Nel dibattito europeo sulla semplificazione delle regole digitali, il Digital Omnibus mira a rendere più uniforme e meno onerosa l’applicazione di varie discipline, incluso il GDPR, senza dichiarare un abbassamento degli standard di tutela.
Indice degli argomenti
la riscrittura dell’art. 35 GDPR sulla DPIA
La riforrma proposta dalla Commissione, tra gli altri, si concentra su un punto preciso: la riscrittura dell’art. 35 GDPR sulla DPIA.
L’art. 35 del GDPR, nel suo assetto originario, affida alla valutazione d’impatto, cosiddetta DPIA, una funzione che travalica la tecnica di compliance e assume la fisionomia di un dispositivo di garanzia ex ante: una procedura di conoscenza, costruita prima del trattamento, utile a tracciare rischi, misure, residui di esposizione dei dati trattati dalle imprese. Risulta evidente che la “probabilità” del rischio elevato mantiene una natura intrinsecamente contestuale, poiché dipende da natura, ambito, finalità, tecnologie impiegate e asimmetrie di potere fra titolare e interessato.
Nella prospettiva de iure condito, è proprio qui che si inserisce il ruolo delle autorità nazionali: la facoltà di pubblicare elenchi relativi ai trattamenti soggetti o esonerati da DPIA, con un effetto di prossimità istituzionale rispetto ai mercati, ai settori, alle prassi amministrative e industriali dei singoli ordinamenti. Ne deriva una grammatica europea comune, accompagnata da un’opera di tipizzazione “vicina al terreno”, nella quale la convergenza procedeva per sedimentazione, prassi, confronto fra autorità, oltre che per regola astratta.
Riforma dell’art. 35 GDPR sulla DPIA: dal terreno nazionale al perimetro UE
Diversamente ragionando de iure condendo, la bozza del pacchetto di semplificazione interviene su quel punto nevralgico e muta il baricentro della DPIA: dagli elenchi nazionali a un perimetro definito in sede europea, con un tracciato istituzionale che conduce dall’EDPB alla Commissione.
Il nuovo testo sostituisce i paragrafi 4, 5 e 6 dell’art. 35, prescrivendo che il Comitato elabori e trasmetta alla Commissione una proposta di elenco dei tipi di trattamento soggetti a DPIA, una proposta di elenco dei tipi di trattamento esonerati, oltre a una proposta di modello comune e di metodologia comune per lo svolgimento delle valutazioni d’impatto.
Dagli elenchi nazionali alla tipizzazione: che cosa accade al “rischio elevato”
A tali proposte la bozza attribuisce un destino normativo forte: la Commissione, dopo esame, esercita il potere di adozione mediante atto di esecuzione secondo la procedura d’esame richiamata dall’art. 93, par. 2. Un meccanismo di revisione periodica, su base almeno triennale, accompagna elenchi, modello e metodologia.
La DPIA, dunque, riceve una cornice comune che opera su due piani: tipizzazione dei casi e standardizzazione della forma, secondo un paradigma che privilegia l’unicità dell’elenco e l’unità del metodo.
Come la riforma dell’art. 35 GDPR sulla DPIA standardizza modello e metodo
Questo passaggio incide sul modo stesso in cui l’ordinamento europeo “pensa” il rischio elevato. L’elenco unico tende a trasformare l’idea di rischio da giudizio situato a categoria amministrata, con una conseguenza sottile: il discrimine fra DPIA dovuta e DPIA esonerata acquisisce una qualità più vicina alla tassonomia che alla diagnosi.
Il modello comune e la metodologia comune, poi, orientano la valutazione verso un linguaggio uniformato, che assicura comparabilità, replicabilità, controllabilità formale; al tempo stesso restringe lo spazio dell’argomentazione idonea a catturare peculiarità di settore, scala del trattamento, dipendenze tecnologiche, catene di fornitura, esternalità.
Atto di esecuzione e Commissione: la governance del rischio cambia registro
L’atto di esecuzione, infine, conferisce a tale infrastruttura una forza precettiva che supera la tradizionale “moral suasion” dei documenti interpretativi: la scelta di affidare alla Commissione l’adozione degli elenchi e degli strumenti metodologici inscrive la governance del rischio nella logica dell’esecuzione europea, con una torsione che privilegia l’unità applicativa rispetto alla pluralità delle sensibilità regolatorie nazionali.
Soft law e hard law nella riforma dell’art. 35 GDPR sulla DPIA
Il cuore teorico della riforma dell’art. 35 risiede nella trasformazione della soft law europea in diritto positivo attraverso un meccanismo di cristallizzazione procedurale. Il contributo dell’EDPB conserva la forma della conoscenza tecnica condivisa, frutto di un’elaborazione collegiale che unisce competenze giuridiche, amministrative e tecnologiche.
Tale contributo, tuttavia, acquisisce una qualità diversa nel momento in cui la Commissione ne assume il contenuto mediante atto di esecuzione. In quel passaggio, il sapere esperto attraversa una soglia qualitativa: dalla funzione orientativa propria delle linee guida alla forza prescrittiva tipica del diritto derivato.
