I tuoi dati personali: come richiederli e in quanto tempo

Il GDPR ti riconosce il diritto di sapere se e come i tuoi dati personali vengono trattati da chiunque li abbia raccolti: la tua banca, il tuo operatore telefonico, un ex datore di lavoro, un social network. Questo diritto — sancito dall’art. 15 del Regolamento UE 2016/679 — si chiama diritto di accesso ai dati personali, ed è gratuito, diretto e non richiede l’assistenza di un avvocato.

Schema che illustra il flusso della richiesta di accesso ai dati personali secondo il GDPR — Il percorso per accedere ai tuoi dati personali in 4 passi

In questa guida trovi tutto quello che ti serve: come fare la richiesta, a chi inviarla, entro quando devi ricevere risposta e cosa fare se non arriva.

Che cos’è il diritto di accesso ai dati personali

Il diritto di accesso ai dati personali è lo strumento che il Reg. UE 2016/679 — il GDPR — mette a disposizione di qualsiasi persona fisica per sapere se un soggetto sta trattando dati che la riguardano e, in caso affermativo, per ottenere informazioni dettagliate su quel trattamento. Chi esercita questo diritto si chiama interessato; chi riceve la richiesta e deve rispondere è il titolare del trattamento — un’azienda, un ente pubblico, una piattaforma digitale, un professionista. Il riferimento normativo preciso è l’art. 15 GDPR sul sito del Garante.

Il diritto di accesso ai dati personali permette a chiunque di sapere se i propri dati vengono trattati, da chi e per quale scopo.

Accesso GDPR vs. accesso agli atti amministrativi: non è la stessa cosa

Molti confondono il diritto di accesso previsto dal GDPR con il diritto di accesso agli atti amministrativi disciplinato dalla Legge 241/90. Si tratta di due istituti completamente distinti: il primo si esercita nei confronti del titolare del trattamento nella sua veste di gestore di dati personali; il secondo riguarda i documenti detenuti dalla Pubblica Amministrazione nell’ambito di procedimenti amministrativi. Se vuoi sapere quali dati su di te ha raccolto la tua banca, usi il GDPR. Se vuoi accedere agli atti di un procedimento edilizio comunale, usi la legge 241/90. Le due strade non sono intercambiabili.

Cosa puoi richiedere: le informazioni a cui hai diritto

Inviare una richiesta di accesso ai tuoi dati personali non significa ricevere un generico “sì, li abbiamo”. Il titolare del trattamento è obbligato a fornirti un quadro completo e dettagliato. Ecco, in concreto, le informazioni che puoi ottenere — tradotte dalle domande che probabilmente ti stai già ponendo:

A cosa servono i miei dati? → Le finalità del trattamento: perché li raccolgono e come li usano.
A chi li hanno comunicati? → I destinatari o le categorie di destinatari a cui i tuoi dati sono stati o saranno trasmessi, inclusi eventuali soggetti in paesi extra-UE.
Per quanto tempo li terranno? → Il periodo di conservazione previsto, o i criteri usati per stabilirlo.
Da dove vengono, se non li ho forniti io direttamente? → L’origine dei dati, quando non sei tu la fonte.
Mi stanno profilando? → L’eventuale esistenza di processi decisionali automatizzati o di profilazione, con informazioni sulla logica utilizzata.
Quali altri diritti posso esercitare? → Il titolare deve ricordarti che puoi chiedere rettifica, cancellazione, limitazione del trattamento o opporti al trattamento stesso.

Hai diritto a una copia gratuita dei tuoi dati

La prima copia dei dati personali oggetto di trattamento è sempre gratuita per legge. Se ne richiedi ulteriori, il titolare può addebitarti un contributo ragionevole basato sui costi amministrativi sostenuti — ma solo per le copie aggiuntive, non per la prima.

Vale la pena chiarire un equivoco frequente: “copia dei dati” non significa copia dei documenti originali in cui quei dati compaiono. Il titolare deve fornirti i dati in forma comprensibile, non necessariamente i file o i documenti originali da cui sono stati estratti.

La prima copia dei tuoi dati personali è sempre gratuita: il titolare del trattamento non può chiederti nulla per fornirtela.

Come presentare la richiesta di accesso: canali, modello e cosa scrivere

Per esercitare il tuo diritto di accesso ai dati personali non esiste un formato obbligatorio: puoi inviare la richiesta via PEC, raccomandata A/R, email ordinaria o anche fax. La legge non impone una forma specifica, il che rende il processo più accessibile di quanto molti pensino. Detto questo, la scelta del canale ha conseguenze pratiche importanti sulla tracciabilità e sulla prova dell’invio.

