Il 19 novembre 2025 la Commissione europea (la “Commissione”) ha presentato il Digital Omnibus[1], una proposta di riforma che interviene su un ampio corpus della legislazione digitale dell’Unione europea (la “Proposta”). L’obiettivo dichiarato è quello di semplificare il quadro normativo e ridurre gli oneri di compliance per le imprese, intervenendo su strumenti chiave quali il GDPR, il Data Act, la direttiva e-Privacy, la direttiva NIS2 e il Data Governance Act. In questo contesto si inserisce il parere congiunto adottato l’11 febbraio 2026 dall’EDPB (European Data Protection Board) e dall’EDPS (European Data Protection Supervisor) (il “Parere Congiunto”). Le due Autorità accolgono positivamente l’intento della Commissione di rendere più coerente e gestibile il quadro regolatorio digitale europeo. Tuttavia, il Parere Congiunto evidenza anche una tensione di fondo: alcune delle semplificazioni proposte rischiano di incidere su elementi strutturali del sistema della protezione dei dati, generando nuove incertezze giuridiche e riducendo potenzialmente il livello di tutela degli interessati. Le semplificazioni accolte positivamente dalle Autorità Il Parere Congiunto riconosce come alcune misure di semplificazione possano contribuire in maniera positiva alla coerenza dell’impianto normativo europeo. Si tratta, in particolare, di proposte di modifica che incidono sui seguenti ambiti: Le modifiche che rischiano di creare nuove incertezze Accanto agli elementi positivi, il Parere Congiunto esprime forti riserve su alcune modifiche che potrebbero incidere negativamente sul livello di protezione e/o rendere più difficile per gli interessati esercitare i propri diritti. La questione più delicata riguarda la proposta di modificare la definizione di “dato personale”. La Commissione propone di codificare una lettura più “soggettiva” del concetto, secondo la quale un’informazione non dovrebbe essere considerata dato personale per una determinata impresa se quest’ultima non è in grado di identificare la persona fisica cui l’informazione si riferisce. Secondo EDPB e EDPS, questa modifica andrebbe ben oltre una semplice precisazione tecnica del GDPR. Essa restringerebbe significativamente la nozione di dato personale e potrebbe incoraggiare interpretazioni opportunistiche da parte dei titolari del trattamento. In particolare, le Autorità osservano che la Proposta non tiene adeguatamente conto di elementi centrali dell’attuale interpretazione del concetto di dato personale, come la possibilità di “singling out”, ossia la capacità di isolare o distinguere un individuo all’interno di un insieme di dati anche senza identificarlo direttamente[7]. Per queste ragioni, il Parere Congiunto invita esplicitamente i co-legislatori a non adottare le modifiche proposte. Una criticità analoga emerge in relazione alla pseudonimizzazione. La Proposta introduce un nuovo art. 41-bis del GDPR che attribuirebbe alla Commissione il potere di adottare atti di esecuzione per stabilire quando i dati pseudonimizzati possano non essere più considerati dati personali per determinate entità. Anche in questo caso le Autorità esprimono forti perplessità: stabilire quando un’informazione cessa di essere dato personale incide direttamente sull’ambito di applicazione del GDPR e, secondo EDPB ed EDPS, una decisione di tale portata non dovrebbe essere delegata a un atto di esecuzione della Commissione. Cookie, consenso e nuove regole per i dati nei dispositivi Un altro aspetto rilevante riguarda il tentativo della Commissione di affrontare il problema della “consent fatigue” generata dalla proliferazione dei cookie banner. La Proposta mira a trasferire parte della disciplina prevista dalla direttiva e-Privacy all’interno del GDPR. In particolare, verrebbe introdotto un nuovo art. 88-bis relativo alla protezione dei dati memorizzati nelle apparecchiature terminali degli utenti. L’obiettivo è semplificare il quadro normativo, ma secondo il Parere Congiunto la soluzione proposta rischia di produrre l’effetto opposto. La disciplina verrebbe infatti divisa tra GDPR (per i dati personali) e direttiva ePrivacy (per i dati non personali), mentre nella pratica le informazioni presenti nei dispositivi degli utenti possono includere entrambe le tipologie. Questo renderebbe spesso necessario un esame caso per caso per determinare quale regime applicare, mantenendo inoltre una frammentazione della supervisione tra autorità diverse. La Proposta amplia inoltre le