← Torna a Codice Privacy (D.Lgs. 196/2003)
Ultimo aggiornamento: 30 Aprile 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Massime giurisprudenziali
  4. Prassi e linee guida
  5. Casi pratici
  6. Domande frequenti
  7. Vedi anche
In sintesi
  • L'art. 2 delimita l'ambito applicativo del Codice mediante rinvio agli artt. 2 e 3 GDPR.
  • Sono esclusi i trattamenti per finalità personali o domestiche e quelli per sicurezza nazionale.
  • Si applica anche a titolari extra-UE che offrono beni o servizi a interessati nell'UE (criterio del targeting).
  • I trattamenti di polizia giudiziaria sono disciplinati dal D.Lgs. 51/2018 di recepimento della Direttiva 2016/680.
  • Le disposizioni si applicano in modo uniforme al settore pubblico e a quello privato.
  • Le materie speciali (giornalismo, lavoro, sanità) sono regolate dagli articoli successivi (artt. 2-bis ss., 113 ss., 136-139).

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
1. Le disposizioni del presente codice si applicano ai trattamenti di dati personali di cui all’articolo 2 del Regolamento (UE) 2016/679.
Stesso numero, altri codici

Commento

L'ambito di applicazione del Codice riformato

L'art. 2 del Codice Privacy, come riscritto dal D.Lgs. 101/2018, delimita l'ambito di applicazione delle disposizioni nazionali in materia di protezione dei dati personali. Il legislatore ha scelto un approccio minimale: anziché ripetere i criteri già fissati dal GDPR, il Codice rinvia integralmente all'art. 2 (ambito materiale) e all'art. 3 (ambito territoriale) del regolamento europeo. La norma italiana svolge dunque una funzione di raccordo, segnando il perimetro entro cui operano le disposizioni integrative dei successivi articoli 2-bis e seguenti.

L'ambito materiale: il trattamento di dati personali

Sotto il profilo materiale, il Codice si applica a ogni trattamento di dati personali, in tutto o in parte automatizzato, oltre che al trattamento non automatizzato di dati contenuti in archivi. Restano fuori dall'ambito i trattamenti svolti da una persona fisica per finalità esclusivamente personali o domestiche (rubrica privata, foto di famiglia), quelli per pubblica sicurezza, difesa nazionale e sicurezza dello Stato, e quelli operati dalle autorità competenti a fini di prevenzione e repressione dei reati. Per questi ultimi opera la disciplina parallela della Direttiva (UE) 2016/680, recepita in Italia con il D.Lgs. 51/2018.

L'ambito territoriale: stabilimento e targeting

Sotto il profilo territoriale il Codice si applica anzitutto ai trattamenti effettuati nell'ambito delle attività di uno stabilimento di un titolare o di un responsabile situato in Italia, indipendentemente dal luogo fisico del trattamento. Si applica inoltre, in coerenza con l'art. 3, par. 2, GDPR, a titolari extra-UE che offrono beni o servizi a interessati nell'Unione (criterio del targeting), o ne monitorano il comportamento all'interno del territorio UE. È il criterio che ha portato alla soggezione al GDPR di colossi tecnologici come Meta, Google, Amazon e Microsoft pur non avendo sede legale nell'UE.

L'applicazione uniforme a settore pubblico e privato

Una caratteristica del Codice italiano, mantenuta dopo la riforma 2018, è l'applicazione uniforme a settore pubblico e privato. A differenza di alcuni ordinamenti europei (per esempio quello tedesco) che hanno discipline parzialmente differenziate, in Italia il GDPR e il Codice operano allo stesso modo per imprese, professionisti, enti pubblici, pubbliche amministrazioni, ASL, ospedali, scuole, università. Le differenze emergono solo nei singoli articoli sostanziali, in particolare nell'art. 2-ter che specifica le basi giuridiche del trattamento da parte di soggetti pubblici.

Le materie speciali e le fonti settoriali

Il Codice non esaurisce la disciplina della protezione dei dati. Operano in parallelo: la Direttiva ePrivacy 2002/58/CE, recepita negli artt. 121 ss. del Codice, per cookie, marketing diretto, dati di traffico, comunicazioni indesiderate; lo Statuto dei lavoratori (L. 300/1970, in particolare l'art. 4) per i controlli a distanza, richiamato dall'art. 114 del Codice; il Codice dell'Amministrazione Digitale (D.Lgs. 82/2005) per i trattamenti delle PA; la disciplina settoriale fiscale, sanitaria, scolastica.

Il rapporto con il D.Lgs. 51/2018

Restano esclusi dall'ambito del Codice i trattamenti per finalità di polizia giudiziaria, prevenzione e repressione dei reati, esecuzione delle pene. Questi sono disciplinati dal D.Lgs. 18 maggio 2018, n. 51, che ha recepito la Direttiva (UE) 2016/680. Tuttavia, l'art. 2 del Codice mantiene un raccordo: gli articoli 53 ss. del Codice integrano la disciplina speciale per i trattamenti delle forze di polizia e i sistemi di indagine. La sovrapposizione richiede particolare attenzione operativa in caso di trattamenti misti (per esempio, dati raccolti per finalità amministrative e poi utilizzati anche a fini di polizia).

