Privacy GDPR violazione 2026: reclamo Garante

Q: Il reclamo al Garante Privacy e' gratuito?

Si', e' completamente gratuito. Non richiede il pagamento di alcun contributo. Si invia via PEC a garante@gpdp.it, per posta raccomandata o tramite il portale online del Garante.

Q: Devo prima esercitare i miei diritti presso il titolare prima di andare al Garante?

Non e' obbligatorio, ma il Garante valuta positivamente il tentativo previo. E' consigliabile inviare prima la richiesta al titolare e, se entro 30 giorni non risponde o risponde negativamente, procedere con il reclamo.

Q: Posso ricevere un risarcimento per la violazione del GDPR?

Si', l'art. 82 GDPR prevede il risarcimento del danno materiale e immateriale, purche' si provi un danno effettivo. Si chiede al tribunale, indipendentemente dal reclamo al Garante.

Q: Entro quanto tempo si prescrive l'azione per violazione del GDPR?

In Italia si applicano le norme nazionali: il danno da illecito extracontrattuale si prescrive in 5 anni (art. 2947 c.c.) dalla conoscenza del danno e del responsabile.

Q: Cosa faccio se ricevo una comunicazione di data breach?

Cambia immediatamente le credenziali, verifica i tuoi dati su servizi come Have I Been Pwned. Se hai subito un danno concreto, presenta denuncia alla Polizia Postale e valuta l'azione risarcitoria contro il titolare.

Violazione privacy GDPR 2026: reclamo al Garante e risarcimento

Se i tuoi dati personali vengono trattati in modo illecito — spam non autorizzato, dati venduti a terzi, data breach, rifiuto di cancellazione — hai il diritto di reclamare al Garante Privacy (art. 77 GDPR) e di chiedere il risarcimento del danno al tribunale (art. 82 GDPR). Questa guida spiega come agire nel 2026.

Quando si configura una violazione del GDPR
Procedura di reclamo al Garante Privacy (art. 77 GDPR)
Risarcimento del danno: art. 82 GDPR e D.Lgs. 196/2003
Sanzioni amministrative e importi 2026

1. Quando i tuoi dati sono trattati in modo illecito

Il GDPR (Regolamento UE 2016/679), in vigore dal 25 maggio 2018 e recepito in Italia dal D.Lgs. 101/2018 (che ha modificato il Codice della Privacy, D.Lgs. 196/2003), stabilisce i diritti degli interessati e gli obblighi dei titolari del trattamento. Una violazione si configura quando:

Ricevi comunicazioni commerciali (spam) senza aver dato il consenso (o senza che esista un’altra base giuridica lecita)
I tuoi dati vengono ceduti o venduti a terzi senza consenso
Il titolare rifiuta o ignora la tua richiesta di cancellazione (diritto all’oblio, art. 17 GDPR), di accesso (art. 15), di rettifica (art. 16) o di portabilita’ (art. 20)
I tuoi dati vengono trattati per finalita’ diverse da quelle dichiarate nell’informativa
Subisci un data breach (violazione dei dati) che ti espone a rischi concreti e il titolare non ti ha notificato entro 72 ore (art. 34 GDPR)
I tuoi dati biometrici, sanitari o giudiziari vengono trattati senza basi giuridiche specifiche (art. 9-10 GDPR)

In tutti questi casi, hai diritto di presentare reclamo al Garante per la Protezione dei Dati Personali (autorita’ di controllo italiana) ai sensi dell’art. 77 GDPR e/o di agire in giudizio per il risarcimento del danno ai sensi dell’art. 82 GDPR.

In sintesi. Prima di procedere, esercita i tuoi diritti direttamente presso il titolare del trattamento (richiesta di cancellazione, accesso, ecc.). Se il titolare non risponde entro 30 giorni o risponde negativamente, puoi reclamare al Garante.

2. Il reclamo al Garante Privacy: procedura 2026

Il reclamo al Garante Privacy e’ uno strumento gratuito, non richiede un avvocato (anche se e’ consigliato nei casi complessi) e puo’ portare all’irrogazione di sanzioni amministrative al titolare e/o a un provvedimento inibitorio (ordine di cessazione del trattamento illecito).

