Le norme europee sul trattamento dati sono più di venti. Forse troppe, sicuramente da coordinare. Sono figlie della complessità della società e dei mercati e si inseriscono in un quadro orientato alla protezione dei diritti e delle libertà fondamentali. Quali sono queste norme? Quanto ci metteremo per farle sedimentare e accoglierle nelle nostre coscienze? Le organizzazioni private e pubbliche sono pronte?
Indice degli argomenti
Le norme europee sul trattamento dati tra diritti e complessità
Secondo una certa vulgata, l’Europa crea regole che limitano l’attività delle imprese mentre gli Usa, con meno regole, sviluppano e consolidano la propria potenza industriale e commerciale. Ma sarà così vero? I diversi approcci normativi degli Usa e dell’Unione Europea sono figli di diverse tradizioni giuridiche ma i risultati concreti in termini di forza sul mercato dipendono da molti fattori economici e sociali non sono necessariamente legati alle norme le quali, anzi, fanno chiarezza su ruoli e responsabilità.
È vero però che le norme europee sono tante e quelle relative al trattamento dati – in senso ampio – vanno coordinate e non sempre è facile visto che molte non hanno avuto il tempo di sedimentare nella coscienza collettiva. Pensiamo alle norme sulla privacy, la prima direttiva comunitaria ha trent’anni e ancora oggi tocca affrontare discussioni su aspetti formali quali l’informativa o il consenso, quando l’evoluzione di quella norma parla in primo luogo di diritti e libertà fondamentali e solo come conseguenza ci sono gli obblighi di informazione agli interessati. Se poi l’informazione completa abbia la forma di informativa e questa sia considerata quasi universalmente una seccatura non è una caratteristica prevista dalla norma e, nel complesso, è solo uno dei tasselli dell’intera struttura che, pur in tre decenni, non ha ancora avuto il tempo di sedimentare.
In generale tutte le norme sul trattamento dati vanno contestualizzate e coordinate e ovviamente non è semplice. La vita delle persone e delle organizzazioni poggia stabilmente sui dati e i dati e il loro trattamento va regolato per evitare abusi e semmai l’Unione sconta una certa lentezza.
Questo articolo vuole offrire un quadro delle principali norme riunite in cinque gruppi. Si tratta ovviamente di un criterio classificatorio arbitrario visto che i dati sono ubiqui e sistemi e trattamenti sono trasversali.
Il cuore normativo: privacy e dati personali
Le norme sulla privacy sono state le prime ad apparire in Europa perché direttamente collegate all’evoluzione del pensiero giuridico sui diritti e le libertà delle persone. In Europa la privacy è prevista dalla Carta dei Diritti Fondamentali dell’Unione Europea in due articoli. Il primo riguarda la vita privata, domicilio e comunicazioni. Il secondo, l’articolo 8, protegge i dati personali e su questi si è concentrata la disciplina successiva.
La norma cardine ovviamente è il GDPR (General Data Protection Regulation, Regolamento Ue 2016/679). Fin quasi dalla nascita è stato accompagnato dal Regolamento su dati non personali (Regolamento Ue 2018/1807) sulla loro circolazione e trasferibilità per cui la localizzazione presso alcuni Stati Membri può essere prevista solo per motivi di pubblica sicurezza.
Quand’era ancora vigente la precedente Direttiva Eu 1995/46, l’Unione aveva emanato la Direttiva E-Privacy (Direttiva 2002/58) ancora produttiva di effetti. Recepita in gran parte dal “nostro” Codice della Privacy (DLgs.196/2003) che, successivamente, ha accolto anche la Direttiva Cookie (Direttiva Ue 2009/136). Il tutto è confluito nel GDPR ma la Direttiva E-Privacy, per quanto obsoleta è ancora in vigore e all’orizzonte non c’è un vero rinnovo probabilmente dovuto a pressioni inconfessabili.
