Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche

Testo dell'articoloVigente

Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Articolo 97 del Regolamento (UE) 2016/679 (GDPR) – Relazioni della Commissione.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

In sintesi

  • L'art. 97 GDPR impone relazioni periodiche della Commissione.
  • Cadenza: entro 25 maggio 2020 e ogni 4 anni (2024, 2028, ecc.).
  • Contenuto: valutazione, problemi, proposte di riforma.
  • Cooperazione con EDPB e SM, consultazioni pubbliche, studi.
  • Proposte di riforma: procedural regulation, clausole tipo, allineamenti.
  • Lettura strategica per DPO e privacy professionals.
Indice dei contenuti

La rendicontazione periodica della Commissione

L'art. 97 GDPR impone alla Commissione di presentare relazioni periodiche sull'applicazione del Regolamento. Entro il 25 maggio 2020 e successivamente ogni quattro anni, la Commissione presenta al Parlamento europeo e al Consiglio una relazione sulla valutazione e sul riesame del Regolamento. La norma è meccanismo di monitoraggio e ammodernamento: il Regolamento è atto base, ma la sua applicazione richiede valutazione continua per identificare problemi e opportunità di riforma.

Termini e frequenza (par. 1)

Il par. 1 fissa termini: prima relazione entro il 25 maggio 2020 (presentata); successivamente ogni 4 anni (2024, 2028, ecc.). La cadenza è regolare e consente valutazioni programmate. La Commissione può presentare relazioni intermedie su questioni specifiche.

Contenuto delle relazioni

Il contenuto include: valutazione dell'applicazione del Regolamento; identificazione di problemi attuativi; proposte di modifica o aggiornamento; analisi di temi specifici (trasferimenti, AI, biometria, ecc.); cooperazione con EDPB. La relazione del 2020 ha riconosciuto progressi ma identificato aree di miglioramento (frammentazione di Autorità, lentezza enforcement, sfide tecnologiche).

Cooperazione con EDPB e SM

La cooperazione con EDPB e SM è strutturale: la Commissione consulta l'EDPB, raccoglie input dagli SM, organizza consultazioni pubbliche, commissiona studi indipendenti. La relazione integra valutazione istituzionale e analisi empirica. È processo partecipativo che assicura legittimità.

Proposte di riforma

Le proposte di riforma derivano dalla relazione. Esempi: proposta di GDPR procedural regulation (2023) per rafforzare cooperazione e accelerare enforcement transfrontaliero; aggiornamento clausole tipo (Decisione 2021/914); allineamenti con AI Act e Data Governance Act. La riforma è continuo: il GDPR non è atto fisso ma sistema in evoluzione.

Impatto sulla prassi

L'impatto sulla prassi è significativo. Le relazioni della Commissione orientano le politiche dell'EDPB, le strategie degli Stati membri, le aspettative degli operatori. Per DPO e privacy professionals, sono lettura essenziale per anticipare evoluzioni. Le proposte legislative emergenti (procedural regulation, ePrivacy, Data Act) sono fortemente collegate ai contenuti delle relazioni.

Regola pratica e checklist operativa

Compliance art. 97: per DPO e privacy professionals: monitoring delle relazioni come intelligence strategica; partecipazione a consultazioni pubbliche; anticipazione di riforme. Per associazioni: contributo policy.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Casi pratici

Caso 1: Tizio: relazione 2020

Tizio, DPO, analizza relazione Commissione 2020. Identifica priorità di compliance: trasferimenti, cooperazione, AI. Orienta strategia futura.

Caso 2: Caio: procedural regulation

Caio, multinazionale, segue proposta di GDPR procedural regulation. Cambiamenti potenziali nella cooperazione capofila-interessate. Strategia di posizionamento.

Caso 3: Sempronio: consultazione pubblica

Sempronio, associazione, partecipa a consultazione pubblica della Commissione sulla relazione. Contributo settoriale alla policy europea.

Caso 4: Commento applicativo

L'art. 97 è il sistema di apprendimento. Per operatori, monitoring delle relazioni anticipa direzioni di riforma. Per DPO, strumento di intelligence strategica.

Domande frequenti

Quando la Commissione presenta relazioni?

Entro 25 maggio 2020 (presentata) e successivamente ogni 4 anni (2024, 2028, ecc.). Possibili relazioni intermedie su questioni specifiche.

Cosa contengono?

Valutazione dell'applicazione del Regolamento, problemi identificati, proposte di modifica o aggiornamento, analisi di temi specifici, cooperazione con EDPB.

A chi sono presentate?

Al Parlamento europeo e al Consiglio. Pubblicate per accesso pubblico.

Conducono a riforme?

Sì. Esempi: procedural regulation, aggiornamento clausole tipo, allineamenti con AI Act, Data Governance Act.

Posso partecipare?

Sì, tramite consultazioni pubbliche della Commissione e dell'EDPB. Associazioni, accademia, operatori, cittadini possono contribuire.

Ultimo aggiornamento redazionale: 2026-05-21
Vedi anche
A cura di
Andrea Marton — Dottore in Economia e Finanza, praticante commercialista
Fondatore e responsabile editoriale di Legge in Chiaro, portale di divulgazione giuridica e fiscale gratuita su 101 testi e codici italiani. I contenuti sono curati e rivisti da un team di laureati in economia; hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.