AgoraVox Italia

GBLOG

http://www.guidoscorza.it/

Articoli

  • PRIVACY WEEKLY 27.01.2026

    1 febbraio, di admin — Blog, Privacy weekly

    Startup Italia – Guido Scorza

    Dipendenza da social, mamme e papà contro le big tech. Perché quello in California è tra i processi più attesi al mondo

    Il fatto che i nostri figli siano considerati nativi digitali non li protegge dalle insidie del web. Così argomenta Guido Scorza, nella sua rubrica Privacy Weekly in attesa che il tribunale californiano si pronunci sulla causa intentata da un gruppo di genitori contro i più noti social network

    Inizia oggi in California quello che dovrebbe essere uno dei processi più attesi e importanti della storia dell’umanità sebbene, con poche eccezioni, giornali, radio e televisioni di casa nostra sembrino distratti o, almeno, più presi da altro.

    Il processo è quello con il quale un gruppo di genitori ha chiesto ai giudici di accertare ed, eventualmente, condannare i giganti dei socialnetwork, da Facebook a TikTok, passando per Snapchat, Discord e Google, per aver scientificamente progettato i propri servizi in modo da creare dipendenza specie negli utenti più piccoli e inchiodarli agli schermi il più a lungo possibile così da poter raccogliere più dati personali da usare per accrescere i propri utili con la pubblicità.

    Tutto questo, secondo l’ipotesi dell’accusa, nell’assoluta consapevolezza che quella dipendenza era pericolosa per i più piccoli e li esponeva a rischi enormi.

    Soldi, una montagna di soldi e potere: manipolare e guidare le scelte non solo di consumo di miliardi di persone – contro la salute, persino, dei più piccoli.

    Un’accusa gravissima. E un’accusa che non sembra peregrina. Basta rileggere oggi le parole di Sean Parker, ex Presidente di Meta, sulle pagine di Axios, nel 2017, quasi dieci anni fa: «Solo Dio sa cosa sta succedendo al cervello dei nostri figli» esposti ai social network. E non solo: «Più giovani riesci a catturarli, meglio è». Sono sempre parole sue. Ma, naturalmente, guai a sostituirsi a giudici e, come in questo caso, a giurie. Per considerare i social network responsabili di quanto è accaduto ai nostri figli e di quanto continua loro a accadere bisogna attendere l’esito del giudizio.

    Dipendenza da social, quanto è pericolosa?

    La certezza della dipendenza che i socialnetwork creano, soprattutto sui più piccoli, e dei rischi enormi ai quali questa condizione li espone, invece, già c’è senza dover attendere la fine del processo. È partendo da qui che, credo, innanzitutto da genitore, sia arrivato davvero il momento di fare di più, di fare una cosa naturalissima e, al tempo stesso, difficilissima: i genitori anche nella dimensione digitale. Molti di noi, probabilmente, hanno rinunciato da tempo.

    Ci siamo lasciati convincere che i nostri figli siano, davvero, “nativi digitali” e che, quindi, nella dimensione digitale, possano davvero fare a meno di noi. Così come quando arriviamo sul ciglio della strada e dobbiamo attraversarla ci viene naturale allungare la mano verso i nostri figli per attraversare in sicurezza, quando loro impugnano smartphone e tablet per attraversare le autostrade digitali quell’istinto non lo abbiamo. La nostra mano non gliela tendiamo e li lasciamo “attraversare” da soli le insidie del web.

    Guai a voler insegnare a chicchessia a fare il mestiere più difficile del mondo ma se trovassimo o ritrovassimo quell’istinto potremmo fare ancora la differenza perché quelle autostrade digitali sono enormemente più trafficate da un’umanità eterogenea e più pericolose di quelle fisiche delle nostre città.

    E perché quelle autostrade sono progettate più per fare il tempo e l’attenzione dei nostri figli prigionieri che per proteggerli dai rischi che questo stato di prigionia digitale determina. Online i nostri figli hanno bisogno di noi più che nella dimensione fisica mentre noi – o, la più parte di noi – li lasciamo letteralmente soli dentro quelli schermi autoconvincendoci che ci siano nati dentro e li conoscano come un pesce conosce gli abissi marini meglio di un umano.

    Non è così.

    Il processo in California

    Il processo appena iniziato in California, in questo senso, dovrebbe essere, innanzitutto, un campanello d’allarme, ci sta dicendo che quei luoghi-non luoghi digitali – a prescindere da se e quanto grave sia la responsabilità di chi li ha costruiti e li gestisce – sono pericolosi per i più piccoli. E, allora, da genitore a genitori la domanda diventa: «Manderemmo da soli i nostri figli in un luogo pericoloso?». Credo di no. O glielo proibiremmo, o gli diremmo di andare di giorno e con certe cautele o li accompagneremmo o una miscela di queste cose.

    Perché non facciamo lo stesso con i socialnetwork, con i chatbot companion, con le piattaforme di gioco che sono sempre meno simili ai videogame ai quali giocavamo noi da bambini e sempre più simili a socialnetwork nei quali utenti di tutte le età, bambini e adulti, condividono le stesse chat e le stesse esperienze semplicemente dichiarando di avere un’età diversa da quella che hanno?

    Cari colleghi genitori, dalla California, oggi, sta suonando l’ultima sveglia, quella per i ritardatari, quella per chi non ha sentito le precedenti.

    È davvero arrivato il momento di fare la nostra parte per garantire ai nostri figli di vivere nella dimensione digitale con la stessa serenità inevitabilmente relativa con la quale ci preoccupiamo, da sempre, vivano in quella fisica.

    Tocca a noi, nessuno escluso. Non esistono nativi digitali, non esistono figli-fenomeno delle tecnologie, non esistono eccezioni: un bambino è un bambino nel mondo degli atomi e in quello dei bit e ha bisogno di un adulto vicino, ha bisogno che i genitori facciano i genitori e gli tendano la mano per aiutarlo ad attraversare le strade fisiche e quelle digitali.

  • AGENDA DIGITALE | Scorza: Social vietati ai bambini in Italia: la legge calpestata

    1 febbraio, di admin — Articoli e Interviste, Articoli

    Agenda Digitale 30/01/26 – Di Guido Scorza

    In Parlamento torna l’idea di vietare i social agli under 15, ma in Italia c’è già una norma che lega l’accesso all’intelligenza artificiale al consenso dei genitori per gli under 14. Poiché i social integrano AI, il divieto di fatto c’è già. Il vero nodo è l’enforcement, con rischi su contratti, responsabilità e dati personali

    “Disposizioni per la tutela dello sviluppo psicofisico dei minori attraverso la regolamentazione dell’accesso ai servizi di social network online”.

    È il titolo della proposta di legge che starebbe per essere depositata in Parlamento a iniziativa della Lega.

    E la nuova legge prevedrebbe, tra l’altro, un divieto generale di fruizione di social network online per i minori di anni quindici.

    La nuova proposta non è originale nel suo genere perché nei congelatori del Parlamento, che conservano tutto ciò che non viene considerato politicamente prioritario o abbastanza importante, giace ancora da oltre un anno e mezzo un’altra proposta di legge bipartisan – prime proponenti Marianna Madia (PD) e Lavinia Mennuni (FdI) – di analogo contenuto.

    A prescindere, tuttavia, dalla proliferazione poco utile di queste proposte e da qualsiasi valutazione sul merito della nuova proposta, il punto è che, in Italia, una legge per tenere i più piccoli fuori dai social(e non solo) c’è già.

    Minori e intelligenza artificiale: cosa prevede già la legge italiana

    Il comma 4 dell’articolo 4 della Legge 23 settembre 2025, n. 132, Disposizioni e deleghe al Governo in materia di intelligenza artificiale,il c.d. AI Act italianostabilisce espressamente che “l’accesso alle tecnologie di intelligenza artificiale da parte dei minori di anni quattordici nonché il conseguente trattamento dei dati personali richiedono il consenso di chi esercita la responsabilità genitoriale, nel rispetto di quanto previsto dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e dal codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.

    Il minore di anni diciotto, che abbia compiuto quattordici anni, può esprimere il proprio consenso per il trattamento dei dati personali connessi all’utilizzo di sistemi di intelligenza artificiale, purché le informazioni e le comunicazioni di cui al comma 3 siano facilmente accessibili e comprensibili.”

    Il comma 3 dello stesso articolo, a sua volta, prevede che: “Le informazioni e le comunicazioni relative al trattamento dei dati connesse all’utilizzo di sistemi di intelligenza artificiale sono rese con linguaggio chiaro e semplice, in modo da garantire all’utente la conoscibilità dei relativi rischi e il diritto di opporsi ai trattamenti autorizzati dei propri dati personali.”.

