In sintesi
- L'art. 57 GDPR elenca i compiti delle Autorità di controllo.
- Compiti principali: sorveglianza, applicazione, sensibilizzazione, consulenza.
- Gratuità per interessati (par. 3); contributo per richieste abusive.
- Pubblicazione di linee guida, FAQ, provvedimenti tematici.
- Pareri al legislatore su atti normativi (consulenza obbligatoria).
- Sviluppo di codici, certificazioni, cooperazione internazionale.
Testo dell'articoloVigente
Articolo 57 del Regolamento (UE) 2016/679 (GDPR) — Compiti.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
L'elenco strutturato dei compiti
L'art. 57 GDPR elenca i compiti dell'Autorità di controllo. Il par. 1 contiene una lista articolata (lett. a-v) che traduce in attività operative la missione dell'Autorità: sorveglianza, applicazione, sensibilizzazione, consulenza, sviluppo. È checklist sostanziale: ogni Autorità struttura il proprio piano di lavoro intorno ai compiti dell'art. 57. Il par. 3 prevede che le Autorità adempiano i compiti gratuitamente per gli interessati, mantenendo l'accesso pubblico ai diritti. Le richieste manifestamente infondate possono essere oggetto di contributo o rifiuto.
Sorveglianza e applicazione
La lett. a) sorveglia e applica il GDPR; lett. b) promuove la consapevolezza e la comprensione presso il pubblico dei rischi, delle norme, delle garanzie, dei diritti; lett. c) consulta il legislatore nazionale sulle misure di protezione dei dati; lett. d) promuove la consapevolezza dei titolari e responsabili sui loro obblighi; lett. e) fornisce, su richiesta, informazioni a interessati sull'esercizio dei diritti; lett. f) tratta i reclami presentati e ne esamina l'oggetto, informando il reclamante.
Sensibilizzazione e formazione
Le lett. g)-l) coprono altre attività: cooperare con altre Autorità, condurre indagini, sorvegliare gli sviluppi legati ai trattamenti, adottare standard, approvare clausole e BCR, autorizzare clausole e disposizioni contrattuali, approvare regole vincolanti d'impresa, partecipare alle attività dell'EDPB, tenere registri interni delle violazioni del Regolamento. Sono compiti tecnici e procedurali che richiedono competenze multidisciplinari.
Consulenza al legislatore e parti
Le attività di sensibilizzazione e formazione sono particolarmente importanti per gli interessati e gli operatori. Il Garante italiano organizza campagne (Privacy Day), pubblica linee guida, partecipa a iniziative scolastiche, supporta DPO con materiali. Per gli operatori, FAQ, ProvvedimentI tematici, parerI sono knowledge base di riferimento. La sensibilizzazione è leva per la diffusione di una cultura della protezione dei dati.
Sviluppo di codici e certificazioni
La consulenza al legislatore e alle parti interessate è funzione strategica. Il Garante italiano fornisce pareri obbligatori su atti normativi che incidono sul trattamento dei dati (art. 36, par. 4 GDPR; art. 154 D.Lgs. 196/2003). Pareri su DDL, decreti delegati, regolamenti. La giurisprudenza ha valorizzato il parere come elemento di legittimità della norma: parere negativo non vincolante ma rilevante per la valutazione di proporzionalità.
Cooperazione internazionale
Lo sviluppo di codici di condotta (art. 40) e certificazioni (art. 42), e la cooperazione internazionale (art. 50), completano il quadro dei compiti. Le Autorità partecipano attivamente alla soft regulation: approvano codici settoriali, accreditano organismi, partecipano a EDPB. La cooperazione internazionale è in espansione: Global Privacy Assembly, accordi bilaterali, partecipazione a forum multilaterali. Il Garante italiano è attivo in numerosi tavoli internazionali.
Regola pratica e checklist operativa
Compliance art. 57: per operatori: (i) seguire linee guida e provvedimenti del Garante; (ii) partecipare a consultazioni pubbliche; (iii) richiedere pareri su questioni complesse; (iv) interlocuzione costruttiva via DPO; (v) usare risorse formative. Per cittadini: conoscere i diritti, presentare reclami, partecipare a iniziative.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: reclamo all'Autorità
Tizio, interessato, presenta reclamo. Art. 57, lett. f): l'Autorità tratta il reclamo, esamina l'oggetto, informa il reclamante. Termine 3 mesi per progressi.
Caso 2: Caio: parere su DDL
Caio, parlamentare, richiede parere su DDL. Art. 57, lett. c): l'Autorità fornisce parere. Pareri pubblicati sul sito del Garante.
Caso 3: Sempronio: linee guida per AI
Sempronio, sviluppatore AI, consulta linee guida del Garante. Art. 57, lett. b) + collaborazione con EDPB. Risorsa standard per compliance.
Caso 4: Commento applicativo
L'art. 57 è il portfolio delle Autorità. Investire in interlocuzione con il Garante (richieste di pareri, partecipazione a consultazioni, formazione) è leva di compliance.
Domande frequenti
Quali sono i compiti dell'Autorità?
Sorveglianza, applicazione, sensibilizzazione, consulenza al legislatore, formazione, gestione reclami, sviluppo codici/certificazioni, cooperazione internazionale (par. 1, lett. a-v).
Le attività sono gratuite?
Per gli interessati sì (par. 3). Richieste manifestamente infondate o eccessive possono essere oggetto di contributo o rifiuto.
Come si presenta un reclamo?
Tramite il sito del Garante o per posta. Il Garante istruisce il caso e informa il reclamante. Termine 3 mesi per progressi (art. 78, par. 2 prevede ricorso giudiziale).
L'Autorità dà pareri sul legislatore?
Sì (lett. c). Pareri obbligatori su atti normativi che incidono sul trattamento. Pareri pubblicati sul sito del Garante.
L'Autorità approva i codici?
Sì (lett. m, n). Approva codici di condotta (art. 40), accredita organismi di monitoraggio (art. 41), approva certificazioni (art. 42).
Vedi anche