Il 17 giugno 2026, si è tenuto presso la prestigiosa Sala Rodotà dell’Autorità Garante per la protezione dei dati personali, un importante e atteso incontro “Tre esperienze, una missione – la protezione dei dati nelle forze di polizia italiane”dedicato al delicato equilibrio tra l’attività di pubblica sicurezza e la tutela della riservatezza dei cittadini.

Il tavolo di confronto, moderato da Raffaele Barberio, ha visto dialogare le massime autorità in materia: il Dottor Claudio Castellan, Data Protection Officer (DPO) della Polizia di Stato, e il Colonnello Cesare Forte, DPO della Guardia di Finanza,

I saluti istituzionali e le conclusioni dei lavori sono stati affidati al Segretario Generale del Garante per la Protezione dei Dati Personali Luigi Montuori.

Al centro del dibattito, la gestione delle grandi banche dati, la cooperazione internazionale e l’impatto dirompente dei sistemi automatizzati e dell’Intelligenza Artificiale nei processi investigativi.

L’assunto emerso è chiaro: per le forze dell’ordine la privacy non è un mero adempimento formale, ma una componente essenziale per preservare la fiducia pubblica e l’efficacia operativa.

Dati come “infrastruttura critica” e la cultura del “prima”

Il Segretario Generale Luigi Montuori, ha tracciato l’evoluzione culturale promossa dal Garante negli ultimi anni: un passaggio netto dalla “cultura del dopo” (la sanzione a posteriori) alla “cultura del prima” (la prevenzione e l’approccio by design).

“La fiducia è l’infrastruttura invisibile che tiene insieme l’innovazione e i diritti. Non esiste un diritto che debba sopravvalutare o sopra emergere rispetto agli altri”.

Nel contesto attuale, i dati personali sono stati definiti a tutti gli effetti come un’infrastruttura critica al centro dei servizi essenziali e dei mercati digitali.

Di fronte a minacce sempre più fluide, Montuori ha invocato la necessità di una visione d’insieme, rapidità di intervento e un coordinamento costante tra l’Autorità e le forze di polizia.

La governance della Guardia di Finanza: accountability e sicurezza della rete GDFnet

Il Colonnello Cesare Forte ha illustrato la complessità organizzativa della Guardia di Finanza, una struttura imponente che conta 57.000 dipendenti e oltre 900 reparti territoriali.

Un perimetro così vasto richiede un modello di governance privacy rigoroso, basato sul principio dell’indipendenza: il DPO della finanza risponde infatti direttamente al Comandante Generale.

Il Colonnello Forte ha ricordato come, nel febbraio 2026, il Corpo si sia dotato di una innovativa disposizione interna: le nuove Linee Guida in materia di tutela della privacy.

“Questa disposizione è per noi un punto di partenza, non di arrivo, su cui continuare a costruire modelli rispondenti all’accountability”, ha commentato.

La struttura della Guardia di Finanza si muove su due binari paralleli e strettamente interconnessi: la tutela della privacy e la cybersicurezza, coordinate al centro da un Security Operations Center che presidia costantemente il dominio intranet GDFnet da possibili attacchi malevoli.

Forte ha poi spiegato le rigide misure di sicurezza sugli accessi: “i dati sono custoditi nei server fisici del CED centrale e la consultazione — regolata da una circolare del novembre 2024 — è consentita solo previa profilazione e autorizzazione del Comandante di Reparto, con sistemi di alert automatici contro le anomalie.”

Il patrimonio informativo della Polizia di Stato: la Direttiva 680

Il Dottore Claudio Castellan ha offerto una profonda panoramica storica, ricordando come la Polizia di Stato gestisca dati sensibili fin dal 1852 (anno di fondazione del corpo di Pubblica Sicurezza).

Oggi l’amministrazione conta 90.000 dipendenti e 104 Questure, oltre a specialità verticali esposte sul fronte digitale come la Polizia Postale.

