Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

privacy

Universalità del dato personale: perché è a rischio col Digital Omnibus

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

La bozza Digital Omnibus ridefinisce il dato personale limitandolo ai casi di identificazione ragionevole. Questa modifica rischia di compromettere l’universalità della tutela prevista dall’articolo 8 della Carta UE, introducendo criteri variabili dipendenti dalle capacità del titolare del trattamento

Pubblicato il 17 nov 2025
Francesca Niola

Research Fellow Legal manager @ Aisma srl

Dati personali e IA (1) Universalità del dato personale

La nozione di dato personale rappresenta il fondamento dell’intero sistema europeo di protezione della privacy digitale. Con la proposta di riforma contenuta nel pacchetto Digital Omnibus, questo concetto affronta una trasformazione che ne ridefinisce i confini applicativi e solleva interrogativi costituzionali sulla tenuta del principio di universalità sancito dalla Carta dei diritti fondamentali dell’Unione europea.

Vogliono distruggere il Gdpr, fermiamoli: la minaccia Digital Omnibus

Il fondamento universale della protezione dati nell’ordinamento europeo

L’intervento europeo sulla disciplina dei dati personali prende forma, a partire dal 2016, come traduzione normativa di un diritto fondamentale espresso in termini assolutamente inclusivi: l’articolo 8 della Carta dei diritti fondamentali dell’Unione europea riconosce a «chiunque» il diritto alla protezione dei dati che lo riguardano. Il Regolamento (UE) 2016/679 assume questo enunciato come premessa assiologica e costruisce il concetto di dato personale in chiave oggettiva, attraverso il riferimento a «qualsiasi informazione» relativa a una persona fisica identificata o identificabile, indipendentemente dal punto di vista del singolo titolare e dalla contingenza tecnologica dei mezzi a sua disposizione.

L’universalità della tutela deriva, in questa architettura, dalla combinazione tra estensione soggettiva del diritto – l’apertura a chiunque – ed estensione oggettiva che include ogni informazione suscettibile di collegamento con una persona fisica, anche in forma indiretta o potenziale.

La svolta del Digital Omnibus: verso un criterio relativo di identificabilità

La bozza di riforma inserita nel pacchetto Digital Omnibus introduce una torsione concettuale all’interno di questo equilibrio. La nuova definizione di dato personale limita infatti la qualifica di informazione personale ai soli casi in cui un soggetto possa «ragionevolmente identificare» l’interessato, attraverso i mezzi e le conoscenze accessibili in concreto. Il baricentro della qualificazione giuridica si sposta, in tal modo, dalla natura del dato alla posizione epistemica del soggetto che tratta; da un criterio tendenzialmente universale e oggettivo a un criterio situato, che varia in funzione dell’attore, del contesto, delle risorse tecniche e informative disponibili. Una simile scelta metodologica innesta nel diritto dei dati una logica di responsabilità parametrata al rischio “percepito” dal titolare, più che alla potenzialità intrinseca dell’informazione di incidere sulla sfera personale dell’interessato.

Interrogativi costituzionali sulla frammentazione della tutela

Questa impostazione pone interrogativi di ordine costituzionale e sistematico. Il principio di universalità, scolpito nell’articolo 8 della Carta, postula una tutela che raggiunge ogni individuo in quanto tale e ogni trattamento di dati che interferisce in modo apprezzabile con la sua identità informativa.

Una definizione fondata sulla ragionevole identificabilità dal punto di vista del singolo soggetto introduce una variabile contingente nella delimitazione dell’area protetta: la stessa informazione potrebbe assumere, in contesti differenti, natura personale o natura meramente fattuale, con conseguente oscillazione dello statuto di protezione. La questione centrale riguarda, quindi, la capacità di questa definizione di preservare un nucleo effettivamente universale del diritto alla protezione dei dati, sia sul piano dei destinatari della tutela sia sul piano delle situazioni giuridiche coinvolte.

Struttura e obiettivi dell’analisi giuridica

L’articolo esplora tale questione mediante una ricostruzione articolata. In primo luogo, ricostruisce la portata del principio di universalità alla luce della Carta, del Trattato sul funzionamento dell’Unione europea e della giurisprudenza della Corte di giustizia, con particolare attenzione al rapporto tra identità personale, dignità e controllo sull’informazione.

