Il 19 novembre 2025 la Commissione europea ha pubblicato la proposta di regolamento COM(2025)837, comunemente denominata Digital Omnibus, con l’obiettivo dichiarato di razionalizzare e semplificare l’acquis digitale dell’Unione, riducendo la frammentazione normativa e gli oneri di conformità per imprese e pubbliche amministrazioni.
Il testo interviene su un insieme eterogeneo di strumenti – il Regolamento (UE) 2016/679, la Direttiva ePrivacy, il Data Act, il Data Governance Act, la Direttiva NIS2 – attraverso modifiche che spaziano dalla governance degli incidenti alla disciplina del consenso per i cookie, dalla regolazione della ricerca scientifica ai meccanismi di notifica delle violazioni di dati.
Indice degli argomenti
Articolo 4 Gdpr: una modifica tecnica, una questione costituzionale
Tra queste modifiche, merita attenzione specifica la revisione dell’articolo 4, paragrafo 1, del GDPR che introduce un criterio soggettivo e contestuale di identificabilità in luogo del criterio oggettivo che ha sorretto, per oltre vent’anni, l’intero edificio europeo della protezione dei dati personali.
L’analisi muove dalla constatazione che questa modifica non è riducibile a un aggiustamento tecnico-interpretativo; si sostiene, al contrario, che essa incide sulla struttura logica del diritto fondamentale alla protezione dei dati personali sancito dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea, ne altera il perimetro applicativo in modo sistematico e produce effetti redistributivi di potere sull’informazione che non possono essere valutati isolatamente dalla loro dimensione costituzionale. Si sostiene, altresì, che l’opposizione formulata nel Parere congiunto 2/2026 dell’EDPB e dell’EDPS, adottato il 10 febbraio 2026, non sia riconducibile a un atteggiamento conservativo delle autorità di controllo, ma riposi su argomenti di teoria del diritto che il legislatore europeo è chiamato ad affrontare esplicitamente, anziché aggirare attraverso il lessico della semplificazione.
La definizione di dato personale nel GDPR
L’articolo 4, paragrafo 1, del GDPR definisce dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile, precisando che si considera identificabile la persona che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità. Il considerando 26 del medesimo Regolamento specifica che, per stabilire se una persona sia identificabile, occorre tenere in considerazione tutti i mezzi di cui il responsabile del trattamento o un terzo potrebbe ragionevolmente avvalersi.
Questa formulazione incorpora una scelta di politica del diritto precisa e consapevole: l’identificabilità non è valutata dal solo punto di vista del soggetto che tratta il dato, ma estesa ai terzi che potrebbero ragionevolmente disporre dei mezzi necessari per ricondurre quell’informazione a un individuo. La ratio è quella di impedire che la frammentazione della catena informativa – il fatto che nessun singolo attore detenga tutti i pezzi del puzzle – possa essere impiegata come schermo per sottrarre il trattamento all’ambito di applicazione della normativa.
Il fondamento giurisprudenziale dell’identificabilità
Questa impostazione ha trovato conferma nella giurisprudenza della Corte di giustizia dell’Unione europea, in particolare nella sentenza del 19 ottobre 2016 nella causa C-582/14, Breyer c. Bundesrepublik Deutschland, in cui la Grande Sezione ha stabilito che un indirizzo IP dinamico costituisce un dato personale nei confronti del gestore di un sito web anche quando questi non disponga direttamente delle informazioni necessarie per identificare l’utente, purché esista un mezzo giuridico che gli consenta di ottenerle da terzi (nella fattispecie, dall’internet service provider). Il ragionamento della Corte è costruito sulla considerazione che l’identificabilità deve essere valutata tenendo conto non soltanto delle capacità presenti del titolare del trattamento, ma anche delle possibilità ragionevoli di ottenere informazioni aggiuntive da fonti esterne. Questa è la dottrina della identificabilità relativa ad ampio raggio che ha orientato in modo sostanziale la prassi applicativa del GDPR.
