Un'impresa riceve la notifica di avvio di un procedimento sanzionatorio del Garante per la Protezione dei Dati Personali. Il primo impulso, comprensibile, è difendersi nel merito: dimostrare che il trattamento era lecito, che le misure di sicurezza erano adeguate, che il consenso era stato acquisito correttamente. È una strategia giusta, ma incompleta. La giurisprudenza del 2025 e del primo semestre del 2026 ha reso disponibile agli operatori una difesa di tipo diverso, più tecnica e in alcuni casi più efficace: quella fondata sui vizi procedurali del provvedimento stesso.
Il procedimento sanzionatorio del Garante: struttura e termini
Il procedimento con cui il Garante irroga sanzioni ai sensi del GDPR (Reg. UE 2016/679) e del D.Lgs. 196/2003 non è monolitico. Si articola, come ha chiarito in modo definitivo la Corte di Cassazione, Sezione I Civile, con sentenza del 16 dicembre 2025 (R.G. n. 759/2025), in due fasi logicamente e cronologicamente distinte: una fase preistruttoria o investigativa, in cui l'Autorità raccoglie elementi e svolge accertamenti, e una fase sanzionatoria in senso stretto, che si apre formalmente con la notifica al titolare o responsabile del trattamento dell'atto di contestazione ai sensi dell'art. 166, comma 5, del Codice Privacy.
La distinzione non è accademica. La Cassazione ha stabilito chiaramente che i termini entro cui il Garante deve esprimersi sono perentori e, quindi, a pena di decadenza: si tratta dei 120 giorni previsti dal Regolamento interno n. 2/2019 dell'Autorità, ma occorre capire da quando decorrono.
I giudici ermellini hanno affermato che "la complessiva attività procedimentale dell'Autorità Garante, finalizzata all'accertamento di violazioni e all'irrogazione delle corrispondenti sanzioni, consta di due fasi — una sanzionatoria in senso stretto e una, precedente, investigativa o preistruttoria — logicamente e cronologicamente distinte; il termine, da considerarsi perentorio, di centoventi giorni previsto al punto 2 dell'allegato B del Regolamento del Garante n. 2/2019 si riferisce esclusivamente alla fase sanzionatoria in senso stretto e decorre dalla conclusione della fase preistruttoria."
Al contrario, i termini per il completamento della fase investigativa o preistruttoria sono ordinatori, nel senso che il loro superamento può comportare responsabilità per la Pubblica Amministrazione, ma non determina l'illegittimità degli atti compiuti né l'esaurimento del potere di indagine. È una distinzione che cambia radicalmente la strategia difensiva del soggetto sottoposto a procedimento.
Il caso all'origine della sentenza della Cassazione riguardava RAI – Radiotelevisione Italiana e le trasmissioni Report e Presa Diretta. I fatti si erano così svolti: il 25 novembre 2020 era stato presentato il reclamo; il 21 aprile 2021 il Garante aveva chiesto osservazioni alla RAI; il 10 agosto 2021, terminata l'istruttoria, si era avviata la fase sanzionatoria; il 9 settembre 2021 erano state presentate memorie difensive da RAI; il 6 luglio 2023 il Garante aveva emesso il provvedimento sanzionatorio a carico della RAI. Quasi due anni oltre la scadenza del termine perentorio di 120 giorni. Il Tribunale di Roma, correttamente, aveva annullato il provvedimento, e la Cassazione ha confermato quell'impostazione di fondo.
La pronuncia della Cassazione ha avuto un effetto immediato. Il Tribunale di Roma, Sezione diritti della persona e immigrazione civile, con la sentenza del 22 gennaio 2026 (R.G. n. 54031/2025), ha applicato in modo diretto quel principio, stabilendo un confine invalicabile per l'Autorità Garante: i procedimenti sanzionatori devono concludersi entro il termine perentorio di nove mesi dalla ricezione del relativo reclamo, pena l'annullamento della determinazione emessa a conclusione del procedimento.
La pronuncia non solo si pone nell'ottica di tutelare il diritto di difesa, per il quale è essenziale la contiguità temporale tra l'accertamento dell'illecito e l'applicazione della sanzione, ma ripristina anche un principio cardine dell'ordinamento: la certezza del diritto non può essere sacrificata sull'altare dei tempi burocratici. Il brocardo vigilantibus iura subveniunt trova qui una declinazione inaspettata: non solo il diritto tutela chi è vigile nell'esercitare le proprie prerogative, ma impone che lo sia anche l'Autorità pubblica che esercita poteri ablatori.
Il Garante, costituendosi in giudizio, aveva sostenuto che "subordinare l'esercizio di poteri repressivi a termini non elastici mal si concilierebbe con la necessità di assicurare una tutela effettiva" e che considerare perentori i termini fissati dall'articolo 143 del Codice Privacy per la decisione sul reclamo contrasterebbe con l'obbligo delle autorità pubbliche di adottare un regime di sanzioni efficaci e dissuasive. Il Tribunale romano ha respinto questa tesi, e con essa il rischio che l'incertezza temporale diventasse uno strumento di pressione sui soggetti controllati.
Quando la compliance formale non basta: il caso Intesa Sanpaolo
Il quadro procedurale appena descritto non va però frainteso come un invito a giocare sui formalismi senza curare la sostanza. Il fronte opposto della giurisprudenza recente dimostra con altrettanta chiarezza cosa accade quando la protezione dei dati rimane sulla carta.
