Bene semplificare le norme europee per accelerare l’economia, ma attenzione. Il 10 febbraio 2026 i Garanti privacy UE – l’EDPB e l’EDPS – hanno adottato la Joint Opinion 2/2026, la quale, pur condividendo gli obiettivi di semplificazione che si sta ponendo la Commissione (dopo il Rapporto Draghi), solleva preoccupazioni significative su diversi profili.
Dopo l’Opinion dell’EDPB e EDPS sulla proposta delle modifiche del regolamento AI è ora il momento delle valutazioni degli stessi organi comunitari sul “Digital Omnibus” (COM(2025) 836 final) che contiene la proposta di modifica dell’ampio ampio corpus di normativa digitale dell’Unione: il GDPR (Reg. (UE) 2016/679), il Regolamento EUDPR (Reg. (UE) 2018/1725), la Direttiva ePrivacy (Dir. 2002/58/CE), il Data Act (Reg. (UE) 2023/2854), il Data Governance Act (Reg. (UE) 2022/868), la Direttiva Open Data (Dir. (UE) 2019/1024), la Direttiva NIS 2 (Dir. (UE) 2022/2555).
Indice degli argomenti
Digital Omnibus e GDPR: i nodi più controversi nella proposta secondo EDPB EDPS
Ecco le modifiche proposte al GDPR analizzate dai Garanti.
La definizione di dato personale e i rilievi EDPB-EDPS
La questione più controversa dell’intera proposta riguarda la modifica dell’art. 4(1) GDPR.
La Commissione propone infatti di aggiungere all’art. 4 GDPR un nuovo paragrafo secondo cui: “l’informazione relativa a una persona fisica non è necessariamente un dato personale per ogni altra entità, per il solo fatto che un’altra entità può identificare quella persona; l’informazione non è personale per un’entità che non può identificare l’interessato tenendo conto dei mezzi ragionevolmente utilizzabili; e tale informazione non diventa personale per quell’entità solo perché un potenziale destinatario successivo dispone di mezzi ragionevolmente idonei all’identificazione”.
La Commissione presenta la modifica come codificazione della sentenza CGUE del 4 settembre 2025, causa C-413/23 P, EDPS c. SRB (la c.d. sentenza Deloitte) .
L’ EDPB e EDPS manifestano la loro contrarietà a tale proposta, argomentando sia sotto il profilo dei principi fondamentali che sotto il profilo giurisprudenziale.
Più esattamente.
Sul piano dei principi fondamentali, le autorità sottolineano che la definizione di dato personale è il cuore del diritto UE alla protezione dei dati, trovando fondamento nell’art. 8 della Carta dei diritti fondamentali e nell’art. 16 TFUE: qualsiasi modifica incide direttamente sull’ambito di applicazione materiale del GDPR.
Sul piano della fedeltà alla sentenza Deloitte secondo l’EDPB e EDPS le modifiche proposte non riflettono accuratamente il diritto vivente né la sentenza stessa. Nella “Deloitte” infatti la CGUE ha confermato la precedente giurisprudenza (causa C-319/22, Scania, ECLI:EU:C:2023:837, parr. 46 e 49), stabilendo che dati altrimenti non personali diventano tali quando messi a disposizione di un destinatario con mezzi ragionevolmente idonei all’identificazione, e che in questo caso sono dati personali sia per il destinatario che, indirettamente, per l’entità che li trasmette (parr. 84-85). La terza frase della modifica proposta andrebbe a contraddire esattamente questo principio.
