La Commissione presenta il Digital Omnibus Package: le principali novità tra esigenze di semplificazione e modifiche sostanziali al GDPR

Lorenzo Di Anselmo

Il 19 novembre 2025 la Commissione europea ha presentato il Digital Omnibus Package, ossia un pacchetto di proposte legislative volto a semplificare il quadro normativo in ambito digitale. Il pacchetto si articola in due proposte di regolamento: da un lato, il Digital Omnibus, che introduce modifiche al Regolamento generale sulla protezione dei dati (GDPR), alla Direttiva ePrivacy, alla Direttiva NIS2 e al Data Act; dall’altro, il Digital Omnibus sull’intelligenza artificiale, che interviene invece su taluni aspetti specifici dell’AI Act. Secondo quanto affermato dalla Commissione, le iniziative si propongono, nel loro insieme, di razionalizzare la disciplina del settore digitale, nella convinzione che l’intensa attività regolatoria sviluppatasi nell’ultimo decennio abbia generato incertezza giuridica e aumentato gli oneri amministrativi a carico delle imprese, specialmente quelle di piccole dimensioni, ostacolando l’innovazione tecnologica.

Da questo punto di vista, il pacchetto si inserisce nel quadro di una strategia complessiva di razionalizzazione normativa promossa dalla Commissione a seguito della pubblicazione, a settembre 2024, del rapporto di Mario Draghi sul futuro della competitività europea, il quale ha individuato nell’eccessiva regolamentazione uno dei fattori suscettibili di frenare la crescita economica dell’Unione europea. Con la successiva comunicazione Un’Europa più semplice e più rapida, risalente a febbraio 2025, la Commissione ha annunciato, non a caso, l’intenzione di snellire la burocrazia e gli obblighi di conformità imposti alle imprese al fine di accelerare lo sviluppo industriale e il progresso tecnologico.

Benché motivata da un’esigenza di semplificazione normativa, la proposta interviene su taluni aspetti sostanziali dell’acquis in materia digitale, specialmente nell’ambito del GDPR. Sebbene siano state rimosse alcune delle modifiche più controverse presenti in una bozza provvisoria circolata in precedenza sugli organi di stampa – come la previsione secondo cui soltanto i dati che rivelino direttamente informazioni sensibili rientrerebbero nella nozione di “dati particolari” di cui all’art. 9 del GDPR – la proposta presentata dalla Commissione appare comunque destinata ad incidere in modo significativo sulla portata degli obblighi di protezione dei dati personali stabiliti dal regolamento.

La nozione di “dati personali” ai sensi del GDPR

La proposta modifica, innanzitutto, la nozione di “dati personali” sancita dall’art. 4, par. 1, del GDPR. In sostanza, viene inserita una disposizione volta ad escludere che le informazioni relative a una persona fisica possano qualificarsi come dati personali per un’altra entità per il solo fatto che quest’ultima possa identificare tale persona. Come precisa la proposta, «Such information does not become personal for that entity merely because a potential subsequent recipient has means reasonably likely to be used to identify the natural person to whom the

information relates». Così facendo, il regolamento abbandona una concezione statica di dati personali, introducendo un parametro soggettivo basato sui mezzi a disposizione di un’entità per identificare un soggetto in modo “ragionevolmente” prevedibile.

Tale approccio era stato già delineato dalla Corte di giustizia nella recente sentenza GEPD/SRB. In quell’occasione, la Corte ha precisato che la pseudonimizzazione dei dati possa, a seconda delle circostanze del caso di specie, «effettivamente impedire a persone diverse dal titolare del trattamento di identificare l’interessato in modo tale che, per esse, quest’ultimo non sia o non sia più identificabile». Di conseguenza, per valutare la natura dei dati, è necessario verificare se l’entità che li riceve disponga di mezzi idonei (intesi come l’insieme di risorse economiche, manodopera e tecnologie disponibili) a risalire all’identità del soggetto cui i dati si riferiscono.

