← Torna a GDPR (Reg. UE 2016/679)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Prassi e linee guida
  4. Casi pratici
  5. Domande frequenti
  6. Vedi anche
In sintesi
  • L'art. 13 GDPR disciplina l'informativa al momento della raccolta diretta dei dati.
  • Va indicata identità del titolare, DPO, rappresentante, contitolari.
  • Vanno indicate finalità e basi giuridiche per ciascuna finalità, con granularità.
  • Vanno indicati destinatari, trasferimenti extra-UE e periodo di conservazione o criteri.
  • Vanno elencati i diritti (artt. 15-22), revoca consenso, reclamo al Garante.
  • Per decisioni automatizzate (art. 22): logica, importanza, conseguenze previste.

Testo dell'articoloVigente

Articolo 13 del Regolamento (UE) 2016/679 (GDPR) — Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

Commento

La trasparenza al momento della raccolta

L'art. 13 GDPR disciplina l'informativa quando i dati sono raccolti direttamente presso l'interessato. È il momento principale della trasparenza ex art. 5, par. 1, lett. a: il titolare deve fornire all'interessato un set completo di informazioni al momento della raccolta, prima che il trattamento abbia luogo. La norma elenca tassativamente le informazioni obbligatorie, distinguendo tra informazioni di base (par. 1) e ulteriori informazioni necessarie a garantire un trattamento corretto e trasparente (par. 2). L'informativa è il presupposto del consenso valido e della possibilità di esercitare i diritti.

Identità del titolare e DPO

Il par. 1 lett. a-b prevede l'indicazione dell'identità e dei dati di contatto del titolare e, ove applicabile, del suo rappresentante; nonché i dati di contatto del DPO ove designato (art. 37). L'identificazione completa del titolare è precondizione di ogni esercizio di diritto: l'interessato deve sapere a chi rivolgersi. Per gruppi societari, indicare la singola società titolare e, se rilevante, la struttura di contitolarità ex art. 26. Per soggetti extra-UE soggetti al GDPR, indicare anche il rappresentante UE (art. 27).

Finalità e basi giuridiche

Le lett. c-d impongono di indicare le finalità del trattamento e la base giuridica (art. 6) per ciascuna finalità; in caso di legittimo interesse (lett. f), occorre indicare il legittimo interesse perseguito dal titolare. La granularità per finalità è regola sostanziale: non basta dichiarare "finalità di marketing", occorre specificare le finalità singolarmente per consentire un consenso o un'opposizione granulari. L'EDPB ha sanzionato informative che fondono finalità eterogenee sotto unico cappello.

Destinatari, trasferimenti, retention

Le lett. e-f obbligano a indicare i destinatari o le categorie di destinatari dei dati personali e, ove pertinente, l'intenzione del titolare di trasferire i dati a un paese terzo o organizzazione internazionale, con la base del trasferimento (decisione di adeguatezza art. 45, garanzie art. 46, deroghe art. 49). Il par. 2 lett. a aggiunge il periodo di conservazione o, se non possibile, i criteri utilizzati per determinarlo. La retention deve essere specifica per finalità, non generica.

Diritti dell'interessato

Il par. 2 lett. b-d elenca i diritti dell'interessato: accesso, rettifica, cancellazione, limitazione, opposizione, portabilità (artt. 15-22); diritto di revocare il consenso (per trattamenti basati su consenso); diritto di proporre reclamo al Garante (art. 77). La lett. e specifica se la comunicazione di dati è un obbligo legale o contrattuale o un requisito necessario per la conclusione del contratto, e le possibili conseguenze del rifiuto.

Logica delle decisioni automatizzate

Il par. 2 lett. f richiede di informare l'interessato dell'esistenza di un processo decisionale automatizzato (compresa la profilazione) di cui all'art. 22 e, in tali casi, di fornire informazioni significative sulla logica utilizzata, sull'importanza e sulle conseguenze previste di tale trattamento per l'interessato. La trasparenza sull'algoritmo è regola di sistema, particolarmente cogente per AI e profilazione. L'AI Act UE (Regolamento 2024/1689) si integra con il GDPR su questo punto. Le linee guida EDPB su decisione automatizzata chiedono spiegazioni significative, non meri rinvii tecnici.

Regola pratica e checklist operativa

Per costruire informativa art. 13 conforme: (i) modello layered con riepilogo + esteso; (ii) sezione per ciascuna finalità con base giuridica, retention, destinatari, trasferimenti; (iii) sezione diritti con form di esercizio; (iv) sezione decisioni automatizzate se ricorre, con spiegazione della logica; (v) timestamp di ultima modifica; (vi) versioning storico; (vii) link ad informativa specifica per minori se SSI rivolti a minori. Validare periodicamente con DPO.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Prassi e linee guida

Garante per la protezione dei dati personali

Garante per la protezione dei dati personali

Leggi il documento su www.garanteprivacy.it

Casi pratici

Caso 1: Tizio: e-commerce e informativa generica

Tizio usa informativa che fonde marketing e analytics. Viola l'art. 13, lett. c: serve granularità per finalità. Va riscritta con sezioni distinte: ordine, customer care, marketing (consenso), analytics (LIA).

Caso 2: Caio: HR e mancata indicazione retention

Caio, HR, omette il periodo di conservazione dei dati dei candidati. Viola l'art. 13, par. 2, lett. a: serve indicazione specifica (es. 12 mesi per CV non assunti) o criteri. Sanzione.

Caso 3: Sempronio: AI scoring e logica

Sempronio usa AI per scoring creditizio. L'art. 13, par. 2, lett. f impone di informare della logica, importanza e conseguenze. Il rinvio generico a algoritmo proprietario è insufficiente: serve spiegazione comprensibile.

Caso 4: Commento applicativo

L'art. 13 è la pietra angolare. Le informative ben fatte sono modulari (per servizio), granulari (per finalità), aggiornate (timestamp visibile), supportate da FAQ e da dashboard. Investirvi riduce reclami e rafforza la posizione in audit.

Domande frequenti

Quando va fornita l'informativa ex art. 13?

Al momento della raccolta dei dati direttamente presso l'interessato. Prima che il trattamento abbia luogo. Modifiche successive vanno comunicate prima del nuovo trattamento.

Cosa va indicato sulla retention?

Il periodo di conservazione o, se non possibile, i criteri per determinarlo. Va specificato per finalità: indicazione generica come 'il tempo necessario' è insufficiente.

Devo indicare i destinatari?

Sì, destinatari o categorie di destinatari. Per gruppi societari, indicare le società destinatarie. Per fornitori, indicare le categorie (hosting, marketing, analytics).

Cosa devo dire sulle decisioni automatizzate?

L'esistenza, la logica utilizzata, l'importanza e le conseguenze previste per l'interessato. La spiegazione deve essere significativa: non basta rinvio tecnico generico.

Quando va aggiornata l'informativa?

Ogni volta che cambia un elemento sostanziale (finalità, base, destinatari, retention, trasferimenti). L'aggiornamento va comunicato proattivamente all'interessato per nuovi trattamenti.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.