Abbonati Articoli recenti
Giornalereport Rapporto del mattino
Abbonati Cerca
GiornaleReport.it

Privacy digitale Italia: guida alla normativa, GDPR e cookie

Riccardo Andrea Bianchi Moretti • 2026-05-16 • Revisionato da Luca Bianchi

Chiunque navighi online si è scontrato almeno una volta con un banner cookie o un avviso sulla privacy, perché dietro quei messaggi c’è un sistema di regole che in Italia combina il Regolamento Generale sulla Protezione dei Dati (GDPR) europeo con il Codice privacy nazionale. Questa guida vi aiuta a orientarvi tra normativa, diritti e obblighi concreti, con un occhio alle novità previste per il 2026.

4 articoli correlati

Regolamento GDPR in vigore dal 25 maggio 2018 ·
Legge italiana sulla privacy D.Lgs. 196/2003 (Codice privacy) e D.Lgs. 101/2018 ·
Autorità garante in Italia Garante per la protezione dei dati personali ·
Sanzioni massime GDPR 20 milioni di euro o 4% del fatturato annuo globale

Panoramica rapida

1Fatti confermati
2Cosa resta incerto
  • Tempistiche definitive per il regolamento ePrivacy
  • Impatto preciso dell’AI Act sulle attuali pratiche di trattamento dati
  • Evoluzione della giurisprudenza sulla responsabilità per data breach
3Segnale temporale
  • 25 maggio 2018 – Entrata in vigore del GDPR (EUR-Lex)
  • 19 settembre 2018 – D.Lgs. 101/2018 di adeguamento italiano (Garante)
  • 10 giugno 2021 – Linee guida cookie del Garante (Garante)
  • 17 aprile 2026 – Provvedimento del Garante sui tracking pixel (Garante)
4Cosa viene dopo
  • Regolamento ePrivacy in discussione – proposta ancora in esame
  • AI Act in vigore dal 1° agosto 2024 – impatto sulla privacy dal 2026
  • Data Act applicabile dal 12 settembre 2025

Cinque dati fondamentali per capire il quadro normativo italiano sulla privacy digitale, uno per riga.

Indicatore Valore
Data di entrata in vigore del GDPR 25 maggio 2018 (EUR-Lex (Regolamento UE 2016/679))
Legge italiana di adeguamento D.Lgs. 101/2018 (Garante per la protezione dei dati personali (Linee guida cookie))
Sanzione massima GDPR 20 milioni € o 4% fatturato annuo globale (EUR-Lex (Regolamento UE 2016/679))
Numero di multe del Garante dal 2018 oltre 300 (dato indicativo)
Cookie di profilazione richiedono consenso esplicito (Garante per la protezione dei dati personali (Linee guida cookie))

Qual è l’attuale legge sulla privacy in Italia?

Il Codice in materia di protezione dei dati personali (D.Lgs. 196/2003)

Il cuore della normativa italiana è il Decreto Legislativo 30 giugno 2003, n. 196, noto come Codice in materia di protezione dei dati personali. Questo testo ha recepito la direttiva europea 95/46/CE e ha rappresentato per quindici anni il riferimento principale per il trattamento dei dati in Italia.

Le modifiche del D.Lgs. 101/2018 di adeguamento al GDPR

Con l’entrata in vigore del GDPR (Regolamento UE 2016/679), l’Italia ha dovuto armonizzare il proprio Codice. Il D.Lgs. 10 agosto 2018, n. 101 ha modificato il D.Lgs. 196/2003 per allinearlo al regolamento europeo, abrogando le norme contrastanti e introducendo disposizioni specifiche per il contesto italiano (EUR-Lex (Regolamento UE 2016/679)).

Il ruolo del Garante per la protezione dei dati personali

L’autorità di controllo indipendente è il Garante per la protezione dei dati personali, istituito con la legge n. 675/1996 e ora disciplinato dal Codice privacy. Il Garante vigila sul rispetto della normativa, emana linee guida (ad esempio sulle linee guida cookie del 10 giugno 2021) e irroga sanzioni. Le sue decisioni sono vincolanti per soggetti pubblici e privati.

Il punto

L’Italia non ha una legge sulla privacy tutta sua: il GDPR è direttamente applicabile, mentre il Codice privacy fa da cornice nazionale. Per le aziende italiane, questo significa dover rispettare entrambi i livelli normativi.

Il punto centrale è che la normativa italiana non si sostituisce al GDPR, ma lo integra con disposizioni specifiche.

Cosa si intende per privacy digitale?

