Ogni giorno lasciamo tracce digitali: un click su un sito, l’iscrizione a una newsletter, una foto condivisa. Capire come vengono protetti questi dati non è solo una questione tecnica, ma un diritto concreto. In Italia, la normativa sulla privacy digitale si basa su un intreccio tra il Regolamento UE 2016/679 (GDPR) e il Codice privacy nazionale, con un protagonista chiave: il Garante per la protezione dei dati personali, che vigila sulle violazioni e aggiorna le regole per il consenso ai cookie.

4 articoli correlati

Normativa principale: Decreto Legislativo 30 giugno 2003, n. 196 (Codice privacy) ·
Regolamento UE: GDPR – Regolamento (UE) 2016/679, applicabile dal 25 maggio 2018 ·
Autorità di controllo italiana: Garante per la protezione dei dati personali ·
Sanzione massima GDPR: 20 milioni di euro o il 4% del fatturato annuo globale

Panoramica rapida

1Fatti confermati
2Cosa resta incerto
  • Data esatta delle novità GDPR 2026 (ancora in fase di approvazione)
  • Evoluzione definitiva del regolamento ePrivacy (in discussione a livello UE)
  • Impatto dell’AI Act sulle procedure di DPIA ancora in fase di definizione
3Segnale temporale
4Cosa viene dopo
  • Novità GDPR 2026: nuove regole per sanzioni e obblighi delle PA
  • Impatto dell’AI Act sulla governance dei dati e trasparenza algoritmica
Nota della redazione

Questa guida è stata aggiornata con i provvedimenti più recenti del Garante Privacy italiano (aprile 2026) e le ultime comunicazioni dell’EDPB. Le scadenze e le sanzioni indicate sono basate su fonti ufficiali UE e italiane.

La tabella seguente riassume le principali norme e sanzioni in materia di privacy digitale in Italia.

Elemento Dettaglio Riferimento normativo
Legge principale italiana Decreto Legislativo 30 giugno 2003, n. 196 (Codice privacy) Normattiva
Regolamento UE vigente GDPR – Regolamento (UE) 2016/679 EUR-Lex
Autorità di controllo Garante per la protezione dei dati personali Garante Privacy
Sanzione massima GDPR 20 milioni di euro o 4% del fatturato annuo globale Art. 83 GDPR (EUR-Lex)
Anno di applicazione GDPR 25 maggio 2018 Art. 99 GDPR
Aggiornamento previsto 2026 Nuove regole per sanzioni e obblighi per le PA In fase di approvazione UE

Sei punti chiave, un quadro chiaro: la normativa italiana combina un impianto nazionale (il Codice privacy del 2003) con il regolamento europeo, e si prepara a un ulteriore giro di vite nel 2026.

Cosa si intende per privacy digitale?

Definizione di privacy digitale

  • La privacy digitale riguarda la tutela dei dati personali nell’ambiente online (EUR-Lex, fonte normativa UE)
  • Include norme, diritti e pratiche per proteggere le informazioni personali

Non si tratta solo di nascondere informazioni: la privacy digitale è il diritto di ogni cittadino di controllare come i propri dati vengono raccolti, trattati e conservati da aziende, enti pubblici e piattaforme. È un principio che in Italia trova fondamento nel Codice privacy e nel GDPR.

Il punto chiave

Per i cittadini italiani, la privacy digitale non è un optional: l’articolo 6 del GDPR elenca sei basi giuridiche per il trattamento dei dati, e senza una di queste (consenso, contratto, obbligo legale, interesse vitale, interesse pubblico o interesse legittimo) l’operatore viola la legge (EUR-Lex).

Differenza tra privacy e protezione dei dati

Spesso usati come sinonimi, i due concetti hanno sfumature diverse. La privacy è il diritto più ampio alla riservatezza della sfera personale. La protezione dei dati personali è la disciplina giuridica che regola come le informazioni vengano trattate, codificata nel GDPR. In Italia, il Garante privacy opera proprio per garantire che i dati siano gestiti secondo i principi di liceità, correttezza e trasparenza.

Per le aziende, la differenza conta eccome: la protezione dei dati impone obblighi operativi (DPIA, registro trattamenti, notifica violazioni), mentre la privacy è un diritto inviolabile dell’individuo. Ignorare questa distinzione può costare caro, come vedremo con le sanzioni.

In sintesi: La privacy digitale è il diritto del cittadino; la protezione dei dati è l’insieme di regole che aziende e PA devono rispettare. Senza entrambi, il sistema di tutele in Italia è monco.