La tua richiesta deve contenere almeno tre elementi essenziali:

La tua identificazione — nome, cognome e un documento che ti identifichi, in modo che il titolare possa verificare che sei davvero tu a fare la richiesta.
I dati o le categorie di dati a cui vuoi accedere — puoi essere specifico (“voglio sapere quali dati relativi ai miei acquisti avete trattato negli ultimi due anni”) oppure formulare una richiesta generale su tutti i dati che ti riguardano.
Come preferisci ricevere la risposta — via email, formato elettronico, copia cartacea: indicarlo accelera i tempi e riduce il rischio di fraintendimenti.

Un consiglio pratico che vale sempre: preferisci la PEC ogni volta che puoi. La posta elettronica certificata ti fornisce una ricevuta con data e ora certi, che diventa fondamentale se il titolare dovesse negare di aver ricevuto la richiesta o ritardare la risposta. Se non hai la PEC, invia almeno con raccomandata A/R e conserva la ricevuta. Nel caso di email ordinaria, tieni copia dell’invio nella cartella “inviati” e considera di richiedere una conferma di ricezione.

Il modello ufficiale del Garante: come usarlo

Il Garante per la protezione dei dati personali mette a disposizione un modello ufficiale del Garante già strutturato per l’esercizio dei diritti previsti dagli artt. 15-22 del GDPR — incluso il diritto di accesso.

Anteprima del modulo del Garante Privacy per richiedere l'accesso ai propri dati personali con indicazione dei campi da compilare — I campi principali del modulo ufficiale del Garante per l’esercizio dei diritti

Il modulo ti guida nella compilazione dei campi principali: i tuoi dati anagrafici, l’indicazione del titolare del trattamento a cui ti rivolgi, il tipo di diritto che vuoi esercitare (in questo caso, l’accesso), e le specifiche della tua richiesta. Usarlo è particolarmente utile se non sei sicuro di cosa scrivere o se vuoi assicurarti di non dimenticare nessun elemento rilevante. Per richieste semplici e dirette — ad esempio a un’azienda con cui hai un rapporto contrattuale attivo — può essere sufficiente anche una email ben strutturata che contenga gli stessi elementi.

Per richiedere l’accesso ai tuoi dati personali puoi usare il modello ufficiale del Garante oppure una semplice email: l’importante è identificarti e specificare cosa vuoi sapere.

Esempi pratici: a chi inviare la richiesta e come

Il destinatario della tua richiesta cambia a seconda di chi detiene i tuoi dati. In tutti i casi, il punto di riferimento è il DPO (Data Protection Officer, o Responsabile della Protezione dei Dati), quando presente, oppure l’ufficio privacy o legale dell’organizzazione. Ecco come orientarti per i casi più comuni:

Banca o assicurazione → Invia la richiesta all’ufficio DPO o privacy, il cui contatto trovi nell’informativa privacy che ti è stata consegnata all’apertura del rapporto. La PEC aziendale è sempre la scelta più sicura.
Operatore TLC → Puoi usare l’area clienti online (se prevede questa funzione) oppure la PEC ufficiale dell’operatore, reperibile sul sito istituzionale.
Social network → Le grandi piattaforme offrono strumenti interni per scaricare i propri dati (es. “Scarica una copia dei tuoi dati” su Facebook/Meta). Per richieste più specifiche, puoi contattare il DPO via email all’indirizzo indicato nell’informativa privacy della piattaforma.
Ex datore di lavoro → Invia la richiesta all’ufficio HR o alla PEC aziendale. Se l’azienda ha un DPO, indirizza a lui la comunicazione.

Tieni presente che il titolare ha il diritto di chiederti una verifica dell’identità prima di rispondere — è una misura legittima per proteggere i tuoi dati da accessi non autorizzati. Tuttavia, non può chiederti più informazioni del necessario: se ti ha già identificato tramite un contratto o una registrazione, non può importi procedure di verifica sproporzionate.

Tempi di risposta: entro quando deve arrivare il riscontro

Il titolare del trattamento ha 1 mese di tempo dalla ricezione della tua richiesta per fornirti un riscontro. Questo vale in tutti i casi, indipendentemente dalla complessità della richiesta o dalla dimensione dell’organizzazione a cui ti sei rivolto. Il termine decorre dal giorno in cui la richiesta viene ricevuta — non da quando il titolare decide di elaborarla.

È importante capire cosa si intende per riscontro valido: non basta una risposta automatica che conferma la ricezione, né un messaggio generico del tipo “stiamo elaborando la tua richiesta”. Il titolare deve fornirti una risposta di merito, cioè le informazioni effettive che hai richiesto oppure, se non intende rispondere, una spiegazione motivata del rifiuto con l’indicazione dei rimedi a tua disposizione.

