← Torna a Codice Privacy (D.Lgs. 196/2003)
Ultimo aggiornamento: 29 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Massime giurisprudenziali
  4. Prassi e linee guida
  5. Casi pratici
  6. Domande frequenti
  7. Vedi anche
In sintesi
  • L'art. 2-ter disciplina la base giuridica del trattamento dei dati personali da parte di soggetti pubblici per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri.
  • La base giuridica è costituita da norma di legge o regolamento oppure da atti amministrativi generali (art. 6, par. 3, GDPR).
  • La comunicazione fra titolari pubblici è ammessa se prevista da norma di legge o, in assenza, se necessaria per lo svolgimento di compiti di interesse pubblico.
  • La diffusione di dati personali da parte di soggetti pubblici è consentita solo se prevista da norma di legge o regolamento.
  • L'art. 2-ter è la disposizione cardine per PA, ASL, scuole, università, enti locali.
  • Norme particolari operano per dati giudiziari (art. 2-octies) e categorie particolari (art. 2-sexies).

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
1. La base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento.

Commento

La base giuridica nei trattamenti pubblici

L'art. 2-ter del Codice Privacy, introdotto dal D.Lgs. 101/2018, disciplina specificamente le basi giuridiche del trattamento dei dati personali effettuato da soggetti pubblici per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui sono investiti, ai sensi dell'art. 6, par. 1, lett. e), GDPR. La norma è essenziale perché chiarisce un margine lasciato dal regolamento europeo: l'art. 6, par. 3, GDPR rinvia infatti agli ordinamenti nazionali per la specifica disciplina delle basi giuridiche dei trattamenti pubblici.

Fonti della base giuridica: legge, regolamento, atti amministrativi generali

La norma stabilisce che la base giuridica può essere costituita da norma di legge o di regolamento, ovvero — nei casi previsti dalla legge o dal regolamento — da atti amministrativi generali. Si tratta di una gerarchia attenuata: nella prassi le PA fondano il trattamento su leggi di settore (per esempio, il D.Lgs. 165/2001 per il personale pubblico, il D.Lgs. 267/2000 per gli enti locali, il D.P.R. 600/1973 per l'accertamento tributario). Gli atti amministrativi generali (decreti ministeriali, deliberazioni di giunta, regolamenti comunali) possono fungere da base solo se autorizzati a monte da una fonte primaria.

Comunicazione tra titolari pubblici

Il comma 1, lett. b), disciplina la comunicazione di dati personali tra titolari pubblici. È ammessa quando prevista da norma di legge o regolamento. In assenza di previsione espressa, la comunicazione è possibile solo se necessaria per l'esecuzione di un compito di interesse pubblico e se è stata previamente comunicata al Garante dal titolare. Il Garante, entro 45 giorni, può vietare la comunicazione o prescrivere modalità specifiche. La regola tutela il principio di limitazione delle finalità (art. 5, par. 1, lett. b, GDPR): i dati raccolti per una finalità non possono essere riversati a un'altra PA senza giustificazione.

La diffusione di dati da parte di soggetti pubblici

Il comma 3 stabilisce un principio rigoroso: la diffusione di dati personali da parte di soggetti pubblici è ammessa solo se prevista da norma di legge o regolamento. La regola opera in continuità con quella già vigente prima del GDPR ed è applicata estesamente dal Garante in materia di trasparenza amministrativa (D.Lgs. 33/2013). Tipicamente, la pubblicazione dei nominativi dei vincitori di un concorso pubblico è ammessa solo se prevista dalla legge istitutiva; la pubblicazione dei redditi di funzionari pubblici è stata oggetto della sent. Corte cost. n. 20/2019, che ha dichiarato l'incostituzionalità di una norma che imponeva pubblicazione automatica e generalizzata per tutti i dirigenti.

Coordinamento con altre disposizioni

L'art. 2-ter va letto in combinato con: l'art. 2-sexies per le categorie particolari di dati (sanitari, biometrici, genetici); l'art. 2-octies per i dati giudiziari; il D.Lgs. 33/2013 sulla trasparenza amministrativa; il D.Lgs. 82/2005 (CAD) per i trattamenti digitali delle PA. Nella prassi, ogni trattamento pubblico richiede l'identificazione tripartita: fonte legislativa, finalità di interesse pubblico, proporzionalità tra dato trattato e finalità perseguita.

Sanzioni e responsabilità delle PA

Le PA che violano l'art. 2-ter sono soggette alle sanzioni amministrative dell'art. 83 GDPR e all'art. 166 del Codice. In aggiunta, il funzionario responsabile può rispondere disciplinarmente e — in casi gravi — penalmente (per esempio, rivelazione di segreto d'ufficio ex art. 326 c.p.). La giurisprudenza amministrativa ha riconosciuto la responsabilità erariale per illeciti privacy che cagionino danno all'amministrazione.