Il dato fondamentale: la distinzione non è solo teorica, ma ha conseguenze operative concrete per chi tratta dati personali.

Qual è l’attuale legge sulla privacy in Italia?

Il GDPR è ancora in vigore?

Sì, il Regolamento (UE) 2016/679 è in vigore in Italia dal 25 maggio 2018 e si applica a tutti i trattamenti di dati personali, senza eccezioni per dimensione dell’impresa o settore (EUR-Lex, fonte normativa UE). Si tratta di un regolamento self-executing, cioè direttamente applicabile in tutti gli Stati membri senza bisogno di recepimento nazionale.

Il Codice privacy italiano (D.Lgs. 196/2003) è stato adeguato al GDPR con il Decreto Legislativo 101/2018, che ha abrogato le norme incompatibili e integrato le disposizioni specifiche per il contesto italiano (Normattiva, portale legislativo italiano).

Cosa tenere d’occhio

Nel 2026 il quadro normativo subirà un’accelerazione: l’EDPB ha annunciato il 19 marzo 2026 una nuova azione coordinata sui requisiti di trasparenza del GDPR (EDPB, comitato europeo per la protezione dati). Per le aziende italiane significa nuovi obblighi di informativa e possibili sanzioni aggiuntive.

Qual è la differenza tra GDPR e RGPD?

Nessuna differenza sostanziale: GDPR e RGPD sono lo stesso regolamento. GDPR è l’acronimo inglese (General Data Protection Regulation), mentre RGPD è l’acronimo in altre lingue europee come il francese o lo spagnolo. In Italia si usa comunemente la sigla GDPR, ma il regolamento è unico in tutta l’Unione Europea.

Novità GDPR 2026?

Entro il 2026 sono previste modifiche relative a sanzioni e obblighi per le pubbliche amministrazioni italiane. Il Garante Privacy ha già pubblicato il 17 aprile 2026 linee guida sull’utilizzo dei tracking pixel nelle comunicazioni email (Garante Privacy, autorità di controllo italiana).

Inoltre, l’AI Act europeo introdurrà obblighi progressivi per i sistemi di intelligenza artificiale, che influenzeranno la governance dei dati e la trasparenza algoritmica. Per le imprese italiane, il nodo centrale sarà la conformità incrociata tra GDPR, ePrivacy e AI Act.

In sintesi: Il GDPR non solo è ancora in vigore, ma si rafforza con le novità 2026. Per aziende italiane e PA: adeguamento trasparenza e DPIA obbligatoria entro l’anno. Per i cittadini: maggiori garanzie sulla tracciabilità dei dati.

L’orientamento europeo è chiaro: la protezione dei dati diventa sempre più stringente, con un enforcement coordinato.

Quali sono i 7 principi del GDPR?

L’articolo 5 del GDPR elenca sette principi fondamentali che ogni titolare del trattamento deve rispettare (EUR-Lex, fonte normativa UE). Sono la spina dorsale di tutta la normativa.

Principio Contenuto
Liceità, correttezza e trasparenza I dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato
Limitazione della finalità I dati sono raccolti per finalità determinate, esplicite e legittime
Minimizzazione dei dati Devono essere adeguati, pertinenti e limitati a quanto necessario
Esattezza I dati devono essere esatti e, se necessario, aggiornati
Limitazione della conservazione I dati sono conservati in una forma che consenta l’identificazione solo per il tempo necessario
Integrità e riservatezza I dati devono essere trattati in modo da garantirne la sicurezza adeguata
Responsabilizzazione (accountability) Il titolare deve dimostrare la conformità a tutti i principi

Sette regole, un unico obbligo: ogni principio impone al titolare del trattamento non solo di agire correttamente, ma di documentare e dimostrare come lo fa. È il cuore dell’accountability.

Il meccanismo di controllo

L’articolo 12 del GDPR richiede che tutte le informazioni agli interessati siano fornite in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio chiaro e semplice (EUR-Lex). Se un’informativa privacy italiana supera le 5 pagine senza arrivare al punto, potrebbe già essere fuori norma.

Il principio di accountability obbliga le organizzazioni a dimostrare la conformità, non solo a dichiararla.

Quali sono i dati sensibili da non pubblicare?

L’articolo 9 del GDPR definisce le “categorie particolari di dati personali” – quelli che chiamiamo dati sensibili (EUR-Lex, fonte normativa UE). La loro pubblicazione è vietata salvo consenso esplicito o base giuridica specifica.