    La sintesi è presto fatta: i minori di quattordici anni non possono usareservizi e prodotti basati sull’intelligenza artificiale senza il consenso dei genitori (o di chi esercita la responsabilità genitoriale), mentre i minorenni ma ultraquattordicenni possono farlo solo a condizione che le informazioni su rischi e diritti connessi al loro uso siano accessibili e comprensibili, insomma alla loro portata.

    Perché sui social i minori e l’intelligenza artificiale si intrecciano

    E, oggi, trovare social network che non integrino soluzioni di intelligenza artificiale è pressoché impossibile, con la conseguenza che, in Italia, i social sono già vietati non agli infraquindicenni ma agli infraquattordicenni.

    A che serve quindi una nuova legge?

    Il problema, semmai, è un altro: perché la legge già in vigore è rimasta completamente inattuata?

    Perché il problema esiste ed è enorme, come dimostra l’intenzione di una forza di maggioranza di impegnare immediatamente il Parlamento a occuparsene.

    Ci sono almeno cinque milioni di minorenni nel nostro Paese che usano, in maniera più o meno abituale se non quotidiana, servizi e prodotti basati sull’intelligenza artificiale senza il consenso dei genitori – se infraquattordicenni – o avendo poche chance di capire per davvero le informazioni su rischi e diritti che hanno, rese disponibili dai fornitori di questi servizi.

    Capita con l’intelligenza artificiale che ormai spadroneggia negli smartphone e nei tablet.

    Capita nei social network che, ormai, integrano in maniera sistematica funzioni basate sull’intelligenza artificiale.

    Capita con i servizi dei quali l’intelligenza artificiale è protagonista assoluta: da quelli di intelligenza artificiale generativa, ai chatbot companion, sino alle app di nudification e, più in generale, ai deepfake.

    Tutto certo, tutto incontrovertibile, tutto noto a tutti, tutto, letteralmente, sotto i nostri occhi di adulti: che si sia genitori, esercenti la responsabilità genitoriale, rappresentanti delle Istituzioni, Parlamentari.

    È, esattamente, come se le strade fossero piene di bambini alla guida di automobili e motorini – peraltro senza casco perché è senza alcuna protezione che gli utenti più piccoli usano i servizi in questione – piene di bambini con sigarette in bocca e bottiglie di superalcolici sotto il braccio, di bambini che giocano d’azzardo o che si fermano a caricare a bordo delle loro auto, che non potrebbero guidare, prostitute.

    Come reagiremmo?

    Lasceremmo che le leggi che, a loro tutela, vietano ai più piccoli di cimentarsi in queste attività restino inapplicate, lettera morta, solo parole su carta?

    Lasceremmo che divieti introdotti nel nostro ordinamento, come quello del quale stiamo parlando, fossero considerati niente di più che auspici, linee di indirizzo, raccomandazioni?

    Penseremmo a presentare nuove proposte di legge per vietare una seconda volta ciò che è già vietato?

    Io, francamente, credo di no.

    Credo che da genitori esigeremmo che i divieti venissero fatti rispettare, che i bambini venissero fatti scendere da automobili e motorini, fatti smettere di bere, di fumare, di giocare d’azzardo e di intrattenersi con le prostitute.

    O, almeno, esigeremmo che si faccia tutto il possibile per provarci.

    Minori e intelligenza artificiale: l’enforcement che manca davvero

    E, allora, la domanda diventa: perché nel caso di una legge che vieta ai più piccoli di usare l’intelligenza artificiale senza il consenso dei genitori – se infraquattordicenni – e senza aver la possibilità di capire rischi e diritti connessi al suo uso, nel caso di minorenni ultraquattordicenni, non succede la stessa cosa?

    Eppure, ormai, dubbi che l’uso almeno di talune soluzioni basate sull’intelligenza artificiale sia straordinariamente pericoloso per i più piccoli, per i bambini, per gli adolescenti, per i minorenni è circostanza pacifica che leggiamo tutti i giorni sui quotidiani: tra ragazzini morti suicidi dopo relazioni di qualche mese con un chatbot e ragazzine la cui vita viene distrutta da compagni di banco che le spogliano artificialmente utilizzando applicazioni liberamente accessibili a chiunque, semplicemente, dichiari di avere un’età superiore a quella stabilita, in autonomia dal fornitore, per l’uso del servizio.

    E, naturalmente, questi sono solo esempi.

    Lo conferma, d’altra parte, l’iniziativa parlamentare appena assunta dalla Lega.

    Insomma, tutti d’accordo che il problema esiste, tutti d’accordo che vada affrontato, tutti d’accordo che sia importante farlo con urgenza.

    E, però, quella legge, questa legge, quella già votata dal nostro Parlamento, dalla più alta istituzione democratica è, almeno per ora, semplicemente disapplicata.

    Ora, personalmente, non avrei scritto quel divieto come è stato scritto.

    Non lo avrei disegnato così ampio, non lo avrei reso immediatamente vigente, non lo avrei introdotto nell’ordinamento senza accompagnarlo con forme di implementazione e attuazione, magari discusse e progettate, a monte, in una dimensione multistakeholder e, infine, non lo avrei lasciato privo di conseguenze: sanzioni puntualmente disciplinate e meccanismi di enforcement.

    E, tuttavia, quel divieto, oggi, è legge: è la decisione del nostro Parlamento, una decisione che nessuno – né il mercato, né altre Istituzioni – ha il potere di disapplicare, dimenticare, ignorare.

    A che serve in un contesto di questo genere una nuova proposta di legge?

    Perché questa irresistibile tentazione di ricominciare ogni volta da capo?

    Perché annunciare l’intenzione di voler fare quello che, nella sostanza, già c’è?

    Per carità, il Parlamento è sovrano, ma se a qualche mese dall’entrata in vigore di una legge rimasta completamente disapplicata decide di tornare a occuparsi della materia, forse avrebbe senso, almeno, che lo facesse nel senso di migliorare l’esistente, magari lavorando sui meccanismi di attuazione o perimetrandone meglio – francamente non sarei d’accordo nell’identificare solo nei social i servizi da vietare ai più piccoli – l’ambito di applicazione.

    Ma, per carità, non ricominciamo da capo.

    Contratti nulli: cosa comporta per minori e intelligenza artificiale

    Anche perché il divieto già in vigore produce conseguenze enormi che stiamo sottovalutando.

    La prima è che tutti i contratti che gli infraquattordicenni stanno concludendo – semplicemente accettando i termini d’uso dei servizi digitali, social network inclusi, basati o che integrano soluzioni di intelligenza artificiale – sono nulli perché, evidentemente, contrari alla legge.

    Difficile, qui, eludere il codice civile che, in un modo o nell’altro, nonostante gli sforzi dei fornitori di servizi di sottrarsi alle regole e stabilire l’applicazione di altre leggi di Paesi più lontani, si applica, certamente, in tutto o in parte, a quei contratti, a quei termini d’uso, a quelle condizioni generali.

    E come è possibile fare business, esercitare un’attività di impresa, offrire servizi a terzi, magari di carattere pubblicitario, scambiare azioni in borsa, avendo la pancia piena di milioni di contratti semplicemente nulli perché conclusi da chi non poteva concluderli?

    Ma non basta.

    Perché la nullità di quei contratti, evidentemente, sgretola e fa crollare il muro, generalmente altissimo, di esenzioni e limitazioni di responsabilità, deroghe ed eccezioni che normalmente i fornitori di questo genere di servizi oppongono agli utenti quando qualcosa va storto.

    Dati personali, consenso e minori e intelligenza artificiale

    E, poi – qui la nuova legge lo dice addirittura letteralmente – vieta il trattamento dei dati personali che, se infraquattordicenni, non usano il servizio o il prodotto che integra l’intelligenza artificiale senza il consenso dei genitori e, se ultraquattordicenni ma minorenni, non usano il servizio dopo aver avuto la possibilità di leggere e capire adeguate informazioni sui rischi e i diritti connessi all’uso medesimo.

    Eppure, la più parte dei servizi in questione è offerta al pubblico solo ed esclusivamente in cambio della possibilità per i fornitori di raccogliere e trattare i dati degli utenti, minorenni, infraquattordicenni e non, inclusi.

    E allora?

    Siamo certi che tutti i fornitori di servizi che integrano intelligenza artificiale, social network inclusi, siano disponibili a regalare letteralmente i loro servizi ai più piccoli e, dall’indomani dell’entrata in vigore della legge, lo stiano facendo?

