Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-03-206 min read

Cos'è il GDPR? Guida Completa al Regolamento Europeo sulla Privacy

Il GDPR (Regolamento UE 2016/679) è la normativa europea sulla protezione dei dati personali. Spieghiamo in modo chiaro principi, diritti, obblighi e sanzioni.

Il GDPR (General Data Protection Regulation) è il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. È la normativa di riferimento in Europa — e in Italia — per la tutela della privacy e dei dati personali.

Entrato in vigore il 24 maggio 2016, è applicabile dal 25 maggio 2018 in tutti gli Stati membri senza necessità di recepimento. In Italia è stato integrato dal D.Lgs. 196/2003 (Codice Privacy), aggiornato dal D.Lgs. 101/2018. L'autorità di controllo italiana è il Garante per la protezione dei dati personali.

I 7 Principi Fondamentali del GDPR (Art. 5)

Ogni trattamento di dati personali deve rispettare questi sette principi:

  1. Liceità, correttezza e trasparenza — I dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato.
  2. Limitazione della finalità — I dati devono essere raccolti per finalità determinate, esplicite e legittime.
  3. Minimizzazione dei dati — Devono essere trattati solo i dati adeguati, pertinenti e limitati a quanto necessario.
  4. Esattezza — I dati devono essere esatti e, se necessario, aggiornati.
  5. Limitazione della conservazione — I dati non possono essere conservati più a lungo del necessario.
  6. Integrità e riservatezza — Devono essere garantite sicurezza, integrità e riservatezza mediante misure tecniche e organizzative adeguate.
  7. Responsabilizzazione (accountability) (Art. 5, par. 2) — Il titolare del trattamento deve essere in grado di dimostrare il rispetto di tutti i principi.

Le 6 Basi Giuridiche per Trattare i Dati (Art. 6)

Il GDPR prevede sei basi giuridiche che legittimano il trattamento:

  1. Consenso dell'interessato (specifico, informato, libero e revocabile)
  2. Esecuzione di un contratto o misure precontrattuali
  3. Obbligo legale del titolare
  4. Salvaguardia di interessi vitali dell'interessato o di altra persona
  5. Interesse pubblico o esercizio di pubblici poteri
  6. Legittimo interesse del titolare o di terzi (previo bilanciamento con i diritti dell'interessato)

Attenzione: il consenso non è l'unica base giuridica. Per molti trattamenti aziendali (es. gestione clienti, fatturazione) la base corretta è l'esecuzione del contratto o l'obbligo legale.

I Diritti degli Interessati (Art. 12-22)

Il GDPR riconosce una serie di diritti esercitabili da qualsiasi persona i cui dati vengono trattati:

  • Diritto di accesso (Art. 15) — Sapere se e quali dati sono trattati, con quale finalità e per quanto tempo.
  • Diritto di rettifica (Art. 16) — Ottenere la correzione di dati inesatti.
  • Diritto alla cancellazione / diritto all'oblio (Art. 17) — Ottenere la cancellazione dei dati quando non sono più necessari o il consenso è revocato.
  • Diritto di limitazione (Art. 18) — Ottenere la limitazione del trattamento in casi specifici.
  • Diritto alla portabilità (Art. 20) — Ricevere i propri dati in formato strutturato e trasferirli a un altro titolare.
  • Diritto di opposizione (Art. 21) — Opporsi al trattamento basato su legittimo interesse o interesse pubblico.
  • Diritto a non essere sottoposto a decisioni automatizzate (Art. 22) — Inclusa la profilazione con effetti giuridici significativi.

Il titolare deve rispondere entro 30 giorni dalla richiesta (Art. 12, par. 3), prorogabili di ulteriori 60 giorni in casi di particolare complessità.

Chi Deve Rispettare il GDPR?

Il GDPR si applica a:

  • Tutte le organizzazioni (aziende, professionisti, enti pubblici, associazioni) che trattano dati personali di persone fisiche nell'UE.
  • Organizzazioni extra-UE che offrono beni/servizi a interessati nell'UE o ne monitorano il comportamento (Art. 3, par. 2).

Non esiste un'esenzione per dimensione: anche una microimpresa o un libero professionista devono rispettare il GDPR se trattano dati personali.