Ci sono poi norme più specifiche, cito EUDR (European Union Data Protection Regulation, Regolamento Ue 2018/1725) sul trattamento di dati personali da parte degli organismi comunitari e LED (Law Enforcement Directive, Direttiva Ue 2016/680), recepita in Italia dal Dlgs.2018/51, sui dati personali nell’ambito del Diritto Penale.
Tra i dati personali particolari definiti dal GDPR art.9, una parte importante sono i dati sanitari per i quali è stato definito l’EHDS (European Health Data Space ovvero Spazio Europeo dei Dati Sanitari, Regolamento Ue 2025/327). Questa norma garantisce ai pazienti ampio controllo sui propri dati, compreso portabilità e potere di rettifica mentre, nell’ambito della ricerca medica, sono previste misure di sicurezza e anonimizzazione e forme di rinuncia (opt-out).
Collegata alla riservatezza delle identità delle persone può essere considerata anche la Direttiva Whistlebowing (Direttiva Ue 2019/1937, recepita in Italia con DLgs.24/2023) che riguarda la protezione, tramite canale informatico, di chi segnala illeciti in ambito professionale.
Apertura dei dati e regolazione del riuso
L’Unione valuta la circolazione dei dati come forma a supporto per l’innovazione e la trasparenza. La norma principale è la Direttiva Open Data (Direttiva Ue 2019/1024/UE, seguita dal Regolamento Ue di esecuzione 2023/138) recepita in Italia dal Dlgs.200/2021 che, a sua volta, modifica il precedente D.Lgs. 36/2006. Il decreto 200, limitatamente all’ambito delle Pubbliche Amministrazioni prevede un quadro chiaro di valorizzazione dei dati in un processo di apertura by design di sei precise categorie di dati ad “alto valore” che devono essere aperti. Vengono identificati anche i dati “protetti” esclusi dal processo di apertura.
In sede europea, la Direttiva Open Data era stata preceduta da un modello virtuoso: la Direttiva Inspire (INfrastructure for SPatial InfoRmation in Europe, Direttiva Ue 2007/2) recepita in Italia dal DLgs.32/2010. In questo contesto, in Italia, l’Ispra (Istituto Superiore Protezione e Ricerca Ambientale) si occupa di rendere disponibili all’interno dell’Unione Europea le informazioni territoriali georeferenziate e di carattere ambientale a supporto essenzialmente delle politiche ambientali.
Più recente e applicabile dal prossimo 12 settembre 2025 è il Data Act (Regolamento Ue 2023/2854) che si concentra sul “servizio di trattamento” dei dati sui cloud e sulle piattaforme edge. L’obiettivo dichiarato è quello di eliminare gli ostacoli tecnici, commerciali e contrattuali al trasferimento dei dati sia in interoperabilità sia per portabilità nel caso di cambio del fornitore del servizio. È ancora presto per capire se e come questa norma semplificherà il mercato ma è chiaro fin d’ora che le difficoltà non saranno poche.
Infine, in considerazione della natura pubblica e funzione sociale dei dati delle Pubbliche Amministrazioni c’è il DGA (Data Governance Act, Regolamento Ue 2022/868 di modifica al Regolamento Ue 2018/1724) recepito in Italia Dlgs.144/2024. Questo Regolamento prevede forme di “altruismo” tra Pubbliche Amministrazioni dei dati che la Direttiva Open Data considera “protetti”. Una Pubblica Amministrazione concede l’accesso a propri dati a condizioni certe e, se i dati sono personali, questi vanno anonimizzati (mantenendo pertanto il loro stato di dati personali).
Sicurezza informatica e resilienza digitale nei regolamenti europei
Nel contesto della cybersecurity, centrali sono due norme. La prima è il Cyber Security Act (Regolamento Ue 2019/881), attualmente in revisione, la seconda è la citatissima NIS2 (Network and Information Security, Direttiva Ue 2022/2555) recepita in Italia dal DLgs.138/2024. Quest’ultima in particolare estende e rafforza i settori critici della precedente NIS del 2016. Recentissimo e non ancora effettivo è il Cyber Solidarity Act (Regolamento Ue 2025/38) sulle forme di collaborazione transfrontaliera per prevenire e difendere da attacchi.
