← Torna a GDPR (Reg. UE 2016/679)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • L'art. 86 GDPR disciplina il rapporto tra protezione dei dati e accesso ai documenti ufficiali.
  • Bilanciamento tra trasparenza amministrativa e privacy.
  • Discrezione SM nel definire dettagli (par. 1).
  • In Italia: L. 241/1990 (accesso documentale) + D.Lgs. 33/2013 (FOIA).
  • Diritti dell'interessato si combinano con la pubblicità.
  • Casi: contributi pubblici, redditi, sentenze, pratiche edilizie.

Testo dell'articoloVigente

Articolo 86 del Regolamento (UE) 2016/679 (GDPR) — Trattamento e accesso del pubblico ai documenti ufficiali.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

Commento

L'accesso ai documenti come diritto

L'art. 86 GDPR disciplina il rapporto tra protezione dei dati personali e diritto di accesso del pubblico ai documenti ufficiali. I dati personali contenuti in documenti ufficiali in possesso di autorità pubbliche o organismi pubblici o privati per l'esecuzione di un compito di interesse pubblico possono essere comunicati da tali autorità conformemente al diritto UE/SM al fine di conciliare l'accesso del pubblico ai documenti ufficiali con il diritto alla protezione dei dati personali.

Bilanciamento con protezione dei dati

Il bilanciamento è strutturale: trasparenza amministrativa è valore democratico, ma non può tradursi in divulgazione indiscriminata di dati personali. La regola opera in PA, organismi pubblici, soggetti privati con funzioni pubbliche. Il considerando 154 sottolinea l'importanza dell'equilibrio per democraticità e accountability istituzionale.

Discrezione SM (par. 1)

La discrezione SM consente di calibrare il bilanciamento. In Italia, due regimi principali: accesso documentale (L. 241/1990) e accesso civico (D.Lgs. 33/2013 sul trasparenza). L. 241/1990 prevede accesso per chi ha interesse diretto, concreto, attuale; D.Lgs. 33/2013 prevede accesso generalizzato e accesso civico generalizzato (FOIA italiano). Entrambi bilanciano con protezione dei dati.

In Italia: L. 241/1990 e D.Lgs. 33/2013

Il D.Lgs. 33/2013 elenca le ipotesi di esclusione e limitazione: pregiudizio a interessi pubblici, segreti commerciali, segreti istruttori, dati sensibili. Il Garante e il TAR hanno sviluppato giurisprudenza consolidata: il diritto di accesso non è assoluto; va sempre bilanciato con la protezione dei dati. La pubblicazione di redditi, prestazioni, situazioni patrimoniali è frequente fronte di contenzioso.

Diritti dell'interessato e pubblicità

I diritti dell'interessato si combinano con la pubblicità. L'art. 86 non esclude i diritti GDPR (accesso, rettifica, cancellazione) sui propri dati pubblicati ufficialmente. L'interessato può richiedere correzione o limitazione anche per dati in documenti pubblici, salvo che la conservazione sia obbligatoria. La giurisprudenza ha consolidato la convivenza degli strumenti.

Casi tipici di bilanciamento

Casi tipici di bilanciamento: pubblicazione dei nominativi dei beneficiari di contributi pubblici (D.Lgs. 33/2013 + Garante); pubblicazione delle dichiarazioni dei redditi (limitazioni per amministratori); pubblicazione di sentenze (anonimizzazione di certi dati); accesso documentale a pratiche edilizie (bilanciamento privacy del vicino). Il Garante italiano ha emesso pareri rilevanti su tutti questi fronti.

Regola pratica e checklist operativa

Compliance art. 86: per PA: (i) procedure di bilanciamento documentate; (ii) anonimizzazione dei dati non necessari; (iii) formazione del personale; (iv) coordinamento con DPO. Per cittadini: conoscere i diritti di accesso e i loro limiti, agire per protezione dati se eccessi.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Casi pratici

Caso 1: Tizio: accesso a documenti edilizi

Tizio, vicino, chiede accesso a pratica edilizia. L. 241/1990 + art. 86 GDPR: bilanciamento. Dati patrimoniali del vicino possono essere oscurati.

Caso 2: Caio: pubblicazione contributi pubblici

Caio, Comune, pubblica nominativi beneficiari di contributi ex D.Lgs. 33/2013. Il Garante ha chiarito perimetro: pubblicazione necessaria, no dati eccedenti.

Caso 3: Sempronio: richiesta civica generalizzata

Sempronio, cittadino, fa accesso civico generalizzato a documenti. D.Lgs. 33/2013 + art. 86: PA bilancia accesso e protezione dati, eventuali oscuramenti.

Caso 4: Commento applicativo

L'art. 86 è quotidianità per la PA. Procedure di anonimizzazione e di valutazione del bilanciamento sono operativa. Garante e TAR hanno sviluppato giurisprudenza.

Domande frequenti

Cosa disciplina l'art. 86?

Il rapporto tra protezione dei dati e diritto di accesso del pubblico ai documenti ufficiali. Bilanciamento tra trasparenza amministrativa e privacy.

Quali norme italiane?

L. 241/1990 (accesso documentale con interesse), D.Lgs. 33/2013 (accesso civico semplice e generalizzato/FOIA). Coordinati con D.Lgs. 196/2003.

Posso opporre la privacy?

Sì. Le PA bilanciano caso per caso. Le esclusioni del D.Lgs. 33/2013 includono pregiudizio a interessi pubblici, segreti, dati sensibili. Garante e TAR risolvono conflitti.

I miei diritti GDPR valgono?

Sì. L'art. 86 non esclude i diritti GDPR su dati pubblicati. Salvo che la pubblicazione sia obbligatoria per legge, posso richiedere rettifica/limitazione.

Quali casi tipici?

Pubblicazione contributi, redditi (amministratori), sentenze, pratiche edilizie, atti amministrativi. Ognuno con regole specifiche di bilanciamento.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.