Art. 2-bis D.Lgs. 196/2003 — Autorità di controllo

Commento

Il Garante come autorità di controllo nazionale

L'art. 2-bis del Codice Privacy, introdotto dal D.Lgs. 101/2018, individua nel Garante per la protezione dei dati personali l'autorità di controllo nazionale ai sensi degli artt. 51 ss. GDPR. La norma è il punto di raccordo tra l'architettura istituzionale italiana, già consolidata dal 1997, e l'obbligo del GDPR di designare almeno un'autorità nazionale indipendente in ogni Stato membro. L'Italia ha scelto un'autorità unica e centralizzata, dotata di competenza generale su tutto il territorio.

Natura giuridica: l'indipendenza come pilastro

Il Garante è un'autorità amministrativa indipendente, non sottoposta a indirizzo politico né a controllo gerarchico. L'indipendenza è garantita su tre piani: organizzativo (autonomia regolamentare), funzionale (insindacabilità dei provvedimenti se non in sede giurisdizionale) e finanziario (gestione autonoma del bilancio). Il GDPR rafforza questo profilo richiedendo che ogni autorità di controllo agisca "in piena indipendenza" (art. 52 GDPR), liberi da influenze esterne. La Corte di Giustizia UE ha più volte sottolineato che l'indipendenza è un requisito non solo formale ma sostanziale.

Composizione e nomina

Il collegio del Garante è composto da quattro membri eletti dal Parlamento, due dalla Camera dei deputati e due dal Senato. Restano in carica sette anni e non sono rinnovabili. La scelta del Parlamento garantisce la legittimazione democratica; il limite del mandato non rinnovabile rafforza l'indipendenza. Il presidente è eletto al suo interno. Il Garante si avvale di un Ufficio del Garante con personale tecnico, articolato in dipartimenti per settore (sanità, comunicazioni elettroniche, lavoro, pubblica amministrazione, sicurezza).

Poteri del Garante: art. 58 GDPR

I poteri del Garante sono enumerati dall'art. 58 GDPR e disciplinati nel Codice agli artt. 154 ss. Si distinguono in: poteri di indagine (accesso ai dati, audizioni, ispezioni); poteri correttivi (avvertimenti, ammonimenti, ordini di adeguamento, limitazioni temporanee del trattamento, ordini di cancellazione, sanzioni amministrative pecuniarie); poteri autorizzativi e consultivi (autorizzazioni preventive, pareri sulle DPIA, approvazione di codici di condotta). Il Garante adotta inoltre provvedimenti generali che hanno effetto regolatorio (per esempio, il provvedimento del 10 giugno 2021 sui cookie).

Provvedimenti generali e codici di condotta

Una funzione strategica del Garante è quella regolatoria: provvedimenti generali su categorie omogenee di trattamenti (videosorveglianza, marketing, cookie, intelligenza artificiale, controlli sui lavoratori), regole deontologiche per giornalisti, ricercatori, investigatori privati, approvazione di codici di condotta settoriali (art. 40 GDPR). Questa funzione, pur non formalmente vincolante, definisce nei fatti gli standard di compliance richiesti a imprese e PA. Il provvedimento sui cookie del 2021, in particolare, ha riscritto la prassi del web tracking italiano.

Rapporti con il Comitato Europeo (EDPB)

Il Garante rappresenta l'Italia presso il Comitato Europeo per la Protezione dei Dati (EDPB), organismo che riunisce tutte le autorità nazionali UE e il Garante Europeo. L'EDPB adotta linee guida vincolanti per gli Stati membri (per esempio, sulle DPIA, sui trasferimenti extra-UE post-Schrems II, sulla designazione del DPO). Nei trattamenti transfrontalieri opera il meccanismo dello sportello unico (one-stop-shop): il Garante è autorità capofila o coinvolta a seconda della collocazione del titolare. La cooperazione tra autorità è disciplinata dagli artt. 60-67 GDPR.

Provvedimenti notori del Garante e impatto regolatorio

L'attività del Garante ha plasmato la prassi italiana in modo decisivo. Tra i provvedimenti più impattanti: a) cookie (10 giugno 2021): ha riscritto le regole del web tracking; b) videosorveglianza (provv. 8 aprile 2010 e aggiornamenti): ha fissato le condizioni di liceità per impianti privati e pubblici; c) marketing (linee guida 2013 e aggiornamenti): ha disciplinato il telemarketing e l'email marketing; d) intelligenza artificiale (provv. 30 marzo 2023 su ChatGPT): primo intervento europeo su un LLM, ha imposto temporaneamente il blocco; e) videosorveglianza con riconoscimento facciale (provv. SARI 2018, SARI Real-Time 2024): ha imposto limiti stretti all'uso di facial recognition. Questi provvedimenti definiscono di fatto gli standard di compliance attesi e sono il principale benchmark per le imprese.

Cooperazione internazionale: EDPB e casi Big Tech

Il Garante italiano è uno dei più attivi a livello europeo. Nel triennio 2022-2024 ha partecipato a procedimenti EDPB su: Meta (decisioni sul targeting comportamentale e sui trasferimenti extra-UE post-Schrems II); Google (cookie e fingerprinting); TikTok (minori e targeting); ClearView AI (riconoscimento facciale, ban operato in più paesi UE); OpenAI (ChatGPT, primo blocco temporaneo); Replika (chatbot e minori). La sanzione record del 2024 è stata l'1,2 miliardi di euro a Meta per trasferimenti extra-UE illegittimi, decisa dall'autorità irlandese (DPC) ma con voto vincolante del Garante italiano. La cooperazione internazionale rende il Garante italiano un giocatore di primo piano nella regolazione globale dei dati.