← Torna a Glossario giuridico
Ultimo aggiornamento: 26 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale

Testo dell'articoloIn aggiornamento

GDPR (General Data Protection Regulation, Regolamento UE 2016/679): normativa europea che disciplina la protezione dei dati personali delle persone fisiche, in vigore dal 25 maggio 2018 in tutti gli Stati membri dell’Unione europea.

Significato giuridico

Il GDPR e contenuto nel Regolamento UE 2016/679, recepito in Italia dal d.lgs. 101/2018 che ha adeguato il previgente Codice Privacy (d.lgs. 196/2003). Principi fondamentali (art. 5 GDPR): liceita, correttezza, trasparenza; limitazione delle finalita; minimizzazione dei dati; esattezza; limitazione della conservazione; integrita e riservatezza; accountability (responsabilizzazione del titolare). Soggetti: interessato (persona fisica cui si riferiscono i dati); titolare del trattamento (decide finalita e mezzi); responsabile del trattamento (tratta dati per conto del titolare); DPO (Data Protection Officer, obbligatorio per PA e per trattamenti su larga scala). Diritti dell’interessato (artt. 15-22): accesso, rettifica, cancellazione (diritto all’oblio), limitazione del trattamento, portabilita dei dati, opposizione, non essere sottoposto a decisioni automatizzate. Base giuridica del trattamento (art. 6): consenso, contratto, obbligo legale, interesse vitale, interesse pubblico, legittimo interesse. Sanzioni: fino a 20 milioni di euro o 4% del fatturato annuo mondiale, a seconda dell’importo maggiore. Adempimenti: registro dei trattamenti (art. 30), DPIA (valutazione d’impatto, art. 35), notifica di data breach entro 72 ore al Garante (art. 33).

Esempio pratico

Tizio, titolare di e-commerce, raccoglie dati personali dei clienti (nome, indirizzo, email, dati di pagamento). Deve: avere base giuridica per il trattamento (esecuzione contratto, consenso per newsletter), informare gli utenti con informativa chiara e completa, garantire i diritti (accesso, cancellazione), implementare misure di sicurezza (cifratura, accessi limitati), tenere registro dei trattamenti. Se subisce data breach (es. attacco hacker con sottrazione dati), deve notificare al Garante entro 72 ore e, se rischio elevato, comunicare agli interessati.

Differenze con istituti simili

Si distingue dalla Direttiva ePrivacy (2002/58/CE), che disciplina aspetti specifici di comunicazioni elettroniche (cookie, marketing). Diverge dalla Direttiva NIS 2 (UE 2022/2555), specifica per sicurezza informatica di settori critici. Si distingue dal diritto all’immagine (art. 10 c.c.), che opera in ambito civilistico tradizionale. L’AI Act (Reg. UE 2024/1689) e la nuova normativa europea su intelligenza artificiale, complementare al GDPR.

Riferimenti normativi

  • Reg. UE 2016/679 (GDPR) — protezione dati personali
  • d.lgs. 30 giugno 2003 n. 196 — Codice Privacy (come modificato dal d.lgs. 101/2018)
  • d.lgs. 10 agosto 2018 n. 101 — adeguamento al GDPR
  • Linee guida EDPB — interpretazione operativa
Scheda in aggiornamento. Il commento professionale, i casi pratici e le FAQ per questo articolo sono in corso di redazione.
Per il testo normativo integrale e aggiornato consulta Normattiva.it.
A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.