In secondo luogo, esamina la nuova definizione di dato personale proposta dalla bozza, mettendola in relazione con la nozione originaria del GDPR, con le categorie di identificabilità diretta e indiretta e con il crescente rilievo delle inferenze algoritmiche. Infine, indaga se e in quale misura un criterio di «ragionevole identificabilità» possa mantenere, in concreto, la promessa di universalità che permea l’articolo 8, oppure se tenda a trasformare il diritto alla protezione dei dati in una garanzia selettiva, dipendente dalla posizione e dalle capacità del singolo titolare del trattamento.

Da questa indagine discende una valutazione critica sulla compatibilità della bozza con la struttura dei diritti fondamentali in ambito digitale e sulle eventuali condizioni interpretative o correttive legislative in grado di ricondurre la riforma entro l’orizzonte costituzionale europeo.

L’articolo 8 della Carta: un diritto senza soglie selettive

L’articolo 8 della Carta dei diritti fondamentali dell’Unione europea esprime una concezione pienamente autonoma del diritto alla protezione dei dati personali. La formulazione iniziale, attraverso il riferimento a «chiunque», produce un’estensione soggettiva che non ammette soglie selettive, criteri differenziati o limitazioni fondate sulla capacità del titolare di individuare l’interessato.

La Carta costruisce così un diritto che accompagna l’individuo in ogni fase della sua esposizione informativa, con un contenuto che non dipende dal contesto tecnologico e non varia in funzione delle risorse tecniche, economiche o conoscitive del soggetto che effettua il trattamento.

GDPR e competenza europea: uno strumento di garanzia fondamentale

Questo impianto trova una salda radice nell’articolo 16 del Trattato sul funzionamento dell’Unione europea, che attribuisce al legislatore europeo la competenza a definire un quadro normativo unitario per la protezione dei dati personali.

La competenza esercitata attraverso il GDPR prende forma come attuazione diretta del diritto fondamentale e non come intervento regolatorio privo di fondamento costituzionale: il Regolamento opera come strumento di garanzia, non come limite. La nozione di dato personale contenuta nell’articolo 4, numero 1, utilizza la categoria di «qualsiasi informazione» in modo inclusivo, con una funzione di tutela che raggiunge tutte le situazioni nelle quali una informazione possa assumere un rapporto con una persona fisica reale.

La giurisprudenza della Corte di giustizia sull’identificabilità

La Corte di giustizia ha sviluppato una giurisprudenza coerente con questa logica. Le decisioni relative all’identificabilità indiretta, alla possibilità di combinazione tra set informativi e alla potenzialità tecnica di collegamento con una persona fisica rafforzano una concezione ampia del concetto di dato personale.

L’orientamento giurisprudenziale attribuisce rilievo alla struttura complessiva del trattamento, alla posizione del soggetto che dispone di mezzi ulteriori e all’evoluzione tecnologica, con un approccio che amplia la protezione con il passare del tempo. La tutela fondamentale ottiene quindi un radicamento sistemico che proietta la nozione di dato personale verso l’intero ecosistema digitale, senza introdurre soglie variabili in funzione della capacità contingente del titolare.

Il vincolo costituzionale sulla definizione del dato personale

Sul piano soggettivo, il diritto garantisce protezione a ogni individuo, senza distinzioni legate allo status, alla relazione con il titolare o al livello di identificabilità immediata. Diversamente, sul piano oggettivo, l’informazione entra nell’area protetta attraverso un criterio che valorizza la potenzialità di collegamento con una persona fisica, con un’impostazione che tutela l’integrità dell’identità informativa, la dignità personale e la libertà di autodeterminazione.

Questo assetto produce un vincolo costituzionale preciso: la delimitazione della nozione di dato personale deve conservare un’estensione capace di garantire la protezione in ogni situazione nella quale un’informazione possa incidere sull’identità, sulla reputazione, sulla posizione sociale o sulla sfera giuridica dell’interessato.

La struttura del diritto fondamentale pretende un perimetro definitorio che non introduca variabilità fondate sulla prospettiva del titolare, che non affidi la qualificazione del dato a valutazioni contestuali e che non trasformi la protezione dei dati in una garanzia dipendente dalle capacità, dalle tecnologie o dalle conoscenze possedute dai singoli operatori.

