RIPAM 3997

Reg. UE 2016/679v1.0 - 03/04/2026

GDPR — Trattamento Dati

Report completo su principi, basi giuridiche, diritti, DPO, data breach, sanzioni e trabocchetti.

1 Panoramica del GDPR

Il Regolamento UE 2016/679 (General Data Protection Regulation) rappresenta la rivoluzione copernicana del diritto europeo in materia di protezione dei dati personali. Approvato il 27 aprile 2016 ed entrato in applicazione il 25 maggio 2018, ha sostituito la Direttiva 95/46/CE, ponendo fine alla frammentazione normativa tra gli Stati membri. A differenza di una direttiva, il Regolamento è direttamente applicabile in tutti gli ordinamenti dell'Unione senza necessità di atti di recepimento, sebbene l'Italia abbia adottato il D.Lgs. 101/2018 per armonizzare il previgente Codice Privacy (D.Lgs. 196/2003).

Il fondamento giuridico primario risiede nell'Art. 16 TFUE e nell'Art. 8 della Carta dei diritti fondamentali dell'UE, che eleva la protezione dei dati personali a diritto fondamentale dell'individuo. Il Considerando 4 precisa tuttavia che tale diritto non è assoluto, ma va contemperato con il principio di proporzionalità e con altri diritti fondamentali.

Struttura del Regolamento

Il GDPR si compone di 99 articoli organizzati in 11 capi e corredati da 173 Considerando. Questi ultimi, pur non avendo forza di legge diretta, sono indispensabili per l'interpretazione teleologica delle norme e costituiscono frequente oggetto di domande d'esame.

CapoArticoliContenuto
I1-4Disposizioni generali, definizioni
II5-11Principi, basi giuridiche, consenso
III12-23Diritti dell'interessato
IV24-43Titolare, responsabile, DPO, sicurezza
V44-49Trasferimenti internazionali
VI51-59Autorità di controllo indipendenti
VII60-76Cooperazione e coerenza
VIII77-84Mezzi di ricorso e sanzioni
IX85-91Disposizioni specifiche (giornalismo, lavoro)
X92-93Atti delegati e di esecuzione
XI94-99Disposizioni finali

Ambito materiale (Art. 2)

Il GDPR si applica al trattamento interamente o parzialmente automatizzato di dati personali, nonchè al trattamento non automatizzato di dati contenuti o destinati a essere contenuti in un archivio (Art. 4.6). Il principio di neutralità tecnologica (Considerando 15) assicura che la protezione non dipenda dalle tecniche impiegate: il Regolamento si applica sia ai database tradizionali che alla blockchain, al cloud computing e ai sistemi di intelligenza artificiale.

    Esclusioni dall'ambito di applicazione:
  • Attività fuori dall'ambito del diritto UE (sicurezza nazionale)
  • Politica estera e sicurezza comune (PESC)
  • Attività di prevenzione/perseguimento reati (disciplinate dalla Direttiva UE 2016/680)
  • Attività esclusivamente personali o domestiche (Art. 2.2.c)

Ambito territoriale (Art. 3)

Il GDPR supera i confini fisici dell'Unione attraverso due criteri:

  • Criterio dello stabilimento (Art. 3.1): si applica se il titolare ha una sede nell'UE, anche se il trattamento avviene altrove. Non rileva dove siano fisicamente conservati i dati: una società con sede a Milano che utilizza server in Canada resta pienamente soggetta al Regolamento.
  • Criterio dell'offerta/monitoraggio (Art. 3.2): si applica a soggetti non stabiliti nell'UE che offrono beni/servizi a interessati nell'Unione o ne monitorano il comportamento (es. tracciamento tramite cookie per profilazione, Considerando 24). Indicatori dell'offerta: uso della lingua o della valuta di uno Stato membro, possibilità di ordinare beni con consegna nell'UE.

L'effetto extraterritoriale del GDPR è una delle innovazioni più significative: un'azienda cinese o americana che profila utenti europei deve rispettare il Regolamento e, ai sensi dell'Art. 27, designare un rappresentante nell'Unione se non ha uno stabilimento.

2 Definizioni chiave (Art. 4)

L'Art. 4 del GDPR contiene 26 definizioni che costituiscono il vocabolario tecnico della materia. La padronanza di queste definizioni è imprescindibile per rispondere correttamente ai quiz.

