← Torna a GDPR (Reg. UE 2016/679)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • L'art. 92 GDPR disciplina gli atti delegati della Commissione.
  • Conferiscono potere di integrare/modificare aspetti tecnici del GDPR.
  • Materie: icone informative (art. 12) e organismi certificazione (art. 43).
  • Durata indeterminata, revocabile da Parlamento/Consiglio (par. 3).
  • Obiezione entro 3 mesi (par. 5).
  • Strumento di flessibilità legislativa con controllo politico.

Testo dell'articoloVigente

Articolo 92 del Regolamento (UE) 2016/679 (GDPR) — Esercizio della delega.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

Commento

Atti delegati alla Commissione

L'art. 92 GDPR disciplina il potere della Commissione europea di adottare atti delegati. È strumento di adattamento legislativo: il Regolamento, atto base, può essere integrato o modificato in aspetti tecnici tramite atti delegati della Commissione, soggetti a controllo del Parlamento e del Consiglio. La logica è di flessibilità: alcune materie tecniche richiedono aggiornamento rapido, senza richiedere ogni volta una nuova procedura legislativa ordinaria.

Trasferimento del potere (par. 1-2)

Il par. 1 conferisce alla Commissione il potere di adottare atti delegati ai sensi degli artt. 12, par. 8, e 43, par. 8. L'art. 12, par. 8 riguarda le icone standardizzate per le informative; l'art. 43, par. 8 riguarda gli organismi di certificazione. Sono materie tecniche dove l'aggiornamento può essere frequente. La delega è specifica, non generica.

Durata della delega (par. 2)

Il par. 2 prevede che il potere di adottare atti delegati sia conferito alla Commissione per un periodo indeterminato a decorrere dalla data di applicazione del GDPR (25 maggio 2018). La durata indeterminata garantisce continuità ma non è incontrollata: il Parlamento e il Consiglio possono revocare la delega (par. 3).

Revoca (par. 3)

Il par. 3 prevede che la delega di potere possa essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Diventa efficace il giorno successivo alla pubblicazione nella Gazzetta ufficiale UE o in una data successiva ivi specificata. Non incide sugli atti delegati già in vigore. È meccanismo di controllo politico.

Notifica e obiezione (par. 5-6)

Il par. 5 prevede che l'atto delegato adottato entri in vigore solo se non è stata sollevata obiezione dal Parlamento o dal Consiglio entro tre mesi dalla data di notifica. Il termine può essere prorogato di tre mesi su iniziativa del Parlamento o del Consiglio. Se obiezione è sollevata, l'atto delegato non entra in vigore. È controllo ex ante.

Materie oggetto di delega

Le materie oggetto di delega sono limitate: icone informative (art. 12) e organismi di certificazione (art. 43). Storicamente, la Commissione non ha adottato molti atti delegati: le icone standardizzate sono ancora in sviluppo; gli organismi di certificazione operano sulla base degli atti esistenti. Il meccanismo è strumento di riserva per quando le materie tecniche maturano.

Regola pratica e checklist operativa

Compliance art. 92: monitoring evolutivo. Per gli operatori, gli atti delegati possono introdurre nuovi obblighi tecnici. DPO segue sviluppi su edpb.europa.eu e Gazzetta UE.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Casi pratici

Caso 1: Tizio: nuove icone informative

Tizio, DPO, attende sviluppo di icone standardizzate da Commissione. Nel frattempo, EDPB e Garante hanno sviluppato linee guida non vincolanti.

Caso 2: Caio: atti delegati su certificazione

Caio, organismo certificazione, segue evoluzione potenziali atti delegati. Schemi attuali (Europrivacy, ISO 27701) sono base operativa.

Caso 3: Sempronio: controllo politico

Sempronio, MEP, valuta proposta di atto delegato. Possibile obiezione entro 3 mesi se non in linea con il quadro generale del GDPR.

Caso 4: Commento applicativo

L'art. 92 è strumento di riserva. Atti delegati pochi finora. Il sistema dei Regolamenti UE preferisce atti di esecuzione e linee guida EDPB.

Domande frequenti

Cosa è un atto delegato?

Atto della Commissione che integra o modifica aspetti tecnici del Regolamento, su delega esplicita. Controllo politico di Parlamento e Consiglio.

Quali materie sono delegabili?

Solo quelle indicate dal Regolamento: icone informative (art. 12) e organismi di certificazione (art. 43).

Quanto dura la delega?

Indeterminato dal 25 maggio 2018. Revocabile in qualsiasi momento da Parlamento o Consiglio (par. 3).

Posso obiettare?

Solo Parlamento e Consiglio (par. 5), entro 3 mesi dalla notifica, prorogabili. Se obiezione, l'atto non entra in vigore.

Quanti atti delegati sono stati adottati?

Pochi finora. Le icone standardizzate sono in sviluppo. Gli organismi di certificazione operano su atti esistenti e schemi approvati.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.