Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

dati personali

Digital Omnibus: come cambia il GDPR per AI e ricerca

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

Le proposte UE del Digital Omnibus Act riscrivono i confini tra tutela dei dati personali e innovazione tecnologica, ridefinendo dato personale, ricerca scientifica e basi giuridiche per l’AI, con l’obiettivo di rendere i dati un motore di sviluppo e non un freno regolatorio

Pubblicato il 25 nov 2025
Silvia Stefanelli

Studio Legale Stefanelli & Stefanelli

digital omnibus e ricerca (1); vida IVA

Il Digital Omnibus Act rappresenta il tentativo della Commissione europea di riallineare il GDPR alle esigenze di un ecosistema fondato su dati, ricerca e intelligenza artificiale. Le tre Comunicazioni del 19 novembre 2025 anticipano una revisione profonda di nozione di dato personale, ricerca scientifica e basi giuridiche per lo sviluppo dell’AI.

Digital omnibus, la sfida di aiutare le aziende senza affossare i diritti

Il Digital Omnibus Act e la svolta europea sui dati

In questi giorni si è parlato moltissimo delle tre recentissime Comunicazioni UE pubblicate tutte il 19 novembre 2025:

E sicuramente se ne parlerà ancora molto – e per molto – perché siamo di fronte a una svolta storica a livello comunitario circa l’approccio al tema dei dati: l’obiettivo infatti oggi è quello di rendere i dati strumento per favorire l’innovazione (e non per frenarla).

È innegabile che, al momento, si tratti solo di “proposte” di modifica di regolamenti già in essere, ma la strada presa rovescia senza dubbio i paradigmi che hanno fino ad oggi gestito questa materia.

Vorrei allora cominciare a mettere in luce tre profili di modifica al GDPR che toccano punti critici del rapporto tra protezione dei dati e innovazione tecnologica. Più esattamente la nozione di dato personale, la definizione di ricerca scientifica, le basi giuridiche per lo sviluppo della AI.

Vediamole una alla volta.

Nuova nozione di dato personale per i titolari del trattamento

L’articolo 3, paragrafo 1, della proposta di modifica del GDPR (Com UE 2025-836) propone di modificare la nozione di dato personale di cui all’art. 4 del GDPR.

La nuova nozione tra proposta e giurisprudenza UE

La nuova formulazione respira l’aria della giurisprudenza comunitaria ed in particolare della CGCE (C-413/23 P) – c.d. sentenza Deloitte: si stabilisce infatti che le informazioni non devono essere considerate dati personali per un soggetto quando questo non dispone di “mezzi ragionevolmente idonei” per identificare la persona fisica a cui si riferiscono.

Cosa significa in concreto? Che si allarga la possibilità di considerare un dato anonimo.

Prendiamo il caso di un’azienda che riceve dati pseudonimizzati per effettuare analisi statistiche o uno studio.

Secondo l’interpretazione più rigida del GDPR, questi dati sarebbero comunque personali perché “qualcuno, da qualche parte” ha la chiave per la reidentificazione. Con la nuova formulazione della norma invece, se quell’azienda non ha – e non può ragionevolmente procurarsi – i mezzi per l’identificazione, quei dati per lei possono non essere considerati personali. Quindi non applicherà il GDPR.

Il dato quindi può cambiare la sua natura giuridica (personale o anonima) in relazione al soggetto che lo tratta.

In sostanza la proposta di modifica trasforma in legge le valutazioni giuridiche della giurisprudenza comunitaria.

Rischio di reidentificazione e ruolo della Commissione UE

Lo stesso articolo 3, paragrafo 8, prevede poi un “aiuto” da parte della Commissione UE: quest’ultima infatti, insieme all’EDPB, potrà emanare atti di esecuzione per fornire parametri tecnici di valutazione del rischio di reidentificazione nonché dello stato dell’arte delle tecniche di protezione.

Critiche alla presunta “indebolimento” del GDPR

I primi commenti su questa modifica sono stati molto critici: i più hanno infatti affermato che stiamo “indebolendo il GDPR”. Io non sono d’accordo.

Nonostante si parli sempre di “protezione del dato” non dobbiamo dimenticare che il GDPR protegge le persone fisiche (e non i dati): se il soggetto che detiene un set di informazioni non ha la possibilità tecnica e/o giuridica di ricollegare tali informazioni a una persona fisica (o comunque tale possibilità è così complessa da poter essere considerata del tutto residuale), quale è il rischio concreto per la persona fisica? Non sussiste.

Quindi perché dobbiamo sentirci indeboliti?

Digital Omnibus Act e definizione di ricerca scientifica nel GDPR

Il GDPR non contiene una definizione di “ricerca scientifica”, seppure poi in molti punti siano dettate norme specifiche sulla ricerca scientifica.

Anche in questo caso sembra che il Digital Omnibus voglia fare chiarezza proponendo l’introduzione di una definizione ad hoc.

L’art. 4, punto 38), GDPR dovrebbe chiarire che per «ricerca scientifica» si intende qualsiasi ricerca che possa anche sostenere l’innovazione (come lo sviluppo tecnologico e la dimostrazione); inoltre dovrebbero rientrare in tale nozione tutti gli studi che hanno l’obiettivo di contribuire alla crescita delle conoscenze generali e al benessere della società e che rispettano gli standard etici nel settore di ricerca pertinente.

