Molti esperti sono spaventati davanti alle bozze che stanno uscendo del Digital Omnibus Package 2025, un pacchetto di riforme che interviene su oltre dieci normative digitali, dal GDPR all’eIDAS2, passando per il Data Governance Act e la direttiva ePrivacy.

L’influente Noyb già grida che la commissione Ue vuole distruggere i fondamentali del Gdpr.

L’obiettivo dichiarato è semplificare gli obblighi per le imprese e garantire coerenza con l’AI Act e la NIS2.

Ma dietro la promessa di armonizzazione si cela una ridefinizione dei diritti fondamentali di protezione dei dati.

Digital Omnibus e modifiche al GDPR

Questa sezione è redatta facendo riferimento alle bozze conosciute del Digital Omnibus e altre fonti consultate. Alcuni punti meritano però precisazione: la riduzione della definizione di “dato personale” è effettivamente presente in alcune versioni interne, ma non risulta confermata nel testo finale; la deroga sull’uso dei dati sensibili per l’AI è correttamente descritta, ma occorre specificare che la modifica si riferisce al comma 2 dell’articolo 9; l’espressione “AI conforme” è una sintesi interpretativa non ufficiale, utile per chiarezza ma da indicare come tale nel testo.

Il pacchetto non riscrive formalmente il GDPR, ma ne tocca gli articoli più sensibili, incidendo sull’equilibrio originario tra diritti e flessibilità operativa. Ecco i punti principali.

Definizioni e basi giuridiche

Viene introdotto il “subjective approach”: un dato è personale solo se l’organizzazione può “ragionevolmente” identificare la persona. Ciò comporta una riduzione drastica del perimetro del GDPR, con il rischio di conflitto con la Carta dei diritti fondamentali e con la giurisprudenza della Corte di Giustizia.

La protezione è limitata ai dati che rivelano direttamente informazioni come salute, opinioni politiche o orientamento sessuale. È inoltre prevista una deroga per l’uso in AI se la rimozione dei dati è considerata sproporzionata. Questo apre all’utilizzo di dati sensibili per l’addestramento di sistemi di intelligenza artificiale.

Diritti e trasparenza

Il diritto d’accesso può essere negato se ritenuto abusivo o esercitato per scopi diversi dalla tutela dei dati. L’informativa non è più obbligatoria in rapporti chiari e circoscritti, come nel caso del rapporto artigiano-cliente. Ne deriva una maggiore discrezionalità dei titolari e una minore trasparenza per gli utenti.

Automazione e profilazione

Viene rimosso il principio di necessità che, nella versione originaria del GDPR, limitava l’uso di decisioni esclusivamente automatizzate a casi specifici. Il nuovo testo consentirebbe l’uso di algoritmi anche quando un essere umano potrebbe prendere la stessa decisione. La Commissione introduce inoltre un richiamo alla coerenza con i principi dell’AI Act, che impone requisiti di trasparenza, sicurezza e sorveglianza umana, ma senza usare l’espressione “AI conforme”, che non è presente nel linguaggio ufficiale.

In sostanza, il concetto vuole indicare che le decisioni automatizzate dovranno rispettare gli standard stabiliti per i sistemi di intelligenza artificiale ad alto rischio, ampliando però lo spazio per l’uso degli algoritmi nelle decisioni contrattuali, selettive o di scoring. Data breach (art. 33). Le notifiche saranno obbligatorie solo per violazioni ad alto rischio, entro 96 ore invece delle attuali 72. È prevista la centralizzazione tramite un “single-entry point” nazionale, in Italia affidato all’ACN, con il rischio di minore controllo pubblico.

Notifiche e DPIA

Le valutazioni di impatto saranno gestite tramite liste comuni definite dalla Commissione e dall’EDPB. Questo garantisce una maggiore armonizzazione ma riduce l’autonomia delle autorità nazionali.

Dati dai dispositivi e cookie law

È la vera novità della bozza: viene trasferita al GDPR parte dell’articolo 5(3) della direttiva ePrivacy, la cosiddetta cookie law. Si consente il trattamento dei dati provenienti da dispositivi terminali (smartphone, PC, IoT) senza consenso in quattro casi: trasmissione, servizio richiesto, sicurezza e statistiche interne. La misura indebolisce la protezione dei dispositivi e potrebbe consentire il riutilizzo dei dati dei device per addestrare sistemi di AI, reintroducendo il tracciamento basato su legittimo interesse per finalità di marketing.

Impatto su AI Act e NIS2

Il Digital Omnibus crea un filo diretto tra GDPR, AI Act e NIS2, integrando notifiche e audit. L’uso di dati sensibili nel training AI sarà ammesso in deroga all’articolo 9 del GDPR, con un “grace period” di un anno per i modelli di AI general purpose. È prevista inoltre la centralizzazione delle notifiche di incidenti e data breach in un punto unico nazionale.

eIDAS 2 e identità digitale

Il pacchetto interviene in modo rilevante anche su eIDAS 2, ampliando l’identità digitale a persone giuridiche e imprese attraverso l’EU Business Wallet, uno strumento destinato a diventare la base per la gestione di credenziali e certificazioni in tutta l’Unione Europea. L’obiettivo dichiarato è semplificare firme, sigilli e deleghe digitali, promuovendo l’interoperabilità tra gli Stati membri e facilitando i processi amministrativi e commerciali transfrontalieri.

