Venerdì 5 giugno 2026
Accedi Registrati
ADUC
ADUC
Dal 1990
Difenditi. Informati. Agisci.
Dona ora
Home
SOS Online
Investire
Salute
Sportello salute Staminali Eutanasia RSA
Droghe
Immigrazione
TLC
Canone RAI
Famiglia
Sportello famiglia
Strumenti
L’Associazione
Chi siamo Le sedi Statuto Newsletter I numeri Ufficio stampa Redazione ADUC sui media Mappa del sito
Menu

Privacy: come presentare un esposto alla Procura per violazioni gravi

Scheda · Redazione · 26 febbraio 2026

Quando si subisce una violazione della privacy — telefonate o email indesiderate da chi non doveva avere i propri dati, posta pubblicitaria su indirizzi mai forniti, divulgazione non autorizzata di informazioni personali — esistono diverse vie di tutela. La principale e più efficace è la segnalazione al Garante per la protezione dei dati personali, che può imporre sanzioni amministrative pesanti (fino al 4% del fatturato globale ai sensi del GDPR). Quando però la condotta integra un reato penale, è possibile presentare in parallelo un esposto alla Procura della Repubblica. Questa scheda spiega quando ha senso l'opzione penale e mette a disposizione il fac-simile dell'esposto.

 

Indice:
SEGNALAZIONE AL GARANTE O ESPOSTO ALLA PROCURA?
QUANDO LA VIOLAZIONE E' REATO
DIRITTI DELL'INTERESSATO (GDPR)
COME PREPARARE L'ESPOSTO
RISARCIMENTO DEL DANNO
RIFERIMENTI NORMATIVI E SCHEDE CORRELATE

 

SEGNALAZIONE AL GARANTE O ESPOSTO ALLA PROCURA?
Le due strade hanno scopi e modalità diverse:

- Segnalazione/reclamo al Garante per la protezione dei dati personali (artt. 77 GDPR e 142 D.Lgs. 196/2003): è la via principale per chi vuole che cessi un trattamento illecito, ottenere la cancellazione dei propri dati, far sanzionare amministrativamente il titolare. Il procedimento è gratuito, può portare a sanzioni pecuniarie elevate (fino a 20 milioni di euro o al 4% del fatturato globale annuo dell'azienda) e a ordinanze ingiuntive.

- Esposto alla Procura della Repubblica: ha senso quando la condotta integra un reato penale, in particolare il trattamento illecito di dati a fini di profitto (art. 167 D.Lgs. 196/2003), o quando la violazione coinvolge un pubblico ufficiale (es. fuga di dati dall'anagrafe, dalla ASL) configurabile come abuso d'ufficio o accesso abusivo a sistemi informatici. È gratuito, ma non garantisce alcuna risposta: la Procura può archiviare, e i tempi sono lunghi.

Le due strade possono essere usate in parallelo. La segnalazione al Garante è più efficace per ottenere la cessazione del trattamento e la sanzione amministrativa. L'esposto alla Procura ha senso quando si vuole far emergere un reato e, eventualmente, costituirsi parte civile per chiedere il risarcimento.

 

QUANDO LA VIOLAZIONE E' REATO
Il D.Lgs. 196/2003 (Codice Privacy), come novellato dal D.Lgs. 101/2018 in attuazione del GDPR, prevede tre fattispecie di reato:

- Art. 167 — Trattamento illecito di dati. Punisce con la reclusione da 6 mesi a 3 anni chi, al fine di trarne profitto o di recare ad altri un danno, tratta dati personali in violazione di norme specifiche (es. trasferimenti illeciti, comunicazione e diffusione abusive).

- Art. 167-bis — Comunicazione e diffusione illecita di dati personali. Punisce con la reclusione da 1 a 6 anni la comunicazione o diffusione di dati relativi a un rilevante numero di persone, in violazione delle norme di legge.

- Art. 167-ter — Acquisizione fraudolenta di dati. Punisce con la reclusione da 1 a 4 anni l'acquisizione fraudolenta di dati personali su larga scala.

Quando la violazione è commessa da un pubblico ufficiale o da un incaricato di pubblico servizio, può configurarsi anche il reato di abuso d'ufficio (art. 323 c.p.) o accesso abusivo a sistema informatico (art. 615-ter c.p.).

