Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

normativa ue

Digital Omnibus: la trasparenza GDPR diventa modulata

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

l Digital Omnibus riforma l’articolo 13 GDPR introducendo una trasparenza modulata. Il titolare valuta autonomamente l’intensità del trattamento, creando variabilità interpretativa. L’assenza di criteri europei uniformi genera asimmetrie informative e differenzia la tutela degli interessati

Pubblicato il 9 dic 2025
Francesca Niola

Research Fellow Legal manager @ Aisma srl

data privacy dati sanitari e privacy in azienda capitalismo digitale trasparenza GDPR

Nel progetto di riforma Digital Omnibus esiste una norma che è crocevia di molteplici problematiche e che, in modo evidente, mostra il cambiamento di visione politica che sta adottando l’Europa: il nuovo art 13 GDPR.

Digital Omnibus, la UE cambia metodo: addio giungla di norme

Il nuovo articolo 13 GDPR e la trasparenza modulata

Il testo modifica la struttura originaria della trasparenza, poiché lega l’obbligo informativo a un giudizio sulle condizioni relazionali e sulla consistenza materiale del trattamento.

Il lessico del Digital Omnibus valorizza l’idea di rapporto chiaro e circoscritto e la collega a un trattamento qualificato come non data-intensive, con una formula che produce un’area elastica, suscettibile di valutazioni divergenti da parte dei titolari del trattamento.

Questa elasticità genera un problema di teoria generale della protezione dei dati, perché la trasparenza rischia di diventare un obbligo modulato secondo una diagnosi tecnica formulata dall’operatore economico. Ciò incide ovviamente sulla responsabilità. Il titolare amplia il proprio margine operativo, poiché attribuisce contenuto qualificante alle categorie di rapporto circoscritto e trattamento leggero, in un contesto privo di criteri europei che forniscano parametri verificabili.

La trasparenza, in questa prospettiva, assume una funzione diversa da quella originariamente concepita nel GDPR: da garanzia uniforme a meccanismo graduato, con conseguente differenziazione delle informazioni disponibili per gli interessati. Questa differenziazione si riflette anche sul ruolo delle autorità di controllo, perché l’esame delle condotte non si fonda più su un obbligo informativo standard, ma su una verifica del giudizio tecnico espresso dal titolare in ordine all’intensità del trattamento.

Il punto critico si colloca però nel rapporto tra semplificazione amministrativa e tutela dei diritti fondamentali. Il legislatore europeo costruisce una trasparenza proporzionata che risponde a esigenze di efficienza, ma affida al titolare un compito valutativo che incide sulla simmetria informativa tra operatore e individuo. L’assenza di criteri normativi cogenti trasforma la discrezionalità in fattore di variabilità sistemica, con il risultato di un quadro in cui l’accessibilità delle informazioni non dipende più dalla natura del diritto coinvolto, ma dalla struttura economica e organizzativa del soggetto che effettua il trattamento.

Le matrici concettuali del trattamento non data-intensive

Questa impostazione pone un tema di coerenza con il nucleo costituzionale della protezione dei dati, perché la trasparenza diventa funzione dell’assetto istituzionale del titolare e non espressione del livello di tutela riconosciuto all’interessato. La categoria di trattamento non data-intensive possiede una struttura semantica che deriva da tre matrici concettuali eterogenee e convergenti.

  • Uno. Gli standard ISO dedicati ai processi a basso impatto costruiscono una distinzione fondata sulla combinazione tra volume, frequenza e capacità trasformativa del dato, con l’obiettivo di modellare obblighi proporzionati ai livelli di rischio.
  • Due. Le linee guida EDPB anteriori al Digital Omnibus sviluppano un’idea affine, poiché attribuiscono rilievo alla sovrapposizione tra scala operativa e potenziale incidenza sui diritti, configurando scenari nei quali una procedura semplificata risulta coerente con la limitata esposizione dell’interessato.
  • Tre. L’AI Act, con la struttura dei sistemi low risk, rafforza questa tendenza e costruisce un parallelismo che il legislatore europeo recepisce nel nuovo articolo 13, attraverso un rinvio implicito alla valutazione del peso informativo del trattamento.
  • A ciò si aggiunge una matrice economica: la distinzione tra attività principali e attività ancillari nei servizi digitali orienta la politica regolatoria verso un alleggerimento degli oneri nelle operazioni accessorie, con l’obiettivo di calibrare la compliance sulle reali esigenze operative degli operatori.

