GDPR e AI: perché la UE vuole semplificare e cosa rischia di saltare

A livello europeo, con il Digital Omnibus, è stato recentemente avviato il più ampio processo di revisione mai tentato delle regole digitali.

Si tratta di un’operazione dichiaratamente volta a ridurre la complessità delle regole esistenti, ad abbassare i costi amministrativi considerati eccessivi per le imprese e ad incentivare l’innovazione e attrarre investimenti nelle tecnologie digitali in Europa.

Il Digital Simplification Package europeo

Questa ambiziosa riforma ha riaperto il dibattito sul punto di equilibrio tra tutela dei dati personali e sviluppo della ricerca e dello sviluppo dell’innovazione digitale, sulla governance dell’AI nell’Unione europea (UE) e sul ruolo del legislatore europeo in un ecosistema digitale che cambia più velocemente di qualsiasi legge.

La Commissione europea ha svolto una sorta di sanity check della vasta regolamentazione dei dati e dell’AI esistente a livello europeo, per valutarne i pro e i contra da vari punti di vista, soprattutto quello della tutela della privacy e dei diritti fondamentali degli individui e quello delle libertà di ricerca e di impresa. Essa ha, quindi, proposto ambiziose proposte di revisione delle leggi privacy e digitali europee, anche se, a parole, ne ha ridimensionato la portata e gli effetti.

La Commissione ha presentato la riforma da essa avviata come una semplificazione, attuata mediante un riordino di norme attualmente sparse in più atti e la riscrittura di alcune previsioni esistenti per chiarirne il significato, codificando la giurisprudenza europea e assicurando un’applicazione uniforme in tutti gli Stati membri dell’UE.

Tuttavia, la dottrina, le imprese e la società civile sono abbastanza concordi nel ritenere che questa riforma, ove sia avallata dal Parlamento europeo e dal Consiglio, avrà un impatto significativo sulla regolamentazione della privacy nell’era digitale.

Le modifiche proposte dalla Commissione sono oggetto di molte critiche, nel merito e nel metodo e persino sul piano delle intenzioni. È peraltro innegabile la difficoltà di preservare un elevato livello di tutela ai diritti individuali senza ostacolare lo sviluppo dell’innovazione, specialmente nel settore dell’intelligenza artificiale (AI) che necessita di vaste quantità di dati.

Finora la regolamentazione è stata per l’UE lo strumento per preservare i propri valori in un mercato digitale aperto, dominato dalle Big Tech statunitensi e da altri operatori extraeuropei. La Commissione sembra promuovere un cambio di passo. Occorre vedere se questo sia effettivamente utile e necessario per rendere l’Europa più innovativa e competitiva.

Una riforma legislativa dettata dall’innovazione

Il 19 novembre 2025 la Commissione europea ha pubblicato una strategia su come ‘sbloccare’ il potenziale informativo necessario allo sviluppo dell’AI nell’UE, considerata un asset strategico per la sovranità digitale e la competitività dell’UE nel contesto globale, rimuovendo gli ostacoli normativi all’accesso e all’uso dei dati, che finora hanno reso impossibile per le imprese europee stare al passo dei loro concorrenti in altri continenti (specialmente negli USA) nel settore delle tecnologie innovative come l’AI[1].

Tale strategia è accompagnata da due proposte legislative che mirano ad attuarla intervenendo in due direzioni: da un lato, semplificando l’acquis della legislazione dell’UE sui dati e sulle tecnologie digitali e facilitando l’applicazione del Regolamento (UE) 2023/2854 (‘Data Act’)[2] (proposta di regolamento ‘Digital Omnibus’); dall’altro, modificando il Regolamento (UE) 2024/1689 (‘AI Act’) con l’obiettivo di armonizzare e supportare l’attuazione delle norme europee sull’AI (proposta di regolamento ‘Digital Omnibus on AI’)[3].

Il ruolo del rapporto Draghi e la frammentazione del GDPR

Questa riforma legislativa mira a consentire alle imprese dell’UE di essere innovative e competitive nel settore delle tecnologie digitali – specialmente nello sviluppo dei sistemi e modelli AI – grazie ad una semplificazione delle norme in materia di dati, sicurezza informatica e AI, in linea con le raccomandazioni contenute nella relazione sul futuro della competitività europea pubblicata nel settembre 2024 da Mario Draghi su richiesta della presidente della Commissione europea, Ursula von der Leyen. Tale relazione evidenzia che il GDPR è stato implementato con un elevato grado di frammentazione che compromette gli obiettivi dell’UE nell’innovazione digitale. Ad esempio, l’accesso ai dati sanitari, che costituisce uno dei prerequisiti per lo sviluppo dell’AI nel settore farmaceutico, è limitato perché, sebbene il GDPR preveda opzioni per l’utilizzo dei dati dei pazienti per la ricerca sanitaria, la sua attuazione è disomogenea tra gli Stati membri, impedendo al settore di attingere alla vasta gamma di dati elettronici disponibili.

Quest’analisi, apparentemente incentrata sulle normative nazionali che integrano il GDPR emanate dagli Stati membri, va vista insieme al discorso di Mario Draghi ad una conferenza organizzata dalla Commissione europea il 16 settembre 2025, in cui, oltre a denunciare la “sovra-regolamentazione” da parte degli Stati membri nell’attuazione del GDPR, egli ha auspicato una radicale semplificazione dello stesso GDPR[4].

Le perplessità sull’AI Act e i sistemi ad alto rischio

Nello stesso discorso, Draghi ha espresso perplessità anche per quanto riguarda l’AI Act. In particolare, mentre le norme iniziali, che includevano il divieto di sistemi che presentano ‘rischio inaccettabile’, sono state approvate senza grandi complicazioni e i codici di condotta firmati dalla maggior parte dei principali sviluppatori di sistemi e modelli AI, insieme alle linee guida della Commissione di agosto, hanno chiarito le responsabilità, la fase successiva, che riguarda i sistemi di intelligenza artificiale “ad alto rischio” in settori come le infrastrutture critiche e la sanità, rischia di non essere proporzionata e atta a supportare l’innovazione e lo sviluppo. Draghi consiglia (addirittura) di sospendere l’attuazione di questa seconda fase fino a quando non se ne comprendano meglio gli svantaggi[5].

Le dichiarazioni della Commissione: standard alti, ma meno disordine normativo

Nella conferenza stampa per la presentazione del pacchetto Digital Omnibus, la Commissaria europea per la sovranità tecnologica, la sicurezza e la democrazia, Henna Virkkunen, ha confermato il pieno sostegno della Commissione per gli elevati standards europei di privacy, equità e sicurezza, ma riconosce che la sola regolamentazione non basta e occorre passare alla promozione dell’innovazione. Occorrono misure immediate per eliminare il “disordine normativo” e le proposte Omnibus mirano a semplificare le norme esistenti in materia di AI, sicurezza informatica e dati personali[6].

Nella conferenza stampa il Commissario per la democrazia, la giustizia, lo stato di diritto e la tutela dei consumatori, Michael McGrath, ha affermato che le proposte di riforma mirano a chiarire che ci si può basare sugli interessi legittimi per trattare dati personali per finalità legate all’AI, a condizione che si rispettino le misure di salvaguardia previste dal GDPR. Inoltre, il Commissario ha sottolineato che, la riforma intende cambiare i banner dei cookie per consentire agli utenti di esprimere scelte effettive, accettando o rifiutando i cookie con un solo click, e, sul fronte della sicurezza informatica, creare un punto di accesso unico per le segnalazioni degli incidenti, con solide garanzie di sicurezza e sottoposto a prove di affidabilità ed efficacia.

La presentazione delle modifiche da parte della Commissione UE

La proposta ‘Digital Omnibus’ prevede un’ampia revisione di tutta la normativa europea in materia di dati:

il Regolamento (UE) 2016/679 (‘GDPR’)[7],

la Direttiva ePrivacy[8],

il Data Governance Act[9],

il Regolamento sulla libera circolazione dei dati non personali[10],

la Direttiva Open Data[11],

il Data Act[12],

la NIS2[13],

il DORA[14],

la Direttiva CER[15],

il Regolamento P2B[16].

Dati non personali: abrogazioni e assorbimento nel Data Act

Per quanto riguarda i dati non personali, l’Omnibus propone di abrogare le norme obsolete, come quelle attualmente contenute nel Regolamento sulla libera circolazione dei dati non personali, ad eccezione del divieto di requisiti di localizzazione dei dati nell’UE, e di consolidare e semplificare le norme del Data Governance Act, come le norme sull’altruismo dei dati e sui servizi di intermediazione dei dati, per accrescere l’interesse per tali meccanismi di condivisione dei dati[17]. Allo stesso tempo, le norme del Data Governance Act sul riutilizzo dei dati protetti vengono unite alle norme della Direttiva Open Data per creare un quadro unico per il riutilizzo dei dati detenuti dagli enti pubblici, recepito nel Data Act[18]. Questo riordino normativo porterebbe all’assorbimento di tre atti normativi – il Data Governance Act, la Direttiva Open Data e il Regolamento sulla libera circolazione dei dati non personali – nel Data Act, recante le norme sulla condivisione, sull’accesso e sulla portabilità dei dati tra imprese e pubbliche amministrazioni.

GDPR ed ePrivacy: un perimetro unico e nuove regole sui cookie

Per quanto riguarda la tutela dei dati personali, l’Omnibus intende chiarire, piuttosto che riformare, la disciplina del GDPR per garantire un’applicazione uniforme di tale regolamento. Sono previste modifiche per superare i dubbi interpretativi posti da alcune definizioni chiave contenute nel GDPR, come la nozione di dati personali, i criteri e i mezzi per determinare se i dati derivanti dalla pseudonimizzazione non costituiscano dati personali, gli obblighi di informazione e le notifiche di violazione dei dati alle autorità di controllo, alcuni aspetti relativi al trattamento dei dati per l’addestramento e lo sviluppo dell’AI, le condizioni alle quali l’ulteriore trattamento di dati personali per scopi scientifici è compatibile con la finalità iniziale del trattamento e la ricerca scientifica come interesse legittimo per il trattamento dei dati[19]. Inoltre, viene proposta un’estensione delle eccezioni all’obbligo di fornire informazioni sul trattamento dei dati[20].

Il nuovo regolamento dovrebbe anche semplificare l’interazione tra il GDPR e la Direttiva ePrivacy, facendo in modo che il trattamento dei dati personali su e da apparecchiature terminali sia disciplinato esclusivamente dal GDPR. Il GDPR dovrebbe recepire il requisito del consenso per l’accesso all’apparecchiatura terminale di una persona fisica al momento della raccolta di dati personali (attualmente richiesto dalla Direttiva ePrivacy) e indicare determinate finalità per le quali non sia necessario ottenere il consenso e per le quali il trattamento successivo dovrebbe essere considerato lecito (ad esempio, quando tale trattamento presenta un basso rischio per i diritti e le libertà degli interessati o l’installazione di tali tecnologie è necessaria per la fornitura di un servizio richiesto dall’interessato)[21].

Sempre in tema di privacy nelle comunicazioni elettroniche e digitali, un’altra novità contemplata dall’Omnibus consiste nell’introduzione di standards per le indicazioni automatizzate delle scelte espresse dagli utenti rispetto ai cookie e nella comunicazione di tali scelte dai motori di ricerca internet ai fornitori di siti web e applicazioni mobili per telefoni cellulari[22]. Il nuovo meccanismo consentirebbe agli utenti di accettare o rifiutare i cookie con un solo click[23] per sei mesi, riducendo la “cookie fatigue” per gli utenti e rispondendo alle esigenze degli operatori di siti web e apps di contare su una maggiore stabilità del consenso.

Sicurezza: sportello unico per le notifiche

Infine, l’Omnibus dovrebbe introdurre un punto di accesso unico (single entry point) attraverso il quale i soggetti obbligati potranno adempiere simultaneamente ai propri obblighi di notifica delle violazioni della sicurezza previste dal GDPR e da altri atti normativi[24].

Il regolamento ‘Omnibus sull’AI’ ricalibra scadenze ed obblighi dell’AI Act, soprattutto per i sistemi AI ad alto rischio[25]. Inoltre, esso si propone di intervenire sull’uso dei dati personali per lo sviluppo, l’addestramento e il testing dei sistemi e modelli AI. Infatti, per facilitare il rispetto del GDPR, consente ai fornitori e agli utilizzatori di tutti i sistemi e modelli AI di trattare categorie speciali di dati personali per garantire il rilevamento e la correzione dei pregiudizi, in presenza di certe condizioni.

Dal punto di vista procedurale, la pubblicazione delle proposte legislative della Commissione avvia l’iter legislativo ordinario, che richiederà negoziati a tre della Commissione con i due co-legislatori, il Parlamento europeo e il Consiglio e la raccolta dei pareri del Comitato europeo per la protezione dei dati (“EDPB”) e del Garante europeo della protezione dei dati (“EDPS”)[26].

Le proposte di modifica al GDPR

Nonostante la Commissione europea abbia ripetutamente affermato che non avrebbe “riaperto” il GDPR, probabilmente per il timore di doversi confrontare con potenti lobbies, è innegabile che il regolamento Digital Omnibus, ove approvato dal Parlamento europeo e dal Consiglio, avrebbe un impatto significativo sul GDPR.

Le proposte di modifica alle norme sulla tutela dei dati personali riguardano cinque temi principali: a) la definizione di dato personale, b) le basi legali per trattare dati personali, c) i diritti dei soggetti interessati, d) alcuni adempimenti di carattere operativo, e i) i requisiti per l’uso di tecnologie di tracciamento mediante cui sono raccolti dati personali.