DIRITTI DELL'INTERESSATO (GDPR)
Il GDPR (Regolamento UE 2016/679) riconosce a ogni persona una serie di diritti rispetto ai propri dati personali:

- Diritto di accesso (art. 15): conoscere se i propri dati sono trattati, da chi, per quali finalità, a chi sono comunicati, da quali fonti provengono;
- Diritto di rettifica (art. 16): correggere dati inesatti o incompleti;
- Diritto all'oblio (art. 17): ottenere la cancellazione dei dati;
- Diritto di limitazione (art. 18): limitare il trattamento in determinate circostanze;
- Diritto di portabilità (art. 20): ricevere i propri dati in formato leggibile e trasferirli;
- Diritto di opposizione (art. 21): opporsi al trattamento, in particolare per finalità di marketing;
- Diritto di proporre reclamo al Garante (art. 77).

Prima di agire in via penale o davanti al Garante, conviene esercitare formalmente questi diritti verso il titolare del trattamento (di norma con PEC o raccomandata): in molti casi la sola richiesta produce risultati. Il titolare ha 30 giorni per rispondere (prorogabili a 90 nei casi complessi).

COME PREPARARE L'ESPOSTO
L'esposto va indirizzato alla Procura della Repubblica presso il Tribunale del luogo dove la violazione si è consumata (di norma il luogo di residenza dell'interessato, dove sono stati ricevuti i comunicati indesiderati).

Cosa allegare (più prove, più probabilità di successo):
- copie cartacee delle lettere indesiderate ricevute;
- screenshot di email, SMS o notifiche con data e mittente;
- registrazione audio o trascrizione di telefonate (con rispetto delle regole sul consenso);
- copia dei messaggi su WhatsApp/Telegram con metadati (data e numero del mittente);
- copia di eventuali risposte ricevute dal titolare del trattamento (interpellato sul "da dove vi vengono i miei dati");
- nominativi di testimoni;
- copia del documento d'identità.

Modalità di presentazione: l'esposto può essere consegnato a mano alla Procura, inviato per raccomandata A/R, oppure trasmesso via PEC all'indirizzo della Procura competente.

È buona pratica chiedere espressamente di essere avvertiti dell'eventuale archiviazione (la richiesta deve essere formulata nell'esposto): in caso di archiviazione, l'interessato avrà 20 giorni per opporsi e chiedere la prosecuzione delle indagini.

RISARCIMENTO DEL DANNO
Il GDPR (art. 82) e il Codice Privacy (art. 152) riconoscono il diritto al risarcimento del danno materiale e morale subito a seguito di una violazione. Le strade per ottenerlo:

- Costituzione di parte civile nel processo penale, se la Procura esercita l'azione penale dopo l'esposto: si chiede il risarcimento direttamente nel giudizio penale.

- Causa civile autonoma davanti al Tribunale civile (foro del domicilio dell'interessato, ai sensi dell'art. 152 D.Lgs. 196/2003). Si può richiedere risarcimento del danno materiale (spese vive) e morale (lesione alla riservatezza).

- Mediazione davanti a un organismo di conciliazione: tentativo non obbligatorio ma possibile, di norma più rapido.

La giurisprudenza ammette il risarcimento in re ipsa per la lesione del diritto alla riservatezza, valutato in via equitativa dal giudice. Resta però comunque necessario provare il pregiudizio concreto.

RIFERIMENTI NORMATIVI E SCHEDE CORRELATE
- Regolamento UE 2016/679 (GDPR), in vigore dal 25 maggio 2018
- D.Lgs. 30 giugno 2003, n. 196 (Codice Privacy), come novellato dal D.Lgs. 101/2018
- Art. 167 D.Lgs. 196/2003 (trattamento illecito di dati)
- Art. 167-bis D.Lgs. 196/2003 (comunicazione e diffusione illecita)
- Art. 167-ter D.Lgs. 196/2003 (acquisizione fraudolenta)
- Art. 615-ter c.p. (accesso abusivo a sistema informatico)
- Art. 323 c.p. (abuso d'ufficio)

Risorse correlate:

 

 

Fac-simile dell'esposto

Vuoi compilarlo online?

Con il nostro generatore guidato personalizzi i campi e scarichi il PDF pronto da firmare.

