Skip to content

Il regolamento generale sulla protezione dei dati

Il regolamento generale dell'UE sulla protezione dei dati (GDPR) disciplina le modalità di trattamento e trasferimento dei dati personali delle persone fisiche nell'UE.

Cos'è il GDPR?

Il regolamento generale dell'UE sulla protezione dei dati (GDPR) è la legislazione più rigorosa al mondo in materia di privacy e sicurezza.

Il regolamento ha aggiornato e modernizzato i principi contenuti nella direttiva sulla protezione dei dati del 1995. È stato adottato nel 2016 ed è entrato in vigore il 25 maggio 2018.

Il GDPR definisce:

  • i diritti fondamentali delle persone fisiche nell'era digitale
  • gli obblighi di coloro che si occupano del trattamento dei dati
  • i metodi per garantire la conformità
  • le sanzioni per coloro che violano le norme

Diritti delle persone fisiche

Il GDPR elenca i diritti degli interessati, vale a dire i diritti delle persone fisiche i cui dati personali vengono trattati. Tali diritti rafforzati conferiscono alle persone fisiche un maggiore controllo sui propri dati personali, anche attraverso:

  • la necessità del chiaro consenso dell'interessato al trattamento dei propri dati personali
  • un accesso facilitato dell'interessato ai suoi dati personali
  • il diritto alla rettifica, alla cancellazione e "all'oblio"
  • il diritto di obiezione, anche riguardo all'uso dei dati personali a fini di "profilazione"
  • il diritto di portabilità dei dati da un prestatore di servizi a un altro

Il regolamento sulla protezione dei dati definisce i diritti delle persone fisiche e stabilisce gli obblighi di coloro che trattano i dati o sono responsabili del loro trattamento.

Obblighi per le imprese e le organizzazioni

Il GDPR stabilisce gli obblighi generali dei titolari del trattamento dei dati personali e di coloro che trattano dati personali per loro conto (responsabili del trattamento).

Tra questi figura l'obbligo di attuare misure di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento dei dati effettuate.

In alcuni casi, i titolari del trattamento sono tenuti anche a notificare le violazioni dei dati personali. Tutte le autorità pubbliche e le imprese che svolgono talune operazioni di trattamento dei dati rischiose dovranno inoltre nominare un responsabile della protezione dei dati.

Applicazione delle norme in materia di protezione dei dati

Il regolamento conferma l'obbligo esistente per gli Stati membri di istituire un'autorità di controllo indipendente a livello nazionale e introduce un meccanismo per garantire la coerenza nell'applicazione della legislazione in materia di protezione dei dati in tutta l'UE.

Il GDPR stabilisce che una decisione di controllo unica è adottata nei casi transfrontalieri in cui sono coinvolte diverse autorità di controllo nazionali. In base a questo principio, noto come "sportello unico", una società con controllate in diversi Stati membri dovrà interagire solo con l'autorità preposta alla protezione dei dati nello Stato membro in cui ha lo stabilimento principale.

Il comitato europeo per la protezione dei dati garantisce l'applicazione piena e coerente del GDPR. Tale comitato è composto da rappresentanti di tutte le 27 autorità di controllo indipendenti.

Il 17 novembre 2025 il Consiglio ha adottato una normativa dell'UE che dovrebbe entrare in vigore nel 2026. La normativa rende più rapida ed efficiente la cooperazione tra le autorità nazionali per la protezione dei dati nella gestione dei reclami transfrontalieri a norma del GDPR che coinvolgono diversi paesi dell'UE. La normativa semplifica le procedure amministrative e mira a garantire:

  • la rapida gestione dei reclami transfrontalieri e una migliore cooperazione
  • l'indagine sui diritti dei reclamanti e delle parti

Nel quadro del GDPR sono previste sanzioni severe nei confronti dei titolari o dei responsabili del trattamento che violano le norme sulla protezione dei dati. I responsabili del trattamento dei dati possono incorrere in sanzioni fino a 20 milioni di EUR o al 4% del loro fatturato globale annuo.

Inoltre, le persone fisiche possono presentare un reclamo a un'autorità di controllo e hanno diritto a un ricorso giurisdizionale e a un risarcimento, nonché il diritto di ottenere il riesame della decisione della loro autorità per la protezione dei dati da parte di una loro autorità giurisdizionale nazionale, indipendentemente dallo Stato membro in cui è stabilito il titolare del trattamento in questione.

Trasferimenti verso paesi terzi

Il GDPR contempla anche il trasferimento di dati personali verso paesi terzi e organizzazioni internazionali. La Commissione ha il compito di valutare il livello di protezione offerto da un territorio o da un settore di trattamento in un paese terzo.

In mancanza di una decisione di adeguatezza della Commissione riguardo a un determinato territorio o settore, il trasferimento di dati personali può comunque avere luogo in casi particolari o quando esistono garanzie adeguate.

Illustrazione stilizzata di un'impronta digitale circondata da stelle gialle come quelle dell'UE, cifre binarie e una piccola icona a forma di lucchetto, che rappresenta la protezione dei dati e della vita privata nell'Unione europea.
Protezione dei dati nell'UE

Protezione dei dati nell'UE

Icona di un lucchetto digitale brillante sullo sfondo di una scheda a circuito blu, a simboleggiare la sicurezza e la protezione dei dati.
Protezione dei dati nell'attività di contrasto

Protezione dei dati nell'attività di contrasto

Ultima modifica: 22 maggio 2026