Il Regolamento (UE) 2025/2518 del 26 novembre 2025 (premere qui per leggere) introduce norme procedurali aggiuntive per l’applicazione del GDPR nei casi di trattamento transfrontaliero. Non riscrive la disciplina sostanziale della protezione dei dati, sia chiaro, interviene, piuttosto, sul versante procedimentale: reclami, indagini, cooperazione tra autorità di controllo, diritto di essere ascoltati, composizione delle controversie e procedura d’urgenza. Il suo obiettivo dichiarato è rendere il sistema più rapido, coerente ed effettivo nei casi cross-border, dove il meccanismo del GDPR aveva mostrato, in concreto, attriti, asimmetrie e tempi spesso dilatati.
Il regolamento si applicherà dal 2 aprile 2027; i capi III e IV si applicano alle indagini d’ufficio avviate dopo tale data e alle indagini fondate su reclami presentati dopo tale data, mentre i capi V e VI si applicano ai deferimenti al meccanismo di composizione delle controversie e alla procedura d’urgenza successivi al 2 aprile 2027.
Perché questo regolamento conta davvero
La novella europea nasce dalla constatazione che il sistema del GDPR, nei casi transfrontalieri, è decentrato ma fortemente cooperativo: autorità capofila, autorità interessate, Comitato europeo per la protezione dei dati. Proprio qui si annidano i problemi pratici. Il legislatore europeo ha dunque voluto armonizzare la cornice procedurale, lasciando spazio al diritto nazionale solo dove il nuovo testo non disciplina espressamente la questione, purché restino fermi i principi di effettività ed equivalenza del diritto dell’Unione.
Il regolamento, inoltre, è costruito attorno a tre assi portanti: buona amministrazione, trattazione entro un termine ragionevole e tutela giurisdizionale effettiva. Non è un intervento marginale. È una misura di razionalizzazione del contenzioso amministrativo privacy in chiave europea.
Qui di seguto troverete una breve anlisi, articolo per articolo, utile per una prima ricognizione di carattere squisitamente pratico.
Articoli 1-3: oggetto, definizioni e principi generali
Articolo 1 – Oggetto e ambito di applicazione
L’articolo 1 delimita il perimetro del regolamento: gestione dei reclami e svolgimento delle indagini da parte delle autorità di controllo nell’applicazione del GDPR, quando il caso è basato su reclamo oppure è avviato d’ufficio e riguarda un trattamento transfrontaliero. La gestione del caso comprende anche l’accertamento preliminare sul fatto che esso sia davvero transfrontaliero.
Significato pratico: il regolamento non si occupa di ogni procedimento privacy, ma solo di quelli che attivano la dimensione europea della cooperazione.
Articolo 2 – Definizioni
Si richiamano le definizioni dell’articolo 4 GDPR e si aggiunge quella di “parte sottoposta a indagine”, vale a dire il titolare o il responsabile sottoposto a indagine per presunta violazione del GDPR in un caso transfrontaliero.
Significato pratico: il testo individua con precisione il soggetto destinatario delle garanzie procedurali e degli obblighi di interlocuzione.
Articolo 3 – Principi relativi all’applicazione del GDPR nei casi transfrontalieri
L’articolo 3 è una norma-cardine. Stabilisce che i procedimenti devono svolgersi in modo rapido ed efficiente; che le autorità devono cooperare in modo sincero ed efficace; che il reclamante comunica solo con l’autorità cui ha presentato il reclamo; che la gestione del reclamo deve sempre sfociare in una decisione ricorribile ai sensi dell’articolo 78 GDPR; e che, per esigenze di efficienza, può essere limitata la lunghezza degli atti delle parti.
Lettura critica: qui si intravede una scelta di equilibrio. Da un lato, il regolamento protegge la linearità della procedura, dall’altro, evita che il reclamante sia costretto a dialogare con più autorità in un circuito opaco e dispersivo.
Articoli 4-5: reclami e risoluzione rapida
Articolo 4 – Reclami riguardanti un trattamento transfrontaliero
Il reclamo è ricevibile se contiene informazioni minime: dati del reclamante; eventuale prova della legittimazione dell’organismo ex articolo 80 GDPR; e gli altri elementi richiesti dal regolamento per identificare il caso. I considerando precisano che non possono essere richieste informazioni ulteriori rispetto a quelle specificate dal regolamento, ferma restando l’applicazione dei requisiti amministrativi nazionali su lingua, firma, modalità elettroniche o identificazione.
Valore sistematico: si riduce il rischio di filtri amministrativi impropri. La ricevibilità viene ancorata a un nucleo europeo uniforme.
