Testo dell'articoloVigente
Il reclamo al Garante per la protezione dei dati personali è lo strumento amministrativo con cui ogni interessato può segnalare un trattamento illecito dei propri dati e chiedere all’Autorità un intervento istruttorio. Disciplinato dall’art. 77 del Regolamento UE 2016/679 e dagli articoli 141 e seguenti del Codice Privacy, il reclamo è gratuito, non richiede assistenza legale obbligatoria e attiva un procedimento amministrativo a esito vincolante. La presente guida illustra requisiti, modalità di presentazione, tempi istruttori, rapporti con il ricorso giurisdizionale e regime sanzionatorio.
Cosa stabilisce la legge in materia
Il quadro normativo del reclamo è bifronte. Sul piano europeo l’art. 77 GDPR attribuisce a ogni interessato il diritto di proporre reclamo all’autorità di controllo competente, ferma restando ogni altra forma di tutela amministrativa o giurisdizionale. La norma riconosce un diritto soggettivo perfetto, esercitabile autonomamente, e impone all’autorità di informare il reclamante sullo stato e sull’esito del procedimento, compresa la facoltà di proporre ricorso ai sensi dell’art. 78 GDPR.
Sul piano nazionale l’art. 141 Codice Privacy elenca le forme di tutela dinanzi al Garante (reclamo, segnalazione, ricorso) e l’art. 142 Codice Privacy disciplina la proposizione del reclamo, mentre l’art. 143 Codice Privacy regola lo svolgimento del procedimento e i provvedimenti finali (avvertimento, ammonimento, ordini correttivi, sanzioni). Il legislatore nazionale integra il GDPR specificando contenuti minimi del reclamo, oneri probatori, modalità telematiche di trasmissione e regime di pubblicità degli atti.
Il reclamo si distingue dalla segnalazione e dal ricorso. La segnalazione è uno strumento più informale, privo di legittimazione qualificata, con cui chiunque può portare a conoscenza del Garante una possibile violazione di interesse generale. Il ricorso, oggi pressoché residuale dopo il GDPR, era utilizzato per la tutela di specifici diritti (accesso, rettifica, cancellazione) prima dell’attuale assetto regolamentare. Il reclamo costituisce oggi il canale principale di tutela amministrativa, alternativo o cumulabile con l’azione giurisdizionale ex art. 79 GDPR e art. 152 Codice Privacy.
Requisiti soggettivi e oggettivi del reclamo
Sotto il profilo soggettivo è legittimato a proporre reclamo l’interessato, ossia la persona fisica cui si riferiscono i dati personali oggetto di trattamento. Non occorre essere cittadini italiani: il reclamo è proponibile da chiunque dimostri di essere stato attinto dal trattamento asseritamente illecito, indipendentemente dalla nazionalità e dalla residenza. Per i minori il reclamo è presentato dai genitori esercenti la responsabilità genitoriale; per gli interdetti e gli inabilitati dai rispettivi tutori o curatori. È ammessa la rappresentanza tramite organismi senza scopo di lucro designati dall’interessato, secondo il modello dell’art. 80 GDPR.
Sul piano oggettivo il reclamo deve riferirsi a un trattamento di dati personali in violazione del Regolamento o del Codice. Vi rientrano la raccolta senza idoneo titolo giuridico (art. 6 GDPR), il consenso vizioso o non liberamente prestato (consenso), l’informativa carente (art. 13), il mancato riscontro a istanze di esercizio dei diritti (accesso, cancellazione, opposizione), la mancata notifica di un data breach (art. 33), la mancata adozione di misure di sicurezza adeguate. Il reclamo non è uno strumento generico di lamentela: deve identificare il titolare, descrivere la condotta e indicare le norme violate.
Quanto al profilo temporale, il GDPR non prevede un termine perentorio per la proposizione del reclamo, salvo la verifica di un interesse attuale e concreto. La giurisprudenza amministrativa, in linea con le linee guida del Garante, ritiene che un reclamo proposto a notevole distanza dal trattamento asseritamente illecito possa essere archiviato per assenza di interesse, salvo ipotesi in cui gli effetti del trattamento perdurino o l’interessato dimostri di esserne venuto a conoscenza solo di recente. È quindi opportuno proporre il reclamo entro un tempo ragionevole dalla scoperta della violazione, idealmente entro dodici mesi.
Modalità di presentazione e contenuto minimo
L’art. 142 Codice Privacy disciplina la proposizione del reclamo. Quest’ultimo va presentato al Garante in forma scritta, sottoscritto dall’interessato o dal suo rappresentante, con allegata copia di un documento di identità. Sono ammesse tre modalità principali: trasmissione via PEC all’indirizzo istituzionale dell’Autorità (canale preferenziale per la tracciabilità), invio tramite raccomandata A/R alla sede dell’Autorità in piazza Venezia 11 a Roma, deposito a mano presso l’Ufficio Protocollo. Non sono ammessi reclami anonimi: l’anonimato è incompatibile con la natura del procedimento e con l’obbligo di contraddittorio con il titolare segnalato.