    La situazione è questa e lo spazio per interpretazioni più benevole e capaci di attenuare la portata dei divieti e delle nuove regole già in vigore sembra modesto, se non inesistente.

    Bisognerebbe, quindi, passare dalle parole ai fatti: applicare la legge, salvo, naturalmente, che il Parlamento decida di modificarla, di inserirvi modalità di attuazione che oggi non sono previste, di intervenirvi in altro modo.

    Escluderei, però, che mentre abbiamo già un divieto che non stiamo facendo rispettare sia opportuno introdurne un altro, dimenticandoci del primo.

    E, in ogni caso, da oggi a quando, eventualmente, le regole cambiassero, il problema esiste ed è un problema di tutti, o almeno di tanti.

    Perché se domani – auspicando che non accada mai – un bambino si fa male mentre usa uno dei servizi o prodotti in questione senza avere l’età giusta, senza il consenso dei genitori, senza aver ricevuto informazioni adeguate, il fornitore sarà sicuramente responsabile nella dimensione più direttamente giuridica, ma un po’ lo saremo tutti per aver lasciato dormiente una legge che avrebbe potuto evitarlo.

    Questo, ripeto, a prescindere da quanto piaccia o non piaccia la legge in questione, da quanto potesse essere pensata di più o scritta meglio.

    Oggi è legge e, come dicevano i romani, dura lex, sed lex.

    Minori e intelligenza artificiale: perché serve un approccio strutturato

    L’intelligenza artificiale e, più in generale, le nuove tecnologie, proprio come possono offrire anche ai più piccoli opportunità straordinarie, possono corromperne e comprometterne il naturale e sano sviluppo e privarli del loro sacrosanto diritto a una fanciullezza, adolescenza e giovinezza sostenibile in milioni di modi diversi.

    Si tratta di questioni troppo importanti per pensare di occuparsene come sta accadendo: in modo, mi sia consentito scriverlo in chiaro, tanto estemporaneo tra leggi varate e lasciate inattuate, proposte di legge infilate nel congelatore e nuove proposte di legge scarsamente utili, se non completamente inutili.

    Guai a discutere delle migliori intenzioni di tutti, ma è ormai diventato urgente un approccio strutturato e sistematico a questi temi: in gioco c’è il bene più prezioso di tutti, il benessere dei nostri figli, dei nostri bambini, il nostro futuro.

  • AGENDA DIGITALE | Scorza: “Le cose che ho fatto e che ho imparato da Garante”

    26 gennaio, di admin — Articoli e Interviste, Articoli

    Agenda Digitale 26/01/26 – Di Guido Scorza

    Dopo cinque anni e mezzo nel Collegio del Garante per la protezione dei dati personali, Guido Scorza spiega le dimissioni e fa un bilancio per Agendadigitale.eu. Risorse cresciute, carichi di lavoro enormi, risultati e limiti strutturali al centro dell’esperienza da Garante

    La circostanza è nota ai più e certamente ai lettori di queste pagine: dopo cinque anni e mezzo ho lasciato l’incarico di componente del Collegio del Garante per la protezione dei dati personali, rassegnando le mie dimissioni.

    Una scelta difficile e sofferta, ma una scelta, a mio avviso, necessaria per scongiurare il rischio che le ombre proiettate sul mio operato e su quello dei miei colleghi, prima da un’inchiesta giornalistica e poi da un’inchiesta giudiziaria, non si allungassero anche, più di quanto inevitabilmente accaduto, sull’Autorità.

    A rischio, secondo me — pur sentendomi assolutamente a posto con la coscienza prima ancora che con la legge — non dimettendomi avrei posto l’autorevolezza percepita — mai quella reale — di un’Autorità con una storia gloriosa e un presente e un futuro indispensabili alle persone, al Paese e alla democrazia.

    Ma di questo ho già scritto e parlato e non è questa la sede per tornarci.

    Mentre la fine di un mandato — in qualunque momento e per qualsiasi ragione giunga — è il tempo dei bilanci e della condivisione delle lezioni imparate.

    Persone e fondi: il bilancio di Scorza al Garante privacy tra crescita e limiti

    Comincio da qualche numero che mi pare utile a raccontare quanto accaduto negli anni del mio mandato, anche se, naturalmente, l’attività di un’Autorità per la promozione e protezione di un diritto fondamentale come il diritto alla privacy non credo possa essere efficacemente riassunta solo in numeri.

    E inizio dalla spina dorsale dell’Autorità, dalla sua risorsa più grande, dal capitale umano, dalle donne e dagli uomini che vi lavorano.

    L’organico: più persone, ma ancora troppo poche

    Nel 2020, al mio ingresso, ho trovato in Autorità meno di 130 persone, mentre oggi ce ne lavorano quasi 200.

    Sempre troppo poche, anzi, pochissime in relazione alle sfide con le quali l’Autorità si confronta quotidianamente.

    Quella registrata negli ultimi cinque anni, tuttavia, è la più importante iniezione di risorse umane dalla nascita del Garante.

    Un risultato, credo di poter dire serenamente, importante.

    Finanziamenti e costi: il raddoppio che non torna

    Diversa la situazione sul versante delle risorse finanziarie.

    Al riguardo vale, innanzitutto, la pena ricordare che l’attività del Garante per la protezione dei dati personali, a differenza di quella di altre Autorità, è finanziata esclusivamente dal Governo, non da una percentuale sulle sanzioni irrogate, non da contributi dei grandi soggetti vigilati.

    Qui i bilanci pubblicati sul sito dell’Autorità, dei quali tanto — spesso in maniera, per la verità, inesatta e approssimativa — si è parlato negli ultimi mesi, raccontano che nel 2020 il Garante riceveva dall’erario circa 30 milioni di euro, mentre oggi riceve poco più di 45 milioni.

    Prima, tuttavia, di dirsi soddisfatti del risultato anche su questo fronte, vale la pena di riflettere sulla circostanza che, complice l’aumento importante e prezioso delle risorse umane dell’Autorità, mentre nel 2020 il personale costava complessivamente poco più di 20 milioni di euro, oggi ne costa quasi il doppio.

    La sintesi è presto fatta: mentre il trasferimento di risorse dall’Erario al Garante è aumentato ma non raddoppiato, il costo del personale è raddoppiato, con la conseguenza che, in effetti, le risorse per tutte le altre voci di costo sono diminuite e non aumentate.

    La mia impressione, per quanto impopolare possa sembrare dirlo ora, è sempre stata e rimane che servirebbero molte più risorse per consentire al Garante di giocare le tante e difficili partite nelle quali è chiamato a scendere in campo.

    Reclami, segnalazioni e data breach: i numeri del lavoro quotidiano

    E che le cose stiano così, lo dicono altri numeri.

    Quelli delle sanzioni, non semplicemente irrogate ma riscosse, non dal Garante ma dall’Erario, per oltre 100 milioni di euro negli ultimi cinque anni.

    E quelli dei reclami e delle segnalazioni alle quali l’Autorità ha dato riscontro: oltre 4000 reclami e oltre 93 mila segnalazioni nel 2024, secondo gli ultimi dati ufficiali disponibili nella Relazione annuale, in attesa di quelli del 2025 che, comunque, verosimilmente, daranno conto di un incremento.

    E sono significativi, ai fini delle considerazioni qui sopra sull’insufficienza delle risorse delle quali dispone l’Autorità, anche i dati relativi alle denunce di data breach ricevute e gestite, sempre nel 2024: oltre 2200.

    Vale, infine, forse, la pena chiarire una cosa che, nelle scorse settimane, ha dato a qualcuno da discutere: a dispetto del momento, innegabilmente infelice, vissuto dal Garante negli ultimi mesi del 2025, momento che indubbiamente ha assorbito risorse, sono convinto che i numeri della prossima relazione racconteranno di un anno chiuso senza nessuna flessione nella nostra attività.

    Ma, naturalmente, inutile fare spoiler: qualche mese di pazienza e disporremo dei dati ufficiali.

    Sin qui i numeri, che dicono tanto ma non dicono tutto.

    Il resto, per me la parte che conta di più, del bilancio di questi cinque anni, lo raccontano le questioni affrontate e alcune delle decisioni assunte.

    Promuovere la privacy: eventi, scuole e dialogo con la società

    Sono stati cinque anni e mezzo di attività intensissima nella promozione e protezione dei dati personali.

    Avevo detto all’assunzione dell’incarico e ho continuato a ripetere sino all’ultimo giorno, perché ne resto convinto, che la promozione di un diritto fragile e garbato non conta di meno della sua protezione.

    Anzi, è vero l’esatto contrario.