Come presentare il reclamo

Il reclamo si presenta esclusivamente in forma scritta e deve contenere: generalita’ del reclamante; identificazione del titolare del trattamento (nome, sede, P.IVA se disponibile); descrizione dei fatti e indicazione della violazione; documenti a supporto (informativa ricevuta, prove del trattamento illecito, corrispondenza con il titolare, ecc.); dichiarazione che la stessa questione non e’ pendente davanti a un’altra autorita’ di controllo UE.

Il reclamo puo’ essere inviato: via PEC all’indirizzo garante@gpdp.it; per posta ordinaria/raccomandata alla sede del Garante (Piazza Venezia 11, Roma); online attraverso il portale del Garante (www.gpdp.it, sezione “Reclami e segnalazioni”).

Il Garante ha 3 mesi per informare il reclamante dell’esito o del corso del procedimento. I procedimenti complessi possono durare 12-24 mesi. Il Garante puo’ emettere provvedimenti ingiuntivi, ordini di limitazione del trattamento e sanzioni amministrative.

Tipo di violazione	Sanzione massima GDPR	Esempi in Italia (2024-2025)
Violazioni obblighi titolare/responsabile (artt. 8-49)	10 milioni euro o 2% fatturato	Sanzioni a banche, operatori TLC
Violazioni principi base e diritti interessati (artt. 5-7, 9, 12-22)	20 milioni euro o 4% fatturato	Meta/Facebook 5 mln 2024
Violazioni PM piccola impresa	Da 10.000 a 150.000 euro	Studi medici, e-commerce
Violazione diritti interessato (risposta tardiva)	Da 10.000 a 50.000 euro	Rifiuto cancellazione dati

Esempio 1 — Spam senza consenso

Carla riceve email promozionali settimanali da un e-commerce al quale non si e’ mai iscritta. Invia richiesta di cancellazione dalla mailing list indicando l’art. 21 GDPR (diritto di opposizione). Dopo 15 giorni non riceve risposta e le email continuano. Carla: (1) raccoglie le prove (email ricevute, copia della richiesta inviata, ricevuta di lettura se PEC); (2) presenta reclamo al Garante via PEC. Il Garante avvia istruttoria: l’e-commerce non riesce a provare il consenso. Sanzione: 15.000-30.000 euro. Carla puo’ inoltre chiedere il risarcimento del danno al tribunale.

Esempio 2 — Rifiuto del diritto di cancellazione

Marco chiede alla sua ex banca la cancellazione dei dati dal sistema di profilazione marketing (art. 17 GDPR). La banca risponde che “non e’ possibile cancellare i dati per obblighi di legge”. Marco verifica: gli obblighi di legge (antiriciclaggio, fiscali) riguardano i dati transazionali, non quelli di profilazione marketing. Presenta reclamo al Garante allegando la risposta della banca. Il Garante ordina alla banca di cancellare i dati di profilazione entro 30 giorni e irroga una sanzione di 50.000 euro. Marco puo’ chiedere al tribunale un risarcimento simbolico (200-500 euro) per il disagio subito, o piu’ alto se prova un danno concreto.

3. Il risarcimento del danno: come ottenerlo

L’art. 82 GDPR prevede che chiunque subisca un danno materiale o immateriale a causa di una violazione del Regolamento ha il diritto di ottenere il risarcimento dal titolare o dal responsabile del trattamento. Il titolare e’ responsabile se non prova di non essere in alcun modo responsabile dell’evento che ha causato il danno.

Il danno immateriale (ansie, stress, perdita di controllo sui propri dati) e’ risarcibile anche senza un danno patrimoniale concreto. La Corte di Giustizia UE (sentenza C-300/21, 4 maggio 2023) ha chiarito che il solo inadempimento del GDPR non basta: occorre provare un danno effettivo, anche minimo. Non e’ richiesta una soglia minima di gravita’, ma il danno deve essere reale e non meramente ipotetico.

L’azione risarcitoria si propone davanti al tribunale ordinario (giudice di pace se il valore e’ inferiore a 5.000 euro, tribunale per valori superiori). Non e’ necessario attendere l’esito del procedimento davanti al Garante.

