← Torna a GDPR (Reg. UE 2016/679)
Ultimo aggiornamento: 25 Aprile 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • L'art. 10 GDPR introduce un regime separato per dati di condanne penali e reati.
  • Il trattamento è ammesso solo sotto il controllo dell'autorità pubblica o se autorizzato dal diritto UE/SM con garanzie.
  • In Italia: art. 2-octies D.Lgs. 196/2003 elenca finalità ammesse e casi di autorizzazione.
  • Si esclude dalla disciplina i trattamenti delle autorità competenti per fini penali (Direttiva 2016/680).
  • Le aree applicative principali: lavoro (D.Lgs. 39/2014) e antiriciclaggio (D.Lgs. 231/2007).
  • Il casellario giudiziale resta sotto controllo del Ministero della giustizia.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Articolo 10 del Regolamento (UE) 2016/679 (GDPR) — Trattamento dei dati personali relativi a condanne penali e reati.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

Stesso numero, altri codici

Commento

La regola generale

L'art. 10 GDPR introduce un regime separato per i dati relativi a condanne penali e reati o a connesse misure di sicurezza. La regola fissata è duplice: il trattamento è ammesso solo sotto il controllo dell'autorità pubblica o se autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Inoltre, un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica. La norma riflette l'altissima sensibilità di questi dati, che incidono direttamente sulla reputazione e sulla vita sociale dell'interessato e che storicamente sono stati oggetto di abusi e discriminazioni.

Il quadro dei controlli

L'art. 10 non si applica ai trattamenti effettuati dalle autorità competenti per finalità di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali: questi rientrano nella Direttiva (UE) 2016/680 (Law Enforcement Directive), recepita in Italia con il D.Lgs. 51/2018, e sono esclusi dal GDPR per il combinato disposto dell'art. 2, par. 2, lett. d). L'art. 10 si applica invece a trattamenti privati o di altre PA che acquisiscono o utilizzano dati di condanne per finalità diverse, ad esempio antiriciclaggio, controllo di precedenti per assunzione, gare pubbliche, vigilanza bancaria.

Le autorizzazioni del Garante

In Italia, l'art. 2-octies del D.Lgs. 196/2003 (introdotto dal D.Lgs. 101/2018) disciplina specificamente il trattamento dei dati relativi a condanne penali. La norma elenca tassativamente le finalità ammesse e i casi in cui il trattamento è consentito senza autorizzazione del Garante (es. obblighi di legge in materia di lavoro, antiriciclaggio, vigilanza). Negli altri casi serve autorizzazione generale o specifica del Garante. Le autorizzazioni generali pre-GDPR sono state oggetto di revisione e in parte trasformate in regole deontologiche o nei provvedimenti delle misure di garanzia. La compliance richiede dunque consultazione del provvedimento applicabile.

Coordinamento con la Direttiva 2016/680

Il coordinamento con la Direttiva 2016/680 è essenziale. Le autorità di polizia e di sicurezza pubblica trattano i dati di condanne e reati per finalità di prevenzione e repressione: questi trattamenti sono fuori dal GDPR. Quando però la stessa autorità trasmette i dati a un'altra PA (ad es. al Ministero del Lavoro per esiti di accertamenti, o all'AdE per finalità fiscali) o a un privato (datore di lavoro per certificato del casellario), la nuova finalità rientra nel GDPR e nell'art. 10. La CGUE ha ribadito che le transizioni di finalità richiedono una nuova base giuridica conforme alle garanzie per i diritti.

Banche dati e casellario

Il casellario giudiziale e le banche dati pubbliche di condanne (ad es. il casellario di cui al D.P.R. 313/2002) sono tenute dall'autorità giudiziaria sotto controllo del Ministero della giustizia. I privati possono accedere solo nei casi e con le modalità previste dalla legge: certificato del casellario richiesto dall'interessato, comunicazione a soggetti specificamente autorizzati. L'art. 25 GDPR sul privacy by design impone misure tecniche e organizzative rafforzate: cifratura, accessi profilati e tracciati, retention limitata, divieto di indicizzazione su motori di ricerca.

