In sintesi
- L'art. 1 GDPR enuncia il duplice oggetto: protezione delle persone fisiche e libera circolazione dei dati nell'Unione.
- La protezione dei dati è qualificata come diritto fondamentale, ex art. 8 Carta UE e art. 16 TFUE.
- La libera circolazione dei dati nell'Unione non può essere limitata o vietata per motivi attinenti alla protezione.
- Il GDPR rifiuta l'antitesi tra tutela e mercato: la protezione è condizione del mercato unico digitale.
- L'articolo segna il passaggio sistemico dalla direttiva 95/46/CE al regolamento direttamente applicabile.
- I considerando 1-13 esplicitano il quadro valoriale: dignità, fiducia digitale, mercato unico, certezza giuridica.
Testo dell'articoloVigente
Articolo 1 del Regolamento (UE) 2016/679 (GDPR) — Oggetto e finalità.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
L'oggetto del GDPR: una doppia anima
L'art. 1 del Regolamento (UE) 2016/679 svolge la funzione tipica delle disposizioni di apertura: dichiarare l'oggetto e le finalità dell'atto normativo. La norma fissa due piani che il legislatore europeo considera inscindibili: la protezione delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati nell'Unione. Il primo comma stabilisce una regola di tutela, il secondo enuncia un principio di mercato, il terzo li compone affermando che la libera circolazione non può essere limitata né vietata per motivi attinenti alla protezione. Si tratta di una scelta sistematica che riflette la base giuridica del Regolamento, l'art. 16 TFUE, il quale prevede insieme la disciplina della protezione dei dati e l'esigenza di garantire la libera circolazione nel mercato interno digitale.
La protezione come diritto fondamentale
Il considerando 1 richiama espressamente l'art. 8, par. 1, della Carta dei diritti fondamentali e l'art. 16, par. 1, TFUE: la protezione dei dati personali è diritto fondamentale autonomo, distinto sia dal diritto al rispetto della vita privata (art. 7 Carta, art. 8 CEDU) sia dalla libertà di espressione. Tale qualificazione, ribadita dalla giurisprudenza CGUE consolidata in materia di trasferimenti internazionali e diritto all'oblio, produce conseguenze immediate sul piano interpretativo: ogni norma di dettaglio del Regolamento va letta in modo da massimizzare l'effettività di quel diritto, e le deroghe vanno interpretate restrittivamente. Mentre la direttiva 95/46/CE oscillava ancora tra logica di mercato e logica dei diritti, il GDPR consolida un paradigma di tipo costituzionale, integrato dal sistema dei principi di cui all'art. 5 GDPR.
La libera circolazione dei dati nell'Unione
Il paragrafo 3 ribadisce con forza che la libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche. La regola opera in due direzioni: da un lato vieta agli Stati membri di erigere barriere protezionistiche sul fondamento della tutela dei dati; dall'altro esige che il livello di tutela sia equivalente in tutto lo spazio europeo, perché solo così la libertà di circolazione coesiste con il diritto fondamentale. Si comprende così la scelta dello strumento regolamentare in luogo della direttiva: il regolamento è atto direttamente applicabile e produce uniformità senza necessità di trasposizione, riducendo le divergenze nazionali e abbattendo i costi di compliance transfrontaliera per imprese e PA.
Rapporto con il Codice Privacy nazionale
L'entrata in vigore del GDPR ha richiesto un riallineamento del D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali), operato dal D.Lgs. 101/2018. Il Codice italiano sopravvive come fonte residuale che disciplina materie specifiche (lavoro, sanità, ricerca scientifica e statistica, giornalismo, archiviazione di pubblico interesse) lasciate dal GDPR alla discrezionalità degli Stati membri, ma non può derogare ai principi del Regolamento. Il sistema risultante è a doppio livello: regole comuni europee direttamente applicabili, integrate da norme nazionali nei limiti delle clausole di apertura. La giurisprudenza nazionale di Cassazione e TAR e la prassi del Garante per la protezione dei dati personali hanno il compito di comporre i due livelli, prediligendo l'interpretazione che assicuri la massima effettività del diritto fondamentale.
Funzione interpretativa dell'art. 1
Sul piano applicativo l'art. 1 svolge una funzione di canone interpretativo per l'intero Regolamento. Quando una disposizione successiva si presta a letture alternative, l'esegesi deve privilegiare quella che meglio realizza l'equilibrio tra protezione e libera circolazione enunciato dall'articolo di apertura. Questo principio è stato impiegato dalla CGUE per chiarire la nozione di trasferimento extra-UE (giurisprudenza sui trasferimenti USA), la portata del diritto all'oblio nei motori di ricerca, il rapporto tra GDPR e libertà di espressione di cui all'art. 85. Anche le autorità di controllo, incluso il Garante italiano, ricorrono all'art. 1 nella motivazione dei provvedimenti per giustificare letture sistematiche e teleologicamente orientate.