  • Origine razziale o etnica
  • Opinioni politiche
  • Credo religioso o filosofico
  • Appartenenza sindacale
  • Dati genetici
  • Dati biometrici (per identificazione univoca)
  • Dati relativi alla salute
  • Vita sessuale o orientamento sessuale

Per un’azienda italiana, gestire dati sanitari dei dipendenti senza consenso esplicito è un rischio concreto: la sanzione può arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale. La regola è chiara: se non serve, non si raccoglie; se si raccoglie, serve un fondamento giuridico solido.

In sintesi: I dati sensibili sono un territorio vietato senza permesso. Per le imprese: servono consenso esplicito o base giuridica chiara. Per i cittadini: sapere cosa è protetto aiuta a difendere i propri diritti.

Il trattamento di dati sensibili espone a sanzioni severe e richiede cautele aggiuntive, come la DPIA obbligatoria.

È meglio accettare o rifiutare i cookie?

Cosa sono i cookie?

I cookie sono piccoli file di testo che i siti web inviano al browser dell’utente per memorizzare informazioni. Non sono tutti uguali: si dividono in cookie tecnici (necessari per il funzionamento del sito), cookie di preferenza (che ricordano le scelte dell’utente) e cookie di profilazione (che tracciano il comportamento online per inviare pubblicità mirata).

Come gestire il consenso ai cookie

In Italia, il Garante per la protezione dei dati personali ha emesso linee guida specifiche per i cookie. I cookie di profilazione richiedono consenso preventivo e informato, mentre quelli tecnici possono essere installati senza consenso. Il provvedimento del 17 aprile 2026 del Garante ha ulteriormente rafforzato le regole per i tracking pixel nelle email (Garante Privacy, autorità di controllo italiana).

Quando dire sì e quando no

Per l’utente italiano, rifiutare i cookie di profilazione riduce la tracciabilità ma non blocca la navigazione. Per l’azienda, gestire il consenso con un banner chiaro e conforme alle linee guida del Garante è obbligatorio: un banner ambiguo può costare sanzioni fino a 10 milioni di euro.

La scelta consapevole dell’utente è il fondamento del consenso: nessun cookie di profilazione senza una volontà libera e informata.

Quando si viola la privacy di una persona?

Esempi di violazione della privacy

La violazione si verifica quando un trattamento di dati personali non rispetta il GDPR. Secondo il regolamento, si parla di “personal data breach” quando c’è accesso non autorizzato, furto di dati, divulgazione illecita o perdita accidentale di dati personali (EUR-Lex, fonte normativa UE).

  • Accesso non autorizzato: un dipendente consulta dati sanitari di un collega senza giustificazione
  • Furto di dati: un hacker sottrae il database clienti di un’azienda
  • Divulgazione illecita: un datore di lavoro pubblica i dati sindacali di un dipendente
  • Perdita accidentale: un dipendente smarrisce un laptop non cifrato con dati personali

Conseguenze legali per il violatore

Le conseguenze possono essere amministrative (sanzioni fino a 20 milioni di euro), civili (risarcimento danni) e penali (nei casi più gravi, fino alla reclusione). In Italia, il Garante può anche vietare temporaneamente il trattamento dei dati.

Cosa fare in caso di violazione

L’articolo 33 del GDPR impone di notificare la violazione al Garante entro 72 ore se comporta rischi per i diritti e le libertà delle persone fisiche. Se il rischio è elevato, bisogna anche informare gli interessati senza ingiustificato ritardo (EUR-Lex).

  1. Contenere la violazione: bloccare l’accesso non autorizzato e isolare i dati compromessi.
  2. Valutare il rischio per i diritti e le libertà delle persone fisiche.
  3. Notificare la violazione al Garante entro 72 ore (Art. 33 GDPR).
  4. Informare gli interessati senza ingiustificato ritardo se il rischio è elevato (Art. 34 GDPR).
In sintesi: Per le aziende italiane: 72 ore per notificare una violazione al Garante, pena sanzioni aggravate. Per i cittadini: diritto al risarcimento e alla segnalazione. La trasparenza è l’unica via percorribile.

La rapidità della notifica è un obbligo inderogabile per limitare i danni e dimostrare compliance.

