← Torna a GDPR (Reg. UE 2016/679)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • L'art. 94 GDPR abroga la direttiva 95/46/CE dal 25 maggio 2018.
  • Passaggio sistemico: direttiva → regolamento direttamente applicabile.
  • Continuità interpretativa: riferimenti alla direttiva si intendono al GDPR (par. 2).
  • Working Party 29 → EDPB.
  • Atti precedenti (decisioni adeguatezza) continuano se compatibili.
  • Giurisprudenza CGUE sulla direttiva resta riferimento interpretativo.

Testo dell'articoloVigente

Articolo 94 del Regolamento (UE) 2016/679 (GDPR) — Abrogazione della direttiva 95/46/CE.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

Commento

Il passaggio sistemico dalla direttiva al regolamento

L'art. 94 GDPR abroga la direttiva 95/46/CE a decorrere dal 25 maggio 2018, data di applicazione del Regolamento. È il passaggio sistemico tra il vecchio regime europeo (direttiva con recepimento nazionale) e il nuovo (regolamento direttamente applicabile). L'abrogazione è formale ma con continuità: la giurisprudenza CGUE sulla direttiva resta rilevante per interpretare il Regolamento, salvo modifiche sostanziali.

Abrogazione formale (par. 1)

Il par. 1 fissa l'abrogazione: la direttiva 95/46/CE è abrogata a decorrere dal 25 maggio 2018. Da quella data, il Regolamento è direttamente applicabile in tutti gli SM senza necessità di recepimento. Le leggi nazionali di recepimento della direttiva (in Italia, D.Lgs. 196/2003 originale) sono state aggiornate o disapplicate nelle parti incompatibili.

Continuità interpretativa (par. 2)

Il par. 2 assicura continuità interpretativa: i riferimenti alla direttiva 95/46/CE abrogata si intendono fatti al GDPR. I riferimenti al Working Party 29 (istituito dalla direttiva) si intendono fatti all'EDPB istituito dal Regolamento. È regola di coerenza che evita rotture interpretative.

Atti delegati e di esecuzione della direttiva

Gli atti delegati e di esecuzione adottati sotto la direttiva 95/46/CE (es. decisioni di adeguatezza pre-GDPR) continuano ad applicarsi se non in contrasto con il Regolamento. Decisioni di adeguatezza per Svizzera, Argentina, Israele, ecc. adottate prima del 2018 sono state riconfermate sotto il GDPR. La continuità garantisce stabilità ai flussi internazionali.

Coordinamento con altre direttive

Il coordinamento con altre direttive (ePrivacy 2002/58, Law Enforcement Directive 2016/680) è specifico: la direttiva ePrivacy resta in vigore come lex specialis (art. 95); la LED disciplina i trattamenti penali in modo parallelo. Il sistema integrato di protezione dei dati UE è quindi multilivello.

Effetti sulla giurisprudenza

Gli effetti sulla giurisprudenza sono significativi. Sentenze CGUE sulla direttiva 95/46 (Lindqvist, Google Spain, Schrems I, Digital Rights Ireland) restano riferimento interpretativo per il Regolamento, salvo evoluzioni. La giurisprudenza più recente (Schrems II, Meta, Fashion ID, UI vs Österreichische Post) si è sviluppata sotto il Regolamento e consolida la prassi attuale.

Regola pratica e checklist operativa

Compliance art. 94: continuità tra direttiva e GDPR. Giurisprudenza pre-2018 ancora rilevante. D.Lgs. 196/2003 aggiornato come fonte residuale. Verifica caso per caso della compatibilità degli atti precedenti.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Casi pratici

Caso 1: Tizio: decisione adeguatezza Svizzera

Tizio, e-commerce, trasferisce dati in Svizzera. Decisione di adeguatezza pre-GDPR continua ad applicarsi ex art. 94 + giurisprudenza CGUE.

Caso 2: Caio: giurisprudenza Google Spain

Caio, motore di ricerca, applica diritto all'oblio. Sentenza CGUE Google Spain (sulla direttiva 95/46) resta riferimento per art. 17 GDPR.

Caso 3: Sempronio: D.Lgs. 196/2003

Sempronio, DPO, consulta D.Lgs. 196/2003 aggiornato. Le parti incompatibili con GDPR sono disapplicate; il Codice opera come fonte residuale.

Caso 4: Commento applicativo

L'art. 94 è il momento di transizione. Continuità interpretativa è regola. Per operatori, la giurisprudenza CGUE pre-2018 resta consultabile.

Domande frequenti

Quando è abrogata la direttiva 95/46?

Il 25 maggio 2018, data di applicazione del GDPR. Dal Regolamento è direttamente applicabile in tutti gli SM.

Le sentenze pre-2018 valgono ancora?

Sì, salvo evoluzioni. La continuità interpretativa (par. 2) preserva il valore della giurisprudenza CGUE sulla direttiva 95/46 per interpretare il GDPR.

Cosa è il Working Party 29?

Era l'organo consultivo istituito dalla direttiva 95/46. Sostituito dall'EDPB (art. 68 GDPR), con poteri rafforzati. I documenti WP29 sono ancora rilevanti come predecessori delle linee guida EDPB.

Le decisioni di adeguatezza pre-2018 valgono?

Sì, se compatibili con GDPR. Decisioni per Svizzera, Argentina, Israele, ecc. sono state riconfermate. La decisione USA Privacy Shield è stata invalidata da Schrems II.

D.Lgs. 196/2003 è ancora valido?

Sì, aggiornato dal D.Lgs. 101/2018. Opera come fonte residuale per materie specifiche (lavoro, sanità, ricerca, giornalismo) nei limiti delle clausole di apertura del GDPR.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.