GDPR — Regolamento (UE) 2016/679¶
Regolamento generale sulla protezione dei dati personali (General Data Protection Regulation). È l'atto-quadro del diritto UE in materia di protezione dei dati personali; resta pienamente applicabile quando un sistema di IA tratta dati personali, come espressamente confermato dall'art. 2, paragrafo 7, dell'AI Act.
Identificativi¶
| Campo | Valore |
|---|---|
| Titolo ufficiale | Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) |
| CELEX | 32016R0679 |
| CELEX consolidata | 02016R0679-20160504 |
| ELI | http://data.europa.eu/eli/reg/2016/679/oj |
| Pubblicazione | GU L 119 del 4.5.2016, pag. 1 |
| Adozione | 27 aprile 2016 |
| Entrata in vigore | 24 maggio 2016 |
| Applicazione | 25 maggio 2018 |
| Base giuridica | Articolo 16 TFUE |
| Tipo di atto | Regolamento — direttamente applicabile in tutti gli Stati membri |
Struttura¶
11 capi · 99 articoli · 173 considerando · nessun allegato.
| Capo | Argomento | Articoli |
|---|---|---|
| I | Disposizioni generali | 1 – 4 |
| II | Principi | 5 – 11 |
| III | Diritti dell'interessato | 12 – 23 |
| IV | Titolare del trattamento e responsabile del trattamento | 24 – 43 |
| V | Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali | 44 – 50 |
| VI | Autorità di controllo indipendenti | 51 – 59 |
| VII | Cooperazione e coerenza | 60 – 76 |
| VIII | Mezzi di ricorso, responsabilità e sanzioni | 77 – 84 |
| IX | Disposizioni relative a specifiche situazioni di trattamento | 85 – 91 |
| X | Atti delegati e atti di esecuzione | 92 – 93 |
| XI | Disposizioni finali | 94 – 99 |
Ambito di applicazione¶
Materiale (art. 2): si applica al trattamento, interamente o parzialmente automatizzato, di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. Esclusioni espresse: attività fuori dall'ambito del diritto UE; politica estera e di sicurezza comune; attività esclusivamente personali o domestiche; attività delle autorità competenti a fini di prevenzione e repressione dei reati (rinvio alla direttiva (UE) 2016/680).
Territoriale (art. 3): si applica al trattamento effettuato nel contesto delle attività di uno stabilimento di un titolare o responsabile nell'Unione, indipendentemente da dove avvenga il trattamento; e al trattamento, da parte di soggetti non stabiliti nell'Unione, di dati personali di interessati che si trovano nell'Unione, quando le attività riguardano l'offerta di beni o servizi a tali interessati o il monitoraggio del loro comportamento all'interno dell'Unione.
Cross-reference con l'AI Act¶
L'AI Act (Regolamento (UE) 2024/1689) è espressamente costruito senza pregiudizio per il GDPR. I principali punti di intersezione testuale:
| AI Act | GDPR | Natura dell'intersezione |
|---|---|---|
| Art. 2, par. 7 | Tutto il GDPR | Clausola di salvaguardia: l'AI Act non pregiudica il GDPR |
| Considerando 10 | — | L'AI Act dichiara il GDPR (insieme a Reg. 2018/1725 e Dir. 2016/680) come quadro di riferimento per i dati personali |
| Art. 3, par. 37 | Art. 9, par. 1 | Definizione di "categorie particolari di dati personali" — rinvio definitorio |
| Art. 3, par. 50 | Art. 4, par. 1 | Definizione di "dati personali" — rinvio definitorio |
| Art. 3, par. 52 | Art. 4, par. 4 | Definizione di "profilazione" — rinvio definitorio |
| Art. 10, par. 5 | Art. 9 | Possibilità di trattare categorie particolari di dati per il bias monitoring dei sistemi IA ad alto rischio, fatte salve le condizioni del GDPR |
| Art. 26, par. 10 | Art. 22 | Decisioni automatizzate: il deployer di sistemi IA ad alto rischio deve informare l'interessato secondo l'art. 22 GDPR |
| Art. 27 | Art. 35 | Fundamental Rights Impact Assessment (FRIA) e Data Protection Impact Assessment (DPIA): coordinamento tra le due valutazioni d'impatto |
| Art. 59 | Tutto il GDPR | Sandbox normativi per l'IA: il trattamento dei dati personali nell'ambito di un sandbox resta soggetto al GDPR |
La tabella copre i rinvii diretti dell'AI Act al GDPR. Cross-reference operativi più ampi (governance, autorità competenti, sanzioni) richiedono un'analisi caso per caso e saranno oggetto di approfondimenti dedicati nelle sezioni Soft law e Risorse.
