Negli ultimi mesi l’Autorità garante per la protezione dei dati personali è passata dall’essere percepita come il cane da guardia della privacy degli italiani a simbolo di un cortocircuito istituzionale senza precedenti. Il cosiddetto “dossier fantasma” sulle consulenze e sui rapporti opachi tra membri del Collegio, pubbliche amministrazioni e grandi piattaforme digitali, amplificato dalle inchieste televisive e giornalistiche, non ha prodotto dimissioni immediate. Ma ha incrinato in modo profondo la fiducia nell’ente che dovrebbe difendere i cittadini dagli abusi sui dati. A questa crisi di reputazione si è aggiunto un elemento dirompente: un ordine interno del segretario generale Angelo Fanizza per acquisire, in blocco, decenni di e-mail, log di rete, accessi VPN e dati interni dei dipendenti del Garante, con l’obiettivo dichiarato di individuare chi avesse parlato con la stampa. Un atto che, oltre a richiamare scenari di sorveglianza incompatibili con il mandato dell’Autorità, si è scontrato con il rifiuto netto del responsabile della sicurezza informatica Cosimo Comella e con la reazione compatta del personale, che ha chiesto le dimissioni dell’intero Collegio guidato da Pasquale Stanzione. Il quadro che emerge è quello di un’autorità che, mentre richiama aziende e pubbliche amministrazioni al rispetto delle regole su log, controlli a distanza e trasparenza, finisce al centro di accuse speculari: conflitti di interesse, rapporti privilegiati con Meta, gestione controversa di grandi data breach, fino al tentativo di sorvegliare i propri lavoratori. Una frattura che molti interpretano come uno “strappo della vergogna”, difficilmente sanabile solo con una nota ufficiale o con le dimissioni di una singola figura apicale.
Cosa leggere
Dall’esplosione del dossier fantasma alla crisi del Collegio
Il punto di partenza è il cosiddetto dossier fantasma che, per mesi, ha circolato negli ambienti istituzionali e tra gli addetti ai lavori, portando alla luce una serie di esposti e inchieste sulle relazioni del Collegio del Garante con studi legali specializzati in diritto delle tecnologie e della privacy. Al centro delle contestazioni, secondo quanto emerso, vi sono tre esposti indirizzati alla Corte dei conti e ad altre autorità giudiziarie, in cui si punta il dito su assegnazioni di consulenze da parte di pubbliche amministrazioni a uno studio legale collegato al passato professionale di Guido Scorza e dell’ex studio da lui fondato, a cui risulterebbero riconducibili legami mai del tutto recisi. La circostanza che la mail di registrazione all’Ordine degli avvocati di Torino fosse ancora associata a quella struttura, pur in presenza di una separazione formale solo recente, ha alimentato l’idea di una rottura più apparente che sostanziale. Il cuore del problema non è solo l’eventuale incompatibilità formale, ma la percezione che un componente del Collegio possa trovarsi, anche indirettamente, su entrambi i lati del tavolo: da un lato l’Autorità che vigila, dall’altro chi offre consulenza alle amministrazioni sottoposte a controlli e sanzioni. Un intreccio che ha generato indignazione politica e istituzionale, trasformando il dossier da vicenda tecnica a caso nazionale.