Articolo 5 – Risoluzione rapida
Dai considerando e dai frammenti testuali emerge che il regolamento consente, in casi idonei, una procedura di risoluzione rapida. Se il reclamante non solleva obiezioni nei termini previsti, l’autorità capofila presenta un progetto di decisione entro quattro settimane per formalizzare che il reclamo è stato risolto; la risoluzione rapida non pregiudica, comunque, l’esercizio dei poteri correttivi ex articolo 58 GDPR sulla stessa questione. Gli articoli 10-20 non si applicano ai reclami così risolti.
Osservazione: è una previsione dal chiaro intento deflattivo. Il legislatore tenta di sottrarre al meccanismo cooperativo più complesso i casi già componibili in via breve.
Articoli 6-15: cooperazione, termini e procedimenti successivi
Articolo 6 – Procedura di cooperazione semplice
Quando l’autorità capofila ha formato un’opinione preliminare e ritiene che non vi siano dubbi ragionevoli sull’ambito dell’indagine e che le questioni di fatto e di diritto non richiedano ulteriore cooperazione complessa, può utilizzare una procedura di cooperazione semplice. In tal caso non si applicano varie disposizioni del capo III, fra cui quelle sulle sintesi delle questioni principali e, in parte, sul diritto di interlocuzione previsto nelle indagini più complesse; resta però fermo che prima del progetto di decisione, se del caso, vanno comunque garantiti il diritto di essere ascoltate delle parti e la possibilità per il reclamante di esprimersi.
Effetto pratico: il regolamento introduce un doppio binario. Non tutti i casi transfrontalieri sono uguali.
Articolo 7 – Conferimento o limitazione di diritti
Le disposizioni della sezione sulla cooperazione conferiscono strumenti di coordinamento alle autorità, ma non attribuiscono né comprimono diritti dei singoli o delle parti sottoposte a indagine.
Significato: norma di chiusura importante, perché evita interpretazioni espansive o restrittive delle garanzie difensive sulla base di regole pensate solo per la cooperazione interautorità.
Articolo 8 – Cooperazione tra le autorità di controllo
Le autorità possono usare tutti i mezzi previsti dal GDPR, inclusi l’assistenza reciproca ex articolo 61 e le operazioni congiunte ex articolo 62, per raggiungere il consenso.
Articolo 9 – Scambio di informazioni utili
L’autorità capofila e le altre autorità interessate devono scambiarsi informazioni pertinenti: avvio dell’indagine, richieste di informazioni, uso dei poteri istruttori, ragioni di eventuale rigetto o archiviazione, elementi sulla risoluzione rapida del reclamo, e altri dati utili alla cooperazione.
Lettura giuridica: è la codificazione di un fascio di doveri informativi che nel sistema precedente risultava più frammentario.
Articolo 10 – Sintesi delle questioni principali
Dai riferimenti emersi risulta che l’articolo 10 struttura una sintesi delle questioni principali destinata a focalizzare oggetto dell’indagine, elementi fattuali e giuridici e possibili misure correttive, così da rendere più ordinata la cooperazione fra autorità. Le autorità interessate possono formulare osservazioni e il comitato può precisarne modalità e requisiti.
Commento: questa disposizione risponde a un’esigenza metodologica prima ancora che giuridica: costruire un perimetro comune del caso.
Articolo 11 – Mezzi per raggiungere un consenso
L’articolo 11 disciplina il tentativo di consenso ai sensi dell’articolo 60, paragrafo 1, GDPR. Se un’autorità interessata non concorda con la capofila, può chiedere assistenza reciproca o operazioni congiunte per chiarire ambito dell’indagine, elementi di fatto e di diritto e possibili misure correttive. I termini per tali richieste e per la risposta della capofila sono normati.
Significato: il dissenso tra autorità non viene subito proiettato nella fase contenziosa davanti al Comitato; si tenta prima una cooperazione rafforzata.
Articolo 12 – Termini per la presentazione del progetto di decisione
L’articolo 12 fissa i tempi entro cui l’autorità capofila deve presentare il progetto di decisione. Per la cooperazione semplice il termine è di 12 mesi dalla conferma della competenza o dalla decisione vincolante del Comitato; il termine può essere prorogato una sola volta, per un massimo di due mesi, quando il diritto nazionale imponga procedimenti precedenti o successivi. Se la capofila non presenta il progetto nel termine prorogato, un’autorità che abbia segnalato la necessità di proteggere i diritti e le libertà degli interessati può adottare misure provvisorie sul proprio territorio, considerandosi sussistente l’urgenza ex articolo 66, paragrafo 1, GDPR.
