Lunedì 8 giugno 2026
Accedi Registrati
ADUC
ADUC
Dal 1990
Difenditi. Informati. Agisci.
Dona ora
Home
SOS Online
Investire
Salute
Sportello salute Staminali Eutanasia RSA
Droghe
Immigrazione
TLC
Canone RAI
Famiglia
Sportello famiglia
Strumenti
L’Associazione
Chi siamo Le sedi Statuto Newsletter I numeri Ufficio stampa Redazione ADUC sui media Mappa del sito
Menu
Privacy

Privacy, le nuove regole in ambito europeo (GDPR)

Scheda · Rita Sabelli · 19 marzo 2026
Ultimo aggiornamento: marzo 2026


Il Regolamento UE 2016/679 (GDPR) è in vigore dal 25 maggio 2018 e si applica direttamente in tutti gli Stati membri senza necessità di recepimento nazionale. Ha sostituito la Direttiva 95/46/CE e ha profondamente riformato il Codice italiano della privacy (D.Lgs. 196/2003), adeguato con il D.Lgs. 101/2018.

Le regole si applicano a tutti i soggetti che trattano dati di persone fisiche residenti in Europa, anche se operano fuori dall'UE, quando offrono beni o servizi o monitorano i comportamenti di tali persone.

L'autorità di controllo in Italia è il Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).

Indice scheda
TITOLARE, RESPONSABILE, REGISTRO DEI TRATTAMENTI
TRATTAMENTO — PRINCIPI E CONSENSO
TRASPARENZA E INFORMATIVA
DIRITTI DELL'INTERESSATO
SICUREZZA
VIOLAZIONI E TUTELE
SVILUPPI NORMATIVI SUCCESSIVI AL 2018
RIFERIMENTI NORMATIVI E LINK UTILI

 

TITOLARE, RESPONSABILE, REGISTRO DEI TRATTAMENTI

Il GDPR si rivolge a chiunque raccolga e gestisca dati personali di altri soggetti (detti "interessati").

Titolare del trattamento è la persona fisica o giuridica che determina le finalità e i mezzi del trattamento dei dati. Responsabile del trattamento è chi tratta i dati per conto del titolare, sulla base di un contratto che definisce obblighi e garanzie.

Due soggetti possono condividere la titolarità del trattamento con accordi sulle rispettive responsabilità; in questo caso l'interessato può rivolgersi indifferentemente a uno qualsiasi dei contitolari.

Il Regolamento prevede un Registro dei trattamenti: i titolari e i responsabili devono documentare le operazioni di trattamento effettuate, specificando categorie di dati, finalità, soggetti coinvolti e misure di sicurezza adottate.

 

 

TRATTAMENTO — PRINCIPI E CONSENSO

Principi fondamentali
I dati personali devono essere:

 

  • trattati in modo lecito, corretto e trasparente;
  • raccolti per finalità determinate, esplicite e legittime;
  • adeguati, pertinenti e limitati a quanto necessario (minimizzazione);
  • esatti e aggiornati;
  • conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti;
  • trattati con adeguate misure di sicurezza.


Basi giuridiche del trattamento
Il trattamento è lecito solo se ricorre almeno una di queste condizioni:

  • consenso esplicito dell'interessato per una o più finalità specifiche;
  • necessità per l'esecuzione di un contratto;
  • adempimento di un obbligo legale;
  • salvaguardia di interessi vitali dell'interessato;
  • esecuzione di un compito di interesse pubblico;
  • legittimo interesse del titolare, purché non prevalga sui diritti fondamentali dell'interessato.


Consenso
Il consenso deve essere libero, specifico, informato e inequivocabile. Deve essere richiesto in modo distinto rispetto ad altri consensi, con linguaggio chiaro e semplice. L'interessato può revocarlo in qualsiasi momento con la stessa facilità con cui lo ha dato. L'esecuzione di un contratto non può essere condizionata al consenso non necessario.

Consenso dei minori: valido a partire dai 16 anni (in Italia abbassato a 14 anni). Per i minori più giovani è necessario il consenso del genitore o del responsabile legale.

Consenso per la profilazione: è richiesto il consenso esplicito per le decisioni basate su trattamenti automatizzati, inclusa la profilazione, che producano effetti giuridici o incidano significativamente sulla persona.

Dati sensibili: sono in linea di principio non trattabili, salvo eccezioni tassative (obblighi di legge, interesse vitale, interesse pubblico, ricerca scientifica, ambito giudiziario). In questi casi il consenso deve essere specifico ed esplicito. Sono considerati sensibili i dati che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, biometrici, sulla salute, sulla vita sessuale o sull'orientamento sessuale.

 

TRASPARENZA E INFORMATIVA

Le informazioni sul trattamento devono essere fornite in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro.

L'informativa deve contenere:

 

  • identità e dati di contatto del titolare del trattamento;
  • finalità e base giuridica del trattamento;
  • eventuali destinatari dei dati, anche in paesi terzi;
  • periodo di conservazione dei dati;
  • diritti dell'interessato (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione);
  • diritto di revocare il consenso e di proporre reclamo all'autorità di controllo;
  • esistenza di eventuali processi decisionali automatizzati o di profilazione.