In quella stessa occasione, tuttavia, la Corte aveva evidenziato che la pseudonimizzazione non configurasse un «elemento della definizione dei dati personali», bensì costituisse una pratica finalizzata a «ridurre il rischio di mettere in correlazione un insieme di dati con l’identità degli interessati». Viceversa, la proposta della Commissione eleva il test elaborato in GEPD/SRB a criterio generale volto ad integrare la definizione stessa di dati personali, circoscrivendone a priori il perimetro applicativo. Dal momento che la distinzione tra dati personali e non costituisce l’asse portante dell’impianto regolatorio stabilito dal GDPR, modificare nei termini proposti detto regolamento rischia di ridurre la quantità di dati nei confronti dei quali si applichino gli obblighi di protezione in favore degli utenti.

Sistemi di IA e trattamento di dati sensibili

La proposta presentata dalla Commissione modifica, inoltre, l’art. 9 del GDPR, il quale disciplina il trattamento di categorie particolari di dati personali, stabilendo, come noto, un divieto generale di trattamento, fatta eccezione per le ipotesi previste dal par. 2. Al riguardo, il Digital Omnibus introduce un’ulteriore eccezione (lett. k), autorizzando il trattamento nel contesto dello sviluppo e del funzionamento dei sistemi di intelligenza artificiale. Tale modifica segnala un significativo cambio di paradigma nella regolamentazione dell’IA. Allo stato attuale, infatti, siffatta fattispecie è disciplinata dall’art. 10, par. 5, dell’AI Act, il quale autorizza il trattamento di categorie particolari di dati personali solo nella misura in cui risulti «strettamente necessario al fine di garantire il rilevamento e la correzione delle distorsioni in relazione ai sistemi di IA ad alto rischio».

La versione proposta dalla Commissione si propone, invece, di autorizzare il trattamento di tali dati ai fini dell’addestramento dell’IA qualora la loro rimozione richieda uno “sforzo sproporzionato”, purché siano state adottate le “misure tecniche e organizzative adeguate” ad evitare l’utilizzo dei dati in questione. Concepito in questi termini, il trattamento dei dati sensibili tiene conto solo delle esigenze dello sviluppatore (o utilizzatore) del sistema di IA: ne deriva un ripensamento sostanziale dell’impiego di tali dati, ammesso non più solo in casi eccezionali e ben circoscritti, bensì autorizzato in via generale, fermo restando l’obbligo, in capo al titolare del trattamento, di evitare che essi siano divulgati e resi accessibili a terzi.

Tale modifica deve essere letta insieme all’introduzione ex novo dell’art. 88c, il quale stabilisce che, se necessario ai fini dello sviluppo e del funzionamento dei sistemi di IA, il trattamento dei dati personali può fondarsi sul legittimo interesse del titolare ai sensi dell’art. 6, par. 1, lett. f), del GDPR, purché sia rispettato il principio della minimizzazione dei dati e sia assicurato il diritto di opposizione in capo ai soggetti interessati. Così facendo, il legittimo interesse, la cui invocabilità quale base giuridica per l’utilizzo dei dati dovrebbe, in linea di principio, essere valutata caso per caso, rischia di trasformarsi in una scorciatoia per permettere il trattamento indifferenziato di dati di massa.

Prospettive futureLa negoziazione del Digital Package Omnibus si annuncia come uno degli appuntamenti più rilevanti dell’agenda politica dell’Unione europea del prossimo futuro. Sulla scia del Rapporto Draghi, l’Unione europea ha elevato la competitività a paradigma di riferimento della propria strategia politica. La via scelta, quella della deregolamentazione normativa, appare però problematica. La proiezione economica costituisce da sempre la principale forza propulsiva del processo d’integrazione europea. Da questo punto di vista, la riforma dell’acquis digitale nell’ottica di snellire gli obblighi di conformità e gli oneri amministrativi gravanti sulle imprese intercetta un’ambizione legittima dell’Unione: favorire l’efficienza tecnica e promuovere l’innovazione tecnologica. Al legislatore spetterà il compito di assicurare che tali esigenze non si traducano in un compromesso al ribasso destinato ad erodere i valori fondamentali dell’Unione.

(Le opinioni e i pareri espressi sono esclusivamente dell’autore o degli autori e non riflettono necessariamente quelli dell’Unione europea. Né l’Unione europea può essere ritenuta responsabile per tali opinioni e pareri).

Related Posts

La sentenza del Tribunale del 19 novembre 2025 sulla legittimità della designazione di Amazon come VLOP ai sensi del Digital Services Act

Le implicazioni del Digital Omnibus nel settore della sicurezza informatica

Gli investimenti in materia di cybersicurezza nel piano “Readiness2030”