N.TermineDefinizioneFocus concorso
1Dato personaleQualsiasi informazione su una persona fisica identificata o identificabileInclude IP, cookie, dati pseudonimizzati. NON include dati anonimi
2TrattamentoQualsiasi operazione su dati personali (raccolta, registrazione, conservazione, consultazione, distruzione)Definizione amplissima: anche la semplice consultazione è trattamento
5PseudonimizzazioneTrattamento che impedisce l'attribuzione senza informazioni aggiuntive separateI dati pseudonimizzati SONO ancora dati personali
7Titolare (Controller)Soggetto che determina finalità e mezzi del trattamentoÈ il decisore ultimo e responsabile principale
8Responsabile (Processor)Soggetto che tratta dati per conto del titolareSe decide autonomamente le finalità, diventa titolare
11ConsensoManifestazione di volontà libera, specifica, informata e inequivocabileSilenzio e caselle pre-spuntate NON sono mai consenso
12Data BreachViolazione di sicurezza con perdita, modifica o accesso non autorizzatoInclude la distruzione accidentale, non solo gli attacchi hacker
4ProfilazioneTrattamento automatizzato per valutare aspetti personaliLegata alle decisioni automatizzate (Art. 22)

Pseudonimizzazione vs Anonimizzazione

Questa distinzione è tra i trabocchetti più frequenti nei concorsi RIPAM:

  • Pseudonimizzazione (Art. 4.5): i dati possono essere ancora attribuiti a una persona tramite informazioni aggiuntive conservate separatamente. Restano dati personali e sono pienamente soggetti al GDPR. È una misura di sicurezza raccomandata dall'Art. 32.
  • Anonimizzazione (Considerando 26): il processo è irreversibile. I dati anonimi sono fuori dall'ambito di applicazione del GDPR.

> GUARDRAIL: "I dati pseudonimizzati non sono dati personali" è FALSO. Trattarli come anonimi espone la PA a sanzioni del 4% del fatturato e a responsabilità penali.

3 I 7 Principi fondamentali (Art. 5)

L'Art. 5 costituisce la "Costituzione" della privacy. La violazione dei principi comporta le sanzioni massime (fino a 20 milioni di euro o 4% del fatturato). Un errore concorsuale frequente è elencare solo 6 principi, dimenticando l'accountability.

N.PrincipioArt.Definizione operativaViolazione tipica
1Liceità, correttezza e trasparenza5(1)(a)Base giuridica valida, informativa chiaraCookie di profilazione senza consenso
2Limitazione della finalità5(1)(b)Dati raccolti per scopi determinati, espliciti e legittimiUsare dati fiscali per marketing
3Minimizzazione dei dati5(1)(c)Dati adeguati, pertinenti e limitati al necessarioApp torcia che chiede accesso ai contatti
4Esattezza5(1)(d)Obbligo di aggiornamento e rettifica tempestivaSegnalazione erronea come cattivo pagatore
5Limitazione della conservazione5(1)(e)Conservazione per il tempo minimo necessarioDati di ex clienti conservati sine die
6Integrità e riservatezza5(1)(f)Sicurezza tecnica e organizzativaPassword salvate in chiaro
7Responsabilizzazione (Accountability)5(2)Il titolare deve comprovare la conformitàAssenza del registro dei trattamenti

L'Accountability come pilastro per la PA

Il principio di accountability (Art. 5.2) è la vera rivoluzione del GDPR: il titolare non deve solo rispettare le norme, ma deve essere in grado di dimostrare proattivamente tale conformità. L'onere della prova è ribaltato: in caso di ispezione del Garante, è la PA a dover documentare le misure adottate (registro dei trattamenti ex Art. 30, DPIA, nomine DPO).

La sentenza CGUE C-807/21 (Deutsche Wohnen) ha confermato che la responsabilità dell'ente è diretta: una PA può essere sanzionata anche senza individuare la specifica persona fisica colpevole della violazione.

Operativamente, l'accountability si traduce nella Privacy by Design e by Default (Art. 25): ogni nuovo software, procedura o sistema deve integrare la protezione dei dati sin dalla fase di progettazione.

4 Basi giuridiche del trattamento (Art. 6)

Un trattamento senza base giuridica è illecito ab origine. Il GDPR ne prevede sei, ma per la PA la scelta è rigorosamente limitata.