Casistica: trasparenza amministrativa e diffusione dati

La pubblicazione obbligatoria di dati personali nei portali "Amministrazione Trasparente" delle PA italiane (D.Lgs. 33/2013) è la principale area di applicazione dell'art. 2-ter. La giurisprudenza ha tracciato confini precisi: a) sent. Corte cost. n. 20/2019 ha dichiarato incostituzionale la pubblicazione automatica e generalizzata dei redditi di tutti i dirigenti, imponendo proporzionalità per ruolo; b) il Garante ha sanzionato Comuni e PA per pubblicazione di dati non strettamente necessari (graduatorie con ISEE, certificati medici, dati familiari); c) il TAR Lazio ha confermato la legittimità della deindicizzazione dei dati di Amministrazione Trasparente dopo il triennio di obbligo legale. La regola operativa: pubblicare solo i dati strettamente necessari, oscurare quelli ulteriori, deindicizzare allo scadere del termine.

Coordinamento con il D.Lgs. 33/2013 e il CAD

L'art. 2-ter si combina con: il D.Lgs. 33/2013 sulla trasparenza amministrativa, che impone pubblicazioni obbligatorie ma sempre nel rispetto del bilanciamento privacy; il D.Lgs. 82/2005 (Codice dell'Amministrazione Digitale - CAD), che disciplina il trattamento digitale dei dati delle PA, con regole specifiche su firma digitale, identità digitale (SPID, CIE), domicilio digitale, PEC, conservazione documentale; la L. 124/2015 (Riforma Madia) e il D.Lgs. 175/2016 sulla riorganizzazione delle PA. La compliance richiede dunque un approccio olistico: la PA deve verificare base giuridica privacy (art. 2-ter), obblighi di trasparenza (D.Lgs. 33/2013), regole di digitalizzazione (CAD) e principi di buon andamento (art. 97 Cost.).

Massime giurisprudenziali

Corte Cost., sent. n. 271/2005

La Corte costituzionale ha riconosciuto la riservatezza come diritto inviolabile della persona, riconducendolo agli artt. 2 e 14 Cost. e ai princìpi della Convenzione EDU.

Perché è importante: Riservatezza come diritto inviolabile

Prassi e linee guida

Disciplina generale · Codice in materia di protezione dei dati

Garante Privacy

Hub del Garante per la protezione dei dati personali: disciplina del D.Lgs. 196/2003 coordinato con il GDPR.

Leggi il documento su www.garanteprivacy.it

Casi pratici

Caso 1: Tizio: pubblicazione di redditi in trasparenza

Tizio, dirigente di un'amministrazione, scopre che il suo reddito è stato pubblicato online ex D.Lgs. 33/2013. Verifica l'art. 2-ter: la diffusione è ammessa solo se prevista da norma di legge. Dopo la sent. Corte cost. 20/2019, la pubblicazione automatica per tutti i dirigenti è incostituzionale per sproporzione. Tizio può chiedere al Garante la rimozione.

Caso 2: Caia ASL: comunicazione dati a Comune

Caia ASL vuole comunicare al Comune i nominativi degli assistiti per pianificazione sociosanitaria. L'art. 2-ter, comma 1, lett. b), richiede una norma di legge o regolamento. In assenza, la ASL deve comunicare preventivamente al Garante e attendere 45 giorni: il Garante può vietare o prescrivere modalità.

Caso 3: Sempronio Comune: pubblicazione graduatorie

Il Comune Sempronio pubblica online la graduatoria di un bando assistenziale, inclusi nomi e ISEE. Verifica la base giuridica: la pubblicazione di nomi è ammessa, ma la diffusione dell'ISEE non è espressamente prevista. Il Garante può ordinare l'oscuramento del dato reddituale per il principio di minimizzazione (art. 5, par. 1, lett. c, GDPR).

Caso 4: Commento applicativo

L'art. 2-ter è la norma cardine del settore pubblico. Ogni trattamento PA richiede di identificare la base giuridica (legge, regolamento, atto generale autorizzato), la finalità di interesse pubblico e il rispetto della proporzionalità. La giurisprudenza costituzionale e i provvedimenti del Garante hanno progressivamente ridotto l'area della pubblicazione automatica e generalizzata.

Domande frequenti

Una PA può trattare dati personali senza consenso?

Sì. La base giuridica è la legge o il regolamento che attribuisce la funzione, non il consenso dell'interessato. È la regola dell'art. 6, par. 1, lett. e), GDPR specificata dall'art. 2-ter del Codice.

Una PA può comunicare dati ad altra PA?

Sì se previsto da legge o regolamento. In assenza, deve comunicarlo al Garante che entro 45 giorni può vietare la comunicazione o prescrivere modalità specifiche.

Quando una PA può pubblicare dati personali sul proprio sito?

Solo se la diffusione è prevista da norma di legge o regolamento. La sent. Corte cost. 20/2019 ha dichiarato incostituzionale la pubblicazione automatica dei redditi di dirigenti per sproporzione.

Cosa accade se una PA viola l'art. 2-ter?

Si applicano le sanzioni amministrative dell'art. 83 GDPR e dell'art. 166 del Codice. Il funzionario responsabile può rispondere disciplinarmente, penalmente (art. 326 c.p. rivelazione di segreto d'ufficio) e per danno erariale.

Quali sono le fonti della base giuridica nelle PA?

In ordine: norma di legge primaria (per esempio D.Lgs. 165/2001, D.Lgs. 267/2000), regolamento, atti amministrativi generali se a loro volta autorizzati da legge o regolamento.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.