Differenza tra privacy e protezione dei dati personali

La privacy è il diritto alla riservatezza della sfera personale; la protezione dei dati personali è il diritto di controllo sulle proprie informazioni. In ambito digitale, questi due concetti si intrecciano: ogni volta che usiamo un’app, un social o un sito web, lasciamo tracce che possono essere raccolte, analizzate e conservate.

Ambito digitale: dati online, tracciamento, comunicazioni elettroniche

Secondo la direttiva ePrivacy (EUR-Lex (Direttiva 2002/58/CE)), la riservatezza delle comunicazioni elettroniche è un principio fondamentale. Ciò include la protezione dei dati di traffico, della localizzazione e dei cookie. In Italia, il Garante ha ribadito che il consenso per i cookie di profilazione deve essere esplicito e non può essere presunto (Corte di giustizia dell’Unione europea (sentenza Planet49)).

Il GDPR è ancora in vigore?

Conferma della vigenza del GDPR nell’UE

Sì, il GDPR (Regolamento UE 2016/679) è pienamente in vigore e si applica in tutta l’Unione Europea dal 25 maggio 2018. Non è stato abrogato né sostituito. La sua efficacia è confermata dalla giurisprudenza della Corte di giustizia e dalle attività delle autorità di controllo (EUR-Lex (Regolamento UE 2016/679)).

Novità previste per il 2026 (regolamento ePrivacy, AI Act)

Il regolamento ePrivacy, che dovrebbe sostituire l’attuale direttiva, è ancora in discussione. Le tempistiche definitive restano incerte. L’AI Act, invece, è entrato in vigore il 1° agosto 2024 e avrà impatto sulle pratiche di trattamento dati legate all’intelligenza artificiale, con possibili modifiche dal 2026 (EUR-Lex (AI Act)).

Rapporto con la normativa italiana

L’Italia ha recepito il GDPR con il D.Lgs. 101/2018, che ha modificato il Codice privacy. Le disposizioni del GDPR sono direttamente applicabili, mentre il Codice italiano integra aspetti procedurali e sanzionatori nazionali. Il Garante resta l’autorità di riferimento per l’applicazione sul territorio.

Perché è importante

Chi si occupa di compliance in Italia deve monitorare sia l’evoluzione europea (ePrivacy, AI Act) sia i provvedimenti del Garante, che spesso anticipano o specificano le regole generali.

Monitorare l’evoluzione normativa è quindi un obbligo concreto per chi gestisce dati personali.

Quali sono i 7 principi del GDPR?

L’articolo 5 del GDPR elenca sette principi fondamentali che guidano ogni trattamento di dati personali. Eccoli in sintesi:

  • Liceità, correttezza e trasparenza – il trattamento deve avere una base giuridica ed essere comunicato all’interessato.
  • Limitazione della finalità – i dati possono essere raccolti solo per scopi determinati e legittimi.
  • Minimizzazione dei dati – raccogliere solo i dati strettamente necessari.
  • Esattezza – i dati devono essere accurati e aggiornati.
  • Limitazione della conservazione – conservare i dati solo per il tempo necessario.
  • Integrità e riservatezza – proteggere i dati da accessi non autorizzati.
  • Responsabilizzazione (accountability) – il titolare deve dimostrare di aver adottato misure adeguate (EUR-Lex (Regolamento UE 2016/679)).

Il pattern: sette principi, un’unica logica – il controllo e la trasparenza sul ciclo di vita dei dati.

Quali sono i dati sensibili da non pubblicare?

Categorie particolari di dati personali (art. 9 GDPR)

I dati sensibili sono quelli che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché i dati genetici, biometrici, relativi alla salute, alla vita sessuale o all’orientamento sessuale.

Esempi e conseguenze

Pubblicare online l’orientamento politico di una persona senza il suo consenso esplicito viola l’art. 9 del GDPR. La sanzione può arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale (EUR-Lex (Regolamento UE 2016/679)). Il consenso per il trattamento di queste categorie deve essere esplicito e specifico, non può essere dedotto da un comportamento inerte.

È meglio accettare o rifiutare i cookie?

Cookie tecnici vs cookie di profilazione

I cookie tecnici sono necessari per il funzionamento del sito (ad esempio per la navigazione o l’autenticazione) e non richiedono consenso. I cookie di profilazione tracciano il comportamento dell’utente per finalità pubblicitarie o di marketing: per questi è obbligatorio il consenso esplicito.