La sentenza Breyer non è rimasta isolata. Il filone giurisprudenziale si è consolidato attraverso ulteriori pronunce, tra cui la decisione della Corte nella causa C-413/23 P (EDPS v. SRB, il caso Deloitte), in cui i giudici hanno ulteriormente articolato il principio stabilendo che la qualificazione di un dato come personale deve essere effettuata dal punto di vista del titolare del trattamento, ma tenendo conto delle possibilità di reidentificazione da parte di chiunque possa ragionevolmente avvalersi dei mezzi disponibili, comprese informazioni provenienti in modo non fraudolento da fonti esterne. In questa pronuncia la Corte ha anche confermato che la pseudonimizzazione non equivale di per sé ad anonimizzazione e che i dati pseudonimizzati restano personali per il titolare che detiene la chiave di de-pseudonimizzazione.
La proposta della Commissione
La proposta COM(2025)837 interviene sull’articolo 4, paragrafo 1, del GDPR introducendo un nuovo capoverso che precisa come un’informazione non debba essere considerata dato personale per un determinato titolare del trattamento quando quest’ultimo non disponga, né possa ragionevolmente disporre, dei mezzi necessari per identificare l’interessato. La nozione di identificabilità viene, così, ancorata alle capacità soggettive del singolo titolare, invece che all’insieme dei mezzi ragionevolmente disponibili nell’intero spazio informativo in cui il dato circola.
La Commissione inquadra questa modifica come un chiarimento interpretativo destinato a recepire l’evoluzione giurisprudenziale, sostenendo che la sentenza Breyer avrebbe già introdotto un elemento di relativizzazione nell’approccio all’identificabilità. Questa lettura è, a parere di chi scrive, parziale e fuorviante. La sentenza Breyer non ha affermato che un dato è personale soltanto per chi dispone dei mezzi di identificazione; ha affermato, al contrario, che la valutazione dell’identificabilità deve tener conto dei mezzi disponibili non solo al titolare, ma anche ai terzi che questi potrebbe ragionevolmente coinvolgere. Il passaggio dalla possibilità di identificazione attraverso terzi alla impossibilità di identificazione in assenza di mezzi propri non è uno scivolamento interpretativo, bensì un cambio di schema logico.
Le implicazioni strutturali sono almeno quattro e si ritiene utile distinguerle.
Le implicazioni strutturali della modifica al dato personale
La prima è la frammentazione del regime di tutela. In un ecosistema digitale caratterizzato dalla distribuzione delle informazioni tra una molteplicità di attori (data broker, piattaforme, fornitori di servizi analitici, aggregatori di dati comportamentali) lo stesso dataset potrà essere qualificato come personale per un soggetto e non personale per un altro, a seconda delle rispettive capacità tecniche e organizzative. Questa asimmetria non genera semplificazione, genera, invece, incertezza giuridica strutturale, poiché impone a ciascun titolare una valutazione contestuale permanente delle proprie capacità di identificazione, senza un criterio oggettivo di riferimento.
La seconda è la incentivazione all’ingegneria della non-identificabilità. Laddove la qualificazione di un dato come personale dipende dalla struttura tecnica e organizzativa del titolare, si crea un incentivo razionale a progettare architetture di trattamento che minimizzino formalmente le capacità di identificazione, pur mantenendo intatte le possibilità di re-identificazione attraverso la catena della fornitura o attraverso operazioni di correlazione con dati detenuti da terzi. Le scienze dell’informazione hanno ampiamente documentato come la re-identificazione di dataset apparentemente anonimi sia possibile con un numero sorprendentemente ridotto di variabili, anche in assenza di identificatori espliciti: studi sulla de-anonimizzazione di dataset di mobilità, di dati medici e di comportamenti di navigazione convergono nel rilevare che la soglia di identificabilità pratica è significativamente più bassa di quanto le categorie giuridiche tradizionali tendano a presupporre.
