Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-05-039 min read

Cos'è il GDPR? Guida al Regolamento Europeo Privacy

Il GDPR (Reg. UE 2016/679) è la normativa europea sulla privacy. Principi fondamentali, diritti degli interessati, obblighi delle aziende e sanzioni fino al 4% del fatturato.

Avv. Antonino Ingoglia

Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law

Cos'è il GDPR in breve?

Il GDPR (General Data Protection Regulation), formalmente Regolamento (UE) 2016/679, è la normativa europea sulla protezione dei dati personali. Applicato dal 25 maggio 2018, stabilisce i diritti degli interessati, gli obblighi dei titolari del trattamento e le sanzioni per le violazioni: fino a 20 milioni di euro o il 4% del fatturato mondiale. In Italia è integrato dal D.Lgs. 196/2003 (Codice Privacy) e vigilato dal Garante per la protezione dei dati personali.

Cos'è il GDPR e perché è obbligatorio per le aziende italiane?

Cos'è il GDPR in sintesi? Il GDPR (General Data Protection Regulation), formalmente Regolamento (UE) 2016/679, è la normativa europea fondamentale per la protezione dei dati personali. Imbarca diritti, principi e rigorosi obblighi per chi gestisce le informazioni, con l'obiettivo di garantire la privacy dei cittadini europei. In Italia l'attività di vigilanza è affidata al Garante per la protezione dei dati personali, che nella Relazione Annuale 2024 (presentata a luglio 2025) ha rendicontato oltre 835 provvedimenti collegiali e sanzioni riscosse per circa 24 milioni di euro.

In sintesi: (1) Il Regolamento si basa su 7 principi fondamentali, tra cui minimizzazione, trasparenza e accountability. (2) Le aziende devono mappare ogni trattamento nel Registro (Art. 30) e garantire la sicurezza ex Art. 32. (3) Le sanzioni per le violazioni più gravi (Art. 83) raggiungono il 4% del fatturato mondiale annuo. (4) L'informativa privacy deve essere fornita preventivamente al trattamento dei dati.

Testo ufficiale: Regolamento (UE) 2016/679 - EUR-Lex · Autorità italiana: Garante Privacy - garanteprivacy.it

In Italia il GDPR è stato integrato dal D.Lgs. 196/2003 (Codice Privacy), aggiornato dal D.Lgs. 101/2018.

Quali sono i sette principi normativi insuperabili stabiliti dall'articolo 5 del GDPR?

Ogni trattamento di dati personali deve rispettare questi sette principi:

  1. Liceità, correttezza e trasparenza - I dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato.
  2. Limitazione della finalità - I dati devono essere raccolti per finalità determinate, esplicite e legittime.
  3. Minimizzazione dei dati - Devono essere trattati solo i dati adeguati, pertinenti e limitati a quanto necessario.
  4. Esattezza - I dati devono essere esatti e, se necessario, aggiornati.
  5. Limitazione della conservazione - I dati non possono essere conservati più a lungo del necessario.
  6. Integrità e riservatezza - Devono essere garantite sicurezza, integrità e riservatezza mediante misure tecniche e organizzative adeguate.
  7. Responsabilizzazione (accountability) (Art. 5, par. 2) - Il titolare del trattamento deve essere in grado di dimostrare il rispetto di tutti i principi.

Quali sono le 6 basi giuridiche previste dall'Art. 6 per legalizzare un trattamento dati?

Il GDPR prevede sei basi giuridiche che legittimano il trattamento:

  1. Consenso dell'interessato (specifico, informato, libero e revocabile)
  2. Esecuzione di un contratto o misure precontrattuali
  3. Obbligo legale del titolare
  4. Salvaguardia di interessi vitali dell'interessato o di altra persona
  5. Interesse pubblico o esercizio di pubblici poteri
  6. Legittimo interesse del titolare o di terzi (previo bilanciamento con i diritti dell'interessato)

Dall'esperienza professionale: come consulente legale per il tech, vedo spesso le aziende abusare del "consenso". Ricorda che il consenso non è l'unica base giuridica valida: per moltissimi trattamenti (es. gestione ordini, fatturazione, esecuzione del servizio) la base corretta è l'esecuzione di un contratto o un espresso obbligo di legge. Chiedere un consenso che "serve" per forza invalida l'intero processo.

