Nata con la Direttiva Comunitaria 95/46/CE e recepita in Italia con la Legge sulla Privacy L. 675/1996, l’Autorità di controllo italiana trova la sua espressione nel Garante per la protezione dei dati personali, o Garante Privacy. Ad oggi, il Garante Privacy italiano risponde D.Lgs. 196/2003 modificata ed integrata con il D.Lgs. 101/2018 (decreto di recepimento nell’Ordinamento Nazionale del GDPR-nda).

Tutti i Paesi dell’Unione Europea hanno un equivalente del nostro Garante Privacy. Tutti rispondono sia alla normativa europea, sia all’ordinamento nazionale e agisce per competenza territoriale.
Per ciò che concerne la nostra Nazione, i compiti del Garante Privacy sono molteplici e vanno da verificare che le aziende, gli enti, le organizzazioni e le pubbliche amministrazioni trattino in maniera corretta, lecita e trasparente i dati da loro raccolti (o forniti da terzi), ad esaminare eventuali reclami e ricorsi avviati dagli interessati vittime di trattamenti illeciti. Dal punto di vista giurisprudenziale, l’Autorità di controllo si occupa di adottare le linee guida emanate dalle Istituzioni Europee e di adeguarle alla legislazione nazionale e di promuovere codici deontologici e di buona condotta. Ancora, le Autorità di controllo sono legittimate dall’Unione Europea a comminare sanzioni in diversi casi, quali per esempio: sospendere il flusso migratorio dei dati da uno Stato all’altro, richiedere al Titolare di rispondere in tempi celeri alle richieste dell’Interessato e a motivare i trattamenti illeciti svolti su dati, piuttosto che di ammonire le aziende per aver assunto dei comportamenti illeciti o essere state poco trasparenti nei confronti dei consumatori, ossia degli Interessati.
Se prima del 25 maggio 2018 l’Autorità di controllo operava ex ante, a priori e per prevenzione, ora è tenuta ad intervenire solo se interpellata e/o se, durante le sue indagini, si accorge di comportamenti illeciti e contrari alla normativa privacy. Si può quindi affermare che essa opera ex post, ossia (quasi) su segnalazione.
Secondo il Regolamento Europeo, le Autorità di controllo dei diversi Stati europei possono incontrarsi e formare il Comitato Europeo per la Protezione dei dati (ex Gruppo Articolo 29): i loro lavori sono incentrati soprattutto sull’interpretazione della normativa privacy e su rispondere ai quesiti di carattere generale provenienti dai Paesi UE. Altro importante principio del GDPR è quello dello sportello unico, per cui un’azienda che ha sedi in diversi Stati europei deve avere un’unica Autorità di controllo in uno degli Stati membri. Tale Autorità deve essere stabilita tra tutte le Autorità in cui l’azienda è presente.