← Torna a Codice Privacy (D.Lgs. 196/2003)
Ultimo aggiornamento: 17 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Massime giurisprudenziali
  4. Prassi e linee guida
  5. Casi pratici
  6. Domande frequenti
  7. Vedi anche
In sintesi
  • L'art. 2-sexies disciplina il trattamento di categorie particolari di dati (sanitari, biometrici, genetici, dati su origine razziale ed etnica, opinioni politiche, fede religiosa, orientamento sessuale) per motivi di interesse pubblico rilevante.
  • Specifica la base giuridica dell'art. 9, par. 2, lett. g), GDPR per il sistema italiano.
  • L'elenco delle finalità di interesse pubblico rilevante è contenuto nel comma 2: tutela della salute, sicurezza sociale, immigrazione, giustizia, accertamenti tributari, ecc.
  • Il trattamento è ammesso solo se previsto da norma di legge o regolamento e in presenza di misure appropriate.
  • Le regole specifiche sono dettate dall'art. 2-septies per dati genetici, biometrici e sanitari.
  • Sono incluse 21 finalità tipiche: dalla pubblica sicurezza all'attività dei partiti politici.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
1. I trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento (UE) 2016/679, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge.

Commento

Il quadro normativo: art. 9 GDPR e art. 2-sexies

L'art. 2-sexies del Codice Privacy, introdotto dal D.Lgs. 101/2018, disciplina il trattamento delle categorie particolari di dati personali per motivi di interesse pubblico rilevante. Si tratta della specificazione italiana della base giuridica dell'art. 9, par. 2, lett. g), GDPR, che consente il trattamento di dati sensibili quando "necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato".

L'elenco delle finalità di interesse pubblico rilevante

Il comma 2 dell'art. 2-sexies contiene un elenco esemplificativo (non tassativo) di 21 finalità qualificate come interesse pubblico rilevante. Comprende: accesso a documenti amministrativi e a servizi delegati; sicurezza pubblica; tutela del lavoro, anche autonomo; istruzione e formazione professionale; tutela della salute e incolumità fisica; trapianti d'organo; protezione civile; tutela del patrimonio archivistico; rapporti tra cittadini e amministrazioni; collegio dei probiviri; etc. La lista è ampia e include la maggior parte delle attività delle PA italiane.

Misure appropriate e principio di proporzionalità

Il trattamento è ammesso solo se previsto da norma di legge o regolamento (o atto amministrativo generale autorizzato) e in presenza di misure appropriate a tutela dei diritti dell'interessato. Le misure possono includere: pseudonimizzazione, cifratura, accessi profilati, audit log, formazione dei dipendenti, regole interne, DPIA. La proporzionalità è verificata caso per caso: il dato sensibile può essere trattato solo nella misura strettamente necessaria alla finalità.

Specifiche per dati genetici, biometrici e sanitari

L'art. 2-sexies, comma 1, rinvia all'art. 2-septies per le regole specifiche su dati genetici, biometrici e relativi alla salute. Queste categorie sono soggette a un regime ancora più stringente: misure di garanzia stabilite dal Garante con provvedimento generale (provv. 5 giugno 2019). Per i dati biometrici nel rapporto di lavoro la Corte cost. con sent. n. 271/2005 ha confermato la legittimità solo a condizioni di stretta necessità e proporzionalità.

Coordinamento con la disciplina settoriale

L'art. 2-sexies si applica unitamente alle normative settoriali: il D.Lgs. 209/2005 (Codice delle assicurazioni) per dati sanitari ai fini di polizze; il D.Lgs. 165/2001 per i dati del personale pubblico; il D.P.R. 600/1973 per i dati fiscali; le leggi sanitarie nazionali e regionali per la sanità pubblica. Ciascuna fonte settoriale può specificare ulteriormente le condizioni di liceità. Il principio di specialità impone di applicare la normativa più specifica ed eventualmente più garantista.

Sanzioni e tutela giurisdizionale

La violazione dell'art. 2-sexies comporta sanzioni amministrative dell'art. 83 GDPR fino al 4% del fatturato annuo globale. Sono ammesse altresì la responsabilità civile risarcitoria ex art. 82 GDPR e — in casi penalmente rilevanti — la responsabilità per trattamento illecito di dati ex art. 167 del Codice. Il trattamento di dati sensibili senza base giuridica adeguata è uno dei reati privacy più gravi.