    Ne era convinto Stefano Rodotà e lo disse, con parole, senza nessuna sorpresa insuperabili, Umberto Eco, a Venezia, sul finire del secolo scorso, parlando alle Autorità di protezione dei dati personali di tutta Europa che allora muovevano i primi passi: “Il vero lavoro che dovrete svolgere non sarà quello di garantire la privacy a coloro che la richiedono (una percentuale esigua rispetto alla popolazione totale), ma quello di far sì che coloro che vi hanno rinunciato con entusiasmo la considerino un bene prezioso”.

    È, personalmente, stata la mia principale scommessa, è stata la mia personalissima interpretazione del ruolo, è stato quello che ho provato a fare quotidianamente, certamente commettendo degli errori, certamente dando spazio a equivoci e incomprensioni, certamente attirandomi critiche di diverso genere.

    Ho partecipato, in media, a oltre 150 incontri ogni anno, in sedi pubbliche e private, in Italia e all’estero, nelle più piccole e periferiche delle scuole italiane come nelle più blasonate istituzioni accademiche al mondo, da Harvard alla Sorbona.

    L’ho fatto talvolta da solo, in prima persona, e ho contribuito a farlo fare all’Autorità, organizzando iniziative ed eventi inediti nella sua storia: il Privacy Tour, prima nel sud Italia e nei piccoli comuni e poi nei capoluoghi di provincia, e State of Privacy, il primo rivolto alla gente comune e il secondo agli addetti ai lavori.

    Due iniziative, l’una e l’altra, semplicemente impossibili senza il contributo, da una parte, delle donne e degli uomini che lavorano al Garante e, dall’altra, senza quello di centinaia di soggetti pubblici e privati che hanno condiviso l’importanza di promuovere il diritto alla privacy.

    Un solo obiettivo: innescare un processo di autentico innamoramentodelle persone, delle società, delle Istituzioni verso il diritto alla privacy, certo del fatto che i diritti, a cominciare proprio da quello alla privacy, non esistono se le persone non li conoscono e non se ne innamorano.

    Ho sbagliato?

    Naturalmente è possibile, perché non esiste un manuale del buon componente del Collegio del Garante: ciascuno sceglie la sua interpretazione, ciascuno sceglie i suoi riferimenti e modelli, ciascuno utilizza gli strumenti dei quali dispone e che pensa di poter usare più efficacemente.

    E ciascuno, poi, naturalmente, ne risponde davanti alle persone.

    Io credo che la privacy oggi sia più conosciuta di quando ho cominciato, anche al di fuori del circuito degli addetti ai lavori, sia più accessibile, sia, in qualche modo, più res publica.

    Un approccio e un modello ideale?

    Niente affatto.

    Ha tanti limiti e, legittimamente, in tanti, hanno idee diverse.

    Pareri e avvertimenti: cosa racconta il bilancio al Garante privacy sui poteri pubblici

    In cinque anni e mezzo, tuttavia, benché l’attività di promozione sia stata tanta, quella di vigilanza, più tradizionale, non è stata di meno, in tutte le direzioni, nei confronti dei poteri pubblici e di quelli privati, del Governo e del mercato, davvero senza guardare in faccia nessuno, con indipendenza, terzietà e rigore che rivendico con forza.

    Provando, sempre, prima lo strumento del dialogo, con i pareri o magari attraverso la misura — espressamente prevista dalla disciplina europea — dell’avvertimento, e, quindi, quando non è bastato, con ammonimenti e sanzioni.

    Impossibile ripercorrere a ritroso oltre cinque anni di pareri e provvedimenti.

    Il meglio che, probabilmente, si può fare è mettere in fila qualche esempio.

    Il primo che torna in mente è, certamente, l’avvertimento, il primo nella storia del Garante, trasmesso direttamente a Palazzo Chigi, all’indirizzo del Governo.

    Oggetto: il certificato vaccinale prima maniera, quello che avrebbe imposto a decine di milioni di persone nel nostro Paese di dire troppo a troppi a proposito della propria situazione medico-sanitaria per circolare liberamente, lavorare, accedere in una serie di luoghi pubblici e privati.

    La storia è nota: marcia indietro del Governo, certamente non solo per merito del nostro provvedimento, e, poi, anche grazie al lavoro frattanto fatto a Bruxelles con i colleghi del resto d’Europa, via libera al green pass, un compromesso, certamente migliore, tra esigenze sanitarie e privacy.

    Ma, sempre per restare alle iniziative nei confronti dei soggetti pubblici, difficile dimenticare anche il parere, del quale ho avuto il privilegio di essere relatore, con il quale abbiamo detto “no”, senza riserve, all’utilizzabilità da parte del Ministero dell’Interno del c.d. SARI real time.

    Il sistema diversamente intelligente di riconoscimento facciale avrebbe trasformato chiunque di noi, a passeggio per strada, in un potenziale sospettato e lo avrebbe esposto al rischio di ritrovarsi, magari incolpevolmente, considerato responsabile di chissà quale genere di crimine o delitto.

    Nessun eroismo dei diritti, intendiamoci: abbiamo fatto solo il nostro dovere.

    Abbiamo fatto quello che andava fatto, tanto con l’avvertimento a proposito del certificato vaccinale, quanto con il parere sul SARI real time.

    Ma, confesso, che pensare a quei provvedimenti e poi leggere delle contestazioni sull’indipendenza nell’azione dell’Autorità, della sua pretesa politicizzazione, dell’inefficacia e ineffettività della sua azione verso i poteri pubblici, mi fa, al tempo stesso, sorridere e rammaricare.

    In tutta sincerità non credo, in questi cinque anni e mezzo, di aver mai tentennato nell’assumere le iniziative che andavano assunte anche davanti ai più “forti” dei poteri pubblici.

    Poi, come sempre, il giudizio di chi guarda da fuori conta di più di quello di chi è stato protagonista di certe iniziative.

    Interventi sui privati: TikTok, OpenAI e la tutela dei minori

    E vengo alle iniziative nei confronti dei poteri, altrettanto forti, privati.

    È il gennaio del 2021: una bambina di nove anni muore a Palermo soffocata da una cinta stretta al collo, probabilmente — l’inchiesta della magistratura è ancora in corso — partecipando a una challenge su TikTok, un social, come gli altri, riservato a chi ha almeno tredici anni.

    Lì, in quel social, quella bambina, che per certo c’era, non avrebbe dovuto esserci.

    L’Autorità, nello spazio di qualche ora, vieta a TikTok di proseguire il trattamento dei dati personali dei più piccoli, di disconnettere tutti gli utenti italiani, verificare la loro età e riammetterli solo dopo aver raggiunto ragionevole certezza che si trattasse almeno di ultratredicenni.

    TikTok esegue e centinaia di migliaia di bambini vengono messi alla porta dal social.

    Contestualmente, grazie a un inedito supporto delle principali emittenti televisive pubbliche e private, con una campagna di comunicazione istituzionale, informiamo gli adulti, in particolare i genitori, della circostanza che i social sono riservati a chi ha almeno tredici anni e che, se i loro figli fossero stati più piccoli, non avrebbero dovuto lasciarli entrare.

    Per carità, il problema dei più piccoli che usano servizi digitali non adatti alla loro età e dei fornitori che sfruttano i loro dati personali con l’alibi che abbiano l’età che dichiarano di avere pur di entrare è ancora lì, purtroppo lontano dal potersi considerare risolto.

    E, però, l’iniziativa credo abbia avuto il merito di porre la questione all’attenzione della comunità internazionale, una questione che oggi, cinque anni dopo, è al centro di un dibattito planetario.

    Impossibile, poi, tra tanti, dimenticare il provvedimento di limitazione temporanea del trattamento adottato il 30 marzo 2023 nei confronti di OpenAI, a pochi mesi dal lancio di ChatGPT.

    Un provvedimento fondato sulla circostanza che la società, nel distribuire il proprio servizio di intelligenza artificiale generativa in Italia, aveva, pressoché completamente, ignorato le regole europeesulla protezione dei dati personali, ritenendole inapplicabili.

    All’indomani del provvedimento siamo stati letteralmente travolti dalle critiche, accusati di essere luddisti, di dare a pensare che l’Italia fosse un Paese nemico dell’innovazione, quasi che l’innovazione sia un lasciapassare per derogare, violare o eludere le leggi.

    Che la nostra Autorità, solo perché prima al mondo a intervenire su OpenAI, fosse la più retrograda.

    Ho un ricordo doloroso di quei giorni.