Sul piano degli effetti pratici, la modifica restringerebbe significativamente il concetto di dato personale, con il rischio concreto che i titolari cerchino scappatoie per non applicare il GDPR, separando (ad esempio) formalmente le attività di trattamento dai mezzi di identificazione, o esternalizzando artificialmente attività a soggetti terzi. Sul piano della tecnica legislativa, poi, definire il dato personale “in negativo” anziché “in positivo” aumenta l’incertezza, e il termine “entity” non è definito nel GDPR. L’EDPB ricorda inoltre che sono in corso di aggiornamento le Guidelines 01/2025 sulla pseudonimizzazione e che tali questioni (anonimizzazione e pseudominizzazione) sono più correttamente affrontabili soft law. Per queste ragioni, le autorità chiedono ai co-legislatori di non adottare le modifiche.
Strettamente collegato, il nuovo art. 41a GDPR il quale conferirebbe alla Commissione il potere di adottare atti di esecuzione per specificare quando i dati pseudonimizzati non sono più dati personali. EDPB e EDPS ne chiedono la cancellazione, sostenendo che la determinazione dell’ambito applicativo del diritto alla protezione dei dati deve restare competenza delle autorità indipendenti sotto il vaglio dei tribunali (art. 8(3) Carta). Il valore probatorio di tali atti resterebbe ambiguo, generando più complessità che semplificazione.
Ricerca scientifica nel Digital Omnibus: definizione, limiti e raccomandazioni
Il tema della ricerca scientifica è sempre un argomento “caldo”.
La proposta Digital Omnibus propone infatti (e ce n’è veramente bisogno) di introdurre una definizione armonizzata di “ricerca scientifica” nel contesto del GDPR e dell’EUDPR, con l’obiettivo di superare la frammentazione normativa tra Stati membri.
La definizione proposta incorpora tre elementi qualificanti: la ricerca deve contribuire alla conoscenza scientifica esistente o applicare conoscenza esistente in modi nuovi; deve essere condotta con l’obiettivo di contribuire alla crescita della conoscenza generale e del benessere della società; deve aderire agli standard etici del settore di ricerca pertinente. Si tratta di un intervento particolarmente significativo, poiché la definizione incide sull’applicabilità di tutte le disposizioni del GDPR relative al trattamento per finalità di ricerca scientifica, tra cui gli artt. 5(1)(b) e (e), 14(5)(b), 17(3)(d), 21(6) e 89 GDPR, nonché gli artt. 4(1)(b) e (e), 13, 16(5)(b), 19(3)(d), 23(4) e 25(3) EUDPR.
Su tale proposta l’EDPB e l’EDPS accolgono con favore l’introduzione della definizione, ma formulano raccomandazioni dettagliate per renderla più precisa e delineata.
In primo luogo, raccomandano di spostare dal Considerando 28 alle disposizioni normative il requisito che la ricerca sia condotta seguendo un approccio metodologico e sistematico del campo scientifico pertinente, e che sia svolta in modo autonomo e indipendente; inoltre, le disposizioni dovrebbero prevedere che la ricerca porti a risultati verificabili e trasparenti, chiarendo nei Considerando che la trasparenza può comportare, tra l’altro, la pubblicazione dei risultati della ricerca.
In secondo luogo, le autorità raccomandano di spostare nei Considerando (nella misura necessaria, tenendo conto dell’attuale Considerando 159 GDPR) le espressioni “qualsiasi ricerca che possa anche sostenere l’innovazione, come lo sviluppo tecnologico e la dimostrazione” e il chiarimento che “la ricerca possa anche perseguire un interesse commerciale”. Tali espressioni infatti – secondo l’EDPB e EDPS – forniscono contesto e orientamento per la definizione, ma non costituiscono di per sé criteri affinché un’attività si qualifichi come ricerca scientifica. Gli Organismi sottolineano poi, la ricerca e sviluppo prodotto può sostenere l’innovazione senza necessariamente costituire ricerca scientifica. Inoltre, prevedere che la ricerca scientifica comprenda “qualsiasi ricerca che possa anche sostenere l’innovazione” potrebbe involontariamente escludere tipologie di ricerca che non sostengono l’innovazione ma sono comunque di natura scientifica, inclusi campi delle scienze umane o sociali.
