“Omissioni, ritardi e sanzioni dubbie”: il Garante della Privacy finisce sotto inchiesta dopo 3 esposti. Le accuse all’Authority

• di Thomas Mackinson
• 18 Novembre 2025

“Accuse totalmente infondate”, dicevano. Hanno negato tutto, sostenendo di essere vittima di un attacco mediatico coordinato, e per questo non si dimettono manco se glielo chiedono i partiti che li hanno nominati. Sarà l’autorità giudiziaria a giudicare il Garante che assolve sempre se stesso. A tre diverse procure sono stati depositati altrettanti esposti per reclami rimasti misteriosamente nei cassetti o sanzionati con un semplice buffetto, in danno di cittadini, lavoratori e pazienti. Due esposti riguardano casi rivelati dal Fatto nei giorni scorsi.

Può essere una svolta per la vicenda. Per la prima volta infatti non sono i giornalisti a denunciare. Non è la tv a indagare. Sono le stesse vittime del Garante – i danneggiati dai suoi ritardi e apparenti omissioni – a rivolgersi direttamente alla magistratura perché verifichi possibili reati e per abbattere il “muro di gomma” con cui il Garante rimbalza solleciti e ignora richieste di documentazione. La denuncia, dicono i querelanti, è l’unico strumento rimasto per costringerli a dare spiegazioni.

L’Asl abruzzese: tre avvocati per coprire una traccia
Angelica Carnevale, avvocato del Foro dell’Aquila, è testimone diretta del data breach ASL 1 Abruzzo del 3 maggio 2023 e chiede subito all’Asl se anche la sua cartella clinica, avendo partorito nell’ospedale potesse essere tra i dati trafugati . Lo stesso legale nel corso di indagini difensive scopre che erano state trafugate anche “informazioni su pazienti con HIV, orientamenti sessuali, interruzioni di gravidanza non rivelate alle famiglie. Dati che potevano rovinare vite”, spiega al Fatto.

Ritenendo insufficiente la risposta dell’Asl ad agosto presenta un formale reclamo al Garante facendo presente che non era stata fatta notifica agli interessati. A febbraio 2024 il Garante finalmente risponde, ma dicendo che c’è un’istruttoria preliminare in corso, per cui non risponde nel merito. Ora, come cittadino, l’avvocato Carnevale ha deciso di presentare un esposto alla Procura della Repubblica dell’Aquila.

L’ASL aveva un Data Protection Officer pagato 60mila euro per gestire proprio questo. Il 16 giugno incarica un legale esterno, Alfonso Celotto, per 5mila euro. Non basta. Due mesi dopo – mentre l’istruttoria del Garante è in corso – pubblica una avviso per 129.500 euro più accessori di legge – che nel totale è appena sotto il limite dei 140mila euro oltre il quale scatterebbe l’obbligo di una gara pubblica.

L’offerta è sottoscritta da Ernesto Belisario per 56mila euro oltre Iva e oneri. Ma lo studio E-Lex nasce dalla fusione dello Studio Legale Belisario, con l’avvocato Ernesto Belisario e dello Studio Legale Scorza Riccio & Partners, con gli avvocati Guido Scorza e Giovanni Maria Riccio. Oggi Belisario è rappresentate legale pro-tempore di E-Lex.

A febbraio 2025 il Garante decide per un semplice ammonimento. Una “violazione minore”. Eppure a settembre 2023 l’ASL di Napoli 3 Sud per ransomware identico riceve 30mila euro di multa. A maggio 2023 ULSS 6 per dati inviati a destinatari sbagliati riceve sempre una multa da 10mila euro. Il data breach abruzzese invece, uno dei più gravi dell’epoca moderna, riceve solo un buffetto e niente multa.

Dopo 853 giorni di attesa arrivano i licenziamenti
Antonio Amoroso, ex Alitalia e segretario nazionale della Cub Trasporti presenta reclamo al Garante a luglio 2023 per tutti i 2mila colleghi che rischiano il licenziamento col passaggio dalla vecchia compagnia a Ita Airways. Chiede al Garante: è legittimo il trasferimento dei dati personali a ITA senza consenso?

I dati includevano salari precedenti (rendendo impossibile negoziare stipendi più alti), carichi familiari, notizie su licenziamenti e reintegre passate. Dati che hanno condizionato le scelte di ITA nella selezione di chi riassumere e chi lasciare a casa. Se il Garante avesse deciso che non era legittimo avrebbe dovuto sanzionare le compagnie, se viceversa lo era allora i lavoratori avrebbero potuto portare la prova della “continuità aziendale” dal giudice del lavoro e non finire per strada. Invece sono passati 853 giorni, oltre due anni dal reclamo, uno e mezzo dall’avvio dell’istruttoria mai discussa dal collegio. E intanto, le lettere di licenziamento stanno arrivando in queste settimane.