“Dato personale” e approccio relativistico: la nuova formulazione

La Commissione propone di “chiarire” la nozione di dato personale introducendo le seguenti precisazioni nell’art. 4(1) del GDPR: “le informazioni relative a una persona fisica non sono necessariamente dati personali per qualsiasi altra persona o entità, per il solo fatto che un’altra entità può identificare tale persona fisica. Le informazioni non sono personali per una determinata entità quando quest’ultima non è in grado di identificare la persona fisica a cui le informazioni si riferiscono, tenendo conto dei mezzi che ragionevolmente possono essere utilizzati da tale entità. Tali informazioni non diventano personali per tale entità per il solo fatto che un potenziale destinatario successivo dispone di mezzi che ragionevolmente possono essere utilizzati per identificare la persona fisica a cui le informazioni si riferiscono”.

Un considerando del regolamento Omnibus espande questo punto nei seguenti termini: “un’eventuale successiva trasmissione di tali informazioni a terzi che dispongono di mezzi che consentano ragionevolmente di identificare la persona fisica cui le informazioni si riferiscono, come un controllo incrociato con altri dati a loro disposizione, rende tali informazioni dati personali solo per i terzi che dispongono di tali mezzi”[27].

L’aggiunta di questo paragrafo mira a rendere chiaro che: i) un’informazione può costituire un dato personale per una persona fisica o giuridica e non esserlo per un’altra (concezione “relativistica” o “soggettiva” di ‘dato personale’); ii) per valutare se un’informazione sia un dato personale per la persona considerata occorre stabilire se quest’ultima disponga di mezzi che, ragionevolmente, le consentano di identificare l’individuo a cui tale informazione si riferisce; iii) ai fini di tale valutazione non ha, invece, alcun rilievo il fatto che un’altra persona, segnatamente quella a cui tale informazione venga comunicata da quella considerata, disponga di mezzi ragionevolmente idonei ad identificare l’individuo su cui verte l’informazione.

In un considerando del regolamento viene ricordato che, in base alla giurisprudenza della Corte di giustizia, “non è ragionevolmente probabile l’utilizzo di un mezzo di identificazione dell’interessato quando il rischio di identificazione appare in realtà insignificante, in quanto l’identificazione dell’interessato è vietata dalla legge o impossibile nella pratica, ad esempio perché comporterebbe uno sforzo sproporzionato in termini di tempo, costi e lavoro […]”[28].

Pseudonimizzazione e atti di esecuzione: i criteri UE

Collegata (anche se non esplicitamente) alla revisione della nozione di dato personale, è la nuova previsione secondo cui la Commissione potrà adottare atti di esecuzione che specificano i mezzi e criteri per determinare se i dati derivanti dalla pseudonimizzazione non costituiscono più dati personali per determinate entità[29]. A tal fine, la Commissione potrà valutare lo stato dell’arte delle tecniche disponibili ed elaborare criteri e/o categorie per i titolari del trattamento e i destinatari per determinare se sussiste il rischio di re-identificazione in relazione ai destinatari tipici dei dati[30]. L’attuazione dei mezzi e dei criteri delineati in un atto di esecuzione potrà essere utilizzata come elemento per dimostrare che i dati non possono portare alla re-identificazione degli interessati.

Ricerca e AI: legittimo interesse e deroghe sui dati sensibili

Per quanto riguarda le basi giuridiche, è ‘rafforzata’ la presunzione di compatibilità dell’ulteriore trattamento per finalità di ricerca con il fine iniziale della raccolta dei dati personali e sono introdotte due ulteriori esenzioni al divieto di trattare categorie particolari di dati personali.

In particolare, l’Omnibus riconosce espressamente che l’ulteriore trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è (ipso iure) compatibile con le finalità iniziali ed è, quindi, legittimo[31], purché siano attuate misure tecnico-organizzative adeguate per la salvaguardia dei diritti e delle libertà dell’interessato. È altresì prevista una definizione di “ricerca scientifica” che ne evidenzia l’ampia portata. Infatti, si deve considerare tale: “qualsiasi ricerca che possa anche supportare l’innovazione, come lo sviluppo e la dimostrazione tecnologica”, anche quando mira a promuovere un interesse commerciale[32]. In un considerando viene precisato che la ricerca e lo sviluppo tecnologico possono svolgersi “in contesti accademici, industriali e di altro tipo, comprese le piccole e medie imprese” (PMI) purché rispettino i principi di qualità, affidabilità, onestà, rispetto e responsabilità (verificabilità).[33]

Inoltre, viene espressamente riconosciuto che lo sviluppo e l’utilizzo di sistemi e modelli AI, come i modelli linguistici di grandi dimensioni e i modelli video generativi, si basano su dati, inclusi dati personali, in varie fasi del ciclo di vita dell’AI, come le fasi di addestramento, test e convalida, e in alcuni casi possono rimanere presenti nel sistema o modello[34]. Il trattamento dei dati personali che sia necessario per gli interessi del titolare del trattamento nel contesto dello sviluppo e del funzionamento di un sistema di AI si può, pertanto, basare sul legittimo interesse del titolare del trattamento (ove appropriato)[35]. Ciò vale salvo che altre norme dell’UE o nazionali richiedano esplicitamente il consenso[36] o che gli interessi, i diritti e le libertà fondamentali degli interessati prevalgano sugli interessi del titolare del trattamento o di terzi, in particolare se l’interessato è un minore.

Nel condurre il “test di bilanciamento” tra, da un lato, gli interessi, i diritti e le libertà fondamentali degli interessati e, dall’altro, gli interessi del titolare del trattamento o di terzi, “è opportuno valutare se l’interesse perseguito dal titolare del trattamento sia vantaggioso per l’interessato e per la società in generale, il che può avvenire, ad esempio, quando il trattamento dei dati personali è necessario per individuare ed eliminare pregiudizi, proteggendo così gli interessati dalla discriminazione, o quando il trattamento dei dati personali mira a garantire output accurati e sicuri per un utilizzo vantaggioso, come ad esempio migliorare l’accessibilità a determinati servizi”[37].

Inoltre, il titolare del trattamento deve porre in essere misure tecnico-organizzative adeguate e garanzie per i diritti e le libertà dell’interessato, quali garantire il rispetto della minimizzazione dei dati durante la fase di selezione delle fonti e di formazione e test di un sistema o modello AI, proteggere dalla mancata divulgazione dei dati residui conservati nel sistema o modello AI, garantire una maggiore trasparenza agli interessati e fornire agli interessati ildiritto incondizionato di opporsi al trattamento dei loro dati personali[38].

Vanno del pari osservati gli altri principi e requisiti dettati dal GDPR[39].

La posizione della Commissione rispetto all’uso dell’interesse legittimo come base giuridica per lo sviluppo o l’utilizzo di modelli AI è coerente con il Parere 28/2024 emesso dall’EDPB su taluni aspetti relativi alla protezione dei dati ai fini del trattamento dei dati personali nel contesto dei modelli AI[40].

La Commissione si spinge oltre. Muovendo dal riconoscimento che “categorie particolari di dati personali possono esistere in via residua nei set di dati di formazione, test o convalida oppure essere conservati nel sistema […] o nel modello [AI], sebbene le categorie speciali di dati personali non siano necessarie ai fini del trattamento […]”, la Commissione ritiene che, “al fine di non ostacolare in modo sproporzionato lo sviluppo e il funzionamento dell’[AI]”, si debba consentire, in determinate circostanze, al titolare del trattamento di derogare al divieto di trattamento di categorie particolari di dati personali di cui all’art. 9(1) GDPR al fine dello sviluppo e del funzionamento di un sistema o modello AI[41].

Le condizioni richieste per poter legittimamente trattare dati sensibili nell’ambito dell’AI consistono nell’implementazione di misure tecnico-organizzative idonee ad evitare il trattamento di tali dati, nonché di misure appropriate durante l’intero ciclo di vita di un sistema o modello di IA e, ove, ciononostante, vengano identificati dati sensibili, nella loro effettiva rimozione[42]. Peraltro, ove la rimozione dei dati sensibili memorizzati nel sistema o modello AI richieda uno sforzo sproporzionato (come la riprogettazione di tale sistema o modello), il titolare del trattamento sarebbe (solo) tenuto a proteggere efficacemente tali dati dall’essere utilizzati per dedurre risultati, dalla divulgazione o dalla messa a disposizione di terzi[43].

Viene precisato che la nuova deroga al trattamento di dati sensibili nel contesto dell’AI non dovrebbe applicarsi qualora il trattamento di tali dati sia necessario ai fini del trattamento, posto che, in tal caso, il titolare del trattamento dovrebbe avvalersi di una delle deroghe già previste dall’art. 9 (2) GDPR[44].

Queste disposizioni dedicate all’AI segnano una dipartita dal carattere ‘tecnologicamente neutrale’ del GDPR, secondo cui “la protezione delle persone fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate”[45].

Un’altra deroga al divieto di cui all’art. 9(1) GDPR concerne specificatamente il trattamento di dati biometrici quando è necessario per confermare l’identità del soggetto interessato e quando i dati e i mezzi per tale verifica sono sotto il controllo esclusivo dell’interessato stesso, come nel caso in cui “i dati biometrici siano conservati in modo sicuro esclusivamente presso l’interessato o presso il titolare del trattamento in una forma crittografata all’avanguardia e la chiave di crittografia o un mezzo equivalente sia detenuto esclusivamente dall’interessato”[46]. In tali circostanze, sarebbe improbabile che il trattamento di dati biometrici crei rischi significativi per i diritti e libertà fondamentali dell’interessato, posto che il titolare del trattamento non viene a conoscenza dei dati biometrici o lo fa solo per un periodo di tempo molto limitato durante il processo di verifica[47].

DSAR, informative e decisioni automatizzate: i nuovi confini dei diritti

Il Digital Omnibus interviene sui diritti dell’interessato, prefigurando alcune specifiche a dei limiti attualmente posti del GDPR all’esercizio di tali diritti.

Si prevede che il titolare del trattamento non sia tenuto a dare seguito alle richieste degli interessati dirette ad esercitare i loro diritti ai sensi del GDPR ove tali richieste siano manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, o, nel caso delle richieste di accesso ai dati (“DSAR”), ove siano abusive in quanto perseguono finalità diverse dalla tutela dei dati[48]. In una di tali ipotesi, il titolare che intenda, ciononostante, soddisfare la richiesta dell’interessato può addebitare a quest’ultimo un contributo spese ragionevole, tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o compiere le azioni richieste. Resta in capo al titolare del trattamento l’onere di provare che sussistono le criticità in questione.

In un considerando del regolamento Omnibus si spiega che un “abuso del diritto di accesso si verificherebbe quando l’interessato intende indurre il titolare del trattamento a rifiutare una richiesta di accesso, al fine di esigere successivamente il pagamento di un risarcimento, potenzialmente sotto la minaccia di una richiesta di risarcimento danni. Altri esempi di abuso includono situazioni in cui gli interessati fanno un uso eccessivo del diritto di accesso con l’unico intento di arrecare danno o pregiudizio al titolare del trattamento o quando un individuo presenta una richiesta, ma allo stesso tempo offre di ritirarla in cambio di una qualche forma di beneficio da parte del titolare del trattamento”[49].

La Commissione ritiene che, al fine di mantenere l’onere di prova a carico del titolare del trattamento “entro limiti ragionevoli”, tale onere dovrebbe essere meno stringente per quanto riguarda il carattere eccessivo di una DSAR di quello richiesto per dimostrare il carattere manifestamente infondato di una richiesta, in quanto “il carattere manifestamente infondato di una richiesta dipende da fatti che rientrano principalmente nella sfera di responsabilità del titolare del trattamento, mentre il carattere eccessivo di una richiesta riguarda la possibile condotta abusiva di un interessato, che si colloca principalmente al di fuori della sfera di influenza del titolare del trattamento […]”[50]. In quest’ultimo caso, il titolare dovrebbe (solo) dimostrare di avere ragionevoli motivi per ritenere una DSAR eccessiva.

Inoltre, la Commissione si spinge ad affermare che, nel formulare una DSAR, l’interessato debba specificarla il più possibile, poiché “anche richieste eccessivamente ampie e indifferenziate devono essere considerate eccessive”[51].

L’Omnibus si propone altresì di delineare puntualmente l’eccezione all’obbligo del titolare di fornire informazioni sul trattamento dei dati personali al momento della loro raccolta presso l’interessato (“informativa privacy”)[52]. Tale obbligo non dovrebbe sussistere quando i dati personali sono stati raccolti nel contesto di una relazione chiara e circoscritta tra gli interessati e un titolare del trattamento che esercita un’attività che non comporta un trattamento intensivo di dati e vi sono motivi ragionevoli per ritenere che l’interessato disponga già delle informazioni rilevanti sul trattamento, salvo che il titolare del trattamento non trasmetta i dati ad altri destinatari o categorie di destinatari, trasferisca i dati a un paese terzo, esegua un processo decisionale automatizzato (compresa la profilazione) o sia probabile che il trattamento presenti un rischio elevato per i diritti e le libertà degli interessati[53]. In tal modo, si dovrebbe superare l’“information fatigue” e riuscire ad avere informative privacy meno lunghe e complesse.

Viene poi prevista un’ulteriore eccezione all’obbligo di informativa, nel caso in cui il trattamento avviene per finalità di ricerca scientifica e la comunicazione delle informazioni sul trattamento dei dati si rivela impossibile o implicherebbe uno sforzo sproporzionato oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento[54]. In un considerando del regolamento Omnibus si spiega che “la fornitura delle informazioni comporterebbe uno sforzo sproporzionato, in particolare quando il titolare del trattamento, al momento della raccolta dei dati personali, non sapeva o non prevedeva che avrebbe trattato i dati personali per finalità di ricerca scientifica in una fase successiva, nel qual caso potrebbe non disporre facilmente dei dati di contatto degli interessati”[55]. In tali casi, il titolare del trattamento deve adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo le informazioni accessibili al pubblico[56], oltre alle misure tecnico-organizzative previste, in generale, per il trattamento di dati personali a fini di ricerca scientifica.

