Nel Digital Omnibus 2025, l’articolo 88a GDPR ridisegna il consenso: da atto giuridico situato a preferenza tecnica persistente, pensata per essere memorizzata, letta e riapplicata lungo le infrastrutture digitali che governano tracciamento, accesso e decisioni automatizzate.
Indice degli argomenti
Il consenso cambia natura nel Digital Omnibus 2025
Il consenso, nella sua configurazione classica, appartiene alla grammatica del diritto come atto relazionale, situato, dialogico. Presuppone informazione, comprensione, scelta consapevole, manifestazione di volontà riferita a un contesto determinato e a un trattamento identificabile.
La proposta di riforma contenuta nel Digital Omnibus 2025 introduce un mutamento di paradigma che incide su questa struttura profonda, spostando l’asse dal consenso come atto giuridico al consenso come segnale computabile, idoneo alla circolazione automatizzata all’interno delle infrastrutture digitali .
Articolo 88a GDPR: single-click, durata e portabilità della scelta
Il fulcro risiede nel nuovo articolo 88a GDPR sul trattamento di dati “on or from terminal equipment”. Il comma 2 prescrive modalità di espressione della scelta tramite single-click button o equivalente e richiede il rispetto della preferenza per un arco temporale definito.
La volontà dell’interessato assume valore operativo nella misura in cui assume un formato stabile, memorizzabile, interpretabile da componenti tecniche che governano interfacce, sessioni, permessi, impostazioni. Il consenso acquista così una dimensione di persistenza e portabilità, con effetti sul governo quotidiano dei flussi di tracciamento e di accesso ai dati provenienti dal dispositivo.
Articolo 22 GDPR e AI Act: la preferenza come input operativo
Questa traiettoria trova un raccordo diretto nella riscrittura dell’articolo 22 GDPR sulle decisioni automatizzate. La bozza collega la liceità dei processi automatizzati a criteri come l’equivalenza ragionevole rispetto a una decisione umana, la necessità per la prestazione del servizio o l’esecuzione del contratto, la conformità ai principi dell’AI Act e ai codici di condotta riconosciuti.
In tale cornice, la preferenza dell’interessato tende a operare come input operativo: un segnale tecnico che deve risultare leggibile da sistemi di decisione, audit e affidabilità, lungo un perimetro nel quale la conformità tecnica funge da infrastruttura della legittimità .
Articolo 12 e pseudonimizzazione: più peso ai requisiti tecnici
Anche le modifiche all’articolo 12 GDPR incidono sul baricentro del consenso. La possibilità di limitare o onerare richieste di accesso ritenute abusive o strumentali rafforza l’importanza della scelta iniziale e della sua corretta formalizzazione tecnica: la tutela tende a concentrarsi sull’impostazione delle preferenze e sulla loro tracciabilità.
A valle, l’articolo 41a GDPR sulla pseudonimizzazione, con definizione rimessa ad atti delegati, amplia il peso dei requisiti tecnici nella delimitazione del perimetro dei dati e, di riflesso, nella concreta efficacia delle scelte dell’interessato
Dal consenso dialogico alla variabile di sistema
Il consenso, così riformulato, perde progressivamente la sua dimensione dialogica e assume i tratti di una variabile di sistema. L’atto giuridico lascia spazio a una configurazione tecnica che opera ex ante, spesso al di fuori del momento esperienziale dell’utente, e produce effetti giuridici continui nel tempo.
La volontà individuale viene incorporata nell’architettura stessa dei flussi informativi, secondo una logica di interoperabilità forzata che privilegia la stabilità del segnale rispetto alla sua attualità.
Ingegneria normativa del consenso: il perno dell’articolo 88a
Il quadro del Digital Omnibus 2025 incide sul consenso tramite un’operazione di ingegneria normativa: la volontà dell’interessato acquista efficacia nella misura in cui assume una forma riproducibile, memorizzabile, trasmissibile. Il perno di questa traiettoria risiede nel nuovo art. 88a GDPR, dedicato ai dati trattati “on or from terminal equipment”, che lega la liceità di molte operazioni alla capacità di catturare la preferenza come segnale tecnico e di farla valere nel tempo .