    Ho dovuto lasciare i social per una settimana per sopravvivere, cosa che non mi era mai successa e non mi è mai più successa neppure nel pieno della bufera mediatico-politica che, nei giorni scorsi, mi ha poi suggerito di dimettermi per il bene dell’Autorità.

    Con tutto il possibile rispetto per chi criticava quella scelta e per chi, magari, ancora oggi pensa sia stata sbagliata, credo, tuttavia, che il tempo ci abbia dato ragione.

    Nelle settimane successive OpenAI ha messo a posto una serie di profili, pur non mettendosi completamente in regola, e il Garante ha rivisto il suo provvedimento originario.

    Frattanto abbiamo avviato con le altre Autorità europee di protezione dei dati personali una task force congiunta per affrontare le questioni giuridiche all’origine della decisione e, in tutto il mondo, i procedimenti nei confronti di OpenAI, per gli stessi profili o profili analoghi, si sono rapidamente moltiplicati.

    Mi piace credere — ma sono, naturalmente, di parte — che siamo stati pionieri più che luddisti, ricordando al mercato un pensiero, non a caso caro a Stefano Rodotà, primo presidente del Garante: quando nell’universo tecnologico le regole non arrivano in tempo, quello che accade e che non dovrebbe accadere è che la tecnologia diventa essa stessa regolamentazione.

    E plasma la vita delle persone e della società al posto delle regole che escono dalle Istituzioni democratiche, quelle stesse regole che le Autorità sono chiamate a far rispettare.

    Quando succede e, probabilmente, sta accadendo, la democrazia cede il passo alla tecnocrazia, oggi all’algocrazia.

    All’epoca, abbiamo, nel nostro piccolo, provato a impedirlo.

    Quello che posso dire, nella dimensione autobiografica, è che ovunque sia andato nel mondo in questi anni, il Garante per la protezione dei dati personali veniva riconosciuto — e spero continui a esserlo — come un esempio e un riferimento sicuro lungo la strada del governo del futuro.

    Questi sono esempi che, personalmente e nella consapevolezza che ogni valutazione non aritmetica e non scientifica è, naturalmente, opinabile, inserirei tra le poste attive del bilancio.

    Sconfitte e limiti del sistema: quando il diritto non arriva (in tempo)

    Non è però andata sempre così.

    Ho vissuto anche cocenti sconfitte.

    Tra le tante, quella relativa all’impossibilità di dare esecuzione al provvedimento adottato nei confronti di ClearviewAI, la società che ha illegittimamente pescato a strascico dal web le immagini di miliardi di persone, ne ha estratto l’impronta biometrica e ha poi iniziato a vendere, a forze dell’ordine e privati in tutto il mondo, un servizio di riconoscimento facciale intelligente, semplicemente ignorando le leggi.

    Nel febbraio del 2022, con un provvedimento al quale sono particolarmente affezionato e del quale fui relatore, ordinammo alla società di interrompere la raccolta delle immagini delle persone che vivevano in Italia, di cancellare tutte le foto raccolte e di pagare una sanzione da venti milioni di euro.

    Tre anni dopo, ho, sfortunatamente, lasciato il Garante senza che la società — che pure non ha mai impugnato il provvedimento — abbia pagato la sanzione e, verosimilmente, abbia cancellato le immagini a suo tempo raccolte.

    Nessuno lo sa.

    E, apparentemente, nessuno può saperlo, perché la società che pure, all’inizio, si è difesa regolarmente nel procedimento, si è poi, semplicemente, rifugiata dietro all’inesistenza di un accordo internazionale tra Italia e Stati Uniti per la notifica e esecuzione di provvedimenti come quelli adottati dall’Autorità.

    Un baco, secondo me, enorme, un buco nero direi, se si considera che l’Europa continua a considerare gli Stati Uniti un approdo sicuro per i nostri dati personali e che la più parte dei servizi digitali che garantiscono il funzionamento della nostra società sono erogati da soggetti che battono proprio la bandiera americana.

    È stata una delle sconfitte che, ancora oggi, mi fanno più male, una delle poste più evidentemente negative dell’ideale bilancio di questi cinque anni.

    Certo resta la soddisfazione di aver fatto la nostra parte, ma è una soddisfazione quasi annullata dal rammarico di averlo fatto in un sistema imperfetto che ha privato la nostra azione della necessaria effettività.

    Non è stata, naturalmente, l’unica sconfitta.

    Nella stessa colonna devo, egualmente a malincuore, inserire anche la sconfitta, almeno sostanziale — e, benché, ancora una volta si tratti più di una sconfitta del sistema che del Garante — nei confronti di DeepSeek, la concorrente cinese — per dirla giornalisticamente — di OpenAI e dei campioni americani dell’intelligenza artificiale generativa.

    Nel gennaio del 2025, esattamente un anno fa, all’indomani dello sbarco del servizio sul mercato italiano, preso atto che la società, esattamente come, a suo tempo, la sua concorrente americana, aveva completamente ignorato le regole europee sulla privacy operando nel nostro Paese, le indirizzammo una richiesta di informazioni sulle ragioni all’origine di questa scelta.

    Da Pechino risposero immediatamente: “non riteniamo che le regole del GDPR ci si applichino e, in ogni caso, non abbiamo interesse a operare in Italia e in Europa”.

    Immediata la nostra risposta, con la quale abbiamo ricordato alla società che la scelta imprenditoriale di operare o meno in Italia toccava naturalmente a loro, ma che, se avessero inteso proseguire, avrebbero dovuto rispettare le regole europee sulla privacy.

    Poi il silenzio, mentre il servizio restava accessibile dall’Italia e, quindi, il trattamento di dati personali proseguiva in aperta violazione di tutte le regole.

    Quindi l’unica, credo ancora oggi, risposta possibile da parte nostra: un ordine di inibitoria temporanea al trattamento dei dati personali delle persone che vivevano in Italia, lo stesso a suo tempo adottato nei confronti di OpenAI.

    Da una società che aveva appena messo nero su bianco di non avere intenzione di operare in Italia ci si sarebbe attesi che, ricevuto l’ordine, si fermasse e chiudesse il servizio in Italia.

    Ma niente.

    L’app scomparve dagli store di Apple e Google, ma il servizio rimase accessibile via web.

    E, a quel punto, scoprimmo — si fa per dire, perché la circostanza ci era, purtroppo, nota — che anche tra Italia e Cina non esistono accordi di cooperazione per la notifica di provvedimenti amministrativi come quello adottato nei confronti di DeepSeek e che il Garante non può neppure ordinare agli intermediari della comunicazione italiani di bloccare — a prescindere da qualsivoglia considerazione sull’efficacia assoluta della misura — il traffico che fa rotta verso un sito utilizzato per l’esercizio di un’attività illecita.

    Inutile, sin qui, la richiesta a Parlamento e Governo di attribuire all’Autorità questo genere di poteri.

    Ancora una sconfitta, ancora lo stesso senso di frustrazione legato alla consapevolezza che fare la propria parte per difendere la privacy di milioni di persone, nella società globale in cui viviamo, non basta.

    Stessa identica sensazione registrata quando, qualche mese fa, ancora una volta primi in Europa e, forse, al mondo, abbiamo ordinato a Clothoff, l’applicazione che consente, grazie all’intelligenza artificiale generativa, a chiunque di spogliare chiunque altro, bambine e adolescenti incluse, e trasformarle, in pochi tap sullo schermo di uno smartphone, in pornoattrici, di interrompere ogni trattamento di dati personali nel nostro Paese.

    La società che ha sede alle Isole Vergini ha, semplicemente, ignorato il nostro provvedimento.

    Doloroso prendere atto che, nonostante l’intervento tempestivo di un’Autorità, un servizio di violenza sessuale artificiale ma, pur sempre, di violenza sessuale, può continuare a essere commercializzato liberamente, massacrando vite e diritti, senza che nessuno, in un Paese democratico come il nostro, almeno ambisca a essere, possa fermare la società che lo eroga solo perché si è stabilita in un paradiso fiscale e giudiziario.

    Questo bilancio, quello delle iniziative assunte nello sforzo di far prevalere le regole democratiche sugli algoritmi, tra vittorie e sconfitte, potrebbe, naturalmente, proseguire a lungo, ma mi fermo qui.

    Il sito internet dell’Autorità è un buon testimone di ciò che si è fatto, almeno per chi voglia sfogliarlo in maniera obiettiva e scevra da pregiudizi.

    Mi sembra, invece, più importante, ora, provare a mettere in fila le lezioni che ho imparato.

    Lezioni di metodo nel bilancio al Garante privacy: organizzazione e decisioni

    Ho imparato tantissimo, inutile dirlo.

    Molto di più di quanto non si possa scrivere in un articolo come questo.

