L'indipendenza del Garante Privacy

L’indipendenza di ogni authority è la prima condizione per l’esercizio indipendente delle relative funzioni e non può essere considerata e risolta quale mera espressione tautologica. Su tale necessità vi è accordo unanime in linea di principio, sennonché diverse sono le soluzioni ritrovate nei singoli ordinamenti, e le posizioni sostenibili, sul piano dei concreti strumenti atti ad assicurare l’indipendenza sotto il profilo soggettivo-istituzionale, quale teleologicamente riconnessa alla garanzia concreta dell’indipendenza sotto il profilo funzionale. L’indipendenza di ciascuna authority, e in particolare qui interessa quella Garante per la protezione dei dati personali, può essere diversamente declinata, come dimostrerà l’analisi comparata. Del pari, va preliminarmente avvertito che l’esigenza di indipendenza può essere differentemente riferita in relazione alla variegata tipologia di autorità; tipologia tanto articolata da essere stata autorevolmente definita un “arcipelago”. In particolare, è possibile distinguere le autorità indipendenti aventi prevalente funzione regolatoria dalle autorità di controllo. Le autorità stricto sensu di regolazione, o comunque quelle in cui tale funzione appare decisamente prevalente, sono state costituite per assicurare un grado di indipendenza a funzioni proprie dell’autorità di governo; funzioni quindi che rimangono di pertinenza del “governo” di un settore e quindi, si direbbe, in qualche modo rapportabili alla più tradizionale definizione di amministrazione attiva. Per questo tipo di attività appare maggiormente giustificabile un qualche ruolo più significativo dell’Esecutivo, financo nelle procedure di nomina, semmai con riferimento alla fase della proposta, comunque circondata da meccanismi, riconducibili al Parlamento ovvero costituiti dalla determinazione a priori dei requisiti, volti ad accentuarne il profilo della indipendenza. Diverso discorso deve valere per le autorità con funzione di garanzia e controllo in senso stretto, nel cui novero va sicuramente ascritto il Garante per la protezione dei dati personali, che esercita funzioni non riconducibili all’apparato né all’attività di governo, rispetto alle quali l’esigenza di garanzia assume valenza molto forte, quasi “assoluta”, richiedendo conseguentemente il massimo di indipendenza. E, in tale direzione, occorre ragionare, individuando le misure migliori a garantire tale carattere su di un piano di piena effettività delle soluzioni individuate. Peraltro, per entrambe le tipologie qui sinteticamente individuate, il ruolo delle autorità, senza indipendenza, non potrebbe venire ascritto a quel circuito delle garanzie, che viene assicurato proprio, su di un piano biunivocamente correlato, della “regolazione” e controllo indipendente, dal punto di vista oggettivo, svolta da un’autorità, anche dal punto di vista soggettivo della sua composizione, realmente indipendente e, se si può dir così, ancor più indipendente nel caso del Garante per la protezione dei dati personali e altre autorità simili di controllo. Il nuovo regolamento europeo sulla protezione dei dati personali sembra iniziare a porre con maggiore precisione i termini della questione dell’indipendenza, e relativi corollari, sul piano dei requisiti e sistemi di nomina dell’autorità nazionale di controllo, che viene qualificata proprio come “l’autorità pubblica indipendente istituita da uno Stato membro”. Il regolamento “impone”, attraverso la forza della propria fonte, che i membri delle autorità di controllo siano nominati “attraverso una procedura trasparente”, rispetto alla quale il regolamento stesso non si sottrae dall’individuare direttamente i soli, possibili soggetti legittimati a effettuare tale nomina (art. 53), individuandoli non solo tra organi costituzionali politici (Parlamento, Governo, Capo di Stato), ma anche indicando, in alternativa, una soluzione, che rappresenta forse ancor più una garanzia di indipendenza soggettiva, prevedendo la possibilità di assegnare la nomina a “un organismo indipendente incaricato della nomina”. Vi sono poi ulteriori indicazioni strumentali alla garanzia dell’indipendenza dell’organo: sul divieto di istruzioni, sulla durata, sui requisiti anche di competenza per la nomina, su astensioni e incompatibilità, sull’autonomia delle risorse umane, tecniche e finanziarie, su forme di controllo finanziario sulle stesse, compatibili con la loro indipendenza. Prima di analizzare tale articolato e quali siano le possibili soluzioni da adottare al fine di garantire l’indipendenza dell’autorità di controllo di protezione dei dati personali, tenendo in particolare conto quanto avviene in altre esperienze nazionali europee, è bene chiarire cosa vada intesa per indipendenza di un’autorità di controllo e in cosa essa si differenzi dalla mera imparzialità, soggettiva e funzionale, dell’amministrazione e, se essa abbia elementi, che la avvicinano all’indipendenza dei giudici. Si tratta di temi che sono funzionalmente collegati alla scelta della modalità ottimale di selezione e nomina di componenti di un’autorità che deve assicurare la sua piena indipendenza anche dai soggetti da cui è provenuta la nomina stessa... (segue)