Viene ampliata la possibilità di compiere una decisione basata esclusivamente su un trattamento automatizzato dei dati personali, che produca effetti giuridici nei confronti dell’interessato o che, in modo analogo, incida significativamente sulla sua persona. È previsto che una decisione basata esclusivamente su un trattamento automatizzato dei dati può ritenersi necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento a prescindere dal fatto che la decisione possa essere presa con mezzi diversi da quelli unicamente automatizzati[57]. In altri termini, “il fatto che la decisione possa essere presa anche da un essere umano non impedisce al titolare del trattamento di prendere la decisione mediante un trattamento esclusivamente automatizzato”[58].

È altresì significativo come sia riformulato l’art. 22 GDPR, che attualmente sancisce il diritto dell’interessato a non essere sottoposto ad una decisione basata su un trattamento esclusivamente automatizzato dei suoi dati personali salvo eccezioni, e che nella nuova versione afferma che una decisione che produce effetti giuridici (o analoghi) su un interessato può essere basata esclusivamente su un trattamento automatizzato quando è necessario per fini contrattuali e con il consenso dell’interessato o è autorizzata da norme dell’UE o nazionali. In tal modo, il divieto generale di prendere decisioni automatizzate è rimosso e viene precisato a quali condizioni tali decisioni sono consentite. Pertanto, se la disciplina della Commissione è avallata dai co-legislatori europei, il titolare del trattamento avrà ancora l’obbligo di fornire informazioni complete all’interessato sul trattamento automatizzato, ma potrà avvalersi con maggiore facilità del supporto dell’AI per prendere decisioni, contrattare o fornire un servizio all’interessato.

In un considerando è precisato che, quando esistono diverse soluzioni di trattamento automatizzato ugualmente efficaci, il titolare del trattamento dovrebbe utilizzare quella meno invasiva[59].

Data breach e DPIA: semplificazioni operative e liste UE

Per quanto concerne gli adempimenti di carattere operativo imposti al titolare del trattamento, sono proposte revisioni alla disciplina delle violazioni della sicurezza dei dati (data breaches) e della valutazione d’impatto sulla protezione dei dati (“DPIA”) per uniformarne l’applicazione all’interno dell’UE[60]. Il quadro normativo attuale appare complesso e frammentato a causa dei molteplici requisiti previsti dalle norme digitali europee sparse in vari atti normativi e dalle normative nazionali che integrano o attuano quelle europee.

Il regolamento Omnibus si prefigge di allineare l’obbligo del titolare del trattamento di notificare le violazioni della sicurezza dei dati (data breaches) all’autorità di controllo competente ai sensi del GDPR con l’obbligo di comunicare tali violazioni agli interessati, stabilendo che la notifica è richiesta solo se un data breach è suscettibile di comportare un rischio elevato per i diritti dell’interessato, nonché di estendere il termine di notifica da 72 a 96 ore[61]. Si propone, inoltre, che i titolari del trattamento utilizzino lo sportello unico (single entry point), istituito ai sensi di una nuova norma introdotta nella Direttiva NIS 2 per le notifiche di data breaches richieste da vari atti normativi europei[62]. Inoltre, l’EDPB sarebbe tenuto a formulare e presentare alla Commissione una proposta di modello di notifica dei data breaches, che la Commissione potrebbe adottare, con sue eventuali modifiche, mediante un atto di esecuzione[63].

La Commissione intende altresí armonizzare la nozione di trattamenti dei dati personali “a rischio elevato” che richiedono una DPIA, prevedendo l’adozione a livello europeo di un elenco delle attività di trattamento che esigono una DPIA e un elenco di quelle che non vi sono soggette (eliminando l’attuale sistema frammentato di 27 diverse liste nazionali)[64]. Spetta all’EDPB elaborare tali elenchi e sottometterli alla Commissione. Inoltre, esso dovrebbe proporre un modello comune e una metodologia comune per lo svolgimento delle DPIA, che la Commissione potrebbe adottare, con sue eventuali modifiche, mediante un atto di esecuzione[65]. Gli elenchi delle tipologie di trattamenti soggetti o meno a DPIA pubblicati dalle autorità di controllo nazionali resterebbero validi fino all’adozione dell’atto di esecuzione recante gli elenchi introdotti a livello europeo[66].

Cookie, terminali e standard tecnici: il nuovo impianto e-privacy

Con riguardo alle regole sui cookie, il Digital Omnibus sposta le regole della Direttiva ePrivacy sul trattamento dei dati personali su o da apparecchiature terminali nel GDPR[67]. Una disposizione normativa da introdurre nel GDPR stabilisce l’obbligo del consenso per l’archiviazione o l’accesso ai dati personali archiviati sulle apparecchiature terminali delle persone fisiche e fa ricadere il trattamento dei dati personali su e da apparecchiature terminali al regime del GDPR[68]. Peraltro, non è richiesto il consenso dell’utente quando l’archiviazione di dati personali o l’accesso a dati personali già archiviati nell’apparecchiatura terminale di una persona fisica è previsto dal diritto dell’UE o di uno Stato membro per la salvaguardia degli obiettivi di cui all’art. 23(1) GDPR[69].

Inoltre, è previsto un ampliamento della lista delle eccezioni al requisito del consenso per l’archiviazione o l’accesso ai dati personali memorizzati sulle apparecchiature terminali e il loro successivo trattamento finora prevista dall’art. 5(3) della Direttiva ePrivacy[70]. Vengono, infatti, aggiunti i casi in cui tali trattamenti sono necessari per la misurazione dell’utenza di un servizio online effettuata dal titolare del trattamento esclusivamente per uso proprio oppure per il mantenimento o il ripristino della sicurezza di un servizio fornito dal titolare del trattamento e richiesto dall’interessato[71].

È espressamente riconosciuto che queste eccezioni al requisito del consenso si applicano anche al successivo trattamento dei dati personali raccolti per una delle finalità elencate. Pertanto, tali dati possono essere trattati in forza di qualsiasi base giuridica prevista dal GDPR, compreso il legittimo interesse del titolare del trattamento. Per far leva su quest’ultimo, il titolare del trattamento deve considerare vari fattori, come, ad esempio, se gli interessati sono minori, le ragionevoli aspettative degli interessati, l’entità del trattamento e se il trattamento possa costituire un monitoraggio continuo della vita privata.

Come caveat si noti che, per quanto riguarda la necessità di misurare gli utenti di un servizio online, non si dice che possa essere legata a fini pubblicitari e si esclude che l’analisi sia eseguita per terze parti.

Giova ricordare che questa disciplina si applica solo quando le informazioni memorizzate nell’apparecchiatura terminale, mediante cookie o altre tecnologie di tracciamento, costituiscono dati personali dell’utente.

Sempre riguardo al trattamento dei dati personali nell’apparecchiatura terminale delle persone fisiche, è previsto che: i) gli interessati devono poter negare il consenso in modo semplice utilizzando un pulsante con un solo click o un metodo equivalente; ii) titolari del trattamento non possono richiedere nuovamente il consenso per la stessa finalità finché un consenso precedente è ancora valido; iii) a seguito di un rifiuto, i titolari del trattamento non possono richiedere nuovamente il consenso prima che siano trascorsi almeno sei mesi[72]; iv) questo regime si estende a qualsiasi successivo trattamento di dati personali basato sul consenso iniziale[73]. Questa disciplina diviene applicabile otto mesi dopo l’entrata in vigore del regolamento Omnibus[74].

Una novità in tema e-privacy contemplata nell’Omnibus è l’obbligo giuridico dei fornitori di siti web e apps di rispettare le indicazioni automatizzate e leggibili da dispositivo automatico delle scelte individuali rispetto al trattamento dei dati personali nell’apparecchiatura terminale delle persone fisiche, una volta che siano disponibili gli standards tecnici[75].

I fornitori di servizi di media sono esplicitamente esentati dall’obbligo di rispettare le indicazioni automatizzate[76]. La Commissione è consapevole che le entrate derivanti dalla pubblicità online hanno importanza vitale per il giornalismo indipendente. Quindi, per preservare questo “pilastro indispensabile di una società democratica”, essa ritiene opportuno permettere ai media online di interagire direttamente con gli utenti per informarli e richiedere il loro consenso[77].

I fornitori di web browsers che non sono PMI forniscono i mezzi tecnici per consentire agli interessati di prestare il proprio consenso e di rifiutare una richiesta di consenso ed esercitare il diritto ex art. 21(2) GDPR di opporsi al trattamento dei propri dati per finalità di marketing diretto, attraverso mezzi automatizzati e leggibili da dispositivo automatico previsti dal regolamento Omnibus[78].

Ciò riflette l’idea che ogni utente abbia nel suo browser una tecnologia che compia decisioni per lui rispetto all’online tracking sulla base di scelte da lui espresse (personal information management system). Il consenso espresso dall’utente mediante le interfacce online dovrà soddisfare i requisiti del GDPR (tra cui quello di essere specifico), il che pone alcune questioni legali non risolvibili mediante il processo di normazione tecnica prefigurato nel regolamento Omnibus.

Queste norme dovrebbero applicarsi 24 mesi dopo l’entrata in vigore del regolamento Omnibus, fatta eccezione per l’obbligo dei fornitori di web browsers la cui applicazione è prevista dopo 48 mesi[79].

Con il Digital Omnibus per l’AI, la Commissione europea propone di estendere l’ambito di applicazione della disposizione contenuta nell’AI Act che consente ai fornitori di sistemi AI ad alto rischio di trattare dati sensibili per il rilevamento e la correzione di distorsioni[80].

Tale trattamento è consentito se sussistono, oltre alle garanzie adeguate per i diritti e le libertà fondamentali delle persone fisiche previste dal GDPR, le ulteriori condizioni specifiche elencate nell’AI Act, ossia: “a) l’individuazione e la correzione delle distorsioni non possono essere soddisfatte in modo efficace trattando altri dati, compresi dati sintetici o anonimizzati; (b) le categorie particolari di dati personali sono soggette a limitazioni tecniche sul riutilizzo dei dati personali e a misure di sicurezza e di tutela della privacy all’avanguardia, compresa la pseudonimizzazione; (c) le categorie particolari di dati personali sono soggette a misure volte a garantire che i dati personali trattati siano sicuri, protetti, soggetti a garanzie adeguate, compresi controlli rigorosi e documentazione dell’accesso, per evitare abusi e garantire che solo le persone autorizzate abbiano accesso a tali dati personali con adeguati obblighi di riservatezza; (d) le categorie particolari di dati personali non siano trasmesse, trasferite o altrimenti accessibili ad altri soggetti; (e) le categorie particolari di dati personali vengono cancellate una volta corretta la distorsione o una volta che i dati personali hanno raggiunto la fine del periodo di conservazione, a seconda di quale evento si verifichi per primo; (f) i registri delle attività di trattamento […] includono i motivi per cui il trattamento di categorie particolari di dati personali era necessario per individuare e correggere errori e perché tale obiettivo non poteva essere raggiunto trattando altri dati”[81].

Tale esenzione dal divieto di trattare dati sensibili può estendersi ai fornitori e agli operatori di “altri” sistemi e modelli AI (cioè non “ad alto rischio”) e agli operatori di sistemi di AI ad alto rischio, ove sia necessario e proporzionato, purché il trattamento abbia le predette finalità e rispetti le garanzie e condizioni sopra indicate[82].

Le critiche dai vari fronti

Come prevedibile, le proposte di riforma delle norme sui dati personali hanno suscitato molte critiche da parte della dottrina, della società civile, delle imprese e di esponenti delle istituzioni europee e degli Stati membri.

Le critiche riguardano persino quanto non è stato incluso nelle versioni ufficiali delle proposte legislative della Commissione, ancorché fosse presente nelle versioni non finali, che erano divenute officiosamente accessibili quasi due settimane prima della pubblicazione del Digital Package.

Una delle proposte più significative di modifica del GDPR, contemplate nella leaked version del regolamento Omnibus e non rinvenute in quella ufficiale, consiste nel ridimensionamento della protezione dei dati sensibili. La Commissione aveva pensato di prevedere che il trattamento dei dati personali fosse vietato solo qualora rivelasse direttamente, in relazione ad un determinato individuo, la sua origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, lo stato di salute (dati relativi alla salute) o la vita sessuale o l’orientamento sessuale[83]. Questo sul presupposto che, ove le informazioni relative ad un individuo siano solo indirettamente suscettibili di rivelare informazioni sensibili, come nel caso in cui l’orientamento sessuale o lo stato di salute di una persona possano essere dedotti solo mediante un’operazione intellettuale che implichi confronto, incrocio, collazione o deduzione, non sussisterebbero rischi significativi per i diritti e le libertà del soggetto interessato, tali da giustificare un divieto di trattamento[84]. Varrebbe lo stesso anche quando le informazioni sensibili non riguardano con certezza una specifica persona fisica. Pertanto, quando i dati personali non sono “intrinsecamente sensibili” la protezione generale di cui agli articoli 5 e 6 GDPR sarebbe adeguata, senza necessità di applicare il divieto di trattamento ex art. 9(1) GDPR[85].