Caratteristica Cookie tecnici Cookie di profilazione
Finalità Fornire il servizio richiesto Tracciare e profilare l’utente
Consenso richiesto No (base giuridica: necessario) Sì, esplicito e informato
Esempi Cookie di sessione, di autenticazione Cookie di retargeting, analitici di terze parti

Tre differenze, un unico principio: il consenso deve essere libero, specifico, informato e inequivocabile (Corte di giustizia dell’Unione europea (sentenza Planet49)).

Consenso informato e banner cookie

Le linee guida del Garante del 10 giugno 2021 richiedono che il banner cookie sia chiaro, che l’utente possa scegliere in modo granulare e che il rifiuto sia semplice quanto l’accettazione (Garante per la protezione dei dati personali (Linee guida cookie)).

Come gestire le preferenze nei browser

Oggi la maggior parte dei browser offre impostazioni per bloccare i cookie di terze parti. Strumenti come la funzionalità “Do Not Track” o le preferenze avanzate di Chrome, Firefox e Safari permettono di limitare il tracciamento senza dover cliccare ogni volta “Rifiuta tutto”.

In sintesi: Per la maggior parte degli utenti italiani, rifiutare i cookie di profilazione riduce significativamente il tracciamento pubblicitario. Per le aziende: adeguare il banner cookie alle linee guida del Garante è obbligatorio, non opzionale.

In definitiva, la scelta consapevole dell’utente è il fondamento della privacy digitale.

Guida pratica alla conformità privacy in Italia

  1. Mappare i trattamenti di dati personali – creare un registro dei trattamenti come richiesto dall’art. 30 GDPR.
  2. Redigere l’informativa privacy – spiegare in modo chiaro quali dati vengono raccolti, per quale fine e su quale base giuridica.
  3. Implementare un banner cookie conforme – con scelta granulare e pari facilità tra accettazione e rifiuto (Garante per la protezione dei dati personali (Linee guida cookie)).
  4. Designare un Data Protection Officer (DPO) – obbligatorio per enti pubblici e per aziende che trattano dati su larga scala.
  5. Gestire il consenso – registrare le preferenze degli utenti e garantire la possibilità di revoca.
  6. Preparare procedure per data breach – notifica al Garante entro 72 ore dalla scoperta (EUR-Lex (Regolamento UE 2016/679)).

Seguire questi passaggi riduce il rischio di sanzioni e aumenta la fiducia degli utenti.

Timeline: privacy digitale in Italia

  • 25 maggio 2018 – Entrata in vigore del GDPR (EUR-Lex)
  • 19 settembre 2018 – Entrata in vigore del D.Lgs. 101/2018 di adeguamento italiano
  • 10 giugno 2021 – Linee guida del Garante su cookie e altri strumenti di tracciamento (Garante per la protezione dei dati personali)
  • 2024 – Proposta di regolamento ePrivacy ancora in discussione
  • 1° agosto 2024 – Entrata in vigore dell’AI Act (EUR-Lex (AI Act))
  • 12 settembre 2025 – Applicazione del Data Act (EUR-Lex (Data Act))
  • 17 aprile 2026 – Provvedimento del Garante sui tracking pixel (Garante per la protezione dei dati personali (Provvedimento tracking pixel))

La sequenza degli eventi mostra un progressivo irrigidimento delle regole europee sulla privacy.

Fatti confermati

  • Il GDPR è in vigore in tutta l’UE dal 25 maggio 2018 (EUR-Lex)
  • Il Codice privacy italiano è il D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 (Garante)
  • I dati sensibili richiedono consenso esplicito (EUR-Lex)

Cosa resta incerto

  • Tempistiche definitive per il regolamento ePrivacy
  • Impatto preciso dell’AI Act sulle attuali pratiche di trattamento dati
  • Evoluzione della giurisprudenza sulla responsabilità per data breach

Punti di vista autorevoli

Il consenso al trattamento dei dati personali deve essere libero, specifico, informato e inequivocabile: nessuna casella pre‑spuntata può sostituire un’azione positiva dell’utente.

– Corte di giustizia dell’Unione europea, sentenza Planet49 (Corte di giustizia UE)

Con il provvedimento del 17 aprile 2026, il Garante chiarisce che l’impiego di tracking pixel coinvolge più soggetti e va valutato caso per caso, alla luce del principio di minimizzazione dei dati.

– Garante per la protezione dei dati personali, comunicato ufficiale (Garante privacy)

L’integrazione tra GDPR e AI Act rappresenta la sfida normativa dei prossimi anni per le aziende italiane che utilizzano sistemi di intelligenza artificiale.

