← Torna a CAD — Codice Amministrazione Digitale (D.Lgs. 82/2005)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
L'articolo 46 CAD disciplina il trattamento dei dati particolari (già «sensibili» e «giudiziari» secondo la terminologia del D.Lgs. 196/2003) contenuti nei documenti informatici trasmessi tra pubbliche amministrazioni per via digitale. La norma stabilisce il principio di necessità e proporzionalità: i documenti trasmessi possono contenere soltanto i dati sensibili e giudiziari espressamente consentiti da legge o regolamento e indispensabili per il perseguimento delle finalità istituzionali per cui sono acquisiti. Questo precetto è strettamente coordinato con il Regolamento GDPR (Reg. UE 2016/679), che all'art. 9 assoggetta il trattamento di categorie particolari di dati a un regime rafforzato di protezione, richiedendo una base giuridica specifica. La norma si applica alle comunicazioni tra PA in cooperazione applicativa, tramite PEC o altri canali digitali, e impone ai responsabili dei procedimenti una valutazione preventiva sulla stretta necessità dei dati trasmessi. Il mancato rispetto del principio di minimizzazione può integrare sia una violazione amministrativa ai sensi del CAD, sia una violazione del GDPR sanzionabile dal Garante per la protezione dei dati personali.

Testo dell'articoloVigente

Art. 46 D.Lgs. 82/2005 CAD — Dati particolari contenuti nei documenti trasmessi

In vigore dal 01/01/2006

1. Al fine di garantire la riservatezza dei dati sensibili o giudiziari di cui all' articolo 4, comma 1, lettere d) ed e), del decreto legislativo 30 giugno 2003, n. 196 , i documenti informatici trasmessi ad altre pubbliche amministrazioni per via ((digitale)) possono contenere soltanto ((i dati sensibili e giudiziari consentiti)) da legge o da regolamento e indispensabili per il perseguimento delle finalità per le quali sono acquisite.

Commento

L'articolo 46 CAD anticipa, nel contesto della digitalizzazione amministrativa, il principio di minimizzazione dei dati sancito dall'art. 5, par. 1, lett. c), del GDPR. La norma vieta la trasmissione digitale inter-PA di dati particolari non strettamente necessari per le finalità istituzionali, imponendo una valutazione di proporzionalità che deve essere effettuata ex ante, prima di comporre il documento da trasmettere.

Il coordinamento con il GDPR è oggi il profilo più rilevante dell'articolo. Le categorie di dati «sensibili» della legge 196/2003 corrispondono alle «categorie particolari» dell'art. 9 GDPR (dati sulla salute, orientamento sessuale, opinioni politiche, appartenenza sindacale, ecc.), mentre i dati «giudiziari» rientrano nella disciplina speciale dell'art. 10 GDPR. Per entrambe le categorie, la trasmissione tra PA è lecita solo se fondata su una norma di legge o regolamento che autorizzi il trattamento per quella specifica finalità. Il responsabile del procedimento deve pertanto identificare la base giuridica adeguata prima di procedere alla trasmissione, documentando la scelta nel registro delle attività di trattamento ex art. 30 GDPR.

Sul piano tecnico, i canali di trasmissione digitale inter-PA che veicolano dati particolari devono adottare misure di sicurezza adeguate: cifratura end-to-end, controllo degli accessi basato sul principio del minimo privilegio e log delle operazioni di trasmissione. In caso di violazione dei dati durante la trasmissione, scatta l'obbligo di notifica al Garante entro 72 ore ex art. 33 GDPR e, se la violazione è grave, anche la comunicazione agli interessati ex art. 34 GDPR.

Domande frequenti

Quali dati particolari possono essere trasmessi tra PA per via digitale?

L'art. 46 CAD consente la trasmissione solo dei dati sensibili e giudiziari espressamente autorizzati da legge o regolamento e indispensabili per le finalità istituzionali. Il principio di necessità esclude qualsiasi dato che, pur astrattamente pertinente, non sia strettamente indispensabile: non basta che sia «utile», deve essere «necessario» per il perseguimento della finalità specifica.

Cosa succede se una PA trasmette dati particolari in eccesso rispetto al necessario?

La trasmissione di dati particolari non necessari viola sia l'art. 46 CAD sia il principio di minimizzazione ex art. 5 GDPR. La PA mittente può essere soggetta a sanzioni amministrative previste dal CAD e, contemporaneamente, a provvedimenti del Garante per la protezione dei dati, che può irrogare sanzioni fino a 20 milioni di euro o al 4% del fatturato globale annuo (per enti non pubblici soggetti a tale regime).

L'art. 46 CAD si applica anche alle comunicazioni con i cittadini o solo tra PA?

L'articolo si applica specificamente alle trasmissioni tra pubbliche amministrazioni per via digitale. Per le comunicazioni verso i cittadini si applicano le ordinarie regole del GDPR sull'informativa, il consenso (ove richiesto) e le basi giuridiche del trattamento. In ogni caso, il principio di minimizzazione del GDPR vale per qualsiasi comunicazione che coinvolga dati personali, indipendentemente dal destinatario.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.