eccezioni al consenso per l’accesso ai dati memorizzati nell’apparecchiatura terminale[8], includendo – tra le altre – la fornitura di servizi esplicitamente richiesti, la misurazione dell’audience e finalità di sicurezza. Le Autorità ritengono necessario introdurre limiti più stringenti, soprattutto nel caso dell’audience measurement, che dovrebbe basarsi su dati aggregati anonimi e non essere utilizzato per altre finalità né combinato con dati provenienti da altri servizi (del fornitore o di terzi), né tantomeno i dati dovrebbero essere condivisi con terzi. Interessante è invece il suggerimento avanzato nel Parere Congiunto di prevedere una specifica eccezione per la pubblicità contestuale, considerata generalmente meno invasiva rispetto alla pubblicità comportamentale perché basata esclusivamente sulla visita corrente a una pagina web o su una singola query di ricerca e priva di collegamenti con l’attività passata o futura dell’utente. Intelligenza artificiale e basi giuridiche del trattamento La Proposta interviene anche sul rapporto tra GDPR e sviluppo/funzionamento di sistemi e modelli di intelligenza artificiale (“IA”). In particolare, riconosce esplicitamente il legittimo interesse possa costituire, in determinate circostanze, una base giuridica per lo sviluppo o il funzionamento di sistemi o modelli di IA. EDPB e EDPS concordano sul principio, ma osservano che la formulazione proposta non introduce chiarimenti sostanziali rispetto all’interpretazione già fornita dall’EDPB nel Parere 28/2024[9]. Le Autorità suggeriscono quindi di esplicitare alcuni aspetti operativi, tra cui la necessità di effettuare una LIA (legitimate interest assessment) e verificare, dunque, che gli interessi e i diritti fondamentali degli interessati non prevalgano su quelli del titolare. Un tema analogo emerge con riferimento al trattamento incidentale di categorie particolari di dati durante l’addestramento di sistemi di IA, ad esempio nel caso dei modelli di IA generativa. Le Autorità riconoscono che in tali contesti può essere difficile evitare completamente il trattamento di dati “sensibili”, ma raccomandano di limitare espressamente l’eccezione ai casi in cui tale trattamento sia effettivamente incidentale e residuale e di prevedere adeguate garanzie lungo l’intero ciclo di vita del sistema di IA. Diritto di accesso e decisioni automatizzate La Proposta affronta anche due temi operativi particolarmente rilevanti: l’abuso del diritto di accesso e il processo decisionale automatizzato. Nel primo caso, la Commissione propone che il titolare del trattamento possa rifiutare una richiesta di accesso o richiedere un corrispettivo ragionevole qualora l’interessato eserciti tale diritto per finalità diverse dalla tutela dei propri dati personali. EDPB e EDPS ritengono positivo chiarire cosa possa costituisce un abuso, ma sottolineano che ciò non dovrebbe essere collegato all’esercizio del diritto di accesso per finalità diverse dalla protezione dei dati in quanto il GDPR contribuisce anche alla tutela di altri diritti fondamentali. Secondo il Parere Congiunto, il concetto di “abuso di diritti” dovrebbe essere collegato piuttosto alla presenza di un intento abusivo evidente, come l’intenzione di causare un danno al titolare. Per quanto riguarda il processo decisionale automatizzato, le Autorità accolgono con favore l’obiettivo di chiarire le eccezioni al divieto previsto dal GDPR[10], ma raccomandano di evitare formulazioni che possano suggerire che tali decisioni siano automaticamente ammissibili ogni volta che esiste un rapporto contrattuale, indipendentemente dal requisito della necessità. Conclusioni Il Parere Congiunto dell’EDPB e dell’EDPS mette in luce un nodo centrale nel dibattito europeo sulla regolazione digitale: semplificare è necessario per ridurre gli oneri amministrativi e rafforzare la competitività dell’Unione europea, ma la semplificazione non può tradursi in una riduzione del livello di tutela dei diritti fondamentali. Se alcune delle modifiche proposte dalla Commissione sembrano effettivamente idonee a razionalizzare obblighi e procedure – ad esempio in materia di notifiche di data breach o coordinamento tra normative europee – altre incidono su concetti cardine del diritto della protezione dei dati e rischiano di generare nuove incertezze interpretative. Il Digital Omnibus è ora all’esame del Parlamento europeo e del Consiglio. Solo nelle prossime fasi del processo legislativo sarà possibile comprendere