Per specifici settori ci sono poi norme dedicate tra le quali spicca DORA (Digital Operation Resilience Act, Regolamento Ue 2022/2554) dedicato alla gestione dei rischi ICT nel settore finanziario. Un Regolamento per armonizzare normative esistenti e migliorare la capacità di risposta e ripresa in caso di incidenti informatici o altre interruzioni operative. Mentre alle istituzioni, organi e organismi dell’Unione è dedicato uno specifico Regolamento (Regolamento UE 2023/2841).
Per i prodotti hardware e software vige il CRA (Cyber Resilience Act, Regolamento Ue 2024/2847) che dispiegherà i suoi effetti da dicembre 2027 mentre il Regolamento Macchine (Regolamento Ue 2023/1230) definisce ruoli e responsabilità nell’intera filiera del mercato delle macchine con particolare attenzione agli aspetti di cybersecurity.
La materia è vasta, ricordiamo solo due aspetti conseguenti, uno comunitario e uno nazionale. Quello comunitario è il programma Cyber Blueprint del Consiglio Europeo, l’organo più “politico” dell’Unione, di offrire raccomandazioni e orientamenti operativi chiari e uniformi. In sede nazionale c’è la Legge 90/2024 sulla cybersecurity e i reati informatici che, lato Pubbliche Amministrazioni, è legata al Decreto Direttoriale 21007/2024 dell’ACN (Agenzia Cybersicurezza Nazionale) sul cloud nell’ambito della “Strategia Cloud Italia”.
Protezione delle persone, diritti e inclusione digitale
In generale, tutte queste norme trattano dati e tutte alla fine servono a proteggere noi umani, le nostre relazioni, le nostre idee e i nostri interessi.
La scelta è ricchissima e si può cominciare dai servizi fiduciari del Regolamento eIDAS (electronic IDentification, Authentication and trust Services, Regolamento Ue 2014/910 recentemente integrato dal Regolamento Ue 2024/1183). In questo Regolamento i dati entrano in ogni aspetto, qui ci limitiamo a ricordare le forme di conservazione dei certificati di identità digitale e l’e-archiving.
Nell’ambito della sicurezza delle persone c’è il citatissimo AI Act (Artificial Intelligence Act, Regolamento Ue 2024/1689) che distingue quattro categorie di rischio nello sviluppo e nell’utilizzo dell’intelligenza artificiale con conseguenti diverse valutazioni, responsabilità, azioni e informazioni in trasparenza. Ovviamente i pericoli sono tantissimi e spesso insidiosi, pensiamo a come possono venir utilizzati i dati riservati o personali, oppure i dati coperti da diritti oppure i bias e le allucinazioni dell’intelligenza artificiale generativa, oppure i diritti della creazione intellettuale e artistica.
Ai fini del’inclusione, l’autonomia e la non discriminazione delle persone disabili, l’Unione ha emanato l’EAA (European Accessibility Act, Direttiva Ue 2019/882) recepita in Italia dal Dlgs.82/2022. La norma diventerà pienamente applicabile il prossimo 28 giugno 2025, nel frattempo l’Agid ha predisposto Linee Guida sull’accessibilità, attualmente in consultazione fino al 15 giugno.
A protezione degli utenti e del mercato, nel 2022 il Legislatore europeo ha emanato due Regolamenti, il DSA e il DMA. Semplificando molto, il primo si concentra sulle piattaforme a difesa degli utenti, il secondo pone l’attenzione sui fornitori delle piattaforme a difesa del mercato. Vediamoli più da vicino.
