← Torna a Codice Privacy (D.Lgs. 196/2003)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Massime giurisprudenziali
  4. Prassi e linee guida
  5. Casi pratici
  6. Domande frequenti
  7. Vedi anche
In sintesi
  • L'art. 154 enumera i compiti del Garante per la protezione dei dati personali.
  • Comprende: indagini, ispezioni, esame di reclami, irrogazione di sanzioni, adozione di provvedimenti generali.
  • Il Garante esprime pareri su atti normativi e DPIA, approva codici di condotta.
  • Promuove la cooperazione con autorità di controllo europee tramite EDPB.
  • Predispone una relazione annuale al Parlamento.
  • Adotta linee guida e provvedimenti generali settoriali con valore di safe harbour applicativo.

Testo dell'articoloVigente

1. Oltre a quanto previsto dall’articolo 57 del Regolamento, il Garante esercita ulteriori compiti previsti dal presente codice e dalla normativa nazionale.

Commento

L'enumerazione dei compiti del Garante

L'art. 154 del Codice Privacy, in attuazione dell'art. 57 GDPR, enumera in modo dettagliato i compiti del Garante per la protezione dei dati personali. Si tratta di un articolo lungo che fissa il perimetro funzionale dell'authority. La norma è di importanza centrale perché definisce non solo cosa il Garante può fare, ma anche cosa deve fare: ricevere reclami, condurre indagini, sanzionare, promuovere la cooperazione internazionale. L'elenco non è tassativo: il Garante può svolgere ogni altra funzione coerente con la sua missione.

Indagini, ispezioni, reclami

Il Garante esercita poteri di indagine pieni: a) ispezioni nei locali del titolare e del responsabile, anche senza preavviso; b) audizioni di persone informate; c) accesso a dati, documenti, sistemi informatici; d) acquisizione di copie e perizie. Riceve reclami dagli interessati (art. 77 GDPR), li istruisce e adotta provvedimenti. La procedura di reclamo è disciplinata dal regolamento interno del Garante; deve concludersi entro tempi ragionevoli (3-12 mesi tipicamente, dipende dalla complessità).

Poteri correttivi e sanzionatori

Il Garante esercita i poteri correttivi dell'art. 58 GDPR: a) avvertimenti ai titolari su violazioni potenziali; b) ammonimenti per violazioni; c) ordini di adeguamento del trattamento; d) limitazione temporanea o definitiva del trattamento; e) ordini di cancellazione dei dati; f) sospensione dei flussi transfrontalieri; g) sanzioni amministrative pecuniarie fino al 4% del fatturato annuo globale o 20 milioni di euro. Le sanzioni sono motivate sulla base dei criteri dell'art. 83 GDPR e dell'art. 166 del Codice.

Funzioni consultive e normative

Il Garante esprime: a) pareri preventivi su atti normativi (decreti legge, leggi delega, regolamenti) che incidono sulla protezione dei dati; b) pareri su DPIA (art. 36 GDPR) ad alto rischio; c) approvazione di codici di condotta (art. 40 GDPR); d) adozione di regole deontologiche (art. 2-quater del Codice); e) provvedimenti generali con effetto sub-regolamentare (cookie 2021, videosorveglianza, marketing, intelligenza artificiale). Questa funzione regolatoria è centrale: di fatto, il Garante riscrive le prassi italiane settore per settore.

Cooperazione internazionale

Il Garante rappresenta l'Italia presso: a) Comitato Europeo per la Protezione dei Dati (EDPB), con voto su decisioni vincolanti per gli Stati membri; b) Comitati internazionali (Consiglio d'Europa, OCSE, ONU); c) autorità di controllo di altri Stati membri nei trattamenti transfrontalieri (meccanismo one-stop-shop). La cooperazione è intensa nei casi di sanzioni a colossi tecnologici (Meta, Google, Amazon, TikTok), dove la procedura coinvolge più autorità capofila e coinvolte.

Trasparenza e relazione annuale

Il Garante: a) pubblica i provvedimenti più rilevanti sul proprio sito web; b) presenta una relazione annuale al Parlamento e al Governo, descrivendo l'attività svolta; c) partecipa a consultazioni pubbliche e audizioni parlamentari; d) promuove la formazione e l'informazione del pubblico. La relazione annuale è un documento centrale per comprendere l'evoluzione della prassi italiana: ne emergono i settori più sanzionati, i casi notori, le linee strategiche.

