proprio… una richiesta di sorveglianza interna massiva.

Come associazione di consumatori, non possiamo far finta di niente.

Che cosa è successo: la richiesta “impossibile” del segretario generale

Secondo quanto emerso, l’ex segretario generale del Garante, Angelo Fanizza, ha inviato una comunicazione interna al responsabile dei sistemi informativi, Cosimo Comella, chiedendo una raccolta straordinaria di dati su anni di attività informatica del personale dell’Autorità.

Nel dettaglio, la richiesta riguardava:

• posta elettronica;
• accessi VPN;
• accessi a cartelle condivise;
• sistemi documentali;
• sistemi di sicurezza informatica;
• verifica di eventuali sovrascritture dei log.

L’obiettivo dichiarato: individuare le “talpe” che avrebbero fatto filtrare all’esterno comunicazioni interne del Garante, finite poi in alcune inchieste giornalistiche televisive e di stampa.

Il punto è che, per come era formulata, la richiesta avrebbe comportato:

• l’accesso a fino a 20 anni di email e attività informatica del personale (dal 2001 in poi);
• la creazione di una gigantesca copia dei dati, stimata nell’ordine di circa 100 terabyte;
• un lavoro tecnico enorme, calcolato in migliaia di ore-uomo.

Tutto questo senza una richiesta dell’autorità giudiziaria e senza un chiaro perimetro di indagine.

Il “no” del dirigente IT: rischio di violazione della privacy dei lavoratori

Di fronte a questa pretesa, il responsabile dei sistemi informativi del Garante, Cosimo Comella, ha risposto nero su bianco che non poteva dare corso all’ordine.

Le motivazioni – che come associazione condividiamo in pieno – sono essenzialmente tre:

1. Indeterminatezza: la richiesta non specificava in modo chiaro ambito, periodo e categorie puntuali di dati. Sembrava più una “pesca a strascico” che un accesso mirato.
2. Profili di illiceità: raccogliere e analizzare in blocco tutti i dati delle caselle, degli accessi e dei log, senza provvedimenti giudiziari e senza adeguata informativa ai lavoratori, rischia di violare:
• la libertà e segretezza della corrispondenza tutelata dalla Costituzione;
• le norme sulla protezione dei dati personali;
• le norme a tutela dei lavoratori.
3. Contraddizione con le regole del Garante stesso: l’Autorità ha adottato di recente un provvedimento (n. 3642 del giugno 2024) che impone ai datori di lavoro di minimizzare la raccolta di dati e metadati relativi all’uso degli strumenti informatici, limitando la conservazione dei log a 21 giorni, salvo accordi sindacali diversi.

In pratica: ciò che l’ex segretario generale chiedeva al personale IT sarebbe stato in contrasto con la stessa linea interpretativa e regolatoria del Garante, che più volte ha sanzionato aziende e PA per controlli invasivi sui dipendenti.

Se un’azienda privata avesse fatto una cosa del genere, è verosimile che proprio il Garante avrebbe aperto un’istruttoria e, se del caso, sanzionato il comportamento.

Terremoto interno e dimissioni di Fanizza

La risposta negativa di Comella non ha spento il caso, anzi. Quando l’assemblea del personale dell’Autorità ha incontrato il collegio del Garante (presieduto da Pasquale Stanzione), la vicenda è esplosa pubblicamente. I lavoratori hanno chiesto l’azzeramento dei vertici.

Il risultato:

• il segretario generale Angelo Fanizza si è dimesso dopo pochi mesi dalla nomina;
• il collegio del Garante ha diffuso un comunicato in cui:
• prende le distanze dalla comunicazione di Fanizza;
• sostiene di non aver mai dato seguito a quella richiesta di dati;
• ribadisce che, secondo la propria giurisprudenza, l’accesso indiscriminato ai dati informatici dei dipendenti può costituire violazione della privacy;
• per marcare una “discontinuità”, è stato nominato un nuovo segretario generale, Luigi Montuori, dirigente storico dell’Autorità sin dalla sua fondazione.

Il presidente Stanzione, invece, ha dichiarato pubblicamente che il collegio non si dimetterà, rivendicando la piena indipendenza delle decisioni assunte dall’Autorità. LaPresse News+1

Perché questo caso è gravissimo per i consumatori

Dal nostro punto di vista, ci sono almeno quattro profili critici:

