Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

l’analisi

Privacy “tirannica” in Europa? La sfida della riforma del GDPR

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

La semplificazione digitale UE riapre il dibattito sul peso della privacy e sugli squilibri di un’applicazione sproporzionata del GDPR. L’IIP propone emendamenti nel Digital Omnibus: più proporzionalità, trasparenza dinamica, principi dell’art. 5 compatibili con l’IA, deroghe sui dati sensibili, governance, cookie law e cybersicurezza

Pubblicato il 9 feb 2026
Luca Bolognini

avvocato e Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei dati

semplificazione del gdpr Gdpr e trattamenti non identificativi revisione del gdpr Codice di Condotta GDPR ai generativa e privacy

Il processo di semplificazione e razionalizzazione del quadro normativo digitale, iniziato oltre un lustro fa con la European Digital Strategy e la Strategia UE dei Dati, poi proseguito con la Bussola europea per la competitività, l’AI Continent Action Plan, la Data Union Strategy e, più recentemente, con la proposta di riforma “Digital Omnibus” della Commissione – questi ultimi passi tutti ispirati dai Rapporti dei “nostri” Letta e Draghi – sollecita una riflessione sul ruolo che la disciplina in materia di protezione dei dati personali ha progressivamente assunto nel Vecchio Continente.

AI europea tra ambizione e realtà: il piano UE alla prova dei fatti

La Carta di Nizza e i Trattati UE riconoscono la protezione dei dati personali, la tutela della vita privata e familiare e la riservatezza delle comunicazioni quali diritti fondamentali, senza tuttavia attribuire loro una valenza assolutizzante, come emerge chiaramente anche dalla lettura degli articoli 52 e 54 della Carta.

In tale cornice si colloca il Considerando 4 del GDPR, che lega il trattamento dei dati personali al servizio dell’essere umano e alla necessità di un bilanciamento proporzionato del diritto alla protezione dei dati con altri diritti e libertà. Affinché innovazione e progresso possano dirsi effettivamente sostenibili, risulta d’altronde imprescindibile che i diritti e le libertà fondamentali siano oggetto di un’attenta considerazione e di un costante (ri)equilibrio, così da garantire che le nuove soluzioni tecno-giuridiche rechino beneficio all’intera collettività, nel rispetto e nella promozione della pluralità dei diritti e degli interessi coinvolti.

In buona sostanza, l’obiettivo sarebbe la “valorizzazione sostenibile dei dati”: una privacy che consenta di tutelare e migliorare, proporzionalmente, anche altri diritti e libertà fondamentali o interessi pubblici rilevanti, e viceversa.

Perché la riforma del GDPR nel Digital Omnibus riapre il tema del bilanciamento

Nondimeno, a partire dalla sua introduzione con la Direttiva Madre (Dir. 95/46/CE) e poi con l’avvento del GDPR, si è assistito a un progressivo fenomeno di “dominanza” della disciplina in materia di protezione dei dati personali rispetto ad altre normative sui dati e sul digitale.

Pressoché tutta la legislazione primaria e secondaria, tanto a livello dell’Unione quanto a livello dei singoli Stati membri, reca nelle proprie premesse e disposizioni iniziali clausole di salvaguardia e affermazioni di primazia della privacy. Tale dinamica ha finito per trasformare il GDPR stesso, formalmente atto di diritto secondario dell’Unione, in una fonte dotata di caratteristiche assimilabili a quelle del diritto primario.

In altre parole, il GDPR si è imposto come una legislazione orizzontale di rango secondario, sì, ma con attese applicative che potremmo definire “pseudo-costituzionali”, sistematicamente sovraordinate, nella sostanza e nelle pretese interpretative, rispetto alle altre leggi.

Questa impostazione ha talvolta reso possibile una lettura e un’applicazione, da parte di autorità di controllo europee e della stessa giurisprudenza, delle norme in materia di protezione dei dati personali in senso materialmente “tirannico” (giocando con le parole ed evocando il giurassico “T-Rex”, una privacy sproporzionata si potrebbe definire un “T-Right”), a detrimento degli altri diritti, libertà, interessi privati o pubblici, anche rilevanti.

In termini volutamente provocatori, per fotografare criticamente il fenomeno di supremazia della privacy – in Europa – si potrebbe così parafrasare l’antico brocardo latino summum ius, summa iniuria, trasformandolo in summum GDPR, summa iniuria.

L’iniziativa IIP e l’evento dell’11 febbraio 2026 a Roma

A cavallo tra 2025 e 2026, l’Istituto Italiano per la Privacy e la Valorizzazione dei Dati (IIP) si è fatto promotore di una serie di tavole rotonde e di incontri pubblici, per dibattere di possibili riforme ed evoluzioni della data protection europea, nei quali ha raccolto idee da esperti giuristi, autorità, rappresentanti del Parlamento, dell’industria e dei consumatori.