Digital Omnibus e compatibilità delle finalità: cosa cambia nella base giuridica
Sempre nel capo della ricerca scientifica un profilo qualificante dell’Opinion riguarda la limitazione di scopo.
Il Digital Omnibus infatti propone di modificare (con una formulazione positiva) l’art. 5(1)(b) GDPR chiarendo che il trattamento ulteriore per finalità di archiviazione nel pubblico interesse, ricerca scientifica o storica, o fini statistici, conforme all’art. 89(1) GDPR, è considerato compatibile con le finalità iniziali, indipendentemente dalle condizioni dell’art. 6(4) GDPR.
EDPB e EDPS accolgono questo chiarimento, rilevando che gli attuali Considerando 50 GDPR e 25 EUDPR contenevano già espressioni simili senza tuttavia raggiungere l’effetto desiderato di chiarire se, e a quali condizioni, non sia necessaria una base giuridica separata per il trattamento ulteriore. Raccomandano pertanto di chiarire ulteriormente questo aspetto nelle disposizioni normative per garantire certezza giuridica.
Le autorità ricordano tuttavia un punto cruciale: nei casi in cui ci si basa sulla base giuridica iniziale per il trattamento ulteriore compatibile, i diritti degli interessati dipenderanno da quella base giuridica iniziale. Ne deriva che gli interessati i cui dati sono trattati per ricerca scientifica potrebbero avere diritti diversi a seconda della base giuridica iniziale utilizzata per la raccolta.
Trasparenza e interesse legittimo: le condizioni richiamate dall’Opinion
In materia di trasparenza, EDPB e EDPS supportano l’introduzione del nuovo art. 13(5) GDPR, che estende, alla raccolta diretta di dati personali, l’esenzione dall’obbligo informativo già prevista dall’art. 14(5)(b) GDPR per i dati non raccolti dall’interessato, quando il trattamento avviene per finalità di ricerca scientifica.
Le autorità raccomandano di inserire le parole “where and insofar” per garantire che la nuova disposizione operi alle stesse condizioni dell’esenzione già esistente. Come osservano, la fornitura di informazioni è generalmente più agevole nei casi di raccolta diretta, ma esistono circostanze in cui informare individualmente gli interessati risulta complesso: ad esempio, quando i dati raccolti direttamente sono successivamente trattati per finalità di ricerca ma il titolare non ha conservato i recapiti, oppure quando la fornitura di informazioni renderebbe impossibile o comprometterebbe seriamente gli obiettivi della ricerca.
Infine, accolto positivamente anche il Considerando 32 della proposta, che chiarisce che il trattamento per finalità di ricerca scientifica persegue un interesse legittimo ai sensi dell’art. 6(1)(f) GDPR. Le autorità apprezzano in particolare il richiamo al fatto che tale trattamento deve comunque rispettare le altre condizioni dell’art. 6(1)(f) e i requisiti e principi del GDPR. Per completezza, raccomandano di precisare nello stesso Considerando che, in alcuni casi, una base giuridica diversa dall’art. 6(1)(f) può essere appropriata per il trattamento svolto per finalità di ricerca scientifica.
Intelligenza artificiale: base giuridica, “operation” e dati sensibili
Il nuovo art. 88c GDPR stabilisce che l’interesse legittimo può essere base giuridica nel contesto dello sviluppo e dell’“operation” di sistemi IA. EDPB e EDPS concordano, ma rilevano che ciò è già confermato nell’Opinion 28/2024 sui modelli di IA: una disposizione specifica non è necessaria (un Considerando sarebbe sufficiente, come per i Considerando 47-49 GDPR). Se mantenuta, il testo dovrebbe: richiamare espressamente il test a tre fasi dell’interesse legittimo (EDPB Guidelines 1/2024); inserire il diritto di opposizione incondizionato nell’art. 21 GDPR, comunicandolo agli interessati con anticipo; specificare la “trasparenza rafforzata” come obbligo di informazioni aggiuntive rispetto agli artt. 13-14; definire il termine “operation”, assente sia nel GDPR che nell’AI Act (Reg. (UE) 2024/1689).