    E ho un solo cruccio: non posso tornare indietro e farne tesoro.

    Non posso, quindi, che condividere queste lezioni un po’ come occasione per scusarmi per gli errori commessi, un po’ a beneficio di chi arriverà, spero il prima possibile, dopo di me.

    Anche perché, benché non ci si pensi mai, non c’è modo di studiare da Garante: si può sapere di privacy, di dati, di tecnologia e di diritti, ma sapere come giocare al meglio un ruolo che ciascuno può ricoprire una sola volta nella vita è molto più difficile.

    Dialogo interno: perché gli uffici fanno la differenza

    La prima lezione riguarda l’organizzazione dell’Autorità, una macchina complessa, anzi, no, meglio, un organismo vivente, straordinariamente articolato e complesso, fatto di persone — poche, ancora oggi, nonostante l’aumento dell’organico raccontato sopra — ma determinate, competenti e appassionate alla difesa della privacy oltre ogni ragionevole dubbio.

    Questo con la necessaria avvertenza che, come ogni discorso del genere, non può che farsi in generale, guardando ai più o alla media, perché, naturalmente, le eccezioni esistono al Garante come in qualsiasi altra realtà pubblica o privata.

    L’Autorità funziona perché ci sono gli uffici.

    Collegio e Segretario Generale, naturalmente, sono importanti, essendone rispettivamente il vertice politico e quello amministrativo, ma da soli non possono nulla.

    E questo rende fondamentale il dialogo tra Collegio, Segretario Generale e Uffici.

    Sono entrato in Autorità alla fine di luglio del 2020: gli uffici erano prima deserti e poi, per mesi, semi deserti causa lockdown da pandemia, smart working e periodo, comunque, non facile per tutti.

    Girarci attorno è inutile: qualcosa, in quel momento, è mancato.

    La possibilità di costruire un rapporto solido e di persona con gli uffici, il confronto, lo scambio, la costruzione di relazioni interpersonali con un esercito senza uniforme di persone che serve la stessa bandiera, in buona parte, da decenni.

    E che vede, inesorabilmente, ogni sette anni cambiare i generali.

    Conoscevo da anni la più parte delle persone dell’Autorità, ma certamente non tutte e, comunque, naturalmente, non avevo mai lavorato con nessuna di loro.

    Non è stato il modo migliore di iniziare e l’inizio ha segnato un po’ il resto del quinquennato.

    È un po’ come quando si inizia a sciare senza maestro: non si scia benissimo, ma si arriva a valle.

    Poi si rischia di proseguire così e non si impara mai a far meglio perché, in fondo, in qualche modo, funziona.

    Nel mio ultimo giorno in Autorità, lunedì scorso, ho fatto un giro per gli uffici e ho salutato uno ad uno i presenti.

    Mi sarebbe piaciuto farlo anche il primo giorno, ma non ho potuto.

    Nei mesi successivi avrei sicuramente potuto, ma non l’ho fatto.

    Le ragioni sono tante, dal tempo che, frattanto, diventava sempre meno alle indicazioni sbagliate ricevute, ma non cambierebbero la realtà.

    Negli anni successivi ho recuperato, tardivamente, in molte direzioni, ma, certamente, non in tutte e non con tutti.

    Ho sbagliato.

    È la prima lezione imparata: l’Autorità funziona se il dialogo tra Uffici, Segretario generale (che degli Uffici è il vertice) e Collegio è costante, franco, costruttivo, sebbene nel rispetto dei ruoli.

    Tempi e istruttorie: serve osmosi tra uffici e Collegio

    E questo è importante in generale e lo diventa, senza nessuna sorpresa, ancora di più se si guarda alla gestione dei procedimenti e all’adozione dei provvedimenti.

    Quello che oggi accade è che gli uffici istruiscono i procedimenti talvolta per anni, maturano un convincimento sulla base delle competenze e esperienze — oggettivamente e, sempre nella media, fuori dal comune — di chi vi lavora e lo riassumono in una proposta di provvedimento che, a qualche giorno dall’adunanza nella quale dovrebbe essere adottato, viene posta a disposizione del Collegio.

    Assieme alla relativa documentazione, nei casi più complessi costituita da migliaia di pagine.

    Il Collegio, a questo punto, deve entrare in vicende e riflessioni più o meno articolate in pochissimo tempo e poi decidere se confermare o meno la proposta degli uffici.

    La struttura in teoria è sana: una rigida ripartizione tra chi gestisce l’istruttoria e formula la proposta di decisione e chi poi la decide.

    La mia personalissima impressione, tuttavia, è che si tratti di una ripartizione di competenze preziosa, ma da ammorbidire per scongiurare il rischio di frustrare contemporaneamente il ruolo degli uffici e quello del Collegio.

    Da una parte, infatti, c’è il rischio che le conclusioni tecno-giuridiche degli uffici vengano travolte dalle sensibilità, discrezionalità tecnica e valutazioni giuridiche che il Collegio si forma su base, prevalentemente, documentale.

    Dall’altra, che il Collegio, che pure è chiamato dalla legge a dare il proprio indirizzo politico, nel senso più alto del termine, all’Autorità, innanzitutto attraverso le proprie decisioni, resti prigioniero dell’istruttoria condotta dagli uffici.

    Inesorabilmente, con ambiti e direzioni più esplorati e approfonditi di altri, e costretto tra la scelta di appiattirsi sulla proposta degli uffici o vanificare mesi e talvolta anni di prezioso lavoro istruttorio del quale, appunto, non è detto debba condividere le conclusioni.

    Tutto questo, oggi, inevitabilmente, con un tempo di riflessione e ponderazione enormemente inferiore rispetto a quello avuto dagli uffici.

    Qui la questione diventa complicata e la più facile delle soluzioni, purtroppo, impraticabile: il Collegio difficilmente può prendersi più tempo per decidere, tornando, magari, a discutere con gli uffici taluni aspetti perché, normalmente, quando la proposta di provvedimento arriva sulle scrivanie dei componenti, i termini per la definizione dei procedimenti sono ormai prossimi alla scadenza.

    Anzi, lo sono e lo saranno sempre di più se dovesse affermarsi un’interpretazione giurisprudenziale che inizia a diffondersi.

    La mia personalissima impressione al riguardo è che serva creare forme di osmosi trasparenti e costruttive tra le due componenti dell’Autorità, prima che i procedimenti arrivino nel rettilineo che li conduce all’adozione del provvedimento.

    La mia esperienza mi suggerisce che ogni volta che si è riusciti, prevalentemente nella dimensione informale, a creare occasioni di dialogo tra Collegio e Uffici, i provvedimenti hanno fatto un balzo in avanti straordinario in termini di qualità.

    È un’altra lezione preziosa imparata, della quale mi rammarico di non poter far tesoro e che mi auguro sarà utile a chi verrà dopo di me.

    Tante, troppe le altre lezioni imparate delle quali è impossibile raccontare qui.

    Annoto qui i titoli di altre due, ciascuna delle quali richiederebbe pagine di racconto, tutte con un denominatore comune: sono aree dell’attività del Garante che hanno acquisito e continueranno ad acquisire un’importanza crescente e che non possono essere sottovalutate.

    Credo di aver fatto del mio meglio per valorizzarle, ma sono certo — e qui stanno le lezioni imparate — non abbastanza.

    Le sfide future: dimensione globale e velocità della tecnologia

    Uno. La società è globale, i dati personali circolano nella dimensione internazionale e, tra quelle che contano davvero, non c’è più una fattispecie degna di attenzione, nella dimensione della promozione e protezione della privacy, che non travalichi i confini nazionali e quelli europei.

    La necessaria conseguenza è che, ormai, la più parte delle partite che contano tra quelle che il Garante — così come tutte le altre autorità di protezione dei dati personali — è chiamato a giocare vanno giocate nella dimensione europea e internazionale.

    In questo senso il Garante deve essere sempre più presente e sempre più protagonista nella comunità internazionale, costruire relazioni solide con i rappresentanti delle altre Autorità e agenzie che operano in giro per il mondo, imparare sempre di più a collaborare con queste ultime.

    Due. Il progresso tecnologico, i mercati, l’industria non sono mai andati tanto veloci nella storia dell’umanità.

    La velocità con la quale l’impatto delle loro azioni sulla società si consuma è incompatibile con quella dell’attività di vigilanza, specie se rallentata da un sottodimensionamento cronico delle risorse del Garante, con la conseguenza che, nonostante i migliori sforzi — e, credo, di poter dire sinceramente che se ne sono fatti tanti e importanti — il rischio che i provvedimenti arrivino troppo tardi è e sarà, sempre più spesso, elevato.