Dall’avvento dei primi laboratori elettronici negli anni ’70 fino al Centro Elettronico Interforze degli anni ’80 (istituito dalla Legge 121), la Polizia ha sviluppato una cultura solida della protezione dei dati.

Castellan ha sottolineato l’importanza del recepimento della Direttiva UE 680/2016 (il pacchetto protezione dati per il settore law enforcement), che ha garantito una cornice normativa specifica capace di bilanciare l’efficienza investigativa e la tutela dei diritti fondamentali.

Il punto di forza del modello della Polizia di Stato risiede nelle persone: “La scelta migliore è stata quella di puntare sì sull’organizzazione, ma soprattutto sulle persone”.

L’amministrazione ha infatti formato capillarmente centinaia di referenti privacy dislocati in modo piramidale sul territorio, che fungono da veri e propri sensori operativi per l’individuazione di eventuali data breach.

Tecnologie a confronto: tracciabilità totale, logging e il “caso” Bodycam

Durante la sessione, l’attenzione si è anche  focalizzata sulle modalità di controllo degli accessi. Sia Castellan sia Forte hanno confermato il principio della minimizzazione: il numero degli utenti con privilegi elevati è stato drasticamente ridotto.

Ogni singola consultazione dei database è tracciata tramite file di log inalterabili, conservati per scopi di giustizia e messi a disposizione della magistratura o dei comandanti per attività di audit.

Nella Polizia di Stato, in particolare, alcune banche dati prevedono fino a 7 livelli di profilazione differenziata per evitare che “tutti possano vedere tutto”.

Un focus specifico è stato dedicato alle bodycam in dotazione ai reparti mobili della Polizia di Stato, uno strumento la cui valutazione d’impatto è stata validata dal Garante nel 2021.

Definite nel corso del dibattito come un “testimone imparziale”, le telecamere indossabili garantiscono la massima trasparenza: gli agenti sul campo non possono né visionare né cancellare i filmati, la cui conservazione decade automaticamente dopo 6 mesi, salvo esigenze di polizia giudiziaria.

Il futuro dell’Intelligenza Artificiale: approccio “investigatore-centrico” e sovranità dei dati

Il tema più caldo del vertice ha riguardato l’impiego degli algoritmi nei processi di polizia. I DPO hanno espresso una posizione unanime: l’approccio deve rimanere rigorosamente investigatore-centrico.

“L’intelligenza artificiale non crea dei poliziotti robot”.

La macchina deve limitarsi a velocizzare la raccolta e l’organizzazione dei dati, ma la valutazione finale, il nesso causale e la decisione operativa devono restare saldamente in mano all’uomo, scongiurando il rischio di bias cognitivi o di un’eccessiva fiducia nell’output algoritmico.

Qualsiasi applicazione biometrica o di riconoscimento facciale dovrà poggiare su basi giuridiche solide e conformi alle prescrizioni dell’Autorità.

Di grande interesse la proposta emersa nelle battute finali del confronto, che ha visto convergere i partecipanti sull’ipotesi di sviluppare un LLM (Large Language Model) chiuso e settorializzato ad uso esclusivo della Pubblica Amministrazione.

Un modello di IA confinato all’interno del perimetro cyber dei CED istituzionali, pensato per preservare l’assoluta ownership informativa e garantire la sovranità digitale dello Stato.

Le conclusioni del Garante Privacy

Nelle sue conclusioni, il Segretario Generale Luigi Montuori ha offerto una riflessione empatica e lucida sulla figura del Data Protection Officer all’interno delle grandi amministrazioni,

Internamente è visto come un consulente prezioso, esternamente rischia di essere percepito come un freno burocratico, mentre il Garante richiede la sua costante collaborazione come primo baluardo di conformità.

Il Garante, ha ribadito il Segretario, non vuole bloccare l’azione di prevenzione e contrasto ai reati, ma vuole assicurare che essa avvenga nel pieno rispetto della dignità della persona, confermando lo spirito di massima e continua collaborazione ispettiva e formativa con la Guardia di Finanza e la Polizia di Stato.