Cross-reference con il Data Governance Act¶
Il Data Governance Act (DGA, Reg. (UE) 2022/868) opera senza pregiudizio del GDPR (art. 1, par. 3 DGA): in caso di conflitto prevale il GDPR, e il DGA non crea una base giuridica per il trattamento di dati personali. I principali punti di intersezione testuale e operativa:
| GDPR | DGA | Natura dell'intersezione |
|---|---|---|
| Tutto il GDPR | Art. 1, par. 3; considerando 4 | Clausola di salvaguardia: il DGA è senza pregiudizio del GDPR; in caso di conflitto prevale il GDPR; il DGA non crea base giuridica per il trattamento di dati personali |
| Art. 4, punto 1 («dati personali») | DGA, art. 2, punto 3 | Definizione: rinvio definitorio diretto |
| Art. 4, punto 1 («interessato») | DGA, art. 2, punto 7 | Definizione: rinvio definitorio diretto |
| Art. 4, punto 2 («trattamento») | DGA, art. 2, punto 12 | Definizione: rinvio definitorio diretto al GDPR (e al Reg. (UE) 2018/1807 per i dati non personali) |
| Art. 4, punto 11; art. 7 (consenso) | DGA, art. 2, punto 5; art. 25 (modulo europeo di consenso all'altruismo dei dati) | Rinvio definitorio + applicazione operativa: il consenso altruistico (DGA art. 25) è subordinato a tutte le condizioni GDPR per la validità del consenso (libertà, specificità, informazione, revocabilità) |
| Artt. 5, 6, 9; art. 25 (privacy by design) | DGA, capo II — artt. 3-9; art. 5, par. 3-13 | Riutilizzo di dati pubblici protetti che includono dati personali: le condizioni DGA (anonimizzazione, ambiente sicuro, accordi di riservatezza, divieto di re-identificazione) si cumulano con la base giuridica e i principi GDPR |
| Artt. 7, 12-22 (consenso, diritti dell'interessato) | DGA, capo III — artt. 10-15; art. 12 (condizioni di fornitura) | Servizi di intermediazione dei dati che coinvolgono dati personali: operare a beneficio dell'interessato, separazione strutturale dal data user, neutralità rispetto ai dati intermediati, divieto di monetizzazione |
| Artt. 6, 7, 9; art. 13 | DGA, capo IV — artt. 16-25 (altruismo); art. 25 | Altruismo dei dati: il consenso al trattamento per finalità altruistiche è raccolto tramite modulo europeo di consenso all'altruismo dei dati (atto di esecuzione della Commissione) ed è subordinato a tutte le condizioni GDPR |
La tabella copre i rinvii diretti. Cross-reference operative più estese (rapporti con DSA, Cyber Resilience Act, NIS2 e Product Liability Directive) saranno oggetto di approfondimenti dedicati nelle sezioni Soft law e Risorse via via che le pagine corrispondenti verranno pubblicate.
Modifiche e rettifiche¶
Il testo originario del 2016 è stato oggetto di tre rettifiche pubblicate in Gazzetta Ufficiale UE. La versione consolidata EUR-Lex usata in questa sezione (02016R0679-20160504) integra tutte le rettifiche al 4.5.2016. Le ulteriori rettifiche pubblicate successivamente (GU L 127 del 23.5.2018; GU L 074 del 4.3.2021) sono incorporate nelle revisioni successive del testo consolidato.
Stato di applicabilità¶
Il GDPR è pienamente applicabile dal 25 maggio 2018 in tutti gli Stati membri dell'Unione Europea, senza necessità di atti nazionali di attuazione (essendo regolamento). In Italia il quadro applicativo è completato dal D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali), riformato dal D.Lgs. 101/2018 per renderlo coerente con il GDPR.
Termini correlati nel glossario¶
Voci del glossario AI-centric rilevanti per questo atto:
- Dati personali
- Dati non personali
- Categorie particolari di dati personali
- Profilazione
- Anonimizzazione
- Pseudonimizzazione
- Titolare del trattamento
- Responsabile del trattamento
- Interessato
- DPIA — Valutazione d'impatto sulla protezione dei dati
Fonti ufficiali¶
- EUR-Lex — versione originale italiana (CELEX 32016R0679)
- EUR-Lex — versione consolidata italiana
- EUR-Lex — versione originale inglese
- EUR-Lex — Identifier (ELI)
- Garante per la protezione dei dati personali — sezione GDPR
- European Data Protection Board (EDPB)
Indice della sezione¶
- Considerando — testo integrale dei 173 considerando in versione bilingue
- Testo del regolamento — tutti gli articoli organizzati per capo:
- Capo I — Disposizioni generali (artt. 1-4)
- Capo II — Principi (artt. 5-11)
- Capo III — Diritti dell'interessato (artt. 12-23)
- Capo IV — Titolare del trattamento e responsabile del trattamento (artt. 24-43)
- Capo V — Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali (artt. 44-50)
- Capo VI — Autorità di controllo indipendenti (artt. 51-59)
- Capo VII — Cooperazione e coerenza (artt. 60-76)
- Capo VIII — Mezzi di ricorso, responsabilità e sanzioni (artt. 77-84)
- Capo IX — Disposizioni relative a specifiche situazioni di trattamento (artt. 85-91)
- Capo X — Atti delegati e atti di esecuzione (artt. 92-93)
- Capo XI — Disposizioni finali (artt. 94-99)