Il nuovo art. 9(2)(k) e 9(5) GDPR prevede una deroga per il trattamento incidentale e residuale di categorie particolari di dati. Le autorità riconoscono la necessità pratica ma raccomandano: inserire “incidentale e residuale” nelle disposizioni normative (non solo nel Considerando 33); chiarire che la deroga non copre dati raccolti tramite prompt durante il deployment; prevedere come precondizione l’impossibilità o sproporzione della cancellazione, con analisi documentata; implementare garanzie lungo l’intero ciclo di vita dell’IA; chiarire il rapporto con l’art. 4a AI Act dell’AI Omnibus (ambito limitato: bias detection e correction).
L’interesse legittimo come base giuridica per l’IA
Il Digital Omnibus propone poi di introdurre nel GDPR un nuovo art. 88c GDPR con il quale si stabilisce che l’interesse legittimo ai sensi dell’art. 6(1)(f) GDPR può essere utilizzato come base giuridica per il trattamento dei dati personali nel contesto dello sviluppo e dell’“operation” di sistemi o modelli di IA.
EDPB e EDPS concordano nella sostanza con tale principio, ma rilevano che l’EDPB lo ha già esplicitamente confermato nella propria Opinion 28/2024 sui modelli di IA (adottata il 17 dicembre 2024, Sezione 3.3): non appare quindi necessario inserire una disposizione specifica, tantomeno nelle norme operative, valutando che un Considerando sarebbe più appropriato (come avviene per altri casi in cui l’interesse legittimo può costituire una base giuridica valida (prevenzione delle frodi, marketing diretto) già disciplinati nei Considerando 47-49 del GDPR). Peraltro, il proposto art. 88c si limita ad affermare che il trattamento nel contesto dell’IA “may” essere perseguito per interessi legittimi, affermazione che non apporta alcun chiarimento giuridico ulteriore rispetto all’Opinion 28/2024.
Qualora poi i co-legislatori decidano di mantenere la disposizione, EDPB e EDPS formulano cinque raccomandazioni puntuali per garantire certezza giuridica e chiarezza delle condizioni applicabili.
La prima raccomandazione riguarda il test a tre fasi. Come più volte ribadito dalla CGUE e ulteriormente specificato nelle EDPB Guidelines 1/2024 sul trattamento basato sull’art. 6(1)(f) GDPR (versione 1.0, adottate l’8 ottobre 2024), i titolari che intendono avvalersi dell’interesse legittimo devono condurre una valutazione caso per caso articolata in tre fasi: identificazione di un interesse legittimo, necessità del trattamento e bilanciamento con i diritti e le libertà degli interessati. La proposta dovrebbe richiamare espressamente tale test e precisare che i titolari devono condurre la necessaria valutazione caso per caso. L’uso dell’espressione “where appropriate” nell’art. 88c e nel Considerando 30 diminuisce anziché aumentare la certezza giuridica, considerato che l’art. 6(1)(f) richiede un test di necessità.
La seconda raccomandazione concerne il diritto di opposizione incondizionato. EDPB e EDPS accolgono con favore il riferimento a tale diritto nel Considerando 31 e nell’art. 88c, secondo paragrafo. Tuttavia, anziché creare una nuova disposizione, tale diritto dovrebbe essere inserito nell’art. 21 GDPR, specificamente per il caso in cui il trattamento si basi sull’interesse legittimo nel contesto dell’IA. Le autorità raccomandano inoltre di chiarire che questo diritto deve essere portato all’attenzione degli interessati, ove possibile e con sufficiente anticipo rispetto al trattamento dei loro dati, per consentirne l’esercizio fin dall’inizio. Si tratta di una precisazione necessaria, dato che potrebbe risultare tecnicamente difficile rimuovere dati personali già incorporati nel sistema o modello di IA. Il Considerando 31 dovrebbe inoltre chiarire che tale garanzia va oltre il diritto generale di opposizione previsto dall’art. 21(1) GDPR. Le autorità richiamano a tal proposito gli esempi di misure che facilitano l’esercizio dei diritti individuali già forniti nell’Opinion 28/2024 (in particolare parr. 102(b), 103 e 106).
La terza raccomandazione riguarda la “trasparenza rafforzata”, menzionata come misura di mitigazione nel Considerando 31 e nell’art. 88c senza alcuna specificazione del suo contenuto. EDPB e EDPS raccomandano di chiarire che essa consiste nell’obbligo di fornire informazioni aggiuntive rispetto a quelle già previste dagli artt. 13 e 14 GDPR.
La quarta raccomandazione attiene alla distinzione tra misure di mitigazione e obblighi legali. L’art. 88c, secondo paragrafo, contiene un elenco non esaustivo di misure da adottare per minimizzare rischi e impatti per gli interessati. Come già rilevato dall’EDPB nell’Opinion 28/2024 (par. 97, con rinvio alle Guidelines 1/2024, par. 57), le misure di mitigazione non devono essere confuse con le misure che il titolare è legalmente obbligato ad adottare per garantire la conformità al GDPR, quali ad esempio i diritti degli interessati.
La quinta raccomandazione è di carattere definitorio: il termine “operation” di un sistema di IA dovrebbe essere definito, non essendo presente né nel GDPR né nell’AI Act (Regolamento (UE) 2024/1689).
Deroga per dati “incidentali e residuali” e condizioni richieste
Inoltre sempre in campo di Intelligenza Artificiale il Digital Omnibus propone di introdurre una nuova lettera all’art. 9 (la lettera k) ed un nuovo par. 5.
Più precisamente nuova lettera k) dell’art. 9, par. 2 GDPR consente il trattamento di dati «sensibili» quando è necessario per lo sviluppo e il funzionamento di un sistema o modello di intelligenza artificiale: qualifica questa deroga come eccezione specifica, distinta da ricerca scientifica, interesse pubblico rilevante, medicina, ecc., proprio per coprire gli scenari di training/operatività dei sistemi di IA.
In pratica, lett. k) mira a “legittimare” il trattamento di speciali categorie per addestrare e far funzionare sistemi di IA, purché tali trattamenti siano strettamente necessari e circondati da misure di tutela aggiuntive.
Le misure aggiuntive sono poi previste nel nuovo paragrafo 5 del’art. 9 il quale specifica che si può utilizzare quella deroga per i cosiddetti dati «residuali». Più precisamente il par. 5: a) definisce che tipo di dati rientrano nel regime speciale (es particolari categorie di dati che compaiono «residualment» quando l’obiettivo principale del trattamento non è quello di trattare tali dati) b) stabilisce che tali dati possono essere trattati per sviluppo e funzionamento di sistemi di IA solo se il titolare applica misure rigorose: rimozione o sostituzione dei dati sensibili quando sono identificati, uso di tecniche di pseudonimizzazione, limitazioni di accesso e di riutilizzo, controlli documentati sulla necessità del trattamento.
EDPB e EDPS riconoscono il problema pratico sottostante: nella raccolta di dati per l’addestramento, il test e la validazione di determinati sistemi di IA – ad esempio un modello di IA per finalità generali (GPAI) – non è sempre possibile per i titolari evitare il trattamento residuale e incidentale di categorie particolari di dati.
Le autorità formulano tuttavia raccomandazioni significative per garantire certezza giuridica e protezione effettiva.
