← Torna a Codice Privacy (D.Lgs. 196/2003)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Massime giurisprudenziali
  4. Prassi e linee guida
  5. Casi pratici
  6. Domande frequenti
  7. Vedi anche
In sintesi
  • L'art. 158 disciplina il potere di accertamento e di ispezione del Garante.
  • Comprende: accesso ai locali del titolare e del responsabile, audizioni, copia di documenti.
  • Le ispezioni possono essere effettuate anche senza preavviso in casi di urgenza.
  • Il Nucleo Speciale Privacy della Guardia di Finanza assiste il Garante nelle ispezioni.
  • L'accesso ai sistemi informatici richiede misure proporzionate (per esempio, presenza dell'amministratore di sistema).
  • Il verbale dell'ispezione è atto fondamentale per l'eventuale procedimento sanzionatorio.

Testo dell'articoloVigente

1. Il Garante può disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali.

Commento

Il potere di ispezione nei locali del titolare

L'art. 158 del Codice Privacy attribuisce al Garante il potere di effettuare accertamenti e ispezioni presso il titolare e il responsabile del trattamento. È uno dei poteri più incisivi: consente al Garante di accedere fisicamente alla sede dell'organizzazione, esaminare sistemi informatici, archivi cartacei, documenti, e raccogliere prove direttamente sul posto. L'ispezione è il principale strumento di verifica della compliance reale (non solo dichiarata) e di acquisizione di prove per procedimenti sanzionatori.

Modalità dell'ispezione: preavviso o sorpresa

Le ispezioni possono essere effettuate: a) con preavviso (modalità ordinaria), tipicamente 5-15 giorni prima, con indicazione di scopo e ambito; b) senza preavviso (ispezione a sorpresa) in casi di urgenza, per evitare alterazioni o distruzioni di prove. La modalità senza preavviso è frequente in materia di data breach, segnalazioni di trattamenti illeciti su larga scala, vendor di SaaS con flussi non documentati. L'ispezione si svolge negli orari di apertura dell'organizzazione, con presenza obbligatoria di un rappresentante.

Il Nucleo Speciale Privacy della GdF

Il Nucleo Speciale Privacy della Guardia di Finanza, costituito presso il Comando Generale della GdF, assiste il Garante nelle ispezioni più complesse. Il Nucleo dispone di competenze tecniche specializzate: forensic informatica, analisi di sistemi cloud, recupero di dati cancellati. La cooperazione è disciplinata da un protocollo di intesa Garante-GdF. La presenza della GdF rafforza il potere ispettivo e garantisce la regolarità procedurale (verbalizzazione, catena di custodia delle prove).

Documenti e dati acquisibili

Durante l'ispezione il Garante può acquisire: a) registro dei trattamenti (art. 30 GDPR); b) DPIA (art. 35 GDPR); c) informative agli interessati; d) contratti con responsabili e sub-responsabili; e) clausole contrattuali standard per trasferimenti extra-UE; f) policy interne, procedure, log di accesso, audit; g) certificazioni e bollini di compliance; h) corrispondenza tra titolare e DPO; i) dati personali oggetto del trattamento (in copia). L'acquisizione di dati personali è subordinata a misure di sicurezza (cifratura del trasporto).

Diritti dei destinatari durante l'ispezione

Il soggetto ispezionato ha diritto a: a) presenza di un proprio rappresentante legale (avvocato) durante l'ispezione; b) sapere lo scopo e l'oggetto dell'accertamento; c) ricevere copia del verbale; d) presentare osservazioni e controdeduzioni; e) far verbalizzare le proprie dichiarazioni. Non può: a) opporre rifiuto generale (che è esso stesso sanzionato); b) rimuovere o alterare prove; c) avvertire terzi delle indagini (tipping off in caso di SOS antiriciclaggio). La cooperazione genuina è criterio attenuante della sanzione.

Verbale e seguito del procedimento

L'ispezione si chiude con un verbale che descrive: a) attività svolte; b) documenti acquisiti; c) sistemi esaminati; d) audizioni effettuate; e) eventuali dichiarazioni del titolare; f) valutazioni preliminari. Il verbale è sottoscritto dal Garante e dal titolare (o suo rappresentante). Se vengono ravvisate violazioni, segue il procedimento sanzionatorio formale ex art. 166 e ss. del Codice. Il verbale costituisce prova nel procedimento, salvo contestazioni puntuali del titolare.