Correlata a tale ipotesi di modifica (poi abbandonata) vi era una revisione della definizione di “dati relativi alla salute”, che avrebbe qualificato tali: “i dati personali relativi alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi sanitari, che rivelano direttamente informazioni specifiche sul suo stato di salute” (enfasi aggiunta)[86].

Ciò avrebbe comportato che i dati da cui si possono dedurre caratteristiche sensibili, come quelli risultanti dalle tecniche di inferenza dei sistemi AI, sarebbero stati sottratti all’applicazione del GDPR.

Il fatto che tali modifiche alla disciplina del trattamento dei dati sensibili non compaiano nella versione finale della proposta Omnibus viene considerato positivamente da coloro che reputano necessario preservare l’elevato standard di tutela della privacy a livello europeo. Per contro, coloro che ritengono che l’ampia definizione di dati sensibili e l’ampia portata del divieto di trattamento costituiscano degli ostacoli ingiustificati alla ricerca scientifica e all’innovazione tecnologica lamentano un’occasione persa.

Da più parti si ritiene che la nozione di dati sensibili risultante dal GDPR sia problematica. È difficile stabilire quali dati personali “rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale” (enfasi aggiunta)[87]. Nell’era dell’AI bastano pochi dati per attribuire dati sensibili ad un individuo.

L’esclusione delle informazioni sensibili inferite dalla nozione di dati sensibili avrebbe costituito una dipartita dalla giurisprudenza della Corte di giustizia[88]. Quest’ultima, nel caso Lindenapotheke, ha affermato che affinché dei dati personali possano essere qualificati come dati relativi alla salute è sufficiente che essi siano idonei a rivelare, mediante un’operazione intellettuale di raffronto o di deduzione, informazioni sullo stato di salute dell’interessato[89].

Il caso verteva sul trattamento di dati personali – quali il nome dei clienti, l’indirizzo di consegna e gli elementi di individualizzazione dei medicinali – effettuato dal gestore di una farmacia nell’ambito di un’attività esercitata tramite una piattaforma online. La Corte ha affermato che i dati che un cliente inserisce su una piattaforma online al momento dell’ordine di medicinali sono idonei a rivelare, mediante un’operazione intellettuale di raffronto o di deduzione, informazioni sullo stato di salute dell’interessato, in quanto tale ordine implica la creazione di un nesso tra un medicinale, le sue indicazioni terapeutiche o i suoi usi, e una persona fisica identificata o identificabile da elementi quali il nome di tale persona o l’indirizzo di consegna[90]. Non solo. Secondo la Corte, tali dati devono essere considerate dati relativi alla salute, indipendentemente dal fatto che si riferiscano all’acquirente o a qualsiasi altra persona per la quale viene emesso l’ordine considerato[91], cioè anche se c’è solo con una certa probabilità, e non con assoluta certezza, che tali medicinali siano destinati all’acquirente[92].

Un’ampia nozione di dati sulla salute atta a ricomprendere quelli inferiti emerge anche da varie prese di posizione dell’EDPB. Ad esempio, esso ha affermato che devono considerarsi tali, inter alia, le “informazioni che diventano dati relativi alla salute sulla base di riferimenti incrociati ad altri dati tali da rivelare lo stato di salute o i rischi per la salute (ad esempio, la presunzione che una determinata persona sia esposta a un rischio più elevato di attacchi cardiaci basata su misurazioni ripetute della pressione arteriosa lungo un certo arco di tempo)”, le “informazioni ricavate da test di autovalutazione, in cui gli interessati rispondono a domande relative alla loro salute (ad esempio, descrivendo sintomatologia)” e le “informazioni che diventano dati relativi alla salute a seguito del loro utilizzo in un contesto specifico (ad esempio, informazioni relative a un viaggio recente o alla permanenza in una regione interessata dal COVID-19 elaborate da un professionista sanitario per effettuare una diagnosi)”[93].

Tornando alle modifiche delle norme sui dati personali effettivamente proposte dalla Commissione, le critiche negative ad esse rivolte vertono principalmente sui seguenti aspetti: i) deregulation e abbassamento del livello di tutela della privacy; ii) formulazione di norme che, per come sono scritte o per come sono state concepite, aprono questioni interpretative (anziché dare maggiore certezza giuridica); e iii) inidoneità della riforma a sostenere la ricerca e l’innovazione. Le critiche positive si incentrano soprattutto: i) sulla omogeneizzazione normativa e sulla centralizzazione a livello europeo delle funzioni regolatorie; ii) sulla semplificazione amministrativa e operativa per i titolari del trattamento e iii) sulla disciplina più permissiva per le attività di trattamento dei dati personali meno rischiose o necessarie per la ricerca scientifica e lo sviluppo tecnologico.

Le precisazioni previste dall’Omnibus al concetto di dato personale sono ritenute da molti non in linea con la giurisprudenza della Corte di Giustizia, che, sulla base della Carta europea dei diritti fondamentali (CDFUE)[94], garantirebbe un livello di tutela della privacy più elevato. Altri sostengono che la Commissione si sia ispirata ad una recente sentenza della Corte di Giustizia, ma – forse per un tentativo mal riuscito di semplificazione – avrebbe espresso il concetto di identificabilità in modo poco chiaro, facendo sorgere dubbi interpretativi.

La nozione rivista di “dato personale” consentirebbe di trattare le stesse informazioni come dati personali per il titolare del trattamento, ma come dati non personali per un’altra persona che non detiene (o dichiara di non detenere) la chiave di identificazione o mezzi di re-identificazione. Questo approccio relativistico rischierebbe di ridurre la tutela, in un’epoca caratterizzata da grande disponibilità di dati e potenti tecniche di re-identificazione.

La Corte di Giustizia, in linea con la CDFUE, ha interpretato estensivamente il concetto di “dato personale” al fine di garantire una tutela efficace e completa degli interessati.

Così, in base alla giurisprudenza europea, i dati non sono personali quando è improbabile che essi siano re-identificati sia dal titolare del trattamento che da qualsiasi altra persona. Nel caso Breyer, la Corte di Giustizia ha stabilito che è improbabile che un mezzo venga utilizzato per identificare una persona se il rischio di identificazione è di fatto insignificante, come nel caso in cui “l’identificazione della persona interessata fosse vietata dalla legge o praticamente irrealizzabile, per esempio a causa del fatto che implicherebbe uno dispendio di tempo, di costo e di manodopera”[95]. Inoltre, la Corte ha stabilito che l’identificazione è possibile se il titolare del trattamento può accedere ad informazioni aggiuntive, anche tramite le autorità statali competenti[96]. Nel caso di specie, la Corte ha ritenuto che il fornitore di servizi di media online disponesse di mezzi che potevano essere ragionevolmente utilizzati per identificare, con l’aiuto di altri soggetti, ossia l’autorità competente e il fornitore di accesso ad internet, l’utente del sito web (cioè la persona fisica proprietaria del computer con cui è stato consultato il sito o un’altra persona che può aver utilizzato tale computer) sulla base di un indirizzo IP registrato dal fornitore dei servizi di media online, con la conseguenza che l’indirizzo IP dovesse considerarsi un dato personale[97].

Nella causa OC contro Commissione europea, la Corte ha ritenuto che le informazioni relative ad una persona, contenute in un comunicato stampa, consentissero l’identificazione di tale persona da parte di giornalisti o altre persone che potevano combinare le informazioni del comunicato con altre informazioni sulla persona interessata ricercabili online in modo non dispendioso[98]. In tale contesto, il rischio di identificazione della persona interessata sulla base delle informazioni contenute nel comunicato stampa non poteva essere qualificato come insignificante[99]. Ciò significa che, affinché un’informazione possa essere considerata un dato personale, non è necessario che tutte le informazioni che consentono l’identificazione dell’interessato siano accessibili ad una sola persona. Infatti, “è inerente all’‘identificazione indiretta’ di una persona il fatto che le informazioni aggiuntive debbano essere combinate con i dati in questione, ai fini dell’identificazione dell’interessato. Ne risulta altresì che il fatto che tali informazioni aggiuntive dipendano da una persona o fonte diversa da quella del titolare del trattamento dei dati di cui trattasi non esclude in alcun modo […] il carattere identificabile di una persona”[100].

Nel caso SRB, la Corte di Giustizia ha affermato che le informazioni in possesso di terzi che il titolare del trattamento non può utilizzare sono irrilevanti ai fini della valutazione del rischio di identificazione degli interessati da parte del titolare, anche se con tali informazioni i terzi possono identificare autonomamente gli interessati[101]. Tuttavia, l’art. 13(1)(e) GDPR obbliga i titolari del trattamento ad informare gli interessati sui terzi a cui possono essere comunicati i dati, anche se i dati risultino, successivamente, anonimi[102]. Inoltre, la Corte ha espressamente richiamato la sentenza Breyer, secondo cui, affinché i dati siano qualificabili come “dati personali”, non è necessario che tutte le informazioni necessarie all’identificazione dell’interessato siano nelle mani di un unico soggetto[103].

Come si legge in vari commenti, la proposta di regolamento Omnibus estrapola dalla sentenza SRB la frase secondo cui la possibile identificazione degli interessati da parte di un successivo destinatario dei dati è irrilevante, anche se sussistono mezzi ragionevoli di re-identificazione[104].

Sennonché questa affermazione, non corredata da importanti precisazioni svolte nella sentenza, potrebbe essere fraintesa e indurre a sottovalutare alcuni elementi. In particolare, la Corte ha sottolineato che “[…] la pseudonimizzazione può, a seconda delle circostanze del caso di specie, effettivamente impedire a persone diverse dal titolare del trattamento di identificare l’interessato in modo tale che, per esse, quest’ultimo non sia o non sia più identificabile”[105] (corsivo nostro). Quindi, il contesto conta e va considerato caso per caso. Occorre valutare qual è la relazione tra titolare del trattamento e destinatario dei dati, ad esempio se quest’ultimo sia un responsabile del trattamento che tratterà i dati ricevuti per conto del titolare[106].

Nel caso SRB, la Corte di giustizia si è riferita a Deloitte come “destinatario” delle osservazioni pseudonimizzate e ha valutato l’identificabilità degli interessati da parte di Deloitte “in occasione di qualsiasi trattamento di dette osservazioni effettuato sotto il suo controllo” (corsivo nostro). Benché la Corte non abbia qualificato Deloitte come (autonomo) titolare del trattamento, il suo ragionamento presupponeva un certo grado di indipendenza, il che implica che Deloitte fosse titolare. Se Deloitte avesse agito in qualità di responsabile del trattamento, la Corte non sarebbe probabilmente giunta alla stessa conclusione dal momento che i responsabili del trattamento agiscono per conto (e secondo le istruzioni) del titolare del trattamento[107].

Inoltre, posto che la definizione rivista di dato personale dice che altre entità, sulla base delle informazioni di cui attualmente dispongono, non “possono” identificare l’interessato, ma non che “non debbano”[108]. Ciò induce a chiedersi cosa sia richiesto dal GDPR nel caso in cui tali entità, successivamente, entrino in possesso di altre informazioni o mezzi che consentono l’identificazione dell’interessato.

D’altro canto, le precisazioni di “dato personale” previste nell’Omnibus non risolvono, ma, anzi, ripropongono alcune questioni interpretative sorte a seguito della sentenza SRB.

Ad esempio, non è chiaro come il titolare del trattamento debba regolarsi in caso di trasferimento internazionale di dati pseudonimizzati ove questi ultimi siano dati personali per esso ma non per l’importatore extra-UE[109]. Dovrebbero essere stipulate comunque le clausole contrattuali standard?

Altri dubbi sorgono in caso di trasferimenti successivi di dati[110]. Come dovrebbe comportarsi il titolare dei dati ove il rischio di re-identificazione dei dati sia insignificante per un destinatario, ma non per tutti i destinatari successivi?

Inoltre, la sentenza SRB ha sottolineato l’importanza della pseudonimizzazione e di misure tecniche e organizzative dirette a ridurre il rischio di mettere in correlazione un insieme di dati con l’identità degli interessati. Sarebbe stato opportuno che nel testo che la Commissione propone di aggiungere alla definizione di dato personale vi fosse un richiamo espresso a tali misure.

Avrebbe senso pretendere che il titolare del trattamento, per valutare se le informazioni trasferite ad altre entità siano o meno dati personali per queste ultime, tenga conto non solo dei mezzi di cui attualmente dispongono tali entità per identificare gli interessati, ma valuti anche se le misure tecnico-organizzative da lui posti in essere siano effettivamente idonei ad impedire tale identificazione e si assicuri che le entità abbiano obblighi (se non legali almeno contrattuali) di non re-identificazione.

Per quanto riguarda le proposte di modifica al diritto di accesso, non sembra che esse soddisfino l’obiettivo dichiarato di chiarire le condizioni per dimostrare che una DSAR è eccessiva e cosa si intenda per esercizio abusivo del diritto di accesso.

Le modifiche alla norma sulle modalità di esercizio del diritto di accesso (art. 12 GDPR) sembrano voler dire che individui che abusano del diritto di accesso per fini diversi da quello della tutela dei dati personali sottomettono richieste “eccessive”, che i titolari possono rigettare oppure evadere a spese degli interessati. Tuttavia, un considerando reca degli esempi di abuso del diritto di accesso che sono già riconosciuti dall’EDPB e non aiutano a comprendere se una DSAR potrà essere considerata “eccessiva” configurando un abuso del dritto di accesso quando abbia il solo scopo di recare pregiudizio o danno al titolare del trattamento (come ritiene l’EDPB) oppure ogniqualvolta sembri perseguire finalità diverse da quelle di verificare se il titolare stia trattando dati personali dell’interessato e lo faccia lecitamente ai sensi del GDPR e, così, consentire all’interessato di esercitare i suoi (altri) diritti ai sensi del GDPR[111]. Nel secondo caso, si consentirebbe ai titolari del trattamento di sindacare le finalità delle richieste di accesso, ma ciò rischierebbe di pregiudicare il contenuto essenziale del diritto di accesso, oltre ad essere problematico sul piano pratico.