Il contenuto minimo del reclamo comprende: identificazione del reclamante e del suo eventuale rappresentante; identificazione del titolare del trattamento (denominazione, indirizzo, eventuale codice fiscale o partita IVA); descrizione circostanziata dei fatti, delle modalità del trattamento e dei dati interessati; indicazione delle disposizioni del GDPR o del Codice asseritamente violate; specifica indicazione del provvedimento richiesto (avvertimento, ammonimento, ordine di cessazione, cancellazione dei dati, irrogazione di sanzioni); documentazione a sostegno (corrispondenza con il titolare, screenshot, copia dell’informativa). Un reclamo carente nei suoi elementi essenziali può essere dichiarato manifestamente infondato o irricevibile.
Costituisce condizione di procedibilità sostanziale, secondo prassi consolidata del Garante, aver previamente tentato di interloquire con il titolare del trattamento. Se l’interessato lamenta, ad esempio, il mancato riscontro a una richiesta di accesso, deve allegare l’istanza inviata e l’esito (rifiuto espresso, riscontro tardivo o silenzio protratto oltre il mese previsto dall’art. 12 GDPR). Reclami che saltino la fase di interlocuzione preventiva possono essere archiviati con invito a rivolgersi prima al titolare, salvo le ipotesi in cui l’interlocuzione sia inutile o pregiudizievole (es. data breach in corso, trattamenti palesemente illeciti).
Tempi istruttori, esiti e impugnazioni
Il procedimento dinanzi al Garante è disciplinato dall’art. 143 Codice Privacy. L’Autorità, ricevuto il reclamo, ne valuta l’ammissibilità formale e la non manifesta infondatezza. Se le verifiche preliminari hanno esito positivo, il reclamo è trasmesso al titolare per il contraddittorio, con assegnazione di un termine generalmente compreso tra 30 e 60 giorni per il riscontro. Il Garante può svolgere istruttoria documentale, richiedere informazioni, disporre accessi e ispezioni anche in collaborazione con la Guardia di Finanza, audire le parti, richiedere pareri tecnici. La durata complessiva del procedimento è di norma compresa tra otto e diciotto mesi, ma può estendersi per istruttorie complesse o trattamenti transfrontalieri.
Gli esiti possibili sono molteplici. In caso di accoglimento il Garante può adottare provvedimenti di varia intensità: avvertimento rivolto al titolare quando il trattamento è suscettibile di violare le disposizioni; ammonimento in caso di violazione accertata di minore gravità; ordini correttivi (rettifica, cancellazione, limitazione, blocco del trattamento); ordine di conformare il trattamento al Regolamento; irrogazione di sanzioni amministrative ai sensi dell’art. 83 GDPR e dell’art. 166 Codice Privacy. In caso di rigetto è disposta l’archiviazione, motivata e comunicata al reclamante.
Tutti i provvedimenti del Garante sono impugnabili dinanzi al giudice ordinario ai sensi dell’art. 152 Codice Privacy, con ricorso da proporsi entro trenta giorni dalla notificazione del provvedimento, a pena di decadenza. Il giudizio si svolge davanti al tribunale del luogo di residenza del titolare. È rilevante sottolineare che il reclamo amministrativo non preclude né esaurisce la tutela giurisdizionale: ai sensi dell’art. 79 GDPR l’interessato può sempre proporre azione giudiziaria nei confronti del titolare, anche cumulativamente al reclamo. L’azione di risarcimento del danno segue invece le regole dell’art. 82 GDPR, con regime di prova attenuato per l’interessato.
Articoli chiave da consultare
- Art. 77 GDPR — Diritto di proporre reclamo all'autorità di controllo
- Art. 78 GDPR — Ricorso giurisdizionale contro decisioni dell'autorità
- Art. 79 GDPR — Ricorso giurisdizionale contro titolare e responsabile
- Art. 82 GDPR — Diritto al risarcimento del danno e responsabilità
- Art. 83 GDPR — Sanzioni amministrative pecuniarie del GDPR
- Art. 51 GDPR — Autorità di controllo nazionale (Garante)
- Art. 5 GDPR — Principi del trattamento dei dati personali
- Art. 6 GDPR — Basi giuridiche di liceità del trattamento
- Art. 13 GDPR — Informativa al momento della raccolta dei dati
- Art. 15 GDPR — Diritto di accesso dell'interessato
- Art. 17 GDPR — Diritto alla cancellazione e all'oblio
- Art. 21 GDPR — Diritto di opposizione al trattamento
- Art. 33 GDPR — Notifica del data breach all'autorità
- Art. 141 D.Lgs. 196/2003 — Forme di tutela dinanzi al Garante
- Art. 142 D.Lgs. 196/2003 — Proposizione del reclamo: requisiti formali
- Art. 143 D.Lgs. 196/2003 — Procedimento per il reclamo
- Art. 152 D.Lgs. 196/2003 — Tutela davanti al giudice ordinario
- Art. 166 D.Lgs. 196/2003 — Sanzioni amministrative nel Codice Privacy
Errori comuni e casi pratici
Caso 1 — Mancato riscontro a istanza di accesso. Tizio ha inviato a una società di telecomunicazioni richiesta di accesso ai propri dati personali ai sensi dell’art. 15 GDPR. Decorso oltre un mese senza riscontro, propone reclamo al Garante allegando la PEC originaria, la ricevuta di consegna e l’assenza di risposta. Il Garante accoglie il reclamo, intima alla società di fornire il riscontro entro trenta giorni e ammonisce il titolare con segnalazione utilizzabile per future recidive. In caso di rifiuto persistente, l’Autorità può adottare ordine correttivo e applicare sanzione pecuniaria proporzionata.