1. Credibilità dell’Autorità
   Il Garante per la protezione dei dati personali è un’autorità amministrativa indipendente incaricata di vigilare sull’applicazione del GDPR e del Codice Privacy in Italia. Wikipedia+1
   Se al suo interno emergono tentativi di sorveglianza massiva sul personale, la prima cosa che si incrina è la fiducia dei cittadini.
2. Doppio standard sui controlli ai lavoratori
   Da anni il Garante stabilisce limiti rigidi su:
• email aziendali;
• log di accesso;
• strumenti di lavoro.
  Se chi scrive le regole rischia di non rispettarle in casa propria, il messaggio per imprese e PA è devastante: “le norme valgono finché non danno fastidio”.
3. Rischio di effetto “anti-whistleblower”
   Se la reazione alle fughe di notizie è tentare di passare al setaccio tutta l’attività digitale dei lavoratori, il segnale è chiaro: chi segnala criticità o abusi rischia di finire nel mirino. Ma senza whistleblower, spesso i casi di violazione dei diritti restano sepolti.
4. Paralisi di un presidio fondamentale in piena era digitale
   Il caso esplode mentre il quadro normativo sui dati personali è in piena evoluzione (modifiche al GDPR, nuove regole su AI e piattaforme digitali). Un’Autorità sotto assedio e in crisi interna rischia di non poter svolgere con forza il suo ruolo di controllo.

Casi analoghi all’estero: cosa succede quando l’indipendenza vacilla

Purtroppo non è la prima volta che le autorità di protezione dati o organismi analoghi finiscono nel mirino per problemi di indipendenza o per scelte controverse.

Qualche esempio utile:

• Belgio – dimissioni per mancanza di indipendenza
  In Belgio, una direttrice dell’Autorità per la protezione dei dati (DPA) si è dimessa pubblicamente in segno di protesta, denunciando la mancanza di indipendenza dell’ente e sollevando il tema di possibili interferenze politiche. telecompaper.com+1
• Stati Uniti – Privacy and Civil Liberties Oversight Board (PCLOB)
  Negli USA, la Casa Bianca ha chiesto le dimissioni dei membri democratici del board che vigila sulle libertà civili e la privacy nei programmi di sicurezza nazionale. In passato, uno dei membri (Lanny Davis) si era già dimesso in polemica, denunciando il fatto che l’organismo fosse di fatto un’appendice dell’Esecutivo, privo di reale indipendenza. Axios+1
• Regno Unito – avvertimento dell’Information Commissioner uscente
  L’uscente Information Commissioner (l’equivalente del Garante britannico) ha lanciato un avvertimento pubblico contro le proposte di riforma che avrebbero rafforzato il controllo del governo sulle attività dell’ICO, sottolineando che l’indipendenza del regolatore è una condizione minima per proteggere i diritti dei cittadini. The Register

Questi casi mostrano un pattern chiaro:
quando l’indipendenza o la coerenza interna delle authority viene percepita come compromessa, le reazioni possono andare dalle dimissioni di dirigenti a dichiarazioni molto dure in difesa dell’autonomia istituzionale.

Nel caso italiano, al momento:

• si è dimesso il segretario generale coinvolto nella richiesta di sorveglianza;
• il collegio rivendica la propria estraneità e la volontà di non dimettersi.

Ma la questione, per i cittadini, resta aperta: chi controlla il controllore?

Cosa chiediamo come associazione di consumatori

Per tutelare davvero i diritti alla privacy di cittadini e lavoratori, secondo noi servono alcune mosse precise:

1. Massima trasparenza sulla vicenda
   Pubblicazione – nei limiti della legge – degli atti principali, dei pareri legali interni e dei passaggi che hanno portato alle dimissioni dell’ex segretario generale.
2. Chiarimento pubblico sulle regole interne di controllo
   L’Autorità deve spiegare:
• se esistono policy interne sui monitoraggi degli strumenti di lavoro del personale;
• come sono state finora applicate;
• come intende adeguarle in coerenza con i propri stessi provvedimenti.
3. Garanzie per chi segnala irregolarità (whistleblowing)
   È essenziale che chi lavora all’interno del Garante possa segnalare criticità senza temere ritorsioni o controlli a tappeto sui propri strumenti di lavoro.
4. Verifica esterna dell’indipendenza dell’Autorità
   Parlamento e istituzioni competenti dovrebbero valutare se l’attuale assetto garantisce davvero l’indipendenza richiesta dal GDPR alle autorità di controllo nazionali.
5. Rafforzare la fiducia dei cittadini
   Serve un impegno pubblico chiaro: nessun cittadino sarà mai sottoposto a forme di sorveglianza ingiustificata da parte di chi dovrebbe difendere i suoi diritti.

La privacy non è un dettaglio tecnico

La privacy non è un dettaglio burocratico né un tecnicismo informatico: è un diritto fondamentale che tocca lavoro, salute, vita digitale, relazioni, finanza personale.

Quando l’Autorità chiamata a difendere questo diritto mostra crepe al suo interno, i consumatori hanno tutto il diritto di pretendere:

• chiarezza,
• responsabilità,
• coerenza tra ciò che si chiede agli altri e ciò che si fa in casa propria.

Come associazione di consumatori continueremo a vigilare su questa vicenda e a raccogliere segnalazioni di cittadini e lavoratori che ritengano di aver subito violazioni della propria privacy, da parte di imprese, PA o chiunque tratti i loro dati in modo scorretto.