Scenario	Termine
Caso standard	30 giorni dalla ricezione della richiesta
Con proroga motivata	Fino a 90 giorni (comunicazione obbligatoria entro il 1° mese)
Silenzio dopo 30 giorni	Inadempimento — hai il diritto di agire

La proroga di 2 mesi: quando si applica e come deve essere comunicata

In alcuni casi il titolare può estendere il termine di risposta di ulteriori 2 mesi, per un totale massimo di 90 giorni. Questa proroga è ammessa solo in presenza di condizioni specifiche: la particolare complessità della richiesta oppure un numero elevato di istanze ricevute contemporaneamente che rende difficile evadere tutte nei tempi ordinari.

La proroga, però, non scatta automaticamente: il titolare ha l’obbligo di comunicartela entro il primo mese, spiegandoti i motivi del ritardo. Se non ricevi alcuna comunicazione entro 30 giorni dalla tua richiesta — né la risposta di merito né l’avviso di proroga — il termine rimane quello standard e il silenzio del titolare equivale a inadempimento, che ti legittima ad agire per tutelare il tuo diritto.

Timeline che mostra i termini di risposta del titolare del trattamento: 30 giorni standard, fino a 90 con proroga motivata — I termini di risposta previsti dal GDPR per la richiesta di accesso ai dati

Il titolare del trattamento ha 30 giorni per rispondere alla tua richiesta di accesso ai dati: il silenzio oltre questa scadenza è già un inadempimento.

Cosa fare se non rispondono o la risposta non è soddisfacente

Se i 30 giorni sono scaduti senza risposta, o se hai ricevuto un riscontro che ritieni incompleto, evasivo o ingiustificatamente negativo, non sei senza strumenti. Hai tre strade percorribili, da seguire in ordine crescente di formalità:

Sollecito formale al titolare — Prima di escalare, invia una comunicazione scritta in cui ricordi la tua richiesta originale, indichi la data di invio e diffida il titolare a rispondere entro un termine ragionevole (di norma 10-15 giorni). Conserva tutta la documentazione: la richiesta originale, le ricevute di invio, il sollecito e qualsiasi risposta ricevuta. Questa documentazione sarà indispensabile nei passi successivi.
Reclamo al Garante per la protezione dei dati personali — Se il sollecito non produce risultati, puoi presentare un reclamo all’autorità di controllo italiana. Il reclamo è gratuito, non richiede un avvocato e si basa sull’art. 77 GDPR. È lo strumento principale di tutela amministrativa oggi disponibile.
Ricorso all’autorità giudiziaria ordinaria — In alternativa al reclamo, o in aggiunta ad esso, puoi rivolgerti al Tribunale competente. Questa strada richiede l’assistenza di un avvocato e comporta i costi di un procedimento civile, ma ti consente anche di chiedere il risarcimento del danno subito.

Un chiarimento importante: il vecchio “ricorso al Garante” come strumento autonomo non esiste più dal 25 maggio 2018, data di applicazione del GDPR. Da quella data, l’unico strumento di tutela amministrativa davanti al Garante è il reclamo ex art. 77 GDPR.

Come presentare reclamo al Garante Privacy

Presentare reclamo è più semplice di quanto sembri. Ecco i passi concreti:

Scarica e compila il modello di reclamo al Garante disponibile sul sito ufficiale dell’autorità.
Allega la copia della tua richiesta originale di accesso ai dati, le ricevute di invio e qualsiasi risposta (o non risposta) ricevuta dal titolare.
Invia il tutto scegliendo uno di questi canali: via PEC all’indirizzo protocollo@pec.gpdp.it, oppure tramite raccomandata A/R al Garante per la protezione dei dati personali, Piazza Venezia 11, Roma.
Il reclamo è completamente gratuito.

Una volta ricevuto il reclamo, il Garante può ingiungere al titolare di rispondere alla tua richiesta, imporre misure correttive e irrogare sanzioni amministrative. I tempi di risposta dell’autorità sono variabili e dipendono dal carico di lavoro: di norma si tratta di diversi mesi. Nel frattempo, conserva copia di tutto ciò che hai inviato.

Se il titolare non risponde entro 30 giorni, hai il diritto di presentare reclamo gratuito al Garante Privacy oppure di rivolgerti direttamente al Tribunale per tutelare i tuoi dati.

Esercitare il diritto di accesso ai propri dati personali è più semplice di quanto sembri: basta una richiesta scritta, non costa nulla e la legge europea ti garantisce una risposta entro tempi precisi. Che tu voglia sapere cosa sa di te una banca, un ex datore di lavoro o una piattaforma digitale, gli strumenti per farlo sono a tua disposizione — e in caso di inadempimento, le tutele non mancano. Per approfondire l’intero sistema di diritti che il GDPR riconosce ai cittadini, leggi la nostra guida completa privacy e GDPR.

Marco Rinaldi

Si occupa di normativa, istituzioni e funzionamento della pubblica amministrazione. Analizza leggi, decreti e cambiamenti regolatori, con attenzione agli effetti concreti per cittadini e imprese.