← Torna a GDPR (Reg. UE 2016/679)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • L'art. 98 GDPR impegna la Commissione a riesaminare altri atti UE su protezione dati.
  • Obiettivo: coerenza sistemica del quadro UE.
  • Atti da coordinare: ePrivacy, LED, Reg. 2018/1725, settoriali.
  • Atti recenti: Data Governance Act, Data Act, AI Act, DMA, DSA.
  • Iniziative legislative in continua evoluzione.
  • Compliance richiede integrazione GDPR + atti settoriali.

Testo dell'articoloVigente

Articolo 98 del Regolamento (UE) 2016/679 (GDPR) — Riesame di altri atti giuridici dell’Unione in materia di protezione dei dati.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

Commento

Coerenza del quadro UE

L'art. 98 GDPR impegna la Commissione, se del caso, a presentare proposte legislative al fine di modificare altri atti giuridici dell'Unione relativi alla protezione dei dati personali per assicurare la protezione uniforme delle persone fisiche con riguardo al trattamento. È clausola di coerenza sistematica: il GDPR è atto base ma non isolato; altri atti UE su protezione dati (settoriali, istituzionali, internazionali) devono essere allineati. La logica è di evitare frammentazione.

Riesame di atti settoriali

Gli atti settoriali che richiedono riesame sono numerosi: la direttiva ePrivacy 2002/58 (in attesa di sostituzione con Regolamento ePrivacy); il Regolamento (UE) 2018/1725 per istituzioni UE (allineato al GDPR); la direttiva LED 2016/680 sui trattamenti penali; atti settoriali su antiriciclaggio (D.Lgs. 231/2007 italiano per recepimento), su servizi finanziari (PSD2, MiCA), sanità (eHealth), trasporti (PNR). Il quadro è ampio.

Coordinamento con il GDPR

Il coordinamento con il GDPR opera attraverso clausole di compatibilità: atti settoriali si applicano nei limiti delle clausole di apertura del GDPR (art. 6, par. 2-3 per finalità di interesse pubblico; art. 88 per lavoro; art. 89 per ricerca; ecc.). Gli SM e la Commissione monitorano la coerenza. L'EDPB pubblica pareri di coordinamento.

Atti rilevanti

Atti rilevanti recenti includono: Data Governance Act (Regolamento 2022/868); Data Act (Regolamento 2023/2854); AI Act (Regolamento 2024/1689); Cyber Resilience Act; Digital Markets Act (DMA); Digital Services Act (DSA). Ognuno introduce regole che interagiscono con il GDPR. Il quadro UE su dati e digitale è oggi articolato in molti atti complementari.

Iniziative legislative parallele

Le iniziative legislative parallele sono in continua evoluzione. La Commissione presenta annualmente proposte di aggiornamento di atti esistenti o nuovi atti. Per i privacy professionals, monitoring è essenziale. Il network EDPB-EDPS-Commissione assicura coordinamento sistemico.

Effetti sulla prassi

Gli effetti sulla prassi sono significativi. Per operatori in settori specifici (sanità, finanza, AI, IoT, ad-tech), la compliance richiede integrazione di GDPR + atti settoriali. La complessità è crescente. Le grandi piattaforme hanno team multidisciplinari (privacy, data, AI compliance). Per PMI, le risorse sono limitate: framework integrati e consulenze specializzate sono necessari.

Regola pratica e checklist operativa

Compliance art. 98: per operatori: (i) monitoring del quadro UE; (ii) framework integrati GDPR + atti settoriali; (iii) team multidisciplinari (privacy, AI compliance, security); (iv) consulenza specializzata; (v) anticipazione di riforme. La complessità è crescente.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Casi pratici

Caso 1: Tizio: AI e GDPR

Tizio, sviluppatore AI, deve integrare AI Act + GDPR. Art. 98 + coordinamento istituzionale. Doppia compliance per sistemi ad alto rischio.

Caso 2: Caio: ePrivacy e GDPR

Caio, cookie management, applica direttiva ePrivacy + GDPR. Coordinamento previsto da art. 95. In attesa di Regolamento ePrivacy.

Caso 3: Sempronio: AML e GDPR

Sempronio, banca, applica D.Lgs. 231/2007 (AML) + GDPR. Clausola di apertura art. 6, par. 1, lett. c). Adattamento delle regole settoriali al GDPR.

Caso 4: Commento applicativo

L'art. 98 è coerenza dinamica. Il quadro UE è in espansione. Per privacy professionals, monitoring di tutti gli atti collegati è oggi essenziale.

Domande frequenti

Cosa fa la Commissione ex art. 98?

Riesamina altri atti UE su protezione dei dati per assicurare coerenza con il GDPR. Presenta proposte legislative se necessario.

Quali atti sono rilevanti?

ePrivacy 2002/58, LED 2016/680, Reg. 2018/1725, atti settoriali (AML, PSD2, eHealth), atti recenti (Data Act, AI Act, DMA, DSA).

Come si coordinano?

Clausole di compatibilità nel GDPR (art. 6, 88, 89, ecc.). Pareri dell'EDPB. Aggiornamenti legislativi periodici.

Devo aggiornare la compliance?

Sì, continuamente. Nuovi atti (AI Act, Data Act, DSA) introducono obblighi che si sommano al GDPR. Framework integrati e consulenza specializzata.

Come monitorare?

Sito Commissione UE, edpb.europa.eu, Gazzetta UE, fonti specializzate (IAPP, AssoDPO). Per DPO, news letter di settore e formazione continua.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.