Il sistema Carta-TFUE-GDPR: uniformità come premessa ordinante

Il raccordo tra Carta, TFUE e GDPR costruisce quindi un sistema nel quale l’estensione universale del diritto si traduce in un obbligo di mantenere una definizione uniforme del dato personale, capace di prescindere dalla soggettività del titolare e dalla sua posizione strategica all’interno della filiera informativa. Tale uniformità costituisce la premessa per ogni successiva attività interpretativa e per ogni possibile riforma: senza un concetto stabile di dato personale, il diritto fondamentale perde simmetria, stabilità e funzione ordinante.

Questo nodo teorico forma il punto di contatto diretto con la nuova definizione ipotizzata dal pacchetto Digital Omnibus, che introduce un criterio costruito sulla «ragionevole identificazione» da parte del singolo soggetto e apre la questione della sua compatibilità con il fondamento costituzionale europeo.

La prospettiva dell’operatore al centro della nuova definizione

La nuova definizione proposta nel pacchetto Digital Omnibus produce infatti una trasformazione strutturale del perimetro concettuale del dato personale. Il testo riformatore attribuisce centralità alla prospettiva dell’operatore che tratta l’informazione: il dato acquisisce qualificazione personale quando l’operatore possiede la capacità “ragionevole” di identificare l’interessato attraverso mezzi accessibili nel proprio contesto tecnico, organizzativo e informativo. Questa formulazione conferisce alla categoria giuridica una matrice funzionale, fondata sulle condizioni situate del soggetto che effettua il trattamento. Il criterio di identificabilità diventa, pertanto, un parametro relativo e graduato, fortemente sensibile alla variabilità dei mezzi disponibili, ai livelli di interoperabilità e alle capacità di correlazione tra dataset eterogenei.

Lo scarto rispetto all’impianto originario del GDPR

La disposizione in esame è idonea a produrre un evidente scarto rispetto alla definizione contenuta nell’articolo 4, paragrafo 1, del Regolamento (UE) 2016/679, che valorizza l’idoneità dell’informazione a riferirsi a una persona fisica identificata o identificabile attraverso qualsiasi mezzo che un soggetto terzo può ragionevolmente utilizzare. L’architettura originaria del GDPR si fonda su un criterio oggettivo, ancorato a una potenzialità di collegamento che prescinde dalla posizione particolare dell’operatore. Il dato personale risulta tale in virtù della sua relazione con l’identità della persona fisica considerata nella sua dimensione propria e nella sua esposizione sistemica ai trattamenti digitali.

Un regime dinamico con qualificazione variabile del dato

La formulazione contenuta nella bozza orienta, invece, la qualificazione giuridica verso una valutazione circoscritta, basata sul patrimonio informativo dell’operatore, sulle sue risorse e sulle tecniche incorporabili nei processi di trattamento. Una stessa informazione può acquisire natura personale in un contesto dotato di capacità elevate di analisi e correlazione, mentre può assumere una natura diversa in un contesto con strumenti limitati. La disciplina crea, così, un regime dinamico, nel quale la categoria giuridica muta in ragione della collocazione tecnico-organizzativa dell’attività di trattamento.

Pseudonimizzazione e inferenze algoritmiche: criticità applicative

Questa architettura genera conseguenze rilevanti nell’interazione con fenomeni centrali dell’ecosistema digitale. Da un lato, le tecniche di pseudonimizzazione, elaborate dal GDPR come strumenti di mitigazione del rischio, mantengono una distanza costante dal concetto di anonimato; la loro effettività dipende dalla possibilità di collegare l’identità attraverso informazioni aggiuntive detenute da terzi. Dall’altro, la definizione basata sulla “ragionevole identificabilità” dell’operatore tende a ridurre l’area dei dati pseudonimizzati soggetti a tutela, poiché la valutazione si concentra sulle capacità del singolo titolare, invece che sul potere di re-identificazione potenzialmente attivabile da soggetti esterni con mezzi adeguati.

Le inferenze algoritmiche e il problema della protezione ridotta

Le attività di inferenza algoritmica accentuano questa divergenza. I modelli statistici ricavano indicatori, categorie e correlazioni idonee a descrivere o anticipare comportamento, condizione sociale, stato di salute o appartenenza a gruppi vulnerabili. L’effetto giuridico di tali inferenze dipende dalla natura personale delle informazioni trattate. Un criterio relativo, basato sulla ragionevole identificabilità dell’operatore, restringe la portata soggettiva e oggettiva della qualifica, poiché molte inferenze risultano generate da dataset che, presi isolatamente, esprimono un basso grado di identificabilità diretta. La stessa struttura dell’inferenza produce, però, contenuti che incidono sulla sfera personale con intensità elevata, soprattutto quando la correlazione avviene attraverso reti di dati distribuiti.