In primo luogo, il riferimento al carattere “incidentale e residuale” del trattamento dovrebbe comparire nelle disposizioni normative (non solo nel Considerando 33), poiché la deroga si applica esclusivamente quando l’operazione di trattamento principale comporta un trattamento incidentale e residuale di categorie particolari. Dove il trattamento di tali categorie sia invece necessario per le finalità del trattamento nel contesto dell’IA, la deroga non si applica e il titolare dovrà fondarsi su un’altra deroga dell’art. 9(2) GDPR, se disponibile.
In secondo luogo, l’ambito della deroga necessita di chiarimento. Se l’art. 9(2)(k) fa riferimento allo sviluppo e all’“operation” di un sistema o modello di IA, il Considerando 33 menziona solo il contesto dello sviluppo. Tenendo conto anche dell’assenza di definizione del concetto di “operation”, EDPB e EDPS sottolineano che la deroga non dovrebbe coprire il trattamento di categorie particolari di dati personali raccolti attraverso prompt durante il deployment del sistema. È dunque necessario chiarire l’ambito della deroga nelle disposizioni normative.
In terzo luogo, l’art. 9 par 5 proposto dovrebbe prevedere esplicitamente come precondizione che la cancellazione dei dati sensibili oggetto di deroga sia impossibile o comporti sforzi sproporzionati, e che la valutazione del titolare debba essere basata su un’analisi adeguatamente documentata, tenendo conto dello stato dell’arte tecnologico e dell’impatto sugli interessati.
Infine, le garanzie dovrebbero essere implementate lungo l’intero ciclo di vita dello sviluppo dell’IA, assicurando la protezione effettiva delle categorie particolari di dati quando la loro cancellazione è impossibile o sproporzionata. Il testo dovrebbe precisare che la protezione effettiva include la necessità di impedire il riutilizzo di tali dati per altre finalità.
Data breach: soglie, tempi e coerenza con gli altri obblighi UE
Due modifiche accolte positivamente: l’innalzamento della soglia di notifica (solo violazioni a rischio “elevato”) e l’estensione del termine da 72 a 96 ore. EDPB e EDPS segnalano la disomogeneità con altri obblighi (NIS 2, DORA, eIDAS: 24-72 ore) e raccomandano armonizzazione. Supportano il modello comune EDPB per le notifiche e la lista di circostanze di rischio elevato, ma contestano il potere della Commissione di modificarli unilateralmente: l’EDPB dovrebbe esserne integralmente responsabile, come per il Sigillo europeo (art. 42(5) GDPR). Stesse considerazioni per template e liste DPIA. Fortemente supportato il Single Entry Point (art. 23a NIS 2).
ePrivacy e apparecchiature terminali: tra cookie banner e nuove eccezioni
Per quanto attiene alla direttiva Eprivacy, l’ EDPB e EDPS supportano l’obiettivo della Commissione di risolvere la consent fatigue e la proliferazione dei cookie banner. Tuttavia, la scissione della disciplina tra GDPR (dati personali, nuovo art. 88a) e Direttiva ePrivacy (dati non personali) genera preoccupazioni: le informazioni nelle apparecchiature terminali possono includere entrambe le tipologie, creando incertezza sul regime applicabile che comporterà un’analisi sistematica caso per caso; inoltre la supervisione resterebbe frammentata tra autorità diverse.
Inoltre la Commissione propone un art. 88a(3) GDPR che andrebbe ad ampliare le eccezioni al consenso rispetto all’attuale art. 5(3) ePrivacy: fornitura di servizi esplicitamente richiesti (più ampia dell’esenzione per i servizi della società dell’informazione), misurazione dell’audience e sicurezza. Le autorità sul punto raccomandano limiti stringenti: per l’audience measurement le informazioni aggregate devono essere anonime, non combinate con dati di altri servizi, non condivise con terzi.
Innovativo il suggerimento di un’eccezione per la pubblicità contestuale, più rispettosa della privacy rispetto alla pubblicità comportamentale.
Sul rinnovo del consenso, si raccomanda un periodo massimo di validità e un’eccezione per memorizzare il rifiuto (sei mesi senza nuove richieste, tramite flag generico). Necessari poteri sanzionatori espliciti (art. 83(5) GDPR).
