La legislazione sulla privacy in Italia è attualmente contenuta nella Costituzione (articoli 15 e 21), nel Codice penale (Capo III - Sezione IV) e - parzialmente - nel Decreto legislativo 30 giugno 2003, n. 196, intitolato Codice in materia di protezione dei dati personali e noto impropriamente [1] anche come Testo unico sulla privacy.
Il D.Lgs 196/2003 abroga la precedente legge 675/96, Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, che era stata introdotta per rispettare gli Accordi di Schengen ed era entrata in vigore nel maggio 1997. Con il tempo a tale norma si erano affiancate ulteriori diverse disposizioni, riguardanti singoli specifici aspetti del trattamento dei dati, che sono state riassunte nel Testo Unico vigente, entrato in vigore il 1º gennaio 2004.
Sull'applicazione della normativa vigila l'Autorità Garante per la protezione dei dati personali, istituita dalla L. 675/1996 e confermata dal Testo Unico del 2003.
Chi sia leso nei diritti sui propri dati riconosciuti dal d. lgs. 196/03 (raccolta dei dati senza il consenso, consenso acquisito senza fornire la preventiva informativa di legge, trattamento dei dati oltre i limiti del consenso dato, negazione o limitazione al diritto di accesso) può ricorrere al Garante per la protezione dei dati personali (con una procedura piuttosto rapida e costi contenuti) o al giudice civile (con costi e tempi maggiori). Se invece a seguito del trattamento dei dati non conforme alla legge si è subito un danno (non necessariamente economico, dunque anche consistente nel disagio arrecato dal fatto) il risarcimento può essere concesso solamente dal giudice civile.