Il diritto di accesso è un diritto fondamentale riconosciuto dalla CDFUE[112]. Pertanto, eventuali limitazioni all’esercizio di tale diritto devono rispettarne il contenuto essenziale[113].

L’idea che il titolare possa sindacare le finalità di una DSAR contraddice la giurisprudenza europea, che interpreta il diritto di accesso in senso ampio in quanto essenziale per la protezione dei dati.

La Corte di giustizia ha confermato che il GDPR non prevede alcun obbligo di giustificare una richiesta di accesso ai dati personali[114]. Pertanto, il diritto di accesso dev’essere rispettato indipendentemente dallo scopo della richiesta.

Subordinare il diritto di accesso alla sussistenza di un valido motivo dell’interessato non può funzionare nella pratica: un titolare del trattamento non può conoscere le vere intenzioni dell’interessato e, quindi, non riuscirebbe a dimostrare che la richiesta persegue finalità diverse dalla tutela dei diritti fondamentali.

È, poi, inerente al diritto di accesso e, in generale, al diritto alla tutela dei dati personali il fatto di consentire alle persone di difendere i propri diritti e interessi sulla base di informazioni su se stesse[115].

Inoltre, l’esercizio del diritto di accesso non giova solo agli interessati, ma incentiva l’accountability e la compliance da parte dei titolari del trattamento ed è funzionale all’enforcement delle norme del GDPR da parte delle autorità di controllo e delle corti.

Appare criticabile anche un’altra precisazione contenuta in un considerando dell’Omnibus secondo cui “richieste troppo ampie e indifferenziate dovrebbero essere considerate eccessive”.

Quando l’interessato non sa ancora quali dati personali detiene il titolare del trattamento e come questi li tratta, non è in grado di specificare nella richiesta esattamente di cosa ha bisogno per valutare la liceità del trattamento. Richiedere agli interessati di specificare a quali dati desiderano avere accesso fa venir meno l’obbligo per i titolari del trattamento di fornire accesso a tutti i dati personali degli interessati. Vi è il rischio che i titolari possano approfittarne per nascondere informazioni che potrebbero rivelare comportamenti illeciti[116].

Per quanto concerne le modifiche che rimuovono i limiti al trattamento di dati mediante l’AI, l’Omnibus dà ampio spazio al ricorso ad un processo decisionale completamente automatizzato nei contesti contrattuali, allentando i vincoli attualmente previsti dall’art. 22 GDPR. Ciò incoraggerà la diffusione di decisioni non umane basate sull’AI in settori chiave della vita quotidiana, come banche, assicurazioni, lavoro e istruzione, senza controllo umano e con minori opportunità di spiegazione o contestazione[117].

Le modifiche che si riferiscono espressamente alla formazione e al funzionamento dei sistemi AI cercano di trovare una soluzione di compromesso tra la tutela della privacy e gli interessi dell’industria legati allo sviluppo e all’uso dell’AI. Da un lato, vi è il riconoscimento a livello normativo del legittimo interesse come possibile base legale per trattare dati personali nel contesto dell’AI. Dall’altro, devono sussistere garanzie quali la minimizzazione dei dati, una maggiore trasparenza e un diritto incondizionato di opposizione. Una nuova deroga al divieto di cui all’art. 9(1) GDPR consente la presenza di dati sensibili residui nei set di dati dell’AI, ma a condizione che i titolari del trattamento evitino di raccogliere tali dati, li eliminino ove possibile e impediscano in altro modo che influenzino i risultati o vengano divulgati.

Per avvalersi delle facoltà offerte dall’Omnibus i titolari del trattamento dovranno rispettare i principi della privacy by design e della privacy by default.

Queste previsioni vanno in una direzione già tracciata dall’EDPB e da varie autorità di controllo nazionali, ma secondo alcuni commentatori si spingerebbero troppo in là[118].

In particolare, l’Omnibus introduce la presunzione che sussista un legittimo interesse per l’addestramento dell’AI. Pertanto, sarebbe l’interessato ad avere l’onere di dimostrare che i suoi diritti prevalgono sull’interesse del titolare del trattamento ad utilizzare i dati per l’addestramento dell’AI[119].

Inoltre, il riferimento alla “formazione di un sistema di intelligenza artificiale” è vago e rende incerto l’ambito di applicazione della nuova disciplina[120].

Inoltre, non è agevole coordinare la nuova esenzione dal divieto dell’art. 9 GDPR sul trattamento di dati sensibili (in generale) per la formazione e l’impiego dell’AI (sia pure “in via residua”) con la disposizione che dovrebbe essere inclusa nell’art. 10 dell’AI Act, che consente di trattare dati sensibili (solo) nel contesto dell’AI per il rilevamento e la correzione dei pregiudizi, a condizione che siano rispettati certi requisiti.

Né è facile comprendere perché sia previsto un diritto incondizionato di opposizione al trattamento esercitabile dagli interessati nel caso in cui dati personali “ordinari” restino memorizzati in un sistema o modello AI, mentre, nel caso in cui dati sensibili restino memorizzati in tale sistema o modello, il titolare sia esonerato dall’obbligo di rimuoverli ove ciò richieda uno sforzo sproporzionato[121].

Nel campo dell’e-privacy, le due principali novità consistono nelle quattro finalità per le quali accesso a dati personali registrati su terminali e dispositivi degli utenti sarebbe ipso iure legittimo[122] e nella previsione di un meccanismo tecnico per esprimere preferenze rispetto all’online tracking una volta sola in modo vincolante per tutti i gestori di siti web e applicazioni mobili[123], che dovrebbe prendere il posto dei cookie banners su cui gli utenti che si trovino in Europa devono cliccare ogniqualvolta vogliano accedere ad un sito web o app.

Appare improbabile che i cookie banners possano essere rimossi del tutto[124]. Infatti, molti fornitori di contenuti e servizi online utilizzano i cookie banner non solo per ottenere il consenso all’installazione dei cookie, ma anche per adempiere agli obblighi di informazione imposti dal GDPR. In questi casi bisognerà valutare caso per caso come gestire le informazioni attualmente inserite in questi banner: l’informativa dovrà essere inserita nell’informativa privacy o in apposite informative sui cookie oppure presentata in un banner ridotto recante solo l’informativa.

Resta poi dubbio, nel caso in cui il consenso o il rifiuto dei cookie siano dati tramite le preferenze del browser, come si possano fornire le informazioni obbligatorie agli interessati prima che abbia luogo il trattamento dei loro dati. Se, al posto di un cookie banner, si pubblicasse un’informativa generale sui cookie su un sito web, si potrebbe sostenere che le informazioni non siano fornite tempestivamente agli interessati.

Inoltre, poiché, ai sensi dell’art. 7(3) GDPR, revocare il consenso dev’essere possibile “con la stessa facilità con cui è accordato”, si potrebbe ritenere che dare all’interessato la possibilità di revocare il consenso tramite un banner di notifica sia più semplice anche nel caso in cui il consenso sia stato prestato tramite le preferenze del browser.

Passando alle critiche positive, il Digital Omnibus potrebbe facilitare l’uso dei dati personali per la ricerca scientifica. Esso, infatti: con la nuova definizione di “ricerca scientifica” e le precisazioni contenute in un considerando dà atto del ruolo cruciale del settore privato nella ricerca e nello sviluppo; qualifica l’ulteriore trattamento a fini di ricerca scientifica (cioè l’uso secondario dei dati) come compatibile con la finalità iniziale della raccolta; riconosce espressamente che il trattamento di dati personali per finalità di ricerca scientifica può costituire un interesse legittimo ai sensi dell’art. 6(1)(f) GDPR; in caso di trattamento di dati già raccolti per finalità di ricerca scientifica, alleggerisce l’onere per il titolare di dimostrare che fornire l’informativa privacy personalmente agli interessati richiederebbe uno sforzo sproporzionato[125].

L’ampliamento delle competenze della Commissione e dell’EDPB nell’adozione di regole specifiche – come gli elenchi a livello UE di attività di trattamento che richiedono e di quelle che non richiedono una DPIA e un modello e una metodologia standardizzati per la conduzione delle DPIA – potrebbe effettivamente contribuire ad un’armonizzazione normativa all’interno dell’UE.

Le modifiche di alcuni adempimenti nella gestione dei data breaches, come il single entry point per tutte le violazioni della sicurezza, l’equiparazione della soglia di rischio richiesta per la notifica all’autorità di controllo e la comunicazione agli interessati, la creazione di modelli standard per la notifica e il maggiore lasso temporale, potrebbero facilitare la compliance al GDPR.

Il confronto con un altro tipo di approccio

Sempre più spesso, organizzazioni, organismi di settore e altre parti interessate esprimono la necessità di applicare le norme in modo da proteggere in modo significativo gli interessati, consentendo al tempo stesso uno sviluppo responsabile dell’AI e una ricerca basata sui dati, senza bloccare l’innovazione dove non esistono rischi o danni realistici.

A tal fine, sarebbe necessaria una linea guida pragmatica: criteri operativi per l’anonimizzazione, esempi pratici di ciò che costituirebbe e non costituirebbe “mezzo ragionevolmente probabile da utilizzare” per identificare un interessato in diverse circostanze, come le misure contrattuali possono essere utilizzate per mitigare questo rischio con determinate terze parti e casi pratici che mostrano quando controlli efficaci riducono il rischio residuo di identificabilità ad un livello sufficientemente basso. Qualcosa che non si può ottenere attraverso una riscrittura della legge.

Il tentativo della Commissione di chiarire sul piano normativo (quindi necessariamente astratto) nozioni giuridiche, che erano già oggetto di una cospicua giurisprudenza europea e di linea guida delle autorità di controllo, non sembra risolutivo dei dubbi interpretativi preesistenti e rischia di crearne altri.

Nel Regno Unito il Data Use and Access Act (‘DUAA’) ha recentemente apportato varie modifiche alla normativa sui dati personali e sulla privacy nelle comunicazioni elettroniche[126], che mirano a renderla più favorevole alla ricerca e all’innovazione[127].

Queste modifiche non hanno intaccato la definizione di dato personale, di dati sensibili e di pseudonimizzazione, né il contenuto essenziale dei diritti di informazione e di accesso degli interessati[128]. D’altro canto, sono state ampliate le possibilità di accesso e di utilizzo dei dati personali per scopi di ricerca, archiviazione e statistica ed è stata introdotta una lista di interessi legittimi codificati[129].

Resta demandato all’Information Commissioner’s Office (ICO) l’adozione di linee guida che spieghino con l’ausilio di casi pratici i concetti normativi. Così, ad esempio, l’ICO ha affinato la sua guida sull’anonimizzazione[130], approfondendo vari aspetti, come l’impatto di varie privacy-enhancing technologies sulle attività di trattamento[131].

Note

^[1] Si veda: COM(2025) 835 “Unlocking data for AI”. La strategia delineata dalla Commissione europea mira ad un’economia europea sovrana basata sui dati, in cui i dati fluiscono in modo sicuro e responsabile, alimentando lo sviluppo dell’AI e, in generale, l’innovazione digitale e rafforzando la competitività dell’UE su scala globale. A tal fine, l’UE intende intervenire in tre direzioni: 1) ampliare l’accesso ai dati per l’AI, istituendo, ad esempio, laboratori di dati in grado di offrire servizi di pseudonimizzazione affidabili e condividere le risorse di dati tra attori pubblici e privati ​​per fornire ad aziende e ricercatori set di dati di alta qualità; 2) semplificare le norme sui dati per semplificare la condivisione dei dati per aziende e ricercatori, per esempio mediante una riforma del consenso ai cookie per ridurre i costi di compliance salvaguardando nel contempo i diritti; 3) rafforzare la posizione globale dell’UE sui trasferimenti internazionali di dati, affrontando il problema delle barriere commerciali ingiustificate in modo che le aziende europee possano competere ad armi pari a livello globale.

^[2] Si veda: COM(2025) 837 “Digital Omnibus” – Proposta di Regolamento del Parlamento Europeo e del Consiglio che modifica i regolamenti (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725, (UE) 2023/2854 e le direttive 2002/58/CE, (UE) 2022/2555 e (UE) 2022/2557 per quanto riguarda la semplificazione del quadro legislativo digitale e abroga i regolamenti (UE) 2018/1807, (UE) 2019/1150, (UE) 2022/868 e la direttiva (UE) 2019/1024 (Digital Omnibus).

^[3] Si veda: COM(2025) 836 “Digital Omnibus on AI”. Nello specifico, l’intento non è quello di riformare l’AI Act – entrato in vigore il 1° agosto 2024, ma le cui disposizioni, divenendo gradualmente applicabili, lo saranno integralmente il 2 agosto 2027 – bensì di facilitarne l’attuazione, mediante l’adozione di misure di semplificazione volte a garantire un’attuazione tempestiva e lineare delle sue disposizioni normative.

^[4] Il 16 settembre 2025, la presidente della Commissione europea Ursula von der Leyen e il professor Mario Draghi hanno aperto una conferenza ad alto livello per esaminare i progressi della Commissione nell’attuazione delle raccomandazioni contenute nella relazione di Draghi sul futuro della competitività europea (‘High Level Conference – One year after the Draghi report: what has been achieved, what has changed’). Draghi ha sottolineato che l’addestramento dei modelli AI richiede enormi quantità di dati su siti pubblici, ma l’incertezza giuridica sul loro utilizzo crea costosi ritardi, rallentandone l’implementazione in Europa. In particolare, il GDPR ha aumentato il costo dei dati di circa il 20% per le aziende dell’UE rispetto alle omologhe statunitensi.