Con il DSA (Digital Services Act, Regolamento Ue 2022/2065), il Legislatore europeo, preoccupato per la disinformazione, ha inteso favorire un ambiente virtuale più sicuro e trasparente identificando i VLOP (Very Large Online Platforms) e i VLOSE (Very Large Online Search Engines), cioè le piattaforme e i motori di ricerca con almeno 45 milioni di utenti attivi mensili in Europa. Strumenti usati da tutti. A questi vengono imposti obblighi di trasparenza e moderazione sui contenuti e, ovviamente, misure per limitare la diffusione di contenuti illegali. L’elenco aggiornato è pubblicato nella sezione “Strategia Digitale” dell’Unione Europea e comprende al momento in cui scrivo venticinque piattaforme a cui accedono mediamente 149 milioni di utenti mensili. Tra queste venticinque, le quattro che trattano contenuti per adulti (porno) saranno le prime ad essere interessate dalla Delibera 96/2025 dell’Agcom (Autorità Garanzie Comunicazioni) sulla verifica dell’età a partire dal prossimo 12 novembre 2025. Si tratta di una soluzione transitoria che, pur non escludendo forme forti di identificazione quali Spid e Cie, suggerisce soluzioni di “doppio anonimato” garantito da un terzo soggetto inserito tra l’utente e la piattaforma.
Fig.1 – Piattaforme VLOP e VLOSE supervisionate dalla Commissione Europea. Fonte:
Equilibrio normativo tra innovazione, mercato e libertà
In ogni caso, le società che espongono le piattaforme VLOP e VLOSE possono rientrare anche nella categoria dei “gatekeeper” definita da DMA
Il DMA (Digital Markets Act, Regolamento Ue 2022/1925) ha l’obiettivo di limitare lo strapotere delle big tech che, con l’occasione vengono battezzate “gatekeeper”, guardiani di chi entra nel loro vastissimo e ricchissimo territorio virtuale. Una definizione che guarda al mercato unico e si basa su fatturato, capitalizzazione e numero di utenti attivi e che viene verificata dalla Commissione Europea.
L’aspirazione del Legislatore europeo è di aumentare la concorrenza imponendo obblighi di interoperabilità e limitando l’auto preferenza. Per fare un paio di esempi, Whatsapp dovrà essere utilizzabile anche tramite altre piattaforme mentre Amazon dovrà limitare la pubblicità ai prodotti che le garantiscono miglior margine. La norma prevede una serie di pratiche vietate come l’autopreferenza o il blocco di servizi alternativi di pagamento. Al tempo stesso la norma impone una serie di pratiche obbligatorie come l’accesso equo ai dati per tutti gli operatori su una piattaforma o la libertà di disinstallare app e componenti preinstallate.
Va da sé che ci sono evidenti implicazioni geopolitiche laddove dei sette gatekeeper identificati ben sei sono statunitensi (Alphabet, Apple, Amazon, Booking, Meta, Microsoft), la settima è cinese (ByteDance) e non c’è nessuna europea. Inoltre, tutti sette sono anche VLOP o VLOSE e pertanto soggetti alla DSA. Siamo alle fasi iniziali, la prima sentenza ha riguardato ByteDance (TikTok), se considerarla gatekeeper (il 17 luglio 2024 il Tribunale dell’Unione ha risposto affermativamente). Molto più recenti sono le pesanti sanzioni comminate dalla Commissione ad Apple per aver impedito agli sviluppatori di app di indirizzare a store alternativi e a Meta per la non modulazione del modello “consenso o pagamento” per ricevere pubblicità.
Futuro e coordinamento delle normative europee dati
Nell’Unione cresce la consapevolezza che tanta produzione normativa rischi di frenare l’innovazione e il libero mercato. In questo senso si era anche espresso Mario Draghi a settembre nel presentare il rapporto sulla competitività europea (molto citato ma, probabilmente, poco letto). In questo senso si sta muovendo anche la Commissione per affrontare le “dieci terribili” criticità che costituiscono un peso per le piccole e medie imprese. Lo stesso GDPR probabilmente verrà modificato su tre aspetti: nuova definizione sulla dimensione delle imprese, il conseguente obbligo di tenuta del registro dei trattamenti, il peso di codici di condotta e certificazioni. Alla fine si tratterà di vedere se, superato il probabile scontro tra attivisti privacy e lobby industriali, il nuovo Regolamento sarà capace di bilanciare gli interessi e, in definitiva, se la sburocratizzazione sia veramente una soluzione al principale problema del GDPR, la scalabilità per dimensione dei titolari.