Si parlerà di questi temi anche al prossimo incontro aperto al pubblico, organizzato da IIP, intitolato “Digital Omnibus Dream? Prospettive di competitività europea per l’Intelligenza Artificiale e la valorizzazione dei dati – Confronto di esperienze tra Italia e Germania” che si terrà online e in presenza fisica a Roma, in piazza di Monte Citorio, nel pomeriggio di mercoledì 11 febbraio 2026.

Oggetto della discussione sarà la proposta di riforma del GDPR e della regolazione-dati e cybersecurity europea, in un panorama globale sempre più complesso e sfidante. Con l’occasione, sarà presentato anche il nuovo positioning paper IIP, con proposte di emendamenti per il miglioramento ulteriore del Digital Omnibus.

Si discuterà inoltre delle strategie congiunte di competitività digitale e bilanciamento tra diritti e innovazione di Italia e Germania, alla luce del Joint Plan of Action adottato da Meloni e Merz lo scorso 23 gennaio 2026.

Interverranno, con il sottoscritto, Stefan Brink, Executive Director di Wida Digital e già State Commissioner for Data Protection and Freedom of Information del Baden-Württemberg, Boris Paal, Full Professor, Chair for Law and Regulation of the Digital Transformation del TU di Monaco di Baviera, Rocco Panetta, IAPP Country Leader for Italy e Chairman at Panetta Consulting Group, Stefano Fratta, Vice-President Global Engagement, Privacy Policy di META, e Francesco Capparelli, consigliere d’amministrazione dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati.

I considerando nel mirino: proporzionalità e coerenza nel “cuore” del GDPR

Quanto alle idee di miglioramento della proposta di riforma della disciplina europea in materia di privacy e protezione dei dati personali, contenute nel positioning paper, il nostro Istituto suggerisce al legislatore europeo, innanzitutto, un intervento sul Considerando 4 del GDPR.

Questa modifica consentirebbe di ricondurre l’impianto regolatorio entro coordinate di proporzionalità e coerenza, rendendo esplicito il bilanciamento tra protezione dei dati personali e innovazione, intesa quale manifestazione di altri diritti e libertà, nonché il divieto di strumentalizzazione del diritto alla protezione dei dati in danno di ulteriori posizioni giuridiche tutelate.

Con particolare riferimento ai Considerando 6 e 10, la sostituzione dell’espressione “livello elevato” con quella di “livello adeguato” di protezione consentirebbe agli interpreti e alle autorità competenti una lettura più equilibrata e calibrata del diritto alla protezione dei dati personali, coerente con la sua natura non assoluta e con il quadro complessivo dei diritti e delle libertà fondamentali dell’Unione.

IA e principi dell’articolo 5: perché oggi l’impianto fatica

Con specifico riferimento ai principi generali della protezione dei dati personali, consacrati nell’articolo 5 del GDPR, emerge con evidenza come gli stessi incontrino crescenti difficoltà di adattamento a scenari ormai sempre più frequenti e, per molti versi, divenuti ordinari, segnatamente nei contesti in cui intervengono sistemi di Intelligenza Artificiale.

In particolare, i principi di minimizzazione dei dati, di limitazione della finalità, di limitazione della conservazione e di trasparenza si rivelano di difficile applicazione in fattispecie quali l’addestramento di modelli e sistemi IA, caratterizzati da elevata complessità intrinseca, dalla necessità di disporre di ingenti volumi di dati e da finalità di utilizzo prolungate, variabili e adattive.

Le criticità emergono anche nei contesti di realtà aumentata o di realtà mista, nei quali i dati relativi alle caratteristiche umane si intrecciano in modo ineludibile con dati non personali di natura tecnica o di macchina.

Trasparenza più “dinamica”: dall’informativa statica alle spiegazioni contestuali

Il principio di trasparenza, di cui all’articolo 5, paragrafo 1, lettera a), del GDPR, e ulteriormente declinato negli articoli 12, 13, 14 e 15 del medesimo Regolamento, dovrebbe essere interpretato e applicato tenendo conto dell’articolo 52 della Carta dei diritti fondamentali dell’Unione europea, del Considerando 4 del GDPR, dell’approccio basato sul rischio e, in ultima analisi, delle finalità di funzionamento del mercato interno che permeano l’impianto del GDPR.

Le disposizioni pertinenti del GDPR potrebbero, quindi, essere integrate mediante previsioni ispirate alle modalità di trasparenza digitale contemplate dall’articolo 26 del Digital Services Act.