Rapporti di lavoro e antiriciclaggio

Sul fronte applicativo, due aree concentrano la prassi: rapporti di lavoro e antiriciclaggio. Per i rapporti di lavoro, il datore può richiedere il certificato del casellario solo nei casi in cui la legge prevede l'assenza di condanne come requisito (mansioni di custodia, lavoro con minori ex D.Lgs. 39/2014, alcune professioni regolamentate). Fuori da questi casi, la richiesta è eccesso di trattamento ed è sanzionata. Per l'antiriciclaggio, il D.Lgs. 231/2007 impone agli intermediari verifiche di clientela che possono includere riscontri su condanne: la base è l'obbligo legale (art. 6, par. 1, lett. c) integrata dall'art. 10 GDPR e dal D.Lgs. 196/2003.

Regola pratica e checklist operativa

Per ogni progetto che involge dati di condanne: (i) verificare l'esistenza di norma autorizzativa specifica (D.Lgs. 39/2014, D.Lgs. 231/2007, codice degli appalti, ecc.); (ii) in mancanza, richiedere autorizzazione al Garante o astenersi; (iii) limitare la raccolta al minimo necessario per la finalità di legge; (iv) adottare misure di sicurezza rafforzate (cifratura, log, retention breve); (v) integrare l'informativa con la base normativa; (vi) per la PA, applicare anche art. 2-octies. Le sanzioni del Garante in materia sono frequenti e pesanti.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Casi pratici

Caso 1: Tizio: datore lavoro e certificato penale

Tizio, azienda di vigilanza, richiede certificato casellario al candidato. La mansione di custodia giustifica la richiesta ex D.Lgs. 39/2014 e art. 2-octies D.Lgs. 196/2003. Diverso per altre mansioni: la richiesta sarebbe eccesso di trattamento.

Caso 2: Caio: studio commercialista antiriciclaggio

Caio, commercialista, verifica precedenti penali del cliente per due diligence ex D.Lgs. 231/2007. Base: obbligo legale (art. 6, lett. c) con disciplina art. 10 + 2-octies. Va limitato a finalità AML, conservazione 10 anni, sicurezza rafforzata.

Caso 3: Sempronio: piattaforma e self-disclosure

Sempronio, gestore marketplace, chiede agli iscritti di dichiarare assenza di condanne. È trattamento di dati di reati ex art. 10: serve base normativa che lo autorizzi. Senza norma specifica, è illegittimo: il Garante ha sanzionato la prassi.

Caso 4: Commento applicativo

L'art. 10 è il muro più alto del GDPR per il privato. Ogni richiesta di certificato penale, ogni verifica di precedenti, ogni questionario su condanne va fondato su norma specifica e proporzionato. Misure di sicurezza, segretezza, retention minimale sono regola, non opzione.

Domande frequenti

I privati possono trattare dati di condanne?

Solo se autorizzati dal diritto UE/SM con garanzie. In Italia, l'art. 2-octies D.Lgs. 196/2003 elenca le finalità ammesse (lavoro, antiriciclaggio, vigilanza, ecc.). Fuori da questi casi serve autorizzazione del Garante o è vietato.

Cosa cambia rispetto al GDPR?

I trattamenti delle autorità competenti per fini di prevenzione/indagine/accertamento di reati sono esclusi dal GDPR (art. 2, par. 2, lett. d) e disciplinati dalla Direttiva (UE) 2016/680, recepita con D.Lgs. 51/2018.

Il datore di lavoro può chiedere il certificato penale?

Solo se la legge prevede l'assenza di condanne come requisito (mansioni di custodia, lavoro con minori ex D.Lgs. 39/2014, professioni regolamentate). Fuori da questi casi è eccesso di trattamento.

L'antiriciclaggio richiede verifiche penali?

Sì. Il D.Lgs. 231/2007 impone verifiche di clientela che possono includere riscontri su condanne. La base è obbligo legale (art. 6, lett. c) integrata da art. 10 e D.Lgs. 196/2003.

Chi gestisce il casellario giudiziale?

Il Ministero della giustizia ex D.P.R. 313/2002. I privati possono accedervi solo per certificato richiesto dall'interessato o nei casi tassativi previsti dalla legge.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.