Protezione dei dati

Codice Privacy (D.Lgs. 196/2003): cosa resta col GDPR

Codice Privacy dopo il GDPR: come il D.Lgs. 101/2018 ha riscritto il D.Lgs. 196/2003 e quali norme italiane restano in vigore (art. 2-ter, 122, 130, 167).

Also available in:Español·Deutsch

Il Codice Privacy (D.Lgs. 30 giugno 2003, n. 196) non è stato abrogato dal GDPR: è stato riscritto dal D.Lgs. 101/2018 per adeguarlo al Regolamento (UE) 2016/679 e continua a disciplinare gli spazi che il GDPR lascia alla legge nazionale. Oggi il Codice contiene le regole italiane su basi giuridiche del settore pubblico, cookie, telemarketing, limiti ai diritti degli interessati, sanzioni penali e poteri del Garante. Capire cosa è sopravvissuto e cosa è cambiato è indispensabile per applicare correttamente la normativa in Italia. Questa guida mappa le disposizioni ancora in vigore che contano nella pratica.

Key Takeaways

  • Il D.Lgs. 101/2018 ha modificato, non abrogato, il Codice Privacy: GDPR e Codice si applicano congiuntamente.
  • Le vecchie autorizzazioni generali sono confluite in prescrizioni del Garante e nelle regole deontologiche.
  • L’art. 2-ter fissa le basi giuridiche per il settore pubblico; l’art. 2-quaterdecies disciplina gli autorizzati.
  • L’art. 122 regge il consenso ai cookie; l’art. 130 governa marketing e soft spam.
  • L’art. 167 conserva le sanzioni penali per i trattamenti illeciti più gravi.

Perché il Codice Privacy esiste ancora

Il GDPR è un regolamento direttamente applicabile, ma contiene numerose clausole di apertura che rinviano alla legislazione nazionale: settore pubblico, rapporto di lavoro, categorie particolari, minori, sanzioni penali. Il legislatore italiano ha scelto di non scrivere una legge nuova, ma di riformare il Codice del 2003 tramite il D.Lgs. 101/2018, entrato in vigore il 19 settembre 2018.

Il risultato è un testo a due livelli: il GDPR detta i principi, il Codice riempie gli spazi nazionali. Molte disposizioni originarie sono state cancellate perché ridondanti; quelle sopravvissute regolano ambiti che il GDPR delega espressamente agli Stati.

Le basi giuridiche nazionali: art. 2-ter e affini

Per il settore pubblico, l’art. 2-ter stabilisce che la base giuridica del trattamento necessario per l’esecuzione di un compito di interesse pubblico è costituita da legge o regolamento. È la norma che i comuni e gli enti pubblici devono citare al posto del consenso: il consenso, in ambito PA, è quasi sempre la base sbagliata. Questo profilo è approfondito nella guida GDPR per comuni ed enti pubblici.

L’art. 2-sexies disciplina i trattamenti di categorie particolari (art. 9 GDPR) per motivi di interesse pubblico rilevante, elencando le finalità ammesse. L’art. 2-octies fa lo stesso per i dati giudiziari (art. 10 GDPR), rilevanti ad esempio negli studi legali.

Gli autorizzati e i limiti ai diritti

L’art. 2-quaterdecies conserva la figura degli ex “incaricati”: il titolare può prevedere, sotto la propria autorità, persone autorizzate al trattamento con istruzioni specifiche. È la base normativa della lettera di nomina degli autorizzati, distinta dalla nomina del responsabile ex art. 28.

L’art. 2-undecies individua i casi in cui i diritti degli interessati (accesso, rettifica, cancellazione) possono essere limitati o ritardati: indagini difensive, ragioni di giustizia, riservatezza dell’identità di chi segnala illeciti. È la norma da citare quando si oppone un rifiuto motivato a una richiesta di accesso ai dati.

Due articoli del Titolo X sono tra i più applicati nella pratica quotidiana.

L’art. 122 disciplina l’archiviazione di informazioni nel terminale dell’utente: è la base giuridica del consenso ai cookie non tecnici, attuata dalle linee guida cookie del Garante del 10 giugno 2021.

L’art. 130 regola il marketing diretto: consenso per le comunicazioni promozionali e — al par. 4 — l’eccezione del soft spam per prodotti analoghi verso propri clienti. È il perno delle sanzioni sul telemarketing, da Enel a TIM.

Articolo Materia Rinvio GDPR
art. 2-ter Base giuridica PA art. 6, par. 1, lett. e
art. 2-sexies Categorie particolari PA art. 9, par. 2, lett. g
art. 2-octies Dati giudiziari art. 10
art. 2-quaterdecies Autorizzati art. 29
art. 2-undecies Limiti ai diritti art. 23
art. 122 Cookie Direttiva ePrivacy
art. 130 Marketing e soft spam art. 21
art. 167 Illeciti penali

Le sanzioni penali e i poteri del Garante

Il GDPR prevede solo sanzioni amministrative, ma lascia agli Stati la facoltà di introdurre sanzioni penali. L’Italia le ha mantenute: l’art. 167 punisce con la reclusione i trattamenti illeciti finalizzati a trarne profitto o a recare danno, e gli artt. 167-bis e 167-ter colpiscono la comunicazione e l’acquisizione fraudolenta di banche dati su larga scala.

Il Codice attribuisce inoltre al Garante il potere di adottare provvedimenti generali e prescrizioni: molte “regole del gioco” italiane — videosorveglianza, cookie, dati sanitari — nascono da qui più che dal testo del GDPR. Per questo il Codice Privacy resta la norma di riferimento che quasi ogni altro adempimento richiama: dalla tenuta del registro dei trattamenti alla nomina del DPO. Una piattaforma come Legiscope aiuta a tenere allineati questi adempimenti man mano che il quadro normativo evolve.

Come leggere GDPR e Codice insieme

L’errore da evitare è considerare i due testi come alternativi. La regola pratica è: si parte sempre dal GDPR per i principi e gli obblighi generali, e si scende al Codice Privacy ogni volta che il Regolamento rinvia alla legge nazionale o che il trattamento tocca una materia tipicamente italiana. Un esempio concreto: per gestire il marketing di un’azienda si applica l’art. 6 GDPR per la base giuridica, l’art. 130 del Codice per il regime delle comunicazioni promozionali e le regole del consenso al marketing per la sua validità.

Lo stesso vale nel settore pubblico: un comune non cerca il consenso ma la norma di legge che gli attribuisce il compito (art. 2-ter), e verifica i limiti alla pubblicazione dei dati sull’albo pretorio incrociando il Codice con il D.Lgs. 33/2013 sulla trasparenza. Nel lavoro, il GDPR fissa i principi mentre l’art. 4 dello Statuto dei Lavoratori (L. 300/1970) e le pronunce del Garante definiscono i limiti al controllo dei dipendenti.

Questa stratificazione — Regolamento europeo, Codice nazionale, provvedimenti del Garante, norme di settore — è ciò che rende la conformità italiana più articolata della semplice lettura del GDPR. Tenere una mappa aggiornata di quale norma si applica a quale trattamento è la funzione stessa del registro delle attività, che diventa così la sintesi operativa dell’intero quadro normativo.

FAQ

Il Codice Privacy è ancora in vigore dopo il GDPR?

Sì. Non è stato abrogato ma modificato dal D.Lgs. 101/2018 per coordinarlo con il GDPR. Oggi disciplina gli spazi che il Regolamento delega alla legge nazionale — settore pubblico, cookie, telemarketing, limiti ai diritti, sanzioni penali — e si applica insieme al GDPR.

Che cosa ha cambiato il D.Lgs. 101/2018?

Ha riscritto il Codice del 2003 abrogando le disposizioni ridondanti con il GDPR e introducendo gli articoli “2-bis e seguenti” che regolano le materie nazionali. Ha inoltre trasformato le vecchie autorizzazioni generali in prescrizioni del Garante e in regole deontologiche.

Le autorizzazioni generali del Garante valgono ancora?

Non nella forma originaria. Sono confluite in prescrizioni e regole deontologiche che il Garante ha aggiornato per allinearle al GDPR. Restano rilevanti per interpretare i requisiti su dati sanitari, genetici, biometrici e giudiziari.

Esistono sanzioni penali per violazioni privacy in Italia?

Sì. L’art. 167 del Codice Privacy punisce con la reclusione i trattamenti illeciti a fini di profitto o danno; gli artt. 167-bis e 167-ter colpiscono la diffusione e l’acquisizione fraudolenta di grandi banche dati. Sono cumulabili con le sanzioni amministrative del GDPR.


Fonti ufficiali: il Garante per la protezione dei dati personali, il testo del GDPR su EUR-Lex e gli orientamenti dello European Data Protection Board.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →