Digital Economy Telco Industria 4.0 Space Economy PA Digitale Green economy Intelligenza artificiale Videointerviste Le Guide di CorCom Podcast Privacy

il parere

Digital Omnibus, rischio stretta sul dato personale: l’allarme dei Garanti europei

Home Privacy
Partecipa al dibattito
Indirizzo copiato

Le autorità per la protezione dei dati promuovono gli alleggerimenti proposti dalla Commissione Ue su notifica delle violazioni e valutazioni d’impatto, ma contestano la riscrittura della definizione di dato personale: potrebbe restringere il perimetro del Gdpr e creare nuova incertezza, soprattutto su pseudonimizzazione, biometria e intelligenza artificiale

Pubblicato il 20 feb 2026
Cybersecurity,Concept,Business,Man,Shows,How,To,Protect,Cyber,Technology

La parola d’ordine è “semplificazione”: alleggerire oneri, rendere più lineare il quadro regolatorio e aiutare soprattutto chi, tra PMI e pubbliche amministrazioni, fatica a orientarsi tra obblighi, procedure e sovrapposizioni normative. È la cornice politica entro cui la Commissione europea colloca il cosiddetto “Digital Omnibus”, un insieme di modifiche che tocca anche la disciplina della protezione dei dati e le interazioni con altre regole digitali.

Il parere congiunto del Comitato europeo per la protezione dei dati (EDPB) e del Garante europeo (EDPS) riconosce apertamente l’utilità di interventi mirati che aumentino armonizzazione e certezza del diritto, e mette in evidenza alcuni punti considerati positivi. Ma il messaggio centrale è netto: snellire sì, “a costo zero” sui diritti no. Le Autorità segnalano infatti che alcune proposte rischiano di avere un effetto strutturale sul perimetro della tutela, riducendo le garanzie per le persone e creando nuove zone d’ombra applicative.

Il nodo più sensibile: cambiare la definizione di dato personale

Tra le modifiche che destano maggiore preoccupazione ce n’è una che, più di altre, può spostare il baricentro dell’intero impianto: la riscrittura della definizione di dato personale. EDPB ed EDPS non la considerano una semplice “messa a punto” tecnica o un adeguamento alla giurisprudenza, bensì un intervento che andrebbe ben oltre un’aggiunta mirata e finirebbe per restringere l’ambito del regolamento, incidendo quindi direttamente sul diritto fondamentale alla protezione dei dati.

Nel ragionamento delle Autorità, l’impatto non si fermerebbe al regolamento privacy in senso stretto: la definizione è richiamata o allineata in altri atti europei, e modificarla potrebbe produrre conseguenze indirette e non volute, minando la coerenza complessiva del quadro normativo dell’Unione. In altre parole, non è solo una questione “da addetti ai lavori”: ridefinire cosa sia (o non sia) informazione riferibile a una persona significa ridefinire quando scattano obblighi, diritti, poteri di controllo e responsabilità.

È qui che emerge la critica più dura: la proposta rischia di spostare la valutazione dall’oggettività della “identificabilità” a letture più strette e incerte, con l’effetto di aumentare l’area grigia del “forse non è più dato personale”. Proprio per questo EDPB ed EDPS arrivano a una raccomandazione senza mezzi termini: non adottare i cambiamenti proposti.

Pseudonimizzazione e atti di esecuzione: quando la certezza del diritto rischia di diventare discrezionalità

Il pacchetto affronta anche un tema ricorrente nelle discussioni di compliance: la pseudonimizzazione e la possibilità che, per alcuni soggetti, i dati pseudonimizzati “non siano più personali”. La proposta introduce un nuovo articolo che darebbe alla Commissione il potere di specificare, tramite atti di esecuzione, mezzi e criteri per determinare quando i dati risultanti dalla pseudonimizzazione non costituiscano più dato personale per certe entità.

Per le Autorità, però, qui il problema non è solo “chi decide”, ma cosa si sta decidendo: si tocca il perimetro di applicazione della normativa e si rischia di trasferire a un livello tecnico-esecutivo un punto che, per natura, ha portata costituzionale nel sistema dei diritti e richiede scelte pienamente legislative. È il motivo per cui EDPB ed EDPS suggeriscono di eliminare la previsione.

Meno burocrazia su data breach: soglia più alta e 96 ore, ma serve coordinamento

Nel capitolo delle semplificazioni apprezzate rientrano gli interventi sulle notifiche di violazione dei dati. Il parere sostiene l’innalzamento della soglia: notificare all’autorità non più tutte le violazioni “a rischio”, ma quelle probabilmente idonee a comportare un rischio elevato per diritti e libertà. Secondo EDPB ed EDPS, questo non dovrebbe ridurre in modo sostanziale la tutela, ma tagliare il carico amministrativo e consentire alle autorità di concentrarsi sui casi più seri.