Un simile approccio consentirebbe di ridurre il carico informativo statico da fornire in via preventiva e di rafforzare una trasparenza sostanziale e significativa, articolata sotto forma di spiegazioni successive e dinamiche.

L’obiettivo è consentire, ad esempio, agli utenti di comprendere le ragioni e le modalità attraverso cui vengono forniti contenuti personalizzati, nel momento stesso in cui essi li visualizzano.

Finalità e riuso: una rilettura sistematica del principio di limitazione

Il principio di limitazione della finalità, di cui all’articolo 5, paragrafo 1, lettera b) del GDPR, dovrebbe essere oggetto di una rivalutazione sistematica, tenendo conto delle numerose ipotesi di utilizzo secondario dei dati, inclusi i dati personali, consentite dalle nuove discipline derivanti dalla Strategia europea dei dati (Data Governance Act, Common Data Spaces, Data Act).

Il quadro include anche la Data Union Strategy inserita nell’ambito dell’AI Continent Action Plan, oltre alla normativa nazionale che ha introdotto opzioni specifiche per il trattamento secondario dei dati, come avvenuto nel caso della legislazione italiana in materia di intelligenza artificiale (cfr. art. 8 legge n. 132/2025 sull’Intelligenza Artificiale).

In tale contesto, risulterebbe opportuno prevedere espressamente, in aggiunta alla compatibilità già riconosciuta per la conservazione nel pubblico interesse, per attività statistiche e per finalità di ricerca scientifica o storica, la compatibilità del trattamento effettuato:

  • a. per operazioni di pseudonimizzazione, di anonimizzazione e di sintetizzazione anonimizzata dei dati, nonché per l’ulteriore utilizzo di tali dati; oppure
  • b. in tutti i casi in cui sussistano basi giuridiche per l’utilizzo secondario dei dati personali, come previste dal diritto dell’Unione o degli Stati membri.

Conservazione: estendere le ipotesi di data retention legittima

Apparirebbe parimenti ragionevole emendare il principio di data retention limitation ed estendere le ipotesi di ulteriore conservazione legittima dei dati, connesse a finalità secondarie consentite dalle nuove discipline derivanti dalla Strategia Europea dei Dati (Data Governance Act ove ancora esistente, Common European Data Spaces, Data Act).

Rilevano anche la Data Union Strategy nell’ambito dell’AI Continent Action Plan e la normativa nazionale che ha introdotto opzioni per il trattamento secondario dei dati, includendo i trattamenti effettuati per finalità di pseudonimizzazione, di anonimizzazione e di sintetizzazione anonimizzata dei dati.

La proposta include inoltre l’ulteriore utilizzo di tali dati in forma non personale.

Esattezza dei dati: distinguere tra oggettivo, valutativo e inferito

Quanto al principio di esattezza dei dati, lo stesso dovrebbe essere circoscritto ai dati di natura oggettiva e non valutativa e non dovrebbe essere esteso ai dati inferiti nei casi in cui non risulti applicabile l’articolo 22 del GDPR.

Una simile precisazione consentirebbe di evitare che i risultati di output, derivanti da trattamenti effettuati mediante sistemi di intelligenza artificiale e caratterizzati da una natura meramente statistica o probabilistica, vengano sistematicamente considerati in violazione dei principi generali del GDPR.

Dati sensibili e deroghe: verso un impianto più “operativo” e tecnologicamente neutrale

Al fine di superare talune limitazioni al trattamento delle categorie particolari di dati personali, che si sono dimostrate inutilmente ostative rispetto alle attività degli operatori che forniscono beni o servizi intrinsecamente connessi al trattamento di informazioni sensibili, sarebbero inoltre raccomandabili:

  • a) l’introduzione, all’interno dell’articolo 9, paragrafo 2 del GDPR, di una specifica deroga al divieto di trattamento delle categorie particolari di dati personali per i casi in cui tale trattamento risulti strettamente necessario, avuto riguardo alla natura dei beni o dei servizi interessati, ai fini dell’esecuzione di un contratto di cui l’interessato è parte ovvero per l’adozione di misure precontrattuali adottate su richiesta dell’interessato;
  • b) l’inclusione nell’articolo 9, paragrafo 2 GDPR di deroghe tecnologicamente neutrali al divieto di trattamento di dati sensibili, fondate sul legittimo interesse e sull’interesse pubblico, purché assoggettate a garanzie adeguate, anche facendo leva sull’impiego di Privacy Enhancing Technologies (PET) allo stato dell’arte, nonché su tecniche di pseudonimizzazione e di generazione di dati sintetici;
  • c) l’integrazione del Considerando 51 del GDPR, con la specificazione secondo cui i dati biometrici consistenti in caratteristiche umane strettamente necessarie al funzionamento tecnico di ambienti di realtà aumentata, virtuale o mista, attivati da interessati, utenti o contraenti, non dovrebbero essere qualificati come categorie particolari di dati personali;
  • d) da ultimo, la previsione, al paragrafo 4 dell’articolo 9, che le condizioni e limitazioni nazionali in materia di dati genetici, biometrici e relativi alla salute debbano in ogni caso risultare conformi al diritto dell’Unione e degli Stati membri in materia di utilizzo secondario dei dati sanitari e di spazi comuni dei dati.