Casistica applicativa: trattamenti misti e dubbi interpretativi

L'applicazione concreta dell'art. 2 solleva spesso questioni di confine: a) trattamenti misti (dati raccolti per finalità amministrative e poi usati per finalità di polizia): occorre verificare l'ambito di applicazione del GDPR/Codice o del D.Lgs. 51/2018; b) trattamenti transfrontalieri (es. azienda italiana che usa server in USA): si combinano art. 2 (ambito italiano) con art. 44-49 GDPR (trasferimenti extra-UE post-Schrems II); c) ambito domestico esteso (per esempio, un'associazione sportiva amatoriale): la giurisprudenza CGUE (sent. Lindqvist C-101/01) ha ricondotto nell'ambito GDPR la pubblicazione su internet anche per finalità apparentemente private; d) servizi B2B (CRM aziendale): si applica il GDPR alle persone fisiche di contatto del cliente. Il Garante interviene con linee guida settoriali per chiarire i confini.

La tutela uniforme: PA e privati allo stesso livello di compliance

Una caratteristica distintiva del sistema italiano è l'applicazione uniforme del GDPR a settore pubblico e privato. Ne deriva che: a) le sanzioni dell'art. 83 GDPR si applicano alle PA, sia pure con i limiti consentiti dall'art. 83, par. 7, GDPR; b) le PA devono nominare DPO obbligatorio (art. 37, par. 1, lett. a, GDPR); c) le PA devono effettuare DPIA per i trattamenti ad alto rischio; d) le PA devono notificare data breach al Garante e agli interessati. I provvedimenti sanzionatori del Garante a Regione Lazio (2022), Comune di Milano (2023), ASL di Padova (2024) confermano l'applicazione rigorosa. Il bilanciamento tra esigenze pubbliche (trasparenza, sicurezza) e privacy è risolto in concreto con il principio di proporzionalità: tutto può essere trattato, ma solo nella misura strettamente necessaria.

Massime giurisprudenziali

Corte Cost., sent. n. 271/2005

La Corte costituzionale ha riconosciuto la riservatezza come diritto inviolabile della persona, riconducendolo agli artt. 2 e 14 Cost. e ai princìpi della Convenzione EDU.

Perché è importante: Riservatezza come diritto inviolabile

Prassi e linee guida

Disciplina generale · Codice in materia di protezione dei dati

Garante Privacy

Hub del Garante per la protezione dei dati personali: disciplina del D.Lgs. 196/2003 coordinato con il GDPR.

Leggi il documento su www.garanteprivacy.it

Casi pratici

Caso 1: Tizio: rubrica personale sul cellulare

Tizio tiene sul cellulare la rubrica con contatti e foto di amici. È trattamento per finalità personali o domestiche, escluso dall'art. 2 GDPR e dall'art. 2 del Codice. Tizio non è titolare ai sensi del regolamento e non deve adempiere obblighi informativi o di sicurezza.

Caso 2: Caio Inc.: e-commerce USA che vende in Italia

Caio Inc., società con sede in California, vende prodotti online a clienti italiani. Pur essendo extra-UE, ricade nell'ambito GDPR e del Codice italiano per il criterio targeting (art. 3, par. 2, lett. a, GDPR): deve designare un rappresentante UE (art. 27 GDPR), nominare un DPO se ricorrono le condizioni, rispettare le basi giuridiche.

Caso 3: Sempronia ASL: gestione cartelle cliniche

Sempronia ASL tratta dati sanitari di milioni di pazienti. L'art. 2 la rende pienamente soggetta al GDPR e al Codice. Si applicano in più le regole speciali dell'art. 2-sexies e dell'art. 2-septies sui dati sanitari, biometrici e genetici.

Caso 4: Commento applicativo

L'art. 2 svolge una funzione di rinvio coordinato al GDPR. La verifica operativa richiede di accertare: natura del trattamento (automatizzato? in archivio?), finalità (domestica? professionale? di polizia?), luogo dello stabilimento, eventuale offerta a interessati UE. Materie speciali (giornalismo, lavoro, salute) sono regolate negli articoli successivi del Codice.

Domande frequenti

Il Codice Privacy si applica alle persone giuridiche?

No, dopo il GDPR e il D.Lgs. 101/2018 sono tutelate solo le persone fisiche. Le persone giuridiche restano fuori dall'ambito soggettivo.

Una società americana che vende in Italia è soggetta al Codice?

Sì, in virtù del criterio del targeting (art. 3, par. 2, GDPR). La società extra-UE che offre beni o servizi a interessati nell'Unione, o ne monitora il comportamento, è soggetta a tutti gli obblighi del regolamento.

Una rubrica personale è soggetta al Codice?

No. L'art. 2 GDPR e l'art. 2 del Codice escludono i trattamenti per finalità esclusivamente personali o domestiche. La pubblicazione su social pubblici, invece, esce dall'ambito domestico.

Si applica il Codice ai trattamenti di polizia giudiziaria?

No, disciplinati dal D.Lgs. 51/2018. Il Codice contiene norme parziali agli artt. 53 ss. per integrare la disciplina speciale.

Le disposizioni valgono allo stesso modo per PA e privati?

Sì. Differenze emergono solo nelle basi giuridiche (art. 2-ter per soggetti pubblici) e in materie settoriali (sanità, lavoro, giornalismo).

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.