← Torna a Codice Privacy (D.Lgs. 196/2003)
Ultimo aggiornamento: 27 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Massime giurisprudenziali
  4. Prassi e linee guida
  5. Casi pratici
  6. Domande frequenti
  7. Vedi anche
In sintesi
  • L'art. 51 individua nel Garante per la protezione dei dati personali l'autorità di controllo nazionale ex art. 51 GDPR.
  • Il Garante è composto da quattro membri eletti dal Parlamento per sette anni non rinnovabili.
  • Esercita poteri di indagine, correttivi e sanzionatori, riceve i reclami e adotta provvedimenti generali.
  • La sede è a Roma, con organizzazione interna in dipartimenti tematici (sanità, lavoro, PA, comunicazioni).
  • Rappresenta l'Italia nel Comitato Europeo per la Protezione dei Dati (EDPB).
  • I provvedimenti sono impugnabili davanti al Tribunale civile ex art. 152.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
1. Il Garante per la protezione dei dati personali, di cui alla legge 31 dicembre 1996, n. 675, opera in piena indipendenza ed autonomia di giudizio e di valutazione.
Stesso numero, altri codici

Commento

Il Garante: autorità unica e indipendente

L'art. 51 del Codice Privacy, riformulato dal D.Lgs. 101/2018, individua nel Garante per la protezione dei dati personali l'autorità di controllo nazionale ai sensi dell'art. 51 del GDPR. L'Italia ha scelto un'autorità unica a competenza generale, in linea con la maggioranza degli Stati membri UE. La norma raddoppia in parte la disciplina dell'art. 2-bis, sottolineando il ruolo istituzionale del Garante e la sua piena indipendenza, come richiesto dal regolamento europeo.

Indipendenza piena (art. 52 GDPR)

L'art. 51 ribadisce la natura del Garante come autorità amministrativa indipendente, sganciata da indirizzo politico e da subordinazioni gerarchiche. L'indipendenza è garantita su tre piani: organizzativo (autonomia regolamentare e di gestione), funzionale (i provvedimenti sono insindacabili se non in sede giurisdizionale), finanziario (bilancio autonomo, contributi degli operatori del settore). La CGUE (sent. C-518/07 Commissione c. Germania) ha più volte enfatizzato che l'indipendenza è requisito sostanziale, da preservare anche da influenze indirette.

Composizione del collegio e nomina parlamentare

Il collegio è composto da quattro membri eletti dal Parlamento (due dalla Camera dei deputati, due dal Senato della Repubblica). Restano in carica sette anni e non sono rieleggibili. Il presidente è eletto al loro interno e ha voto dirimente in caso di parità. La scelta del Parlamento garantisce la legittimazione democratica e politica, mentre il limite del mandato non rinnovabile rafforza l'indipendenza dall'autorità di nomina. I membri devono essere scelti tra esperti di diritto e tecnologia delle informazioni di riconosciuta indipendenza.

Organizzazione interna e personale tecnico

Il Garante si avvale di un Ufficio del Garante con personale tecnico specializzato, articolato in dipartimenti per settore: comunicazioni elettroniche e marketing, sanità e ricerca, libertà di stampa e diritti, pubblica amministrazione, lavoro, vigilanza e sanzioni, cooperazione internazionale. L'Ufficio elabora le istruttorie, conduce le ispezioni, predispone i provvedimenti. La sede è a Roma; sono previsti uffici di rappresentanza presso istituzioni internazionali.

Funzioni principali

Il Garante esercita: a) poteri di indagine (ispezioni, audizioni, accesso ai dati); b) poteri correttivi (avvertimenti, ammonimenti, ordini di adeguamento, sanzioni amministrative pecuniarie); c) poteri consultivi (pareri su atti normativi, codici di condotta, DPIA); d) poteri normativi sub-regolamentari (provvedimenti generali, regole deontologiche, autorizzazioni); e) funzioni di cooperazione internazionale (rappresentanza presso EDPB e organizzazioni internazionali). Le funzioni sono dettagliate dall'art. 154.

Impugnazione dei provvedimenti

I provvedimenti del Garante sono impugnabili davanti al Tribunale civile in composizione monocratica ai sensi dell'art. 152 del Codice. Il giudice valuta la legittimità e il merito del provvedimento, con possibilità di confermarlo, modificarlo o annullarlo. La giurisprudenza ordinaria (Cass. civ. n. 11125/2020) ha riconosciuto al giudice un sindacato pieno, non limitato al solo eccesso di potere. Per i provvedimenti generali a contenuto regolamentare opera in alternativa la giurisdizione del TAR Lazio.