^[5] L’attuazione dell’AI Act deve avvenire per fasi: il divieto di sistemi AI proibiti opera dal 2 febbraio 2025, gli obblighi in materia di AI per scopi generali sono efficaci dal 2 agosto 2025, i requisiti in materia di AI ad alto rischio si applicheranno il 2 agosto 2026 e la piena conformità all’AI Act è richiesta entro il 2 agosto 2027.

^[6] Si veda anche il comunicato stampa (intitolato: Norme digitali UE più semplici e nuovi portafogli digitali faranno risparmiare miliardi alle imprese e stimoleranno l’innovazione) pubblicato sul sito della Commissione europea.

^[7] Regolamento (UE) 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

^[8] Direttiva 2002/58/CE del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche).

^[9] Regolamento (UE) 2022/868 del 30 maggio 2022 sulla governance dei dati.

^[10] Regolamento (UE) 2018/1807 del 14 novembre 2018, relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea.

^[11] Direttiva (UE) 2019/1024 del 20 giugno 2019, relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico.

^[12] Regolamento (UE) 2023/2854 del 13 dicembre 2023, riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo (regolamento sui dati).

^[13] Direttiva (UE) 2022/2555 del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (direttiva NIS 2).

^[14] Regolamento 2022/2554 del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario (‘Digital Operational Resilience Act’).

^[15] Direttiva (UE) 2022/2557 del 14 dicembre 2022 relativa alla resilienza dei soggetti critici (Critical Entities Resilience Directive).

^[16] Regolamento (UE) 2019/1150 del 20 giugno 2019, che promuove equità e trasparenza per gli utenti commerciali dei servizi di intermediazione online (Platform to Business Regulation).

^[17] Per quanto riguarda il Data Governance Act, nonostante la sua completa eliminazione, il quadro normativo per i servizi di intermediazione dati e le organizzazioni di altruismo dei dati viene integrato nel Data Act con modifiche mirate. In particolare, per quanto riguarda i servizi di intermediazione dati, la proposta della Commissione UE rende la registrazione volontaria (che, nella disciplina attuale, é obbligatoria a livello di Stato membro), mentre mantiene la registrazione volontaria per le organizzazioni di altruismo dei dati.

^[18] In sintesi, l’Omnibus propone di abrogare completamente il Data Governance Act, la Direttiva Open Data e il Regolamento sulla libera circolazione dei dati non personali e di trasferire questi strumenti giuridici nel Data Act. Inoltre, apporta modifiche mirate al Data Act.

^[19] Si veda: COM(2025) 837 (citata).

^[20] Si veda: COM(2025) 837 (citata).

^[21] Come spiega la Commissione nella proposta di regolamento Omnibus (citata), attualmente l’art. 5(3) della Direttiva ePrivacy si applica all’installazione di cookie o tecnologie simili per ottenere informazioni dall’apparecchiatura terminale di un utente, prevedendo il consenso ogniqualvolta l’uso di tali tecnologie non è necessario per l’archiviazione tecnica o l’accesso al solo scopo di effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o quando strettamente necessario per fornire un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente. Invece, il successivo trattamento dei dati personali ottenuti dall’apparecchiatura terminale è soggetto al GDPR, che richiede una base giuridica per tale trattamento. Tale base giuridica non dovrebbe consistere nel consenso dell’interessato quando il trattamento è necessario per l’esecuzione di un servizio diverso dal servizio della società dell’informazione. Ciò ha portato ad incertezza giuridica e a maggiori costi di compliance per i titolari del trattamento in questione.

^[22] Si veda: COM(2025) 837 (citata). La Commissione dovrà richiedere agli organismi di normazione di elaborare una serie di standard per la codifica delle indicazioni automatizzate e leggibili da dispositivo automatico delle scelte dell’interessato e per la comunicazione di tali scelte dai browser ai siti web e dalle applicazioni per dispositivi mobili ai servizi web. Una volta disponibili, i titolari del trattamento che utilizzano siti web e applicazioni mobili per fornire i propri servizi saranno tenuti a rispettare tali indicazioni automatizzate e leggibili da dispositivo automatico. I titolari del trattamento che garantiranno che i propri siti web o applicazioni per dispositivi mobili si conformano a tali standard beneficeranno di una presunzione di compliance.

^[23] Ciò significa che gli utenti devono avere l’opzione di accettare o rifiutare tutti i cookie, anziché esprimere le loro preferenze in modo granulare.

^[24] Si veda: COM(2025) 837 (citata). Si tratta degli obblighi di notifica delle violazioni della sicurezza stabiliti oltre che dal GDPR dalla Direttiva NIS2), dai regolamenti DORA e eIDAS e dalla Direttiva CER.

^[25] Si propone di prorogare, fino a sedici mesi, l’adeguamento agli obblighi e requisiti previsti dall’AI Act per i sistemi AI ad alto rischio, originariamente prevista per agosto 2026. L’entrata in vigore degli obblighi per i sistemi AI ad alto rischio si applicherà solo dopo che la Commissione avrà confermato la disponibilità effettiva degli standards armonizzati, linee guida e strumenti tecnici di supporto alla compliance con l’AI Act. Dopo tale conferma, gli obblighi imposti dall’AI Act si applicheranno dopo sei mesi per i sistemi AI ad alto rischio classificati nell’Allegato III e dopo dodici mesi per quelli elencati nell’Allegato I dell’AI Act. La proposta include altresì date entro cui, indipendentemente dall’adozione di misure supporto alla compliance, occorre adeguarsi agli obblighi in questione (ossia, rispettivamente, il 2 dicembre 2027 e il 2 agosto 2028). Tuttavia, se il pacchetto di riforma (nel suo complesso) non fosse approvato entro agosto 2026 dai co-legislatori europei, resterebbero ferme le scadenze originarie per conformarsi alle norme dell’AI Act.

^[26] La procedura legislativa ordinaria, prevista dall’art. 294 del Trattato sul Funzionamento dell’Unione europea (TFUE), consiste nell’adozione congiunta, da parte del Parlamento europeo e del Consiglio, di un atto legislativo su una proposta della Commissione europea.

^[27] Considerando 27 della proposta di regolamento Digital Omnibus.

^[28] Considerando 27, citato, dove si fa l’esempio del divieto di re-identificazione dei soggetti interessati derivante dagli obblighi degli utilizzatori di dati sanitari di cui all’art. 61(3) del Regolamento (UE) 2025/327 dell’11 febbraio 2025 sullo spazio europeo dei dati sanitari (“EDHS”).

^[29] Si tratta di un nuovo art. 41a GDPR, che non è richiamato dal paragrafo aggiunto alla definizione di dato personale di cui all’art. 4(1) GDPR, ma è espressione dello stesso intento di valutare se una determinata entità sulla base di una certa informazione, tenuto conto di altre informazioni e dei mezzi a sua disposizione, possa o meno identificare il soggetto interessato e, quindi, debba rispettare le norme sulla tutela dei dati personali, secondo una concezione “relativistica” di “dato personale. La Commissione, insieme all’EDPB, dovrebbe supportare i titolari del trattamento nell’applicazione della definizione aggiornata di dato personale stabilendo criteri tecnici in un atto di esecuzione (come ribadito dal considerando 27).

^[30] La Commissione coinvolgerà strettamente l’EDPB nella preparazione degli atti di esecuzione in questione. L’EPDB dovrà emettere un parere sui progetti di atti di esecuzione entro (solo) otto settimane dal ricevimento di un progetto da parte della Commissione.

^[31] Il titolare del trattamento non dovrà svolgere il “test di compatibilità” della finalità del trattamento ulteriore dei dati con la finalità iniziale della loro raccolta di cui all’art. 6(4) GDPR, ossia tener conto, tra l’altro: “a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto; b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento; c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali […], oppure se siano trattati dati relativi a condanne penali e a reati […]; d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati; e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione”.

^[32] Si veda il punto 38 aggiunto all’art. 4 GDPR dal regolamento Digital Omnibus. Viene anche precisato che la ricerca deve contribuire alle conoscenze scientifiche esistenti o applicarle in modi innovativi, essere condotta con l’obiettivo di contribuire alla crescita della conoscenza generale e del benessere della società e rispettare gli standards etici nell’area di ricerca pertinente.

^[33] In base al considerando 28 del regolamento Digital Omnibus, “per valutare se la ricerca soddisfa le condizioni della ricerca scientifica […] si può tenere conto di elementi quali l’approccio metodologico e sistematico applicato durante lo svolgimento della ricerca nell’area specifica. La ricerca e lo sviluppo tecnologico dovrebbero essere condotti in contesti accademici, industriali e di altro tipo, comprese le piccole e medie imprese (articolo 179, paragrafo 2, TFUE), dovrebbero essere sempre di elevata qualità e rispettare i principi di affidabilità, onestà, rispetto e responsabilità (verificabilità)”.

^[34] Si veda il considerando 30 del regolamento Digital Omnibus.

^[35] Si veda l’art. 88c del regolamento Digital Omnibus.

^[36] La proposta lascia spazio alle leggi dell’UE o degli Stati membri per derogare a ciò al fine di richiedere il consenso come base giuridica per tale trattamento. Ad esempio, l’art. 5(2) Regolamento (UE) 2022/1925 del 14 settembre 2022 (Digital Markets Act) impone ai guardiani di ottenere il consenso dell’utente finale prima di intraprendere varie attività di trattamento dei dati personali.

^[37]Considerando 31 del regolamento Omnibus.

^[38] Come “garanzie adeguate per ridurre al minimo l’impatto sui diritti degli interessati” del trattamento dei loro dati personali nel contesto dell’AI, che dovrebbero essere adottate dal titolare del trattamento, vengono menzionate: una maggiore trasparenza, il riconoscimento agli interessati di un diritto incondizionato di opporsi al trattamento dei loro dati personali, il rispetto da parte del titolare delle indicazioni tecniche integrate in un servizio che limitano l’uso dei dati per lo sviluppo dell’AI da parte di terzi, l’uso di altre tecniche all’avanguardia di tutela della privacy per la formazione sull’AI e misure tecniche adeguate per ridurre al minimo efficacemente i rischi derivanti, ad esempio, dal rigurgito, fuga di dati e altre azioni previste o prevedibili (si veda il considerando 31, citato).

^[39] Ad esempio, sarà verosimilmente necessario condurre una valutazione d’impatto della protezione dei dati (“DPIA”).

^[40] Il Parere 28/2024, adottato dall’EDPB il 17 dicembre 2024, tratta i seguenti temi: i) quando e come i modelli AI possono essere considerati anonimi, ii) se e come l’interesse legittimo può essere utilizzato come base giuridica per lo sviluppo o l’utilizzo di modelli AI, e iii) cosa succede se un modello AI viene sviluppato utilizzando dati personali trattati illegalmente. Il Parere è stato richiesto dall’Autorità irlandese per la protezione dei dati ai sensi dell’art. 64 GDPR al fine di ricercare un’armonizzazione normativa a livello europeo.

^[41] Si veda il considerando 33 del regolamento Digital Omnibus.

^[42] Si vedano la nuova lettera k) inserita nell’art. 9(2) GDPR e il nuovo paragrafo 5 aggiunto nel citato art. 9, nonché il considerando 33, citato.

^[43] Si veda il considerando 33, citato.

^[44] Si veda il considerando 33, citato.

^[45] Considerando 15 del GDPR. L’essere “tecnologicamente agnostica” è stato finora considerato un vantaggio della normativa europea sulla tutela dei dati personali, che le ha consentito di “sopravvivere” all’evoluzione tecnologica che si è avuta sin dall’adozione della direttiva 95/46/CE (poi sostituita dal GDPR).

^[46] Si vedano la nuova lettera l) inserita nell’art. 9(2) GDPR e il considerando 34 del regolamento Digital Omnibus, in cui la Commissione che “una deroga al divieto di trattamento dei dati biometrici [ex art. 9(1) GDPR] dovrebbe essere consentita anche quando la verifica dell’identità dichiarata dell’interessato è necessaria per una finalità perseguita dal titolare del trattamento e sono previste garanzie idonee a consentire all’interessato di avere il controllo esclusivo del processo di verifica”. Circa la nozione di dati biometrici risultante dal GDPR, la Commissione ricorda che essa “comprende due funzioni distinte, vale a dire l’identificazione di una persona fisica o la verifica (detta anche autenticazione) della sua identità dichiarata, entrambe basate su processi tecnici diversi. Il processo di identificazione si basa su una ricerca ‘uno a molti’ dei dati biometrici dell’interessato in una banca dati, mentre il processo di verifica si basa su un confronto ‘uno a uno’ dei dati biometrici forniti dall’interessato, che in tal modo dichiara la propria identità”.

^[47] Si veda il considerando 34, citato.

^[48] Si veda il nuovo paragrafo 5 con cui il regolamento Omnibus sostituirebbe l’attuale paragrafo 5 dell’art. 12 GDPR. Attualmente, ai sensi dell’art. 12(5) GDPR, il titolare deve dare seguito alle richieste dell’interessato dirette ad esercitare i suoi diritti ai sensi del GDPR (ossia i diritti di accesso, di rettifica e alla cancellazione dei dati, di limitazione del trattamento, alla portabilità dei dati, di opposizione al trattamento e di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato) in modo tempestivo e gratuito, salvo che le richieste dell’interessato siano manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo. In quest’ultimo caso, “il titolare del trattamento può: a) addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta; oppure b) rifiutare di soddisfare la richiesta”, avendo “l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta”.