L’elenco comune dei trattamenti soggetti a DPIA e il relativo elenco di esenzione cessano di operare come coordinate interpretative e assumono valore normativo diretto, idoneo a disciplinare in modo uniforme l’attivazione dell’obbligo valutativo in tutto lo spazio dell’Unione. La distinzione classica tra soft law e hard law perde nitidezza, poiché l’origine tecnica della regola convive con una forma giuridica capace di incidere immediatamente sulle posizioni dei titolari e, in via mediata, sulla sfera degli interessati.
Discrezionalità nazionale dopo la riforma dell’art. 35 GDPR sulla DPIA
Questa dinamica incide sulla stessa idea di discrezionalità regolatoria. L’autorità nazionale, in precedenza depositaria di una competenza di tipizzazione ancorata al contesto economico e amministrativo interno, assume ora una funzione di contributo informativo e di raccordo istituzionale.
Il rischio elevato, che nel GDPR originario trovava alimento nella prossimità fra autorità e realtà produttive, riceve una definizione centralizzata che privilegia l’unità della classificazione. La DPIA tende così a inscriversi in una grammatica europea del rischio, costruita attraverso categorie comuni, soglie condivise e modelli uniformi.
In questo quadro, la valutazione d’impatto conserva la sua forma procedurale, ma muta la sua postura sostanziale: da esercizio di giudizio situato a pratica di conformità tipologica. Il potere di definire quando il rischio merita una valutazione approfondita si concentra lungo l’asse EDPB–Commissione, con una conseguente riduzione della capacità delle autorità territoriali di modulare il diritto della protezione dei dati secondo le specificità settoriali e organizzative.
Governance europea del rischio: comparabilità e controllo “seriale”
Infine, la riforma attua una ricomposizione della governance del rischio a livello europeo. L’elenco comune e il modello uniforme orientano l’intero ciclo della DPIA verso una logica di comparabilità strutturale, nella quale le valutazioni assumono una forma omogenea, suscettibile di lettura trasversale e di controllo seriale.
Il rischio acquista una dimensione sistemica che trascende il singolo trattamento e si inserisce in una tassonomia europea delle attività data-driven, poiché questa architettura rafforza la capacità dell’Unione di governare fenomeni transnazionali e tecnicamente complessi, ma al tempo stesso ridefinisce il rapporto tra centro e periferia regolatoria.
Art. 22: decisione automatizzata come tecnica ordinaria di amministrazione
La riscrittura dell’art. 22 tratta la decisione automatizzata come tecnica ordinaria di amministrazione dei rapporti, più che come eccezione vigilata. Il criterio della “ragionevole equivalenza” rispetto a una decisione umana sposta il fuoco dal bisogno giuridico di automatizzare al mero parallelismo funzionale: l’algoritmo ottiene cittadinanza perché un operatore avrebbe potuto decidere nello stesso modo.
In questa torsione, la garanzia tende a mutare natura: l’informazione all’interessato diviene il varco di legittimazione, mentre la tutela sostanziale si concentra su codici di condotta e audit agganciati all’AI Act, con un intervento umano “effettivo e proporzionato” che assume spesso la forma di controllo ex post più che di responsabilità deliberativa. Il rinvio ad atti delegati della Commissione per delimitare categorie incluse o escluse completa la migrazione: dal diritto come limite alla tecnica, al diritto come cornice di classificazione della tecnica.
Il registro dell’art. 30 e l’erosione funzionale dell’accountability
L’art. 30 resta formalmente intatto, e proprio per questo la sua erosione risulta più sottile: la bozza conserva il registro come istituto, mentre il sistema circostante ne assottiglia la necessità sociale e processuale. Quando l’accesso incontra filtri di “abuso”, quando l’informativa retrocede nelle relazioni “chiare e circoscritte”, quando la DPIA riceve liste e modelli centralizzati, il registro perde la funzione di memoria diffusa della filiera del dato e si avvicina a un adempimento interno, utilitario, difensivo.
Proporzionalità e controllo nella riforma dell’art. 35 GDPR sulla DPIA
Su tale architettura si innestano interrogativi di ordine costituzionale e amministrativo che attengono al rapporto fra uniformità e sensibilità istituzionale al contesto. La tipizzazione europea aumenterebbe certezza e prevedibilità, ma tenderebbe anche a sostituire il giudizio situato con una classificazione unica.
La centralizzazione accentua la distanza fra autorità territoriali e produzione della regola operativa, con un effetto di riallineamento delle indipendenze nazionali verso una razionalità unitaria guidata da EDPB e Commissione. In questo assetto, il principio di proporzionalità richiede un controllo particolarmente rigoroso: la forma standardizzata reclama un surplus di argomentazione giuridica sul nesso fra categorie europee, concrete dinamiche di potere informativo e tutela effettiva della persona.