L’assenza di parametri oggettivi e la variabilità interpretativa

Purtroppo il legislatore non fornisce parametri oggettivi che circoscrivano la categoria “non data intensive”, di fatto attribuendo in concreto al titolare la possibilità di attribuire un contenuto operativo alla nozione di intensità attraverso una valutazione autonoma e non standardizzata.

La conseguenza consiste in una variabilità interpretativa che deriva dall’assenza di criteri normativi europei e si riflette sull’omogeneità della disciplina. Trattamenti con caratteristiche identiche ricevono qualificazioni divergenti, con effetti diretti sulla trasparenza richiesta all’operatore.

L’uniformità del quadro informativo europeo risulta esposta a differenze strutturali che derivano dall’assetto organizzativo del titolare e dalla sua capacità di giustificare la soglia di intensità. Anche la prevedibilità degli obblighi subisce una compressione, poiché l’individuazione della categoria incide sulla forma dell’informativa e sulla struttura della documentazione connessa.

L’interessato si trova in un regime di tutela disomogeneo, modellato sulla base di un giudizio interno al titolare, con una conseguenza diretta sul livello di accesso alle informazioni e sulla capacità di comprendere la logica del trattamento.

Proporzionalità differenziata ed efficienza amministrativa

La proporzionalità differenziata ridisegna la trasparenza come tecnica regolatoria adattiva, poiché collega l’estensione dell’informazione alla struttura del trattamento e al profilo organizzativo del titolare. Il legislatore costruisce un modello che favorisce gli operatori di dimensione ridotta e riduce l’impatto burocratico nei contesti in cui il trattamento assume una consistenza minimale.

Questa scelta attribuisce centralità all’efficienza amministrativa e valorizza l’idea di una compliance calibrata sulle reali capacità operative del soggetto che governa i dati. Questo impianto genera un effetto ulteriore: la trasparenza perde la vocazione uniforme del GDPR originario e acquisisce una forma graduata, strettamente legata alla struttura economica dell’organizzazione. L’informazione fornita agli interessati varia in funzione della complessità del titolare e si frammenta lungo linee che derivano dalla dimensione delle diverse realtà coinvolte.

La tutela informativa non si presenta più come espressione di un principio unico, ma come manifestazione di un equilibrio modulato tra efficienza interna e responsabilità verso il cittadino.

Asimmetria informativa e contrazione del flusso comunicativo

In questo scenario l’esperienza dell’interessato assume tratti disomogenei, perché il livello di conoscibilità del trattamento dipende dal contesto istituzionale in cui avviene la raccolta del dato. La trasformazione più delicata riguarda il rapporto tra individuo e sistema informativo.

L’esenzione dall’informativa riduce la visibilità delle basi giuridiche, dei trasferimenti, delle scelte algoritmiche e delle funzioni collegate all’impiego di dati particolari nei processi di intelligenza artificiale ai sensi dell’articolo 9(2)(k). Questa contrazione del flusso comunicativo crea uno spazio in cui l’interessato riceve un quadro parziale e ricostruisce con difficoltà l’architettura complessiva del trattamento.

La trasparenza non svolge più il ruolo di strumento pieno di autodeterminazione, ma assume la forma di comunicazione essenziale, plasmata sulla scala organizzativa del titolare.

L’effetto finale consiste in un progressivo ispessimento dell’asimmetria informativa, poiché la persona dispone di frammenti insufficienti a comprendere il percorso del dato e incontra ostacoli crescenti nella valutazione critica del processo che lo riguarda.

Interazioni sistemiche con DPIA, registro e articolo 88a

La disciplina dell’articolo 13 acquisisce senso solo all’interno del mosaico normativo ridefinito dal Digital Omnibus, perché il nuovo criterio di trasparenza modulata interagisce con gli strumenti di valutazione, con le strutture documentali e con le aree più tecnologicamente esigenti della protezione dei dati.

