← Torna a GDPR (Reg. UE 2016/679)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • L'art. 87 GDPR disciplina il numero di identificazione nazionale.
  • Identificatore particolarmente sensibile per identificazione pervasiva.
  • Discrezione SM nel calibrare il regime (par. 1).
  • Garanzie adeguate: limitazione, pseudonimizzazione, accessi profilati.
  • In Italia: codice fiscale (DPR 605/1973) e SPID.
  • Uso per marketing vietato dal Garante; misure di sicurezza rafforzate.

Testo dell'articoloVigente

Articolo 87 del Regolamento (UE) 2016/679 (GDPR) — Trattamento del numero di identificazione nazionale.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

Commento

L'identificatore nazionale come dato sensibile

L'art. 87 GDPR disciplina il trattamento del numero di identificazione nazionale o altri identificatori di applicazione generale. Gli SM possono stabilire ulteriori condizioni specifiche per il trattamento di un numero di identificazione nazionale o di qualsiasi altro identificatore di applicazione generale. In tal caso, il numero di identificazione o l'identificatore deve essere utilizzato unicamente nel rispetto di garanzie adeguate per i diritti e le libertà dell'interessato a norma del GDPR.

Discrezione SM (par. 1)

L'identificatore nazionale (codice fiscale, social security number, national ID) è dato particolarmente sensibile per la facilità di identificazione e l'uso pervasivo. Espone l'interessato a rischi di profilazione, furto di identità, discriminazione. Il GDPR riconosce la natura speciale e consente regimi rafforzati. Il considerando 152 sottolinea la sensibilità.

Garanzie specifiche

La discrezione SM consente di calibrare il regime nazionale. Alcuni SM (Germania) hanno limitato l'uso del numero di identificazione; altri (Italia con codice fiscale) lo usano pervasivamente. La diversità riflette le tradizioni amministrative. L'art. 87 chiede comunque garanzie adeguate.

In Italia: codice fiscale e SPID

Le garanzie specifiche includono: limitazione dell'uso a finalità necessarie; pseudonimizzazione ove possibile; controlli di accesso rafforzati; tracciamento di chi consulta; limitazione della diffusione. Il regime varia per settore: in Italia, l'uso del codice fiscale è disciplinato dal DPR 605/1973 e dal Codice Privacy art. 130-bis.

Misure tecniche e organizzative

In Italia, codice fiscale (CF) e SPID sono identificatori chiave. CF: 16 caratteri alfanumerici, identifica univocamente la persona, usato in tutta la PA e in molti rapporti privati. SPID: sistema di identità digitale per accesso a servizi online. Entrambi sono regolati con cautela: il Garante ha pubblicato linee guida su uso del CF in marketing (vietato), social, profilazione (limitato).

Casi pratici

Casi pratici: l'uso del CF per identificare clienti nei sistemi commerciali è ammesso solo se necessario (verifica antiriciclaggio, fatturazione); l'uso per marketing è vietato (provvedimenti del Garante). L'uso del CF in form di registrazione web richiede base giuridica chiara e misure di sicurezza. Lo SPID è oggi sistema di identificazione raccomandato per servizi online sensibili (banche, sanità, PA).

Regola pratica e checklist operativa

Compliance art. 87: (i) limitare uso del CF a finalità necessarie; (ii) misure di sicurezza rafforzate (cifratura, RBAC, log); (iii) divieto di marketing; (iv) integrare SPID per servizi sensibili; (v) formazione del personale; (vi) audit periodici.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Casi pratici

Caso 1: Tizio: CF in marketing

Tizio, e-commerce, raccoglie CF per finalità di marketing. Garante ha vietato: CF è identificatore pervasivo, uso solo per finalità necessarie (fatturazione).

Caso 2: Caio: SPID per accesso bancario

Caio, banca, usa SPID per autenticazione clienti online. Identificatore di livello alto, sicuro. Art. 87 + provvedimenti AgID.

Caso 3: Sempronio: PA e codice fiscale

Sempronio, PA, usa CF per identificare cittadini. Uso necessario per servizi. Misure di sicurezza: accessi profilati, log, formazione.

Caso 4: Commento applicativo

L'art. 87 è gestione di identificatori. In Italia, CF è onnipresente ma deve essere usato con cautela. SPID è standard moderno per servizi sensibili.

Domande frequenti

Cosa è il numero di identificazione nazionale?

Identificatore univoco assegnato dallo Stato (codice fiscale in Italia, social security number USA, ecc.). Particolarmente sensibile per identificazione pervasiva.

Posso usare il CF in ogni rapporto?

Solo per finalità necessarie (fatturazione, antiriciclaggio, servizi pubblici). Il Garante ha vietato uso per marketing. Limitazione obbligatoria.

Quali garanzie servono?

Limitazione dell'uso, pseudonimizzazione ove possibile, controlli di accesso rafforzati, tracciamento accessi, limitazione della diffusione.

SPID è regolato?

Sì, da AgID e dal Codice dell'Amministrazione Digitale (CAD). Standard di identificazione sicura per servizi online sensibili.

Cosa rischio se uso impropriamente?

Sanzioni del Garante (art. 83), responsabilità civile, possibili reati (acquisizione fraudolenta art. 167-ter D.Lgs. 196/2003 in casi gravi).

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.