La terza implicazione riguarda l’erosione della vigilanza delle autorità di controllo. L’EDPB e l’EDPS hanno segnalato nel Parere congiunto 2/2026 che una ridefinizione soggettiva del dato personale priverebbe le autorità nazionali del fondamento per esercitare la propria competenza su trattamenti condotti da soggetti che, in ragione di scelte tecniche o organizzative, si dichiarino incapaci di re-identificare gli interessati, indipendentemente da ciò che altri soggetti nella medesima filiera possono fare. Si configurerebbe, così, una zona grigia di trattamenti di fatto rilevanti per i diritti individuali, ma formalmente sottratti all’ambito di applicazione del GDPR.
La quarta implicazione, di carattere più sistematico, riguarda il rapporto con l’articolo 8 della Carta dei diritti fondamentali dell’Unione europea. La protezione dei dati personali è sancita come diritto fondamentale autonomo dalla Carta, con rango distinto e complementare rispetto al diritto alla vita privata di cui all’articolo 7. Il campo di applicazione ratione materiae del GDPR è direttamente collegato alla nozione di dato personale: una modifica legislativa che riduce sistematicamente quella nozione restringe, per equivalenza, l’ambito di esercizio del diritto fondamentale. Questa è la sostanza della questione.
Il dibattito istituzionale
Il procedimento legislativo ordinario si trova, al momento della stesura di questo contributo, nella fase di esame da parte del Parlamento europeo e del Consiglio, con i cui rispettivi lavori si intrecciano le posizioni delle autorità di controllo.
Il Parere congiunto 2/2026, adottato dall’EDPB e dall’EDPS il 10 febbraio 2026, offre una valutazione articolata dell’insieme della proposta, distinguendo tra misure che le autorità accolgono con favore e misure rispetto alle quali esprimono riserve significative. Nel primo gruppo rientrano, tra le altre, l’armonizzazione delle liste DPIA a livello europeo, la semplificazione della disciplina sulle violazioni di dati, e alcune modifiche alla Direttiva ePrivacy. Nel secondo gruppo, con posizione di netto rifiuto, si colloca precisamente la modifica dell’articolo 4, paragrafo 1, rispetto alla quale le autorità affermano che essa va ben oltre un aggiustamento mirato, contraddice la giurisprudenza della Corte di giustizia e comporterebbe un restringimento significativo della nozione di dato personale. Il Garante europeo Wojciech Wiewiórowski ha espresso questa posizione in termini inequivoci: le modifiche proposte alla definizione di dato personale non sono in linea con la giurisprudenza della Corte e ridurrebbero in modo significativo il concetto di dato personale.
Sul fronte del Consiglio, le bozze di compromesso circolate nel febbraio 2026 indicano che un gruppo consistente di Stati membri si oppone alla ridefinizione, con una preferenza orientata verso la soppressione della modifica dell’articolo 4 e il ricorso a linee guida interpretative dell’EDPB per chiarire i casi applicativi più complessi.
In dottrina, la proposta ha suscitato reazioni divergenti. Una parte della letteratura ha accolto favorevolmente l’iniziativa, rilevando che l’approccio contestuale all’identificabilità offre maggiore certezza agli operatori che sviluppano sistemi di intelligenza artificiale e agli attori dell’economia dei dati, i quali si trovano a operare con dataset pseudonimizzati senza detenere le chiavi di de-pseudonimizzazione. Un’altra parte della dottrina ha opposto argomenti analoghi a quelli delle autorità di controllo, sottolineando il rischio di un’involuzione sistemica nella tutela, che non sarebbe compensata dalla maggiore flessibilità operativa accordata alle imprese.
La pseudonimizzazione come punto critico
Uno degli effetti più concreti e immediati della modifica proposta riguarda il trattamento dei dati pseudonimizzati. Nel quadro vigente, i dati pseudonimizzati, cioè i dati dai quali i riferimenti identificativi diretti sono stati rimossi o sostituiti con pseudonimi, ma che possono essere ricondotti all’interessato attraverso informazioni aggiuntive detenute dal titolare o da terzi, restano dati personali ai sensi del GDPR, con tutto il corredo di obblighi che ne consegue. Il considerando 26 del Regolamento indica esplicitamente che la pseudonimizzazione non equivale ad anonimizzazione.
