Trattamento dei dati personali e standard di legalità: elementi di preminenza delle esigenze di circolazione?

Authors

  • Benedetto Ponti

DOI:

https://doi.org/10.32091/RIID0259

Keywords:

GDPR, Data free movement, Instrumental legality, Processing purpose, EHDS

Abstract

Personal data processing and legality standards: evidence of the growing primacy of data free movement?
Starting from the features of the meta-principle of purpose limitation and the necessity clause, the essay shows how the GDPR constructs a functional standard of legality, including with regard to data processing carried out for the performance of a task in the public interest. Given the margin of discretion left by the GDPR in this domain, the Italian legal system was initially characterised by a framework inspired by a strict legality standard (requiring detailed legislative predetermination of data, operations, and purposes), before subsequently aligning with functional legality as a result of the amendments to the Privacy Code introduced in 2021. The two standards analysed entail a different balance between the need to protect personal data and the need to ensure their circulation. The essay concludes by illustrating two examples – one at the national level (the national-interest databases in the context of the PDND) and one at the European level (the EHDS Regulation) – in order to show how, more recently, regulatory strategies have emerged that, through a “strategic” use of lawful bases for data processing and of the meta-principle of purpose limitation, aim to encourage the circulation and secondary use of personal data. These developments signal a trend toward the progressive erosion of the centrality of consent and a shift in the balance between data protection and data-sharing needs.

Author Biography

  • Benedetto Ponti

    Associate professor of administrative law at the University of Perugia

References

R. Becker, D. Chokoshvili, E.S. Dove (2024), Legal bases for effective secondary use of health and genetic data in the EU: time for new legislative solutions to better harmonize data for cross-border sharing?, in “International Data Privacy Law”, vol. 14, 2024, n. 3

A. Bendiek, M. Römer (2019), Externalizing Europe: the global effects of European data protection, in “Digital Policy, Regulation and Governance”, vol. 21, 2019, n. 1

E.R. Brouwer (2011), Legality and data protection law: The forgotten purpose of purpose limitation, in L.F.M. Besselink, F. Pennings, S. Prechal (eds.),“The eclipse of the legality principle in the European Union”, Kluwer Law International, 2011

G. Buttarelli (2016), The EU GDPR as a clarion call for a new global digital gold standard, in “International Data Privacy Law”, vol. 6, 2016, n. 2

G. Carullo (2024), Dati personali e fini pubblici: dubbi di compatibilità europea del Codice Privacy, in “CERIDAP”, 2024, n. 3

G. Carullo (2020), Trattamento di dati personali da parte delle pubbliche amministrazioni e natura del rapporto giuridico con l’interessato, in “Rivista italiana di diritto pubblico comunitario”, 2020, 1-2

S. Chirică (2017), The main novelties and implications of the new general data protection regulation, in “Perspectives of business law journal”, vol. 6, 2017

G.D. Colapietro (2018), I principi ispiratori del Regolamento UE 2016/679 sulla protezione dei dati personali e la loro incidenza sul contesto normativo nazionale, in “federalismi.it”, 2018, n. 22

G. Comandè, G. Schneider (2021), Can the GDPR make data flow for research easier? Yes it can, by differentiating! A careful reading of the GDPR shows how EU data protection law leaves open some significant flexibilities for data protection-sound research activities, in “Computer Law & Security Review”, vol. 41, 2021

D. Elgesem (1999), The structure of rights in Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and the free movement of such data, in “Ethics and Information Technology”, vol. 1, 1999, n. 4

S. Franca (2023), I dati personali nell’amministrazione pubblica: attività di trattamento e tutela del privato, Università degli Studi di Trento, 2023

F. Francario (2025), Il trattamento dei dati personali per finalità d’interesse pubblico, in “Rivista italiana di informatica e diritto”, 2025, n. 2

F. Francario (2022), Protezione dati personali e Pubblica Amministrazione, in “GiustiziaInsieme”, 1° settembre 2021 e in C. Pisani, G. Proia, A. Topo (a cura di) “Privacy e Lavoro. La circolazione dei dati personali e i controlli nel rapporto di lavoro”, vol. II, Giuffrè, 2022

C.J. Hoofnagle, B. Van Der Sloot, F.Z. Borgesius (2019), The European Union general data protection regulation: what it is and what it means, in “Information & Communications Technology Law”, vol. 28, 2019, n. 1

Y. Lin (2024), More Than an Enforcement Problem: The General Data Protection Regulation, Legal Fragmentation, and Transnational Data Governance, in “Columbia Journal of Transnational Law”, vol. 62, 2024, n. 1

D. Lindsay (2017), The Role of Proportionality in Assessing Trans-Atlantic Flows of Personal Data, in D.J.B. Svantesson, D. Kloza (eds.), “Trans-Atlantic Data Privacy Relations as a Challenge for Democracy”, European Integration and Democracy Series. Intersentia, 2017

O. Lynskey (2015), The foundations of EU data protection law, Oxford University Press, 2015

F. Midiri (2025), Il ruolo delle autorità indipendenti nella regolazione del trattamento dei dati, in “Rivista italiana di informatica e diritto”, 2025, n. 2

S. Niger (2022), La protezione dei dati personali nella pubblica amministrazione. L’esperienza italiana, in “European review of digital administration & law”, vol. 3, 2022, n. 2

S. Orlando (2024), Sulla necessità di un controllo di liceità sostanziale per tutte le basi del trattamento dei dati personali, in “Persona e mercato”, 2024, n. 3

B. Ponti (2023-a), Attività amministrativa e trattamento dei dati personali: gli standard di legalità tra tutela e funzionalità, FrancoAngeli, 2023

B. Ponti (2023-b), Tre scenari di digitalizzazione amministrativa “complessa”: dalla interoperabilità predicata alla standardizzazione praticata, in “Istituzioni del federalismo: rivista di studi giuridici e politici”, 2023, n. 3

P. Quinn, E. Ellyne, C. Yao (2024), Will the GDPR Restrain Health Data Access Bodies Under the European Health Data Space (EHDS)?,in “Computer Law & Security Review”, vol. 54, 2024

P. Voigt, A. Von dem Bussche (2017), The EU general data protection regulation (GDPR). A practical guide, 1st edition, Springer, 2017

N. Zorzi Galgano (2019-a), Persona e mercato dei dati. Riflessioni sul GDPR, Cedam, 2019

N. Zorzi Galgano (2019-b), Le due anime del GDPR e la tutela del diritto alla privacy, in “Persona e mercato dei dati. Riflessioni sul GDPR”, Cedam, 2019

Downloads

Published

2026-01-13

Issue

Volume 7 , Issue 2 (2025)

Section

Monographic section - Data between Administrative Governance and Market

License

Copyright (c) 2026 Rivista italiana di informatica e diritto

Creative Commons License

This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

How to Cite

[1]
Ponti, B. 2026. Trattamento dei dati personali e standard di legalità: elementi di preminenza delle esigenze di circolazione?. Rivista italiana di informatica e diritto. 7, 2 (Jan. 2026), 11. DOI:https://doi.org/10.32091/RIID0259.