I fatti, sui procedimenti oggetto di contestazione

1. Il procedimento nei confronti di Ita Airways

Nell’atto notificatomi ieri, a proposito dell’ipotesi di corruzione, l’unico episodio che, mi sembra, mi si contesti è esser stato relatore, nel 2025, in un procedimento che vedeva coinvolta Ita Airways mentre il mio ex Studio aveva rapporti professionali con la compagnia aerea, procedimento finito con un ammonimento di quest’ultima.

Al riguardo mi sembrano importanti alcuni chiarimenti.

[A] Né io, né il mio ex Studio abbiamo mai assistito la compagna aerea fino a quando io ho fatto l’avvocato anche perché la società non esisteva essendo stata fondata dopo la mia elezione al Garante.

Non fosse stato così avrei fatto un passo indietro come ho sempre fatto, nei dieci casi sui circa tremila decisi in cinque anni, nei quali in adunanza sono arrivati procedimenti relativi a società che o io o il mio ex studio avevamo assistito.

Nel caso del procedimento in questione, al momento della decisione, non sapevo dei rapporti professionali del mio ex Studio con la compagnia aerea essendo tali rapporti sorti successivamente alla mia elezione al Garante.

[B] La decisione in questione è stata, comunque, assunta all’unanimità con la conseguenza che il mio voto è stato, evidentemente, ininfluente e che mai, da solo, avrei potuto condizionare l’esito del procedimento.

[C] A differenza di quanto leggo sui giornali e nell’atto che mi è stato notificato, il procedimento in questione non era relativo a “irregolarità formali e procedurali nel monitoraggio delle comunicazioni e nella tenuta della documentazione relativa al trattamento dei dati” ma più semplicemente relativo a un caso nel quale la compagnia aerea non aveva riscontrato tempestivamente l’istanza di un interessato che chiedeva di accedere ai suoi dati.

Tutte le violazioni della disciplina sulla privacy, naturalmente, sono gravi ma, quella in questione, non è, certamente, tra le più gravi e, quindi, in tutta franchezza, ritengo che l’ammonimento fosse una risposta sanzionatoria adeguata al caso di specie.

Nessuno, d’altra parte, ha impugnato la decisione.

A proposito dello stesso procedimento e, più in generale, dei rapporti con Ita Airways un’altra contestazione riguarda la circostanza che la società avrebbe messo a disposizione di ciascuno dei componenti del Garante delle carte fedeltà di tipo Executive, che, aveva suggerito l’inchiesta giornalistica di Report e si sostiene nell’atto, avrebbero un valore di sei mila euro e lo avrebbe fatto pur essendo un titolare del trattamento che, stando a delle dichiarazioni rese dall’ex Segretario generale del Garante, Angelo Fanizza – poi dimessosi a seguito della famosa richiesta di accesso alle mail dei nostri dipendenti della quale si era reso responsabile – avrebbe “numerosissimi procedimenti” davanti all’Autorità.

Anche qui, naturalmente, valutare l’accaduto tocca ai Giudici e solo ai Giudici.

E, però, alcuni chiarimenti all’opinione pubblica sono dovuti.

[A]

Non conosco, francamente, il valore commerciale della carta che, tuttavia, per quel che so, nella sostanza garantisce i seguenti benefici: l’accesso alle lounge in aeroporto, il passaggio nella corsia prioritaria all’imbarco e una più veloce raccolta delle miglia nel programma fedeltà di Ita.

[B]

Ho sempre viaggiato molto e, credo, di aver accumulato così il diritto alla carta in questione alla quale non ho mai ricollegato un particolare valore e ho, comunque, utilizzato –in una decina di occasioni – semplicemente per accedere alle lounge di Ita.

In tutta franchezza, peraltro, che dei rappresentanti di un’Istituzione che viaggiano spesso per lavoro possano – con o senza la carta in questione – disporre della possibilità di accedere a una sala di attesa dove continuare a lavorare o avere un imbarco prioritario non mi pare né una cosa anomala o straordinaria, né il riconoscimento di un privilegio da barattare con un trattamento di favore nell’esercizio di un’attività di vigilanza.

[C]

In ogni caso nei cinque anni di mandato alle spalle il Collegio, contrariamente a quanto riferito dall’allora Segretario Generale, si è trovato a pronunciarsi su Ita Airways esclusivamente nell’episodio qui sopra.

Non corrisponde peraltro al vero che pendano davanti all’Autorità “numerosissimi” procedimenti nei confronti della società potendosi contare tali procedimenti sulle dita di una mano o poco più.

