← Torna a GDPR (Reg. UE 2016/679)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • L'art. 78 GDPR riconosce il ricorso giurisdizionale contro l'Autorità.
  • Decisioni impugnabili: sanzioni, ingiunzioni, divieti, revoche.
  • Inattività (par. 2): ricorso se Autorità non tratta o non informa entro 3 mesi.
  • Foro: SM dell'Autorità. Per Italia, Tribunale di Roma (art. 152 D.Lgs. 196/2003).
  • Rinvio pregiudiziale alla CGUE per questioni interpretative.
  • Cumulabile con reclamo (art. 77) e altri ricorsi (artt. 79, 82).

Testo dell'articoloVigente

Articolo 78 del Regolamento (UE) 2016/679 (GDPR) — Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

Commento

Il ricorso giurisdizionale come tutela

L'art. 78 GDPR riconosce il diritto a un ricorso giurisdizionale effettivo nei confronti dell'Autorità di controllo. È applicazione del diritto fondamentale a un giudice indipendente (art. 47 Carta UE) nel campo della protezione dei dati: ogni decisione vincolante dell'Autorità deve essere impugnabile davanti al giudice. La norma garantisce duplice tutela: amministrativa (Autorità) e giurisdizionale (giudice). Il considerando 143 sottolinea l'effettività del rimedio.

Decisioni impugnabili (par. 1)

Il par. 1 prevede che ogni interessato e ogni titolare/responsabile possa proporre ricorso giurisdizionale contro una decisione vincolante che li riguardi. Sono impugnabili: provvedimenti sanzionatori, ingiunzioni, divieti di trattamento, decisioni di adeguatezza nazionale, revoca di certificazioni. Sono impugnabili anche le decisioni che, formalmente, hanno destinatari diversi ma incidono sul ricorrente.

Inattività dell'Autorità (par. 2)

Il par. 2 introduce il rimedio contro l'inattività: l'interessato ha diritto al ricorso giurisdizionale se l'Autorità non tratta un reclamo o non informa l'interessato entro tre mesi sullo stato o sull'esito del reclamo. È regola di garanzia procedurale: l'Autorità non può ignorare il reclamo o lasciarlo in stallo. Il termine di 3 mesi è regola di certezza.

Foro competente (par. 3)

Il par. 3 fissa il foro: l'azione è promossa davanti agli organi giurisdizionali dello SM in cui l'Autorità è stabilita. Per il Garante italiano: Tribunale di Roma (art. 152 D.Lgs. 196/2003). Per la DPC irlandese: High Court di Dublino. La giurisdizione segue la sede dell'Autorità: per investigazioni della LSA capofila, foro nazionale della LSA. La regola facilita l'enforcement giurisdizionale.

Cooperazione tra giudici e Autorità

La cooperazione tra giudici e Autorità è regola di sistema. I giudici possono richiedere all'Autorità informazioni utili per la decisione; possono sospendere il giudizio in attesa di decisione dell'EDPB su questioni connesse. La CGUE può essere investita tramite rinvio pregiudiziale (art. 267 TFUE) su questioni interpretative. La giurisprudenza CGUE (sentenza Schrems II, casi su DPC) ha consolidato i confini.

Coordinamento con art. 77 e con CGUE

Il coordinamento con l'art. 77 (reclamo) è duplice: reclamo e ricorso giurisdizionale sono cumulabili. La giurisprudenza ha precisato che il reclamo non è precondizione del ricorso ex art. 79 contro titolare, ma è precondizione naturale del ricorso ex art. 78 contro Autorità (perché si impugna decisione dell'Autorità). Il coordinamento con la CGUE è centrale per l'uniformità interpretativa.

Regola pratica e checklist operativa

Compliance art. 78: per operatori: impugnazione tempestiva, motivazione, eventuali rinvii pregiudiziali, integrazione con difesa amministrativa. Per interessati: ricorso contro inattività garantisce effettività; cooperazione con DPO e legali.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Casi pratici

Caso 1: Tizio: impugna sanzione del Garante

Tizio, sanzionato 100k€ dal Garante, impugna davanti al Tribunale di Roma ex art. 78. Contraddittorio, motivazione, eventuale rinvio CGUE.

Caso 2: Caio: inattività del Garante

Caio, interessato, ha presentato reclamo 4 mesi fa senza risposta. Art. 78, par. 2: ricorso al giudice per inattività.

Caso 3: Sempronio: rinvio pregiudiziale

Sempronio, giudice italiano, ha dubbi interpretativi su questione GDPR in causa di Tizio. Rinvio alla CGUE ex art. 267 TFUE. La CGUE risponde, giudice nazionale decide.

Caso 4: Commento applicativo

L'art. 78 è la valvola giurisdizionale. Per operatori, impugnazione tempestiva è strategica. Per interessati, ricorso contro inattività garantisce effettività della tutela.

Domande frequenti

Quali decisioni posso impugnare?

Decisioni vincolanti del Garante: sanzioni, ingiunzioni, divieti di trattamento, revoche di certificazioni, decisioni che incidono sui ricorrenti.

Cosa fare se il Garante non risponde?

Ricorso giurisdizionale ex art. 78, par. 2 se l'Autorità non tratta il reclamo o non informa entro 3 mesi.

Davanti a quale giudice?

Davanti agli organi giurisdizionali dello SM in cui l'Autorità è stabilita. Per Garante italiano, Tribunale di Roma.

Può intervenire la CGUE?

Sì, tramite rinvio pregiudiziale del giudice nazionale ex art. 267 TFUE su questioni interpretative.

Posso fare anche reclamo e ricorso?

Sì, cumulabili. Reclamo (art. 77), ricorso contro Autorità (art. 78), ricorso contro titolare (art. 79), risarcimento (art. 82). Strumenti complementari.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.