C’è anche l’ok all’estensione del termine da 72 a 96 ore per la notifica, con una motivazione molto concreta: la finestra attuale può includere weekend e festività, diventando particolarmente gravosa per le organizzazioni più piccole. L’idea è che un giorno in più migliori la qualità delle informazioni trasmesse e permetta di avviare misure di remediation già prima della comunicazione formale.

Tuttavia, il parere mette in guardia da un’altra complessità, tipica di chi gestisce incident response in ambienti regolati: i termini e gli obblighi di notifica non sono uguali in tutti i regimi (cybersecurity, resilienza operativa, identità digitale). Le Autorità suggeriscono quindi maggiore armonizzazione, anche perché l’obiettivo dichiarato è quello di arrivare a un punto di accesso unico in grado di sostenere più obblighi contemporaneamente.

Il “single-entry point” per gli incidenti: bene l’idea, attenzione alla sicurezza e alla governance

Coerentemente con la logica di riduzione delle duplicazioni, EDPB ed EDPS sostengono l’obiettivo di un single-entry point europeo per le notifiche di violazioni, visto come un modo per ridurre gli oneri senza comprimere la protezione. L’argomento è pragmatico: un canale unico, valido a livello EEA, renderebbe più semplice per imprese e PA gestire incidenti che attivano contemporaneamente obblighi diversi.

Ma “unico” non può significare “fragile”. Le Autorità sottolineano la necessità di garantire sicurezza e riservatezza delle informazioni trasmesse, dato che le notifiche includono spesso contenuti sensibili. E soprattutto aprono un tema politico-istituzionale: se l’obiettivo è semplificare, la governance degli strumenti non deve generare nuove ambiguità tra Commissione e organismi indipendenti.

DPIA: armonizzare sì, ma senza spostare l’ago della bilancia sull’esecutivo

Sul fronte della valutazione d’impatto, il parere appoggia l’armonizzazione europea delle liste e dei modelli: la logica è la stessa delle notifiche, cioè consistenza e prevedibilità nell’applicazione.

Dove scatta la cautela è nel “chi fa cosa”: EDPB ed EDPS raccomandano che la metodologia comune e gli strumenti non vengano modellati in modo tale da consentire alla Commissione di incidere sull’estensione dei propri obblighi, nel caso dell’apparato istituzionale europeo. Il ragionamento è semplice ma decisivo: chi è soggetto alla regola non dovrebbe poter definire in autonomia quanto la regola lo vincoli.

Ricerca scientifica: definizioni più chiare per ridurre frammentazione

Altro capitolo accolto favorevolmente è quello sulla ricerca scientifica. EDPB ed EDPS vedono positivamente l’introduzione di una definizione più armonizzata, perché può aiutare a ridurre la frammentazione tra Stati membri e a dare maggiore certezza giuridica a università, centri di ricerca, ospedali e imprese innovative.

La cautela, qui, è più “costruttiva” che oppositiva: una definizione funziona solo se è chiara e ben delineata, perché da essa dipende l’applicabilità di molte altre norme e deroghe del sistema.

Biometria: una deroga possibile, ma solo se “nelle mani” dell’individuo e con salvaguardie reali

Tra i passaggi più interessanti del pacchetto c’è la proposta di una nuova deroga che consenta il trattamento di dati biometrici per autenticazione in scenari specifici. Il parere la valuta positivamente se la verifica resta in un contesto “one-to-one” e se i template biometrici o i mezzi necessari alla verifica rimangono sotto il controllo esclusivo dell’interessato (ad esempio su un badge o una smart card, o cifrati in modo che la chiave sia detenuta solo dall’individuo).

Ma anche in questo caso l’idea di “basso rischio” non va trasformata in slogan. Le Autorità ricordano che la biometria ha una protezione rafforzata per ragioni strutturali e che, anche quando usata per semplice verifica, può implicare rischi elevati (per esempio su larga scala). Per questo chiedono che si evitino formulazioni che minimizzano aprioristicamente l’impatto e che, invece, si esplicitino salvaguardie concrete.

IA: legittimo interesse già possibile, inutile “scriverlo” male nel GDPR

Il Digital Omnibus tocca anche il rapporto tra protezione dei dati e intelligenza artificiale. Sul legittimo interesse nel ciclo di sviluppo e impiego dei sistemi, EDPB ed EDPS riconoscono che può essere una base giuridica in alcuni casi, ma osservano che l’EDPB lo ha già chiarito nel proprio parere sugli aspetti data protection dei modelli di IA: inserire una norma ad hoc nel testo del regolamento, così come proposta, non aggiungerebbe vera chiarezza.

