Protezione dei dati

Garante Privacy: cos'è, poteri e come funziona

Cos'è il Garante per la protezione dei dati: composizione, poteri ex art. 58 GDPR, ispezioni della Guardia di Finanza, reclami e come si svolge un'istruttoria.

Also available in:English·Español·Deutsch·Nederlands

Il Garante per la protezione dei dati personali è l’autorità di controllo indipendente italiana prevista dall’art. 51 del GDPR e disciplinata dal Codice Privacy (D.Lgs. 196/2003). Vigila sull’applicazione del Regolamento (UE) 2016/679 in Italia, riceve reclami e segnalazioni, svolge ispezioni, adotta provvedimenti correttivi e irroga sanzioni fino a 20 milioni di euro o al 4% del fatturato mondiale. Per un’azienda, capire come ragiona e come agisce il Garante è il modo più diretto per prepararsi a un’eventuale istruttoria. Questa guida spiega composizione, poteri e il funzionamento concreto di un controllo.

Key Takeaways

  • Il Garante è un collegio di 4 membri eletti dal Parlamento, in carica sette anni, coadiuvato da un ufficio strutturato in dipartimenti.
  • I suoi poteri derivano dall’art. 58 GDPR: indagine, correttivi (ammonimenti, limitazioni, divieti) e autorizzativo-consultivi.
  • Le ispezioni si svolgono spesso tramite il Nucleo speciale privacy della Guardia di Finanza.
  • Chiunque può presentare un reclamo (art. 77 GDPR) o una segnalazione; il reclamo apre un procedimento formale.
  • Le sanzioni seguono l’art. 83 GDPR e possono arrivare a 20 milioni di euro o al 4% del fatturato.

Cos’è il Garante e come è composto

Il Garante è un’autorità amministrativa indipendente istituita nel 1996 e ridisegnata dal D.Lgs. 101/2018 per adeguarla al GDPR. È organo collegiale: quattro componenti — due eletti dalla Camera e due dal Senato — che scelgono al proprio interno presidente e vicepresidente. Il collegio dura in carica sette anni e non è rinnovabile.

Al collegio si affianca un ufficio guidato dal segretario generale e articolato in dipartimenti e servizi tematici (sanità, lavoro, telecomunicazioni, libertà pubbliche, tecnologie digitali). È questa struttura a istruire i procedimenti, condurre le ispezioni e predisporre i provvedimenti che il collegio adotta.

I poteri del Garante ex art. 58 GDPR

L’art. 58 GDPR attribuisce all’autorità di controllo tre famiglie di poteri, tutte esercitate dal Garante italiano.

Poteri di indagine. Ordinare al titolare o al responsabile di fornire informazioni, condurre indagini sotto forma di audit sulla protezione dei dati, ottenere accesso a locali, dati e apparecchiature. È la base giuridica delle ispezioni.

Poteri correttivi. Rivolgere ammonimenti, ingiungere di conformare i trattamenti, imporre limitazioni o il divieto di trattamento, ordinare la cancellazione dei dati, revocare certificazioni e — soprattutto — infliggere le sanzioni amministrative pecuniarie dell’art. 83.

Poteri autorizzativi e consultivi. Rilasciare pareri, approvare codici di condotta e clausole contrattuali tipo, autorizzare determinati trattamenti.

Il Codice Privacy aggiunge poteri interni: adozione di provvedimenti generali (come le linee guida sui cookie o quelle sulla videosorveglianza) e prescrizioni che sostituiscono le vecchie autorizzazioni generali.

Come funziona un’ispezione

L’attività ispettiva del Garante segue un piano semestrale e si concentra su settori a rischio. Sul piano operativo, le verifiche in loco sono spesso delegate al Nucleo speciale privacy e frodi tecnologiche della Guardia di Finanza, che opera su delega dell’Autorità.

Un accertamento tipico si articola così:

Fase Cosa accade Documenti richiesti
Accesso Notifica dell’avvio e identificazione degli ispettori Delega, ordine di accesso
Verifica Esame di registri, informative, misure di sicurezza Registro dei trattamenti, informative, DPA
Verbale Redazione del processo verbale delle operazioni Firma del titolare o delegato
Istruttoria Valutazione da parte dell’ufficio e contestazione Memorie difensive del titolare
Provvedimento Decisione del collegio Ordinanza-ingiunzione o archiviazione

Avere in ordine il registro dei trattamenti, le informative e le nomine dei responsabili è la prima linea di difesa: la loro assenza è di per sé una violazione.

