Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche

Testo dell'articoloVigente

Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Articolo 57 del Regolamento (UE) 2016/679 (GDPR) – Compiti.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

In sintesi

  • L'art. 57 GDPR elenca i compiti delle Autorità di controllo.
  • Compiti principali: sorveglianza, applicazione, sensibilizzazione, consulenza.
  • Gratuità per interessati (par. 3); contributo per richieste abusive.
  • Pubblicazione di linee guida, FAQ, provvedimenti tematici.
  • Pareri al legislatore su atti normativi (consulenza obbligatoria).
  • Sviluppo di codici, certificazioni, cooperazione internazionale.
Indice dei contenuti

L'elenco strutturato dei compiti

L'art. 57 GDPR elenca i compiti dell'Autorità di controllo. Il par. 1 contiene una lista articolata (lett. a-v) che traduce in attività operative la missione dell'Autorità: sorveglianza, applicazione, sensibilizzazione, consulenza, sviluppo. È checklist sostanziale: ogni Autorità struttura il proprio piano di lavoro intorno ai compiti dell'art. 57. Il par. 3 prevede che le Autorità adempiano i compiti gratuitamente per gli interessati, mantenendo l'accesso pubblico ai diritti. Le richieste manifestamente infondate possono essere oggetto di contributo o rifiuto.

Sorveglianza e applicazione

La lett. a) sorveglia e applica il GDPR; lett. b) promuove la consapevolezza e la comprensione presso il pubblico dei rischi, delle norme, delle garanzie, dei diritti; lett. c) consulta il legislatore nazionale sulle misure di protezione dei dati; lett. d) promuove la consapevolezza dei titolari e responsabili sui loro obblighi; lett. e) fornisce, su richiesta, informazioni a interessati sull'esercizio dei diritti; lett. f) tratta i reclami presentati e ne esamina l'oggetto, informando il reclamante.

Sensibilizzazione e formazione

Le lett. g)-l) coprono altre attività: cooperare con altre Autorità, condurre indagini, sorvegliare gli sviluppi legati ai trattamenti, adottare standard, approvare clausole e BCR, autorizzare clausole e disposizioni contrattuali, approvare regole vincolanti d'impresa, partecipare alle attività dell'EDPB, tenere registri interni delle violazioni del Regolamento. Sono compiti tecnici e procedurali che richiedono competenze multidisciplinari.

Consulenza al legislatore e parti

Le attività di sensibilizzazione e formazione sono particolarmente importanti per gli interessati e gli operatori. Il Garante italiano organizza campagne (Privacy Day), pubblica linee guida, partecipa a iniziative scolastiche, supporta DPO con materiali. Per gli operatori, FAQ, ProvvedimentI tematici, parerI sono knowledge base di riferimento. La sensibilizzazione è leva per la diffusione di una cultura della protezione dei dati.

Sviluppo di codici e certificazioni

La consulenza al legislatore e alle parti interessate è funzione strategica. Il Garante italiano fornisce pareri obbligatori su atti normativi che incidono sul trattamento dei dati (art. 36, par. 4 GDPR; art. 154 D.Lgs. 196/2003). Pareri su DDL, decreti delegati, regolamenti. La giurisprudenza ha valorizzato il parere come elemento di legittimità della norma: parere negativo non vincolante ma rilevante per la valutazione di proporzionalità.

Cooperazione internazionale

Lo sviluppo di codici di condotta (art. 40) e certificazioni (art. 42), e la cooperazione internazionale (art. 50), completano il quadro dei compiti. Le Autorità partecipano attivamente alla soft regulation: approvano codici settoriali, accreditano organismi, partecipano a EDPB. La cooperazione internazionale è in espansione: Global Privacy Assembly, accordi bilaterali, partecipazione a forum multilaterali. Il Garante italiano è attivo in numerosi tavoli internazionali.

Regola pratica e checklist operativa

Compliance art. 57: per operatori: (i) seguire linee guida e provvedimenti del Garante; (ii) partecipare a consultazioni pubbliche; (iii) richiedere pareri su questioni complesse; (iv) interlocuzione costruttiva via DPO; (v) usare risorse formative. Per cittadini: conoscere i diritti, presentare reclami, partecipare a iniziative.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Casi pratici

Caso 1: Tizio: reclamo all'Autorità

Tizio, interessato, presenta reclamo. Art. 57, lett. f): l'Autorità tratta il reclamo, esamina l'oggetto, informa il reclamante. Termine 3 mesi per progressi.

Caso 2: Caio: parere su DDL

Caio, parlamentare, richiede parere su DDL. Art. 57, lett. c): l'Autorità fornisce parere. Pareri pubblicati sul sito del Garante.

Caso 3: Sempronio: linee guida per AI

Sempronio, sviluppatore AI, consulta linee guida del Garante. Art. 57, lett. b) + collaborazione con EDPB. Risorsa standard per compliance.

Caso 4: Commento applicativo

L'art. 57 è il portfolio delle Autorità. Investire in interlocuzione con il Garante (richieste di pareri, partecipazione a consultazioni, formazione) è leva di compliance.

Domande frequenti

Quali sono i compiti dell'Autorità?

Sorveglianza, applicazione, sensibilizzazione, consulenza al legislatore, formazione, gestione reclami, sviluppo codici/certificazioni, cooperazione internazionale (par. 1, lett. a-v).

Le attività sono gratuite?

Per gli interessati sì (par. 3). Richieste manifestamente infondate o eccessive possono essere oggetto di contributo o rifiuto.

Come si presenta un reclamo?

Tramite il sito del Garante o per posta. Il Garante istruisce il caso e informa il reclamante. Termine 3 mesi per progressi (art. 78, par. 2 prevede ricorso giudiziale).

L'Autorità dà pareri sul legislatore?

Sì (lett. c). Pareri obbligatori su atti normativi che incidono sul trattamento. Pareri pubblicati sul sito del Garante.

L'Autorità approva i codici?

Sì (lett. m, n). Approva codici di condotta (art. 40), accredita organismi di monitoraggio (art. 41), approva certificazioni (art. 42).

Ultimo aggiornamento redazionale: 2026-05-21
Vedi anche
A cura di
Andrea Marton — Dottore in Economia e Finanza, praticante commercialista
Fondatore e responsabile editoriale di Legge in Chiaro, portale di divulgazione giuridica e fiscale gratuita su 101 testi e codici italiani. I contenuti sono curati e rivisti da un team di laureati in economia; hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.