Persistenza e applicazione automatica delle preferenze
Il comma 2 dell’art. 88a richiede un gesto ridotto, single-click button o equivalente, e vincola il titolare al rispetto della scelta per un arco temporale prestabilito. Qui la dimensione dialogica del consenso perde centralità e lascia spazio a un consenso come variabile di sistema: un valore registrato, richiamato, riapplicato lungo interazioni successive. La volontà individuale entra nell’architettura dei flussi informativi, perché la norma chiede persistenza e applicazione automatica della preferenza, con effetti giuridici continui e ripetuti, spesso collocati prima dell’esperienza concreta dell’utente, nei livelli di impostazione e gestione delle preferenze .
Opt-out “con un clic” e adtech: il segnale come flag
La stessa logica permea il comma 3, che per il marketing su legittimo interesse affida all’opposizione un formato altrettanto semplificato, “con un clic”. Il diritto, in questo passaggio, premia la stabilità del segnale: un opt-out trattato come flag, sincronizzato tra ambienti e applicazioni, consumato da strumenti di consent management e da catene di adtech.
La tutela si gioca nella corretta propagazione del segnale, quindi nella capacità tecnica di garantire interoperabilità tra browser, sistemi operativi, app, SDK, piattaforme. Il machine-readable consent presuppone una volontà capace di viaggiare. Il diritto, nel Digital Omnibus 2025, attribuisce efficacia alla preferenza nella misura in cui i sistemi riescono a leggerla e applicarla lungo una catena tecnica fatta di browser, sistema operativo, app, SDK pubblicitari, strumenti di consent management.
L’art. 88a GDPR concentra questa logica: single-click button o equivalente, durata temporale della scelta, obbligo di rispetto della preferenza per mesi. La volontà, da atto situato, assume la fisionomia di un dato persistente, con valore operativo per iterazioni successive.
Interoperabilità e potere: chi legge il segnale governa la scelta
Qui si apre una tensione che merita argomentazione. Da un lato, la promessa di semplificazione richiede una preferenza stabile, riutilizzabile, capace di ridurre attrito. Dall’altro lato, questa stabilità richiede interoperabilità: il segnale deve risultare compatibile tra ambienti diversi, ciascuno con proprie architetture e interessi.
La preferenza diventa una chiave che deve aprire molte serrature, e proprio questa funzione attribuisce potere normativo alla serratura più influente: chi governa la lettura del segnale governa anche la sostanza della scelta.
L’equivalenza al single-click e il ruolo para-regolativo delle piattaforme
Il punto delicato riguarda la definizione concreta di “equivalente” al single-click. Il testo giuridico rinvia la questione alla pratica tecnica: interfacce, API, standard di memorizzazione e sincronizzazione, modalità di propagazione dell’opt-in o dell’opt-out.
La forma della scelta, quindi, dipende dall’ingegneria dell’ecosistema più che dalla relazione tra titolare e interessato. In questa prospettiva, browser e sistemi operativi acquisiscono un ruolo quasi para-regolativo: traducono la volontà, la conservano, la trasmettono, la rendono operativa.
Standardizzazione anche per audit e compliance nelle decisioni automatizzate
Il raccordo con la riscrittura dell’art. 22 GDPR rafforza l’impianto: processi automatizzati ammessi in presenza di criteri di equivalenza rispetto alla decisione umana e di conformità ai principi dell’AI Act e ai codici di condotta.
La preferenza dell’interessato entra così come variabile dentro processi di decisione e di compliance, con un’esigenza ulteriore di standardizzazione: il segnale deve risultare leggibile anche per sistemi di audit, affidabilità e controllo tecnico.
La fonte materiale della regola: consenso o standard tecnico
La domanda, allora, riguarda la fonte materiale della regola, la scelta appartiene ancora alla sfera del consenso come atto giuridico, oppure appartiene alla sfera dello standard come condizione di efficacia? Il diritto mantiene il lessico della volontà, ma la sua operatività dipende dalla grammatica delle macchine, e questa grammatica vive nelle specifiche tecniche che disciplinano interoperabilità, persistenza, sincronizzazione delle preferenze.