Il caso Asl Abruzzo, Asl Napoli 3 Sud e il tema del doppio standard
Uno dei capitoli più discussi riguarda l’attacco informatico alla Asl 1 Abruzzo del 3 maggio 2023, nel quale sarebbero stati sottratti dati altamente sensibili: informazioni su pazienti con Hiv, orientamento sessuale, interruzioni di gravidanza, patologie oncologiche. Un data breach che in qualunque paese europeo viene considerato tra le ipotesi più gravi in assoluto. In quella istruttoria, la Asl avrebbe affidato un incarico di consulenza da 56 mila euro più Iva e oneri all’avvocato Ernesto Belisario e allo studio E-Lex, fondato insieme a Guido Scorza prima dell’ingresso di quest’ultimo nel Collegio del Garante. Al termine del procedimento, l’Autorità ha deciso per un ammonimento per “violazione minore”, riconoscendo come attenuanti le misure adottate dall’azienda sanitaria dopo l’incidente. La scelta ha fatto rumore perché, in casi considerati analoghi, come quello di un attacco informatico alla Asl Napoli 3 Sud, il Garante aveva comminato sanzioni economiche significative, intorno ai 30 mila euro, contestando la gravità delle carenze nella protezione dei dati. Di fronte alla diversità di trattamento, molti osservatori hanno parlato di possibile doppio standard, domandandosi perché in un caso si sia optato per la linea dura e nell’altro per un esito molto più morbido. Lo stesso Scorza ha precisato, in queste settimane, di essersi sempre astenuto dal voto quando era a conoscenza del coinvolgimento dello studio legale da lui fondato. Ma il punto centrale, per chi critica l’Autorità, non è solo il voto formale: è l’insieme dei rapporti, delle reti professionali e delle percezioni che si sedimentano agli occhi dell’opinione pubblica.
Lo strappo della vergogna: quando il Garante chiede di spiare i suoi dipendenti
Nel pieno di questa tempesta, è arrivato il colpo più clamoroso: l’emersione di un documento interno del 4 novembre 2025, in cui il segretario generale Angelo Fanizza ordina al dirigente della sicurezza informatica Cosimo Comella di acquisire, con “effetto immediato”, una massa enorme di dati interni dell’Autorità. Non si tratta di un controllo mirato, ma di una richiesta di accedere a tutte le e-mail dei dipendenti, monitorare accessi VPN, cartelle condivise, spazi di rete, sistemi documentali, fino ai sistemi di sicurezza, congelando la sovrascrittura dei log su tutti i sistemi. L’ordine prevede che l’intera operazione sia raccolta su supporti fisici (uno o più DVD) e consegnata direttamente al segretario generale, in forma “riservata e interpersonale”. L’obiettivo reale, emerso nelle ore successive, non era un’esigenza generica di sicurezza, ma l’individuazione del dipendente sospettato di aver fornito informazioni ai giornalisti d’inchiesta. Proprio il tipo di comportamento che il Garante, per anni, ha sanzionato nelle aziende private, quando tentavano di monitorare lavoratori e corrispondenza senza base giuridica. Nella memoria di molti addetti ai lavori risuona il contrasto con l’atteggiamento assunto dallo stesso Garante nei confronti di imprese che avevano anche solo ipotizzato di controllare sistematicamente le e-mail o il traffico di rete dei dipendenti. In quei casi, l’Autorità ha sempre richiamato l’articolo 15 della Costituzione sulla segretezza della corrispondenza e le norme in materia di controlli a distanza, ricordando come certe pratiche siano eticamente inaccettabili, giuridicamente vietate e duramente sanzionabili.
La risposta di Cosimo Comella e l’applauso dei lavoratori
Il 5 novembre, alle 13:04, arriva la risposta ufficiale di Cosimo Comella, destinata a restare nella storia dell’Autorità. Il dirigente rifiuta di eseguire l’ordine, mettendo nero su bianco che quell’acquisizione configurerebbe una violazione del diritto costituzionale alla segretezza della corrispondenza e delle norme di protezione dei dati personali. Comella ricorda che il Garante ha sanzionato decine di aziende per aver tentato di fare esattamente ciò che ora veniva chiesto ai tecnici interni: accedere alle e-mail dei lavoratori senza base giuridica, monitorare gli accessi e trattenere i log oltre i limiti previsti. Senza un provvedimento dell’autorità giudiziaria o un fondamento normativo chiaro, un’operazione del genere sarebbe illegale. Nel documento vengono citati i provvedimenti storici del Garante, tra cui le Linee guida del 2007 che vietano l’accesso indiscriminato ai messaggi di posta dei dipendenti e il provvedimento sui metadati del 6 giugno 2024, che fissa in 21 giorni il termine di conservazione dei log, salvo accordi sindacali o autorizzazioni specifiche. Fanizza chiedeva, di fatto, la conservazione integrale di 24 anni di dati e il blocco di ogni sovrascrittura, in totale contrasto con le regole fissate dalla stessa Autorità.