Base giuridicaLetteraDefinizioneUsata daAttenzione quiz
ConsensoaVolontà libera, specifica, informata, inequivocabilePA e privati (con cautela per PA)Minori Italia: 14 anni, non 16
Esecuzione contrattobNecessario per il contratto o misure precontrattualiPA e privatiPortabilità si applica qui
Obbligo legalecImposto da una norma UE o nazionalePA e privatiBase tipica per la PA
Interessi vitalidSalvaguardia della vitaPA e privatiSolo se impossibile altra base
Interesse pubblicoeCompiti istituzionali o pubblici poteriPrevalentemente PASemplificato dal D.L. 139/2021
Legittimo interessefBilanciamento interessi titolare/interessatoSolo privatiVIETATO alla PA per compiti istituzionali

PA e divieto di interesse legittimo

L'Art. 6(1), ultimo comma, stabilisce esplicitamente che il legittimo interesse NON si applica al trattamento effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti. Le PA devono basarsi esclusivamente su obbligo legale (Art. 6.1.c) o interesse pubblico (Art. 6.1.e). L'Art. 2-ter del Codice Privacy specifica ulteriormente questo principio, come semplificato dal D.L. 139/2021 (Decreto Capienze): le PA possono trattare dati per compiti istituzionali anche senza una norma specifica per ogni singola operazione, purchè nel rispetto dei principi del GDPR.

Consenso (Art. 7) e minori (Art. 8)

Il consenso deve essere un "atto positivo inequivocabile" (Considerando 32). I 4 requisiti di validità sono: (1) libero — non può essere condizionato alla fornitura di un servizio non correlato; (2) specifico — consensi separati per finalità diverse; (3) informato — l'interessato deve conoscere l'identità del titolare e le finalità; (4) revocabile — deve essere possibile revocare con la stessa facilità con cui è stato accordato (Art. 7.3).

Il Considerando 43 mette in guardia: se esiste un evidente squilibrio di potere (come tra PA e cittadino), il consenso potrebbe non essere considerato "libero". Per questo, la PA che chiede il consenso per un servizio rientrante nei compiti istituzionali opera in una zona di rischio legale.

Il provvedimento del Garante dell'11 gennaio 2024 ha ribadito che il "Cookie Wall" — impedire l'accesso a un sito se non si accettano i cookie — non è una modalità valida per ottenere il consenso, poichè nega la libertà di scelta dell'interessato.

Consenso dei minori in Italia: il GDPR fissa a 16 anni l'età per il consenso digitale (servizi della società dell'informazione), ma consente agli Stati di scendere fino a 13 anni. L'Art. 2-quinquies del Codice Privacy ha fissato la soglia italiana a 14 anni. Sotto i 14 anni, il trattamento è lecito solo se il consenso è prestato o autorizzato dai genitori o dall'esercente la responsabilità genitoriale.

> GUARDRAIL: nei quiz RIPAM sul contesto italiano, la risposta corretta è sempre 14 anni, mai 16.

5 Diritti dell'interessato (Artt. 12-22)

L'Art. 12 è la norma procedurale che disciplina le modalità di esercizio di tutti i diritti. Il titolare deve rispondere entro 1 mese, prorogabile di 2 mesi per complessità (totale massimo 3 mesi). L'esercizio è gratuito, salvo richieste manifestamente infondate o eccessive.

DirittoArt.TermineCondizioniEccezioni
Informazione (raccolta diretta)13Al momento della raccoltaFornitura obbligatoria info su titolare, finalità, base giuridicaInteressato già informato
Informazione (raccolta indiretta)14Entro 1 meseDeve indicare fonte e categorie datiSforzo sproporzionato
Accesso151 mese (+2 proroga)Copia gratuita dei datiNon deve ledere diritti altrui
Rettifica16Senza ingiustificato ritardoDati inesatti o incompleti--
Cancellazione (Oblio)17Senza ingiustificato ritardoDati non necessari, revoca consenso, trattamento illecito5 eccezioni (Art. 17.3)
Limitazione181 mese4 casi tassativi (contestazione, illiceità, uso giudiziario, opposizione)Conservazione ammessa
Portabilità201 meseSolo consenso/contratto + trattamento automatizzatoNON si applica a PA per compiti pubblici
Opposizione21Senza ritardoMarketing diretto (incondizionato) o motivi particolariMotivi legittimi prevalenti
Decisioni automatizzate221 meseDiritto a non subire decisioni basate unicamente su macchineContratto, consenso esplicito, legge
Specificità italiane:
  • Art. 2-undecies: i diritti possono essere limitati per motivi di sicurezza nazionale, antiriciclaggio, difesa
  • Art. 2-terdecies: i diritti possono essere esercitati dagli eredi del defunto (aggiunta italiana, assente nel GDPR)
  • Categorie particolari di dati (Artt. 9-10)