– Esperto intervistato da Agenda Digitale

In sintesi: Il quadro della privacy digitale in Italia è solido ma in evoluzione. Per le aziende italiane: adeguarsi oggi al GDPR e alle linee guida del Garante è il primo passo; prepararsi all’impatto dell’AI Act e del futuro ePrivacy è il passo successivo. Per i cittadini: conoscere i propri diritti (accesso, rettifica, cancellazione, portabilità, opposizione) è la migliore difesa.

Queste dichiarazioni sottolineano che la privacy digitale è un diritto in evoluzione.

Per le aziende italiane che operano nel digitale, la scelta è chiara: investire nella conformità privacy oggi, oppure affrontare sanzioni fino a 20 milioni di euro e la perdita di fiducia degli utenti domani.

Fonti aggiuntive

giovanniperilli.com, freelancedev.it, termly.io, studiolegaleprivacy.com, dirittodelweb.it

Per approfondire il quadro normativo, puoi consultare questa guida completa al GDPR e alla normativa che analizza ogni aspetto della protezione dati in Italia.

Da non perdere

Domande frequenti

Cosa succede se un’azienda viola la privacy di un utente?

L’azienda può essere sanzionata dal Garante con multe fino a 20 milioni di euro o al 4% del fatturato annuo globale. L’utente può chiedere il risarcimento del danno e ottenere la cancellazione dei dati. (EUR-Lex (Regolamento UE 2016/679))

Quali sono i diritti dell’interessato secondo il GDPR?

I diritti sono: accesso, rettifica, cancellazione (diritto all’oblio), limitazione del trattamento, portabilità dei dati, opposizione e non essere sottoposto a decisioni automatizzate. (Art. 15-22 GDPR)

Come posso fare reclamo al Garante per la privacy?

Puoi presentare un reclamo online tramite il sito del Garante (www.garanteprivacy.it), via PEC o raccomandata, indicando i dati del titolare del trattamento e la violazione subita.

Posso pubblicare foto di altre persone senza il loro consenso?

No, salvo eccezioni (es. eventi pubblici, finalità giornalistiche, consenso esplicito). Pubblicare foto senza autorizzazione viola la privacy e può portare a sanzioni. (Garante)

Cosa sono i dati biometrici e come vengono protetti?

I dati biometrici (impronte digitali, riconoscimento facciale, scansione dell’iride) sono considerati dati sensibili. Il loro trattamento è vietato salvo consenso esplicito o altra base giuridica specifica. (Art. 9 GDPR)

Come cancellare i miei dati personali da un sito web?

Devi esercitare il diritto alla cancellazione (diritto all’oblio) contattando il titolare del trattamento. Se il sito non risponde entro 30 giorni, puoi rivolgerti al Garante. (Art. 17 GDPR)

Il nuovo AI Act influenzerà la privacy digitale in Italia?

Sì, l’AI Act introduce obblighi per i sistemi di IA ad alto rischio, inclusi quelli che trattano dati personali. Le aziende dovranno garantire trasparenza e valutazioni d’impatto sulla privacy. (EUR-Lex (AI Act))

Letture correlate



Altri articoli correlati

Economia Italiana: Stato, Prospettive e Rischi 2025-2026 Bonus Casa Italia 2026: Detrazioni 50% Ristrutturazioni Pensioni in Italia: Età, Requisiti e Novità 2026 Esami di Stato Italia – Date, Materie e Iscrizioni 2024 Fisco Italiano: Guida a Controlli, Debiti e Tasse Superbonus Notizie: Ultime Novità, Frodi e Benefici 2026 Cybersecurity Italia: ACN, Stipendi e Aziende Principali Nazionale Italiana: Eliminata dai Mondiali 2026
Riccardo Andrea Bianchi Moretti

Informazioni sull'autore

Riccardo Andrea Bianchi Moretti

La redazione unisce aggiornamenti rapidi e spiegazioni chiare.

GiornaleReport.it

GiornaleReport.it unisce notizie, guide e analisi in un layout editoriale moderno. Aggiornato continuamente dalla redazione.

Popolari

Briefing quotidiani della redazione e risorse di trasparenza, pensati per una verifica rapida.

Articoli recenti

Aggiornamenti urgenti rivisti dalla redazione prima della pubblicazione.

Contatti

Canale contatti focalizzato sulle segnalazioni, con instradamento rapido di suggerimenti e correzioni.

Risposta della redazione: in genere entro un giorno lavorativo.

© 2026 GiornaleReport.it