Indice
In sintesi
- L'art. 157 disciplina il potere del Garante di richiedere informazioni ai titolari e ai responsabili del trattamento.
- La richiesta è formale, motivata e indica i tempi e le modalità di risposta.
- Il destinatario ha l'obbligo di collaborazione: la mancata risposta è sanzionata ex art. 83, par. 4, GDPR.
- Le informazioni possono riguardare: finalità del trattamento, categorie di dati, misure di sicurezza, soggetti coinvolti.
- Il potere si esercita anche al di fuori di un'istruttoria specifica (potere generale di vigilanza).
- Le informazioni acquisite sono coperte dal segreto d'ufficio.
Testo dell'articoloVigente
1. Nello svolgimento delle proprie funzioni, il Garante può chiedere al titolare, al responsabile o al rappresentante stabilito nel territorio dello Stato di fornire informazioni e di esibire documenti.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
La funzione del potere di richiesta
L'art. 157 del Codice Privacy disciplina uno strumento centrale di vigilanza del Garante: il potere di richiedere informazioni ai titolari e ai responsabili del trattamento. È un potere preliminare e propedeutico ad altre attività (ispezioni, istruttorie sanzionatorie) e può anche essere esercitato in modo autonomo per acquisire elementi di valutazione sulla compliance generale di un settore o di un singolo soggetto. Il potere è di natura istruttoria e non costituisce ancora provvedimento sanzionatorio.
Forma e contenuto della richiesta
La richiesta del Garante deve essere: a) scritta e formale (lettera, email PEC); b) motivata, indicando la finalità della richiesta e i fatti che la giustificano; c) specifica, indicando puntualmente le informazioni richieste; d) congruamente temporizzata (termine ragionevole per la risposta, tipicamente 15-30 giorni); e) firmata dal Garante o dall'Ufficio del Garante. Una richiesta vaga o sproporzionata è impugnabile davanti al Tribunale civile. Il principio di proporzionalità si applica anche all'attività istruttoria del Garante.
Obbligo di collaborazione
Il destinatario della richiesta ha l'obbligo di collaborare attivamente: a) fornire le informazioni richieste nei termini indicati; b) fornire copia di documenti rilevanti; c) consentire l'accesso ai sistemi informatici se necessario; d) rendere disponibili dipendenti per audizioni. La mancata risposta o la risposta evasiva integra violazione sanzionata ex art. 83, par. 4, lett. f, GDPR e art. 166 del Codice. Le sanzioni per ostacolo all'attività del Garante possono arrivare al 2% del fatturato annuo globale.
Limiti del potere: privilegi e segreti
Il potere di richiesta incontra limiti: a) segreto professionale (avvocato-cliente ex art. 622 c.p., medico-paziente ex art. 622 c.p.); b) segreto giornalistico delle fonti (art. 200 c.p.p.); c) segreto delle indagini in corso (se la materia è oggetto di indagine penale parallela); d) segreto industriale e commerciale (sebbene il Garante possa comunque acquisire le informazioni se necessarie all'istruttoria, con obbligo di riservatezza).
Le informazioni acquisite: utilizzo e segreto d'ufficio
Le informazioni acquisite dal Garante sono coperte dal segreto d'ufficio. Possono essere utilizzate: a) per l'istruttoria del singolo procedimento; b) per la valutazione generale del settore; c) per scambio con altre autorità di controllo nell'ambito della cooperazione EDPB. Il Garante può però rendere pubbliche le informazioni nel provvedimento finale, specie se di interesse pubblico (per esempio, casi notori di violazione). Il bilanciamento tra trasparenza e riservatezza è delicato.
Rimedi del destinatario
Il destinatario della richiesta che ritenga il potere mal esercitato può: a) chiedere chiarimenti al Garante; b) presentare osservazioni preliminari sulla portata della richiesta; c) impugnare l'atto davanti al Tribunale civile ex art. 152 del Codice se ne deriva un provvedimento; d) far valere segreti professionali o industriali in fase di risposta. In casi estremi può ricorrere alla tutela cautelare. Tuttavia, la giurisprudenza è restrittiva: la richiesta di informazioni rientra nei poteri istruttori e non costituisce ancora provvedimento sanzionatorio.
Procedura di richiesta: tempistiche e formalità
La procedura di richiesta segue il regolamento interno del Garante: a) richiesta inviata via PEC al titolare; b) termine di risposta fissato dal Garante, tipicamente 15-30 giorni; c) possibilità di proroga motivata; d) risposta formale del destinatario, allegando documenti; e) eventuale audizione del destinatario; f) chiusura dell'attività istruttoria con archiviazione o avvio del procedimento sanzionatorio. La richiesta del Garante è atto amministrativo formale, soggetto ai principi di legalità, proporzionalità, trasparenza. La sua impugnazione è ammessa nei limiti dell'interesse legittimo a non subire un'istruttoria eccessivamente onerosa.
L'uso del potere ex art. 157 in ispezioni Big Tech
Nei casi più rilevanti (Big Tech, multinazionali, settori critici) il Garante usa l'art. 157 in modo intensivo: richieste seriali di informazioni su algoritmi, flussi di dati internazionali, contratti con sub-responsabili, misure di sicurezza, DPIA. La cooperazione internazionale richiede spesso scambio di richieste con autorità di altri Stati. Le risposte alimentano istruttorie complesse che possono durare mesi o anni. Casi notori in cui il potere ex art. 157 è stato decisivo: ChatGPT 2023 (richieste su dati di training, basi giuridiche, age verification), TikTok 2020 (richieste su sistemi di age verification), Meta 2022 (richieste su targeting comportamentale e trasferimenti extra-UE).
Massime giurisprudenziali
Corte Cost., sent. n. 20/2019
Perché è importante: Sanzioni e tutela giurisdizionale
Prassi e linee guida
Sanzioni · Provvedimenti sanzionatori
Garante Privacy
Raccolta di provvedimenti sanzionatori adottati dal Garante per la protezione dei dati personali.
Leggi il documento su www.garanteprivacy.itDomande frequenti
Devo rispondere alle richieste del Garante?
Sì, l'obbligo di collaborazione è espresso (art. 157 del Codice e art. 31 GDPR). La mancata risposta è sanzionata fino al 2% del fatturato annuo globale (art. 83, par. 4, GDPR).
Quali informazioni può chiedere il Garante?
Tutte quelle pertinenti alla valutazione di compliance: finalità del trattamento, base giuridica, categorie di dati e interessati, destinatari, misure di sicurezza, conservazione, eventuali data breach, DPIA, registro dei trattamenti.
Posso opporre segreto professionale o industriale?
Sì, nei limiti previsti dalla legge. Il segreto avvocato-cliente, medico-paziente, giornalistico delle fonti, e il segreto industriale possono essere fatti valere. Il Garante valuta caso per caso, talvolta con obbligo di riservatezza.
Quale termine ho per rispondere?
Quello indicato nella richiesta, tipicamente 15-30 giorni. È possibile chiedere proroga motivata (per esempio, complessità della raccolta, periodo di chiusura aziendale).
La risposta è coperta dal segreto d'ufficio?
Sì. Le informazioni acquisite dal Garante sono coperte dal segreto d'ufficio. Possono essere pubblicate nel provvedimento finale solo se di interesse pubblico, con bilanciamento ai diritti del destinatario.
Vedi anche