    Ciò che già pensavo entrando in Autorità e di cui mi sono convinto lavorandoci è che raccontare, informare, educare al valore dei dati personali e a come proteggerli nella dimensione digitale debba essere una delle più importanti direttrici dell’azione di un’Autorità di protezione dei dati personali.

    Una direttrice da percorrere imparando a usare forme e linguaggi di comunicazione accessibili, semplici, non ingessati nel rigore istituzionale, rivolti alla gente comune, ai media generalisti, alla politica, alle imprese, a cominciare dalle più piccole.

    Mi fermo qui anche con le lezioni, ma solo per ragioni di spazio, non perché quelle imparate siano finite.

    Quella al Garante è stata una delle esperienze più straordinarie della mia vita, nella dimensione umana e professionale, un’esperienza il cui ricordo non è stato e non sarà intaccato dall’epilogo indiscutibilmente diverso da quello che mi sarei aspettato.

    Muovendo da qui — ed è bene scriverlo in modo trasparente a beneficio di chi è arrivato sin qui nella lettura dell’articolo — il bilancio dei miei cinque anni alle spalle non può, dalla mia prospettiva, che essere positivo, attivo, in utile.

    Ma i fatti sono fatti e, quindi, ho la serenità che ciascuno potrà formarsi la propria idea, il proprio giudizio, la propria convinzione.

    Io auguro il meglio al Garante e alle donne e uomini che ci lavorano, il meglio ai miei colleghi rimasti in Autorità, il meglio a chi verrà dopo di me.

  • RAI RADIO1 | Un giorno da pecora del 19/01/2026

    20 gennaio, di admin — Interviste, Podcast, Diario di un chatbot sentimentale

    Ascolta il podcast: https://www.raiplaysound.it/audio/2026/01/Un-giorno-da-pecora-del-19012026-e80890b1-70c1-4d64-8dba-daeb6b2bc73d.html?ts=1872

    Guarda la puntata: https://www.youtube.com/live/6FdAE-PguAs?si=IfAC1uA3_bZcQSFA&t=2323

    Con Giorgio Lauro e Geppi Cucciari oggi ci sono il ct dell’Italtennis Filippo Volandri e il presidente della Federtennis Angelo Binaghi, l’editorialista del Fatto Quotidiano Antonio Padellaro e Guido Scorza, componente del collegio del Garante per la Privacy. Regia di Luca Bernardini.

  • #cosedaexgarante

    17 gennaio, di admin — Articoli e Interviste

    Ho appena trasmesso al Presidente e al Segretario Generale del Garante per la protezione dei dati personali le mie dimissioni irrevocabili da componente del Collegio.

    Ho deciso di fare un passo indietro.

    Credo si tratti di una decisione giusta e necessaria nell’interesse dell’istituzione anche se, permettetemi di pensarlo, non posso che ritenerla ingiusta nella sostanza e nelle modalità che mi hanno portato ad assumerla.

    Non ho nessuna remora né imbarazzo nel confessare che è stata una delle decisioni più sofferte della mia vita.

    Lascio – ne sono convinto – uno dei lavori più belli che a una persona possa capitare. Lascio un lavoro che ho fatto con più determinazione e passione di qualsiasi altro fatto sin qui.

    Lascio un lavoro che non ho mai considerato tale ma una missione civile prima che professionale e istituzionale. 

    Un’occasione unica di fare, nel mio piccolo, la mia parte per promuovere e difendere un diritto che non è mai stato tanto centrale e irrinunciabile nella vita delle persone e della società.

    Una missione alla quale ho dedicato ogni giorno degli ultimi cinque anni.

    Lascio un incarico che, per me, ha sempre rappresentato anche un modo per restituire, almeno parte di ciò che mi ha dato, a un Paese che mi ha dato tantissimo, consentendomi di acquisire competenze ed esperienze importanti, di realizzarmi nella dimensione personale e professionale e di credere in un futuro migliore del passato da lasciare alle mie figlie.

    Lascio un incarico che avevo sognato da quando, trent’anni fa, incontrai, per la prima volta, Stefano Rodotà e Giovanni Buttarelli che stavano lavorando a quella che sarebbe diventata la prima legge italiana sulla protezione dei dati personali.

    Lascio – e vengo alle motivazioni di una scelta tanto sofferta – principalmente, per rispetto del loro sogno, quello di Stefano e di Giovanni ma anche delle tante donne e dei tanti uomini che con loro hanno dato vita a quello che sarebbe poi diventato il Garante per la protezione dei dati personali, un sogno che, negli anni, ben prima di essere eletto, è diventato anche il mio: rendere forte un diritto fragile e garbato come la privacy.

    Un sogno reso possibile anche grazie al lavoro svolto da un’Autorità indipendente e autorevole, capace di garantirne promozione e protezione.

    Quell’Autorità che all’epoca muoveva i primi passi, poi cresciuta e diventata una delle più prestigiose e rispettate Autorità di protezione dei dati personali al mondo, sta vivendo, oggi, uno dei momenti più difficili della sua trentennale esistenza.

    Un giorno – che, purtroppo, non è oggi e non è vicino – ci si renderà conto e si capirà che questo momento difficile dell’Autorità non è dovuto a errori o omissioni di chi ci ha lavorato, ci lavora e continuerà a lavorarci e non è dovuto, per quel che mi riguarda, a ciò che ho fatto o non ho fatto, fermo restando, naturalmente che fare meglio e di più è sempre possibile ma a fattori estranei all’Autorità e a patologie e derive di un sistema che non ha ancora trovato un punto di equilibrio sostenibile tra diritti, libertà e poteri, tutti egualmente centrali e irrinunciabili nella vita democratica del nostro Paese.

    Ma proprio perché quel giorno non è oggi ed è lontano non lo si può, sfortunatamente, attendere.

    Il Paese ha bisogno oggi di un Garante per la protezione dei dai personali che prima di avere autorità abbia autorevolezza non solo effettiva ma anche percepita e le persone, a cominciare dal personale del Garante, hanno bisogno e diritto a che niente sia lasciato di intentato perché il Garante riconquisti, il prima possibile, quella fiducia  percepita senza la quale un diritto già fragile, perché poco noto o poco noto nel suo valore ai più deboli e inviso ai più forti, è pressoché impossibile da promuovere e proteggere.

    È per questo e solo per questo che oggi ho deciso di fare un passo indietro.

    Lascio nell’assoluta certezza di non avere – come ho già spiegato ieri in un video al quale mi limito a rinviare – nessuna responsabilità in relazione alle contestazioni che mi vengono mosse.

    Anche se, non c’è dubbio che restare sarebbe stata la scelta egoisticamente migliore, più comoda, forse, più saggia, ma sarebbe anche stata una scelta incompatibile con ciò in cui credo, con la mia storia, con il mio modo di essere e di rispettare le Istituzioni.

    Sono cresciuto in una famiglia dove ho imparato che il senso dello Stato non si dichiara solo a parole, ma si dimostra nei fatti. 

    E io voglio poter insegnare, anche con la forza dell’esempio, gli stessi principi e gli stessi valori alle mie figlie.

    Il Garante, l’Istituzione che ho servito negli ultimi cinque anni e alla quale sono visceralmente legato viene prima di me e dei miei interessi.

    Benché sino a ieri abbia detto il contrario, la calma che segue, anche da vicino, la concitazione degli eventi, mi ha suggerito questa scelta.

    Ma se queste sono le motivazioni delle mie dimissioni, credo sia importante condividere, con la stessa trasparenza, anche quelle che, mi hanno dato la forza di arrivare sin qui.

    Ho detto e scritto decine di volte dall’inizio di questa vicenda che considero giuste, utili e democraticamente preziose sia l’inchiesta giornalistica che quella giudiziaria che hanno interessato il Garante e ne resto convinto.

    E, però, in tutta sincerità non credo che in un sistema democratico solido e maturo delle legittime inchieste giornalistiche e giudiziarie debbano poter compromettere fino a questo punto, prima che qualsivoglia specifica responsabilità sia accertata, il buon funzionamento di un’Autorità indipendente chiamata a promuovere e proteggere un diritto fondamentale, pietra angolare della nostra democrazia.

    E la responsabilità non credo sia né dei giornalisti che fanno le inchieste, né, tantomeno, dei giudici che fanno il loro lavoro e adempiono ai loro doveri ma nostra, delle persone, dell’opinione pubblica, della società, di una parte dei media – non quelli che fanno le inchieste ma quelli che le raccontano in maniera acritica e sensazionalistica a caccia di lettori e visualizzazioni -, degli algoritmi dei socialnetwork che amplificano i messaggi più radicali e sacrificano l’audience di quelli più pacati e ponderati e, di una parte della politica, quella con la “p” minuscola, più a caccia di facile visibilità e consensi che di riflessioni e idee per migliorare la vita delle persone e le condizioni del Paese.