Provvedimenti recenti e impatto sulla prassi

Il Garante negli ultimi anni ha emanato provvedimenti di portata sistemica: a) provv. 10 giugno 2021 (cookie) ha modificato la prassi del web tracking di tutto il sistema italiano; b) provv. 30 marzo 2023 su ChatGPT è stato il primo intervento UE su un LLM, anticipando di mesi il dibattito EDPB; c) provv. del 2024 su SARI Real-Time ha limitato l'uso di facial recognition nelle indagini italiane; d) provv. del 2024 su Replika ha esteso la tutela dei minori ai chatbot AI; e) provv. del 2024 sul gestore SAS (ESG e finanza) ha applicato il diritto all'oblio nel settore finanziario. Ogni provvedimento del Garante è studiato come benchmark dalle imprese italiane e dalle autorità di altri Stati membri.

Cooperazione con autorità di settore italiane

Il Garante coopera attivamente con: a) AGCOM (Autorità per le Garanzie nelle Comunicazioni) su telemarketing, ePrivacy, intelligenza artificiale; b) AGCM (Antitrust) su pratiche commerciali scorrette che ledono privacy; c) Banca d'Italia, Consob, IVASS su trattamenti del settore finanziario; d) INL (Ispettorato Nazionale del Lavoro) su privacy nei rapporti di lavoro; e) AGID e ACN (Agenzia per la Cybersicurezza Nazionale) su sicurezza informatica; f) Garanti regionali (in casi limitati, perché il sistema italiano è centralizzato a differenza della Germania). Protocolli d'intesa istituzionalizzano la cooperazione e lo scambio di informazioni.

Massime giurisprudenziali

Corte Cost., sent. n. 213/2016

La Corte costituzionale ha precisato i limiti costituzionali del trattamento dei dati sanitari, richiamando il bilanciamento fra tutela della salute e protezione della riservatezza.

Perché è importante: Trattamento dati sanitari

Prassi e linee guida

Provvedimenti settoriali · Settori specifici

Garante Privacy

Provvedimenti del Garante su trattamenti in sanità, ambito giudiziario, polizia e lavoro: indicazioni operative su finalità, basi giuridiche, garanzie.

Leggi il documento su www.garanteprivacy.it

Casi pratici

Caso 1: Tizio: reclamo al Garante

Tizio presenta reclamo al Garante per uso illecito dei suoi dati da parte di una società di marketing. Il Garante, ex art. 51 e art. 154, apre istruttoria, sente la società, valuta le difese e adotta provvedimento finale. La procedura è disciplinata dal regolamento interno del Garante.

Caso 2: Caia: ricorso contro sanzione

Caia S.r.l. riceve una sanzione di 200.000 euro dal Garante. Ex art. 152 del Codice, propone opposizione davanti al Tribunale civile in composizione monocratica entro 30 giorni dalla notifica. Il giudice valuta legittimità e merito del provvedimento, potendo confermarlo, modificarlo o annullarlo.

Caso 3: Sempronia editore: parere preventivo

Sempronia, gruppo editoriale, vuole avviare un nuovo servizio di profilazione lettori. Ex art. 51 e art. 154 lett. c, chiede al Garante un parere preventivo. Il Garante valuta il progetto, suggerisce correttivi (anonimizzazione, opt-in esplicito) e fornisce un parere favorevole condizionato.

Caso 4: Commento applicativo

L'art. 51 conferma il ruolo cardine del Garante come unica authority italiana sulla protezione dei dati. La sua attività — istruttoria, regolatoria, sanzionatoria — plasma di fatto la prassi nazionale, in continuità con l'EDPB europeo. La cooperazione transfrontaliera è particolarmente intensa nei trattamenti dei colossi tecnologici.

Domande frequenti

Qual è la sede del Garante?

Roma. Il Garante ha sede unica e competenza generale su tutto il territorio nazionale.

Da chi viene eletto il collegio del Garante?

Dal Parlamento: due membri dalla Camera dei deputati, due dal Senato della Repubblica. Durano in carica sette anni non rinnovabili.

L'Italia ha più autorità di controllo come la Germania?

No, ha una sola autorità di controllo a competenza generale. La Germania ha invece un'autorità federale più 16 autorità regionali (Länder).

Il Garante può fare ispezioni?

Sì, esercita poteri di indagine pieni: ispezioni nei locali del titolare, audizioni, accesso a dati e documenti. L'esercizio è disciplinato dall'art. 154 e dai regolamenti interni.

Quanto incassa il Garante dalle sanzioni?

Le sanzioni amministrative confluiscono nel bilancio dello Stato (capitolo dedicato del Ministero dell'Economia). Il Garante non ne beneficia direttamente: il suo bilancio è alimentato da contributo statale e contributi degli operatori.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.