    Il trattamento di dati "sensibili" (origine etnica, opinioni politiche, dati sanitari, biometrici, genetici) è generalmente vietato dall'Art. 9, salvo eccezioni tassative. Per la PA, l'Art. 2-sexies del Codice Privacy elenca 21 aree di "interesse pubblico rilevante" (sanità, istruzione, previdenza, assistenza sociale) dove il trattamento è consentito. I dati giudiziari (Art. 10) sono trattabili solo sotto il controllo dell'autorità pubblica o se autorizzati da legge o provvedimento del Garante (Art. 2-octies). Il trattamento su larga scala di queste categorie impone la DPIA ex Art. 35.

    Trabocchetti sui diritti

    • Diritto all'oblio NON assoluto: l'Art. 17(3) prevede 5 eccezioni — libertà di espressione, obbligo legale, sanità pubblica, ricerca/archiviazione, difesa in giudizio. Se la legge impone la conservazione, il diritto all'oblio recede.
    • Portabilità NON per la PA: si applica solo se la base è consenso o contratto E il trattamento è automatizzato. I dati fiscali, sanitari o anagrafici trattati dalla PA per obbligo legale/interesse pubblico sono esclusi.
    • Accesso include destinatari specifici: la sentenza CGUE C-200/23 ha stabilito che l'interessato ha diritto di conoscere i destinatari specifici, non solo le categorie generiche.

    6 Titolare, Responsabile, DPO

    Titolare vs Responsabile

    La distinzione si basa sull'esercizio effettivo del potere decisionale, non sulla designazione formale:

    CaratteristicaTitolare (Controller) Art. 4(7)Responsabile (Processor) Art. 4(8)
    Chi èDetermina finalità e mezziTratta dati per conto del titolare
    Potere decisionalePieno e autonomoVincolato a istruzioni documentate
    Sub-responsabiliNon applicabileSolo con autorizzazione (Art. 28.2)
    ResponsabilitàPrimaria e direttaSolo se viola istruzioni o obblighi propri
    RapportoEmana istruzioni documentateDeve informare se un'istruzione è illecita
    Il rapporto Titolare-Responsabile deve essere regolato da un contratto o atto giuridico scritto (Art. 28), con clausole obbligatorie su assistenza, notifica breach, restituzione/cancellazione dati. La contitolarità (Art. 26) richiede un accordo interno che ripartisca le responsabilità.

    Privacy by Design e by Default (Art. 25)

    • By Design: integrare le garanzie nel trattamento sin dalla fase di progettazione
    • By Default: trattare solo i dati necessari per la specifica finalità (minimizzazione)

    DPO: quando è obbligatorio (Art. 37)

    Tipo organizzazioneDPO obbligatorio?Motivazione
    PA (ogni autorità/organismo pubblico)Sempre SI'Art. 37(1)(a) — indipendentemente dalla dimensione
    Ospedali e strutture sanitarieSI'Trattamento su larga scala di dati sanitari
    Banche e istituti di creditoSI'Monitoraggio sistematico su larga scala
    Scuole e UniversitàSI'Organismi pubblici
    PMIFacoltativo (salvo eccezioni)Obbligatorio solo se monitoraggio/dati sensibili su larga scala
    Garanzie del DPO (Art. 38):
  • Indipendenza: non può ricevere istruzioni sull'esecuzione dei compiti
  • Protezione: non può essere rimosso o penalizzato per l'esercizio delle funzioni
  • Riferisce direttamente al vertice gerarchico
  • Può essere interno o esterno (Art. 37.6)
  • Dati di contatto pubblicati e comunicati al Garante (Art. 37.7)
  • > GUARDRAIL: Il DPO è obbligatorio per TUTTE le PA, incluso un piccolo Comune con 5 dipendenti. La soglia dei 250 dipendenti riguarda il registro dei trattamenti (Art. 30.5), non il DPO.

