← Torna a GDPR (Reg. UE 2016/679)
Ultimo aggiornamento: 22 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • L'art. 95 GDPR fissa il rapporto con la direttiva 2002/58/CE (ePrivacy).
  • Principio di specialità: ePrivacy lex specialis per cookie, metadati, marketing.
  • Per stesse materie, obblighi ePrivacy prevalgono.
  • In Italia: Codice Comunicazioni Elettroniche (D.Lgs. 259/2003, agg. 207/2021).
  • Provvedimenti Garante su cookie (2014, 2021): consenso, no cookie wall.
  • Regolamento ePrivacy in negoziazione (sostituirà la direttiva).

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Articolo 95 del Regolamento (UE) 2016/679 (GDPR) — Rapporto con la direttiva 2002/58/CE.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

Stesso numero, altri codici

Commento

La direttiva ePrivacy

L'art. 95 GDPR disciplina il rapporto con la direttiva 2002/58/CE (cd. ePrivacy Directive). Il GDPR non impone obblighi supplementari alle persone fisiche o giuridiche in relazione ai trattamenti nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell'Unione, per le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo previsti dalla direttiva 2002/58/CE.

Principio di specialità

Il principio è di specialità: la direttiva ePrivacy disciplina aspetti specifici (cookie, metadati comunicazioni elettroniche, marketing via mail/SMS, spam) come lex specialis rispetto al GDPR. Per le stesse materie, gli obblighi della ePrivacy prevalgono e non si cumulano con quelli del GDPR. La logica è di evitare duplicazione regolatoria.

Cookie e marketing diretto

Cookie e marketing diretto sono le aree principali. La direttiva 2002/58/CE, art. 5, par. 3, dispone che l'archiviazione o l'accesso a informazioni sul dispositivo dell'utente sia consentito solo con consenso esplicito (salvo eccezioni tecniche). È la base normativa dei cookie banner. Il marketing diretto via email/SMS è disciplinato dall'art. 13 della direttiva (soft opt-in per clienti esistenti, opt-in espresso per non clienti).

In Italia: Codice delle Comunicazioni Elettroniche

In Italia, la direttiva 2002/58/CE è recepita dal Codice delle Comunicazioni Elettroniche (D.Lgs. 259/2003 aggiornato dal D.Lgs. 207/2021). Disciplina dettagliata su cookie, metadati, marketing, spam, intercettazioni. Il Garante è competente per i profili privacy della disciplina ePrivacy.

Provvedimenti del Garante su cookie

I provvedimenti del Garante su cookie sono punti di riferimento: provvedimento del 2014 (Cookie Law) e linee guida 2021 (post-EDPB). Definiscono: necessità di consenso per cookie di profilazione; consenso espresso (opt-in), no scroll-down, no cookie wall; granularità per categorie; equivalente facilità tra 'accetta' e 'rifiuta'; revocabilità. Sanzioni significative per inadempienze.

Verso il Regolamento ePrivacy

La proposta di Regolamento ePrivacy (in negoziazione dal 2017) mira a sostituire la direttiva e armonizzare il quadro. Il negoziato è complesso e ancora aperto al 2026. Una volta adottato, il Regolamento ePrivacy sostituirà la direttiva e si coordinerà con il GDPR in modo più organico. Nel frattempo, opera la direttiva 2002/58/CE come integrata da provvedimenti dei Garanti nazionali.

Regola pratica e checklist operativa

Compliance art. 95: (i) cookie management platform conforme al provv. 2021 (granulare, simmetrico, no cookie wall); (ii) marketing con soft opt-in/opt-in espresso; (iii) coordinamento con GDPR; (iv) preparazione per Regolamento ePrivacy futuro; (v) audit periodici dei cookie.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Casi pratici

Caso 1: Tizio: cookie banner non conforme

Tizio, sito web, ha cookie banner con scroll-down. Viola provv. Garante 2021. Art. 95 + Cookie Law: serve consenso espresso, granulare. Sanzione.

Caso 2: Caio: marketing via email

Caio, e-commerce, invia DEM. Soft opt-in per clienti esistenti (prodotti analoghi). Opt-in espresso per non clienti. Art. 13 ePrivacy + D.Lgs. 259/2003.

Caso 3: Sempronio: metadati telco

Sempronio, operatore telco, tratta metadati di traffico. Direttiva ePrivacy + Codice CE: limitato a finalità tecniche e fatturazione, salvo consenso per altre finalità.

Caso 4: Commento applicativo

L'art. 95 è coordinamento. Cookie e marketing sono fronti caldi. Provvedimenti Garante 2021 sono standard di compliance attuale. Regolamento ePrivacy quando arriverà cambierà il quadro.

Domande frequenti

Cosa disciplina la ePrivacy?

Cookie, metadati comunicazioni elettroniche, marketing diretto (email, SMS), spam, intercettazioni. Lex specialis rispetto al GDPR per queste materie.

Cookie richiede consenso?

Sì, per cookie di profilazione (non tecnici). Consenso espresso (opt-in), no scroll-down, no cookie wall, granulare, equivalente 'accetta' / 'rifiuta'. Provv. Garante 2014 e 2021.

Marketing via email come si gestisce?

Per clienti esistenti: soft opt-in su prodotti analoghi con opt-out facile. Per non clienti: opt-in espresso (consenso GDPR). Per spam: vietato senza opt-in.

Quale norma in Italia?

Codice delle Comunicazioni Elettroniche (D.Lgs. 259/2003 aggiornato dal D.Lgs. 207/2021). Più provvedimenti del Garante su cookie, soft opt-in, marketing.

Arriva il Regolamento ePrivacy?

In negoziazione dal 2017. Sostituirà la direttiva quando adottato. Cambierà il quadro: armonizzazione e coordinamento con GDPR. Al 2026, ancora in trattativa.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.