Evoluzione normativa: timeline della privacy digitale in Italia

Sei tappe fondamentali che hanno plasmato l’attuale quadro normativo:

  • 1995: Direttiva 95/46/CE sulla protezione dei dati personali – primo quadro europeo
  • 2003: Entrata in vigore del Codice privacy italiano (D.Lgs. 196/2003) (Normattiva, portale legislativo italiano)
  • 2016: Adozione del GDPR (Reg. UE 2016/679) (EUR-Lex, fonte normativa UE)
  • 2018: Applicazione del GDPR in tutti gli Stati membri UE, inclusa l’Italia
  • 2020: Aggiornamento del Codice privacy con D.Lgs. 101/2018 (Normattiva)
  • 2026: Entrata in vigore di novità GDPR per sanzioni e obblighi delle PA

Il percorso è chiaro: da una direttiva europea degli anni ’90 a un regolamento sempre più stringente, con l’Italia che ha progressivamente allineato la propria normativa. Il 2026 segna un nuovo capitolo, con l’EDPB che intensifica i controlli sulla trasparenza.

“La protezione dei dati personali è un diritto fondamentale dell’Unione Europea. Il Garante italiano vigila affinché questo diritto sia concreto e non solo formale.”

Comunicato del Garante per la protezione dei dati personali, 2026

“Con il Coordinated Enforcement Framework del 2026, vogliamo garantire che i cittadini europei abbiano informazioni chiare e trasparenti su come i loro dati vengono utilizzati.”

EDPB, Coordinated Enforcement Framework 2026 – Trasparenza GDPR

“L’adeguamento al GDPR per le piccole e medie imprese italiane rappresenta una sfida, ma anche un’opportunità per costruire fiducia con i consumatori.”

Ministero della Giustizia italiano, Relazione sull’attuazione del GDPR in Italia

Per il cittadino italiano, la scelta è netta: conoscere i propri diritti (accesso, rettifica, oblio, portabilità, opposizione) e sapere quando e come esercitarli. Per l’imprenditore italiano, la strada obbligata è l’adeguamento progressivo: DPIA, registro trattamenti, nomina del DPO e formazione del personale. Il costo della non conformità, tra sanzioni e danni reputazionali, è ormai troppo alto per essere ignorato.

Fonti aggiuntive

giovanniperilli.com, scuolamoscati.it, diritto.it, albertofortunato.com, studiolegaleprivacy.com, izzoconsultant.it

Da non perdere

Domande frequenti

Cosa si intende per dato personale?

Qualsiasi informazione riguardante una persona fisica identificata o identificabile: nome, indirizzo email, numero di telefono, ma anche indirizzo IP, dati di localizzazione e cookie di profilazione. Il GDPR li definisce all’articolo 4 (EUR-Lex).

Devo accettare i cookie per forza?

No. I cookie tecnici sono necessari per il funzionamento del sito, ma quelli di profilazione richiedono il tuo consenso esplicito. Puoi sempre rifiutarli e continuare a navigare (Garante Privacy, autorità di controllo italiana).

Come esercitare il diritto all’oblio?

Inviando una richiesta al titolare del trattamento. Ai sensi dell’articolo 17 del GDPR, hai il diritto di ottenere la cancellazione dei tuoi dati personali senza ingiustificato ritardo (EUR-Lex).

Quali sono i diritti degli interessati secondo il GDPR?

I diritti sono: accesso, rettifica, cancellazione (diritto all’oblio), limitazione del trattamento, portabilità dei dati, opposizione e non sottoposizione a decisioni automatizzate. Sono elencati negli articoli 15-22 del GDPR (EUR-Lex).

Come posso fare una segnalazione al Garante?

Attraverso il sito ufficiale del Garante per la protezione dei dati personali, utilizzando l’apposito modulo di reclamo. Le segnalazioni possono riguardare violazioni del GDPR da parte di aziende o enti pubblici (Garante Privacy, autorità di controllo italiana).

Le piccole imprese sono esonerate dal GDPR?

No. Il GDPR si applica a tutte le organizzazioni che trattano dati personali, indipendentemente dalla dimensione. Tuttavia, per le PMI con meno di 250 dipendenti esistono alcune semplificazioni (es. tenuta del registro trattamenti solo per trattamenti non occasionali).

Cosa sono i cookie di terze parti?

Cookie installati da un dominio diverso da quello del sito che si sta visitando. Sono utilizzati per il tracciamento cross-site e la pubblicità mirata. Richiedono consenso esplicito e sono soggetti alle linee guida del Garante Privacy italiano (Garante Privacy).

Letture correlate