2. Procedimento nei confronti della ASL di Avezzano

A dispetto di quello che leggo sui giornali di questa mattina altri episodi analoghi, ovvero nei quali i miei presunti rapporti con il mio ex Studio legale potrebbero aver condizionato la mia terzietà e indipendenza e, anzi, peggio, potrebbero avermi indotto a sottrarmi a tali doveri di terzietà e indipendenza per favorire il mio vecchio Studio e, sebbene non sia chiaro come, a procurarmi un qualche beneficio non mi si contestano.

Nell’atto che mi è stato notificato si indica, tuttavia, come da approfondire un altro procedimento, già rimbalzato agli onori delle cronache, nel quale, egualmente, era coinvolto il mio ex Studio.

Si tratta di un caso relativo a un data breach subito dalla Asl di Avezzano in relazione al quale, peraltro, avevo già pubblicamente fornito tutti i chiarimenti che mi sembravano e mi sembrano utili.

Eccoli.

[A] Non ho partecipato all’adozione del provvedimento avendo saputo del coinvolgimento del mio ex Studio: nella prima occasione in cui il Collegio avrebbe dovuto discutere il procedimento,benché abbia poi deciso di rinviarne l’esame, sono uscito dall’aula al momento della discussione e, nella seconda, quando il provvedimento è stato adottato, mi sono astenuto dal voto.

[B] Il provvedimento è stato, ancora una volta, adottato all’unanimità dei votanti e la decisione – ovvero l’ammonimento in luogo della sanzione – deliberata su proposta del relatore.

[C] Gli uffici, all’esito dell’istruttoria, avevano comunque ritenuto le responsabilità del titolare modeste tanto da proporre una sanzione di settemila euro.

[D] A dispetto di quello che leggo su alcuni giornali, nel caso un titolare del trattamento subisca un data breach  – come nel caso in questione – in partenza lo si considera sempre una vittima che diviene responsabile di una violazione della disciplina sulla privacy solo ove nel corso dell’istruttoria emerga che avrebbe dovuto fare di più per proteggere i dati oggetto del breach.

Nel caso di specie, non il Collegio, ma gli uffici, avevano, evidentemente, ritenuto che la Asl avrebbe potuto fare poco di più e, quindi, avevano proposto la sanzione modesta di cui alla lettera precedente.

Onestamente, a prescindere dall’assenza di qualsiasi mio coinvolgimento nella decisione, non mi pare una decisione anomala come si racconta.

3. Il procedimento sugli occhiali di Meta

Altri episodi di presunta corruzione per aver voluto favorire uno Studio con il quale ho, comunque, interrotto ogni rapporto prima di entrare al Garante non sono neppure accennati nell’atto che mi è stato notificato.

Leggo sui giornali – ma mi piace pensare si tratti di una svista sempre possibile quando si lavora in velocità su vicende complesse come questa – che qualcuno suggerisce che nell’ipotesi in questione rientri un diverso procedimento, anche questo già oggetto di grande attenzione mediatica all’esito dell’inchiesta giornalistica di Report, ovvero quello relativo ai famosi occhiali di Meta.

Non è quanto sostengono i Giudici.

A prescindere da questo vale, forse, la pena chiarire che io non ho mai assistito Meta, né l’ha mai assistita il mio ex Studio.

E, aggiungo, io non ho partecipato al voto dei due provvedimenti – quello sanzionatorio e quello di annullamento in autotutela – adottati dal Collegio.

La mia unica colpa, forse di opportunità ma non credo penalmente rilevante, è stata quella di fare un video, prima che l’Autorità avviasse l’istruttoria sulla vicenda, per raccontare alle persone che gli occhiali in questione, se utilizzati in maniera impropria, avrebbero potuto compromettere la privacy di molti e suggerire l’esigenza di campagne di educazione e informazione efficaci.

Nello stesso video ho, in effetti, aggiunto la mia visione delle cose in termini giuridici: non mi sembrava – e questa convinzione ha certamente influito nel convincermi dell’assenza di ragioni di inopportunità nel fare il video in questione – che si trattasse di questione sulla quale la nostra Autorità non aveva giurisdizione, apparendomi la giurisdizione dei colleghi irlandesi, ovvero quelli del Paese dove Meta ha il suo stabilimento principale in Europa e non mi sembrava che Meta potesse considerarsi titolare del trattamento di immagini eventualmente raccolte autonomamente dagli utenti e destinate a restare sui loro occhiali e/o sui loro smartphone.

Sostengo dall’inizio del mandato che, come peraltro prevede la legge, gran parte dei doveri delle Autorità di protezione dei dati personali debbano giocarsi sul piano dell’educazione e informazione delle persone e tanto ho ritenuto di fare con quel video.

Se è stato inopportuno me ne scuso.

Si è trattato eventualmente di un errore di valutazione ma non credo di una condotta illecita.