L'attività regolatoria del Garante: provvedimenti generali

Il Garante esercita una funzione regolatoria intensa attraverso provvedimenti generali: a) cookie (provv. 10 giugno 2021); b) videosorveglianza (provv. 8 aprile 2010 con aggiornamenti 2017, 2022, 2024); c) marketing (linee guida 2013 e aggiornamenti); d) AI e algoritmi (provv. 30 marzo 2023 su ChatGPT, provv. 2024 su LLM e chatbot); e) smart working e controlli (provv. 24 marzo 2022); f) trasparenza amministrativa (provv. 2014, aggiornati 2021); g) telemarketing (provv. 9 luglio 2020 e successivi). Questi provvedimenti hanno effetto sub-regolamentare e definiscono di fatto la prassi italiana settore per settore.

La cooperazione internazionale: casi Big Tech e sanzioni record

Il Garante italiano è uno dei più attivi nel meccanismo one-stop-shop EDPB. Casi notori: a) Meta (sanzione record 1,2 miliardi di euro 2023, autorità capofila DPC Irlanda, voto Garante italiano); b) Google (sanzione 50 milioni 2019 CNIL Francia, voto Garante); c) TikTok (sanzione 345 milioni 2023, DPC Irlanda); d) ChatGPT (blocco temporaneo 2023, primo intervento UE, autorità capofila Garante italiano); e) ClearView AI (ban in più Stati UE 2022, autorità capofila CNIL Francia). Il Garante italiano è spesso autorità capofila nei trattamenti destinati al mercato italiano e coinvolge sempre più Stati membri.

Massime giurisprudenziali

Corte Cost., sent. n. 20/2019

La Corte costituzionale si è pronunciata sulla compatibilità del regime sanzionatorio in materia di protezione dei dati con i princìpi costituzionali di tassatività e proporzionalità.

Perché è importante: Sanzioni e tutela giurisdizionale

Prassi e linee guida

Sanzioni · Provvedimenti sanzionatori

Garante Privacy

Raccolta di provvedimenti sanzionatori adottati dal Garante per la protezione dei dati personali.

Leggi il documento su www.garanteprivacy.it

Casi pratici

Caso 1: Tizio cittadino: reclamo al Garante

Tizio presenta reclamo al Garante per uso illecito dei suoi dati da una società di marketing. Il Garante ex art. 154 esercita i poteri: apre istruttoria, sente la società, valuta le difese, irroga sanzione di 100.000 euro. Tizio riceve copia del provvedimento; può richiedere risarcimento separatamente ex art. 82 GDPR.

Caso 2: Caia governo: parere su decreto

Caia, ufficio governativo, sta predisponendo un decreto che incide sul trattamento di dati sanitari. Lo invia al Garante ex art. 154, lett. f: chiede parere preventivo. Il Garante valuta il testo, suggerisce correttivi (DPIA, misure di garanzia, base normativa specifica) e fornisce parere favorevole condizionato.

Caso 3: Sempronio Big Tech: cooperazione EDPB

Sempronio Inc., gigante tecnologico, è oggetto di un'indagine multi-paese. Il Garante coordina ex art. 154 e art. 60-67 GDPR con altre autorità (Irlanda, Germania, Francia). Il provvedimento finale è adottato secondo il meccanismo one-stop-shop sotto la guida dell'autorità capofila.

Caso 4: Commento applicativo

L'art. 154 è la mappa funzionale completa del Garante. La sua attività è multi-dimensionale: istruttoria, regolatoria, consultiva, sanzionatoria, internazionale. Le linee guida e i provvedimenti generali plasmano di fatto la prassi italiana. La relazione annuale al Parlamento è il documento di sintesi più rilevante per monitorare il settore.

Domande frequenti

Quali poteri ha il Garante?

Indagine (ispezioni, audizioni, accesso), correttivi (avvertimenti, ordini, limitazioni), sanzionatori (sanzioni fino al 4% del fatturato), consultivi (pareri su atti normativi e DPIA), normativi (provvedimenti generali, regole deontologiche).

Il Garante può ordinare la cancellazione dei dati?

Sì, è uno dei poteri correttivi dell'art. 58 GDPR. L'ordine è impugnabile davanti al Tribunale ex art. 152 del Codice.

Esiste una relazione pubblica sull'attività del Garante?

Sì. Ogni anno il Garante presenta al Parlamento una relazione annuale che descrive l'attività svolta, casi notori, linee strategiche. È pubblicata sul sito istituzionale.

Come opera il meccanismo one-stop-shop?

Nei trattamenti transfrontalieri, una sola autorità (capofila, generalmente quella del paese di sede del titolare) conduce l'istruttoria, in cooperazione con le autorità coinvolte. La decisione finale è vincolante per tutti gli Stati membri.

Il Garante può sanzionare anche le PA?

Sì. Le sanzioni amministrative dell'art. 83 GDPR si applicano alle PA, anche se in misura ridotta rispetto al settore privato (l'art. 83 GDPR consente agli Stati di prevedere regole specifiche per il settore pubblico).

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.