Passaggio decisivo: la norma crea una pressione temporale reale sull’autorità capofila.
Articolo 13 – Procedimenti nazionali successivi
Se il diritto nazionale richiede procedimenti successivi sul medesimo caso dopo una decisione di rigetto/archiviazione o dopo la decisione finale, l’autorità capofila non deve ricominciare tutto da capo: non redige una nuova sintesi, ripete solo le fasi che siano necessarie se cambia la valutazione di fatto o di diritto, e presenta un nuovo progetto di decisione solo se la decisione successiva si discosta da quella precedente.
Articolo 14 – Legittimità e validità delle misure procedurali
Il superamento dei termini non incide, di per sé, sulla legittimità o sulla validità dell’atto procedurale o della decisione definitiva.
Nota critica: il legislatore evita che il sistema collassi per vizi meramente temporali. La tutela del termine ragionevole non si traduce automaticamente in nullità.
Articolo 15 – Termini e diritto a un ricorso giurisdizionale effettivo
Per valutare se un’autorità non abbia trattato un reclamo ai sensi dell’articolo 78, paragrafo 2, GDPR, occorre verificare se entro i termini previsti abbia presentato un progetto di decisione o adottato una decisione definitiva.
Portata pratica: la norma fornisce un parametro europeo utile per il contenzioso da inerzia.
Articoli 16-18: rigetto o archiviazione totale o parziale del reclamo
Articolo 16 – Procedura di rigetto o archiviazione
L’articolo 16 disciplina il percorso che conduce al rigetto o all’archiviazione totale o parziale del reclamo nell’ambito dell’articolo 60, paragrafi 8 e 9, GDPR. Dai frammenti disponibili emerge che, se il progetto conclude per un rigetto o un’archiviazione solo parziali, l’indagine prosegue sulla parte residua.
Articolo 17 – Progetto riveduto di decisione di rigetto o archiviazione
Se il progetto riveduto introduce nuovi elementi sui quali il reclamante dovrebbe potersi esprimere, l’autorità cui il reclamo è stato presentato gli offre tale possibilità prima della trasmissione del progetto riveduto.
Articolo 18 – Decisione di rigetto o archiviazione
Quando viene adottata una decisione di rigetto o archiviazione totali o parziali, il reclamante deve essere informato della disponibilità del ricorso giurisdizionale ex articolo 78 GDPR.
Valore garantistico: il reclamo non può dissolversi in una chiusura burocratica priva di sbocco processuale.
Articoli 19-25: constatazioni preliminari, diritto di essere ascoltati, obiezioni, accesso e riservatezza
Articolo 19 – Constatazioni preliminari e diritto di essere ascoltati
Quando l’autorità capofila intende proporre una decisione che accerti una violazione, deve formulare constatazioni preliminari: principali risultati dell’indagine, accuse, fatti, prove, valutazione giuridica e, se del caso, misure correttive considerate. Se valuta una sanzione amministrativa pecuniaria, deve indicare i principali elementi di fatto e di diritto su cui intende fondarsi, inclusi gli eventuali elementi aggravanti o attenuanti. Le parti devono avere accesso al fascicolo amministrativo, nel rispetto delle regole su accesso e riservatezza, e dispongono di un termine tra tre e sei settimane per esprimersi per iscritto o in audizione. Il progetto di decisione può fondarsi solo su accuse, fatti e valutazioni rispetto ai quali le parti abbiano potuto difendersi.
Qui il regolamento compie il salto di qualità più evidente. Il contraddittorio viene densificato. Non basta più una cooperazione amministrativa astratta; serve un nucleo robusto di due process amministrativo europeo.
Articolo 20 – Trasmissione delle constatazioni preliminari ai reclamanti
Se il caso nasce da reclamo, anche il reclamante riceve le constatazioni preliminari, con termine tra tre e sei settimane per osservazioni scritte, conformemente alle regole nazionali applicabili. La disposizione si applica anche se l’autorità tratta più reclami insieme, separa una parte del reclamo o modifica l’ambito dell’indagine.
Significato: il reclamante non è un semplice segnalante esterno; diviene interlocutore procedimentale qualificato.
Articolo 21 – Adozione della decisione definitiva
Se non vi sono obiezioni delle altre autorità interessate entro i termini dell’articolo 60 GDPR, l’autorità capofila, entro un mese dalla fine del relativo periodo, adotta la decisione definitiva e la notifica allo stabilimento principale o unico del titolare o responsabile. Al reclamante viene fornita una versione della decisione o una sintesi motivata; su richiesta, una versione più completa, depurata degli elementi riservati.