^[49] Considerando 35 del regolamento Digital Omnibus.

^[50] Considerando 35, citato.

^[51] Considerando 35, citato.

^[52] Si veda il nuovo paragrafo 4 che, nelle intenzioni della Commissione, dovrebbe sostituire l’attuale paragrafo 4 dell’art. 13 GDPR. L’art. 13(4) GDPR, nella versione corrente, si limita ad affermare che il titolare non è tenuto a dare all’interessato le informazioni sul trattamento dei dati al momento della raccolta degli stessi presso l’interessato “se e nella misura in cui l’interessato dispone già delle informazioni”.

^[53] Nel considerando 36 si spiega che: “per ridurre ulteriormente l’onere a carico dei titolari del trattamento, senza compromettere la possibilità dell’interessato di esercitare i propri diritti” la deroga all’obbligo di fornire l’informativa privacy ex art. 13 GDPR “dovrebbe essere estesa alle situazioni in cui il trattamento non è suscettibile di presentare un rischio elevato [per i diritti e le libertà delle persone fisiche], e vi sono fondati motivi per ritenere che l’interessato disponga già delle informazioni […], alla luce del contesto in cui i dati personali sono stati raccolti, in particolare per quanto riguarda la relazione tra interessati e titolare del trattamento”. Viene altresì precisato che “tali situazioni dovrebbero riguardare le situazioni in cui il contesto della relazione tra titolare del trattamento e interessato è molto chiaro e circoscritto e l’attività del titolare del trattamento non è ad alta intensità di dati, come la relazione tra un artigiano e i suoi clienti, in cui l’ambito del trattamento è limitato ai dati minimi necessari per l’esecuzione del servizio”. Vengono fatti degli esempi in cui il titolare può derogare all’obbligo dell’informativa: “quando il trattamento non richiede un elevato utilizzo di dati, non è complesso e il titolare del trattamento raccoglie una quantità limitata di dati personali, dovrebbe essere ragionevole aspettarsi, ad esempio, che l’interessato disponga delle informazioni sull’identità e sui dati di contatto del titolare del trattamento nonché sulle finalità del trattamento quando tale trattamento viene effettuato per l’esecuzione di un contratto di cui l’interessato è parte, o quando l’interessato ha prestato il proprio consenso a tale trattamento, in conformità con i requisiti stabiliti dal [GDPR]. Lo stesso dovrebbe valere per le associazioni e i club sportivi in​​cui il trattamento dei dati personali è limitato alla gestione degli iscritti, alla comunicazione con i soci e all’organizzazione delle attività”.

^[54] Si veda il nuovo paragrafo 5 che la Commissione propone di inserire nell’art. 13 GDPR.

^[55] Considerando 37 del regolamento Omnibus.

^[56] Il citato considerando 37 precisa che la fornitura delle informazioni rilevanti sul trattamento ulteriore di dati a scopi di ricerca scientifica dovrebbe garantire che venga raggiunto il maggior numero possibile di interessati; a tal fine, le modalità di pubblicazione appropriate dovrebbero essere determinate in base al contesto del progetto di ricerca e agli interessati coinvolti.

^[57] Si veda il nuovo paragrafo 1 dell’art. 24 GDPR da cui saranno sostituiti gli attuali paragrafi 1 e 2. Viene, quindi, precisato che l’ipotesi, attualmente prevista, secondo cui è lecito un trattamento totalmente automatizzato dei dati per prendere una decisione che incide sulla posizione giuridica o sugli interessi dell’interessato ove tale decisione sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento, opera anche quando sia possibile ovviare al trattamento del tutto automatizzato dei dati dell’interessato. Nel considerando 38 del regolamento Omnibus si spiega: “[…] al fine di garantire una maggiore certezza del diritto, è opportuno chiarire che […] nel valutare se una decisione sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento, come stabilito dall’articolo 22, paragrafo 2, lettera a), del Regolamento (UE) 2016/679, non si dovrebbe richiedere che la decisione possa essere presa solo mediante un trattamento esclusivamente automatizzato […]”. Sono confermate le altre due eccezioni al diritto dell’interessato a non essere sottoposto a decisioni basate su un trattamento meramente automatizzato dei dati suoi personali, ovvero quando una decisione di questo tipo sia autorizzata dal diritto dell’UE o dello Stato membro a cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato, o è stato ottenuto il consenso esplicito dall’interessato.

^[58] Si veda il considerando 38, citato.

^[59] Si veda il considerando 38, citato.

^[60] La “violazione dei dati personali” (data breach) è definita dal GDPR come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (art. 4 n. 12). La valutazione d’impatto sulla protezione dei dati (DPIA) deve contenere almeno: “a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione” (art. 35(7) GDPR).

^[61] Si veda il nuovo paragrafo 1 dell’art. 33 GDPR previsto nel regolamento Omnibus. Qualora la notifica all’autorità di controllo non sia effettuata entro 96 ore, il titolare dovrebbe indicare i motivi del ritardo.

^[62] Ai sensi del paragrafo 1a che dovrebbe essere inserito nell’art. 33 GDPR, “fino all’istituzione dello sportello unico ai sensi dell’articolo 23 bis della direttiva (UE) 2022/2555, i titolari del trattamento continuano a notificare le violazioni dei dati personali direttamente all’autorità di controllo competente in conformità con gli articoli 55 e 56 [GDPR]”.

^[63] In base a due nuovi paragrafi 6 e 7 aggiunti nell’art. 33 GDPR, l’EDPB dovrà predisporre e sottomettere alla Commissione un modello comune per la notifica di un data breach all’autorità di controllo, nonché di un elenco delle circostanze in cui un data breach può presentare un rischio elevato per i diritti e le libertà di una persona fisica. Tali proposte devono essere pronte entro nove mesi dalla data di applicazione del regolamento Omnibus. La Commissione potrà adottare questi documenti, con sue eventuali modifiche, mediante un atto di esecuzione. Tali documenti vanno riesaminati almeno ogni tre anni e aggiornati, se necessario. A tal fine, l’EDPB può sottomettere proposte di modifica alla Commissione.

^[64] I nuovi paragrafi 4 e 5 dell’art. 35 GDPR stabiliscono che spetta all’EDPB, anziché alle autorità di controllo degli Stati membri, predisporre gli elenchi delle attività di trattamento dei dati che richiedono o che non richiedono una DPIA. In base ad un nuovo paragrafo 6a, gli elenchi predisposti dall’EDPB (entro nove mesi dalla data di applicazione del regolamento Omnibus) sono soggetti a riesame da parte della Commissione, che può adottarli mediante un atto di esecuzione.

^[65] Si veda il nuovo paragrafo 6 dell’art. 35 GDPR previsto dal regolamento Omnibus. In base al nuovo paragrafo 6b, gli elenchi dei trattamenti di dati soggetti o meno a DPIA e il modello e la metodologia per condurre le DPIA sono riesaminati almeno ogni tre anni e aggiornati ove necessario. A tal fine, l’EDPB dovrebbe presentare tempestivamente alla Commissione eventuali proposte di aggiornamento e la Commissione, dopo averle esaminate e revisionate, ha il potere di adottare eventuali aggiornamenti mediante un atto di esecuzione.

^[66] Si veda il nuovo paragrafo 6c inserito nell’art. 35 GDPR.

^[67] Si veda il nuovo art. 88a che la Commissione propone di inserire nel GDPR.

^[68] La disciplina dettata dall’art. 5(3) della Direttiva ePrivacy “dovrebbe restare applicabile nella misura in cui l’abbonato o l’utente non è una persona fisica e le informazioni archiviate o a cui ha accesso non costituiscono né comportano un trattamento di dati personali” (considerando 47 del regolamento Omnibus).

^[69] Si veda il paragrafo 2 del citato art. 88a.

^[70] Il sopracitato art. 5(3) sulla ‘riservatezza delle comunicazioni’ dispone: “gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva 95/46/CE, tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio”.

^[71] Si veda il nuovo art. 88a del regolamento Omnibus, il quale conferma i casi previsti dalla Direttiva ePrivacy in cui l’archiviazione di dati personali o l’accesso a dati personali già archiviati nell’apparecchiatura terminale di una persona fisica senza consenso e il successivo trattamento sono leciti, ossia quando sono necessari per effettuare la trasmissione di una comunicazione elettronica su una rete di comunicazione elettronica o per fornire un servizio esplicitamente richiesto dall’interessato. Per quanto riguarda l’archiviazione dei dati personali, o l’accesso a dati personali già conservati, in un’apparecchiatura terminale, e il successivo trattamento necessario per una delle finalità elencate dall’art. 88a, il regolamento Omnibus prevede che il trattamento sia lecito. Pertanto, ad esempio, il titolare del trattamento, come un fornitore di servizi di media, può incaricare un responsabile del trattamento, come una società di ricerche di mercato, di eseguire il trattamento per suo conto (si veda il considerando 44 del regolamento Omnibus).

^[72] Come spiega il considerando 45 del regolamento Omnibus, “gli interessati che hanno rifiutato una richiesta di consenso si trovano spesso di fronte a una nuova richiesta di prestare il consenso ogni volta che visitano nuovamente il servizio online dello stesso titolare del trattamento. Ciò potrebbe avere effetti pregiudizievoli per gli interessati che eventualmente acconsentiranno solo per evitare la reiterazione delle richieste. Il titolare del trattamento dovrebbe pertanto essere obbligato a rispettare le scelte dell’interessato di rifiutare una richiesta di consenso per almeno un certo periodo”.

^[73] Si veda il citato art. 88a. Il considerando 45 del regolamento Omnibus spiega che “gli interessati che hanno rifiutato una richiesta di consenso si trovano spesso a dover rispondere a una nuova richiesta di consenso ogni volta che visitano nuovamente il servizio online dello stesso titolare del trattamento. Ciò può avere effetti negativi sugli interessati che potrebbero acconsentire solo per evitare richieste ripetute. Il titolare del trattamento dovrebbe pertanto essere tenuto a rispettare la scelta dell’interessato di rifiutare una richiesta di consenso per almeno un certo periodo”.

^[74] Si veda l’art. 88a(5) che dovrebbe essere incluso nel GDPR.

^[75] Si veda il nuovo art. 88b GDPR previsto dal regolamento Omnibus. La Commissione, ai sensi dell’art. 10(1) del regolamento (UE) n. 1025/2012 sulla normazione europea, richiederà a una o più organizzazioni europee di normazione di elaborare norme tecniche per l’interpretazione delle indicazioni leggibili da dispositivo automatico relative alle scelte degli interessati.

^[76] Si veda il paragrafo 3 dell’art. 88b, citato.

^[77] Si veda il considerando 46 del regolamento Omnibus.

^[78] Si veda il paragrafo 6 dell’art. 88b, citato. Come detto, il regolamento Omnibus prefigura un processo di normazione tecnica per l’adozione di standards armonizzati per l’interpretazione delle indicazioni leggibili da dispositivo automatico relative alle scelte degli interessati

^[79] Si vedano i paragrafi 5 e 7 dell’art. 88b, citato.

^[80] Si veda l’art. 4a che il regolamento Digital Omnibus on AI propone di inserire nell’AI Act. L’AI Act, nella versione attuale, consente il trattamento di categorie particolari di dati personali esclusivamente per i fornitori di sistemi AI che presentano un rischio grave per la salute, la sicurezza o i diritti fondamentali in circostanze limitate.

^[81] Si veda il paragrafo 1 del citato art. 4a.

^[82] Si veda il paragrafo 2 del citato art. 4a.

^[83] Il paragrafo 1 dell’art. 9 GDPR contenuto nella leaked version dell’Omnibus aveva il seguente tenore: “È vietato il trattamento di dati personali che rivelino direttamente, in relazione a un interessato specifico, l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, lo stato di salute (dati relativi alla salute) o la vita sessuale o l’orientamento sessuale della persona, nonché il trattamento di dati genetici o di dati biometrici intesi a identificare in modo univoco una persona fisica”.

^[84] Si veda il considerando 26 della leaked version dell’Omnibus.

^[85] Si veda il citato considerando 26, dove era peraltro riconosciuto che la maggiore protezione dei dati genetici e biometrici non dovrebbe essere toccata, in quanto essi presentano caratteristiche uniche e specifiche.

^[86] Si veda il punto 15 dell’art. 4 GDPR previsto nella leaked version dell’Omnibus.

^[87] Art. 9(1) GDPR.

^[88] Si veda H. Ruschemeier, The Omnibus Package of the EU Commission: Or How to Kill Data Protection Fast, VerfBlog, 2025/11/17.

^[89] Sentenza del 4 ottobre 2024, causa C‑21/23, ND contro DR, ECLI:EU:C:2024:846, paragrafo 83 (di seguito, sentenza Lindenapotheke).

^[90] Si veda la sentenza Lindenapotheke, paragrafo 84.

^[91] Si veda la sentenza Lindenapotheke, paragrafo 86.

^[92] Si veda la sentenza Lindenapotheke, paragrafo 90.

^[93] Si vedano le Linee-guida 03/2020 sul trattamento dei dati relativi alla salute a fini di ricerca scientifica nel contesto dell’emergenza legata al COVID-19 adottate il 21 aprile 2020 al paragrafo 8.

^[94] L’art. 8 della Carta dei diritti fondamentali dell’Unione europea (in GU C 202 del 7.6.2016, pag. 389), che fa parte del diritto primario dell’UE, sancisce il diritto di ogni persona fisica alla protezione dei dati di carattere personale che la riguardano.

^[95] Sentenza 19 ottobre 2016, causa C‑582/14, Breyer, ECLI:EU:C:2016:779, paragrafo 46.