Casistica: sanità, sicurezza sociale, scuola e PA

L'art. 2-sexies è la norma più applicata nelle PA italiane. Casistica tipica: a) ASL e ospedali per fascicolo sanitario elettronico, registri vaccinali, registri di patologia, sorveglianza epidemiologica; b) INPS per pratiche di invalidità, pensioni di reversibilità, prestazioni assistenziali; c) Ministero dell'Interno per pratiche di soggiorno, asilo, cittadinanza; d) MIUR e USR per dati su studenti (BES, DSA, disabilità); e) Comuni per servizi sociali, case di riposo, assistenza domiciliare. Ciascun settore ha proprie normative di riferimento: D.Lgs. 502/1992 (sanità), L. 104/1992 (disabilità), L. 328/2000 (assistenza sociale), L. 184/1983 (adozioni).

Sanzioni del Garante alle PA e responsabilità erariale

Il Garante ha applicato sanzioni significative alle PA: a) Regione Lazio 2022 (sanzione 600.000 euro per data breach sanitario); b) ASL Toscana Sud Est 2023 (sanzione 100.000 euro per assenza di misure di sicurezza); c) Comune di Roma Capitale 2022 (sanzione per pubblicazione illecita di graduatorie con dati sensibili); d) Università italiane 2023-2024 (più sanzioni per trattamento di dati di studenti). La cumulabilità con la responsabilità erariale per i dirigenti pubblici è la regola: la Corte dei Conti ha sviluppato una giurisprudenza specifica sul danno patrimoniale alla PA per illeciti privacy (Corte dei Conti, Sez. giur. Lazio 2023 n. 412).

Massime giurisprudenziali

Corte Cost., sent. n. 271/2005

La Corte costituzionale ha riconosciuto la riservatezza come diritto inviolabile della persona, riconducendolo agli artt. 2 e 14 Cost. e ai princìpi della Convenzione EDU.

Perché è importante: Riservatezza come diritto inviolabile

Prassi e linee guida

Disciplina generale · Codice in materia di protezione dei dati

Garante Privacy

Hub del Garante per la protezione dei dati personali: disciplina del D.Lgs. 196/2003 coordinato con il GDPR.

Leggi il documento su www.garanteprivacy.it

Casi pratici

Caso 1: Tizio ASL: registro vaccinale

Tizio ASL gestisce il registro vaccinale regionale, che contiene dati sanitari di milioni di assistiti. La base giuridica è l'art. 2-sexies (interesse pubblico rilevante in tutela della salute) combinato con la L. 119/2017 (obbligo vaccinale). Le misure includono accesso profilato, audit log, formazione del personale.

Caso 2: Caia INPS: gestione invalidità civile

Caia INPS tratta dati sanitari di soggetti invalidi per il riconoscimento delle prestazioni assistenziali. Base giuridica: art. 2-sexies (sicurezza sociale, lett. r) combinato con L. 118/1971 e D.Lgs. 509/1988. Le misure di garanzia includono pseudonimizzazione nei trasferimenti tra uffici.

Caso 3: Sempronio Ministero Interno: dati di origine

Sempronio, ufficio del Ministero dell'Interno, tratta dati su origine etnica nell'ambito di pratiche di soggiorno. La base giuridica è l'art. 2-sexies combinato con il T.U. Immigrazione (D.Lgs. 286/1998). La proporzionalità impone di trattare solo i dati strettamente necessari per la specifica pratica.

Caso 4: Commento applicativo

L'art. 2-sexies è la norma cardine per le PA italiane nel trattamento di dati sensibili. Richiede sempre: identificazione della finalità di interesse pubblico, base normativa specifica, misure appropriate (pseudonimizzazione, accessi profilati, DPIA). Per dati genetici, biometrici e sanitari opera in più la disciplina speciale dell'art. 2-septies.

Domande frequenti

Cosa sono le categorie particolari di dati?

Dati che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, biometrici, relativi alla salute, alla vita sessuale o orientamento sessuale (art. 9 GDPR).

Le PA possono trattare dati sanitari senza consenso?

Sì, se ricorre una finalità di interesse pubblico rilevante prevista dall'art. 2-sexies, comma 2, con base normativa e misure appropriate. Il consenso non è la base giuridica nel settore pubblico.

Cosa sono le misure appropriate?

Misure tecniche e organizzative come pseudonimizzazione, cifratura, accesso profilato per ruoli, audit log, DPIA, formazione del personale, codici interni di comportamento. La loro adeguatezza è valutata in base al rischio.

C'è differenza tra dati sanitari e dati genetici?

Sì. I dati sanitari sono quelli relativi alla salute. I dati genetici sono quelli ereditari e codificati nel DNA. Entrambi rientrano nelle categorie particolari ma i dati genetici e biometrici hanno misure di garanzia ancora più stringenti (art. 2-septies).

Cosa accade se una PA tratta dati sensibili senza base normativa?

Il trattamento è illecito. Si applicano sanzioni ex art. 83 GDPR (fino al 4% del fatturato), responsabilità civile ex art. 82 GDPR e — nei casi più gravi — responsabilità penale ex art. 167 del Codice.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.