Il GDPR limita la sua applicazione materiale escludendo alcuni trattamenti e alcuni dati, rispetto alle norme nazionali di recepimento, segnatamente quella italiana (Dlgs. 196/2003).
Infatti, in base al regolamento, sono escluse totalmente i trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico (art. 2). Tale limitazione era già presente nella direttiva (ultimo capoverso dell’articolo 3).
Tuttavia, in Italia prevale, fino all’abrogazione della direttiva europea 45 del 1996, il Codice Privacy che prevede all’art. 5 comma 3 per tali attività si applichino gli art. 15 (responsabilità per danni arrecati con onere di inversione della prova) e art. 31 (obblighi di sicurezza): quindi chiunque deve proteggere i dati personali altrui e risponde dei danni arrecati agli interessati.
Il considerando 27 del GDPR esclude dal campo di applicazione del medesimo i dati delle persone decedute. Quindi ai dati delle persone morte non si applica nessuna delle previsioni del regolamento.
I dati dei deceduti potrebbero essere però considerati dati personali dei figli e dei parenti superstiti.