Tecnologie forensi e cooperazione con la GdF

Il Nucleo Speciale Privacy della Guardia di Finanza dispone di competenze tecniche specializzate: a) digital forensics su dispositivi, server, cloud; b) analisi di log e tracciamenti; c) recupero di dati cancellati; d) verifica dell'integrità di sistemi (hashing, catena di custodia); e) analisi di algoritmi e AI (in cooperazione con consulenti tecnici). La presenza della GdF rafforza la valenza probatoria degli accertamenti e protegge il Garante da contestazioni procedurali. Le ispezioni più complesse (Big Tech, fintech, settori critici) sono quasi sempre condotte con il Nucleo.

Diritti delle parti e contraddittorio

L'ispezione del Garante è soggetta a regole di contraddittorio: a) il titolare ha diritto a un avvocato/consulente presente; b) può presentare osservazioni durante e dopo l'ispezione; c) il verbale è soggetto a contestazioni; d) i sistemi non rilevanti per l'ispezione non possono essere acquisiti (proporzionalità); e) i dati personali acquisiti sono coperti da segreto d'ufficio. La cooperazione genuina è criterio attenuante della sanzione finale (art. 83, par. 2, lett. f, GDPR e art. 166 del Codice). La buona prassi suggerisce di preparare in anticipo documentazione organizzata (registro trattamenti, DPIA, contratti, policy), per facilitare l'ispezione.

Massime giurisprudenziali

Corte Cost., sent. n. 20/2019

La Corte costituzionale si è pronunciata sulla compatibilità del regime sanzionatorio in materia di protezione dei dati con i princìpi costituzionali di tassatività e proporzionalità.

Perché è importante: Sanzioni e tutela giurisdizionale

Prassi e linee guida

Sanzioni · Provvedimenti sanzionatori

Garante Privacy

Raccolta di provvedimenti sanzionatori adottati dal Garante per la protezione dei dati personali.

Leggi il documento su www.garanteprivacy.it

Casi pratici

Caso 1: Tizio S.p.A.: ispezione a sorpresa

Tizio S.p.A., oggetto di reclamo per data breach massivo, riceve ispezione del Garante con Nucleo Speciale GdF. L'ispezione è senza preavviso ex art. 158 per evitare distruzione di prove. Il team acquisisce log, sistemi cloud, documenti. Il verbale conclude l'ispezione; segue procedimento sanzionatorio.

Caso 2: Caia Banca: ispezione programmata

Caia Banca riceve preavviso di ispezione del Garante con 10 giorni di anticipo. Prepara: registro dei trattamenti, DPIA, informative, contratti con responsabili. Durante l'ispezione collabora attivamente, fornisce documenti, rende disponibili dipendenti per audizioni. La cooperazione attenuerà la sanzione finale.

Caso 3: Sempronio: avvocato in ispezione

Sempronio, durante ispezione del Garante, fa assistere dal suo avvocato. L'art. 158 garantisce la presenza di un rappresentante legale. L'avvocato verbalizza osservazioni, fa valere il segreto professionale su determinati documenti, presenta controdeduzioni. Il verbale finale riflette il contraddittorio.

Caso 4: Commento applicativo

L'art. 158 è lo strumento ispettivo più potente del Garante. La collaborazione genuina è la migliore strategia: attenua le sanzioni, evita procedimenti per ostacolo, dimostra buona fede. La presenza di GdF e di consulenti tecnici impone un'attenta gestione procedurale. Il verbale è l'atto fondamentale del procedimento.

Domande frequenti

Il Garante può ispezionare senza preavviso?

Sì, in casi di urgenza per evitare alterazione o distruzione di prove. Tipicamente in materia di data breach, trattamenti illeciti su larga scala, SOS antiriciclaggio.

Posso rifiutare l'ispezione?

No, il rifiuto generale è sanzionato. Si può opporre solo per legittimi motivi specifici (segreto professionale per determinati documenti, ispezione fuori orario di apertura). Il rifiuto integra ostacolo all'attività ex art. 83, par. 4, GDPR.

Posso avere un avvocato durante l'ispezione?

Sì, è un diritto. L'avvocato può verbalizzare osservazioni, far valere segreti professionali, presentare controdeduzioni. La presenza non blocca l'ispezione ma garantisce il contraddittorio.

Chi assiste il Garante nelle ispezioni?

L'Ufficio del Garante con personale specializzato e, nei casi più complessi, il Nucleo Speciale Privacy della Guardia di Finanza. Il Nucleo dispone di competenze di forensic informatica.

Cosa si fa dopo l'ispezione?

Il verbale chiude l'attività ispettiva. Se sono ravvisate violazioni, segue il procedimento sanzionatorio formale ex artt. 166 ss. del Codice, con contestazione, audizione, eventuale provvedimento sanzionatorio impugnabile ex art. 152.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.