    7 Data Breach e DPIA

    Procedura di notifica del Data Breach

    FaseChi agisceDestinatarioTermineCondizione
    Segnalazione internaResponsabile (Processor)TitolareSenza ingiustificato ritardoSempre (nessun termine di 72h)
    Notifica al GaranteTitolareGaranteEntro 72 oreA meno che sia improbabile un rischio
    Comunicazione all'interessatoTitolareInteressatoSenza ingiustificato ritardoSolo se rischio ELEVATO
    Registro violazioniTitolareDocumentazione internaPermanenteSempre, per ogni violazione
    DPIATitolare (con DPO)Documentazione internaPrima del trattamentoTrattamenti a rischio elevato
    Consultazione preventivaTitolareGarantePrima del trattamentoSe DPIA indica rischio residuo elevato
    Parere GaranteGaranteTitolare8 settimane (prorogabili di 6)Su consultazione preventiva
    > GUARDRAIL CRITICO: le 72 ore riguardano SOLO la notifica al Garante, NON all'interessato. La comunicazione all'interessato non ha un termine in ore ma deve avvenire "senza ingiustificato ritardo" e solo se il rischio è elevato.

    Eccezioni alla comunicazione all'interessato (Art. 34.3): non è dovuta se (a) i dati erano cifrati e la chiave non è stata compromessa, (b) sono state adottate misure che annullano il rischio, (c) lo sforzo sarebbe sproporzionato (si procede con comunicazione pubblica).

    La notifica al Garante deve includere: natura della violazione, categorie e numero di interessati, contatti DPO, probabili conseguenze, misure adottate o proposte.

    DPIA — Valutazione d'Impatto (Art. 35)

      La DPIA è obbligatoria in tre casi:
    • Profilazione sistematica con effetti giuridici significativi
    • Trattamento su larga scala di dati particolari (Art. 9) o giudiziari (Art. 10)
    • Sorveglianza sistematica su larga scala di zone pubbliche

    L'AI Act (Reg. UE 2024/1689) rafforza l'obbligo: i sistemi AI ad alto rischio nella PA richiedono quasi sempre una DPIA. L'Art. 86 dell'AI Act contiene una clausola di non-deroga: il GDPR si applica integralmente a ogni dato trattato da sistemi AI.

    La giurisprudenza CGUE (C-340/21 Natsionalna) ha chiarito che un data breach non implica automaticamente che le misure di sicurezza fossero inadeguate; spetta al titolare provare l'adeguatezza. Tuttavia, il mero timore di un futuro abuso dei dati può costituire danno non patrimoniale risarcibile.

    8 Trasferimenti internazionali (Artt. 44-49)

    Il Capo V del GDPR disciplina il trasferimento di dati verso paesi terzi secondo il principio di continuità della protezione: il livello di tutela non deve essere compromesso quando i dati lasciano l'UE. L'Art. 44 funge da norma di chiusura, applicandosi anche ai trasferimenti successivi (onward transfers).

    Gerarchia degli strumenti

    1. Decisione di adeguatezza (Art. 45): la Commissione riconosce che l'ordinamento del paese terzo offre garanzie sostanzialmente equivalenti a quelle dell'Unione. La valutazione non riguarda solo la legge sulla privacy, ma l'intero contesto giuridico: stato di diritto, rispetto dei diritti umani, accesso alla giustizia, esistenza di autorità di controllo indipendenti e adesione a sistemi multilaterali (Considerando 104-105). Riesame obbligatorio almeno ogni 4 anni. Se le condizioni non persistono, la Commissione deve revocare la decisione senza periodo di grazia automatico (Considerando 107).

      2. Garanzie adeguate (Art. 46-47):
    • SCCs (Clausole Contrattuali Tipo): modelli standard approvati dalla Commissione, non modificabili nelle parti essenziali ma integrabili. Massima diffusione per scambi commerciali con terze parti.
    • BCRs (Norme Vincolanti d'Impresa, Art. 47): per flussi intra-gruppo di multinazionali, vincolanti per ogni entità del gruppo. Approvazione coordinata dall'Autorità Capofila con parere EDPB.
    • Codici di condotta (Art. 40) e certificazioni (Art. 42): strumenti di autoregolamentazione che attestano la conformità.
    • Accordi amministrativi per il settore pubblico: garanzie in accordi non vincolanti, con autorizzazione del Garante.

    3. Deroghe (Art. 49): extrema ratio, interpretazione restrittiva (Considerando 111), solo per trasferimenti occasionali e non sistematici — consenso esplicito informato sui rischi, necessità contrattuale, interesse pubblico rilevante riconosciuto per legge, difesa in giudizio, interessi vitali, registri pubblici. Per flussi sistematici (es. backup giornaliero su cloud USA), il ricorso all'Art. 49 è illegittimo.

    Cronologia EU-USA: da Safe Harbor al DPF

    DataEventoImpatto
    06/10/2015Schrems I (C-362/14)Invalidazione Safe Harbor
    12/07/2016Privacy ShieldNuova decisione di adeguatezza USA
    16/07/2020Schrems II (C-311/18)Invalidazione Privacy Shield
    10/07/2023Data Privacy Framework (DPF)Nuova decisione di adeguatezza USA
    Ottobre 2024Prima revisione annualeConfermata adeguatezza con riserve su DPRC
    Il DPF si basa sull'autocertificazione delle aziende USA presso il Dipartimento del Commercio e sull'istituzione del Data Protection Review Court (DPRC), tribunale indipendente per i reclami dei cittadini UE.

    > GUARDRAIL: lo Schrems II ha invalidato il Privacy Shield, NON il concetto di decisione di adeguatezza. Il DPF è valido dal 2023 e i trasferimenti verso aziende USA certificate sono leciti senza ulteriori garanzie.

    9 Sanzioni

    Il sistema sanzionatorio opera su un doppio binario: amministrativo (livello UE) e penale (livello nazionale italiano).

    Sanzioni amministrative (Art. 83)

    FasciaImporto max% FatturatoViolazioniEsempi
    Inferiore (Art. 83.4)10.000.000 EUR2% fatturato mondiale annuoObblighi titolare/responsabile (Artt. 8, 11, 25-39, 42-43)Mancata nomina DPO, omessa DPIA, assenza registro, violazione Privacy by Design
    Superiore (Art. 83.5)20.000.000 EUR4% fatturato mondiale annuoPrincipi (Art. 5), basi giuridiche (Artt. 6-9), diritti (Artt. 12-22), trasferimenti (Artt. 44-49)Trattamento senza base giuridica, violazione oblio, trasferimento illecito USA
    Inosservanza ordini (Art. 83.6)20.000.000 EUR4% fatturato mondiale annuoInosservanza di ordini o limitazioni del GaranteIgnorare un provvedimento di blocco trattamento
    Regola fondamentale: si applica sempre il maggiore tra importo fisso e percentuale, NON il minore. Invertire le soglie (associare 20M a violazioni procedurali) è un errore tipico nei quiz.

    Sanzioni penali italiane (ancora vigenti)

    FattispecieArticoloReclusione
    Trattamento illecito (per profitto o danno)Art. 1671-3 anni
    Comunicazione/diffusione illecita su larga scalaArt. 167-bis1-6 anni
    Acquisizione fraudolenta di dati su larga scalaArt. 167-ter1-4 anni
    > GUARDRAIL: i quiz possono chiedere se le sanzioni penali sono state abolite dal GDPR. La risposta è FALSO: in Italia coesistono sanzioni amministrative europee e sanzioni penali nazionali. Il D.Lgs. 101/2018 le ha mantenute in vigore.

    I criteri di determinazione della sanzione sono 11 (Art. 83.2): (1) natura, gravità e durata della violazione; (2) carattere doloso o colposo; (3) misure per attenuare il danno; (4) grado di responsabilità (misure tecniche e organizzative ex Artt. 25 e 32); (5) precedenti violazioni; (6) grado di cooperazione con il Garante; (7) categorie di dati coinvolte; (8) modo in cui l'autorità ha conosciuto la violazione; (9) rispetto di precedenti provvedimenti; (10) adesione a codici di condotta o certificazioni; (11) eventuali benefici finanziari conseguiti. La sentenza Deutsche Wohnen (C-807/21) ha confermato che la responsabilità amministrativa dell'ente è diretta: non è necessario identificare la persona fisica colpevole.

    Responsabilità civile (Art. 82)

    L'Art. 82 tutela l'interessato attraverso il risarcimento del danno materiale e immateriale. La CGUE (C-340/21) ha chiarito che il semplice timore di un abuso futuro dei dati può costituire danno non patrimoniale risarcibile. La responsabilità è solidale: se più titolari o responsabili sono coinvolti, l'interessato può chiedere l'intero importo a ciascuno di essi. L'onere della prova è a carico del titolare: l'esonero è possibile solo dimostrando che l'evento dannoso "non gli è in alcun modo imputabile" (Art. 82.3).