Articolo 22 – Diritto di essere ascoltati sul progetto di decisione riveduto
Se il progetto riveduto che accerta una violazione presenta nuovi elementi, le parti sottoposte a indagine devono potersi esprimere prima della nuova trasmissione. Il termine è, anche qui, tra tre e sei settimane.
Articolo 23 – Obiezioni pertinenti e motivate
L’obiezione pertinente e motivata deve basarsi sugli elementi di fatto e di diritto contenuti nel progetto di decisione o nel fascicolo di cooperazione.
Lettura pratica: si riduce il rischio di obiezioni generiche, esplorative o dilatorie.
Articoli 24 e 25 – Accesso al fascicolo amministrativo e informazioni riservate
I frammenti disponibili mostrano che gli articoli 24 e 25 regolano l’accesso al fascicolo amministrativo e il trattamento delle informazioni riservate, sia per le parti sottoposte a indagine sia, in forma compatibile, per i reclamanti. Lo confermano i richiami interni del regolamento nelle disposizioni sulle constatazioni preliminari, sulla trasmissione al reclamante e sulla comunicazione della decisione finale.
Punto essenziale: il regolamento costruisce una trasparenza selettiva. Non piena ostensione indiscriminata, ma accesso bilanciato con la tutela della riservatezza.
Articolo 26: fascicolo di cooperazione
Articolo 26 – Fascicolo di cooperazione
L’autorità capofila deve rendere disponibili, per ogni reclamo o indagine, le informazioni rilevanti in un fascicolo di cooperazione elettronico, accessibile a distanza alle altre autorità e, quando necessario, al Comitato. Il fascicolo non è direttamente accessibile alle parti sottoposte a indagine, ai reclamanti o ai terzi.
Valutazione: si consolida un’infrastruttura documentale europea comune. È un presidio di tracciabilità, ma anche di omogeneità decisionale.
Articoli 27-30: composizione delle controversie dinanzi al Comitato
Articolo 27 – Deferimento al meccanismo di composizione delle controversie
Se, scaduti i termini dell’articolo 60 GDPR, non si giunge al superamento del dissenso, l’autorità capofila entro tre mesi deve presentare un progetto riveduto oppure deferire la questione al Comitato ai sensi dell’articolo 65, paragrafo 1, lettera a), GDPR. La medesima logica vale anche dopo la seconda fase di revisione del progetto.
Articolo 28 – Documentazione del deferimento
Dai frammenti disponibili emerge che il deferimento deve essere corredato della documentazione utile al Comitato per conoscere fatti, progetto, obiezioni e stato della cooperazione.
Articolo 29 – Altri aspetti della fase di composizione
Il regolamento, nella sequenza del capo V, disciplina anche la registrazione del deferimento, la messa a disposizione del fascicolo e l’eventuale presentazione di osservazioni da parte delle autorità.
Articolo 30 – Ulteriori deferimenti al Comitato
Dai frammenti testuali si ricava che l’articolo 30 riguarda il deferimento al Comitato quando si contesta che un’autorità non abbia deferito un progetto di decisione o non abbia dato seguito a un parere del Comitato ex articolo 64 GDPR. Il Comitato acquisisce le opinioni dell’autorità interessata, può richiedere ulteriore documentazione e registra il deferimento entro una settimana dal ricevimento del materiale. Le altre autorità possono far pervenire opinioni entro due settimane.
Lettura sistemica: il capo V non serve soltanto a risolvere divergenze “ordinarie”, ma anche a reagire a deficit di leale cooperazione.
Articoli 31-33: procedura d’urgenza
Articolo 31 – Parere d’urgenza ex articolo 66, paragrafo 2, GDPR
La richiesta di parere urgente va presentata al più tardi quattro settimane prima della scadenza delle misure provvisorie e deve contenere: sintesi dei fatti, misura provvisoria adottata, durata, motivazione e giustificazione dell’urgenza di misure definitive. Il Comitato può chiedere documenti ulteriori.
Articolo 32 – Decisione vincolante d’urgenza
Dai frammenti disponibili emerge che, se il Comitato adotta una decisione vincolante d’urgenza che richiede misure definitive, l’autorità destinataria deve adottarle prima della scadenza delle misure provvisorie; se invece il Comitato ritiene che non vi sia urgenza di misure definitive, si torna alla procedura ordinaria dell’articolo 60 GDPR.
