Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche

Testo dell'articoloVigente

Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Articolo 58 del Regolamento (UE) 2016/679 (GDPR) – Poteri.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

In sintesi

  • L'art. 58 GDPR elenca i poteri delle Autorità: indagine, correttivi, autorizzazione.
  • Poteri di indagine (par. 1): informazioni, audit, accesso locali e sistemi.
  • Poteri correttivi (par. 2): avvertimenti, ingiunzioni, sanzioni, divieto trattamenti.
  • Poteri di autorizzazione e consulenza (par. 3): pareri, accreditamenti, BCR, SCC.
  • Sanzioni amministrative fino al 2-4% del fatturato (art. 83).
  • Ricorso giurisdizionale effettivo (par. 4); in Italia, Tribunale di Roma.
Indice dei contenuti

I tre tipi di poteri

L'art. 58 GDPR elenca i poteri dell'Autorità di controllo, distinti in tre categorie: poteri di indagine (par. 1), poteri correttivi (par. 2) e poteri di autorizzazione e consultivi (par. 3). È checklist degli strumenti operativi. La gradazione è importante: si parte da indagine (raccolta informazioni) per arrivare a sanzione (ultima ratio). Le procedure sono regolate dal diritto SM nel rispetto delle garanzie del giusto procedimento. Il considerando 129 sottolinea che i poteri vanno esercitati con imparzialità ed equità.

Poteri di indagine (par. 1)

Il par. 1 elenca sei poteri di indagine: (a) ordinare a titolare/responsabile/rappresentante di fornire le informazioni richieste per l'esecuzione dei compiti; (b) condurre indagini sotto forma di audit di protezione dei dati; (c) effettuare un riesame delle certificazioni rilasciate ex art. 42; (d) notificare al titolare/responsabile presunte violazioni; (e) ottenere accesso a tutti i dati personali e a tutte le informazioni necessarie; (f) ottenere accesso a tutti i locali, comprese qualsiasi apparecchiatura. Sono poteri ampi che consentono ispezione completa.

Poteri correttivi (par. 2)

Il par. 2 elenca dieci poteri correttivi: (a) rivolgere avvertimenti; (b) rivolgere ammonimenti; (c) ingiungere di soddisfare richieste degli interessati; (d) ingiungere di conformare i trattamenti al Regolamento; (e) ingiungere di comunicare violazioni all'interessato; (f) imporre limitazioni provvisorie o definitive al trattamento o divieto; (g) ingiungere rettifica/cancellazione/limitazione e notifica ai destinatari; (h) revocare una certificazione; (i) infliggere sanzioni amministrative pecuniarie; (j) ordinare la sospensione di trasferimenti verso paesi terzi.

Poteri di autorizzazione (par. 3)

Il par. 3 elenca sette poteri di autorizzazione e consultivi: (a) rilasciare pareri al titolare a norma art. 36 (consultazione preventiva); (b) rilasciare pareri al parlamento nazionale, al governo o ad altre istituzioni e organi sulla protezione dei dati; (c) autorizzare un'attività di trattamento a norma art. 36, par. 5; (d) emettere parere e approvare progetti di codici di condotta a norma art. 40, par. 5; (e) accreditare organismi di certificazione a norma art. 43; (f) rilasciare certificazioni e approvare criteri di certificazione a norma art. 42, par. 5; (g) approvare clausole tipo di protezione dei dati.

Sanzioni amministrative

Le sanzioni amministrative pecuniarie sono il potere correttivo più visibile. L'art. 83 disciplina la misura: fino al 2% del fatturato per violazioni di articoli specifici (parte 4) e fino al 4% per principi, basi giuridiche, diritti, trasferimenti (parte 5). Le sanzioni sono effettive, proporzionate e dissuasive. La giurisprudenza dei Garanti europei ha sviluppato criteri di quantificazione. Sanzioni miliardarie a Big Tech sono ormai consolidate.

Procedure e garanzie

Le procedure di esercizio dei poteri seguono il diritto SM con rispetto delle garanzie GDPR. Il par. 4 prevede che l'esercizio dei poteri sia soggetto a garanzie adeguate, compresi il ricorso giurisdizionale effettivo e il giusto processo. Le decisioni del Garante italiano sono impugnabili davanti al Tribunale di Roma (art. 152 D.Lgs. 196/2003). Il contraddittorio è garantito, le sanzioni motivate. Le procedure sono pubbliche con riservatezza per dati personali coinvolti.

Regola pratica e checklist operativa

Compliance art. 58: (i) conoscere i poteri del Garante; (ii) preparazione per ispezioni (documentazione pronta); (iii) cooperazione tempestiva; (iv) procedure interne di risposta; (v) team multidisciplinare DPO-legali-IT-business; (vi) impugnazione ponderata. La cooperazione strategica riduce il rischio.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Casi pratici

Caso 1: Tizio: ispezione Garante

Tizio riceve ispezione. Garante esercita art. 58, par. 1: accesso a locali, sistemi, documenti. Cooperazione obbligatoria (art. 31).

Caso 2: Caio: sanzione di 10 milioni di euro

Caio riceve sanzione di 10 milioni di euro per violazione gravi. Art. 58, par. 2, lett. i) + art. 83. Impugnabile davanti al Tribunale di Roma.

Caso 3: Sempronio: divieto di trasferimento

Sempronio trasferisce dati a paese non-adequato senza garanzie. Il Garante ingiunge sospensione del trasferimento ex par. 2, lett. j). Provvedimento immediato.

Caso 4: Commento applicativo

L'art. 58 è la cassetta degli attrezzi. Per gli operatori, conoscere i poteri del Garante prepara alla cooperazione. Cooperare riduce sanzioni; ostacolare aggrava.

Domande frequenti

Quali poteri ha il Garante?

Tre categorie: indagine (par. 1), correttivi (par. 2), autorizzazione/consulenza (par. 3). Ognuna con strumenti specifici. Sanzioni fino al 4% del fatturato.

Posso essere ispezionato?

Sì. Il par. 1 prevede accesso a locali, sistemi, dati. La cooperazione è obbligo (art. 31). Il rifiuto è sanzionato.

Quali sanzioni può infliggere?

Avvertimenti, ammonimenti, ingiunzioni di conformità, sanzioni pecuniarie fino al 2-4% del fatturato (art. 83), divieto di trasferimenti, revoca certificazioni.

Posso impugnare?

Sì. Il par. 4 garantisce ricorso giurisdizionale. In Italia, davanti al Tribunale di Roma (art. 152 D.Lgs. 196/2003). Contraddittorio garantito.

Devo cooperare?

Sì, ex art. 31. La cooperazione tempestiva e completa riduce sanzioni; ostacolare aggrava il quadro. Strategicamente conveniente cooperare.

Ultimo aggiornamento redazionale: 2026-05-21
Vedi anche
A cura di
Andrea Marton — Dottore in Economia e Finanza, praticante commercialista
Fondatore e responsabile editoriale di Legge in Chiaro, portale di divulgazione giuridica e fiscale gratuita su 101 testi e codici italiani. I contenuti sono curati e rivisti da un team di laureati in economia; hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.