Vai al generatore →
PROCURA DELLA REPUBBLICA
PRESSO IL TRIBUNALE DI _______________________


ESPOSTO-DENUNCIA


Il/la sottoscritto/a _______________________ (cognome e nome), nato/a a _______________________ il _______________________, residente in _______________________ (via, CAP, città), codice fiscale _______________________, in qualità di persona offesa,

ESPONE


1. I FATTI

In data _______________________ il sottoscritto ha ricevuto al proprio indirizzo di residenza/al proprio numero di telefono/al proprio indirizzo email:

   [ ] una lettera (allegato n. _______________________)
   [ ] documentazione pubblicitaria (allegato n. _______________________)
   [ ] le seguenti email (allegato n. _______________________)
   [ ] i seguenti SMS / messaggi (allegato n. _______________________)
   [ ] le seguenti telefonate, ricevute alle ore _______________________ del _______________________ (testimoni: _______________________)

provenienti da _______________________ (mittente, se identificato) e contenenti _______________________ (descrivere il contenuto e l'utilizzo dei propri dati personali).


2. ASSENZA DI CONSENSO

Né il sottoscritto, né alcuno per suo conto, hanno mai fornito al mittente di tali comunicazioni alcuna autorizzazione — né scritta né orale, né implicita né esplicita — al trattamento dei propri dati personali (nominativo, indirizzo, recapiti telefonici, email, ecc.).

(Eventuale) A richiesta del sottoscritto, gli operatori non hanno saputo o voluto rispondere su come fossero entrati in possesso dei suoi dati, e si sono rifiutati di rivelarne la fonte, in violazione dell'art. 15 del Regolamento UE 2016/679 (GDPR), che riconosce all'interessato il diritto di conoscere l'origine dei dati che lo riguardano.


3. NORMATIVA VIOLATA

Le condotte sopra descritte integrano violazione del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 (come modificato dal D.Lgs. 101/2018), in particolare:

- art. 6 GDPR: liceità del trattamento — nessuna delle basi giuridiche previste è configurabile nel caso di specie;
- art. 13 e 14 GDPR: obblighi di informativa — del tutto omessa;
- art. 15 GDPR: diritto di accesso dell'interessato — non rispettato;
- art. 21 GDPR: diritto di opposizione, in particolare per finalità di marketing — non rispettato.

Tali violazioni, se commesse al fine di trarne profitto o di recare nocumento all'interessato, integrano il reato di trattamento illecito di dati personali previsto dall'art. 167 del D.Lgs. 196/2003, punito con la reclusione da 6 mesi a 3 anni; nel caso di comunicazione o diffusione di dati relativi a un rilevante numero di persone, si applica l'art. 167-bis, punito con la reclusione da 1 a 6 anni.


4. SOSPETTO COINVOLGIMENTO DI PUBBLICA AMMINISTRAZIONE (eventuale)

Compilare solo se è ragionevolmente sospettabile una fuga di dati dalla pubblica amministrazione.

Per la generalità e l'indistinzione dell'indirizzario in cui sono contenuti i miei dati, non si può escludere che la fonte sia una pubblica amministrazione (es. _______________________ ufficio anagrafe / ASL / ecc.). In tal caso, la condotta del pubblico ufficiale o incaricato di pubblico servizio che abbia comunicato i dati senza titolo configurerebbe ulteriormente i reati di abuso d'ufficio (art. 323 c.p.) e di accesso abusivo a sistema informatico (art. 615-ter c.p.).


5. DANNO E COSTITUZIONE DI PARTE CIVILE

La condotta sopra descritta ha cagionato all'esponente un danno morale derivante dalla violazione del diritto alla riservatezza, riconosciuto come diritto della personalità di rango costituzionale.


CHIEDE

- che codesta Procura indaghi sui fatti narrati e documentati, identificando i responsabili;
- l'esercizio dell'azione penale per i reati ritenuti configurabili;
- di essere avvisato in caso di richiesta di archiviazione, ai sensi dell'art. 408 c.p.p.;
- si riserva sin d'ora la facoltà di costituirsi parte civile nell'eventuale procedimento penale per ottenere il risarcimento del danno subito.

Si allega:
- copia del documento d'identità del dichiarante;
- documentazione delle comunicazioni indesiderate ricevute (allegati n. _______________________);
- ogni altro documento utile (allegato n. _______________________).


Luogo _______________________ Data _______________________


Firma _______________________________
ADUC è indipendente
Nessun finanziamento pubblico né pubblicità. Solo le donazioni ci rendono liberi.
Sostienici →