Due filosofie del dato a confronto

Il confronto tra l’impianto originario del GDPR e la bozza evidenzia, quindi, una diversa filosofia del dato: la prima orientata alla massima estensione della protezione, in coerenza con l’articolo 8 della Carta; la seconda organizzata intorno a un criterio relazionale, sensibile alla posizione dell’operatore e al suo patrimonio conoscitivo.

La tensione tra universalità e frammentazione della tutela

La compatibilità tra la bozza e la struttura dell’articolo 8 dipende dalla capacità della nuova impostazione di garantire una protezione uniforme in presenza di livelli tecnologici e informativi diversi. L’articolo 8 richiede una tutela stabile, capace di mantenere una linea costante attraverso settori economici, tipi di dati, scenari tecnologici e variabilità dei titolari. La bozza, invece, pone il fulcro sulla ragionevolezza dell’identificazione in relazione alla posizione del soggetto che tratta. Tale scelta crea un legame diretto tra potenzialità tecnologica e qualificazione giuridica del dato, con effetti che variano da un titolare all’altro.

Questa dinamica genera una tensione sistemica: la universalità richiede un campo di applicazione omogeneo, mentre la bozza produce una frammentazione fondata sulla diversa capacità identificativa dei titolari. L’estensione della protezione può quindi variare in base a risorse, infrastrutture informative e potere computazionale, con una conseguente disomogeneità nella tutela applicabile agli individui. L’articolo 8, invece, fonda il diritto sulla persona e sul valore dell’informazione riferita alla persona, senza dipendenze dalla posizione epistemica dell’attore che tratta.

Verso una lettura costituzionalmente orientata della riforma

Il confronto tra i due modelli conduce a una questione centrale: la bozza assegna alla definizione un carattere relativo, mentre l’articolo 8 richiede un perimetro stabile e generalizzato. Questa divergenza produce una sovrapposizione solo parziale tra le due logiche normative.

La compatibilità risulta quindi affidata a una lettura che reintegra la bozza nel quadro costituzionale: una lettura che considera il parametro della ragionevole identificazione come soglia elastica, capace di funzionare in continuità con l’idea di protezione generalizzata. In questa prospettiva, il principio di universalità conserva un ruolo ordinante, poiché orienta la definizione verso un’applicazione ampia, idonea a includere dati suscettibili di collegamento anche in presenza di informazioni ulteriori non ancora nelle mani del titolare. Questa impostazione consente alla bozza di operare senza fratture rispetto alla Carta e mantiene la centralità della persona come punto di riferimento dell’intero sistema.

Reintegrazione della bozza nel quadro costituzionale

Una costruzione interpretativa di questo tipo alla bozza un ruolo compatibile con l’articolo 8: il parametro della identificazione ragionevole acquisisce forma come soglia minima di qualificazione e la tutela assume estensione piena in presenza di qualsiasi contenuto informativo suscettibile di collegamento con una persona fisica attraverso mezzi ragionevolmente accessibili all’interno dell’Unione. In tal modo, il sistema conserva la capacità di proteggere l’identità informativa di tutti gli individui, indipendentemente dalle risorse del singolo titolare, e mantiene la continuità con la struttura valoriale della Carta.

Il quadro assiologico dell’articolo 8 e la verifica di compatibilità

La collocazione del diritto alla protezione dei dati nel catalogo dei diritti fondamentali fissa un quadro assiologico stabile. L’articolo 8 della Carta attribuisce a ogni persona un potere di controllo sui dati che la riguardano, attraverso una formula che abbraccia l’intera area informativa legata all’identità individuale. L’esame della bozza inserita nel Digital Omnibus richiede, dunque, una verifica della capacità della nuova definizione di dato personale di mantenere una coerenza formale e sostanziale con l’impianto costituzionale europeo.

La lettura dell’articolo 8 della Carta consente di valutare la relazione tra la definizione proposta e la struttura del diritto fondamentale. L’orizzonte normativo della Carta stabilisce una protezione ampia, disciplinata dal legislatore dell’Unione attraverso atti generali idonei a conformare i trattamenti in modo proporzionato.