Amoroso presenta tre richieste di aggiornamento: 25 marzo, 29 aprile 2024, 6 maggio 2025. Tutte non riscontrate. Sono passati 853 giorni. Nel frattempo: Report multato in 370 giorni. Fatto Quotidiano in 6 giorni. I duemila lavoratori? Niente. Licenziamenti già arrivati. La CIGS scade. Loro finiscono per strada. Il 16 settembre il giudice Orrù rimette la questione pregiudiziale sull’operazione di cessione tra Alitalia e Ita direttamente alla Corte di Giustizia Europea. Messaggio chiaro: l’Autorità italiana non funziona. Tutto questo è illustrato in un esposto con 58 allegati depositato proprio oggi presso la Procura della Repubblica di Roma.

Il manager spiato mentre il Garante dormiva
Un dirigente del Gruppo Luxottica scopre di essere spiato internamente da mesi. A settembre 2023 l’azienda mantiene aperta la sua email dopo il licenziamento, legge la corrispondenza riservata, estrae una bozza di lettera legale per il ricorso. Un caso di scuola, documentale, già risolto dalla giurisprudenza dello stesso Garante nel 2016 e nel 2019. Gli bastava applicare le linee guida che ha emesso la stessa autorità. Il reclamo è di fine ottobre 2023 ma solo a marzo – cinque mesi dopo – il Garante chiede informazioni. E solo in ottobre – a 12 mesi dal reclamo – accerta le violazioni. Sono passati 750 giorni, due anni, senza una decisione sulla sanzione. E’ stato il Fatto a rivelare la vicenda.

Nel frattempo, si scopre che dietro lo spionaggio c’erano gli uomini di Equalize, la centrale di dossieraggi sotto inchiesta. La multinazionale commissiona dossier illegali per 4.500 euro più IVA da banche dati strategiche nazionali. Il Garante avrebbe potuto fermare la rete prima che si allargasse ancora. E invece non l’ha fatto pur avendo un reclamo “spia” proprio sul tavolo.

Il muro di gomma pare sistematico, il meccanismo preciso: quando i cittadini chiedono trasparenza – reclami, richieste di aggiornamento – il Garante risponde con il silenzio. Ignora solleciti e va per le lunghe. Ma quando deve sanzionare altri è un razzo: Report: 370 giorni. Il Fatto: 6 giorni. L’avvocato che segue il manager anche nella pratica presso il Garante sta valutando pure lui di presentare un esposto sulla vicenda per la Procura della Repubblica di Milano.

Il nodo E-Lex: presente in due affari su tre
In due dei tre casi torna lo stesso nome: E-Lex, lo studio fondato da Guido Scorza, membro del collegio del Garante dal 2020. Scorza sostiene di aver “tagliato ponti” con lo studio nel 2020, all’atto della nomina. Eppure fino a poche settimane fa la sua email (@e-lex.it) era ancora attiva nell’albo avvocati Roma, ricevendo messaggi. Come se continuasse a ricevere corrispondenza dello studio mentre votava nei procedimenti che lo vedevano come parte giudicante. Scorza si è difeso sostenendo di non accedervi da quando ha lasciato lo studio. E-Lex difende circa una dozzina di aziende sottoposte a procedimenti del Garante. Coincidenze? Anche qui, lo stabilirà la magistratura.

ANAC e Corte dei Conti bussano alla porta
L’avvocato Simone Aliprandi ha deciso di andare a fondo. Ha segnalato la questione sia all’ANAC che alla Corte dei Conti. All’ANAC chiede: la scelta dell’ASL di incaricare E-Lex è stata motivata dalla speranza di ottenere un provvedimento favorevole dal Garante? Perché il risultato è stato questo. Alla Corte dei Conti chiede, ad esempio, se le consulenze a E-Lex e altri possano costituire un danno erariale, visto che il DPO era già incaricato da parte dell’azienda pubblica. E all’Anac se è regolare l’affidamento diretto a uno studio riconducibile a un membro nel collegio giudicante. Le due autorità dovranno verificare tutto questo.

20 novembre 2025 – Precisazione dallo studio E-Lex
Nell’articolo si afferma che l’ASL 1 Abruzzo avrebbe incaricato il nostro Studio “mentre l’istruttoria del Garante era in corso”, suggerendo un collegamento con l’esito del procedimento. Tale ricostruzione è errata. L’incarico è stato conferito dopo il data breach del maggio 2023 per supportare l’Azienda negli adempimenti previsti dalla normativa per i casi di violazione dei dati personali e quindi prima dell’avvio dell’istruttoria del Garante, avvenuta nel 2024. Le date parlano chiaro.
Ribadiamo che – come anche dichiarato pubblicamente dallo stesso interessato per suo conto – l’Avvocato Scorza ha esercitato recesso dallo Studio al momento della sua nomina, oltre 5 anni fa. Infine, precisiamo che gli incarichi affidati al nostro Studio si basano unicamente su competenze tecniche e specialistiche e il nostro operato è sempre stato rispettoso delle norme vigenti.