Anzi, il rischio è quello di scrivere una disposizione troppo vaga che, invece di aiutare, aumenti l’incertezza. Da qui la raccomandazione: se i colegislatori volessero comunque mantenere l’articolo, bisogna almeno chiarire che l’uso del legittimo interesse resta subordinato alle condizioni ordinarie e al test in tre fasi richiesto dalla disciplina.

C’è poi un punto che, per chi si occupa di modelli, è tutt’altro che teorico: il parere insiste sulla necessità di rafforzare le garanzie, come un diritto di opposizione portato all’attenzione degli interessati con sufficiente anticipo, perché rimuovere dati già “assorbiti” da un sistema può essere tecnicamente difficile. In breve: se l’AI aumenta la complessità, non si può rispondere con tutele “a posteriori” deboli.

IA e dati sensibili: sì a una deroga “residuale”, ma con paletti su ambito e ciclo di vita

Il pacchetto mira anche a introdurre una deroga specifica al divieto di trattare categorie particolari di dati nell’ambito dei sistemi o modelli di IA. L’impostazione che EDPB ed EDPS reputano accettabile è quella della “incidentalità e residualità”: casi in cui, durante training, test o validazione, può essere difficile evitare del tutto che nel dataset finiscano anche informazioni di questo tipo.

Ma la deroga, per essere coerente con il livello di tutela, deve essere scritta in modo da non trasformarsi in un lasciapassare generalizzato. Le Autorità chiedono di inserire esplicitamente la natura “incidental e residual” nel testo normativo, di chiarire il perimetro e di garantire misure lungo l’intero ciclo di vita, inclusa la prevenzione del riuso per finalità ulteriori.

Un capitolo che parla direttamente al mercato digitale è quello sulle regole ePrivacy relative all’accesso alle informazioni nei terminali (il mondo cookie, SDK, identificatori e simili). EDPB ed EDPS apprezzano l’obiettivo di affrontare la “consent fatigue” e la proliferazione dei banner, ma evidenziano un rischio: creare due regimi differenti a seconda che i dati siano personali o non personali può generare incertezza e rendere meno lineare la promessa di semplificazione.

In parallelo, le Autorità aprono a ulteriori eccezioni limitate, ad esempio per la pubblicità contestuale, purché il perimetro sia stretto e accompagnato da salvaguardie (niente “profilazione di ritorno”, niente collegamenti con attività passate o future).

Il filo rosso del parere: semplificare è utile, ma serve una semplificazione “di precisione”

Messo insieme, il parere congiunto consegna ai colegislatori un’indicazione politica e tecnica molto chiara: la semplificazione funziona quando elimina ridondanze e chiarisce procedure, non quando ridisegna l’area dei diritti in modo implicito. Da un lato, quindi, promozione di strumenti comuni, modelli e standard che facilitano l’adempimento e rendono più omogenea l’applicazione; dall’altro, una linea rossa invalicabile: non comprimere la tutela intervenendo sulla definizione stessa di ciò che è protetto.

È una distinzione che conta anche per imprese e PA: nel breve periodo la riduzione degli oneri è un vantaggio tangibile, ma nel medio-lungo periodo l’incertezza su cosa sia “dato personale”, su quali norme si applichino in ecosistemi ibridi e su come governare l’uso dell’AI può tradursi in contenzioso, investimenti bloccati e divergenze tra autorità nazionali. E in un’Unione che punta alla competitività, l’ultima cosa che serve è una semplificazione che, paradossalmente, complichi.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

M
F. Me

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Aziende

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • europatlc

  • l'audizione

    Digital Omnibus, Asstel: "Regolamento fondamentale ma garantire tempi certi"

    12 Feb 2026

    Condividi
  • smartphone, mobile, cellulare, tlc, telefonia

  • privacy

    Teleselling selvaggio, Agcom apre alla consultazione per numerazioni brevi

    18 Dic 2025

    Condividi
  • Europa – Commissione Ue – Unione europea – Bruxelles

  • normative

    Digital Omnibus, semplificazione in marcia in Europa. Le telco: “La strada è ancora lunga”

    20 Nov 2025

    Condividi
  • Europa – parlamento Ue – Parlamento europeo 2

  • privacy

    Gdpr, basta attese sui reclami transfrontalieri: l’Ue introduce tempi certi e regole uguali per tutti

    17 Nov 2025

    Condividi
0
Lascia un commento, la tua opinione conta.x