Il Garante per la protezione dei dati personali è l’autorità di controllo indipendente italiana prevista dall’art. 51 del GDPR e disciplinata dal Codice Privacy (D.Lgs. 196/2003). Vigila sull’applicazione del Regolamento (UE) 2016/679 in Italia, riceve reclami e segnalazioni, svolge ispezioni, adotta provvedimenti correttivi e irroga sanzioni fino a 20 milioni di euro o al 4% del fatturato mondiale. Per un’azienda, capire come ragiona e come agisce il Garante è il modo più diretto per prepararsi a un’eventuale istruttoria. Questa guida spiega composizione, poteri e il funzionamento concreto di un controllo.
Key Takeaways
- Il Garante è un collegio di 4 membri eletti dal Parlamento, in carica sette anni, coadiuvato da un ufficio strutturato in dipartimenti.
- I suoi poteri derivano dall’art. 58 GDPR: indagine, correttivi (ammonimenti, limitazioni, divieti) e autorizzativo-consultivi.
- Le ispezioni si svolgono spesso tramite il Nucleo speciale privacy della Guardia di Finanza.
- Chiunque può presentare un reclamo (art. 77 GDPR) o una segnalazione; il reclamo apre un procedimento formale.
- Le sanzioni seguono l’art. 83 GDPR e possono arrivare a 20 milioni di euro o al 4% del fatturato.
Cos’è il Garante e come è composto
Il Garante è un’autorità amministrativa indipendente istituita nel 1996 e ridisegnata dal D.Lgs. 101/2018 per adeguarla al GDPR. È organo collegiale: quattro componenti — due eletti dalla Camera e due dal Senato — che scelgono al proprio interno presidente e vicepresidente. Il collegio dura in carica sette anni e non è rinnovabile.
Al collegio si affianca un ufficio guidato dal segretario generale e articolato in dipartimenti e servizi tematici (sanità, lavoro, telecomunicazioni, libertà pubbliche, tecnologie digitali). È questa struttura a istruire i procedimenti, condurre le ispezioni e predisporre i provvedimenti che il collegio adotta.
I poteri del Garante ex art. 58 GDPR
L’art. 58 GDPR attribuisce all’autorità di controllo tre famiglie di poteri, tutte esercitate dal Garante italiano.
Poteri di indagine. Ordinare al titolare o al responsabile di fornire informazioni, condurre indagini sotto forma di audit sulla protezione dei dati, ottenere accesso a locali, dati e apparecchiature. È la base giuridica delle ispezioni.
Poteri correttivi. Rivolgere ammonimenti, ingiungere di conformare i trattamenti, imporre limitazioni o il divieto di trattamento, ordinare la cancellazione dei dati, revocare certificazioni e — soprattutto — infliggere le sanzioni amministrative pecuniarie dell’art. 83.
Poteri autorizzativi e consultivi. Rilasciare pareri, approvare codici di condotta e clausole contrattuali tipo, autorizzare determinati trattamenti.
Il Codice Privacy aggiunge poteri interni: adozione di provvedimenti generali (come le linee guida sui cookie o quelle sulla videosorveglianza) e prescrizioni che sostituiscono le vecchie autorizzazioni generali.
Come funziona un’ispezione
L’attività ispettiva del Garante segue un piano semestrale e si concentra su settori a rischio. Sul piano operativo, le verifiche in loco sono spesso delegate al Nucleo speciale privacy e frodi tecnologiche della Guardia di Finanza, che opera su delega dell’Autorità.
Un accertamento tipico si articola così:
| Fase | Cosa accade | Documenti richiesti |
|---|---|---|
| Accesso | Notifica dell’avvio e identificazione degli ispettori | Delega, ordine di accesso |
| Verifica | Esame di registri, informative, misure di sicurezza | Registro dei trattamenti, informative, DPA |
| Verbale | Redazione del processo verbale delle operazioni | Firma del titolare o delegato |
| Istruttoria | Valutazione da parte dell’ufficio e contestazione | Memorie difensive del titolare |
| Provvedimento | Decisione del collegio | Ordinanza-ingiunzione o archiviazione |
Avere in ordine il registro dei trattamenti, le informative e le nomine dei responsabili è la prima linea di difesa: la loro assenza è di per sé una violazione.
Reclami, segnalazioni e istruttoria
Chiunque ritenga violati i propri diritti può presentare un reclamo ex art. 77 GDPR. È un atto formale che obbliga il Garante ad aprire un procedimento e a comunicare l’esito all’interessato. Diversa è la segnalazione, con cui si sollecita un controllo senza le formalità del reclamo. Esiste anche la possibilità di rivolgersi al giudice ordinario in alternativa al Garante.