    10 GDPR vs Codice Privacy: cosa resta italiano

    Il D.Lgs. 196/2003 sopravvive laddove il GDPR lascia margini di manovra agli Stati membri. Il D.Lgs. 101/2018 lo ha profondamente armonizzato.

    MateriaDisciplina GDPRDisciplina D.Lgs. 196/2003Differenza chiave
    Consenso minoriEtà predefinita: 16 anni (Art. 8.1)Abbassata a 14 anni (Art. 2-quinquies)Deroga nazionale (limite UE: 13 anni)
    PA e base giuridicaInteresse pubblico/obbligo legale; divieto legittimo interesse (Art. 6)Art. 2-ter: base esclusiva obbligo legale o interesse pubblico; semplificazione D.L. 139/2021Italia specifica ulteriormente il divieto
    Sanzioni penaliSolo sanzioni amministrative (Art. 83)Artt. 167, 167-bis, 167-ter: reclusione 1-6 anniCoesistenza doppio binario
    Diritti dei defuntiEsclusi (Considerando 27)Art. 2-terdecies: eredi possono esercitare i dirittiAggiunta italiana, assente nel GDPR
    Dati particolari PAArt. 9: divieto con eccezioniArt. 2-sexies: 21 aree di interesse pubblico rilevanteItalia elenca aree specifiche
    Dati giudiziariArt. 10: sotto controllo autorità pubblicaArt. 2-octies: solo con legge o provvedimento GaranteItalia specifica condizioni
    Limiti ai dirittiPrevisti per legge (Art. 23)Art. 2-undecies: sicurezza nazionale, antiriciclaggio, difesaItalia esplicita i casi
    Rapporto di lavoroArt. 88: norme più specifiche ammesseMetadati email: max 21 giorni (Provv. Garante 2024)Statuto Lavoratori in combinato disposto
    GaranteArt. 51: autorità indipendenteArtt. 153 ss.: il Garante è Autorità indipendentePieno allineamento
    Conservazione trafficoNon disciplinata specificamenteArt. 132: 24 mesi telefono, 12 mesi internet, 30 gg chiamate senza rispostaSpecificità italiana
    ---

    11 Numeri chiave

    Termine / SogliaValoreRiferimento
    Struttura GDPR99 articoli, 173 Considerando, 11 capiReg. UE 2016/679
    Notifica breach al Garante72 oreArt. 33(1) GDPR
    Risposta richieste interessato1 mese (prorogabile di 2, totale 3)Art. 12(3) GDPR
    Età consenso GDPR (default)16 anniArt. 8(1) GDPR
    Età consenso Italia14 anniArt. 2-quinquies D.Lgs. 196/2003
    Età minima UE13 anniArt. 8(1) GDPR
    Sanzione inferiore10M EUR / 2%Art. 83(4) GDPR
    Sanzione superiore20M EUR / 4%Art. 83(5) GDPR
    Reclusione trattamento illecito1-3 anniArt. 167 D.Lgs. 196/2003
    Reclusione comunicazione illecita1-6 anniArt. 167-bis D.Lgs. 196/2003
    Reclusione acquisizione fraudolenta1-4 anniArt. 167-ter D.Lgs. 196/2003
    Traffico telefonico24 mesiArt. 132 D.Lgs. 196/2003
    Traffico telematico12 mesiArt. 132 D.Lgs. 196/2003
    Chiamate senza risposta30 giorniArt. 132 D.Lgs. 196/2003
    Reati gravi (estensione)72 mesiArt. 132, L. 167/2017
    Metadati email lavoro21 giorniProvv. Garante 21/03/2024
    Principi Art. 57 (non 6: includere accountability)Art. 5 GDPR
    Basi giuridiche Art. 66Art. 6 GDPR
    Eccezioni diritto oblio5Art. 17(3) GDPR
    Casi DPO obbligatorio3 (PA, monitoraggio larga scala, dati sensibili larga scala)Art. 37(1) GDPR
    Criteri determinazione sanzione11Art. 83(2) GDPR
    Riesame adeguatezzaOgni 4 anniArt. 45(3) GDPR
    Parere Garante su consultazione8 settimane (+6 proroga)Art. 36 GDPR
    DPF USA adeguatezza10 luglio 2023C(2023) 4745
    Schrems II (invalidazione PS)16 luglio 2020CGUE C-311/18
    AI Act in vigore1 agosto 2024Reg. UE 2024/1689
    AI Act sistemi alto rischio2 agosto 2026Reg. UE 2024/1689
    Registro trattamenti (soglia ordinaria)250 dipendentiArt. 30(5) GDPR
    ---

    12 I 20 Trabocchetti GDPR più frequenti nei quiz RIPAM

    N.Trabocchetto (errore comune)Risposta sbagliataRisposta correttaArt.
    1Pseudonimizzazione = dati anonimiI dati pseudonimizzati non sono dati personaliSono ancora dati personali perchè ricollegabili tramite info aggiuntiveArt. 4(5)
    2PA può usare il legittimo interesseLa PA può trattare dati per legittimo interesseVietato: la PA usa solo obbligo legale o interesse pubblicoArt. 6(1)(f)
    3Consenso minori a 16 anni in ItaliaL'età per il consenso digitale è 16 anniIn Italia è 14 anni (deroga Art. 2-quinquies)Art. 2-quinquies
    472 ore per avvisare l'interessatoIl data breach va comunicato all'interessato entro 72hLe 72h sono solo per il Garante; all'interessato "senza ingiustificato ritardo"Art. 33/34
    5Sanzioni penali abolite dal GDPRIl GDPR ha sostituito le sanzioni penaliIn Italia coesistono sanzioni amministrative e penali (Artt. 167-167ter)Artt. 167 ss.
    6Privacy Shield ancora valido per USAI trasferimenti USA si basano sul Privacy ShieldInvalidato da Schrems II (2020); dal 2023 vale il Data Privacy FrameworkC(2023) 4745
    7Diritto all'oblio è assolutoL'interessato può sempre ottenere la cancellazioneEsistono 5 eccezioni (obbligo legale, libertà espressione, sanità, ricerca, giudizio)Art. 17(3)
    8Portabilità per dati PAIl cittadino può chiedere portabilità dei dati fiscaliNON si applica ai trattamenti per obbligo legale o interesse pubblicoArt. 20(3)
    9DPO obbligatorio solo per grandi entiIl DPO serve solo con 250+ dipendentiObbligatorio per tutte le PA, anche un piccolo ComuneArt. 37(1)(a)
    10Responsabile notifica al GaranteIl Processor avvisa il Garante del breachIl Processor avvisa il Titolare senza ritardo; il Titolare notifica al GaranteArt. 33(2)
    11Consenso = silenzio o inattivitàL'inattività dell'utente vale come consensoDeve essere un atto positivo inequivocabile; caselle pre-spuntate non valgonoCons. 32
    12Sanzione 4% per mancato DPOMancata nomina DPO = sanzione 4%È nella soglia inferiore (10M/2%), non superioreArt. 83(4)
    13Dati anonimi soggetti al GDPRI dati anonimizzati rientrano nel GDPRI dati anonimi sono fuori dall'ambito del RegolamentoCons. 26
    14Principi Art. 5 sono 6I principi del trattamento sono 6Sono 7: l'accountability (Art. 5.2) è il settimoArt. 5
    15AI Act sostituisce il GDPRCon l'AI Act non serve il GDPR per sistemi AIL'AI Act non pregiudica il GDPR (Art. 86 AI Act); si applicano entrambiArt. 86 AI Act
    16Data breach = misure inadeguateOgni violazione prova l'inadeguatezza della sicurezzaIl titolare può provare l'adeguatezza delle misure nonostante il breachCGUE C-340/21
    17DPO può essere rimosso per parereIl DPO scomodo può essere licenziatoGode di tutela contro rimozione/penalizzazione per l'esercizio dei compitiArt. 38(3)
    18Accesso = solo categorie destinatariL'Art. 15 dà accesso alle categorie di destinatariInclude il diritto di conoscere i destinatari specifici (sentenza CGUE)CGUE C-200/23
    19Diritti defunti esclusi in ItaliaIl GDPR non si applica ai defunti, quindi nemmeno in ItaliaL'Art. 2-terdecies dà agli eredi il diritto di esercitare i diritti del defuntoArt. 2-terdecies
    20Cookie wall è consenso validoCondizionare l'accesso al sito ai cookie è legittimoIl Garante (2024) ha stabilito che non è consenso liberoProvv. 11/01/2024