Articolo 33 – Parere d’urgenza o decisione vincolante d’urgenza ex articolo 66, paragrafo 3, GDPR
La richiesta deve contenere una sintesi dei fatti; la giustificazione della necessità urgente di misure adeguate a proteggere i diritti e le libertà degli interessati; le eventuali misure di indagine già adottate; e le opinioni dell’autorità competente. Entro una settimana dal ricevimento di documenti e informazioni, il presidente del Comitato registra il deferimento.
Osservazione: la procedura d’urgenza viene proceduralizzata con rigore, così da evitare usi disinvolti di una deroga eccezionale.
Articoli 34-37: statistiche, riesame, transitorio, applicazione
Articolo 34 – Statistiche
Il Comitato, nella relazione annuale ex articolo 71 GDPR, deve fornire statistiche sui casi rientranti nel regolamento: numero di casi avviati e conclusi, numero di indagini richieste, numero di reclami, rigetti o archiviazioni, durata media dei casi, numero e importi delle sanzioni amministrative pecuniarie. Se i dati non sono direttamente disponibili, le autorità li forniscono tempestivamente al Comitato su richiesta.
Portata reale: la trasparenza quantitativa diventa strumento di accountability istituzionale.
Articolo 35 – Relazione della Commissione
La Commissione, nell’ambito del riesame del GDPR previsto dall’articolo 97, deve presentare anche una relazione sull’applicazione e sul funzionamento del regolamento 2025/2518.
Articolo 36 – Disposizioni transitorie
I capi III e IV si applicano alle indagini d’ufficio avviate dopo il 2 aprile 2027 e alle indagini basate su reclami presentati dopo la stessa data; i capi V e VI si applicano ai casi deferiti ai meccanismi di composizione delle controversie e alle procedure d’urgenza dopo tale data.
Articolo 37 – Entrata in vigore e applicazione
Il regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione in Gazzetta ufficiale dell’Unione europea e si applica dal 2 aprile 2027.
Le novità più rilevanti, in sintesi
La prima novità è la standardizzazione europea del reclamo transfrontaliero. La seconda è la tipizzazione del contraddittorio: constatazioni preliminari, accesso al fascicolo, termini minimi e massimi per osservazioni, attenzione specifica ai presupposti della sanzione amministrativa pecuniaria. La terza è la pressione sui tempi: la scansione temporale non viene resa invalidante in modo automatico, ma diventa parametro per valutare l’inerzia e, in taluni casi, per attivare l’urgenza. La quarta è la razionalizzazione del dissenso tra autorità, prima da gestire con strumenti cooperativi, poi, se necessario, da devolvere al Comitato. La quinta è la costruzione di un ecosistema documentale comune, fondato sul fascicolo di cooperazione elettronico e sulla raccolta statistica europea.
Impatti operativi per titolari, responsabili e difensori
Per i titolari e i responsabili del trattamento, il regolamento segnala una traiettoria netta: nei casi transfrontalieri il procedimento sarà, almeno nelle intenzioni del legislatore, più strutturato, più leggibile e più serrato. La difesa dovrà essere impostata molto presto e con maggiore precisione tecnica, perché le constatazioni preliminari diverranno il fulcro del contraddittorio. La documentazione interna, le risposte alle richieste istruttorie e la coerenza argomentativa assumeranno un peso ancora più incisivo.
Per i reclamanti, invece, il beneficio teorico più evidente consiste nella tracciabilità del procedimento e nella maggiore chiarezza circa il punto di contatto istituzionale: si comunica con l’autorità presso cui il reclamo è stato presentato, ma il caso prosegue all’interno di una macchina cooperativa europea più formalizzata.
Per le autorità, infine, il testo impone un salto organizzativo. Non solo sul piano giuridico, ma anche su quello infrastrutturale. Il fascicolo elettronico comune e la produzione di statistiche non sono meri accessori. Sono l’ossatura amministrativa della riforma.
Valutazione conclusiva
Il Regolamento (UE) 2025/2518 non modifica il lessico assiologico del GDPR. Ne modifica, però, la meccanica applicativa nei casi più delicati: quelli transfrontalieri, dove si concentrano i grandi operatori digitali, i trattamenti su larga scala e i procedimenti più complessi. La sua ambizione è chiarissima: trasformare la cooperazione da formula di principio a procedura realmente governabile.
Resta da verificare se l’architettura normativa riuscirà davvero a comprimere i tempi e a ridurre le frizioni fra autorità. Ma sul piano tecnico-giuridico una conclusione si può già trarre: il legislatore europeo ha inteso colmare un vuoto procedurale che, nel sistema del GDPR, non era più sostenibile. E lo ha fatto rafforzando, insieme, efficienza, contraddittorio e controllo giurisdizionale.
Sull'autore