Caso 2 — Marketing senza consenso. Caia riceve email pubblicitarie da un e-commerce presso cui non ha mai prestato consenso al marketing. Esercita prima il diritto di opposizione ex art. 21 GDPR; a fronte della prosecuzione delle comunicazioni, propone reclamo al Garante. Il titolare in contraddittorio non fornisce prova del consenso libero, specifico e documentato. Il Garante ordina la cessazione del trattamento ai fini di marketing diretto, impone la cancellazione dei dati di Caia dai database promozionali e applica sanzione pecuniaria. Il provvedimento è pubblicato sul sito istituzionale dell’Autorità.
Errore frequente — Reclamo generico senza allegazioni. Sempronio invia un reclamo lamentando genericamente che “i suoi dati circolano” senza identificare il titolare, senza descrivere il trattamento contestato e senza allegare documenti. Il Garante archivia il reclamo come manifestamente infondato o inammissibile. La regola d’oro è sempre quella di documentare: screenshot, copie dell’informativa, registro delle comunicazioni con il titolare, eventuali email di conferma del consenso. Un reclamo ben istruito è la chiave per ottenere un esito favorevole entro tempi ragionevoli.
Domande frequenti
Quanto costa presentare un reclamo al Garante?
Il reclamo è gratuito. Non è prevista alcuna marca da bollo, alcun diritto fisso, alcun contributo unificato. Non è obbligatoria l’assistenza di un avvocato, sebbene per fattispecie complesse o di rilevante valore patrimoniale sia consigliabile farsi assistere da un legale esperto di data protection. Gli unici costi sono quelli vivi della trasmissione (PEC o raccomandata) e quelli eventualmente connessi alla raccolta della documentazione probatoria.
Quanto tempo impiega il Garante a decidere?
Non vi è un termine tassativo. La prassi indica una durata complessiva compresa tra otto e diciotto mesi, in funzione della complessità del caso, dell’eventuale necessità di accertamenti tecnici o ispezioni e dei tempi di riscontro del titolare. Per istruttorie transfrontaliere, che coinvolgono più autorità di controllo europee, i tempi possono estendersi fino a ventiquattro mesi. L’Autorità fornisce periodici aggiornamenti sullo stato del procedimento al reclamante.
Posso proporre reclamo e contemporaneamente fare causa civile?
Sì. Il reclamo amministrativo al Garante e l’azione giurisdizionale ex art. 79 GDPR sono strumenti cumulabili. L’interessato può scegliere uno o entrambi i canali. L’azione di risarcimento del danno, in particolare, segue le regole dell’art. 82 GDPR con regime probatorio favorevole all’interessato (inversione dell’onere) ed è proponibile davanti al tribunale del luogo di residenza dell’interessato.
Quali sanzioni può applicare il Garante?
Le sanzioni amministrative pecuniarie previste dall’art. 83 GDPR variano da poche migliaia di euro fino a venti milioni di euro o, se superiore, al quattro per cento del fatturato annuo mondiale del titolare. L’entità della sanzione è graduata in base a gravità, durata, dolo o colpa, misure adottate per attenuare il danno, precedenti violazioni, livello di cooperazione con l’Autorità. Il Garante adotta inoltre provvedimenti non pecuniari (ammonimenti, ordini correttivi, blocchi del trattamento).
Posso fare reclamo anonimo o riservato?
Il reclamo anonimo non è ammesso, perché incompatibile con il contraddittorio e con il diritto di difesa del titolare segnalato. È invece possibile chiedere il trattamento riservato dei propri dati identificativi nei confronti del segnalato, soprattutto in contesti di rapporto di lavoro o quando vi sia rischio di ritorsione. La richiesta va motivata: il Garante valuta caso per caso, contemperando l’interesse del reclamante con il diritto di difesa del titolare.
Risorse correlate
Approfondisci con i nostri commenti agli articoli: art. 77 GDPR, art. 141 Codice Privacy, art. 82 GDPR. Per la consultazione del testo integrato visita la categoria GDPR e Codice Privacy.
Questa guida ha valore divulgativo e non costituisce consulenza legale. Per casi specifici è raccomandato il parere di un professionista abilitato.