Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche

Testo dell'articoloVigente

Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Articolo 23 del Regolamento (UE) 2016/679 (GDPR) – Limitazioni.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

In sintesi

  • L'art. 23 GDPR ammette limitazioni nazionali ai diritti degli artt. 12-22 e all'art. 34.
  • Le materie sono tassative (par. 1): sicurezza, prevenzione reati, ordine pubblico, salute, ecc.
  • Le limitazioni vanno disciplinate per legge specifica con elementi del par. 2.
  • Proporzionalità e necessità sono requisiti cogenti, sindacati dalla CGUE.
  • In Italia: art. 2-undecies D.Lgs. 196/2003 e provvedimenti settoriali.
  • Sindacato di legittimità in sede di rinvio pregiudiziale alla CGUE.
Indice dei contenuti

La logica delle limitazioni nazionali

L'art. 23 GDPR ammette che il diritto UE o nazionale possa limitare con misura legislativa la portata degli obblighi e dei diritti di cui agli artt. 12-22 e dell'art. 34 (notifica all'interessato del data breach), nonché del corrispondente principio dell'art. 5, quando la limitazione rispetta l'essenza dei diritti e delle libertà fondamentali ed è una misura necessaria e proporzionata in una società democratica. È la valvola di sistema per consentire restrizioni motivate da esigenze pubbliche superiori (sicurezza, prevenzione di reati, ordine pubblico, difesa, salute pubblica). Le limitazioni sono ammesse, ma non discrezionali: vanno disciplinate per legge, motivate, proporzionate.

Materie ammesse alle limitazioni (par. 1)

Il par. 1 elenca tassativamente le materie in cui le limitazioni sono ammesse: sicurezza nazionale (a); difesa (b); sicurezza pubblica (c); prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali (d); altri obiettivi di interesse pubblico generale (e); protezione dell'indipendenza giudiziaria (f); prevenzione, indagine, accertamento e perseguimento di violazioni della deontologia (g); compito di controllo e ispezione di funzioni pubbliche (h); interessi economici o finanziari rilevanti (i); protezione dell'interessato o dei diritti e delle libertà di altri (j); esecuzione di azioni civili (j). L'elenco è chiuso: nuove materie non possono essere aggiunte dal legislatore nazionale.

Requisiti delle misure legislative (par. 2)

Il par. 2 prevede che la misura legislativa contenga disposizioni specifiche almeno, ove pertinente, su: finalità e categorie di trattamento; categorie di dati personali; portata delle limitazioni introdotte; garanzie per prevenire abusi o accessi illegittimi; specificazione del titolare o categorie di titolari; periodi di conservazione e garanzie applicabili; rischi per i diritti e le libertà degli interessati; diritto degli interessati di essere informati della limitazione, salvo che ciò pregiudichi la finalità. È checklist sostanziale: una norma nazionale che limita un diritto GDPR senza questi elementi è viziata e disapplicabile.

Bilanciamento e proporzionalità

Il bilanciamento richiede proporzionalità e necessità. La CGUE ha più volte annullato norme nazionali che limitavano i diritti GDPR senza adeguata proporzionalità (es. data retention per fini di sicurezza, accessi indiscriminati). Il test è triplo: la limitazione persegue una finalità legittima (par. 1)? È necessaria per quella finalità (no alternative meno invasive)? È proporzionata (bilanciamento costi/benefici)? La giurisprudenza CGUE consolidata in materia di sorveglianza, retention, accessi degli organi di polizia ha precisato i criteri.

Limitazioni italiane nel D.Lgs. 196/2003

In Italia, le limitazioni operative sono nel D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018: art. 2-undecies disciplina i casi in cui i diritti dell'interessato sono limitati (interessi tutelati dal segreto, attività di forze di polizia, attività dell'autorità giudiziaria, esame ricorsi, lotta contro evasione/contraffazione, ispezione vigilanza, antiriciclaggio). Altri provvedimenti settoriali (giornalismo, sanità, lavoro) integrano il quadro. L'art. 2-undecies, par. 3, prevede che l'interessato possa rivolgersi al titolare o al Garante per esercitare i diritti, anche per il tramite dell'autorità giudiziaria.