Obblighi Principali per le Aziende

| Obbligo | Riferimento | Descrizione | |---------|-------------|-------------| | Informativa privacy | Art. 13-14 | Fornire informazioni chiare su finalità, base giuridica, diritti, tempi di conservazione | | Registro dei trattamenti | Art. 30 | Documentare tutti i trattamenti effettuati (obbligatorio per aziende con 250+ dipendenti o trattamenti a rischio) | | Privacy by design e by default | Art. 25 | Integrare la protezione dati fin dalla progettazione di prodotti e servizi | | Data Processing Agreement | Art. 28 | Contratto obbligatorio con ogni fornitore che tratta dati per conto dell'azienda | | Notifica data breach | Art. 33-34 | Comunicare violazioni al Garante entro 72 ore e, se del caso, agli interessati | | DPIA | Art. 35 | Valutazione d'impatto obbligatoria per trattamenti ad alto rischio | | Nomina DPO | Art. 37-39 | Designazione del Responsabile della Protezione Dati nei casi previsti |

Le Sanzioni GDPR (Art. 83)

Il GDPR prevede due fasce sanzionatorie:

Fascia superiore (Art. 83, par. 5) — per violazioni dei principi di base, dei diritti degli interessati e dei trasferimenti internazionali:

  • Fino a 20 milioni di euro o il 4% del fatturato mondiale annuo (se superiore)

Fascia inferiore (Art. 83, par. 4) — per violazioni degli obblighi organizzativi (registro trattamenti, DPO, data breach, DPIA):

  • Fino a 10 milioni di euro o il 2% del fatturato mondiale annuo (se superiore)

Sanzioni recenti in Italia

Il Garante per la protezione dei dati personali è particolarmente attivo:

  • 2024: 835 provvedimenti collegiali, 468 correttivi/sanzionatori, 24 milioni di euro di sanzioni totali, oltre 4.000 reclami gestiti.
  • 2025: OpenAI sanzionata per 15 milioni di euro (trasparenza e verifica età); Replika sanzionata per 5 milioni di euro (dati di minori).
  • 2026: Intesa Sanpaolo sanzionata per 17,6 milioni di euro (trasferimento non autorizzato di 2,4 milioni di clienti a Isybank); Acea Energia sanzionata per 2 milioni di euro (contratti senza consenso reale).

Dal 2018 ad oggi, le sanzioni GDPR in Europa hanno superato complessivamente i 6 miliardi di euro.

GDPR e il Garante Privacy Italiano

Il Garante per la protezione dei dati personali è l'autorità di controllo italiana (Art. 51 GDPR). Ha il potere di:

  • Ricevere e gestire reclami e segnalazioni
  • Condurre indagini e ispezioni (anche su segnalazione)
  • Emettere ammonimenti, ingiunzioni e sanzioni amministrative
  • Adottare provvedimenti d'urgenza (es. blocco del trattamento)

I provvedimenti del Garante sono vincolanti e impugnabili solo davanti al Tribunale ordinario.

Domande Frequenti

Il GDPR si applica anche ai liberi professionisti? Sì. Chiunque tratti dati personali — anche un singolo professionista — è soggetto al GDPR. L'entità degli obblighi è proporzionata alla natura e alla portata dei trattamenti.

Qual è la differenza tra titolare e responsabile del trattamento? Il titolare (Art. 4, n. 7) è chi determina le finalità e i mezzi del trattamento. Il responsabile (Art. 4, n. 8) è chi tratta i dati per conto del titolare (es. un fornitore cloud, un commercialista). Il rapporto deve essere regolato da un contratto (Art. 28).

Il consenso è sempre necessario? No. Il consenso è una delle sei basi giuridiche. Per molti trattamenti (esecuzione contratto, obblighi legali, legittimo interesse) non serve il consenso ma è comunque obbligatorio informare l'interessato.

Cosa fare in caso di data breach? Notificare il Garante entro 72 ore dalla scoperta (Art. 33). Se la violazione comporta un rischio elevato per gli interessati, anche questi devono essere informati senza ingiustificato ritardo (Art. 34).

Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica.
Torna agli articoli

Serve assistenza per il tuo caso?

Prenota un assessment online in videochiamata da tutta Italia. Analizzeremo la situazione e definiremo i passi operativi in totale sicurezza.