La proposta COM(2025)837 introduce, in connessione con la modifica dell’articolo 4, un nuovo articolo 41a che attribuisce alla Commissione il potere di adottare atti di esecuzione per stabilire quando specifiche tecniche di pseudonimizzazione possano essere considerate sufficienti ad escludere l’identificabilità. Questo meccanismo suscita una preoccupazione distinta e aggiuntiva rispetto a quella relativa alla modifica definitoria poiché trasferisce a un atto esecutivo della Commissione (un livello normativo gerarchicamente inferiore al Regolamento, e sottratto alla codecisione del Parlamento) la determinazione pratica dei confini del diritto fondamentale alla protezione dei dati. L’EDPB e l’EDPS si sono opposti fermamente a questo trasferimento di competenza, raccomandando la soppressione del proposto articolo 41a e affidando invece all’EDPB stesso il compito di elaborare orientamenti interpretativi sulla pseudonimizzazione, nell’esercizio delle sue funzioni istituzionali.
Vale la pena osservare che la proposta della Commissione non è priva di una razionalità tecnica; i sistemi di intelligenza artificiale e le architetture di analisi dei dati su larga scala operano frequentemente con dataset in cui gli identificatori diretti sono stati rimossi e l’incertezza sulla qualificazione di questi dataset come personali o non personali genera costi di conformità reali e diffusi. Il problema non è l’obiettivo – ridurre questa incertezza – ma lo strumento, infatti, una ridefinizione legislativa della nozione di dato personale che opera abbassando il livello di tutela produce conseguenze sistemiche che non possono essere contenute nell’ambito dei casi che intende regolare.
Un approccio alternativo, e, per certi versi, più coerente con l’architettura del GDPR, sarebbe stato quello di agire sul versante delle condizioni di liceità del trattamento o delle garanzie applicabili ai dati pseudonimizzati, senza toccare la nozione fondamentale di dato personale. Questa strada è stata segnalata anche nel Parere congiunto 2/2026 che invita il legislatore a perseguire la certezza giuridica attraverso orientamenti dell’EDPB che tengano conto dell’intera giurisprudenza della Corte, anziché attraverso una modifica legislativa parziale e potenzialmente fuorviante.
Semplificazione o riorientamento?
La proposta COM(2025)837 non va letta isolatamente, ma nel quadro più ampio della Implementation and Simplification Agenda 2025 della Commissione e delle preoccupazioni per la competitività europea emerse in maniera articolata nei rapporti Draghi e Letta. In questo contesto, la semplificazione normativa è presentata come un imperativo strategico per ridurre il gap di produttività rispetto alle economie nordamericana e asiatica e la regolazione digitale è indicata come uno dei settori in cui i costi di conformità europei sono più elevati.
Questa prospettiva non è priva di fondamento, il GDPR ha generato costi di conformità significativi, specialmente per le imprese di minori dimensioni e la sua applicazione frammentata tra gli Stati membri ha prodotto incertezze interpretative che una maggiore armonizzazione potrebbe ridurre. La semplificazione di alcune procedure (come la notifica delle violazioni, la disciplina delle DPIA, la gestione dei cookie) può essere perseguita senza intaccare le fondamenta della tutela.
Il punto critico è che la modifica dell’articolo 4, paragrafo 1, non rientra nella categoria della semplificazione procedurale, ma rientra nella categoria della ridefinizione sostanziale del campo di applicazione di un diritto fondamentale. Questa distinzione ha rilievo non solo tecnico-giuridico, ma anche politico e istituzionale perché le istituzioni che intervengono sui diritti fondamentali sono tenute a farlo attraverso strumenti e procedure che ne garantiscano la legittimazione democratica e la proporzionalità rispetto agli obiettivi perseguiti. Il ricorso al veicolo della semplificazione per operare una modifica di questa portata pone una questione di metodo legislativo che trascende il merito della specifica proposta.