La riforma relativa alla DPIA concentra le decisioni tecniche presso istituzioni europee e attribuisce rilievo agli elenchi predisposti dall’EDPB e dalla Commissione. I trattamenti collocati al di fuori di tali elenchi attraversano un territorio in cui l’informativa ridotta e l’assenza di una valutazione d’impatto creano un’area priva di strumenti di discernimento strutturale.

In questa fascia operativa il titolare governa il ciclo del dato senza una griglia formale di analisi, e l’interessato riceve un quadro limitato che dipende dalla scelta iniziale di qualificare il trattamento come non data-intensive.

Una dinamica affine si osserva nel rapporto con l’articolo 30, poiché le misure contenute nel pacchetto riformatore attenuano la funzione ricostruttiva del registro dei trattamenti mediante vie indirette presenti nei materiali tecnici. L’allentamento dell’apparato informativo e la contrazione del registro generano un ambiente documentale meno denso, con conseguenze sulla ricostruzione delle responsabilità interne e sulla capacità del soggetto esterno di comprendere la struttura decisionale che sostiene l’uso del dato personale.

ePrivacy, AI Act e frammentazione del controllo

Il nuovo articolo 88a aggiunge un ulteriore livello di complessità. Il trasferimento della disciplina ePrivacy nel corpo del GDPR amplia la sfera dei dati originati dai dispositivi e accresce il ventaglio delle basi giuridiche attivabili nei servizi digitali.

Questa estensione interagisce con l’esenzione dall’informativa prevista per i trattamenti non data-intensive e crea un contesto in cui molte attività legate ai terminali digitali si svolgono senza un quadro conoscitivo adeguato per l’interessato.

Il tracciamento di dispositivo, già caratterizzato da una struttura opaca, si innesta quindi su un regime informativo alleggerito e genera un divario conoscitivo marcato tra titolare e utente. Il collegamento con l’AI Act completa la prospettiva sistemica. I modelli di intelligenza artificiale richiedono un ciclo del dato trasparente, comprensibile e verificabile, soprattutto in presenza delle aperture contenute nel nuovo articolo 9(2)(k) che consente l’uso di dati particolari nei processi di addestramento. Una trasparenza ridotta rende fragile il controllo sulla filiera informativa e complica la ricostruzione del percorso che conduce il dato verso i sistemi algoritmici.

In questo scenario l’interazione tra informativa alleggerita, discipline tecnologiche avanzate e nuovi margini concessi ai titolari definisce un quadro in cui l’interessato si muove con strumenti conoscitivi limitati, mentre il tessuto istituzionale fatica a delineare una verifica pienamente coerente delle attività digitali.

Domande aperte e prospettive critiche

La riforma apre un orizzonte in cui il ruolo del titolare acquisisce una centralità inedita e la trasparenza assume forme modellate sulla struttura dei trattamenti. Questa trasformazione impone alcune domande decisive: quale misura consente di distinguere un trattamento leggero da un trattamento strutturato senza affidarci a intuizioni soggettive? Quale forma di controllo permette alle autorità di ricostruire processi opachi quando il registro si alleggerisce e la DPIA si concentra altrove? Quale capacità interpretativa rimane al cittadino davanti a dispositivi che generano flussi informativi complessi?

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

N
Francesca Niola
Research Fellow Legal manager @ Aisma srl
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
AI per il lavoro
Mobile security
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • digital omnibus e ricerca (1); vida IVA; ventottesimo regime europeo

  • dati personali

    Digital Omnibus: come cambia il GDPR per AI e ricerca

    25 Nov 2025

    di Silvia Stefanelli

    Condividi
  • privacy digital omnibus; convenzioni Consip; ISO/IEC 27701

  • norme ue

    Digital Omnibus, la resa dell’Unione Europea sui diritti digitali?

    25 Nov 2025

    di Marco Calamari

    Condividi
  • data protection officer

  • la guida

    DPO, chi è il data protection officer e perché è una figura controversa

    07 Apr 2025

    di Antonino Polimeni

    Condividi