Il considerando 4 e il bilanciamento dei diritti
Il considerando 4 chiarisce che il diritto alla protezione dei dati non è un diritto assoluto: va bilanciato con altri diritti fondamentali in conformità al principio di proporzionalità. Ne discende che il GDPR ammette deroghe (art. 23, artt. 85-91 GDPR), restrizioni per finalità di sicurezza e prevenzione dei reati, e interessi legittimi (art. 6, par. 1, lett. f), ma sempre nei limiti del nucleo essenziale del diritto. L'art. 1, letto in combinato con il considerando 4, costruisce così la cornice valoriale entro cui ogni titolare del trattamento deve muoversi: la conformità tecnica al GDPR ha senso solo se serve la dignità della persona, non se la sacrifica al rito formale.
Regola pratica e checklist operativa
Per ogni progetto privacy l'art. 1 va riletto come prima lente interpretativa: il consulente deve chiedersi se la soluzione tecnica adottata massimizza la protezione dell'interessato senza ostacolare la libera circolazione dei dati nello spazio europeo. La verifica iniziale è duplice: (i) il trattamento serve una finalità legittima conforme ai principi dell'art. 5? (ii) le misure adottate riflettono il bilanciamento del considerando 4 con altri diritti fondamentali? La documentazione dell'art. 30 e la DPIA dell'art. 35 sono lo strumento operativo per dare evidenza di questa coerenza di sistema.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: PMI italiana e clienti UE
Tizio gestisce una PMI italiana di e-commerce con clienti in tutta l'UE. L'art. 1, par. 3 GDPR chiarisce che la libera circolazione non può essere vietata per motivi di protezione: il GDPR uniforma le regole e Tizio può operare in tutta l'UE applicando un unico set di norme, riducendo i costi di compliance.
Caso 2: Caio: giornalista e libertà di stampa
Caio, giornalista, pubblica un'inchiesta su un imprenditore citando dati pubblicamente disponibili. L'art. 1 va letto con l'art. 85 GDPR: la protezione è diritto fondamentale ma non assoluto, bilanciato con la libertà di informazione. Il Garante valuta la proporzionalità caso per caso.
Caso 3: Sempronio: PA e mercato unico digitale
Sempronio, dirigente di un Comune, vuole vietare a una piattaforma estera di trattare dati di cittadini italiani. L'art. 1, par. 3 impedisce restrizioni unilaterali sul mercato unico: solo le autorità competenti (Garante più capofila ex art. 56 GDPR) possono intervenire con strumenti uniformi previsti dal Regolamento.
Caso 4: Commento applicativo
L'art. 1 GDPR non è norma decorativa: è la bussola interpretativa dell'intero Regolamento. Ogni operatore — titolare, responsabile, DPO, autorità — di fronte ad ambiguità deve scegliere la lettura che massimizza la protezione compatibilmente con la libera circolazione. È il fondamento del paradigma di accountability: la conformità tecnica vale solo se serve la persona.
Domande frequenti
Qual è il duplice oggetto del GDPR?
Il GDPR protegge le persone fisiche rispetto al trattamento dei dati personali e garantisce la libera circolazione di tali dati nell'Unione. Le due finalità sono inscindibili: la tutela è condizione del mercato unico digitale.
La protezione dei dati è un diritto fondamentale?
Sì. L'art. 1 GDPR e il considerando 1 richiamano l'art. 8 della Carta dei diritti fondamentali UE e l'art. 16 TFUE, qualificando la protezione dei dati come diritto fondamentale autonomo, distinto dal diritto alla vita privata.
Gli Stati membri possono limitare la circolazione dei dati?
No. L'art. 1, par. 3 vieta agli Stati membri di limitare o vietare la libera circolazione dei dati personali nell'Unione per motivi attinenti alla protezione. Restrizioni sono ammesse solo nei casi previsti dal GDPR (art. 23) o da clausole di apertura.
Che ruolo ha il Codice Privacy italiano dopo il GDPR?
Il D.Lgs. 196/2003 è stato riallineato dal D.Lgs. 101/2018 e opera come fonte residuale per materie specifiche (lavoro, sanità, ricerca, giornalismo) nei limiti delle clausole di apertura del GDPR, senza derogare ai principi del Regolamento.
Il diritto alla protezione dei dati è assoluto?
No. Il considerando 4 chiarisce che va bilanciato con altri diritti fondamentali secondo il principio di proporzionalità. Sono ammesse deroghe (artt. 23, 85-91), restrizioni e interessi legittimi nei limiti del nucleo essenziale del diritto.
Vedi anche