La recente irrevocabile decisione di Guido Scorza di dimettersi da componente del board dell’Autorità Garante per la protezione dei dati personali segna un punto di svolta per un’Autorità che, negli ultimi anni, ha acquisito un profilo centrale nella governance digitale del Paese e in sede europea.

Le dimissioni non sono un episodio isolato né meramente personale: esse arrivano in un clima di tensione interna e di crescente scrutinio esterno (in particolare la trasmissione Report) che investe sia la struttura dell’Autorità sia il modo in cui essa è percepita al di fuori.

Garante privacy: la collegialità è uno strumento funzionale

Il Garante privacy è un’Autorità amministrativa indipendente composta da quattro membri eletti dal Parlamento, con un presidente il cui voto prevale in caso di parità; il mandato è di sette anni non rinnovabile (cfr. Codice privacy artt. 153 e sgg.).

Nel corso degli anni l’Autorità ha assunto un pieno ruolo regolatorio, diventando punto di riferimento non solo per l’attuazione del quadro normativo europeo in materia di protezione dei dati, ma anche per la definizione di prassi operative, orientamenti interpretativi e interventi tecnici che influenzano soggetti pubblici e privati su temi sensibili quali la gestione dei dati, la regolazione delle tecnologie digitali, l’intelligenza artificiale e la tutela dei diritti fondamentali nel sistema digitale.

La collegialità nelle dinamiche organizzative

La composizione del Collegio è un elemento strutturale della fisiologia dell’Autorità. La collegialità non è una scelta ornamentale, ma uno strumento funzionale: garantisce pluralità di competenze, bilanciamento tra indirizzo e regolazione, controllo reciproco, mediazione tra istanze istituzionali ed esigenze tecniche e, non ultimo, produzione di decisioni che godono di una legittimazione più robusta rispetto a modelli monocratici.

Chi è esperto di dinamiche organizzative sa che la collegialità genera valore istituzionale: un soggetto monocratico non potrebbe replicare quello scambio dialettico interno che consente di affrontare questioni complesse in cui si intrecciano diritti fondamentali, esigenze amministrative, interessi economici e vincoli tecnologici.

Le dimissioni di un componente del Garante privacy

Dopo mesi di dibattito mediatico e istituzionale, innescato da inchieste giornalistiche e proseguito con l’apertura di indagini giudiziarie nei confronti del board, l’uscita di Guido Scorza rompe una certa compattezza e solleva interrogativi sostanziali sulla stabilità interna dell’Istituzione e sulla capacità del Collegio di mantenere pienamente la propria funzione.

La riduzione numerica di un organo collegiale non ne sospende la funzione, ma ne comprime la fisiologia: meno componenti significa meno capacità deliberativa, minore pluralità interpretativa e maggiore esposizione individuale.

Le dimissioni di un componente del Garante privacy non possono quindi essere rubricate a nota di colore procedurale.

La protezione dei dati non è più, da tempo, materia di specialisti confinati tra giuristi informatici e tecnici delle architetture digitali, ma costituisce una delle infrastrutture normative centrali dell’economia digitale, destinata a intersecare processi amministrativi, modelli industriali e diritti fondamentali della persona.

È in questo passaggio di scala che le dinamiche interne di un’autorità indipendente assumono rilevanza sistemica.

Il ruolo dell’Authority in uno spazio policentrico di regolazione

In primo luogo, il contesto attuale non è una fase ordinaria. Se nei primi anni di applicazione del GDPR la sfida era metabolizzare la nuova architettura europea della privacy, oggi la sfida è definire l’interoperabilità con il nuovo quadro regolatorio digitale europeo: Digital Services Act (DSA, regolamento comunitario sui servizi digitali, approvato nel 2022), Digital Markets Act (DMA, regolamento dell’Unione Europea che punta a rendere i mercati digitali più equi e competitivi), direttiva NIS2 (normativa UE che mira ad innalzare il livello di cyber-sicurezza in 18 settori critici), Cyber Resilience Act, disciplina sul cloud, standard di trasparenza algoritmica e normative emergenti sull’intelligenza artificiale.

L’Autorità non opera più in un dominio monodimensionale, ma in uno spazio policentrico di regolazione.

Secondo elemento

Il Garante privacy in concreto fa parte di una piattaforma regolatoria che dialoga con altri regolatori nazionali, organismi europei, autorità indipendenti settoriali e soggetti pubblici e privati in un sistema di regole distribuite.

In questo modello, la collegialità e la percezione esterna di stabilità sono condizioni essenziali per sostenere processi regolatori complessi.

Cosa implica l’assenza di un componente

In tale contesto, la vacatio di un componente, pur non producendo uno stallo legale e procedurale – l’Autorità resta pienamente operativa – genera effetti di secondo livello sulle dinamiche decisionali:

• minore capacità di trattare dossier ad alta intensità tecnica;
• riduzione della pluralità di prospettive;
• maggiore esposizione per i membri rimasti;
• rischio di polarizzazione nelle istruttorie sensibili;
• possibile percezione esterna di fragilità istituzionale proprio nel momento in cui sarebbe richiesta la massima solidità.

L’idea secondo cui “l’Autorità continua comunque a deliberare” è giuridicamente corretta, ma istituzionalmente riduttiva: nella regolazione della protezione dei dati la percezione di forza o debolezza incide sulla capacità di incidere nei processi.