Limiti ammissibili e salvaguardia del nucleo essenziale

Il diritto alla protezione dei dati possiede una dimensione articolata, regolata mediante un bilanciamento tra libertà individuale e interessi pubblici o privati connessi all’elaborazione delle informazioni. La giurisprudenza europea ammette limiti fondati su criteri di legalità, necessità e proporzionalità, purché il nucleo essenziale del diritto rimanga integro e riconoscibile. Sotto questo profilo, la nuova definizione può inserirsi nell’architettura della Carta, a condizione che la soglia di identificabilità adottata dal legislatore europeo presenti una struttura normativa idonea a preservare il ruolo sistemico dell’articolo 8 e a garantire un controllo effettivo sui trattamenti.

L’impatto sostanziale della nuova definizione sull’area protetta

Le cose cambiano però sotto il profilo sostanziale e specificamente per ciò che riguarda l’effetto pratico della definizione delineata dalla bozza. La qualificazione del dato personale mediante la verificabilità dell’identificazione da parte del soggetto che tratta influisce direttamente sull’estensione dell’area protetta. Laddove il dato dipenda, per la sua natura personale, dalla prospettiva conoscitiva del titolare, si produce una variabilità dell’ambito di protezione che richiede una valutazione rigorosa.

Universalità sostanziale e tutela dei dati pseudonimizzati

La dimensione sostanziale dell’universalità esige un’applicazione omogenea della tutela a tutte le informazioni capaci di incidere sull’identità dell’interessato. Dati pseudonimizzati o aggregati possono acquisire un valore personale attraverso combinazioni o correlazioni con ulteriori elementi informativi accessibili in modo realistico. La bozza prevede una definizione fondata su un parametro di identificabilità costruito attraverso la nozione di “ragionevolezza“, con effetti diretti sulla qualificazione di tali categorie. Un dato ritorna nell’area protetta quando l’attore che lo elabora dispone di risorse tecniche, conoscenze o dati complementari che rendono concretamente possibile l’associazione con la persona fisica. Tale meccanismo richiede una disciplina armonizzata e robusta, capace di evitare oscillazioni eccessive tra settori, soggetti e contesti applicativi.

Effettività del diritto e rischio di disallineamento protettivo

La prospettiva sostanziale include, inoltre, una riflessione sull’effettività del diritto. Un’impostazione che attribuisce un ruolo decisivo alla valutazione del titolare sulla possibilità di identificare l’interessato può produrre situazioni in cui l’interessato possiede un legame informativo con il dato, senza però beneficiare della protezione prevista dal Regolamento. La coerenza con l’articolo 8 dipende, quindi, dal livello di armonizzazione dei criteri, dalla solidità delle valutazioni richieste e dall’adozione di presìdi che assicurino un’area protetta sufficientemente estesa da inglobare trattamenti con potenziale impatto sull’identità personale.

Proporzionalità e necessità di salvaguardie strutturali

La definizione contenuta nella bozza può acquisire una funzione razionalizzante, soprattutto in relazione agli scenari che richiedono certezza applicativa e un equilibrio tra tutela individuale e sviluppo dell’ecosistema digitale. Tuttavia, la proporzionalità richiede una verifica stringente della soglia adottata: la relazione tra la bozza e la Carta dipende dalla capacità del legislatore europeo di progettare un quadro definitorio che consenta una semplificazione di ordine tecnico, senza compromettere il carattere inclusivo, estensivo e strutturalmente unitario della protezione garantita dall’articolo 8.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

N
Francesca Niola
Research Fellow Legal manager @ Aisma srl
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • digital omnibus

  • semplificazioni

    Digital omnibus, la sfida di aiutare le aziende senza affossare i diritti

    21 Nov 2025

    di Rocco Panetta

    Condividi
  • stampanti e privacy (1); affitti brevi check in

  • guida alla privacy

    Stampante nuova? Attenti: potrebbe spiare più di quanto stampa

    22 Ott 2025

    di Marco Calamari

    Condividi
  • trasferimento dati (1); spazi europei dati data act

  • scenario

    Spazi europei di dati, tutti i regolamenti per un sistema comune

    12 Ago 2025

    di Donato A. Limone

    Condividi