    Confesso che questo a me pare un enorme elemento di fragilità del nostro sistema democratico che trascende questa vicenda ma sul quale, credo, sia necessario interrogarsi con urgenza.

    Mi fermo qui, ma non prima di alcuni necessari ringraziamenti. 

    Il primo va alle donne e uomini dell’Autorità senza i quali nulla del poco che spero di aver fatto sarebbe stato possibile. Grazie alla mia segreteria, una squadra unica che auguro a chiunque di avere al fianco. Un ringraziamento alla comunità internazionale dei Garanti, ai colleghi dell’EDPB, dell’EDPS della Global Privacy Assembly: senza questa rete internazionale difendere la privacy nella società globale nella quale viviamo sarebbe semplicemente impossibile. Grazie ai colleghi del Collegio ai quali va il mio in bocca al lupo per la prosecuzione del lavoro e a tutti i rappresentanti delle istituzioni, della società civile e dell’industria con i quali ho lavorato.

    L’ultimo ringraziamento va alla mia famiglia, che ha pagato il prezzo più alto prima della mia scelta di vivere il mio incarico come una missione per la mia assenza e, poi, negli ultimi mesi, per la sofferenza che le inchieste giornalistiche e l’indagine della magistratura hanno loro inevitabilmente imposto. Grazie per la pazienza, la vicinanza, l’affetto.

    Arrivederci dalla stessa parte, quella dei diritti, delle libertà, della democrazia, anche se con ruoli e responsabilità diversi.

    First the news, then the reasons and reflections.

    I have just submitted to the President and to the Secretary General of the Italian Data Protection Authority my irrevocable resignation as a member of the College.

    I have decided to take a step back.

    I believe this is a right and necessary decision in the interest of the Institution, even though—allow me to think so—I cannot help but consider it unjust in substance and in the manner that led me to take it.

    I have no hesitation or embarrassment in admitting that this has been one of the most painful decisions of my life.

    I am leaving—of this I am convinced—one of the most beautiful jobs a person could ever have. I am leaving a role that I carried out with more determination and passion than any other I have held so far.

    I am leaving a role that I never considered merely a job, but a civic mission before being a professional and institutional one.

    A unique opportunity to do, in my own small way, my part in promoting and defending a right that has never been so central and indispensable in the lives of individuals and of society.

    A mission to which I have devoted every single day of the past five years.

    I am leaving a position that, for me, has always also represented a way of giving back—at least in part—to a country that has given me so much: allowing me to acquire important skills and experiences, to fulfil myself personally and professionally, and to believe in a future better than the past to be left to my daughters.

    I am leaving a position that I had dreamed of since, thirty years ago, I first met Stefano Rodotà and Giovanni Buttarelli, who were working on what would become the first Italian law on the protection of personal data.

    I am leaving—and here I come to the reasons for such a painful choice—primarily out of respect for their dream, that of Stefano and Giovanni, but also for the many women and men who, together with them, gave life to what would later become the Italian Data Protection Authority. A dream that, over the years, long before my appointment, also became mine: to make strong a fragile and courteous right such as privacy.

    A dream made possible by the work of an independent and authoritative Authority, capable of ensuring its promotion and protection.

    That Authority, which at the time was taking its first steps and later grew into one of the most prestigious and respected data protection authorities in the world, is today experiencing one of the most difficult moments in its thirty-year history.

    One day—which unfortunately is not today and is not near—it will be understood that this difficult moment for the Authority is not due to mistakes or omissions by those who have worked, work, and will continue to work within it, nor, as far as I am concerned, to what I have done or failed to do—while naturally acknowledging that doing better and more is always possible—but rather to factors external to the Authority and to pathologies and distortions of a system that has not yet found a sustainable balance between rights, freedoms, and powers, all equally central and indispensable to the democratic life of our country.

    But precisely because that day is not today and is far away, it cannot, unfortunately, be awaited.

    The country today needs a Data Protection Authority that, before having authority, has authoritativeness—not only effective but also perceived. And people, starting with the staff of the Authority, need and deserve that nothing be left undone so that the Authority may regain, as soon as possible, that perceived trust without which a right already fragile—because little known, or little known in its value to the most vulnerable and disliked by the most powerful—is almost impossible to promote and protect.

    It is for this reason, and for this reason alone, that today I have decided to take a step back.

    I leave in the absolute certainty that I bear no responsibility—as I already explained yesterday in a video to which I simply refer—for the allegations that have been raised against me.

    Even though there is no doubt that staying would have been the egoistically better choice, more comfortable, perhaps wiser, it would also have been incompatible with what I believe in, with my history, and with my way of being and respecting Institutions.

    I grew up in a family where I learned that a sense of the State is not declared only in words, but demonstrated through actions.

    And I want to be able to teach, also through the strength of example, the same principles and values to my daughters.

    The Authority, the Institution I have served over the past five years and to which I am viscerally attached, comes before me and before my own interests.

    Although until yesterday I had said the opposite, the calm that follows, even closely, the intensity of events has suggested this choice to me.

    But if these are the reasons for my resignation, I believe it is equally important to share, with the same transparency, those factors that gave me the strength to come this far.

    From the very beginning of this matter, I have said and written dozens of times that I consider both the journalistic investigation and the judicial inquiry involving the Authority to be right, useful, and democratically valuable—and I remain convinced of this.

    And yet, in all honesty, I do not believe that in a solid and mature democratic system legitimate journalistic and judicial investigations should be able to compromise to such an extent—before any specific responsibility has been ascertained—the proper functioning of an independent Authority tasked with promoting and protecting a fundamental right, a cornerstone of our democracy.

    And I do not believe the responsibility lies with journalists who conduct investigations, nor, even less so, with judges who do their work and fulfil their duties, but rather with us: with people, public opinion, society, a part of the media—not those who conduct investigations, but those who report them in an uncritical and sensationalistic manner in search of readers and views—with the algorithms of social networks that amplify the most radical messages and sacrifice the reach of more balanced and thoughtful ones, and with a part of politics—politics with a lowercase “p”—more focused on easy visibility and consensus than on reflection and ideas to improve people’s lives and the conditions of the country.

    I confess that this appears to me to be a major element of fragility in our democratic system, one that goes beyond this specific affair and on which, I believe, it is necessary to reflect urgently.

    I will stop here, but not before offering some necessary thanks.

    First and foremost, to the women and men of the Authority, without whom nothing of the little I hope I have accomplished would have been possible. Thanks to my secretariat, a unique team that I wish everyone could have by their side. Thanks to the international community of Data Protection Authorities, to colleagues at the EDPB, the EDPS, and the Global Privacy Assembly: without this international network, defending privacy in the global society in which we live would simply be impossible. Thanks to my colleagues on the College, to whom I extend my best wishes for the continuation of their work, and to all representatives of institutions, civil society, and industry with whom I have worked.

    My final thanks go to my family, who paid the highest price—first for my decision to live my role as a mission, through my absence, and then, in recent months, for the suffering that journalistic investigations and the judicial inquiry have inevitably imposed upon them. Thank you for your patience, closeness, and affection.

    Goodbye—from the same side as always: that of rights, freedoms, and democracy, even if with different roles and responsibilities.

0 | 5 | 10 | 15 | 20

Siti Web

0 | 20 | 40 | 60 | 80 | 100 | 120 | 140 | 160 |...

Parole chiave

SPIP | modello di layout | | Mappa del sito | Monitorare l'attività del sito RSS 2.0
https://middlepassage.dei.uc.pt/https://privacycolab.dei.uc.pt/https://cmd.dei.uc.pt/https://henrique.dei.uc.pt/
https://merdekakreasi.co.id/buku/pkvgames/https://merdekakreasi.co.id/buku/bandarqq/https://merdekakreasi.co.id/buku/dominoqq/https://merdekakreasi.co.id/tentang-kami/
https://simseam.ft.uns.ac.id/https://sipil.ft.uns.ac.id/slot gacorhttps://aku.ac.id/https://jpl.staiku.ac.id/https://jist.publikasiindonesia.id/slot gacorhttps://akperstg.ac.id/https://fisip.uisu.ac.id/https://web.pn-sidrap.go.id/
https://hormon-osteoporosezentrum.de/judi bolahttps://saopaulodeolivenca.am.gov.br/slot gacor