^[96] Si veda la sentenza Breyer, paragrafo 47.

^[97] Si veda la sentenza Breyer, paragrafo 48.

^[98] Il comunicato stampa in questione recava informazioni relative al genere di una persona interessata da un comunicato stampa, alla sua cittadinanza, all’attività di suo padre, all’importo della sovvenzione per un progetto scientifico e all’ubicazione geografica dell’ente che ospita tale progetto scientifico. Le informazioni del comunicato stampa, considerate nel loro complesso, erano tali da consentire l’identificazione della persona interessata non solo da parte di coloro che la conoscessero personalmente, ma anche di giornalisti e altre persone che potevano combinare tali informazioni con altre riguardanti la medesima persona, disponibili online, in entrambi i casi senza un dispendio di tempo, costi e manodopera. La Corte ha spiegato che “lo sforzo che consiste nel procedere a tali ricerche su un sito Internet […] combinate con altre ricerche su Internet che verosimilmente consentono di ottenere il nome e altri identificativi della persona interessata dal comunicato stampa controverso, non appare in alcun modo dispendioso, di modo che il rischio di identificazione della ricorrente da parte dei giornalisti o di altre persone che non conoscevano il suo percorso professionale non poteva essere qualificato come insignificante”. Si veda la sentenza 7 marzo 2024, causa C‑479/22 P, OC contro Commissione europea, ECLI:EU:C:2024:215, paragrafi 61 e 63.

^[99] Si veda la sentenza OC contro Commissione europea, citata, paragrafi 61 e 63.

^[100] Sentenza OC contro Commissione europea, citata, paragrafo 55. È stato sostenuto che in questa pronuncia la Corte di Giustizia abbia optato per un’interpretazione ampia di “identificazione indiretta” e, quindi, di “dato personale”, lasciando intendere che, “indipendentemente da chi sia in possesso delle informazioni aggiuntive necessarie per identificare nuovamente un interessato, nella misura in cui tali informazioni esistono, i dati devono essere considerati personali” (A. Lodie, Case C-479/22P, Case C-604/22 and the limitation of the relative approach of the definition of ‘personaldata’ by the ECJ, 2024, ‌hal-04609263‌).

^[101] A seguito della risoluzione del Banco Popular Español del 2017, il Comitato di risoluzione unico (SRB) ha raccolto e poi pseudonimizzato le osservazioni di ex azionisti e creditori prima di condividerle con Deloitte per una sua valutazione in qualità di auditor indipendente. Solo l’SRB deteneva i codici alfanumerici chiave legati alle identità. Vari interessati hanno lamentato presso il Garante europeo della protezione dei dati (EDPS) il fatto che l’informativa privacy dell’SRB non indicasse Deloitte come destinatario di dati personali. L’EDPS ha ritenuto che Deloitte avesse ricevuto dati personali pseudonimizzati e che l’SRB avesse omesso di informare gli interessati che i loro dati personali sarebbero stati condivisi con Deloitte, come richiesto dall’art. 15(1)(d) del Regolamento 2018/1725 (il regolamento sulla protezione dei dati da parte di istituzioni, organi e organismi UE). Su quest’ultimo punto la Corte ha condiviso la valutazione dell’EDPS. Dal punto di vista della Corte, le osservazioni trasmesse a Deloitte costituivano informazioni concernenti persone fisiche (gli autori di tali osservazioni) e, ai fini dell’applicazione dell’obbligo di informazione posto a carico del titolare del trattamento, l’identificabilità degli interessati dev’essere valutata collocandosi rispetto al titolare del trattamento. Nel caso di specie, poiché l’SRB poteva identificare gli autori di tali osservazioni, esso avrebbe dovuto trattare tali osservazioni come dati personali e, quindi, comunicare agli interessati (gli autori delle osservazioni) la successiva comunicazione dei loro dati a Deloitte. Si veda la sentenza del 4 settembre 2025, causa C-413/23 P, EDPS contro SRB, ECLI:EU:C:2025:645 (di seguito, sentenza SRB).

^[102] L’obbligo di informativa del titolare del trattamento sussiste ex ante, al momento della raccolta, prima che i dati vengano pseudonimizzati, e deve essere valutato dal punto di vista del titolare del trattamento, indipendentemente dalla possibilità o meno per il destinatario dei dati di re-identificare gli interessati. Si veda la sentenza SRB, paragrafi 102 e 112.

^[103] La Corte di Giustizia ha altresì confermato che la re-identificazione non è ragionevolmente probabile quando il rischio è “insignificante”.

^[104] Si veda la sentenza SRB, paragrafi 76, 77 e 86.

^[105] Si veda la sentenza SRB, paragrafo 86.

^[106] Si veda S. Stalla-Bourdillon, Déjà vu in data protection law: the risks of rewriting what counts as personal data, vol. 26, issue 2, 2025, p. 10.

^[107] Si veda C. Burton, Rethinking Personal Data: The CJEU’s Contextual Turn in EDPS vs. SRB, ottobre 2025, Future of Privacy Forum.

^[108] Si vedano le frasi che dovrebbero essere inserite nel punto 1 dell’art. 4, secondo cui “le informazioni relative a una persona fisica non costituiscono necessariamente dati personali per ogni altra persona o entità, semplicemente perché un’altra entità può identificare quella persona fisica” e che “le informazioni non diventano personali per tale entità semplicemente perché un potenziale destinatario successivo dispone di mezzi che possono ragionevolmente essere utilizzati per identificare la persona fisica a cui le informazioni si riferiscono” (enfasi aggiunta).

^[109] Si veda C. Burton, Rethinking Personal Data: The CJEU’s Contextual Turn in EDPS vs. SRB, citato.

^[110] Con riguardo alla sentenza SRB, è stato osservato che lo stato specifico del destinatario è difficile da gestire su larga scala. Per i titolari del trattamento può essere impegnativo rivedere le proprie informative privacy in relazione alla divulgazione di dati pseudonimizzati. Infatti, un set di dati può essere non personale per un destinatario e personale per un altro. Catene di fornitori complesse, data clean rooms e model providers rendono complicato stabilire chi abbia ragionevoli “mezzi di re-identificazione” dei dati pseudonimizzati nel presente e in futuro. La sentenza non ha toccato alcun potenziale impatto dei controlli contro la re-identificazione negli accordi con terzi. Si veda P. Navarro, Pseudonymized data after EDPS v SRB, settembre 2025, sul sito di Clifford Chance.

^[111] Gli esempi di abuso del diritto di accesso contemplati dal considerando 35 sono: l’interessato intende indurre il titolare del trattamento a rifiutare una richiesta di accesso, per poi pretendere il pagamento di un indennizzo, eventualmente sotto la minaccia di una richiesta di risarcimento danni; gli interessati fanno un uso eccessivo del diritto di accesso con l’unico intento di arrecare danno al titolare del trattamento; un individuo presenta una richiesta, ma allo stesso tempo offre di ritirarla in cambio di una qualche forma di vantaggio da parte del titolare del trattamento. Questi esempi sembrano corrispondere a quelli fatti dall’EDPB nelle Linee guida 1/2022 sui diritti degli interessati – Diritto di accesso del 28 marzo 2023 (si veda il paragrafo 190). Al riguardo, l’EDPB ha affermato: “in alcune circostanze le richieste si possono considerare eccessive a causa di ragioni diverse dal carattere ripetitivo. A parere dell’EDPB ciò riguarda in particolare i casi di ricorso abusivo all’articolo 15 GDPR, ossia i casi in cui gli interessati fanno uso eccessivo del diritto di accesso al solo scopo di recare pregiudizio o danno al titolare del trattamento” (paragrafo 188 delle predette Linee guida).

^[112] L’art. 8(2) sancisce il diritto di ogni persona di accedere ai dati raccolti che la riguardano.

^[113] Art. 52(1) CDFUE.

^[114] Si veda la sentenza 26 ottobre 2023, causa C-307/22, FT contro DWE, CLI:EU:C:2023:811, paragrafi 38 e 43.

^[115] È stato sottolineato che l’art. 1(2) GDPR espressamente riconosce che esso protegge i diritti e le libertà fondamentali delle persone fisiche. È, quindi, del tutto “regolare” che, ad esempio, gli autisti di Uber hanno utilizzato collettivamente il loro diritto di accesso per dimostrare e contestare pratiche di lavoro illegali da parte dell’azienda; i pazienti richiedono l’accesso alle loro cartelle cliniche per dimostrare presunti illeciti; il diritto di accesso è e dovrebbe continuare ad essere utilizzato per esaminare e sfidare le infrastrutture o gli ecosistemi digitali, al di là delle semplici questioni di protezione dei dati. Si veda R. Mahieu, The Ominous Omnibus: Dismantling the Right of Access to Personal Data, VerfBlog, 2025/12/03.

^[116] Si veda R. Mahieu, The Ominous Omnibus: Dismantling the Right of Access to Personal Data, citato.

^[117] Si vedano le riflessioni di G. Malgieri riportate su The Digital Omnibus is a risk for our digital rights, 26 novembre 2025 sul sito dell’Universiteit Leiden.

^[118] Si veda, inter alia, A. Ponce Del Castillo, The Digital Omnibus: Deregulation Dressed as Innovation, 3 dicembre 2025, su Socialeurope.eu.

^[119] Le implicazioni di questa modifica sono enormi. Praticamente qualsiasi utilizzo di dati personali potrebbe essere giustificato come “addestramento dell’AI” o “funzionamento dell’AI”. Operazioni come il web scraping su larga scala per costruire dataset, l’uso di conversazioni private per addestrare chatbot, la profilazione comportamentale per migliorare gli algoritmi di raccomandazione si baserebbero sull’interesse legittimo. In tal senso, si veda Digital Omnibus: Cookies, GDPR and AI Training – New European Privacy Rules, 20 novembre 2025 su NicFab.

^[120] Si veda H. Ruschemeier, The Omnibus Package of the EU Commission: Or How to Kill Data Protection Fast, citato.

^[121] Si confronti il nuovo art. 88c previsto dall’Omnibus e il paragrafo 5 che dovrebbe essere aggiunto all’art. 9 GDPR

^[122] Come detto sopra, l’art. 88a(3) GDPR fornisce un elenco esaustivo di scopi a basso rischio per i quali è consentito l’archiviazione o l’accesso senza consenso: la trasmissione di comunicazioni, la fornitura di servizi esplicitamente richiesti dall’interessato, la creazione di misurazioni aggregate dell’audience per il servizio online del fornitore e il mantenimento o ripristino della sicurezza di un servizio fornito dal titolare del trattamento o dell’apparecchiatura terminale utilizzata per tale servizio.

^[123] Come spiegato sopra, l’art. 88b richiede che il consenso, il rifiuto e l’opposizione al trattamento possano essere espressi attraverso mezzi automatizzati e leggibili da dispositivo automatico e debbano essere rispettati dai titolari del trattamento.

^[124] In tal senso, si veda H. Schöttle and C. Calabro, Digital Omnibus reshapes EU cookie rules but leaves banner fatigue largely intact, 10 dicembre 2025 sul sito di Osborne Clarke.

^[125] Si veda S. Stefanelli, Le proposte UE del Digital Omnibus Act riscrivono i confini tra tutela dei dati personali e innovazione tecnologica, ridefinendo dato personale, ricerca scientifica e basi giuridiche per l’AI, con l’obiettivo di rendere i dati un motore di sviluppo e non un freno regolatorio, 25 novembre 2025, Agenda Digitale.

^[126] Il ‘Data Use and Access Act 2025’ ha apportato significative modifiche al Regolamento generale sulla protezione dei dati del Regno Unito (‘UK GDPR’) e al ‘Data Protection Act 2018’ (‘DPA 2018’). Si veda il Data (Use and Access) Act factsheet: UK GDPR and DPA, 27 giugno 2025, sul sito del governo del Regno Unito.

^[127] Si veda il briefing Revisiting the GDPR: Lessons from the United Kingdom experience, 3 luglio 2025, sul sito del Parlamento europeo.

^[128] L’interessato ha diritto solo alle informazioni che il titolare del trattamento è in grado di fornire sulla base di una ricerca ragionevole e proporzionata. Il titolare è esonerato dall’obbligo del titolare di fornire agli interessati l’informativa privacy per ulteriori trattamenti a fini di ricerca, archiviazione e statistici quando ciò sia “impossibile” o comporti “uno sforzo sproporzionato” per ulteriori trattamenti a fini di ricerca, archiviazione e statistici. Si veda M. Evans – R. Nance, Changes to EU and UK data protection law – a tale of two GDPRs?, 12 novembre 2025, sul sito di Norton Rose Fulbright.

^[129] Il DUAA introduce il concetto di “interessi legittimi riconosciuti” (recognized legal interests, RLI), un elenco di basi giuridiche codificate per scopi di interesse pubblico legittimo per i quali i dati personali possono essere divulgati ai sensi dell’art. 6(1)(e) UK GDPR. Qualora un titolare del trattamento comunichi dati personali a un’altra persona che li sta trattando per uno degli RLI elencati con una base giuridica valida ai sensi dell’art. 6(3) UK GDPR, il titolare del trattamento che li comunica è esentato dall’effettuare una valutazione degli interessi legittimi (legitimate interest assessment), compreso il test di bilanciamento con i diritti e le libertà dell’interessato. Resta fermo il requisito della necessità e la comunicazione deve essere strettamente necessaria per lo scopo indicato.

^[130] Il 28 marzo 2025 l’ICO ha pubblicato le sue linee guida sull’anonimizzazione

^[131] Si veda S. Stalla-Bourdillon, Déjà vu in data protection law: the risks of rewriting what counts as personal data, citato, p. 11.