se (e in quale misura) le raccomandazioni delle Autorità saranno recepite dal legislatore. [1] Il Digital Omnibus si compone di tre diverse proposte normative (COM(2025) 837, 836 e 835, volte a semplificare la disciplina in materia di dati, personali e non (Data Act, GDPR, Data Governance Act, etc.), le norme sui cookie e le altre tecnologie di tracciamento previste dalla Direttiva e-Privacy, gli obblighi di segnalazione degli incidenti connessi alla cybersicurezza (NIS2), la corretta applicazione delle norme dell’AI Act, nonché altri aspetti relativi all’identificazione elettronica e ai servizi fiduciari nell’ambito del quadro europeo relativo a un’identità digitale. [2] La Proposta prevede l’inserimento del n. 38) all’interno dell’art. 4 del GDPR, contenente la definizione di “ricerca scientifica”, intendendosi con la stessa “qualsiasi tipo di ricerca che possa anche favorire l’innovazione, come lo sviluppo tecnologico e la dimostrazione. Le azioni condotte nel quadro di tale ricerca contribuiscono al miglioramento delle conoscenze scientifiche esistenti o applicano tali conoscenze in modo nuovi, hanno l’obiettivo di contribuire ad accrescere le conoscenze e il benessere generali della società e rispettano le norme etiche nel settore di ricerca pertinente. Ciò non esclude che la ricerca possa anche mirare a promuovere un interesse commerciale”. [3] In particolare, EDPB e EDPS accolgono con favore che la Proposta chiarisca l’applicazione del principio di limitazione delle finalità (art. 5(1)(b) del GDPR), prevedendo che il trattamento ulteriore per scopi di archiviazione nel pubblico interesse, per scopi di ricerca scientifica o storica o per scopi statistici, debba essere considerato compatibile con le finalità iniziali, indipendentemente dalle condizioni dell’art. 6(4) del GDPR. Quest’ultimo, riguardante il trattamento ulteriore dei dati personali per finalità diverse da quelle per cui sono stati raccolti, stabilisce che, se il nuovo scopo non è compatibile con quello iniziale e non si basa sul consenso o sul diritto UE/Stato membro, il titolare deve verificare la compatibilità della nuova finalità con quella originaria, considerando il legame tra le finalità, il contesto, la natura dei dati, le conseguenze e le garanzie. [4] La Proposta prevede che l’informativa non sarà necessaria se la fornitura delle informazioni si riveli impossibile o implichi uno sforzo sproporzionato, oppure se è probabile che ciò renda impossibile o pregiudichi gravemente il conseguimento delle finalità. In ogni caso, il titolare dovrà adottare misure appropriate per tutelare diritti e libertà degli interessati, anche rendendo pubbliche le informazioni. [5] Per maggiori approfondimenti sulle modifiche previste nella Proposta in riferimento ai data breach, si rinvia a un nostro precedente contributo, disponibile qui. [6] La Proposta attribuisce inoltre alla Commissione europea il compito di approvare e rivedere o modificare tali modelli. L’EDPB e l’EDPS ritengono invece che l’EDPB dovrebbe essere pienamente responsabile sia della preparazione sia dell’approvazione di tali documenti, mentre all’EDPS dovrebbero essere attribuite competenze corrispondenti nell’ambito dell’EUDPR (Reg. 2018/1725, ossia la normativa sulla protezione dei dati personali applicabile alle istituzioni, organi e organismi dell’UE). [7] Tale principio viene espresso all’interno del Considerando 26 del GDPR, quale prevede espressamente che: “[…]. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. […]” [8] Il nuovo art. 88-bis prevede che il trattamento è consentito per effettuare la trasmissione di una comunicazione elettronica su una rete di comunicazione elettronica; per fornire un servizio esplicitamente richiesto dall’interessato; per generare informazioni aggregate sull’uso di un servizio online per misurare l’audience di tale servizio (solo uso interno del titolare); per mantenere o ripristinare la sicurezza di un servizio o del terminale. [9] Per maggiori approfondimenti su tale parere, rinviamo al nostro precedente contributo “Protezione dei dati personali nell’IA: il Parere dell’EDPB su anonimizzazione, interesse legittimo e conseguenze di un trattamento illecito”. [10] Il nuovo testo dell’art. 22 del GDPR consente l’adozione di decisioni interamente automatizzate qualora le stesse siano necessarie all’esecuzione di un contratto tra titolare e interessato, anche se tali decisioni potrebbero teoricamente essere ottenute in modo manuale.
