Un “terremoto giudiziario” scuote in Italia, ulteriormente i vertici di una delle istituzioni più delicate del Paese. La Procura di Roma ha iscritto nel registro degli indagati per peculato e corruzione il Presidente e i tre componenti del Collegio del Garante per la Protezione dei Dati Personali.

Al centro dell’indagine, condotta dalla Guardia di Finanza, ci sono favori indebiti, tessere aeree di lusso e un sospetto sistema di “scambio” sanzionatorio con la compagnia di bandiera ITA Airways, tra il 2022 ed il 2023.

Le tessere “Volare” e il prezzo dell’imparzialità

Il fulcro dell’inchiesta ruota attorno alle tessere “Volare” classe Executive, dal valore commerciale di circa 6.000 euro ciascuna. Secondo gli inquirenti, i membri del Collegio avrebbero ricevuto questi “omaggi” da ITA Airways nel biennio 2022-2023.

L’ipotesi accusatoria è pesante: le tessere non sarebbero state semplici cortesie istituzionali, ma la contropartita per un atteggiamento “morbido” dell’Autorità. A fronte di irregolarità nel trattamento dei dati dei passeggeri, il Garante avrebbe infatti optato per sanzioni puramente formali, evitando alla compagnia le pesanti multe pecuniarie previste dal regolamento europeo GDPR.

Conflitti d’interesse e l’ombra di Report

L’indagine non nasce nel vuoto. Già in passato, inchieste giornalistiche come quelle di Report avevano sollevato dubbi sulla gestione interna del Garante, evidenziando una fitta rete di collaborazioni e nomine che lambivano il perimetro degli interessi personali dei membri.

In questo nuovo capitolo, emerge un dettaglio critico: il Data Protection Officer (DPO) di ITA Airways in quegli anni era un avvocato legato allo studio legale fondato da uno dei membri del Collegio, studio nel quale lavorerebbe tuttora la moglie di quest’ultimo. Un “corto circuito” tra controllori e controllati che mina alla base il principio di indipendenza dell’Autorità.

ITA Airways: tra il “marcio” di Alitalia e il modello Lufthansa

Mentre l’inchiesta si concentra sulle responsabilità del Garante, è necessario analizzare il ruolo di ITA Airways. La compagnia si trova oggi in una fase di profonda trasformazione sotto la guida del nuovo management e l’integrazione con Lufthansa.

Tuttavia, la vicenda delle tessere executive sembra essere l’ultimo rigurgito di quelle “pratiche all’italiana” tipiche della vecchia Alitalia: un sistema di relazioni opache dove lo status e il privilegio venivano usati come moneta di scambio per oliare i rapporti con il potere.

Il nuovo CEO di ITA ha già avviato una radicale riorganizzazione interna. L’obiettivo è duplice:

1. Epurare le vecchie abitudini: Recidere i legami con quel modus operandi clientelare che ha caratterizzato decenni di trasporto aereo statale.
2. Compliance Internazionale: Adottare i rigidi protocolli di trasparenza tedeschi richiesti dai partner di Lufthansa, dove il concetto di “regalo” a un pubblico ufficiale è trattato con tolleranza zero.

Un danno d’immagine sistemico

Il danno reputazionale per il Garante della Privacy è gravissimo. Se l’arbitro che deve tutelare la riservatezza di milioni di cittadini accetta regali dalla squadra che deve giudicare, crolla la fiducia nell’intero sistema di garanzia.

Le difese degli indagati parlano di “normali cortesie istituzionali” e di sanzioni decise su basi puramente tecniche. Spetterà ora alla magistratura stabilire se si sia trattato di un equivoco burocratico o di un vero e proprio mercimonio della funzione pubblica.

Ciò che resta è la fotografia di un’Italia a due velocità: da una parte un’azienda (ITA) che cerca faticosamente di modernizzarsi e diventare “di mercato”, e dall’altra un’istituzione di garanzia rimasta impigliata in logiche di potere che sembrano appartenere a un’altra epoca.

