Pubblicato in GUUE il Regolamento (UE) 2025/2518: nuove regole procedurali per i casi GDPR “cross-border”.

Nella Serie L della Gazzetta Ufficiale dell’Unione europea del 12 dicembre 2025 è stato pubblicato il Regolamento (UE) 2025/2518 (adottato il 26 novembre 2025), con cui il legislatore europeo interviene sul “come” si gestiscono, sul piano procedurale, i procedimenti GDPR relativi ai trattamenti transfrontalieri. L’obiettivo dichiarato è rendere più omogenea, rapida e prevedibile l’azione delle autorità di controllo nei casi cross-border, superando le criticità emerse nel tempo per effetto delle differenze tra le regole procedurali nazionali e dei limiti operativi riscontrati nei procedimenti più complessi e ad alto impatto economico.

Il Regolamento non modifica l’impianto sostanziale del GDPR, ma introduce una cornice comune per la gestione dei reclami e delle indagini, definendo passaggi, ruoli e termini: un modello procedimentale più “standardizzato”, in cui risultano predeterminate le fasi essenziali, i rapporti tra autorità coinvolte e le scadenze entro cui devono essere svolte le principali attività.

Il testo è composto da 37 articoli, organizzati in sette capi, con disposizioni iniziali dedicate a oggetto e ambito di applicazione. Un punto centrale della riforma è il reclamo, che viene valorizzato come snodo organizzativo del procedimento: la disciplina della presentazione e della ricevibilità incide direttamente su come si imposta l’istruttoria. In particolare, l’articolo 4 indica le informazioni che il reclamante deve fornire (tra cui l’identificazione del titolare o responsabile interessato, la descrizione dei fatti e l’indicazione delle disposizioni del GDPR che si assumono violate), mentre l’articolo 5 attribuisce all’autorità che riceve il reclamo il compito di svolgere un esame preliminare su ricevibilità e qualificazione giuridica del caso, con specifico riferimento alla natura transfrontaliera. Da qui discende la determinazione dell’autorità di controllo capofila, regolata dall’articolo 7, che assume un valore procedurale espresso e condiziona l’assetto dell’intero procedimento (conduzione dell’istruttoria, interazioni con le altre autorità interessate e struttura della cooperazione).

Sul versante della cooperazione, il Regolamento introduce accanto alle forme ordinarie una modalità più snella, definita “cooperazione semplice” (articolo 6), pensata per i casi che, per natura e complessità, possono essere gestiti con un’interazione essenziale e termini definiti per eventuali osservazioni, consentendo alla capofila di procedere con maggiore speditezza. Nei casi più complessi, restano centrali le forme ordinarie di cooperazione improntate al raggiungimento di un consenso tra autorità, con una scansione procedurale più strutturata e regole sui tempi e sulle modalità con cui le autorità interessate possono formulare osservazioni e posizioni motivate.

Quando il confronto non conduce a una posizione condivisa, viene disciplinato l’accesso alla fase di composizione delle controversie affidata al Comitato europeo per la protezione dei dati (EDPB), con indicazione delle condizioni, degli atti e delle informazioni da trasmettere; la decisione del Comitato incide direttamente sul contenuto della decisione finale, cui l’autorità capofila deve conformarsi. Accanto a ciò, il Regolamento contempla anche procedure d’urgenza per i casi che richiedono un intervento immediato a tutela dei diritti e delle libertà degli interessati, oltre a una disciplina specifica dell’archiviazione (come esito possibile, ma ancorato a presupposti espressamente previsti), con regole sulle relative comunicazioni alle parti. Particolarmente rilevante, in chiave di garanzie procedimentali, è l’attenzione alla posizione degli interessati e dei soggetti sottoposti a indagine nella fase che precede la decisione finale: viene riconosciuto in modo espresso il diritto di essere ascoltati, quale passaggio essenziale per consentire alle parti di prendere posizione sulle constatazioni preliminari dell’autorità e presentare osservazioni. Il tutto si innesta in un impianto fortemente scandito da termini procedurali, che possono incidere sulla legittimità dell’azione delle autorità nelle diverse fasi.

Quanto al calendario, il Regolamento entrerà in vigore il ventesimo giorno successivo alla pubblicazione in GUUE e troverà applicazione dal 2 aprile 2027 (articolo 37).