Preferenze “leggibili a macchina”: il ruolo di browser e standard
Anche la proposta di un nuovo art. 88b GDPR sulle indicazioni automatizzate e leggibili a macchina delle scelte degli utenti è accolto molto favorevolmente: consentirà agli utenti di esprimere le preferenze una sola volta tramite browser, evitando di ripeterle per ogni sito. Le autorità raccomandano di esplicitare il collegamento con l’art. 88a tramite rinvii, chiarire che gli standard si applicano a tutti gli attori coinvolti, e non configurarli per un consenso predefinito (il browser deve sollecitare una scelta al primo utilizzo, in linea con la data protection by design and by default).
Acquis dei dati: registrazioni, obblighi e tutele nel Digital Omnibus
In questa sede si analizzerà solo uno degli aspetti più rilevanti: la proposta di sostituzione dell’obbligo di notifica preventiva per i servizi di intermediazione (art. 11(1) DGA) con una registrazione volontaria (art. 32e(1) Data Act).
Su questopunto l’EDPB e EDPS raccomandano di mantenere l’obbligo almeno quando il trattamento comporta rischio elevato. Chiedono inoltre di conservare requisiti chiave come gli strumenti per il consenso (art. 12(n) DGA), il registro delle attività, le procedure antifrode e le tutele in caso di insolvenza. Sulla separazione funzionale (in sostituzione di quella giuridica), non si oppongono ma richiedono criteri chiari e verificabili, applicabili a tutte le attività e senza esenzione totale per micro e piccole imprese.
Per quanto attiene poi alle Organizzazioni di Altruismo, raccomandano di mantenere registri e elementi essenziali di rendicontazione annuale (categorie di soggetti autorizzati al trattamento, fonti di reddito, categorie di spesa), suggerendo armonizzazione UE tramite atto di esecuzione.
Quanto ai moduli di registrazione delle Organizzazioni, la mancata armonizzazione (art. 32e(3) Data Act) porterà a frammentazione, dato che la registrazione in uno Stato membro vale in tutta l’UE: si raccomanda quindo un modulo armonizzato tramite atto di esecuzione, che includa la descrizione delle attività previste e le categorie di dati personali coinvolti.
Conclusioni: i punti di accordo e i due “no” principali dell’Opinion Edpb Edps su Digital Omnibus
La Joint Opinion 2/2026 esprime un messaggio chiaro e articolato.
Sul piano politico, le autorità sostengono l’obiettivo di semplificazione e accolgono numerose modifiche tecniche: definizione di ricerca scientifica, innalzamento soglia data breach, estensione del termine a 96 ore, template comuni, single entry point, indicazioni automatizzate delle scelte.
La forte opposizione si concentra su due punti: la modifica della definizione di dato personale, ritenuta un restringimento sostanziale della applicazione del GDPR e potenzialmente lesiva dell’art. 8 della Carta; e il potere della Commissione di valutare anonimi i dati tramite atti di esecuzione, che inciderebbe sull’ambito applicativo del diritto alla protezione dei dati.
Trasversalmente, l’Opinion insiste su tre principi: il mantenimento di un alto livello di protezione dei diritti fondamentali, che non può essere sacrificato alla semplificazione; l’indipendenza delle autorità di controllo, con l’EDPB pienamente responsabile di template, liste e metodologie senza modifiche unilaterali della Commissione; la coerenza sistemica dell’ordinamento UE, valutando le modifiche alla luce dell’intero corpo giurisprudenziale e dei riflessi su altri atti (Dir. (UE) 2016/680, Convenzione 108+).
Il Digital Omnibus è ora al vaglio di Parlamento europeo e Consiglio: l’Opinion rappresenta un contributo autorevole nel trovare l’equilibrio tra competitività e tutela dei diritti fondamentali.