Si osserva, in proposito, che il Parlamento europeo, attraverso le commissioni competenti, LIBE e IMCO, ha già avviato un lavoro di emendamento che segnala resistenze significative rispetto alla modifica definitoria, con orientamenti che sembrano convergere nel senso di preservare il criterio oggettivo di identificabilità o, al più, di affidarne la specificazione all’EDPB attraverso linee guida vincolanti invece che alla Commissione attraverso atti esecutivi.
Conclusioni
L’analisi svolta consente di formulare alcune proposizioni conclusive, di cui si tenta una valutazione critica della tenuta argomentativa, oltre che un’indicazione degli sviluppi che restano aperti.
Si è sostenuto, in primo luogo, che la modifica proposta all’articolo 4, paragrafo 1, del GDPR non è riducibile a un chiarimento interpretativo, ma costituisce una ridefinizione sostanziale del criterio di identificabilità, con effetti sistematici sull’ambito di applicazione del diritto fondamentale alla protezione dei dati personali. Questa tesi trova conferma nella posizione espressa dalle autorità di controllo nel Parere congiunto 2/2026 e nella ricostruzione del percorso giurisprudenziale che va da Breyer alle pronunce più recenti della Corte, le quali non supportano l’interpretazione soggettiva e contestuale che la Commissione attribuisce loro.
Si è sostenuto, in secondo luogo, che la proposta genera quattro ordini di implicazioni strutturali (frammentazione del regime di tutela, incentivazione all’ingegneria della non-identificabilità, erosione della vigilanza delle autorità di controllo, restrizione del campo di applicazione del diritto fondamentale) che non possono essere compensate dai benefici di semplificazione che la Commissione intende conseguire e che possono, invece, essere perseguiti attraverso strumenti meno invasivi sull’architettura dei diritti.
Si è sostenuto, in terzo luogo, che il trasferimento alla Commissione del potere di determinare attraverso atti esecutivi quando specifiche tecniche di pseudonimizzazione escludano l’identificabilità configura una delega normativa impropria che incide sulla riserva di garanzie che la Carta attribuisce ai diritti fondamentali.
La tenuta di queste tesi dipende, in ultima analisi, dall’esito dei negoziati legislativi in corso. Lo scenario più plausibile, alla luce delle posizioni espresse dal Consiglio e delle indicazioni emerse nei lavori parlamentari, è quello che una fonte qualificata ha definito di “semplificazione senza ridefinizione”: il Digital Omnibus verrebbe approvato nelle sue componenti meno controverse, mentre la modifica dell’articolo 4 verrebbe eliminata o sostituita da un mandato all’EDPB per l’adozione di linee guida interpretative. Questo esito sarebbe preferibile rispetto all’approvazione del testo nella sua forma attuale, ma non esaurirebbe le questioni aperte.
Le questioni che restano aperte sono almeno due. La prima è se l’EDPB disponga degli strumenti istituzionali e delle risorse necessarie per offrire quella certezza interpretativa che la proposta della Commissione intendeva produrre per via legislativa e se le sue linee guida possano avere un’efficacia pratica equivalente a quella di una norma regolamentare direttamente applicabile. La seconda è più profonda: la pressione verso la relativizzazione della nozione di dato personale (che la proposta COM(2025)837 incarna, ma non origina) riflette una tensione reale tra l’economia dei dati, costruita sulla circolazione e sul trattamento di informazioni su larga scala, e un sistema di tutela costruito sulla premessa che quelle informazioni appartengano, in senso giuridico, alle persone cui si riferiscono. Questa tensione non si risolve per via definitoria, ma richiede una riflessione più ampia su come il diritto europeo intenda bilanciare innovazione e libertà nell’era dei sistemi di intelligenza artificiale e dell’analisi predittiva dei comportamenti umani.