Controllo giurisdizionale e CGUE

Il controllo giurisdizionale è centrale. Le norme nazionali che limitano i diritti GDPR sono sindacabili dalla CGUE su rinvio pregiudiziale (art. 267 TFUE). Le sentenze degli ultimi anni hanno annullato molte misure nazionali di sorveglianza massiva e data retention. La Corte costituzionale italiana (sentenze ordinarie e in materia di privacy) ha integrato il sindacato. La conformità delle limitazioni nazionali al GDPR è dunque oggetto di controllo continuo, sia ex ante (in fase legislativa) sia ex post (in sede contenziosa).

Regola pratica e checklist operativa

Compliance art. 23 per le PA e settori regolati: (i) verificare l'esistenza di base legale specifica; (ii) verificare i requisiti del par. 2 (finalità, garanzie, retention); (iii) limitare l'applicazione al minimo necessario; (iv) informare l'interessato della limitazione (salvo pregiudizio); (v) garantire il rimedio (Garante, giudice); (vi) periodico riesame. Le limitazioni eccessive sono disapplicabili per contrasto con il GDPR.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Casi pratici

Caso 1: Tizio: indagine penale e accesso

Tizio chiede accesso ai propri dati a una banca. La banca invoca limitazione ex art. 2-undecies D.Lgs. 196/2003 per pendente segnalazione antiriciclaggio. La limitazione è ammessa, ma temporanea: Tizio può rivolgersi al Garante.

Caso 2: Caio: PA e ricorso amministrativo

Caio ricorre contro provvedimento di una PA e chiede accesso al fascicolo. L'accesso può essere limitato in materia di esame di ricorsi, salvo motivata istanza. Il Garante e il TAR possono accertare l'eccesso.

Caso 3: Sempronio: data retention

Sempronio, telco, deve conservare metadati per finalità di sicurezza ex D.Lgs. 196/2003 e Direttiva ePrivacy. La CGUE ha sindacato la conservazione indiscriminata: solo retention mirata e proporzionata è ammessa.

Caso 4: Commento applicativo

L'art. 23 è la valvola di sistema. Le limitazioni nazionali sono frequenti ma non discrezionali: vanno disciplinate per legge con elementi del par. 2 e sindacate per proporzionalità. La CGUE ha annullato numerose limitazioni eccessive.

Domande frequenti

Quali diritti possono essere limitati?

Quelli degli artt. 12-22 (informazione, accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, decisioni automatizzate), nonché l'art. 34 (notifica breach) e il principio corrispondente dell'art. 5.

Chi può introdurre le limitazioni?

Il diritto UE o nazionale con misura legislativa. Non sono ammesse limitazioni discrezionali del titolare o regolamenti amministrativi privi di base legale.

Quali sono le materie ammesse?

Tassativamente: sicurezza nazionale, difesa, sicurezza pubblica, prevenzione/perseguimento reati, obiettivi di interesse pubblico, indipendenza giudiziaria, deontologia, controllo e ispezione, interessi economici, protezione altrui, esecuzione di azioni civili.

Quali requisiti deve avere la norma limitativa?

Gli elementi del par. 2: finalità, categorie di trattamento e dati, portata, garanzie, titolare, retention, rischi, informazione all'interessato (salvo pregiudizio).

Posso impugnare una limitazione?

Sì, davanti al Garante (reclamo art. 77) o al giudice amministrativo (per atti della PA) e al giudice ordinario. La compatibilità con il GDPR può essere oggetto di rinvio pregiudiziale alla CGUE.

Ultimo aggiornamento redazionale: 2026-05-21
Vedi anche
A cura di
Andrea Marton — Dottore in Economia e Finanza, praticante commercialista
Fondatore e responsabile editoriale di Legge in Chiaro, portale di divulgazione giuridica e fiscale gratuita su 101 testi e codici italiani. I contenuti sono curati e rivisti da un team di laureati in economia; hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.