Si precisa poi che la ricerca possa anche mirare a promuovere un interesse commerciale.

Di estremo rilievo i Considerandi collegati alla nozione di ricerca.

Considerandi chiave su ricerca e riuso dei dati

Più esattamente:

  • Il Considerando (28) chiarisce che la ricerca può essere condotta tanto in ambito accademico quanto industriale, riconoscendo il ruolo cruciale del settore privato nell’innovazione.
  • Il Considerando (29) sancisce che l’ulteriore trattamento a fini di ricerca scientifica (cioè l’uso secondario dei dati) è considerato per definizione compatibile: in pratica, se hai raccolto dati per uno scopo e poi vuoi utilizzarli per ricerca scientifica, non devi fare complicate valutazioni di compatibilità perché la compatibilità è presunta. Per chi lavora con dati secondari – pensiamo alle analisi epidemiologiche sui dati sanitari amministrativi, o agli studi economici sui dati delle transazioni – si aprono senza dubbio nuove strade.
  • Il Considerando (32) afferma che il trattamento di dati personali per finalità di ricerca scientifica può costituire un “interesse legittimo” ai sensi dell’articolo 6, paragrafo 1, lettera f), del GDPR: ciò vuol dire che abbiamo una nuova base giuridica per la ricerca, quasi mai applicata (o comunque applicata ma sempre con molti dubbi).
  • Il Considerando (37) alleggerisce poi l’obbligo di provare lo sforzo sproporzionato, affermando che quando i dati sono stati raccolti senza sapere che sarebbero stati riutilizzati ai fini di ricerca e non si ha modo di contattare gli interessati, si può procedere con un’informativa pubblica adeguata al contesto del progetto (sul punto c’è anche una proposta di modifica dell’art. 13 GDPR).

Basi giuridiche del GDPR per lo sviluppo dell’intelligenza artificiale

Importanti novità anche sul fronte delle basi giuridiche per lo sviluppo della AI.

Interesse legittimo e sviluppo dei sistemi di IA

L’art. 88 stabilisce infatti la possibilità di trattare i dati per lo sviluppo della AI in forza dell’interesse legittimo del titolare ai sensi dell’articolo 6, paragrafo 1, lettera f), GDPR: ovviamente saranno da implementare misure organizzative e tecniche per garantire i diritti e le libertà dell’interessato.

Dati particolari, salute e nuove deroghe per l’AI

Per quanto riguarda il trattamento di particolari categorie di dati (come quelli sanitari) per lo sviluppo della AI, la proposta suggerisce di introdurre all’art. 9 GDPR una nuova deroga (lett. k) che legittima il trattamento di tali dati nel contesto dello sviluppo e del funzionamento di un sistema o di un modello di IA.

La stessa norma – in maniera piuttosto confusa – stabilisce poi che, in linea generale, devono essere attuate misure organizzative e tecniche adeguate per evitare la raccolta e il trattamento di categorie particolari di dati personali; qualora poi il titolare identifichi categorie particolari di dati personali nei set di dati utilizzati per l’addestramento/verifica/convalida, il titolare stesso dovrà rimuovere tali dati.

Qualora poi la rimozione degli stessi richieda uno sforzo sproporzionato, il titolare provvederà in ogni caso a proteggere efficacemente i dati dall’utilizzo per la produzione di risultati, dalla divulgazione o da qualsiasi altra forma di messa a disposizione di terzi.

Al di là della confusione lessicale (che speriamo venga sanata prima dell’approvazione) è chiaro che il legislatore comunitario vuole aprire la strada a nuove basi giuridiche per trattare, anche i dati relativi alla salute, per sviluppare l’AI.

Impatto del Digital Omnibus Act su innovazione e tutela dei dati

Come detto in apertura, al momento si tratta di proposte di modifica.

Che indicano però una volontà di modernizzare il GDPR per rispondere alle sfide dell’era dell’intelligenza artificiale, mantenendo al contempo i principi fondamentali della protezione dei dati personali.

L’introduzione di maggiore flessibilità per ricerca scientifica e sviluppo dell’AI, unita al chiarimento di concetti chiave come la nozione di dato personale, potrebbe facilitare l’innovazione tecnologica europea riducendo l’incertezza giuridica che ha caratterizzato l’applicazione del GDPR in questi ambiti.

In sostanza un’evoluzione del GDPR verso un approccio più pragmatico e orientato all’innovazione, senza tuttavia rinunciare all’ambizione europea di garantire i più elevati standard di protezione dei dati personali.

Ne abbiamo assolutamente bisogno.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Silvia Stefanelli
Studio Legale Stefanelli & Stefanelli
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • privacy digital omnibus; convenzioni Consip;

  • norme ue

    Digital Omnibus, la resa dell’Unione Europea sui diritti digitali?

    25 Nov 2025

    di Marco Calamari

    Condividi
  • data protection officer

  • la guida

    DPO, chi è il data protection officer e perché è una figura controversa

    07 Apr 2025

    di Antonino Polimeni

    Condividi
  • data-protection-privacy

  • LA GUIDA COMPLETA

    Privacy vs protezione dati personali: attenti alla differenza, ne va della nostra identità

    30 Lug 2025

    di Redazione Affiliation Network360

    Condividi