Se i dati non sono raccolti direttamente presso l'interessato, il titolare deve fornire le informazioni entro un mese dall'acquisizione dei dati, o al più tardi al momento della prima comunicazione con l'interessato.

 

DIRITTI DELL'INTERESSATO

Il titolare deve rispondere alle richieste dell'interessato entro 30 giorni, prorogabili di altri 60 in caso di complessità. Le risposte sono gratuite, salvo richieste manifestamente infondate o eccessive.

Diritto di accesso: sapere se sono in corso trattamenti di dati personali che lo riguardano, con diritto a ricevere copia dei dati e informazioni su finalità, destinatari, periodo di conservazione e origine dei dati.

Diritto di rettifica: correggere dati inesatti o incompleti.

Diritto alla cancellazione (diritto all'oblio): ottenere la cancellazione dei dati quando non sono più necessari, quando il consenso è revocato o quando ci si oppone al trattamento. Nella forma rafforzata del "diritto all'oblio" il titolare deve anche informare gli altri soggetti che trattano gli stessi dati della richiesta di cancellazione.

Diritto alla limitazione: sospendere il trattamento in attesa di verifiche o contestazioni.

Diritto alla portabilità: ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico, per trasmetterli a un altro titolare. Vale solo per dati trattati in modo automatizzato sulla base del consenso o di un contratto.

Diritto di opposizione: opporsi in qualsiasi momento al trattamento dei propri dati, anche per finalità di marketing diretto. In quest'ultimo caso il titolare deve cessare immediatamente il trattamento.

 

SICUREZZA

Il titolare deve adottare misure tecniche e organizzative adeguate al rischio, tra cui:

 

  • pseudonimizzazione e cifratura dei dati;
  • garanzia di riservatezza, integrità e disponibilità dei sistemi;
  • capacità di ripristino rapido in caso di incidente;
  • procedure periodiche di verifica e valutazione delle misure di sicurezza.

Una violazione dei dati (data breach) deve essere notificata all'autorità di controllo entro 72 ore. Se la violazione comporta un rischio elevato per i diritti degli interessati, questi devono essere informati direttamente.

Trasferimento dati verso paesi terzi (extra UE)
Il trasferimento è possibile solo verso paesi che la Commissione europea ha riconosciuto come adeguati in materia di protezione dei dati. Nel 2023 la Commissione ha adottato una nuova decisione di adeguatezza per gli Stati Uniti (EU-US Data Privacy Framework), che ha sostituito il precedente Privacy Shield annullato dalla sentenza Schrems II del 2020. In assenza di una decisione di adeguatezza, il trasferimento richiede garanzie specifiche (clausole contrattuali tipo, norme vincolanti d'impresa, codici di condotta approvati).

 

VIOLAZIONI E TUTELE

Reclamo al Garante: chi ritiene che il trattamento dei propri dati violi il GDPR può presentare reclamo al Garante per la Protezione dei Dati Personali, anche parallelamente a eventuali ricorsi giurisdizionali.

Risarcimento del danno: chi subisce un danno materiale o immateriale da una violazione del GDPR ha diritto al risarcimento da parte del titolare o del responsabile del trattamento.

Sanzioni: le autorità di controllo possono comminare sanzioni fino a:

  • 10 milioni di euro o il 2% del fatturato mondiale annuo per violazioni meno gravi;
  • 20 milioni di euro o il 4% del fatturato mondiale annuo per le violazioni più gravi.

Dalla sua entrata in vigore il GDPR ha portato a sanzioni significative in tutta Europa nei confronti di grandi aziende tecnologiche (Meta, Google, Amazon, TikTok) per miliardi di euro complessivi.

 

SVILUPPI NORMATIVI SUCCESSIVI AL 2018

Il quadro normativo europeo sulla protezione dei dati si è arricchito di nuovi strumenti che interagiscono con il GDPR:

  • Data Governance Act (Regolamento UE 2022/868): disciplina la condivisione dei dati tra organizzazioni pubbliche e private, creando un quadro di fiducia per il riutilizzo dei dati.
  • Data Act (Regolamento UE 2023/2854): stabilisce regole su chi può accedere ai dati generati dall'uso di prodotti connessi (IoT) e servizi correlati, con piena applicazione dal settembre 2025.
  • AI Act (Regolamento UE 2024/1689): primo regolamento al mondo sull'intelligenza artificiale, in vigore dal 2024 con applicazione progressiva. Introduce obblighi specifici per i sistemi AI ad alto rischio che trattano dati personali, in coordinamento con il GDPR.
  • EU-US Data Privacy Framework (2023): nuova decisione di adeguatezza per i trasferimenti di dati verso gli Stati Uniti, adottata dalla Commissione europea nel luglio 2023 dopo l'annullamento del Privacy Shield.
     

RIFERIMENTI NORMATIVI E LINK UTILI

 

ADUC è indipendente
Nessun finanziamento pubblico né pubblicità. Solo le donazioni ci rendono liberi.
Sostienici →