Avvocato, se viene il Garante cosa succede davvero? Quanto mi costa in termini di tempo, risorse e denaro?”
Domande legittime e molto ricorrenti da parte di imprenditori o manager alle quali provare a dare risposte chiare e non troppo aperte, perché l’idea di un’ispezione evoca subito il timore di controlli, carte da mostrare, possibili sanzioni da pagare.
La percezione è spesso quella di un meccanismo complesso e punitivo che sottrae tempo alla crescita dell’azienda.
Serve fare chiarezza: non con manuali complicati, ma con risposte concrete e pratiche che aiutino a pianificare, tranquillizzare e — soprattutto — intervenire per tempo.
Ed allora il nostro caso concreto di oggi è la risposta alle domande frequenti, aiutati in questo da una recente sentenza della I sezione civile della Corte di Cassazione (n. 18583 del 08/07/2025)
L’attività ispettiva: cosa significa davvero?
Il Garante, nell’esercizio dei suoi compiti, anche in assenza si reclamo o segnalazione, ha il potere di chiedere al titolare di fornire informazioni, di ottenere l’accesso a tutte le informazioni, di esibire documenti, di consentire l’accesso ai locali aziendali, banche dati e/o altri luoghi in cui viene effettuato il trattamento.
I controlli possono essere condotti direttamente dal personale dell’Autorità oppure possono venire delegati alla Guardia di Finanza.
Non sempre le attività vengono anticipate da un preavviso, salvo nei casi di accertamenti in abitazioni o private dimore che richiedono l’assenso informato del titolare o del responsabile ovvero l’autorizzazione del Tribunale competente.
Durante la visita, possono essere effettuati rilievi, estratte copie, ascoltati dipendenti, collaboratori, terzi, che possono fare emergere anche violazioni che non riguardano direttamente il GDPR.
Questa attività istruttoria preliminare è finalizzata a verificare la sussistenza o meno di idonei elementi di violazione della normativa in tema data protection.
I documenti sotto la lente
Cosa cercano gli ispettori?
In poche parole: come l’azienda gestisce la privacy nella pratica.
Guardano l’organigramma dell’azienda, l’eventuale distribuzione delle funzioni, le informative rese agli interessati, il registro dei trattamenti, le nomine dei responsabili e i contratti, fino alle misure tecniche e organizzative adottate.
In sostanza tutto quanto presente!
Dunque, mostrare collaborazione e avere documenti aggiornati è un segnale positivo che viene sempre tenuto in considerazione.
Al contrario, rifiutare l’accesso o non esibire ciò che viene richiesto può comportare conseguenze più gravi.
Dove nascono più segnalazioni
Le segnalazioni o i reclami più ricorrenti portano il Garante ad avviare controlli e riguardano in misura prevalente, tematiche quali:
- sistemi di video sorveglianza
- comunicazioni indesiderate
- controllo a distanza dei lavoratori
- mancato adempimento a richieste per l’esercizio dei diritti
I tempi del procedimento
Una volta conclusa l’ispezione, se emergono violazioni il dipartimento propone un provvedimento correttivo o sanzionatorio.
Il titolare, che si auspica abbia già offerto massima collaborazione, a quel punto ha 30 giorni per difendersi, presentando memorie scritte o chiedendo di essere ascoltato.
A questo segue la decisione che può consistere in una archiviazione, oppure in un provvedimento del Collegio del Garante.
Contro la decisione è possibile presentare ricorso oppure scegliere di pagare la metà della sanzione per chiudere la controversia.
In pratica, i tempi sono lunghi, ma l’importante è affrontare ogni fase con attenzione e preparazione.
Quanto può costare
Le sanzioni sono tutt’altro che simboliche pur anche se – secondo il Regolamento – debbano essere effettive, proporzionate e dissuasive.
Possono arrivare fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato totale annuo dell’esercizio precedente per violazioni degli obblighi di titolari e responsabili.
E fino a 20 milioni o al 4% del fatturato per violazioni più gravi, come quelle legate al consenso, ai diritti degli interessati o ai principi base del GDPR.
L’Autorità valuta caso per caso: la natura e la gravità della violazione, la durata, il numero di persone coinvolte, il livello del danno, la condotta dolosa o colposa, le misure correttive adottate, l’eventuale recidiva, la cooperazione mostrata, la tipologia dei dati trattati e la capacità economica dell’azienda. Nei casi più lievi, invece, può limitarsi a un ammonimento.
Ma quanto tempo ha il Garante per agire?
Qui entra in gioco la citata sentenza della Cassazione, che ha fatto chiarezza su un punto delicato: la natura dei termini entro cui l’Autorità deve agire.
La Corte ha spiegato che l’attività del Garante si divide in due fasi.
La prima è quella investigativa, che serve a raccogliere informazioni e può essere anche complessa e unitaria ed in questo caso termini devono essere considerati ordinatori.
Ciò vuol dire che eventuali ritardi non invalidano gli atti eseguiti.
La seconda fase è quella sanzionatoria, che si avvia con la notifica delle presunte violazioni.
È da quel momento che decorre il termine – questa volta perentorio – di 120 giorni (360 per i residenti all’estero) entro il quale deve essere emesso il provvedimento definitivo dell’Autorità.
Quel termine, pertanto, non decorre dalle singole tappe dell’indagine, ma dall’accertamento effettivo della violazione, cioè dal momento in cui il Garante acquisisce la piena conoscenza della condotta illecita.
Ed è bene ricordare, inoltre, che l’eventuale inerzia dell’Autorità non equivale mai a un tacito via libera.
L’azienda, dunque, non può ritenersi al sicuro solo perché non è stato emanato subito un provvedimento.
In conclusione, l’ispezione del Garante non è un fulmine a ciel sereno, ma un rischio concreto che ogni azienda deve saper gestire.
La vera domanda non è se ci sarà un controllo, ma se oggi saresti pronto ad affrontarlo.
Ne parliamo ogni settimana nella newsletter Privacy in azienda: casi concreti, spiegazioni chiare, soluzioni pratiche. Perché la compliance non è un optional, è una questione di fiducia, responsabilità e… lungimiranza.
Ogni settimana in Privacy in azienda affrontiamo casi reali raccontati con linguaggio chiaro e un approccio pratico.
Perché la privacy non è un obbligo da subire.
È fiducia da conquistare, è rischio da prevenire, è vantaggio competitivo.
La privacy è un diritto fondamentale, un atto di rispetto verso sé stessi e verso gli altri.
Affianchiamo aziende, professionisti e scuole nella gestione della privacy, aiutandoli a costruire percorsi concreti di protezione dei dati personali, compliance normativa e consapevolezza digitale.
Il nostro approccio unisce competenza tecnica e sensibilità umana: ogni progetto nasce dall’ascolto delle esigenze specifiche, per offrire soluzioni pratiche, chiare, sostenibili.