Il Garante per la Protezione dei Dati Personali, con il Provvedimento n. 208 del 26 marzo 2026 (doc. web n. 10234984), ha inflitto a Intesa Sanpaolo S.p.A. una sanzione amministrativa di 31.800.000 euro, per gravi carenze nella sicurezza dei dati personali, dovute all'inadeguatezza delle misure tecniche e organizzative adottate.
L'istruttoria dell'Autorità, avviata a seguito del data breach notificato dalla banca nel luglio 2024, ha accertato che un dipendente ha avuto accesso, senza giustificato motivo, alle informazioni bancarie di 3.573 clienti, effettuando oltre 6.600 consultazioni tra il 21 febbraio 2022 e il 24 aprile 2024. Tali accessi indebiti non sono stati rilevati dai sistemi di controllo interni, evidenziando significative criticità nei meccanismi di monitoraggio e prevenzione.
Non si è trattato di un attacco informatico esterno, ma di un caso di insider threat: un dipendente della filiale Agribusiness di Barletta che ha effettuato 6.637 accessi abusivi ai dati bancari di 3.573 clienti — tra cui conoscenti, figure istituzionali e Persone Politicamente Esposte — senza alcuna motivazione professionale. Una violazione durata oltre due anni, emersa non grazie a un alert tempestivo, ma in seguito alla comparsa della notizia sulla stampa nazionale.
Il Garante ha censurato non l'episodio in sé, ma l'architettura di controllo che lo ha reso possibile. Il Garante ha chiarito un punto fondamentale: conservare i log degli accessi non equivale a prevenire gli abusi. Il logging è una misura ex post, utile per la ricostruzione forense, ma non intercetta una condotta anomala distribuita su oltre due anni. Serve un monitoraggio ex ante, proattivo e capace di rilevare pattern comportamentali anomali in tempo reale.
A pesare sulla quantificazione della sanzione è stata anche la gestione del data breach. Ulteriori criticità sono emerse nella gestione della violazione: la notifica è risultata incompleta e tardiva rispetto ai termini previsti dalla normativa, così come la comunicazione agli interessati, avvenuta solo a seguito di un precedente provvedimento del Garante del 2 novembre 2024. Inizialmente la banca aveva notificato al Garante il coinvolgimento di soli 9 soggetti; solo nel corso dell'istruttoria, e dopo l'eco mediatica della vicenda, il numero è stato rettificato a 3.573 interessati.
Si tratta di una delle sanzioni più significative mai irrogate dal Garante italiano in materia di protezione dei dati personali e certamente la più rilevante nel settore bancario. Un segnale chiaro al mercato: la compliance privacy nel settore finanziario non può ridursi a un esercizio formale, ma deve tradursi in misure tecniche e organizzative effettivamente capaci di prevenire e rilevare gli accessi illegittimi.
Non è peraltro isolato il caso Intesa Sanpaolo in questo semestre. Il Garante, con il provvedimento n. 193 del 12 marzo 2026, si è pronunciato in merito alla liceità della comunicazione del debito ai familiari del debitore, ribadendo i limiti al trattamento di dati relativi a soggetti terzi rispetto all'interessato principale — un tema pratico di grande rilevanza per tutti i soggetti che operano in ambito di recupero crediti o gestione insoluti.
Lo scenario che emerge è quello di un'Autorità sempre più attiva. Il fil rouge emergente dall'attività ispettiva del semestre è il rispetto del principio di integrità e riservatezza, con lo stimolo di un approccio proattivo alla sicurezza da parte delle organizzazioni. Il piano delle attività ispettive per il primo semestre 2026 prevede almeno 40 accertamenti ispettivi, effettuati anche a mezzo della Guardia di Finanza, ferma restando la possibilità di svolgere ulteriori attività istruttorie d'ufficio o in relazione a segnalazioni o reclami.
Cosa deve fare concretamente un titolare del trattamento per ridurre il proprio profilo di rischio? La risposta passa per tre livelli. Il primo è quello della prevenzione sostanziale: misure tecniche e organizzative realmente efficaci, non solo documentate. Il principio di accountability di cui all'art. 5, par. 2 GDPR non si dimostra con policy scritte ma con sistemi che funzionano. Il secondo livello è quello della gestione degli incidenti: la notifica del data breach entro le 72 ore previste dall'art. 33 GDPR non è una formalità, e la valutazione del rischio per gli interessati ai fini della comunicazione individuale ex art. 34 GDPR deve essere rigorosa e documentata. Il terzo livello è quello della difesa procedurale: chi riceve un provvedimento sanzionatorio ha il diritto e il dovere di verificare non solo il merito, ma anche il rispetto dei termini dell'istruttoria e della fase sanzionatoria in senso stretto, alla luce dei principi ora cristallizzati dalla Cassazione.
Questa terza dimensione è quella più trascurata nella prassi. Come osservava Luigi Einaudi, "conoscere per deliberare": comprendere la struttura del procedimento sanzionatorio è il presupposto per esercitare compiutamente il diritto di difesa. Chi subisce un provvedimento emesso oltre i 120 giorni dalla contestazione formale dispone oggi di uno strumento di impugnazione solido, fondato su giurisprudenza di legittimità recentissima. Non è elusione della norma: è esercizio di un diritto garantito dall'ordinamento a ogni soggetto destinatario di un atto ablatorio.
Summum ius summa iniuria: Cicerone ammoniva che l'applicazione meccanica del diritto, senza il rispetto delle forme e delle garanzie, può trasformare la giustizia nel suo contrario. Il sistema della protezione dei dati personali non fa eccezione: la sua credibilità dipende non solo dalla severità delle sanzioni, ma dalla correttezza con cui vengono irrogate.
Redazione - Staff Studio Legale MP