Reclami, segnalazioni e istruttoria

Chiunque ritenga violati i propri diritti può presentare un reclamo ex art. 77 GDPR. È un atto formale che obbliga il Garante ad aprire un procedimento e a comunicare l’esito all’interessato. Diversa è la segnalazione, con cui si sollecita un controllo senza le formalità del reclamo. Esiste anche la possibilità di rivolgersi al giudice ordinario in alternativa al Garante.

Quando è coinvolta la sicurezza dei dati, il canale di ingresso è spesso la notifica di data breach al Garante: una notifica mal gestita o tardiva può a sua volta innescare un’istruttoria. L’interessato che vuole esercitare i propri diritti, invece, parte in genere da una richiesta di accesso ai dati rivolta al titolare, e ricorre al Garante solo se non ottiene riscontro.

Le sanzioni e i casi principali

Le sanzioni del Garante seguono l’art. 83 GDPR e i criteri dell’art. 83, par. 2 (gravità, durata, negligenza, misure adottate). La casistica italiana mostra concentrazioni ricorrenti: telemarketing illecito, con la sanzione record da 79.107.101 euro a Enel Energia (provvedimento dell’11 gennaio 2024); intelligenza artificiale, con i 15 milioni a OpenAI (dicembre 2024); riconoscimento facciale, con i 20 milioni a Clearview AI (10 febbraio 2022). Il quadro aggiornato è nel nostro riepilogo delle sanzioni del Garante privacy 2025.

Prepararsi non significa temere l’ispezione, ma dimostrare accountability: registri aggiornati, DPIA dove serve, un DPO nominato quando obbligatorio. Molte organizzazioni gestiscono questa documentazione con una piattaforma come Legiscope, che tiene traccia di registri, informative e valutazioni in un unico posto pronto per l’audit.

Il Garante nel sistema europeo

Il Garante non opera isolato. Nel meccanismo dello sportello unico (one-stop-shop) del GDPR, quando un trattamento transfrontaliero coinvolge più Stati membri, l’autorità capofila è quella del luogo dello stabilimento principale del titolare, mentre le altre autorità interessate cooperano. Il Garante partecipa quindi ai procedimenti congiunti e al meccanismo di coerenza gestito dal Comitato europeo per la protezione dei dati (EDPB), di cui è membro.

Questa dimensione europea spiega perché molte delle grandi sanzioni contro i colossi tecnologici siano state adottate da altre autorità — l’irlandese Data Protection Commission per Meta e WhatsApp, il lussemburghese per Amazon — mentre il Garante concentra la propria azione sui titolari con stabilimento principale in Italia e sui trattamenti che colpiscono direttamente il territorio nazionale, come telemarketing, sanità e pubblica amministrazione. Comprendere quale autorità è competente è il primo passo per un gruppo che opera in più paesi UE: determina chi conduce l’istruttoria e chi adotta il provvedimento finale.

Il Garante pubblica inoltre una relazione annuale e mette a disposizione modulistica per reclami, segnalazioni e notifiche di violazione. Consultare i provvedimenti pubblicati è il modo più efficace per capire in anticipo dove si concentra l’attenzione dell’Autorità e adeguare per tempo i propri trattamenti, riducendo il rischio di finire nella prossima ondata ispettiva.

FAQ

Chi nomina i componenti del Garante?

Sono eletti dal Parlamento: due dalla Camera e due dal Senato, tra persone di comprovata esperienza. Restano in carica sette anni, mandato non rinnovabile, ed eleggono al proprio interno presidente e vicepresidente.

Il Garante può entrare nella mia azienda senza preavviso?

Sì. Nell’ambito dei poteri di indagine dell’art. 58 GDPR, il Garante — spesso tramite il Nucleo speciale privacy della Guardia di Finanza — può accedere ai locali e alle apparecchiature. È buona prassi avere una procedura interna che identifichi chi accoglie gli ispettori e quali documenti esibire.

Qual è la differenza tra reclamo e segnalazione?

Il reclamo (art. 77 GDPR) è un atto formale che apre un procedimento e dà diritto a una risposta motivata sull’esito. La segnalazione è più informale e sollecita un controllo senza le stesse garanzie procedurali. Entrambi possono innescare un’istruttoria.

A quanto ammontano le sanzioni che può irrogare?

Fino a 20 milioni di euro o al 4% del fatturato mondiale annuo per le violazioni più gravi (art. 83, par. 5 GDPR); fino a 10 milioni o al 2% per quelle meno gravi (par. 4). L’importo è calibrato sui criteri dell’art. 83, par. 2.

Vedi anche: esempi concreti dei poteri sanzionatori dell’Autorità, le sanzioni del Garante sul telemarketing e in ambito sanitario.


Fonti ufficiali: il sito del Garante per la protezione dei dati personali, il testo del GDPR su EUR-Lex e le linee guida dello European Data Protection Board.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →