Codice Privacy vs GDPR: Cosa Sapere in Italia

Una confusione frequente tra i titolari di trattamento italiani: dopo l’entrata in vigore del GDPR nel maggio 2018, molti pensavano che il Codice Privacy italiano (D.Lgs. 196/2003) fosse stato abrogato. È falso. Il Codice Privacy è stato significativamente modificato dal D.Lgs. 101/2018 di adeguamento al GDPR, ma resta in vigore. Convive con il GDPR su due livelli: applicando in Italia le disposizioni del GDPR che lasciano margini di adattamento agli Stati membri, e disciplinando ambiti che il GDPR non copre (es. trattamenti in ambito giornalistico, di polizia, di sicurezza nazionale).

Capire questa convivenza è essenziale per chi tratta dati personali in Italia: applicare solo il GDPR significa ignorare disposizioni italiane specifiche che possono essere più rigorose o più permissive del Regolamento. Per una visione d’insieme degli obblighi, veda Politica sulla Privacy obbligatoria: rischi e sanzioni.

Una breve storia: Codice Privacy prima, GDPR poi, adattamento dopo

Il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) è entrato in vigore il 1° gennaio 2004 in attuazione della Direttiva 95/46/CE. Per quindici anni è stato la fonte principale del diritto della protezione dei dati in Italia.

Il GDPR (Regolamento UE 2016/679) è diventato applicabile dal 25 maggio 2018, sostituendo la Direttiva del 1995. In quanto regolamento europeo, il GDPR si applica direttamente in tutti gli Stati membri senza necessità di trasposizione.

Tuttavia, il GDPR lascia agli Stati membri margini di intervento su temi specifici (es. trattamento dei dati dei lavoratori, età del consenso digitale, trattamenti per finalità di archiviazione storica, trattamenti del settore sanitario). Il D.Lgs. 101/2018 ha quindi modificato il Codice Privacy del 2003 mantenendo le disposizioni che restano valide e introducendone di nuove per l’adeguamento.

Risultato nel 2026: in Italia si applicano simultaneamente:

1. Il GDPR (norma europea, direttamente applicabile)
2. Il Codice Privacy italiano (versione vigente dopo le modifiche del D.Lgs. 101/2018)
3. Le linee guida e i provvedimenti del Garante (interpretazioni autorevoli)
4. La giurisprudenza italiana ed europea

I quattro ambiti dove il Codice Privacy è specifico

1. Età del consenso digitale. Il GDPR (Art. 8) impone il consenso dei genitori per il trattamento di dati di minori sotto i 16 anni nei servizi della società dell’informazione. Permette però agli Stati di abbassare la soglia fino a 13 anni. L’Italia ha mantenuto 14 anni (Art. 2-quinquies Codice Privacy). Un sito che si rivolge anche a minori italiani deve quindi gestire il consenso parentale per gli under 14.

2. Lavoratori e datori di lavoro. Lo Statuto dei Lavoratori (Legge 300/1970) impone restrizioni specifiche sul trattamento dei dati dei dipendenti:

• Art. 4: divieto di videosorveglianza dei lavoratori, salvo accordo sindacale o autorizzazione del Garante
• Art. 8: divieto di indagini sulle opinioni politiche, religiose, sindacali del lavoratore
• Limiti al controllo dell’uso di strumenti di lavoro (email aziendale, browser web)

Il Codice Privacy integra queste norme con disposizioni sui trattamenti di lavoro. Le sanzioni per il datore di lavoro che viola lo Statuto sono cumulative con quelle del GDPR.

3. Settore sanitario. I trattamenti di dati sanitari in Italia sono regolati dal GDPR (Art. 9) ma anche da norme italiane specifiche:

• D.Lgs. 196/2003 Artt. 75-99 (testo modificato): disciplina dell’uso dei dati genetici, dei dati delle ricerche biomediche, della telemedicina
• Norme sulla cartella clinica (conservazione perpetua o per termini specifici a seconda della tipologia)
• Linee guida del Garante per il trattamento dati sanitari

4. Settore giornalistico. L’Art. 137 Codice Privacy (modificato) bilancia il diritto alla protezione dei dati con la libertà di stampa. I giornalisti possono trattare dati anche senza consenso quando il trattamento è necessario per l’esercizio della professione, nei limiti del codice deontologico dei giornalisti.

Le sovrapposizioni: GDPR + Codice Privacy in pratica

In molti casi, il GDPR e il Codice Privacy si rafforzano a vicenda. Ecco le sovrapposizioni più frequenti:

Informativa privacy. Il GDPR (Art. 13-14) impone i contenuti minimi. Il Codice Privacy (Art. 78 sulla salute, ad esempio) può imporre informativa specifica per settori. Una clinica medica deve fornire un’informativa che soddisfi entrambi i livelli.

Diritti dell’interessato. Il GDPR (Art. 15-22) elenca i diritti. Il Codice Privacy aggiunge:

• Diritto di portabilità più ampio in certi settori
• Termini specifici per l’opposizione al marketing diretto (Art. 130 Codice Privacy: opt-out facilitato)
• Diritti specifici dell’interessato deceduto (Art. 2-terdecies Codice Privacy)

Trattamenti per marketing diretto. Il Codice Privacy (Art. 130) regola il marketing in modo più specifico del GDPR:

• Per i clienti esistenti, il “soft opt-in” è ammesso per prodotti/servizi analoghi (purché si offra opt-out a ogni invio)
• Per i prospect, serve consenso esplicito preventivo
• L’iscrizione al Registro Pubblico delle Opposizioni (RPO) blocca le chiamate commerciali

Veda Politica dei cookie: regole e sanzioni per il dettaglio sui consensi cookie.

Conservazione dei dati. Il GDPR impone il principio di limitazione della conservazione (Art. 5.1.e) senza fissare termini. Le norme italiane fissano termini specifici:

• 10 anni per le scritture contabili (Art. 2220 Codice Civile)
• 10 anni per le fatture elettroniche (D.Lgs. 127/2015 + DM 17 giugno 2014)
• 5 anni per i contratti di lavoro (Statuto dei Lavoratori)
• Termini variabili per le cartelle cliniche a seconda della tipologia (10 anni, 30 anni, perpetuamente per atti notarili)

Le sanzioni amministrative: chi sanziona cosa

Il Garante italiano è l’autorità competente sia per il GDPR sia per il Codice Privacy in Italia. Le sanzioni amministrative previste dal GDPR (fino a 20 milioni o 4% del fatturato globale) si applicano alle violazioni del Regolamento. Per le violazioni di disposizioni esclusivamente italiane (Codice Privacy, Statuto dei Lavoratori) si applicano sanzioni nazionali specifiche.

In pratica, una violazione può configurare:

• Violazione esclusiva del GDPR (es. consenso cookie non valido): sanzione GDPR
• Violazione esclusiva di norme italiane (es. videosorveglianza dei lavoratori senza accordo sindacale): sanzione italiana, possibilmente cumulata con sanzione GDPR se c’è anche trattamento dati personali
• Violazioni che riguardano entrambi i livelli: sanzioni cumulative

Per esempi di sanzioni recenti, veda Multe Garante 2026: casi recenti e lezioni e Sanzioni RGPD: Top 15 del Garante in Italia.

Casi pratici di applicazione concomitante

Caso 1 — Studio medico privato. Un medico in libera professione tratta dati sanitari, dati di contatto, dati di fatturazione.

• GDPR Art. 9: trattamento di categorie particolari di dati, base giuridica = consenso esplicito (o cura medica)
• Codice Privacy Art. 75-99: requisiti specifici per il trattamento sanitario (informativa adeguata, designazione del responsabile interno, misure di sicurezza specifiche)
• Termini di conservazione cartelle cliniche: dipendenti dalla tipologia e dalla normativa regionale
• Sanzione cumulativa potenziale in caso di violazione

Caso 2 — E-commerce italiano. Un negozio online tratta dati di pagamento, indirizzi, cronologia degli acquisti.

• GDPR Art. 6: base giuridica = esecuzione contrattuale e legittimo interesse (per fatturazione)
• Codice del Consumo (D.Lgs. 206/2005): obblighi specifici verso i consumatori
• Codice Privacy Art. 130: regole specifiche per il marketing successivo (soft opt-in)
• D.Lgs. 70/2003: obblighi di informazione precontrattuale (e-commerce)
• Conservazione: 10 anni per le fatture

Veda Shopify e GDPR: proteggere il negozio dalle sanzioni e Condizioni di vendita conformi: 5 errori costosi.

Caso 3 — SaaS B2B italiano. Una software house italiana offre un SaaS a clienti business in Italia e nell’UE.

• GDPR: il SaaS può essere titolare (per i dati dei clienti diretti) e responsabile (per i dati che processa per conto dei clienti finali)
• Codice Privacy: si applica ai trattamenti che hanno luogo in Italia (es. server in Italia, dipendenti che accedono ai dati)
• D.Lgs. 70/2003: obblighi di informazione precontrattuale
• AI Act (se il SaaS contiene IA): nuovi obblighi a partire dal 2025-2026

Come gestire la conformità multi-livello

Per le PMI e i liberi professionisti italiani, applicare correttamente la combinazione GDPR + Codice Privacy può sembrare complesso. Ecco un approccio pratico:

Step 1 — Inventario dei trattamenti. Elencare i trattamenti che svolgete, le categorie di dati, le finalità, le basi giuridiche, i termini di conservazione. È la base del registro dei trattamenti (Art. 30 GDPR).

Step 2 — Identificazione del livello regolamentare. Per ogni trattamento, identificare:

• Norme GDPR applicabili
• Norme italiane specifiche (Codice Privacy, leggi di settore, codici deontologici)
• Linee guida e provvedimenti del Garante rilevanti

Step 3 — Documentazione adeguata. L’informativa, il consenso, i contratti con i sub-fornitori devono soddisfare entrambi i livelli. Un generatore di documenti specializzato nel mercato italiano (vedi Confronto generatori documenti legali Italia 2026) aiuta a coprire entrambi i livelli senza dover scrivere tutto da zero.

Step 4 — Monitoraggio continuo. Le linee guida del Garante evolvono, le sentenze italiane si accumulano, l’AI Act introduce nuovi obblighi. Un check trimestrale del proprio quadro di conformità è una buona pratica.

FAQ

Il GDPR ha abrogato il Codice Privacy? No. Il Codice Privacy resta in vigore in versione modificata dal D.Lgs. 101/2018. Convive con il GDPR e disciplina aspetti specifici italiani.

In caso di conflitto tra GDPR e Codice Privacy, quale prevale? Il GDPR, in quanto regolamento europeo direttamente applicabile, prevale. Ma il Codice Privacy disciplina aspetti che il GDPR rinvia agli Stati membri o ambiti non coperti dal GDPR. In pratica, non c’è un vero conflitto: le due fonti si integrano.

Devo conoscere entrambi per essere conforme? Per i trattamenti di base (sito web, e-commerce standard, B2B) è sufficiente conoscere bene il GDPR. Per trattamenti specifici (sanità, lavoro, giornalismo, marketing) il Codice Privacy aggiunge regole che bisogna integrare.

Il Codice Privacy si applica ai siti web non italiani? Il GDPR si applica extraterritorialmente quando un sito offre beni/servizi a interessati in Italia. Il Codice Privacy si applica nelle stesse condizioni del GDPR, ma in modo complementare. Un sito francese che vende in Italia deve quindi rispettare il GDPR ma è soggetto anche a certe regole italiane (es. Codice del Consumo per i contratti con consumatori italiani, regole italiane sul marketing diretto).

Cosa sta cambiando con l’AI Act? L’AI Act europeo (entrato in vigore nel 2024, applicazione progressiva 2025-2026) si aggiunge come terzo livello regolamentare. Si applica ai sistemi di IA classificati a rischio “alto” (es. credit scoring, recruiting) e impone obblighi specifici di trasparenza, supervisione umana, valutazione del rischio. Per i liberi professionisti che usano IA generativa per la propria attività, l’AI Act introduce nuovi obblighi.

Dove trovo il testo aggiornato del Codice Privacy? Il testo coordinato è disponibile sul sito ufficiale del Garante (gpdp.it), sezione “Normativa”. Le linee guida e i provvedimenti del Garante sono pubblicati nella sezione “Provvedimenti”.

---

Articolo aggiornato il 29 maggio 2026. I riferimenti normativi sono al D.Lgs. 196/2003 nella versione vigente, al GDPR (Reg. UE 2016/679), allo Statuto dei Lavoratori (L. 300/1970), e all’AI Act (Reg. UE 2024/1689).