Quali diritti digitali inderogabili attribuisce il GDPR ai cittadini europei?

Il GDPR riconosce una serie di diritti esercitabili da qualsiasi persona i cui dati vengono trattati:

  • Diritto di accesso (Art. 15) - Sapere se e quali dati sono trattati, con quale finalità e per quanto tempo.
  • Diritto di rettifica (Art. 16) - Ottenere la correzione di dati inesatti.
  • Diritto alla cancellazione / diritto all'oblio (Art. 17) - Ottenere la cancellazione dei dati quando non sono più necessari o il consenso è revocato.
  • Diritto di limitazione (Art. 18) - Ottenere la limitazione del trattamento in casi specifici.
  • Diritto alla portabilità (Art. 20) - Ricevere i propri dati in formato strutturato e trasferirli a un altro titolare.
  • Diritto di opposizione (Art. 21) - Opporsi al trattamento basato su legittimo interesse o interesse pubblico.
  • Diritto a non essere sottoposto a decisioni automatizzate (Art. 22) - Inclusa la profilazione con effetti giuridici significativi.

Il titolare deve rispondere entro 30 giorni dalla richiesta (Art. 12, par. 3), prorogabili di ulteriori 60 giorni in casi di particolare complessità.

Quali specifiche organizzazioni pubbliche e private hanno l'onere di rispettare il GDPR?

Il GDPR si applica a:

  • Tutte le organizzazioni (aziende, professionisti, enti pubblici, associazioni) che trattano dati personali di persone fisiche nell'UE.
  • Organizzazioni extra-UE che offrono beni/servizi a interessati nell'UE o ne monitorano il comportamento (Art. 3, par. 2).

Non esiste un'esenzione per dimensione: anche una microimpresa o un libero professionista devono rispettare il GDPR se trattano dati personali.

Quali sono gli obblighi architetturali continui per le aziende imposti dal Regolamento UE?

ObbligoRiferimentoDescrizione
Informativa privacyArt. 13-14Fornire informazioni chiare su finalità, base giuridica, diritti, tempi di conservazione
Registro dei trattamentiArt. 30Documentare tutti i trattamenti effettuati (obbligatorio per aziende con 250+ dipendenti o trattamenti a rischio)
Privacy by design e by defaultArt. 25Integrare la protezione dati fin dalla progettazione di prodotti e servizi
Data Processing AgreementArt. 28Contratto obbligatorio con ogni fornitore che tratta dati per conto dell'azienda
Notifica data breachArt. 33-34Comunicare violazioni al Garante entro 72 ore e, se del caso, agli interessati
DPIAArt. 35Valutazione d'impatto obbligatoria per trattamenti ad alto rischio
Nomina DPOArt. 37-39Designazione del Responsabile della Protezione Dati nei casi previsti. Scopri il servizio di DPO Esterno

A quanto ammontano le pesanti ripercussioni sanzionatorie dell'Art. 83 del GDPR?

Il GDPR prevede due fasce sanzionatorie:

Fascia superiore (Art. 83, par. 5) - per violazioni dei principi di base, dei diritti degli interessati e dei trasferimenti internazionali:

  • Fino a 20 milioni di euro o il 4% del fatturato mondiale annuo (se superiore)

Fascia inferiore (Art. 83, par. 4) - per violazioni degli obblighi organizzativi (registro trattamenti, DPO, data breach, DPIA):

  • Fino a 10 milioni di euro o il 2% del fatturato mondiale annuo (se superiore)

Sanzioni recenti in Italia e in Europa

Il Garante per la protezione dei dati personali è particolarmente attivo:

  • 2024: 835 provvedimenti collegiali, 468 correttivi/sanzionatori, 24 milioni di euro di sanzioni totali, 2.204 data breach notificati, oltre 4.000 reclami gestiti (Relazione annuale Garante 2024, presentata il 15 luglio 2025).
  • 2025: OpenAI sanzionata per 15 milioni di euro (sanzione poi sospesa dal Tribunale di Roma il 21 marzo 2025); Verisure Italia 400.000 euro (marketing non richiesto); Autostrade per l'Italia 420.000 euro (trattamento illecito dati dipendenti).
  • 2026: Intesa Sanpaolo sanzionata per 17,6 milioni di euro (trasferimento non autorizzato di 2,4 milioni di clienti a Isybank); Acea Energia sanzionata per 2 milioni di euro (contratti senza consenso reale).

A livello europeo nel 2025, la sanzione più significativa è stata quella a TikTok per 530 milioni di euro dal DPC irlandese per il trasferimento di dati di utenti europei in Cina.

Totale cumulativo dal 2018 a gennaio 2026: oltre 7,1 miliardi di euro in sanzioni GDPR in Europa, con 443 data breach notificati al giorno nel 2025 (+22% rispetto al 2024).

Fonti: DLA Piper GDPR Fines and Data Breach Survey, gennaio 2026; Federprivacy, 2025.

GDPR e il Garante Privacy Italiano

Il Garante per la protezione dei dati personali è l'autorità di controllo italiana (Art. 51 GDPR). Ha il potere di:

  • Ricevere e gestire reclami e segnalazioni
  • Condurre indagini e ispezioni (anche su segnalazione)
  • Emettere ammonimenti, ingiunzioni e sanzioni amministrative
  • Adottare provvedimenti d'urgenza (es. blocco del trattamento)

I provvedimenti del Garante sono vincolanti e impugnabili solo davanti al Tribunale ordinario.

Domande Frequenti (FAQ)

Il GDPR si applica anche ai liberi professionisti e alle ditte individuali? Sì. Chiunque tratti dati personali per finalità professionali o commerciali - anche un singolo professionista senza dipendenti - è soggetto al GDPR. La complessità degli adempimenti (come l'obbligo del registro o la nomina del DPO) dipende dalla natura e dal rischio dei trattamenti effettuati.

Qual è la differenza tra Titolare e Responsabile del Trattamento? Il Titolare (Art. 4, n. 7) determina le finalità e i mezzi del trattamento (es. la tua azienda). Il Responsabile (Art. 4, n. 8) tratta i dati per conto del Titolare (es. il provider cloud, il consulente paghe). Il rapporto deve essere disciplinato da un contratto vincolante denominato DPA (Art. 28).

Il consenso informato è sempre necessario per trattare i dati? No. Il consenso (Art. 6.1.a) è solo una delle sei basi giuridiche. Molti trattamenti aziendali comuni si fondano sull'esecuzione di un contratto (Art. 6.1.b), sull'adempimento di obblighi legali (Art. 6.1.c) o sul legittimo interesse (Art. 6.1.f). È però sempre obbligatorio fornire l'informativa.

Cosa deve fare un'azienda in caso di Data Breach? Deve documentare internamente l'accaduto e, se sussiste un rischio per gli interessati, notificare l'evento al Garante Privacy entro 72 ore dalla scoperta (Art. 33). Se il rischio è elevato, deve informare tempestivamente anche le singole persone colpite (Art. 34).

Come si coordina il GDPR con il nuovo AI Act? Le due normative sono complementari. Se un sistema di intelligenza artificiale tratta dati personali, si applicano entrambi i regolamenti. Il Garante Privacy vigila sulla protezione dei dati, mentre l'ACN (Agenzia per la Cybersicurezza Nazionale) vigila sulla conformità tecnica del sistema algoritmico.

Condividi:
Avv. Antonino Ingoglia

Autore

Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.

Profilo completo e competenze
Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica da parte di un professionista abilitato per delineare l'esatto perimetro legislativo e sanzionatorio.

Articoli correlati ed Approfondimenti

AziendeDiritto di Recesso E-commerce: Come Indicarlo nei T&C e Adeguarsi al 202614 min readAziendeTermini e Condizioni per E-commerce: Guida Completa di un Avvocato24 min readAziendeTermini e Condizioni: Guida Completa per Siti Web e E-commerce25 min read
Torna alla raccolta
SUPPORTO

Serve assistenza per il tuo caso?

Prenota un colloquio in videochiamata da tutta Italia. Analizzeremo la situazione assieme e definiremo i passi operativi in totale riservatezza strategica.

Prenota Consulenza