In generale, dovrebbe diventar chiaro che non tutto quello che è tecnicamente possibile è anche eticamente valido. Il confronto è aperto quello sulla complessità delle norme europee rischia di nascondere qualche brutta intenzione. Gli esempi negli anni non sono mancati e vanno dalle scelte “one-stop shop” nel GDPR alle pratiche dilatorie di grandi operatori internazionali nell’applicazione del DSA e DMA.
In questo articolo sono state citate ben 23 norme europee senza contare le norme nazionali. Non sono poche ma forse il problema non è tanto nel numero delle norme quanto nella loro sedimentazione. Le norme vanno “percepite” e coordinate nel quotidiano. Il problema è che queste norme sono spesso molto recenti e non esiste una coscienza collettiva stratificata. Noi in Italia dovremmo ricordarci del CAD (Dlgs.82/2005) che nei primi dieci anni aveva subito ben sei trasformazioni in alcune parti fondamentali (identità e documenti). Un ingarbugliamento continuo terminato solo otto anni fa (con il Dlgs.217/2017), cioè abbiamo stabilità da solo otto anni e questa stabilità riguarda un’unica norma per quanto centrale nel nostro Ordinamento Giuridico. Quanto ci vorrà per avere stabilità e coordinamento su ventitre norme intrecciate?
7. Appendice – Elenco delle norme
Per comodità, riporto l’elenco in ordine alfabetico delle ventitre norme europee citatate nell’articolo. Con l’acronimo se noto e, in ogni caso, omettendo l’iniziale “Regolamento” o “Direttiva”.
01. AI Act (Artificial Intelligence Act, Regolamento Ue 2024/1689)
02. Cibersicurezza nelle istituzioni, negli organi e negli organismi dell’Unione (Regolamento Ue-Euratom 2023/2841)
03. CRA (Cyber Resilience Act, Regolamento Ue 2024/2847)
04. Cyber Security Act (Regolamento Ue 2019/881)
05. Cyber Solidarity Act (Regolamento Ue 2025/38)
06. Data Act (Regolamento Ue 2023/2854)
07. Dati non personali (Regolamento Ue 2018/1807)
08. DGA (Data Governance Act, Regolamento Ue 2022/868 di modifica al Regolamento Ue 2018/1724)
09. DMA (Digital Markets Act, Regolamento Ue 2022/1925)
10. DORA (Digital Operation Resilience Act, Regolamento Ue 2022/2554)
11. DSA (Digital Services Act, Regolamento Ue 2022/2065)
12. EAA (European Accessibility Act, Direttiva Ue 2019/882)
13. EHDS (European Health Data Space, Regolamento Ue 2025/327)
14. eIDAS (electronic IDentification, Authentication and trust Services, Regolamento Ue 2014/910 integrato dal Regolamento Ue 2024/1183)
15. E-Privacy (Direttiva 2002/58)
16. EUDR (European Union Data Protection Regulation, Regolamento Ue 2018/1725)
17. GDPR (General Data Protection Regulation, Regolamento Ue 2016/679)
18. INSPIRE (INfrastructure for SPatial InfoRmation in Europe, Direttiva Ue 2007/2)
19. LED (Law Enforcement Directive, Direttiva Ue 2016/680)
20. Macchine (Regolamento Ue 2023/1230)
21. NIS2 (Network and Information Security, Direttiva Ue 2022/2555)
22. Open Data (Direttiva Ue 2019/1024/UE)
23. Whistlebowing (Direttiva Ue 2019/1937)
[fine documento]