Governance e decisioni delle authority: più consultazioni e più impatto sull’innovazione

Per evitare che le decisioni del Comitato Europeo per la Protezione dei Dati e delle singole autorità nazionali di controllo producano effetti negativi e squilibrati su altri diritti, libertà e interessi rilevanti, sarebbero inoltre desiderabili talune modifiche di carattere sostanziale ai Capi VI e VII del GDPR, tra le quali:

  • prevedere una disposizione di principio, avente carattere vincolante, che imponga alle singole autorità di protezione dei dati l’attivazione di procedure partecipative di consultazione preventiva ai fini dell’adozione delle proprie decisioni e linee guida;
  • individuare principi comuni idonei a garantire la coerenza dei modelli nazionali di consultazione preventiva.

Nella stessa logica, e con lo scopo di assicurare un adeguato bilanciamento tra la tutela dei diritti fondamentali e lo sviluppo dell’innovazione tecnologica, dovrebbe essere imposto ex lege alle autorità di controllo l’obbligo di effettuare e pubblicare, in relazione a tutti i progetti di decisioni e di linee guida di carattere generale, nonché alle decisioni aventi natura sanzionatoria, una preventiva “valutazione dell’impatto che tali atti possono produrre sull’innovazione e sulla competitività”.

Tra gli elementi da includere vi sarebbero il rafforzamento delle conoscenze e il trasferimento tecnologico, nonché gli effetti su altri interessi pubblici rilevanti o su diritti e libertà fondamentali.

Poi, a parere degli autori del positioning paper IIP, e diversamente da quanto proposto nel Digital Omnibus, sembrerebbe più razionale (e coerente con le nuove normative europee in materia di protezione e valorizzazione dei dati e digitale) un’abrogazione totale delle disposizioni di cui all’art. 5 par. 3 della Direttiva e-privacy, in materia di tracciamento online (cd. cookie law), riferendo le basi giuridiche di tali trattamenti direttamente all’articolo 6 GDPR.

Sicurezza e cybersicurezza: rivedere l’articolo 32 del GDPR

Da ultimo, l’evoluzione della governance europea della cybersicurezza imporrebbe una revisione dell’articolo 32 del GDPR.

In esso, un richiamo espresso agli standard internazionali in materia di sicurezza delle informazioni, sviluppo sicuro del software e continuità operativa, con particolare riferimento a quelli elaborati dall’ENISA, rafforzerebbe l’operatività dell’impostazione basata sul rischio.

Inoltre, assicurerebbe coerenza con il quadro normativo rappresentato dalla direttiva NIS2, dal Cyber Resilience Act e dal regolamento DORA.

Un percorso di riequilibrio: dalla supremazia alla valorizzazione sostenibile dei dati

Nel loro insieme, gli emendamenti al GDPR – tramite il Digital Omnibus – proposti dall’Istituto Italiano per la Privacy delineerebbero un percorso di riequilibrio tra protezione e innovazione, nel segno della valorizzazione sostenibile dei dati.

L’obiettivo è un’applicazione della disciplina privacy più moderna e armonica con la struttura pluralistica dei diritti dell’Unione e con le esigenze di sviluppo e competitività interne e globali.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

B
Luca Bolognini
avvocato e Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei dati
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • data protection officer

  • la guida

    DPO, chi è il data protection officer e perché è una figura controversa

    07 Apr 2025

    di Antonino Polimeni

    Condividi
  • Google vaultgemma; furto documenti; indipendenza garanti privacy ISO/IEC 27701:2025

  • l'analisi

    Potere e responsabilità nella cultura della protezione dei dati: la relazione annuale 2024 del Garante privacy

    15 Lug 2025

    di Anna Cataleta

    Condividi
  • data-protection-privacy

  • LA GUIDA COMPLETA

    Privacy vs protezione dati personali: attenti alla differenza, ne va della nostra identità

    30 Lug 2025

    di Redazione Affiliation Network360

    Condividi
0
Lascia un commento, la tua opinione conta.x