Comella sottolinea anche il profilo tecnico, quasi paradossale: per copiare l’intera mole di dati sarebbero necessari circa 20 mila DVD, 4 mila ore di lavoro, oltre 100 terabyte di spazio e una piattaforma avanzata per analisi forense e correlazione. Un’operazione tecnicamente ingestibile e, soprattutto, giuridicamente insostenibile, che costituirebbe una “violazione paradossale” delle norme emanate dallo stesso Garante, con un danno reputazionale immenso. Il documento si chiude con una nota amara: il dirigente, in procinto di partire per le ferie, mette a disposizione due referenti “di elevata professionalità” per eventuali attività di analisi forense, ma ribadisce che, così formulata, la richiesta “non può essere accolta”. Quando la nota viene discussa con il personale, i dipendenti esplodono in un applauso di cinque minuti rivolto a Comella. È l’immagine plastica di un’Autorità spaccata tra chi prova a tenere la barra dritta sul diritto e chi, al vertice, sembra disposto a forzare proprio quelle regole che dovrebbe far rispettare agli altri.
Comella e quel rapporto indiretto e irrilevante con il Colle
Non è emerso finora dall’inchiesta di report che Cosimo Comella è genero del presidente Mattarella e lavora al Garante della Privacy con l’incarico di responsabile del Dipartimento tecnologie digitali e sicurezza informatica. Un parentela irrilevante visto che l’azione di Comella non solo è stata esemplare dal punto di vista sindacale e morale, ma anche perché mette a tacere le voci di questi giorni di un eventuale “complotto” del Quirinale ai danni della Premier Meloni, che in questa vicenda ne trova giovamento vista la nomina del Collegio antecedente all’attuale esecutivo e vista la gravità delle accuse che coinvolgono più Stanzione e Scorza rispetto al ruolo politico di Ghiglia giustamente attenzionato da Report per il suo balzo in avanti sulle vicende che ne hanno decretato la sanzione economica alla trasmissione di Sigfrido Ranucci.
A complicare ulteriormente il quadro arriva anche la lettura di Andrea Lisi, avvocato ed esperto in materia di dati personali, che invita a distinguere tra il caso Fanizza e la responsabilità complessiva del Collegio. Nel suo intervento, Lisi sostiene di non riuscire a vedere nella richiesta del segretario generale al dottor Cosimo Comella un ordine di sorveglianza generalizzata su log ed e-mail dei dipendenti, quanto piuttosto una istanza di accesso personale, formulata in modo goffo e ambiguo, ma non necessariamente pensata come un’operazione massiva di controllo interno. La risposta negativa di Comella, osserva Lisi, fa però emergere un dato ancora più grave e paradossale: l’Autorità che dovrebbe dare l’esempio non si sarebbe mai dotata di una policy chiara sull’uso degli strumenti informatici e conserverebbe da 24 anni log ed e-mail dei propri lavoratori.
L’assemblea dei lavoratori e le dimissioni di Fanizza
Nella giornata del 20 novembre 2025, il personale del Garante si riunisce in assemblea come riporta Wired. Sul tavolo ci sono le rivelazioni degli ultimi giorni, il documento interno del 4 novembre, le tensioni accumulate sulle consulenze e sui rapporti con la politica. Al termine dell’assemblea, i lavoratori votano all’unanimità una richiesta di dimissioni dell’intero Collegio, guidato dal presidente Pasquale Stanzione e composto da Ginevra Cerrina Feroni, Agostino Ghiglia e Guido Scorza. Si tratta di una richiesta non vincolante sul piano formale, ma fortissima sul piano politico e simbolico: per la prima volta, non sono solo stampa e opposizioni a sollevare dubbi sull’Autorità, ma coloro che ogni giorno la fanno funzionare dall’interno.