L’estensione del modello solleva però interrogativi importanti: la creazione di un’infrastruttura unica per l’identità digitale europea potrebbe accentrare grandi quantità di dati sensibili e professionali, aumentando la vulnerabilità a rischi di sicurezza informatica e a potenziali abusi di potere informativo. Il nuovo sistema introduce anche la possibilità per le imprese di utilizzare l’identità digitale per automatizzare procedure contrattuali e verifiche di conformità, con potenziali vantaggi di efficienza ma anche rischi legati alla sorveglianza dei comportamenti digitali. In questo senso, il pacchetto eIDAS 2 si pone come elemento cardine del nuovo ecosistema digitale europeo, al confine tra innovazione, controllo e tutela dei diritti.

Digital Omnibus: critiche e rischi

Una parte dei Garanti nazionali e delle autorità indipendenti europee ha segnalato il rischio che la riforma indebolisca le tutele del GDPR, soprattutto sul perimetro dei dati personali, sul trattamento delle categorie particolari e sull’accesso ai dati dai dispositivi. In questa prospettiva, si teme una frizione con la Carta dei diritti fondamentali e con la giurisprudenza della Corte di Giustizia, oltre a una complessiva riduzione della trasparenza e della possibilità per gli interessati di esercitare i propri diritti.

Dal mondo accademico arrivano analisi critiche su tre fronti: primo, l’introduzione di un approccio “soggettivo” al dato personale creerebbe incertezza giuridica e incentivi a strutturare trattamenti in modo da eludere l’identificabilità; secondo, la deroga all’articolo 9 per l’uso di dati sensibili nel training e nell’operatività dei sistemi di AI porrebbe problemi di proporzionalità e di coerenza con il principio di minimizzazione; terzo, lo spostamento di parte della disciplina ePrivacy dentro il GDPR (nuovo art. 88a) rischierebbe di attenuare la protezione dell’integrità dei terminali e di riaprire, di fatto, il tracciamento a fini di marketing su base di legittimo interesse.

Le organizzazioni per i diritti digitali (tra cui EDRi e Access Now) criticano il metodo: l’uso del canale Omnibus e una consultazione compressa rispetto alla portata delle modifiche aumentano il rischio di errori, di scarsa legittimazione democratica e di contenziosi successivi. Segnalano inoltre che l’assenza di valutazioni d’impatto robuste potrebbe portare a effetti collaterali non intenzionali su categorie vulnerabili (lavoratori, minori, persone con condizioni sanitarie) e sull’ecosistema dei media. Anche tra governi e parlamentari europei emergono linee di frattura: alcuni esprimono timori sugli effetti negativi per l’armonizzazione e per la certezza del diritto (in particolare sul coordinamento con AI Act, NIS2 ed eIDAS 2), mentre altri vedono nella riforma un’occasione per dare maggiore chiarezza alle imprese che sviluppano e adottano sistemi di AI.

Una preoccupazione trasversale riguarda la possibile centralizzazione eccessiva dei poteri regolatori a livello UE (DPIA, breach, definizioni), con perdita di capacità di intervento tempestivo da parte delle autorità nazionali. Infine, dal mondo imprenditoriale non mancano riserve: accanto a chi accoglie con favore la semplificazione, molti operatori sottolineano che la continua riscrittura delle regole comporta costi di adeguamento, rischi di “forum shopping” e un periodo prolungato di incertezza che frena investimenti e partnership, soprattutto per PMI e filiere transfrontaliere.

Per Max Schrems e l’associazione noyb, il pacchetto rappresenta un colpo di maglio contro la privacy europea: consente a Big Tech di utilizzare i dati per l’AI con ampie deroghe, riduce la trasparenza verso i cittadini e contraddice la giurisprudenza consolidata della Corte di Giustizia. Anche Politico parla di “fine del GDPR come lo conosciamo”, segnalando un processo troppo rapido, senza valutazioni d’impatto e spinto dall’urgenza di recuperare terreno nella corsa all’AI.

Digital Omnibus: lettura razionale e scenari

Il linguaggio del documento ufficiale resta tecnico e difensivo, parla di armonizzazione, proporzionalità e semplificazione, ma la sostanza è diversa: si tratta di una ricalibratura del bilanciamento tra diritti e competitività. In nome dell’efficienza e dell’AI, la Commissione rischia di spostare l’asse della privacy europea da diritto fondamentale a variabile regolatoria.

Il riferimento di Politico a Mario Draghi aiuta a comprendere il contesto politico di questa svolta. Nel suo rapporto sulla competitività europea, Draghi ha individuato proprio nel GDPR uno dei principali ostacoli all’innovazione e alla crescita dell’intelligenza artificiale in Europa. La Commissione sembra ora raccogliere quell’eredità, cercando di conciliare la tutela dei diritti con la necessità di sostenere la competitività del continente.

L’intervento, però, rischia di indebolire il pilastro normativo che aveva fatto del modello europeo di privacy un punto di riferimento globale. Questa tensione tra libertà economica e protezione dei dati è il vero nodo politico del Digital Omnibus e determinerà se la riforma sarà ricordata come un aggiornamento tecnico o come un cambio di paradigma nella politica digitale dell’Unione.

Conclusione: semplificazione o svolta culturale?

Il Digital Omnibus può essere letto in due modi: come un tentativo pragmatico di aggiornare il GDPR alla nuova realtà dell’intelligenza artificiale, oppure come l’inizio di un processo di deregolamentazione strisciante, che trasforma la protezione dei dati in una questione di gestione del rischio più che di diritto individuale. A dieci anni dal GDPR, la privacy europea si trova davanti a un bivio: semplificare senza svuotare, o rinunciare alla sua identità normativa.