4. Data breach: cosa deve fare il titolare e cosa puoi fare tu

Il data breach e’ una violazione della sicurezza che comporta la distruzione, perdita, modifica, divulgazione non autorizzata o accesso non autorizzato a dati personali. L’art. 33 GDPR obbliga il titolare a notificare il breach al Garante entro 72 ore dalla scoperta. L’art. 34 GDPR obbliga il titolare a comunicarlo agli interessati “senza ingiustificato ritardo” quando e’ probabile che il breach comporti rischi elevati per i diritti e le liberta’ degli interessati (es. furto di dati finanziari, sanitari, credenziali di accesso).

Se hai ricevuto una comunicazione di data breach, o se sospetti che i tuoi dati siano stati oggetto di violazione (es. le tue credenziali compaiono su siti di verifica come Have I Been Pwned), puoi: (a) chiedere al titolare informazioni sull’entita’ della violazione; (b) presentare reclamo al Garante se il titolare non ti ha comunicato il breach dovuto; (c) agire in giudizio per il risarcimento se hai subito un danno concreto (es. furto d’identita’, addebiti non autorizzati sul conto).

Per approfondire le tutele specifiche in materia di cyberbullismo e violazione della privacy online, consulta anche la guida cyberbullismo e difesa legale 2026.

Valuta il caso con un avvocato civilista

Reclami al Garante complessi e azioni risarcitorie per violazione del GDPR richiedono una strategia legale precisa e la raccolta corretta delle prove prima della prescrizione.

Trova avvocato civilista

Domande frequenti

Il reclamo al Garante Privacy e’ gratuito?

Si’, il reclamo al Garante e’ completamente gratuito e non richiede il pagamento di nessun contributo. Non e’ obbligatoria l’assistenza di un avvocato, ma per i casi complessi e’ consigliata. Il reclamo si invia via PEC, posta raccomandata o tramite il portale online del Garante.

Devo prima esercitare i miei diritti presso il titolare prima di andare al Garante?

Non e’ obbligatorio, ma il Garante di norma valuta positivamente il fatto che l’interessato abbia tentato di esercitare i propri diritti direttamente. E’ consigliabile inviare prima la richiesta al titolare (cancellazione, accesso, ecc.) e, se entro 30 giorni non risponde o risponde negativamente, procedere con il reclamo allegando la documentazione.

Posso ricevere un risarcimento per la violazione del GDPR?

Si’, l’art. 82 GDPR prevede il diritto al risarcimento del danno materiale e immateriale. E’ necessario provare un danno effettivo (anche stress o ansia concreta). Il risarcimento si chiede al tribunale, indipendentemente o in aggiunta al reclamo al Garante. Per i danni modesti (sotto i 5.000 euro) e’ competente il giudice di pace.

Entro quanto tempo si prescrive l’azione per violazione del GDPR?

L’art. 82 GDPR non fissa un termine di prescrizione specifico: si applicano le norme nazionali. In Italia, il danno da illecito extracontrattuale si prescrive in 5 anni (art. 2947 c.c.). Il termine decorre dalla conoscenza del danno e del responsabile. Per le sanzioni amministrative, il Garante puo’ procedere entro 5 anni dalla violazione.

Cosa faccio se ricevo una comunicazione di data breach?

Prima di tutto, cambia immediatamente le credenziali di accesso a tutti i servizi che usano la stessa password o email. Poi verifica se i tuoi dati sono stati effettivamente compromessi (puoi usare servizi come Have I Been Pwned). Se hai subito un danno concreto (addebiti non autorizzati, furto d’identita’), presenta denuncia alla Polizia Postale e valuta l’azione risarcitoria contro il titolare.

Approfondisci

Guide e analisi correlate per inquadrare meglio il tema.

Pillar correlati

Hai bisogno di un esperto
Trova avvocato civilista ›

Disclaimer. Le informazioni hanno scopo divulgativo e non sostituiscono il parere di un professionista abilitato. Riferimenti normativi aggiornati al 2026.

Autore

Andrea Marton

Praticante commercialista in formazione · Milano · Autore e responsabile editoriale

Scopri di più → · LinkedIn

Avvertenza: i contenuti di Fisco Investimenti hanno finalità esclusivamente informativa e divulgativa. L’autore è un praticante commercialista in formazione, non iscritto all’albo: i contenuti non costituiscono consulenza professionale. Per decisioni operative su casi specifici rivolgersi a un professionista abilitato.