Browser e sistemi operativi come snodo strutturale del consenso
La traduzione del consenso in preferenza leggibile a macchina attribuisce un ruolo centrale agli ambienti che intercettano, interpretano e applicano tale preferenza. Browser, sistemi operativi e app store occupano una posizione strutturale lungo il percorso della volontà dell’interessato, poiché presidiano il punto di ingresso del segnale e ne governano la circolazione successiva.
Il Digital Omnibus 2025, attraverso l’assetto delineato dall’art. 88a GDPR, presuppone questa intermediazione tecnica come condizione ordinaria di efficacia della scelta .
Preferenze globali e validità operativa: la mediazione che ordina
La preferenza, per operare in modo persistente e interoperabile, richiede un ambiente capace di conservarla, richiamarla e applicarla a una pluralità di trattamenti. Browser e sistemi operativi svolgono questa funzione in virtù della loro collocazione infrastrutturale: gestiscono impostazioni globali, sincronizzazioni tra dispositivi, interazioni con applicazioni e servizi terzi.
In tale contesto, la volontà dell’interessato passa attraverso una mediazione che assume carattere ordinante, poiché stabilisce quando una scelta risulta valida, quando risulta applicabile, quando produce effetti giuridici.
App store e policy tecniche: filtri preventivi sulla scelta
Gli app store partecipano a questo assetto attraverso meccanismi di distribuzione e di conformità tecnica. Le applicazioni accedono all’ecosistema solo se rispettano requisiti imposti a livello di piattaforma, compresi quelli relativi alla gestione delle preferenze e dei permessi.
La scelta dell’interessato vive dunque entro un perimetro disegnato da policy tecniche, linee guida di sviluppo, sistemi di autorizzazione che operano come filtri preventivi.
La norma dipende dagli standard esterni: interoperabilità e persistenza
La centralità della preferenza leggibile a macchina sposta l’attenzione dalla disposizione normativa alla sua condizione di funzionamento. Nel Digital Omnibus 2025, la validità operativa del consenso dipende dalla capacità di conformarsi a specifiche tecniche che restano esterne al testo della norma, ma che ne determinano l’efficacia concreta.
Il diritto conserva la propria formulazione astratta, mentre la sua attuazione prende corpo attraverso standard che governano interoperabilità, persistenza e riconoscibilità della scelta .
Articolo 88a GDPR e “equivalenza” tecnica: API, memorizzazione, sincronizzazione
Questa dinamica appare con particolare chiarezza nell’art. 88a GDPR, che subordina la liceità di vari trattamenti alla possibilità di acquisire e rispettare una preferenza tramite single-click button o equivalente.
L’equivalenza, tuttavia, vive sul piano tecnico: interfacce, API, sistemi di memorizzazione, meccanismi di sincronizzazione tra ambienti diversi. La norma affida alla tecnica il compito di stabilire quando una scelta risulti adeguatamente espressa e quando produca effetti giuridici nel tempo.
Template, DPIA e pseudonimizzazione: la compliance passa per formati
Il rinvio implicito agli standard emerge anche in altri snodi del pacchetto. I modelli europei di notifica dei data breach, le liste centralizzate per le DPIA, la definizione tecnica della pseudonimizzazione demandata ad atti delegati disegnano un contesto nel quale la conformità giuridica passa attraverso formati, template, specifiche. La fonte materiale del diritto si colloca così nella progettazione degli strumenti che rendono possibile la compliance quotidiana.
Lo standard come funzione ordinante sulla tutela dei diritti
In questo assetto, lo standard tecnico svolge una funzione ordinante: stabilisce ciò che risulta leggibile, applicabile, verificabile.
La scelta dell’interessato vive come dato strutturato, conforme a una grammatica tecnica che precede e condiziona l’atto giuridico. Il diritto si esprime attraverso la tecnica, e la tecnica assume una capacità conformativa che incide direttamente sulla tutela dei diritti fondamentali.
Lo standard come diritto in atto: requisiti tecnici e scelta effettiva
L’argomentazione giuridica si confronta, allora, con una trasformazione della fonte: la regola non opera soltanto attraverso il comando normativo, ma attraverso la definizione di requisiti tecnici che organizzano l’esperienza, canalizzano la volontà, rendono possibile o impossibile l’esercizio effettivo della scelta. In questo spazio, lo standard agisce come diritto in atto, con un impatto sistemico che travalica la dimensione meramente esecutiva.
