Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

diritti

GDPR, quando “bypassare” il Garante: la tutela giurisdizionale diretta

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

L’art. 79 GDPR riconosce all’interessato il diritto di ricorrere direttamente al giudice, indipendentemente da un reclamo all’autorità garante. Restano però criticità nei procedimenti transfrontalieri e nella gestione di ricorsi paralleli negli Stati membri

Pubblicato il 9 set 2025
Roberta D’Ercole

Studio legale Qlt Law&Tax

privacy, G7 Garanti privacy 2024 (1) Verticale sulla privacy

La tutela del soggetto privato in caso di violazione delle disposizioni del Regolamento UE 2016/679 (il “GDPR”), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati è tematica oggetto di dibattiti e approfondimenti sin dalla entrata in vigore della normativa che ha uniformato a livello dell’Unione europea la disciplina del trattamento dei dati personali.

Gdpr 2.0: come passare dalla burocrazia alla vera tutela dei dati

Strumenti di tutela previsti dal Gdpr per i cittadini europei

Il GDPR ha messo a disposizione dei cittadini europei diversi strumenti per far valere i propri diritti a fronte di pregiudizi subìti in conseguenza dei trattamenti dei dati personali, primo tra tutti le Autorità Garanti dei Paesi membri, senza tralasciare in ogni caso il ricorso all’autorità giudiziaria.

Coordinamento tra tutela amministrativa e giurisdizionale nel Gdpr

Il necessario coordinamento tra detti mezzi di tutela ha interessato la dottrina e la giurisprudenza, dal momento che non sempre il regolamento ha consentito un’interpretazione priva di perplessità.

In tal senso, di particolare interesse appare la questione relativa alla possibilità del soggetto interessato di adire direttamente l’autorità giudiziaria ordinaria, senza necessariamente interpellare in prima istanza l’Autorità Garante.

Articoli 77-79 Gdpr e principio di alternatività della tutela

Le disposizioni qui di rilievo sono quelle comprese tra l’art. 77 e il 79, laddove l’art. 77 disciplina il procedimento amministrativo avanti l’autorità per le violazioni del GDPR e il 78 i ricorsi giurisdizionali avverso le pronunce delle autorità.

Il principio in forza del quale l’interessato non è vincolato alla preventiva azione amministrativa è sancito dall’articolo 79 del GDPR, che garantisce all’interessato il diritto al ricorso giurisdizionale effettivo contro il titolare o il responsabile del trattamento, indipendentemente da eventuali procedimenti amministrativi in corso, ogniqualvolta ritenga che i suoi diritti siano stati violati da un trattamento illecito, a prescindere dal fatto che abbia presentato o meno un reclamo all’autorità amministrativa (ai sensi dell’art. 77 GDPR). Si tratta di una disposizione che attua il principio di effettività della tutela dei diritti fondamentali, sancito dall’articolo 47 della Carta dei diritti fondamentali dell’Unione europea.

Diritto al ricorso effettivo secondo la carta Ue

La norma enuncia un principio di diritto essenziale: “Ogni persona i cui diritti e le cui libertà garantiti dal diritto dell’Unione siano stati violati ha diritto a un ricorso effettivo dinanzi a un giudice, nel rispetto delle condizioni previste nel presente articolo. Ogni persona ha diritto a che la sua causa sia esaminata equamente, pubblicamente ed entro un termine ragionevole da un giudice indipendente e imparziale, precostituito per legge. Ogni persona ha la facoltà di farsi consigliare, difendere e rappresentare. A coloro che non dispongono di mezzi sufficienti è concesso il patrocinio a spese dello Stato, qualora ciò sia necessario per assicurare un accesso effettivo alla giustizia“

Sul solco della predetta norma di riferimento, il GDPR nei suoi considerando – il n. 141 – secondo cui “Ciascun interessato dovrebbe avere il diritto di proporre reclamo a un’unica autorità di controllo, in particolare nello Stato membro in cui risiede abitualmente, e il diritto a un ricorso giurisdizionale effettivo a norma dell’articolo 47 della Carta qualora ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento ….”, ribadisce così il principio della alternatività dei mezzi di tutela del soggetto interessato.

