← Torna a GDPR (Reg. UE 2016/679)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • L'art. 79 GDPR riconosce il ricorso giurisdizionale contro titolare/responsabile.
  • Per qualunque violazione del Regolamento.
  • Foro: stabilimento del titolare o residenza dell'interessato (par. 2).
  • Cumulabile con reclamo (art. 77) e altri ricorsi.
  • Risarcimento ex art. 82.
  • Class action e rappresentanza ex art. 80.

Testo dell'articoloVigente

Articolo 79 del Regolamento (UE) 2016/679 (GDPR) — Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

Commento

Il ricorso civile contro titolare

L'art. 79 GDPR riconosce il diritto a un ricorso giurisdizionale effettivo nei confronti del titolare o del responsabile del trattamento. È azione civile contro l'operatore che ha violato il GDPR: l'interessato chiede al giudice di ordinare la conformazione del trattamento, la cancellazione dei dati, il risarcimento del danno. È diritto autonomo dal reclamo (art. 77) e dal ricorso contro Autorità (art. 78): può essere esercitato contestualmente o senza reclamo preliminare.

Decisioni e azioni impugnabili

Le azioni impugnabili includono: violazioni del Regolamento; mancata gestione di richieste di accesso, rettifica, cancellazione (artt. 15-22); trasferimenti illegali; data breach mal gestiti; trattamenti senza base giuridica. Il giudice può ordinare misure (conformazione, ingiunzione di non fare, risarcimento). È strumento di tutela diretta tra interessato e operatore.

Foro competente (par. 2)

Il par. 2 fissa il foro: il ricorso è promosso davanti agli organi giurisdizionali dello SM in cui il titolare/responsabile ha uno stabilimento, oppure davanti a quelli dello SM in cui l'interessato ha la residenza abituale, a meno che il titolare/responsabile sia un'autorità pubblica di uno SM nell'esercizio dei pubblici poteri. La scelta del foro è dell'interessato: può scegliere lo SM più conveniente.

Coordinamento con artt. 77, 78

Il coordinamento con il reclamo (art. 77) e con il ricorso contro Autorità (art. 78) è strutturale: gli strumenti sono cumulabili. La giurisprudenza ha chiarito che il reclamo non è precondizione del ricorso ex art. 79: l'interessato può scegliere direttamente l'azione civile. In casi complessi, spesso si attivano in parallelo.

Risarcimento ex art. 82

Il risarcimento del danno è regolato dall'art. 82. Il giudice del ricorso ex art. 79 può ordinare il risarcimento. La giurisprudenza CGUE (sentenza UI vs Österreichische Post C-300/21) ha chiarito che il danno morale deve essere effettivo, non meramente nominale. La quantificazione segue criteri di proporzionalità.

Class action e rappresentanza

Le class action e la rappresentanza tramite associazioni (art. 80) sono strumenti di tutela collettiva. L'EDPB ha consolidato la legittimazione di associazioni dei consumatori a proporre azioni a tutela dell'interessato. In Italia, il D.Lgs. 28/2023 ha rafforzato la disciplina delle class action. Per grandi violazioni (data breach, profilazione massiva), l'azione collettiva è oggi strumento di rilievo.

Regola pratica e checklist operativa

Compliance art. 79: per titolari: gestione efficace delle richieste riduce rischio cause; preparazione per contenziosi (assicurazione, riserve, processi). Per interessati: conoscere il diritto, cumulare strumenti, considerare class action per grandi violazioni.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Casi pratici

Caso 1: Tizio: data breach e ricorso civile

Tizio, vittima di breach, fa causa al titolare ex art. 79. Foro: residenza in Italia o stabilimento titolare. Risarcimento ex art. 82.

Caso 2: Caio: cancellazione non eseguita

Caio chiede cancellazione, titolare non risponde. Ricorso civile: il giudice ordina cancellazione e eventuale risarcimento.

Caso 3: Sempronio: class action contro piattaforma

Sempronio, associazione consumatori, propone class action ex art. 80 contro piattaforma per profilazione illegale. Tutela collettiva.

Caso 4: Commento applicativo

L'art. 79 è la tutela civilistica. Per interessati, strumento diretto. Per titolari, rischio di contenziosi multipli, class action, danni risarcitori.

Domande frequenti

Quando posso fare causa al titolare?

Per qualunque violazione del GDPR. Mancata gestione di richieste, trattamenti illeciti, data breach, trasferimenti illegali, ecc.

Dove faccio causa?

Davanti al giudice dello SM dello stabilimento del titolare/responsabile, oppure dello SM di residenza abituale dell'interessato (par. 2). Eccezione per PA in esercizio di pubblici poteri.

Devo prima fare reclamo?

No, il ricorso ex art. 79 è autonomo. Reclamo (art. 77) e ricorso (art. 79) sono cumulabili o alternativi.

Posso chiedere risarcimento?

Sì, ex art. 82. Danno materiale e immateriale. La CGUE ha precisato che il danno deve essere effettivo, non meramente nominale.

Class action sono possibili?

Sì. Tramite associazioni ex art. 80. In Italia, D.Lgs. 28/2023 sulle class action.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.