Un parere tecnico chiaro, depositato nero su bianco. Una sanzione annunciata, poi ridimensionata, infine annullata. E ora un’inchiesta della Procura di Roma che accende un faro sull’Autorità garante per la protezione dei dati personali. Al centro della vicenda c’è il caso Meta e la gestione della presunta violazione della privacy legata agli smart glasses, dispositivi capaci di raccogliere dati personali in modo pervasivo e continuo.
La storia prende forma nell’ottobre 2024, quando sulla scrivania del Garante arriva un documento firmato dal Cini, il Consorzio interuniversitario nazionale per l’informatica. Il parere non lascia spazio a interpretazioni: gli smart glasses sono strumenti terminali che raccolgono dati personali collegandosi alla rete, e dunque la competenza sul caso è italiana. Nessun rinvio possibile all’Irlanda, dove ha sede legale Meta. In altre parole, la sanzione deve essere gestita dal Garante italiano.
Quel parere, però, resta fermo. Passano i mesi, scorrono i termini procedimentali, mentre all’interno dell’Authority il dossier Meta si trasforma in un terreno di scontro. A gennaio 2024 il caso si apre formalmente: gli uffici consegnano al collegio un’articolata istruttoria tecnica che conclude in modo netto. Secondo l’analisi, gli smart glasses violano la privacy sia di chi li indossa sia di chi viene ripreso senza saperlo. Una doppia lesione che riguarda dati biometrici, immagini e contesto ambientale.
Il relatore del provvedimento è Agostino Ghiglia. In una mail interna ai collaboratori, scrive che “c’è bisogno di smontare il documento tecnico sugli smart glasses”, manifestando un dissenso evidente rispetto all’impostazione degli uffici. Nonostante questo, la proposta che arriva al collegio è tutt’altro che morbida: una sanzione da 44 milioni di euro, pari all’1 per cento del fatturato annuo di Meta. Una cifra significativa, che segnerebbe un precedente rilevante nel rapporto tra Big Tech e autorità nazionali.
Il collegio, però, non converge. La discussione si trascina per mesi e nell’estate del 2024 prende corpo una linea alternativa: archiviare il procedimento o rinviarlo all’autorità irlandese, sostenendo che la tecnologia è nuova e che la questione della competenza territoriale non sarebbe del tutto chiara. I dati vengono trattati in Italia o finiscono in Irlanda? Da questa risposta dipende tutto. Ed è proprio per sciogliere questo nodo che viene chiesto il parere al Cini.
La risposta arriva il 15 ottobre 2024 ed è perentoria: l’Irlanda non c’entra. Il giorno successivo, il 16 ottobre, avviene un incontro che oggi è agli atti dell’inchiesta. Ghiglia incrocia Angelo Mazzetti, responsabile delle relazioni istituzionali di Meta in Italia, al convegno Comolake sull’innovazione digitale. Una foto di quell’incontro viene acquisita dagli inquirenti. Il giorno dopo il collegio si riunisce e la sanzione cambia volto: dai 44 milioni iniziali si scende a 12 milioni e mezzo, dallo 0,28 per cento del fatturato. Una riduzione drastica, arrivata subito dopo un parere che avrebbe dovuto rafforzare la linea più dura.
Ma non è finita. A febbraio 2025 il collegio riduce ancora la multa, portandola a un milione di euro. I due provvedimenti sono sovrapponibili: identiche le violazioni contestate, identica la ricostruzione giuridica. Cambia solo la cifra. Un dettaglio tutt’altro che secondario, perché nel frattempo i termini sono scaduti, come il segretario generale del Garante aveva ricordato più volte. Pochi mesi dopo, l’Authority annulla tutto in autotutela. Per Meta, la sanzione evapora.
È questo il cuore dell’inchiesta per corruzione che ora coinvolge i membri del collegio del Garante: Pasquale Stanzione, Ginevra Cerrina Feroni, Guido Scorza e lo stesso Ghiglia. La Guardia di Finanza ha acquisito il parere del Cini e altri atti nel corso delle perquisizioni della scorsa.
