← Torna a GDPR (Reg. UE 2016/679)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Prassi e linee guida
  4. Casi pratici
  5. Domande frequenti
  6. Vedi anche
In sintesi
  • L'art. 99 GDPR fissa entrata in vigore (24 maggio 2016) e applicazione (25 maggio 2018).
  • Spartiacque del 25 maggio 2018: sanzioni, diritti, obblighi pienamente operativi.
  • Periodo transitorio di 2 anni per adeguamento.
  • Abrogazione contemporanea della direttiva 95/46/CE (art. 94).
  • Effetto globale: Brussels effect, modello per CCPA, LGPD, PIPL.
  • Atto evolutivo: linee guida, riforme, coordinamento.

Testo dell'articoloVigente

Articolo 99 del Regolamento (UE) 2016/679 (GDPR) — Entrata in vigore e applicazione.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

Commento

L'entrata in vigore

L'art. 99 GDPR fissa l'entrata in vigore e l'applicazione del Regolamento. Il par. 1 prevede l'entrata in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale UE (avvenuta il 4 maggio 2016 con il Regolamento (UE) 2016/679); l'entrata in vigore è dunque il 24 maggio 2016. Il par. 2 prevede che il Regolamento si applichi a decorrere dal 25 maggio 2018. È data spartiacque: il sistema UE di protezione dei dati cambia radicalmente.

Data di applicazione (par. 2)

La data di applicazione del 25 maggio 2018 è il momento in cui il Regolamento è effettivamente vincolante per tutti gli operatori in UE. Da quella data, le sanzioni amministrative dell'art. 83 sono applicabili; i diritti dell'interessato sono esercitabili; gli obblighi del titolare/responsabile sono pienamente operativi. La direttiva 95/46/CE è contemporaneamente abrogata (art. 94).

Periodo transitorio

Il periodo transitorio di 2 anni tra entrata in vigore (24 maggio 2016) e applicazione (25 maggio 2018) ha consentito agli operatori di adeguarsi. I Garanti europei e l'EDPB hanno pubblicato linee guida operative. Le imprese hanno investito in DPO, sistemi, formazione. Il periodo è stato fondamentale per la transizione: senza, l'applicazione sarebbe stata caotica.

Il 25 maggio 2018 come spartiacque

Il 25 maggio 2018 come spartiacque ha cambiato il panorama globale. È data che ha attivato il cd. Brussels effect (art. 3): piattaforme globali hanno adottato standard GDPR-compliant in tutto il mondo. È data citata in ogni provvedimento GDPR. È riferimento culturale: 'pre-GDPR' vs 'post-GDPR' è linea di demarcazione nella governance digitale.

Effetti immediati e differiti

Gli effetti immediati e differiti sono articolati. Immediati: applicazione di tutti i principi e diritti; sanzioni; cooperazione tra Garanti; meccanismo capofila. Differiti: maturazione di prassi (linee guida EDPB sviluppate negli anni successivi); riforme periodiche (procedural regulation in lavorazione); coordinamento con altri atti UE. Il GDPR è atto evolutivo, non statico.

Impatto sistemico

L'impatto sistemico del GDPR è ormai consolidato. Standard internazionale di riferimento; modello per legislazioni globali (CCPA California, LGPD Brasile, PIPL Cina). Trasformazione organizzativa di multinazionali; nuova professione (DPO); ridefinizione del rapporto fiducia tra cittadini, imprese, Stato sul dato. A 8 anni dall'applicazione (2026), il bilancio è ricco: sanzioni miliardarie, casi paradigmatici, riforme in corso. Il futuro vede consolidamento e armonizzazione globale.

Regola pratica e checklist operativa

Compliance art. 99: a 8 anni dal GDPR (2026), la compliance è maturata. Per operatori maturi: governance consolidata, integrazione con AI Act/Data Act, monitoring continuo. Per PMI: framework essenziali, formazione, certificazioni. Il GDPR è oggi standard globale.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Prassi e linee guida

Normattiva

Normattiva

Leggi il documento su www.normattiva.it

Casi pratici

Caso 1: Tizio: PMI pre-2018

Tizio, PMI, ha investito nel periodo transitorio 2016-2018 in DPO, formazione, registro. Al 25 maggio 2018 era pronto. Conformità documentata.

Caso 2: Caio: multinazionale e Brussels effect

Caio, gruppo USA, ha adottato standard GDPR-compliant a livello globale per semplicità. Brussels effect: uniformità invece di frammentazione.

Caso 3: Sempronio: a 8 anni dal GDPR

Sempronio, privacy professional, riflette su 8 anni di prassi (2018-2026). Sanzioni miliardarie, modelli globali, riforme. Il GDPR è oggi standard mondiale.

Caso 4: Commento applicativo

L'art. 99 è il punto di inizio. 25 maggio 2018 è data fondamentale. Il GDPR ha cambiato il panorama: standard globale, professione, fiducia digitale. Evoluzione continua.

Domande frequenti

Quando è entrato in vigore?

Il 24 maggio 2016, ventesimo giorno dopo la pubblicazione in Gazzetta UE (4 maggio 2016). Applicazione dal 25 maggio 2018.

Perché 2 anni di transizione?

Per consentire agli operatori di adeguarsi: investire in DPO, sistemi, formazione; ai Garanti di preparare linee guida. Senza, l'applicazione sarebbe caotica.

Cosa è cambiato il 25 maggio 2018?

Sanzioni applicabili (art. 83); diritti esercitabili; obblighi operativi; cooperazione tra Garanti attivata; meccanismo capofila funzionante. Direttiva 95/46 abrogata.

Cosa è il Brussels effect?

Adozione globale di standard GDPR-compliant da operatori internazionali, per semplicità di gestione. Trasformazione del panorama globale della privacy.

Il GDPR è statico?

No, evolve. Linee guida EDPB continue, riforme periodiche (procedural regulation), coordinamento con AI Act, Data Act. Atto evolutivo in adattamento.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.