Il 1° gennaio 2026 è entrato in vigore il Regolamento (UE) 2025/2518, che definisce le norme procedurali per la gestione dei reclami e per lo svolgimento delle indagini da parte delle autorità di controllo nell’applicazione del Regolamento generale sulla protezione dei dati (GDPR), nei casi basati su un reclamo o avviati d’ufficio che coinvolgono trattamenti transfrontalieri. Le nuove disposizioni si applicheranno a partire dal 2 aprile 2027 e puntano a garantire maggiore uniformità, efficienza e trasparenza nella trattazione dei reclami e nella conduzione delle istruttorie che interessano più Stati membri.
Adottato dal Consiglio nel novembre 2025, il Regolamento armonizza le procedure amministrative relative, tra l’altro, alla ricevibilità dei reclami e ai diritti delle parti coinvolte, con l’obiettivo di rendere più coerente, efficiente e prevedibile l’applicazione del GDPR nei casi transfrontalieri.
Il nuovo intervento normativo non sostituisce il GDPR, né modifica il quadro di cooperazione tra autorità previsto dal Capo VII, ma lo integra, colmando le lacune procedurali che nei primi anni di applicazione avevano rallentato la gestione dei reclami e delle indagini. Molte prassi finora contenute nelle linee guida del Comitato europeo per la protezione dei dati (EDPB), come la condivisione precoce delle informazioni tra autorità, diventano ora obblighi giuridici vincolanti.
Il GDPR ha infatti istituito un sistema di cooperazione tra le autorità nazionali di protezione dei dati basato sul meccanismo di “sportello unico” (One-Stop-Shop): nei casi di trattamento transfrontaliero, un’unica autorità nazionale assume il ruolo di Autorità di Controllo Capofila (LSA), cooperando con le autorità degli altri Stati membri interessati. In particolare, il Regolamento:
- Definisce requisiti standard di ammissibilità dei reclami transfrontalieri (dati di contatto del reclamante, eventuale mandato per le ONG, elementi utili a identificare il titolare del trattamento). In caso di informazioni incomplete, l’autorità è tenuta a informare il reclamante entro termini precisi. Ad esempio, un consumatore italiano invia un reclamo contro un social network irlandese. Il Garante italiano verifica che il modulo contenga tutti i campi e, se valido, lo trasmette all’autorità irlandese competente, vincolandola sulla valutazione di ricevibilità.
- Struttura in modo più chiaro la cooperazione tra Autorità Capofila e autorità interessate (CSA), prevedendo l’obbligo di condividere sin dalle fasi iniziali una “Sintesi delle questioni principali” (fatti, ambito dell’indagine, analisi giuridica), al fine di prevenire disallineamenti nelle fasi successive.
- Specifica la disciplina delle obiezioni pertinenti e motivate sollevate dalle altre autorità, rendendo più trasparente e formalizzato il confronto prima dell’adozione della decisione finale.
- Dettaglia le modalità di deferimento delle controversie al Comitato europeo per la protezione dei dati (EDPB), indicando quando e con quale documentazione le questioni devono essere sottoposte al Comitato, anche nei casi di urgenza.
- Introduce una procedura di risoluzione rapida per chiudere i casi in cui la violazione sia cessata o il reclamo sia divenuto privo di oggetto, evitando indagini non più necessarie. Ad esempio, un consumatore francese segnala che un sito di e-commerce italiano non lo ha cancellato dalla newsletter. L’azienda provvede tempestivamente alla cancellazione e l’autorità italiana può ricorrere alla procedura di risoluzione rapida per chiudere il caso senza sanzioni e senza attivare la complessa macchina della cooperazione UE.
- Fissa termini procedurali certi: l’Autorità Capofila deve presentare un progetto di decisione (ossia l’atto che viene adottato al termine dell’istruttoria e che può contenere l’accertamento di una violazione del GDPR o la decisione di archiviare il caso) entro 15 mesi dalla conferma della propria competenza; nei casi complessi il termine può essere prorogato di 12 mesi. Nelle procedure di cooperazione semplice, le indagini dovrebbero concludersi entro 12 mesi.
- Regola in modo più puntuale il rigetto e l’archiviazione dei reclami, definendone presupposti e modalità.
- Rafforza il diritto di essere ascoltati e il diritto di difesa delle parti sottoposte a indagine, che hanno diritto a ricevere le “Constatazioni preliminari” (ossia la valutazione dell’autorità sui fatti accertati e sulle possibili violazioni del GDPR che potrebbero fondare la decisione finale) e a presentare memorie difensive scritte prima dell’adozione del provvedimento conclusivo.
- Garantisce il coinvolgimento del reclamante, che può ricevere una versione non riservata delle constatazioni preliminari ed esprimere la propria posizione quando il provvedimento incide sui suoi diritti.
- Introduce una disciplina strutturata del fascicolo, distinguendo tra fascicolo amministrativo (relativo al procedimento nazionale) e fascicolo di cooperazione (relativo agli scambi tra autorità nell’ambito del meccanismo di sportello unico), stabilendo regole precise sulla creazione, gestione e accesso ai documenti, nel rispetto del diritto di difesa e della tutela dei segreti commerciali e delle informazioni riservate, anche tramite versioni “omissate”.
Il nuovo regolamento rappresenta un passo significativo verso una maggiore uniformità e chiarezza nell’azione delle autorità di controllo, rafforzando la tutela degli interessati e favorendo una cooperazione più efficace nell’UE.