Le 4 opzioni dopo le dimissioni per il Garante Privacy

Una prima opzione è la non nomina, lasciando che il Collegio operi in assetto ridotto fino alla scadenza del mandato.

È la soluzione a minimo intervento: garantisce continuità, non altera gli equilibri interni, ma produce un paradosso evidente – proprio quando l’Autorità è più esposta e più richiesta le viene sottratta una parte della sua architettura deliberativa. Il rischio è la continuità solo apparente.

La seconda opzione è la nomina rapida di un sostituto con durata limitata al periodo residuo del mandato.

È la soluzione tradizionale, rispetta la simmetria temporale dei componenti, evita shock istituzionali e non modifica il ciclo di rinnovo. Tuttavia, un mandato breve può ridurre l’attrattività dei potenziali candidati, soprattutto di profili tecnici di alto livello che necessitano di orizzonti temporali più estesi per impostare linee regolatorie coerenti.

Una terza possibilità è la nomina del quarto componente con mandato pieno. Rompe la simmetria temporale ma consente di inserire una componente di visione più lunga in un organismo che tende a ragionare per cicli quinquennali.

Tale scelta presenta benefici e costi: da un lato introduce continuità prospettica; dall’altro crea asimmetrie di durata che possono incidere sugli equilibri interni e sui futuri rapporti con il Parlamento.

Peraltro, potrebbe costituire un precedente nell’ambito di una eventuale riforma: prevedere nomine sfalsate di due componenti per volta, in modo da garantire una continuità istituzionale permanente con un ricambio periodico parziale anziché totale.

La quarta opzione è infine la più radicale: utilizzare l’occasione per rivedere in tempi rapidi le regole di nomina, durata e decadenza del Collegio.

Si tratta di un intervento sistemico che trasformerebbe la crisi in occasione di riforma, ridefinendo criteri di accesso, incompatibilità, meccanismi di accountability e continuità istituzionale. L’effetto di lungo periodo sarebbe un rafforzamento strutturale; l’effetto di breve periodo un inevitabile shock transitorio che dovrebbe essere gestito con tempi certi per evitare paralisi funzionali.

L’impatto della crisi attuale

La crisi attuale ha quindi un impatto che va oltre la sostituzione numerica di un componente: essa investe la percezione di indipendenza, autorevolezza e credibilità dell’Autorità. Elementi che non sono solo interni alla sua operatività, ma costitutivi della sua legittimazione esterna nei confronti di cittadini, giuristi, imprese e istituzioni europee.

Le tensioni emerse non si limitano alle dimissioni individuali.

All’interno si sono evidenziate istanze legate alla serenità operativa e alla tutela della reputazione dell’Autorità; all’esterno si è assistito a un’estensione del dibattito su trasparenza, indipendenza e accountability.

La discussione si è così spostata dal “chi” debba essere sostituito al “come” e “perché” debbano essere selezionati i componenti, e su quale architettura istituzionale garantisca la piena legittimazione del sistema nazionale della protezione dei dati.

In questo scenario, il Parlamento si trova di fronte a una decisione importante e sostanziale che riguarda le condizioni, per una democrazia viva, per dotarsi di un’Autorità indipendente che sia tecnicamente competente, istituzionalmente solida e reputazionalmente credibile.

Tre assi logici per una riforma responsabile

Una traiettoria di riforma responsabile potrebbe articolarsi lungo alcuni assi strategici:

• maggiore trasparenza nei criteri di selezione;
• rafforzamento delle incompatibilità;
• modelli di mandato che bilancino continuità e ricambio;
• accountability interna più strutturata;
• e dialogo più aperto con la società civile e gli stakeholder.

Questo è un elenco di possibilità funzionali alla resilienza di un’Autorità regolatoria che opera su diritti fondamentali e infrastrutture digitali.

Più in concreto, una linea di riforma responsabile potrebbe svilupparsi lungo tre assi logici:

• ripensare la governance e le modalità di nomina dei membri del Collegio. Le regole attualmente vigenti, pur consolidate, non hanno impedito l’emersione di tensioni interne e dubbi esterni. È opportuno valutare criteri più stringenti di selezione, maggiore trasparenza nei processi e incompatibilità più robuste, così da prevenire conflitti d’interesse e rafforzare ex ante la credibilità;
• garantire un mandato che contempli equilibrio tra continuità e rinnovamento. Una nomina con mandato pieno, eventualmente accompagnata da un modello di “sfalsamento” dei mandati, consentirebbe di evitare l’alternanza totale del Collegio e assicurare una continuità istituzionale funzionale alla stabilità del sistema;
• rafforzare i meccanismi di accountability interna. (Anche) le autorità indipendenti non possono essere prive di sistemi di autocontrollo; la credibilità futura si costruisce nella capacità di prevenire le opacità, non soltanto di gestirle ex post.

Le dimissioni di un componente rappresentano dunque un momento critico, ma anche un’opportunità.

Il Paese può affrontare la questione come un semplice adempimento formale oppure come un passaggio di crescita istituzionale.

La prima strada garantisce la sopravvivenza del modello esistente. La seconda consegna al sistema una architettura più robusta per la fase che si sta aprendo.
La scelta è nelle mani del Parlamento. Le conseguenze riguarderanno tutti.