Questi dunque i presupposti dell’art. 79 del GDPR, a conferma della garanzia della più ampia tutela esercitabile dai soggetti interessati.

Interpretazione della corte di giustizia europea sulla tutela Gdpr

Sul punto, è altresì intervenuta la Corte di Giustizia Europea con la sentenza del 12 gennaio 2023 (nella causa C-132-2021) che, chiamata ad interpretare proprio gli articoli da 77 a 79 del GDPR, ha statuito che essi consentono un esercizio concorrente e indipendente dei mezzi di ricorso previsti, rispettivamente e da un lato dall’articolo 77, paragrafo 1 (i.e. reclamo all’autorità amministrativa) e dall’ articolo 78, paragrafo 1 (i.e. ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo), nonché, dall’altro, da tale articolo 79, paragrafo 1 (i.e. ricorso giurisdizionale).

Trattamenti transfrontalieri e competenza dell’autorità capofila

Se dunque da un lato il quadro è chiaro sulla esperibilità alternativa delle azioni, permane incertezza nel caso di procedimenti giurisdizionali attivati in diversi Stati membri, a differenza di quanto invece prescritto con sufficiente linearità per i procedimenti avanti le autorità di controllo.

Sul punto infatti il GDPR, con riferimento ai cosiddetti trattamenti transfrontalieri (che hanno luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione, i) ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro, oppure ii) che incidano o probabilmente incidano in modo sostanziale su interessati in più di uno Stato membro) stabilisce un processo ben definito in punto di ricorso amministrativo.

Ai sensi dell’art. 56, infatti, l’autorità di controllo dello Stato ove è situata l’attività principale del titolare o responsabile del trattamento è definita come “capofila”, alla quale è automaticamente devoluta la competenza a trattare il caso, indipendentemente dallo Stato di residenza del soggetto interessato.

Criticità nei ricorsi giurisdizionali transfrontalieri

L’ambito applicativo di tale disposizione, che di fatto intende costituire uno sportello unico dei trattamenti transfrontalieri, è evidentemente circoscritto ai procedimenti amministrativi avanti le autorità di controllo, non trovando altrettanta chiarezza la gestione di più procedimenti giurisdizionali pendenti negli Stati membri.

Sul punto, l’art. 81 del GDPR si limita a conferire la facoltà all’autorità giurisdizionale successivamente adita di sospendere il procedimento o di dichiarare la propria incompetenza, residuando così, almeno nel primo caso, la possibilità che più procedimenti gemelli (i.e. azioni riguardanti lo stesso oggetto relativamente al trattamento dello stesso titolare del trattamento o dello stesso responsabile del trattamento) restino pendenti contemporaneamente, senza però la garanzia di una uniformità di giudizio all’esito.

Considerazioni conclusive sulla tutela Gdpr

In conclusione, in linea generale il sistema di tutela previsto dal GDPR garantisce all’interessato una pluralità di strumenti, che possono essere esercitati in modo autonomo e alternativo, rafforzando l’effettività della protezione dei diritti.

Tuttavia, la mancanza di una disciplina chiara per i ricorsi giurisdizionali transfrontalieri lascia aperti scenari di incertezza giuridica e disomogeneità applicativa, dei quali è lecito auspicare una futura armonizzazione.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Roberta D’Ercole
Studio legale Qlt Law&Tax
Seguimi su
S
Lorenzo Scapellato
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • data protection officer

  • la guida

    DPO, chi è il data protection officer e perché è una figura controversa

    07 Apr 2025

    di Antonino Polimeni

    Condividi
  • gdpr

  • GDPR

    GDPR, tutto ciò che c'è da sapere per essere in regola

    04 Giu 2025

    di Anna Cataleta e Alessandro Longo

    Condividi
  • Qualità del dato PA qualità dei dati sanitari dati pseudonimizzati data observability

  • norme ue

    Data Act e Gdpr a confronto: cosa devono sapere le aziende

    24 Lug 2025

    di Paola Zanellati

    Condividi