In serata, arriva la nota ufficiale dell’ente: il segretario generale Angelo Fanizza rassegna le dimissioni, il Collegio ne prende atto e lo ringrazia per il lavoro svolto. Nel frattempo, però, filtra un elemento che rende ancora più tesa l’atmosfera: mentre nella nota ufficiale l’organo di vertice si dichiara estraneo all’iniziativa del segretario generale, i lavoratori fanno sapere che, durante l’assemblea, lo stesso Collegio avrebbe confermato di essere stato informato di quell’ordine. Per molti, questa discrepanza rappresenta l’ennesimo segnale di una crisi di fiducia consumata: se l’Autorità che sanziona le aziende per mancanza di trasparenza viene percepita come reticente al proprio interno, il danno reputazionale diventa difficilmente reversibile.
Meta, il leak WhatsApp e la memoria corta del Garante
In parallelo, sullo sfondo della crisi interna, emerge un altro tema che pesa sulla credibilità del Collegio: il rapporto con Meta e la gestione dei grandi data leak che hanno coinvolto Facebook e WhatsApp negli ultimi anni.
Il componente del Collegio Agostino Ghiglia ha pubblicato in questi giorni, sui social, un post allarmato sulla notizia del leak di 3,5 miliardi di numeri di telefono legati a WhatsApp, evidenziando i rischi per gli utenti in paesi autoritari, dove l’esposizione dei contatti può mettere in pericolo dissidenti, attivisti e oppositori politici. Una preoccupazione legittima, che però stride con la memoria di chi ricorda il precedente grande leak di Facebook che, tra il 2020 e il 2021, ha alimentato ondate di crimine informatico in Italia e nel mondo. In quella occasione, secondo le denunce di Matrice Digitale, il Garante sarebbe apparso molto meno incisivo di quanto ci si sarebbe aspettati da un’autorità di vertice europea sulla privacy. Il paradosso, sottolineato da più parti, è che i rischi oggi evocati da Ghiglia – esposizione di profili in contesti repressivi, tracciabilità di soggetti vulnerabili, reidentificazione di account considerati anonimi – sono gli stessi che si erano già manifestati con il leak precedente, in cui molti dei numeri oggi circolanti erano già stati diffusi anni fa. Un altro fronte critico riguarda la gestione del caso Smart Glasses di Meta, emerso anche nelle inchieste televisive, dove si è contestato al Garante di non aver agito con la necessaria fermezza su un dispositivo che, per natura, pone questioni enormi di sorveglianza di massa e raccolta di dati biometrici nello spazio pubblico. Da qui nasce l’impressione, alimentata da commentatori e attivisti, che tra il Garante e Meta si sia consolidato nel tempo un rapporto “speciale”, troppo tollerante nei confronti del colosso statunitense, proprio mentre altri paesi europei spingevano per regolazioni più severe e blocchi mirati delle funzionalità considerate più invasive. Ed i rapporti con Meta non sono stati gestiti da Ghiglia, bensì da altri componenti del Collegio con cui condividono amicizie in comune con i legali del colosso statunitense.
La lobby social, i “meta accattoni” e la crisi di reputazione
Sul piano comunicativo, la crisi del Garante si intreccia con un ecosistema di influencer, consulenti e opinion leader della privacy che popolano social network come LinkedIn, presentandosi come paladini della protezione dei dati mentre, secondo i critici, normalizzano o minimizzano scelte che danneggiano i cittadini. Il caso della Asl Napoli 3 Sud e dell’Asl Abruzzo, dove sono stati esposti dati di pazienti oncologici, persone che hanno subito aborti, minori, soggetti affetti da patologie sensibili, ha acceso i riflettori non solo sulla gestione dei singoli data breach, ma sulla narrazione pubblica che circonda queste vicende. In quella “piattaforma ridicola” come LinkedIn, si vedono spesso like e commenti compiacenti sotto i post di figure vicine al potere per mero interesse o amicizia personale, mentre la discussione sui diritti violati delle vittime passa in secondo piano. Alcuni studiosi e professionisti, come l’avvocato Massimo Melica, hanno iniziato a rompere questo schema, sollevando in modo esplicito il tema del ruolo del Garante e chiedendo chiarezza sui conflitti di interesse e sulle scelte discrezionali del Collegio.
In questo contesto, emerge una lettura provocatoria ma significativa: quella secondo cui il vero garante della privacy, negli ultimi mesi, sembra essere stato il giornalismo d’inchiesta e chi ha avuto il coraggio di denunciare, più che l’Autorità formalmente incaricata di proteggere i dati. Una provocazione che fotografa bene la perdita di fiducia in un’istituzione che, per anni, è stata percepita come l’ultimo baluardo contro gli abusi del capitalismo della sorveglianza.
La politica tra richieste di dimissioni e scudo dell’indipendenza
La crisi del Garante non si consuma solo nei corridoi dell’Autorità. Le inchieste di Report e de Il Fatto Quotidiano hanno spinto forze politiche di maggioranza e opposizione a prendere posizione, chiedendo esplicitamente le dimissioni del Collegio. A sollecitare un passo indietro sono stati, tra gli altri, il Movimento 5 Stelle e il Partito Democratico, che pure erano al governo quando l’attuale Collegio fu nominato, nel luglio 2020. Nel mirino, oltre al tema dei conflitti di interesse e dei rapporti con Meta, anche le presunte aderenze politiche di alcuni componenti del Collegio con Fratelli d’Italia e Lega, emerse nel dibattito sulle riforme di NCC e green pass, nonché il caso della multa da 150 mila euro a Report per la diffusione dell’audio dell’allora ministro Gennaro Sangiuliano. Nel corso di un’intervista al Tg1 dell’11 novembre, il presidente Pasquale Stanzione ha però rivendicato l’indipendenza del Garante, chiarendo che il Collegio non presenterà le dimissioni, e che un organo di garanzia non può essere piegato alle pressioni della politica. L’argomento è formalmente corretto: l’Autorità è concepita come indipendente proprio per resistere ai cicli e alle convenienze delle maggioranze di turno. Tuttavia, la grande domanda che oggi si pone è se questa indipendenza formale sia diventata, di fatto, uno schermo contro ogni responsabilità politica e istituzionale, anche in presenza di vicende che minano la fiducia dei cittadini e del personale interno. Il mandato del Collegio è settennale e scadrebbe naturalmente nel luglio 2027, ma la condizione di sfiducia diffusa, dentro e fuori l’ente, apre uno scenario nuovo, in cui la legittimazione non può essere misurata solo sulla durata legale dell’incarico.
Cosa resta del Garante come cane da Guardia della Privacy
Al termine di questa sequenza di eventi – dossier fantasma, casi Asl, rapporti con Meta, ordine di spionaggio interno, rivolta dei lavoratori, dimissioni del segretario generale – l’immagine del Garante appare radicalmente trasformata. Per anni, i cittadini italiani hanno creduto nell’esistenza di un “cane da presa” della privacy, pronto a intervenire contro multinazionali, piattaforme social e pubbliche amministrazioni negligenti. Oggi, la narrazione che si impone è diametralmente opposta: secondo molti osservatori, l’Autorità avrebbe agito in alcuni casi come alleato di fatto dei giganti del web, mostrando una solerzia selettiva, più dura con alcuni soggetti, più morbida con altri. Il punto non è riducibile a una singola persona o a un singolo provvedimento. È la somma dei segnali – consulenze, leak, sanzioni, ordini interni, note ufficiali, post sui social – a restituire l’immagine di un ente logorato da ambiguità e opacità, proprio nel momento storico in cui la protezione dei dati personali è diventata uno dei terreni decisivi della democrazia digitale. Se e come questa crisi potrà essere superata dipenderà da alcune scelte irreversibili: trasparenza radicale sui conflitti di interesse, ricostruzione della fiducia con i dipendenti, recupero della coerenza tra ciò che il Garante chiede agli altri e ciò che pratica al proprio interno. Finché resterà sul tavolo l’idea che l’Autorità abbia chiesto di spiare ventiquattro anni di vita digitale dei propri lavoratori, sarà difficile spiegare agli italiani perché dovrebbero fidarsi, ancora, di chi è chiamato a decidere come, quando e da chi possono essere guardati loro.