La Centralità del GDPR (Regolamento Generale sulla Protezione dei Dati – UE 2016/679) in questo contesto

In base al GDPR (Regolamento Generale sulla Protezione dei Dati – UE 2016/679), il coinvolgimento del Garante della Privacy in questa vicenda è paradossale e gravissimo, poiché l’Autorità è proprio il soggetto incaricato di far rispettare tale regolamento.

Ecco i punti chiave su come il GDPR “incastra” o definisce il ruolo del Garante in questa situazione:

1. Il principio di “Indipendenza” (Art. 52 del GDPR)

L’Articolo 52 stabilisce che ogni autorità di controllo deve agire in piena indipendenza nell’adempimento dei propri compiti. I membri del Garante non devono essere soggetti a influenze esterne, né sollecitare o accettare vantaggi.

Il coinvolgimento: L’accettazione di utilità (le tessere “Volare”) viola direttamente il requisito di indipendenza. Se un’autorità riceve benefici da un ente che deve controllare, la sua capacità di giudizio oggettivo viene meno, contravvenendo allo spirito e alla lettera del regolamento europeo.

2. Il potere sanzionatorio (Art. 58 e Art. 83)

Il GDPR conferisce al Garante poteri correttivi enormi: può imporre multe fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo di un’azienda (se superiore).

Il coinvolgimento: L’accusa sostiene che il Garante abbia applicato sanzioni “meramente formali”. Secondo il GDPR, le sanzioni devono essere “effettive, proporzionate e dissuasive”. Se il Garante ha intenzionalmente ridotto la portata della sanzione in cambio di regali, ha tradito il mandato ricevuto dall’Unione Europea di proteggere i dati dei cittadini in modo rigoroso.

3. La responsabilità del DPO (Art. 37, 38, 39)

Il GDPR introduce la figura del Data Protection Officer (DPO), che deve essere designato in base alle qualità professionali e deve agire in modo indipendente.

Il coinvolgimento: Il presunto conflitto d’interessi (il DPO di ITA legato allo studio legale di un membro del Garante) colpisce il cuore della compliance GDPR. Se il canale di comunicazione tra controllato (DPO) e controllore (Garante) è mediato da interessi economici o familiari comuni, l’intero sistema di controllo previsto dal regolamento europeo collassa.

4. Il ruolo dell’EDPB (European Data Protection Board)

Il Garante italiano non opera nel vuoto; fa parte dell’EDPB, l’organismo che riunisce tutte le autorità privacy europee per garantire un’applicazione coerente del GDPR.

Il coinvolgimento: Uno scandalo di questo tipo danneggia la credibilità dell’Italia ai tavoli europei. Il GDPR prevede meccanismi di coerenza: se il Garante italiano è ritenuto inaffidabile o corrotto, le sue decisioni potrebbero essere messe in discussione o impugnate a livello europeo, creando un precedente pericoloso per la stabilità del mercato unico digitale.

5. Il paradosso del “Data Breach”

Se ITA Airways avesse subito un furto di dati o avesse gestito male il database del programma “Volare”, il GDPR obbligava la compagnia a notificare l’evento al Garante entro 72 ore (N.B. questo non significa che il Data Breach ci sia stato)

Il coinvolgimento: Se i membri del Garante erano “amici” della compagnia grazie ai benefit ricevuti, la vigilanza su eventuali violazioni dei dati dei passeggeri potrebbe essere stata volutamente negligente, lasciando milioni di cittadini privi della protezione legale garantita dal GDPR.

In sintesi

Per il GDPR, il Garante non è solo un ufficio pubblico, ma il baluardo delle libertà civili nell’era digitale. Se l’inchiesta confermasse che l’autorità ha “scambiato” la protezione dei dati con privilegi di volo, il Garante sarebbe colpevole di aver violato proprio quel regolamento di cui è, per legge, il massimo custode.