Quando è coinvolta la sicurezza dei dati, il canale di ingresso è spesso la notifica di data breach al Garante: una notifica mal gestita o tardiva può a sua volta innescare un’istruttoria. L’interessato che vuole esercitare i propri diritti, invece, parte in genere da una richiesta di accesso ai dati rivolta al titolare, e ricorre al Garante solo se non ottiene riscontro.
Le sanzioni e i casi principali
Le sanzioni del Garante seguono l’art. 83 GDPR e i criteri dell’art. 83, par. 2 (gravità, durata, negligenza, misure adottate). La casistica italiana mostra concentrazioni ricorrenti: telemarketing illecito, con la sanzione record da 79.107.101 euro a Enel Energia (provvedimento dell’11 gennaio 2024); intelligenza artificiale, con i 15 milioni a OpenAI (dicembre 2024); riconoscimento facciale, con i 20 milioni a Clearview AI (10 febbraio 2022). Il quadro aggiornato è nel nostro riepilogo delle sanzioni del Garante privacy 2025.
Prepararsi non significa temere l’ispezione, ma dimostrare accountability: registri aggiornati, DPIA dove serve, un DPO nominato quando obbligatorio. Molte organizzazioni gestiscono questa documentazione con una piattaforma come Legiscope, che tiene traccia di registri, informative e valutazioni in un unico posto pronto per l’audit.
Il Garante nel sistema europeo
Il Garante non opera isolato. Nel meccanismo dello sportello unico (one-stop-shop) del GDPR, quando un trattamento transfrontaliero coinvolge più Stati membri, l’autorità capofila è quella del luogo dello stabilimento principale del titolare, mentre le altre autorità interessate cooperano. Il Garante partecipa quindi ai procedimenti congiunti e al meccanismo di coerenza gestito dal Comitato europeo per la protezione dei dati (EDPB), di cui è membro.
Questa dimensione europea spiega perché molte delle grandi sanzioni contro i colossi tecnologici siano state adottate da altre autorità — l’irlandese Data Protection Commission per Meta e WhatsApp, il lussemburghese per Amazon — mentre il Garante concentra la propria azione sui titolari con stabilimento principale in Italia e sui trattamenti che colpiscono direttamente il territorio nazionale, come telemarketing, sanità e pubblica amministrazione. Comprendere quale autorità è competente è il primo passo per un gruppo che opera in più paesi UE: determina chi conduce l’istruttoria e chi adotta il provvedimento finale.
Il Garante pubblica inoltre una relazione annuale e mette a disposizione modulistica per reclami, segnalazioni e notifiche di violazione. Consultare i provvedimenti pubblicati è il modo più efficace per capire in anticipo dove si concentra l’attenzione dell’Autorità e adeguare per tempo i propri trattamenti, riducendo il rischio di finire nella prossima ondata ispettiva.
FAQ
Chi nomina i componenti del Garante?
Sono eletti dal Parlamento: due dalla Camera e due dal Senato, tra persone di comprovata esperienza. Restano in carica sette anni, mandato non rinnovabile, ed eleggono al proprio interno presidente e vicepresidente.
Il Garante può entrare nella mia azienda senza preavviso?
Sì. Nell’ambito dei poteri di indagine dell’art. 58 GDPR, il Garante — spesso tramite il Nucleo speciale privacy della Guardia di Finanza — può accedere ai locali e alle apparecchiature. È buona prassi avere una procedura interna che identifichi chi accoglie gli ispettori e quali documenti esibire.
Qual è la differenza tra reclamo e segnalazione?
Il reclamo (art. 77 GDPR) è un atto formale che apre un procedimento e dà diritto a una risposta motivata sull’esito. La segnalazione è più informale e sollecita un controllo senza le stesse garanzie procedurali. Entrambi possono innescare un’istruttoria.
A quanto ammontano le sanzioni che può irrogare?
Fino a 20 milioni di euro o al 4% del fatturato mondiale annuo per le violazioni più gravi (art. 83, par. 5 GDPR); fino a 10 milioni o al 2% per quelle meno gravi (par. 4). L’importo è calibrato sui criteri dell’art. 83, par. 2.
Vedi anche: esempi concreti dei poteri sanzionatori dell’Autorità, le sanzioni del Garante sul telemarketing e in ambito sanitario.
Fonti ufficiali: il sito del Garante per la protezione dei dati personali, il testo del GDPR su EUR-Lex e le linee guida dello European Data Protection Board.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial